stringtranslate.com

Base de información de reenvío

Una base de información de reenvío ( FIB ), también conocida como tabla de reenvío o tabla MAC , se utiliza con mayor frecuencia en puentes de red , enrutamiento y funciones similares para encontrar el controlador de interfaz de red de salida adecuado al que la interfaz de entrada debe reenviar un paquete. Es una tabla dinámica que asigna direcciones MAC a puertos. Es el mecanismo esencial que separa los conmutadores de red de los concentradores Ethernet . La memoria direccionable por contenido (CAM) se utiliza normalmente para implementar de forma eficiente la FIB, por lo que a veces se la denomina tabla CAM .

Aplicaciones en la capa de enlace de datos

En la capa de enlace de datos , una FIB se utiliza principalmente para facilitar la conexión por puente Ethernet basada en direcciones MAC . Otras tecnologías de capa de enlace de datos que utilizan FIB incluyen Frame Relay , Asynchronous Transfer Mode (ATM) y Multiprotocol Label Switching (MPLS).

Puente

La función de un conmutador Ethernet es reenviar tramas Ethernet de un puerto a otro. La presencia de una FIB es un atributo que separa a un conmutador de un concentrador. Sin una FIB funcional, todas las tramas recibidas por un conmutador de red se reenviarían a todos los demás puertos, de forma muy similar a un concentrador Ethernet . Al conectar paquetes entre puertos, un conmutador solo debe emitir una trama en el puerto donde reside el dispositivo de red de destino ( unicast ), a menos que la trama sea para todos los nodos del conmutador ( difusión ), varios nodos ( multicast ) o si el conmutador no sabe dónde reside el dispositivo de destino ( inundación de unidifusión ).

Los switches aprenden el puerto en el que vieron por primera vez una dirección de origen en particular y asocian ese puerto con esa dirección. Cuando el puente recibe posteriormente una trama con una dirección de destino en su FIB, envía la trama al puerto almacenado en la entrada de la FIB.

La FIB es una estructura de memoria que utiliza el conmutador Ethernet para asignar la dirección MAC de una estación al puerto del conmutador al que está conectada la estación. Esto permite que los conmutadores faciliten las comunicaciones entre estaciones conectadas a alta velocidad.

Relé de trama

Si bien la mecánica exacta de una tabla de reenvío depende de cada implementación, el modelo general de Frame Relay es que los conmutadores tienen tablas de reenvío definidas estáticamente, una por interfaz. Cuando se recibe una trama con un identificador de conexión de enlace de datos (DLCI) determinado en una interfaz, la tabla asociada con esa interfaz proporciona la interfaz saliente y el nuevo DLCI para insertar en el campo de dirección de la trama.

Modo de transferencia asincrónica

Los conmutadores ATM tienen tablas de reenvío a nivel de enlace muy similares a las que se utilizan en Frame Relay. Sin embargo, en lugar de un DLCI, las interfaces tienen tablas de reenvío que especifican la interfaz de salida mediante un identificador de ruta virtual (VPI) y un identificador de circuito virtual (VCI). Estas tablas se pueden configurar de forma estática o se pueden distribuir mediante el protocolo de interfaz de red privada a red (PNNI). Cuando se utiliza PNNI, los conmutadores ATM en los bordes de la red asignan uno de los identificadores de extremo a extremo estándar de ATM, como una dirección NSAP , al VPI/VCI del siguiente salto.

Conmutación de etiquetas multiprotocolo

MPLS tiene muchas similitudes, en el nivel de reenvío, con ATM. Los enrutadores de borde de etiqueta en los bordes de una nube MPLS asignan entre el identificador de extremo a extremo, como una dirección IP, y una etiqueta de enlace local. En cada salto MPLS, hay una tabla de reenvío que le indica al enrutador conmutado por etiqueta qué interfaz saliente debe recibir el paquete MPLS y qué etiqueta usar al enviar el paquete a través de esa interfaz.

Aplicaciones en la capa de red

Las direcciones de capa de red , como las direcciones IP , se utilizan en diferentes tipos de medios y pueden manejarse de manera similar en todos los casos.

