This content was uploaded by our users and we assume good faith they have the permission to share this book. If you own the copyright to this book and it is wrongfully on our website, we offer a simple DMCA procedure to remove your content from our site. Start by pressing the button below!
.
EDNSEinsatzaspekte
Neben der Tatsache, dass EDNS mittels des Pseudo-RR OPT eine „eigenwillige“ (und z.Z. noch wenig genutzte) Erweiterung für das DNS-Protokoll bietet, ist EDNS auch deshalb besonders problematisch, da alle beteiligten DNSKomponenten (also Stub-Resolver, Proxy-Server und Content-Server) dies unterstützten müssen.
4.1.7 DNS und Internet-Dienste Eine wesentliche Anwendung des DNS besteht darin, die Ermittlung der IPAdressen von Zielrechnern bei der Realisierung verschiedener Internet-Dienste zu unterstützen. Wichtig ist hierbei die Unterstützung der Übermittlung von EMail nach dem Protokoll SMTP (Simple Mail Transport Protocol), für den Mail Transfer Agents (MTA) verantwortlich sind. Mit der Einführung der Internet-Telefonie gewinnt das DNS enorm an Bedeutung, vor allem, weil für die Adressierung aller Internet-Dienste die Telefonnummern verwendet werden
4.1 Domain Name System
179
können. Diese revolutionierende Idee wird als ENUM (Telephone Number URI Mapping) bezeichnet. DNS und E-Mail nach SMTP Jede per Internet abgeschickte E-Mail hat eine E-Mail-Adresse des Empfängers Ermittlung der IP(MAIL TO:), die im Allgemeinen folgende Struktur aufweist: Adresse des E-MailIn der E-Mail-Adresse werden die die Zieldomain betreffenden Angaben – d.h. servers der Teil der Adresse nach dem Symbol @ – einem DNS Lookup unterzogen, wobei zuerst der MX-RR des bzw. der zuständigen SMTP MTAs ermittelt wird, [email protected]
um seinen Hostnamen zu bestimmen. Danach erfolgt die Ermittlung seiner IPAdresse über den A-RR nach dem in Abbildung 4.1-2 gezeigtem Schema. Zur Kennzeichnung der sog. Mail Exchanger im Internet (auch als MTA be- Bedeutung zeichnet) dienen MX-RRs (Mail eXchange) im DNS [Tab. 4.1.-1], die das Auf- von MX-RR setzen eines Systems hierarchisch gestaffelter SMTP-MTAs pro Domain gestatten. In MX-RRs enthält der Teil RDATA zuerst – erste 16 Bits – die Präferenz (Preference), dann folgt der A-Name des SMTP-MTAs. Unter Berücksichtigung der Präferenz mit allen MX-RRs einer Domain wird die Reihenfolge der E-Mail-Zustellung bestimmt. Beispiel: MX-RRs für die Domain example.com: example.com. example.com. mail.example.com.
IN IN IN
MX MX MX
1 1 20
smtp01.domain.com smtp02.domain.com smtp03.domain.com
Die ersten zwei Einträge (jeweils mit der Präferenz 1) für die Domain example.com verweisen auf die Hostnamen SMTP01 und SMTP02, auf denen die zentralen SMTP-Applikationen installiert sind. Typischerweise wird dies für das Load-Balancing eingesetzt. Ein SMTP-Client wertet die MX-RRs nach ihrer Präferenz, wobei der MX-RR mit dem niedrigeren Präferenzwert bevorzugt wird. Daher wird in der Regel zunächst jede E-Mail an SMTP01 in example.com adressiert. Ist dieser aber nicht verfügbar oder überlastet, wird SMTP02 kontaktiert. Der dritte MX-RR beinhaltet das explizite Ansprechen von SMTP03 mit Präferenz 20.
Um eine indirekte Adressierung auszuschließen, verbietet RFC 1123 die Nut- CNAME zung eines Alias-Namens (CNAME) im MX-RR. In der Praxis wird diese Ein- und E-Mailschränkung aber häufig umgangen. Wie das Beispiel zeigt, erlauben die MX- servername RRs eine Domain- bzw. Host-bezogene Adressierung. Eine besondere Anwendung findet das DNS bei der Nutzung sog. Relay Relay BlackBlacklists, auch Realtime Blacklists genannt. Vor der Annahme einer E-Mail lists (RBL) von einem SMTP-Relay mit der IP-Adresse 1.2.3.4 wird ein spezifischer DNS-Lookup bei einem Betreiber solcher Blacklists (z.B. SpamCop) vorgenommen. Diese Betreiber führen Listen mit IP-Adressen von Rechnern, die bekanntermaßen Spam-E-Mails versenden. Zum Lookup dieser Rechner wird un-
180
4
DNS und DHCP
ter Nutzung der eigenen Domain-Kennung ein TXT-RR mit der (umkehrt geschriebenen) IP-Adresse des Spam-Senders wie folgt gebildet: IP 1.2.3.4
4.3.2.1.bl.spamcop.org
Der DNS-Client des entsprechend instruierten SMTP-Gateways überprüft die Existenz dieses Eintrags. Liegt bei der konfigurierten RBL kein Eintrag vor, ist der Sender der E-Mail nicht verzeichnet und kann zugelassen werden.. Sender Policy Framework
Während die RBLs unautorisierte Informationsquellen im DNS über potenzielle Spam-Sender bereitstellen, ermöglicht das Sender Policy Framework (SPF) einem Betreiber von SMTP-Servern, sie im DNS als autoritative MTAs für die betreffende Domain zu kennzeichnen. Wie die vergleichbaren Ansätze DKIM (DomainKeys Identified Mail) [http://mipassoc.org/dkim] und MTAMark [http://mtamark.space.net] stützt sich SPF auf dem Eintrag entsprechender RRs in der Zonendatei. Beispiel: Neben dem SPF-RR [TYPE=99, Tab. 4.1-1] kann alternativ ein geeignet aufgebauter TXT-RR genutzt werden: example.com. example.com.
IN IN
SPF TXT
v=spf1 +mx a:mx1.example.com –all v=spf1 +mx a:mx1.example.com -all
Im Gegensatz zum RBL-Verfahren bietet SPF [RFC 4408] (wie der Name bereits sagt) ein komplettes Framework zur Deklaration und zur Auswertung der Angabe RDATA in RRs. Im gezeigten Beispiel wird mit v=spf1 zunächst die Version von SPF festgelegt, dann besagt mx, dass alle per MX-RR gelisteten MTAs für die Domain example.com auch sendeberechtigt sind. Dieser Mechanismus wird durch den Qualifier „+“ ergänzt, der aussagt, wie mit der verbundenen Information umzugehen ist. Das Symbol „a“ verweist hier darauf, dass der MTA mit dem A-Name mx1.example.com ebenfalls autorisiert ist. Mit „-all“ wird gesagt, dass keine Direktiven mehr folgen, wohl aber noch erklärende Zusätze.
Um die per SPF verfügbaren Direktiven auszulesen und zu verarbeiten, müssen dem E-Mailserver bei SMTP komplexe Auswerteverfahren zur Seite gestellt werden. SPF dient in erster Linie zur Qualifizierung von MTAs; zur SpamUnterdrückung ist es allerdings wenig geeignet, sofern nicht die Politik verfolgt wird, nur SPF-qualifizierte MTAs als Sender zu akzeptieren. DNS und die ENUM-Domain Bedeutung von ENUM
Eine völlig neue DNS-Anwendung erschließt sich durch die Möglichkeit, Telefonnummern für die Unterstützung der Adressierung verschiedener InternetDienste (Internet-Telefonie, E-Mail, Web-Seiten, ...) zu nutzen. Dieser Einsatz wird als ENUM (Telephone Number URI Mapping) bezeichnet. Für die Unterstützung von ENUM muss aber der DNS-Baum um einige „Zweige“ erweitert werden, damit eine sog. ENUM-Domain eingerichtet werden kann [RFCs 2915, 2916, 3761]. Hierbei sind folgende Aspekte hervorzuheben: Organisatorisch: In der Top-Level-Domain arpa wird insbesondere die ENUM-Domain als Second-Level-Domain e164.arpa eingerichtet, in der spezielle Resource Records, die sog. NAPTR-RRs, mit Adressen verschie-
4.1 Domain Name System
181
dener Internet-Dienste (z.B. Internet-Telefonie, E-Mail, ...) abgelegt werden. Um auf diese RRs zuzugreifen, werden aus den Telefonnummern nach dem ITU-T-Standard E.164 (deswegen der Domainname e164.arpa)die sog. ENUM-URIs (Uniform Resource Identifier) gebildet. Beispiel: Beispielsweise hat ENUM-URI aus der Telefonnummer +49 89 761234 folgende Struktur 4.3.2.1.6.7.9.8.9.4.e164.arpa
Administrativ: Die Autorität über die Einträge in der ENUM-Domain auf nationaler Ebene (also z.B. .4.9.e164.arpa) wird an verantwortliche Träger (wie die DENIC in Deutschland) delegiert. Abbildung 4.1-8 illustriert die Einbettung der ENUM-Domain in das DNS und Bedeutung die Bedeutung von ENUM-URI. Mit ENUM-URI wird hier auf die Lokation von ENUMdes ENUM-spezifischen RR mit den Adressen der Internet-Dienste verwiesen. URI Ein derartiger RR wird als NAPTR-RR (Naming Authority PoinTeR) bezeichnet. ENUM-URI kann daher als „Adresse“ einer Datei mit mehreren NAPTR-RRs im ENUM-DNS-Raum angesehen werden. Dieses Prinzip entspricht weitgehend dem in Abbildung 4.1-3 gezeigten Konzept der inversen Auflösung einer IP-Adresse auf einen Hostnamen. T e le fo n n u m m e r + 4 9 8 9 7 6 1 2 3 4 4 .3 .2 .1 .6 .7 .9 .8 .9 .4 .e 1 6 4 .a r p a E N U M -U R I
...
...
a rp a e 1 6 4 .a r p a 1 0 0
1
2
3 0
4
...
...
d e
...
E N U M -D N S
4 3
2
R o o t
5 5
6
1
6
3
E N U M -D a te i
T ie r 0 9
T ie r 1 D E N IC 9
8 7
2
8 7
4
h s - f u ld a .d e
5
6
7
8
9 T ie r 2
E -M a il V o IP
N A P T R : 4 5 4 7 @ h s - f u ld a .d e N A P T R : p a w a @ h s -fu ld a
Abb. 4.1-8: Aufbau der Domain e164.arpa und die Bedeutung von ENUM-URI
Die Verantwortung für die Subdomain 9.4.e164.arpa der zweiten Ebene des ENUM-Namensraums (Tier 1), die den Rufnummern mit der nationalen Vorwahl von Deutschland (49) entspricht, hat die DENIC übernommen. Mit dem in RFC 2915 vorgestellten und in den RFCs 3403 und 3404 präziser NAPTR-RR gefassten NAPTR-RR von TYPE = 35 wird ein Resource Record eingeführt, der eine flexible Nutzung des Teils RDATA [Abschnitt 4.1.4] ermöglicht. Die Flexibilität geht so weit, dass nicht nur konstante Zeichenketten, sondern insbesondere auch sog. Regular Expressions genutzt werden können.
182 RDATA im NAPTR-RR
4
DNS und DHCP
Der Teil RDATA im NAPTR-RR weist die folgende Struktur auf: ORDER: Reihenfolge, nach der die NAPTR-RRs zur Verarbeitung ausgewählt werden sollen. Ein NAPTR-RR mit einem kleineren ORDER-Wert wird gegenüber einem anderen NAPTR-RR mit einem größeren ORDER-Wert bevorzugt. PREFERENCE: Vergleichbar der Präferenz im MX-RR. Mit REFERENCE wird bei gleichem ORDER-Wert die Präferenz des RR festgelegt. FLAGS: Mit FLAG wird angegeben, wer ein NAPTR-RR liefert. Derzeit werden die Flags A, S, U und P spezifiziert. Der NAPTR-RR liefert bei: − A: einen Hostnamen (als A-Name); als nächstes wird A-, oder AAAA-RR abgefragt. − S: einen Service; als nächstes wird SRV-RR abgefragt. Mit SRV-RR [RFC 2782] können
− −
bestimmte Services in einer Domain angegeben werden. U: einen URI; als nächstes wird die IP-Adresse z.B. eines IP-Telefons, eines WebServers bzw. eines E-Mail-Servers angegeben. P: Applikations-spezifische Information.
SERVICES: Angabe des Dienstes, wie z.B. IP-Telefonie (tel+E2U), E-Mail (mailto+E2U). Mit E2U wird hier auf die URI-Auflösung hingewiesen. REFEXP: Regulärer Ausdruck, in dem ein „Name“ z.B als URI, Hostname, Domainname, der
im nächsten Schritt mit DNS-Hilfe aufgelöst wird. REPLACEMENT: Ersetzungszeichenkette (z.B. Domainname) für den regulären Ausdruck REFEXP; „.“ bedeutet keine Ersetzung.
Beispiel: Die Rufnummer +4989761234 wird auf den folgenden ENUM-URI [Abb. 4.1-8] 4.3.2.1.6.7.9.8.9.4.e164.arpa abgebildet, unter dem beispielsweise folgende NAPTRRRs eingetragen sind: ORDER
PREF
FLAG
SERVICE
REGEXP
REPLACEMENT
IN NAPTR 10 10 "u" "sip+E2U" "!^.*$!sip:[email protected]!" . IN NAPTR 102 10 "u" "mailto+E2U" "!^.*$!mailto:[email protected]!". Nach ORDER und PREF werden die Lookups vorgenommen. Zuerst wird „Internet-Telefonie mit SIP“ in Anspruch genommen, sodass zuerst der SIP-URI [email protected] auf die IP-
Adresse des IP-Telefons aufgelöst wird. Sollte die Nutzung dieses Dienstes nicht möglich sein, dann soll eine E-Mail gesendet und die Adresse [email protected] auf die IP-Adresse des EMail-Servers aufgelöst werden.
4.1.8 Domain Name Registrare und dynamisches DNS Die Registrierung von Domainnamen findet heute nicht direkt über IANA statt, sondern über nachgelagerte Organisationen und spezielle DNS-Registrare. Abhängig davon, welches Domain-Suffix angefordert wird, findet eine Preisstellung statt, wobei in der Regel eine Domain für ein Jahr geordert wird. Die Bestellung einer Domain ist – wie aus Abbildung 4.1-4 ersichtlich – äquivalent mit dem Eintrag eines entsprechenden NS-RR, der den FQDN des für die Zone verantwortlichen Nameservers enthält und damit auf ihn verweist. Arten von Domains
Die Existenz einer Domain ist aber nicht gleichbedeutend mit der Existenz eines IP-Netzes; vielmehr können mehrere Arten von Domains unterschieden werden:
4.1 Domain Name System
183
Vollqualifizierte Domain mit eigenem IP-Netz und selbstverantwortlich betriebenem Nameserver (z.B. hs-fulda.de). Eingeschränkt qualifizierte Domain; hier existiert nur eine oder wenige IPAdresse(n) für die Domain, an die die Internet-Dienste (via CNAME) gebunden ist/sind (z.B. mail.fehcom.de, www.fehcom.de). Typischerweise ist dies der Fall bei ausgelagerten Root-Servern, die von verschiedenen Betreibern angeboten werden. In der Regel wird dann ein gemeinsamer Nameserver genutzt, der Zonendateien für alle gehosteten Domains besitzt. Temporär genutzte Domains, die vor allem zum Versand von Werbe-EMails – auch von Spams – herangezogen und anschließend wieder gelöscht bzw. freigegeben werden. Unqualifizierte Domains, bei denen zwar der Name „bestellt“ wurde und Domain somit vergeben ist, die aber absichtlich nicht betrieben, sondern lediglich Grabbing weiterverkauft werden. Man spricht hierbei von Domain Grabbing. Dynamisch (d.h. mittels DynDNS) generierte (Sub-)Domains mit (periodisch) wechselnden IP-Adressen. Um festzustellen, welche Domainnamen vergeben sind bzw. wer der verant- Whois wortliche Betreiber der Domain ist, wird von regionalen DomainnamenBetreibern (z.B. DENIC) ein sog. Whois Lookup-Mechanismus zur Verfügung gestellt [http://www.denic.de/de/whois/index.jsp]. Insbesondere die administrativen, technischen und DNS-Zone-spezifischen Ansprechpartner werden dort hinterlegt (Einträge: admin-c, tech-c, zone-c). Hierbei ist zu beachten, dass der Eintrag admin-c die rechtliche Verantwortung für den Betrieb der Domain trägt. Ohne Bindung an einen Root-Server-Betreiber, in der Regel aber auch ohne ei- DynDNS genen Domainnamen, kann beispielsweise der eigene Web-Server öffentlich erreichbar gemacht werden, indem die (teilweise kostenlosen) Dienste von Anbietern dynamischer DNS-Registrare genutzt werden, z.B. DynDNS.org. Nach der persönlichen Anmeldung bei einem dieser Dienste sind folgende Schritte notwendig: Die eigene Domain (z.B. mydomain) wird als Subdomain von dyndns.org angemeldet. Teilweise ist hierbei die Nutzung von (virtuellen) Hostnamen oder auch Wildcards möglich, sodass ein typischer FQDN www.mydomain.dyndns.org lauten würde. Auf dem heimischen Rechner, der in der Regel via DSL über einen anderen Provider am Internet angeschlossen ist, wird ein DynDNS-Client installiert. Dieser Client „detektiert“ die vom Internet-Provider (temporär) vergebene IP-Adresse und meldet sie an den Nameserver z.B. von DynDNS.org, wo der konfigurierte FQDN unter der erkannten Adresse (dynamisch) registriert wird. Ferner überprüft der Client die ihm zugewiesene Adresse in regelmäßigen Abständen und sendet ggf. Updates. Hintergrund hierfür ist, dass in der Regel die zugewiesene öffentliche IP-Adresse zeitlich begrenzt vergeben wird und das Lease normalerweise nach 24 Stunden abläuft [Abschnitt 4.2.2]. Sofern über den heimischen Router bzw. die Firewall der entsprechende TCP-Port (HTTP: 80) freigeschaltet ist, kann nun der Web-Server via NAT vom Internet aus unter der FQDN
184
4
DNS und DHCP www.mydomain.dnydns.org erreicht werden. Bestehende Verbindungen brechen allerdings beim Wechsel der IP-Adresse durch den Internet-Provider naturgemäß ab.
Das Aufsetzen und Betreiben von DynDNS geschieht ausschließlich auf Basis der DNS-betreffenden RFCs. Von Bedeutung ist hierbei nur die Bereitstellung des DynDNS-Clients bzw. die periodische Änderungen der Zonendatei. Allerdings ist bei der Registrierung (bzw. Modifikation und Löschung) eines Eintrags das DynDNS-Protokoll [RFC 2136] nützlich. Hier kann ein ganzes Resource Record Set in einem Schritt konsistent (und atomar) geändert werden.
4.1.9 DNS Security (DNSSEC) Entwicklung von DNSSEC
DNSSEC ist eine Erweiterung von DNS, um die Sicherheit von DNS bei verschiedenen bösartigen Angriffen zu gewährleisten. Mit DNSSEC sollen vor allem die in RFC3833 dargestellten Sicherheitsschwachstellen beseitigt werden. Die Entwicklung von DNSSEC hat bereits vor mehr als zehn Jahren begonnen und die Ergebnisse wurden in zahlreichen RFCs – wie z.B. RFC 2535, 3008, 3090, 3225, 3445, 3655, 3658, 3755, 3757, 3845, 3848 – erfasst, sodass das Konzept von DNSSEC schließlich fast nicht mehr nachvollziehbar war. Um diesen Missstand zu beseitigen, hat die IETF im März 2005 die drei RFCs 4033, 4034 und 4035 als Festlegung von heute relevanten Ergebnissen der DNSSEC-Entwicklung veröffentlicht. Die in dieser RFC-Trilogie dargestellte Version von DNSSEC ist inzwischen unter dem Namen DNSSECbis bekannt.
Sicherheitsmittel
Die Frage der DNS-Sicherheit stellt sich besonders im Hinblick auf die Datenübermittlung. Im Gegensatz zu z.B. HTTPS, wo explizit eine Verschlüsselung der zu übermittelnden Daten mittels TLS möglich ist, wird dieser Weg bei DNSSEC ausgeschlossen: Die Datenübermittlung findet bei DNS (als auch bei DNSSEC) immer unverschlüsselt statt. Zur Sicherstellung der Integrität von DNS-Daten bleibt nur der Weg, sie mittels einer Hash-Funktion zu signieren. Zur Sicherstellung der Authentizität der empfangen Daten muss der Sender (Content-Server) gegenüber einer dritten Instanz – und zwar dem übergeordneten Nameserver – validiert werden.
Sicherheitsziele
Mit DNSSEC werden Sicherheitsziele verfolgt:
Sicherheitsfunktionen
Sicherstellung der Authentizität: Stammen die angebotenen DNS-Daten tatsächlich vom autoritativen DNS-(Content-)Server bzw. ist die Partner-DNSInstanz wirklich der wahre Kommunikationspartner? Sicherstellung der Integrität: Sind die empfangenen DNS-Daten korrekt – d.h. nicht gezielt verfälscht – bzw. handelt es sich wirklich um jene, die vom Content-Server bereitgestellt werden? DNSSEC realisiert die folgenden Sicherheitsfunktionen: Integrität des Zonentransfers mittels AXFR und IXFR (TSIG, SIG0).
4.1 Domain Name System
185
Signieren von Resource Records (RRSIG, DNSKEY, NSEC, DS). Ablegen von Zertifikaten (CERT) und SSH Fingerprints (SSHFP) im DNS. Typische Bedrohungsszenarien bei DNS Die Paradigmen, die als Ausgangspunkte für die Konzeption von DNSSEC dienten, werden nun näher erläutert. Diese in Abbildung 4.1-9 gezeigten Paradigmen – und die von DNSSEC bereitgestellten Lösungen – fußen weniger auf Schwächen des DNS-Protokolls im allgemeinen, sondern reflektieren eher die gängige DNS-Praxis, die heute immer noch von BIND dominiert wird.
D y n a m ic U p d a te s
P rim ä re r N a m e n s e rv e r Z o n e n -D a te i Q u e ry / R e sp o n se (s) 2 1 Z o n e n 1 T r a n s fe r
C a c h e R e s o lv e r
3
S e k u n d ä re N a m e n se rv e r
A n d e re r N a m e n se rv e r
Q u e r y /R e s p o n s e 1
U n e a u f 2 U n a 3 C a c
S tu b R e s o lv e r
rla u b te r Z u g riff Z o n e n d a te n u th o ris ie rte U p d a te s h e P o llu tio n
Abb. 4.1-9: Typische Bedrohungsszenarien bei DNS-Anwendungen Die Daten können während eines Zonetransfers verfälscht werden. Ein Angreifer – als MitM (Man in the Middle) – kann die zwischen primärem und sekundärem Nameserver transportierten DNS-Daten aufzeichnen und gezielt verfälschen. Er kann auch versuchen, den primären Nameserver, in dem er RRs fälschen möchte, unter seine Kontrolle zu bringen. Als Folge davon kann er z.B. auf die sicherheitsrelevanten RRs zugreifen. Um dies zu verhindern, müssen einerseits die Zonendaten verschlüsselt übertragen werden und andererseits müssen sich die beiden Nameserver – der primäre und der sekundäre – entsprechend gegenseitig authentifizieren.
Unautorisierte Updates
Eine Verminderung der Cache-Pollution (Poisoning) von DNS-Informationen erfordert eine durchgängige DNSSEC-Infrastruktur. Solange die DNS-Resolver nicht dazu veranlasst werden, die Information „offener“ Name-Server zu missachten, kann Cache-Pollution nicht unterbunden werden, da natürlich auch ein per DNSSEC abgefragter Name-Server „vergiftete“ DNS-Records beinhalten kann.
Cache Pollution
Prinzipiell kann die Kommunikation zwischen Stub-Resolver und Cache auch durch eine starke Verschlüsselung geschützt werden, was ein IP-Adress-Spoofing ausschließen würde. Bei einem sorgfältig aufgesetzten externen DNS-Dienst [vgl. 4.1-11] lässt sich diese Gefahr aber praktisch auf Null reduzieren; zudem ist jede Art der Verschlüsselung rechenintensiv und damit kostspielig, insbesondere bei asymmetrischen Verfahren.
IP-Spoofing
DNS-Erweiterung zu DNSSEC Zur Sicherstellen des Zonentransfers stehen TSIG [RFC 2845, 3645] als symmetrisches (Shared Secret) Verfahren und SIG0 [RFC 2931, 4031] als unsymmetrisches (Private Key/Public Key)
Verfahren
Was wurde eingeführt?
186
4
DNS und DHCP
zur Verfügung, die sowohl für inkrementelle Updates als auch für den regulären Zonentransfer angewendet werden können. Die DNS-Erweiterung zu DNSSEC nach RFC 4034 besteht hingegen darin, dass vier neue RRs – d.h. DNSKEY, RRSIG, NSEC und DS – eingeführt wurden, der EDNS OPT-RR um das D0-Bit erweitert und zusätzlich der DNS-Header um die AD- und CD-Flags ergänzt wurde [Abb. 4.1-6]. Die DNSSEC-spezifischen RRs nach RFC 4034 sind: DNSKEY-RR
DNSKEY-RR wird zur Speicherung eines öffentlichen Schlüssels (Public
Key) einer Zone verwendet. Der private Schlüssel der Zone wird geheim gehalten. Dem DNSKEY-RR fallen zwei unterschiedliche Aufgaben zu: − Zone Signing Key (ZSK): Die RRs in der Zone werden mittels des Private Key signiert und können über den Public-Key aus DNSKEY-RR verifiziert werden. − Key Signing Key (KSK): Die Schüssel der untergeordneten Zonen werden ebenfalls (mit ggf. unterschiedlichen) Private Keys beglaubigt. Sind die verwendeten Schlüssel unterschiedlich, existieren getrennte DNSKEY-RR. Hierdurch baut DNSSEC eine sogenannte Chain of Trust auf, die – theoretisch, beginnend bei den Root-Servern – eine durchgehende DNS-Sicherheitsinfrastruktur bilden soll. Angaben in DNSKEY-RR: NAME = Domainname (Zone), TTL, CLASS=IN, TYPE=48, RDATA, wobei RDATA = . Es ist immer Protocol = 3. Als Algorithm wird ein Public-Key-Algorithm angegeben. Public Key stellt den öffentlicher Schlüssel der in NAME angegebenen Zone. RRSIG-RR
Bei DNSSEC wird die Public-Key-Kryptografie verwendet, um die RRs mithilfe von RRSIG-RR (Resource Record SIGnatur) zu signieren. Da die Berechnung der digitalen Signatur rechenintensiv ist, sollte sie nicht von jedem einzelnen RR berechnet werden, sondern aus allen RRs einer Gruppe mit dem gleichen Typ. In einer Zonendatei kann in jedem RRSet dem Typ nach ein RRSIG-RR mit seiner Signatur abgelegt werden. Im Sonderfall, wenn nur ein RR eines Typs in einer Zonendatei vorhanden ist, „reduziert“ sich RRSet zu einem RR. Der RRSIG-RR dient zur Authentifizierung von RRSet und in Sonderfällen auch von einzelnen RRs. Angaben in RRSIG-RR: NAME = Hostname (FQDN), TTL, CLASS=IN, TYPE=44, RDATA, wobei RDATA = . Type Covered repräsentiert TYPE des einzelnen RR bzw. des RRSet vom gleichen TYPE, aus dem die Signatur berechnet wird. Algorithm identifiziert den Public-KeyAlgorithm. Signature stellt die Signatur des im Teil Type Covered angegebenen RR dar.
NSEC-RR
NSEC-RR (Next SECure) dient dazu, dem DNS-Client anzuzeigen, welcher nächste Domainname mittels RRSIG-RR abgedeckt wird.
4.1 Domain Name System
187
Angaben in NSEC-RR: NAME=Hostname, TTL, CLASS=IN, TYPE=47, RDATA, wobei RDATA = . Die Angabe Type Bit Maps teilt mit, welche RR-Typen im nächsten via RRSIG abgesicherten RRSet zu finden sind. Bezieht sich (im Rahmen der canonical order) das nächste RRSet auf eine untergeordnete Domain, wird alternativ der zugehörige NS als Next Domain Name referenziert. Wird hingegen das letzte signierte RRSet angegeben (und ist somit die Signierung einer Domain komplett), ist der Name der originären Domain zurückzugeben (RFC 4034 nennt sie Apex). Hiermit wird dem DNS-Client signalisiert, dass keine weiteren RRSets für diese Domain zu erwarten sind. Im Gegensatz zu RFC 1034 umfassen NSEC RRs auch CNAME-Records; ferner werden Wildcard RRs „als solche“ aufgefasst, d.h. nicht aufgelöst.
DS-RR (Delegation Signer) ist dafür gedacht – vergleichbar dem NS-RR – DS-RR eine Delegation zum DNSKEY-RR der nachgeordneten Zone darzustellen. Damit die Zuordnung von DS- zu RRSIG-RR nachvollziehbar und eindeutig ist, umfasst der DS-RR die Angaben Key-Tag, den Algorithm sowie einen typischerweise mittels SHA-1 gebildeten Hashwert – als Digest – des untergeordneten DNSKEY-RR. Angaben in DS-RR: NAME=Hostname (FQDN), TTL, CLASS=IN, TYPE=47, RDATA, wobei RDATA = .
Mit der Einführung sowohl von TSIG-RR (Transaction SIGnature) [RFCs 2845, TSIG-RR 3645] als auch von SIG0-RR (SIGnature) sollte die Integrität der übermittelten DNS-Daten zwischen Partnern durch eine Hashfunktion sichergestellt werden (Transaction Security). Bei TSIG-RR wird der Hashwert mittels der zusätzlichen Informationen Shared-Secret (Private Key), Zeitstempel und natürlich Nutzdaten entsprechend dem Algorithmus HMAC-MD5 gebildet und in die Additional Section der DNS-Nachricht eingetragen. Bislang wurde gesagt, dass RRs persistent in der Zonendatei gespeichert werden. Dies ist aber bei TSIG-RR nicht der Fall. TSIG-RR wird während der Verarbeitungszeit zur Sicherstellung der Übermittlung der eigentlichen Nutzinformation gebildet, sodass man auch von einem Meta-RR spricht. Angaben in TSIG-RR: NAME=Hostname (FQDN), TTL=0, CLASS=ANY, TYPE=47, RDATA, wobei RDATA = < Algorithm Name, Time Signed, Fudge, MAC Size, MAC, Original ID, Error, Other Len, Other Data>.
SIG0-RR ist ein spezieller RRSIG-RR (in RCF 2535 bezeichnet als SIG-RR), SIG0-RR bei dem die meisten Bits auf 0 gesetzt sind, eben SIG0. Zunächst wird die Query mit einem SIG0-RR in der Additional Section signiert. Der ant-
wortende Nameserver nimmt anschließend diese Query sowie die zur Verfügung stehenden Daten (z.B. bei einem Zonentransfer), um sie zu signieren. Im Gegensatz zu TSIG-Verfahren muss kein Shared Secret ausgetauscht werden, sondern nur der jeweilige Public Key des Partners bekannt sein, was ja durch DNSSEC gegeben ist. Bemerkung: DNSSEC schließt aber explizit die Bereitstellung einer Public Key Infrastructure (PKI) auf DNS-Basis aus, obwohl einige Mittel hierzu bereitgestellt werden.
188
4
DNS und DHCP
4.1.10 DNS für IPv6 Für die Auflösung von Hostnamen auf IPv6-Adressen wurde zunächst lediglich ein neuer Resource Record AAAA (Quad-A RR) vorgesehen und zusätzlich eine neue SLD ip6.int für die inverse Auflösung, d.h. von IPv6-Adressen auf Hostnamen, deklariert. A6 vs. AAAA
In RFC 2874 wurde neben dem neuen RR-Typ A6 (der eine „Bitlabe“ Repräsentierung der IPv6Adresse enthält) und einer alternativen SLD ip6.arpa für die inverse Adressauflösung auch ein neuer Alias-Mechanismus propagiert: DNAME. Gegen diese häufig auch als DNSv6 bezeichneten Änderungen des DNS fand ein (begründetes) Aufbegehren statt, sodass die DNS-Operabilität infrage gestellt wurde und aufgrund der Inkompatibilitäten von AAAA-RR und A6-RR zudem die zaghafte Verbreitung von IPv6-Adressen über das DNS unterlaufen wurde.
ip6.int vs. ip6.arpa
Schließlich wurde in RFC 3152 die Nutzung der SLD ip6.arpa favorisiert, da diese neue Domain unter der bewährten TLD arpa aufgehoben ist. Ferner bewertete RFC 3364 die unterschiedlichen RRs A6 und AAAA und empfahl die Nutzung von AAAA-RR für IPv6.
DNS- Ergänzungen für IPv6
Für die Propagierung von IPv6-Adressen mittels des DNS sind folgende Ergänzungen notwendig: Der Zusammenhang von Domainname und IPv6-Adresse wird über den AAAA-RR hergestellt [Tab. 4.1-1]. Die Beheimatung der inversen IPv6-Adresse findet unter der SLD ip6.arpa statt. Der zugeordnete RR-Type ist PTR (ebenfalls wie bei IPv4). Für die Abbildung der inversen IPv6-Adresse verwendet man das sog. Nibble-Format. Aus der IPv6-Adresse 2001:0638:03F0:C214:18CB:1483:2A47
wird daher die Nibble-Darstellung 7.4.A.2.3.8.4.1.B.C.8.1.4.1.2.C.0.F.3.8.3.6.0.1.0.0.2.ipv6.arpa NibbleDarstellung
Abbildung 4.1-10 illustriert den Aufbau der Domain ip6.arpa und die inverse Darstellung der IPv6-Adresse im Nibble-Fomat.
1
0
...
0
0
2
...
...
...
...
ip 6 .a r p a F
N e tz p rä fix :
F
Z o n e : 0 .F .3 .0 .8 .3 .6 .0 .1 .0 .0 .2 .ip 6 .a r p a
F ...
0 0
3
...
2 0 0 1 :0 6 3 8 :0 3 F 0 :://4 8
F
0 .F .3 .0 .8 .3 .6 .0 .1 .0 .0 .2 .ip 6 .a r p a 8 .6 .0 .2 .6 .2 .7 .E .F .1 .0 .A .1 .7 .0 .1 7 .4 .A .2 .3 .8 .4 .1 .B .C .8 .1 .4 .1 .2 .C ...
F
IN IN
P T R P T R
a lf a .x y z .a b c .d e b e ta .x y z .a b c .d e
Z o n e n d a te i (Z o n e file )
Abb. 4.1-10: Domain ip6.arpa zur Abbildungen der inversen IPv6-Adressen für die Rechner alfa.xyz.abc.de und beta.xyz.abc.de
4.1 Domain Name System
189
Beispiel: Der Name-Server SN1 der Domain abc.de kann folgende Zonen-Einträge haben: abc.de IN NS ns1.abc.de ns1.abc.de IN A 128.154.191.75 ns1.abc.de IN AAAA 2001:638:3F0:14:18:1483:2A47 75.191.154.128.in-addr.arpa IN PTR ns1.abc.de 7.4.A.2.3.8.4.1.B.C.8.1.4.1.2.C.0.F.3.8.3.6.0.1.0.0.2.ipv6.arpa IN PTR ns1.abc.de abc.de IN MX 5 smtp01.abc.de smtp01.abc.de IN A 128.154.191.80 smtp01.abc.de IN AAAA 2001:638:3F0:14:29:1484:3baa
Da sich bei IPv6 die Namens- und Adressauflösung der gleichen Verfahren wie IPv6 Support bei IPv4 bedient, sind die Anforderungen zur Unterstützung von IPv6 im DNS für Resolver minimal und beim Stub-Resolver lediglich eine Bewertung der einlaufenden Informationen: Content- und Proxy-Server hingegen können die vorliegenden Informationen im Grunde transparent weiterreichen. Häufig wird der Vorschlag gemacht, die IPv6-Rechner über einen dedizierten IPv6-Nameserver (in einer IPv6-Sub-Domain) bekannt zu machen und somit die Adressräume komplett zu trennen. Für die weitere Verbreiterung von IPv6 ist dies jedoch kontraproduktiv, da ja gerade die Anforderung besteht, eine Konvergenz der Netze durchzuführen. Die einzige Ausnahme hierzu liegt dann vor, wenn zunächst eine IPv6-Testphase angedacht ist und zunächst keine IPv6-Adressen per DNS-Lookup nach außen gegeben werden sollen, weil z.B. die Firewall noch nicht entsprechend angepasst wurde. Dies ist dann aber ein Problem des generellen IPv6-Einsatzes und nicht des DNS. Wie auch bei DNSSEC ist die IPv6-Unterstützung im Wesentlichen durch den ImplementieResolver bzw. den Cache-Server bedingt: Die heutigen Implementierungen rungsaspekte (libresolv) gehen folgendermaßen vor: Werden beim Lookup des A-RR sowohl die IPv4-als auch die IPv6-Adresse angeboten, hat die IPv6-Adresse Vorrang. Werden für einen Domainname bzw. einen Nameserver beide IP-Adressen angeboten, versucht der Resolver, die Verbindung zum Nameserver sowohl über das IPv4- als auch das IPv6-Netz zu erreichen. Liegt keine IPv6-Konnektivität vor, läuft diese Query gegen ein (unkritisches) Timeout. Aufgrund des negativen Cachings hat der Cache-Server gelernt, bei allen weiteren Anfragen auf die IPv6-Abfrage zu verzichten (NXDOMAIN). Für den Stub-Resolver im IPv6-Client ist der Weg, über den die Namensauflösung erfolgte, sowieso irrelevant. Ob der Stub-Resolver die Information (lokal) über IPv4 oder IPv6 bezieht, hängt davon ab, welche Netzinfrastruktur der Cache-Server unterstützt. Dies ist also keine technische, sondern eine administrative Frage [Abb. 4.1-11].
190
4
DNS und DHCP
Wird vom Cache-Server sowohl eine IPv4- als auch IPv6-Adresse für den nachgefragten Hostnamen angeboten, werden beide Adressen an die aufrufende Applikation weitergereicht. Wie diese dann mit den angebotenen Adressen umgeht, ist natürlich vom DNS-Lookup entkoppelt.
4.1.11 DNS und Internet-Anbindung Praktisch alle privaten IP-Netze sind heute mit dem Internet verbunden, um auf die externen Ressourcen im globalen Netz zuzugreifen (z.B. Web-Anwendungen). Dies erfordert jedoch eine sorgfältige Planung, um potenzielle Sicherheitsrisiken zu vermeiden, die durch das Öffnen des privaten Netzes für „fremde“ Benutzer entstehen können. FirewallEinsatz
Eine häufige Schutzmaßnahme ist der Einsatz einer Firewall. Darunter versteht man einen Rechner oder Router, der als konfigurierbarer Paketfilter für bestimmte IP-Pakete fungiert. Häufig findet nicht nur eine Firewall Einsatz, sondern es werden eine interne und eine externe Firewall aufgesetzt. Das Netz zwischen beiden Firewalls bezeichnet man als DeMilitarized Zone (DMZ). Dort werden die wichtigen aus dem Internet zugänglichen Server untergebracht.
Forwarding Proxy-NS
Abbildung 4.1-11 zeigt eine Lösung, in der ein Unternehmensnetz in zwei logische Teile aufgeteilt wurde: das geschützte interne Unternehmensnetz (Intranet) sowie die aus dem Internet kontrolliert zugängliche DMZ. Der Intranet enthält den internen Nameserver, der ausschließlich für die interne Kommunikation gebraucht wird. Der externe Nameserver ist hingegen öffentlich zugänglich und wird für Abfragen aus dem Internet in Anspruch genommen. Zugleich fungiert der gleiche Rechner als externer forwarding-only Nameserver bzw. Proxy. M a ilS e rv e r
In te rn e r N a m e se rv e r + P ro x y
Ö ffe n tlic h e r N a m e se rv e r + F o rw a rd e r
In tra n e t D a te n S e rv e r
In te rn e r W e b -S e rv e r
R o u te r + F ire w a ll
D M Z Ö ffe n tlic h e r W e b -S e rv e r
U n te r n e h m e n sn e tz
In te rn e t R o u te r + F ire w a ll
Abb. 4.1-11: Einsatz von Nameservern bei der Intranet/Internet-Anbindung
191
4.1 Domain Name System
Wie hier zu sehen ist, schützt die Firewall den internen Netzteil gegen Zugriffe DNS-Server durch die „fremden“ Benutzer aus dem Internet, wobei den Rechnern im inter- und Firewall nen Netzteil der Zugriff auf Ressourcen im Internet gewährt wird. In Abbildung 4.1-11 sind die DNS-Dienste für die externen und internen Netzwerke vollständig voneinander getrennt: DNS-Anfragen von internen Rechnern hinsichtlich interner Ressourcen im Split Horizon Intranet werden direkt über den internen Nameserver abgewickelt (und zudem ggf. über den Proxy-Nameserver gecached). Daher wird die Firewall überhaupt nicht einbezogen. Man spricht hierbei vom Split Horizon. DNS-Anfragen bezüglich Adressen im Internet werden zweistufig beant- Proxywortet: Sie werden zunächst an den internen Proxy-Nameserver weitergelei- Nameserver tet, der dann den externen Forwarding-only Nameserver kontaktiert, der an eine IP-Adresse der DMZ gebunden ist. Dessen Aufgabe es ist nun, die entsprechende Namensauflösung vorzunehmen, wobei die DMZ IP-Adresse per NAT [Abschnitt 5.1] auf eine öffentliche IP-Adresse abgebildet wird. Auf dem gleichen Rechner arbeitet zugleich (auf der öffentlich zugänglichen IPAdresse) der Content-Server des Unternehmens, der seinerseits allgemeine DNS-Anfragen aus dem Internet beantwortet. Die Firewall wird hierbei so eingerichtet, dass keine DNS-Abfragen aus Firewall dem Internet ins Intranet gelangen, und im Gegenzug nur die Namensauflösung zwischen dem internen und dem externen Proxy-Nameserver gestattet ist. Damit wird zugleich verhindert, dass DNS-Abfragen von Rechnern im Intranet ins Internet gelangen. Ein Content-Server, der nicht über das „öffentliche“ DNS erreichbar ist, z.B. weil er sich in einem privaten Netzteil befindet oder der Zugang über den DNS-Port 53 per Firewall eingeschränkt ist – aber unter Umständen dennoch für die Namensauflösung genutzt werden kann (so man seine Adresse kennt) –, wird Stealth-Server genannt. Besitzt ein Stealth-Server eine öffentliche IP-Adresse, kann er durchaus als primärer Nameserver fungieren.
StealthServer
Ein spezielles Merkmal geschlossener DNS-Proxies ist es, den Clients spezifische Views des DNS-Namensraums zur Verfügung zu stellen. Der z.B. in Abbildung 4.1-12 dargestellte, per Firewall abgeschottete interne Proxy greift neben den Daten des öffentlichen DNS auf den privaten DNS-Bereich zu und bietet diese Informationen als View den abfragenden Clients an. Dieses auch als Split-Horizon bekannte Verfahren bietet sich immer dann an, wenn ein Proxy-Server als Cache der internen und öffentlichen DNS-Information dient.
Proxy-Views
4.1.12 Internationalisierung des DNS (IDN) Domainnamen waren bislang auf die wenigen ASCII-Zeichen (unabhängig von Groß- und Kleinschreibung) beschränkt. Bereits die schreibgetreue Darstellung einer wichtigen Domain wie das-örtliche.de scheitert daran. Mit der in RFC 3490 gezeigten Lösung sollte diese Einschränkung aufgehoben werden:
192
4
DNS und DHCP
Es soll daher möglich sein, alle Sprachen und alle kalligrafischen Zeichen im DNS transparent auf Anwenderebene verfügbar zu machen, ohne dass Nameserver und Resolver spezifisch angepasst werden müssen, die vorhandene Beschränkung der Länge eines Labels – als Teil eines Domainnamens – von maximal 63 Zeichen soll durch eine spezifische Kodierung der Sonderzeichen (sog. Punycode) gewährleistet werden. Hierbei spricht man vom Internationalized Domain Name (IDN) und den Mechanismus, der zum IDN führt, bezeichnet man als IDNA (Internationalizing Domain Name in Applications). Punycode
Beim IDNA wurde darauf verzichtet, bereits etablierte internationale Zeichenformate wie Unicode (UTF-8, UTF-16, UTF-32) zu verwenden. Vielmehr wurde gemäß RFC 3491 ein sehr komplexes Verfahren gewählt, das keine native Erkennung des DNS-Namens zulässt: IDN DomainLabels beginnen mit dem ACE-Präfix (ASCII Compatible Encoding) xn-- und danach kommt eine Zeichenkette in komprimiertem Format. Als Folge hiervon können z.B. Domains wie dasoertliche.de und das-örtliche.de existieren, die jeweils auf unterschiedliche Betreiber weisen (sofern keine Markenrechte verletzt werden).
Risiken infolge von IDN
Um so gravierender sind die Probleme, wenn hebräische bzw. arabische Schriftzeichen verwendet werden. Wie soll z.B. die Nachrichtenagentur Al-Dschasira im Web gefunden werden können? Was für den nationalen Anwender möglicherweise eine erhebliche Vereinfachung darstellt, ist ohne Meta-Verzeichnis kaum mehr auffindbar. Die Kontrolle des DNS-Namensraums geht verloren. Zudem eröffnet die Möglichkeit der Nutzung kalligrafisch nahezu gleicher Zeichen auf Anwenderebene (z.B. griechisch α) eine hervorragende Ausgangsbasis für mögliche PhishingAngriffe: You never get what you see!
4.2 BOOTP als DHCPVorgänger
Dynamische Adressvergabe mit DHCP
Zwar kann das DHCP (Dynamic Host Configuration Protocol) als Nachfolger von BOOT Protocol angesehen werden, das ursprünglich entwickelt wurde, um Rechner (z.B. PCs) ohne Festplatte als Endsysteme in IP-Netzen zu starten und automatisch zu konfigurieren, seine heutige Bedeutung liegt jedoch darin, Endsysteme bzw. Router, die beispielsweise via DSL oder WLAN am Internet angebunden sind, mit offiziellen IP-Adressen und einigen Konfigurationsparametern auszustatten, Rechner in lokalen und internen Netzen (oft) mit privaten (nicht-routingfähigen) IP-Adressen und einigen Konfigurationsparametern zu versehen.
Zuweisungsregeln
Die Vergabe der IP-Adresse pro DHCP-Client erfolgt aus einem Pool von IPAdressen, die der DHCP-Server verwaltet und dem Client nach folgenden Regeln zuweisen kann: Automatische Zuweisung: Dem Client wird eine IP-Adresse zugewiesen, die dieser während seiner Laufzeit, d.h. vom Start der DHCP-Abfrage bis zum Herunterfahren der TCP/IP-Applikation behält.
4.2 Dynamische Adressvergabe mit DHCP
Dynamische Zuweisung: Die IP-Adresse bzw. die gesamte IP-Konfiguration wird für einen bestimmten Zeitraum – die sog. Lease-Dauer – zugewiesen. Nach Ablauf der Lease-Dauer verfällt die Zuweisung der IP-Adresse für den DHCP-Client. Der DHCP-Server kann die IP-Adresse von da ab an einen anderen Client vergeben, typischerweise im Round-Robin-Verfahren. Hierdurch wird gewährleistet, dass nicht wieder die gleiche IP-Adresse demselben DHCP-Client nach Ablauf der Lease-Zeit zugewiesen wird. Die LeaseDauer beträgt in DSL-Netzen typischerweise 24 Stunden. bzw. endet um Mitternacht. Es kann aber auch eine beliebig lange (infinite) Lease-Dauer mitgeteilt werden, z.B. wenn eine IP-Adresse gemietet ist. Manuelle Zuweisung: Hier führt der DHCP-Server eine Zuweisungstabelle der MAC-Adresse des DHCP-Clients und seiner IP-Adresse. Dies stellt sicher, dass der Client immer die gleiche IP-Adresse zugewiesen bekommt und dass nur Rechner mit bekannten und registrierten MAC-Adressen mit IP-Adressen ausgestattet werden. Mit DHCP lassen sich vor allem die mit dem manuellen Konfigurieren von IPAdressen verbundenen Probleme beseitigen . Die erste Version von DHCP wurde bereits Ende 1993 im RFC 1541 veröffentlicht und als Standard im März 1997 durch den RFC 2131 mit einer neuen DHCP-Version abgelöst. Inzwischen wurde RFC 2131 um die RFCs 2132, 3396 und 4361 erweitert. Abbildung 4.2-1a zeigt die Aufgabe von DHCP. a )
S u b n e tz 1 N ic h t-D H C P -C lie n t R o u te r
N e tz 1 D H C P C lie n t IP -A d r. 1
b )
D H C P -C lie n t IP -A d r. 2
S u b n e tz 2
N e tz 2
D H C P -R e la y A g e n t
D H C P S e rv e r
P n b a d r. d r. d r. d r.
n k 1 2 3 4
S u b n e tz 2
S u b n e tz 1 L A N D a te n S e rv e r
D H C D a te IP -A IP -A IP -A IP -A ....
D H C P S e rv e r
R o u te r D H C P -R e la y A g e n t
Abb. 4.2-1: Protokoll DHCP: a) Veranschaulichung der Funktion, b) Einsatz beim Remote-Access auf LAN über ISDN
IS D N D H C P C lie n ts
193
194 DHCPClient/ServerPrinzip
4
DNS und DHCP
DHCP funktioniert nach dem Client/Server-Prinzip. Ein DHCP-Server ist ein Rechner, in dem die zentralen IP-Konfigurationsparameter für die DHCPClients (oft nur innerhalb eines Subnetzes) abgespeichert worden sind. Wird die DHCP-Client-Applikation gestartet, fordert der Client von einem DHCPServer folgende Information an: Obligatorisch: Client IP-Adresse, Lease-Dauer, Identifikation des DHCPServer, wie dies in RFC 2131 festgeschrieben ist.
DHCPRelayAgenten
DHCP beim RemoteAccess
Mandatorisch: Lokation des Boot-Images [RFC 213] sowie die in RFC 2132 festgehaltenen Vendor Optionen gemäß RFC 1497, darin unteren anderen − die IP-Parameter Subnet-Mask, Default-Gateway(s), IP-Forwarding, IPSource-Routing., MTU per Interface, TTL , statische Routen, − die TCP-Parameter wie Keepalive und TTL, − die DNS-Parameter Hostname, Domainname sowie − die Lokation externer Server wie Time-, Log- und Dump-Server. Bei DHCP können auch sog. DHCP-Relay-Agenten implementiert werden. Ein solcher Agent hat die Aufgabe, DHCP-Nachrichten in andere Subnetze weiterzuleiten, die nicht über einen eigenen DHCP-Server verfügen. Ein Relay-Agent wird entweder in einen IP-Router oder in einen für diesen Zweck konfigurierten Rechner implementiert. Der Einsatz von Relay-Agenten hat den Vorteil, dass nicht für jedes Subnetz ein eigener DHCP-Server zur Verfügung gestellt werden muss. Andererseits besteht die Gefahr, dass beim Ausfall eines DHCPServers einige Clients nicht in der Lage sind, am Netzwerkbetrieb teilzunehmen. Es ist deshalb notwendig, immer sowohl redundante DHCP-Server als auch redundante DHCP-Relay-Agenten einzuplanen. Aus diesem Grund lässt DHCP mehrere DHCP-Server sowie mehrere Relay-Agenten zu [Abb. 4.2-3]. Beispiel: Abbildung 4.2-1b illustriert den Einsatz von DHCP beim Remote-Access auf ein LAN über das ISDN. Nehmen wir an, dass es sich um ein großes und bundesweit agierendes Versicherungsunternehmen handelt. Die einzelnen Filialen werden über das ISDN an ein zentrales LAN angebunden. Eine Besonderheit dieser Vernetzung besteht einerseits darin, dass die Anzahl der PCs am ISDN sehr groß ist (z.B. über 500) und dass sie nur sporadisch auf den zentralen Server im LAN des Unternehmens zugreifen. Andererseits ist es nicht sinnvoll, einen DHCP-Server am ISDN zu installieren, sodass die Funktion eines DHCP-Relay-Agenten im Router notwendig ist. Dieses Unternehmen verfügt über einen Pool von IP-Adressen der Klasse C. Falls nur zwei Subnetze organisiert werden, d.h. das LAN an der Zentrale als ein Subnetz und die Remote-PCs am ISDN als weiteres Subnetz, kann die maximale Anzahl von Hosts in jedem Subnetz nur 62 betragen [Tab. 2.4-3]. In diesem Fall könnte folgende Lösung in Frage kommen: Die 62 IP-Adressen werden als Pool von Adressen im DHCP-Server im LAN für Remote-PCs zur Verfügung gestellt und den einzelnen PCs am ISDN nach Bedarf dynamisch zugewiesen. Da die Remote-PCs nur sporadisch auf das LAN zugreifen und die „Belegung“ der IP-Adresse nicht lange dauert, kann man davon ausgehen, dass alle PCs mit den 62 Adressen zufriedenstellend bedient werden.
4.2 Dynamische Adressvergabe mit DHCP
195
4.2.1 Aufbau von DHCP-Nachrichten Zwischen einem DHCP-Client und einem DHCP-Server werden festgelegte DHCP-Nachrichten übermittelt, für die das verbindungslose Transportprotokoll UDP eingesetzt wird. Der DHCP-Client stellt einen Anwendungsprozess in einem Rechner dar und ist über den Well Known Port 68 zu erreichen. Der DHCP-Server ist ein Anwendungsprozess in einem dedizierten Rechner und erreichbar über den Well Known Port 67. Wie Abbildung 4.2-2 zeigt, werden diese Port-Nummern im UDP-Header angegeben. o p
IP
U D P
D H C P -N a c h ric h t
Z ie l-P o rt = 6 7 (= > D H C P -S e rv e r) Z ie l-P o rt = 6 8 (= > D H C P -C lie n t)
h ty p e h le n h o p s x id (4 ) se c s (2 ) fla g s (2 ) c ia d d r (4 ) y ia d d r (4 ) s ia d d r (4 ) g ia d d r (4 ) c h a d d r (1 6 ) sn a m e (6 4 ) file (1 2 8 ) o p tio n s (v a r ia b e l)
Abb. 4.2-2: Struktur von DHCP-Nachrichten (nach RFC 2131) In Klammern ist die Anzahl der Oktette angegeben.
Die folgenden Felder werden in DHCP-Nachrichten verwendet: op (1 Oktett), Operation: Angabe, ob es sich um eine Anforderung (Request) oder eine Ant-
wort (Reply) handelt. htype (1 Oktett): Angabe des Netztyps gemäß RFC 1340 (z.B. 6 = IEEE 802.x-LAN). hlen (1 Oktett): Länge der Hardware-Adresse, d.h. der physikalischen Netzadresse (6 =
MAC-Adresse). hops (1 Oktett). Hier wird die Anzahl von Routern mit der DHCP-Relay-Funktion auf dem Datenpfad zwischen DHCP-Client und -Server angegeben. xid (4 Oktette), Transaktions-ID: Dies ist die Identifikation für die Transaktion zwischen
dem Client und dem Server, um den DHCP-Clients im Server die Antworten zu den richtigen Anforderungen (Requests) zuordnen zu können. Secs (Sekunden): Wird vom Client ausgefüllt und stellt in Sekunden die Zeit dar, die seit
Beginn des Vorgangs abgelaufen ist. flags: Das höchstwertige Bit dieses Feldes zeigt an, ob ein Client in der Lage ist, die IPPakete zu empfangen. Ist dies der Fall, verfügt der Client noch über eine gültige IP-Adresse. Die restlichen Bits dieses Feldes werden z.Z. nur auf 0 gesetzt und sind für zukünftige Zwecke reserviert. ciaddr (Client-IP-Adresse): Wird vom Client angegeben, falls er eine IP-Adresse besitzt.
DHCPNachrichtenfelder
196
4
DNS und DHCP yiaddr (4 Oktette), Your-IP-Adresse: Hier wird die IP-Adresse eingetragen, die der Server dem Client zugewiesen hat. siaddr (Server-IP-Adresse): Hier wird die IP-Adresse des Servers angegeben (z.B. in der Nachricht DHCP-OFFER), der bei der nächsten Anforderung benutzt werden soll. Giaddr: IP-Adresse des Routers mit der DHCP-Relay-Funktion. Chaddr: Client-MAC-Adresse. Sname (Server-Name, optional): Ein Client, der den Namen eines Servers kennt, von dem er
Konfigurationsparameter haben will, trägt hier diesen Namen ein und stellt somit sicher, dass nur der angegebene Server auf seine Anforderung antwortet. file (optional): Der File-Name ist ein alphanumerischer String (Zeichenfolge). Diese Angabe ermöglicht es einem DHCP-Client, eine bestimmte Datei zu identifizieren, die er vom Server abrufen will. Der Server ist somit in der Lage, die richtige Datei auszuwählen und sie z.B. mittels des Protokolls FTP dem Client zukommen zu lassen. options (optional): Zusätzliche bzw. herstellerspezifische Konfigurationsparameter. Dieses
Feld enthält die sog. DHCP-Optionen, die in RFC 2132 festgelegt werden.
4.2.2 Ablauf des DHCP-Verfahrens Der Einsatz von DHCP zur automatischen Konfiguration von IP-Adressen bedeutet, dass der Benutzer eines Rechners keine IP-Adressen mehr von einem Administrator benötigt. Der DHCP-Server stellt allen DHCP-Clients die erforderlichen Adressen zur Verfügung. Den Ablauf von DHCP bei der Zuweisung der IP-Adresse zu einem Rechner illustriert Abbildung 4.2-3. DHCP lässt mehrere DHCP-Server zu. Ein wichtiger Grund dafür ist die Server-Verfügbarkeit (!). Fällt ein Server aus, werden seine Funktionen automatisch von anderen Servern übernommen. D H C P -S e rv e r A
A n fo rd e ru n g s-P h a se 1
A n g e b o t-P h a s e A u s w a h l-P h a s e B e s tä tig u n g s -P h a s e D H C P -R c h a d d r = sn a m e = A n g e fo r =
E Q U E S T [ a , 3 1 3 1 .1 0 8 .3 .4 2 d e rte IP -A d r 1 3 1 .1 0 8 .5 .2 8 ...]
D H C P -S e rv e r B
IP -N e tz
D H C P -C lie n t
1 3 1 .1 0 8 .3 .4 2 1 2 2
D H C P -D IS C O V E R [ c h a d d r = a , ...]
3 3 4 D H C P -A s ia d d r = y ia d d r = c h a d d r = sn a m e = S u b n e t M L e a se -D
C K [ 1 3 1 .1 0 1 3 1 .1 0 a , 1 3 1 .1 0 a sk = a u e r =
8 .3 .4 2 8 .5 .2 8 8 .3 .4 2 2 5 5 .2 5 5 .2 5 5 .0 7 2 S td ...]
4
1
V o m D H C P -S e rv e r B D H C P -O F F E R [ s ia d d r = 1 3 1 .1 0 8 .3 .4 2 y ia d d r = 1 3 1 .1 0 8 .5 .2 8 2 c h a d d r = a , s n a m e = 1 3 1 .1 0 8 .3 .4 2 S u b n e t M a s k = 2 5 5 .2 5 5 .2 5 5 .0 L e a s e - D a u e r = 7 2 S td ...]
Abb. 4.2-3: Phasen bei der Konfiguration eines DHCP-Clients
O p tio n e n
197
4.2 Dynamische Adressvergabe mit DHCP
Um einem Rechner eine IP-Adresse zuzuweisen, sind vier Phasen nötig: 1. Anforderungs-Phase
DHCPPhasen
Der Client sendet die Nachricht DHCP-DISCOVER in einem IP-Broadcast-Paket (Ziel-IPAdresse = 255.255.255.255) als Anforderung, um von einem Server die benötigten Konfigurationsparameter (IP-Adresse, Subnet Mask etc.) zu bekommen. Die MAC-Adresse des Clients (chaddr [Abb. 4.2-2]) muss unbedingt in DHCP-DISCOVER angegeben werden. Die Nachricht DHCP-DISCOVER als Broadcast wird normalerweise auf das eigene Subnetz eingeschränkt. Sie kann aber über eventuell vorhandene DHCP-Relay-Agenten in die anderen Subnetze weitergeleitet werden. Der Einsatz von DHCP-Relay-Agenten hat dann eine große Bedeutung, wenn nicht alle Subnetze über ihre eigenen DHCP-Server verfügen.
2. Angebots-Phase Jeder DHCP-Server kann mit einer Nachricht DHCP-OFFER dem Client sein Angebot von Konfigurationsparametern zukommen lassen (in Abbildung 4.2-3 wurde nur das Angebot vom Server B gezeigt). Der Server versucht zuerst, dem Client direkt das Angebot zu senden. Aber dies ist nicht immer möglich. Hierbei sind zwei Fälle zu unterscheiden: (a) Der Client wird gerade initialisiert und verfügt deshalb noch nicht über eine eigene IPAdresse. In diesem Fall sendet der Server sein Angebot als Broadcast-Nachricht (IP-Adresse 255.255.255.255). Diese Nachricht DHCP-OFFER enthält bereits die MAC-Adresse des betreffenden Clients, sodass nur der „richtige“ Client diese Nachricht lesen darf. (b) Der Client verfügt bereits über eine IP-Adresse, doch die Lease-Dauer geht zu Ende, sodass er diese Adresse auf die nächste Lease-Periode „verlängern“ möchte. In diesem Fall wird das Angebot vom Server direkt an den Client gesendet.
3. Auswahlphase In dieser Phase wählt der Client die Konfigurationsparameter des ersten von ihm empfangenen Angebots aus und sendet eine Broadcast-Nachricht DHCP-REQUEST, um das ausgewählte Angebot anzufordern. In DHCP-REQUEST ist der Name des ausgewählten DHCP-Servers enthalten (im Feld sname). Hier kann auch die angebotene IP-Adresse mithilfe der Option Requested IP Address (Angeforderte IP-Adresse) bestätigt werden. DHCP-REQUEST wird als Broadcast verschickt, um allen übrigen DHCP-Servern, die mögli-
cherweise ihre Angebote für den Client reserviert hatten, mitteilen zu können, dass sich der Client für einen anderen Server entschieden hat. Diese übrigen Server können die reservierten Parameter wieder freigeben, um sie anderen Clients anzubieten.
4. Bestätigungsphase Der DHCP-Server, der vom Client ausgewählt wurde, antwortet mit der Nachricht DHCPACK, die alle Konfigurationsparameter für den Client enthält. Nach dem Empfang von DHCPACK und dem Eintragen von Parametern wird beim Client der Konfigurationsvorgang beendet. In dieser Phase können eventuell noch die weiteren „verspäteten“ Angebote eintreffen. Sie werden nun vom Client einfach ignoriert.
DHCP stellt die weiteren drei Nachrichten zur Verfügung: DHCP-NAK: Diese Nachricht wird in der Bestätigungsphase verwendet und von einem ausgewählten DHCP-Server an einen Client gesendet, um darauf zu verweisen, dass die in DHCP-REQUEST geforderten Konfigurationsparameter abgelehnt wurden. Dies kann dann erfolgen, wenn: − ein Client versucht, die Lease-Dauer für seine bisherige IP-Adresse zu verlängern und diese IP-Adresse nicht mehr verfügbar ist.
DHCPNachrichten
198
4
DNS und DHCP
− die IP-Adresse ungültig ist, weil der Client in ein anderes Subnetz „umgezogen“ ist. DHCP-RELEASE: Mit ihr teilt ein DHCP-Client einem Server mit, dass ei-
nige Parameter (z.B. IP-Adresse) nicht mehr benötigt werden. Damit werden diese Parameter freigegeben und stehen anderen Clients zur Verfügung (s. Abbildung 4.2-1b; dies müssen z.B. die Remote-PCs am ISDN tun). DHCP-DECLINE: Damit teilt ein DHCP-Client dem Server mit, dass einige „alte“ Parameter ( wie z.B. dessen MAC-Adresse) ungültig sind. DHCP-INFORM: Sie ist nur in der neuen Version von DHCP enthalten [RFC 2131]. DHCP-INFORM kann ein Client nutzen, dem eine statische IP-Adresse
LeaseErneuerung
manuell zugeteilt wurde, er jedoch dynamisch zusätzliche Konfigurationsparameter vom DHCP-Server zugeteilt bekommen möchte. Alle DHCP-Clients versuchen, ihre Lease zu erneuern, sobald die Lease-Dauer zu 50 Prozent abgelaufen ist. Um seine Lease zu erneuern, sendet der Client DHCP-REQUEST direkt an den DHCP-Server, von dem er zuvor die Konfigurationsparameter erhalten hat. Der DHCP-Server bestätigt dies dem Client mit DHCP-ACK, in der eine neue Lease-Dauer und alle aktualisierten Konfigurationsparameter enthalten sind. Wenn der Client diese Bestätigung erhält, aktualisiert er entsprechend seine Konfigurationsparameter. Versucht ein Client, seine Lease zu erneuern, der gewünschte DHCP-Server jedoch nicht erreichbar ist, kann der Client die Parameter (IP-Adresse) dennoch weiter verwenden, weil noch 50% der Lease-Dauer verfügbar ist. Konnte die Lease nach Ablauf von 50% der Dauer nicht vom ursprünglichen DHCP-Server erneuert werden, versucht der Client nach Ablauf von 87,5% der Lease-Dauer, einen anderen DHCP-Server in Anspruch zu nehmen. Hierfür sendet der Client eine Broadcast-Nachricht DHCP-REQUEST. Jeder beliebige DHCP-Server kann darauf antworten: mit DHCP-ACK, wenn er diese Lease erneuert hat, oder mit DHCP-NAK, wenn er den DHCP-Client zur Neuinitialisierung und Übernahme einer neuen Lease für eine andere IP-Adresse zwingen will.
ClientNeustart
Wird ein Client neu gestartet, versucht er zuerst vom ursprünglichen DHCPServer dieselbe IP-Adresse zu erhalten, indem er DHCP-REQUEST verschickt und die zuletzt erhaltende IP-Adresse angibt. Hat er hiermit keinen Erfolg und ist die Lease-Dauer noch nicht zu Ende, kann der Client dieselbe IP-Adresse noch über die verbleibende Lease-Dauer verwenden.
Lease-Ablauf
Ist die Lease-Dauer abgelaufen oder wurde ein DHCP-NAK empfangen, muss der DHCP-Client unmittelbar die Nutzung der IP-Adresse einstellen und einen neuen Prozess zur Vergabe von IP-Adressen starten. Ist die Lease bei einem
4.2 Dynamische Adressvergabe mit DHCP
199
Client abgelaufen, der keine neue Lease erhalten hat, wird die IP-Kommunikation so lange eingestellt, bis ihm eine neue IP-Adresse zugewiesen wurde.
4.2.3 Implementierung mehrerer DHCP-Server Wenn in einem Netzwerk mehrere DHCP-Server benötigt werden, muss ein Bereich von IP-Adressen für jedes Subnetz eingeplant werden. Ein Pool von IP-Adressen ist eine Folge von IP-Adressen, die für die Vergabe an Clients zur Verfügung stehen. Um sicherzustellen, dass Clients möglichst immer eine IPAdresse erhalten, ist es wichtig, für jedes Subnetz mehrere Bereiche auf den verschiedenen DHCP-Servern zu reservieren. Abbildung 4.2-4 illustriert dies.
S u b n e tz 1 (S u b n e tz -ID = 1 3 0 .8 7 .3 2 )
N e tz 1
D H C P -S e rv e r 1 S u b n e tz 1 -B e r e ic h
1 3 0 .8 7 .3 2 .1 1 3 0 .8 7 .3 2 .2 ... 1 3 0 .8 7 .3 2 .1 9 0
S u b n e tz 2 (S u b n e tz -ID = 1 3 0 .8 7 .6 4 )
N e tz 2
R o u te r
D H C P -R e la y -A g e n t S u b n e tz 2 -B e r e ic h
1 3 0 .8 7 .6 4 .1 2 1 1 3 0 .8 7 .6 4 .1 2 2 ... 1 3 0 .8 7 .6 4 .1 8 0
D H C P -D a te n b a n k 1
D H C P -S e rv e r 2
S u b n e tz 2 -B e r e ic h
1 3 0 .8 7 .6 4 .1 1 3 0 .8 7 .6 4 .2 ... 1 3 0 .8 7 .6 4 .1 2 0
S u b n e tz 1 -B e r e ic h
1 3 0 .8 7 .3 2 .1 9 1 1 3 0 .8 7 .3 2 .1 9 2 ... 1 3 0 .8 7 .3 2 .2 5 4
D H C P -D a te n b a n k 2
Abb. 4.2-4: Beispiel für die Implementierung von mehreren DHCP-Servern
Man sollte die IP-Adressen auf die DHCP-Server wie folgt verteilen: Jeder DHCP-Server sollte über einen Bereich von ca. 75% der für das eigene Subnetz bestimmten IP-Adressen verfügen. Jeder DHCP-Server sollte für jedes Remote-Subnetz über einen Bereich von ca. 25% der für dieses Remote-Subnetz bestimmten IP-Adressen verfügen. Wenn der DHCP-Server eines Clients nicht verfügbar ist, kann dieser Client DHCPimmer noch eine IP-Adresse von einem anderen DHCP-Server zugeteilt be- Relay-Agent kommen, der sich in einem anderen Subnetz befindet – unter der Voraussetzung, dass ein DHCP-Relay-Agent im Router implementiert ist. Wie aus der Abbildung 4.2-4 ersichtlich ist, verfügt der Server 1 über einen Bereich mit den Adressen von 130.87.32.1 bis 130.87.32.190 für das eigene Subnetz 1 und über einen Bereich mit den Adressen von 130.87.64.121 bis 130.87.64.180 für das Remote-Subnetz 2. Server 2 verfügt über einen Bereich von 130.87.64.1 bis 130.87.64.120 für das eigene Subnetz 2 und über einen Bereich von 130.87.32.191 bis 130.87.32.254 für das Remote-Subnetz 1.
200
4
DNS und DHCP
Wenn z.B. ein Client in Subnetz 1 keine Adresse von Server 1 beziehen kann, besteht auch die Möglichkeit, sie von Server 2 zu erhalten. Installationsaspekte eines DHCPServers
Bei der Installation eines DHCP-Servers sind u.a. folgende Punkte zu beachten: Bevor ein DHCP-Server die IP-Adressen an DHCP-Clients vergeben kann, muss er über einen Bereich von gültigen IP-Adressen verfügen. Jedem DHCP-Server muss eine eindeutige statische IP-Adresse (manuell!) zugewiesen werden. Der Server selbst kann kein DHCP-Client sein. Nicht-DHCP-Clients besitzen die statischen IP-Adressen, die manuell angegeben werden. Die statischen IP-Adressen dürfen im Pool von für DHCP-Clients verfügbaren IP-Adressen nicht enthalten sein. Andernfalls könnte der DHCP-Server dieselbe Adresse einem anderen Client zuweisen, was zu Problemen aufgrund doppelt vorhandener Adressen führen würde. Falls die IP-Adressen mit einen DHCP-Server an Clients in mehreren Subnetzen vergeben werden, müssen alle Router zwischen den Subnetzen auch als DHCP-Relay-Agenten dienen. Wenn mehrere Subnetze mit Routern vernetzt werden, aber diese Router nicht die DHCPRelay-Funktion unterstützen, ist in jedem Subnetz, das einige DHCP-Clients enthält, zumindest ein DHCP-Server erforderlich.
4.2.4 DHCP im Einsatz DHCP und DNS
Die dynamische Zuweisung einer IP-Adresse bringt das Problem mit sich, dass nicht notwendigerweise ein DNS-Eintrag als A-RR und PTR-RR für diese IPAdresse vorliegt. Einige Dienst- bzw. Anwendungsprogramme (wie z.B. SSH) prüfen jedoch explizit auf die Existenz der IP-Adresse im DNS. Ohne einen entsprechenden Eintrag wird der DHCP-Client zum IP-Client der 2. Klasse. Als Nebeneffekt findet eine gewünschte Verbindungsaufnahme entweder stark verzögert statt (bis der Resolver der Server-Anwendung ein NXDOMAIN erhält) oder die Verbindungsaufnahme wird gar nicht erst gestattet.
Lösungen bei ISPs
Für den Anbieter (wie z.B ISP) von externen DHCP-Diensten bieten sich hierfür zwei Lösungsmöglichkeiten an: Für die im DHCP-Pool bereitgestellten IP-Adressen werden zusätzlich feste Eintrage im DNS geschaffen, wie z.B. DHCP_CLIENT_1.example.com. 1.2.168.192.in-addr.arpa. DHCP_CLIENT_2.example.com. 2.2.168.192.in-addr.arpa.
A PTR A PTR
192.168.2.1 DHCP_CLIENT_1.example.com. 192.168.2.2 DHCP_CLIENT_2.example.com.
Diese Möglichkeit eignet sich vor allem in Firmennetzen, wo die Anzahl der DHCP-Clients überschaubar ist und die Zuweisung einer privaten IP-Adresse per DHCP erfolgt. Kabelnetz- bzw. DSL-Provider müssen natürlich auch mit ihren DNS-Ressourcen sorgfältiger umgehen. Per DHCP angebundene IP-Clients erhalten in der Regel einen algorithmisch gebildeten DNS AName zugewiesen. Der US-amerikanische Anbieter Verizon nutzt z.B. folgende Konventionen: pool-70-107-162-195.ny325.east.verizon.net.
A
70.107.162.195
4.2 Dynamische Adressvergabe mit DHCP
201
Hierbei entspricht pool-70-107-162-195 dem Hostname, ny325.east bezeichnet den Einwahlknoten und verizon.net steht für die Provider-Kennung.
Ein DNS-Eintrag als A-RR und PTR-RR wird bei der Vergabe des DHCP- DHCP und Lease per DynDNS automatisch in der entsprechenden Zonendatei für die Sub- DynDNS domain bei my325.east.verizon.net eingerichtet. Jeder „qualifizierte“ DSL-Provider achtet zudem darauf, dass neben diesen Client-spezifischen Einträgen auch geeignete RRs für den E-Mail-Verkehr vorhanden sind, also die sog. MX- und ggf. SPF-RRs [Tab. 4.1-1]. Nur so kann garantiert werden, dass die per DHCP konfigurierten Rechner, bzw. die Rechner in den per NAT angebundenen IP-Netzen, als vollwertige Mailsysteme auftreten können. Die Nutzung von DHCP-Diensten in Firmennetzen verlangt die Übertragung DHCP und der DHCP-Pakete bis zum DHCP-Server. Wird nicht in jedem Subnetz ein Firewalls DHCP-Relay eingesetzt, ergibt sich im Umkehrschluss, dass DHCP-Nachrichten – wie auch beim DNS – transparent durch Router und Firewalls durchgereicht werden müssen. Es ist aber sorgsam darauf zu achten, dass DHCP-Nachrichten keinesfalls in das Internet geroutet bzw. durchgelassen werden.
4.2.5 DHCP und PXE Beim Einschalten des PCs wird der aufmerksame Betrachter die Meldung PXE „PXE booting ...“ registriert haben. PXE steht für Preboot Execution Environment, das aktuell in der Version 2.1 vorliegt und in RFC 4578 als DHCP Options for the Intel PXE als Internet-Protokoll spezifiziert wurde. PXE wurde von Intel als Teil seines Management Frameworks entwickelt, und nun stattet eine zunehmende Anzahl von Netzwerk-Herstellern ihre Schnittstellen-Karten mit der PXE-Firmware aus, sodass bereits durch die Initialisierung der NetzwerkKarte ein Boot-Image angefordert werden kann. Im Gegensatz zu den früher üblichen sog. BOOT-PROMs bei Netzwerkkarten kann PXE als standardisiertes Verfahren angesehen werden, was teilweise die Eigenschaften von BOOTP, DHCP sowie TFTP (Trivial File Transfer Protocol) bzw. MFTP (Multisource File Transfer Protocol) einschließt. Im Gegensatz zum üblichen DHCP, ist es nun nicht das Betriebssystem, das die IP-Konfiguration anfordert, sondern die Firmware der Netzwerkkarte wie folgt: 1. Der PXE-Request wird mittels BOOTP abgesetzt und es wird ein Proxy-DHCP-Server gesucht, von dem die Adresse des PXE-Bootservers bezogen wird. 2. Dieser teilt dem PXE-Client mittels NBP (Network Bootstrap Program) die Lokation des Boot-Images (z.B. ISO-Image) mit. 3. Das Boot-Image vom Client wird via TFTP (oder ggf. MFTP) bezogen und ins RAM geladen. 4. Nun kann das übliche DHCP-Verfahren ablaufen, indem für das geladene Betriebssystem eine gültige IP-Konfiguration ermittelt und aktiviert wird.
202 Kickstart
4
DNS und DHCP
PXE erlaubt somit nicht nur den Bezug der IP-Konfiguration von einem entfernten Server, sondern darüber hinaus das Laden eines Boot-Images und somit den Komplettstart eines Rechners. Beim Kickstart-Verfahren von Red Hat Linux wird darüber hinaus eine automatische und hardware-spezifische Installation des Betriebssystems vorgenommen. Dies vereinfacht die Installationen z.B. von Serverfarmen ungemein und ermöglicht im Fehlerfall einen schnellen Schwenk auf einen nahezu identischen Rechner.
4.3
Schlussbemerkungen
Das Ziel dieses Kapitels war es, Funktionsweise und Anwendungen von DNS und DHCP in fundierter Form darzustellen. Beim DNS handelt es sich um ein komplexes Gebilde. Diese Komplexität ist aber für einen normalen InternetNutzer kaum zu spüren. Wegen des begrenzten Umfangs dieses Kapitels wurde bewusst auf die Darstellung einiger Funktionen von DNS und DHCP verzichtet. Dies betrifft insbesondere das DNSSEC. Abschließend ist Folgendes hervorzuheben:
WildcardEinträge
Es ist beim DNS möglich, mittels eines sog. Wildcard-Eintrags – der mit * beginnt – einen ganzen Namensbereich zu deklarieren. Beispielsweise hätte der harmlose Wildcard-Eintrag *.example.com
HINFO
‚IA64 Gentoo Linux’
zur Folge, dass bei jeder Abfrage eines HINFO-RR allen Rechner in der Domain example.com die Hardware-Information ‚IA64 Gentoo Linux’ zugewiesen würde, sofern kein spezifischerer Eintrag existiert. Der entsprechende Resolver hat keine Möglichkeit, festzustellen, ob eine DNS-Antwort spezifisch oder aufgrund eines Wildcard-Eintrags zustande kam. Die Existenz eines Wildcard-Eintrags kann allerdings durch eine Abfrage mit einem „*“ im entsprechenden Teil der FQDN festgestellt werden.
Recursive DNS Server
In DNS-relevanten RFCs wird in den Beispielen oft von den BIND-Spezifika Gebrauch gemacht, besonders in den erklärenden Abschnitten von RFC 1034. Hier wird in Abschnitt 2.2 Common Configuration der (irreführende) Begriff des Recursive Servers eingeführt, was den logischen Zusammenschluss eines Content-Servers und eines Full-Resolver darstellt. In der Konsequenz bedeutet dies, dass der Recursive Server sowohl die ihm vorliegende – also autoritative – als auch die von Fremd-Nameservern gewonnene – also nicht-autoritative und damit kompromittierbare – Information dem DNS-Client zur Verfügung stellt.
Offene ProxyNameserver
Während Content-Server prinzipiell „öffentlich“ sind, sollten Proxy-Nameserver nur von autorisierten Clients (z.B. auf Basis der IP-Adresse) abgefragt werden können, sonst agieren sie als offene Proxies und bieten sich für DoS-Attacken (Denial of Service) geradezu an. Die Vermischung dieser Aufgaben durch den bei BIND vorliegenden Design-Fehler führt letztlich nicht nur zu der erheblichen BIND-Komplexität, sondern erfordert auch einen beträchtlichen Parametrierungsaufwand; siehe z.B. [http://www.isc.org/index.pl?/sw/bind] und [http://www.heise.de/security/artikel/71150].
DDDS
Mit dem DNS werden u.a. die Web-Adressen, die sog. URLs, auf die IP-Adressen abgebildet. Eine URL verweist aber nur auf eine Lokation, was ein großer Nachteil ist. Wird eine Web-Ressource auf eine andere Lokation verschoben, ändert sich dadurch oft ihre URL. Dieselbe Web-Ressource auf mehreren Web-Servern kann daher mit einer URL nicht adressiert werden. Es ist somit eine „ortstransparente“ Adressierung von Internet-Ressourcen nötig. Hierfür wurde eine Ergänzung zum DNS – das sog. DDDS (Dynamic Delegation Discovery System) – in den RFCs von 3401 bis 3405 spezifiziert. DDDS wird bei ENUM verwendet.
5
NAT und Netzdienstprotokolle: SOCKS, SSL, LDAP
Im vorherigen Kapitel wurde die dynamische Vergabe von IPv4-Adressen und ihre Ermittlung für Netzwerknamen sowie das Zusammenspiel von Intranets mit dem Internet dargestellt. In diesem Kapitel werden weitere Themen dieses Komplexes diskutiert. Auf die Nutzung privater IPv4-Adressen in Intranets – was durch die Network Address Translation (NAT) realisiert wird – verzichten zu müssen, kann man sich heute nicht vorstellen. NAT ist daher unabdingbar. Zugang zu unternehmenskritischen Ressourcen in Intranets sollte nur dazu berechtigten Nutzern ermöglicht werden. Dies kann über das Protokoll SOCKS gewährleistet werden. SOCKS qualifiziert und protokolliert den Zugriff sowohl auf externe Systeme als auch auf interne Datenquellen. Online-Banking und die Übertragung vertraulicher Daten über gesicherte Verbindungen wäre unmöglich ohne Secure Socket Layer (SSL), das aktuell auch Transport Layer Security (TLS) genannt wird.
Notwendigkeit von NAT
Bedeutung von SOCKS
SSL/TLS
Die Realisierung der Verzeichnisdienste (Directory Services) in Netzwerken ist Bedeutung heute ein Muss. Dafür ist ein Protokoll nötig, um auf die Verzeichnisdienste von LDAP zuzugreifen. Für diese Zwecke wurde LDAP (Lightweight Directory Access Protocol) entwickelt. Dieses Kapitel gibt eine kompakte Darstellung von NAT und der eben erwähn- Überblick ten Netzdienstprotokolle. Abschnitt 5.1 beschreibt die wichtigsten NAT-Kon- über das zepte. Auf das Protokoll SOCKS geht Abschnitt 5.2 ein. Die Funktionsweise Kapitel und den Einsatz von SSL präsentiert Abschnitt 5.3. Die Nutzung und den Aufbau von LDAP stellt Abschnitt 5.4 dar. Abschließende Bemerkungen in Abschnitt 5.5 runden dieses Kapitel ab. In diesem Kapitel wird u.a. auf folgende Fragen eingegangen: Ziele des Welche Möglichkeiten bietet NAT zur Kommunikation mit dem Internet Kapitels mittels privater IPv4-Adressen? Wie kann mithilfe von SOCKS der Zugriff auf Internet- und Firmenressourcen nicht nur technisch, sondern auch durch Policies reguliert werden? Wie kann eine Datenübermittlung zwischen Client und Server mittels SSL/TSL gesichert realisiert werden und welche Voraussetzungen sind hierfür nötig? Inwieweit kann LDAP genutzt werden, um Firmenressourcen hierarchisch abzubilden und sie den Netzwerknutzern transparent verfügbar zu machen?
