Информации пересылки базы ( FIB ), также известный как таблицы пересылки или MAC - таблицы , наиболее часто используется в сети мостиков , маршрутизации и аналогичные функции , чтобы найти правильный выходной сетевой интерфейс , к которому входной интерфейс должен пересылать пакет. Это динамическая таблица, которая отображает MAC-адреса на порты. Это важный механизм, отделяющий сетевые коммутаторы от концентраторов Ethernet . Память с адресацией по содержимому (CAM) обычно используется для эффективной реализации FIB, поэтому ее иногда называют таблицей CAM .
Приложения на канальном уровне
На уровне канала передачи данных FIB в первую очередь используется для облегчения мостового соединения Ethernet на основе MAC-адресов . Другие технологии канального уровня, использующие FIB, включают Frame Relay , асинхронный режим передачи (ATM) и многопротокольную коммутацию меток (MPLS).
Мосты
Роль коммутатора Ethernet заключается в пересылке кадров Ethernet с одного порта на другой. Наличие FIB - это один из атрибутов, который отделяет коммутатор от концентратора. Без функционального FIB все кадры, полученные сетевым коммутатором, будут эхом отражаться на все другие порты, как в концентраторе Ethernet . При передаче пакетов между портами коммутатор должен выдавать кадр только на том порту, где находится сетевое устройство назначения ( одноадресная передача ), если только кадр не предназначен для всех узлов на коммутаторе ( широковещательная рассылка ) , нескольких узлов ( многоадресная рассылка ) или если коммутатор не передает его. Не знаю, где находится устройство назначения ( одноадресный флуд ).
Коммутаторы узнают порт, на котором они впервые увидели конкретный адрес источника, и связывают этот порт с этим адресом. Когда мост впоследствии получает кадр с адресом назначения в его FIB, он отправляет этот кадр через порт, сохраненный в записи FIB.
FIB - это структура памяти, используемая коммутатором Ethernet для сопоставления MAC-адреса станции с портом коммутатора, к которому она подключена. Это позволяет коммутаторам облегчить связь между подключенными станциями на высокой скорости.
Ретрансляция кадров
Хотя точный механизм таблицы пересылки зависит от реализации, общая модель Frame Relay состоит в том, что коммутаторы имеют статически определенные таблицы пересылки, по одной на интерфейс. Когда кадр с заданным идентификатором соединения канала передачи данных (DLCI) принимается на одном интерфейсе, таблица, связанная с этим интерфейсом, дает исходящий интерфейс и новый DLCI для вставки в поле адреса кадра.
Асинхронный режим передачи
Коммутаторы ATM имеют таблицы пересылки на уровне каналов, очень похожие на те, что используются в Frame Relay. Однако вместо DLCI интерфейсы имеют таблицы пересылки, которые определяют исходящий интерфейс по идентификатору виртуального пути (VPI) и идентификатору виртуального канала (VCI). Эти таблицы могут быть сконфигурированы статически или распределены по протоколу частного сетевого интерфейса (PNNI). Когда используется PNNI, ATM переключается на краях сети и сопоставляет один из стандартных сквозных идентификаторов ATM, например, адрес NSAP , с VPI / VCI следующего перехода.
Многопротокольная коммутация меток
MPLS имеет много общего с ATM на уровне пересылки. Маршрутизаторы границы метки на краях карты облака MPLS между сквозным идентификатором, таким как IP-адрес, и меткой локальной связи. На каждом переходе MPLS существует таблица пересылки, которая сообщает маршрутизатору с коммутацией меток, какой исходящий интерфейс должен принимать пакет MPLS и какую метку использовать при отправке пакета через этот интерфейс.
Приложения на сетевом уровне
Адреса сетевого уровня , такие как IP-адреса , используются на различных типах носителей и могут обрабатываться одинаково во всех случаях.
