Una base de información de reenvío ( FIB ), también conocida como tabla de reenvío o tabla MAC , se usa más comúnmente en puentes de red , enrutamiento y funciones similares para encontrar el controlador de interfaz de red de salida adecuado al que la interfaz de entrada debe reenviar un paquete. Es una tabla dinámica que asigna direcciones MAC a puertos. Es el mecanismo esencial que separa los conmutadores de red de los concentradores Ethernet . La memoria direccionable por contenido (CAM) se utiliza normalmente para implementar eficientemente la FIB, por lo que a veces se la denomina tabla CAM .
En la capa de enlace de datos , un FIB se utiliza sobre todo para facilitar el puente Ethernet basado en direcciones MAC . Otras tecnologías de capa de enlace de datos que utilizan FIB incluyen Frame Relay , modo de transferencia asíncrono (ATM) y conmutación de etiquetas multiprotocolo (MPLS).
La función de un conmutador Ethernet es reenviar tramas Ethernet de un puerto a otro. La presencia de un FIB es un atributo que separa un conmutador de un concentrador. Sin un FIB funcional, todas las tramas recibidas por un conmutador de red se enviarían a todos los demás puertos, de forma muy parecida a un concentrador Ethernet . Al conectar paquetes entre puertos, un conmutador solo debe emitir una trama en el puerto donde reside el dispositivo de red de destino ( unidifusión ), a menos que la trama sea para todos los nodos del conmutador ( difusión ), múltiples nodos ( multidifusión ) o si el conmutador no No sé dónde reside el dispositivo de destino ( inundación de unidifusión ).
Los conmutadores aprenden el puerto en el que vieron por primera vez una dirección de origen particular y asocian ese puerto con esa dirección. Cuando el puente recibe posteriormente una trama con una dirección de destino en su FIB, envía la trama fuera del puerto almacenado en la entrada FIB.
El FIB es una construcción de memoria utilizada por el conmutador Ethernet para asignar la dirección MAC de una estación al puerto del conmutador al que está conectada la estación. Esto permite que los conmutadores faciliten las comunicaciones entre estaciones conectadas a alta velocidad.
Si bien la mecánica exacta de una tabla de reenvío es específica de la implementación, el modelo general para Frame Relay es que los conmutadores tienen tablas de reenvío definidas estáticamente, una por interfaz. Cuando se recibe una trama con un identificador de conexión de enlace de datos (DLCI) determinado en una interfaz, la tabla asociada con esa interfaz proporciona la interfaz saliente y el nuevo DLCI para insertar en el campo de dirección de la trama.
Los conmutadores ATM tienen tablas de reenvío a nivel de enlace muy parecidas a las utilizadas en Frame Relay. Sin embargo, en lugar de un DLCI, las interfaces tienen tablas de reenvío que especifican la interfaz saliente mediante un identificador de ruta virtual (VPI) y un identificador de circuito virtual (VCI). Estas tablas pueden configurarse estáticamente o pueden distribuirse mediante el protocolo de interfaz de red privada a red (PNNI). Cuando PNNI está en uso, los conmutadores ATM en los bordes de la red asignan uno de los identificadores de extremo a extremo de ATM estándar, como una dirección NSAP , al VPI/VCI del siguiente salto.
MPLS tiene muchas similitudes, a nivel de reenvío, con ATM. Los enrutadores de borde de etiquetas en los bordes de una nube MPLS se asignan entre el identificador de extremo a extremo, como una dirección IP, y una etiqueta de enlace local. En cada salto MPLS, hay una tabla de reenvío que le indica al enrutador de etiqueta conmutada qué interfaz saliente debe recibir el paquete MPLS y qué etiqueta usar al enviar el paquete fuera de esa interfaz.
Las direcciones de capa de red , como las direcciones IP , se utilizan en diferentes tipos de medios y se pueden manejar de manera similar en todos los casos.