204
5
NAT und Netzdienstprotokolle: SOCKS, SSL, LDAP
5.1
Network Address Translation (NAT)
NATInterstützung im Router
Mittels der heute genutzten privaten IPv4-Adressen [Abschnitt 2.3.3] „zerfällt“ der IPv4-Adressraum einerseits in Inseln nicht-routbarer Adressen und anderseits in die offiziellen IP-Adressen des Internet. Werden in einem Netzwerk private IP-Adressen verwendet, muss die NAT-Funktion im Router an der Grenze zwischen diesem Netzwerk und dem Internet bzw. einem anderen Netzwerk mit offiziellen IP-Adressen implementiert werden. Ein derartiger Router wird NAT-Router genannt.
Begriff Realm
Bei NAT verwendet man den Begriff Address-Realm bzw. kurz Realm. Ein Realm bezeichnet eine Domäne im Sinne von DNS als Adressbereich, in der die IP-Adressen eindeutig sind, wobei diese IP-Adressen entweder privat oder offiziell sein können. Daher spricht man auch vom privaten bzw. vom offiziellen Realm. Wie in Kapitel 1 gezeigt wurde [Abb. 1.4-9], ist das Paar (IP-Adresse, PortNummer), das man auch Socket nennt, für die Kommunikation über IP-Netze von zentraler Bedeutung. Bei der Darstellung von NAT wird hier dieses Paar mit (I, P) abgekürzt.
Varianten von NAT
Folgende Varianten von NAT sind denkbar [RFC 2663]: (I', P) Klassisches NAT als (I, P) Eine private IP-Adresse (I) eines Quellrechners wird vom NAT-Router auf eine offizielle IP-Adresse (I') umgesetzt. Im NAT-Router wird eine Tabelle geführt, in der eingetragen ist, welche offiziellen IP-Adressen welchen privaten IP-Adressen zugeordnet sind. Network Address Port Translation (NAPT) als (I, P) (I', P') Dem ganzen privaten Realm mit n privaten IP-Adressen steht nur eine offizielle IP-Adresse zur Verfügung und der NAT-Router muss nun die privaten IP-Adressen auf eine einzige, offizielle IP-Adresse (I') abbilden. Diese NAT-Variante wird Network Address Port Translation (NAPT) bzw. Port Address Translation (PAT) genannt. Für NAPT hat sich der Begriff IP-Masquerading etabliert. Bei NAPT wird im Router jedem Paar (I, P) ein dedizierter Port (P') im Router zugeordnet. Bidirektionales NAT (Bidirectional NAT) Bei bidirektionalem NAT kann ein Rechner aus einem privaten Realm die TCP-Verbindungen nach außen zu Rechnern mit offiziellen bzw. mit privaten IP-Adressen initiieren und auch die von ihnen initiierten Verbindungen entgegennehmen. Bidirektionales NAT wird in Abschnitt 8.8.2 dargestellt.
Protokoll RSIP
Bei Bedarf kann sich ein Rechner mit einer privaten IP-Adresse aus einem speziellen Server, der in einem Router untergebracht werden kann, eine offizielle
5.1 Network Address Translation (NAT)
IP-Adresse ausleihen. Dieser Ansatz wird mithilfe des Protokolls RSIP (Realm Specific IP) realisiert [Abschnitt 5.1.5]. NAT stellt für die heutige Nutzung des auf IPv4 aufgebauten Internet eine tragende Säule dar und ist der entscheidende Schlüssel zur Nutzung des Internet in Privathaushalten. Da man bei der Implementierung von RSIP – im Gegensatz zu NAT – in das Betriebssystem von Rechnern stärker eingreifen muss, hat RSIP in Netzwerken nur experimentelle Bedeutung. RSIP eignet sich allerdings gut für den Einsatz bei der Internet-Telefonie.
5.1.1 Klassisches NAT Vom klassischen oder Basic NAT spricht man dann, wenn NAT lediglich die Abbildung von IP-Adressen realisiert. Hierbei werden m offizielle IP-Adressen n Rechnern im privaten Realm angeboten, sodass bis zu m Kommunikationsvorgänge nach außen (z.B. in das Internet) gleichzeitig unterstützt werden können. Abbildung 5.1-1 illustriert klassisches NAT.
p riv a te IP -A d r. = a R e c h n e r A
P riv a te IP -A d r. ... a
p riv a te s R e a lm Q -IP -A d r = a Z -IP -A d r = y Q -IP -A d r = y Z -IP -A d r = a
R
O ffiz ie lle IP -A d r. ... x 1
N A T T a b e lle o ffiz ie lle IP -A d r. = x
o ffiz ie lle IP -A d r. = y
In te rn e t
R 2
o fiz ie lle s R e a lm
R e c h n e r B
Q -IP -A d r = x Z -IP -A d r = y Q -IP -A d r = y Z -IP -A d r = x
Abb. 5.1-1: Veranschaulichung der Funktionsweise des klassischen NAT R1, R2: Router
Falls ein Rechner mit der privaten IP-Adresse a (Ia) ein IP-Paket an einen Rechner mit der offiziellen IP-Adresse y übermittelt, wird die private IPAdresse a im Router am Ausgang vom privaten Realm nach der Zuordnung Ia Ix in der NAT-Tabelle gegen eine öffentliche IP-Adresse x (Ix) ausgetauscht. Der NAT-Router sorgt daher dafür, dass die nach außen „abgehenden“ IPPakete mit einer offiziellen Quelladresse versehen werden. Sendet der Rechner mit der IP-Adresse y ein Paket mit der Ziel-IP-Adresse x zurück, d.h. an den Rechner mit der privaten IP-Adresse a, wird die IP-Adresse x im Router gegen die IP-Adresse a ausgetauscht.
205
206
5
NAT und Netzdienstprotokolle: SOCKS, SSL, LDAP
Die Zuordnung Ia Ix in der NAT-Tabelle wird beim Absenden des ersten IPPakets nach außen vom Rechner mit der privaten IP-Adresse a eingetragen. Sollte dieser Rechner weitere IP-Pakete an andere Rechner außerhalb des privaten Realm senden, wird ihm die gleiche offizielle IP-Adresse x zugeordnet. Damit gilt die gleiche Zuordnung in der NAT-Tabelle für alle von einem Rechner nach außen gesendeten IP-Pakete. Dynamische Zuordnung Ia Ix
Die Zuordnung von Ia Ix in der NAT-Tabelle kann entweder statisch konfiguriert werden, wenn a beispielsweise die IP-Adresse eines Application Level Gateway (etwa eines Web-Proxy) ist, oder dynamisch. Es stellt sich nun die Frage, wann die Zuordnung Ia Ix in der NAT-Tabelle aufgebaut bzw. gelöst werden soll. Dies ist aber davon abhängig, ob TCP oder UDP als Transportprotokoll bei der Kommunikation verwendet wird. Beim Einsatz des verbindungsorientierten Protokolls TCP wird die Zuordnung Ia Ix beim Initiieren der ersten nach außen abgehenden TCP-Verbindung eingetragen und nach dem Abbau der letzten TCP-Verbindung gelöst. Beim Einsatz des verbindungslosen Transportprotokolls UDP werden aber keiIx wird beim Abne virtuellen Verbindungen aufgebaut. Die Zuordnung Ia senden des ersten IP-Pakets mit UDP-Daten eingetragen. Danach wird der Verkehr sowohl von außen ankommender als auch nach außen abgehender IPPakete, die diese Zuordnung „nutzen“, überwacht. Ist eine bestimmte Zeitdauer (Time out) nach dem letzten IP-Paket mit UDP-Daten abgelaufen, wird die Zuordnung Ia Ix in der NAT-Tabelle gelöst. Ix in der NAT-Tabelle gelöscht, steht damit die ofWurde die Zuordnung Ia fizielle IP-Adresse x anderen Rechnern im privaten Realm zur Verfügung.
5.1.2 Konzept von NAPT Bei NAPT (Network Address Port Translation), auch als PAT ( Port Address Translation) bezeichnet, besitzt das private Realm nur eine einzige offizielle IP-Adresse, über die Tausende von Kommunikationsbeziehungen nach außen gleichzeitig verlaufen können. Hierbei werden alle privaten IP-Adressen aus einem privaten Realm im NAT-Router auf diese einzige IP-Adresse abgebildet. NAPT nutzt die Tatsache, dass die Nummern der Quellports, die im TCP- bzw. UDP-Header im Quellrechner angegeben werden, nur lokale Bedeutung haben. Den Nummern von Quellports werden obere Werte aus dem Bereich (1024 – 216 ~ 50.000) zugeordnet. Die „unteren“ Nummern von Zielports stellen sog. Well Known Ports dar, die als Identifikationen der Applikationen dienen. Die Nummer des Quellports ist daher frei wählbar und bestimmt den Port, an den die Daten im Quellrechner zurückgeliefert werden sollen. Und genau dieser Quellport wird vom Router mit NAPT neu vergeben.
5.1 Network Address Translation (NAT)
207
Abbildung 5.1-2 illustriert das Konzept von NAPT. Hier steht dem privaten Realm nur eine einzige offizielle IP-Adresse x zur Verfügung.
p riv a te IP -A d r. = a R e c h n e r A
p r R Q -IP -A Z -IP -A Q u e llp
P riv a te Q u e ll- N A T - N A P T T a b e lle P o rt IP -A d r. p o rt ... ... ... o ffiz ie lle a i k IP -A d r. = x iv a te s R 1 R 2 In te rn e t e a lm d r = a Q -IP -A d r = x d r = y Z -IP -A d r = y o rt = i Q u e llp o rt = k
Q -IP -A d r = y Z -IP -A d r = a Z ie lp o rt = i
o ffiz ie lle IP -A d r. = y o fiz ie lle s R e a lm
R e c h n e r B
Q -IP -A d r = y Z -IP -A d r = x Z ie lp o rt = k
Abb. 5.1-2: Illustration der Funktionsweise von NAPT R1, R2: Router, Q/Z-IP-Adr: Quell/Ziel-IP-Adresse
Falls ein Rechner mit der privaten IP-Adresse a ein IP-Paket an einen Rechner mit der offiziellen IP-Adresse y übermittelt, wird die NAPT-Tabelle mit den Pk (k: NAT-Port) interpretiert. Der NAT-Port k wird im Zuordnungen (Ia, Pi) Datenpaket, das nach außen gesendet wird, als Quellport eingetragen. Gleichzeitig wird die private IP-Adresse a durch die einzige offizielle IP-Adresse x ersetzt, d.h. (Ia, Pi) (Ix, Pk). Sendet der Rechner mit der offiziellen IP-Adresse y ein Paket mit der Ziel-IPAdresse x zurück, d.h. an den Rechner mit der privaten IP-Adresse a, ermöglicht es der NAT-Port k, das Paar (Ia, Pi), also private IP-Adresse a und Quellport-Nummer i, in der NAPT-Tabelle zu bestimmen. Hat der Router das Paar (Ia, Pi) herausgefunden, wird der NAT-Port k durch den Quellport i ersetzt. Gleichzeitig wird die offizielle IP-Adresse x gegen die private IP-Adresse a ausgetauscht, d.h. (Ix, Pk) (Ia, Pi). Die einer privaten IP-Adresse entsprechende Zuordnung in der NAPT-Tabelle wird genau wie beim klassischen NAT beim Initiieren der ersten abgehenden TCP-Verbindung bzw. beim Absenden des ersten IP-Pakets mit UDP-Daten eingetragen. Hat der Rechner mit der privaten IP-Adresse a alle abgehenden TCP-Verbindungen abgebaut und sendet bzw. empfängt er über eine bestimmte Zeitdauer keine IP-Pakete mit UDP-Daten, wird die Zuordnung (Ia, Pi) Pk in der NAPT-Tabelle gelöscht. Bei NAPT wird ein öffentlicher Socket (Ix Pk) im NAT-Router dem Socket (Ia, Öffentlicher Pi) im Quellrechner, d.h. dem internen Socket im privaten Realm, zugeordnet (externer) Socket und die Verbindung danach über den externen Socket (Ix, Pk) weitergeführt.
208 Symmetric NAT
5
NAT und Netzdienstprotokolle: SOCKS, SSL, LDAP
Sendet der Rechner A im privaten Realm IP-Pakete zu unterschiedlichen Rechnern B und C, so kann der NAT-Router die Kommunikation über einen Port oder über zielrechnerspezifische Ports realisieren. Jeder externe Socket entspricht daher genau einem Ziel im Internet bzw. in einem anderen offiziellen Realm. Somit werden am externen Socket nur die IP-Pakete nicht blockiert, die genau von dem Rechner kommen, der mit diesem externen Socket verbunden ist. Daher wird zusätzlich eine Firewall-Funktion realisiert. Abbildung 5.1-3 illustriert eine solche Lösung. Diese Variante von NAPT bezeichnet man als Symmetric NAT bzw. auch als Symmetric NAPT. 2 1 8 .2 0 .7 .1
R o u te r P riv a te s R e a lm A I P - A d r : 1 9 2 .1 6 8 .1 .4 P o rt: 1 5 2 6 0 In te r n e r S o c k e t
B
N A T In te rn e t I P - A d r : 2 1 8 .2 0 .7 .1 P o rt: 1 6 1 8 8
E x te r n e r S o c k e t
I P - A d r : 2 2 1 .1 1 .5 .8 P o rt: 9 0 0 0
C I P - A d r : 2 2 1 .3 3 .6 .4 P o rt: 8 0 0 0
Abb. 5.1-3: Veranschaulichung des Prinzips von Symmetric NAT
5.1.3 Prinzip von Full Cone NAT Bei Full Cone NAT – auch kürzer Cone NAT genannt – handelt es sich um eine Variante von NAPT, die keine Firewall-Funktion realisiert und bei der die Nummer des externen Socket im Router von der Ziel-IP-Adresse unabhängig ist. Abbildung 5.1-4 veranschaulicht die Funktionsweise von Full Cone NAT. R o u te r
A I P - A d r : 1 9 2 .1 6 8 .1 .4 P o rt: 1 5 2 6 0 In te r n e r S o c k e t
P riv a te s R e a lm
N A T
P o rt o ffe n
2 1 8 .2 0 .7 .1 n e C o In te rn e t I P - A d r : 2 1 8 .2 0 .7 .1 P o rt: 1 6 1 8 8
B
I P - A d r : 2 2 1 .1 1 .5 .8 P o rt: 5 0 6 0
C I P - A d r : 2 2 1 .3 3 .6 .4 P o rt: 9 0 0 0
E x te r n e r S o c k e t
Z ie l-P o rt: 1 6 1 8 8
Abb. 5.1-4: Die Funktionsweise von (Full) Cone NAT Seitens des Internet als offizielles Realm wurde hier der externe Socket (218.20.7.1, 16188) dem internen Socket (192.168.1.4, 15260) im Rechner A mit der privaten IP-Adresse 192.168.1.4 zu-
5.1 Network Address Translation (NAT)
209
geordnet. Der Rechner A kann daher über den externen Port 16188 die IP-Pakete senden und empfangen. Solange die Zuordnung zwischen diesen beiden Sockets besteht, ist der externe Port im Router immer offen. Jeder externe Rechner am Internet kann an den externen Socket (218.20.7.1, 16188) seine IP-Pakete senden und sie alle werden bei Full Cone NAT an den internen Socket von NAT weitergeleitet. In diesem Fall realisiert NAT keine Firewall-Funktion.
Die Bezeichnung Full Cone ist darauf zurückzuführen, dass hier im Internet ein Bild entsteht, das an einen vollen Kegel, d.h. Full Cone, erinnert.
5.1.4 Prinzip von Restricted Cone NAT Bei NAT mit einer zusätzlichen Firewall-Funktion, bei der ein externer Socket von der Ziel-IP-Adresse unabhängig ist, kann es sich handeln um: Restricted Cone NAT bzw. Port Restricted Cone NAT. Abbildung 5.1-5a illustriert die Funktionsweise von Restricted Cone NAT. R o u te r P riv a te s R e a lm A
N A T
I P - A d r : 1 9 2 .1 6 8 .1 .4 P o rt: 1 5 2 6 0 In te r n e r S o c k e t
a )
b )
2 1 8 .2 0 .7 .1
X
n e C o In te rn e t
I P - A d r : 2 2 1 .1 1 .5 .8 P o rt: 5 0 6 0
I P - A d r : 2 1 8 .2 0 .7 .1 P o rt: 1 6 1 8 8
Y I P - A d r : 2 2 1 .3 3 .6 .4
E x te r n e r S o c k e t
a n I P - A d r : 2 2 1 .3 3 .6 .4
Z ie l-P o rt: b e lie b ig
a n I P - A d r : 2 2 1 .3 3 .6 .4 u n d P o r t 5 0 6 0 Z ie l-P o rt: 8 0 P o rt o ffe n Z ie l-P o rt: 5 0 6 0
Abb. 5.1-5: NAT mit Firewall: a) Restricted Cone NAT, b) Port Restricted Cone NAT Hier sendet der Rechner A mit der privaten IP-Adresse 192.168.1.4 ein IP-Paket an den externen Rechner B am Internet. Hierfür wurde der interne Socket (192.168.1.4, 15260) auf den externen Socket (218.20.7.1, 16188) abgebildet. Der externe Rechner B kann ein IP-Paket als Antwort an den externen Socket senden und dieses IP-Paket wird vom Router an den internen Socket im Rechner A innerhalb des privaten Realm weitergeleitet. Hat z.B. der Rechner C aber ein IP-Paket an den externen Socket abgeschickt, ohne vorher von diesem Socket ein IP-Paket empfangen zu haben, wird dieses IP-Paket blockiert und nicht an den internen Socket im Rechner A weitergeleitet.
Bei Restricted Cone NAT wird ein Paket von einem Rechner nur dann an den internen Socket weitergeleitet, wenn bereits ein IP-Paket an diesen Rechner
Restricted Cone NAT
210
5
NAT und Netzdienstprotokolle: SOCKS, SSL, LDAP
abgeschickt wurde. Daher werden bei Restricted Cone NAT nur die IP-Pakete von einem vorher „kontaktierten“ Rechner nicht blockiert und damit zum internen Socket weitergeleitet. Port Restricted Cone NAT
Abbildung 5.1-5b illustriert die Funktionsweise von Port Restricted Cone NAT. Bei dieser NAT-Variante können nur IP-Pakete von einem Port eines bestimmten Rechners am Internet in ein privates Realm weitergeleitet werden. Bei Port Restricted Cone NAT wird ein Paket nur dann von dem Port j im externen Rechner B nicht blockiert und damit an den internen Socket im Rechner A weitergeleitet, falls bereits ein IP-Paket vom Rechner A an den Port j im Rechner B abgeschickt wurde. Daher werden bei Port Restricted Cone NAT nur die IP-Pakete von einem vorher „kontaktierten“ Socket nicht blockiert und damit zum internen Socket in privatem Realm weitergeleitet. Man kann daher Restricted Cone NAT als erste Sicherheitsstufe und Port Restricted Cone NAT als zweite Sicherheitsstufe bei der verbindungslosen Kommunikation mithilfe des Protokolls UDP interpretieren.
5.1.5 Bidirektionales NAT und RSIP Bidirektionales NAT und DNS
Bei der Realisierung eines bidirektionalen NAT wird das DNS in Anspruch genommen [RFC 2694]. Wird das interne Realm über eine fest vorgegebene IPAdresse angesprochen, kann auf diesem per DNS eine eigene Zone zugewiesen werden. Die zonen-spezifischen Daten sind entweder auf einem externen DNSServer vorhanden oder der DNS-Server im privaten Realm ist permanent über die ihm mitgeteilte offizielle IP-Adresse zu erreichen. Eine Sonderlösung besteht, wenn das interne Realm mit sporadisch wechselnden IP-Adressen kontaktiert werden muss, wie dies bei DSL-Verbindungen typisch ist. Dann ist es zunächst Aufgabe des NAPT-Routers, die ihm zugewiesene (temporäre) offizielle IP-Adresse zu ermitteln und diese anschließend via DynDNS auf dem DNS-Server des Namens-Providers (z.B. dyndns.org) zu aktualisieren. Hierdurch wird das interne Realm über einen Sub-DomainEintrag im DNS bekannt gegeben und kann hierüber erreicht werden.
Einsatz von RSIP
Ein Sonderfall liegt auch dann vor, wenn z.B. ein Netzwerk-Provider einen Pool von offiziellen IP-Adressen zur Ausleihe zur Verfügung stellt. Für die Ausleihe von offiziellen IP-Adressen wurde das Protokoll RSIP (Realm Specific IP) spezifiziert [RFC 3103]. Bei RSIP wird ein spezieller Server, das sog. RSIP-Gateway, installiert, der einen Pool von offiziellen IP-Adressen und Ports zur Verfügung stellt. Ein Rechner mit einer privaten IP-Adresse kann sich eine offizielle IP-Adresse von diesem Server nach Bedarf ausleihen. RSIP ist ein Client/Server-Protokoll. Ein Rechner, der sich eine offizielle IP-Adresse ausleihen möchte, wird als RSIP-
5.1 Network Address Translation (NAT)
211
Host bezeichnet und er enthält eine Software, den sog. RSIP-Client, für die Kommunikation mit dem RSIP-Gateway. Für die Kommunikation mit dem RSIP-Host beinhaltet das RSIP-Gateway eine Software, die man RSIP-Server nennt. RSIP ist im Schichtenmodell oberhalb der Transportschicht angesiedelt. Für die Übermittlung von RSIP-Nachrichten kann sowohl UDP als auch TCP als Transportprotokoll verwendet werden.
5.1.6 ICMP bei NAT und die Notwendigkeit von ALGs NAT stellt ein allgemeines Konzept dar, das es ermöglicht, TCP- und UDPPakete weitgehend transparent zwischen den Realms zu übertragen. Ausnahmen von dieser Regel sind: IP-Pakete mit verschiedenen ICMP-Nachrichten, wie z.B. Echo Re- NAT und quest/Reply bzw. Source Quench [Abschnitt 2.7.1]. Da diese ICMP- ICMP Nachrichten als Inhalt die Quell-IP-Adressen übermitteln, müssen die Inhalte bei der NAT-Realisierung entsprechend modifiziert werden. UDP/TCP-Pakete mit einer Ziel-IP-Adresse als Teil der Nachricht, bei der diese dann „transparent“ ausgetauscht werden muss, was insbesondere die Neuberechnung der Checksum [Anschnitte: 3.2.1, 3.3.1] mit sich bringt. IP-Pakete mit IPSec-Headern [Abschnitt 12.4.8] lassen sich über NAT nicht Ende-zu-Ende transparent austauschen, da die Original-IP-Pakete bei IPsec verschlüsselt übertragen werden. Hierdurch können die darin liegenden Informationen über die IP-Adressen vom NAPT-Router weder gelesen noch ersetzt werden, sodass der Aufbau einer Security Association nach IPsec zwischen Rechnern in unterschiedlichen Realms nicht möglich ist. Mithilfe der „normalen“ NAT-Funktion wird die private IPv4-Adresse des NotwendigQuellrechners nur im IPv4-Header in eine offizielle IP-Adresse umgetauscht. keit von Es gibt aber mehrere Applikationsprotokolle (z.B. DNS, FTP, SNMP), deren ALGs Nachrichten die IPv4-Adressen bzw. TCP/UDP-Ports enthalten können. Dies muss bei NAT berücksichtigt werden. Hierfür werden sog. Application Level Gateways (ALG) eingesetzt. Diese Art der NAT-Erweiterung um ALG bezeichnet man als NAT/ALG [RFC 2694, RFC 2962]. Die ALG-Funktion ist vom Anwendungsprotokoll abhängig. Die Notwendig- ALG versus keit von ALG bei NAT gilt als Nachteil des NAT-Konzepts. Zur Umgehung RSIP dieses Nachteils, die Funktion von ALG in Routern mit NAT bei einigen Anwendungsprotokollen zusätzlich installieren zu müssen, wurde RSIP konzipiert [RFC 3103]. Bei RSIP ist die Funktion von ALG nicht nötig. Dafür muss man aber bei RSIP stärker in das Betriebssystem von Rechnern eingreifen, was ebenfalls ein großer Nachteil ist.
212
5
NAT und Netzdienstprotokolle: SOCKS, SSL, LDAP
5.2
SOCKS v5 Proxy-Protokoll
Nicht alle Firmen lassen für die Anwender und Mitarbeiter einen unkontrollierten Zugang auf die internen Ressourcen und Internet-Dienste zu. NAT-Router und Firewalls stellen zwar die geeigneten technischen Möglichkeiten zur (sicheren) Anbindung des Firmennetzes bzw. (wie in Abschnitt 5.1 dargestellt) eines privaten Realm an das Internet bereit, ermöglichen aber keine Kontrolle des autorisierten Zugriffs. In der Praxis werden daher häufig ALGs eingesetzt, wie z.B. ein Web-Proxy. Aber erst durch einen zentralen SOCKS-Service (kurz SOCKetS) lässt sich dieses Problem umfassend lösen, sofern die ClientApplikation (wie z.B. der Web-Browser) die Einbeziehung eines SOCKSDienstes ermöglicht. Funktionen von SOCKS v5
Das in RFC 1928 vorgelegte Protokoll SOCKS v5 (Version 5) beschreibt einen Dienst, der folgende Funktionen enthält: eine flexible und unterschiedliche Methoden nutzende Authentifizierung und Autorisierung, die standardmäßig auf TCP-Port 1080 angeboten wird, optionale Protokollierung aller Verbindungsversuche und erlaubter Verbindungen, Aufbau einer TCP-Verbindung bzw. einer Sesssion über UDP (als UDPAssoziation bei SOCKS bezeichnet) zum gewünschten Zielsystem vom SOCKS-Server aus sowie Weiterreichung einer TCP-Verbindung bzw. einer UDP-Assoziation vom SOCKS-Client über den SOCKS-Server zur Zielapplikation. Die letzten beiden Punkte treffen naturgemäß nur dann zu, wenn die Clientbzw. Anwender-Authentifizierung erfolgreich war. Zur Nutzung des SOCKSDienstes müssen die Client-Applikationen socksifiziert – also socksfähig – sein. Dies trifft für die heute aktuellen Web-Browser und E-Mail-Clients zu, aber auch für Anwendungen wie z.B. Secure Shell (ssh, PuTTY). Von zunehmender Bedeutung ist SOCKS auch für Streaming-Anwendungen wie IP-VideoKonferenzen und IP-Telefonie. Nicht nur, dass hiermit der Zugriff auf firmeninterne IP-Dienste reguliert werden kann. Im Zusammenspiel mit NAT/NAPT [Abschnitt 5.1] bzw. einer Firewall ergibt sich auch quasi automatisch, dass die Quell-IP-Adresse die Adresse des SOCKS-Proxy ist, was die Administration sehr vereinfacht. RFC 3089 stellt auch die elegante Möglichkeit vor, mittels eines SOCKS-Gateway IPv4-Netze mit IPv6-Netzen zu koppeln. Abbildung 5.21 zeigt vier Anwendungsfälle für einen SOCKS-Proxy, bei dem von einem typischen Multi-Homing des SOCKS-Server Gebrauch gemacht wird. Das hier gezeigte Beispiel soll folgende Möglichkeiten hervorheben: Der SOCKS-Proxy fungiert für den Rechner I als IPv4/IPv6-Gateway.
5.2 SOCKS v5 Proxy-Protokoll
213
Anwender am Rechner A erhalten Zugriff auf ein privates Netz über VPN z.B. auf Basis von IPsec [Abschnitt 12.4]. Der SOCKS-Proxy ermöglicht dem Rechner B die Kommunikation mit dem Internet und ein Anwender am Rechner C erhält dedizierten und autorisierten Zugriff auf eine lokale Firmen-Anwendung auf dem Server W. P r iv a te s F ir m e n n e tz R e c h n e r I
R e c h n e r A
S O C K S P ro x y
R e c h n e r B R e c h n e r C
o u tb o u n d IP v 6 -A d re sse
S e rv e r W
C
in b o u n d S O C K S -IP -A d re s s e ; P o rt 1 0 8 0
o u tb o u n d V P N IP -A d re sse
V P N (IP S e c )
o ffiz ie lle o u tb o u n d IP v 4 -A d re sse
IP v 6 -N e tz I A
p r iv a te s N e tz B
in te rn e o u tb o u n d IP -A d re sse
In te r n e t
Abb. 5.2-1: SOCKS-Anwendung bei einem multi-homed SOCKS-Server
5.2.1 Das SOCKS-Regelwerk Das SOCKS-Regelwerk besteht aus den folgenden Elementen: Identifizierung von Clients (mittels IP-Adresse bzw. Domain-Name),
SOCKSElemente
Authentifizierung von Benutzern mittels der Überprüfung Benutzername/Passwort, via GSS-API (Generic Security Services) [RFC 1961] und evtl. „private“ Methoden sowie Validierung des angefragten Verbindungswunschs aufgrund der Client/Benutzer-Information und der vorliegenden SOCKS-Konfigurationsdaten. In der Praxis wird das SOCKS-Regelwerk aus dem Tupel (Client-Adresse, Benutzername) sowie aus der zugelassenen bzw. unterbundenen Ressource gebildet. Als Ressource kann bei SOCKS eine IPv4-, eine IPv6-Adresse oder ein Domain-Name eingetragen werden. Dies ermöglicht eine flexible Deklaration, ohne dass SOCKS notwendigerweise auf den DNS-Dienst zurückgreifen muss. Zudem werden erlaubte und abgewiesene Verbindungswünsche protokolliert und damit für eine späteren Auswertung verfügbar gemacht. Unabhängig davon, ob der SOCKS-Client das UDP nutzt oder eine TCP- Ablauf der Verbindung zu einem entfernten System aufbauen möchte, kontaktiert er den Authentifizierung SOCKS-Server zunächst per TCP. Hierfür steht der Port 1080 zur Verfügung.
214
5
NAT und Netzdienstprotokolle: SOCKS, SSL, LDAP
Wie Abbildung 5.2-2a zeigt, verläuft die Authentifizierung wie folgt:
a )
1
x '0 5 '
V e rs
4
V e rs C M D x '0 5 '
n
n
C lie n t-N e g o S e rv e r-N e g 3 C lie n t-A u th e C lie n t-R e q 4 S e rv e r-R D a ta
M e th o d s m
A d d r
x '0 0 '
A d d r
P o rt
R e q u e s t-N a c h ric h t
5
P o rt
1 : IP v 4 -A d re sse 2 : D o m a in N a m e 3 : IP v 6 -A d re sse
U D P -P a k e t
tia tio n o tia tio n n tic a tio n u e st e p ly
V e rs
2 2
2 : 3 :
7 : K o 8 : A d d
x '0 5 '
M e th o d s i
x '0 5 '
5
V e rs R E P R S V A T Y P
R S V A T Y P D e s tin a tio n x '0 0 '
b ) R S V F R A G A T Y P D e s tin a tio n n
S O C K S P ro x y
1
1 ... 2 5 5
N
1 :C O N N E C T 2 : B IN D 3 : U D P A S S O C IA T E x '0 0 '
S O C K S C lie n t
0 : K e in e A u th e n tis ie ru n g 1 : G S S -A P I 2 : B e n u tz e rn a m e /P a s s w o rt 3 : C h a lle n g e /H a n d s h a k e 5 : C 1 h . a . . l l 2 e 5n 5g e / R e s p o n s e 6 : S e c u re S o c k e t L a y e r 7 : N D S 8 : M u lt-A u th e n tic a tio n
n
x '0 0 '
0 : E rfo lg 1 : S O C K S S e rv e r F e h le r V e rb in d u n g n ic h t e rla u b t N e tw o rk n ic h t e rre ic h b a r 4 : H o s t n ic h t e rre ic h b a r 5 : V e rb in d u n g v e rb o te n 6 : T T L a b g e la u fe n m m a n d o n ic h t u n te rs tü tz t re s s -T y p n ic h t u n te rs tü tz t
m
B in d A d d r
P o rt
1 : IP v 4 -A d re sse 2 : D o m a in N a m e 3 : IP v 6 -A d re sse
Abb. 5.2-2: Client/Benutzer-Authentifizierung bei SOCKS und Übermittlung der UDP-Pakete: a) Phasen der Client/Benutzer-Authentifizierung mittels SOCKS [http://www.iana.org/assignments/socks-methods], b) Einbettung eines ursprünglichen UDP-Paketes in eine Request-Nachricht ATYP: Address type, FRAG: Fragment number, REP: Reply, RSV: Reserved
AnmeldePhase
Initiation: Zunächst sendet der Client eine Client-Negotiation zum Server, indem er die aktuelle Version des SOCKS-Protokolls (5) mitteilt, sowie eine oder mehrere Methoden zur Benutzer-Authentifizierung anbietet. Reply: Im Rahmen der Server-Negotiation, wählt der Server eine gemeinsam unterstützte Methode aus; sollte keine akzeptabel sein, sendet er ein hexadezimales Symbol FF und die Authentifizierung gilt als fehlgeschlagen. Authentication: Nachdem die Authentifizierungsmethode festgelegt wurde, kann die eigentliche Benutzer-Authentifizierung stattfinden. Sofern eine Benutzer-Authentifizierung verlangt wird, findet diese in der Regel über die Angabe von Benutzername/Passwort statt oder mittels des GSS-API [RFC 1961], sodass z.B. Chipkarten und -leser mit Authentifizierungsdaten eingebunden werden können. Beim SOCKS-Server können die Benutzerinformationen auf unterschiedliche Arten vorliegen. In der Praxis werden neben einer lokalen Konfiguration auch spezifische Applikationen wie NIS oder LDAP [Abschnitt 5.5] verwendet, die über eine Schnittstelle SASL oder PAM angesprochen werden. Bei einem positiven Abgleich ist die Authentifizierungsphase abgeschlossen.
RequestPhase
Request: Im Anschluss an die erfolgte Authentifizierung teilt der SOCKS-Client mit, auf welche Ressource er wie zugreifen möchte. Die Ressource kann entweder über ihren Domain-Namen oder über ihre IPv4- bzw. IPv6-Adresse mitgeteilt werden. Der Verbindungstyp wie, der im Feld CMD (Command) angegeben wird, beschreibt, ob eine Kommunikation über UDP (als UDP-ASSOCIATE bezeichnet) oder eine TCP-Sitzung (CONNECT) aufgebaut werden soll oder ob ggf. dem Ziel-System gestattet ist, zusätzlich eine Out-of-Band TCP-Verbindung zu nutzen (BIND), wie dies bei FTP typisch ist.
5.2 SOCKS v5 Proxy-Protokoll
215
Nach erfolgter Authentifizierung obliegt es dem SOCKS-Server, die vom ConnectPhase SOCKS-Client angegebene Ressource zu kontaktieren. Connect: Mittels der vom Client übermittelten Angaben über IP-Adresse und Verbindungstyp baut der Server anschließend die Verbindung zum Zielsystem auf. Replies: Abgesehen von möglichen Verbindungsfehlern, die dem Client mit Meldungen wie z.B. Connection Refused und TTL Expired angezeigt werden, bietet der Server dem Client nun über BND.ADDR und BND.PORT lokale, d.h. auf dem Server vorhandene Ressourcen an, über die die Verbindung abgewickelt werden kann. Von da ab übermittelt der Client die Daten an den Server und an das angegebene (inbound) Tupel (BND.ADDR, BND.PORT). Der Server leitet nun die Pakete (intern) an eine outbound IP-Adresse weiter, um diese von hier aus zum Zielsystem (DST.ADDR, DST.PORT) zu transportieren. Um UDP-Pakete transparent und gesichert zu übertragen, kann der Client diese komplett als Teil der Nutzdaten in SOCKS-Nachrichten Request einbetten, da hier im Gegensatz zum TCP-Ablauf keine Verbindung zum Zielsystem etabliert werden muss, sondern die Pakete vom SOCKS-Proxy einfach durchgereicht werden können [Abb. 5.2-2b].
Der SOCKS-Server behält nach erfolgter Authentifizierung in der Regel das Tupel (Client-Adresse, Benutzername) zumindest so lange in seinem Cache, wie eine auf diesem Tupel ausgehende Verbindung besteht. Hierdurch braucht der Client in der Folge nur noch entsprechende Request-Nachrichten für neue Verbindungswünsche abzusetzen. Abbildung 5.2-2a illustriert den Ablauf verschiedener Kommunikationsphasen eines Clients über den SOCKS-Server bis hin zur eigentlichen Datenübermittlung zum SOCKS-Proxy.
5.2.2 Gesicherte Verbindungen über SOCKS Obwohl die Client/Benutzer-Authentifizierung in der Regel unverschlüsselt abläuft, erlaubt das SOCKS-Protokoll die Nutzung eines gesicherten Übermittlungstunnels (wie SSH-Tunnel) sowohl zur Sicherung von Daten während der Authentifizierungsphase, als auch für die spätere Datenaustauschphase, was allerdings implementierungsspezifisch ist. Abbildung 5.2-3 illustriert dies.
T u n n e l N o te b o o k
a ) S O C K S P ro x y
S O C K S A n w e n d u n g S S H -C lie n t
b ) u n n e l S S H -T
S S H : S e c u re S h e ll
S S H -S e rv e r
p r iv a te s N e tz
Abb. 5.2-3: Anwendungen des SOCKS-Protokolls: a) Sichere Datenübertragung mittels SOCKS über ein Wireless-LAN, b) Nutzung von SSH als SOCKS-Server zur Tunnelung an einen SSH-Server
Ein Szenario, wo Clients in einem privaten Netzwerk über einen gesicherten Kanal mit dem SOCKS-Proxy kommunizieren, während der SOCKS-Server
Übermittlung der UDP-Pakete
216
5
NAT und Netzdienstprotokolle: SOCKS, SSL, LDAP
selbst die Verbindung zum Zielsystem unverschlüsselt abwickeln kann oder das Zielsystem beispielsweise per VPN oder IPsec anspricht, zeigt Abbildung 5.2-3a. Hierdurch können die Nachteile von NAT teilweise kompensiert werden; zudem lassen sich so auch schwach geschützte firmeninterne WirelessLAN-Verbindungen einheitlich einbeziehen und absichern. SOCKSKooperation mit SSH
Neben dem von der Firma NEC entwickelten Open Source sockd Daemon für UNIX, kann auch ein SSH-Client (bzw. auch PuTTY) als SOCKS-Server fungieren. Hierbei wird der SSH-Client zunächst angewiesen, eine sichere Verbindung zu einem entfernten SSH-Dienst aufzubauen. Zugleich nimmt der SSHClient nun SOCKS-Requests auf einem vorbestimmten Port entgegen, um in der Connect-Phase die Datenpakte des SOCKS-Clients (z.B. eines WebBrowsers) über die bestehende SSH-Verbindung zu tunneln [Abb. 5.2-3b]. Da sich sowohl SOCKS-Applikation und SSH-Client als auch der SOCKS-Server auf dem gleichen Rechner befinden, wird in der Applikation als SOCK-Proxy der vorkonfigurierte Port angegeben. Auf eine Client/Benutzer-Authentifizierung kann hierbei naturgemäß verzichtet werden. Mit dieser Methode kann ohne viel Aufwand, aber mit recht hoher Sicherheit, z.B. von einem Internet-Café aus, auf die lokalen Ressourcen im Firmennetz zugegriffen werden, sofern der Zugriff auf den SSH-Server vom Internet aus gestattet ist.
5.3
Sicherung von WebTransaktionen
Anwendungs- und Protokollneutralität
Secure Socket Layer
Mit der beginnenden kommerziellen Nutzung des Internet und speziell vor dem Hintergrund der Notwendigkeit, Web-Applikationen zu sichern, wurde von der Firma Netscape das Protokoll SSL (Secure Socket Layer) entwickelt, dessen aktuelle Version 3 [http://wp.netscape.com/eng/ssl3] von der IETF als Transport Layer Security (TLS) Version 1.0 in RFC 2246 beschrieben wurde. Mittlerweile liegt mit RFC 4346 die TLS-Version 1.1 vor, die nur marginale Ergänzungen zur ursprünglichen Protokollversion mit sich bringt. SSL befindet sich seit nunmehr über 10 Jahre nahezu ohne Änderungen im täglichen Einsatz und der (Web-)Anwender bekommt mit Ausnahme einer Farbänderung der dargestellten URL im Browser-Fenster bzw. eines symbolisch dargestellten, gedrückten Vorhängeschlosses von seinem Einsatz nichts mit. Trotzdem kann er sicher sein, dass seine Daten gesichert, verschlüsselt und somit vertraulich zur Zielanwendung übertragen werden. Daraus wird deutlich, welch großen Wurf Netscape mit SSL vollbracht hat. SSL stellt sich aus Sicht der Anwendung als sicheres Transportprotokoll und seitens der Transportschicht (TCP/UDP) als Sitzungs- bzw. Anwendungsprotokoll dar. Daher muss SSL sowohl auf Client- als auch auf Anwenderseite implementiert sein. Als Kommunikationspartner werden zwei Systeme unterschie-
217
5.3 Secure Socket Layer
den, nämlich SSL-Client und SSL-Server (im Weiteren kurz Client und Server genannt). Die Unterscheidung beider Systeme ist sehr wichtig, da SSL von ihnen verschiedene Verhaltensweisen fordert. Hinsichtlich der unterliegenden Protokolle bestehen keine weiteren Anforderungen; insbesondere ist SSL neutral gegenüber dem verwendeten Netzwerkprotokoll, kann also ohne Einschränkungen bzw. Änderungen in IPv4- und IPv6-Netzen eingesetzt werden. Mit SSL wurde das Henne-Ei-Problem für die sichere Datenübermittlung ge- Kryptolöst und damit die folgenden grundlegenden Sicherheitsdienste zusammenge- grafische Elemente führt: Private Key/Public Key Verfahren Vor dem Datenaustausch wird eine Vereinbarung zwischen Client und Server mithilfe des sog. Handshake-Protokolls (auch als SSL-Verbindung bezeichnet) getroffen. In dieser Vereinbarung wird eine Sicherheits-Suite (CipherSuite) festgelegt. Anschließend werden beim Key Exchange Protokoll bestimmte Schlüsselmaterialen übermittelt, die den Client und den Server in die Lage versetzen, einen gemeinsamen und geheimen Schlüssel selbst zu generieren, ohne diese übertragen zu müssen. Symmetric Key Encryption Der bei SSL gebildete symmetrische Schlüssel ist temporär und einmalig; verbleibt aber bei den SSL-Partnern während der Sitzung im Cache. Das symmetrische Verschlüsselungsverfahren nach der ausgewählten sog. CipherSuite sorgt für eine effiziente Verschlüsselung der zu übertragenden Daten mit dem gemeinsamen Schlüssel.
von SSL
Message Digest Eine Hash-Funktion dient als Message Digest dazu, die Integrität der empfangenen Daten zu verifizieren. Zertifikate Die Identität der Kommunikationspartner und speziell des SSL-Servers kann mittels X.50-Zertifikaten überprüft und sichergestellt werden. Neben diesen zentralen Eigenschaften ermöglicht SSL auch noch optional eine Komprimierung der zu übertragenden Daten und sorgt sich – ähnlich TCP – um eine Fragmentierung und Re-Assemblierung der Nutzdaten. Die heutigen SSL-Implementierungen nutzen in der Regel (unter UNIX) die SSLOpenSSL-Bibliotheksfunktionen [http://www.openssl.org], wobei alternativ Bibliotheksauch GNU-TLS [http://www.gnu.org/software/gnutls] zur Verfügung steht. funktionen Unter Windows sind die Funktionen von SSLv2 und SSLv3 Bestandteil von Microsofts WinSock2 bzw. vom .net Framework. Direkt oder indirekt entstammen diese Programme den ursprünglichen SSLeay Funktionen von Eric Young [http://www.columbia.edu/~ariel/ssleay]. Neben den ProgrammSchnittstellen bringen diese Bibliotheken sowohl Digest-Funktionen und kryp-
218
5
NAT und Netzdienstprotokolle: SOCKS, SSL, LDAP
tografische Funktionen (crypto) mit wie auch einen qualifizierten Zufallsgenerator. Der implementierte Umfang dieser Funktionen bestimmt die zur Auswahl stehenden CipherSuites; beispielsweise die Unterstützung von SHA-2. Für den Anwender werden in der Regel nützliche Programme zu Generierung, Manipulation und Verwaltung der Zertifikate zur Verfügung gestellt.
5.3.1 SSL im Schichtenmodell und Hilfsprotokolle Mit SSL bzw. TLS wird eine Reihe von Diensten auf Sitzungs- bzw. Darstellungsebene (im OSI-Modell) zur Verfügung gestellt, die als Teil des SSLRecord-Protokolls implementiert sind. Hierzu zählen Handshake- bzw. Sitzungs-Protokoll, Alert- bzw. Alarm-Protokoll, Cipher-Wechsel- bzw. Change-CipherSpec-Protokoll sowie Applikations- bzw. Anwendungsdaten-Protokoll. Record Layer
Die untere Teilschicht, als Record Layer Protocol bezeichnet, stellt die PDUs (Protocol Data Units) als Transport-Container zur Verfügung, in denen die Nachrichten der SSL-Hilfsprotokolle und Applikationsdaten (z.B. von HTTP, SMTP, LDAP, ...) eingebettet werden.
Handshake
Das Handshake-Protokoll legt die Prinzipien fest, nach denen SSL-Client und SSL-Server gemeinsam die notwendigen Sicherheitsvereinbarungen treffen können. Diese werden im Detail in der Cipher-Suite festgelegt.
ChangeCipherSpec
Das ChangeCipherSpec-Protokoll ist ein primitives Protokoll, das nur eine einfache Nachricht ChangeCipherSpec definiert. Mit dieser signalisiert jeder Kommunikationspartner dem anderen nur, dass er seinen Status gewechselt hat.
Alert
Das Alert-Protokoll wird zum Abbau der bestehenden SSL-Verbindung und zum Signalisieren von fehlerhaften Situationen verwendet. H T T P , S M T P , L D A P , ... S L
S
H a n d sh a k e
C h a n g e C ip h e rS p e c
A le rt
A p p lik a tio n s p ro to k o ll
R e c o rd L a y e r P ro to c o l T ra n s m is s io n C o n tro l P ro to c o l (T C P ) In te rn e t P ro to c o l (IP )
Abb. 5.3-1: SSL im Schichtenmodell und SSL-Hilfsprotokolle HTTP: HyperText Transfer Protocol, LDAP: Lightweight Directory Access Protocol, SMTP: Simple Mail Transport Protocol
5.3 Secure Socket Layer
219
5.3.2 SSL und X.509-Zertifikate Grundlage der SSL-Datensicherung ist der Einsatz von X.509-Zertifikaten. Ein Zertifikat ist in der Regel an den Hostnamen des Rechners (also dessen FQDN) bezogen. Zudem muss eine Server-Anwendung verfügbar sein, die dieses Zertifikat gegenüber dem Client verfügbar macht. Obwohl auch der Client ein Zertifikat aufweisen kann, ist dessen Einsatz beim Aufbau einer SSL-Verbindung nicht obligatorisch. Zertifikate kommen bei SSL in unterschiedlichen Formaten vor: PEM: ursprünglich in [RFC 1421, ...,1424] beschriebenes Format für Privacy Enhanced Mail, DER: die von der CCITT (jetzt ITU-T) in X.690 festgelegten Distinguished Encoding Rules in ASN.1-Syntax, PKCS12: ein (öffentlicher) Standard der Firma RSA Data Security zur sicheren Ablage von Zertifikaten. Mittels der openssl-Funktionen können diese Zertifikate generiert und in einander überführt werden, wobei die SSL-Anwendungen in der Regel PKCS12Zertifikate in ASN.1-Format erwarten. Abbildung 5.3-2 zeigt den beispielhaften Aufbau eines X.509-Zertifikats. D N o f Issu e r = D N d e r a u sg e b e n d e n Z e rtifik a ts -B e h ö rd e (C A )
V e rs io n o f C e rtific a te C e rtific a te S e ria l N u m b e r S ig n a tu re A lg o rith m fo r C e rt A u th . Issu e r (C A ) D N
X .5 0 9 .v 1
S u b je c t o f C e rt (D N ) S u b je c t P u b lic K e y In fo rm a tio n
A lg o rith m
D N o f S u b je c t = D N d e r B e s itz e rs d e s Z e rtifik a ts
X .5 0 9 .v 2 Id e n tifie r
P u b lic K e y V a lu e
Is s u e r U n iq u e Id e n tifie r S u b je c t U n iq u e Id e n tifie r E x te n s io n F ie ld (V a ria b le ) C e r t i f i c a t i o n A u t h o r i t y 's D ig ita l S ig n a tu re
X .5 0 9 .v 3
= > b e i P K IX -g e m ä ß e r N u tz u n g v o n X .5 0 9 - Z e r tifik a tio n g ilt fo lg e n d e R e g e l: S e r v e r : C N = h o s t.e x a m p le .c o m C lie n t : u s e r @ lo c a l.e x a m p le .c o m
o p tio n a le A n g a b e v o n S c h lü s s e l-, P o lic y -, u n d B e n u tz e r-A ttrib u te n
Abb: 5.3-2: Aufbau von X.509-Zertifikaten Auth.: Authenticate, Cert: Cerificate, DN: Distinguished Name, PKIX: Public Key Internet Exchange
In der SSL-Praxis unterscheidet man zwischen privaten, sog. self-signed- self-signedZertifikaten, oder „öffentlich“ überprüfbaren Zertifikaten, die entweder mittel- Zertifikate oder unmittelbar von sog. Stamm-Zertifikaten abgeleitet sind. Self-signed-
220
5
NAT und Netzdienstprotokolle: SOCKS, SSL, LDAP
Zertifikate können mit openssl-Funktionen sehr einfach selbst erzeugt werden. Damit der SSL-Client die Validität des self-signed-Zertifikats nachvollziehen kann, muss der hier hinterlegte Canonical Name lediglich dem FQDN des SSL-Servers entsprechend und die zeitliche Gültigkeit des Zertifikats gewährleistet sein. Certificate Authority und Trust Center
Certificate Request Certificate Revocation List
Im Internet sind einige Firmen als „offizielle“ Zertifizierungsstellen – die sog. CAs (Certificate Authorities) – akkreditiert. Diese Firmen (z.B. VeriSign) besitzen ein besonders geschütztes Trust Center (TC). Über eine CA können Einzel- bzw. Firmen-Zertifikate beantragt bzw. (kostenpflichtig) beglaubigt werden. Die Stammzertifikate dieser Firmen sind typischerweise in den SSL-fähigen Anwendungen, wie z.B. dem Microsoft Internet Explorer, dem Opera oder dem FireFox Web-Browser, hinterlegt. Offizielle Zertifikate müssen über eine CA beglaubigt sein. Hierzu ist von interessierter Seite ein Certificate Request zu stellen bzw. ein selbst-generiertes Zertifikat muss zur Beglaubigung vorgelegt und signiert werden. Ungültige bzw. kompromittierte Zertifikate können über eine Certificate Revocation List (CRL) den SSL-Anwendungen bekannt gemacht werden.
5.3.3 Ablauf des SSL-Verfahrens Abbildung 5.3-3 illustriert den Aufbau einer SSL-Verbindung. Hierbei tauschen Client und Server zunächst bestimmte Nachrichten nach dem Handshake-Protokoll aus. Mehrere Nachrichten vom Client bzw. vom Server können auch als ein Nachrichtenblock in einem Frame vom Record Layer [Abb. 5.3-4b] und damit als ein TCP-Segment an die Gegenseite übermittelt werden.
(S S L -)C lie n t
In te rn e t
T C P -S e g m e n t 1
T C P -S e g m e n t
6 7 8
T C P -V e rb in d u n g s a u fb a u C lie n tH e llo S e rv e rH e llo C e rtific a te S e rv e rK e y E x c h a n g e S e rv e rH e llo D o n e C lie n tK e y E x c h a n g e C h a n g e C ip h e rS p e c F in is h e d C h a n g e C ip h e rS p e c F in is h e d S S L -V e rb in d u n g
Abb. 5.3-3: Aufbau einer SSL-Verbindung
(S S L -)S e rv e r
2
5
4
3
9 1 0
T C P -S e g m e n t
T C P -S e g m e n t
221
5.3 Secure Socket Layer
Der Aufbau einer SSL-Verbindung geschieht typischerweise in folgenden Aufbau einer SSLSchritten: Verbindung
1.
Der Client sendet die Nachricht ClientHello, um eine SSL-Verbindung zum Server zu initiieren. Diese Nachricht enthält eine Reihe von CipherSuite-Feldern mit Sicherheitsverfahren [Abb. 5.3-5] als Vorschlagsliste an den Server, die er um die Angaben von seinerseits unterstützten Daten-Komprimierungsverfahren ergänzt.
2.
Der Server antwortet mit der Nachricht ServerHello, in der er im Feld CipherSuite dem Client die von ihm ausgewählte CipherSuite mitteilt. Optional teilt er dem Client das von ihm bevorzugte Komprimierungsverfahren mit.
3.
Der Server übermittelt mit der Nachricht Certificate eines bzw. mehrere seiner Zertifikat/e. Damit verfügt der Client über den öffentlichen Schlüssel des Servers und kann zusätzlich die Identität des Servers überprüfen.
4.
Der Server übermittelt mit ServerKeyExchange sein „Schlüsselmaterial“, um den gemeinsamen und geheimen Sitzungsschlüssel nach dem Sicherheitsverfahren zu generieren, das er dem Client bereits im Feld CipherSuite der Nachricht ServerHello mitgeteilt hat. Das genaue Format des Schlüsselmaterials hängt vom ausgewählten Verfahren ab.
5.
Mit der Nachricht ServerHelloDone teilt der Server dem Client mit, dass er mit dem Übertragen seiner Angaben zum einzusetzenden Sicherheitsverfahren, das er in der Nachricht ServerKeyExchange angegeben hatte, fertig ist, und wartet auf die Antwort des Clients.
6.
Mit der Nachricht ClientKeyExchange sendet der Client sein Schlüsselmaterial, um den gemeinsamen und geheimen Sitzungsschlüssel zu generieren. Dieses Schlüsselmaterial ist vom vereinbarten Sicherheitsverfahren abhängig und wird mit dem öffentlichen Schlüssel des Servers verschlüsselt. Nur er ist in der Lage, dieses Schlüsselmaterial mithilfe seines privaten Schlüssels zu entschlüsseln. Danach generiert der Client für sich den geheimen Sitzungsschlüssel und schaltet seinen Status auf verschlüsselte Sitzung um. Nach dem Empfang der Nachricht ClientKeyExchange generiert der Server für sich ebenfalls den geheimen Sitzungsschlüssel und geht ebenfalls in den verschlüsselten Status über.
Client Authentifizierung
7.
Mit der Nachricht ChangeCipherSpec teilt der Client dem Server mit, dass er alle ausgehandelten Sicherheitsverfahren aktiviert hat. Gleichzeitig wechselt er seinen Status und ist auf die verschlüsselte Sitzung übergegangen.
Close
8.
Sofort nach der Nachricht ChangeCipherSpec sendet der Client die Nachricht Finished, die den Aufbau der SSL-Verbindung seitens des Clients beendet.
9.
Mit der Nachricht ChangeCipherSpec teilt der Server dem Client mit, dass er alle ausgehandelten Sicherheitsverfahren aktiviert und seinen Status gewechselt hat, d.h. er ist ebenfalls in eine verschlüsselte Sitzung übergegangen.
Server Authentifizierung
10. Unmittelbar nach der Nachricht ChangeCipherSpec sendet der Server die Nachricht Finished, mit der der Aufbau der SSL-Verbindung vom Server aus ebenso beendet wird. Bemerkung: Es ist zu beachten, dass die Angabe eines Zertifikats sowohl beim Server als auch beim Client optional ist. Wie Abbildung 5.3-3 zeigt, ist es jedoch typisch, dass der Server über ein Zertifikat verfügt, während der Client nur in den wenigsten Fällen ein Zertifikat anbietet.
Damit wurde eine Vereinbarung zwischen Client und Server hinsichtlich der Gesicherte Unterstützung der Sicherheit mittels einer virtuellen SSL-Verbindung getrof- Datenüberfen. Jetzt können die eigentlichen Daten zwischen Client und Server geschützt tragung übermittelt werden, wobei im symmetrischen Verschlüsselungsverfahren der
222
5
NAT und Netzdienstprotokolle: SOCKS, SSL, LDAP
gemeinsame Schlüssel sowie optional das vereinbarte Komprimierungsverfahren benutzt werden. Verbindungsabbau
Der Abbau einer SSL-Verbindung wird durch das Absenden einer Nachricht ClosureAlert initiiert. Dies kann sowohl seitens des Clients als auch seitens des Servers erfolgen. Die Gegenseite muss den Empfang von ClosureAlert mit ClosureAlert bestätigen.
5.3.4 Record Layer Protocol SSL stellt im Handshake Protocol Mittel zur Verfügung, um die Realisierung der Sicherheit zwischen den Kommunikationspartnern abzustimmen. SSL bietet mit dem Record Layer Protocol aber auch einen Transportcontainer, in dem die Nachrichten der höheren Protokollschichten [Abb. 5.3-1] übermittelt werden können. Hierbei ist insbesondere das Protokoll HTTP zu erwähnen. Wie Abbildung 5.3-4a zeigt, wird ein Record Layer Header (RL-Header) jeder zu übermittelnden Nachricht vorangestellt. Dort wird angegeben, nach welchem Protokoll (z.B. SSL-Handshake, HTTP, ...) eine Nachricht eingebettet wird. Message Authentication Code
Mittels der vereinbarten Hash-Funktion wird aus der zu übermittelnden Nachricht ein Message Digest berechnet. Dieser Hash-Wert dient als MAC (Message Authentication Code) dazu, die Integrität der Nutzdaten (kollisionsfrei) zu beschreiben und somit der Gegenseite die Möglichkeit zu verschaffen, mittels dieser Prüfsumme die Datenintegrität zu verifizieren. a )
R L H e a d e r
N a c h ric h t(e n ) P ro to c o l (1 B y te ) V e rs io n (2 B y te s ) L e n g th (2 B y te s ) P ro to c o l =
b ) D a te n e in e s A p p lik a tio n s p ro to k o lls
v e rs c h lü s s e lt (o p tio n a l)
2 0 2 1 2 2 2 4
: C : A : H : A
M A C H a sh -W e rt
M P
P L
P a d d in g (o p tio n a l)
h a n g e C ip h e rS p e c P ro to c o l le rt P ro to c o l a n d s h a k e P ro to c o l p p lic a tio n P r o to c o l ( H T T P , ...)
S e g m e n t K o m p re s s io n
S e g m e n t
S e g m e n t
M A C B e re c h n u n g V e rs c h lü s s e lu n g R e c o rd L a y e r H e a d e r
M A C
R e c o rd L a y e r F ra m e
Abb. 5.3-4: a) Transport von Nachrichten in Record Layer Frames, b) Bildung eines Record Layer Frames MAC: Message Authentication Code, MP: Message Padding, PL: Padding Length, RL: Record Layer
Padding
Nach der MAC-Berechnung wird die zu übermittelnde Nachricht zusammen mit dem MAC-Teil verschlüsselt. Das Verschlüsselungsverfahren hierfür wurde zuvor von den Kommunikationspartnern mithilfe von Nachrichten KeyEx-
5.3 Secure Socket Layer
223
change vereinbart [Abb. 5.3-3]. Da einige Verschlüsselungsverfahren blockweise arbeiten, muss jede Nachricht zusammen mit dem MAC-Teil so lang sein, dass sich immer eine Anzahl von vollen Blöcken (z.B. je 64 Bits wie beim DES) ergibt. Somit muss man in der Regel an das MAC-Teil eine zusätzliche Füllung (sog. Padding) anhängen, um eine volle Blocklänge zu erreichen.
Nach der Verschlüsselung wird der RL-Header generiert und die gesamte RLFrame-Länge wird im ersten Feld Length angezeigt [Abb. 5.3-4a]. Für die Applikationsdaten stellt SSL die Transportfunktionen bereit, um diese in SSL-Nachrichten zu übertragen. Falls die zu übermittelnden Daten zu lang sind, werden sie zuerst in mehrere (Daten-)Segmente aufgeteilt. Abbildung 5.3-4b illustriert dies. Sind die Daten kurz, entsteht nur ein Segment. Für jedes Segment wird ein Record Layer Frame erzeugt. Das zu übermittelnde Segment wird zunächst nach dem vereinbarten Verfahren komprimiert. Danach wird der Hash-Wert, der den MAC-Teil bildet, berechnet. Das komprimierte Segment mit dem MAC-Teil wird verschlüsselt und für die Übermittlung wird ihm schließlich noch ein Record Layer Header vorangestellt.
5.3.5 Cipher Suites Die beiden kommunizierenden Partner, d.h. SSL-Client und SSL-Server, vereinbaren zu Beginn der SSL-Verbindung zunächst die Prinzipien, nach denen sie die Kommunikation sichern können. Diese Informationen werden als CipherSuite ausgetauscht. Abbildung 5.3-5 zeigt CipherSuite bei SSL. S c h lü s s e l-A u s ta u s c h -V e rfa h re n S S L _ N U R S R S D H D H D H D H A
L L A _ _ a _ a _ D _ D
E X P O R T n o n n o n _ E X P O R T S S S S _ E X P O R T
V e rs c h lü s s e lu n g s -V e rfa h re n
_
_ D H _ D H _ D H E D H E D H E D H E F O R
R S A R S A _ D S _ D S _ R S _ R S T E Z
_ E X P O R T
S S _ E X P O R T
A A _ E X P O R T Z A _ K E A
N U R C R C R C ID D E D E 3 D F O
L L 2 _ C B C _ 4 _ 4 0 4 _ 1 2 8 E A _ C B C S 4 0 _ C B S _ C B C E S _ E D E R T E Z Z A
4 0
H a s h -F u n k tio n N U L L M D 5 S H A
C _ C B C _ C B C
Abb. 5.3-5: Aufbau der CipherSuite bei SSL
In CipherSuite sind enthalten: ein asymmetrisches Schlüssel-Austausch-Verfahren (Key Exchange), das in der Regel Varianten des RSA- bzw. DH-Verfahrens (DH: Diffie-Hellmann) mit unterschiedlichen Schlüssellängen beinhaltet,
Daten in Record Layer Frames
224
5
NAT und Netzdienstprotokolle: SOCKS, SSL, LDAP
ein symmetrisches Verschlüsselungsverfahren (Encryption) mit einem gemeinsamen Chiffre-Code bzw. Cipher, das entweder blockweise (wie DES, 3DES, IDEA bzw. RC2_CBC sowie AES) oder bitweise als Stromverschlüsselungsverfahren (wie RC4_128 und RC4_40) arbeitet. die Message-Digest-Methode, die aktuell als SHA-2 vorliegt, aber auch SHA-1 bzw. MD5 sein kann. Bemerkung: Hervorzuheben ist, dass bis vor nicht allzu langer Zeit „starke“ Schlüssel – also solche mit großer Länge – den US-Ausfuhrbestimmungen unterworfen waren. Schlüssel geringerer Stärke waren aber in der Software „exportierbar“. Mit der Lockerung der US-Exportvorschriften hat diese Unterscheidung jedoch ihren Sinn verloren.
Jeder CipherSuite wird ein Wert zugeordnet, der im CipherSuite-Feld (2 Bytes) von SSL-Nachrichten ClientHello und ServerHello angegeben wird. Beispielsweise kann der SSL-Client dem SSL-Server bis zu fünf CipherSuites in einer Nachricht ClientHello vorschlagen, wobei eine CipherSuite die in Abbildung 5.3-5 dargestellte Struktur aufweist.
5.3.6 SSL-Ports und STARTTLS Nutzt ein Applikationsprotokoll (z.B. HTTP) die SSL-Dienste, wird darauf mit dem Buchstaben „S“ am Ende des Protokollnamens verwiesen (z.B. HTTPS). SSL ist für die Applikationen „transparent“. Trotzdem wird SSL bis dato jedoch nur für eine kleine Anzahl von Anwendungen eingesetzt. Der Grund hierfür besteht darin, dass die per SSL abgesicherte Verbindung einen ergänzenden Server-Port (Port Nummer in Klammern) nutzt. Obwohl z.B. von der IANA auch für die Protokolle TELNET (23) TELNETS (992) sowie für FTP (20/21) FTPS (989/990) Ports für SSL-Varianten definiert sind, werden in der Praxis im TTPS (443), LDAP (389) LDAPS (636) sowie die E-Mail Protowesentlichen HTTP (80) SMTPS (465), IMPA4 (143) IMAP4-SSL (585) und POP3 (110) kolle SMTP (25) POP3S (995) über SSL genutzt.
STARTTLS/STLS
Da das Aufsetzen eines zusätzlichen Serverdienstes für die SSL-gesicherte Datenübermittlung im Hinblick auf die Anforderungen an Firewall und NAT häufig nicht gewünscht ist, steht für die wichtigen Protokolle SMTP, POP3/IMAP4 sowie für LDAP mittels STARTTLS bzw. STLS ein Verfahren bereit, durch das der Server anzeigt, dass er auch auf dem Standard-Port SSL-Dienste anbietet, die der Client bei Bedarf nutzen kann. Abbildung 5.3-6 zeigt das bei E-Mail häufig eingesetzte Verfahren STARTTLS im direkten Vergleich zur Verbindungsaufnahme über den SMTPS Port 465. Im ersten Fall – in Abbildung 5.3-6a – erfolgt die Aufnahme der SSL-Verbindung, bevor die SMTP-Sitzung gestartet wird. Abbildung 5.3-6b illustriert, dass die SSL-Verbindung in der (E)SMTP-Sitzung mittels des Kommandos STARTTLS vom Client initiiert werden kann, sofern der SMTP-Server diese
5.4 Lightweight Directory Access Protocol (LDAP)
225
Option anbietet. In beiden Fällen muss sichergestellt werden, dass nach Erreichen einer qualifizierten SSL-Verbindung keinesfalls ein zweites Mal STARTTLS gestartet wird. Im Hinblick auf das SSL-Protokoll sind beide Varianten identisch, d.h. sie unterscheiden sich weder im Ablauf noch im Ergebnis. S M T P C lie n t (M U A ) T C P S Y N
2 2 0 h o s tn a m e E M S T P E H L O c lie n t 2 5 0 2 5 0 2 5 0 2 5 0 2 5 0
a )
S M T P S S e rv e r
In te rn e t
-h o s tn -P IP E -8 B IT -S IZ E -A U T
a m e L IN IN G M IM E 0 H L O G IN
T C P L is te n P o rt 4 6 5
S M C (M T C
T P lie n t U A ) P S Y N
2 2 0 h o s tn a m e E M S T P E H L O c lie n t 2 5 0 2 5 0 2 5 0 2 5 0 2 5 0 2 5 0
S S L T u n n e l
b )
S M T P S e rv e r
In te rn e t
-h o s tn a m -P IP E L I -8 B IT M -S IZ E 0 -A U T H S T A R T
T C P L is te n P o rt 2 5
e N IN G IM E
L O G IN T L S
S T A R T T L S 2 2 0 R e a d y to s ta rt T L S S S L T u n n e l
Abb. 5.3-6: Nutzung von SSL bei der E-Mail-Übetragung: a) SMTPS über den SMTP-Port 465, b) SMTP über SSL mittels STARTTLS und Standard-Port 25
5.4
Lightweight Directory Access Protocol (LDAP)
LDAP hat im Vergleich zu den anderen in diesem Kapitel dargestellten Verfahren eine lange und wechselhafte Geschichte hinter sich. Angefangen vom Directory Access Protocol (DAP), das von der (damaligen) CCITT als X.500 ins Leben gerufen und als dessen „kleiner Bruder“ LDAP mit der Version 1 im Jahr 1993 als RFC 1487 spezifiziert wurde, bis zum heutigen LDAPv3 Entwurf von 2002 [RFC 3377] gibt es kaum ein Internet-Protokoll, bei dem Anspruch (Anforderung) und Wirklichkeit (Implementierung) so weit auseinander lagen. Allgemein besteht Bedarf an einem Verzeichnisdienst, mit dem bzw. über den Bedarf an die Ressourcen allgemein beschreibbar und vor allem einfach auffindbar sind. VerzeichnisEine Ressource ist z.B. eine Person mit ihrer Anschrift, Telefon-Nummer, E- dienst Mail-Adresse, aber auch ein Netzwerk-Drucker mit den Angaben wie Standort, IP-Adresse und spezielle Fähigkeiten, wie z.B. Farbdruck. Neben einer Public Domain Implementierung von LDAP, die an der University Bekannte of Michigan vorangetrieben wurde [http://www.openldap.org], war es zu- Verzeichnisnächst die Firma Banyan, die über StreetTalk einen Verzeichnisdienst innerhalb dienste ihres Netzdienstes Vines realisierte. Später ist dann Novell (mit Version 4.x) diesen Anforderungen gefolgt und bot mittels Network Directory Services
226
5
NAT und Netzdienstprotokolle: SOCKS, SSL, LDAP
(NDS) entsprechende Dienste an, die zudem heute eine 100% LDAP-Schnittstelle aufweisen. Erst mit Windows 2000 hat dann auch Microsoft mit Active Directory Services (ADS) eine qualifizierte LDAP-Implementierung vorgelegt. LDAPBesonderheiten
Verzeichnisbaum = DIT
ACL
DN
Die wichtigsten LDAP-Besonderheiten sind: LDAP ist ein oberhalb von TCP angesiedeltes Client/Server-Protokoll. Die Client-Funktion ist in der Regel über ein LDAP-API realisiert, das unter UNIX über die OpenLDAP-Bibliotheken, unter PERL (net-ldap) aber natürlich auch für die Microsoft-Betriebssysteme zur Verfügung steht. Der Client baut eine Sitzung zum Server auf (Bind), über die das Holen (Query), das Ändern oder das Einfügen von Informationen qualifiziert möglich sind. Obwohl eigentlich leichtgewichtig vom Anspruch, ist die Implementierung eines LDAP-Servers durchaus schwergewichtig. Zunächst sind die hinterlegten LDAP-Informationen geeignet abzubilden. Im Gegensatz zu einer relationalen Datenbank, sind die Informationen grundsätzlich hierarchisch gestaffelt und bilden einen Verzeichnisbaum, den sog. DIT (Directory Information Tree). Zudem ist LDAP in erster Linie für lesenden Zugriff entwickelt, aber nicht unbedingt für häufige Änderungen der Daten. Typischerweise wird trotzdem der Datenbestand in einer (einfachen) Datenbank verwaltet (z.B. Berkeley-DB, MS-Jet). Der LDAP-Server muss nicht nur für den Zugriff auf die hinterlegten Entitäten geeignete Access Control Lists (ACL) führen, sondern er muss bei Bedarf auch seinen Datenbestand (partiell) mit anderen LDAP-Servern abgleichen (Replikation). Die Adressierung eines LDAP-Objekts erfolgt über den im Verzeichnisbaum eindeutig hinterlegten Distinguished Name (DN). Die Beschreibung der LDAP-Entitäten erfolgt prinzipiell objektorientiert. LDAP unterscheidet zwischen Objekten (abstrakte oder konkrete Sammelcontainer wie Personen), ihren Attributen (z.B. Vor- und Zuname) und den zugeordneten Werten (also z.B. zum Canonical Name CN = Peter Schmid). Welche Objekte welche Attribute aufweisen dürfen und wie die Werte zu interpretieren sind, wird über das Schema bestimmt. Die Krux bei LDAP ist, dass der Client eine a-priori Kenntnis des Schemas besitzen muss, um die angebotenen Informationen vernünftig zu interpretieren. Während in den Anfangszeiten von LDAP (und vor allem von X.500) das Schema an den Notwendigkeiten der Telekom-Unternehmen ausgerichtet war, reflektiert das aktuelle LDAPv3-Protokoll doch weitgehend den Bedarf der InternetNutzer, ohne allerdings die grundlegende Abhängigkeit prinzipiell zu lösen.
227
5.4 Lightweight Directory Access Protocol (LDAP)
5.4.1 Directory Information Tree LDAP stellt keine (relationale) Datenbank im eigentlichen Sinne bereit, vielmehr sind die Daten (Informationen) im LDAP-Verzeichnis hierarchisch abgebildet. Wie auch bei DNS [Abschnitt 4.1] beginnt die Struktur mit der Wurzel „root“. Während bei DNS auf der obersten Strukturebene die generic Top Level Domains (gTLD) angesiedelt sind, baut das LDAP-Verzeichnis typischerweise auf Country Codes auf, die entsprechend IS0-3166 benannt sind. Der Distinguished Name (DN) wird gebildet durch eine Zeichenkette [RFC 1485], die die einzelnen Hierarchie-Ebenen benennt: C=DE, O=FEHCOM, CN=Erwin Hoffmann. Hierbei steht C für den Country Code, O für die Organisation und CN ist der sog. Common Name. Der Name eines „Knotens“ in der Hierarchie wird Relative Distinguished Name (RDN) genannt. Wie die Hierarchien gebildet werden, ist nicht vorgeschrieben und kann bedarfsweise entschieden werden. So mag es sinnvoll sein, die Objekt-Ebene OU für Organizational Unit oder L für Locality Name (Ort) zu nutzen bzw. ST für Bundesstaat oder Provinz. Durch das Ein- bzw. Ausblenden einzelner Ebenen ist LDAP in der Strukturierung der Information recht flexibel. Abweichend vom geografischen oder organisatorischen Aufbau des DNS kann zur Identifikation auch die DNS-Information mittels der DC-Kennung (Domain Component) angegeben werden [RFC 2247], wie z.B. DC=fehcom, DC=de.
Distinguished Name = DN, Common Name = CN
Domain Component = DC
Anwender besitzen auf den Rechnersystemen in der Regel eine Benutzer- UserID Kennung oder einen Account-Name. Diese kann mittels des UserID-Attributs (UID) geeignet abgebildet werden und steht in Ergänzung zum Common Name zur Verfügung. Eine Information, die durch einen DN im LDAP-Verzeichnis auffindbar ist, Einträge wird Eintrag (Entry) genannt. Ein Eintrag ist die Instanz eines Objektes seiner Klasse. Kennzeichnend ist, dass per constructionem der Eintrag die Attribute und die Zugriffsberechtigungen (die sog. Access Control Lists) seiner Klasse, sowie der übergeordneten Klassen „erbt“. Die Merkmale eines Objekts treten in der Praxis vor allem über die ihm zugewiesenen (und abrufbaren) Attribute zutage. Für ein Objekt kann ein Attribut mandatorisch oder optional sein, was über das Schema festgelegt wird. Abbildung 5.4-1 zeigt den beispielhaften Aufbau a) eines Verzeichnisses mit der Möglichkeit, Alias-Einträge zu bilden, und b) eines einzelnen Eintrags unter zusätzlicher Darstellung der vererbten Attribute. Neben dem Objektmerkmal Attribut gibt es das weitere Merkmal ACL, das die Access ConVerfügbarkeit eines Attributes auf der Zugriffs- bzw. Berechtigungsebene fest- trol Lists legt. Generell ist das Objektmodell bei LDAP nicht geschützt – und kann somit
228
5
NAT und Netzdienstprotokolle: SOCKS, SSL, LDAP
ohne Einschränkungen abgefragt werden –, wohl aber die Attribut-Werte der Einträge. R o o t
a )
C = D E
C = U S O = IB M
O = H e w le tt P a c k a rd
D C = d e D C = h s fu ld a
O = H S F u ld a
O U = ... U ID = x y z
b )
O U = In fo rm a tik
U ID = fd 1 0 1 2
V e r w e is
D C = fe h c o m
D C = in fo rm a tik
D N : U ID = fd 1 0 1 2 , O U O = H o c h s c h u le F u o b je c tc la s s : to p o b je c tc la s s : p e r s o n o b je c tc la s s : o r g a n iz a tio o b je c tc la s s : in e tO r g P e r C N : A n a to l B a d a c h O : H o c h s c h u le F u ld a O U : F B In fo rm a tik M A I L : a n a to l.b a d a c h @
= F B In fo rm a tik , ld a , C = D E n a lP e r s o n so n
in f o r m a tik .h s - f u ld a .d e
Abb. 5.4-1: Beispielhafter Aufbau eines LDAP-Verzeichnisses und eines -Eintrags: a) Auszug aus dem Verzeichnisbaum, b) Aufbau eines Eintrags
Schema
Den Begriff Schema hat LDAP von X.500 „geerbt“ und er wird in RFC 2256 für LDAPv3 näher beschrieben. Die aktuellen Eigenschaften von LDAP, wie seine Objekte, Attribute und Nachrichten-Typen und findet man bei IANA [http://www.iana.org/assignments/ldap-parameters]. Grundsätzlich wird bei LDAP das Schema verstanden als die Darstellung der Objekte in ASN.1-Syntax über ihren Object-Identifier (OID) [http://asn1.elibel.tm.fr] sowie die Festlegung von Attributen und ihrer OIDs sowie ihre Zuordnung zu den Objekten und in beiden Fällen die jeweils gültigen Vererbungsregeln. Dadurch, dass LDAP explizit Bezug auf die OIDs in ASN.1 nimmt, wird implizit die Vererbung der Objekte und der Attribute gewährleistet. RFC 2307 nimmt Bezug auf die OIDs von X.500 und schafft für LDAP die wichtige Festlegung der sog. POSIX-Attribute, in denen UNIX und Internet-Attribute zusammengefasst sind. Zusätzlich wird in RFC 4523 ein Schema für Zertifikate und in RFC 4524 das von X.500 inspirierte sog. COSINE-Schema beschrieben, das vor allem die Ablage von Dokumenten im LDAP regelt.
5.4.2 LDAP-Server DIB
Auf dem LDAP-Server ist der DIT (Verzeichnisbaum) in persistenter Form, hinterlegt, was als DIB (Directory Information Base) bezeichnet wird. In der DIB finden sich nicht nur die Einträge, sondern es müssen auch die MetaInformationen, also das Schema und die ACLs hinterlegt werden. Mittels des Schemas ist es dem LDAP-Server möglich, dem Client die gewünschten In-
229
5.4 Lightweight Directory Access Protocol (LDAP)
formationen in geeigneter Form bzw. Repräsentierung anzubieten. Über die ACLs wird festgelegt, auf welche Informationen der Client zugreifen darf bzw. welche Authentifizierung erforderlich ist. Im Hinblick auf die Client/Server-Kommunikation hat der LDAP-Server fol- Aufgaben eines LDAPgende Aufgaben: LDAP-API: Gegenüber dem Client stellt er das LDAP-API zur Verfügung.
Servers
Authentifizierung: Er stellt die Methoden zur Client-Authentifizierung bereit und weist dem Client nach erfolgter Authentifizierung die ihm zustehende Sicherheitsrolle zu. Query: Aufgrund der vom Client nachgefragten Information nimmt er Retrieval in der DIB vor, interpretiert die gefundene Information aufgrund des Schemas und präsentiert diese dem Client, sofern sie per ACLs erlaubt ist (Credentials). Update: Bei hinreichender Authentifizierung ermöglicht der LDAP-Server auch das Hinzufügen, Löschen bzw. Ändern von Einträgen sowie Attributen und ihren Werten, wie z.B. eine Passwort-Änderung in der DIB. Darüber hinaus stellt ein LDAP-Server folgende Funktionen bereit:
LDAPExport/Import: Ein- und Auslesen der in der DIB hinterlegten Informatio- ServerFunktionen
nen in einem Exportformat, dem LDAP Data Interchange Format (LDIF) [RFC 2849].
Replikation: Methoden zur (partiellen) Replikation der Daten [RFC 3384] auf weiteren LDAP-Servern. Synchronisation: Methoden zur Synchronisation des Datenbestanden mit einem anderen Server [RFC 4533]. De-Referenzierung: Einträge mit der Objekt-Klasse alias werden auf den DN mit der Ursprungsinformation verwiesen. Die Datenbankfunktionen des LDAP-Servers werden in der Regel über ein Datenbank-Backend realisiert. Kennzeichnend für einen LDAP-Server ist ein schnelles Informations-Retrieval. Dies kann in der Regel über eine IndexStruktur auf den Datenbank-Tabellen realisiert werden.
5.4.3 LDAP-Client-Zugriff Wie weit sich LDAP und X.500 angenähert haben, wird besonders in der in LDAP-Client RFC 4521 vorgenommenen Sprachregelung deutlich, in der der Directory User Agent (DUA) als LDAP-Client bezeichnet wird. Der LDAP-Client hat zwei wesentliche Aufgaben: Aufbau der Verbindung zum LDAP-Server, was als Bind bezeichnet wird,
230
5
NAT und Netzdienstprotokolle: SOCKS, SSL, LDAP
Abfrage der Informationen aus dem LDAP-Verzeichnis, sowie ggf. Update und Ergänzung bzw. Löschen der im LDAP-Server vorhandenen Informationen. Obwohl generell Informationen über die im DIT hinterlegten Objekte und Attribute (Strukturinformation) nachgefragt werden können, stehen doch die Einträge und ihre Attributwerte (Inhalte) im Vordergrund. Selbstverständlich können beide Abfragen miteinander kombiniert werden [Abb. 5.4-2]. LDAP-Verzeichnis als Adressbuch
Bind
Die im LDAP-Verzeichnis hinterlegten inhaltlichen Informationen (und ggf. auch die Strukturinformation) stellen in der Regel persönliche oder organisationsspezifische Daten dar und sind entsprechend vor unbefugtem Zugriff zu schützen. Wie nahezu überall in der EDV, wird der mögliche Umfang des Zugriffs (1) über die Benutzerauthentifizierung, (2) über die Zugriffsmethode (offen oder verschlüsselt) und (3) über die dem Benutzer zugeordneten Rechte (ACLs) bzw. Rollen gewährt. Öffentliche Informationen werden gerne mit einem Telefonbuch (sofern sie persönliche Daten enthalten) oder mit den Gelben Seiten (Yellow Pages) verglichen. Die Idee der Offenlegung entsprechender Informationen oder Dienste ist nicht neu; im Hinblick auf das sog. Address Harvesting, das zu Spam-Mails und unerwünschten SMS oder Telefonanrufen führt, aber weitgehend kompromittiert, sodass heutzutage speziell E-MailAdressen so dargestellt werden, dass sie nur mit Mühe algorithmisch ausgewertet und genutzt werden können. Die Idee des „Globalen Adressbuchs“ ist angesichts der konkreten Nutzung des Internet quasi „ad acta“ gelegt. LDAPVerzeichnisse sind generell nicht öffentlich zugänglich und spielen nur für den firmen- bzw. organisationsinternen Einsatz eine Rolle. Das Protokoll LDAP kommt den geschilderten Anforderungen insofern nahe, als dass der Zugriff auf das (konkrete) LDAP-Verzeichnis auf Sitzungsebene über das Bind geregelt wird. Der Verbindungsaufbau des LDAP-Clients zum Server findet mittels einer der folgenden Methoden statt [RFC 2829]: Anonymous Bind: Der Client ist nicht identifiziert, also anonym. Oft erhält der Client keinerlei Informationen über Einträge, wohl aber über die Strukturinformationen, also Objekte, Attribute und – wichtig – Distinguished Names (DN). Simple Bind: Der LDAP-Client identifiziert sich mit seinem DN und dem zughörigen Passwort unverschlüsselt und in Klartext. Prinzipiell kann dem Client Zugriff auf die ihm zugestandenen Attribute und deren Werte gewährleistet werden. Strong Bind: Die Übermittlung der Client-Identität erfolgt mittels kryptografisch starker Methoden, z.B. Zertifikate. Hierbei nimmt LDAP konkreten Bezug auf Simple Authentication and Security Layer (SASL) [RFC 2222].