Пересылка
FIB оптимизированы для быстрого поиска адресов назначения и могут повысить производительность пересылки по сравнению с использованием базы маршрутной информации (RIB) напрямую. RIB оптимизирован для эффективного обновления с помощью протоколов маршрутизации и других методов уровня управления и содержит полный набор маршрутов, полученных маршрутизатором. В более ранних реализациях кэшировалось только подмножество маршрутов, наиболее часто используемых в реальной пересылке, и это работало достаточно хорошо для предприятий, где есть значимое, наиболее часто используемое подмножество. Маршрутизаторы, используемые для доступа ко всему Интернету, однако, испытали серьезное снижение производительности при обновлении маршрутов, кэшированных в небольшом FIB, и различные реализации были переведены на то, чтобы FIB соответствовали один-к-одному RIB. [1]
Входящая фильтрация от отказа в обслуживании
FIB также могут играть роль в лучшей современной практике Интернета (BCP) входящей фильтрации . Хотя простейшей формой входной фильтрации является использование списков контроля доступа для отбрасывания пакетов с неправильными адресами источника, использование списков доступа становится затруднительным на маршрутизаторах с большим количеством смежных сетей, а традиционные списки доступа не используются в высокопроизводительных системах. пути пересылки маршрутизатора. [ необходима цитата ]
Хотя в документе IETF BCP 38 о входящей фильтрации [2] не указан метод реализации фильтрации адресов источника, некоторые поставщики маршрутизаторов реализовали механизм, который использует поиск в таблицах маршрутизатора для выполнения этой проверки. (См. Также пересылку обратного пути . ) Это часто реализуется как поиск в FIB адреса источника пакета. Если у интерфейса нет маршрута к исходному адресу, предполагается, что пакет является частью атаки отказа в обслуживании с использованием поддельного исходного адреса , и маршрутизатор отбрасывает пакет.
Когда маршрутизатор является многосетевым , фильтрация входящего трафика становится более сложной. Существуют вполне разумные сценарии работы, в которых пакет может прибыть на один интерфейс, но этот конкретный интерфейс может не иметь маршрута к исходному адресу. Для маршрутизаторов, находящихся на границе Интернета, фильтры пакетов могут обеспечить более простое и более эффективное решение, чем методы, использующие поиск информации о маршрутизации, хотя этот подход может быть проблематичным при управлении маршрутизаторами, которые часто перенастраиваются. Входящая фильтрация для многосетевых маршрутизаторов примет пакет, если существует обратный маршрут к его исходному адресу с любого интерфейса на маршрутизаторе. Для этого типа фильтрации маршрутизатор может также поддерживать таблицу смежности , также организованную для быстрого поиска, которая отслеживает адреса интерфейсов маршрутизатора, которые есть на всех напрямую подключенных маршрутизаторах. [3]
Качество обслуживания
Дифференцированные услуги предоставляют дополнительный метод выбора исходящих интерфейсов на основе поля, которое указывает приоритет пересылки пакета, а также предпочтение пакета, который должен быть отброшен при наличии перегрузки. Маршрутизаторы, поддерживающие дифференцированное обслуживание, не только должны искать выходной интерфейс для адреса назначения, но и должны отправлять пакет на интерфейс, который наилучшим образом соответствует требованиям дифференцированного обслуживания. Другими словами, FIB должен не только соответствовать адресу назначения, но и соответствовать кодовым точкам дифференцированных услуг (DSCP). [4] [ неудачная проверка ]
Контроль доступа и учет
Конкретные реализации маршрутизатора могут, при совпадении адреса назначения или другого критерия FIB, указать другое действие, которое должно быть выполнено перед пересылкой (например, учет или шифрование), или применить список управления доступом, который может вызвать отбрасывание пакета.
Атаки
Таблицы CAM могут быть нацелены на организацию атаки типа «злоумышленник в середине» . Агент угрозы , которая имеет контроль над устройством , подключенным к коммутатору Ethernet может использовать MAC затопление атаковать CAM таблицу коммутатора. Если таблица заполняется, другой трафик рассматривается как широковещательный, одноадресный и многоадресный трафик с неизвестной адресацией и перенаправляется на все порты, делая его доступным для злоумышленника.
Рекомендации
- ^ Классификация пакетов без TCAM: еще одного регистра (и немного логики) достаточно В. Донг и др. , ACM SIGCOMM 2006
- ↑ П. Фергюсон и Д. Сени (май 2000 г.). Фильтрация входящего сетевого трафика: противодействие атакам типа «отказ в обслуживании» с использованием спуфинга IP-адреса источника] . DOI : 10,17487 / RFC2827 . RFC 2827 .
- ^ Ф. Бейкер; П. Савола (март 2004 г.). Входящая фильтрация для многосетевых сетей . DOI : 10,17487 / RFC3704 . RFC 3704 .
- ^ Определение поля дифференцированных услуг (поля DS) в заголовках IPv4 и IPv6 , RFC 2474, K. Nichols et al. , Декабрь 1998 г.
Внешние ссылки
- Иван Пепельняк, RIB и FIB (также известные как IP Routing Table и CEF Table)