Los FIB están optimizados para una búsqueda rápida de direcciones de destino y pueden mejorar el rendimiento del reenvío en comparación con el uso directo de la base de información de enrutamiento (RIB). El RIB está optimizado para una actualización eficiente mediante protocolos de enrutamiento y otros métodos del plano de control , y contiene el conjunto completo de rutas aprendidas por el enrutador. Las implementaciones anteriores almacenaban en caché solo un subconjunto de las rutas utilizadas con mayor frecuencia en el reenvío real, y esto funcionó razonablemente bien para empresas donde existe un subconjunto significativo de uso más frecuente. Sin embargo, los enrutadores utilizados para acceder a toda Internet experimentaron una grave degradación del rendimiento al actualizar las rutas almacenadas en caché en una FIB pequeña, y varias implementaciones pasaron a tener FIB en correspondencia uno a uno con la RIB. [1]
Los FIB también pueden desempeñar un papel en las mejores prácticas actuales (BCP) de filtrado de ingreso de Internet . Aunque la forma más simple de filtrado de ingreso es usar listas de control de acceso para descartar paquetes con direcciones de origen incorrectas, el uso de listas de acceso se vuelve difícil en enrutadores con una gran cantidad de redes adyacentes y las listas de acceso tradicionales no se usan en sistemas de alto rendimiento. rutas de reenvío del enrutador. [ cita necesaria ]
Si bien el documento BCP 38 del IETF sobre filtrado de ingreso [2] no especifica un método para implementar el filtrado de direcciones de origen, algunos proveedores de enrutadores han implementado un mecanismo que emplea búsquedas de reenvío de ruta inversa en las tablas del enrutador para realizar esta verificación. Esto a menudo se implementa como una búsqueda en la FIB de la dirección de origen del paquete. Si la interfaz no tiene ruta a la dirección de origen, se supone que el paquete es parte de un ataque de denegación de servicio, utilizando una dirección de origen falsificada , y el enrutador descarta el paquete.
Cuando el enrutador es multitarjeta , el filtrado de entrada se vuelve más complejo. Existen escenarios operativos perfectamente razonables en los que un paquete podría llegar a una interfaz, pero esa interfaz específica podría no tener una ruta a la dirección de origen. Para los enrutadores cercanos al borde de Internet, los filtros de paquetes pueden proporcionar una solución más simple y efectiva que los métodos que emplean la búsqueda de información de enrutamiento, aunque este enfoque puede resultar desafiante cuando se administran enrutadores que se reconfiguran con frecuencia. El filtrado de ingreso para enrutadores multitarjeta aceptará el paquete si hay una ruta de regreso a su dirección de origen desde cualquier interfaz del enrutador. Para este tipo de filtrado, el enrutador también puede mantener una tabla de adyacencia , también organizada para una búsqueda rápida, que realiza un seguimiento de las direcciones de interfaz del enrutador que se encuentran en todos los enrutadores conectados directamente. [3]
Los servicios diferenciados proporcionan un método adicional para seleccionar interfaces salientes, basándose en un campo que indica la prioridad de reenvío del paquete, así como la preferencia del paquete a descartar en presencia de congestión. Los enrutadores que admiten servicios diferenciados no sólo tienen que buscar en la interfaz de salida la dirección de destino, sino que también deben enviar el paquete a la interfaz que mejor se adapte a los requisitos de los servicios diferenciados. En otras palabras, además de hacer coincidir la dirección de destino, la FIB debe hacer coincidir los puntos de código de servicios diferenciados (DSCP). [4] [ verificación fallida ]
Las implementaciones de enrutadores específicos pueden, cuando coincide una dirección de destino u otro criterio FIB, especificar otra acción a realizar antes del reenvío (por ejemplo, contabilidad o cifrado), o aplicar una lista de control de acceso que puede causar que el paquete se descarte.
Las tablas CAM pueden ser el objetivo para configurar un ataque de intermediario . Un agente de amenazas que tenga control de un dispositivo conectado a un conmutador Ethernet puede utilizar la inundación de MAC para atacar la tabla CAM del conmutador. Si la tabla se llena, el resto del tráfico se trata como tráfico de difusión, unidifusión desconocida y multidifusión y se reenvía a todos los puertos para que esté disponible para el atacante.