5.4 Lightweight Directory Access Protocol (LDAP)
231
Es ist hervorzuheben, dass alle Bind-Arten – wie Abbildung 5.4-2 zeigt – bei der Nutzung über LDAPS oder LDAP+TTLS [Abschnitt 5.3.6] über verschlüsselte Kanäle erfolgen können, sodass sogar ein Simple Bind (und der anschließende Datentransfer) inhaltlich gesichert werden kann. L D A P C lie n t
a )
a n o n B IN D
L D A P S e rv e r
b in d
D N = a b c ? D N = a b c !
T C P L is te n P o rt 3 8 9
L D A P C lie n t
b )
L D A P S e rv e r
B IN D (D N = 1 2 3 , P W D = s e c re t) b in d M A I L = ? , D N = a .b .c M A I L = a @ b .c
T C P L is te n P o rt 3 8 9
L D A P C lie n t
c )
B I N D ( D N = 1 .2 .3 , C e rt = 1 2 3 ) b in d P a s s w d = z ! , D N = 1 .2 .3 o k
L D A P S e rv e r
T C P L is te n P o rt 6 3 6
Abb. 5.4-2: Verschiedene Arten des LDAP-Bind: a) Anonymous Bind: Abfrage struktureller Informationen, b) Simple Bind (unter Angabe von DN und Passwort): Query des Attributes Mail für einen anderen DN, c) Starkes Bind (mit Zertifikatsangabe): Änderung eigener Attribut-Werte
Mit der Integration von LDAP über den Netscape Web-Browser und das frei LDAP URL verfügbare LDAP-SDK begann der heimliche Siegeszug der LDAP-Anwendung. Über den in RFC 4516 deklarierten LDAP-URL lässt sich ein sehr effizienter, Internet-gestützter Adressbuch-Lookup realisieren, der von den meisten Web-Browsern unterstützt wird und statt des HTTP-Ports 80 die Anfrage auf dem LDAP-Port 389 startet: ldap://ldap.example.com. Hierbei ist natürlich auch ein TLS-gesicherter Zugang möglich. In der URL können Wildcards („?“, „*“), Suchausdrücke (Extension „!“; Werte „=“) sowie die Angabe der „Suchtiefe“ bzw. Scope (base, one, sub) verwendet werden. Zur Einhaltung des in RFC 1738 definierten Zeichenvorrats, sollten sog. unsichere Zeichen in der URL vermieden und stattdessen ihre hexadezimale Repräsentierung eingegeben werden. Hierzu zählt im Besonderen das Leerzeichen, das in der URL „%20“ lautet. Viele Applikationen wie Web-Browser und E-Mail-Clients verfügen über einen LDAPLDAP-Client. Besonders gilt dies für Adressbuch-Anwendungen, wie sie typi- Frontends scherweise auch in GroupWare-Produkten zu finden sind. Eine weitere wichtige Anwendung besteht darin, mittels LDAP eine Benutzer-Authentifizierung vorzunehmen. Hierzu kann der LDAP-Client beispielsweise (extern) in einem Pluggable Authentication Module (PAM) vom aufrufenden Programm genutzt werden, z.B. um sich gegenüber dem AD-Server auszuweisen, worüber dann die Anmeldung erfolgt. Zum Browsen im LDAP-Verzeichnis bzw. zum Einfügen und zum Ändern von Grafischer LDAPEinträgen ist ein grafischer LDAP-Browser hilfreich, wie z.B. Softterra unter Browser
232
WebFrontend
5
NAT und Netzdienstprotokolle: SOCKS, SSL, LDAP
Windows [http://www.ldapbrowser.com] und der auf GTK basierende GQ LDAP-Client unter Unix bzw. X.11 [http://sourceforge.net/projects/gqclient]. Alternativ zu einem expliziten Client kann auch ein Web-Frontend benutzt werden. Leider ist das ehemals populäre Web500-Gateway nicht mehr weiter entwickelt worden, sodass die Suche nach LDAP-Informationen im WWW mit Aufwand verbunden ist. So betreibt die Universität Marburg unter der URL http://www-x500.uni-giessen.de:8890 einen proprietären LDAP-Suchdienst.
5.5
DNS_ALG
Twice-NAT
Multi-homed NAT STUN und VoIP
Schlussbemerkungen
In diesem Kapitel wurden die Netzdienstprotokolle SOCKS, SSL und LDAP sowie NAT des begrenzten Platzes wegen nur in kompakter Form dargestellt. Abschließend ist noch Folgendes hervorzuheben: Ohne eine funktionierende IPv6-Infrastruktur für das Internet wird der Einsatz von NAT immer unfangreicher und komplexer. Daher wurde hier auf die Darstellung der Funktionsweise des bidirektionalen NAT verzichtet (hierfür s. Abschnitt 8.8.2). Bei dieser NAT-Variante müssen die sog. DNS Application Level Gateways (DNS_ALG) realisiert werden [RFC 2694]. Bei NAT werden auch folgende Begriffe verwendet: − Twice-NAT Wenn zwei Netzwerke aus verschiedenen Domänen miteinander verbunden werden müssen und die IP-Adressen in den Domänen sich überlappen, muss eine spezielle Variante von bidirektionalem NAT zum Einsatz kommen. Sie wird als Twice-NAT bezeichnet. − Multi-homed NAT Man spricht von Multi-homed NAT, wenn ein lokales Netzwerk mit privaten IP-Adressen den Zugang zum Internet über zwei ISPs hat. Für VoIP-Anwendungen kommt eine Variante von NAT ins Spiel, die Simple Traversal of UDP through NAT (STUN) [RFC 3489] genannt und speziell vom populären Dienst Skype genutzt wird. Dieses „UDP hole punching“ nutzt den Trick aus, dass über einen externen (Skype-)Server Informationen über die „Durchlässigkeit“ von NAT-Devices bzw. Firewalls der Skype-Clients beim Verbindungsaufbau (Anruf) gesammelt und korreliert werden können. Diese Information wird anschließend den Clients zur erfolgreichen VoIP-Verbindungsaufnahme mitgeteilt. Beim Einsatz von SSL wurden die Komplexe Zertifikate, Trust Center und Certificate Authority (CA) sowie das Zertifikatsmanagement weitgehend „ausgeblendet“. Auf die kryptografische Sicherung der Datenübermittlung wird noch bei der Vorstellung von VPNs in Kapitel 12 eingegangen.
6
Konzept des Protokolls IPv6
Das massive Wachstum des Internet und die hierbei entstehenden Probleme Notwendigund neuen Anforderungen haben seit über 10 Jahren die Entwicklung eines keit von IPv6 neuen Internet-Protokolls stark vorangetrieben. Insbesondere stößt der Adressraum beim klassischen Internet-Protokoll IP, das auch als IPv4 (v4 steht für Version 4) bezeichnet wird, aufgrund der Adresslänge von nur 32 Bits an seine Grenzen. Zusätzlich besteht Bedarf an verbesserter Sicherheit sowie an Unterstützung von Multimedia- und Echtzeitanwendungen. Diese Ziele sollen mit dem neuen Internet-Protokoll IPv6 (d.h. in der Version 6) erreicht werden. IPv6 wird auch IPnG (next Generation) genannt. Weil die Versionsnummer 5 bereits vorher für Stream Protocol (ST) als eine IP-Variante vergeben wurde, stellt IPv6 somit die auf IPv4 folgende Generation dar. Mit IPv6 steht ein mächtiges Protokoll zur Verfügung, mit dem sich die Konfi- IPv6 als guration und die Administration der Netzwerke deutlich vereinfachen lässt. Bei mächtiges IPv6 wurde nicht nur die Länge der Adresse auf 128 Bits erweitert, sondern Protokoll zugleich auch eine Vielzahl wichtiger Erweiterungen eingeführt. Diese reichen von Sicherheitsfunktionen über mehr Flexibilität bis hin zur Unterstützung von Plug-and-Play und neuartigen Anwendungen. Dieses Kapitel stellt IPv6 fundiert dar. Nach einer Auflistung der Neuerungen Überblick bei IPv6 in Abschnitt 6.1 gehen die Abschnitte 6.2 und 6.3 auf IPv6-Header über das und Erweiterungs-Header ein. Die Nutzung von Options-Headern erläutert Ab- Kapitel schnitt 6.4, den Einsatz von IPv6-Jumbograms zeigt Abschnitt 6.5. Source Routing illustriert Abschnitt 6.6 und die Fragmentierung langer Pakete präsentiert Abschnitt 6.7. Der Adressstruktur bei IPv6 widmet sich Abschnitt 6.8. Die Abschnitte 6.9 und 6.10 stellen Unicast-, Multicast- und Anycast-Adressen dar. Nach der Darstellung von ICMPv6 in Abschnitt 6.11 wird dieses Kapitel mit Schussbemerkungen in Abschnitt 6.12 abgerundet. In diesem Kapitel werden u.a. folgende Fragen beantwortet: Welche Ziele wurden bei der Entwicklung von IPv6 verfolgt? Welche neuen Funktionen bringt IPv6 mit sich? Wie werden die IPv6-Pakete aufgebaut? Wie wird die Route für die Übermittlung der IPv6-Pakete bestimmt? Wie wird der Adressraum bei IPv6 aufgeteilt? Welche Arten von IPv6-Adressen gibt es und wie werden sie strukturiert? Warum erinnern die globalen Unicast-Adressen an Telefonnummern? Welche Bedeutung hat das neue Protokoll ICMPv6?
Ziele dieses Kapitels
234
6
Konzept des Protokolls IPv6
6.1
Ziele von IPv6
Neuerungen bei IPv6 gegenüber IPv4
IPv6 wurde mit dem Ziel entwickelt, ein neues Internet-Protokoll zur Verfügung zu stellen, das die Nachteile und die Schwächen von IPv4 beheben soll. Welche Nachteile und Schwächen hat aber IPv4? Man hört oft nur: Die IPv4Adressen sind knapp. Die Struktur vom IPv4-Header ist einerseits zu komplex und andererseits wurde noch nicht alles berücksichtigt (z.B. Sicherheitsaspekte). Das ist aber nicht alles. Ein wichtiger Nachteil bei IPv4 ist insbesondere darauf zurückzuführen, dass die IPv4-Adressen keine Möglichkeit bieten, auf den Standort eines Netzes auf der Erdkugel zu verweisen. Dadurch ist das Routing bei IPv4 sehr kompliziert (mehr dazu in Abschnitt 6.9.1). Die wichtigsten Ziele bei der Entwicklung von IPv6 waren: Vergrößerung des IP-Adressraums: Aus diesem Grund haben die IPv6Adressen die Länge von 128 Bits, sind also 4-mal länger als IPv4-Adressen. Verbesserung der Header-Struktur: Die Struktur des Header im IPv6-Paket wurde gegenüber dem IPv6-Header im IPv4-Paket wesentlich verbessert. Es wurde eine deutlichere Unterteilung zwischen notwendigen und optionalen Angaben vorgenommen. Die optionalen Angaben können nun in speziellen Headern (in sog. Extension Headers) übermittelt werden. Verschiedene Arten von IPv6-Adressen: Bei IPv6 werden verschiedene Arten von Adressen definiert. Den öffentlichen IPv4-Adressen entsprechen bei IPv6 die globalen Unicast-Adressen. Sie werden aber so strukturiert, dass sie auf den Standort eines Netzes auf der Erdkugel verweisen [Abschnitt 6.9.1]. Site Local Unicast Adresses bei IPv6 entsprechen den privaten IPv4Adressen [Abb. 6.9-7b]. Bei IPv6 werden auch spezielle Adresstypen definiert, um verschiedene Fälle zu unterstützen, in denen die beiden Protokolle IPv4 und IPv6 parallel eingesetzt werden [Abschnitt 6.9.5]. Unterstützung der Autokonfiguration: Die Installation eines Rechners im Netzwerk mit IPv6 soll weitgehend nach dem Prinzip Plug-and-Play erfolgen [Abschnitt 7.2]. Verbesserung der Sicherheit: Hierfür wurden die beiden Extension Headers Encapsulation Security Payload und Authentication Header vorgesehen. Es hat sich aber herausgestellt, dass diese beiden Extension Headers auch beim IPv4 eingesetzt werden können. Dies hat zur Entstehung von IPsec (IP Security) geführt [Abschnitt 12.4]. Sowohl bei IP4 als auch bei IP6 werden zusätzlich weitere Hilfsprotokolle und Routing-Protokolle eingesetzt, sodass man von einer IPv4- bzw. IPv6-Protokollfamilie sprechen kann. Abbildung 6.1-1 zeigt die wesentlichen Neuerungen bei IPv6 bei einer Gegenüberstellung der beiden Protokollfamilien auf. Bei der
235
6.1 Neuerungen bei IPv6 gegenüber IPv4
Protokollfamilie von IPv6 wird hier auch angegeben, in welchem IETFDokument das entsprechende Protokoll spezifiziert wird.
IP -H ilfs p r o to k o lle A R P
IC M P
IP v 6 N D
IC M P v 6
R F C 2 4 6 1
R F C 4 4 4 3 R F C 2 4 6 3
IP v 6 -H ilfs p r o to k o lle
P r o to k o llfa m ilie v o n IP v 4 D H C P
D N S
D H C P v 6
D N S v 6
R F C 3 3 1 5
R F C 3 5 9 6
P r o to k o llfa m ilie v o n IP v 6
M o b ile IP M IP M IP v 6 R F C 3 7 7 5
M o b ile IP v 6
IP -R o u tin g R IP
O S P F
R IP v 6
O S P F v 6
R F C 2 0 8 0
R F C 2 7 4 0
IP v 6 -R o u tin g
Abb. 6.1-1: Gegenüberstellung der Protokollfamilien von IPv4 und von IPv6
Wie hier ersichtlich ist, lassen sich die Neuerungen bei IPv6 gegenüber IPv4 IPv6Protokollwie folgt zusammenfassen: ARP (Address Resolution Protocol) gibt es bei IPv6 nicht mehr. Die Funktionen von ARP hat bei IPv6 das Protokoll NDP (Neighbor Discovery Protocol) übernommen. Die wichtigste Aufgabe von NDP ist die Unterstützung der Autokonfiguration [Abschnitt 7.1]. ICMP (Internet Control Message Protocol) wurde für IPv6 modifiziert und trägt die Bezeichnung ICMPv6 [Abschnitt 6.11]. Die ICMPv6-Nachrichten werden u.a. in den Protokollen NDP und MIPv6 verwendet. Die dynamische Vergabe von Adressen erfolgt bei IPv6 nach dem Protokoll DHCPv6 [Abschnitt 7.3], das eine Modifikation von DHCP (Dynamic Host Configuration Protocol) darstellt. DNS (Domain Name System) wurde für die Unterstützung von IPv6 entsprechend erweitert, sodass man von DNSv6 bzw. DNS Extensions spricht [Abschnitt 4.1.10]. Die Mobilität von Rechnern wird bei IPv4 durch das Protokoll MIP (Mobile IP) unterstützt. Die für IPv6 modifizierte Version von MIP trägt die Bezeichnung MIPv6 [Abschnitt 13.4]. In Netzen mit IPv4 werden die Routing-Protokolle RIP (Routing Information Protocol) und OSPF (Open Shortest Path First) eingesetzt. Für den Einsatz in Netzen mit IPv6 wurden diese Protokolle entsprechend modifiziert. Man bezeichnet diese Modifikationen als RIPv6 und OSPFv6 [Kapitel 9].
familie
236
6
Konzept des Protokolls IPv6
6.2
Aufbau des IPv6-Header
Header-Struktur bei IPv6
Zu den wichtigsten Zielen bei der Entwicklung von IPv6 zählte, einerseits die recht umfangreiche und nur aufwendig zu bearbeitende Struktur des IPv4Header zu vereinfachen und andererseits die Flexibilität und die Möglichkeiten für zukünftige Erweiterungen zuzulassen. Abbildung 6.2-1 zeigt die Struktur des Header von IPv6. Man beachte, dass einige sog. Erweiterungs-Header (Extension Headers) direkt nach dem IPv6Header ins Paket eingebettet werden können [Abb. 6.3-1]. Abbildung 6.2-1 illustriert den Fall, in dem keine Erweiterungs-Header im IPv6-Datenpaket enthalten sind. D S (D iffS e rv ) 0
V e rs io n
1 6
8
T ra ffic C la s s P a y lo a d L e n g th
F lo w L a b e l N e x t H e a d e r
2 4
3 2
H o p L im it
S o u rc e A d d re ss D e s tin a tio n A d d re s s IP v 6 H e a d e r N H = T C P
T C P H e a d e r
D a te n
Abb. 6.2-1: Struktur des Header von IPv6 (nach RFC 2460) DS: Differentiated Services, NH: Next Header
Der IPv6-Header stellt eine deutliche Vereinfachung und Erweiterung gegenüber dem IPv4-Header dar. Wie bereits in Abschnitt 2.2 gezeigt wurde, enthält der IPv4-Header zehn Felder, zwei jeweils 32 Bits lange IPv4-Adressen und eventuell ein Feld mit Optionen, das immer bis zur nächsten 32-Bits-Grenze aufgefüllt wird. Diese Konstruktion führt beim IPv4-Header zu einer Länge von 20 Bytes ohne Optionen. Die minimale Größe des IPv4-Header ist daher 20 Bytes. 128-Bits-IPAdressen
Im Gegensatz dazu verfügt der IPv6-Header nur über sechs Felder, zwei jeweils 128 Bits lange IPv6-Adressen und keine Optionen. Die Anzahl der Felder wurde auf das Minimum beschränkt, um den Paket-Overhead zu verringern und damit die Effizienz der Übertragung zu verbessern. Trotz viermal so langer Quell- und Ziel-IPv6-Adressen, die allein 24 Bytes belegen, ist der IPv6Header mit 40 Bytes nur doppelt so lang wie der IPv4-Header. Die einzelnen Angaben im IPv6-Header haben folgende Bedeutung:
6.2 Header-Struktur bei IPv6
Version (4 Bits)
Hier wird die Version des IP-Protokolls angegeben. Für IPv6 enthält dieses Feld die Zahl 6. Traffic Class (8 Bits)
Um Quality of Service (QoS) in IPv6-Netzen zu unterstützen, ermöglicht dieses Feld der Quelle von Paketen, ihren Paketen eine Priorität zu vergeben. Daher kann eine höhere Priorität den IPv6-Paketen mit zeitkritischen Daten (z.B. bei VoIP-Anwendungen) im Vergleich zu den IPv6-Paketen mit „normalen“ Daten zugeordnet werden. Für die Garantie der Kompatibilität mit IPv4 wird hier das Feld Differentiated Services nach RFC 2474 eingebettet [Abschnitt 2.2.1]. Flow Label (20 Bits)
Dieses Feld stellt die zufällig gewählte Identifikationsnummer einer virtuellen Ende-zu-Ende-Verbindung (z.B. einer TCP-Verbindung) dar. Diese Angabe kann dazu genutzt werden, jene Pakete zu kennzeichnen, die eine besondere Behandlung im Übermittlungsnetz benötigen. Die Router unterwegs können alle zu einer Ende-zu-Ende-Verbindung gehörenden Pakete anhand ihres Flow Label direkt weiterleiten, ohne den Rest des IPv6-Header auswerten zu müssen. Eine derartige Weiterleitung der Pakete könnte beispielsweise ermöglichen, isochrone Bitströme bei der Multimedia-Kommunikation über IPv6-Netze zu übermitteln. Flow Label wird näher in RFC 3697 spezifiziert. Durch den Einsatz von MPLS [Abschnitt 11.2] ist aber Flow Label fast überflüssig geworden. Payload Length (16 Bits)
Hier wird angegeben, wie viele Bytes (Oktetts) nach dem IPv6-Header als Nutzlast (Payload) noch folgen. Somit kann diese Angabe als Nutzlastlänge angesehen werden. Da dieses Feld 16 Bits enthält, lassen sich theoretisch maximal 216 = 65536 Bytes als Nutzlast (weitere Steuerungsangaben und Daten) in einem IPv6-Paket transportieren. Eine Nutzlastlänge von 0 verweist auf ein sog. Jumbo-Paket [Abschnitt 6.5]. Next Header (8 Bits)
In diesem Feld wird der Header-Typ angezeigt, der unmittelbar nach dem IPv6-Header folgt. Es handelt sich hierbei − entweder um den Header eines nächsthöheren Protokolls – d.h. aus der Schicht 4 (Transportschicht) – wie z.B. TCP bzw. UDP − oder um einen Erweiterungs-Header (Extension Header), der eine Erweiterung des IPv6-Header ermöglicht, um bestimmte zusätzliche Steuerungsangaben über das Netz zu übermitteln [Abb. 6.3-2].
237
238
6
Konzept des Protokolls IPv6
Das Feld Next Header entspricht der Funktion nach dem Feld Protocol im IPv4-Header [Abb. 2.2-1]. Hop Limit (8 Bits)
Dieses Feld gibt die maximale Anzahl von Routern an, die ein Paket durchlaufen darf, bevor es automatisch gelöscht wird. Dies entspricht dem Feld Time to Live bei IPv4. Der hier eingetragene Wert wird in jedem durchlaufenen Router um 1 reduziert. Der Router, der den Wert auf 0 setzt, verwirft das betreffende Paket und signalisiert dies der Quelle mit der ICMPv6Nachricht Time Exceeded [Abschnitt 6.11]. Source Address (128 Bits)
In diesem Feld steht eine IP-Adresse des Quell-Rechners. Destination Address (128 Bits)
Hier wird die Adresse des Empfängers angegeben. Falls Routing Header als eine Erweiterung des IPv6-Header existiert, kann hier auch die Adresse einer „Zwischenstation“ (z.B. ein geforderter Router) angegeben werden. Eine wichtige Besonderheit von IPv6 besteht darin, dass einige zusätzliche Steuerungsangaben in Form von festgelegten Erweiterungs-Headern (Extension Headers) zwischen dem IPv6-Header und dem TCP/UDP-Header eingebettet werden können.
6.3
Erweiterungs-Header
Das Feld Next Header im IPv6-Header nimmt eine zentrale Rolle bei der Strukturierung der IPv6-Pakete ein und mit dessen Hilfe können die Verweise auf die Erweiterungen des IPv6-Header gemacht werden. Next Header weist darauf hin, was direkt nach dem IPv6-Header folgt. Es sind hierbei zwei Fälle zu unterscheiden, entweder folgt direkt ein TCP- bzw. UDP-Header mit den dazugehörigen Daten [Abb. 6.21] oder zuerst ein weiterer Erweiterungs-Header, der wiederum ein Feld Next Header enthält [Abb. 6.3-1]. Nach den Erweiterungs-Headern folgen dann ein TCP- bzw. UDP-Header und anschließend die Daten. Angabe: Next Header
In einem IPv6-Paket lassen sich beliebig viele Erweiterungs-Header verschachteln, bis schließlich der Header des entsprechenden Transportprotokolls (z.B. TCP) beginnt. Das Prinzip einer derartigen Erweiterung des IPv6-Header illustriert Abbildung 6.3-1. Ein IPv6-Paket kann keinen, einen oder mehrere Erweiterungs-Header enthalten.
6.3 Erweiterungs-Header
N H = E H 1
239
IP v 6 -H e a d e r
N H = E H 2
H E L
E x te n s io n H e a d e r 1
N H = E H 3
H E L
E x te n s io n H e a d e r 2
N H = T C P
H E L
E x te n s io n H e a d e r 3
T C P -H e a d e r D a te n
Abb. 6.3-1: Prinzip der Erweiterung des IPv6-Header EH: Extension Header, NH: Next Header, HEL: Hdr Ext Len = Header Extension Length
Zwei Beispiele für die Erweiterung des IPv6-Header werden nun gezeigt. In Routing Abbildung 6.3-2a folgt ein Routing Header dem IPv6-Header, in dem wie- Header derum ein Verweis NH (Next Header) enthalten ist, welcher auf den TCPHeader verweist. Abbildung 6.3-2b illustriert eine mehrfache Verschachtelung von Erweiterungs-Headern. Der IPv6-Header verweist zuerst auf den Routing Header, dieser wiederum verweist auf den Fragment Header und dieser schließlich auf den TCP-Header mit den darauffolgenden Daten. IP v 6 H e a d e r N H = R o u tin g IP v 6 H e a d e r N H = R o u tin g
R o u tin g
H e a d e r
N H = T C P R o u tin g
H e a d e r
N H = F ra g m e n t
a ) T C P H e a d e r + D a ta F ra g m e n t H e a d e r N H = T C P
b ) T C P H e a d e r + D a ta
Abb. 6.3-2: Beispiel für die Erweiterung des IPv6-Header: a) mit nur einem Erweiterungs-Header, b) mit mehreren verschachtelten Erweiterungs-Headern
Nach dem IPv6-Header kann im Allgemeinen entweder ein Erweiterungs-Header oder der Header von TCP bzw. von UDP, eines Routing-Protokolls bzw. eines sonstigen Protokolls (z.B. von IPv4 bei IPv4 over IPv6 [Abb. 8.7-1]) folgen. Eine Zusammenstellung der wichtigsten Header-Typen, die nach dem IPv6- HeaderTypen Header folgen können, enthält Tabelle 6.3-1.
240
6
Konzept des Protokolls IPv6 Header-Typ 0 4 6 17 43 44 50 51 58 59 60 89 132 135 136 xx
Tab. 6.3-1:
Name Hop-by-Hop Options Header IPv4-Header (IP in IP Encapsulation) TCP- Header UDP-Header Routing Header Fragment Header Encapsulation Security Payload Authentication Header ICMP für IPv6 kein nächster Header Destination Options Header OSPF-Header SCTP-Header Mobility Header (Mobile IPv6) UDP-Lite-Header Protokoll-Header wie beim IPv4
EH oder PH EH PH PH PH EH EH EH EH PH EH PH PH EH PH PH
Mögliche Header-Typen nach dem IPv6-Header EH: Erweiterungs-Header , PH: Protokoll-Header (wie nach dem IPv4-Header), xx: Protokollnummer; gleiche Angabe wie im Feld Protocol des IPv4-Header, [http://www.iana.org/assignments/ipv6-parameters] und [http://www.iana.org/assignments/protocol-numbers]
Im Protokoll IPv6 sind folgende Erweiterungs-Header vorgesehen: Hop-by-Hop Options Header, Routing Header, Fragment Header, Destination Options Header, Authentication Header, Encapsulation Security Payload, Mobility Header.
Jeder Erweiterungs-Header sollte in einem Paket nur einmal enthalten sein. Nur der Destination Options Header kann maximal zweimal vorkommen. Werden mehrere Erweiterungs-Header in einem IPv6-Paket eingesetzt, so wird eine festgelegte Reihenfolge vorgeschlagen. Abbildung 6.2-3 zeigt sie. Hier wurde ein Sonderfall angenommen, in dem ein IPv6-Paket sämtliche Erweiterungs-Header enthält. Hop-by-Hop Options Header
Der Hop-by-Hop Options Header enthält sog. Type-Length-ValueAngaben (kurz TLV-Angaben), die als Optionen bezeichnet werden. Da diese TLV-Angaben in jedem Router (Zwischensystem) unterwegs interpretiert werden, muss dieser Header direkt nach dem IPv6-Header folgen. Dadurch lässt sich die für Paketvermittlung notwendige Zeit in Routern reduzieren.
6.3 Erweiterungs-Header
IP v 6 -H e a d e r
241
T C P /U D P -H e a d e r D a te n
F r R o u tin D e s tin a tio n H o p -b y -H o p O p
M o b ility D e s tin a tio n O E n c a p s u la tio n S e c A u th e n tic a tio n H e a d e a g m e n t H e a d e r g H e a d e r O p tio n s H e a d e r: A tio n s H e a d e r
H e a d e r p tio n s H e a d e r: B u rity P a y lo a d r IP se c A : A n g a b e n fü r R o u te r B : A n g a b e n fü r Z ie ls y s te m
Abb. 6.3-3: IPv6-Paket mit allen Erweiterungs-Headern in der vorgeschriebenen Reihenfolge
Der Destination Options Header kann in einem IPv6-Paket zweimal Destination vorkommen. Er enthält die TLV-Angaben sowohl für die Router als auch für Options das Ziel-Endsystem. Enthält ein Destination Options Header die TLV- Header Angaben für Router, so folgt dieser Header direkt nach dem Hop-by-Hop Options Header. Die TLV-Angaben für das Ziel-Endsystem werden in einem anderen Destination Options Header transportiert, der möglichst am Ende in der Header-Reihenfolge positioniert werden soll. Im Routing Header (RH) wird eine Liste von Routern bzw. von anderen Zwi- Routing schensystemen angegeben, die das zu übermittelnde Paket unterwegs „besu- Header chen“ muss [Abb. 6.6-1]. Es gibt bereits mehrere RH-Typen. Mit RH Type 0 lässt sich ein IPv6-basiertes Source-Routing realisieren [Abschnitt 6.6]. RH Type 2 wird bei Mobile IPv6 verwendet [Abschnitt 13.4]. Die RH-Typen 1, 3 und 4 wurden nur in Internet Drafts vorgeschlagen. Mithilfe von Fragment Header ist es der Quelle von IPv6-Paketen möglich, Fragment ein langes Paket (länger als die zulässige MTU-Länge) auf eine Reihe von Header Teilpaketen (Fragmenten) aufzuteilen. Fragment Header enthält auch die benötigten Steuerungsangaben, um eine Folge von Fragmenten am Ziel-Endsystem wieder zu einem langen Paket zusammenzusetzen. Authentication Header (AH) kann eingesetzt werden, um folgende Sicher- Authentication Header heitsdienste zu realisieren:
Authentifizierung der Datenquelle, um feststellen zu können, ob die Daten vom wahren (gültigen) Quellrechner stammen. Überprüfung der Datenintegrität, um eine gezielte Verfälschungen von Daten unterwegs erkennen zu können. Unter Encapsulation Security Payload (ESP) ist eigentlich eine Daten- Encapsulaeinheit zu verstehen, die sich aus einem Header und einem Trailer zusammen- tion Security setzt. Mit ESP können die Sicherheitsdienste Vertraulichkeit, Authentifizierung Payload und Überprüfung der Datenintegrität realisiert werden. Im Vergleich zu AH
242
6
Konzept des Protokolls IPv6
wird mit ESP zusätzlich die Vertraulichkeit durch eine Verschlüsselung gewährleistet. ESP kann eigenständig oder kombiniert mit AH eingesetzt werden Entstehung von IPsec
Es hat sich aber herausgestellt, dass die beiden Erweiterungs-Header AH und ESP auch bei IPv4 eingesetzt werden können. Dies hat zur Entstehung des Protokolls IPsec (IP Security) geführt [Abschnitt 12.4].
Mobility Header
Um die Mobilität von Rechnern bei IPv6 zu unterstützen, wurde Mobility Header [RFC 3775] eingeführt, um die sog. Mobility Options bei Mobile IPv6 zu übermitteln. Mobility Header wird z.Z. als letzter Extension Header im IPv6-Paket übermittelt.
6.4
IPv6-Flexibilität mit Options-Headern
Die grundsätzliche Idee bei der Entwicklung von IPv6 bestand darin, dass der IPv6-Header bei Bedarf mit optionalen Headern, den sog. Options-Headern, zusätzlich ergänzt werden kann. Sie ermöglichen, zusätzliche Steuerungsangaben für Zwischen- und Zielsysteme zu übermitteln und damit u.a. das Routing bzw. bestimmte Sicherheitsfunktionen zu unterstützen. Arten von OptionsHeader
Es sind zwei Arten von Options-Headern zu unterscheiden: Destination Options Header
In diesem Header werden zusätzliche Steuerungsangaben als Optionen für den Empfänger des Pakets gemacht. Mit Optionen vom Typ 1 werden zusätzliche Steuerinformationen dem Empfänger (z.B. einem Router) des Pakets auf der ersten Zwischenetappe angegeben. Dagegen sind die Optionen vom Typ 2 für das endgültige Zielsystem gedacht. Hop-by-Hop Options Header
Ein Paket muss auf seinem Weg zum Ziel wichtige Informationen für die Zwischenstationen (Hops) enthalten. Hop-by-Hop Options Header dient daher der Übermittlung von Angaben, die in jedem zu passierenden Router bzw. einem anderen Zwischensystem auf dem Weg von der Datenquelle bis zum Datenziel beachtet werden müssen.
6.4.1 Aufbau der Options-Header Die beiden Options-Header, d.h. sowohl Hop-by-Hop Options Header als auch Destination Options Header, weisen die gleiche in Abbildung 6.4-1 gezeigte Struktur auf. Sie besitzen eine variable Länge und lassen sich daher flexibel verwenden.
6.4 IPv6-Flexibilität mit Options-Headern
0
N e x t H e a d e r
8
H d r E x t L e n
2 4
1 6
1 B y te
1 B y te
O p t D a ta L e n
A c tio n
O p tio n N u m b e r C
3 2
O p tio n s (O p tio n s fe ld )
O p tio n O p tio n T y p e
243
v a ria b le L ä n g e
O p tio n D a ta
Abb. 6.4-1: Struktur von Options-Headern Die einzelnen Felder im Options-Header haben folgende Bedeutung: Next Header
Hier wird ein Verweis auf den nächsten Header gemacht [Abb. 6.3-1]. Hdr Ext Len (Header Extension Length)
Dieses 8-Bits-Feld gibt die Länge vom Options-Header an, die immer ein Vielfaches von 8 Bytes betragen muss. Options
Dieses Feld enthält eine Liste von übermittelten Optionen. Jede Option setzt sich aus folgenden Angaben zusammen: − Option Typ (Optionstyp), − Opt Data Len (Option Data Length, Länge von Optionsdaten) und − Option Data (Optionsdaten). Der Optionstyp ist ein 8-Bits-Wert, dessen zwei höchstwertige Bits Action (Aktion) definieren, die ein System ausführen muss, falls es die betreffende Option nicht kennt. Es sind folgende Aktionen vorgesehen: − Action = 00 sorgt dafür, dass diese Option übersprungen wird und das betreffende System zur Bearbeitung der nächsten Option übergeht. − Action = 01 bestimmt, dass das gesamte Paket verworfen und keine Fehlermeldung an den Absender des Pakets gesendet wird. − Action = 10 veranlasst, dass das gesamte Paket verworfen und eine Fehlermeldung (als ICMPv6-Nachricht Destination unreachable) an den Absender gesendet wird, falls es sich bei der Zieladresse um eine Multicast-Adresse handelt. − Action = 11 legt fest, dass das gesamte Paket verworfen und eine Fehlermeldung an den Absender gesendet wird, falls es sich bei der Zieladresse um keine MulticastAdresse handelt. Das Bit C zeigt an, ob die nachfolgenden Optionsdaten auf dem Weg zum Ziel verändert werden dürfen oder nicht:
− C = 0: verbietet eine Veränderung von Optionsdaten (z.B. in einem Router). − C = 1: erlaubt die Modifikation von Optionsdaten. Mit der Festlegung von Action kann eine wichtige Angabe in Bezug auf die Nutzung des Internet für die Übertragung von sicherheitsrelevanten Daten gemacht werden. Der Absender solcher Daten kann festlegen, ob z.B. im Falle einer technisch bedingten oder bösartig herbeigeführten Unterbrechung einer Route Datenpakete verworfen werden sollen oder nicht.
Angaben im OptionsHeader
244
6
Konzept des Protokolls IPv6
6.4.2 Belegung des Option-Feldes Das Option-Feld [Abb. 6.4-1] innerhalb des Hop-by-Hop Options Header bzw. des Destination Options Header kann durch die verschiedenen Optionen natürlich auch mit unterschiedlichen Längen belegt werden. Hierbei sind einige Prinzipien der Belegung des Option-Feldes zu beachten: Ein x-ByteDatenfeld sollte vom Header-Anfang um ein Vielfaches von x Bytes platziert werden. Somit kann die Entfernung der Option von Beginn des Hop-by-Hop Options Header bzw. des Destination Options Header nach einer der folgenden Belegungsregeln vorgenommen werden: (n*4 + 2) Bytes, (n*4 + 3) Bytes bzw. (n*8 + 2) Bytes (n = 0, 1, ...). Die Länge dieser Header sollte immer ein Vielfaches von 8 Bytes betragen. Um die erwähnten Regeln realisieren zu können, werden zwei Fülloptionen (Padding Options) definiert: Option Pad1 mit der 1-Byte-Länge Diese Option wird verwendet, um einen 1-Byte-Eintrag im Option-Feld mit „künstlichen“ Daten zu füllen. Option PadN mit der N-Byte-Länge Diese Option wird verwendet, um einen (N–2)-Bytes-Eintrag im OptionFeld mit 0-Wert-Bytes (x´00´) nach Bedarf zu füllen. Die Belegung des Option-Feldes wird nun anhand von Beispielen näher dargestellt. Beispiel 1: Das Option-Feld soll eine Option X mit folgenden zwei Datenfeldern enthalten: Das erste Datenfeld ist 4 Bytes lang und das zweite Datenfeld ist 8 Bytes lang. Die Belegung des Option-Feldes zeigt Abbildung 6.4-2 (vgl. auch Abb. 6.4-1). 0
8
N e x t H e a d e r
1 6
O p tio n T y p e = X H d r E x t L e n = 1 4 -B y te s -D a te n fe ld 8 -B y te s -D a te n fe ld
2 4
3 2
O p t D a ta L e n = 1 2
Abb. 6.4-2: Belegung des Option-Feldes mit einer 12 Bytes langen Option (vgl. Abb. 6.4-1) Hier gilt die Belegungsregel (n*4 + 2) Bytes (n = 0), d.h. die Option beginnt in der Entfernung 2 Bytes vom Anfang des Header. Beispiel 2: Das Option-Feld soll eine Option Y mit folgenden drei Datenfeldern enthalten: Das erste Datenfeld ist 1 Byte, das zweite ist 2 Bytes und das dritte ist 4 Bytes lang. Die Belegung des Option-Feldes in diesem Fall zeigt Abbildung 6.4-3. Hier gilt die Belegungsregel (n*4 + 3) Bytes. Die Option beginnt in der Entfernung 3 Bytes von HeaderBeginn. Um dies zu erreichen, wird das dritte Byte mit einer Option Pad1 gefüllt, die keine
6.4 IPv6-Flexibilität mit Options-Headern Steuerungsangaben enthält. Das 4-Bytes-Datenfeld beginnt nach n*4 Bytes (n = 2) vom Anfang des Header. Um die gesamte Länge des Option Header auf ein Vielfaches von 8 Bytes zu ergänzen, werden die letzten 4 Bytes mit PadN gefüllt. 8 0
2 4
1 6
H d r E x t L e n = 1
N e x t H e a d e r
P a d 1 O p t
1 -B y te -D a te n fe ld
O p t D a ta L e n = 7
3 2
O p tio n T y p e = Y
2 -B y te s -D a te n fe ld
4 -B y te s -D a te n fe ld P a d N O p t
O p t D a ta L e n = 2
x ´0 0 ´
x ´0 0 ´
F ü llb its (P a d d in g ) Abb. 6.4-3: Belegung des Option-Feldes mit 7-Byte langen Options-Angaben Beispiel 3: Hop-by-Hop Options Header bzw. Destination Options Header soll die beiden Optionen X und Y aus den vorherigen Beispielen 1 und 2 enthalten. Abbildung 6.4-4a illustriert den Fall, wenn zuerst Option X und dann Option Y im Option-Feld platziert werden. Es sei vermerkt, dass die letzten vier Bytes mit PadN gefüllt werden, um die gesamte Gesamtlänge auf ein Vielfaches von 8 Bytes zu ergänzen.
0
a )
8
N e x t H e a d e r
2 4
1 6
H d r E x t L e n = 3 O p tio n T y p e = X 4 -B y te s -D a te n fe ld
3 2
O p t D a ta L e n = 1 2
8 -B y te s -D a te n fe ld P a d N O p t O p t D a ta L e n = 7 P a d N O p t
b )
0
8
N e x t H e a d e r O p t D a ta L e n = 7 P a d N O p t x '0 0 '
O p t D a ta L e n 1 -B y te -D a te n 4 -B y te O p t D a ta L e
= 1 fe ld s -D a te n fe ld n = 2
H d r E x t L e n 1 -B y te -D a te 4 -B y O p t D a ta L e n x '0 0 ' 4 -B
= 3 n fe ld te s -D a te n = 4 O y te s -D a te
1 6
x '0 0 '
O p tio n T y p e = Y
2 -B y te s -D a te n fe ld x '0 0 '
x '0 0 ' 2 4
O p tio P a d 1 O p tio n 2 -B y te s -D a te n fe ld x '0 0 ' p tio n T y p e = X O p t D n fe ld
3 2
n T y p e = Y fe ld x '0 0 ' a ta L e n = 1 2
8 -B y te s -D a te n fe ld
Abb. 6.4-4: Option-Feld mit mehreren Option-Typen folgender Belegung: a) zuerst Option X und dann Option Y, b) zuerst Option Y und dann Option X
245
246
6
Konzept des Protokolls IPv6 Abbildung 6.4-4b zeigt die Situation, in der zuerst die Option Y und dann die Option X im Option-Feld platziert wird. Da ein 8-Bytes-Datenfeld um ein Vielfaches von 8 Bytes von Header-Anfang platziert werden sollte, wird hier die 4. Zeile mit PadN gefüllt.
6.5 IPv6Jumbograms
Einsatz von Jumbo Payload
Ebenso wie bei IPv4 stehen auch nur 16 Bits im Feld Payload Length des IPv6-Header zur Verfügung [Abb. 6.2-1], um die Länge von Nutzdaten anzugeben. Dadurch können die Nutzdaten nicht mehr als 65 535 Bytes betragen. Falls größere Mengen von Nutzdaten in einem IPv6-Paket übertragen werden sollen, kann dies mithilfe der sog. Jumbo Payload Option im Hop-by-Hop Options Header markiert werden [RFC 2675]. Man spricht in diesem Zusammenhang von IPv6-Jumbogram. Abbildung 6.5-1 illustriert die Struktur von Hop-by-Hop Options Header mit Jumbo Payload Option. 0
N e x t H e a d e r
8
1 6
T y p e = 1 9 4 H d r E x t L e n J u m b o P a y lo a d L e n g th
2 4
O p t D a ta L e n = 4
3 2
Abb. 6.5-1: Hop-by-Hop Options Header mit Jumbo Payload Option
Hop-by-Hop Options Header
Sollen in einem IPv6-Paket mehr Nutzdaten als 65 535 Bytes transportiert werden, so kann Hop-by-Hop Options Header verwendet werden, indem die Paketlänge als Jumbo Payload Length angegeben wird. Dies veranschaulicht Abbildung 6.5-2. P a y lo a d L e n g th = 0 N e x t H e a d e r = 0
H o p -b y -H o p O p tio n s H e a d e r
JP L IP v 6 -H e a d e r
T C T /U D P -H e a d e r + D a te n J P L = J u m b o P a y lo a d L e n g th
Abb. 6.5-2: IPv6-Paket mit Jumbo Payload
Wie hier ersichtlich ist, müssen die Angaben Payload Length und Next Header im IPv6-Header den Wert 0 enthalten.
6.6 Source Routing beim IPv6
6.6
247
Source Routing beim IPv6
Mit IPv6 lässt sich das sog. Source Routing unterstützen, d.h. das Routing, mit dessen Hilfe der Weg von Daten durch ein Netz von der Quelle (Source) festgelegt wird. Um ein derartiges Routing zu realisieren, kann der IPv6-Header mit einem Routing Header erweitert werden [Abb. 6.3-2]. Abbildung 6.6-1a zeigt die allgemeine Struktur von Routing Header. a ) 0
8
N e x t H e a d e r
1 6
H d r E x t L e n
2 4
S e g m e n t L e ft
R o u tin g T y p e
3 2
R o u tin g -A n g a b e n
b )
0
N e x t H e a d e r re s e rv ie rt
8
H d r E x t L e n
1 6
R o u tin g T y p e = 0 S tric t/L o o s e B it M a p
2 4
S e g m e n t L e ft
3 2
R o u t i A n dg d- A r e n s g s a [ b 1 e ] n A d d re ss [2 ] ... A d d re ss [n ] Abb. 6.6-1: Aufbau von Routing Header: a) allgemeine Struktur, b) Header mit Routing-Typ 0
Mit der Angabe Routing Type sind unterschiedliche Source-Routing- Source Varianten möglich. Es wurde nur das Source Routing vom Typ 0 (Routing Routing Type = 0) festgelegt. Die Struktur des Routing Header bei diesem Rou- vom Typ 0 ting-Typ zeigt Abbildung 6.6-1b. Die einzelnen Angaben im Routing Header beim Source Routing vom Typ 0 haben folgende Bedeutung: Segment Left
Hier wird die Anzahl der restlichen „Routing-Segmente“, die das betreffende Paket bis zum Ziel durchlaufen muss, eingetragen. Ein Routing-Segment ist als Hop bzw. Route-Abschnitt zu sehen. Strict/Loose Bit Map
Dies ist eine Bitfolge b0, b1, ..., bi, ..., b23, in der jedes Bit einem Routing-Segment entspricht, was eine Art Route-Spezifikation darstellt. Mithilfe dieses Felds entsteht die Möglichkeit, eine Teilstrecke einer Route fest vorzuschreiben bzw. deren Auswahl dem Router zu überlassen [Abb. 6.6-2 und 6.6-3]. Mit bi = 1 wird darauf verwiesen, dass Router i ein direkter Nachbar von Router i–1 ist. Dies bedeutet, dass Router i–1 das Paket direkt an Router i ad-
248
6
Konzept des Protokolls IPv6 ressieren muss. Der Fall bi = 0 bedeutet nur, dass Router i kein direkter „Nachbar“-Router ist, sondern Router i das nächste Ziel des Paketes darstellt. Router i–1 leitet das Paket nach seiner Routing-Tabelle zum Router i als Ziel weiter. Address [i]
Hier wird die IPv6-Adresse des Routers i bzw. des Ziel-Endsystems angegeben.
Abbildung 6.6-2 illustriert, wie eine Ende-zu-Ende-Route mithilfe des Felds Strict/Loose Bit Map vollständig vorgeschrieben werden kann. In diesem Fall ist bi = 1, i = 1, 2, 3, 4. Das Feld Address A[i] wird vom Router i gelesen und enthält die IPv6-Adresse des nächsten Routers i+1. a ) S
b )
S N 1
b 0 = 1 S
R 1
S N 2
b 1 = 1 R 1 A d d r .[ 1 ]
S N 3
R 2 R a
S N x b 2 = 1
R 2
A d d r .[ 2 ]
R 3
b 3 = 1
R 3
S N 5
R 4
S N 4
R b
b 4 = 1
R 4
D
D
A d d r .[ 4 ]
A d d r .[ 3 ]
Abb. 6.6-2: Vollkommen festgelegte Route bei der Ende-zu-Ende-Kommunikation: a) Verbund von Subnetzen, b) Route mit festgelegten Routing-Abschnitten S: Source, D: Destination, R: Router, SN: Subnetz
Abbildung 6.6-3 zeigt eine teilweise festgelegte Ende-zu-Ende-Route. Da b1 = 0 ist, bedeutet dies, dass der Router R2 kein direkter Nachbar-Router vom Router R1 ist. Von R1 zu R2 wird das Paket geroutet, d.h. zwischen R1 und R2 existiert ein freier (nicht festgelegter) Routing-Abschnitt. Das Feld Address A[1] wird von Router R1 gelesen und als die IPv6-Adresse des nächsten Ziels interpretiert.
a ) S
S N 1
R 1
b ) S
b 0 = 1
S N 2
R b R a
S N 3 S N x b 1 = 0
R 1 A d d r .[ 1 ]
R d
R b
R 2
S N 4
R 2
b 3 = 1
A d d r .[ 2 ]
Abb. 6.6-3: Teilweise festgelegte Route bei der Ende-zu-Ende-Kommunikation: a) physikalischer Verbund von Subnetzen, b) Route mit zwei festgelegten und einem freien Routing-Abschnitt S: Source, D: Destination, R: Router, SN: Subnetz
D
S N 5
D
6.6 Source Routing beim IPv6 Das Prinzip des Source Routing bei IPv6 illustriert Abbildung 6.6-4. Es wurde hier angenommen, dass die Daten zwischen der Quelle S (Source) und dem Ziel D (Destination) über die Router R1, R2 und R3 übermittelt werden sollen. Die hierfür notwendigen Steuerungsangaben werden von der Datenquelle im Routing Header festgelegt. In diesem Fall bestimmt die Quelle das Routing, sodass man von Source Routing (Quell-Routing) spricht. In Abbildung 6.6-4 werden auch die für das Routing relevanten Angaben in IPv6-Header und Routing Header gezeigt. Q u e llE n d s y s te m P 1 S
S N 1
R H
P 3
P 2
R 1
R 2 R ´
P 1
S N 3
P 3
S o u D e s tin = 3 r. [1 ] = r. [2 ] = r. [3 ] =
IP v 6 -H
S L A d d A d d A d d
S o u D e s tin = 1 r. [1 ] = r. [2 ] = r. [3 ] =
rc e A d d r. = S a tio n A d d r. = R 3 R 1 R 2 D
R ´´
P 4
Z ie lE n d s y s te m D
P 2
R H
rc e A d d r. = S a tio n A d d r. = R 1 R 2 R 3 D
S N 5 P 4
R 3
S N 4
IP v 6 -H
S L A d d A d d A d d R H
S N 2
IP v 6 -H
S L A d A d A d R H
= d r. d r. d r.
2
S o u rc e A d d r. = S D e s tin a tio n A d d r. = R 2
[1 ] = R 1 [2 ] = R 3 [3 ] = D
IP v 6 -H
S o u rc e A d d r. = S D e s tin a tio n A d d r. = D
S L = 0 A d d r. [1 ] = R 1 A d d r. [2 ] = R 2 A d d r. [3 ] = R 3
Abb. 6.6-4: Beispiel für einen Ablauf von Source Routing bei IPv6 IPv6-H: IPv6-Header, RH: Routing Header, SL: Segments Left, SN: Subnetz
Wie hier ersichtlich ist, sendet die Datenquelle das Paket P1 direkt an Router R1, sodass Destination Address im IPv6-Header die Adresse von R1 darstellt. Das Paket P1 vom Subnetz SN 1 aus hat noch drei Routing-Segmente (SL = 3) bis zum Ziel. Im Routing Header (RH) werden die IPv6-Adressen von weiteren unterwegs folgenden Routern sowie des Ziel-Endsystems angegeben. Router R1 sendet die Daten in Form des Pakets P2 weiter, in dem die Adresse von Router R2 als Zieladresse im IPv6-Header gesetzt wird. An der Stelle Addr.[1] im Routing Header wird nun die IPv6-Adresse von R2 als Absender übertragen. Dem Paket P2 bleiben noch zwei Routing-Segmente zum Ziel, sodass SL = 2 ist. Die letzten beiden Adressen im Routing Header bestimmen den weiteren Weg der Daten. Router R2 sendet die Daten als Paket P3 direkt an Router R3, indem er die Adresse von R3 als Zieladresse im IPv6-Header setzt. An der Stelle Addr.[2] im Routing Header wird nun die IPv6-Adresse von R2 als Absender eingetragen. Dem Paket P3 bleibt noch ein Routing-Segment zum Ziel, sodass SL = 1 ist. Die letzte Adresse im Routing Header bestimmt den weiteren Weg der Daten. Router R3 sendet die Daten als Paket P4 direkt an das Ziel-Endsystem. In diesem Paket enthält der IPv6-Header die Adresse des Ziel-Endsystems. An der Stelle Addr.[3] im Routing Header wird nun die IPv6-Adresse von R3 als Absender eingetragen. Das Paket P4 hat keine weiteren
249 Beispiel für Source Routing
250
6
Konzept des Protokolls IPv6
Routing-Segmente (Routing-Abschnitte) zum Ziel, sodass SL = 0 ist. Routing Header im Paket auf dem letzten Routing Segment (d.h. im Paket P4) enthält eine Liste von IPv6-Adressen aller unterwegs liegenden Router.
Austausch von Adressen
Es ist zu anzumerken, dass folgender Austausch von Adressen (abgekürzt Addr.)im Router Ri stattfindet: (Addr. [i+1] = Adresse des Routers i+1 im Routing Header) und (Zieladresse im IPv6-Header = Adresse des Routers i)
6.7
Zieladresse im IPv6-Header
Addr.[i]
Fragmentierung langer IPv6-Pakete
Mithilfe von Fragment Header kann ein IPv6-Paket, dessen Länge den vereinbarten MTU-Wert (Maximal Transfer Unit) überschreitet, auf eine Reihe zusammenhängender Teile (sog. Fragment-Pakete) aufgeteilt werden. Die einzelnen Fragment-Pakete können selbstständig übermittelt werden. Diesen Vorgang bezeichnet man als Fragmentierung. Die Fragmentierung von IPv6Paketen kann nur bei der Quelle dieser Pakete erfolgen. Im Gegensatz dazu kann die Fragmentierung langer IPv4-Pakete auch unterwegs in Routern stattfinden. Fragment Header
Liegt ein so langes IPv6-Paket bei der Quelle vor, dass der vereinbarte MTUWert überschritten wird, kann dieses Paket als Folge von mehreren und „kleineren“ Fragment-Paketen übermittelt werden. Hierfür wird der ErweiterungsHeader Fragment Header verwendet. Dessen Struktur zeigt Abbildung 6.7-1. 8 0
N e x t H e a d e r
1 6
2 4
re s e rv ie rt F ra g m e n t O ffse t Id e n tific a tio n
3 2
R e s M
Abb. 6.7-1: Struktur des Fragment Header Res: Reserviert
Die einzelnen Steuerungsangaben im Fragment Header haben folgende Bedeutung: Fragment Offset
Dieses 13-Bit-Feld gibt den Abstand (Offset) des Datensegments in Anzahl von Bytes ab Datenbeginn an. M-Flag
Mit M-Flag wird markiert, ob es sich um das letzte Fragment-Paket handelt. Daher wird das letzte Fragment-Paket mit M = 0 markiert. In anderen Paketen muss es M = 1 sein. Identification
Für jedes Paket, das aufgeteilt werden muss, wird eine Identifikation (ID) generiert.
6.8 Adressstruktur von IPv6
251
Die Identifikation des Pakets muss auch in jedem Fragment-Paket enthalten Fragmentsein. Dadurch ist es am Ziel möglich, die empfangenen Fragment-Pakete zu Identifikation „sammeln“ und das „Original-Paket“ zu rekonstruieren. Die Fragmentierung eines langen IPv6-Paketes illustriert Abbildung 6.7-2. O r ig in a l-P a k e t u n te ilb a re r T e il IP v 6 -H E x t. H e a d e rs * E x t. H e a d e rs * * T C P -H
IP v 6 -H
E x t. H e a d e ID = M F ra g . O ffse t
F ra g m e n t O ffse t = a F ra g m e n t 1 E x t. H e a d e rs * * T C P -H
rs* F ra g . H x x = 1 IP v 6 -H = 0
D a te n F ra g m e n t O ffse t = b
F ra g m e n t 2 E x t. H e a d e ID = M F ra g . O ffse t
rs* F ra g . H x x = 1 IP v 6 -H = a
F r a g m e n t-P a k e te
E x t. H e a d e ID = M F ra g . O ffse t = a
rs* x x = 0 + b
F ra g . H
F ra g m e n t 3
Abb. 6.7-2: Fragmentierung eines langen IPv6-Pakets Ext. Headers*: Extension Headers, die in Routern interpretiert werden Ext. Headers**: Extension Headers, die nur im Endsystem interpretiert werden
Im Originalpaket wird hier ein Teil (als Extension Header* bezeichnet) besonders hervorgehoben, der von den Routern unterwegs interpretiert wird. Dieser Teil darf nicht aufgeteilt werden, er stellt den unteilbaren Teil (Unfragmentable Part) des Pakets dar. Sind im IPv6-Paket ein Routing Header oder ein Hop-by-Hop Options Header vorhanden, so gehören sie zum unteilbaren Teil des Pakets. Der unteilbare Teil muss in jedem Fragment-Paket vorkommen. Der restliche und teilbare Teil des Pakets kann wiederum auf eine Reihe von Fragmenten aufgeteilt werden. Wie aus Abbildung 6.7-2 ersichtlich ist, wird jedem Fragment der unteilbare Teil des Originalpakets und anschließend der Fragment Header vorangestellt. Für jedes Paket, das aufgeteilt werden muss, wird eine 32 Bits lange Identifikation (ID) generiert, die in jedem Fragment-Paket enthalten sein muss. Mit M-Flag wird das letzte Fragment-Paket markiert (M = 0). In jedem Fragment Header wird der Abstand des Fragments (d.h. Fragment Offset) in Anzahl von Bytes zum unteilbaren Teil des Originalpakets angegeben. Beim ersten Fragment-Paket ist somit Fragment Offset = 0. Mithilfe dieser Angaben im Fragment Header kann das Originalpaket beim Ziel-Endsystem wieder zurückgewonnen werden.
6.8
Adressstruktur von IPv6
Bereits Anfang der 90er-Jahre war festzustellen, dass der auf dem Protokoll IPv4 basierende Adressraum bei dem weiteren rapiden Internet-Wachstum bald zu knapp sein würde. Einer der Hauptgründe, ein neues Internet-Protokoll zu entwickeln, war die Erweiterung der Adressierung. Die Adresslänge in IPv6
Fragment Offset
252
Interface-ID
6
Konzept des Protokolls IPv6
wird auf das Vierfache – jeweils 128 Bits für Quell- und Zieladresse – im Vergleich zu der Adresslänge 32 Bits beim IPv4 erweitert. Somit sind 2128 Adressen bei IPv6 verfügbar. Dies bedeutet die Vergrößerung des Adressraums um den Faktor 296. Ähnlich wie bei IPv4 identifiziert eine IPv6-Adresse nicht ein ganzes System (Rechner, Router, Layer-3-Switch, ...), sondern lediglich sein Interface. Beispielsweise werden einem Router, mit dem mehrere Subnetze miteinander verbunden sind, mehrere IPv6-Adressen zugeteilt und zwar jeweils eine IPv6Adresse pro Interface zu einem Subnetz. Ein Rechner stellt daher ein MultiHoming-System dar. Beim IPv6 unterscheidet man zwischen folgenden Kategorien von Adressen (die in Abschnitt 6.9.1 detaillierter dargestellt werden): Unicast-Adressen, Multicast-Adressen und
UnicastAdresse
MulticastAdresse
AnycastAdresse
Anycast-Adressen. Unicast-Adressen verwendet man bei der Punkt-zu-Punkt-Kommunikation. Bei dieser häufigsten Adressierungsart sendet ein Quellsystem die Daten an ein direkt angegebenes Zielsystem. Eine Unicast-Adresse identifiziert ein Interface in einem System. Es gibt mehrere Typen von Unicast-Adressen [Tab. 6.8-2]. Eine Multicast-Adresse identifiziert eine Gruppe von Interfaces, die sich in der Regel in verschiedenen Rechnern befinden. Ein Paket mit einer MulticastAdresse wird an alle Interfaces einer Multicast-Gruppe quasi parallel übermittelt. Daher kann die Quelladresse eines Pakets nie eine Multicast-Adresse sein. Eine Anycast-Adresse identifiziert ebenfalls eine Gruppe von Interfaces, die sich in verschiedenen Rechnern befinden. Der Unterschied zu MulticastAdressen besteht in der Übermittlung von Paketen. Anycast-Adressen ermöglichen den Versand von Paketen über eine festgelegte Stelle an alle Interfaces aus einer Gruppe. Ein Paket mit einer Anycast-Adresse wird zuerst an ein Interface aus der Gruppe (z.B. einen speziellen – dedizierten – Router) übergeben, der das empfangene Paket im nächsten Schritt an einen weiteren Interface aus dieser Gruppe weiterleiten kann. Anycast-Adressen erlauben es, unterschiedliche Rechner zu einer funktionellen Gruppe zusammenzufassen. Eine Anycast-Adresse kann somit nie die Quelladresse eines Pakets sein.
6.8.1 Darstellung von IPv6-Adressen IPv6Adresssyntax
Eine IPv6-Adresse wird in 16-Bits-Blöcken dargestellt, wobei jeder 16-BitsBlock in eine aus vier Ziffern bestehende Hexadezimalzahl konvertiert wird und die einzelnen 16-Bits-Blöcke durch Doppelpunkte getrennt sind. Eine der-
6.8 Adressstruktur von IPv6
253
artige Darstellung ist als Doppelpunkt-Hexadezimalnotation bekannt. Die IPv6Adressen haben daher im Allgemeinen folgende Form: X:X:X:X:X:X:X:X,
wobei jedes X-Zeichen einen 16-Bits-Block in hexadezimaler Schreibweise darstellt. Eine IPv6-Adresse kann also folgendermaßen aussehen: ADCF:0005:0000:0000:0000:0000:0600:FEDC
Die führenden Nullen können weggelassen werden. Somit ist es erlaubt, z.B. 0 statt 0000, 5 statt 0005, 600 statt 0600
Komprimieren der NullWerte
zu schreiben. Dadurch lässt sich die bereits erwähnte Adresse nun in der kompakten Form wie folgt darstellen: ADCF:5:0:0:0:0:600:FEDC
Ebenso können mehrere aufeinanderfolgende 16-Bits-Null-Werte unterdrückt und durch „::“ abgekürzt werden. Eine korrekte Schreibweise für die eben gezeigte Adresse wäre damit auch: ADCF:5::600:FEDC Beispiel 1: Volle Darstellung
Kompakte Darstellung
ADCF:BA56:600:FEDC:0:0:0:0
ADCF:BA56:600:FEDC::
0:0:0:0:ADCF:BA56:600:FEDC
::ADCF:BA56:600:FEDC
0:0:0:ADCF:BA56:0:0:0
::ADCF:BA56:0:0:0 0:0:0:ADCF:BA56::
Beispiel 2: Volle Darstellung
Beispiele für IPv6Adressen
oder
Kompakte Darstellung
1080:0:0:0:8:800:200C:417A
1080::8:800:200C:417A
FF01:0:0:0:0:0:0:101
FF01::101
0:0:0:0:0:0:0:1
::1
0:0:0:0:0:0:0:0
::
Das Symbol „::“ darf nur an einer Seite der Adresse verwendet werden. Die folgende Darstellung ist daher nicht eindeutig: ::ADCF:BA56:: als 0:0:0:ADCF:BA56:0:0:0
Eine etwas andere kompakte Darstellung von IPv6-Adressen wurde im RFC RFC 1924 1924 vorgeschlagen. Hierfür wird die sog. Base85-Codierung verwendet. Die zu kodierende IPv6-Adresse wird nicht in acht 16-Bits-Blöcke zerteilt, sondern als eine 128-Bits-Zahl aufgefasst. Diese wird sukzessive durch 85 geteilt. Den dabei auftretenden Resten werden die Symbole der Base85-Codierung nach einer Tabelle zugeordnet. Diese Darstellung von IPv6-Adressen hat aber bisher keine große Beachtung gefunden. Im Gegensatz zur Unterteilung von IPv4-Adressen nur in die Klassen A, B, C Bedeutung und D ist die Unterscheidung von Adresstypen beim IPv6 sehr flexibel. Beim des AdressIPv6 werden verschiedene Typen von Adressen definiert. Um welchen Adress- präfixes
254
6
Konzept des Protokolls IPv6
typ es sich handelt, bestimmt ein sog. Adresspräfix, das eine variable Länge besitzt und durch die ersten (von links gelesenen) Bits bestimmt wird. Durch den Präfixeinsatz kann der ganze Adressraum auf bestimmte Adressklassen flexibel aufgeteilt werden. IPv6-Adresspräfixe
Wie bei der Bildung der Bereiche (Blöcke) von IPv4-Adressen bei der Nutzung der Präfixlängennotation CIDR [Abschnitt 2.5.3], definiert man mit dem Adresspräfix beim IPv6 auch einen IPv6-Adressbereich wie folgt: IPv6-Adresse/Präfixlänge Beispiel: Ein IPv6-Adressbereich mit dem 60 Bits langen Adresspräfix 20010CFF0000CD3 (hexadezimal) kann folgendermaßen dargestellt werden als 2001:0CFF:0000:CD30:0000:0000:0000:0000/60 oder 2001:0CFF::CD30:0:0:0:0/60 oder 2001:0CFF:0:CD30::/60
Das bedeutet, dass die ersten 60 Bits als Präfix fest sind und die nachfolgenden 68 Bits beliebig sein können.
Das IPv6-Adresspräfix stellt ein Doppelpunkt-Hexadezimal-Äquivalent einer IPv4-Subnetzmaske dar. Falls das IPv6-Adresspräfix 128 Bytes lang ist, repräsentiert der entsprechende Adressblock nur eine IPv6-Adresse. Die Bildung der IPv6-Adressblöcke illustriert Tabelle 6.8-1. IPv6-Adresspräfix
Tab. 6.8-1:
IPv6-Adressbereich (-Adressblock)
2000::/3
001y yyyy yyyy yyyy . ......
2000::/4
2xxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
2000::/16
2000:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
::/128
0000:0000:0000:0000:0000:0000:0000:0000
::/96
0000:0000:0000:0000:0000:0000:xxxx:xxxx
::FFFF/96
0000:0000:0000:0000:0000:FFFF:xxxx:xxxx
yyyy yyyy yyyy
Bildung der IPv6-Adressbereiche mithilfe des Adresspräfixes x: beliebige hexadezimale Zahl, y: entweder 0 oder 1
Vergabe von IPv6Adressen
Die in RFC 3177 spezifizierte Richtlinie schreibt folgende Vergabe von drei verschiedenen IPv6-Adressbereichen vor: /48-Präfix als Normalfall für kleine und große Unternehmen. Dies sollte die Neustrukturierung und den Wechsel von ISP vereinfachen. Sehr große Unternehmen können ein /47-Präfix bzw. ein kürzeres Präfix erhalten. /64-Präfix, wenn genau ein Subnetz benötigt wird, z.B. ein Netzwerk in einem Fahrzeug. /128-Präfix, wenn genau eine Adresse für ein einzelnes Gerät benötigt wird.
6.8 Adressstruktur von IPv6
255
6.8.2 Aufteilung des IPv6-Adressraums Die Architektur der Adressierung beim IPv6 wurde mehrmals modifiziert. Sie Spezifikation wurde zuerst in RFC 1884 (Dezember 1995) spezifiziert. RFC 1884 wurde aber von IPv6bald (Juli 1998) durch RFC 2373 abgelöst. Inzwischen wurde im April 2003 Adressen RFC 2373 wiederum durch RFC 3513 ersetzt. Insbesondere werden die sog. Aggregatable Global Unicast Addresses mit dem Präfix 001, die in RFC 2373 spezifiziert wurden, als „historic“ nach RFC 3587 (August 2003) betrachtet. Während IPv4-Adressen in verschiedene Netzwerkklassen A, B, C unterteilt Bedeutung werden, gibt es bei IPv6-Adressen eine derartige statische Trennung von Netz- von Format werk- und Host-ID nicht [Abb. 6.9-1]. IPv6 nutzt flexiblere Adresstypen. Um Prefix welchen Adresstyp es sich handelt, wird mit dem IPv6-Adresspräfix angegeben. Mit dessen Hilfe lassen sich spezielle Adresstypen kennzeichnen. Die einzelnen Typen von IPv6-Adressen und ihre Präfixe zeigt Tabelle 6.8-2. IPv6-Adresstyp Unspecified Loopback IPv4-compatible IPv6-Address IPv4-mapped IPv6-Address IPv4-translated IPv6-Address 6to4-Address (mit IPv4-Adresse) 6to4-Address (ohne IPv4-Adresse) Global Unicast Addresses Link-local Unicast Addresses Site-local Unicast Addresses Multicast Addresses Tab. 6.8-2:
Präfix komprimierte Form ::/128 ::1/128 ::/96 ::FFFF/96 ::FFFF:0/96 2002:w.x.y.z::/48 2002::/16 2000::/3 FE80::/10 FEC0::/10 FF00::/8
Präfix ausführliche Form 0:0:0:0:0:0:0:0/128 0:0:0:0:0:0:0:0/128 0:0:0:0:0:0/96 0:0:0:0:0:FFFF/96 0:0:0:0:FFFF:0/96 2002:WWXX:YYZZ::/48 2002::/16 2000::/3 FE80::/10 FEC0::/10 FF00::/8
Typen von IPv6-Adressen und ihre Präfixe (Stand: Oktober 2005) w.x.y.z: IPv4-Adresse, WWXX:YYZZ: hexadezimale Darstellung von w.x.y.z
Die Aufteilung des IPv6-Adressraums wird von IANA (Internet Assigned Numbers Authority) koordiniert und die immer aktuelle Aufteilung findet man unter http://www.iana.org/assignments/ipv6-address-space
6.8.3 Vergabe von IPv6-Adressen Die IPv6-Adressen werden nach einer Hierarchie vergeben. An oberster Stelle befindet sich die IANA. Danach folgen Institutionen, die man als RIR (Regional Internet Registry) bezeichnet, und die jeweils Gebiete in der Größenordnung eines Erdteils versorgen. Seit 2005 gibt es folgende RIRs: APNIC (Asia Pacific Network Information Centre) koordiniert die Vergabe RIRs im asiatisch-pazifischen Raum [http://apnic.net].
256
6
Konzept des Protokolls IPv6
ARIN (American Registry for Internet Numbers) koordiniert die Vergabe im nord-amerikanischen Raum [http://www.arin.net]. RIPE NCC (RIPE Network Coordination Centre) als Koordinationszentrum von RIPE (Réseaux IP Européens) ist zuständig für Europa, Zentralasien und Nahost [http://ripe.net]. LACNIC (Latin American and Caribbean Internet Addresses Registry) koordiniert die Vergabe im latein-amerikanischen und im karibischen Raum [http://lacnic.net]. AfriNIC (African Network Information Centre) ist zuständig für den afrikanischen Raum [http://www.afrinic.net]. Bei RIRs können nun entsprechend qualifizierte Institutionen bzw. ISPs, die man als LIR (Local Internet Registry) bezeichnet, in den entsprechenden Regionen eigene IPv6-Adressblöcke beantragen, sofern sie die technischen und administrativen Bedingungen erfüllen und einen Bedarf nachweisen können. LIRs vergeben ihre Adressräume weiter an Unternehmen bzw. andere Institutionen, die als „Endverbraucher“ gelten [Abb. 6.9-5]. In einem Land kann zusätzlich eine nationale Registratur NIR (National Internet Registry) eingerichtet werden. Diese kann zwischen RIRs und LIRs fungieren. Unter http://www.ripe.net/membership/indices findet man eine Auflistung von LIRs in den einzelnen Ländern innerhalb des Versorgungsbereiches von RIPE NCC.
6.9
Unicast-Adressen beim IPv6
Die Unicast-Adressen werden für normale Punkt-zu-Punkt-Kommunikation verwendet. Unter den Unicast-Adressen sind wiederum folgende Adresstypen zu unterscheiden: Arten von UnicastAdressen
Globale Unicast-Adressen (Global Unicast Addresses) Die Bezeichnung global besagt, dass diese Art von IPv6-Adressen weltweite Gültigkeit hat. Diese IPv6-Adressen haben das 3 Bits lange Präfix 001 [Tab. 6.8-2], sodass man hier auch vom Adressbereich 2000::/3 spricht. Die globalen Unicast-Adressen sind mit öffentlichen IPv4-Adressen vergleichbar. Auf diese IPv6-Adressen geht Abschnitt 6.9.1 detailliert ein. Lokale Unicast-Adressen Es handelt sich hierbei um Unicast-Adressen von nur lokaler Bedeutung. Zu dieser Klasse gehören: − Link Local Unicast Addresses und − Site Local Unicast Addresses.
6.9 Unicast-Adressen beim IPv6
Auf diese IPv6-Adressen geht Abschnitt 6.9.4 näher ein. IPv4-Kompatibilitätsadressen Diese Unicast-Adressen wurden eingeführt, um die Migration zum IPv6Einsatz und insbesondere den Fall zu unterstützen, wenn die beiden Protokolle IPv4 und IPv6 in einem Netz implementiert werden sollen. Die IPv4Kompatibilitätsadressen werden in Abschnitt 6.9.5 dargestellt. Spezielle IPv6-Addressen − Loopback-IPv6-Adresse Diese Adresse ist 0:0:0:0:0:0:0:1 bzw. kurz ::1/128. Sie entspricht der Loopback-Adresse 127.0.0.1 von IPv4 und wird in IPv6Paketen genutzt, die zwischen den Programmen innerhalb eines Rechners (z.B. beim Testen) ausgetauscht werden. Mithilfe dieser Adresse kann daher ein Rechner die IPv6-Pakete an sich selbst senden. An die Loopback-Adresse gerichtete Pakete werden nie nach „außen“ weitergeleitet. Somit kann diese Adresse weder Quell- noch Zieladresse in IPv6Paketen sein, die einen Rechner bzw. einen Router verlassen. − Nicht spezifizierte Adresse (Unspecified Address) Diese Adresse ist 0:0:0:0:0:0:0:0 bzw. kurz ::/128 und sie entspricht der nicht spezifizierten Adresse 0.0.0.0 von IPv4. Sie zeigt an, dass keine Adresse vorhanden ist. Die nicht spezifizierte Adresse wird nie einem Interface zugewiesen bzw. als Zieladresse verwendet. Sie wird nur in einigen Fällen als Quelladresse für IPv6-Pakete verwendet, die z.B. versuchen, die Eindeutigkeit einer vorläufigen IP-Adresse zu bestätigen.
6.9.1 Globale Unicast-Adressen Die globalen Unicast-Adressen (Global Unicast Addresses) von IPv6 sind mit öffentlichen IPv4-Adressen vergleichbar und im gesamten IPv6-Internet eindeutig. Den Aufbau von globalen Unicast-Adressen zeigt Abbildung 6.9-1. Abbildung 6.9-1a veranschaulicht die allgemeine Struktur einer globalen Unicast-Adresse, wie sie in RFC 3587 definiert ist. Abbildung 6.9-1b zeigt die Struktur von globalen Unicast-Adressen, die zurzeit von IANA zugewiesen wurde. Diese IPv6-Adresse haben das Präfix 001 (binär) bzw. 2000::/3 (hexadezimal) und man bezeichnet sie auch als 2000::/3-Adressen. Das Adresspräfix für momentan zugewiesene globale IPv6-Adressen lautet daher 2000::/3.
257
258
6
Konzept des Protokolls IPv6
n B its
a )
6 4 -n B its
G lo b a l R o u tin g P re fix
S u b n e t-ID
S ta n d o rta d re s s p rä fix 4 5 B its
1 6 B its
b ) 0 0 1
G lo b a l R o u tin g P re fix
S u b n e t-ID
6 4 B its
In te rfa c e -ID 6 4 B its
In te rfa c e -ID
Abb. 6.9-1: Aufbau von globalen Unicast-Adressen: a) allgemeine Struktur (nach RFC 3587), b) Adressen mit Präfix 2000::/3 ID: Identification
Die weiteren Angaben in globalen Unicast-Adressen sind: Global Routing Prefix (GRP)
GRP kann hierarchisch strukturiert werden und wird verwendet, um die Route zu einer bestimmten Organisation anzugeben. Auf die Bedeutung von GRP wird im Weiteren näher eingegangen [Abb. 6.9-3, Abb. 6.9-4]. Subnet-ID
Als Subnet-ID wird die Identifikation eines Subnetzes innerhalb einer Organisation angegeben. Subnet-ID kann weiter strukturiert werden, um eine Subnetz-Hierarchie innerhalb eines physikalisch großen Netzes adressieren zu können, sodass man daher von privater Struktur sprechen kann. Interface-ID Interface-ID dient als Identifikator eines physikalischen Interface in ei-
nem Rechner, Router etc. Dieser Identifikator ist als physikalische Netzadresse eines Ports in einem Endsystem zu interpretieren [Abb. 6.9-4]. RFC 3587 ersetzt RFC 2374
Global Unicast Addresses mit dem Präfix 2000::/3 entsprechen den sog. Aggregatable Global Unicast Addresses (AGU-Adressen), die vorher in RFC 2374 spezifiziert wurden. In AGU-Adressen wurde das Präfix, das dem GRP entspricht, vorher auf TLA (Top Level Aggregator) und NLA (Next Level Aggregator) aufgeteilt. Dies hat sich aber im Laufe der Zeit als zu starr und zu wenig flexibel erwiesen. Nach RFC 3587 wurde die hierarchische TLA/NLAStruktur von AGU-Adressen durch GRP ersetzt. Daher hat die TLA/NLAStruktur heute nur eine historische Bedeutung. GRP kann aber hierarchisch flexibler strukturiert werden. Um die Bedeutung von GRP zu verdeutlichen, soll nun der Nachteil von IPv4-Adressen näher erläutert werden.
Nachteil von IPv4Adressen
Eines der größten Probleme bei IPv4 ist der Umfang von Routing-Tabellen in großen Netzen und die damit verbundenen Leistungseinbußen. Dies ergibt sich aus der klassenbasierten Aufteilung der IPv4-Adressen, was durch die Einführung von Classless Inter-Domain Routing (CIDR) jedoch abgemildert werden
6.9 Unicast-Adressen beim IPv6
259
konnte [Abschnitt 2.5.3]. Die Struktur von IPv4-Adressen wurde bereits in Abbildung 2.3-1 dargestellt. A d re ssra u m ... ...
K e in e R o u te z u m N e tz : W o is t d a s N e tz ?
IA N A ...
...
... P r iv a te N e tz s tr u k tu r
N e tz -ID
...
... ...
S u b n e tz -ID
...
H o s t-ID
Abb. 6.9-2: Aufteilung des Adressraums bei IPv4-Adressen
Bei IPv4-Adressen wird der ganze Adressraum direkt auf die einzelnen Netze aufgeteilt. Wie Abbildung 6.9-2 zeigt, haben IPv4-Adressen den Nachteil, dass sie keine Hierarchie in dem Sinne bilden, dass es möglich wäre, auf die Lokation eines Netzes auf der Erdkugel zu verweisen. Dies hat eine negative Auswirkung auf das Routing und führt zum „Wachsen“ von Routing-Tabellen in Routern im Internet. Durch eine mehrstufige Strukturierung von globalen Unicast-Adressen lässt sich das „Wachsen“ von Routing-Tabellen noch in akzeptierten Grenzen halten und damit auch die Verzögerung der Pakete im Internet. Dem eben geschilderten Problem versucht man bei IPv6 durch eine hierarchische Strukturierung des globalen Routing-Präfixes (GRP) zu begegnen. Abbildung 6.9-3 bringt dies zum Ausdruck.
...
...
...
.. .. ..
R IR -ID
...
L IR -ID
... ...
...
P r iv a te N e tz s tr u k tu r
.. . .
... ...
...
N e tz -ID S u b n e tz -ID In te rfa c e -ID
g lo b a le U n ic a s t-A d re s s e
...
G R P :R o u te z u m N e tz
IA N A
...
G R P
A d re ssra u m
Abb. 6.9-3: Bedeutung von GRP (Global Routing Prefix) in IPv6-Adressen RIR: Regional Internet Registry, LIR: Local Internet Registry
Durch die hierarchische Struktur von GRP, d.h. durch die Aufteilung auf RIPID, LIR-ID und Netz-ID lässt sich die öffentliche Internetstruktur recht gut gliedern. GRP stellt also eine Route dar, die auf den Standort einer Organisation auf der Erdkugel verweist. Durch die weitere Strukturierung von globalen
Bedeutung des RoutingPräfixes beim IPv6
260
Strukturierung von GRP
6
Konzept des Protokolls IPv6
Unicast-Adressen, d.h. durch die Angabe von Subnetz-ID und Interface-ID, lässt sich die private Netzstruktur einer Organisation hierarchisch strukturieren. Abbildung 6.9-4 zeigt, wie GRP eine hierarchische Routing-Struktur schafft. Das GRP bestimmt daher den Standort einer bestimmten Organisation. P riv a te N e tz s tru k tu r
Ö ffe n tlic h e N e tz s tru k tu r G R P 4 5 B its
L IR -ID
N e tz -ID
6 4 B its
S u b n e tz -ID
In te rfa c e -ID
S u b n e tz
...
R o u te r
... ...
L IR
... ...
R IR
... ...
IA N A
... ...
...
0 0 1 R IR -ID
1 6 B its
H ie r a r c h is c h e R o u tin g -S tr u k tu r
Abb. 6.9-4: Prinzip der Strukturierung von GRP (Global Routing Prefix) Abkürzungen wie in Abbildung 6.9-3
Die Kombination aus dem festen Präfix 001 und dem aus 45 Bits bestehenden GRP kann als Standortadresspräfix angesehen werden und sie verweist auf den Standort einer Organisation. Nach GRP leiten die Router im IPv6-Internet den Datenverkehr an den Router am Eingang zu einer Organisation weiter. Aufgrund der so strukturierten globalen Unicast-Adressen lässt sich Routing im IPv6-Internet sehr vereinfachen. Wie in Abbildung 6.9-4 ersichtlich ist, verweist die Subnetz-ID auf das entsprechende Subnetz am Standort einer Organisation. Mit der Interface-ID wird eine Schnittstelle (ein Port) im Subnetz gekennzeichnet. GRP ermöglicht auch die Aggregation von Routen. Das in Abbildung 6.9-5 dargestellte Beispiel soll dies näher erläutern. IA N A
A d re ssra u m
Aggregation von Routen
R IP E N C C
2 0 0 0 ::/3 2 0 0 1 :0 6 0 0 ::/2 3
D F N 2 0 0 1 :0 6 3 8 ::/3 2
2 0 0 1 :0 6 3 8 :0 3 0 1 ::/4 8
Abb. 6.9-5: Beispiel für die Aggregation von Routen mithilfe von GRP DFN: Deutsches Forschungsnetz
H o c h s c h u le F u ld a
6.9 Unicast-Adressen beim IPv6
Das IPv6-Adresspräfix kann hier auch als aggregierte Route wie folgt interpretiert werden: 2001:0600::/23 aggregierte Route zum RIPE NCC 2001:0638::/32 aggregierte Route zum DFN 2001:0638:0504::/48 aggregierte Route zur Hochschule Fulda. Der Bedeutung nach entspricht eine aggregierte Route im IPv6-Internet weitgehend einer Vorwahl im klassischen Telefonnetz. Daher sind die globalen Unicast-Adressen beim IPv6 nach der Struktur mit den Telefonnummern vergleichbar. Da die Telefonnummern auf die Lokation der Telefone auf der Erdkugel verweisen, können wir seit fast über 100 Jahren telefonieren, ohne hierbei mit den Routing-Problemen kämpfen zu müssen. Die globalen UnicastAdressen mit GRP werden dazu führen, dass das Routing im Internet mit IPv6 einfacher sein wird.
261
Globale UnicastAdressen und Tel.Nummern
6.9.3 Interface-ID in IPv6-Adressen In IPv4-Netzen ist folgendes Problem zu lösen: Ein IP-Paket muss zu einem Rechner im LAN abgeschickt werden. Hierfür wird das IP-Paket in einen MAC-Frame (Media Access Control) eingebettet. In diesem Frame muss die MAC-Adresse des Zielrechners gesetzt werden. Im IP-Paket ist aber nur die Ziel-IP-Adresse enthalten. Um die richtige MAC-Adresse des Zielrechners (d.h. seine physikalische Adresse) zu ermitteln, wird ARP [Abschnitt 2.6.1] in Anspruch genommen. ARP hat die Aufgabe, die Zuordnung: Ziel-IP-Adresse Ziel-MAC-Adresse zu bestimmen. Auf ARP könnte man verzichten, wenn eine IP-Adresse den Bezug zur entsprechenden physikalischen Adresse hätte. Dieser Ansatz wird bei IPv6-Adressen verfolgt. Als Interface-ID in einer IPv6-Adresse [Abb. 6.9-1] kann eine MAC-Adresse eingebettet werden. Daher kann eine IPv6-Adresse für einen Rechner aus seiner MAC-Adresse abgeleitet werden. Damit lässt sich auch die MAC-Adresse aus der IPv6-Adresse direkt ableiten, sodass man auf die Funktion von ARP bei IPv6 verzichten kann.