Reenvío

Las FIB están optimizadas para la búsqueda rápida de direcciones de destino y pueden mejorar el rendimiento del reenvío en comparación con el uso directo de la base de información de enrutamiento (RIB). La RIB está optimizada para una actualización eficiente mediante protocolos de enrutamiento y otros métodos del plano de control , y contiene el conjunto completo de rutas aprendidas por el enrutador. Las implementaciones anteriores almacenaban en caché solo un subconjunto de las rutas más utilizadas en el reenvío real, y esto funcionaba razonablemente bien para las empresas donde hay un subconjunto significativo de las rutas más utilizadas. Sin embargo, los enrutadores utilizados para acceder a Internet en su totalidad experimentaron una degradación grave del rendimiento al actualizar las rutas almacenadas en caché en una FIB pequeña, y varias implementaciones pasaron a tener FIB en correspondencia uno a uno con la RIB. [1]

Filtrado de entrada contra denegación de servicio

Las FIB también pueden desempeñar un papel en las mejores prácticas actuales (BCP) de filtrado de entrada de Internet . Aunque la forma más simple de filtrado de entrada es usar listas de control de acceso para descartar paquetes con direcciones de origen incorrectas, el uso de listas de acceso se vuelve difícil en enrutadores con una gran cantidad de redes adyacentes y las listas de acceso tradicionales no se usan en rutas de reenvío de enrutadores de alto rendimiento. [ cita requerida ]

Si bien el documento BCP 38 de la IETF sobre filtrado de entrada [2] no especifica un método para implementar el filtrado de direcciones de origen, algunos proveedores de enrutadores han implementado un mecanismo que emplea búsquedas de reenvío de ruta inversa en las tablas del enrutador para realizar esta verificación. Esto a menudo se implementa como una búsqueda en la FIB de la dirección de origen del paquete. Si la interfaz no tiene ruta a la dirección de origen, se supone que el paquete es parte de un ataque de denegación de servicio, que utiliza una dirección de origen falsificada , y el enrutador descarta el paquete.

Cuando el enrutador es multihomed , el filtrado de entrada se vuelve más complejo. Hay escenarios operativos perfectamente razonables en los que un paquete podría llegar a una interfaz, pero esa interfaz específica podría no tener una ruta a la dirección de origen. Para los enrutadores cerca del borde de Internet, los filtros de paquetes pueden proporcionar una solución más simple y efectiva que los métodos que emplean la búsqueda de información de enrutamiento, aunque este enfoque puede ser un desafío cuando se administran enrutadores que se reconfiguran con frecuencia. El filtrado de entrada para enrutadores multihomed aceptará el paquete si hay una ruta de regreso a su dirección de origen desde cualquier interfaz en el enrutador. Para este tipo de filtrado, el enrutador también puede mantener una tabla de adyacencia , también organizada para una búsqueda rápida, que realiza un seguimiento de las direcciones de interfaz del enrutador que están en todos los enrutadores conectados directamente. [3]

Calidad del servicio

Los servicios diferenciados proporcionan un método adicional para seleccionar interfaces de salida, basándose en un campo que indica la prioridad de reenvío del paquete, así como la preferencia del paquete a descartar en presencia de congestión. Los enrutadores que admiten servicios diferenciados no solo tienen que buscar la interfaz de salida para la dirección de destino, sino que también necesitan enviar el paquete a la interfaz que mejor se adapte a los requisitos de los servicios diferenciados. En otras palabras, además de coincidir con la dirección de destino, la FIB tiene que coincidir con los puntos de código de servicios diferenciados (DSCP). [4] [ verificación fallida ]

Control de acceso y contabilidad

Las implementaciones de enrutadores específicos pueden, cuando coincide una dirección de destino u otro criterio FIB, especificar otra acción a realizar antes del reenvío (por ejemplo, contabilidad o cifrado) o aplicar una lista de control de acceso que puede provocar que se descarte el paquete.

Ataques

Las tablas CAM pueden ser el objetivo de un ataque de intermediario . Un agente de amenazas que tiene el control de un dispositivo conectado a un conmutador Ethernet puede utilizar la inundación de direcciones MAC para atacar la tabla CAM del conmutador. Si la tabla se llena, el resto del tráfico se trata como tráfico de difusión, unidifusión desconocida y multidifusión y se reenvía a todos los puertos, poniéndolo a disposición del atacante.

Referencias

  1. ^ Clasificación de paquetes a velocidad de cable sin TCAM: un registro más (y un poco de lógica) es suficiente Q. Dong et al. , ACM SIGCOMM 2006
  2. ^ P. Ferguson y D. Senie (mayo de 2000). Filtrado de entrada a la red: cómo vencer los ataques de denegación de servicio que emplean suplantación de direcciones IP de origen]. doi : 10.17487/RFC2827 . RFC 2827.
  3. ^ F. Baker; P. Savola (marzo de 2004). Filtrado de entrada para redes multihomed. doi : 10.17487/RFC3704 . RFC 3704.
  4. ^ Definición del campo de servicios diferenciados (campo DS) en los encabezados de IPv4 e IPv6, RFC 2474, K. Nichols et al. , diciembre de 1998

Enlaces externos