IPv6Adresse aus MACAdresse
Je nach Implementierung kann Interface-ID in einer IPv6-Adresse sein: eine Link-Layer-Adresse im IEEE-Format EUI-64 (Extended Unique Identifier), ein zufälliges Bitmuster, der sich im Laufe der Zeit ändert, um einen gewissen Grad an Anonymität zu bieten, eine statische bzw. manuell zugewiesene Interface-ID. Bei EUI-64 handelt es sich um das bei IEEE genormte und 64 Bits lange For- Was ist mat für die Adressen von Adapterkarten (Interfaces), d.h. für die Link-Layer- EUI-64? Adressen. Daher spricht man auch von EUI-64-Adressen. Eine 48 Bits lange MAC-Adresse, die eine physikalische LAN-Adresse darstellt und auch als
262
6
Konzept des Protokolls IPv6
IEEE802-Adresse bezeichnet wird, kann in das EUI-64-Format umgewandelt werden. Abbildung 6.9-6 illustriert den Fall. Die Interface-ID in einer IPv6Adresse ist entweder eine EUI-64-Adresse oder eine MAC-Adresse. IE E E E U I-6 4 A d re sse
2 4 B its C o m p a n y ID
a )
4 0 B its
x x x x x x 0 g x x x x x ... x x u = 0
M a n u fa c tu re r ID
6 4 B its
6 4 B its
R e s tte il d e r IP v 4 -A d re s s e 2 4 B its x x x x x x 1 g x x x x x ... x x u = 1
In te rfa c e -ID 4 0 B its
1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0
x ´F F ´
x ´F E ´
M a n u fa c tu re r ID 2 4 B its
u = 0
b )
x x x x x x 0 g x x x x x ... x x C o m p a n y ID 2 4 B its
M a n u fa c tu re r ID 2 4 B its
4 8 -B its -M A C -A d r e s s e
u : U /L -B it (U n iv e rs a l/ L o c a l-B it),
u =
g : I/G -B it (In d iv id u a l/G ro u p -B it) 1 : G ro u p A d d re ss 1 : L o c a lly a d m in is te re d g = 0 : In d iv id u a l A d d re s s 0 : U n iv e rs a lly (g lo b a lly ) a d m in is te re d
Abb. 6.9-6: Interface-ID in einer IPv6-Adresse als: a) EUI-64-Adresse, b) MAC-Adresse
EUI-64Adresse als Interface-ID
Eine EUI-64-Adresse besteht aus einer 24 Bits langen Company ID (Hersteller-ID), die jedem Hersteller von Adapterkarten bei IEEE eindeutig zugeordnet wurde, und aus einer 24 Bits langen vom Hersteller festgelegten Identifikation der Adapterkarte (Manufacturer ID). In Company ID haben die Bits u und g eine besondere Bedeutung. Mit dem Bit u wird angegeben, ob es sich um eine lokale Adresse, d.h. eine lokal verwaltete Adresse (locally administered) oder eine weltweit eindeutige Adresse handelt. Das Bit g verweist darauf, ob die Adresse eine individuelle Adresse oder eine Gruppenadresse (z.B. Multicast) ist. Wie Abbildung 6.9-6a zeigt, werden alle 64 Bits der EUI-64-Adresse als Interface-ID übernommen. Da Interface-ID in einer IPv6-Adresse nur innerhalb einer privaten Netzstruktur [Abb. 6.9-4] eindeutig sein muss, d.h. eine lokale Bedeutung hat, wird das Bit u auf 1 gesetzt.
MACAdresse als Interface-ID
In Gegensatz zu EUI-64-Adresse ist Manufacturer ID in 48 Bits langen MAC-Adressen nur 24 Bits lang. Wie Abbildung 6.9-6b zeigt, wird die MACAdresse beim Einkapseln ins Feld Interface-ID aufgeteilt. Der Teil Company ID wird zuerst „untergebracht“, danach folgen zwei „Füll“-Bytes mit den
6.9 Unicast-Adressen beim IPv6
263
Bitkombinationen x´FF´ und x´FE´, und anschließend wird Manufacturer ID eingetragen. Hierbei wird das Bit u auch auf 1 gesetzt.
Wie Abbildung 6.9-6 zeigt, kann die IPv6-Adresse eines Rechners aus seiner BeeinträchMAC-Adresse eindeutig generiert werden. Daher hat der Rechner mit der glei- tigung der chen MAC-Adresse, was beim Server in der Regel der Fall ist, immer die glei- Sicherheit che IPv6-Adresse. Da der Datenverkehr im Internet mitgeschnitten werden kann, führt die eben erwähnte Tatsache zur Beeinträchtigung der Sicherheit während der Datenübertragung über öffentliche IP-Netze (wie Internet). Um diesen Missbrauch zu unterbinden, wurden zusätzliche Erweiterungen, die sog. Privacy Extensions, in RFC 3041 nachträglich eingeführt. Die MAC-Adresse wird dabei zunächst mit einer pseudo-zufälligen Zahl verwürfelt und aus dem Ergebnis wird dann die IPv6-Adresse generiert.
6.9.4 Unicast-Adressen von lokaler Bedeutung Bei IPv6 werden zwei Arten von Unicast-Adressen definiert, die lokale Bedeutung haben. Es handelt sich hierbei um Link Local Unicast Address und Site Local Unicast Address. Wie Abbildung 6.9-7a zeigt, handelt es sich bei Link Local Unicast Address – LLU-Adresse im Weiteren kurz LLU-Adresse genannt – um eine unstrukturierte Adresse mit dem Präfix FE80::/10. Da LLU-Adressen keine Identifikation von Subnetzen enthalten, können sie nur innerhalb „isolierter“ IPv6-Subnetze, die man auch als Links bezeichnet [Abb.7.1-1], verwendet werden. LLU-Adressen werden von Routern nicht weitergeleitet, sodass Pakete mit LLU-Adressen nicht ins Internet geschickt werden können.
a )
P rä fix (1 0 B its )
5 4 B its
1 1 1 1 1 1 1 0 1 0
0 0 0 0 0 ........................ 0 0 0
6 4 B its
F E 8 0 ::/1 0
P rä fix (1 0 B its )
b )
1 1 1 1 1 1 1 0 1 1
In te rfa c e -ID E U I-6 4 -F o rm a t
3 8 B its
0 0 .......... 0 0
1 6 B its
S u b n e tz -ID
F E C 0 ::/1 0
6 4 B its
In te rfa c e -ID E U I-6 4 -F o rm a t
Abb. 6.9-7: Struktur der Unicast-Adressen von lokalen Bedeutung: a) Link Local Address, b) Site Local Address
Wie aus Abbildung 6.9-7b ersichtlich ist, sind Site Local Unicast Addresses SLU-Adresse (kurz SLU-Adressen) strukturiert und werden mit dem Präfix FEC0::/10 gekennzeichnet. Da SLU-Adressen nur Subnetz-IDs und keine weiteren Angaben
264
6
Konzept des Protokolls IPv6
über die öffentliche Netzstruktur enthalten [Abb. 6.9-4], können sie nur innerhalb einer Gruppe von IPv6-Subnetzen innerhalb eines „isolierten“ Standorts (Site) verwendet werden. Die SLU-Adressen sind mit den privaten Adressbereichen von IPv4 (z.B. 10.0.0.0/8, 192.168.0.0/16) vergleichbar. SLU-Adressen ermöglichen, innerhalb einer nicht an das globale Internet angeschlossenen Organisation eindeutige Adressen zu vergeben, ohne dafür global eindeutige Adressen verwenden zu müssen. Da SLU-Adressen nur innerhalb einer Organisation eindeutig sind, werden sie von Routern nach außen (z.B. ins Internet) nicht weitergeleitet. Soll ein Rechner uneingeschränkt kommunizieren können, muss ihm eine global gültige Adresse, also eine globale UnicastAdresse, zugewiesen werden.
6.9.5 IPv4-Kompatibilitätsadressen Um die Migration zum Einsatz von IPv6 zu unterstützen und damit auch die Koexistenz von IPv4 und IPv6 in verschiedenen Netzstrukturen zu ermöglichen [Kapitel 8], werden mehrere IPv6-Adresstypen definiert, die als IPv4-Kompatibilitätsadressen zu bezeichnen sind. Es handelt sich hierbei um IPv6-Adressen mit eingekapselten IPv4-Adressen, 6to4-Addresses, ISATAP-Addresses (Intra-Site Automatic Tunnel Addressing Protocol), Toredo-Addresses. IPv6Adressen mit eingekapselten IPv4Adressen
Es werden folgende drei Typen von IPv6-Adressen mit eingekapselten IPv4Adressen definiert: IPv4-compatible IPv6-Addresses (IPv4-kompatible IPv6-Adressen), IPv4-mapped IPv6-Addresses (IPv4-Adressen im IPv6-Format), IPv4-translated IPv6-Addresses. Die Struktur dieser IPv6-Adressen zeigt Abbildung 6.9-8. Wie hier ersichtlich ist, ergänzen die beiden Adresstypen eine 32 Bits lange „alte“ IPv4-Adresse zu der vollen Länge der IPv6-Adresse. Daher werden sie mithilfe von 96 Bits langen Präfixen gekennzeichnet.
IPv4compatible Address
Die IPv4-compatible IPv6-Address hat das Präfix ::/96 und wird dargestellt als 0:0:0:0:0:0:w.x.y.z oder kurz ::w.x.y.z. Hier ist w.x.y.z eine offizielle IPv4-Adresse. Derartige IPv6-Adressen können die sog. Dual-StackRechner [Abb. 8.1-1] mit beiden Protokollen IPv4 und IPv6 verwenden. Zwischen IPv6/IPv4-Rechnern mit IPv4-kompatiblen IPv6-Adressen, die an einem „klassischen“ IPv4-Netz angeschlossen sind, kann die Kommunikation nach IPv6 stattfinden. Wird eine IPv4-kompatible IPv6-Adresse als Ziel verwendet,
265
6.9 Unicast-Adressen beim IPv6
erfolgt automatisch die Einkapselung eines IPv6-Pakets in das IPv4-Paket. Im Header des IPv4-Pakets wird dann die IPv4-Adresse eingetragen, die in der IPv4-kompatiblen IPv6-Adresse enthalten ist [Abschnitt 8.3.1]. Ob der Zielrechner eine IPv4-kompatible IPv6-Adresse verwendet, erfährt der Quellrechner nach der Namensauflösung mithilfe von DNSv6 [Abschnitt 4.1.10]. 8 0 B its
a )
0 0 0 0 0 .............................. 0 0 0 P rä fix
b )
1 6 B its
3 2 B its
0 0 0 0
IP v 4 -A d re sse
::/9 6 1 6 B its
8 0 B its
0 0 0 0 0 ............................. 0 0 0
F F F F
3 2 B its
IP v 4 -A d re sse
P rä fix ::F F F F /9 6
c )
6 4 B its
0 0 0 ................... 0 0
1 6 B its
F F F F
1 6 B its
0 0 0 0
3 2 B its
IP v 4 -A d re sse
P rä fix ::F F F F :0 /9 6
Abb. 6.9-8: Struktur von IPv6-Adressen mit eingekapselten IPv4-Adressen: a) IPv4-compatible IPv6-Address, b) IPv4-mapped IPv6-Address c) IPv4-translated IPv6-Address
Die IPv4-mapped IPv6-Address hat das Präfix ::FFFF/96 und wird dargestellt als 0:0:0:0:0:FFFF:w.x.y.z oder ::FFFF:w.x.y.z. Eine solche IPv6Adresse kann ein IPv6-only-Rechner, d.h. Rechner mit nur IPv6, im IPv6-Netz verwenden, um einen IPv4-only-Rechner, d.h. Rechner mit nur IPv4, im IPv4Netz zu adressieren. Diese Möglichkeit kommt bei der Integration der IPv4und IPv6-Netze durch die Translation IPv4 <=> IPv6 zum Einsatz [Abb. 8.8-2].
IPv4mapped IPv6Address
Die IPv4-translated IPv6-Address hat das Präfix ::FFFF:0/96 und wird geschrieben als 0:0:0:0:0:FFFF:0:w.x.y.z oder ::FFFF:0:w.x.y.z. Diese IPv6-Adresse verwendet man auch bei der Integration der IPv4- und IPv6Netzen mithilfe der Translation IPv4 <=> IPv6. IPv4-translated IPv6-Address nutzt ein IPv6-only-Rechner im IPv6-Netz als Quelladresse beim Absenden eines IPv6-Pakets an einen IPv4-only-Rechner im IPv4-Netz [Abb. 8.8-2].
IPv4translated IPv6Address
Ein Konzept für die Migration zum Einsatz von IPv4 wird als 6to4 bezeichnet 6to4-Adresse [RFC 3056]. Bei 6to4 handelt es sich um ein Konzept, nach dem die Netzwerke
mit IPv6 als 6to4-Sites über ein IPv4-Netz, das als Backbone dient, verbunden werden können. Über ein IPv4-Backbone werden die IPv6-Pakete zwischen jeweils zwei 6to4-Routern in IPv4-Paketen transportiert. Bei 6to4 verwendet man spezielle IPv6-Adressen, die sog. 6to4-Adressen [Abb. 8.4-2]. Auf das 6to4-Konzept geht Abschnitt 8.4 detailliert ein. Von großer Bedeutung ist die Möglichkeit, IPv6 in einem Netz mit nur IPv4 so ISATAPeinzusetzen, dass die bestehende Netzinfrastruktur mit IPv4 weiter betrieben Adresse
266
6
Konzept des Protokolls IPv6
werden kann. Hierbei sind die IPv4-only-Rechner um entsprechende IPv6Dienstprogramme zu erweitern. Um dies zu ermöglichen, wurde das Protokoll ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) entwickelt [RFC 4215]. ISATAP ermöglicht die Kommunikation nach IPv6 über ein IPv4-Netz. Bei ISATAP wird die sog. ISATAP-Adresse [Abb. 8.5-2] definiert. Sie kann in einem IPv4-only-Rechner aus seiner IPv4-Adresse automatisch generiert werden. Das Konzept von ISATAP wird in Abschnitt 8.5 dargestellt. TeredoAdresse
Um IPv6 in einem Netz mit privaten IPv4-Adressen einzusetzen, wurde ein Konzept unter dem Namen Teredo entwickelt. Es handelt sich hier um ein Konzept, nach dem ein Dual-Stack-Rechner an einem IPv4-Netz mit privaten IPv4-Adressen die Kommunikation nach IPv6 zu einem Rechner an einem IPv6-Netz initiieren kann. Bei Teredo werden den Rechnern im IPv4-Netz keine IPv6-Adressen zugeordnet, sondern jeder Rechner als Teredo-Client kann sich eine sog. Teredo-Adresse mithilfe eines Teredo-Servers selbst generieren. Teredo kann bereits u.a. bei Windows XP und bei Linux eingesetzt werden. Auf Teredo wird in Abschnitt 8.6 näher eingegangen.
6.10 Multicast- und Anycast-Adressen bei IPv6 Bedeutung der Multicast-Adresse
Eine Multicast-Adresse (MC-Adresse) bei IPv6 identifiziert eine Gruppe von Interfaces. Ein Paket, das an eine MC-Adresse gesendet werden soll, wird an alle Interfaces der Multicast-Gruppe quasi gleichzeitig gesendet. Bei IPv6 gibt es keine Broadcast-Adressen mehr, stattdessen wird diese Funktion durch spezielle MC-Adressen erfüllt. Die Broadcast-Adresse wird bei IPv6 durch die MC-Adresse All-Nodes ersetzt. MC-Adressen dürfen nicht als Quell-Adressen erscheinen. Die Struktur einer IPv6- MC-Adresse zeigt Abbildung 6.10-1. P rä fix
4 B its
1 1 1 1 1 1 1 1
F la g s
0
0
0
T
0 : 1 : 2 : 3 : 4 : 5 : 6 : 7 :
1 1 2 B its
4 B its
S c o p e
G ru p p e -ID
G ü ltig lk e its b e r e ic h
re s e rv ie rt in te rfa c e -lo c a l s lin k -lo c a l s c o p e re s e rv ie rt a d m in -lo c a l s c o s ite -lo c a l s c o p e n ic h t z u g e o rd n e n ic h t z u g e o rd n e
8 : c o p e 9 : A : B : p e C : D : t E : t F :
o rg a n iz a tio n -lo c a l s c o p e n ic h t z u g e o rd n e t n ic h t z u g e o rd n e t n ic h t z u g e o rd n e t n ic h t z u g e o rd n e t n ic h t z u g e o rd n e t g lo b a l s c o p e re s e rv ie rt
Abb. 6.10-1: Struktur einer IPv6-Multicast-Adresse (nach RFC 4291/3513) Die einzelnen Angaben haben hier folgende Bedeutung: Präfix: Dieses Feld enthält 1111 1111, d.h. das Präfix FF00::/8 [Tab. 6.8-2].
6.10 Multicast- und Anycast-Adressen bei IPv6
267
Flags: Die ersten drei Bits sind zurzeit reserviert und müssen auf 0 gesetzt werden. Das Bit T hat folgende Bedeutung: − T = 0: eine ständig von IANA zugeordnete (d.h. well-known) Multicast-Adresse, − T = 1: eine temporär zugeordnete Multicast-Adresse. Scope: Hier wird der Gültigkeitsbereich eines Multicast-Pakets angegeben [Abb. 9.6-3]. Die Bedeutung einzelner Angaben in diesem Feld zeigt Abbildung 6.10-1. Die häufigsten ScopeWerte sind 1 (schnittstellenlokal), 2 (link-lokal) und 5 (standortlokal). Group-ID (Gruppen-ID): Mit Group-ID wird eine Multicast-Gruppe in einem Bereich eindeutig bestimmt. Group-ID kann einer Gruppe permanent oder vorübergehend zugewiesen
werden. Permanent zugewiesene Gruppen-IDs sind vom Gültigkeitsbereich unabhängig. Dagegen sind vorübergehende Gruppen-IDs nur in einem spezifischen Bereich relevant.
Um alle Rechner im schnittstellenlokalen bzw. im link-lokalen Bereich zu adressieren, wurden folgende Multicast-Adressen definiert: FF01::1
Alle Rechner im schnittstellenlokalen Bereich, d.h. alle Rechner, die über eine Schnittstelle (einen Port) direkt erreichbar sind. FF02::1
Alle Rechner im link-lokalen Bereich, d.h. alle Rechner im gleichen IPv6Subnetz. Diese Multicast-Adresse entspricht der IPv4-Multicast-Adresse, bei der alle Bits von Host-ID auf 1 gesetzt sind. Um alle Router für schnittstellenlokale, link-lokale und standortlokale Bereiche zu adressieren, wurden folgende Adressen definiert: FF01::2 (alle Router im schnittstellenlokalen Bereich), FF02::2 (alle Router im verbindungslokalen Bereich), FF05::2 (alle Router im standortlokalen Bereich).
Eine besondere Anwendung hat die Multicast-Adresse Solicited-Node. Sie besteht aus dem Präfix FF02::1:FF00::/104 und den letzten 24 Bits einer IPv6-Unicast-Adresse [RFC 3512/2373]. Diese 24 Bits repräsentieren die Manufacturer ID in einer MAC-Adresse [Abb. 6.9-6]. Diese Multicast-Adresse wird verwendet, um eine MAC-Adresse für eine bekannte IPv6-Adresse zu ermitteln. Dies entspricht dem Einsatz von ARP bei IPv4 [Abb. 7.2-1].
MulticastAdresse: SolicitedNode
Die Multicast-Adressen von genereller Bedeutung werden bei IANA registriert [http://www.iana.org/assignments/ipv6-multicast-addresses]. Bei IPv4 verwenden Rechner und Router das Protokoll IGMP (Internet Group Protokoll Management Protocol) [Abschnitt 2.8.2], um die Mitgliedschaften in MC- MLD Gruppen (MC: Multicast) eines Subnetzes zu verwalten. Bei IPv6 wird die Verwaltung von MC-Gruppen mittels des Protokolls MLD (Multicast Listener Discovery) durchgeführt. MLD verwendet die ICMPv6-Nachrichten. Es gibt bereits zwei Versionen von MLD. Die erste Version MLDv1 wurde in RFC
268
6
Konzept des Protokolls IPv6
2710 spezifiziert und die zweite Version MLDv2 beschreibt RFC 3810. Nach dem Funktionsumfang entspricht MLDv2 weitgehend dem IGMPv3. Aufgabe von MLD
Bei MLD werden die Rechner einer MC-Gruppe als Listener (Zuhörer) bezeichnet. Die Listener werden von einem Router periodisch mit der Nachricht Query gefragt, zu welchen MC-Gruppen sie gehören. Möchte ein Rechner einer MC-Gruppe beitreten, so kann er dies einem Router mit der Nachricht Report mitteilen. Verlässt ein Rechner eine MC-Gruppe, meldet er dies dem Router mit der Nachricht Done. Bei MLDv2 ist es auch möglich, die Sendungen nur von bestimmten MC-Quellen auf einzelne IPv6-Subnetze zuzulassen und damit „lästige“ MC-Quellen auszuschließen.
Bedeutung von AnycastAdressen
Eine Gruppe von Interfaces (von physikalischen Ports) kann auch mithilfe einer Anycast-Adresse adressiert werden. Ein Paket, das an eine Anycast-Adresse übermittelt werden soll, wird nicht gleichzeitig an alle Interfaces der Gruppe gesendet, sondern zuerst an das am nächsten gelegene Interface aus der Gruppe übergeben, das für diese Anycast-Adresse konfiguriert ist. Im nächsten Schritt kann das dort empfangene Paket an die weiteren Interfaces aus der Gruppe entsprechend verteilt werden. Eine Anycast-Adresse kann somit nie die Quelladresse eines Pakets sein. IPv4 unterstützt Anycast-Adressen nicht. Die Struktur von Anycast-Adressen zeigt Abbildung 6.10-2. Jede AnycastAdresse enthält ein Subnetzpräfix. Wurde ein Interface eines Systems mit einer Anycast-Adresse konfiguriert, stimmt das Subnetzpräfix der Anycast-Adresse mit dem Subnetzpräfix in Unicast-IPv6-Adressen dieses Interface überein.
Struktur von AnycastAdressen
In RFC 2526 wurde die in Abbildung 6.10-2a gezeigte Struktur von AnycastAdressen vorgeschlagen. Sie besteht aus einem Subnetzpräfix (Subnet prefix), einer Reihe von Einsen und einer 7 Bits langen Anycast-ID. Hierbei wird zwischen /64-Präfixen mit Interface-ID im EUI-64-Format [Abb. 6.9-6] und anderen Präfixen unterschieden. Bei einem /64-Präfix muss im Interface-ID das Bit, das dem u-Bit entspricht, auf 0 gesetzt werden. 6 4 B its
S u b n e t p re fix
a )
5 7 B its
1 1 1 1 1 1 0 1 1 1 1 1 ...1 1 1 1 1 1 1
7 B its A n y c a s tID
In te rfa c e -ID (E U I-6 4 -F o rm a t) n B its
S u b n e t p re fix n B its
b )
u = 0
S u b n e t p re fix
1 2 1 -n B its
7 B its A 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 . . . 1 1 1 1 1 1 1 n yI D c a s t 1 2 8 -n B its
0 0 0 0 0 0 0 0 0 0 0 ................0 0 0
Abb. 6.10-2: Anycast-Adressen: a) Struktur nach RFC 2526, b) Anycast-Adresse Subnet Router
6.11 Protokoll ICMPv6
269
Anycast-Adressen stammen daher aus demselben Adressraum wie UnicastAdressen und sind „optisch“ von Unicast-Adressen nicht zu unterscheiden. Deswegen muss einem Router explizit mitgeteilt werden, dass es sich auf seinem Interface um eine Anycast-Adresse handelt. Im Routing-Protokoll stellt eine Anycast-Adresse eine Host-Route dar [Abschnitt 9.1.3]. Eine spezielle Anycast-Adresse ist Subnet Router, die von Routern unterstützt Subnet werden muss. Ihre Struktur zeigt Abbildung 6.10-2b. Diese Anycast-Adresse Router besteht aus der Unicast-Adresse des Router-Interface, bei der die Bits im Teil Interface-ID auf Null gesetzt werden. Anycast-Adressen können dazu dienen, einen Dienst von mehreren Servern un- Einsatz von ter der gleichen Adresse zur Verfügung zu stellen bzw. bestimmte Netz- AnycastAdressen Ressourcen zu lokalisieren. Beispiel: Mithilfe einer Anycast-Adresse kann man einen Dienst (z.B. DNS, VoIP-Server) auf mehreren Servern zur Verfügung stellen. Alle diese Server sind mit derselben AnycastAdresse konfiguriert. Schickt nun ein Rechner ein Paket mit dieser Anycast-Adresse als ZielIPv6-Adresse ab, so wird das Paket zum am nächsten gelegenen Server geroutet. Dieser kann aber das empfangene Paket an einen „besser geeigneten“ Server weiterleiten.
6.11 Protokoll ICMPv6 Das Hilfsprotokoll ICMP (Internet Control Message Protocol) für IPv4 (kurz ICMPv6 ICMPv4) wurde in Abschnitt 2.7 dargestellt. Die Hauptaufgabe von ICMPv4 versus liegt in der Übertragung von Fehlermeldungen und Diagnoseinformationen. ICMPv4 Für IPv6 ist ICMP ebenfalls nötig. Die Aufgabe von ICMP für IPv6 (ICMPv6) ist umfangreicher als die von ICMPv4. Die Funktionen von ICMPv6 umfassen sowohl die Übertragung von Fehlermeldungen und Diagnoseinformationen (z.B. Programm ping) wie auch die Unterstützung der automatischen Rechnerkonfiguration. ICMPv6 ist im RFC 4443/2463 spezifiziert. Den Aufbau von ICMPv6-Nachrichten zeigt Abbildung 6.10-1. N e x t H e a d e r = 5 8
IP v 6 -P a k e t IP v 6 -H IC M P v 6 H e a d e r
A I P- Hv 6* - H 0
T y p e
IC M P v 6 -N a c h ric h t 8
C o d e
1 6
IC M P v 6 D a ta
Abb. 6.11-1: Aufbau von ICMPv6-Nachrichten A-H: Authentication-Header, *nach Bedarf
C h e c k su m
3 1
6.12 Schlussbemerkungen
− Type = 132: Multicast Listener Done, − Type = 143: Version 2 Multicast Listener Report. Nachrichten für die Unterstützung der automatischen Adresskonfiguration ICMPv6 wird auch bei der automatischen Adresskonfiguration verwendet. Dieses Prinzip der Konfiguration wird als Stateless Autoconfiguration (bzw. kurz SAC) bezeichnet. Hierfür dienen folgende ICMPv6-Nachrichten [RFC 2461]: − Type = 133: Router Solicitation, − Type = 134: Router Advertisement, − Type = 135: Neighbor Solicitation, − Type = 136: Neighbor Advertisement, − Type = 137: Redirect. Diese Nachrichten werden bei der Darstellung von SAC in Abschnitt 7.2 näher erläutert.
271
Für Stateless Autoconfiguration
Unterstützung von Router Renumbering Die automatische Rekonfiguration des Präfixes von globalen UnicastAdressen wird als Router Renumbering bezeichnet. Dies ermöglicht u.a., einen ISP„schmerzlos“ zu wechseln. Hierfür wurde folgende ICMPv6-Nachricht vorgesehen [RFC 2894]: −
Type = 138: Router Renumbering.
Unterstützung der Mobilität bei IPv6 ICMPv6 nutzt man auch für die Unterstützung der Mobilität bei IPv6, d.h. beim Protokoll Mobile IPv6 (MIPv6). Hierfür dienen folgende Nachrichten [RFC 3775]: − Type = 144: Home Agent Address Discovery Request, − Type = 145: Home Agent Address Discovery Reply, − Type = 146: Mobile Prefix Solicitation, − Type = 147: Mobile Prefix Advertisement.
Für das Protokoll MIPv6
Auf diese Nachrichten wird in Abschnitt 13.4.4 näher eingegangen
Eine aktuelle Auflistung von ICMPv6-Nachrichten und ihren Parametern findet man unter http://www.iana.org/assignments/icmpv6-parameters
6.12 Schlussbemerkungen Das Ziel dieses Kapitels war es, das Konzept des Internet-Protokolls IPv6 fundiert und anschaulich zu erläutern. Nicht alle Aspekte von IPv6 konnten hier dargestellt werden. Daher geht Kapitel 7 auf die Dienstprotokolle bei IPv6 wie Neighbor Discovery und DHCPv6 ein. Der Migration zum IPv6-Einsatz widmet sich Kapitel 8. Abschließend ist noch Folgendes hervorzuheben: Seit der Veröffentlichung der ersten Spezifikation von IPv6 in RFC 1883 Entwicklung (Dezember 1995) sind über 10 Jahre vergangen. Inzwischen wurde die gan- von IPv6 ze Protokollfamilie IPv6 [Abb. 6.1-1] weiterentwickelt und RFC 1883 wurde durch RFC 2460 ersetzt. Eine Liste von RFCs, in denen verschiedene Aspekte der Protokollfamilie IPv6 spezifiziert werden, enthält bereits über 160
272
6
Konzept des Protokolls IPv6
RFCs (Stand: Juni 2007). Dies zeigt, dass mit der Entwicklung von IPv6 eine Vielzahl von Problemen gelöst werden musste. IPv4- und IPv6Adressierung
Ein wichtiges Ziel bei der Entwicklung von IPv6 war die Verbesserung der IP-Headerstruktur und die Vergrößerung des Adressraums sowie die Einführung verschiedener Arten von IPv6-Adressen. Daher bestehen große Unterschiede zwischen der Adressierung bei IPv6 und IPv4, die in Tabelle 6.12-1 aufgeführt werden. IPv4 Adressklassen A, B, C Präfixangabe: Subnetzmaske oder Präfixlängennotation Öffentliche IPv4-Adressen Private IPv4-Adressen (10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16) Es gibt keine Link-local IPv4-Adressen IPv4-Multicast-Adressen (224.0.0.0/4) IP-Broadcast-Adressen IP-Broadcast in dediziertem Netz (Netz-ID, alle Host-ID-Bits 1) Loopback-Adresse ist 127.0.0.1
IPv6 Bei IPv6 existieren sie nicht mehr Präfixangabe: nur Präfixlängennotation Globale Unicast-Addresses Site-local Unicast-Addresses (FEC0::/10) Link-local Unicast-Addresses (FE80::/10) IPv6-Multicast-Adressen (FF00::/8) Bei IPv6 existieren sie nicht Mithilfe der Multicast-Adresse FF02::1 alle Rechner im link-lokalen Bereich Loopback-Adresse ist ::1/128
Tab. 6.12-1: Vergleich der Adressierung bei IPv4 und IPv6
6BONE weltweit
Auf dem IETF Meeting in Los Angeles (März 1996) wurde beschlossen, ein weltweites IPv6-Netz namens 6BONE (auch 6bone) einzurichten. 6BONE soll dem Testen von IPv6 dienen und ermöglichen, die internationale IPv6Konnektivität zu überprüfen sowie weitere Erfahrungen über IPv6 zu sammeln. Für Näheres darüber sei auf http:/www.6bone.net verwiesen. Die Liste von an diesem Projekt beteiligten Ländern ist sehr lang.
6NET europaweit
Um die Erfahrungen mit IPv6 im europäischen Raum zu sammeln, wird das Internet-Forschungsprojekt 6NET (auch 6net) von der Europäischen Kommission seit 2002 gefördert [http:/www.6net.org]. An diesem Projekt beteiligen sich Forschungseinrichtungen und Industrie aus über 15 Ländern. Ziel ist es, ein IPv6-Pilotnetz 6NET aufzubauen, das der europäischen Gemeinschaft zu Testzwecken dienen soll.
6WiN in Deutschland
Die Einführung von IPv6 in Deutschland ist mit dem Forschungsprojekt JOIN des DFN-Vereins verbunden, das seit 1996 von der Universität Münster koordiniert wird [http:/www.join.uni-muenster.de]. Seitens JOIN und DFN wird auch das erste IPv6-Netz in Deutschland, das sog. 6WiN, aufgebaut und an 6BONE angebunden. Die Topologie von 6WiN ist zu finden unter http:/www.6win.de
270 ICMPv6Header
6
Konzept des Protokolls IPv6
Der Header einer ICMPv6-Nachricht wird mit Next Header = 58 in dem vorangestellten Header (d.h. entweder im IPv6- oder im Authentication Header) identifiziert. Die Angaben im ICMPv6-Header haben die gleiche Bedeutung wie im ICMPv4-Header [Abb. 2.7-1]. Die einzelnen Angaben im ICMPv6-Header sind: Type: Hier wird der Typ (die Funktion) der Nachricht angegeben. Code: Hier wird eine weitere Unterteilung des Nachrichtentyps gemacht. Checksum: Dieses Feld enthält eine Prüfsumme, mit der die ICMPv6-Daten auf eventuelle Fehler überprüft werden können.
Als Inhalte im Feld ICMPv6 Data werden sog. Optionen übermittelt. Sie sind u.a. in RFC 2461, RFC 2463 und RFC 3775 spezifiziert. ICMPv6Nachrichten
Es sind u.a. folgende ICMPv6-Nachrichten zu unterscheiden: Nachrichten für die Fehlermeldungen [RFC 2463] −
Type = 1: Destination Unreachable (Ziel ist unerreichbar) Hier gibt es keine grundlegenden Änderungen gegenüber dem ICMPv4. Diese Nachricht wird oft von Routern gesendet, um mitzuteilen, dass ein Paket sein Ziel nicht erreichen kann. Die Ursachen können hier sehr vielfältig sein, z.B. existiert das Zielsystem nicht, das Netz ist überlastet etc.
−
Type = 2: Packet Too Big (Paket zu groß) Diese Nachricht wird gesendet, wenn ein IPv6-Paket nicht weitergeleitet werden konnte, weil es zu groß war und nicht fragmentiert werden durfte. Diese Nachricht wird verwendet, um die zulässige Paketlänge (MTU) auf einem Datenpfad zu ermitteln. Dieser Prozess wird als Path MTU-Discovery bezeichnet [Abschnitt 2.7.4].
−
Type = 3: Time Exceeded (Zeit überschritten) Befindet sich ein IPv6-Paket zu lange im Netz, d.h. der Parameter Hop Limit im IPv6Header hat in einem Router den Zustand 0 erreicht, so sendet dieser Router eine ICMPv6-Nachricht Time Exceeded an das Quell-System zurück.
−
Type = 4: Parameter Problem (Ungültige Parameter) Ist ein Problem bei der Auswertung des IPv6-Header bzw. eines Erweiterungs-Header in einem Paket aufgetreten, das auf fehlerhafte bzw. unbekannte Parameter zurückzuführen ist, wird diese Nachricht an die Quelle des Pakets gesendet.
Request/Reply-Nachrichten (Echo-Funktion) − Type = 128: Echo Request (Echo wird verlangt) Das bekannteste Programm, das auf dem ICMP basiert, ist das Programm ping zum Versenden von Diagnosemeldungen. ping kann durch das Absenden von Echo Request ein Echo von einem angegebenen System anfordern. Echo Request ist die einzige ICMP-Nachricht, auf die jeder IP-fähige Rechner antworten muss.
Für das Protokoll MLD
− Type = 129: Echo Reply als Antwort auf Echo Request Nachrichten für die Verwaltung von Multicast-Gruppen Das Protokoll MLD für die Verwaltung von Multicast-Gruppen verwendet folgende ICMPv6-Nachrichten [RFC 2710 und 3810]: − Type = 130: Multicast Listener Query,
− Type = 131: Multicast
Listener Report,
7
IPv6-Dienstprotokolle: NDP und DHCPv6
Ein wichtiges Ziel bei der Entwicklung von IPv6 war die Unterstützung der au- Automatitomatischen Konfiguration von Rechnern. IPv6 bietet daher umfangreiche Un- sche Konfiterstützung für die sog. Plug&Play-Konfiguration von Rechnern in IPv6-Netz- guration werken. Hierfür stehen Neighbor Discovery Protocol (NDP) und Dynamic Host Configuration Protocol for IPv6 (DHCPv6) zur Verfügung. NDP kann einerseits als Ergänzung zum Protokoll ICMPv6 und andererseits als Ersatz für das Protokoll ARP bei IPv6 angesehen werden. Dem DHCPv6 werden ähnliche Aufgaben wie dem in Abschnitt 4.2 dargestellten DHCP für IPv4 zugewiesen. DHCPv6 funktioniert nach dem Client/Server-Prinzip. Bei der automatischen Konfiguration nach DHCPv6 ist mindestens ein Server als Konfigurationsserver notwendig. Daher ist diese Art der automatischen Adresskonfiguration serverbasiert und wird als Stateful Autoconfiguration bezeichnet. Bei IPv6 besteht auch die Möglichkeit, die automatische Adresskonfiguration ohne Konfigurationsserver zu realisieren, d.h. serverlos. Diese Art der automatischen Adresskonfiguration wird Stateless Autoconfiguration genannt.
Arten der automatischen Konfiguration
Dieses Kapitel stellt die Möglichkeiten der Unterstützung automatischer Kon- Überblick figuration von Rechnern mit IPv6 umfassend dar und erläutert die Funktions- über das weise von DHCPv6. Die Funktionen von NDP, wie z.B. Ermittlung von Link- Kapitel Adressen, Bekanntmachung von Router-Parametern, präsentiert Abschnitt 7.1. Auf Stateless Autoconfiguration von Rechnern in IPv6-Netzen geht Abschnitt 7.2. Stateful Autoconfiguration mithilfe von DHCPv6 stellt Abschnitt 7.3 dar. Einige Bemerkungen in Abschnitt 7.4 schließen dieses Kapitel ab. In diesem Kapitel werden u.a. folgende Fragen beantwortet: Welche Funktionen liefert NDP, um die automatische Konfiguration von Rechnern mit IPv6 zu unterstützen? Warum lässt sich das Protokoll ARP bei IPv6 nicht einsetzen? Was muss ein Rechner beim Absenden jedes IPv6-Pakets tun? Wie kann ein Rechner einen Router entdecken? Welche Funktionen stellt DHCPv6 zur Verfügung und wie funktioniert es? Wie kann ein Rechner sich eine IPv6-Adresse von lokaler bzw. globaler Bedeutung selbst generieren?
Ziel dieses Kapitels
274
7
IPv6-Dienstprotokolle: NDP und DHCPv6
7.1 Ziele von NDP
Link und Link-Adresse
Neighbor Discovery Protocol
Bei IPv6 wird ein Hilfsprotokoll Neighbor Discovery Protocol (kurz NDP) für die Unterstützung der automatischen Konfiguration von Rechnern und für die Bestimmung von physikalischen Netzadressen eingeführt [RFC 2461]. Dieses Protokoll ist als Protokoll für das Herausfinden von Nachbarn zu bezeichnen. Beim Einsatz von IPv6 bestehen keinerlei Einschränkungen bezüglich der Art des physikalischen Netzes. Somit kann IPv6 sowohl in den klassischen Shared Medium LANs (verbindungslose Netze) als auch in verbindungsorientierten Netzen (wie z.B. ISDN, Frame-Relay-, ATM- und WDM-Netze) eingesetzt werden. Um NDP vom physikalischen Netztyp unabhängig darstellen zu können, werden die Begriffe Link und Link-Adresse verwendet. Die Bedeutung dieser Begriffe verdeutlicht Abbildung 7.1-1. S u b n e tz 2 (L in k 2 )
S u b n e tz 1 (L in k 1 ) S M -L A N ( z .B . E th e r n e t) V e rb in d u n g s lo s e s N e tz L in k - A d r .= M A C - A d r e s s e
R o u te r
IS D N V e rb in d u n g s o rie n tie rte s N e tz L in k -A d r . = IS D N -R u fn u m m e r
Abb. 7.1-1: Die Begriffe Link und Link-Adresse beim Verbund eines verbindungslosen Netzes mit einem verbindungsorientierten Netz
Unter einem Link ist ein LAN-basiertes Subnetz bzw. eine (physikalische oder logische) Verbindung in einem verbindungsorientierten Netz zu verstehen. Eine Link-Adresse repräsentiert eine physikalische Netzadresse in einem Link. Eine MAC-Adresse stellt beispielsweise eine Link-Adresse in einem LAN dar. Eine Rufnummer ist z.B. eine Link-Adresse im ISDN. Funktionen von NDP
NDP kann auch als ein „Teil“ des Protokolls ICMPv6 interpretiert werden. Für die Realisierung von NDP werden einige ICMPv6-Nachrichten genutzt. Die Funktionen von NDP sind: Router finden (Router Discovery) Beim Absenden jedes IPv6-Pakets muss im Quellrechner zuerst festgelegt werden, ob das Ziel des Pakets im gleichen Subnetz (Link) oder in einem anderen „Remote“-Subnetz ist. Falls das Ziel sich in einem anderen Subnetz befindet, wird das IP-Paket an einen Router (Gateway) übermittelt. Dies wurde bereits in Abbildungen 2.4-5, 2.4-7 und 2.4-8 beim Einsatz von IPv4 veranschaulicht.
7.1 Neighbor Discovery Protocol
275
Die IP-Adresse des Routers muss daher bei der Konfiguration jedes Rechners festgelegt werden. Um sie nicht in jedem IPv6-Rechner manuell angeben zu müssen, macht NDP die am lokalen Subnetz angeschlossenen Router ausfindig und bestimmt ihre IPv6-Adressen. Link-Präfix-Erkennung (Prefix Discovery) NDP setzt voraus, dass jede IPv6-Adresse sich aus Link-Präfix und LinkToken zusammensetzt. Wie Abbildung 7.1-2a illustriert, stellt der LinkToken eine Link-Adresse dar. Abbildung 7.1-2b zeigt, wie die Site Local Address [Abb. 6.9-7] auf Link-Präfix und Link-Token „aufgeteilt“ wird. Mit dem Link-Präfix wird das Subnetz – also Link – eindeutig identifiziert. (1 2 8 -N )-B its
a )
N -B its L in k -T o k e n
L in k -P rä fix
L in k - T o k e n = L in k - A d r . ( M A C - A d r e s s e o d e r I S D N - R u f n u m m e r o d e r ...)
b )
P rä fix 1 1 1 1 1 1 1 0 1 1 F E C 0 ::/1 0
1 6 B its
6 4 B its
S u b n e tz -ID
In te rfa c e -ID
4 8 B its 0 0 0 0 .... 0 L in k -P rä fix
L in k -T o k e n
Abb. 7.1-2: IPv6-Adresse bei NDP: a) Struktur, b) Site Local Address
Alle Rechner mit demselben Link-Präfix befinden sich immer im gleichen Link-Präfix Subnetz, d.h. ein Quellrechner kann aufgrund des Link-Präfixes einer ZielIPv6-Adresse feststellen, ob sich der Zielrechner im gleichen Subnetz befindet oder nicht. Die Rechner, die sich nicht am selben Subnetz befinden, können daher nur über einen Router erreicht werden. Parameter-Ermittlung (Parameter Discovery) Mithilfe von NDP sind die Rechner in der Lage, einige link-spezifische Parameter wie die MTU-Größe bzw. andere Parameter wie z.B. den maximalen Wert Hop-Limit selbst zu erlernen [Abb. 6.2-1]. Während der Installation von Rechnern mit IPv4 bislang einige Parametern zu konfigurieren waren, können daher die Rechner mit IPv6 automatisch konfiguriert werden. Unterstützung der automatischen Adresskonfiguration Bei IPv6 wird ein Verfahren (sog. Stateless Autoconfiguration) definiert, das eine automatische Adresskonfiguration ermöglicht, ohne einen Konfigurationsserver einsetzen zu müssen. Dieses Verfahren wird von NDP unterstützt. Ermittlung von physikalischen Netzadressen (Address Resolution) Die Bedeutung dieser Funktion illustriert Abbildung 7.1-3.
276
7
IPv6-Dienstprotokolle: NDP und DHCPv6
S u b n e tz 1
R
S u b n e tz 2 (L A N ) Z ie l-IP v 6 -A d r. = 4 E 0 0 ::2 :0 8 0 0 :2 1 4 8 :D 3 5 8
IP v 6 -P a k e t
Z ie l-L in k -A d r. = ?
M A C -F ra m e Abb. 7.1-3: Notwendigkeit der Ermittlung von physikalischen Netzadressen
Ermittlung von Interface-ID
Der letzte Router auf jedem Datenpfad hat manchmal folgendes Problem zu lösen: Er erhält ein IP-Paket, in dem er die Ziel-IP-Adresse ablesen kann. Für das Absenden des Pakets an das Zielrechner muss der Router aber noch die physikalische Netzadresse des Zielrechners kennen (z.B. MAC-Adresse in einem LAN). Die physikalische Netzadresse als Interface-ID kann in einer IPv6-Adresse enthalten sein [Abb. 6.9-6]. Würde der Router die Zielnetzadresse aus der IPv6-Adresse (als Interface-ID) ableiten, so hat man keine Sicherheit, dass diese Netzadresse noch aktuell ist. Handelt es sich um einen Rechner im LAN, in dem die Adapterkarte gerade ausgetauscht wurde, so ist die Interface-ID in der IPv6-Adresse des beim Router vorliegenden Pakets nicht mehr aktuell. Ein ähnliches Problem entsteht, falls ein Rechner am einem verbindungsorientierten Subnetz umgezogen ist. NDP ermöglicht es daher, beim Absenden jedes IPv6-Pakets die „aktuelle“ Netzadresse des Zielrechners zu ermitteln. Diese Funktion entspricht der Funktion des Protokolls ARP bei IPv4. Entdeckung der Unerreichbarkeit von Nachbarn (Neighbor Unreachability Detection) Mithilfe von NDP kann ein Rechner feststellen, ob ein bestimmter Rechner an seinem Subnetz (Link) noch erreichbar ist oder nicht. Entdeckung von Adressduplikaten (Duplicate Address Detection) NDP ermöglicht, die Einmaligkeit von Adressen innerhalb eines Subnetzes festzustellen. Hierfür wird die Eindeutigkeit der Interface-ID im lokalen Subnetz überprüft. Umadressierungsfunktion (Redirect-Funktion) Falls ein Rechner A eine Zieladresse falsch interpretiert und ein Paket beispielsweise an einen Router abgeschickt hat, statt es an den Zielrechner im gleichen Subnetz direkt abzusenden, kann der Router das betreffende Paket umadressieren, d.h. es zum Zielrechner im gleichen Subnetz umleiten und gleichzeitig den Quellrechner A mithilfe einer Redirect-Nachricht darauf hinweisen, dass das Ziel sich im gleichen Subnetz befindet.
7.1 Neighbor Discovery Protocol
277
7.1.1 Bestimmen des Ziels eines IPv6-Pakets Das Bestimmen des Ziels eines Pakets beim Quellrechner in einem IPv4-Netz wurde im Abschnitt 2.4.3 dargestellt. Da jede IPv4-Adresse sich aus SubnetzID und Host-ID zusammensetzt, war es möglich, mithilfe einer Operation Bitweise_AND im Quellrechner festzustellen, ob der Zielrechner sich im gleichen oder in einem anderen Subnetz befindet [Abb. 2.4-5]. In einem IPv6-Netz können aber den einzelnen Rechnern unterschiedliche Arten von IPv6-Adressen zugeordnet werden, sodass dies ein komplexeres Verfahren beim Absenden eines IPv6-Pakets verlangt. Hierfür wird NDP verwendet. Um NDP zu unterstützen, muss ein IPv6-Rechner bestimmte Parameter und Adresszuordnungen erlernen und speichern. Diese Informationen werden im IPv6-Rechner in verschiedenen Caches abgespeichert. Abbildung 7.1-4 zeigt diese Caches.
N a c h b a r-C a c h e IP v 6 -A d r L in k -A d r ...
R
P r ä fix -C a c h e ...
...
Z ie l-C a c h e Z ie lIP v 6 -A d r
R o u te rIP v 6 -A d r
...
...
Problem bei IPv6 im Vergleich zu IPv4
R o u te r -C a c h e IP v 6 -A d r L in k -A d r ... ...
a b g e le ite t
Abb. 7.1-4: Caches von NDP in einem IPv6-Rechner
Die einzelnen Caches von NDP sind: Präfix-Cache (Prefix List): Dieser Cache enthält die Liste von Link-Präfixes [Abb. 7.1-2], die im Subnetz gelten, d.h. von den Endsystemen, die am gleichen Subnetz angeschlossen sind. Falls alle Rechner in einem Subnetz nur IPv6-Adressen von lokaler Bedeutung besitzen, stellt das Link-Präfix die Subnetz-ID dar [Abb. 7.1-2b]. Die Link-Präfixes können die Rechner aus den von Routern erhaltenen ICMPv6-Nachrichten Router Advertisement [Abb. 7.1-10] ermitteln. Jeder Eintrag im Präfix-Cache enthält zusätzlich eine Zeitangabe, wie lange der betreffende Link-Präfix gültig ist. Nachbar-Cache (Neighbor Cache): Als Nachbar eines Rechners wird jedes System (Rechner, Router) im gleichen Subnetz bezeichnet. Der NachbarCache entspricht dem ARP-Cache bei IPv4 [Abb. 2.6-1]. In diesem Cache werden die Zuordnungen IPv6-Adresse Link-Adresse von Nachbarn abgespeichert. Bei jedem Eintrag wird mit dem Flag-Bit R (R=IsRouter) markiert, ob es sich hierbei um einen Router (R=1) oder einen Rechner handelt. Aus diesem Cache wird der Inhalt des Router-Cache abgeleitet. Router-Cache: Dieser Cache enthält die Zuordnungen Router-IPv6-Adresse Link-Adresse für alle am lokalen Subnetz angeschlossenen Router.
NDP-Caches
278
NDP-Ablauf beim Absenden jedes Pakets
7
IPv6-Dienstprotokolle: NDP und DHCPv6
Ziel-Cache (Destination Cache): Er enthält die Zuordnungen Ziel-IPv6Router-IPv6-Adresse. Mithilfe dieser Angaben wird ein ausgeAdresse wählter Router für jedes Ziel in einem anderen Subnetz zugeordnet. Dieser Cache ermöglicht den Einsatz mehrerer Router in einem Subnetz. Die erwähnten Caches werden beim Absenden jedes IPv6-Pakets gelesen. Den Ablauf von NDP beim Absenden des IPv6-Pakets illustriert Abbildung 7.1-5. E s lie g t e in IP v 6 -P a k e t z u m Ja
im
Is t d a s Z ie l-E n d s y s te m e in N a c h b a r?
Is t d ie L in k -A d re s s e N a c h b a r-C a c h e e n th a lte n ? g h h d e r e in
b o e m t i e n
r
S E m s e m n e u e
o l p fa e n n E
i c n g t in
i t a t i v o n N e w ird d tra g e rg
N e in
R o u te r B e s tim m u n g
D e r R o u te r w ird g e m ä ß d e m Z ie l-C a c h e b e s tim m t.
N e in
Ja E r m ittlu n g N e i d e r L in k - N a c A d re sse A d v u m
S e n d e n v o r.
o n i g e r N ä n z
w ird g e s e n d e t. h b o r a c h b a r-C a c h e t.
D ie L in k -A d re s s e v o m R o u te r w ird a u s d e m Z ie lC a c h e a b g e le s e n .
D a s IP v 6 -P a k e t w ird g e s e n d e t.
Abb. 7.1-5: Verlauf von NDP in einem Rechner beim Absenden jedes IPv6-Pakets
Die einzelnen Schritte beim Absenden jedes IPv6-Paketes sind: 1. Zuerst wird die Ziel-IPv6-Adresse mit den im Präfix-Cache enthaltenen Link-Präfixes verglichen, um festzustellen, ob der Zielrechner sich im gleichen Subnetz befindet. Dies entspricht der Durchführung der Operation Bitweise-AND in einem IPv4-Rechner [Abb. 2.4-5]. 2. Falls sich der Zielrechner im gleichen Subnetz befindet, wird der NachbarCache gelesen, um die Link-Adresse des Zielrechners zu bestimmen. Enthält der Nachbar-Cache einen Eintrag mit dieser Ziel-IPv6-Adresse, wird die Link-Adresse entnommen und das Paket dorthin gesendet. 3. Ist die gesuchte Link-Adresse im Nachbar-Cache nicht enthalten, wird eine ICMPv6-Nachricht Neighbor Solicitation (NS) gesendet, um diese Adresse zu ermitteln [Abb. 7.1-8]. Mit dieser Nachricht wird der Zielrechner gebeten, seine Link-Adresse bekannt zu geben. Ist der entsprechende Zielrechner am gleichen Subnetz angeschlossen und intakt, sendet er seine Link-Adresse in der ICMPv6-Nachricht Neighbor Advertisement. Diese Link-Adresse wird nun im Nachbar-Cache abgespeichert und anschließend das wartende Paket abgeschickt. Dieser Vorgang bei der Ermittlung einer Link-Adresse entspricht dem Ablauf von ARP [Abb. 2.6-2].
7.1 Neighbor Discovery Protocol
279
4. Ist ein Subnetz ein LAN (d.h. broadcastorientiert), wird eine ICMPv6Nachricht NS in einem Broadcast-MAC-Frame gesendet. Ist ein Subnetz ein verbindungsorientiertes Netz (z.B. ATM-Netz), muss ein entsprechender Multicast-Server eingesetzt werden. Für die Realisierung von IPMulticast in verbindungsorientierten Netzen kann das MARS-Konzept (Multicast Address Resolution Server) verwendet werden [Abschnitt 10.4.2]. 5. Falls sich der Zielrechner in einem anderen Subnetz befindet, wird der Ziel-Cache gelesen, um einen Router zu bestimmen, an den das vorliegende Paket übergeben werden soll. Hierbei wird dem Ziel-Cache zuerst die Router-IPv6-Adresse entnommen und danach aus dem Router-Cache die Link-Adresse des Routers abgelesen. Anschließend wird das Paket an den ausgewählten Router übergeben.
7.1.2 Ermittlung von Link-Adressen Die Notwendigkeit der Ermittlung von Link-Adressen wurde bereits in Abbil- ICMPv6dung 7.1-3 dargestellt. Für die Lösung dieses Problems werden die folgenden Nachrichten NS und NA Nachrichten vom ICMPv6-Protokoll verwendet: Neighbor Solicitation (NS) und Neighbor Advertisement (NA). NS wird von einem Rechner gesendet, um ein anderes (bzw. mehrere) Rechner im gleichem Subnetz anzusprechen. Da alle Rechner in einem Subnetz (Link) als Nachbarn gelten, lässt sich damit der Name Neighbor Solicitation (Nachbar-Ansprechen) begründen. Der angesprochene Rechner antwortet mit NA. Mit dieser Nachricht werden u.a. seine Adressen bekannt gemacht. Daher auch der Name Neighbor Advertisement (Nachbar-Bekanntmachung).
Bereits in Abbildung 6.11-1 wurde gezeigt, wie die ICMPv6-Nachrichten NS und NA in den IPv6-Paketen transportiert werden. Ihre Strukturen zeigt Abbildung 7.1-6 und ihre Nutzung wird im Weiteren näher dargestellt. 1
a ) T y p e = 1 3 5
8
1 6
2 4
C o d e = 0 C h e c k su m R e se rv e d
3 2 1
b ) T y p e = 1 3 6
8
R S O
2 4
C h e c k su m
T a rg e t IP v 6 -A d d re ss
T a rg e t IP v 6 -A d d re ss O p tio n s ...
1 6
C o d e = 0 R e se rv e d
O p tio n s ...
Abb. 7.1.6: ICMPv6-Nachrichten für die Ermittlung von Link-Adressen: a) NS(Neighbor Solicitation, b) NA (Neighbor Advertisement)
3 2
280 Inhalte von NS und NA
7
IPv6-Dienstprotokolle: NDP und DHCPv6
NS und NA enthalten die Ziel-IPv6-Adresse (Target IPv6-Address) und bestimmte Optionen. Die einzelnen Bits R, S und O in NA haben folgende Bedeutung: R (Router Flag): Mit diesem Bit wird markiert (R=1), falls der Absender ein Router ist. S (Solicited Flag): Mit diesem Bit wird markiert (S=1), dass NA die Antwort des ausgewählten Zielrechners auf die Anforderung NS darstellt. O (Override Flag): Falls dieses Bit auf 1 gesetzt ist, soll ein entsprechender Eintrag im Nachbar-Cache überschrieben (d.h. modifiziert) werden.
Aufbau von Options
In den ICMPv6-Nachrichten können nach Bedarf zusätzliche Steuerungsangaben in Form von Options übermittelt werden. Dies soll anhand von Beispielen verdeutlicht werden [Abb. 7.1-8, -10, -11 und 13]. Der allgemeine Aufbau von Options und deren Arten zeigt Abbildung 7.1-7. 1
T y p e
8
1 : 2 : 3 : 4 : 5 :
L e n g th S o u rc e T a rg e t L in k -P R e d ire M T U
1 6
O p tio n L in k -L a y e r A d d re s s L in k -L a y e r A d d re s s re fix c te d H e a d e r
Abb. 7.1-7: Aufbau von Options in ICMPv6-Nachrichten
Typen von Options
Das Feld Type verweist auf die Bedeutung der Option. Im Feld Length wird die Länge der Option angegeben. Zurzeit werden die folgenden fünf Typen von Optionen verwendet: Source Link-Layer Address für die Angabe der Link-Adresse eines Quellrechners. Target Link-Layer Address für die Angabe der Link-Adresse eines Zielrechners. Link-Präfix: Mit dieser Option wird ein Link-Präfix bekannt gegeben [Abb. 7.1-2b]. Redirected Header: Ein Router kann ein IPv6-Paket, das an ihn zur Weiterleitung übergeben wurde, an einen anderen Router „umleiten“. Danach teilt er dies dem Quellrechner mit der ICMPv6-Nachricht Redirect mit, in der er dem Quellrechner auch den Header des „umgeleiteten“ IPv6-Pakets in Form der Option Redirected Header übergeben kann. MTU (Message Transfer Unit): Mithilfe dieser Option kann die maximale Länge der IP-
Pakete bekannt gemacht werden.
Für die detaillierte Beschreibung von einzelnen Options sei auf das Dokument RFC 2461 verwiesen. Ermittlung einer LinkAdresse
Beispiel: Den Ablauf von NDP bei der Ermittlung einer Link-Adresse (z.B. einer MACAdresse in einem LAN) illustriert Abbildung 7.1-8. Um eine Link-Adresse für eine vorliegende IPv6-Zieladresse zu ermitteln, sendet der Quellrechner Neighbor Solicitation (NS). NS wird in einem direkt an Zielrechner adressierten IPv6-Paket übermittelt und enthält die Option Source Link-Layer-Address. Da die IPv6-Quell-Adresse im IPv6-Paket ebenfalls enthalten ist, kann der Zielrechner in seinem Nachbar-Cache zusätzlich die ZuordLink-Adresse neu eintragen bzw. modifizieren. Der Zielrechner antnung IPv6-Addresse
7.1 Neighbor Discovery Protocol wortet mit Neighbor Advertisement (NA), in der die gesuchte Link-Adresse als Option Target Link-Layer Adress eingetragen wird. Nach dem Empfang von NA beim QuellLink-Adresse in seinem Nachbar-Cache ein [ rechner trägt er die Zuordnung IPv6-Adresse Abb. 7.1-4]. Damit hat der Quellrechner die gesuchte Ziel-Link-Adresse ermittelt.
Q u e llre c h n e r R
L in k 3
L in k 1 (z . B . E th e rn e t) IP v 6 -A d r = X M A C -A d r = a 1
R
L in k 2
Z ie lre c h n e r IP v 6 -A d r = Y M A C -A d r = b 2
IP v 6 -P a k e t
I P v 6 { ..., Q u e ll- I P v 6 - A d r = X , Z ie l- I P v 6 - A d r = Y , ..., N S [ ..., T a r g e t I P v 6 - A d d r e s s = y , 1 O p tio n (T y p e = 1 , S o u rc e L in k -L a y e r A d d re s s = a )]} I P v 6 { ..., Q u e ll- I P v 6 - A d r = Y , Z ie l- I P v 6 - A d r = X , ..., N A [ ..., T a r g e t I P v 6 - A d d r e s s = y , 2 O p tio n (T y p e = 2 , T a rg e t L in k -L a y e r A d d re s s = b )]} N S : N e ig h b o r S o lic ita tio n
N A : N e ig h b o r A d v e rtis e m e n t
Abb. 7.1-8: Verlauf von NDP bei der Ermittlung einer Link-Adresse
7.1.3 Bekanntmachung von Netzparametern durch Router NDP stellt die Mechanismen zur Verfügung, die es den Rechnern in einem Subnetz ermöglichen, die im gleichen Subnetz vorhandenen Router zu entdecken, anzusprechen und deren Parameter zu ermitteln. Hierfür werden die folgenden Nachrichten vom ICMPv6-Protokoll eingesetzt: Router Solicitation (RS) und Router Advertisement (RA).
Abbildung 7.1-9 zeigt die Struktur von RS und RA. 1
a ) T y p e = 1 3 3
8
O p tio n s ...
1 6
C o d e = 0 R e se rv e d
2 4
C h e c k su m
3 2
1
b ) T y p e = 1 3 4 C H L
8
C o d e = M O R e R e a R e tra n s O p tio n s ...
1 6
0
2 4
C h e c k su m s. R o u te r L ife tim e c h a b le T im e T im e r
3 2
Abb. 7.1-9: ICMPv6-Nachrichten: a) Router Solicitation, b) Router Advertisement Res.: Reserved
281
282
7
IPv6-Dienstprotokolle: NDP und DHCPv6
Die einzelnen Angaben in Router Advertisement haben folgende Bedeutung: CHL (Cur Hop Limit): Hier wird das Hop Limit angegeben, das in den im Nachhinein gesendeten IPv6-Paketen eingetragen werden soll [Abb. 6.2-1]. M (Managed Address Configuration): Falls M = 1, bedeutet dies, dass der Rechner eine Stateful Autoconfiguration (d.h. Server-basierte Autokonfiguration mit DHCPv6) [Abschnitt 7.3] zusätzlich zu einer Stateless Autoconfiguration [Abschnitt 7.2] nutzen kann. O (Other Stateful Configuration): Das O = 1 bedeutet, dass der Rechner eine Stateful Autoconfiguration unterstützt. Router Lifetime: Hier wird die Lebensdauer des Routers in Sekunden angegeben. Der Wert 0 bedeutet, dass der Router kein Default Router ist. Reachable Time: Hier wird die Erreichbarkeitszeit des Rechners in Millisekunden angege-
ben. Nach Ablauf dieser Zeit wird geprüft, ob der betreffende Rechner noch erreichbar ist. Retrans Timer: Hier wird die Zeit in Millisekunden angegeben, die seit dem Absenden der letzten Neighbor Solicitation abgelaufen ist.
Es ist zu bemerken, dass RS der Funktion nach der NS entspricht und RA entspricht wiederum der NA [Abb. 7.1-6]. Bekanntmachung von RouterParametern
NDP unterstützt die Rechner bei der Erkennung der am Link aktiven Router. Die Router können von Rechnern mit der Nachricht Router Solicitation aufgefordert werden, ihre Parameter bekannt zu machen. Jeder Router macht zusätzlich periodisch seine Parameter bekannt. Beispiel: Abbildung 7.1-10 illustriert die Bekanntmachung von Parametern durch einen Router.
L in k 3
IP v 6 -A d r = 4 E 0 0 ::1 :0 8 0 0 :2 1 4 8 :D 4 6 1 M A C -A d r= 0 8 0 0 2 1 -4 8 D 4 6 1 R
L in k 1 (z . B . E th e rn e t)
R
L in k 2
1 I P v 6 { ..., Q u e llR A [ ..., R e 1 O p tio O p tio
IP -A d a c h a b n (T y n (T y
r = le T p e = p e =
4 E im 1 , 3 ,
0 0 ::1 :0 8 0 0 :2 1 4 e , R e tra n s T im S o u rc e L in k -L a L in k -P re fix ), O
8 :D 4 6 1 , Z ie l-IP -A d r = F F 0 2 ::1 , e r, y e r A d d r = 0 8 0 0 2 0 -3 3 D 7 9 2 ), p tio n (T y p e = 5 , M T U S iz e )]}
R A : R o u te r A d v e rtis e m e n t
Abb. 7.1-10: Bekanntmachung von Parametern durch einen Router Jeder Router sendet periodisch die Nachrichten Router Advertisement (RA) an alle Rechner im gleichen Link. Diese Nachrichten werden in IPv6-Paketen mit der MulticastAdresse FF02::1 (alle Rechner im Link) als IPv6-Zieladresse gesendet. Wird ein Router von einem Rechner mit Router Solicitation (RS) aufgefordert, ihm seine Parameter zukommen zu lassen, sendet er die Nachricht RA direkt an den anfordernden Rechner. Als Quelladresse enthalten die Nachrichten RS und RA immer jeweils die Link-Unicast-Adresse des Absenders
7.1 Neighbor Discovery Protocol
283
RA enthält als Option (Type = 3) das Link-Präfix für den Link (Subnetz), auf dem RA gesendet wurde. Die Rechner mit dem gleichen Präfix befinden sich an einem gemeinsamen Link, d.h. ein Rechner kann durch das Vergleichen des Präfixes der eigenen Adresse mit dem Präfix der Adresse eines anderen Rechners feststellen, ob sich dieser Rechner am gleichen Link befindet oder nicht. Die Rechner mit den anderen Präfixen in der IPv6-Adresse sind nicht am selben Link angeschlossen und daher nur über einen Router erreichbar.
In der Nachricht RA kann auch der MTU-Wert angegeben werden.
NDP versetzt einen Rechner in die Lage, zu entdecken, welche Router in sei- Entdeckung nem Subnetz vorhanden sind. Hierfür verwendet NDP die ICMPv6- von Routern Nachrichten RS und RA [Abb. 7.1-9]. Beispiel: Abbildung 7.1-11 illustriert das Prinzip der Entdeckung von Routern.
L in k 3
IP v 6 -A d r = 4 E 0 0 ::1 :0 8 0 0 :2 1 4 8 :D 4 6 1 M A C -A d r= 0 8 0 0 2 1 -4 8 D 4 6 1
R 2
L in k 1
1
R 1 2 3
L in k 2 1 2
N e ig h b o r S o lic ita tio n 3
R o u te r A d v e rtis e m e n t
I P v 6 { ..., Q u e ll- I P v 6 - A d r = X , Z ie l- I P v 6 - A d r = F F 0 2 ::2 , ..., R S [ ..., O p tio n ( T y p e = 1 , S o u r c e L in k - L a y e r A d r = a ) ] } 1
I P v 6 { ..., Q u e R A [ ..., O p 3 O p 2
ll-IP R e a tio n tio n
v 6 c h (T (T
-A d a b le y p e y p e
R A : R o u te r A d v e rtis e m e n t
r = 4 T im = 1 , S = 3 , L
E 0 e , o u in
0 ::1 :0 8 0 0 :2 1 4 8 :D 4 6 1 , Z ie l- I P v 6 - A d r = X , ... R e tra n s T im e r, rc e L in k -L a y e r A d r = 0 8 0 0 :2 1 4 8 :D 4 6 1 ), k -P re fix ), O p tio n (T y p e = 5 , M T U S iz e )]}
R S : R o u te r S o lic ita tio n
Abb. 7.1-11: Entdeckung von Routern durch einen Rechner Um festzustellen, welche Router am Link vorhanden sind, sendet ein Rechner eine Nachricht RS in einem IPv6-Paket mit der Multicast-Adresse FF2::2 (alle Router am Link). Daher werden alle Router im gleichen Subnetz mit RS angesprochen. Im IPv6-Paket mit RS sind die Quell-IPv6-Adresse (X) und die Quell-Link-Adresse (a) als eine Option (Typ = 1) enthalten. Jeder Router sendet die Antwort direkt an den fordernden Rechner als Nachricht RA, in der dessen Link- und IP-Adressen und auch andere Parameter (Präfix, MTU) enthalten sind. Auf diese Art und Weise können die neu angeschlossenen Rechner die aktiven Router am Link kennenlernen.
Beim Vergleich von IPv4 und IPv6 ist darauf zu verweisen, dass die Implementierungen von IPv4 oft pro Subnetz nur einen Router (als ein Gateway nach außen) zulassen. Bei der Installation der Protokollfamilie TCP/IP mit IPv4 muss die IPv4-Adresse des Routers (Default Gateway) angegeben werden. Die Angabe der Link-Adresse (d.h. MAC-Adresse) ist nicht notwendig, weil sie mithilfe des Protokolls ARP ermittelt wird [Abb. 2.6-1 und -2].
284 Aktive Router
7
IPv6-Dienstprotokolle: NDP und DHCPv6
NDP bei IPv6 unterstützt nämlich das Konzept Plug&Play. Ein neu angeschlossener Rechner ist in der Lage, nach den in Abbildung 7.1-11 dargestellten Prinzipien alle Router zu bestimmen und deren Adressen zu ermitteln. Bei IPv6 können mehrere Router (als Gateways nach außen) in einem Subnetz eingesetzt werden. Die Adressen von Routern werden im Router-Cache des Rechners gespeichert [Abb. 7.1-4].
7.1.4 IPv6-Paket-Umleitung Bedeutung der RedirectFunktion
Sind mehrere Router in einem Subnetz als Gateways nach außen vorhanden, so entsteht das folgende Problem beim Aussenden eines Paketes: Welches ist der am besten geeignete Router zur Weiterleitung des Pakets ins Ziel-Subnetz? Die Antwort auf diese Frage ist im Ziel-Cache des Quellrechners enthalten [Abb. 7.1-4]. Ein Router kann ein ihm zur Weiterleitung übergebenes IPv6-Paket an einen Rechner bzw. an einen anderen Router „umleiten“. Das wird als Redirect-Funktion bezeichnet. Mithilfe der Redirect-Funktion können die Zuordnungen im Ziel-Cache erlernt werden. Hierfür wird die ICMPv6-Nachricht Redirect verwendet. Ihre Struktur zeigt Abbildung 7.1-12. 1
T y p e = 1 3 7
8
C o d e = 0
1 6
R e se rv e d
2 4
C h e c k su m
3 2
T a rg e t IP v 6 -A d d re ss D e s tin a tio n IP v 6 -A d d re s s O p tio n s ...
Abb. 7.1-12: ICMPv6-Nachricht Redirect Die einzelnen Angaben in Redirect haben folgende Bedeutung: Target IPv6-Address: Hier trägt ein Router die IPv6-Adresse eines anderen Routers ein, an den ein IPv6-Paket mit der IP-Adresse X umgeleitet wurde, wobei der andere Router als „besser“ für die unter der IP-Adresse X gesendeten Pakete gilt. Destination IPv6-Address: Die Ziel-IP-Adresse (X) des Pakets, das umgeleitet wurde.
Beispiel: Den Ablauf von NDP bei der Realisierung der Redirect-Funktion illustriert Abbildung 7.1-13. Der Quellrechner mit IPv6-Adresse X und MAC-Adresse a hat ein IPv6-Paket an Router R1 mit MAC-Adresse c zur Weiterleitung übergeben. R1 hat nach der RoutingTabelle festgestellt, dass R2 für die Weiterleitung dieses Paketes „besser“ geeignet ist. Somit leitet R1 das „Original“-Paket an R2 um, der dieses an den Zielrechner mit der MAC-Adresse b weiterleitet.
7.2 Stateless Autoconfiguration in IPv6-Netzen
285
Zusätzlich sendet R1 eine Nachricht Redirect an den Quellrechner, um ihm mitzuteilen, dass Pakete mit der Ziel-IPv6-Adresse Y an R2 mit MAC-Adresse d zur Weiterleitung übergeben werden sollen. Die MAC-Adresse von R2 wird als Option in Redirect angegeben. In Redirect kann auch der IPv6-Header des umgeleiteten Paketes enthalten sein. Z ie lre c h n e r IP v 6 -A d r = Y M A C -A d r = b Q u e llre c h n e r IP v 6 -A d r = X M A C -A d r = a
IP v 6 -A d r = Z M A C -A d r= d
L in k 3 R 2
R 1
L in k 1 IP v 6 -P a k e t
1 I P v 6 { ..., Q u e ll- I P v R e d ir e c t [ ..., O p tio n ( O p tio n (
6 -A d T a rg T y p e T y p e
r = e t = =
X , IP v 2 , T 4 , R
IP v 6 -P a k e t
Z ie l-IP v 6 6 -A d d r = a rg e t L in e d ire c te d
-A d r = Z , D e s k -L a y e H e a d e
L in k 2 IP v 6 -A d r = W M A C -A d r= c
1 Y , tin a tio n IP v 6 -A d d r = Y , r A d d r = d ), r)]}
Abb. 7.1-13: Veranschaulichung der Redirect-Funktion
Mit der ICMPv6-Nachricht Redirect wird die Zuordnung Ziel-IPv6-Adresse Link-Adresse (MAC-Adresse) dem Quellrechner mitgeteilt, sodass er seinen Ziel-Cache entsprechend modifizieren kann [Abb. 7.1-4].
7.2
Stateless Autoconfiguration in IPv6-Netzen
Bei IPv6 besteht auch die Möglichkeit, die automatische Adresskonfiguration Was ist ohne Konfigurationsserver zu realisieren, d.h. serverlos. Diese Art der automa- SAC? tischen Adresskonfiguration wird in RFCs Stateless Autoconfiguration (bzw. kurz SAC) genannt. Darunter versteht man das Konzept, nach dem die Rechner in einem IPv6-Subnetz selbst ohne Konfigurationsserver die IPv6-Adressen für sich festlegen können [RFC 2462]. SAC ermöglicht einem Rechner seine IPv6-Adresse von nur lokaler Bedeutung Bedeutung [Abb. 6.9-7] selbst zu generieren und zu überprüfen, ob diese Adresse im Sub- von SAC netz eindeutig, d.h. nicht doppelt vorhanden ist. SAC ist somit auf ein Subnetz eingeschränkt. SAC ist von großer Bedeutung beim zukünftigen Einsatz von IPv6 in verschiedenen Geräten, wie z.B. Mobiltelefonen, PDAs, Fernsehern, Kühlschränken und verschiedenen Sensorsysteme sowie in Autos. SAC basiert darauf, dass jede IPv6-Adresse von lokaler Bedeutung sich aus Link-Präfix und Link-Token [Abb. 7.1-2] zusammensetzt. Unter Link-Token ist
286
7
IPv6-Dienstprotokolle: NDP und DHCPv6
eine physikalische Link-Adresse (z.B. MAC-Adresse) oder eine zufällige Zahl zu verstehen. Ablauf der SAC
Abbildung 7.2-1 illustriert SAC am Beispiel eines Rechners im LAN. L in k -P rä fix = a M A C -A d r = a 1 2
1 2
3
IP v 6 -A d r = Y
IP v 6 -A d r = X S u b n e tz 1 ( z .B . E th e r n e t) N S R S
R o u te r
S u b n e tz 2
N S R A 3
M A : M u ltic a s t A d d re s s
I P v 6 { ..., Q u e ll- I P v 6 - A d r = :: (U n s p e c ifie d A d d r e s s ) Z ie l- I P v 6 - A d r = S o lic ite d N o d e M A , ..., N S [ T y p e = 1 3 5 , ..., O p t io n ( Q u e ll- M A C - A d r = a ) ] } I P v 6 { ..., Q u e ll- I P v 6 - A d r = F E 8 0 ::0 :< a > ( L in k -L o c a l-A d r ), Z ie l- I P v 6 - A d r = F F 0 2 ::2 (A ll R o u te r s M A ), ..., R S [ T y p e = 1 3 3 , ..., O p tio n ( Q u e ll- M A C - A d r = a ) ] } I P v 6 { ..., Q u e ll- I P v 6 - A d r = X , Z ie l- I P v 6 - A d r = F F 0 2 ::1 (A ll N o d e s M A ), ..., R A [ T y p e = 1 3 4 , ..., O p tio n ( P r e f ix I n f o r m a tio n = p ) ] }
Abb. 7.2-1: Allgemeines Prinzip der Stateless Autoconfiguration (SAC) NS: Neighbor Solicitation, RS: Router Solicitation, RA: Router Advertisement
Im Verlauf der SAC sind folgende Schritte zu unterscheiden: 1. Bekanntmachung der Link-Adresse und Überprüfung ihrer Einmaligkeit DADProzess
Ein Rechner im LAN enthält eine Adapterkarte, in der eine MAC-Adresse fest abgespeichert wird. Diese MAC-Adresse muss im lokalen Subnetz eindeutig sein, sodass der Rechner zuerst überprüfen muss, ob dies der Fall ist. Hierfür generiert er selbst eine provisorische Link-Local-Adresse, die sich aus dem Präfix FE80::/64 und seiner MAC-Adresse (im EUI-Format) zusammensetzt [Abb. 6.9-7a]. Diese Adresse ist vorläufig und der Rechner muss noch überprüfen, ob sie im Subnetz einmalig ist. Daher führt er einen DAD-Prozess (Duplicate Address Detection) durch. Hierfür sendet der Rechner (in Abbildung 7.2-1 mit MAC-Adresse = a) eine ICMPv6-Nachricht Neighbor Solicitation (NS). Das IPv6-Paket mit NS enthält die Solicited Node Multicast Address (SN-MA) als Ziel-IPAdresse. Die SN-MA besteht aus dem Präfix FF02::1:FF00::/104 und aus den letzten 24 Bits der MAC-Adresse. Beispiel: Die Link-Local-Adresse ist FE80::0307:C5FF:FEB6:4E6A. Die ihr entsprechende SN-MA ist FF02:0:0:0:0:1:FFB6:4E6A bzw. kurz FF02::1:FFB6:4E6A.
7.2 Stateless Autoconfiguration in IPv6-Netzen
287
NS ist eine auf das lokale Subnetz eingeschränkte Multicast-Nachricht, um die Einmaligkeit der eigenen MAC-Adresse zu überprüfen. Mit NS werden alle Systeme (Rechner, Router) als Nachbarn in einem Subnetz angesprochen. NS enthält die Option Source Link-Layer Address, in der die MAC-Adresse des Quellrechners angegeben wird, die auf die Einmaligkeit im Link (Subnetz) gerade überprüft wird.
Falls ein anderer Rechner bereits eine IPv6-Adresse mit dem in NS enthaltenen Link-Token (hier MAC-Adresse) besitzt, antwortet er mit einer ICMPv6-Nachricht Neighbor Advertisement (NA), die direkt an den Rechner gesendet wird, der die Einmaligkeit seiner MAC-Adresse überprüft. Wenn keine Nachricht NA ankommt, bedeutet dies, dass die MACAdresse im Link einmalig ist und verwendet werden darf, um eine IPv6Adresse zu generieren. Damit ist der Schritt 1 abgeschlossen. 2. Herausfinden von Routern und Präfix-Abfrage Nach der Prüfung der Einmaligkeit der Link-Adresse (hier MAC-Adresse) muss der Rechner herausfinden, welche Router im Subnetz (am Link) vorhanden sind und welche Präfixe gelten. Hierfür nutzt er die ICMPv6Nachricht Router Solicitation (RS). Sie wird in einem IPv6-Paket mit FF02::2(All Router Multicast Address) als Ziel-IPv6-Adresse, d.h. an alle Router am Link, verschickt. In RS wird die Quell-MAC-Adresse als Option Source Link-Layer Address [Abb. 7.1-7] angegeben, die in Schritt 1 auf die Einmaligkeit überprüft wurde. Existiert mindestens ein Router im Subnetz, sendet er die ICMPv6-Nachricht Router AdRouter Advertisement (RA) mit der Präfix-Angabe als Option Prefix vertisement Information. RA wird in einem IPv6-Paket mit FF02::1 (All Nodes Multicast Address) als Ziel-IPv6-Adresse, d.h. an alle Rechner am Link, gesendet, sodass das „gefragte“ Link-Präfix im ganzen Link (Subnetz) bekannt gemacht wird. Zugleich lernt dieser Rechner, der diese Bekanntmachung initiiert hat, auch das Präfix p kennen. Aus dem Präfix p und seiner Link-Adresse a (hier MAC-Adresse) kann sich der Rechner die globale IPv6-Adresse (p, a) selbst generieren. SAC ist mit einem Risiko verbunden. Wurde in einem Subnetz nur ein Router Nachteile installiert und fällt er aus, kann keine SAC durchgeführt werden. In diesem Fall SAC kann der Rechner versuchen, seine IPv6-Adresse mithilfe der Stateful Autoconfiguration zu bestimmen, wenn eine solche Autokonfiguration in ihm unterstützt wird. Falls ein Rechner außer dem Link-Präfix weitere Parameter – wie z.B. die IPv6-Adresse vom DNS-Server – benötigt, schlägt SAC auch fehl.
288
7
IPv6-Dienstprotokolle: NDP und DHCPv6
7.3 Wozu DHCPv6?
Was ist Stateful Autoconfiguration?
Konzept und Einsatz von DHCPv6
Mit Stateless Autoconfiguration [Abschnitt 7.2] ist es nur möglich, den Rechnern innerhalb eines einzigen Subnetzes (Links) die Link-Local-Adressen automatisch zuzuweisen. Um den Rechnern in großen Netzen die IPv6-Adressen automatisch zuzuweisen und ihnen zusätzlich die Möglichkeit zu geben, auch die anderen Konfigurationsparameter (z.B. Router-Adresse, DNS-ServerName,...) von bestimmten Servern zu beziehen, wurde das Konfigurationsprotokoll DHCPv6 konzipiert [RFC 3315]. DHCPv6 entspricht weitgehend dem DHCP für IPv4 [Abschnitt 4.2], das wir zu besseren Unterscheidung in diesem Abschnitt als DHCPv4 bezeichnen werden. DHCPv4 funktioniert nach dem Client/Server-Prinzip, sodass man von einem DHCPv4-Client und einem DHCPv4-Server spricht [Abb. 4.2-1]. Auch DHCPv6 funktioniert nach dem Client/Server-Prinzip. Da bei der automatischen Konfiguration nach DHCP mindestens ein DHCP-Server als Konfigurationsserver notwendig ist, bezeichnet man diese Art der automatischen Adresskonfiguration als serverbasiert. In RFCs wird sie Stateful Autoconfiguration genannt. Das Ziel dieses Abschnitts ist es, die Funktionsweise und die Einsatzmöglichkeiten von DHCPv6 zu erläutern.
7.3.1 Funktionsweise von DHCPv6 DHCPv6 funktioniert wie DHCPv4 nach dem Client/Server-Prinzip. Abbildung 7.3-1 illustriert den Einsatz von DHCPv6. S u b n e tz 1
1 D H C P v 6 C lie n t
S u b n e tz 2 L in k 1 D H C P v 6 S e rv e r
1 d ire k te K o m m u n ik a tio n
R o u te r R A
L in k 2 D H C P v 6 C lie n t
S u b n e tz 3 R o u te r R A
2
L in k 3 D H C P v 6 S e rv e r
2 K o m m u n ik a tio n ü b e r e in e n D H C P v 6 - R e la y -A g e n t (R A )
Abb. 7.3-1: Beispiel für den Einsatz von DHCPv6
DHCPv6Server
Ein Rechner, in dem bestimmte Konfigurationsparameter für andere Rechner abgespeichert worden sind, fungiert als DHCPv6-Server. Die Rechner, die auf den DHCPv6-Server zugreifen, um Konfigurationsangaben abzufragen, nennt man DHCPv6-Clients. Ein DHCPv6-Server kann die Clients in mehreren Subnetzen (Links) mit Konfigurationsparametern „versorgen“.
7.3 Konzept und Einsatz von DHCPv6
289
Um einen DHCPv6-Server im Netz zu finden, sendet der DHCPv6-Client eine DHCPv6-Nachricht SOLICIT in einem IPv6-Paket, in dem als Ziel-Adresse eine spezielle Multicast-Adresse gesetzt wird. Um ein IPv6-Paket mit einer derartigen Multicast-Adresse in ein anderes Subnetz weiterzuleiten, muss ein Router eine zusätzliche Funktion enthalten. Daher nennt man diese Funktion (DHCPv6-)Relay-Agent. Der Einsatz eines Relay-Agenten hat den Vorteil, dass nicht für jedes Subnetz ein eigener DHCPv6-Server zur Verfügung gestellt werden muss. In einem Subnetz können sowohl mehrere DHCPv6-Server als auch mehrere Aufgabe von Relay-Agenten implementiert werden. Wird in einem Subnetz (z.B. in Subnetz Relay-Agents 1, Abbildung 7.3-1) kein DHCPv6-Server implementiert, so können die Clients in diesem Subnetz die Konfigurationsparameter aus einem DHCPv6-Server in einem anderen Subnetz beziehen. Im Router kann (nicht muss!) ein RelayAgent implementiert werden. Der Relay-Agent stellt für alle Clients in einem Subnetz ohne DHCPv6-Server die Vertretung eines DHCPv6-Servers aus einem anderen Subnetz dar. Seine Aufgabe besteht darin, die Anforderungen von Clients an Server in anderen Subnetzen weiterzuleiten. Beispiel: In Abbildung 7.3-1 können die DHCPv6-Server so konfiguriert werden, dass die Clients im Subnetz 1 die Konfigurationsparameter beider DHCPv6-Server (d.h. in den Subnetzen 1 und 2) beziehen können. Beim Ausfall eines Servers steht diesen Clients somit noch ein Server zur Verfügung.
Vergleicht man die Abbildungen 4.2-1 und 7.3-1, ist erkennbar, dass die Ziele von DHCPv4 und von DHCPv6 auf den ersten Blick vollkommen identisch sind. Die Funktionalität von DHCPv6 ist aber umfangreicher.
7.3.2 Struktur von DHCPv6-Nachrichten Zwischen (DHCPv6-)Client und (DHCPv6-)Server sowie zwischen Relay- Arten von Agent und Server werden DHCPv6-Nachrichten übermittelt. Die Struktur von DHCPv6DHCPv6-Nachrichten, die zwischen Client und Server ausgetauscht werden, Nachrichten unterscheidet sich von der Struktur der Nachrichten, die man zwischen RelayAgent und Server übermittelt. Abbildung 7.3-2 zeigt die Struktur dieser beiden Gruppen von DHCPv6-Nachrichten. Für den Transport von DHCPv6-Nachrichten wird UDP eingesetzt. Für DHCPv6DHCPv6 werden die zwei Well Known Ports 546 und 547 reserviert, die als Ports Zielport im UDP-Header angegeben werden. Jede Instanz als DHCPv6-Server bzw. als Relay-Agent wird immer über die Zielportnummer 547 angesprochen. Jede Instanz als DHCPv6-Client ist immer über die Zielportnummer 546 zu erreichen.
290
7
IPv6-Dienstprotokolle: NDP und DHCPv6
R E L A Y -F O R W o d e r R E L A Y -R E P L 0
a ) m s g -ty p e
7
tra n s a c tio n -id
b )
0
7
3 1
Z ie lp o rt = 5 4 6 (b e im Z ie lp o rt = 5 4 7 (b e im
U D P
3 1
p e e r-a d d re s s (IP v 6 -A d re sse ) O p tio n s (v a ria b le L ä n g e )
O p tio n s (v a ria b le L ä n g e ) IP
1 5
m s g -ty p e h o p -c o u n t lin k -a d d re s s (IP v 6 -A d re sse )
D H C P v 6 -N a c h ric h t
D H C P v 6 -C lie n t) o d e r D H C P v 6 -R e la y -A g e n t o d e r b e im
D H C P v 6 -S e rv e r)
Abb. 7.3-2: Aufbau von DHCPv6-Nachrichten zwischen: a) DHCPv6-Client und -Server, b) DHCPv6-Relay-Agent und -Server msg-type: Message-Type (Nachrichtentyp)
DHCPv6-Nachrichten, die zwischen Client und Server ausgetauscht werden, enthalten folgende Angaben: msg-type (message-type, 8 Bits): Hier wird der Typ der Nachricht eingetragen. Eine Auflis-
tung von DHCPv6-Nachrichtentypen wird in Tabelle 7.3-1 dargestellt. transaction-id (id: identification, 16 Bits): Eine zusammenhängende Folge von
DHCPv6-Nachrichten zwischen Client und Server stellt eine Transaktion dar. In diesem Feld wird ihre Identifikation eingetragen. Mit transaction-id kann der Client bzw. der Server in einer Nachrichten angeben, auf welche vorherige Nachricht sich diese Nachricht bezieht. Daher dient transaction-id als „in Bezug auf“. Options: Jede DHCPv6-Nachricht enthält in der Regel mehrere weitere Angaben, die als
Optionen variabler Länge übermittelt werden. In diesem Feld werden Optionen übermittelt.
Zwischen Relay-Agent und Server werden nur zwei Nachrichten übermittelt: RELAY_FORW(arding) und RELAY_REPL(y). Diese Nachrichten enthalten: msg-type (message-type, 8 Bits): Diese Angabe hat die gleiche Bedeutung wie in anderen DHCPv6-Nachrichten. hop-count (8 Bits): Hier wird die Anzahl von Relay-Agenten eingetragen, über die eine
Nachricht auf dem Weg zwischen Client und Server übermittelt wurde. Diese Angabe hat die gleiche Bedeutung wie Time to Live (TTL) im Header von IPv4 bzw. Hop Limit im Header von IPv6. link-address (128 Bits): Hier wird die globale bzw. die site-lokale IPv6-Adresse eingetragen, sodass der Server den Link, in dem sich der Client befindet, identifizieren kann. peer-address(128 Bits): Hier wird die IPv6-Adresse vom Client bzw. vom Relay-Agent
eingetragen, von dem die Nachricht empfangen wurde. Options: Diese Angabe hat die gleiche Bedeutung wie in anderen DHCPv6-Nachrichten.
Tabelle 7.3-1 zeigt eine Auflistung von DHCPv6-Nachrichtentypen.
7.3 Konzept und Einsatz von DHCPv6 DHCPv6Nachricht SOLICIT ADVERTISE REQUEST CONFIRM RENEW REBIND REPLY RELEASE DECLINE RECONFIGURE INFORMATIONREQUEST RELAY-FORW RELAY-REPL(y)
Tab. 7.3-1:
msgtype 1 2 3 4 5 6 7 8 9 10
von => an C=>S C<=S C=>S C<=S C=>S C=>S C<=S C=>S C=>S C<=S
Suche nach einem Agent bzw. Server Antwort auf SOLICIT Client fordert einige Konfigurationsparameter Bestätigung vom Server Client will eine Adresse erneuern Client will eine Adresse aktualisieren Antwort auf SOLICIT, REQUEST, RENEW und REBIND Client will eine IP-Adresse abgeben Angebotene Adresse ist belegt Angebot von neuen Parametern
11
C=>S
Abruf von Parametern
12 13
RA=>S RA<=S
291
Nachrichtenfunktion
Weiterleitung einer Nachricht vom Client Weiterleitung einer Nachricht vom Server
Zusammenstellung von DHCPv6-Nachrichten C: Client, RA: Relay-Agent, S: Server
Um bestimmte Parameterangaben in DHCPv6-Nachrichten zu übermitteln, Optionen in wurde ein Feld vorgesehen, in dem mehrere Optionen enthalten sein können. DHCPv6Wie Abbildung 7.3-3 zeigt, kann eine Option als eine kleine Nachricht angese- Nachrichten hen werden, in der die Angaben gemacht werden, die ein bestimmtes Problem (wie z.B. Client- bzw. Server-ID, Authentifizierungsparameter etc.) betreffen.
a )
8 B y te s
C o d e = b )
2 4 B y te s
C o d e 1 : O 2 : O 3 : O 4 : O 5 : O 6 : O 7 : O 8 : O 9 : O
In h a lt d e r O p tio n
L ä n g e P T I P T I P T I P T I P T I P T I P T I P T I P T I
O N _ O N _ O N _ O N _ O N _ O N _ O N _ O N _ O N _
C L S E IA IA IA
O R P R E L R E
IE N R V E _ N A _ T A A D D O E F E A P S L A Y
T ID R ID
C o d e =
R R E N C E E D _ T IM E _ M S G
1 1 : 1 2 : 1 3 : 1 4 : 1 5 : 1 6 : 1 7 : 1 8 : 1 9 : 2 0 :
O P T O P T O P T O P T O P T O P T O P T O P T O P T O P T
IO N IO N IO N IO N IO N IO N IO N IO N IO N IO N
_ A U _ U N _ S T _ R A _ U S _ V E _ V E _ IN _ R E _ R E
T H IC A S T A T U S _ C O D P ID _ C O M M E R _ C L A S S N D O R _ C L A N D O R _ O P T T E R F A C E _ I C O N F _ M S G C O N F _ A C C
E
D
IT S
S S
E P T
Abb. 7.3-3: Optionen in DHCPv6-Nachrichten: a) Struktur des Option-Feldes, a) Typen von Options nach RFC 3315
Um DHCPv6 für die Unterstützung verschiedener Netzwerkdienste effektiv einsetzen zu können, wurden in den RFCs 3319, 3646 und 3898 weitere Optionen spezifiziert. Unter http://www.bind9.net/dhcpv6-parameters findet man ihre Auflistung.
292
7
IPv6-Dienstprotokolle: NDP und DHCPv6
7.3.3 Kommunikation zwischen Client und Server Übermittlung vom Relay-Agent zum Server
Der DHCPv6-Relay-Agent in einem Subnetz hat die Aufgabe, die DHCPv6Nachrichten eines Clients in ein anderes Subnetz weiterzuleiten. Dadurch ist es nicht notwendig, dass ein DHCPv6-Server in jedem Subnetz eingerichtet werden muss. Bei der Übermittlung von Nachrichten zwischen Relay-Agent und Server muss man aber zwischen der Richtung von Relay-Agent zu Server und der Richtung von Server zu Relay-Agent unterscheiden. Abbildung 7.3-4 illustriert das Prinzip der Übermittlung von DHCPv6-Nachrichten zwischen Relay-Agent und DHCPv6-Server. h o p -c o u n t = 1 m s g -ty p e = R E L A Y -F O R W
O P T IO N _ R E L A Y _ M S G
D H C P v 6
U D P IP v 6
D H C P v 6 C lie n t
S u b n e tz IP v 6 U D P
D H C P v 6
R A : D H C P v 6 -R e la y -A g e n t
D H C P v 6
R o u te r R A
D H C P v 6 U D P IP v 6
D H C P v 6 S e rv e r
R e s tlic h e s N e tz
IP v 6 U D P D H C P v 6
D H C P v 6
m s g -ty p e = R E L A Y -R E P L O P T IO N _ R E L A Y _ M S G
Abb. 7.3-4: Übermittlung von Nachrichten zwischen Relay-Agent und DHCPv6-Server
Vom Relay-Agent zum Server werden nur die DHCPv6-Nachrichten RELAYFORW(arding) transportiert, die als Container für die anderen DHCPv6Nachrichten dienen, die normalerweise zwischen Client und Server ohne Beteiligung von Relay-Agenten übermittelt werden. Wie in Abbildung 7.3-4 ersichtlich ist, wird eine DHCPv6-Nachricht von Client zu Server als OPTION_RELAY_MSG in der Nachricht RELAY-FORW übermittelt, die beim Relay-Agent generiert wurde. Die ganze Nachricht vom Client zum Server wird als Inhalt von OPTION_RELAY_MSG transportiert. Übermittlung vom Server zum Relay-Agent
Vom Server zum Relay-Agent werden nur die Nachrichten RELAY-REPL(y) übermittelt. Diese dienen ebenfalls als Container für die anderen Nachrichten, die zwischen Client und Server ausgetauscht werden. Eine Nachricht von Server zu Client wird als Inhalt in OPTION_RELAY_MSG der Nachricht RELAYREPL zuerst zum Relay-Agent an der Grenze zum Subnetz, in dem sich der Client befindet, transportiert. Beim Relay-Agent wird die Nachricht vom Server zum Client aus OPTION_RELAY_MSG herausgenommen und als eine selbstständige Nachricht zum Client weitergeleitet.
7.3 Konzept und Einsatz von DHCPv6
293
Falls die Kommunikation zwischen Client und Server über mehrere RelayAgenten verläuft, werden zwischen den jeweils benachbarten Relay-Agenten nur die Nachrichten RELAY-FORW und RELAY-REPL übermittelt. Diese dienen als Container für die anderen DHCPv6-Nachrichten. Jeder DHCPv6-Client und jeder DHCPv6-Server muss im Netzwerk eindeutig Bedeutung identifiziert werden. Hierfür wird DUID (DHCP Unique IDentifier) verwendet. von DUID Es werden folgende drei DUID-Typen definiert [RFC 3315]: Link-Layer-IPv6-Adresse plus Zeit (Link-layer-address plus time), Vendor-spezische DUID, Link-Layer-IPv6-Adresse. DUID vom Typ Link-Layer-IPv6-Adresse plus Zeit enthält u.a. die Link-LayerIPv6-Adresse und der Zeitpunkt, zu dem diese Adresse generiert wurde. Jede Link-Layer-IPv6-Adresse ist nur von lokaler Bedeutung und setzt sich aus dem Subnetz-Präfix und der MAC-Adresse eines Rechners zusammen [Abb. 6.9-7a]. Jeder Rechner mit IPv6 ist daher selbst in der Lage, diese IPv6-Adresse zu generieren. Daher können die Clients und die Server beim DHCPv6 durch ihre Link-Layer-IPv6-Adressen identifiziert werden. Jeder Client übermittelt seine DUID in OPTION_CLIENTID. Ähnlich wird DUID vom Server in OPTION_SERVERID angegeben. Ein Client kann mehrere Interfaces (physikalische Ports) besitzen und jedem Interface kann eine IPv6-Adresse zugeordnet werden. Ein Client kann daher über mehrere Interfaces mit einem Server kommunizieren. Aus der ServerSicht handelt es sich hierbei um mehrere Assoziationen, die eindeutig identifiziert werden müssen. Hierfür wurde Identity Association (IA) eingeführt und jedem Interface wird eine eindeutige IA-Identifikation, kurz IAID, zugeordnet. Da die IPv6-Adressen den Interfaces zugewiesen werden, kann es sich hierbei um eine temporäre (vorläufige) Adresse (temporary address) bzw. um eine dauerhafte Adresse (non-temporary address) handeln. Bei DHCPv6 unterscheidet man daher zwischen zwei Arten von IA: IA-NA (IA for Non-temporary Address) und IA-TA (IA for Temporary Address). Für die Übermittlung jeder Art von IA wird eine Option vorgesehen, nämlich OPTION_IA_NA bzw. OPTION_IA_TA.
7.3.4 Ablauf von DHCPv6 Im Allgemeinen wird der Ablauf von DHCPv6 in zwei Fällen initiiert:
AssoziationID zwischen Client und Server
294
7
IPv6-Dienstprotokolle: NDP und DHCPv6
Fall 1: Wenn ein Rechner neu an das Netz angeschlossen wird. Fall 2: Wenn einer der Rechner einen neuen Parameter benötigt bzw. wenn ein Parameter aktualisiert wird. Im Fall 1 kennt der neu installierte DHCPv6-Client weder einen DHCPv6Server noch einen DHCPv6-Agenten. Dem neuen Client ist in seinem Subnetz ursprünglich kein Server bekannt. Dies bedeutet, dass der Client in diesem Fall nicht weiß, ob er die Konfigurationsparameter direkt von einem Server in seinem Subnetz oder von einem Server in einem anderen Subnetz über einen Agenten bezieht. In einem solchen Fall muss der neu installierte DHCPv6-Client zuerst einen DHCPv6-Server bzw. einen -Agenten entdecken. Fall 2 entspricht der Situation, in der ein DHCPv6-Client die IPv6-Adresse von einem Server bzw. von einem Agenten bereits kennt. Zuweisung einer IPv6Adresse
Den Ablauf von DHCPv6 bei der Zuweisung einer IPv6-Adresse an einen Rechner illustriert Abbildung 7.3-5. Hier stellt das ganze IPv6-Netzwerk ein Subnetz (Link) dar. Weil der Verkehr zu einem Subnetz eingeschränkt ist, wird Hop Limit = 1 im IPv6-Header eingetragen [Abb. 6.2-1]. D H C P v 6 -S e rv e r A D H C P v 6 -C lie n t M A C -A d r. = a
S u b n e tz (L in k )
E n td e c k u n g v o n S e rv e rn
D H C P v 6 -S e rv e r B
2
S e rv e r-A n g e b o te A u s w a h l e in e s A n g e b o ts u n d S e rv e r-B e s tä tig u n g I P v 6 { ..., H o p L im it = 1 U D P [ ..., Z ie l- P o r t S O L IC IT (O 1 O
M A C -A d r. = b IP v 6 -A d r. = Y
1
3 , ..., Q = 5 4 7 P T IO P T IO
,
2 4
C lie n t v e g lo b a le IP a u c h ü b e r r a tio n
r fü v 6 a n sp
g t ü b e -A d re s d e re K a ra m e
r e in e se b zw . o n fig u te r
u e ll- I P - A d r = F E 8 0 ::0 :< a > , Z ie l- I P - A d r = F F 0 2 ::1 :2 , ...,
N _ C L IE N T ID , O P T IO N _ IA _ N A , N _ E L A P S E D _ T I M E , O P T I O N _ O R O , ...) ] }
I P v 6 { ..., H o p L im it = 1 , ..., Z U D P [ ..., Z ie l- P o r t = 5 4 6 2 A D V E R T IS E (O P O
ie l- I P - A d r = F E 8 0 ::0 :< a > , ..., , T IO N _ S E R V E R ID , O P T IO N _ IA _ T A , P T I O N _ P R E F E R E N C E , ...) ] }
I P v 6 { ..., H o p L im it = 1 , ..., Q u e ll- I P - A d r = F E 8 0 ::0 :< a > , Z ie l- I P - A d r = F F 0 2 ::1 :2 , ..., U D P [ ..., Z ie l- P o r t = 5 4 7 , 3 R E Q U E S T ( ... ) ] } I P v 6 { ..., H o p L im it = 1 , ..., Q u e ll- I P - A d r = Y , Z ie l- I P - A d r = F E 8 0 ::0 :< a > , ..., U D P [ ..., Z ie l- P o r t = 5 4 6 , 4 R E P L Y ( ... ) ] }
Abb. 7.3-5: Typischer Ablauf von DHCPv6 bei der Zuweisung einer IPv6-Adresse
7.3 Konzept und Einsatz von DHCPv6
Bei einem typischen Ablauf von DHCPv6 bei der Zuweisung einer IPv6Adresse sind folgende Schritte zu unterscheiden: 1. Finden von DHCPv6-Servern Um eine globale IPv6-Adresse zu erhalten, muss ein DHCPv6-Client zuerst einen DHCPv6-Server finden und den Kontakt zu ihm herzustellen. Hierfür sendet der DHCPv6-Client eine Nachricht SOLICIT. Sie wird in einem IPv6-Paket eingebettet, in dem als Ziel-IPv6-Adresse die Multicast-Adresse FF02::1:2 (ALL_DHCP_Relay_Agents_and_Servers) eingetragen wird. Als Quell-IPv6-Adresse trägt der Client seine Link-Local-IPv6-Adresse ein, die er sich nach Stateless Autoconfiguration [Abb. 7.2-1] selbst generiert. Die Nachricht SOLICIT muss folgende Optionen enthalten: − OPTION_CLIENTID mit eigener Identifikation, − OPTION_IA_NA mit der Identifikation der Assoziation für eine dauerhafte Adresse (Non-temporary Address) bzw. OPTION_IA_TA, falls der Client aber eine temporäre Adresse (Temporary Address) benötigt, − OPTION_ELAPSED_TIME mit der Angabe, wie lange die Transaktion dauern soll. SOLICIT kann die Option OPTION_ORO (Option Request Option) enthalten, sodass der Client angeben kann, welche weiteren Konfigurationsparameter (z.B. Angaben über DNS) er erhalten möchte. Die Server prüfen anhand von DUID, ob der Client berechtigt ist, eine Adresse zu beziehen, und antworten jeweils mit ADVERTISE. 2. Angebote von DHCPv6-Servern Jeder Server kann mit ADVERTISE dem Client eine IPv6-Adresse zukommen lassen. Diese Nachricht wird in ein IPv6-Paket eingebettet, in dem als Ziel-IPv6-Adresse die Link-Local-IPv6-Adresse des Client eingetragen ist. Als Quell-IPv6-Adresse trägt der Server seine eigene IPv6-Adresse ein. Die Nachricht ADVERTISE enthält u.a. folgende Optionen: − OPTION_SERVERID mit der Identifikation DUID des Servers, − OPTION_IA_NA mit einer angebotenen dauerhaften IPv6-Adresse bzw. OPTION_IA_TA mit einer angebotenen temporären Adresse, − OPTION_PREFERENCE mit der Präferenz des Servers. Diese kann als Wichtigkeit bzw. Priorität des Servers angesehen werden. Auf Basis dieser Angabe, wählt der Client einen Server aus. In ADVERTISE bietet daher jeder Server dem Client eine IPv6-Adresse an, falls er berechtigt ist, die Adressen vom Server zu beziehen. 3. Auswahl eines Angebots und Bestätigung vom DHCPv6-Server In diesem Schritt wählt der Client auf Basis der Präferenzangabe in OPTION_PREFERENCE in ADVERTISE einen Server aus. In Abbildung
295
296
7
IPv6-Dienstprotokolle: NDP und DHCPv6
7.3-5 wählt der Client den Server B, also sein Angebot, aus und sendet eine Nachricht REQUEST, um das ausgewählte Angebot anzufordern. In der Regel wird der Server mit der höchsten Präferenz bzw. mit geeigneten Adressoptionen ausgewählt. REQUEST wird in einem IPv6-Paket übermittelt, in dem als Ziel-IPv6-
Adresse die Multicast-Adresse FF02::1:2 (ALL_DHCP_Relay_Agents_and_Servers) eingetragen wird. Damit kann der Client allen übrigen Servern, die möglicherweise Angebote für ihn reserviert hatten, mitteilen, dass er sich für einen anderen Server (hier Server B) entschieden hat. Diese übrigen Server (hier nur Server A) können dann die reservierten Adressen wieder freigeben, um sie anderen Clients anzubieten. Als Quell-IPv6-Adresse im IPv6-Paket mit REQUEST wird die Link-LocalIPv6-Adresse des Clients eingetragen. Der Server B, der vom Client ausgewählt wurde, antwortet mit der Nachricht REPLY, die als Bestätigung von REQUEST dient. Nach dem Empfang von REPLY und nach dem Eintragen von Parametern wird beim Client der Konfigurationsvorgang beendet. Falls noch weitere „verspätete“ Angebote weiterer Server eintreffen, werden sie vom Client einfach ignoriert.
7.3.5 Einsatz von DHCPv6-Agenten Bei der Darstellung des Ablaufs von DHCPv6 in Abbildung 7.3-5 wurde davon ausgegangen, dass ein DHCPv6-Server im Subnetz vorhanden ist. DHCPv6 lässt zu, dass ein DHCPv6-Server nicht in jedem Subnetz vorhanden sein muss. Eine solche Situation ist in der Praxis zu erwarten, sodass einige DHCPv6Agenten eingesetzt werden müssen. Abbildung 7.3-6 zeigt den Ablauf von DHCPv6 beim Einsatz von DHCPv6Agenten. Die Clients im Subnetz 1 wurden hier so konfiguriert, dass sie die Konfigurationsparameter zuerst vom Server im Subnetz 2 beziehen. Fällt der Router zwischen Subnetz 1 und Subnetz 2 aus, sollen sie die Parameter vom Server in Subnetz 2 abrufen. Das Flag S in ADVERTISE
Um die DHCPv6-Server bzw. einen -Agenten zu finden, sendet der DHCPv6Client immer die Nachricht SOLICIT. Als Antwort darauf sendet jeder DHCPv6-Agent direkt an den Client jeweils die Nachricht ADVERTISE zurück, um sich bei ihm vorzustellen. In dieser Nachricht wird das Flag S auf 1 gesetzt, um den Client darauf hinzuweisen, dass er nur einen Server vertritt, d.h. dass er einerseits die Client-Anforderungen an den Server und andererseits die Server-Antworten nur weiterleitet. Im Beispiel wurde der Agent (vom Subnetz 2) vom Client ausgewählt.
7.3 Konzept und Einsatz von DHCPv6
D H C P v 6 -S e rv e r
S u b n e tz 3 R A D H C P v 6 -C lie n t E n td e c k u n g v o n S e rv e rn
1
S O L IC IT
R o u te r R A
S u b n e tz 1
2
D H C P v 6 S e rv e r
2
3 ´
2 A D V E R T IS E
S u b n e tz 2
1 1
S e rv e r-A n g e b o te A u s w a h l e in e s A n g e b o ts u n d S e rv e r-B e s tä tig u n g
R o u te r
4 ´´ 3 ´
297
3 ´´ R E Q U E S T
3 ´´ 4 ´
4 ´ 4 ´´ R E P L Y
Abb. 7.3-6: Beispiel für den Ablauf von DHCPv6 beim Einsatz von DHCPv6-Relay-Agenten R: Router, RA: DHCPv6-Relay-Agent
Beim Ausfall eines DHCPv6-Servers besteht die Gefahr, dass einige Clients keine globale IPv6-Adresse erhalten und nicht in der Lage sein können, am Netzwerkbetrieb teilzunehmen. Da DHCPv6 den Einsatz von Relay-Agenten ermöglicht, können mehrere Server auf mehrere Subnetze so „verteilt“ werden, dass sie als ein redundant ausgelegter Server fungieren. So kann ein Client im Notfall auf einen redundanten DHCPv6-Server zugreifen. Daher ist es immer erforderlich, sowohl redundante DHCPv6-Server als auch redundante RelayAgenten einzuplanen. Bei DHCPv6 gelten die gleichen Prinzipien wie bei DHCPv4 [Abschnitt 4.2.3].
7.3.6 Verlängerung der Ausleihe einer IPv6-Adresse Die IPv6-Adresse und andere Konfigurationsparameter, die einem DHCPv6Client von einem DHCPv6-Server zugeteilt wurden, haben eine bestimmte Gültigkeitsdauer (Lebensdauer). Um sie zu spezifizieren, werden bei DHCPv6 die beiden Parameter T1 und T2 verwendet: T1 bestimmt die Zeitdauer, nach der ein Client die Gültigkeitsdauer seiner Adresse und anderer Konfigurationsparameter beim Server, von dem er diese Adresse erhalten hat, verlängern soll. T2 ist die Zeitdauer, nach der ein Client die Gültigkeitsdauer seiner Adresse und anderer Konfigurationsparameter bei einem anderen Server verlängern soll, d.h. nicht bei dem, von dem er diese Adresse erhalten hat. Die Parameter T1 und T2 werden vom Client zum Server in OPTION_IA_NA (NA: Non-temporary Address) innerhalb der Nachricht SOLICIT übermittelt. Daher werden die Werte von T1 und T2 vom Client dem Server vorgeschlagen. Diese Werte bestimmt aber der Server. Er kann sie ändern bzw. akzeptieren.
Gültigkeitsdauer einer IPv6Adresse
298 Verlängerung der Gültigkeitsdauer einer Adresse
7
IPv6-Dienstprotokolle: NDP und DHCPv6
Hat ein DHCPv6-Client von einem DHCPv6-Server eine IPv6-Adresse und andere Konfigurationsparameter erhalten, muss er diese Ausleihe beim Server nach dem Ablauf der Zeit T1 (Gültigkeitsdauer) erneuern. Abbildung 7.3-7 illustriert den Ablauf von DHCPv6 bei Verlängerung der Ausleihe einer IPv6Adresse. D H C P v 6 -S e rv e r A D H C P v 6 -C lie n t
S u b n e tz (L in k )
C lie n t n u tz t d ie ih m z u g e te ilte IP v 6 -A d re s s e ü b e r d ie Z e itd a u e r T 1
A u s le ih e w u rd e v e rlä n g e rt F re ig a b e
E n td e c k u n g v o n S e r v e r n , A n g e b o te v o n S e r v e r n , A u s w a h l e in e s A n g e b o ts u n d S e r v e r -B e s tä tig u n g R E P L Y C lie n t v e r fü g t ü b e r e in e g lo b a le IP v 6 -A d re sse b zw . a u c h ü b e r a n d e re K o n fig u r a tio n s p a r a m e te r R E N E W
V e rlä n g e ru n g
D H C P v 6 S e rv e r B
T 1
R E P L Y
R E L E A S E
Abb. 7.3-7: DHCPv6-Ablauf bei Verlängerung der Ausleihe und Freigabe einer IPv6-Adresse
Um die Ausleihe einer IPv6-Adresse nach dem Ablauf der Zeit T1 zu verlängern, sendet der Client an den Server die Nachricht RENEW(al). Die Verlängerung der Ausleihe bestätigt der Server mit REPLY. Damit darf der Client die ihm zugeteilte IPv6-Adresse weiter nutzen. Falls der Client die IPv6-Adresse nicht mehr benötigt, kann er sie freigeben. Dies teilt er dem Server durch das Absenden der Nachricht RELEASE mit. Für den Fall, dass der Server z.B. ausgefallen ist und daher auf RENEW dem Client keine Antwort sendet, kann der DHCPv6-Client versuchen, die Gültigkeitsdauer der ihm zugeteilten IPv6-Adresse und von Konfigurationsparametern bei einem anderen DHCPv6-Server zu verlängern. Hierfür verschickt der Client die Nachricht REBIND, in der er seine IPv6-Adresse und Konfigurationsparameter in OPTION_IA_NA angibt.
7.3.7 Schnelle Umadressierung mit DHCPv6 Rekonfiguration von DHCPv6Clients
Im Vergleich zu DHCPv4 wurde bei DHCPv6 eine neue Funktion eingeführt. Falls einige Konfigurationsparameter geändert wurden, kann ein DHCPv6Server seine DHCPv6-Clients mit der Nachricht RECONFIGURE anfordern, neue IPv6-Adressen bzw. neue Konfigurationsparameter bei ihm zu beantra-
7.3 Konzept und Einsatz von DHCPv6
299
gen. Dadurch ist eine schnelle Umadressierung in einem IPv6-Netz möglich, ohne vorher die Gültigkeitsdauer der Adressen zu verändern. Ein Client kann die neuen Adressen bzw. Konfigurationsparameter mit der Nachricht INFORMATION-REQUEST vom Server anfordern. Mithilfe von DHCPv6 kann das Präfix einem kleinen Netzwerk von einem ISP Prefix zugewiesen werden. Das Präfix kann als Vorwahl eines Netzwerks seitens des Delegation Internet angesehen werden [Abb.6.9-4]. Eine derartige Möglichkeit ist für öffentliche WLANs, die sog. Hotspots, mit IPv6 von großer Bedeutung. Man spricht in diesem Zusammenhang von Prefix Delegation. Hierfür werden in RFC 3633 zwei zusätzliche Optionen für DHCPv6 – nämlich OPTION_IA_PD und OPTION_IAPREFIX – spezifiziert. Die Bedeutung von Prefix Delegation bringt Abbildung 7.3-8 zum Ausdruck. Ein öffentliches WLAN wird typischerweise über einen Router an einen ISP angebunden. Da der Router seitens des WLAN ein Präfix vom Router bei ISP anfordern kann, wird er als Requesting Router (RR) bezeichnet. Dagegen stellt der Router bei ISP einen Delegating Router (DR) dar. D H C P v 6 -C lie n t
W L A N (H o ts p o t)
L 2 -S w itc h R R e q u e s tin g R o u te r
a ) b )
In te rn e t
z .B . D S L R D e le g a tin g R o u te r
R IS P
S O L I C I T [ O P T I O N _ I A _ P D , ...] A D V E R T I S E [ O P T I O N _ I A P R E F I X , ...]
D H C P v 6 S e rv e r R A D IU S S e rv e r
S O L I C I T [ O P T I O N _ I A _ P D , ...] A D V E R T IS E [O P T IO N _ S T A T U S _ C O D E
( N o P re fix A v a il) ...]
Abb. 7.3-8: Präfix-Zuteilung: a) erfolgreich, b) nicht erfolgreich (abgesagt) DSL: Digital Subscriber Line, R: Router
Möchte RR vom ISP ein (Netzwerk-)Präfix erhalten, übermittelt er die Nachricht SOLICIT an DR. In SOLICIT ist OPTION_IA_PD enthalten. Diese Option entspricht vollkommen der Option OPTION_IA_NA in der Nachricht SOLICIT, die ein DHCPv6-Client an einen DHCPv6-Server übermittelt [Abb. 7.3-5]. DR beim ISP kann mithilfe des Protokolls RADIUS [Abschnitt 12.5] beim RADIUS-Server abfragen, ob RR berechtigt ist, ein Präfix zu erhalten. Ist das der Fall [Abb. 7.3-8a], übermittelt er die Nachricht ADVERTISE an RR. Diese Nachricht enthält OPTION_IAPREFIX mit dem zugewiesenen Präfix.
300
7
IPv6-Dienstprotokolle: NDP und DHCPv6
Ist RR nicht berechtigt, ein Präfix zu erhalten, so bekommt er eine Absage [Abb. 7.3-8b]. In diesem Fall übermittelt DR an RR die Nachricht ADVERTISE, in der OPTION_STATUS enthalten ist. In dieser Option wird durch die Angabe NoPrefixAvail mitgeteilt, dass kein Präfix für ihn verfügbar ist.
7.4 NDP statt ARP
Schlussbemerkungen
Hinsichtlich von NDP und DHCPv6 ist noch Folgendes hervorzuheben: Das NDP wurde für die Unterstützung der automatischen Konfiguration von Rechnern und für die Bestimmung von physikalischen Netzadressen eingeführt. Beim IPv6 gibt es das ARP nicht mehr. Seine Funktion hat das NDP übernommen. Da das NDP die Nachrichten des Protokolls ICMPv6 verwendet, kann es als Ergänzung zum ICMPv6 angesehen werden.
DHCPv6 ergänzt NDP
Das DHCPv6, das auch für die Unterstützung der automatischen Konfiguration von Rechnern mit IPv6 konzipiert wurde, kann wiederum als Ergänzung zum NDP angesehen werden. Bei der Entwicklung vom DHCPv6 standen allgemeine Konfigurationsprobleme sowie die Durchführung von dynamischen DNS-Updates im Vordergrund. Im Gegensatz zum NDP bietet das DHCPv6 die Möglichkeit, Adressen und andere Konfigurationsparameter aus einem zentralen DHCPv6-Server zu verwalten.
Schnelle Autokonfigur ation
Das DHCPv6 lässt eine schnelle (rapid) Autokonfiguration zu. Bei der schnellen Autokonfiguration fordert der Client die Konfigurationsparameter mit der Nachricht REQUEST mit der Option OPTION_RAPID_COMMIT und der Server antwortet ihm direkt mit REPLY. Dadurch wird der Client für den Netzwerkbetrieb schneller konfiguriert. Ein weiterer Vorteil hierbei ist die kleinere Netzwerkbelastung.
Authentifizierung
Um die Sicherheit im Netzwerk zu erhöhen, unterstützt DHCPv6 auch die Authentifizierung. Die hierfür notwendigen Angaben werden in der Option OPTION_AUTH übermittelt. Damit kann der Empfänger einer DHCPv6Nachricht überprüfen, ob der Absender der Nachricht der wahre Kommunikationspartner ist.
DHCPv6Tests
Unter http://www.tahi.org/dhcpv6/spec findet man eine Auflistung von verschiedenen DHCPv6-Tests und der hierbei übermittelten Nachrichten und Parameter.
SIP-ServerEinsatz
In RFC 3646 wurden zwei Optionen spezifiziert, um den Clients die Adressangaben über DNS-Server zu übermitteln. RFC 3319 spezifiziert die Optionen, für die Übermittlung von Adressangaben über SIP-Server (Session Initiation Protocol). Daher können die VoIP-Telefone (Voice over IP) sich die IPv6-Adressen auch von einem SIP-Server ausleihen.
8
Migration zum IPv6-Einsatz
Die Umstellung aller Rechner, in denen das herkömmliche Internet-Protokoll Koexistenz IPv4 verwendet wird, auf das neue Protokoll IPv6 kann nicht auf einen Schlag von IPv4 und geschehen. Dazu sind weltweit viel zu viele Rechner mit IPv4 installiert. Der IPv6 Schlüssel zur Einführung von IPv6 liegt in der langfristigen und kostengünstigen Migration. Es muss mit einer Übergangszeit gerechnet werden, während der IPv4 und IPv6 parallel eingesetzt werden. Daher benötigt man bestimmte Ansätze und Systemlösungen, um die Integration von IPv4- und IPv6-Netzen zu ermöglichen. Unter dem Begriff IPv4-Netz wird jedes beliebige Netz verstanden, in dem alle Systeme IPv4 unterstützen. Ähnlich bezeichnet IPv6-Netz ein Netz, in dem sämtliche Systeme IPv6 unterstützen. Dieses Kapitel gibt einen Überblick über verschiedene Ansätze und System- Überblick lösungen, um die Koexistenz von IPv4 und IPv6 in verschiedenen Netzstruktu- über das ren zu ermöglichen. Nach der Darstellung der Struktur von Rechnern mit IPv4 Kapitel und IPv6 in Abschnitt 8.1 zeigt Abschnitt 8.2 technische Möglichkeiten für die Integration der IPv4- und IPv6-Netze. Den Einsatz von IPv6-in-IPv4-Tunneling präsentiert Abschnitt 8.3. Auf das Konzept von 6to4 geht Abschnitt 8.4 ein. Abschnitt 8.5 erläutert die IPv6-Kommunikation über IPv4-Netze mit ISATAP. Den Einsatz von Teredo erläutert Abschnitt 8.6. Auf die Prinzipien der IPv4Kommunikation über IPv6-Netze mit DSTM geht Abschnitt 8.7 ein. Die IntegIPv6 wird in ration der IPv4- und IPv6-Netze mithilfe der Translation IPv4 Abschnitt 8.8 dargestellt. Abschließende Bemerkungen in Abschnitt 8.9 runden dieses Kapitel ab. In diesem Kapitel werden u.a. folgende Fragen beantwortet: Wie kann man sich die beiden Protokolle IPv4 und IPv6 in einem Rechner bzw. in einem Router vorstellen? Welche Möglichkeiten der Koexistenz von IPv4 und IPv6 gibt es? Wie kann die Kommunikation nach IPv6 über IPv4-Netze realisiert werden? Wie kann der Zugang zum IPv6-Internet bereits heute erfolgen? Wie lassen sich die sog. IPv6-Sites über IPv4-Netze vernetzen? Wie können die Rechner in IPv6-Netzen auf das herkömmliche IPv4Internet zugreifen? Welche Möglichkeiten bringt der Einsatz von IPv6 in Netzwerken mit privaten IPv4-Adressen und mit NAT? Wie erfolgt die Translation IPv4
IPv6 und was ermöglicht sie?
Ziel dieses Kapitels
302
8
Migration zum IPv6-Einsatz
8.1 Dual-StackRechner und -Router
Integration von IPv4 und IPv6 in Rechnern
Es lassen sich einige Situationen in der Praxis vorstellen, in denen die beiden Protokolle IPv4 und IPv6 koexistieren können. In der ersten Phase der Migration zum IPv6-Einsatz werden oft nur einige Rechner und Router um IPv6 erweitert. Derartige Systemkomponenten mit den beiden Protokollstacks IPv4 und IPv6 bezeichnet man als Dual-Stack-Rechner (Dual-Stack-Host) und DualStack-Router. Das Ziel dieses Abschnittes ist es, die Prinzipien der Kommunikation nach IPv6 zwischen Dual-Stack-Rechnern in IPv4-Netzen zu zeigen.
8.1.1 IPv4- und IPv6-Protokollfamilien im Schichtenmodell Protokollarchitektur im Dual-StackRechner
Die IPv4-Protokollfamilie im Schichtenmodell wurde bereits Abbildung 1.5-1 gezeigt. Um eine Vorstellung über die Protokollarchitektur eines Dual-StackRechners und eines Dual-Stack-Routers zu vermitteln, zeigt Abbildung 8.1-1 die beiden Protokolle IPv4 und IPv6 im Schichtenmodell. Die hier dargestellte Struktur kann als allgemeine Protokollarchitektur eines Dual-Stack-Rechners angesehen werden. Man findet sie z.B. in einem Server unter Windows 2003 vor, der als Dual-Stack-Rechner bzw. als Dual-Stack-Router dienen kann. P ro to k o lle d e r A p p lik a tio n s s c h ic h t
v e r b in d u n g s o r ie n tie r t
...
5 : A p p llik a tio n s s c h ic h t
4 : T r a n s p o r ts c h ic h t
H T T P F T P , T L S /S B G P , H .3 2 3
R S V P O S P F
...
3 : N e tz w e r k s c h ic h t IG M P
...
S C T P
IC M P
2 : D a ta -L in k -S c h ic h t 1 : P h y s ik a lis c h e S c h ic h t
A R P
, S L , B G P v 6 -S IG ,
g e m is c h t D N S , D N S v 6 ,
...
U D P
T C P
v e r b in d u n g s lo s D H C P , D H C P v 6 S N M P , R T P /R T C P , R IP , R IP v 6 S IP ,
...
U D P -L ite
I P v 6
I P v 4 N IC
N D P
O S P F v 6
IC M P v 6
...
M L D
Ü b e rm ittlu n g s n e tz e
Abb. 8.1-1: Die Protokollfamilien IPv4 und IPv6 im Schichtenmodell NIC: Network Interface Controller (Adapterkarte) Für Erläuterung von Abkürzungen sei auf das Abkürzungsverzeichnis verwiesen.
Es wurde hier angenommen, dass die beiden untersten Schichten (d.h. die physikalische Schicht und die Data-Link-Schicht) mithilfe einer Adapterkarte rea-
8.1 Integration von IPv4 und IPv6 in Rechnern
303
lisiert werden, z.B. in einem Rechner am Ethernet also mir einer EthernetAdapterkarte. Innerhalb der Netzwerkschicht werden die beiden Internet-Protokolle IPv4 und NetzwerkIPv6 mit ihren Hilfsprotokollen angesiedelt. Wie hier ersichtlich ist, wird ARP schicht (Address Resolution Protocol), das von IPv4 verwendet wird, bei IPv6 durch NDP (Neighbor Discovery Protocol) ersetzt. IGMP (Internet Group Management Protocol) wird bei IPv6 durch MLD-Protokoll (Multicast Listener Discovery) ersetzt. ICMP (Internet Control Message Protocol) wird bei IPv6 zu ICMPv6 erweitert. Die Transportschicht in Abbildung 8.1-1 enthält die gleichen Transportproto- Transportkolle wie die Transportschicht in Abbildung 1.5-1. Das Routing-Protokoll schicht OSPF (Open Shortest Path First) ist der Transportschicht zuzuordnen und es wird bei IPv6 zu OSPFv6 erweitert. Die Applikationsschicht in Abbildung 8.1-1 enthält im Vergleich zu der Dar- Applikastellung in Abbildung 1.5-1 auch einige Netzdienstprotokolle von IPv6, wie tionsschicht z.B. DHCPv6 (Dynamic Host Configuration Protocol), DNSv6 (Domain Name System ) und IPv6-Routing-Protokolle wie BGPv6 (Border Gateway Protocol) sowie RIPv6 ( Routing Information Protocol). Unterstützt ein System (z.B. Rechner, Router) IPv4 und IPv6, muss ihm sowohl eine IPv4- als auch eine IPv6-Adresse zugeteilt werden.
8.1.2 Dual-Stack-Rechner in einem LAN-Segment Den Einsatz von IPv4 und IPv6 in einem physikalischen LAN-Segment illustriert Abbildung 8.1-2. Zwischen IPv4-Rechnern findet die Kommunikation nach IPv4 und zwischen IPv6-Rechnern nach IPv6 statt. Hier wird das ganze Netzwerk in zwei logische „Netzwerkteile“ aufteilt, sodass IPv4-Rechner einen IPv4-Netzteil und entsprechend IPv6-Rechner einen IPv6-Netzteil bilden. IP v 4
IP v 4 -N e tz w e rk te il IP v 4 -K o m m u n ik a tio n
IP v 6 -K o m m u n ik a tio n IP v 6
IP v 4 /IP v 6
IP v 6 -N e tz w e rk te il
IP v 6
IP v 6 -K o m m u n ik a tio n
IP v 4 -K o m m u n ik a tio n IP v 6
IP v 4
Abb. 8.1-2: Paralleler Einsatz von IPv4 und IPv6 in einem LAN-Segment
IP v 4
304
8
Migration zum IPv6-Einsatz
Ein Dual-Stack-Rechner mit IPv4 und IPv6 kann sowohl nach IPv4 mit IPv4Rechnern als auch nach IPv6 mit IPv6-Rechnern kommunizieren. Jeder DualStack-Rechner gehört daher gleichzeitig zu beiden IPv4- und IPv6- Netzteilen. In der in Abbildung 8.1-2 gezeigten Situation können den IPv6-Rechnern beliebige Unicast-IPv6-Adressen zugeteilt werden, d.h. es müssen nicht unbedingt IPv4-kompatible IPv6-Adressen sein.
8.1.3 Betrieb von Dual-Stack-Rechnern in IPv4-Netzen Dual-StackRechner = IPv4/IPv6Rechner
Sollen neue IPv6-Applikationen in einem IPv4-Netz eingesetzt werden, müssen einige IPv4-Rechner um IPv6 erweitert werden. Sie werden damit zu DualStack-Rechnern, die man auch als IPv4/IPv6-Rechner bezeichnet, umgerüstet. Ein IPv4-Netz kann somit als Transitnetz für die IPv6-Kommunikation zwischen den derart erweiterten Rechnern eingesetzt werden. Abbildung 8.1-3a zeigt ein Beispiel, in dem zwei Ethernet-Segmente über einen Router miteinander verbunden sind. Da der Router nur IPv4 unterstützt, handelt es sich hierbei um ein „reines“ IPv4-Netz. Werden an diesem Netz auch die Dual-Stack-Rechner angeschlossen, stellt sich die Frage: Wie erfolgt die IPv6-Kommunikation zwischen ihnen? Die Antwort gibt Abbildung 8.1-3b.
IP v 4
IP v 4 -N e tz IP v 4
IP v 4
IP v 6 -K o m m u n ik a tio n
_
IP v 4 -N e tz T u n n e l
Z ie l-IP v 6 -A d r. Z ie l-IP v 4 -A d r.
IP v 4 -P a k e t
IP v 4 /IP v 6
R
b ) IP v 4 /IP v 6
a ) IP v 4 /IP v 6 IP v 4 /IP v 6 IP v 6 -K o m m u n ik a tio n
IP v 6 -P a k e t Z ie l-IP v 4 -A d r.
Abb. 8.1-3: IPv6-Kommunikation zwischen Dual-Stack-Rechnern am IPv4-Netz: a) physikalische Konfiguration, b) Prinzip der IPv6-Kommunikation R: Router
Logischer IPv6-inIPv4-Tunnel
Bei der IPv6-Kommunikation zwischen IPv4/IPv6-Rechnern über ein IPv4Netz werden die IPv6-Pakete in IPv4-Pakete eingebettet und als Nutzlast transportiert. Auf diese Art und Weise entsteht ein logischer IPv6-in-IPv4-Tunnel über das IPv4-Netz als Transitnetz zwischen den beteiligten IPv4/IPv6Rechnern. Beginn und Ende des Tunnels über ein IPv4-Netz bestimmen die IPv4-Adressen. Da Datenquelle und -senke bei der IPv6-Kommunikation durch die IPv6-Adressen festgelegt werden, muss der Quell-Rechner eine Adressermittlungstabelle mit der Zuordnung enthalten: Ziel-IPv6-Adresse
Ziel-IPv4-Adresse.
8.2 Arten der Koexistenz von IPv6 und IPv4
Besteht kein Zusammenhang zwischen IPv4- und IPv6-Adressen, so müssten diese Zuordnungen manuell bei der Rechnerkonfiguration eingegeben werden. Um dies zu vermeiden, können sog. IPv4-kompatible IPv6-Adressen verwendet werden. In Abschnitt 6.9.5 wurde bereits gezeigt [Abb. 6.9-8a], dass eine IPv4Adresse in einer IPv4-kompatiblen IPv6-Adresse enthalten ist. Daher kann jede IPv4-Adresse mit dem Präfix ::/96 zu einer IPv4-kompatiblen IPv6-Adresse erweitert werden. Dadurch können die IPv6-Adressen aus den IPv4-Adressen gebildet werden und dies kann man für die Unterstützung der IPv6-Kommunikation zwischen IPv4/IPv6-Rechnern über IPv4-Netze verwenden [Abb. 8.3-3].
8.2
305 Einsatz von IPv4kompatiblen IPv6Adressen
Arten der Koexistenz von IPv6 und IPv4
Es stehen bereits mehrere Ansätze zur Verfügung, um die Koexistenz von IPv4 und IPv6 in verschiedenen Netzstrukturen zu ermöglichen. Abbildung 8.2-1 illustriert die möglichen Alternativen.
A rte n d e r K o e x is te n z v o n IP v 6 u n d IP v 4 IP v 6 -K o m m u n ik a tio n ü b e r IP v 4 -N e tz e
A r t d e r V e r n e tz u n g
L ö s u n g s a n s ä tz e
D u a l-S ta c k -R e c h n e r a m IP v 4 -N e tz
T u n n e lin g
IP v 4 -N e tz a ls B a c k b o n e fü r IP v 6 -N e tz e
T u n n e lin g
K o p p lu n g v o n IP v 6 -S ite s ü b e r IP v 4 -N e tz e
6 to 4 T B 6 to 4 T e re d o IS A T A P
E rw e ite ru n g e in e s IP v 4 -N e tz e s m it e in e m IP v 6 -N e tz IP v 4 -K o m m u n ik a tio n ü b e r IP v 6 -N e tz e
E rw e ite ru n g e in e s IP v 4 -N e tz e s m it e in e m IP v 6 -N e tz
IP -K o m m u n ik a tio n d u rc h T ra n s la tio n IP v 4 < = > IP v 6
E rw e ite ru n g e in e s IP v 4 -N e tz e s m it e in e m IP v 6 -N e tz
IP v 6 in IP v 4 IP v 6 in IP v 4
D S T M S IIT , N A T -P T
Abb. 8.2-1: Die Zusammenstellung der Ansätze für die Koexistenz von IPv6 und IPv4 6to4: 6to4 Transition Mechanism, DSTM: Dual-Stack Transitdom Mechanism, ISATAP: Intra-Site Automatic Tunnel Addressing Protocol, NAT-PT: Network Address Translation – Protocol Translation, SIIT: Stateless IP/ICMP Translation Algorithm, TB: Tunnel Broker, Teredo: Tunneling IPv6 over UDP through NATs
Es kommen folgende Arten der Koexistenz von IPv4 und IPv6 infrage: IPv6-Kommunikation über IPv4-Netze Es handelt sich hier um die Kopplung von Rechnern mit IPv6 über IPv4Netze bzw. um die Erweiterung der IPv4-Netze mit IPv6-Netzen. In diesem Fall unterscheidet man zwischen den folgenden Vernetzungsarten:
Arten der Koexistenz
306
8
Migration zum IPv6-Einsatz
− Einsatz von Dual-Stack-Rechnern an einem IPv4-Netz: Dies ist durch das IPv6-in-IPv4-Tunneling möglich [Abb. 8.1-3b]. − IPv4-Netz als Backbone bzw. als Transitnetz für IPv6-Netze: Dies ist ebenfalls durch das IPv6-in-IPv4-Tunneling möglich [Abb. 8.3-4]. − Kopplung von IPv6-Sites über IPv4-Netze: In einem IPv4-Netz können einige „Inseln“ mit nur IPv6-Systemkomponenten eingerichtet werden. Solche IPv6-Inseln werden als IPv6-Sites bezeichnet. Die Kopplung von IPv6-Sites über IPv4-Netze ermöglicht das Konzept 6to4 [Abschnitt 8.4]. − Erweiterung eines IPv4-Netzes mit einem IPv6-Netz: Ein IPv4-Netz kann „räumlich“ mit einem IPv6-Netz erweitert werden. Um dies ist zu erreichen, stehen folgende Konzepte zur Verfügung: Tunnel Broker [Abschnitt 8.3.3], 6to4, ISATAP [Abschnitt 8.5] und Teredo [Abschnitt 8.6]. Auf IPv6-Kommunikation über IPv4-Netze geht Abschnitt 8.2.1 näher ein. IPv4-Kommunikation über IPv6-Netze Es handelt sich hier um den Einsatz von Dual-Stack-Rechnern in einem IPv4-Netz bzw. um eine räumliche Erweiterung eines IPv4-Netzes mit einem IPv6-Netz [Abschnitt 8.2.2]. Diese Art der Kommunikation ist mithilfe von DSTM [Abschnitt 8.7] möglich. IP-Kommunikation durch Translation IPv4 IPv6 Zwischen einem IPv4-Netz und einem IPv6-Netz kann ein Router eingesetzt werden, in dem der IPv4-Header auf den IPv6-Header und umgekehrt umgesetzt werden kann. Es handelt sich daher um eine Translation IPv4 IPv6 [Abschnitt 8.2.3]. Man kann in diesem Fall von IP-Kommunikation zwischen IPv4-Rechner und IPv6-Rechner sprechen. Für die Unterstützung dieser Art der Kommunikation stehen SIIT [Abschnitt 8.8.1] und NAT-PT [Abschnitt 8.8.2] zur Verfügung.
8.2.1 IPv6-Kommunikation über IPv4-Netze Eine IPv4-Netzinfrastruktur wird nicht innerhalb einer Nacht auf IPv6 umgestellt. Stattdessen werden zunächst einige Rechner um IPv6 erweitert bzw. kleine IPv6-Inseln eingerichtet. Eine bestehende IPv4-Netzinfrastruktur kann daher für die Unterstützung der IPv6-Kommunikation verwendet werden. In der ersten Phase der Migration zum Einsatz von IPv6 können die bestehenden IPv4-Netze als Transitnetze fungieren. Abbildung 8.2-2 zeigt eine Zusammenstellung von Lösungen, bei denen IPv4-Netze als Transitnetze für die Unterstützung der IPv6-Kommunikation dienen.
8.2 Arten der Koexistenz von IPv6 und IPv4
IP v 6 -K o m m u n ik a tio n
a )
IP v 4 -N e tz
D S H
b )
307
D S H
IP v 6 -K o m m u n ik a tio n IP v 6
c ) D S H
IP v 6 -N e tz
IP v 4 -N e tz IP v 6 -S ite
D S R
IP v 4 -N e tz
D S R
IP v 6 -N e tz IP v 6
IP v 6 -K o m m u n ik a tio n D S R
IP v 4 -N e tz
D S R
IP v 6 -N e tz
IP v 6
IP v 6 -K o m m u n ik a tio n
d ) IP v 4 -N e tz D S H
IP v 6 -S ite
IP v 4 -N e tz D S R
IP v 4 -N e tz
D S R
IP v 6 -S ite
IP v 6
IP v 4 -K o m m u n ik a tio n
Abb. 8.2-2: IPv4-Netze als Transitnetze für die Unterstützung der IPv6-Kommunikation: a) Dual-Stack-Rechner am IPv4-Netz, b) IPv4-Netz als Transitnetz für IPv6-Netze, c) IPv4-Netz als Zubringer zum IPv6-Netz, d) Vernetzung von IPv6-Sites DSH: Dual-Stack-Host, DSR: Dual-Stack-Router
Dient ein IPv4-Netz als Transitnetz bei der IPv6-Kommunikation, so kann es IPv4-Netz als sich um folgende Vernetzungsarten handeln: a. Einsatz von Dual-Stack-Rechnern (-Hosts) am IPv4-Netz [Abb. 8.2-2a] Für die IPv6-Kommunikation zwischen zwei Dual-Stack-Rechnern am IPv4-Netz wird ein IPv6-in-IPv4-Tunnel aufgebaut [Abb. 8.1.3b]. Darauf geht Abschnitt 8.3 näher ein.
Transitnetz
b. Das IPv4-Netz fungiert als Transitnetz für IPv6-Netze [Abb. 8.2-2b] Um die IPv6-Kommunikation bei dieser Vernetzungsart zu ermöglichen, wird ebenfalls das IPv6-in-IPv4-Tunneling eingesetzt. Abschnitt 8.3 präsentiert dies näher. c. Das IPv4-Netz dient als Zubringer zum IPv6-Netz [Abb. 8.2-2c] IPv6-Insel In einem IPv4-Netz kann eine „IPv6-Insel“ eingerichtet werden. Sie wird als IPv6-Site auch IPv6-Site genannt. Ein IPv4-Netz kann dann für Rechner aus der IPv6-Site als Zubringer zu einem IPv6-Netz dienen. Um dies zu ermöglichen, steht das in Abschnitt 8.4 dargestellte Konzept 6to4 zur Verfügung. d. Vernetzung von IPv6-Sites über IPv4-Netze [Abb. 8.2-2d] Diese Vernetzungsart ist auch mithilfe von 6to4 möglich. Dies wird in Abschnitt 8.4 detailliert dargestellt. Bei der Migration zu IPv6 kann ein bestehendes IPv4-Netz um ein IPv6-Netz bzw. um eine IPv6-Site erweitert werden. Abbildung 8.2-3 illustriert dies.
308
8
Migration zum IPv6-Einsatz
IP v 6 -K o m m u n ik a tio n
a )
IP v 4 -N e tz
D S H
IP v 6 -N e tz
D S R
IP v 6
IP v 6 -K o m m u n ik a tio n
b ) D S H
IP v 4 -N e tz
IP v 4 -N e tz
D S R
IP v 6 -S ite
IP v 6
Abb. 8.2-3: IPv6-Kommunikation zwischen Dual-Stack-Rechner am IPv4-Netz und: a) IPv6-Rechner in einem IPv6-Netz, b) IPv6-Rechner in einer IPv6-Site Abkürzungen wie in Abbildung 8.2-2
Wird ein IPv4-Netz um ein IPv6-Netz bzw. um eine IPv6-Site erweitert, so handelt es sich um die IPv6-Kommunikation zwischen einem Dual-StackRechner am IPv4-Netz auf der einen Seite und auf der anderen Seite a. einem IPv6-Rechner in einem IPv6-Netz [Abb. 8.2-3a] Diese IPv6-Kommunikation wird mithilfe von IPv6-in-IPv4-Tunneling realisiert [Abschnitt 8.3]. b. einem IPv6-Rechner in einer IPv6-Site [Abb. 8.2-3b] Diese IPv6-Kommunikation ermöglicht das Konzept 6to4 [Abschnitt 8.4].
8.2.2 IPv4-Kommunikation über IPv6-Netze Bedeutung von IPv4 über IPv6
Es sollte möglich sein, dass Rechner in IPv6-Netzen auf die Ressourcen im IPv4-Internet zugreifen können. Dafür muss in Rechnern im IPv6-Netz zusätzlich IPv4 installiert werden. Daher ist der Betrieb von Dual-Stack-Rechnern im IPv6-Netz von großer Bedeutung, genauso wie die Möglichkeit, dass sie die IPv4-Kommunikation zu Rechnern in IPv4-Netzen initiieren können. Wie Abbildung 8.2-4 zeigt, handelt es sich hier um die IPv4-Kommunikation über ein IPv6-Netz, also um eine Art von IPv4 über IPv6. IP v 4 -K o m m u n ik a tio n IP v 4 /IP v 6
IP v 6 -N e tz
D S R
IP v 4 -N e tz (IP v 4 -In te rn e t)
IP v 4
Abb. 8.2-4: IPv4-Kommunikation zwischen Dual-Stack-Rechnern im IPv6-Netz und IPv4-Rechnern am IPv4-Netz DSR: Dual-Stack-Router,
Um IPv4 über IPv6 zu unterstützen, wurde das Konzept DSTM (Dual Stack Transition Mechanism) entwickelt. DSTM wird in Abschnitt 8.7 präsentiert.
8.3 Einsatz von IPv6-in-IPv4-Tunneling
8.2.3 IP-Kommunikation durch Translation IPv4
IPv6
Auch die Kommunikation zwischen IPv4-Rechnern im IPv4-Netz und IPv6IPv6 Rechnern im IPv6-Netz ist möglich. Hierfür ist eine Translation IPv4 in einem Router zwischen diesen beiden Netzen notwendig. Abbildung 8.2-5 illustriert diesen Ansatz. IP -K o m m u n ik a tio n IP v 6 -K o m m u n ik a tio n IP v 4 -K o m m u n ik a tio n IP v 6
IP v 6 -N e tz
T R
Abb. 8.2-5: IP-Kommunikation durch die Translation IPv4
IP v 4 -N e tz
IP v 4
IPv6 im Router
TR: Translation Router
Die Translation IPv4 IPv6 ist ein Bestandteil des Konzepts SIIT (Stateless IP/ICMP Translation Algorithm). Eine Erweiterung von SIIT um die Funktion von NAT [Abschnitt 5.1] stellt NAT-PT (Network Address Translation – Protocol Translation) dar. Die Möglichkeiten der IP-Kommunikation beim Einsatz von SIIT und von NAT-PT werden im Abschnitt 8.8 ausführlicher dargestellt.
8.3
Einsatz von IPv6-in-IPv4-Tunneling
Wie bereits in Abschnitt 8.1.3 gezeigt wurde, wird IPv6-in-IPv4-Tunneling eingesetzt, um die IPv6-Kommunikation zwischen zwei Dual-Stack-Rechnern in einem IPv4-Netz zu ermöglichen. IPv6-in-IPv4-Tunneling kann auch verwendet werden, um die IPv6-Kommunikation über ein IPv4-Netz in folgenden Situationen zu realisieren: bei einer Erweiterung eines IPv4-Netzes um ein IPv6-Netz bzw. bei einer Kopplung der IPv6-Netze über ein IPv4-Netz. Diese Möglichkeiten des Einsatzes von IPv6-in-IPv4-Tunneling werden nun detaillierter dargestellt.
8.3.1 Erweiterung eines IPv4-Netzes um ein IPv6-Netz Bei der Erweiterung eines IPv4-Netzes um ein IPv6-Netz sind folgende zwei Fälle zu unterscheiden: Im IPv4-Netz werden ausschließlich IPv4-Rechner installiert
309
310
8
Migration zum IPv6-Einsatz
In diesem Fall [Abb. 8.2.5] kann die Kommunikation zwischen IPv4Rechnern im IPv4-Netz und IPv6-Rechnern im IPv6-Netz auch erreicht IPv6 vom Router vorgenomwerden. Hierfür muss die Translation IPv4 men werden. Darauf geht Abschnitt 8.8 näher ein. Im IPv4-Netz sind einige Dual-Stack-Rechner vorhanden In diesem Fall [Abb. 8.2.3a] kann die IPv6-Kommunikation zwischen DualStack-Rechnern im IPv4-Netz und IPv6-Rechnern im IPv6-Netz stattfinden. Diese Möglichkeit wird nun näher dargestellt. Einsatz von IPv4/IPv6Routern
Die Übermittlung der IPv6-Pakete vom Dual-Stack-Rechner (IPv4/IPv6-Rechner) im IPv4-Netz zum IPv6-Rechner im IPv6-Netz illustriert Abbildung 8.31a. Hier werden die IPv6-Pakete für die Übermittlung über das IPv4-Netz in IPv4-Pakete eingebettet. Auf diese Weise entsteht ein IPv6-in-IPv4-Tunnel zwischen IPv4/IPv6-Rechner im IPv4-Netz und Router. Es können mehrere Router zwischen IPv4-Netz und IPv6-Netz vorhanden sein, sodass der Quellrechner über eine Adresstabelle mit den Zuordnungen Ziel-IPv6-Adresse Router-IPv4-Adresse verfügen muss. Existiert nur ein Router zwischen den beiden Netzen, reduziert sich diese Tabelle zu einer Zuordnung, in der nur eine Router-IPv4-Adresse allen Ziel-IPv6-Adressen zugeordnet wird.
IP v 4 /IP v 6
IP v 6 -K o m m u n ik a tio n
a )
IP v 4 -N e tz T u n n e l
IP v 4 /IP v 6 R
IP v 6 -N e tz IP v 6
IP v 4 -P a k e t
Z ie l-IP v 6 -A d r. _ R o u te r-IP v 4 -A d r.
IP v 6 -P a k e t R o u te r-IP v 4 -A d r.
IP v 4 /IP v 6
b )
Z ie l-IP v 4 -A d r. IP v 6 -P a k e t IP v 4 -P a k e t T u n n e l IP v 4 -N e tz
Z ie l-IP v 6 -A d r. _ Z ie l-IP v 4 -A d r.
IP v 6 -P a k e t IP v 6
R IP v 4 /IP v 6
IP v 6 -N e tz IP v 6 -K o m m u n ik a tio n
Abb. 8.3-1: IPv6-Kommunikation bei Erweiterung eines IPv4-Netzes mit einem IPv6-Netz; Tunnel führt: a) zu einem Router, b) zu einem Dual-Stack-Rechner im IPv4-Netz
IPv6-inIPv4-Tunnel
Abbildung 8.3-1b zeigt die umgekehrte Situation, in der die Datenquelle ein IPv6-Rechner im IPv6-Netz ist. Hier werden die IPv6-Pakete zuerst an den Router übermittelt. Danach werden sie im Router in IPv4-Pakete eingebettet und über das IPv4-Netz transportiert. Diesmal wird der IPv6-in-IPv4-Tunnel
8.3 Einsatz von IPv6-in-IPv4-Tunneling
311
vom Router initiiert, sodass der Router über die Adressermittlungstabelle mit den Zuordnungen Ziel-IPv6-Adresse Ziel IPv4-Adresse verfügen muss. Stellt die Ziel-IPv6-Adresse eine IPv4-kompatible IPv6-Adresse dar [Abb. 6.9- Automa8a], kann die Ziel-IPv4-Adresse aus der IPv6-Adresse direkt abgeleitet werden. tisches Damit lässt sich das sog. automatische Tunneling realisieren. Die erwähnte Ad- Tunneling ressermittlungstabelle ist hierbei nicht nötig. Im Allgemeinen ist bei IPv6-in-IPv4-Tunneling zu unterscheiden zwischen einem konfigurierbaren Tunneling und einem automatischen Tunneling. Wird ein IPv6-in-IPv4-Tunnel zu einem Router aufgebaut, ist die IPv6-Adresse Konfiguriervom Tunnelende anders als die Ziel-IPv6-Adresse des über den Tunnel über- bares tragenen Pakets. Hier ist die IPv6-Adresse vom Tunnelende aufgrund der In- Tunneling formation zu bestimmen, die nur während der Konfiguration angegeben werden kann. Kommen mehrere Router in Frage, muss der richtige Router bei der Konfiguration festgelegt werden. Wird der Tunnel zu einem Router aufgebaut, spricht man von konfigurierbarem Tunneling. Abbildung 8.3-2 illustriert dies. I P v 6 - A d r . = 0 :0 :0 :0 :0 :0 :a .b .c .d I P v 4 - A d r . = a .b .c .d
Z ie l-IP v 6 -A d r. = x _ R o u te r-IP v 4 -A d r. K o n fig u r ie r b a r e s T u n n e lin g
IP v 6 -K o m m u n ik a tio n IP v 4 /IP v 6 IP v 4 -N e tz R T u n n e l
IP v 6 -N e tz
IP v 6
IP v 6 -A d r. = x
I P v v 64 - P a a k k e e t t R o u te r-IP v 4 -A d r.
Abb. 8.3-2: Konfigurierbares IPv6-in-IPv4-Tunneling
IP v 4 /IP v 6
Führt ein IPv6-in-IPv4-Tunnel zu einem Rechner und ist die Ziel-IPv6-Adresse Automatides über den Tunnel übertragenen IPv6-Pakets IPv4-kompatibel, lässt sich das sches Ende des Tunnels aus der IPv4-kompatiblen IPv6-Adresse ableiten [Abb. 6.9- Tunneling 8a]. Man spricht in diesem Fall von automatischem Tunneling. Abbildung 8.3-3 veranschaulicht diese Art des Tunneling.
IP v 4 -N e tz T u n n e l
IP v 4 -P a k e t IP v 6 -P a k e t A u to m a tis c h e s T u n n e lin g
IP v 4 /IP v 6 R
IP v 6 -K o m m u n ik a tio n
Z ie l-IP v 6 -A d r. = 0 :0 :0 :0 :0 :0 :a .b .c .d _ Z ie l- I P v 4 - A d r . = a .b .c .d
Abb. 8.3-3: Automatisches IPv6-in-IPv4-Tunneling
n u r IP v 6
IP v 6 -N e tz
IP v 6 -P a k e t
312
8
Migration zum IPv6-Einsatz
8.3.2 Kopplung der IPv6-Netze über ein IPv4-Netz Ein IPv4-Netz kann als Transitnetz für die Kopplung der IPv6-Netze eingesetzt werden. Abbildung 8.3-4 zeigt das Prinzip der IPv6-Kommunikation über ein Transit-IPv4-Netz. Hier werden die IPv6-Pakete in IPv4-Pakete eingebettet und als Nutzlast zwischen den beteiligten Routern transportiert. Hierdurch entsteht ein IPv6-in-IPv4-Tunnel zwischen diesen Routern. IPv4Transitnetz
Beginn und Ende dieses Tunnels bestimmen die IPv4-Adressen des Quell- und des Ziel-Routers. Da Datenquelle und -senke bei der IPv6-Kommunikation durch die IPv6-Adressen festgelegt werden, muss im Quell-Router eine AdTunnelende ressermittlungstabelle mit der Zuordnung Ziel-IPv6-Adresse (IPv4-Adresse des Ziel-Routers) enthalten sein.
IP v 6 -N e tz
Q -R
IP v 6 -K o m m u n ik a tio n IP v 4 -N e tz T u n n e l
IP v 6 -P a k e t
Z ie l-IP v 6 -A d r. _ T u n n e le n d e Z ie l-IP v 6 -A d r. A d r e s s e r m ittlu n g s ta b e lle
Z -R
IP v 4 -P a k e t IP v 6 -P a k e t
IP v 6 -N e tz IP v 6 -P a k e t
IP v 4 -A d r. v o n Z -R
Abb. 8.3-4: IPv6-Kommunikation über ein Transit-IPv4-Netz Q-R: Quell-Router, Z-R: Ziel-Router
8.3.3 Zugang zum IPv6-Internet über Tunnel Broker Virtuelle IPv6-ISPs
Tunnel Server als Ziel des Tunnels
Das weltweite IPv6-Netz namens 6BONE [http://www.6bone.net] kann als IPv6-Internet angesehen werden. Von großer Bedeutung ist die Möglichkeit, den Zugang zu 6BONE allen Benutzern des herkömmlichen IPv4-Internet zu ermöglichen. Die Lösung hierfür besteht darin, dass mehrere sog. Tunnel Brokers [RFC 3053] im IPv4-Internet eingerichtet werden. Ein Tunnel Broker (TB) kann als virtueller IPv6-ISP angesehen werden und muss über eine IPv4Adresse erreichbar sein. Abbildung 8.3-5 illustriert das Konzept von TB. Ein Dual-Stack-Rechner eines Benutzers, der auf das IPv6-Internet zugreifen möchte, muss sich zuerst bei einem TB registrieren lassen. Dieser Rechner wird danach als Client dieses TB fungieren. Bei der Registrierung kann z.B. das Protokoll RADIUS [Abschnitt 12.5] eingesetzt werden, sodass der Benutzer entsprechend authentifiziert werden kann. TB bestimmt einen Tunnel Server (TS), über den der Zugang seines Clients zum IPv6-Internet erfolgen wird. TS ist eine entsprechende Software auf einem Dual-Stack-Router zwischen IPv4-
8.3 Einsatz von IPv6-in-IPv4-Tunneling
313
und IPv6-Internet. Mithilfe von TB wird ein IPv6-in-IPv4-Tunnel zwischen Client und TS eingerichtet, verwaltet und abgebaut.
C lie n t
T B
IP v 4 -N e tz R
IP v 4 -In te rn e t IP v 6 -in -IP v 4
IP v 4 /IP v 6
IP v 4 -P a k e t IP v 4 IP v 6 -P a k e t
T S R
D N S
...
V irtu e lle r IP v 6 -IS P
6 B O N E a ls IP v 6 -In te rn e t
T S R
n u r IP v 6
IP v 6 -P a k e t
Abb. 8.3-5: Einsatz von Tunnel Broker (TB) beim Zugang zum IPv6-Internet R: Router, TS: Tunnel Server
Für jeden Client führt der TB folgende Aufgaben durch:
Aufgaben Der TB bestimmt einen TS. Kommen mehrere TS in Frage, wählt der TB vom Tunnel Broker
einen TS aufgrund bestimmter Kriterien (z.B. Entfernung in Hops) aus.
Der TB wählt das IPv6-Adresspräfix, das er dem Client zuweisen will. Somit kann sich der Client selbst eine IPv6-Adresse generieren [Abb. 6.9-4]. Das Präfix vom TB kann beliebig lang sein. Häufig wird aber ein Präfix mit der Länge von 48 Bits (Site-Präfix) oder 64 Bits (Subnetzpräfix) zugewiesen. Der TB kann dem Client auch eine vollständige IPv6-Adresse zuweisen. Der TB registriert die IPv6-Adresse des Client beim DNS. Der TB konfiguriert den TS, sodass der TS als Endpunkt eines Tunnels zum Client fungiert. Der TB definiert für diesen Tunnel eine bestimmte Lebenszeit (Lifetime). Nach Ablauf dieser Zeit wird der Tunnel abgebaut. Der TB übermittelt dem Client einige Konfigurationsangaben vom TS und seinen DNS-Namen. Hat der Client dies erhalten, wird ein Tunnel zwischen ihm und dem TS eingerichtet. Nach Ablauf seiner Lebenszeit wird er abgebaut. Das Konzept vom TB eignet sich sehr gut für kleine IPv4-Netzwerke. Mithilfe eines TB können einige Rechner in solchen IPv4-Netzwerken auf das IPv6Internet zugreifen. Der TB eignet sich auch, um privaten Haushalten mit DualStack-Rechnern den Zugriff auf das IPv6-Internet zu ermöglichen. Der TB funktioniert aber nur mit offiziellen IPv4-Adressen. Werden private IPv4Adressen verwendet, ist eine andere Lösung nötig (z.B. Teredo [Abschnitt 8.6]). Unter http://www.deepspace6.net/docs/tunnelbrokers.html findet man eine Auflistung von TBs.
314
8
Migration zum IPv6-Einsatz
8.4 Besonderheiten von 6to4
Konzept und Einsatz von 6to4
Bei 6to4 handelt es sich um ein Konzept [RFC 3056], nach dem die Netzwerke mit IPv6-Inseln, die man als 6to4-Sites bezeichnet, über ein IPv4-Netz verbunden werden können. Über das IPv4-Netz werden die IPv6-Pakete in IPv4Paketen transportiert. Logisch gesehen ist das nichts anderes, als ob ein IPv6in-IPv4-Tunnel [Abb. 8.3-1] zwischen zwei sog. 6to4-Routern aufgebaut wäre. Dieser Tunnel kann nach Bedarf automatisch eingerichtet werden.
8.4.1 Bedeutung von 6to4 Die Bedeutung von 6to4 bringt Abbildung 8.4-1 zum Ausdruck. Bei 6to4 verwendet man spezielle IPv6-Adressen, die man 6to4-Adressen nennt [Abb. 8.42]. Jede 6to4-Adresse beginnt mit dem Präfix 2002::/16. Einen Rechner, der eine 6to4-Adresse besitzt, nennt man 6to4-Host (bzw. 6to4-Rechner). Ein 6to4Host stellt einen Dual-Stack-Rechner dar (wie z.B. Windows Server 2003).
6 to 4 -S ite X 2 0 0 2 :C 0 0 1 :0 2 0 3 ::/4 8 6 to 4 -H o s t A IP v 4 -N e tz X
6 to 4 R o u te r
IP v 4 -N e tz
1 9 2 .1 .2 .3 n u r IP v 4
6 to 4 R o u te r
9 .2 5 4 .2 5 3 .2 5 2
6 to 4 -S ite Y 2 0 0 2 :0 9 F E :F D F C ::/4 8 6 to 4 -H o s t B
n u r IP v 4
IP v 4 -N e tz Y
Abb. 8.4-1: Kopplung der IPv6-Netze über ein IPv4-Netz nach 6to4
Die 6to4-Hosts, die über einen 6to4-Router an ein IPv4-Netz angeschlossen sind, bilden ein 6to4-Netzwerk, das als 6to4-Site bezeichnet wird. Eine 6to4Site kann sich aus mehreren IPv6-Subnetzen zusammensetzen. Jeder 6to4Router besitzt eine offizielle IPv4-Adresse seitens des IPv4-Transitnetzes. Die 6to4-Adressen von Rechnern, die über einen 6to4-Router an das IPv4Transitnetz angeschlossen sind, haben das gleiche Präfix mit der Länge von 48 Bits. Dieses Präfix enthält die IPv4-Adresse des 6to4-Routers in der hexadezimalen Form [Abb. 8.4-2]. Alle Rechner, die z.B. über den 6to4-Router mit der IPv4-Adresse 192.1.2.3 an das IPv4-Netz angeschlossen sind, enthalten in ihren IPv6-Adressen das Präfix 2002:C001:0103::/48. Dieses Präfix kann als „Vorwahl“ zu der 6to4-Site angesehen werden.
8.4 Konzept und Einsatz von 6to4
8.4.2 Struktur von 6to4-Adressen Der Kern des Konzepts von 6to4 ist die Struktur von 6to4-Adressen, die in Abbildung 8.4-2 zu sehen ist. P rä fix 2 0 0 2 :W W X X :Y Y Z Z ::/4 8 3 2 B its 1 6 B its
2 0 0 2 2 0 0 2 ::/1 6
W W X X :Y Y Z Z T u n n e le n d p u n k t
1 6 B its
S N -ID
6 4 B its In te rfa c e -ID E U I-6 4 -F o rm a t
W W X X :Y Y Z Z = h e x a d e z im a le D a r s te llu n g d e r I P v 4 - A d r e s s e w .x .y .z e in e s 6 to 4 -R o u te rs
Abb. 8.4-2: Struktur der 6to4-Adresse SN-ID: Subnetz-ID, ID: Identification
Jede 6to4-Adresse enthält folgende drei Teile: Ein 48 Bits langes Präfix 2002:WWXX.YYZZ::/48, das sich aus dem 16 Bits langen Präfix 2002::/16 und aus der IPv4-Adresse w.x.y.z des 6to4-Routers in hexadezimaler Form zusammensetzt. Dieses Präfix bestimmt die Route zur 6to4-Site, die über den 6to4-Router mit der IPv4Adresse w.x.y.z an ein IPv4-Netz angebunden ist [Abb. 8.4-1]. Eine Subnetz-ID als Identifikation eines Subnetzes innerhalb der 6to4-Site. Die Interface-ID des Rechners: Hier wird seine MAC-Adresse eingetragen. Als Interface-ID in 6to4-Adressen können sowohl klassische MACAdressen mit der Länge von 48 Bits (nach IEEE 802) als auch „neue“ MAC-Adressen mit 64 Bits eingebettet werden [Abb. 6.9-6]. Beispiel: Die IPv4-Adresse des 6to4-Routers ist 157.60.91.123. Die IPv6-Adresse des Rechners mit der MAC-Adresse 08-00-20-AE-FD-7E im Subnetz z.B. mit ID = 4 hat folgende Struktur 2002:9D3C:5B7B:0004:0800:20AE:FD7E
8.4.3 IPv6-Kommunikation über IPv4-Netz Bei der Vernetzung von 6to4-Sites über ein IPv4-Netz müssen die IPv6-Pakete über das IPv4-Netz in IPv4-Paketen eingekapselt übertragen werden. Dadurch entsteht – logisch gesehen – ein IPv6-in-IPv4-Tunnel zwischen den beiden 6to4-Routern. Abbildung 8.4-3 illustriert dies. Liegt beim Rechner A in 6to4-Site X ein IPv6-Paket vor, das an Rechner B in 6to4-Site Y gesendet werden muss, wird dieses IPv6-Paket zuerst innerhalb 6to4-Site X nach den IPv6-Routing-Prinzipien zum 6to4-Router RX übermittelt. Bei RX wird dem zu sendenden IPv6-Paket ein IPv4-Header vorangestellt. Die
315
316
8
Migration zum IPv6-Einsatz
Angabe Protocol = 41 im IPv4-Header verweist darauf, dass der IPv6Header direkt nach dem IPv4-Header folgt. Z ie l- I P v 4 - A d r = 9 .2 5 Q u e ll-IP v 4 -A d P ro to c o Z ie l-IP v 6 -A d r = Q u e ll-IP v 6 -A d r = 6 to 4 -S ite X 2 0 0 2 :C 0 0 1 :0 2 0 3 ::/4 8 S N = X m
A
D a te n
2 2 4 .2 5 3 .2 5 2 r = 1 9 2 .1 .2 .3 l = 4 1 (IP v 6 ) B 6 A 6 IP v 6 -H
6 to 4 R x
IP v 4 -H
6 to 4 -S ite Y 2 0 0 2 :0 9 F E :F D F C ::/4 8
6 to 4 R y B
S N = Y n
1 9 2 .1 .2 .3 I P v 4 - N e tz 9 .2 5 4 .2 5 3 .2 5 2 IP v 6 -A d r = B 6 IP v 6 -A d r = A 6 In te rfa c e -ID = In t-B In te rfa c e -ID = In t-A a ls B a c k b o n e A 6 = 2 0 0 2 :C 0 0 1 :0 2 0 3 ::X m :In t-A B 6 = 2 0 0 2 :C 0 0 1 :0 2 0 3 ::Y n :In t-B Abb. 8.4-3: Prinzip der Kommunikation nach 6to4 IPv4- bzw. IPv6-H: IPv4- bzw. IPv6-Header, 6to4-R: 6to4-Router
Automatisches IPv6in-IPv4Tunneling
Die IPv4-Adressen, die im IPv4-Header gesetzt werden müssen, sind im Präfix von ihnen entsprechenden IPv6-Adressen enthalten. Daher werden sie von IPv6-Adressen abgeleitet, sodass der Tunnel über das IPv4-Netz quasi automatisch entsteht. Man spricht hier auch vom automatischen Tunneling. Hat der 6to4-Zielrouter RY das IPv4-Paket mit einem eingekapselten IPv6Paket empfangen, verwirft er den IPv4-Header und leitet das IPv6-Paket danach zum IPv6-Zielrechner B in der 6to4-Site Y nach den IPv6-RoutingPrinzipien weiter.
Möglichkeiten der IPv6Kommunikation bei 6to4
Bei 6to4 kann auch ein sog. 6to4-Relay-Router zum Einsatz kommen, der zwischen IPv4- und IPv6-Netz installiert wird. Im IPv6-Netz sind nur Rechner mit IPv6 enthalten. Wie aus Abbildung 8.4-4 ersichtlich ist, ergeben sich hier folgende Möglichkeiten der Kommunikation: 1. IPv6-Kommunikation zwischen 6to4-Rechnern in einer 6to4-Site. 2. IPv6-Kommunikation zwischen 6to4-Rechnern in verschiedenen 6to4Sites. Diese Kommunikation verläuft nach den in Abbildung 8.4-3 gezeigten Prinzipien. 3. IPv6-Kommunikation zwischen 6to4-Rechnern in einer 6to4-Site und IPv6-Rechnern in einem IPv6-Netz. Diese Kommunikation verläuft ebenfalls nach den in Abbildung 8.4-3 dargestellten Prinzipien
8.4 Konzept und Einsatz von 6to4
IP v 6 3
IP v 6 -N e tz
IP v 6
6 to 4 R e la y R o u te r
9 .2 5 4 .2 5 3 .2 5 2
1 9 2 .1 .2 .3 6 to 4 -S ite X IP v 6 1 IP v 4 /IP v 6 6 to 4 -H o s t B
6 to 4 R o u te r
IP v 6
6 to 4 -S ite Y
IP v 6 2
IP v 4 /IP v 6 6 to 4 -H o s t A
6 to 4 R o u te r
IP v 4 -N e tz
IP v 4 /IP v 6 6 to 4 -H o s t C
Abb. 8.4-4: Illustration von Möglichkeiten der IPv6-Kommunikation nach 6to4
8.4.4 Problem bei 6to4 mit NAT In einem IPv4-Netz können auch private IPv4-Adresse verwendet werden. Daher hat der 6to4-Quellrouter seitens des IPv4-Netzes ebenfalls eine private IPv4-Adresse. Im 6to4-Router muss somit die Funktion NAT [Abschnitt 5.1] installiert werden, damit die private IPv4-Adresse des 6to4-Routers auf eine offizielle IPv4-Adresse umgesetzt wird. Abbildung 8.4-5 zeigt eine derartige Situation. Hier wurde die private IPv4-Adresse 10.0.0.1 auf die offizielle IPv4Adresse 192.1.2.3 umgesetzt. Hat ein 6to4-Router eine private IPv4Adresse, entsteht das in Abbildung 8.4-5 dargestellte Problem. Q - I P v 4 : 1 9 2 .1 .2 .3 Z - I P v 4 : 9 .2 5 4 .2 5 3 .2 5 2
Q -IP v 6 : 2 0 0 2 :A 0 0 :1 :1 ::3 Z -IP v 6 : 2 0 0 2 :0 9 F E :F D F C :2 ::5
Q -IP v 6 : 2 0 0 2 :A 0 0 :1 :1 ::3 Z -IP v 6 : 2 0 0 2 :0 9 F E :F D F C :2 ::5
D a te n
D a te n
2 0 0 2 :A 0 0 :1 :1 ::3 A
6 to 4 R o u te r
6 to 4 -S ite X
S ite -X -P rä fix : 2 0 0 2 :A 0 0 :1 ::/4 8
1 0 .0 .0 .1
p r iv a te IP v 4 -A d r e s s e
2 0 0 2 :0 9 F E :F D F C :2 ::5
9 .2 5 4 .2 5 3 .2 5 2
N A T
IP v 4 -N e tz 1 9 2 .1 .2 .3
6 to 4 R o u te r
v e rw o rfe n !
Q - I P v 4 : 9 .2 5 4 .2 5 3 .2 5 2 Z - I P v 4 : 1 0 .0 .0 .1 Q -IP v 6 : 2 0 0 2 :0 9 F E :F D F C :2 ::5 Z -IP v 6 : 2 0 0 2 :A 0 0 :1 :1 ::3
B
6 to 4 -S ite Y S ite -Y -P rä fix : 2 0 0 2 :0 9 F E :F D F C ::/4 8
Q -IP v 6 : 2 0 0 2 :0 9 F E :F D F C :2 ::5 Z -IP v 6 : 2 0 0 2 :A 0 0 :1 :1 ::3
D a te n
Abb. 8.4-5: Problem mit dem Einsatz von privaten IPv4-Adressen bei 6to4
D a te n
317
318
8
Migration zum IPv6-Einsatz
Wie Abbildung 8.4-5 zeigt, ist die private IPv4-Adresse 10.0.0.1 des 6to4Routers im Präfix 2002:A00:1::/48 der Site X und dadurch auch in IPv6Adressen von IPv6-Rechnern der Site X enthalten. Die an Rechner B aus Site Y gesendeten IPv6-Pakete erreichen ihn trotzdem. Sollte der IPv6-Rechner B dem IPv6-Rechner A in Site X aber antworten, wird die IPv4-Adresse des 6to4-Routers der Site X aus der Quell-IPv6-Adresse im empfangenen IPv6Paket abgeleitet. Dem an Rechner A in Site X gesendeten IPv6-Paket wird ein IPv4-Header mit der privaten IPv4-Adresse des 6to4-Routers der Site X im 6to4-Router der Site Y vorangestellt. Da dieses IPv4-Paket mit dem IPv6-Paket als IPv4-Zieladresse eine private Adresse enthält, kann es über das IPv4-Netz nicht übermittelt werden. Daraus resultiert, dass keine private IPv4-Adresse einem 6to4-Router zugeordnet werden darf.
8.5
IPv6 over IPv4 mit ISATAP
Für die Unterstützung der IPv6-Kommunikation über ein IPv4-Netz kann ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) eingesetzt werden [RFC 4214]. Nach ISATAP werden die IPv6-Pakete für die Übermittlung über ein IPv4-Netz in IPv4-Pakete eingebettet. Mithilfe von ISATAP kann ein IPv4Netz mit einem IPv6-Netz auch so vernetzt werden, dass die IPv6Kommunikation zwischen einem Dual-Stack-Rechner im IPv4-Netz und einem IPv6-Rechner im IPv6-Netz stattfinden kann.
8.5.1 Kommunikation mit ISATAP ISATAPRechner = Dual-StackRechner
ISATAP ist ein Konzept für die Realisierung der IPv6-Kommunikation über IPv4-Netze. Ein Rechner im IPv4-Netz mit ISATAP stellt einen Dual-StackRechner dar und wird als ISATAP-Rechner (-Client) bezeichnet. Dementsprechend wird ein Dual-Stack-Router mit ISATAP als ISATAP-Router bezeichnet. Eine wichtige Besonderheit von ISATAP ist, dass ein Rechner eine sog. ISATAP-Adresse für sich automatisch aus seiner IPv4-Adresse generieren kann. Daher brauchen keine IPv6-Adressen den Rechnern mit IPv4 zugeteilt werden. Bemerkung: Ein Rechner beispielsweise unter Windows XP bzw. unter Linux (Kernel 2.2 oder 2.4) kann als ISATAP-Client fungieren. Ein Windows-2003-Server kann z.B. als ISATAP-Client und als ISATAP-Router konfiguriert werden.
Möglichkeiten der Kommunikation
Wie Abbildung 8.5-1 zeigt, sind die folgenden Möglichkeiten der IPv6Kommunikation mithilfe von ISATAP zu unterscheiden: a. IPv6-Kommunikation zwischen ISATAP-Rechnern im IPv4-Netz,
8.5 IPv6 over IPv4 mit ISATAP
319
b. IPv6-Kommunikation zwischen ISATAP-Rechnern im IPv4-Netz und Rechnern im IPv6-Netz, c. IPv6-Kommunikation zwischen ISATAP-Rechnern in einem IPv4-Netz und 6to4-Rechnern in einem anderen IPv4-Netz. IS A T A P R e c h n e r
IS A T A P R e c h n e r
a ) IP v 4 -N e tz
IS A T A P R e c h n e r
IP v 6 -in -IP v 4
c )
IS A T A P - IP v 6 -N e tz R o u te r
IP v 4 -N e tz
IP v 6
IP v 6 -in -IP v 4
IP v 6 -K o m m u n ik a tio n IS A T A P R e c h n e r
b )
IP v 4 -N e tz IS A T A P
IP v 6 -K o m m u n ik a tio n IS A T A P u n d 6 to 4 R o u te r
IP v 4 -N e tz 6 to 4
6 to 4 R e c h n e r
IP v 6 -in -IP v 4 IP v 6 -in -IP v 4 IS A T A P -T u n n e l 6 to 4 -T u n n e l IP v 6 -K o m m u n ik a tio n
Abb. 8.5-1: IPv6-Kommunikation mit ISATAP über: a) IPv4-Netz, b) Verbund: IPv4-Netz und IPv6-Netz, c) Verbund: IPv4-Netz und IPv4-Netz
Bei der IPv6-Kommunikation zwischen ISATAP-Rechnern im IPv4-Netz (Fall a) werden IPv6-Pakete als Nutzlast in IPv4-Paketen übermittelt [Abb. 8.5-3], sodass man hier vom IPv6-in-IPv4-Tunnel spricht. Ein derartiger Tunnel kann vom ISATAP-Rechner im IPv4-Netz zum ISATAP-Router an der Grenze zum IPv6-Netz führen (Fall b). Der ISATAP-Router nimmt die IPv6-Pakete aus den IPv4-Paketen heraus und übermittelt sie an den Zielrechner im IPv6-Netz. Setzt man ISATAP in einem IPv4-Netz ein und verwendet in einem anderen IPv4-Netz das Konzept 6to4 (Fall c), so ist die IPv6-Kommunikation zwischen ISATAP-Rechnern in einem IPv4-Netz und 6to4-Rechnern in einem anderen IPv4-Netz möglich. In diesem Fall kommen spezielle ISATAP-Adressen mit dem 6to4-Präfix zum Einsatz [Abb. 8.5-2b].
8.5.2 Struktur und Bedeutung von ISATAP-Adressen Der Kern des ISATAP-Konzepts ist die Struktur der ISATAP-Adresse, die in Abbildung 8.5-2 zu sehen ist. Bei ISATAP wird eine spezielle IPv6-Adresse von lokaler Bedeutung, die sog. Link-Local-ISATAP-Adresse (kurz LLISATAP-Adresse), verwendet. Wie Abbildung 8.5-2a zeigt, setzt sich die LLISATAP-Adresse eines Rechners aus dem Präfix FE80::/64, einem festen 32 Bits langen Teil 0000:5EFE und seiner IPv4-Adresse zusammen. Die ersten 64 Bits der LL-ISATAP-Adresse stimmen mit den ersten 64 Bits der Link-
ISATAPAdressen von lokaler Bedeutung
320
8
Migration zum IPv6-Einsatz
Local-IPv6-Adresse [Abb. 6.9-7a] überein. Verfügt ein Rechner über eine IPv4Adresse, so kann er sich eine LL-ISATAP-Adresse automatisch generieren. Dies ist ein wichtiger Vorteil dieser Adressen. Sie haben aber nur die lokale Bedeutung. F E 8 0 ::5 E F E :w .x .y .z P rä fix : F E 8 0 ::/6 4 a )
1 1 1 1 1 1 1 0 1 0 0 0 0 .........0 0
3 2 B its
0 0 0 0 :5 E F E
3 2 B its
w .x .y .z
F E 8 0 ::/1 0 6 4 B its
P rä fix
b ) 1 6 B its
2 0 0 2
6 to 4 -P rä fix
3 2 B its
3 2 B its
0 0 0 0 :5 E F E
w .x .y .z
3 2 B its
1 6 B its
W W X X :Y Y Z Z
S N -ID
2 0 0 2 :W W X X :Y Y Z Z ::/4 8
Abb. 8.5-2: Aufbau von Link-Local-ISATAP-Adressen: a) Link-Local-ISATAP-Adresse mit Präfix FE80::/64, b) globale ISATAP-Adresse mit 6to4-Präfix Beispiel: Hat ein Rechner die IPv4-Adresse 10.17.1.23, kann er sich die folgende ISATAP-Adresse generieren: FE80::0000:5EFE:10.17.1.23 bzw. kürzer geschrieben als FE80::5EFE:10.17.1.23
ISATAP-Adressen erlauben eine Mischung aus hexadezimaler und dezimaler Schreibweise.
ISATAPAdressen von nicht lokaler Bedeutung
Eine ISATAP-Adresse kann statt des Präfixes FE80::/64 auch ein anderes Präfix enthalten, sodass sie von einer anderen (d.h. nicht lokalen) Bedeutung sein kann. Wichtig ist der Fall, wenn eine ISATAP-Adresse statt FE80::/64 das 6to4-Präfix enthält [Abschnitt 8.4.2]. Diesen Fall illustriert Abbildung 8.52b. Solche ISATAP-Adressen haben globale Bedeutung und werden bei der Unterstützung der IPv6-Kommunikation eingesetzt, falls sie über zwei IPv4Netze verläuft, wo ISATAP in einem Netz und 6to4 im anderen verwendet wird [Abb. 8.5-6].
IPv6-in-IPv4 bei ISATAP
Zwischen ISATAP-Rechnern in einem IPv4-Netz werden die IPv6-Pakete eingekapselt in IPv4-Paketen übermittelt (siehe Abbildung 8.5-3). Also kommt hier IPv6-in-IPv4-Tunneling zum Einsatz. Hierbei werden die IPv6-Adressen von ISATAP-Rechnern aus seinen IPv4-Adressen abgeleitet [Abb. 8.5-2]. Dass ein ISATAP-Rechner aus seiner IPv4-Adresse eine LL-ISATAP-Adresse für sich automatisch generieren kann, ist ein wichtiger Vorteil. Mit der LLISATAP-Adresse kann der ISATAP-Rechner aber die IPv6-Kommunikation zu einem anderen ISATAP-Rechner nur innerhalb desselben IPv4-Subnetzes abwickeln.
8.5 IPv6 over IPv4 mit ISATAP
IS A T A P R e c h n e r
IS A T A P R e c h n e r
IP v 4 -N e tz a ls L in k
I P v 4 - A d r = 1 0 .1 7 .1 .2 8 I P v 6 - A d r = F E 8 0 ::5 E F E :1 0 .1 7 .1 .2 8
IP v 6 -in -IP v 4
321
I P v 4 - A d r = 1 0 .1 7 .8 .4 I P v 6 - A d r = F E 8 0 ::5 E F E : 1 0 .1 7 .8 .4
IP v 6 -P a k e t IP v 6 -H
D a te n
IP v 4 -H
Z ie l- I P v 6 - A d r = F E 8 0 ::5 E F E : 1 0 .1 7 .8 .4 Q u e ll- I P v 6 - A d r = F E 8 0 ::5 E F E :1 0 .1 7 .1 .2 8
Z ie l- I P v 4 - A d r = 1 0 .1 7 .8 .4 Q u e ll- I P v 4 - A d r = 1 0 .1 7 .1 .2 8 P ro to k o ll-N r = 4 1 (IP v 6 )
Abb. 8.5-3: IPv6-Kommunikation zwischen ISATAP-Rechnern über ein IPv4-Subnetz
8.5.3 Funktionsweise von ISATAP Für die IPv6-Kommunikation über die Grenze eines IPv4-Subnetzes hinaus, Abfrage des d.h. über Router, braucht ein ISATAP-Rechner eine globale IPv6-Adresse. Um Präfixes diese zu generieren, muss er von einem Router ein globales Präfix erhalten. Hierfür benötigt der ISATAP-Rechner aber die IPv4-Adresse eines ISATAPRouters. Abbildung 8.5-4 zeigt, wie er diese IPv4-Adresse bekommt. I P v 4 - A d r = A 4 = w .x .y .z I P v 6 - A d r = A 6 = F E 8 0 ::0 :5 E F E :w .x .y .z IP -A d re sse n d e s IS A T A P -R e c h n e rs
IS A T A P R o u te r
IP v 4 -N e tz IS A T A P R e c h n e r
1 2 3
W K S
IS A T A P
IP v 4 IP v 4 { D A = R 4 IP v 6 [ D A R o IP v 4 { D A = IP v 6 [
-A d r = R 4 , S A = A 4 , P -N = F F 0 2 ::2 , S A u te r S o lic ita tio A 4 , S A = R 4 , D A = A 6 , S A R o u te r A d v e r
IP v 6 -N e tz
D N S S e rv e r r = 4 1 , ... = A 6 , ..., n ]} P - N r = 4 1 , ... = R 6 , ..., tis e m e n t (P F )]}
Abb. 8.5-4: ISATAP-Verlauf bei der Abfrage des Präfixes durch einen ISATAP-Rechner DA: Destination Address, SA: Source Address, PF: Präfix für globale IPv6-Adresse, P-Nr: Protokoll-Nr., Rv4: IPv4-Adresse des Routers, WKS: Well Known Service
Der ISATAP-Router wird als Host isatap im DNS-Server innerhalb des IPv4-Netzes eingetragen. Daher muss der ISATAP-Rechner zuerst den Hostnamen isatap auf seine IPv4-Adresse mithilfe des DNS-Servers auflösen, um ein globales Präfix vom Router abzufragen.
322
8
Migration zum IPv6-Einsatz
Bei der Abfrage des Präfixes unterscheidet man bei ISATAP folgende Schritte: 1.
Die IPv4-Adresse vom Host isatap, d.h. vom ISATAP-Router, wird beim DNS-Server abgefragt. Hierbei wird ein sog. WKS-RR (Resource Record) abgerufen [Abschnitt 4.1.4]. Handelt es sich beim IPv4-Netz z.B. um die Domain abc.de, so wird beim DNS-Server die IPv4-Adresse vom Host isatap.abc.de abgefragt.
2.
Der ISATAP-Rechner sendet an den ISATAP-Router, der IPv4 und IPv6 unterstützt, ein IPv6-Paket mit der Nachricht Router Solicitation von ICMPv6 [Abschnitt 6.11]. Da der ISATAP-Rechner die IPv6-Adresse vom ISATAP-Router nicht kennt, wird als ZielIPv6-Adresse im IPv6-Header die Multicast-Adresse FF02::2 (alle Router im link-lokalen Bereich) gesetzt. Als Ziel-IPv4-Adresse im IPv4-Header wird die IPv4-Adresse vom ISATAP-Router eingetragen. Diese IPv4-Adresse wurde in Schritt 1 bereits beim DNS-Server abgefragt. Die Protokoll-Nr. 41 im IPv4-Header verweist darauf, dass danach direkt der IPv6-Header folgt.
3.
Der ISATAP-Router antwortet dem ISATAP-Rechner mit der ICMPv6-Nachricht Router Advertisement. Diese enthält das globale Präfix.
Hat der ISATAP-Rechner ein globales Präfix, z.B. das 6to4-Präfix [Abb. 8.52b], vom ISATAP-Router erhalten, kann er eine globale IPv6-Adresse generieren und die IPv6-Kommunikation nach außen initiieren. Abfrage des Präfixes bei einem 6to4-Router ISATAP und ein 6to4Router
Ein wichtiger Vorteil von ISATAP ist auch, dass ein Router mit der Unterstützung von 6to4, d.h. ein sog. 6to4-Router, bei ISATAP eingesetzt werden kann. In diesem Router kann ein ISATAP-Tunnel auf einen 6to4-Tunnel und umgekehrt abgebildet werden [Abb. 8.5-1c]. Der ISATAP-Rechner kann beim 6to4Router das 6to4-Präfix abfragen, um damit selbst eine ISATAP-Adresse zu generieren. Abbildung 8.5-5 illustriert eine derartige Abfrage. Der Verlauf dieser Abfrage entspricht dem in Abbildung 8.5-4. IP v 4 -A d r = A IP v 6 -A d r = A IP -A d re sse n d e s IS A T A P R e c h n e rs
6
4
1 9 2 .1 6 8 .8 .1
= w .x .y .z = F E 8 0 ::0 :5 E F E :w .x .y .z
IP v 4 -N e tz a ls 6 to 4 -S ite
IS A T A P R e c h n e r I P v 4 { D A = 1 9 2 .1 6 8 IP v 6 [ D A = F R o u te r IP v 4 { D A = A 4, S A IP v 6 [ D A = A R o u te r
1 5 7 .4 3 .0 .1 R
IP v 4 -N e tz
IS A T A P - u n d 6 to 4 -R o u te r .8 .1 , S A = A 4, P - N r = 4 1 , ... F 0 2 ::2 , S A = a 6, ..., S o lic ita tio n ]} = 1 9 2 .1 6 8 .8 .1 , P - N r = 4 1 , ... = R 6, ..., 6 , S A A d v e rtis e m e n t (P F )]}
R 6 = F E 8 0 ::0 :5 E F E :1 9 2 .1 6 8 .8 .1 P F = 2 0 0 2 :9 D 4 B :1 :3 ::/6 4 G lo b a le I P v 6 - A d r e s s e d e s I S A T A P - R e c h n e r s : 2 0 0 2 :9 D 4 B :1 :3 :0 :5 E F E :w .x .y .z
Abb. 8.5-5: Abfrage des Präfixes durch einen ISATAP-Rechner bei einem 6to4-Router Abkürzungen wie in Abbildung 8.5-4
8.5 IPv6 over IPv4 mit ISATAP
Hat der ISATAP-Rechner das globale Präfix 2002:9D4B:1:3::/64 erhalten, so setzt es sich aus dem 16 Bits langen Präfix 2002::/16, aus der IPv4Adresse 157.43.0.1 (hexadezimal 9D4B:01 = 9D4B:1) des 6to4-Routers und der Subnetz-ID 3 zusammen [vgl. Abb. 8.4-2]. Da das Präfix 2002:9D4B:1:3::/64 das 6to4-Präfix 2002:9D4B::/48 enthält, kann der ISATAP-Rechner für sich eine globale IPv6-Adresse mit 6to4-Präfix generieren und damit die IPv6-Kommunikation über die Grenze der 6to4-Site hinaus initiieren. Kommunikation zwischen ISATAP-Rechnern über 6to4-Sites ISATAP kann als ergänzende Lösung zu 6to4 dienen. Dies illustriert Abbildung 8.5-6 am Beispiel der Übermittlung eines IPv6-Pakets zwischen ISATAPRechnern in einem Verbund von 6to4-Sites über das IPv4-Internet [Abb. 8.4-1]. A
IS A T A P -R e c h n e r A
4
A 6
IP v 4
6 to 4 -S ite X R A
e x t
R B R B
= 1 5 7 .4 3 .0 .1
R o u te r A
IP v 4 -In te rn e t = 1 3 4 .9 5 .0 .1 R o u te r A = 1 9 2 .1 6 8 .1 2 .1
IP v 4
e x t
in t
= R A in t = A 4 A = R B ext A = R A ext IP v 6
D A = B 4 S A = R B
6 to 4 -S ite Y IS A T A P -R e c h n e r B
IP v 6 D A S A D S
= 1 9 2 .1 6 8 .8 .1
in t
R A
= 1 9 2 .1 6 8 .8 .5 a 6= F E 8 0 ::0 :5 E F E :1 9 2 .1 6 8 .8 .5 = 2 0 0 2 :9 D 4 B :1 :3 :0 :5 E F E :1 9 2 .1 6 8 .8 .5
B B
b
4 6 6
D A = B S A = A
D A = B S A = A
6 6
6 6
in t
IP v 4 IP v 6 = 1 9 2 .1 6 8 .7 .3 = F E 8 0 ::0 :5 E F E :1 9 2 .1 6 8 .7 .3 = 2 0 0 2 :8 6 5 F :1 :2 :0 :5 E F E :1 9 2 .1 6 8 .8 .5
D A = B S A = A 6
6
Abb. 8.5-6: Beispiel für eine Koexistenz von ISATAP und 6to4 a6, b6: Link-Local-ISATAP-Adressen, A6, B6: globale ISATAP-Adressen, DA: Destination Address, SA: Source Address
Hier verfügen die beiden Rechner A und B über ISATAP-Adressen A6 und B6 mit 6to4-Präfixen [Abb. 8.5-2b], die als globale IPv6-Adressen dienen. Das IPv6-Paket mit der Ziel-IPv6-Adresse B6 und der Quell-IPv6-Adresse A6 wird in IPv4-Paketen eingekapselt übermittelt. Man kann sich diese Kommunikation so vorstellen, als ob das IPv6-Paket über die 6to4-Site X in einem ISATAPTunnel, dann über das IPv4-Internet in einem 6to4-Tunnel und über die 6to4Site Y wiederum in einem ISATAP-Tunnel übermittelt werden würde [Abb. 8.5-1c].
323
324
8
Migration zum IPv6-Einsatz
8.6 Besonderheiten von Teredo
IPv6 in IPv4-Netzen mit NAT (Teredo)
Teredo stellt ein Konzept dar [RFC 4380], nach dem ein Dual-Stack-Rechner [Abb. 8.1-1] in einem IPv4-Netz mit privaten IPv4-Adressen, der durch die NAT-Funktion vom IPv4-Internet getrennt ist, die IPv6-Kommunikation über das IPv4-Internet zu einem Rechner in einem IPv6-Netz initiieren kann. Abbildung 8.6-1 veranschaulicht die Bedeutung von Teredo. Bei Teredo werden den Rechnern im IPv4-Netz keine IPv6-Adressen zugeordnet, stattdessen kann sich jeder Rechner als Teredo-Client selbst eine IPv6-Adresse mithilfe eines Teredo-Servers generieren. Um NAT an der Grenze zum IPv4-Internet passieren zu können, werden die IPv6-Pakete als UDP-Daten in IPv4-Pakete eingekapselt übermittelt. Die IPv6-Pakete werden dann in einem Teredo-Relay an der Grenze zum IPv6-Netz aus den IPv4-Paketen herausgenommen und an entsprechende Rechner im IPv6-Netz weitergeleitet. T e re d o -C lie n t IP v 4 -N e tz IP v 4 /IP v 6 T e re d o -C lie n t
N A T
IP v 4 In te rn e t
IP v 4 -V e rk e h r u n d IP v 6 -in -IP v 4 -V e rk e h r
T e re d o -S e rv e r IP v 6 -N e tz T e re d o -R e la y
IP v 6 -H o st
IP v 6 -V e rk e h r
Abb. 8.6-1: Komponenten der Teredo-Systemarchitektur
Teredo navalis ist der zoologische Name für den Schiffsbohrwurm. Wie in Abbildung 8.6-1 ersichtlich ist, bohrt sich Teredo hier nicht durch hölzerne Schiffe, sondern durch eine NAT-Komponente. Funktionelle Komponenten
Bei Teredo werden folgende funktionelle Komponenten definiert: Ein Teredo-Client ist ein Dual-Stack-Rechner, der die Pakete zu anderen Teredo-Clients im gleichen IPv4-Netz bzw. zu Rechnern im IPv6-Netz über das IPv4-Internet übermitteln kann. Bei der Konfiguration wird ihm ein Teredo-Server eingetragen (z.B. teredo.ipv6.microsoft.com von Microsoft). Der Teredo-Client kommuniziert dann mit dem Teredo-Server, um ein Adresspräfix zu bestimmen und danach für sich eine globale IPv6-Adresse, die sog. Teredo-Adresse [Abb. 8.6-2], selbst zu generieren. Ein Teredo-Server stellt eine Applikation auf einem Dual-Stack-Rechner dar, der mit dem IPv4-Internet und dem IPv6-Netz verbunden ist. Der Teredo-Server besitzt seitens des IPv4-Internet zwei Interfaces (primär und sekundär), also zwei IPv4-Adressen, und wird über den Well Known Port 3544 angesprochen. Die Aufgabe des Teredo-Servers ist es, Teredo-Clients
8.6 IPv6 in IPv4-Netzen mit NAT (Teredo)
325
bei der Ermittlung des Adresspräfixes und bei der Initiierung der Kommunikation zu IPv6-Hosts zu unterstützen. Ein Teredo-Relay ist eine Applikation auf einem Dual-Stack-Router und leitet die IPv6-Pakete von Teredo-Clients an IPv6-Hosts weiter. Ein TeredoRelay wird auch über den Well Known Port 3544 angesprochen. Ein Teredo-Client ist z.B. für Rechner unter Windows XP verfügbar. Um TeredoTeredo zu unterstützen, stellt Microsoft einen Teredo-Server zur Verfügung Client unter (teredo.ipv6.microsoft.com). Weitere Teredo-Server sind u.a.: te- Windows XP redo.via.ecp.fr und teredo.ipv6.6wind.com
8.6.1 Teredo-Adresse und -Pakete Bei Teredo ist jeder Dual-Stack-Rechner im IPv4-Netz mithilfe eines Teredo- IPv6Servers in der Lage, eine globale Teredo-Adresse für sich selbst automatisch zu Adressen bei generieren. Für den ersten Zugriff auf einen Teredo-Server verwendet ein Te- Teredo redo-Client aber eine Toredo-Link-Local-Adresse. Abbildung 8.6-2 zeigt die Struktur von IPv6-Adressen bei Teredo. a )
C =
1 : C o n e N A T 0 : n ic h t C o n e N A T
T e re d o -P rä fix b )
C x x x x x x x U G
T e re d o -S e rv e r-A d re sse
3 2 B its
3 2 B its
P rä fix
x x x x x
F E 8 0 ::/6 4 6 4 B its
x x x x x
F la g s
U G = 0 0
O b sc u re d O b sc u re d E x te rn a l P o rt E x te rn a l IP v 4 -A d re s s e
1 6 B its
1 6 B its
F la g s
P o rt 6 4 B its
3 2 B its
IP v 4 -A d re sse
* )
* ) p riv a te IP v 4 -A d re s s e v o n T C
Abb. 8.6-2: Strukturen von: a) globaler Teredo-Adresse, b) Link-Local-Adresse bei Teredo C: Cone-Bit, EUI: Extended Unique Identifier, TC: Teredo-Client
Jede Teredo-Adresse enthält: Teredo-Präfix: 3FFE:831F::/32 bei globaler Teredo-Adresse bzw. FE80::/64 bei LinkLocal-Adresse Teredo-Server-Adresse bei der globalen Teredo-Adresse: Das ist die öffentliche IPv4Adresse des Teredo-Servers. Flags: Das sind 16 Bits, die für sog. Teredo-Flags reserviert sind. Das einzige zurzeit definierte Flag ist das erste Bit, das als Cone-Flag (C-Flag) bezeichnet wird. Cone-Flag wird gesetzt, wenn NAT am Zugang zum IPv4-Internet eine Cone NAT [Abb. 5.1-4] ist. Ob es sich bei NAT um eine Cone NAT handelt oder nicht, wird zu Beginn der Kommunikation mithilfe einer Qualifikationsprozedur ermittelt [Abb. 8.6-6]. Verborgener externer Port (Obscured External Port): Bei der Übermittlung des ersten Pakets mit der ICMPv6-Nachricht Router Solicitation (RS) vom Teredo-Client zum TeredoServer wird der Quell-UDP-Port dieses Paket von NAT auf einen externen (external) UDP-
326
8
Migration zum IPv6-Einsatz Port abgebildet. Man spricht hierbei von mapped Port. Der gesamte Teredo-Verkehr für den Client verläuft danach über den gleichen externen Port. Der mapped Port wird dem TeredoClient vom Teredo-Server im Paket mit der ICMPv6-Nachricht Router Advertisement (RA), die eine Antwort auf RS darstellt, mitgeteilt [Abb. 8.6-5]. Die Nummer des mapped Ports wird durch die XOR-Operation mit dem Wert x´FFFF´ verborgen und in der verborgenen Form in der Teredo-Adresse eingetragen. Durch das Verbergen des mapped Ports verhindert man, dass NAT diesen Port übersetzt. Verborgene externe Adresse (Obscured External Address): Bei der Übermittlung des ersten Pakets mit RS vom Teredo-Client zum Teredo-Server wird die private IPv4-Adresse des Clients von NAT auf eine offizielle IPv4-Adresse, die sog. externe (external) IPv4-Adresse, abgebildet. Man bezeichnet diese externe IPv4-Adresse als mapped IPv4-Adresse und sie wird als Quell-Adresse des Clients dienen. Wie beim mapped Port wird die mapped IPv4Adresse dem Teredo-Client vom Teredo-Server in RA mitgeteilt [Abb. 8.6-5]. Die mapped IPv4-Adresse wird durch die XOR-Operation mit dem Wert x´FFFFFFFF´ zuerst verborgen und dann in die Teredo-Adresse eingetragen. Durch das Verbergen der mapped IPv4-Adresse verhindert man, dass NAT sie übersetzt. Beispiel: Die verborgene Version der mapped IPv4-Adresse 131.107.0.1 im hexadezimalen Format lautet 7C94FFFE 131.107.0.1 = FF FF FF FF = XOR =
Bedeutung von Angaben in einer Teredo-Adresse
10000011 11111111 01111100 7C
01101011 1111111 10010100 94
00000000 1111111 1111111 FF
00000001 1111111 1111110 FE
Abbildung 8.6-3 illustriert die Angaben in einer globalen Teredo-Adresse. M a p p e d IP v 4 A d re sse u n d P o rt
T C
IP v 4 -N e tz
1 3 1 .1 0 7 .0 .1 U D P -P o rt: 8 1 9 2 N A T
C o n e -N A T
IP v 4 In te rn e t
2 0 6 .7 3 .1 1 8 .1 T S
3 F F E :8 3 1 F :C E 4 9 :7 6 0 1 :8 0 0 0 :D F F F :7 C 9 4 :F F F E
IP v 6 -N e tz T R
IP v 6 -H o st
P re fix :T S -A d r :F la g s :O b s c E x tP o r t:O b s c E x tA d r 2 0 6 .7 3 .1 1 8 .1 3 F F E :8 3 1 F ::/3 2
8 1 9 2 8 0 0 0
1 3 1 .1 0 7 .0 .1
E x te r n a l (m a p p e d )P o r t u n d IP v 4 -A d r e s s e
Abb. 8.6-3: Veranschaulichung von Angaben in einer globalen Teredo-Adresse TC: Teredo-Client, TS: Teredo-Server
Der Teredeo-Client besitzt hier die mapped IPv4-Adresse 131.107.0.1 und den mapped Port 8192. Sein Teredo-Server ist unter der öffentlichen IPv4Adresse 206.73.118.1 erreichbar. Ihre hexadezimale Form ist CE497601. Der Teredeo-Client hat bereits ermittelt [Abb. 8.6-5], dass er sich hinter Cone NAT befindet. Dies wird mit dem auf 1 gesetzten Cone-Flag in seiner IPv6Adresse signalisiert. Die Flag-Bits sind: 1000 0000 0000 000 (x´8000´). TeredoPakete
Bei Teredo werden folgende Arten von Paketen verwendet: Teredo-Datenpakete,
8.6 IPv6 in IPv4-Netzen mit NAT (Teredo)
327
Teredo-Bubble-Pakete und Teredo-Datenpakete bzw. -Bubble-Pakete mit Indikatoren. Abbildung 8.6-4a zeigt die Struktur der Teredo-Datenpakete. IP v 6 -P a k e t a )
IP v 4 -H e a d e r U D P -H e a d e r IP v 6 -H e a d e r 2 0 B y te s
b )
8 B y te s
4 0 B y te s
IP v 6 -P a y lo a d n B y te s
IP v 4 -H e a d e r U D P -H e a d e r IP v 6 -H e a d e r 2 0 B y te s
8 B y te s
4 0 B y te s
Abb. 8.6-4: Teredo-Pakete: a) Datenpaket, b) Bubble-Paket
Die einzelnen Header im Teredo-Datenpaket enthalten u.a. folgende Abgaben: Der IPv4-Header enthält die Quell- und die Ziel-IPv4-Adresse der Tunnelendpunkte [Abb. 8.6-1]. Die private Quell-IPv4-Adresse wird durch NAT übersetzt. Der UDP-Header enthält den Quell- und den Zielport für den TeredoVerkehr. Der Quellport kann durch NAT übersetzt werden. Der IPv6-Header enthält die IPv6-Quelladresse und die -Zieladresse. Ein Teredo-Bubble-Paket [Abb. 8.6-4b] wird verschickt, um eine NATZuordnung zu erfragen [Abb. 8.6-8] und es enthält ein IPv6-Paket ohne IPv6Payload, also nur einen IPv6-Header, der das Feld Next-Header mit dem Wert 59 enthält. Dies signalisiert, dass es keine IPv6-Payload gibt. Als Indikatoren werden bei Teredo solche Header bezeichnet, die man verwen- Teredodet, um mapped Port und mapped IPv4-Adresse sowie Informationen zur Au- Pakete mit thentifizierung zu übermitteln. Diese Header können sowohl in Datenpaketen Indikatoren als auch in Bubble-Paketen nach dem UDP-Header und vor dem IPv6-Header enthalten sein. Man unterscheidet zwischen Authentication Indicator und Origin Indicator (OI). Der Origin Indicator enthält die mapped IPv4-Adresse und den mapped Port des Teredo-Clients. Diese Angaben sendet der Teredo-Server dem Client, wenn der Teredo-Server eine Nachricht Router Advertisement (RA) an den Teredo-Client übermittelt [Abb. 8.6-6].
8.6.2 Bestimmung der Art von NAT Wie bereits in Abschnitt 5.1 dargestellt wurde, gibt es verschiedene Arten von NAT. Um eine Teredo-Adresse für sich zu generieren, muss der Teredo-Client zuerst ermitteln, hinter welcher Art von NAT er sich befindet [Abschnitt 5.1].
328
8
Migration zum IPv6-Einsatz
Dies erfolgt mithilfe einer sog. Qualifikationsprozedur (Qualification Procedure). Der Verlauf dieser Prozedur wird nun veranschaulicht. Qualifikationsprozedur
Um den Teredo-Client für die Kommunikation vorzubereiten, muss der Teredo-Server (z.B. teredo.ipv6.microsoft.com) bei ihm eingetragen werden, sodass er für sich eine TeredoAdresse generieren kann. Zuerst muss der Teredo-Client aber mithilfe der Qualifikationsprozedur ermitteln, hinter welcher Art von NAT er sich befindet. Abbildung 8.6-5 illustriert diese Prozedur, falls sich der Teredo-Client hinter einem Cone NAT befindet [Abb. 5.1-4].
I P v 4 - A d r : 1 0 .0 .0 .1
IP v 4 -N e tz T C
I P v 4 - A d r : 1 0 .0 .0 .2 P o rt: 1 2 3 4
1 C o n e N A T
Q -IP v 6 -A Z -IP v 6 -A Z Q
R S R A
IC M P v 6 : R S d r d r -P o -P o
T S
N A T
I P v 4 - A d r : 8 .0 .0 .1 P o rt: 4 0 9 9
5 IP v 6
3
R S
A 2
A 1
IP v 4 -A d r: A 1 (p rim ä r) IP v 4 -A d r: A 2 (se k u n d ä r) P o rt: 3 5 4 4
C = 1
2
IP v 6 -In te rn e t
IP v 4 -In te rn e t
C = 1
R A
U D P IP v 4
4
3 Z -IP v 4 -A d r = A 1 Q - I P v 4 - A d r = 8 .0 .0 .1
= W = X rt = 3 5 4 4 rt= 4 0 9 9
Z - I P v 6 - A d r = 8 .0 .0 .1 Q -IP v 6 -A d r = A 2
4
IP v 4 U D P
O I
m a p p e d P o rt = 4 0 9 9 m a p p e d I P A d d . = 8 .0 .0 .1
IP v 6
IC M P v 6 : R A Z -IP v 6 -A d r = W Q -IP v 6 -A d r = Y
C : C o n e -F la g , Q : Q u e ll. Z : Z ie l O I: O rig in In d ic a to r W : L in k -lo c a l-A d re s s e v o n T C , X : M u ltic a s t-A d re s s e A ll-R o u te r s Y : L in k -lo c a l-A d re s s e v o n T C
Abb. 8.6-5: Verlauf der Qualifikationsprozedur; Fall: Teredo-Client hinter Cone NAT TC/S: Teredo-Client/Server, RS: Router Solicitation, RA: Router Advertisement
Zu Beginn sendet der Teredo-Client eine ICMPv6-Nachricht Router Solicitation (RS) an den Teredo-Server (1). Als Quell-IPv6-Adresse im IPv6-Header verwendet der Client seine Link-Local-Adresse mit dem auf 1 gesetzten Cone-Flag. Bei NAT wird dem Paar (private IPv4Adresse: 10.0.0.2, Port: 1234) aus der Link-Local-Adresse [Abb. 8.6.2b] das Paar (offizielle IPv4-Adresse: 8.0.0.1, Port: 4099) zugeordnet und ein entsprechender Eintrag in der MappingTabelle gespeichert (2). Danach wird RS an den Teredo-Server weitergeleitet (3). Der Teredo-Server antwortet (4) mit einer ICMPv6-Nachricht Router Advertisement (RA). Da der Client in RS das Cone-Flag auf 1 gesetzt hat, sendet der Teredo-Server RA über das Interface mit seiner sekundären IPv4-Addresse. Wenn RA in diesem Fall von NAT an den TeredoClient weitergeleitet wird (5), bedeutet dies, dass der Teredo-Client sich hinter (Full) Cone NAT befindet. Mit der Nachricht RA teilt der Teredo-Server dem Client in Origin Indicator die mapped IPv4-Adresse und den mapped Port mit. Diese Angaben benötigt der Client, um seine TeredoAdresse zu generieren [Abb. 8.6-3].
8.6 IPv6 in IPv4-Netzen mit NAT (Teredo)
329
Wird RA von NAT nicht an den Teredo-Client weitergeleitet, bedeutet dies, dass der TeredoClient sich entweder hinter Restricted Cone NAT oder Symmetric NAT befindet [Abb. 8.6-6].
Abbildung 8.6-6 illustriert den allgemeinen Verlauf der Qualifikationsprozedur. Der Teredo-Client sendet RS an den Teredo-Server (1). Die Quell-IPv6Adresse im IPv6-Header ist die Link-Local-Adresse [Abb.8.6-2b] des Clients mit dem auf 1 gesetzten Cone-Flag (C = 1). NAT speichert eine entsprechende Zuordnung in der Mapping-Tabelle und danach leitet die ICMPv6Nachricht RS an den Teredo-Server weiter (2).
IP v 4 -N e tz tim e o u t
T C
R S 1
4 A
R S 8
x = y ?
C = 1
2
C = 0
R A B
T e re d o -S e rv e r IP v 4 -In te rn e t IP v 6 -In te rn e t
N A T
5
C = 0
R S R A
9
A 1
C = 1
R A R S R A
7
1 1
R S
3 A B
C = 0
M P = x
A 2
6
C = 0 R S M P = y R A 1 0
N ic h t-C o n e N A T R e s tric te d C o n e N A T b z w . S y m m e tric N A T
x = y
R e s tric te d C o n e N A T x = y S y m m e tric N A T
T e re d o k a n n n ic h t e in g e s e tz t w e rd e n !
Abb. 8.6-6: Allgemeiner Verlauf der Qualifikationsprozedur MP: Mapped Port, RA: Router Advertisement, RS: Router Solicitation
Der Teredo-Server antwortet mit RA (3). Da in RS das Cone-Flag auf 1 gesetzt war, sendet der Teredo-Server RA über seine sekundäre IPv4-Addresse. Da NAT jetzt ein Nicht-Cone NAT ist, wird RA von NAT an den Teredo-Client nicht weitergeleitet. Der Teredo-Client wartet aber eine festgelegte Zeit (time out) ab und sendet danach eine weitere Nachricht RS über seine Link-localAdresse (4), aber diesmal mit dem auf 0 gesetzten Cone-Flag (C = 0). NAT leitet RS an den Teredo-Server weiter (5). Der Teredo-Server antwortet auf RS mit RA (6). Da C = 0 in RS war, sendet der Teredo-Server RA von der gleichen IPv4-Adresse aus, die in RS als Ziel angegeben war (d.h. seiner primären IPv4-Adresse). Das IPv4-Paket mit RA enthält den Origin Indicator mit der mapped IPv4-Adresse und dem mapped Port (MP = x). Diese Angaben benötigt der Client für die Generierung seiner Teredo-Adresse. NAT leitet RA an den Teredo-Client weiter (7). Nach dem Empfang von RA stellt der Client daher fest, dass er sich entweder hinter Restricted Cone NAT oder hinter Symmetric NAT befindet. Um sicherzustellen, dass sich der Teredo-Client nicht hinter einem Symmetric NAT befindet, sendet er an den Teredo-Server eine weitere Nachricht RS mit
Allgemeiner Verlauf der Qualifikationsprozedur
330
8
Migration zum IPv6-Einsatz
dem auf 0 gesetzten Cone-Flag (8). Als Ziel-IPv4-Adresse enthält diese Nachricht aber die sekundäre IPv4-Adresse des Teredo-Servers. NAT leitet RS an den Teredo-Client weiter (9). Da C = 0 in RS war, antwortet der TeredoServer mit RA von der gleichen IPv4-Adresse aus, die in RS als Ziel angegeben war (d.h. seiner sekundären IPv4-Adresse). RA enthält Origin Indicator mit der mapped IPv4-Adresse und dem mapped Port (MP = y). Der Teredo-Client vergleicht die mapped Ports (x und y) aus den letzten beiden RAs. Wenn sie sich unterscheiden, dann ordnet NAT die gleiche interne Adresse und Portnummer zu unterschiedlichen externen (mapped) Ports zu [Abb. 5.13]. Dadurch kann der Client feststellen, dass er sich hinter Symmetric NAT befindet. In diesem Fall lässt sich das Konzept von Teredo nicht einsetzen.
8.6.3 Beispiele für der Ablauf der Kommunikation mit Teredo Nachdem der Teredo-Client die mapped IPv4-Adresse und den mapped Port [Abb. 8.6-3] vom Teredo-Server erhalten und die Art von NAT ermittelt hat, kann er seine Teredo-Adresse generieren und danach die Kommunikation initiieren. Der Ablauf der Kommunikation mit Teredo wird nun an Beispielen näher erläutert. Teredo-Client initiiert die Kommunikation zum IPv6-Rechner bei Cone NAT Den Verlauf der vom Teredo-Client initiierten Kommunikation beim Einsatz von Cone NAT [Abb. 5.1-4] illustriert Abbildung 8.6-7. Dies bedeutet, dass NAT keine Firewall realisiert.
IP v 6 -In te rn e t C o n e N A T
IP v 4 -N e tz
T C 1
N A T
IP v 4 { U D P [IP v 6 (E c h o R e q )]}
T S
IP v 4 -In te rn e t
n u r IP v 6 !
IP v 6 (E c h o R e q )
IP v 4 { U D P [IP v 6 (E c h o R e p )]} 3
T R
IP v 4 { U D P [IP v 6 (D a te n )]} IP v 4 { U D P [IP v 6 (D a te n )]}
IP v 6 (E c h o R e p ) IP v 6 (D a te n ) IP v 6 (D a te n )
2 4
Abb. 8.6-7: Teredo-Client initiiert die Kommunikation zum IPv6-Rechner bei Cone NAT TC: Teredo Client, TR: Teredo Relay, TS: Teredo Server, Req: Request, Rep: Reply
Bevor der Teredo-Client (TC) das erste IPv6-Paket mit Daten an einen IPv6-Rechner schickt, muss er zuerst die IPv4-Adresse eines Teredo-Relay herausfinden. Hierfür sendet der TC über seinen Teredo-Server (TS) ein IPv6-Paket mit der ICMPv6-Nachricht Echo-Request an den IPv6-Host (1). Die Quell-IPv6-Adresse im IPv6-Header ist die Teredo-Adresse vom TC. Der TS leitet Echo-Request an den IPv6-Rechner weiter. Der TS antwortet dem TC auf Echo-Request mit der ICMPv6-Nachricht Echo-Reply. Diese wird an die Teredo-Adresse von TC übermittelt. Daher wird das IPv6-Paket mit Echo-Reply
8.6 IPv6 in IPv4-Netzen mit NAT (Teredo) (aufgrund seiner Teredo-Adresse) an den nächstgelegenen Teredo-Relay (TR) weitergeleitet (2). Der TR kapselt das IPv6-Paket mit Echo-Reply in ein IPv4-Paket ein und schickt es direkt an den TC. Da sich der TC hinter Cone NAT befindet, wird das IPv4-Paket an ihn weitergeleitet. Der TC kann nun über die Quell-IPv4-Adresse im empfangenen IPv4-Paket die IPv4-Adresse des vom IPv6-Host am nächsten gelegenen TR feststellen. Dieser TR wird wie ein Vermittler während der Kommunikation zwischen TC und IPv6-Recher fungieren. Der TC sendet daher sein erstes IPv6-Paket mit Daten (eingekapselt im IPv4-Paket) an die IPv4-Adresse des TR (3). Er entfernt die IPv4- und UDP-Header und leitet das IPv6-Paket an den IPv6-Host weiter. Weitere Datenpakete zwischen TC und IPv6-Host werden auf die gleiche Art und Weise über diesen TR übermittelt. Teredo-Client initiiert Kommunikation zum IPv6-Rechner bei Restricted NAT Den Verlauf der vom Teredo-Client initiierten Kommunikation, beim Einsatz von Restricted NAT zeigt Abbildung 8.6-8. Restricted NAT realisiert eine Firewall-Funktion [Abschnitt 5.1.5].
T C
R e s tr ic te d N A T IP v 4 -N e tz N A T IP v 4 { U D P [IP v 6 (E c h o R e q )]}
1 3 5
IP v 6 -In te rn e t T R IP v 4 -In te rn e t
T S
IP v 6 (E c h o R e q ) IP v 6 (E c h o R e p )
B u b b le B u b b le (O rig in In d ic a tio n ) B u b b le IP v 6 (E c h o R e p ) IP v 4 { U D P [IP v 6 (D a te n )]}
4
n u r IP v 6 !
2
IP v 6 (D a te n )
Abb. 8.6-8: Teredo-Client initiiert Kommunikation zum IPv6-Rechner bei Restricted NAT Abkürzungen wie in Abbildung 8.6-7
Wie bei Cone NAT [Abb. 8.6-7] muss der TC, bevor er das erste IPv6-Paket mit Daten an einen IPv6-Rechner schickt, zuerst die IPv4-Adresse eines TR herausfinden. Hierfür sendet der TC über seinen TS ein IPv6-Paket mit Echo-Request an den IPv6-Host (1). Der IPv6-Header dieses Pakets enthält als Quell-IPv6-Adresse die Teredo-Adresse von TC. Der TS leitet Echo-Request an den IPv6-Rechner weiter. Der TS antwortet mit Echo-Reply. Diese Nachricht wird an die Teredo-Adresse von TC abgeschickt. Das IPv6-Paket mit Echo-Reply enthält als Ziel-IPv6-Adresse die Teredo-Adresse von TC. Daher wird dieses IPv6-Paket an den nächstgelegenen TR weitergeleitet (2) und er stellt fest, dass sich der TC hinter Restricted Cone NAT befindet. Hätte der TR Echo-Reply in einem IPv4-Paket direkt an den TC abgeschickt, würde Restricted Cone NAT dieses IPv4-Paket verwerfen, weil es für den TR keinen passenden Eintrag in Mapping-Tabelle von NAT gibt [Abb. 5.1-5]. Daher sendet der TR über den TS ein Bubble-Paket an den TC [Abb. 8.6-4b]. Dieses Bubble-Paket soll nur ermöglichen, dem TC die IPv4-Addresse und den Port des vom Ziel-IPv6-Rechner nächstgelegenen TR zu übermitteln, sodass er durch das Absenden eines Bubble-Pakets das Einrichten eines passenden Eintrags in die Mapping-Tabelle bei Restricted Cone NAT initiieren kann. Der TS leitet das Bubble-Paket an den TC weiter. Da es bei Restricted Cone NAT bereits einen Eintrag für den TS gibt, wird das Bubble-Paket an den TC über NAT weitergeleitet. Origin Indicator im Bubble-Paket enthält IPv4-Addresse und Port des TR. Nach dem Eintreffen des
331
332
8
Migration zum IPv6-Einsatz
Bubble-Pakets kennt nun der TC aus Origin Indicator IPv4-Addresse und Port des vom Ziel-IPv6-Rechner nächstgelegenen TR. Um einen entsprechenden Eintrag für den TR in der Mapping-Tabelle bei Restricted Cone NAT einzurichten, sendet der TC ein eigenes Bubble-Paket an den TR (3). Da er vom TC ein BubblePaket erhalten hat, das zu dem noch ausstehenden IPv6-Paket mit der ICMPv6-Nachricht EchoReply passt, stellt der TR fest, dass es nun einen passenden Eintrag in der Mapping-Tabelle bei Restricted Cone NAT gibt. Der TR sendet jetzt noch das ausstehende IPv6-Paket mit EchoReply an den TC (4). Nach dem Empfangen von Echo-Reply sendet der TC ein erstes IPv6-Paket mit Daten, das in einem IPv4-Paket eingekapselt wurde, an den TR (5). Dieser entfernt den IPv4- und den UDPHeader und leitet das IPv6-Paket an den IPv6-Rechner weiter. Weitere Datenpakete zwischen TC und IPv6-Rechner werden auf die gleiche Art und Weise über den TR übermittelt. IPv6-Rechner initiiert die Kommunikation zum Teredo-Client bei Restricted NAT Abbildung 8.6-9 illustriert den Verlauf der Kommunikation zwischen TC und IPv6-Rechner beim Einsatz von Restricted Cone NAT [Abb. 5.1-5] in dem Fall, in dem diese vom IPv6-Rechner initiiert wird.
T C
R e s tr ic te d N A T IP v 4 -N e tz N A T
3
T S
IP v 6 -In te rn e t T R IP v 4 -In te rn e t
B u b b le (O rig in In d ic a tio n ) B u b b le B u b b le 2 IP v 4 { U D P [IP v 6 (D a te n )]} IP v 4 { U D P [IP v 6 (E c h o R e q )]} IP v 6 (E c h o R e q IP v B u b b le B u b b le B u b b le IP v 4 { U D P [IP v 6 (E c h o R e p )]} 5 6 IP v 4 { U D P [IP v 6 (D a te n )]} IP
IP v 6 (D a te n )
n u r IP v 6 1
) 6 (E c h o R e p ) 4
v 6 (D a te n )
Abb. 8.6-9: IPv6-Rechner initiiert die Kommunikation zum Teredo-Client beim Einsatz von Restricted Cone NAT Abkürzungen wie in Abbildung 8.6-7
Der IPv6-Rechner sendet sein erstes IPv6-Paket mit Daten an den TC. Dieses Paket wird an den TR weitergeleitet (1). Dieser stellt aufgrund der Ziel-IPv6-Adresse (Flags = x´0000´ in der Teredo-Adresse) fest, dass der TC sich hinter Restricted Cone NAT befindet. Hätte der TR ein IPv4-Paket mit diesem IPv6-Paket direkt an den TC abgeschickt, würde Restricted Cone NAT das IPv4-Paket verwerfen, weil es für den TR keinen passenden Eintrag in der Mapping-Tabelle von NAT gibt [Abb. 5.1-5]. Daher sendet der TR ein Bubble-Paket an den TC über den TS. Dieses Bubble-Paket soll nur ermöglichen, dem TC die IPv4-Addresse und den Port des vom Ziel-IPv6Rechner nächstgelegenen TR zu übermitteln, sodass er ein Paket an TR senden kann, um einen passenden Eintrag in der Mapping-Tabelle bei Restricted Cone NAT einzurichten. Der TS leitet das Bubble-Paket, in dem Origin Indicator mit der IPv4-Addresse und dem Port von TR enthalten ist, an den TC weiter. Da es im NAT einen Eintrag in der MappingTabelle für den TS gibt, der bereits während der Qualifikationsprozedur gespeichert wurde [Abb. 8.6-6], wird das Bubble-Paket an den TC weitergeleitet.
8.7 IPv4 over IPv6 mit DSTM
333
Hat der TC das Bubble-Paket empfangen, übernimmt er die IPv4-Addresse und den Port von TR und sendet an ihn ein Bubble-Paket, um einen Eintrag für ihn in der Mapping-Tabelle bei Restricted Cone NAT einzurichten. Hat der TR dieses Bubble-Paket empfangen, stellt er fest, dass es zu dem noch ausstehenden IPv6-Paket mit Daten passt, d.h. die Ziel-IPv6-Adresse im noch zum Absenden ausstehenden IPv6-Paket mit Daten und die Quell-IPv6-Adresse im BubblePaket sind die gleiche Teredo-Adresse von TC. Daher stellt der TR fest, dass es nun für ihn einen Eintrag in der Mapping-Tabelle bei Restricted Cone NAT gibt. Der TR sendet jetzt das noch ausstehende IPv6-Paket mit Daten an den TC (2). Bevor der TC dem IPv6-Rechner eine Antwort sendet, überprüft er, ob die Quell-IPv6-Adresse vom Absender des bereits empfangenen IPv6-Pakets nicht gefälscht wurde. Hierfür tauscht der TC mit dem IPv6-Host die ICMPv6-Nachrichten Echo-Request und Echo-Reply (nach den bereits in Abbildung 8.6-8 dargestellten Schritten 1 bis 4) aus. Wurde dieser Austausch durchgeführt, ist der TC sicher, dass die Quell-IPv6-Adresse vom Absender des empfangenen IPv6Pakets nicht gefälscht wurde. Der TC sendet danach ein IPv6-Paket mit Daten als Antwort auf das erste IPv6-Datenpaket an den IPv6-Rechner.
8.7
IPv4 over IPv6 mit DSTM
IP v 4 /IP v 6
Um die IPv4-Kommunikation über ein IPv6-Netz zu ermöglichen, wurde Bedeutung DSTM (Dual Stack Transition Mechanism) entwickelt [draft-bound-dstm-exp-04, von DSTM April 2006]. Nach DSTM wird ein IPv6-Netz mit einem IPv4-Netz mithilfe eines Routers so gekoppelt, dass ein Dual-Stack-Rechner im IPv6-Netz die Kommunikation nach IPv4 zu einem Rechner im IPv4-Netz initiieren kann. Zwischen Dual-Stack-Rechner im IPv6-Netz und Rechner im IPv4-Netz kann so die IPv4-Kommmunikation stattfinden. Dem Dual-Stack-Rechner in einem IPv6-Netz wird nur eine IPv6-Adresse zugewiesen und er kann sich nach Bedarf eine temporäre IPv4-Adresse beim DSTM-Server ausleihen. Abbildung 8.7-1 illustriert die Bedeutung von DSTM.
D S T M -S e rv e r
IP v 4 -K o m m u n ik a tio n
IP v 6 -N e tz IP v 4 -in -IP v 6 -T u n n e l
D S T M C lie n t
T E P
D S T M R o u te r
4 in 6 D a te n IP v 6 -P a k e t
IP v 4 -H IP v 4 -P a k e t
D a te n IP v 4 -H IP v 4 -P a k e t
IP v 6 -H
H : H e a d e r
H e x t H e a d e r =
Abb. 8.7-1: IPv4-Kommunikation im IPv6-Netz mit DSTM TEP: Tunnel End Point
IP v 4
IP v 4 -N e tz
4 (IP v 4 -H e a d e r)
334 Funktionskomponenten von DSTM
8
Migration zum IPv6-Einsatz
DSTM definiert folgende Funktionskomponenten: DSTM-Client als Dual-Stack-Rechner im IPv6-Netz, der die Kommunikation nach IPv4 zu Rechnern im IPv4-Netz initiieren kann. DSTM-Server, bei dem ein DSTM-Client sich eine temporäre IPv4-Adresse auf eine bestimmte Zeit ausleihen kann. Ein DSTM-Server ist eine modifizierte Version eines DHCPv6-Servers und kann auch die Funktion eines DNS-Servers enthalten. DSTM-Router, der die Funktionen von DSTM unterstützt. Die Kommunikation zwischen DSTM-Clients bzw. Routern und DSTM-Server erfolgt in der Regel nach dem Protokoll DHCPv6 [Abschnitt 7.3]. Das vom DSTM-Client zum Zielrechner im IPv4-Netz zu sendende IPv4-Paket wird in ein IPv6-Paket eingekapselt. Das Feld Next-Header im Header des IPv6-Pakets enthält die Nummer 4. Damit wird erklärt, dass direkt nach dem IPv6-Header ein IPv4-Paket folgt. Man bezeichnet dies auch als 4in6. Man spricht in diesem Fall auch von einem IPv4-in-IPv6-Tunnel zwischen DSTMClient und Router an der Grenze zum IPv4-Netz. Dieser Router als Ende des Tunnels wird TEP (Tunnel End Point) genannt. Im TEP wird das IPv4-Paket aus dem IPv6-Paket herausgenommen und an IPv4-Zielrechner abgeschickt. Möchte ein DSTM-Client die Kommunikation zu einem Rechner im IPv4-Netz initiieren, erhält er vom DSTM-Server eine temporäre IPv4-Adresse. Zugleich kann der DNS-Server als Bestandteil des DSTM-Servers optional die IPv6-Adresse des DSTM-Routers liefern. Im Sonderfall kann der DSTM-Client manuell konfiguriert werden, sodass er eine permanente IPv4-Adresse erhalten kann.
DSTM im Einsatz
Abbildung 8.7-2 illustriert den Verlauf der Kommunikation nach DSTM. Hierbei sind folgende Schritte zu unterscheiden: 1.
Abfrage der IP-Adresse des Zielrechners Rechner A im IPv6-Netz als DSTM-Client fragt bei DNS nach der IP-Adresse des Zielrechners B. DNS liefert ihm die IPv4-Adresse des Rechners B im IPv4-Netz.
2.
Ausleihe einer IPv4-Adresse und Abfrage der IPv6-Adresse von TEP Der DSTM-Client wendet sich nach DHCPv6 an den DSTM-Server, um eine temporäre IPv4-Adresse und die IPv6-Adresse vom TEP zu erhalten. Dem DSTM-Client wird hier die IPv4-Adresse 1.1.1.132 ausgeliehen. Die IPv6-Adresse vom TEP ist 2002:10::1. ausgeliehene Der DSTM-Server speichert die Zuordnung DSTM-Client-IPv6-Adresse IPv4-Adresse ab. Normalerweise wird dem DSTM-Client eine temporäre IPv4-Adresse für die Dauer der Kommunikation (z.B. einer TCP-Sitzung) ausgeliehen.
3.
Übermittlung eines IPv4-Pakets vom DSTM-Client zum Rechner im IPv4-Netz Der DSTM-Client packt das zu sendende IPv4-Paket in ein IPv6-Paket ein und übermittelt dieses an den DSTM-Router. Dieser packt das IPv4-Paket aus dem IPv6-Paket aus und leitet das IPv4-Paket an Rechner B weiter. Zusätzlich speichert der Router in einer speziellen Taseine IPv4-Adresse. Diese Zuordnung belle die Zuordnung DSTM-Client-IPv6-Adresse
8.8 Einsatz der Translation IPv4 ( IPv6 braucht der Router, falls er ein an DSTM-Client adressiertes IPv4-Paket aus dem IPv4-Netz empfangen sollte und es dann in einem IPv6-Paket an DSTM-Client weiterleiten müsste. 4.
Übermittlung eines IPv4-Pakets vom Rechner im IPv4-Netz zum DSTM-Client Rechner B sendet ein IPv4-Paket als Antwort an den DSTM-Client. Der DSTM-Router packt das empfangene IPv4-Paket in ein IPv6-Paket ein und schickt ein solches IPv6-Paket an den DSTM-Client ab. Da der Router die Zuordnung DSTM-Client-IPv6-Adresse seine IPv4-Adresse bereits beim Absenden des IPv4-Pakets ins IPv4-Netz abgespeichert hat (Schritt 3), ist ihm nun die IPv6-Adresse des DSTM-Clients bekannt.
D S T M C lie n t
IP v 6 -N e tz
A
D N S v 6 S e rv e r D N S Q u e ry B ? 1
D S T M S e rv e r
2
IP v 4 -A d r = ? , T E P = ?
D S T M R o u te r
IP v 4 -N e tz D N S S e rv e r
T E P = 2 0 0 2 :1 0 ::1
B
B = 1 5 5 .1 .1 .1 0
3
IP v 4 -A d r = X , T E P = Y IP v 6 -P a k e t { Q 6 = 2 0 0 2 :1 0 ::5 3 , Z 6 = 2 0 0 2 :1 0 ::1 , [IP v 4 -P a k e t]} IP v 6 -P a k e t { Q 6 = 2 0 0 2 :1 0 ::1 , Z 6 = 2 0 0 2 :1 0 ::5 3 ,[ I P v 4 - P a k e t] }
I P v 4 - P a k e t ( Q 4 = 1 .1 .1 .1 3 2 , Z 4 = 1 5 5 .1 .1 .1 0 , ... ) I P v 4 - P a k e t ( Q 4 = 1 5 5 .1 .1 .1 0 , Z 4 = 1 .1 .1 .1 3 2 , ... ) 4
Q 4 : Q u e ll-IP v 4 -A d re s s e , Q 6 : Q u e ll-IP v 6 -A d re s s e , Z 4 : Z ie l-IP v 4 -A d re s s e , Y = 2 0 0 2 :1 0 ::1 Z 6 : Z ie l- I P v 6 - A d r e s s e , X = 1 .1 .1 .1 3 2
Abb. 8.7-2: Beispiel für einen Verlauf der Kommunikation bei DSTM
8.8
Einsatz der Translation IPv4
IPv6
Die Kommunikation zwischen IPv4-Rechner am IPv4-Netz und IPv6-Rechner am IPv6-Netz ist auch mithilfe der Translation IPv4 IPv6 möglich. Sie kann in einem Router zwischen diesen beiden Netzen stattfinden. Es gibt zwei Konzepte für die Integration der IPv4- und IPv6-Netze, die auf dieser Translation basieren, die nun näher dargestellt werden: SIIT (Stateless IP/ICMP Translation Algorithm) und NAT-PT (Network Address Translation –Protocol Translation).
8.8.1 Einsatz von SIIT SIIT beschreibt die zustandslosen Translationen IPv4 IPv6 und ICMPv4 Was ist ICMPv6. Das Wort zustandslos verweist darauf, dass der Header jedes IP- SIIT?
335
336
8
Migration zum IPv6-Einsatz
Pakets ohne Berücksichtigung des Zustands der Session zwischen den kommunizierenden Rechnern übersetzt wird. Damit wird die Session nicht beeinflusst. Mithilfe von SIIT ist es möglich, eine IPv6-Domain mit einer IPv4-Domain so zu vernetzen, dass die Kommunikation zwischen einem IPv6-Rechner aus einer IPv6-Domain und einem IPv4-Rechner aus einer IPv4-Domain stattfinden kann. Um dies zu erreichen, muss der Rechner mit IPv6 nur eine besondere IPv6-Adresse besitzen, die man als IPv4-translated IPv6-Adresse bezeichnet [Abb. 6.9-8c]. Abbildung 8.8-1 illustriert die Bedeutung von SIIT. P ro to k o llT ra n s la tio n
IP v 6 -A d r = A IP v 6 -D o m a in
R + S IIT
IP v 4 -N e tz
IP v 6 -K o m m u n ik a tio n
IP v 4 -R
IP v 4 -A d r = B IP v 4 -D o m a in
IP v 4 -K o m m u n ik a tio n
IP -K o m m u n ik a tio n
Abb. 8.8-1: Integration der IPv4- und IPv6-Netze mithilfe von SIIT R+SIIT: Router mit SIIT
Da die Kommunikation innerhalb des IPv4-Netzes nach IPv4 und innerhalb des IPv6-Netzes nach IPv6 erfolgt, muss die Translation IPv4 IPv6 vom Router an der Grenze zwischen diesen beiden Netzen vorgenommen werden. Hierbei handelt es sich im Grunde genommen um eine entsprechende Header-Translation zwischen IPv4 und IPv6. Um die in Abbildung 8.8-1 dargestellte IP-Kommunikation zu ermöglichen, muss der Router auch die Translation ICMPv4 ICMPv6 realisieren. SIIT beschreibt diese Translation ebenfalls. Adressierung bei SIIT Spezielle IPv6Adressen
SIIT verwendet IPv4-mapped IPv6-Address und IPv4-translated IPv6-Address. Die Struktur dieser IPv6-Adressen wurde in Abschnitt 6.9.5 gezeigt [Abb. 6.9.8]. IPv4-mapped IPv6-Address hat das Format ::FFFF:a.b.c.d, wobei a.b.c.d eine IPv4-Adresse ist. Eine derartige IPv6-Adresse hat das Präfix ::FFFF::/96 und wird von einem IPv6-only-Rechner im IPv6-Netz verwendet, um einen IPv6-only-Rechner im IPv4-Netz als Ziel anzugeben [Abb. 8.8-2]. Eine IPv4-translated IPv6-Address hat das Format ::FFFF:0:w.x.y.z, wobei w.x.y.z eine IPv4-Adresse ist. Diese IPv6-Adresse hat das Präfix ::FFFF:0/96 und wird verwendet, um eine Quell-IPv6-Adresse im IPv6Header aus einer IPv4-Adresse zu generieren.
8.8 Einsatz der Translation IPv4 ( IPv6
337
Die Präfixe ::FFFF/96 und ::FFFF:0/96 in diesen beiden IPv6-Adresstypen sollen garantieren, dass die Prüfsumme im TCP- bzw. UDP-Header nach der Translation des IP-Header nicht neu berechnet werden muss. Abbildung 8.8-2 illustriert die Adressierung bei SIIT. Der IPv6-Rechner im Prinzip der IPv6-Netz hat eine IPv4-translated IPv6-Adresse. Die Zieladresse im IPv6- Adressierung Paket mit dem Ziel im IPv4-Netz ist eine IPv4-mapped IPv6-Adresse mit dem Präfix ::FFFF/96. Dieses Präfix sagt dem Router, dass es sich um ein Paket handelt, das in das IPv4-Netz weitergeleitet und SIIT angewandt werden muss. Die IPv4-Adressen X4 und Y4 werden im Router aus den Ziel- und QuellIPv6-Adressen „herausgenommen“ und als Ziel- und Quell-IPv4-Adressen im – in das IPv4-Netz – zu sendenden IPv4-Paket verwendet. Darin besteht u.a. die Bedeutung von IPv4-mapped und IPv4-translated IPv6-Adressen. D A = ::F F F F :Y 4 S A = ::F F F F :0 :X 4 IP v 6 R e c h n e r
X 4 : IP v 4 -A d r
IP v 4
IP v 6 IP v 6 -D o m a in
IP v 4 -tra n s la te d IP v 6 -A d r = ::F F F F :0 :X 4
D A = Y 4 S A = X 4
IP v 4 -m a p p e d IP v 4 -tr a n s la te d
R + S IIT T ra n s la tio n IP v 6 < = > IP v 4
IP v 6 D A = ::F F F F :0 :X 4 S A = ::F F F F :Y 4
IP v 4 R e c h n e r
IP v 4 -D o m a in IP v 4 D A = X 4 S A = Y 4
IP v 4 -A d r. = Y 4
Abb. 8.8-2: Veranschaulichung des Adressierungsprinzips beim Einsatz von SIIT DA: Destination Address, SA: Source Address, R+SIIT: Router mit SIIT
Das seitens des IPv4-Netzes empfangene IPv4-Paket enthält nur die IPv4Adressen. Wie Abbildung 8.8-2 zeigt, werden die IPv6-Adressen im Router wie folgt gebildet: Aus der Ziel-IPv4-Adresse X4 entsteht die Ziel-IPv6-Adresse als IPv4translated IPv6-Adresse ::FFFF:0:X4 Aus der Quell-IPv4-Adresse Y4 entsteht die Quell-IPv6-Adresse als IPv4mapped IPv6-Adresse ::FFFF:Y4 Betrachtet man die Adressierung bei SIIT, so sieht man seitens des IPv4-Netzes das IPv6-Netz als ein Netz mit nur IPv4-Adressen. Die Voraussetzung für SIIT ist, dass ein IPv6-Rechner, der mit einem IPv4-Rechner die IP-Pakete tauschen möchte, für die Dauer der Kommunikation eine offizielle IPv4-Adresse zugewiesen bekommt. Aus dieser IPv4-Adresse kann er eine IPv4-translated IPv6Adresse generieren.
338
8
Migration zum IPv6-Einsatz
Translation IPv4 Situationen bei der Translation
IPv6
Bei der Vernetzung eines IPv6-Netzes mit einem IPv4-Netz entstehen die in Abbildung 8.8-3 dargestellten Situationen. v o lls tä n d ig e s IP v 6 -P a k e t IP v 6 T e ilp a k e t
P a y lo a d P a y lo a d
F rg H
IP v 6
F a ll 3
D a te n
T C P
IP v 4
v o lls tä n d ig e s IP v 4 -P a k e t
IP v 6
F a ll 4
D a te n
T C P
IP v 4
IP v 4 T e ilp a k e t
IP v 6 -N e tz v o lls tä n d ig e s IP v 6 -P a k e t
IP v 6
IP v 6 T e ilp a k e t
IP v 6
P a y lo a d F rg H
IP v 4 -N e tz
R + S IIT
P a y lo a d
Abb. 8.8-3: Situationen bei der Translation IPv4
F a ll 1
IP v 4
T C P
D a te n
v o lls tä n d ig e s IP v 4 -P a k e t
F a ll 2
IP v 4
T C P
D a te n
IP v 4 T e ilp a k e t
IPv6
R+SIIT: Router mit SIIT; FrgH: Fragment Header
Bei der Übermittlung eines IPv4-Pakets in das IPv6-Netz sind folgende zwei Fälle zu unterscheiden: Fall 1: Ein IPv4-Paket wird auf ein IPv6-Paket umgesetzt. Hier findet die Translation IPv4-Header IPv6-Header statt. Fall 2: Das IPv4-Paket war zu lang und wurde auf der IPv4-Seite aufgeteilt. In diesem Fall ist das IPv4-Paket ein IPv4-Teilpaket. Daher muss im Router ein Erweiterungs-Header Fragment Header im IPv6-Paket hinzugefügt werden. Hier findet die Translation IPv4-Header (IPv6-Header + Fragment Header) statt, damit die einzelnen IPv4-Teilpakete zu einem vollständigen IPv4-Paket zusammengesetzt werden können. Bei der Übermittlung eines IPv6-Pakets in das IPv4-Netz kommen noch folgende zwei Fälle hinzu: Fall 3: Ein IPv6-Paket wird auf ein IPv4-Paket umgesetzt. Hier findet die Translation IPv6-Header IPv4-Header statt. Fall 4: Ein IPv6-Paket enthält einen Fragment Header (d.h. es ist ein Teilpaket) und wird auf ein IPv4-Teilpaket umgesetzt. Hier findet die Translation (IPv6-Header + Fragment Header) IPv4-Header statt. Bei der Translation IPv4 IPv6 müssen diese Fälle berücksichtigt werden. IPv4 IPv6; Fall 1
IPv6-Header, falls Abbildung 8.8-4 illustriert die Translation IPv4-Header das IPv4-Paket auf der IPv4-Seite nicht aufgeteilt wurde, d.h. es ist vollständig und somit kein Teilpaket. Diese Translation entspricht dem Fall 1 in Abbildung 8.8-3 bei der Übermittlung eines IPv4-Pakets in das IPv6-Netz.
8.8 Einsatz der Translation IPv4 ( IPv6
IP v 4 -H e a d e V e r. H L Id e n tif T T L S D
r T O S ic a tio n P ro to c o o u rc e -IP e s tin a tio O p tio n
P a c k e t L e n g th F la g s F ra g m e n t O ffs e t l C h e c k su m -A d d re ss n -IP -A d d re ss P a d d in g s s
Abb. 8.8-4: Translation IPv4-Header
V e r. T ra ffic C la s s P a y lo a d L e n g th
339
IP v 6 -H e a d e r F lo w L a b e l = 6 N e x t H e a d e r H o p L im it
S o u rc e -IP -A d d re ss D e s tin a tio n -IP -A d d re s s E s w ird n e u g e n e rie rt.
IPv6-Header; Fall 1 in Abb. 8.8-3
Ver.: Version, HL: Header Length, TOS: Type of Service, TTL: Time to Live
Aus einem IPv4-Header entsteht ein IPv6-Header wie folgt: Version: Hier wird 6 angegeben. Traffic Class: Hier wird das Feld TOS aus dem IPv4-Header übernommen. Flow Label: Hier wird 6 angegeben. Payload Length: Hier wird die Differenz Packet Length – Header Length aus dem
IPv4-Header eingetragen. Next Header: Hier wird die Angabe Protocol aus dem IPv4-Header übernommen. Hop Limit: Da der Translator auch ein Router ist, wird TTL aus dem IPv4-Header genommen und hier der Wert TTL-1 eingetragen. Source Address: Hier wird die IPv4-mapped IPv6-Adresse mit der Quell-IPv4-Adresse aus dem IPv4-Header eingetragen [Abb. 6.9-8b]. Destination Address: Hier wird die IPv4-translated IPv6-Adresse mit der Ziel-IPv4Adresse aus dem IPv4-Header eingetragen [Abb. 6.9-8c]. Optionen aus dem IPv4-Header werden ignoriert und erscheinen nicht mehr im IPv6-Paket.
IPv6-Header, falls IPv4 Abbildung 8.8-5 illustriert die Translation IPv4-Header das IPv4-Paket auf der IPv4-Seite aufgeteilt wurde, d.h. ein Teilpaket darstellt. IPv6; Fall 2 Diese Translation entspricht dem Fall 2 in Abbildung 8.8-3 bei der Übermittlung eines IPv4-Pakets in das IPv6-Netz. IP v 4 -H e a d e r V e r. H L T O S Id e n tific a tio n P ro to c o T T L S o u rc e -IP D e s tin a tio O p tio n
P a c k e t L e n g th F la g s F ra g m e n t O ffs e t C h e c k su m l -A d d re ss n -IP -A d d re ss P a d d in g s s
E s w ird n e u g e n e rie rt.
F r a g m e n t H e a d e r
Abb. 8.8-5: Translation IPv4-Header
V e r. T ra ffic C la s s P a y lo a d L e n g th
IP v 6 -H e a d e r F lo w L a b e l N e x t H e a d e r H o p L im it
S o u rc e -IP -A d d re ss D e s tin a tio n -IP -A d d re s s N e x t H e a d e r
re s e rv ie rt F ra g m e n t O ffse t Id e n tific a tio n
R M
IPv6-Header; Fall 2 in Abb. 8.8-3
M: More Fragments, R: Reserved, weitere Abkürzungen wie in Abb. 8.8-4
Sofern auf IPv6-Seite ein Fragment Header im IPv6-Paket enthalten sein muss, sind folgende Modifikationen im Vergleich zur Translation in Abbildung 8.8-4 notwendig:
340
8
Migration zum IPv6-Einsatz Payload Length: Hier wird der Wert Packet Length - Header Length + 8 eingetragen. Packet Length und Header Length sind die Angaben aus dem IPv4-Header. Die Zahl 8 ist die Länge von Fragment Header. Next Header: Hier wird 44 eingetragen, um auf Fragment Header zu verweisen.
Der Fragment Header entsteht wie folgt: Next Header: Hier wird die Angabe Protocol aus dem IPv4-Header übernommen. Fragment Offset: Hier wird Fragment Offset aus dem IPv4-Header übernommen. M-Bit (More Fragment Bit): Hier wird das M-Bit aus dem Feld Flags im IPv4-Header übernommen. Identification: Hier wird Identification aus dem IPv4-Header übernommen und die
oberen 16 Bits werden auf 0 gesetzt.
IPv6 IPv4; Fall 3
Die Translation IPv6-Header IPv4-Header, falls das IPv6-Paket auf der IPv6-Seite nicht aufgeteilt wurde, zeigt Abbildung 8.8-6. Hier enthält das IPv6Paket keinen Fragment Header. Diese Translation entspricht dem Fall 3 in Abbildung 8.8-3. IP v 6 -H e a d e r V e r. T ra ffic C la s s P a y lo a d L e n g th
F lo w L a b e l N e x t H e a d e r H o p L im it
S o u rc e -IP -A d d re ss D e s tin a tio n -IP -A d d re s s
V e r.
H L Id e n tific a P T T L S o u D e s
T O S tio n ro to c o rc e -IP tin a tio O p tio n
IP v 4 -H P a c k e t L e n g F la g s F ra g m e n t O l C h e c k su m -A d d re ss n -IP -A d d re ss P a d d s
th
e a d e r
ffse t
in g s
E s w ird n e u g e n e rie rt.
Abb. 8.8-6: Translation IPv6-Header IPv4-Header; Fall 3 in Abb. 8.8-3 Abkürzungen wie in Abb. 8.8-4 Aus einem IPv6-Header entsteht ein IPv4-Header wie folgt: Version: Hier wird 4 angegeben. Header Length: Hier wird die IPv4-Header-Länge angegeben. Falls keine Optionen hinzu-
gefügt werden, enthält der Header 5*32-Bits-Worte. In diesem Fall steht hier 5. Type of Service (TOS): Hier wird Traffic Class aus dem IPv6-Header übernommen. Packet Length: Hier wird der Wert Payload Length + Header Length eingetragen. Hierbei stellt Header Length die Länge des IPv4-Header dar und Payload Length wird aus dem IPv6-Header übernommen. Identification: Da das IPv4-Paket kein Teilpaket ist wird hier 0 eingetragen. Flags: Hier werden die Bits wie folgt gesetzt: − MF = 0 (MF: More Fragments); das letzte Paket aus einer Folge. − DF = 1 (DF: Don´t Fragments); Paket darf nicht aufgeteilt werden. Fragment Offset: Hier wird 0 eingetragen. TTL: Da der SIIT-Translator auch ein Router ist, wird Hop Limit aus dem IPv6-Header genommen und hier der Wert Hop Limit -1 eingetragen.
8.8 Einsatz der Translation IPv4 ( IPv6
341
Protocol: Hier wird Next Header aus dem IPv6-Header übernommen. Checksum: Diese Prüfsumme wird nach Erzeugung des IPv4-Header neu berechnet. Source IP-Address: Hier wird die IPv4-Adresse aus IPv4-translated IPv6-Adresse [Abb. 6.9-8c] im Feld Source IP-Address des IPv6-Header übernommen. Destination IP-Address: Hier wird die IPv4-Adresse aus IPv4-mapped IPv6-Adresse [Abb. 6.9-8b] im Feld Destination IP-Address des IPv6-Header übernommen.
Enthält das IPv6-Paket die IPv6-Optionen (als Erweiterungs-Header), werden diese ignoriert.
Die Translation IPv6-Header IPv4-Header, falls das IPv6-Paket auf der IPv6 IPv6-Seite aufgeteilt wurde, zeigt Abbildung 8.8-7. Hier enthält das IPv6-Paket IPv4; Fall4 einen Fragment Header. Die beiden IPv6-Header, d.h. Basis-IPv6-Header und Fragment Header, müssen auf einen IPv4-Header übersetzt werden. Dies entspricht dem Fall 4 in Abbildung 8.8-3. IP v 6 -H e a d e r V e r. T ra ffic C la s s P a y lo a d L e n g th
F lo w L a b e l N e x t H e a d e r H o p L im it
S o u rc e -IP -A d d re ss D e s tin a tio n -IP -A d d re s s F r a g m e n t H e a d e r F ra g m e n t O ffse t N e x t H e a d e r re s e rv ie rt Id e n tific a tio n R M
V e r. T T L
H L
T O S Id e n tific a tio P ro to c o S o u rc e -IP D e s tin a tio O p tio n n
l -A n s
IP v 4 -H e a d e r P a c k e t L e n g th F la g s F ra g m e n t O ffs e t C h e c k su m d d re ss IP -A d d re ss P a d d in g s
E s w ird n e u g e n e rie rt.
Abb. 8.8-7: Translation IPv6-Header IPv4-Header; Fall 4 in Abb. 8.8-3 Abkürzungen wie in Abb. 8.8-4 Falls auf IPv6-Seite ein Fragment Header im IPv6-Paket enthalten ist, sind folgende Modifikationen im Vergleich zur Translation in Abbildung 8.8-7 notwendig: Packet Length: Hier wird Payload Length + Header Length - 8 eingetragen. Header Length stellt die Länge des IPv4-Header dar, Payload Length wird aus dem IPv6Header übernommen und Minus 8 ist hier wegen des Fragment Header. Identification: Hier werden die unteren 16 Bits aus dem Feld Identification im Fragment Header übernommen.
Flags: Hier werden die Bits wie folgt gesetzt: − MF = 0 (MF: More Fragments); Als MF-Bit wird das M-Bit aus Fragment Header übernommen. − DF = 0 (DF: Don´t Fragments). Fragment Offset: Hier wird Fragment Offset aus Fragment Header übernommen. Protocol: Hier wird Next Header aus Fragment Header übernommen.
Die ICMPv4-Nachrichten werden bei SIIT auf die ICMPv6-Nachrichten umge- Translation setzt. Tabelle 8.8-1 zeigt die Abbildungen von ICMPv4-Nachrichten auf ICMPv4 ICMPv6 ICMPv6-Nachrichten.
342
8
Migration zum IPv6-Einsatz
ICMPv4-Nachricht
ICMPv6-Nachricht
Echo Request/Reply (Typ 8 und 0)
Echo Request/Reply (Typ 128 und 129)
Redirect (Typ 1)
Wird verworfen
Source Quench (Typ 4)
Wird verworfen
Destination Unreachable (Typ 3)
Destination Unreachable (Typ 1)
Time Exceeded (Typ 11)
Time Exceeded (Typ 3) Code-Feld unverändert
Parameter Problem (Typ 12)
Parameter Problem (Typ 4)
Timestamp Request/Reply
Wird verworfen
(Typ 13 und 14) Address Mask Request/Reply
Wird verworfen
(Typ 17 und 18) Tab. 8.8-1:
Translation ICMPv6 ICMPv4
Abbildung: ICMPv4-Nachricht
ICMPv6-Nachricht
Die Nachrichten Timestamp Request/Reply sowie Address Mask Request/Reply werden bei ICMPv6 nicht definiert. Somit können diese auf keine ICMPv6-Nachrichten umgesetzt werden. Sie werden an der Grenze zum IPv6-Netz einfach ignoriert. ICMPv6 wurde im Vergleich zu ICMPv4 um einige Nachrichten für die Unterstützung der Multicast-Kommunikation und der automatischen Adresskonfiguration erweitert. Nur ICMPv6-Nachrichten für Echo-Request/Reply sowie für Fehlermeldungen können daher auf entsprechende ICMPv4-Nachrichten abgebildet werden. Diese ICMPv6-Nachrichten, denen keine ICMPv4-Nachricht entspricht, werden am Übergang zum IPv4-Netz verworfen. Tabelle 8.8-2 zeigt die Abbildung von ICMPv6-Nachrichten auf ICMPv4-Nachrichten. ICMPv6-Nachricht Echo Request/Reply
(Typ 128 und 129)
ICMPv4-Nachricht Echo Request/Reply (Typ 8 und 0)
Destination Unreachable (Typ 1)
Destination Unreachable (Typ 3)
Packet Too Big (Typ 2)
Destination Unreachable (Typ 3), Code = 4
Time Exceeded (Typ 3)
Time Exceeded (Typ 11)
Parameter Problem (Typ 4)
Falls Code = 4: Time Exceeded (Typ 11) Andere Codes: Parameter Problem (Typ 12)
Group Membership Messages
(Typen 130, 131 und 132) Router-Solicitation/Advertisement (Typen 133 und 134) Neighbor-Solicitation/Advertisement (Typen 135 und 136)
Redirect (Typ 137) Tab. 8.8- 2: Abbildung: ICMPv6-Nachricht
Werden verworfen Werden verworfen Werden verworfen Wird verworfen ICMPv4-Nachricht
8.8 Einsatz der Translation IPv4 ( IPv6
343
8.8.2 Einsatz von NAT-PT Eine weitere Lösung für die Integration der IPv4- und IPv6-Netze stellt NAT- Begriff PT (Network Address Translation - Protocol Translation) dar. NAT-PT integ- „Realm“ riert in sich SIIT und NAT. Bei NAT-PT verwendet man den Begriff AddressRealm bzw. kurz Realm. Darunter wird eine (Internet-)Domain im Sinne von DNS als Adressbereich verstanden [Abschnitt 5.1]. In diesem Zusammenhang bezeichnet man ein Realm mit IPv4-Adressen als IPv4-Realm und dementsprechend ein Realm mit IPv6-Adressen als IPv6-Realm. Ein Realm kann sich aus mehreren IP-Subnetzen zusammensetzen. Wie Abbildung 8.8-8 zeigt, ist es mit NAT-PT möglich, ein IPv4-Netz mit einem IPv6-Netz so zu integrieren, dass die IP-Kommunikation zwischen einem Rechner mit nur IPv6 und einem Rechner mit nur IPv4 stattfinden kann [Abb. 8.8-8a]. zwei IPv6-Netze über das Internet zu verbinden [Abb. 8.8-8b]. a )
IP v 4 -N e tz
IP v 6 -N e tz n u r IP v 6
IP v 6 -R e a lm
R o u te r N A T -P T
n u r IP v 4
IP v 4 -R e a lm
IP v 4 IP v 6 K o m m u n ik a tio n K o m m u n ik a tio n IP -K o m m u n ik a tio n b ) n u r IP v 6
IP v 6 -N e tz IP v 6 -R e a lm
IP v 6 -N e tz
IP v 4 -N e tz R o u te r In te rn e t N A T -P T IP -K o m m u n ik a tio n
R o u te r N A T -P T
IP v 6 -R e a lm
n u r IP v 6
Abb. 8.8-8: Bedeutung von NAT-PT: a) Integration eines IPv4-Netzes mit einem IPv6-Netz, b) Vernetzung von IPv6-Netzen über das IPv4-Internet
Bei der Übermittlung jedes IPv6-Pakets in das IPv4-Netz wird der IPv6-Header NAT-PT = in den IPv4-Header an der Grenze zum IPv4-Netz übersetzt. Andererseits wird SIIT + NAT bei der Übermittlung jedes IPv4-Pakets in das IPv6-Netz der IPv4-Header in den IPv6-Header übersetzt. Dies ist die Funktion PT von NAT-PT und sie entspricht der Funktion von SIIT. Auf eine ähnliche Art und Weise werden ICMPv4-Nachrichten auf ICMPv6Nachrichten und umgekehrt umgesetzt. Bei der Übermittlung eines IPv6-Pakets in das IPv4-Netz werden IPv6Adressen auf IPv4-Adressen übersetzt. Andererseits werden bei der Übermittlung eines IPv4-Pakets in das IPv6-Netz IPv4-Adressen auf IPv6-Adressen übersetzt. Diese Übersetzung von IP-Adressen entspricht der NAT-Funktion bei
344
8
Migration zum IPv6-Einsatz
NAT-PT. Bei NAT von NAT-PT werden die IPv6-Adressen im IPv6-Realm seitens des IPv4-Netzes als private IPv4-Adressen „gesehen“. NAT-PT versus SIIT
Arten von NAT-PT
SIIT und NAT-PT sind zwei Ansätze für die Unterstützung der Migration zum IPv6-Einsatz. Bei SIIT müssen den Rechnern im IPv6-Netz spezielle IPv6Adressen, die sog. IPv4-translated IPv6-Adressen, zugeteilt werden. Dies ist eine Einschränkung. Bei NAT-PT können den Rechnern im IPv6-Netz dagegen beliebige IPv6-Adressen zugeteilt werden. Bei NAT-PT ist es möglich, zwei IPv6-Netze über das IPv4-Internet miteinander zu verbinden [Abb. 8.8-8b]. Dies ist mit SIIT nicht möglich. NAT-PT ist im Vergleich zu SIIT ein allgemeineres Konzept für die Unterstützung der Migration zu IPv6. SIIT ist nur ein Bestandteil von NAT-PT. Man unterscheidet zwischen Traditional NAT-PT (traditionellem NAT-PT) und Bidirectional NAT-PT (bidirektionalem NAT-PT). Abbildung 8.8-9 zeigt die Unterschiede zwischen diesen Arten von NAT-PT. Id e e : IP v 6 -A d r e s s e n a ls p r iv a te IP v 4 -A d r e s s e n R e c h n e r A a ) b )
IP v 6 -R e a lm
R o u te r N A T -P T
IP v 4 -R e a lm
T ra d itio n a l N A T -P T (O u tb o u n d N A T -P T )
R e c h n e r B
B id ire c tio n a l N A T -P T
Abb. 8.8-9: Arten von NAT-PT: a) Traditional NAT-PT, b) Bidirectional NAT-PT
Bei Traditional NAT-PT kann ein Rechner aus einem IPv6-Realm, d.h. ein Rechner mit einer IPv6-Adresse, nur „nach außen abgehende“ IPv6-Pakete zu Rechnern im IPv4-Realm senden. In diesem Fall ist daher nur die vom IPv6Netz zum IPv4-Netz initiierende Kommunikation möglich. Um zu ermöglichen, dass einerseits die Rechner im IPv6-Realm die Kommunikation zum IPv4-Realm und andererseits die Rechner im IPv4-Realm die Kommunikation zum IPv6-Realm initiieren können, ist eine spezielle Variante von NAT-PT notwendig. Sie nutzt den DNS-Dienst und wird als Bidirectional NAT-PT bzw. Two-Way NAT-PT bezeichnet. Varianten von Traditional NAT-PT
Jeder Router mit NAT-PT verwaltet eine Adressumsetzungstabelle, in der die Zuweisung von IPv6- und IPv4-Adressen abgespeichert ist. Diese Tabelle kann statisch oder dynamisch sein. In einer statischen Tabelle wird jeder IPv6Adresse eine IPv4-Adresse fest zugeordnet. In einer dynamischen Tabelle da-
8.8 Einsatz der Translation IPv4 ( IPv6
345
gegen wird eine IPv4-Adresse einer IPv6-Adresse bei Bedarf aus einem Pool von IPv4-Adressen zugewiesen. Je nachdem wie viele IPv4-Adressen dem ganzen IPv6-Realm zur Verfügung stehen, unterscheidet man folgende Varianten von Traditional NAT-PT: Basic NAT-PT Bei Basic NAT-PT stehen einem IPv6-Realm m (m > 1) IPv4-Adressen zur Verfügung, sodass bis zu m Kommunikationsbeziehungen mit den Rechnern im IPv4-Realm gleichzeitig verlaufen können. NAPT-PT (Network Address Port Translation - Protocol Translation) Bei NAPT-PT steht einem IPv6-Realm nur eine IPv4-Adresse zur Verfügung. Hier muss der Router mehrere IPv6-Adressen auf eine einzige IPv4Adresse abbilden. Einsatz von Basic NAT-PT Abbildung 8.8-10 illustriert das Prinzip von Basic NAT-PT. Dieses Prinzip entspricht dem im Abschnitt 5.1.1 dargestellten Prinzip von NAT [Abb.5.1-1].
R e c h n e r A IP v 6 -A d r. = a
N A T - IP v 6 -A d r. IP v 4 -A d r. T ra n s la tio n ... ... IP v 6 < = > IP v 4 T a b e lle x a IP v 6 -R e a lm Q -IP v 6 -A d r = a Z -IP v 6 -A d r = y Q -IP v 6 -A d r = y Z -IP v 6 -A d r = a
R o u te r S IIT
R e c h n e r B
IP v 4 -R e a lm Q -IP v 4 -A d r = x Z -IP v 4 -A d r = y
IP v 4 -A d r. = y
Q -IP v 4 -A d r = y Z -IP v 4 -A d r = x
Abb. 8.8-10: Veranschaulichung des Konzepts von Basic NAT-PT Adr: Adresse, Q: Quell, Z: Ziel
Seitens des IPv4-Netzes gelten die IPv6-Adressen im IPv6-Realm als private IPv6-Paket IPv4-Adressen, sodass sie im Router an der Grenze zum IPv4-Netz gegen öf- in das fentliche (offizielle) IPv4-Adressen ausgetauscht werden müssen. Falls Rech- IPv4-Netz ner A mit IPv6-Adresse a ein IPv6-Paket an Rechner B mit IPv4-Adresse y üx in bermittelt, wird die IPv6-Adresse a im Router gemäß der Zuordnung a der NAT-Tabelle gegen eine IPv4-Adresse x ausgetauscht. Der Router mit NAT-Funktion sorgt dafür, dass jedes nach außen „abgehende“ IP-Paket mit einer öffentlichen Quell-IPv4-Adresse versehen wird. Bei der Übermittlung des IPv6-Pakets in das IPv4-Netz ist zusätzlich die Funktion von SIIT im Router aktiv und der IPv6-Header wird hier in einen IPv4-Header übersetzt.
346 IPv4-Paket in das IPv6-Netz
8
Migration zum IPv6-Einsatz
Sendet Rechner B aus dem IPv4-Realm mit der Quell-IPv4-Adresse y ein Paket mit der Ziel-IPv4-Adresse x zurück, d.h. an den Rechner aus dem IPv6-Realm mit der IPv6-Adresse a, wird die IPv4-Adresse x im Router gegen die IPv6Adresse a ausgetauscht. Bei der Übermittlung des IPv4-Pakets in das IPv6Netz wird die SIIT-Funktion im Router aktiv und der IPv6-Header in den IPv6Header übersetzt. x bei NAT wird z.B. beim Initiieren durch den Rechner Die Zuordnung a aus dem IPv6-Realm mit der IPv6-Adresse a der ersten Kommunikationsbeziehung nach außen eingetragen. Sollte der Rechner mit der IPv6-Adresse a weitere Kommunikationsbeziehungen nach außen initiieren, wird ihm die gleiche IPv4-Adresse x zugeordnet. Damit gilt die gleiche Zuordnung bei NAT für alle von einem Rechner aus IPv6-Realm abgehenden Verbindungen.
Hat Rechner A aus dem IPv6-Realm mit der IPv6-Adresse a alle Kommunikationsbeziehungen abgebaut, wird die Zuordnung a x bei NAT gelöscht. Damit kann die öffentliche IPv4-Adresse x anderen Rechnern aus dem IPv6Realm zur Verfügung gestellt werden. Einsatz von NAPT-PT Bei NAPT-PT steht einem IPv6-Realm nur eine einzige IPv4-Adresse zur Verfügung, über die eine Vielzahl von Kommunikationsbeziehungen nach außen gleichzeitig verlaufen kann. Hierbei muss der Router alle IPv6-Adressen auf eine einzige IPv4-Adresse abbilden. NAPT-TP nutzt die Tatsache, dass die Nummern der Quell-Ports im Quell-Rechner nur lokale Bedeutung haben und frei wählbar sind. Abbildung 8.8-11 illustriert NAPT-PT. Dieses Prinzip entspricht dem im Abschnitt 5.1.2 dargestellten Prinzip von NAPT [Abb.5.1-2].
N A P T T a b e lle R e c h n e r A IP v 6 -A d r. = a
IP v 6 A d r. ... a
IP v 6 -R e a lm Q -IP v 6 -A d r = a Z -IP v 6 -A d r = y Q u e ll-P o rt = i
Q u e ll- N A T P o rt P o rt ... ... i k R o u te r S IIT
T ra n s la tio n IP v 6 < = > IP v 4
IP v 4 -R e a lm Q -IP v 4 -A d r = x Z -IP v 4 -A d r = y Q u e ll-P o rt = k
Q -IP v 6 -A d r = y Z -IP v 6 -A d r = a Z ie l-P o rt = i
Q -IP v 4 -A d r = y Z -IP v 4 -A d r = x Z ie l-P o rt = k
Abb. 8.8-11: Veranschaulichung des Konzepts von NAPT-PT R: Router, Q-IP-Adr.: Quell-IP-Adresse, Z-IP-Adr.: Ziel-IP-Adresse
R e c h n e r B IP v 4 -A d r. = y
8.8 Einsatz der Translation IPv4 ( IPv6
347
Falls ein Rechner aus dem IPv6-Realm mit der IPv6-Adresse a ein IPv6-Paket IPv6-Paket an den Rechner im IPv4-Realm mit der IPv4-Adresse y übermittelt, wird die in das NAPT-Tabelle mit den Zuordnungen (IPv6-Adresse, Quell-Port) NAT-Port IPv4-Netz interpretiert. Der NAT-Port kann als Identifikation vom Paar (IPv6-Adresse, Quell-Port) angesehen werden. Der NAT-Port k wird in dem IPv4-Paket, das zum IPv4-Realm gesendet wird, als Quell-Port eingetragen. Gleichzeitig wird die IPv6-Adresse a durch die einzige IPv4-Adressse x ersetzt. Hierbei ist zusätzlich SIIT im Router aktiv und der IPv6-Header wird auf den IPv4-Header übersetzt. Sendet der Rechner aus dem IPv4-Realm mit der IP-Adresse y ein Paket mit IPv4-Paket der Ziel-IP-Adresse x zurück, d.h. an den Rechner im IPv6-Realm mit der in das IPv6-Adresse a, ermöglicht es der NAT-Port k, das Paar (IPv6-Adresse = a, IPv6-Netz Quell-Port-Nummer i) in der NAPT-Tabelle zu bestimmen. Hat der Router das Paar (a,i) herausgefunden, wird der NAT-Port k durch den Quell-Port i ersetzt. Gleichzeitig wird die IPv4-Adresse x gegen die IPv6-Adresse a ausgetauscht. Hierbei ist auch SIIT aktiv und der IPv4-Header wird in den IPv6Header abgebildet. Die einer IPv6-Adresse entsprechende Zuordnung in der NAPT-Tabelle wird – wie bei Basic NAT-PT – beim Initiieren vom Rechner mit dieser IPv6-Adresse der ersten Kommunikationsbeziehung zum IPv4-Realm eingetragen. Hat der Rechner mit der IPv6-Adresse a alle Kommunikationsbeziehungen zum IPv4Realm beendet, wird die Zuordnung (a, i) k in der NAPT-Tabelle gelöscht. Bei NAT-PT muss das Protokoll ICMP berücksichtigt werden. Die Überset- NAT-PT und zung von ICMPv4-Nachrichten in ICMPv6-Nachrichten und umgekehrt erfolgt ICMP nach dem SIIT-Prinzip. SIIT ist daher ein Bestandteil von NAT-PT. Da mehrere Nachrichtentypen von ICMP als Inhalt die IP-Adressen übermitteln, müssen diese Adressen bei der Realisierung der NAT-Funktion entsprechend modifiziert werden. ICMP hat somit Auswirkungen auf die NATRealisierung bei NAT-PT. Es gibt mehrere Applikationsprotokolle (z.B. DNS, FTP, SNMP), in denen als Application Nachrichten die IP-Adressen bzw. die TCP/UDP-Ports enthalten sein können. Level Dies muss bei NAT-PT berücksichtigt werden. Hierfür werden sog. Applicati- Gateways on Level Gateways (ALG) eingesetzt [Abschnitt 5.1.6, RFC 2694]. Eine NAT-PTErweiterung um ALG bezeichnet man als NAT-PT/ALG. Einsatz von Bidirectional NAT-PT Bei Bidirectional NAT-PT wird das DNS [Abschnitt 4.1] in Anspruch genommen. Der IPv6-Adresse des DNS-Servers im IPv6-Realm wird in diesem Fall
348
8
Migration zum IPv6-Einsatz
eine öffentliche IPv4-Adresse permanent zugeordnet. Um das Prinzip von Bidirectional NAT-PT darstellen zu können, werden folgende Fälle betrachtet: 1. Ein Rechner aus dem IPv6-Realm initiiert die Kommunikation zu einem Rechner im IPv4-Realm [Abb. 8.8-12]. 2. Ein Rechner im IPv4-Realm initiiert die Kommunikation zu einem Rechner im IPv6-Realm [Abb. 8.8-13]. 3. Ein Rechner aus einem IPv6-Realm initiiert die Kommunikation zu einem Rechner in einem anderen IPv6-Realm, wobei die beiden IPv6-Realms über das IPv4-Internet vernetzt sind [Abb. 8.8-14]. Rechner aus IPv6-Realm initiiert die Kommunikation zu Rechner im IPv4-Realm
Abbildung 8.8-12 illustriert den Verlauf von Bidirectional NAT-PT, wenn Rechner A aus einem IPv6-Realm die Kommunikation zu Rechner B im IPv4Realm initiiert. R e c h n e r A IP v 6 -A d r. = a
N A T D N S -A L G S IIT
IP v 6 -R e a lm D N S
R 1
2
N A T -1
1
IP v 4 -In te rn e t
3
N A T -2
4 6 7
IP v 4 -R e a lm
R 2
D N S
D N S
R e c h n e r B IP v 4 -A d r. = y
N A T -3
5
N A T -4 N A T -5
8
T ra d itio n a l N A T -P T im N A T -1 = N A T -3 : v = > w N A T -2 = N A T -4 : v < = w N A T -5 : a = > x
R 1
v : IP v 6 -A d re s s e v o m D S N im IP v 6 -R e a lm w , x : ö ffe n tlic h e IP v 4 -A d re s s e n
Abb. 8.8-12: Bidirectional NAT-PT beim Initiieren der Kommunikation aus IPv6-Realm zu IPv4-Realm ALG: Application Level Gateway, DNS: Domain Name System, R1, R2: Router
Rechner A aus dem IPv6-Realm initiiert die Kommunikation zum Rechner B im IPv4-Realm, sodass zuerst der Name des Rechners B (z.B. aus URL) mithilfe vom DNS auf seine IPv4Adresse abgebildet werden muss. Hierfür sendet Rechner A eine Anfrage an den lokalen Server DNS (1). Da dieser nicht über die gesuchte Abbildung verfügt, sendet er die Anfrage an ein öffentliches DNS weiter (2). In der NAT-Tabelle im Router R1 wird die IPv4-Adresse w der IPv6Adresse des lokalen DNS-Servers, d.h. der Adresse v, permanent zugeordnet. Daher wird v in w getauscht (NAT-1). Das öffentliche DNS verweist auf den DNS-Server im IPv4-Realm (3). Um die Antwort an den DNS-Server im IPv6-Realm weiterzuleiten, wird die NAT-Funktion im R1 aktiv und seine IPv4Adresse w in die IPv6-Adresse v getauscht (NAT-2). Der DNS-Server aus dem IPv6-Realm holt
8.8 Einsatz der Translation IPv4 ( IPv6 sich die gesuchte Abbildung Rechner-B-Name IPv4-Adresse vom DNS-Server aus dem IPv4Realm (4). Hierbei ist die NAT-Funktion im R1 aktiv (NAT-3). Der DNS-Server aus dem IPv4-Realm sendet einen A-RR (Resource Record) mit der Zuordnung IPv4-Adresse an den DNS-Server aus dem IPv6-Realm (5), (NAT-4). Das Rechner-B-Name DNS-ALG im Router wird nun aktiviert, sodass die Ziel-IPv4-Adresse aus dem empfangenen A-RR in eine IPv4-mapped IPv6-Adresse übersetzt wird. Danach wird ein AAAA-RR mit der ZuIPv4-mapped IPv6-Adresse erzeugt und an den DNS-Server im ordnung Rechner-B-Name IPv6-Realm übergeben. Der DNS-Server im IPv6-Realm leitet die IPv4-mapped IPv6-Adresse des Zielrechners B an Rechner A weiter (6). Da Rechner A die IPv4-mapped IPv6-Adresse des Zielrechners B hat, „sieht“ er den Rechner B, als ob er in einem IPv6-Netz wäre [Abb. 8.8-2]. Rechner A aus dem IPv6-Realm initiiert nun die Kommunikation zum Rechner B (7). Der Router R1 (NAT-Funktion!) ordnet der IPv6-Adresse a des Rechners A eine IPv4-Adresse x zu (NAT5), setzt das IPv6-Paket auf das IPv4-Paket um und leitet das IPv4-Paket weiter (8). Da der IPv6-Adresse a vom Rechner A im R1 die öffentliche IPv4-Adresse x zugeordnet wurde, realisiert R1 im weiteren Verlauf dieser Kommunikation die Funktion von Traditional NAT-PT (d.h. Basic NAT-PT oder NAPT-PT) [Abb. 8.8-10], [Abb. 8.8-11]. Rechner aus IPv4-Realm initiiert die Kommunikation zu Rechner im IPv6-Realm
Den Verlauf von Bidirectional NAT-PT beim Initiieren einer TCP-Verbindung von einem Rechner im IPv4-Realm zu einem Rechner im IPv4-Realm illustriert Abbildung 8.8-13. R e c h n e r A IP v 6 -A d r. = a
IP v 6 -R e a lm D N S
N A T D N S -A L G S IIT R 1
D N S N A T -1
4
N A T -2
D N S 1 2
3 5 6
B a s ic N A T -P T im N A T -1 : v < = w N A T -2 : a = > x u n d v = > w
R e c h n e r B
IP v 4 -R e a lm
R 2
IP v 4 -In te rn e t
IP v 4 -A d r. = y
7
R o u te r R 1
v : IP v 6 -A d re s s e v o m D S N im x : ö ffe n tlic h e IP v 4 -A d re s s e
IP v 6 -R e a lm
Abb. 8.8-13: Bidirectional NAT-PT beim Initiieren der Kommunikation aus einem IPv4-Realm zu einem IPv6-Realm, Abkürzungen wie in Abbildung 8.8-12 Rechner B im IPv4-Realm initiiert die Kommunikation zum Rechner A im IPv6-Realm. Er muss zuerst den Namen des Rechners A auf eine IPv4-Adresse abbilden lassen. Hierfür sendet Rechner B eine Anfrage an den lokalen DNS-Server (1). Da dieser über die gesuchte Abbildung nicht verfügt, fragt er das öffentliche DNS ab (2). Das öffentliche DNS verweist auf den DNS-Server im IPv6-Realm, sodass die gesuchte Abbildung von ihm abgefragt wird (3). Dem öffentlichen DNS ist der DNS-Server im IPv6-Realm unter seiner offiziellen IPv4-Adresse w bekannt. Um diesen im IPv6-Realm zu erreichen, wird seitens des IPv4-Netzes seine IPv4-Adresse w gegen seine „wahre“ IPv6-Adresse v im Router R1 ausgetauscht (NAT-1). Der DNS-Server im IPv6-Realm antwortet mit der IPv6-Adresse a des Rechners A. Da Rechner A diese IPv6-Adresse nach außen nicht bekannt gegeben darf, wird ihr im Router R1 eine öffent-
349
350
8
Migration zum IPv6-Einsatz
liche IPv4-Adresse x (NAT-2, Basic NAT-Funktion) zugeordnet. Diese Zuordnung wird somit für die von außen „ankommende“ Kommunikation angelegt und bleibt eine bestimmte Zeit in der NAT-Tabelle bestehen. Wird diese Zuordnung innerhalb dieser Zeit nicht gelesen, d.h. weder der Rechner A hat ein IPv6-Paket nach außen gesendet noch R1 ein IPv4-Paket von außen zum Rechner A weitergeleitet, wird diese neue Zuordnung in der NAT-Tabelle gelöscht. Nach der Zuordnung der öffentlichen IPv4-Adresse x zum Rechner A, sendet R1 eine DNSNachricht (mit A-RR) mit der IPv4-Adresse x von Rechner A an den DNS-Server im IPv4Realm (5). Danach übermittelt er diese DNS-Nachricht an Rechner B (6). Die IPv4-Adresse x des Rechners A, die ihm aktuell im R1 zugeordnet wurde, ist dem Rechner B nun bekannt. IPv4-Rechner B initiiert die Kommunikation zum IPv6-Rechner A (7). Da der IPv6-Adresse a vom Rechner A im R1 eine IPv4-Adresse zugeordnet wurde, realisiert R1 im weiteren Verlauf dieser Kommunikation die Funktion von Basic NAT PT [Abb. 8.8-10]. IPv6-Kommunikation zwischen IPv6-Realms über das IPv4-Internet
Den Verlauf von Bidirectional NAT-PT bei der IPv6-Kommunikation zwischen IPv6-Realms über das IPv4-Internet illustriert Abbildung 8.8-14. R e c h n e r A IP v 6 -A d r. = a
IP v 6 R e a lm X
N A T D N S -A L G S IIT
D N S
R 1
2
N A T -1
1
7
N A T -3 N A T -7
D N S
D N S
R e c h n e r B IP v 6 -A d r. = b
N A T -4
4 6
N A T -6
8
IP v 6 R e a lm Y
R 2
3
N A T -2
4
N A T D N S -A L G S IIT
IP v 4 In te rn e t
9
N A T -5
5
N A T -8
1 0
T ra d itio n a l N A T -P T in R 1 u n d B a s ic N A T in R 2 N A T -1 N A T -2 v , c : IP v w , x , y ,
= N = N 6 -A z : ö
A T -3 : v A T -6 : v d re sse n ffe n tlic h
= > < = v o e I
N A N A m D S N im P v 4 -A d re s w
w
T -4 : c = > z T -5 : c < = z IP v 6 -R e a lm s se n
N A T -7 : a = > x N A T -5 : y < = b N A T -8 : y = > b
Abb. 8.8-14: Verlauf von Bidirectional NAT-PT bei der Kommunikation zwischen IPv6-Realms über das IPv4-Internet, Abkürzungen wie in Abbildung 8.8-12 Die ersten Schritte 1, 2 und 3 in Abbildung 8.8-14 entsprechen den Schritten 1, 2 und 3 in Abbildung 8.8-12. Es wurde hier angenommen, dass der DNS-Server im IPv6-Realm Y die IPv6Adresse c hat und dass ihr im Router R2 permanent die IPv4-Adresse z zugeordnet wird. Rechner A initiiert die Kommunikation nach außen zum Rechner B. Daher muss zuerst mithilfe vom DNS der Name des Rechners B auf seine IP-Adresse abgebildet werden. Hierfür sendet Rechner A eine Anfrage an den lokalen DNS-Server (1). Da er über die gesuchte Abbildung nicht verfügt, sendet dieser die Anfrage an das öffentliche DNS weiter (2). Bei NAT im R1 wird die IPv4-Adresse w der IPv6-Adresse v des DNS-Servers aus IPv6-Realm X permanent zugeordnet. Nun wird v auf w im R1 getauscht (NAT-1). Das öffentliche DNS verweist auf den DNS-Server im IPv6-Realm Y (3). Um diese Antwort an den DNS-Server im IPv6-
Schlussbemerkungen
351
Realm X zu übergeben, wird seine IPv4-Adresse w gegen seine IPv6-Adresse v im R1 getauscht (NAT-2). Der DNS-Server aus dem IPv6-Realm X sendet nun eine Anfrage nach Abbildung Rechner-BIP-Adresse an den DNS-Server im IPv6-Realm Y (4). Unterwegs wird die NATName Funktion sowohl im R1 (NAT-3) als auch im R2 in Anspruch genommen. Hierbei wird die IPv6Adresse v des DNS-Servers aus IPv6-Realm X auf seine IPv4-Adresse w (NAT-3) und die IPv4Adresse z des DNS-Servers aus IPv6-Realm Y auf seine IPv6-Adresse c übersetzt (NAT-4). Der DNS-Server aus dem IPv6-Realm Y antwortet auf die Anfrage nach der gesuchten Abbildung (5). Diese Antwort enthält eine DNS-Nachricht (AAAA-RR) mit der Abbildung Rechner-BIPv6-Adresse. Im R2 werden nun die beiden NAT- und DNS-ALG-Funktionen aktiv, Name sodass die IPv4-Adresse y der IPv6-Adresse b des Rechners B zugeordnet wird (NAT-5). Zusätzlich wird seine IPv6-Adresse b in der DNS-Nachricht gegen die IPv4-Adresse y getauscht. An den DNS-Server im IPv6-Realm X wird somit die DNS-Nachricht als A-RR mit der ZuordIPv4-Adresse y übermittelt (6). Im R1 wird die IPv4-Adresse w des nung Rechner-B-Name DNS-Servers aus IPv6-Realm X gegen seine IPv6-Adresse v getauscht (NAT-6), um ihn im IPv6-Realm X zu erreichen. Zugleich wird die DNS-ALG-Funktion aktiv, sodass die IPv4Adresse y, die als IPv4-Adresse des Rechners B gilt, aus dem empfangenen A-RR herausgenommen und in eine IPv4-mapped IPv6-Adresse übersetzt wird. Diese IPv4-mapped IPv6Adresse als Ersatz-IPv6-Adresse vom Rechner B übergibt R1 im AAAA-RR an den DNS-Server im IPv6-Realm X und er leitet diese IPv6-Adresse des Rechners B an den Rechner A weiter (7). Die Ersatz-IPv6-Adresse des Rechners B wird damit dem Rechner A bekannt gemacht. Rechner A im IPv6-Realm X initiiert nun die Kommunikation zu Rechner B (8). Unterwegs ordnet R1 seiner IPv6-Adresse a die IPv4-Adresse x zu (NAT-7), generiert ein IPv4-Paket und leitet es weiter (9). Im R2 wird die NAT-Funktion aktiv, sodass die IPv4-Adresse y des Rechners B gegen seine IPv6-Adresse b getauscht wird (NAT-8). Daraufhin wird das IPv4-Paket auf ein IPv6-Paket umgesetzt und zum Rechner B weitergeleitet (10). Im weiteren Verlauf der Kommunikation in Abbildung 8.8-14 realisiert R1die Funktion von Traditional NAT (d.h. Basic NAT-PT [Abb. 8.8-10] oder NAPT-PT [Abb. 8.8-11]). Im R2 wird nur die Funktion von Basic NAT-PT realisiert.
8.9
Schlussbemerkungen
Um die zukünftige Nachfrage nach weltweiter Mobilität bei der Rechnerkom- Migration zu munikation abzudecken und neue Applikationen zu erschließen, ist die Migra- IPv6 keine tion zum IPv6-Einsaz unabdingbar. Das vor bald dreißig Jahren entwickelte Vision mehr IPv4 stößt langsam an die Grenze seiner Erweiterbarkeit. Beispielsweise hat das Verteidigungsministerium in den USA bereits 2003 erklärt, nur noch in die Netzwerkkomponenten, die IPv6-fähig sind, zu investieren, um das ganze Netz bis 2008 auf IPv6 umzustellen. Das deutsche Verteidigungsministerium geht ähnliche Wege. Die Migration zu IPv6 ist also bereits heute keine futuristische Vision mehr. Das Ziel dieses Kapitels war es, die Möglichkeiten der Migration zum IPv6- Migration Einsatz und die hierfür notwendigen technischen Grundlagen darzustellen. In statt „Revodiesem Kapitel wurde gezeigt, dass es mehrere Ansätze für die Koexistenz von lution“
352
8
Migration zum IPv6-Einsatz
IPv4 und IPv6 in einer Netzwerkinfrastruktur gibt [Abb. 8.2-1]. Der Umstieg auf IPv6 bedeutet bereits keine „Revolution“ mehr, sondern kann als langjährige und „sanfte“ Migration zu IPv6 erfolgen. Mangels Platz konnten hier leider nicht alle Aspekte der Migration zu IPv6 angesprochen werden. Abschließend ist noch Folgendes hervorzuheben: Zugriff auf IPv4InternetDienste
Die Einführung von IPv6 ist nur dann sinnvoll, wenn die Rechner in IPv6Netzen auf die Web-Dienste im herkömmlichen IPv4-Internet zugreifen können. Daher ist eine Lösung nötig, mit der die Rechner in IPv6-Netzen Kommunikationsbeziehungen zu den Rechnern in IPv4-Netzen aufbauen können. DSTM beschreibt eine Lösung hierfür. DSTM wird bereits von mehreren Betriebssystemen unterstützt. Hierzu gehören u.a. BSD UNIX, Linux, Windows 2000 und XP von Microsoft.
Zugriff auf IPv6InternetDienste
In kleinen Netzwerken werden oft private IPv4-Adressen verwendet und der Einsatz von Firewalls ist ein Muss. Daher ist eine Lösung nötig, nach der Rechner aus kleinen Netzwerken auf das IPv6-Internet zugreifen können. Dies ist u.a. durch den Einsatz von Teredo möglich. Teredo ist bereits für Rechner mit Windows XP und mit Linux verfügbar. Die Teredo-Software für Linux-Rechner [http://www.simphalempin.com/dev/miredo] wird als Miredo bezeichnet. Neben den in diesem Kapitel dargestellten Ansätzen für die Unterstützung der Migration zu IPv6 gibt es noch andere Konzepte, die erwähnt werden sollen. Hierzu gehören vor allem SIS (Bump-In-the-Stack) [RFC 2767], BIA (Bump-In-the-API) [RFC 3338], TRT (IPv6-to-IPv4 Transport Relay Translator) [RFC 3142], Silkroad [draft-liumin-v6ops-silkroad-03] und AYIYA (Anything In Anything) [draft-massar-v6ops-ayiya-02].
IPv4-Applikationen in IPv6Rechnern
Der Einsatz von IPv4-Applikationen stößt in einem IPv6-Umfeld auf einige Probleme und kann nicht ohne Anpassungen der betroffenen Applikation vorgenommen werden. Grund hierfür sind identisch benannte, aber inhaltlich unterschiedliche Routinen der Programmiersprache C bzw. entsprechende APIs, die z.B. unter Windows in Form von DLLs (Dynamic Link Libraries) vorliegen. Es macht einen Unterschied, ob die TCPIP.DLL für IPv4 oder IPv6 erzeugt wurde. Unter UNIX nutzen Applikationen normalerweise sog. Header-Dateien von C-Routinen, die z.B. Header-Dateien aus dem Verzeichnis ./netinet einbinden. Diese Routinen geben in einem IPv6-Umfeld IPv4-mapped IPv6-Adressen [Abb. 6.9-8b] an die Applikationen zurück, also in der Form ::FFFF:w.x.y.z (w.x.y.z = IPv4Adresse). Diese IPv6-Adressen können von IPv4-Applikationen in der Regel nicht ausgewertet werden. Es ist daher notwendig, alle Applikationen, in denen die IPv4-Adressen in Aufrufen vorkommen, an IPv6 anzupassen.
9
Routing in IP-Netzen
Ein Router, genauer gesagt ein IP-Router, ist ein Kopplungselement, das meh- Routerrere IP-Subnetze auf Basis unterschiedlicher Netztypen wie LANs und WANs Funktion innerhalb der Netzwerkschicht miteinander verbinden kann. Weil das Protokoll IP in dieser Schicht angesiedelt ist, muss der Router in der Lage sein, die ZielIP-Adressen zu interpretieren. Das macht den Router vom IP abhängig. Die Router ermitteln nach bestimmten Kriterien optimale Übertragungswege, Was ist ein die sog. Routen, für die Übertragung von IP-Paketen und leiten dementspre- Routingchend die empfangenen IP-Pakete weiter. Dies nennt man Routing. Es gibt Protokoll? mehrere Routing-Verfahren, nach denen die Router die optimalen Routen bestimmen und in Form von Routing-Tabellen bei sich speichern. Hierfür müssen die Router die Routing-Informationen miteinander austauschen. Die Regeln, nach denen dieser Austausch erfolgt und die Routen bestimmt werden, bezeichnet man als Routing-Protokoll. Dieses Kapitel gibt eine komprimierte Darstellung von Routing-Grundlagen Überblick und -Protokollen. Die Routing-Grundlagen werden in Abschnitt 9.1 gezeigt. über das Ein Routing-Protokoll kann vom Netzzustand entweder abhängig oder unab- Kapitel hängig sein. Dem zustandsunabhängigen Protokoll RIP wird Abschnitt 9.2 gewidmet, dem zustandsabhängigen Protokoll OSPF Abschnitt 9.3. Das IP-Netz einer administrativen Organisation bzw. einer Firma bildet ein autonomes System. Zwischen autonomen Systemen wird das Routing-Protokoll BGP-4 eingesetzt, auf das in Abschnitt 9.4 eingegangen wird. Wie eine redundante RouterAuslegung erfolgen kann, erläutert Abschnitt 9.5. Dem Multicast-Routing widmet sich Abschnitt 9.6. Schlussbemerkungen in Abschnitt 9.7 runden das Kapitel ab. In diesem Kapitel werden u.a. folgende Fragen beantwortet: Welche Aufgabe haben die Router und wie funktionieren sie? Wie werden die IP-Pakete über ein IP-Netz, das sich aus mehreren IP-Subnetzen zusammensetzt, übermittelt? Welche Prinzipien liegen den Routing-Protokollen zugrunde? Wie verlaufen die Routing-Protokolle RIP und OSPF und wie erstellen die Router ihre Routing-Tabellen nach diesen Protokollen? Wie erfolgt das Routing nach BGP-4 zwischen autonomen Systemen? Wie können die Router, z.B. am Internet-Zugang, mithilfe der Protokolle VRRP und HSRP redundant ausgelegt werden? Nach welchen Prinzipien wird Multicast-Routing in IP-Netzen realisiert?
Ziel dieses Kapitels
354
9
Routing in IP-Netzen
9.1
Routing-Grundlagen
Mit Routern kann man Vernetzungen realisieren, in denen die optimalen Wege (Routen) für die Datenübermittlung nach verschiedenen Kriterien bestimmt werden. Als Kriterien können Auslastung, Durchsatz, Gebühren und Übertragungszeit in Betracht kommen. Bei einer Änderung der Lage im Netz (z.B. Leitungsunterbrechung, Routerausfall) sollen die Router auf einen alternativen Weg umschalten können. In diesem Abschnitt werden die Grundbegriffe des Routing in IP-Netzen kurz erläutert. Der Prozess der Weiterleitung eines IP-Pakets auf Basis der IP-Zieladresse wird als IP-Routing (bzw. auch kurz Routing) bezeichnet.
9.1.1 Was ist ein Router?
Grundlegende Aufgaben von Routern
Ein Router ist ein Kopplungselement zwischen zwei bzw. mehreren Netzen, der die IP-Pakete auf Basis von IP-Zieladressen von einem Netz ins andere weiterleitet. Ein Router wird manchmal auch als Gateway bezeichnet. Die wichtigsten Einsatzgebiete von Routern in IP-Netzen sind: lokale Vernetzung der IP-Subnetze auf Basis von LANs, Erweiterung eines LANs mit einem WAN, standortübergreifende Vernetzung von IP-Subnetzen über ein WAN. Im Allgemeinen gilt folgende Aussage: Mit einem Router werden mehrere IP-Subnetze miteinander verbunden. Lokale Vernetzung der IP-Subnetze Das Prinzip der Vernetzung der IP-Subnetze auf Basis von LANs illustriert Abbildung 9.1-1. Die Prinzipien der Übermittlung von IP-Paketen in LANs werden im Abschnitt 10.1 näher dargestellt. Die IP-Pakete in LANs werden in sog. MAC-Frames übertragen [Abb. 10.1-2].
S u b n e tz A (L A N A )
R S u b n e tz B (L A N B )
T M A C A
IP -P a k e t
H L L C M A C A
IP -P a k e t
H L L C M A C B
IP -K o m m u n ik a tio n
T M A C B
Abb. 9.1-1: Prinzip der lokalen Vernetzung von IP-Subnetzen mit Router-Hilfe H (T): Header (Trailer) vom MAC-Frame, LLC: Logical Link Control, MAC: Media Access Control, R: Router
9.1 Routing-Grundlagen
355
Wie in Abbildung 9.1-1 ersichtlich ist, leitet der Router bei der IP-Kommunikation zwischen zwei LANs nur die IP-Pakete von einem IP-Subnetz ins andere weiter. Hierbei wird das IP-Paket aus dem vom LAN A empfangenen MACFrame „herausgenommen“ und in den zum LAN B zu sendenden MAC-Frame eingebettet. Dies bedeutet, dass die Kopplung von LANs mithilfe von Routern innerhalb der Netzwerkschicht (Schicht 3) stattfindet. Deshalb ist es möglich, dass die beiden LANs unterschiedliche Zugriffsverfahren (MAC) verwenden. Hierbei kann es sich um LANs unterschiedlicher Typen (z.B. IEEE 802.3/Ethernet und Token-Ring) handeln, in denen unterschiedliche Mediumzugriffsverfahren verwendet werden.
Vernetzung unterschiedlicher LANs mit Routern
LAN-Erweiterung mit einem WAN Wie Abbildung 9.1-2 illustriert, sind bei der Erweiterung eines LAN mit einem WAN mithilfe von Routern folgende zwei Fälle zu unterscheiden: Die Rechner am WAN bilden ein anderes IP-Subnetz. Die Rechner am LAN und am WAN bilden ein einziges IP-Subnetz. a )
IP -K o m u n ik a tio n W A N S u b n e tz A R ( z .B . I S D N ) (L A N )
S u b n e tz B
b )
IP -K o m u n ik a tio n S u b n e tz A W A N R (L A N ) ( z .B . I S D N ) P ro x y -A R P S u b n e tz A
Abb. 9.1-2: Erweiterung eines LAN mit einem WAN; Rechner am LAN und WAN bilden: a) verschiedene IP-Subnetze, b) ein einziges IP-Subnetz
Falls die Rechner am WAN ein IP-Subnetz bilden, handelt es sich um eine „klassische“ Vernetzung von IP-Subnetzen. Hier besteht die Aufgabe eines Routers in der Weiterleitung der IP-Pakete aus einem Subnetz ins andere. Falls die Rechner am LAN und die Rechner am WAN ein einziges IP-Subnetz Einsatz des bilden, muss der Router seitens des LAN die Funktion Proxy-ARP (Address Proxy-ARP Resolution Protocol) unterstützen [Abschnitt 2.6.2]. Die Aufgabe des Routers besteht in diesem Fall in der Weiterleitung der IP-Pakete aus dem LAN ins WAN und auch umgekehrt. In Abbildung 9.1-2 wurden keine Voraussetzungen hinsichtlich des WAN angenommen. In diesem Fall kann WAN ein X.25-, ein Frame-Relay-, ein ATMNetz oder das ISDN sein. Die wichtigste Voraussetzung dabei ist, dass der Rechner am LAN mit dem Rechner am WAN kommunizieren kann. Hierfür müssen sie das Protokoll IP verwenden.
356
9
Routing in IP-Netzen
Abbildung 9.1-3 veranschaulicht die LAN-Erweiterung mit einem WAN.
L A N
R W A N
T
M A C
H
IP -P a k e t
L L C M A C
IP -P a k e t
W A N -H
IP -K o m m u n ik a tio n W A N -T
Abb. 9.1-3: Prinzip der LAN-Erweiterung mit einem WAN WAN-H (T): WAN-Header (Trailer), weitere Abkürzungen wie in Abb. 9.1-1
PPPBedeutung
Bei der IP-Kommunikation zwischen einem Rechner am LAN und einem anderen am WAN leitet der Router nur die IP-Pakete vom LAN ins WAN und umgekehrt. Beispielsweise bei der Übermittlung eines IP-Pakets in „WAN-Richtung“ wird das IP-Paket aus dem empfangenen MAC-Frame herausgenommen und in den zu sendenden WAN-Frame eingebettet. Wird als WAN das ISDN eingesetzt, verwendet man oft das Protokoll PPP (Point-to-Point Protocol) [Abschnitt 10.2.2]. In diesem Fall werden die IP-Pakete in den PPP-Frames übertragen. PPP wird auch zukünftig bei der direkten Übertragung der IP-Pakete über WANs auf Basis von WDM (Wavelength Division Multiplexing) eingesetzt. Somit können Gigabit-LANs mit WDM-basierten WANs nach dem hier dargestellten Prinzip räumlich uneingeschränkt erweitert werden. Vernetzung der IP-Subnetze über ein WAN Um die IP-Subnetze standortübergreifend über ein WAN zu vernetzen, sind zwei Router nötig. Abbildung 9.1-4 illustriert dies. L A N
R
T M A C A
IP -P a k e t
L L C
H M A C A
IP -K o m m u n ik a tio n
W A N
R L A N
W A N -T
IP -P a k e t
W A N -H
T M A C B
IP -P a k e t
L L C
H M A C B
Abb. 9.1-4: Prinzip der Vernetzung der IP-Subnetze über ein WAN WAN-H (T): WAN-Header (Trailer), weitere Abkürzungen wie in Abb. 9.1-1
Bei der Übermittlung eines IP-Pakets vom LAN zum WAN wird das IP-Paket im Router aus dem empfangenen MAC-Frame herausgenommen und in das zu sendende WAN-Frame eingebettet. Der umgekehrte Vorgang findet im Router
9.1 Routing-Grundlagen
357
bei der Übermittlung in Gegenrichtung statt: Bei der Übermittlung vom WAN zum LAN wird das IP-Paket aus dem empfangenen WAN-Frame herausgenommen und in den zu sendenden MAC-Frame des LAN eingebettet.
9.1.2
Adressierung beim Routereinsatz
Beim Internetworking ist zwischen zwei Adresstypen zu unterscheiden. Dies soll Abbildung 9.1-5 näher zum Ausdruck bringen. Um die Rechner als Hardware-Komponenten adressieren zu können, sind dafür sog. physikalische Adressen notwendig. R e c h n e r A
R e c h n e r B (Q u e ll- u n d Z ie l-) IP -A d re s s e n
4 3
T C P
2
IP
1
P h y s ik a lis c h e A d re sse n
P h y s ik a lis c h e A d re sse n
S u b n e tz 1 A n w e n d u n g
p h y s ik a lis c h e A d re s s e
4
T C P
R o u te r R F
3
IP
S u b n e tz 2
1
2
N e tz w e rk a d re s s e (IP -A d re s s e )
Abb. 9.1-5: Zweistufige Adressierung beim Internetworking RF: Routing-Funktion
Die MAC-Adressen in LANs sind physikalische Adressen. Ein LAN ist ein MACBroadcast-Netz, sodass jeder MAC-Frame in jedem Rechner empfangen wer- Adresse den kann, wenn die MAC-Adresse des Rechners mit der Ziel-MAC-Adresse im Frame übereinstimmt. Die MAC-Adresse trifft aber keine Aussage darüber, wo sich der Zielrechner befindet. Ein WAN ist kein Broadcast-Netz, sodass eine physikalische WAN-Adresse eindeutig die Stelle bestimmt, wo der Zielrechner angeschlossen ist. Aus diesem Grund wird die physikalische Adresse im WAN oft in Standards als SNPA (Subnetwork Point of Attachment) bezeichnet, d.h. sie definiert eindeutig den Anschlusspunkt des Rechners am WAN. Sowohl in LANs als auch in WANs müssen die Software-Einheiten ebenfalls Interpretaadressiert werden. Dafür sind die logischen Adressen vorgesehen, die IP- tion von Adressen. Das sind die Adressen innerhalb der Netzwerkschicht, die als Zu- IP-Adressen gangspunkte zu den Netzdiensten angesehen werden können. Die IP-Adressen sind daher der Grenze zwischen Schicht 3 und Schicht 4 zuzuordnen [Abb. 1.4.6].
358
9
Routing in IP-Netzen
Abbildung 9.1-5 zeigt insbesondere, dass die Routing-Funktion innerhalb der Netzwerkschicht (Schicht 3) angesiedelt ist und dass jeder Port im Router eine IP-Adresse besitzen muss. Schichtenmodell für die Vernetzung mit Routern Abbildung 9.1-6 zeigt das Schichtenmodell für die Vernetzung von IP-Subnetzen mithilfe eines Routers. Der Quellrechner sendet den Frame gezielt an den Router, indem er die physikalische Router-Adresse angibt. Sind im Subnetz mehrere Router vorhanden, muss der Quellrechner entscheiden, an welchen Router das Paket geschickt werden soll. Dies bedeutet, dass der Quellrechner – ebenso wie jeder Router – über gewisse Routing-Informationen (RI) verfügen muss. Deshalb muss jeder Rechner entsprechend konfiguriert werden, um mit dem Router zusammenarbeiten zu können.
T C P
A
R e c h n e r B
R e c h n e r 3
IP
L A N 1
2 b 2 a
L L C
S u b n e tz 1 1
IP L L C M A C 1 P H Y 1
R F
IP
D a te n
IP -A d re sse A p p lik a tio n
T C P
IP
L L C
IP
M A C 1
L L C M A C 2
L A N 2
P H Y 1
P H Y 2
S u b n e tz 2
IP -P a k e t M A C 1
M A C 1
T C P
R o u te r
L L C M A C 2 P H Y 2
IP -P a k e t M A C 2
D a te n
T C P
IP
L L C
M A C 2
M A C -Z ie la d r. v o m R o u te r M A C -Z ie la d r. v o m R e c h n e r B
Abb. 9.1-6: Router wird direkt physikalisch adressiert LLC: Logical Link Control, MAC: Media Access Control, PHY: Physikalische Schicht, ES: Endsystem
Durch Abbildung 9.1-6 soll insbesondere hervorgehoben werden, dass der Router gezielt physikalisch adressiert wird. Darauf wurde bereits im Abschnitt 2.4.3 hingewiesen. die Aufgabe des Routers in der Weiterleitung der IP-Pakete besteht. die IP-Kommunikation als Austausch von IP-Paketen zwischen zwei IPAdressen angesehen werden kann. die Protokolle der LLC-Teilschicht in den beiden LANs unterschiedlich sein können. verschiedene LAN-Typen mithilfe eines Routers vernetzt werden können.
9.1 Routing-Grundlagen
359
Beispiel für die Übermittlung eines IP-Pakets Abbildung 9.1-7 illustriert die Adressierung bei der Vernetzung von LANs über WANs beim Routereinsatz. Hier ist das Prinzip der Weiterleitung von IPPaketen entlang einer Route zwischen IP-Quelladresse (V, v) und IPZieladresse (W, w) ersichtlich. Die dargestellten LANs (d.h. LAN 1, 2, 3 und 4) repräsentieren verschiedene IP-Subnetze.
I P - A d r .= ( V , v )
M A C -F ra m e
M A C -F ra m e
M A C - A d r .= d I P - A d r .= ( W , w )
M A C - A d r .= b I P - A d r .= ( W , w )
R e c h n e r A
R e c h n e r L A N 1 M A C -F ra m e
a
R 1
L A N 3
L A N 2
R 2
W A N
c b
M A C - A d r .= a I P - A d r .= ( W , w ) p h y s ik a lis c h e A d r e s s e ( M A C - A d r ., W A N - A d r .)
IP -P a k e t
R 3
B L A N 4
d
I P - A d r .= ( W , w ) I P - A d r .= ( W , w )
IP -A d re sse
Abb. 9.1-7: Adressierungsaspekte beim Routereinsatz zur LAN-Kopplung über WAN a, b, c, d: physikalische Adressen; V, W: Subnetz-IDs, v, w: Host-IDs
Hierbei ist auf Folgendes zu achten:
BesonderheiJeder Quellrechner muss entscheiden, ob das zu sendende IP-Paket in sein ten der Adressierung
Subnetz oder über einen Router in ein fremdes Subnetz übermittelt werden soll. Hierfür werden die Subnetz-IDs in der Ziel- und Quell-IP-Adresse miteinander verglichen [Abschnitt 2.4.2]. Stimmen sie überein, wird das entsprechende IP-Paket ins eigene Subnetz geschickt und die physikalische Adresse (d.h. die MAC-Adresse) des Zielrechners im MAC-Frame mit dem IPPaket eingetragen. Sind diese Subnetz-IDs unterschiedlich, wird im abzusendenden Paket die physikalische Router-Adresse angegeben. Jeder Router besitzt pro Port eine physikalische Adresse. Verbindet der Port den Router mit einem WAN, stellt die physikalische Adresse eine WANAdresse (z.B. ISDN-Rufnummer) dar. Verbindet der Port den Router mit einem LAN, stellt die mit diesem Port verbundene physikalische Adresse eine MAC-Adresse dar.
Jeder physikalischen Adresse des Routers wird eine IP-Adresse zugeordnet, sodass ein Router über mehrere IP-Adressen angesprochen werden kann. Die Ermittlung von physikalischen Router-Adressen zu den IP-Adressen erfolgt mithilfe des Protokolls ARP [Abschnitt 2.6.1]. In Abbildung 9.1-7 ist zu bemerken, dass der Quellrechner im LAN 1 das an den Rechner B im LAN 4 adressierte IP-Paket direkt an den Router R1 sendet.
360
9
Routing in IP-Netzen
R1 interpretiert die IP-Zieladresse und sendet das IP-Paket gezielt zum benachbarten Router R2 weiter. Hierfür muss er die IP-Adresse von R2 kennen. Wie in Abschnitt 9.1.3 gezeigt wird, ist die IP-Ziel-Adresse des nächsten Routers in der Routing-Tabelle jedes Routers enthalten [Abb. 9.1-9]. Auf Basis der IP-Adresse des nächsten Routers wird dessen physikalische Adresse (d.h. in diesem Fall die MAC-Adresse) mithilfe des Protokolls ARP ermittelt. Router R2 übermittelt das IP-Paket über ein WAN an Router R3. Das IP-Paket wird in einen entsprechenden WAN-Frame [Abb. 9.1-3] eingebettet. In Abbildung 9.1-7 wurde der WAN-Frame außer Acht gelassen. Falls die beiden WAN-Router R2 und R3 in der Lage sein sollen, eine Verbindung nach Bedarf aufzubauen, müssen sie über eine Tabelle verfügen mit der Zuordnung physikalische WAN-Adresse.
Subnetz-ID
Router R3 ist der letzte Router unterwegs zum Zielrechner. Er muss auf Basis der IP-Zieladresse die MAC-Adresse (d.h. die physikalische LAN-Adresse) des Zielrechners mithilfe von ARP ermitteln. Hier ist hervorzuheben, dass die in den Paketen enthaltene IP-Zieladresse (W, w) in allen Frames – „unterwegs“ – unverändert bleibt.
9.1.3
Routing-Tabelle
Ein Router hat die Aufgabe, ein empfangenes IP-Paket auf optimale Weise in einem Verbund von mehreren Netzen weiterzuleiten. Hierfür enthält er eine Tabelle mit den Angaben zur Weiterleitung von empfangenen IP-Paketen. Diese Tabelle wird Routing-Tabelle genannt und im Weiteren kurz als RT bezeichnet. Abbildung 9.1-8 illustriert das Routing-Prinzip bei der Vernetzung von mehreren IP-Subnetzen.
S u b n e tz A
R o u tin g T a b e lle
R o u te r 1
P o rt1
P o rt 2
x x x x x x
N e tz w z ie S u b n e S u b n e S u b n e S u b n e
e rk - A u sg a n g sP o rt 1 tz A 2 tz B tz C 3 tz D 3
R o u te r 2 S u b n e tz B
x x x x x x
S u b n e tz D
P o rt 3
l
S u b n e tz C
Abb. 9.1-8: Veranschaulichung des Routing
Ein Router muss eigentlich nur die Subnetz-Identifikation (Subnetz-ID) in der IP-Zieladresse im zu sendenden IP-Paket interpretieren. Jedem Subnetz wird hier eine Zeile in der RT zugeordnet, in der angegeben wird, über welchen
9.1 Routing-Grundlagen
361
Port, d.h. in welches Subnetz, ein Paket abgeschickt werden soll. Ein Paket enthält die IP-Zieladresse, die den Ort der Rechners im Netz eindeutig bestimmt. Aus dieser IP-Adresse ist das Subnetz eindeutig erkennbar. Abbildung 9.1-8 zeigt eine sehr vereinfachte RT, in der nur die Ausgangsports angegeben wurden. Hierbei kann Router 1 ankommende IP-Pakete aus dem Subnetz A, die ins Subnetz D weitergeleitet werden sollen, ins Subnetz B (WAN) oder ins Subnetz C (LAN) abschicken. Die beste Route führt aber über das Subnetz C, sodass das IP-Paket über den Port 3 abgeschickt werden soll. Eine RT nach einem Routing-Protokoll enthält normalerweise noch zusätzliche Angaben, wie z.B. die Routen-Qualität (Kosten, Übertragungsdauer) oder die Zeitspanne seit der letzten Aktualisierung der Route. Diese Angaben sind in Abbildung 9.1-8 außer Acht gelassen [Abb. 9.1-9]. In kleinen Netzen kann eine RT manuell angegeben werden. Ist das Netz, in Zusammendem mehrere LANs und WANs miteinander verbunden sind, groß, werden die arbeit von Routing-Tabellen in der Regel durch den Router selbst erstellt und später nach Routern Bedarf auch selbst modifiziert. Um diese Aufgabe zu erfüllen, müssen die Router die „Lage“ im Netz kennen. Hierfür arbeiten alle Router zusammen, um sich gegenseitig helfen zu können, und jeder Router ist für die eigene Umgebung verantwortlich, d.h. er muss die Netzwerkziele, die über ihn erreichbar sind, allen „Nachbar“-Routern mitteilen. Die Nachbar-Router fassen dann eigene Angaben mit den Mitteilungen von anderen Nachbar-Routern zusammen und geben diese Zusammenfassung weiter. Dieser Austausch von Daten, genauer gesagt der Routing-Information (RI), führt dazu, dass alle Router nach einer gewissen Zeit die Lage im Netz beherrschen. Der Austausch der RI erfolgt nach einem entsprechenden Routing-Protokoll. Struktur einer Routing-Tabelle Das Ergebnis des Austauschs der RI zwischen Routern ist die Routing-Tabelle in jedem Router. Abbildung 9.1-9 zeigt die allgemeine Struktur einer RoutingTabelle.
Abb. 9.1-9: Allgemeine Struktur einer Routing-Tabelle
M e trik
...
A u sg a n g sP o rt
...
N ä c h s te r R o u te r
...
S u b n e tz m a sk e
...
...
N e tz w e rk z ie l
362 Spezifikation einer Route
9
Routing in IP-Netzen
Jeder Eintrag in der Routing-Tabelle beschreibt eine Route, d.h. jede Zeile in der Routing-Tabelle stellt die Beschreibung einer Route dar. Eine Route wird durch folgende Angaben spezifiziert: Netzwerkziel Netzwerkziel repräsentiert das Ziel der Route und kann ein Subnetz bzw.
ein Rechner (d.h. Host) sein. SubnetzRoute
− Ist das Ziel ein Subnetz, spricht man von Subnetz-Route (auch NetzwerkRoute genannt) und Netzwerkziel ist die Subnetz-ID des Ziel-Subnetzes.
Host-Route
− Ist das Ziel ein Rechner, spricht man von Host-Route, und Netzwerkziel ist hier die IP-Adresse des Zielrechners. Subnetzmaske
Sie wird verwendet, um die Subnetz-ID-Bits zu bestimmen. Die Nutzung der Subnetzmaske wurde in Abschnitt 2.4.2 erklärt. Handelt es sich um eine Host-Route, ist Subnetzmaske gleich 255.255.255.255. Bemerkung: Bei VLSM bzw. bei CIDR kann die Länge der Subnetzmaske in dieser Spalte angegeben werden. Ist das Netzwerkziel ein Rechner, ist die Subnetzmaske 32 Bits lang.
Nächster Router
Diese Spalte wird auch als Gateway bzw. Nächster Hop bezeichnet. Sie enthält die IP-Adresse des nächsten Routers unterwegs zum Netzwerkziel. Ausgangs-Port
Diese Spalte wird auch als Interface bezeichnet. Sie enthält die Angabe des Routerausgangs-Ports, über den das zu sendende IP-Paket abgeschickt werden muss. Hier wird oft die IP-Adresse des Ausgangs-Port angegeben. Metrik
Diese Spalte enthält die „Kosten“ der Route. Beim Routing-Protokoll RIP [Abschnitt 9.2] wird hier die Anzahl von Hops (d.h. die Anzahl von Routern zum Ziel) angegeben. Beim Routing-Protokoll OSPF [Abschnitt 9.3] kann diese Spalte auch andere Kostenarten enthalten. Bestimmung der besten Route Route mit der längsten Übereinstimmung
Um die Route für die Weiterleitung eines IP-Pakets zu bestimmen, wird folgender Prozess durchgeführt: 1. Für jeden Eintrag in der Routing-Tabelle wird die Operation Bitweise_ AND zwischen der IP-Zieladresse im Paket und der Spalte Subnetzmaske ausgeführt und mit dem Inhalt der Spalte Netzwerkziel verglichen. Stimmt das Ergebnis überein, gilt der entsprechende Eintrag als eine „eventuelle“ Route.
9.1 Routing-Grundlagen
363
2. Die Liste von allen eventuellen Routen wird erstellt und aus dieser Liste wird die Route mit der längsten Übereinstimmung ausgewählt, d.h. die Route, die den meisten Bits der IP-Zieladresse im Paket entspricht. − Falls sich mehrere Routen mit der Übereinstimmung der gleichen Länge ergeben, wird die Route mit dem niedrigsten Wert in der Spalte Metrik als die „beste Route“ ausgewählt. − Falls es mehrere Routen gibt, die als beste Routen gelten, kann der Router die geeignete Route aus den besten Routen nach dem Zufallsprinzip auswählen. Im Allgemeinen sind folgende Arten von Routen zu unterscheiden: Arten von Routen Direkte Routen Routen zu den Subnetzen, die direkt „erreichbar“ sind. Bei diesen Routen ist die Spalte Nächster Router leer.
Indirekte Routen Routen zu den Subnetzen, die über andere Router „erreichbar“ sind. Bei diesen Routen enthält die Spalte Nächster Router die IP-Adresse des nächsten Routers, d.h. eines benachbarten Routers, an den die IP-Pakete auf dieser Route weitergeleitet werden müssen. Host-Routen Das sind die Routen zu den einzelnen Rechnern (d.h. zu den einzelnen Hosts). Bei den Host-Routen enthält die Spalte Netzwerkziel die IPHost-Adresse und die Netzwerkmaske lautet 255.255.255.255. Standard-Route (Default-Route) Falls keine „bessere“ Route zum Absenden eines Pakets in der RoutingTabelle enthalten ist, wird die Standard-Route zum Absenden des betreffenden Pakets verwendet. Das Netzwerkziel der Standard-Route ist 0.0.0.0 und die Netzwerkmaske lautet auch 0.0.0.0. Jede IP-Zieladresse, die mit 0.0.0.0 durch die Operation Bitweise_AND verknüpft wird, ergibt 0.0.0.0. Damit erzeugt der Eintrag in der Routing-Tabelle, der der Standard-Route entspricht, für jede IP-Zieladresse immer eine Übereinstimmung. Gibt es keine „bessere“ Route, wird die Standard-Route zum Absenden des vorliegenden IP-Pakets verwendet, d.h. das IP-Paket wird an einen von vornherein festgelegten Router (sog. Standard-Router) weitergeleitet.
9.1.4
Routing-Verfahren
Wie bereits erwähnt wurde, besteht die Routing-Aufgabe in der Bestimmung der günstigsten Route (Datenpfades) für den Transport von Daten zum Zielrechner (Empfänger) durch das Netz. Die günstigste Route wird nach festgeleg-
364
9
Routing in IP-Netzen
ten Kriterien ausgewählt. Denkbare Kriterien sind z.B. Routen-Länge, -Kosten, -Qualität und Verzögerungszeit auf der Route. In Abbildung 9.1-10 sind die wichtigsten Komponenten eines Routing-Verfahrens zusammengestellt.
R o u te n -K o s te n
z u s ta n d s u n a b h ä n g ig
R o u tin g M e trik
R o u te n -L ä n g e R o u te n -K o s te n R o u te n -D u rc h s a tz
z u s ta n d s a b h ä n g ig
R o u te n -V e rz ö g e ru n g W ie ?
F lo o d in g
R o u tin g -M e trik
R I-A rt
R o u te n -L ä n g e
IP -A d re sse n
R o u tin g v e rfa h re n R I-G e w in n u n g u n d A u s ta u s c h
P h y s ik a l. A d re s s e n
S e le k tiv e s F lo o d in g
W ie b e s tim m t m a n ? S ta tis c h e s R o u tin g
R o u te rn B e s tim m u n g
A d a p tiv e s R o u tin g V e rte ilte s R o u tin g Z e n tra lis ie rte s R o u tin g
H ie ra rc h is c h e s R o u tin g W e r b e s tim m t (Q u e lle , R o u te r ) ?
W a n n ?
P e rio d is c h
N a c h B e d a rf
Abb. 9.1-10: Komponenten eines Routing-Verfahrens RI: Routing-Information
Ein Routing-Verfahren wird durch vier Hauptkomponenten bestimmt: die Art der Routing-Information, die Art und Weise der Routen-Bestimmung, die Kriterien für die Routen-Bestimmung und die Strategie für die Gewinnung und den Austausch der Routing-Information. RoutingInformation
Unter der Routing-Information (RI) versteht man alle Informationsarten, die dazu dienen, die Routing-Entscheidungen zu unterstützen. Eine komprimierte Form der RI stellt die Routing-Tabelle dar, die eine Basis für die Weiterleitung von Paketen bildet [Abb. 9.1-9]. Um eine endgültige Routing-Tabelle zu erstellen, ist zusätzliche RI notwendig. Hierzu gehört insbesondere die Information über die Topologie der Vernetzung, d.h. welche Subnetze vorhanden und wie sie untereinander gekoppelt sind. Um eine Route zu bestimmen, sind auch die Listen von erreichbaren IP-Adressen und von physikalischen Adressen notwendig. Eine besondere Art der RI sind die Informationen über den Zustand und die Qualität einzelner Subnetze, die für die Berechnung von sog. RoutingMetriken dienen.
RoutingMetrik
Unter Routing-Metrik versteht man ein Maß für die Qualität der Route. Eine Metrik kann sich z.B. auf Routen-Länge, -Kosten oder -Durchsatz beziehen. Bei den Routing-Metriken sind zwei Kategorien zu unterscheiden: zustandsunabhängige Routing-Metriken und zustandsabhängige Routing-Metriken.
365
9.1 Routing-Grundlagen
Um die Routeraufgabe besser zu veranschaulichen, zeigt Abbildung 9.1-11 die Verarbeitung „Bearbeitung“ eines empfangenen IP-Pakets in einem Router. Sie findet inner- von IPPaketen in halb der Netzwerkschicht statt. Routern
R o u tin g -P a k e t IP -P a k e t D a te n p a k e t
L o k a le In fo rm a tio n R IE rfa ssu n g
R I-D a te n b a n k R o u tin g T a b e lle (R T )
R IV e rse n d e n IP -P a k e t
W e ite rle itu n g n a c h R T
Abb. 9.1-11: Bearbeitung eines IP-Pakets im Router RI: Routing Information, RT: Routing-Tabelle
Zunächst muss unterschieden werden, ob es sich um ein Routing-Paket oder um ein Datenpaket handelt. Ist ein empfangenes IP-Paket ein Routing-Paket, d.h. ein Paket mit Routing-Information (RI), wird die in ihm enthaltene RI interpretiert, die vorhandene RI in der RI-Datenbank entsprechend modifiziert und nach dem Routing-Protokoll zu einem gegebenen Zeitpunkt an andere Router verschickt. Enthält das empfangene Paket Nutzdaten, wird es nach der Routing-Tabelle weitergeleitet. Routing-Arten Die Routing-Protokolle, die eine zustandsunabhängige Routing-Metrik (z.B. Distance Routen-Länge) als Maß für die Qualität der Route bei der Routen-Auswahl Vector verwenden, werden als zustandsunabhängige Routing-Protokolle bezeichnet. Routing Am häufigsten wird als Routing-Metrik die Routen-Länge angenommen. In diesem Fall spricht man vom Distance Vector Routing. Die Länge der Route wird in Anzahl von Hops angegeben. Ein Hop ist ein „Sprung aus einem Router“, sodass die Anzahl von Hops angibt, wie viel mal ein Paket von Routern abgeschickt wurde. Sie ist gleich der Anzahl von Subnetzen, die auf dem Weg zum Ziel liegen, wobei auch eine Standleitung zwischen zwei Routern als ein Subnetz zu zählen ist. Damit ist die Routen-Länge in Hops von einem Router zu einem Subnetz, an das er angeschlossen ist, gleich 1. Die Hop-Anzahl als Routing-Metrik verwendet u.a. das Routing-Protokoll RIP (Routing Information Protocol) [Abschnitt 9.2]. Nach modernen Routing-Protokollen wird der Netzzustand bei der Routen- Link State Auswahl berücksichtigt, d.h. die Routing-Metriken dieser Protokolle sind zu- Routing standsabhängig. Derartige Routing-Strategien bezeichnet man als Link State
366
9
Routing in IP-Netzen
Routing (LS-Routing). Zu den LS-Protokollen gehört das Routing-Protokoll OSPF (Open Shortest Path First) [Abschnitt 9.3]. Ein wichtiger Aspekt bei den Routing-Protokollen ist die Bestimmung der Route. Hierbei ist zunächst zu überlegen, wie man die Route bestimmen kann. Generell sind zwei Fälle zu unterscheiden: Statisches Routing
Statisches Routing Eine Route kann auf Dauer festgelegt werden. Dazu zählt man eine definierte Standard-Route (die sog. Default-Route), die bei der Routerkonfiguration eingegeben wird. Diese Strategie bezeichnet man als statisches Routing. In diesem Fall bedingen Änderungen und Ausfälle im Netz eine Umkonfiguration des Routers. Dies ist also sehr unflexibel und betreuungsintensiv. Somit ist statisches Routing nur sinnvoll bei kleinen Netzen und bei einer festen Netztopologie.
Dynamisches Routing
Dynamisches Routing, adaptives Routing Wird die Routing-Information während des Betriebs im Netz ermittelt und zur Aktualisierung von Routing-Entscheidungen verwendet, spricht man von dynamischem Routing. Die wichtigste Besonderheit dieser Routing-Art ist die Berücksichtigung des aktuellen Netzzustands. Hierbei findet eine Adaption von Routen an die aktuelle Lage im Netz statt. Eine derartige Routing-Strategie wird als adaptives Routing bezeichnet.
Source Routing
Es stellt sich die Frage: Wer bestimmt die Routen? Sie können sowohl in Endsystemen als auch in den Routern bestimmt werden. Werden die Routen in Endsystemen festgelegt, spricht man von Source Routing (Quellen-Routing). Hierbei müssen die einzelnen Pakete die vollständige Routen-Angabe aufnehmen. Die Übertragung dieser Angabe in jedem Paket vergrößert die Paketlänge enorm, sodass diese Routing-Strategie sich nicht durchsetzen konnte.
Verteiltes bzw. zentralisiertes Routing
Entscheiden die einzelnen Router über die Weiterleitung der Pakete aufgrund von Routing-Tabellen, handelt es sich um verteiltes Routing. Die Routen können auch an einer zentralen Stelle im Netz errechnet und dann an alle Router verschickt werden. Diese Routing-Strategie stellt zentralisiertes Routing dar. Sie ist nicht ausreichend flexibel und wird daher in der Praxis nicht realisiert. Eine wichtige Komponente jedes Routing-Verfahrens ist die Art und Weise, wie die Routing-Information (RI) gewonnen und zwischen den Routern ausgetauscht wird. In älteren Routing-Protokollen wird die RI zwischen Routern in festgelegten Zeitintervallen ausgetauscht. Nach den neuen Routing-Protokollen wird die RI nach Bedarf verschickt. Der Bedarf entsteht dann, wenn z.B. bestimmte Veränderungen der Route bekannt gegeben werden müssen.
Verteilung der RoutingInformation
Wie die RI ausgetauscht werden kann, ist ein separates Problem. Jeder Router sendet die eigene RI oft an alle Nachbar-Router. Diese RI-Verteilung wird als Flooding bezeichnet. Um das Netz mit der RI nicht zu stark zu belasten, wird
9.1 Routing-Grundlagen
367
ein selektives Flooding realisiert. Hierbei versuchen die Router, die RI nur an einige ausgewählte Nachbar-Router zu senden. Ein Beispiel dafür wäre das Konzept Split Horizon beim Protokoll RIP [Abb. 9.2-3]. Bei diesem Konzept wird verhindert, dass die RI in die Richtung zurückgeschickt wird, aus der sie bereits empfangen wurde. Link State Routing Die neuen Routing-Protokolle, wie z.B. OSPF, realisieren das LS-Routing (Link State). Abbildung 9.1-12 stellt die Hauptfunktionen dieser Protokolle dar.
H e llo -P a k e t
R o u tin g P a k e tE m p fa n g e n
E rs te llu n g d e r R T u n d R I-M o d ifik a tio n
L S A -P a k e t
E ig e n e V o rs te llu n g u n d K e n n e n le rn e n v o n N a c h b a r-R o u te rn R o u tin g P a k e tS e n d e n
R T R ID a te n b a n k L S A -E rs te lle n u n d -M o d ifiz ie re n
L S A -P a k e t
Abb. 9.1-12: Illustration von Hauptfunktionen der LS-Routing-Protokolle LSA: Link State Advertisement, RI: Routing-Information, RT: Routing-Tabelle
Wird ein Router an ein Subnetz angeschlossen, muss er sich den anderen Rou- Hellotern im Netz vorstellen und sie auch kennenlernen. Hierfür werden spezielle Pakete Pakete verwendet, die man auch als Hello-Pakete bezeichnet. Um sich den anderen Routern vorzustellen, sendet ein neuer Router im Netz immer ein Hello-Paket als Broadcast-Nachricht, in der er die eigene Kennung und die eigenen Adressen (physikalische Adresse und IP-Adresse) den anderen Routern bekannt gibt. Die Nachbar-Router antworten darauf mit entsprechenden Hello-Paketen, sodass der neue Router sie kennenlernen kann. Aufgrund von Hello-Paketen modifiziert jeder Router die RI in seiner RI-Datenbank. Jeder Router muss die eigene RI weitergeben. Damit konstruiert er ein entspre- LSA-Pakete chendes Paket mit dieser RI, das die Adressen und Verbindungen zu allen Nachbar-Routern mit der Angabe der Metriken der jeweiligen Verbindungen enthält. Bei OSPF wird ein solches Paket als LSA-Paket (Link State Advertisement) bezeichnet. Die LSA-Pakete werden verschickt, wenn eine Veränderung auftritt, die das Routing beeinflussen kann. Jeder Router verschickt eigene LSA-Pakete an seine Nachbar-Router und empfängt auch deren LSA-Pakete. Durch den Austausch
368
9
Routing in IP-Netzen
von LSA-Paketen kann sich jeder Router ein Bild von der Netztopologie verschaffen. Damit kann er für sich eine Routing-Tabelle erstellen, die er benötigt, um die empfangenen IP-Pakete weiterzuleiten.
9.1.4 Autonomes System (AS)
Inter-/Intra-Domain-Protokolle
Eine Besonderheit der IP-Netze ist, dass sie im Allgemeinen eine mehrstufige hierarchische Struktur besitzen können. Abbildung 9.1-13 illustriert dies. Ein IP-Netz kann aus mehreren Autonomen Systemen (AS) bestehen, die miteinander und mit dem Internet verbunden werden können.
S N
A S 1
IG P
1
...
S N
S N B G P
i
A S
B G P S N 1
...
S N
IG P
j
A S 2
IG P
...
1
B G P S N
3
k
Abb. 9.1-13: Routing-Protokolle in hierarchischen IP-Netzen AS: Autonomes System, SN: Subnetz
AS als RoutingDomain
Ein AS kann ein Verbund von LANs und WANs sein, für den die Kontrolle über die Konfiguration, die Adressierung und die Namenskonventionen bei einer Verwaltungsautorität (z.B. einer Firma oder einer Universität) liegt. Daher wird ein AS auch als Routing-Domain bezeichnet. Die innerhalb eines AS getroffenen Entscheidungen sollen keine Auswirkungen auf den restlichen Netzteil haben. Um die Daten in einem Verbund von autonomen Systemen effektiv zu transportieren, werden folgende Klassen der Routing-Protokolle eingesetzt:
IntraDomainProtokolle
AS-internes Routing-Protokoll IGP (Interior Gateway Protocol) IGP ist ein Name für jedes Routing-Protokoll, das in einem AS verwendet wird. Als IGP werden oft RIP (Routing Information Protocol) und OSPF (Open Shortest Path First) eingesetzt. Diese Protokolle werden auch als Intra-Domain-Protokolle bezeichnet.
InterDomainProtokolle
Routing-Protokolle zwischen autonomen Systemen Zur Realisierung von Routing zwischen den autonomen Systemen dient das Protokoll BGP (Border Gateway Protocol). Dieses Protokoll wird auch als Inter-Domain-Protokoll bezeichnet. Auf BGP wird in Abschnitt 9.4 näher eingegangen.
9.2 Routing Information Protocol (RIP)
9.2
369
Routing Information Protocol (RIP)
Das RIP ist ein sog. Distanzvektor-Routing-Protokoll. Dies bedeutet, dass die Entfernung zum Ziel in der Anzahl von Hops angegeben wird. Das Wort Distanzvektor verweist darauf, dass die Routing-Information zwischen den Routern in Form von Distanzvektoren ausgetauscht wird [Abb. 9.2-2]. Man muss zwischen dem RIP für das Protokoll IP (kurz RIP für IP) und dem Versionen RIP für das Protokoll IPX (Internetwork Packet eXchange) unterscheiden. Im des RIP Folgenden wird nur das RIP für IP betrachtet und kurz als RIP bezeichnet. Die Ursprünge des RIP liegen in XNS (Xerox Network Services). Inzwischen ist das RIP ein weit verbreitetes Routing-Protokoll geworden. Neben OSPF ist das RIP das wichtigste Routing-Protokoll in IP-Netzen. Es existieren zwei RIPVersionen: RIP-Version 1 (RIP-1) [RFC 1058] und RIP-Version 2 (RIP-2) [RFC 2453]. Das RIP ist zwar einfach und wird oft eingesetzt; doch hat es einige „Schwächen“, die aus seinem ursprünglichen LAN-orientierten Konzept resultieren. Der RIP-Einsatz in standortübergreifenden IP-Netzen über WANs ist mit großen Problemen verbunden. Daher eignet sich das RIP hauptsächlich für kleine bis mittelgroße IP-Netze. Das RIP verwendet die Anzahl von Hops als Entfernungsmaß (Metrik) für die Metrik in der Routing-Tabelle gespeicherten Routen. Dabei ist ein Hop als Sprung von in Hops einem Router ins Subnetz zu interpretieren. Ist die Anzahl von Hops zwischen dem Router A und einem Netzwerkziel gleich x, so ist die Anzahl der Router auf dieser Strecke gleich x–1. Die Anzahl von Hops entspricht daher der Anzahl von Routern, die bis zum Erreichen des gewünschten Netzwerks unterwegs durchquert werden müssen. Beim RIP wird die maximale Anzahl von Hops (Hoplimit) auf 15 begrenzt. Hoplimit Dies bedeutet, dass höchstens 15 Router zwischen Quelle und Ziel eines IPPakets liegen dürfen. Ein Zielrechner in IP-Netzen, der um 16 oder mehr Hops vom Quellrechner entfernt ist, gilt als nicht erreichbar. Jeder RIP-Router macht den Inhalt seiner Routing-Tabelle alle 30 Sekunden in allen an ihn angeschlossenen Subnetzen bekannt. Der Inhalt der RoutingTabelle wird beim RIP-1 als Broadcast auf MAC-Ebene und beim RIP-2 als Multicast im Subnetz gesendet. Dies kann besonders beim Einsatz von WANVerbindungen zu Problemen führen, wo erhebliche Anteile der Übertragungskapazität im WAN zur Weiterleitung von RIP-Nachrichten verwendet werden müssen. Somit lässt sich RIP-basiertes Routing in großen IP-Netzen mit WANAnteilen nicht leicht einsetzen.
370 Fähigkeiten des RIP
9
Routing in IP-Netzen
Die Hop-Anzahl bildet das einzige Kriterium zur Ermittlung der besten Route, d.h. je weniger Hops zum Netzwerkziel in einer Route vorhanden sind, desto besser ist diese Route. Da Leitungskapazität und Kosten nicht in die Berechnung der Route beim RIP eingehen, sind die Fähigkeiten des RIP sehr beschränkt. Weitere Nachteile des RIP sind, dass lediglich eine aktive Route zwischen zwei Netzwerken genutzt werden kann und Aktualisierungen von Routing-Tabellen bei lokalen Topologie-Änderungen mittels Broadcast-Frames im gesamten Netzwerk verteilt werden und damit das Netz unnötig belasten. Der wichtige Vorteil des RIP ist die große Verfügbarkeit, denn fast jeder Rechner ist in der Lage, das RIP zu verarbeiten. Einem Systemadministrator, der ein großes und standortübergreifendes Netzwerk mit WAN-Anteilen zu verwalten hat, sind leistungsfähigere Protokolle wie OSPF zu empfehlen.
9.2.1 Erlernen von Routing-Tabellen beim RIP Die einzelnen RIP-Router werden in keiner Weise miteinander synchronisiert. Jeder Router versendet den Inhalt seiner Routing-Tabelle in alle an ihn angeschlossenen Subnetze. Empfängt ein Router eine RIP-Nachricht, so modifiziert er seine Routing-Tabelle. Abbildung 9.2-1 zeigt das Prinzip der Modifikation. R T v o n R 2 n a c h h e r S N D A 1
A B
A
...
2 a
2
i
2 + 1
... a
i+ 1
1
1
B B
1 3
2
1
B
B 1
2
B
R 2 S N B 1 B 2 B 3
D 1 1 1
R T v o rh e r
A
R 1 3
S N A 1 A 2 ... A i
A
... r e s tlic h e " W e lt" D
a
2
1
1 A
i
2
... a i
Abb. 9.2-1: Modifikation einer RIP-Routing-Tabelle R1, R2: Router, SN: Subnetz, D: Distanz (Metrik, Hop-Anzahl)
Hier wurde angenommen, dass der Router R2 neu konfiguriert wurde und dass er nur lokal angeschlossene Subnetze kennt. Die IP-Adressen dieser lokalen Subnetze B1, B2 und B3 wurden manuell in seine Routing-Tabelle eingetragen. Der Nachbar-Router R1 kennt die Ziele auf der restlichen „Welt“. R1 macht den Inhalt seiner Routing-Tabelle auf dem Subnetz B3 mithilfe einer bzw. mehrerer RIP-Nachricht/en bekannt [Abb. 9.2-7 und -9]. Da R2 ebenfalls am Subnetz B3 angeschlossen ist, empfängt er den Inhalt der Routing-Tabelle von R1 und modifiziert seine Routing-Tabelle entsprechend. Diese Modifikation besteht darin, dass R2 seine Routing-Tabelle um die neuen (von R1 erlernten) Subnetze A1, A2, ..., Ai erweitert und die Entfernung zu diesen Subnetzen einträgt. Die Entfernungen zu den Subnetzen A1, A2, ..., Ai von R2 sind a1 +1, a2 +1, ..., ai +1. Dies bedeutet, dass diese Subnetze von R2 um einen Hop weiter als von R1 liegen.
9.2 Routing Information Protocol (RIP)
371
Beispiel für einen RIP-Ablauf Um den RIP-Ablauf zu verdeutlichen, wird nun ein autonomes IP-System betrachtet, das sich aus vier Subnetzen a, b, c und d zusammensetzt. Abbildung 9.2-2 illustriert den RIP-Ablauf. R 1
S N : a x : d ire k t b
a
a x
1 x
x 1 R 2 2 d R 2 3 b = 1 , 4 ´ c = 2 , d = 3
c = 1 , d = 2
c
a b
x x
c R 2 2 d R 2 3
1
x
c x 1 d R 3 2
1
4 ´´
S N : c
R 2 b
1
x
b
S N : b
b x x
c 1
2 ´
a b d
a = 2 , c = 1 , d = 2
5 ´
1
c
5 ´
b = R 1 x x R 2 ´ a
S N : d
d d = 1
1 ´
2 ´´ b = 1 , d = 2
a = 1 , c = 2 , d = 3
1
1
R 3
2 , d = 1 3 ´ 2 1 1 2 = 2 , b = 1 , d = 2
c x x
1 ´´ b R 2 c x d x 3 ´´ b
1
1 c = 1 1
2
1 = 2 , c = 1
a R 2 3 b R 2 2 c x 1 d x 1
Abb. 9.2-2: Beispiel für einen RIP-Ablauf a, b, c, d: Subnetz-ID, R1, R2, R3: Router, SN: Subnetz
Der RIP-Ablauf lässt sich hier in fünf Schritten darstellen, in denen die Änderungen in den Routing-Tabellen der einzelnen Router vollzogen werden. Die Routing-Tabellen beinhalten in den Spalten (von links nach rechts): ZielSubnetz, Nachbar-Router (als Port-Angabe) und die Metrik als Hop-Anzahl. Hierbei sind die Timer außer Acht gelassen [Abb 9.2-8]. 1. Schritt: R3 verschickt als erster Router seine Routing-Information. Hierbei macht R3 im Subnetz c nur das Subnetz d bekannt, sodass dessen Nachricht (1´) den Distanzvektor mit nur einem Element d = 1 enthält. R3 macht im Subnetz d mit der RIP-Nachricht (1´´) nur das Subnetz c bekannt. R2 modifiziert seine Routing-Tabelle entsprechend Abbildung 9.2-1. 2. Schritt: R2 verschickt seine modifizierte Routing-Tabelle in die Subnetze b und c. Hierbei sendet R2 in Subnetz b eine Nachricht (2´) mit dem Distanzvektor (c = 1, d = 2). Damit lernt R1 die Subnetze c und d kennen. In das Subnetz c sendet R2 eine Nachricht (2´´) mit dem Distanzvektor (b = 1, d = 2). So lernt R3 Subnetz b kennen. R1 und R3 modifizieren ihre RoutingTabellen entsprechend. R1 hat bereits seine Routing-Tabelle vollständig erlernt. 3. Schritt: R3 verschickt seine Routing-Information in die Subnetze c und d. Er sendet in Subnetz c eine Nachricht (3´) mit dem Distanzvektor (b = 2, d = 1) und in Subnetz d eine Nachricht (3´´) mit dem Distanzvektor (b = 2, c = 1). 4. Schritt: R1 versendet seine Routing-Information in die Subnetze a und b. Nach dem vierten Schritt hat R2 seine Routing-Tabelle vollständig erlernt. 5. Schritt: R2 übermittelt seine Routing-Information in die Subnetze b und c. Nach diesem Schritt hat R3 das Subnetz a kennengelernt. Seine Routing-Tabelle ist daher vollständig.
Distanzvektor
372 Konvergenzzeit
9
Routing in IP-Netzen
Die hier dargestellten fünf Schritte bestimmen die sog. Konvergenzzeit von Routing-Tabellen. Darunter wird jene Zeit verstanden, die nötig ist, bis alle Router die aktuelle Struktur der Vernetzung kennengelernt haben. Werden die Inhalte von Routing-Tabellen in Zeitintervallen von 30 Sekunden verschickt, beträgt die benötigte Zeit (d.h. die Konvergenzzeit), um die Routing-Tabellen vollständig zu erlernen, in diesem Beispiel ca. 2,5 Minuten. Reduzierung der Konvergenzzeit Es stellt sich nun die Frage, wie viel Zeit ein Router benötigt, um in seiner Routing-Tabelle die aktuellsten Routen-Angaben zu allen Subnetzen zu erlernen. Dafür muss die Routing-Tabelle oft mehrfach modifiziert werden. Somit sind mehrere Modifikationsschritte notwendig und die Anzahl dieser Schritte bestimmt die Konvergenzzeit. Der Grenzwert 15 als maximale Hop-Zahl wurde u.a. eingeführt, um die Konvergenzzeit in sinnvollen Grenzen zu halten. Wie bereits erwähnt, wird die Routing-Information in Abständen von 30 Sekunden verschickt. Wäre die maximale Hop-Anzahl nicht auf 15 beschränkt, könnte die Konvergenzzeit zu lange dauern. In einer zu langen Periode kann es vorkommen, dass einige Routen nicht mehr aktuell sind. Um die Konvergenzzeit zu reduzieren, können beim RIP folgende Methoden angewandt werden: Split-Horizon-Methode (geteilter Horizont), Split-Horizon-Methode mit Poison-Reverse (geteilter Horizont mit „vergiftetem“ Rückweg), ausgelöste Routeraktualisierungen (triggered updates).
SplitHorizon
Bei der Split-Horizon-Methode handelt es sich um die Routerankündigungen, die periodisch alle 30 Sekunden gesendet werden. Hierbei darf ein Router aber keine Subnetze auf dem Subnetz ankündigen, die er bereits aus diesem Subnetz erlernt hat. Anders ausgedrückt: Jeder Router kündigt auf einem Subnetz (d.h. über einen Port) nur jene Subnetze an, die er ausschließlich über andere Subnetze (d.h. über andere Ports) kennengelernt hat. Die in RIP-Nachrichten gesendeten Angaben enthalten nur die Subnetze, die sich jenseits des benachbarten Routers in entgegengesetzter Richtung befinden [Abb. 9.2-3].
SplitHorizon mit PoisonReverse
Die Split-Horizon-Methode mit Poison-Reverse unterscheidet sich von der einfachen Split-Horizon-Methode dadurch, dass alle Subnetze angekündigt werden. Die Subnetze aber, die aus einer bestimmten Richtung erlernt wurden, werden mit der „Entfernungsangabe“ 16 Hops in diese Richtung angekündigt und somit beim RIP als nicht erreichbar interpretiert [Abb 9.2-6]. In einigen Fällen besitzt diese Methode jedoch einige Vorteile gegenüber dem einfachen Split-Horizon-Prinzip.
9.2 Routing Information Protocol (RIP)
Durch ausgelöste Routeraktualisierungen kann ein RIP-Router die Änderungen in seiner Routing-Tabelle direkt ankündigen und muss nicht bis zur nächsten regelmäßigen Ankündigung (d.h. bis zum Ablauf des Timers 30 s) warten. Auslöser der Aktualisierung kann eine Metrik-Änderung in einem Eintrag der Routing-Tabelle sein. Über eine ausgelöste Aktualisierung lassen sich z.B. jene Subnetze, die nicht mehr verfügbar werden, mit der „Entfernung“ 16 Hops ankündigen. Ausgelöste Aktualisierungen verbessern zwar die Konvergenzzeit, aber dies geschieht auf Kosten des zusätzlichen Broadcastverkehrs. Beispiel für einen RIP-Ablauf mit Split-Horizon Den RIP-Ablauf beim Einsatz der Split-Horizon-Methode illustriert Abbildung 9.2-3. Die Routing-Tabellen beinhalten hier folgende Spalten (von links nach rechts): Ziel-Subnetz, Nachbar-Router (bzw. dass ein Subnetz direkt erreichbar ist) und Hop-Anzahl. Es handelt sich hier um den gleichen Fall, der bereits in Abbildung 9.2-2 dargestellt wurde. R 1
S N : a x : d ire k t b
a
a x x x
1
x
1
c x 1 d R 3 2 c = 1 , d = 2 2 ´
1
c
S N : c
R 2 b
1
x 1 R 2 2 d R 2 3 b = 1 , 3 ´ c = 2 , d = 3 b
S N : b
3 ´´ a = 1 c = 2 , d = 3
4 ´
c
b x
2 ´´
x 1
R 3
1 d d = 1
1 ´
b = 1
a R 1 b x c x d R 2 4 ´´ a
S N : d
1
2 1 2
= 2
c x x 1
1
1 ´´ c = 1 b R 2 2 c x 1 d x 1 a R 2 3 b R 2 2 c x 1 d x 1
Abb. 9.2-3: Beispiel für einen RIP-Ablauf mit der Split-Horizon-Methode a, b, c, d: Subnetz-ID, R1, R2, R3: Router, SN: Subnetz
1. Schritt: Im ersten Schritt sendet R3 als erster Router seine Ankündigungen. Er sendet eine Nachricht (1´) mit d = 1 in das Subnetz c. R3 kündigt damit im Subnetz c das Subnetz d an und R2 modifiziert dann entsprechend Abbildung 9.2-1 seine Routing-Tabelle. Mit der Nachricht (1´´) macht R3 im Subnetz d das Subnetz c bekannt. 2. Schritt: Im zweiten Schritt verschickt R2 den Inhalt seiner modifizierten Routing-Tabelle in Subnetze b und c. Hier sendet er in das Subnetz b eine Nachricht (2´) mit dem Distanzvektor (c = 1, d = 2). Damit lernt R1 die Subnetze c und d kennen. In das Subnetz c sendet R2 eine Nachricht (2´´) nur mit b = 1. Damit lernt R3 das Subnetz b kennen. R1 hat bereits alle Subnetze erlernt. 3. Schritt: Im dritten Schritt übermittelt R1 seine Ankündigungen in die Subnetze a und b. Er sendet in Subnetz a eine Nachricht (3´) mit dem Distanzvektor (b = 1, c = 2, d = 3) und in Subnetz c eine Nachricht (3´´) nur mit a = 1. So lernt R2 Subnetz a kennen und dessen RoutingTabelle ist bereits vollständig. 4. Schritt: Im vierten Schritt versendet R2 seine Ankündigungen in die Subnetze b und c. Somit lernt R3 auch das Subnetz a kennen.
373 TriggeredRouter Aktualisierung
374
9
Routing in IP-Netzen
Vergleicht man die Abbildungen 9.2-2 und 9.2-3, stellt man fest, dass die SplitHorizon-Methode folgende Vorteile hat: Verringerung der Konvergenzzeit, Reduktion der Angaben in RIP-Nachrichten („kleinere“ Distanzvektoren). Die Split-Horizon-Methode hat einen weiteren wichtigen Vorteil, der mit dem sog. Count-to-Infinity-Problem zusammenhängt. Count-to-Infinity-Problem Da die einzelnen Router miteinander nicht synchronisiert sind, entsteht beim RIP das Count-to-Infinity-Problem (Zählung bis unendlich). In einigen Situationen kommt es deswegen zu falschen Einträgen „Hop-Anzahl“ in den RoutingTabellen. Wenn die Router in ihren Routing-Tabellen Routen hinzufügen, die von anderen Routern erlernt wurden, behalten sie zu jedem bekannten Netzwerkziel nur die optimale Route. Außerdem ersetzen sie fälschlicherweise eine Route mit einer niedrigeren Hop-Anzahl durch eine Route mit einer höheren Hop-Anzahl, falls diese beiden Routen vom selben Router angekündigt wurden. Dieses falsche Ersetzen ist die Ursache für das Count-to-Infinity-Problem. Abbildung 9.2-4 illustriert das Count-to-Infinity-Problem beim RIP. Die Routing-Tabellen enthalten hier folgende Spalten (von links nach rechts): ZielSubnetz, Nachbar-Router bzw. Markierung, dass ein Subnetz direkt erreichbar ist, und Hop-Anzahl. R 1
S N : a x : d ire k t
b
x a
x
c R 2 4
1
1
a
x x
1
1
c R 2 1 6
a
x
x a
x
c R 2 2 1
x 1 c R 2 1 4
1
1 1 3 1 3 1 5
a = 1 , c = 2
S N : c
R 2 a R 1 2 b x 1 c x 1
a = 2 , c = 3 a = 1 , c = 4
b
a = 1 , c = 1 4 a = 2 , c = 1 5 a = 1 , c = 1 6
a R 1 3 x 1 c x 1 6 !!!
2 b
...
b b
b
S N : b
1 4 b
a R 1 3 x 1 c R 1 5
a R 1 3 x 1 c R 1 1 6
b
b
a R 1 3 x 1 c R 1 3
a R 1 3 x 1 c R 1 1 5
Abb. 9.2-4: Veranschaulichung des Count-to-Infinity-Problems a, b, c: Subnetz-ID; R1, R2: Router; SN: Subnetz
Bedeutung der HopAnzahl 16
Hier wurde angenommen, dass die Verbindung von Router R2 zum Subnetz c ausgefallen ist. R2 trägt in seiner Routing-Tabelle den Zustand „Subnetz c nicht erreichbar“ ein, indem er als HopAnzahl den Wert 16 angibt. Beim RIP bedeutet die Hop-Anzahl von 16 gerade „unendlich“.
9.2 Routing Information Protocol (RIP)
375
Bevor R2 aber den neuen Zustand seiner Routing-Tabelle ankündigen kann, empfängt er eine Ankündigung (1) von R1. Sie enthält eine Route zu dem über 2 Hops entfernt liegenden Subnetz c. Da die Entfernung von 2 Hops kürzer als 16 Hops ist, ersetzt R2 die Hop-Anzahl bei ihm für das Subnetz c und ändert sie von 16 auf 3. Nachdem R2 später seine neuen Routen angekündigt hat (2), bemerkt R1, dass das Subnetz c über R2 in der Entfernung von 3 Hops liegt. Da die Route zum Subnetz c bei ihm ursprünglich von R2 erlernt wurde, aktualisiert R1 die Route zum Subnetz c, sodass er die Hop-Anzahl auf 4 setzt. R1 verschickt später den Inhalt seiner RoutingTabelle (3) und R2 ändert die Hop-Anzahl zum Subnetz c von 3 auf 5. Es ist anzumerken, dass zwischen R1 und R2 eine „Schleife“ entstanden ist. Infolgedessen senden sich R1 und R2 ständig falsche Routing-Angaben. Wie aus Abbildung 9.2-4 ersichtlich ist, dauert ein derartiger Prozess so lange, bis die Hop-Anzahl in den Routing-Tabellen von R1 und R2 den Wert 16 erreicht hat. Ist die Hop-Anzahl in der Routing-Tabelle eines Routers gleich 16, bedeutet dies, dass ein entsprechendes Subnetz von diesem Router nicht erreichbar ist. Mit diesem Beispiel wurde erläutert, welche Bedeutung die Hop-Anzahl 16 beim RIP hat.
Das Count-to-Infinity-Problem tritt beim RIP mit der Split-Horizon-Methode Splitnicht auf, was in Abbildung 9.2-5 zum Ausdruck kommen soll. Bei dieser Me- Horizonthode handelt es sich um Routerankündigungen, die periodisch alle 30 Sekun- Methode den gesendet werden. Kein Router darf diese Subnetze auf einem Subnetz ankündigen, wenn er sie bereits über dieses Subnetz erlernt hat. Es wurde hier die gleiche Situation angenommen, die bereits in Abbildung 9.2-4 zu einer „logischen Schleife“ zwischen zwei benachbarten Routern geführt hat. R 1
S N : a x : d ire k t
b
a
x
1
b
x 1 c R 2 1 6
a x
x
c R 2 2
1
S N : b
1 b a = 1
S N : c
R 2 a R 1 2 x 1 c x 1
c = 1 6
b
a R 1 2 x 1 c x 1 6
!!!
a R 1 2 b x 1 c R 1 1 6 !!!
Abb. 9.2-5: Split-Horizon-Methode und Ausfalll eines Netzwerks a, b,c: Subnetz-ID; R1, R2: Router; SN: Subnetz
Ist die Verbindung von R2 zum Subnetz c ausgefallen, trägt R2 in seiner Routing-Tabelle den Zustand „Subnetz c nicht erreichbar“ ein, indem er als Hop-Anzahl den Wert 16 angibt. Bevor R2 den neuen Zustand seiner Routing-Tabelle ankündigen kann, empfängt er aber eine Ankündigung a = 1 von R1. Sie kündigt eine Route zu dem über 1 Hop von R1 entfernt liegenden Subnetz a an. Das Subnetz a liegt von R2 um 2 Hops entfernt. R2 braucht seine Routing-Tabelle nicht zu modifizieren. Vergleicht man die Abbildungen 9.2-4 und 9.2-5, stellt man folgenden Unterschied fest: Da hier die Split-Horizon-Methode angewandt wird, sendet R1 in das Subnetz b keine Ankündigung c = 2. Das Subnetz c hat R1 vorher über das Subnetz b erlernt. Dadurch entsteht keine „logische Schleife“ zwischen R1 und R2, wie dies in Abbildung 9.2-4 der Fall war. Nachdem R2 seine Ankündigung c = 16 in das Subnetz b verschickt hat, modifiziert R1 seine Routing-Tabelle. Er trägt den Zustand „Subnetz c nicht erreichbar“ ein, indem er als Hop-Anzahl den Wert 16 angibt. Damit ist der aktuelle Netzwerkzustand beiden Routern bekannt.
376 SplitHorizonMethode mit PoisonRerverse
9
Routing in IP-Netzen
Das Count-to-Infinity-Problem tritt auch beim Einsatz der Split-Horizon-Methode mit Poison-Reverse nicht auf, wie Abbildung 9.2-6 zeigt, in der der gleiche Fall wie in Abbildung 9.2-4 angenommen wurde. Bei der Split-HorizonMethode mit Poison-Reverse werden im Vergleich zur einfachen Split-Horizon-Methode alle Subnetze angekündigt, jedoch werden jene Subnetze, die aus einer bestimmten Richtung erlernt wurden, mit der „Entfernungsangabe“ 16 Hops in diese Richtung, d.h. als „nicht erreichbar“, angekündigt. R 1
S N : a x : d ire k t
b
a
x x
1
b 1
a
x x
c R 2 2
1
S N : b
1 b a = 1 , c = 1 6
S N : c
R 2 a R 1 2 x 1 c x 1 b
a = 1 6 , c = 1 6
c R 2 1 6
a R 1 3 x 1 c x 1 6 b
!!!
a R 1 2 x 1 c R 1 1 6
Abb. 9.2-6: Netzwerkausfall und Split-Horizon-Methode mit Poison-Reserve a, b, c: Subnetz-ID; R1, R2: Router; SN: Subnetz
Vergleicht man die Abbildungen 9.2-5 und 9.2-6, ist zu bemerken, dass R1 in das Subnetz b den Distanzvektor a = 1, c = 16 sendet. Da R1 das Subnetz c über das Subnetz b erlernt hat, kündigt er das Subnetz c im Subnetz b mit der Hop-Anzahl 16 an. Das verhindert das Entstehen „logischer Schleife“ zwischen R1 und R2, wie dies in Abbildung 9.2-4 der Fall war. Nachdem R2 den Distanzvektor a = 16, c = 16 in das Subnetz b verschickt hat, modifiziert R1 seine Routing-Tabelle. Er trägt in ihr den Zustand „Subnetz c nicht erreichbar“ ein, indem er als Hop-Anzahl den Wert 16 angibt.
9.2.2 Besonderheiten des RIP-1 Da die Subnetzmasken in RIP-1-Nachrichten nicht übermittelt werden, kann nur eine Subnetzmaske pro Netzwerk verwendet werden. Beim RIP-1 müssen daher die Subnetzmasken innerhalb des gesamten Netzwerks gleich sein. Das RIP-1 wird hauptsächlich in kleinen und mittelgroßen Netzwerken eingesetzt. Struktur von RIP-1-Nachrichten Für die Übermittlung von RIP-1-Nachrichten wird das Transportprotokoll UDP verwendet. Die RIP-1-Nachrichten werden über den Port 520 sowohl gesendet als auch empfangen. Beim Versenden einer RIP-Nachricht auf ein Subnetz wird die IP-Broadcastadresse im IP-Header als IP-Zieladresse genutzt. Abbildung 9.2-7 zeigt die Struktur von RIP-1-Nachrichten.
377
9.2 Routing Information Protocol (RIP)
a )
0
C o m m a n d
7
1 5
V e rs io n
3 1
n ic h t v e rw e n d e t (a lle B its = 0 ) 1
R IP -1 E n try
(2 0 B y te s )
... R IP -1 E n try
b )
0
i (2 0 B y te s )
1 5
A d d re s s F a m ily Id e n tifie r IP v 4 n ic h t v e rw e n n ic h t v e rw e n M
3 1
n ic h t v e rw e n d e t (a lle B its = 0 ) A d d re s s (4 B y te s ) d e t (4 B y te s , a lle B its = 0 ) d e t (4 B y te , a lle B its = 0 ) e tric (4 B y te s )
Abb. 9.2-7: RIP-1-Nachricht: a) allgemeine Struktur, b) RIP-1-Eintrag
Wie aus Abbildung 9.2-7a hervorgeht, setzt sich jede RIP-1-Nachricht aus einem Header und einer Vielzahl von RIP-1-Einträgen zusammen. In einem RIP1-Eintrag (RIP-1 Entry) wird ein Subnetz angekündigt. Eine RIP-1-Nachricht darf maximal 25 Einträge mit je 20 Bytes enthalten. Sollen mehr als 25 Subnetze über einen Router-Port angekündigt werden, muss der Router über diesen Port mehrere Nachrichten verschicken. Der Header in RIP-1-Nachrichten enthält die Felder: Command (1 Byte); hier wird angegeben: − x’01’: Es handelt sich um einen RIP-Request (Anforderung), − x’02’: Es handelt sich um eine RIP-Response (Antwort).
HeaderInhalt
Version (1 Byte); Angabe der RIP-Version. Beim RIP-1 enthält dieses Feld den Wert x’01’.
Die Request-Nachrichten werden bei der Initialisierung eines Routers gesen- Requestdet. Beim Start kündigt der RIP-Router in allen lokal angeschlossenen Subnet- Nachrichten zen die ihm bekannten Subnetze an. Der initialisierende Router sendet außerdem in alle angeschlossenen Subnetze einen allgemeinen RIP-Request. Dabei handelt es sich um eine besondere Nachricht, mit der alle benachbarten Router aufgefordert werden, ihm die Inhalte ihrer Routing-Tabellen in Form von Unicast-Nachrichten zukommen zu lassen. Auf der Basis dieser Antworten wird die Routing-Tabelle des initialisierenden Routers aufgebaut. Eine Antwort kann als Reaktion auf eine Anfrage oder als regelmäßige bzw. ausgelöste Router-Ankündigung gesendet werden. Ein RIP-1-Eintrag kann als 20-Bytes-Behälter angesehen werden, der folgende Angaben übermittelt [Abb. 9.2-7b]: Address Family Identifier (kurz AFI): Das RIP wurde ursprünglich für das Routing in heterogenen Netzen konzipiert, wo unterschiedliche Adressierungsarten verwendet werden können. Hier wird markiert, um welche Adressierungsart es sich handelt. Handelt es sich um die IP-Adressierung, so steht hier der Wert 2.
RIP-1Eintrag
9
Routing in IP-Netzen IPv4 Address: In diesem Feld wird das Netzwerkziel angegeben. Dabei kann es sich um
eine klassenlose Netzwerkkennung, eine Subnetzkennung, eine IP-Adresse (für eine HostRoute) oder um 0.0.0.0 (für die Standard-Route) handeln. Bei einem RIP-Request wird als IPv4-Adresse 0.0.0.0 angegeben. Metrik: Hier wird die Hop-Anzahl zum Netzwerkziel angegeben. Dieser Wert beschreibt
die Anzahl von Hops von dem Router, der diese RIP-Nachricht abgeschickt hat, die benötigt werden, um das betreffende Netzwerkziel zu erreichen. In diesem Feld ist der zugelassene Höchstwert 16. Nach dem RIP sind maximal 15 Hops zwischen einem Router und einem Subnetz zulässig. Der Wert 16 hat eine besondere Bedeutung. Er weist darauf hin, dass ein betreffendes Netzwerkziel unerreichbar für einen Router ist [Abb. 9.2-5].
Die maximale Länge einer RIP-1-Nachricht (ohne UDP- und IP-Header) beträgt 512 Bytes. Wenn der RIP-Router eine vollständige Liste aller Subnetze und aller möglichen Wege zu diesen Netzwerkzielen speichert, kann die Routing-Tabelle so viele Einträge enthalten, dass diese in mehreren RIP-Nachrichten gesendet werden müssen. In einer einzigen RIP-Nachricht können nur 25 Einträge gesendet werden. Routing-Tabelle beim RIP-1
M e trik
T im e r
...
...
...
N e tz w e rk z ie l W e ite rle itu n g s a d r. N e x t H o p (A u s g a n g s p o rt)
...
Das RIP-1 wurde für die Netzwerke mit der klassenbasierten IP-Adressierung konzipiert, bei der die Netzwerkkennung (Netzwerk-ID) aus den Werten der ersten drei Bits der IP-Zieladresse bestimmt werden kann. In RIP-1-Nachrichten wird die Netzwerkmaske (bzw. Subnetzmaske) nicht übermittelt. Die allgemeine Struktur der Routing-Tabelle beim RIP-1 zeigt Abbildung 9.2-8.
...
378
Abb. 9.2-8: Allgemeine Struktur der Routing-Tabelle beim RIP-1
Die einzelnen Spalten in der Routing-Tabelle haben folgende Bedeutung: Die erste Spalte enthält die Netzwerkziele als Netzwerk- bzw. Subnetz-IDs. Jedem physikalischen Port im Router muss eine IP-Adresse zugeordnet werden. In der zweiten Spalte wird die IP-Adresse des Ausgangsports angegeben, über den das betreffende Paket abgesendet werden soll. Ist ein RouterPort ein LAN-Port (d.h. mit einer LAN-Adapterkarte), wird ein IP-Paket über diesen Port in einem MAC-Frame gesendet. Auf der Basis der IPAdresse des physikalischen LAN-Ports wird die MAC-Quelldresse für den MAC-Frame mit dem IP-Paket bestimmt. Hier kommt das Protokoll ARP zum Einsatz [Abschnitt 2.6.1].
9.2 Routing Information Protocol (RIP)
379
Die dritte Spalte Next Hop enthält die IP-Adresse des nächsten Routers, falls das IP-Paket zu einem „entfernten“ Ziel gesendet wird, bzw. die Identifikation eines lokalen Subnetzes, zu dem das IP-Paket direkt übergeben wird. Die vierte Spalte enthält die Metrik als Entfernung in Hops zum Ziel. In der letzten Spalte (Timer) wird die Zeitspanne seit der letzten Aktualisierung der Tabelle angegeben. Die Bedeutung der Timer-Spalte soll nun kurz erläutert werden. Fällt ein Rou- Router Timer ter aufgrund eines Stromausfalls oder eines Hardware- bzw. Softwarefehlers aus, besitzt er keine Möglichkeit, benachbarten Routern mitzuteilen, dass die über ihn erreichbaren Netzwerkziele nicht mehr verfügbar sind. Um die Einträge mit nicht erreichbaren Zielen in Routing-Tabellen zu verhindern, besitzt jede vom RIP erlernte Route standardmäßig eine maximale Lebensdauer von 3 Minuten. Wird eine Route in der Routing-Tabelle innerhalb von 3 Minuten nicht aktualisiert, wird ihre Hop-Anzahl auf 16 gesetzt. Diese Route wird schließlich aus den Routing-Tabellen entfernt, nachdem die so veränderte Routing-Tabelle verschickt wurde. Deshalb dauert es nach dem Ausfall eines Routers 3 Minuten, bis die benachbarten Router die von dem ausgefallenen Router erlernten Routen als „nicht erreichbar“ markieren. Schwächen des RIP-1 Das RIP-l wurde bereits im Jahre 1988 entwickelt, um in LAN-basierten IPNetzwerken dynamisches Routing zu ermöglichen. Die LAN-Technologien wie Ethernet und Token-Ring unterstützen den Broadcast-Verkehr auf der MACEbene, sodass ein einzelnes Paket von mehreren Rechnern empfangen und verarbeitet werden kann. Das RIP nutzt daher diese LAN-Eigenschaft. Die wesentlichen Schwächen des RIP-l sind: Routerankündigungen als Broadcast auf der MAC-Ebene In Netzwerken ist die Unterstützung von Broadcasts auf MAC-Ebene nicht wünschenswert, weil dies zu großer Belastung des Netzwerks führt. Silent-RIP-Rechner Silent-RIPDa die Routerankündigungen beim RIP-1 als MAC-Broadcast versendet Rechner werden, ist es möglich, sog. Silent-RIP-Rechner zu installieren. Ein SilentRIP-Rechner verarbeitet RIP-Ankündigungen, kündigt jedoch seine eigenen Routen nicht an. Keine CIDR-Unterstützung Das RIP-l wurde zu einer Zeit entwickelt, als die IP-Netzwerke ausschließlich Netzwerk- und Subnetz-IDs verwendeten, die nur die klassenbasierte IP-Adressierung nutzten. Heute sind dagegen der Einsatz von CIDR (Classless Inter-Domain Routing) und die Bildung der Subnetze mit Masken vari-
380
9
Routing in IP-Netzen
abler Länge für die bessere Ausnutzung des IP-Adressraums nahezu unumgänglich. Subnetzmaske wird in RIP-1-Nachrichten nicht übermittelt Das RIP-l wurde für klassenbasierte IP-Netzwerke entwickelt, in denen die Netzwerk-ID aus den Werten der ersten drei Bits der IP-Adresse bestimmt werden kann. Da die Subnetzmaske nicht übermittelt wird, muss der Router einfache Annahmen über die Subnetzmasken selbst machen. Bei jeder Route, die in einer RIP-1-Nachricht enthalten ist, kann der Router bei der Bestimmung der Subnetzmaske wie folgt vorgehen: − Wenn die Netzwerk-ID zu einer Netzwerkklasse A, B oder C passt, wird von der standardmäßig klassenbasierten Subnetzmaske ausgegangen. − Wenn die Netzwerk-ID zu keiner Netzwerkklasse A, B oder C passt, so kann man wie folgt vorgehen: • Wenn die Netzwerk-ID zu der Subnetzmaske der Schnittstelle passt, auf der gerade die RIP-1-Nachricht empfangen wurde, so kann von der Subnetzmaske dieser Schnittstelle ausgegangen werden. • Wenn die Netzwerk-ID nicht zur Subnetzmaske der Schnittstelle passt, auf der die RIP-1-Nachricht empfangen wird, kann davon ausgegangen werden, dass es sich um eine Host-Route mit der Subnetzmaske 255.255.255.255 handelt.
9.2.3 Das Routing-Protokoll RIP-2 Das Routing-Protokoll RIP Version 2 für IP (kurz RIP-2) stellt eine Weiterentwicklung des RIP-1 dar. Das RIP-2 ist wie das RIP-1 ein DistanzvektorProtokoll. Das RIP-2 wurde in RFC 2453 spezifiziert. Ziele des RIP-2
Mit der Entwicklung des RIP-2 wurde versucht, einige Schwächen des RIP-1 zu beheben, um folgende Ziele zu erreichen: das Verkehrsaufkommen durch Versenden von Routerankündigungen zu reduzieren, die Bildung von Subnetzen mit Masken variabler Länge und damit die Einsparung von IP-Adressen zu ermöglichen, die Router vor böswillig konfigurierten Nachbar-Routern zu schützen, die Abwärtskompatibilität mit RIP-1 zu gewährleisten.
Besonderheiten des RIP-2
Die wichtigen Besonderheiten des RIP-2 sind: Das Erlernen von Routing-Tabellen erfolgt beim RIP-2 nach den gleichen Prinzipien wie beim RIP-1 [Abb. 9.2-1 und -2]. Maximale Hop-Anzahl ist 15.
9.2 Routing Information Protocol (RIP)
381
Beim RIP-2 (wie beim RIP-1) ist die maximale Anzahl von Hops auf 15 begrenzt. Die Hop-Anzahl 16 auf einer Route bedeutet, dass das Netzwerkziel nicht erreichbar ist. Beim RIP-2 können die Methoden Split-Horizon, Split-Horizon mit PoisonReserve und ausgelöste Router-Aktualisierungen zum Vermeiden des Count-to-Infinity-Problems [Abb 9.2-4] und auch zum Verringern der Konvergenzzeit eingesetzt werden [Abb. 9.2-5 und -6]. Routerankündigungen als IP-Multicast Beim RIP-2 werden die Router-Ankündigungen nicht mehr als MACBroadcast versendet, sondern für das Versenden von Router-Ankündigungen wird die IP-Multicast-Adresse 224.0.0.9 im IP-Header als IP-Zieladresse gesetzt. Alle Nicht-RIP-Rechner werden somit von Router-Ankündigungen nicht beeinträchtigt. Übermittlung von Subnetzmasken In RIP-2-Nachrichten wird die Subnetzmaske zusammen mit dem Netzwerkziel übermittelt. Das RIP-2 kann somit in VLSM-Umgebungen (Variable Length Subnet Masking) eingesetzt werden [Abschnitt 2.5.2]. Authentifizierung Das RIP-2 ermöglicht die Authentifizierung, um den Ursprung eingehender Router-Ankündigungen zu überprüfen. Hierbei kann die Authentifizierung durch Übermittlung des Kennworts bzw. durch eine Prüfsequenz MD5 (Message Digest 5) erfolgen. Abwärtskompatibilität des RIP-2 mit dem RIP-1 Die RIP-2-Nachrichten werden so strukturiert, dass ein RIP-1-Router einige Felder der RIP-2-Nachricht verarbeiten kann. Wenn ein RIP-1-Router eine RIP-2-Nachricht empfängt, verwirft er sie nicht, sondern verarbeitet nur die RIP-1-relevanten Felder. Die RIP-2-Router können daher auch mit den RIP1-Routern zusammenarbeiten. Ein RIP-2-Router sendet eine Response nach RIP-1 auf ein Request vom RIP-1-Router. Für die Übermittlung von RIP-2-Nachrichten wird das Transportprotokoll UDP Aufbau von verwendet. Somit kann das RIP-2 im Schichtenmodell wie das RIP-1 der RIP-2Schicht 5 zugeordnet werden. Die RIP-2-Nachrichten werden ebenfalls wie das Nachrichten RIP-1 über den Port 520 sowohl gesendet als auch empfangen. Somit kann der Port 520 als RIP-1/RIP-2-Port angesehen werden. Beim Versenden einer RIP2-Nachricht auf ein Subnetz wird die IP-Multicast-Adresse 224.0.0.9 im IPHeader als IP-Zieladresse genutzt. Abbildung 9.2-9 zeigt die Struktur von RIP2-Nachrichten.
382
9
Routing in IP-Netzen
0
a )
C o m m a n d
7
V e rs io n
1 5
3 1
n ic h t v e rw e n d e t (a lle B its = 0 ) R I P - 2 E n t r y . . .1 ( 2 0 B y t e s ) R IP -2 E n try i (2 0 B y te s )
b )
0
A d d re s s F a m ily Id e n tifie r IP v 4 S u b n N e x M
1 5
A d d e t M t H o e tric
re ss a sk p (4 (4 B
(4 (4 B y
R o u te T a g B y te s ) B y te s ) y te s ) te s )
3 1
Abb. 9.2-9: RIP-2-Nachrichten: a) allgemeine Struktur, b) RIP-2 Entry (RIP-2-Eintrag)
Jede RIP-2-Nachricht setzt sich aus einem Header und einer Vielzahl von RIP2-Einträgen zusammen. Mit einem RIP-2-Eintrag (RIP-2 Entry) kann ein Router nur eine Route ankündigen. HeaderInhalt
Der Header in den RIP-2-Nachrichten enthält nur diese Angaben: Command (1Byte): Hier wird angegeben, ob es sich um einen Request (x’01’) oder um eine Response (x’02’) handelt. Somit hat dieses Feld die gleiche Bedeutung wie beim RIP-1. Version (1 Byte): Hier wird die RIP-Version angegeben (x’02’).
Um sicherzustellen, dass die RIP-1-Router auch RIP-2-Nachrichten verarbeiten können, bleibt beim RIP-2 die Struktur von RIP-1-Nachrichten erhalten [Abb. 9.2-7]. Das RIP-2 nutzt diese Felder im RIP-Eintrag, die beim RIP-1 nicht verwendet. Die Felder Command, Address Family Identifier, IPv4 Address und Metric werden wie beim RIP-1 verwendet. Mit einem RIP-Eintrag wird ein Router angegeben. Eine RIP-2-Nachricht darf maximal 25 Einträge mit je 20 Bytes enthalten. Sollen mehr als 25 Routen angekündigt werden, muss der Router mehrere Nachrichten senden. Vergleicht man den RIP-1-Eintrag [Abb. 9.2-7b] mit dem RIP-2-Eintrag [Abb. 9.2-9b], stellt man fest, dass alle Felder, die beim RIP-1 nicht verwendet wurden, nun beim RIP-2 genutzt werden. Da ein RIP-Eintrag einen Router beschreibt, können zusätzliche Routen-Angaben bei RIP-2-gemacht werden. Hierfür dienen folgende Felder im RIP-2-Eintrag: Route Tag: In diesem Feld kann die Routen-Markierung (Routen-Tag) angegeben werden. Die Möglichkeit wurde eingeführt, um zwischen RIP-basierten Routen (internal RIP routes) und Nicht-RIP-basierten Routen (external RIP routes) unterscheiden zu können. Route Tag kommt dann zum Einsatz, wenn die Kommunikation zwischen einem RIP-2-Router und einem BGP-Router (Border Gateway Protocol) unterstützt werden muss. Subnet Mask: Dieses Feld enthält die Subnetzmaske des Netzwerkziels im Feld IPv4 Address. Dadurch kann das RIP-2 in VLSM-Umgebungen eingesetzt werden. Daher ermög-
licht das RIP-2 auch die CIDR-Unterstützung.
9.2 Routing Information Protocol (RIP)
383
Next Hop: Unter Verwendung dieses Felds kann ein Router eine Host-Route (d.h. eine Rou-
te direkt zu einem Rechner) ankündigen. Hier wird die IP-Adresse des Host eingetragen. Andere Router, die eine Ankündigung in diesem Netzwerk empfangen, leiten die an den Host gerichteten Pakete direkt an diesen und nicht an den Router weiter.
Um die Information für die Authentifizierung beim RIP-2 zu übermitteln, ver- Authentifiwendet man den ersten RIP-2-Eintrag in der RIP-2-Nachricht. Dieser Eintrag zierung wird verwendet, um die restlichen Einträge überprüfen zu können. Den RIP-2- beim RIP-2 Eintrag mit Angaben für die Authentifizierung zeigt Abbildung 9.2-10. 0
1 5
A F I = x 'F F F F '
A u th e n tic a tio n T y p e
3 1
A u th e n tic a tio n (1 6 B y te s )
Abb. 9.2-10: RIP-2-Eintrag mit Angaben für die Authentifizierung AFI: Address Family Identifier
Als Indikator für einen RIP-2-Eintrag mit Authentifizierungs-Angaben enthält das Feld Address Family Identifier den Wert x’FFFF’. Das Feld, in dem normalerweise Route Tag angegeben wird, enthält nun Authentification Type und zeigt das verwendete Verfahren für die Authentifizierung an. Die einfache Authentifizierung mit der Angabe eines Kennworts wird hier mit dem Wert x’0001’ angezeigt. In den nächsten 16 Bytes werden die Angaben für die Authentifizierung (z.B. Kennwort, MD5-Prüfsequenz) gemacht.
9.2.4 Das RIP für das Protokoll IPv6 (RIPng) Das RIP für IPv6 stellt eine Anpassung des RIP-2 an die Eigenschaften von RIPng als IPv6, insbesondere an die IPv6-Adressierung, dar. Da es sich beim IPv6 um RIPv6 „IP next generation“ (kurz IPng) handelt, bezeichnet man das RIP für IPv6 als RIPng bzw. als RIPv6. RIPng ist genauso wie das RIP-1 und das RIP-2 ein Distanzvektor-Protokoll. RIPng wird in RFC 2080 spezifiziert. Die wichtigsten Besonderheiten des RIPng sind: BesonderDas Erlernen von Routing-Tabellen erfolgt beim RIPng nach den gleichen heiten des RIPng Prinzipien wie beim RIP-1 und beim RIP 2 [Abb. 9.2-1 und -2]. Maximale Hop-Anzahl ist 15 Auch beim RIPng ist die maximale Anzahl von Hops auf 15 begrenzt. Die Hop-Anzahl 16 auf einer Route weist darauf hin, dass das Netzwerkziel nicht ereichbar ist.
384
9
Routing in IP-Netzen
Count-to-Infinity-Problem Beim RIPng kommt auch das Count-to-Infinity-Problem vor [Abb. 9.2-4]. Um es zu vermeiden, kommen die gleichen Methoden wie beim RIP-1 und beim RIP-2 infrage, d.h. Split-Horizon, Split-Horizon mit Poison-Reserve und ausgelöste Routeraktualisierungen. Übermittlung von Subnetzmasken In RIPng-Nachrichten wird die Präfixlänge übermittelt. Da das Präfix die Subnetzmaske bestimmt, kann das RIPng in Netzwerken eingesetzt werden, in denen Subnetze mit unterschiedlichen Präfixlängen vorkommen. Übermittlung von Next-Hop-Angaben Der Einsatz des IPv6 lässt mehrere Router in einem Subnetz zu [Abschnitt 7.1.1]. Mit dieser Angabe bei der Route ist es möglich, den nächsten Router direkt zu adressieren. Hervorzuheben ist, dass die Next-Hop-Angabe auch in den RIP-2-Nachrichten gemacht wird. Im Gegensatz zum RIPng dient sie beim RIP-2 zur Realisierung sog. Host-Routen, d.h. direkter Routen zu den Endsystemen. Struktur von RIPngNachrichten
Für die Übermittlung von RIPng-Nachrichten wird UDP verwendet. Sie werden über den UDP-Port 521 sowohl gesendet als auch empfangen. Abbildung 9.2-11 zeigt die Struktur der RIPng-Nachricht. Sie setzt sich aus einem Header und einer Vielzahl von Einträgen zusammen. Jeder dieser Einträge stellt ein Feld dar, in dem eine Route aus der Routing-Tabelle übermittelt werden kann. Somit bezeichnet man den Eintrag als RTE (Routing Table Entry). Beim RIPng wird die Struktur von Nachrichten von RIP-1 und RIP-2 übernommen [Abb. 9.2-7 und –9]. 0
a )
C o m m a n d
7
R T E R T E b )
1 5
V e rs io n 1
3 1
n ic h t v e rw e n d e t (a lle B its = 0 )
(2 0 B y te s )
...
k (2 0 B y te s ) 1 5
0
3 1
IP v 6 P re fix (1 6 B y te s ) R o u te T a g
P re fix L e n g th
M e tric
Abb. 9.2-11: RIPng-Nachricht: a) allgemeine Struktur, b) RTE-Aufbau RTE: Routing Table Entry
Header
Folgende Angaben bilden den Header in den RIPng-Nachrichten: Command (1Byte): Hier wird angegeben, ob es sich um Request (x’01’) bzw. um Response (x’02’) handelt. Daher hat dieses Feld die gleiche Bedeutung wie bei RIP-1 und RIP-2. Version (1 Byte): Hier wird die RIPng-Version angegeben (x’01’).
9.3 Open Shortest Path First (OSPF) Mit einem Eintrag RTE wird eine Route angegeben. Wie aus Abbildung 9.2-11b ersichtlich ist, wird jede Route beim RIPng durch die Angabe folgender Komponenten spezifiziert:
385 Eintrag RTE
Netzwerkziel: Das Ziel wird durch die IPv6-Zieladresse und das Präfix dieser Adresse festgelegt [Abb. 7.1-2]. Die Ziel-IPv6-Adresse wird im Feld IPv6 Prefix eingetragen. Das Präfix wird durch die Angabe der Präfixlänge im Feld Prefix Length (1 Byte) aus der IPv6Adresse herausgefiltert. Entfernung zum Netzwerkziel (auch als Metrik bezeichnet): Die Entfernung zum Ziel in Anzahl von Hops wird im RTE-Feld Metric angegeben.
Das RIPng ermöglicht die Markierung von Routen. Hierfür steht das RTE-Feld Route Tag (2 Bytes) zur Verfügung. Ein Route Tag stellt eine Identifikation der Route dar und kommt dann zum Einsatz, wenn die Kommunikation zwischen einem RIPng-Router und einem BGP-Router (Border Gateway Protocol) unterstützt werden muss. Bemerkung: Prefix Length in RTE von RIPng-Nachrichten entspricht der Angabe Subnetz Mask in RIP-2-Nachrichten. Somit ist es auch möglich, beim RIPng-Einsatz die Subnetze mit variablen Masken (d.h. VLSM-Networking) im privaten Bereich zu bilden.
Für die Übermittlung von Host-Routen (d.h. von Routen zu Endsystemen) beim RIPng dient ein spezieller RTE Next Hop. Abbildung 9.2-12 zeigt dies. 0
1 5
3 1
IP v 6 N e x t H o p A d d re s s (1 6 B y te s ) n ic h t v e rw e n d e t
n ic h t v e rw e n d e t
x 'F F '
Abb. 9.2-12: Eintrag Next-Hop beim RIPng
Wie hier zu erkennen ist, verwendet man im RTE-Feld Metric die Angabe x´FF´, um anzuzeigen, dass es sich um einen RTE Next Hop handelt. In diesem RTE wird die Route zu einem Host (Zielrechner) angegeben. Genauer gesagt wird hier die IPv6-Adresse des Zielrechners eingetragen. Die maximale Anzahl von RTEs, die in einer RIPng-Nachricht enthalten sein können, wird im Voraus nicht eingeschränkt. Sie ergibt sich aus der Begrenzung der maximalen Länge von IP-Paketen (d.h. durch die sog. MTU).
9.3
Open Shortest Path First (OSPF)
OSPF (Open Shortest Path First) ist das Routing-Protokoll innerhalb von sog. Besonderautonomen Systemen (AS), d.h. es ist ein Interior Gateway Protocol (IGP) heiten von [Abb. 9.1-13]. Im Unterschied zum RIP, das ein nur entfernungsorientiertes OSPF Routing-Protokoll ist, gehört OSPF zur Klasse der zustandsorientierten Rou-
386
9
Routing in IP-Netzen
ting-Protokolle. Bei OSPF wird der Zustand von Verbindungen (Links) berücksichtigt, sodass man vom Link State Routing Protocol spricht [Abb. 9.1-12]. Die Routing-Information bei OSPF wird im Gegensatz zum RIP direkt in IP-Pakete eingebettet, d.h. ohne ein Transportprotokoll zu nutzen, wie dies beim RIP der Fall war. Hierfür wurde die Protokollnummer 89 dem OSPF im Header des IPPakets zugewiesen. Daher ist OSPF im Schichtenmodell der Schicht 4 zuzuordnen. Die Routing-Information bei OSPF wird zwischen Routern in Form der OSPF-Pakete übermittelt. Diese entsprechen den RIP-Nachrichten. Versionen von OSPF
Bei OSPF ist zu unterschieden zwischen OSPF für IPv4 (OSPF for IPv4) und OSPF für IPv6 (OSPF for IPv6). Die aktuelle Spezifikation von OSPF für IPv4, d.h. die OSPF Version 2 (kurz OSPFv2), wird in RFC 2328 dargestellt. OSPF für IPv6 wird seit einiger Zeit als OSPFv3 bezeichnet. Auf OSPFv3 geht Anschnitt 9.3.6 kurz ein. Da man IPv6 Protocol Next Generation nennt, wurde OSPF für IPv6 vorher auch als OSPFng bezeichnet. Im Weiteren wird unter der Abkürzung OSPF ausschließlich OSPF für IPv4 verstanden. Die OSPF-Beschreibung betrifft hier OSPFv2.
9.3.1 Funktionsweise von OSPF LSA
Bei OSPF muss jeder Router für sich selbst eine Routing-Tabelle erstellen. Hierfür muss er die Routing-Information (RI) jedes anderen Routers in seiner RI-Datenbank speichern [Abb. 9.1-11]. Die RI bei OSPF betrifft den Zustand von Verbindungen und wird als sog. Verbindungszustand-Bekanntmachung, kurz LSA (Link State Advertisement), zwischen den benachbarten Routern ausgetauscht. Die RI-Datenbank im Router bei OSPF wird als Verbindungszustand-Datenbank bzw. als LSDB (Link State Database) bezeichnet.
SPF-Baum
Um eine Routing-Tabelle zu erstellen, baut jeder Router – aufgrund der Eintragungen in seiner LSDB – um sich einen sog. überspannenden Baum auf, in dem er selbst die Wurzel (Root) darstellt und die Verzweigungen des Baums die billigsten Wege zu allen möglichen Zielen (Subnetzen, Routern) repräsentieren. Einen solchen Baum bezeichnet man als SPF-Baum (Shortest Path First). Auf Basis des SPF-Baums wird die Routing-Tabelle erstellt [Tab. 9.3-1]. Bei der Erstellung der Routing-Tabelle sind in jedem Router folgende Schritte zu unterscheiden:
Erstellung der RoutingTabelle
1. Erstellen der LSDB, 2. Aufbau des SPF-Baums (Shortest Path First), 3. Berechnen der Einträge in den Routing-Tabellen.
9.3 Open Shortest Path First (OSPF)
387
Anhand eines Beispiels, das zur Verdeutlichung der OSPF-Grundprinzipien vereinfacht wurde, werden die einzelnen Schritte bei OSPF kurz erläutert. Hierbei werden jedoch nicht alle OSPF-Möglichkeiten gezeigt. R 4
S N 4
S N 5
S N 3 S N 1
R 1
R 2
S N 2
S N 6
R 5
R 3 S N 7
Abb. 9.3-1: Ausgangssituation beim Beispiel für den OSPF-Einsatz R: Router, SN: Subnetz
Beispiel: Hier wird das in Abbildung 9.3-1 gezeigte Netzwerk, das eine Vernetzung mehrerer Subnetze darstellt, betrachtet und angenommen, dass dieses Netzwerk ein autonomes System (AS) im Sinne von OSPF bildet. Erstellen der LSDB Um OSPF einzusetzen, müssen die Kosten den einzelnen Ausgangsports in Routern vom Netzwerk-Manager zugewiesen werden. Bei der Zuordnung von Kosten können unterschiedliche Faktoren (z.B. die Belastung von Subnetzen, Übertragungsrate, Verzögerungen etc.) berücksichtigt werden. Abbildung 9.3-2a zeigt das Netzwerk aus Abbildung 9.3-1 mit den für die Router-Ports zugewiesenen Kosten. Es ist zu bemerken, dass immer nur der „Eingang“ in ein Subnetz gewisse Kosten verursacht. Aus OSPF-Sicht stellt ein Netzwerk eine Verbindungsmöglichkeit (Link) zwischen zwei benachbarten Routern dar; dazu wurden die einzelnen Subnetze SN1, ..., SN7 in Abbildung 9.3-2a durch die Links a1, ..., a7 ersetzt.
S N
a ) 2
a
3 4
a 3 6
R 1 2 a
S N 1
1
2
R 4
4
a
S N
1
3
4
R 2 2 S N
a 6
6
a 2
5
S N 2
R 5 3
2
S N
b ) 5
4
R 1 3
2
R 2
R 3 a
R 3 R 4 2
7
S N
R o u te r A n g e s c h lo s s e n e S u b n e tz e m it K o s te n
7
R 5
S N S N S N S N S N 6
4
2
1
1
= 2 , = 1 , = 4 , = 3 , = 2 ,
S N 3
S N S N
2 3
S N S N 7
5
= 6 , S N = 4 , S N = 2 , S N = 2 = 3
= 2 = 2 5 = 3 , S N 4 6
7
= 2
Abb. 9.3-2: Beispiel für den OSPF-Einsatz: a) Netzwerk aus OSPF-Sicht , b) Inhalt der LSDB a : Link, R: Router, SN: Subnetz
Die Router verteilen die Routing-Information in Form sog. LSAs (Link State Advertisements). Die LSDB ist eine Datenbank mit LSAs aller Router eines AS und wird durch den fortlaufenden Austausch von LSAs zwischen benachbarten Routern erstellt. Jeder Router ist also mit seinem Nachbarn synchronisiert. Zur Erstellung der LSDB muss jeder Router von jedem anderen Router im AS eine gültige LSA empfangen. Jeder Router sendet anfangs eine LSA, die seine eigene Konfiguration enthält. Die von einem anderen Router empfangene LSA übermittelt er an die benachbarten Router. Auf diese Weise
Schritt 1
388
9
Routing in IP-Netzen
überflutet eine LSA eines bestimmten Routers das gesamte AS, sodass jeder andere Router diese LSA enthält. Um LSAs in LSDBs verfolgen zu können, wird jedem Router eine im AS eindeutige Router-ID zugewiesen, die aus 32 Bits besteht. Wenn jeder Router bereits eine LSA von jedem anderen Router besitzt, enthalten alle Router die in Abbildung 9.3-2b dargestellte LSDB. Im nächsten Schritt baut jeder Router einen SPF-Baum auf.
Schritt 2
Aufbau des SPF-Baums Im Weiteren wird nur der SPF-Baum vom Router R2 betrachtet. Nach der Ermittlung der Pfade mit den geringsten Kosten von R2 zu allen Zielen (d.h. hier allen Subnetzen) entsteht der in Abbildung 9.3-3 gezeigte SPF-Baum. Die Berechnung des SPF-Baums erfolgt in Routern nach dem Dijkstra-Algorithmus.
S N 4
R 1
2
a
2
R 3 4
a a
S N 3 S N 1 a 1 1 3
1
3
4
R 2 2 S N 6
a 2
a
S N 5 5
6
2
S N 2
R 3
2
R 5 3
a 7
S N 7
Abb. 9.3-3: SPF-Baum von Router R2 a : Link, R: Router, SN: Subnetz
Der SPF-Baum von R2 zeigt die Pfade mit den geringsten Kosten zu allen Routern und Subnetzen. R2 kann hier als Baum-Stamm angesehen werden. Im nächsten Schritt berechnet R2 die Einträge seiner Routing-Rabelle.
Schritt 3
Berechnen von Einträgen der Routing-Tabelle Tabelle 9.3-1 stellt die Routing-Tabelle von Router R2 dar, die auf Basis des in Abbildung 9.3-3 gezeigten SPF-Baums entsteht. Netzwerkziel SN 1 SN 2 SN 3 SN 4 SN 5 SN 6 SN 7 Tab. 9.3-1:
Weiterleitung direkt direkt R3 R1 R1 direkt R5
Ausgangsport 1 2 2 1 1 3 2
Metrik 1 4 6 3 5 2 5
Routing-Tabelle von Router R2 R: Router, SN: Subnetz
Die Spalte Weiterleitung gibt an, ob das Ziel direkt erreichbar ist bzw. zu welchem benachbarten Router die IP-Pakete weitergeleitet werden sollen, um das betreffende Netzwerkziel zu erreichen. In der Spalte Ausgangsport wird der Router-Port angegeben, an den die IP-Pakete für das betreffende Netzwerkziel zum Absenden übergeben werden sollen. Die Spalte Metrik enthält die gesamten Kosten auf dem Pfad zum Netzwerkziel.
9.3 Open Shortest Path First (OSPF)
389
9.3.2 Nachbarschaften zwischen Routern Um den Zustand zu erreichen, in dem alle Router die LSDB mit den gleichen Inhalten besitzen, müssen die Router beim OSPF-Einsatz entsprechend miteinander „synchronisiert“ werden. Dabei muss nicht jeder Router mit jedem anderen Router im AS synchronisiert werden, vielmehr genügt es, wenn jeder Router sich mit seinen Nachbarn synchronisiert. Die Beziehung zwischen benachbarten Routern zum Zweck der Synchronisa- Adjacency tion der LSDB wird als Nachbarschaft (Adjacency) bezeichnet. Die Nachbarschaften sind für die Ermittlung der richtigen Einträge in der LSDB erforderlich. Auf dieser Grundlage baut jeder Router für sich einen SPF-Baum und berechnet danach die Inhalte seiner Routing-Tabelle. Die Pflege von Nachbarschaften stellt eines der Hauptprobleme beim OSPF-Einsatz in IP-Netzen dar. Bildung einer Nachbarschaft Bei der Initialisierung sendet ein Router regelmäßig (standardmäßig alle 10 Se- Hellokunden) ein OSPF-Paket Hello mit seiner Router-ID sowie Informationen Pakete über seine Routerkonfiguration und einer Liste der ihm bekannten, benachbarten Router. Anfangs ist die Liste der benachbarten Router leer. Der initialisierende Router wartet auch auf Hello-Pakete von benachbarten Routern. Aus den eingehenden Hello-Paketen bestimmt er den bzw. die Router, mit denen eine Nachbarschaft aufgebaut werden soll. Am Anfang der Nachbarschaft geben die beteiligten Router den Inhalt ihrer LSDBs durch die Übermittlung von Paketen Database Description bekannt. Dies stellt einen LSDB-Austauschprozess dar, in dem die beiden benachbarten Router eine Master/SlaveBeziehung bilden. Der Inhalt der LSDB jedes Routers wird von dessen benachbartem Router immer bestätigt. Jeder Router vergleicht seine LSAs mit denen seines Nachbarn und stellt fest, Link State welche LSAs zur Synchronisation der LSDB vom Nachbarn angefordert wer- Request den müssen. Die fehlenden oder jüngeren LSAs werden anschließend mit den Paketen Link State Request angefordert. Als Antwort darauf werden die Pakete Link State Update gesendet und ihr Empfang bestätigt. Wenn alle Pakete Link State Request bedient wurden, besteht eine vollständige Synchronisation zwischen LSDBs benachbarter Router und damit wurde eine Nachbarschaft gebildet. Danach teilt jeder benachbarte Router in regelmäßig gesendeten Hello-Paketen seinen Nachbarn mit, dass er noch im Netzwerk aktiv ist. Falls ein HelloPaket von einem benachbarten Router innerhalb eines festgelegten Zeitraums (standardmäßig 40 Sekunden) nicht ankommt, wird dieser Router für ausgefallen erklärt.
390 Link State Update
9
Routing in IP-Netzen
Erkennt ein Router ein Ereignis, z.B. eine Verbindung, bzw. ist ein Router ausgefallen, aktualisiert er zuerst seine LSDB und sendet anschließend das Paket Link State Update mit der geänderten LSBD an die Nachbarn, mit denen er Beziehungen unterhält. Der Empfang des Pakets Link State Update wird mit dem Paket Link State Acknowledgment bestätigt. Bemerkung: Wird OSPF in broadcastorientierten LANs eingesetzt, verwendet man einen sog. Designierten Router, um die LSDBs einzelner Routern zu synchronisieren. In diesem Fall bauen die Router die Nachbarschaften mit dem designierten Router auf [Abb. 9.3-5].
Während des Aufbaus einer Nachbarschaft befinden sich die benachbarten Router in bestimmten Zuständen. Tabelle 9.3-2 stellt diese Zustände in der Reihenfolge ihres Auftretens dar. Router-Zustand Down
(Aus) Attempt
(Versuch) Init
(Initialisierung) 2-Way ExStart
(AustStart) Exchange Loading Full
(Voll) Tab. 9.3-2:
Unterschiedliche Netzwerktypen bei OSPF
Beschreibung Anfangszustand. Vom Nachbar-Router wurden noch keine Informationen empfangen. Trotz Kontaktversuchen wurden keine Informationen vom Nachbarn empfangen. Hello wurde vom Nachbarn empfangen, doch der Router wird nicht in der Nachbarschaftsliste in Hello des benachbarten Routers angezeigt. Es wurde Hello vom Nachbarn empfangen und der Router wird in der Nachbarschaftsliste in Hello des benachbarten Routers angezeigt. Es werden Master- und Slave-Rollen für den LSDB-Austauschprozess ausgehandelt. Dies stellt die erste Phase der Nachbarschaft dar. Der Router sendet Database Description an seinen Nachbarn. In Paketen Link State Request an den Nachbarn werden fehlende oder jüngere LSAs angefordert. Die LSDBs der benachbarten Router sind synchronisiert. Es besteht eine vollständige Nachbarschaft.
Zustände benachbarter Router
Die OSPF-Pakete werden direkt in IP-Pakete eingebettet. Die IP-Zieladresse im IP-Header ist vom Netzwerktyp abhängig. Daher muss der Netzwerktyp bei der Konfigurierung jedes Router-Ports (Router-Interface) angegeben werden. Dabei kommt einer der folgenden Netzwerktypen in Frage: Broadcast-Netzwerke Dies ist ein Netzwerk auf der Basis eines herkömmlichen LAN (Ethemet, Token Ring, FDDI), d.h. eines broadcast-orientierten Netzes. In diesem Fall wird ein von einem Router gesendetes Paket von allen an das Netzwerk angeschlossenen Routern empfangen. In „Broadcast-Netzwerken“ gesendete OSPF-Pakete verwenden IP-Multicast-Adressen. Punkt-zu-Punkt-Verbindungen Hier handelt es sich um ein „Netzwerk“ (genauer gesagt um eine Punkt-zuPunkt-Verbindung), das nur zwei Router verbindet. Dazu gehören u.a. Ver-
9.3 Open Shortest Path First (OSPF)
391
bindungen über Standleitungen. In diesem Fall verwenden die gesendeten OSPF-Pakete die IP-Multicast-Adresse. NBMA-Netze (Non-Broadcast Multiple Access) Zu dieser Klasse gehören die X.25-, die Frame-Relay- und die ATM-Netze. In diesem Fall wird ein designierter Router eingesetzt. Hinzufügen eines Routers Bei der Initialisierung eines neuen Routers in einem IP-Netzwerk müssen die LSAs des neuen Routers an alle anderen Router übermittelt werden. Nach dem Empfang der LSAs vom neuen Router muss jeder andere Router im Netzwerk die LSDB modifizieren, den SPF-Baum (nach dem Dijkstra-Algorithmus) für sich neu berechnen und neue Einträge in die Routing-Tabelle hinzufügen. Abbildung 9.3-4 illustriert das Hinzufügen eines neuen Routers. R 4 R x 2 4
R 1 3
1
R 2
R 5
R 3
R 6
2 4
S u b n e tz
R 7 5 ´
5 ´´
Abb. 9.3-4: Hinzufügen eines neuen Routers R: Router
Das Hinzufügen eines „neuen“ Routers führt zu den folgenden Schritten: 1. Der neue Router Rx lernt die benachbarten Router kennen. Rx sendet ein Hello-Paket [Abb. 9.3-15]. Der benachbarte Router R1 antwortet ebenfalls mit dem Hello-Paket. Die beiden Router Rx und R1 möchten nun eine Nachbarschaft aufbauen.
2. Der neue Router Rx erstellt für sich die LSDB. Der neue Router Rx muss sich die LSDB erstellen. Hierfür tauschen Rx und R1 die Pakete Database Description (DD) aus [Abb. 9.3-16]. Das DD-Paket von Rx enthält nur die eigene Routing-Information, d.h. die eigene Beschreibung. In den DD-Paketen übermittelt R1 die LSDB, in der die Routing-Information anderer Router außer R1 enthalten ist [Abb. 9.3-2b].
3. Synchronisation von LSDBs Der neue Router Rx fordert mit dem Paket LS-Request (Link State) [Abb. 9.3-17] vom benachbarten Router R1 bestimmte LSAs (z.B. jene, die ihm noch fehlen). Router R1 sendet die angeforderten LSAs in den Paketen LS-Update [Abb. 9.3-18]. Der benachbarte Router R1 aktualisiert ebenfalls seine LSDB, sodass er mit dem Paket LS-Request vom neuen Router Rx bestimmte LSAs fordert. Router Rx sendet die von R1 angeforderten LSAs in den Paketen LS-Update. So haben die beiden Router Rx und R1, d.h. der neue Router und sein Nachbar, ihre LSDB synchronisiert. Nun besitzen sie eine aktuelle LSDB.
Hello Protocol Exchange Protocol
392
9
Routing in IP-Netzen
4. Der neue Router erstellt die Routing-Tabelle; der Nachbar-Router aktualisiert seine Routing-Tabelle. Da die beiden Router Rx und R1 bereits die aktuellen LSDBs besitzen, berechnen sie ihre jeweiligen SPF-Bäume. Dann erstellt der neue Router Rx für sich die Routing-Tabelle und sein Nachbar-Router R1 aktualisiert seine Routing-Tabelle. In der Routing-Tabelle bei R1 werden neue Netzwerkziele hinzugefügt, die über den neuen Router Rx erreichbar sind.
Flooding Protocol
5. Verteilung der Änderungen im Netz Nachdem R1 mit dem neuen Router Rx synchronisiert ist, verteilt R1 mit LS-Update die Änderungen im Netz an alle Nachbar-Router (R2 und R3), mit denen er eine Nachbarschaft unterhält (5´ in Abb. 9.3-4). LS-Update enthält die von Rx erlernten LSAs. Nach Empfang der LSAs von R1 aktualisieren seine Nachbar-Router R2 und R3 ihre LSDBs, berechnen ihre SPF-Bäume und aktualisieren ihre Routing-Tabellen. R2 und R3 verteilen die Änderungen in Paketen LS-Update an alle Router, mit denen sie eine Nachbarschaft unterhalten, d.h. an R4, R5, R6 und R7 (5´´ in Abb. 9.3-4). Diese Router aktualisieren ihre LSDBs, berechnen ihre SPF-Bäume und aktualisieren danach ihre Routing-Tabellen. Bemerkung: Hat ein Router ein Paket LS-Update empfangen, so bestätigt er es mit dem Paket LS-Ack [Abb. 9.3-19].
Der hier dargestellte Schritt 1 verläuft nach dem Hello Protocol. Den Verlauf der Schritte 2 und 3 beschreibt das Exchange Protocol. Die Art und Weise der Verteilung von Änderungen im Netz legt das Flooding Protocol fest. Einsatz eines designierten Routers Designierter Router als LSAVerteiler
Um die Netze mit der Übermittlung von Routing-Information (RI) nicht zu stark zu belasten, wird bei OSPF ein Router ausgewählt, der für die Verteilung der RI in Form von LSAs zuständig ist. Ein derartiger Router wird als Designierter Router (DR) bezeichnet. Ein DR wird in Broadcast-Netzwerken (herkömmliche LANs) und in NBMA-Netzen (Frame-Relay- und ATM-Netzen) eingesetzt. Da der DR für die Verteilung von LSAs zuständig ist, müssen die Nicht-DR-Router untereinander nicht direkt kommunizieren. Abbildung 9.3-5 veranschaulicht das Konzept der LSA-Übermittlung mithilfe eines DR. a ) R R
n = 4
R R n (n -1 )/2 = > (4 * 3 )/2 = 6 6 N a c h b a r s c h a fte n N a c h b a rsc h a ft
D R
R
b )
R
R
D R
R
n -1 3 N a c h b a r s c h a fte n
R 1 P ri = 1
R 2 P ri = 0
R 4 P ri = 0
V irtu e lle V e rb in d u n g
Abb. 9.3-5: Designierter Router (DR): a) in Broadsact-Netzwerken, b) in NBMA-Netzen Pri: Priorität, R: Router
R 3 P ri = 0
9.3 Open Shortest Path First (OSPF)
393
Gleichzeitig wird ein Backup-DR bestimmt, der die Aufgabe hat, nach dem Backup-DR Ausfall des DRs dessen Funktionen zu übernehmen. Sind die designierten Router bestimmt, werden die Nachbarschaften (Verbindungen vom DR zu anderen Routern) definiert, über die der DR die RI aus seiner LSDB an alle Router weitergeben kann. Die Bedeutung des designierten Routers in Broadcast-Netzwerken ist aus Abbildung 9.3-5a ersichtlich. Sind an einem Netzwerk mehrere Router angeschlossen, müssen die Nachbarschaften zwischen allen Routern aufgebaut werden. Sind an einem Netzwerk n Router angeschlossen, müssen daher n(n–1)/2 Nachbarschaften aufgebaut werden. Wenn die Anzahl n groß ist, würde dies zu einem großen Zeitaufwand führen. Beim Einsatz eines DR reduziert sich die Anzahl von Nachbarschaften. Bei n Routern am Broadcast-Netzwerk müssen nur n–1 Nachbarschaften aufgebaut werden, falls ein Router als DR dient. Die Bedeutung des designierten Routers in NBMA-Netzen illustriert Abbildung 9.3-5b. Hier müssen die permanenten virtuellen Verbindungen zwischen dem DR und den anderen Routern für die Unterstützung von Nachbarschaften aufgebaut werden. Jede Nachbarschaft verlangt eine separate virtuelle Verbindung. Über die Auswahl von beiden designierten Routern entscheidet die Routerpriorität. Der DR besitzt die höchste Priorität. Bevor der DR ausgewählt wird, müssen sich alle Router gegenseitig kennenlernen. Durch den DR-Einsatz werden die einzelnen Router innerhalb eines autonomen Systems miteinander synchronisiert. Dadurch entstehen keine Schleifen zwischen den Routern bei der Übermittlung von LSAs. Bemerkung: Beim RIP wird kein designierter Router eingesetzt, somit verteilen die einzelnen Router seine Routing-Information vollkommen unabhängig voneinander. Dadurch entsteht beim RIP das Count-to-Infinity-Problem [Abb. 9.2-4].
9.3.3 OSPF-Einsatz in großen Netzwerken Die Routing-Information bei OSPF wird in Form von festgelegten OSPFPaketen zwischen den Routern ausgetauscht. Diese Pakete werden als Verbindungszustand-Bekanntmachungen oder kurz LSAs (Link State Advertisements) bezeichnet. In einem sehr großen autonomen System (AS) mit einer hohen Anzahl von Netzwerken muss jeder Router die Routing-Information in Form von LSAs jedes anderen Routers in seiner LSDB speichern [Abb. 9.3-2b]. Somit besitzen alle Router umfangreiche LSDBs. Die Berechnung von Routen in einem sehr großen autonomen System kann einen beträchtlichen Aufwand erfordern. Außerdem kann die entstehende Routing-Tabelle sehr groß sein, da sie zu jedem Netzwerk im autonomen System eine Route enthalten muss.
394
9
Routing in IP-Netzen
Aufteilung großer Netzwerke auf OSPF-Bereiche OSPFBereich
Um die Größe von LSDB in Routern und den Aufwand für die Berechnung von Routen zu reduzieren sowie die Größe von Routing-Tabellen zu verringern, werden autonome Systeme in Bereiche (Areas) aufgeteilt. Abbildung 9.3-6 illustriert dies. A u to n o m e s S y s te m B e r e ic h 0 .0 .0 .1
R 4
S N
(A S ) B e r e ic h 0 .0 .0 .2 S N
R 5
S N
R 6
S N
S N
S N
R 2
R 1 B a c k b o n e 0 .0 .0 .0 S N
R 7
R 3 S N
S N
R 1 2
z u m a n d e re n A S
S N
S N
R 8
B e r e ic h 0 .0 .0 .3
S N
R 9
R 1 0 S N
S N B e re ic h 0 .0 .0 .4
Abb. 9.3-6: Struktur eines autonomen Systems nach OSPF R: Router, SN: Subnetz
Bereichs-ID
Werden autonome Systeme in Bereiche aufgeteilt, entsteht eine Hierarchie von Systemen, die hierarchisches Routing verlangt. OSPF unterstützt das hierarchische Routing. Die Bereiche innerhalb eines AS werden durch eine 32 Bits große Bereichs-ID (Identification) in punktierter Dezimalschreibweise identifiziert (z.B. 0.0.0.1, 0.0.3.1). Eine Bereichs-ID hängt weder mit einer IP-Adresse noch mit einer IP-Netzwerk- bzw. Subnetz-ID zusammen. Wenn jedoch das Netzwerk innerhalb eines Bereichs eine Subnetz-ID besitzt, kann die BereichsID so festgelegt werden, dass sie für eine einfachere Verwaltung die NetzwerkID widerspiegelt. Enthält ein Bereich beispielsweise ein IP-Netzwerk 15.7.0.0/16, so kann 15.7.0.0 als Bereichs-ID festgelegt werden.
BackboneBereich
Ein AS, ob in Bereiche unterteilt oder nicht, besitzt immer mindestens einen Bereich, der als Backbone-Bereich (bzw. kurz Backbone) bezeichnet wird. Für den Backbone ist die Bereichs-ID 0.0.0.0 reserviert. Der Backbone wird auch als Bereich 0 bezeichnet. Um die Größe der LSDB so klein wie möglich zu halten, enthält die LSDB in den Routern eines Bereichs ausschließlich die LSAs der Router aus diesem Bereich. Dies bedeutet, dass die LSAs aus einem Bereich nur unter den Routern verteilt sind, die zu diesem Bereich gehören, jedoch nicht an Router, die sich außerhalb dieses Bereichs befinden. Jeder Bereich bildet daher eine eigene Link-State-Domäne mit eigener LSDB. Ist ein Router mit mehreren Bereichen
Link-StateDomäne
9.3 Open Shortest Path First (OSPF)
verbunden, besitzt er mehrere LSDBs. Hierbei enthält eine LSDB nur die LSAs aus einem Bereich. Mit der Einteilung autonomer Systeme in Bereiche existieren drei Ebenen, in denen Routing stattfindet: Routing in einzelnen Bereichen (Intra-Area-Routing), Routing zwischen Bereichen (Inter-Area-Routing), Routing zwischen autonomen Systemen. In diesem Zusammenhang sind vier Routertypen zu unterscheiden: Interner Router (Internal Router) Er hat nur Nachbar-Router innerhalb eines Bereichs. Jeder interne Router besitzt genau eine LSDB, in denen die LSAs aus dem betreffenden Bereich enthalten sind. R4, R5, R6, R7 und R10 in Abbildung 9.3-6 sind interne Router. Bereichsgrenzen-Router, kurz ABR (Area Border Router) Er hat seine Nachbar-Router auch in anderen Bereichen. Über ABRs wird die Routing-Information zwischen den einzelnen Bereichen ausgetauscht. Ein ABR besitzt eine LSDB für jeden Bereich, mit dem er verbunden ist. R1, R2, R3, R8 und R9 in Abbildung 9.3-6 sind ABRs. Backbone-Router Router mit mindestens einem Interface zum Backbone-Bereich. R1, R2 und R3 in Abbildung 9.3-6 sind Backbone-Router. AS-Grenzen-Router, kurz ASBR (AS Boundary Router) Er verbindet die autonomen Systeme miteinander. R12 in Abbildung 9.4-6 ist ein ASBR. Die Aufteilung eines AS auf mehrere Bereiche bedarf der Auswahl eines Routers innerhalb jedes Bereichs, der für den bereichsübergreifenden Datenverkehr verantwortlich ist. Dieser Router stellt einen Bereichsgrenzen-Router dar, der für jeden Bereich die Routing-Information in Form einer Topologie-Datenbank enthält [Abb. 9.3-12]. Die Aufteilung eines großen AS auf mehrere Bereiche hat folgende Vorteile: Die Größe der LSDB verringert sich. Bei der Aufteilung eines AS auf mehrere Bereiche enthält eine LSDB [Abb. 9.3-2b] die LSAs von Routern aus nur einem Bereich. Die Größe der Routing-Tabellen wird reduziert. Die Routing-Tabelle jedes internen Routers in einem Bereich enthält nur die „detaillierten Routen“ zu den einzelnen Netzwerkzielen im betreffenden Bereich. Netzwerkziele, die außerhalb dieses Bereichs liegen, werden durch die aggregierten Routen angezeigt [Abb. 2.5-6 und -7].
395
396
9
Routing in IP-Netzen
Beispiel: Abbildung 9.3-7 zeigt eine vereinfachte Struktur des in Abbildung 9.3-6 dargestellten AS. Man verwendet hier das VLSM-Konzept [Abb. 2.5-4 und -6], sodass die Strukturierung des gesamten Netzwerks nach außen verborgen wird. A u to n B e r e ic h 0 .0 .0 .1 1 4 2 .2 5 .0 .0 /1 8 R 1 B a c k b R 3 v B e r e ic h 0 .0 .0 .3 R 1 4 2 .2 5 .1 2 8 .0 /1 8
o m e s S y s te m
o n e 0 .0 .0 .0 V
8
R 9
(A S B e re ic 1 4 2 .2 5 R
)
h 0 .0 .0 .2 .6 4 .0 /1 8 2
1 4 2 .2 5 .0 .0 /1 6
R 1 2
B e r e ic h 0 .0 .0 .4 1 4 2 .2 5 .1 9 2 .0 /1 8
Abb. 9.3-7: VLSM und Aufteilung eines AS in mehrere Bereiche vV: virtuelle Verbindung
Der AS-Grenzen-Router R12 macht hier die Route 142.25.0.0/16 zum ganzen AS bekannt. Jeder ABR (Area Border Router) fasst alle Netzwerkziele in seinem Bereich so, dass eine aggregierte Route zu seinem Bereich führt. Somit macht R1 die aggregierte Route 142.25.0.0/18 im Backbone bekannt. R2 macht die aggregierte Route 142.25.64.0/18 zum Bereich 0.0.0.2 bekannt. R3 gibt zwei aggregierte Routen nach außen bekannt, d.h. die Route 142.25.128.0/18 zum Bereich 0.0.0.3 und 142.25.192.0/18 zum Bereich 0.0.0.4. Um die aggregierte Route zum Bereich 0.0.0.4 zu ermöglichen, wird R3 als ABR direkt mit R9, der als ABR des Bereichs 0.0.0.4 gilt, über eine virtuelle Verbindung verbunden. Durch die Zusammenfassung von Routen (d.h. durch die aggregierten Routen) bleibt die Topologie (die Netzwerke und deren Pfadkosten) eines Bereichs dem übrigen AS-Teil verborgen. Durch die Nutzung aggregierter Routen können die Routing-Tabellen verringert werden.
Bereichsübergreifendes Routing Das Routing innerhalb eines Bereichs erfolgt durch die internen Router nach der Route der geringsten Kosten zu Subnetzen bzw. zu bestimmten Rechnern. Da die Routen innerhalb eines Bereichs nicht aggregiert werden, besitzt jeder Router zu jedem Subnetz in seinem Bereich bzw. seinen Bereichen eine Route in seiner Routing-Tabelle. Router-ID
Um die Routing-Information in Form von LSAs zwischen den Routern zu übermitteln, muss jeder Router eine Identifikation, d.h. eine Router-ID, haben. Die Router-ID bezeichnet den Router im AS und nicht die IP-Adresse eines seiner Interfaces (Ports). Die Router-ID wird nicht als IP-Zieladresse zum Senden von Informationen an einen anderen Router verwendet. In der Branche herrscht normalerweise die Übereinkunft, als Router-ID die größte oder die kleinste der den Router-Interfaces zugewiesenen IP-Adressen zu verwenden. Da die IP-Adressen eindeutig sind, wird somit sichergestellt, dass die RouterIDs ebenfalls eindeutig sind.
397
9.3 Open Shortest Path First (OSPF)
Das Routing zwischen den Bereichen innerhalb eines AS verläuft wie folgt: 1. Ein interner Router im Quellbereich leitet ein IP-Paket gemäß der Route mit den geringsten Kosten an den Backbone-Router des Quellbereichs weiter.
RoutingVerlauf
2. Der Backbone-Router des Quellbereichs leitet das IP-Paket gemäß der Route mit den geringsten Kosten zum nächsten Backbone-Router weiter, der mit dem Zielbereich verbunden ist. 3. Der Backbone-Router des Zielbereichs leitet das IP-Paket gemäß der Route zu einem internen Router weiter. Dieser interne Router kann nach Bedarf das IP-Paket an einen internen Router im Zielbereich weiterleiten. Beispiel: Betrachten wir in Abbildung 9.3-7 die Weiterleitung eines IP-Pakets vom Quellrechner im Bereich 0.0.0.1 zum Zielrechner im Bereich 0.0.0.2. Das IP-Paket wird in diesem Fall zuerst über die Router des Quellbereichs 0.0.0.1 an den Router R1, d.h. an den Backbone-Router des Quellbereichs, weitergeleitet. Anschließend erfolgt die Weiterleitung vom Backbone-Router des Quellbereichs 0.0.0.1 an den Backbone-Router des Zielbereichs 0.0.0.2, d.h. an den Router R2. Schließlich wird das IP-Paket über R2 zu einem internen Router des Zielbereichs 0.0.0.2 weitergeleitet, der entweder das IP-Paket direkt an den Zielrechner oder an einen anderen internen Router weiterleitet.
Einige Bereiche lassen sich so konfigurieren, dass sie keine Backbone-Anbin- Transitdung haben, d.h. dass sie keinen Backbone-Router besitzen. Um die Routen zu bereich einem Bereich ohne Backbone-Anbindung aggregieren zu können, kann eine virtuelle Verbindung zwischen einem ABR dieses Bereichs und einem „fremden“ Backbone-Router eingerichtet werden. Der als Backbone-Zubringer genutzte Nicht-Backbone-Bereich wird als Transitbereich bezeichnet. Jeder Transitbereich muss mit dem Backbone verbunden sein. Eine virtuelle Verbindung über den Transitbereich stellt eine logische Verbin- Virtuelle dung dar, die den Pfad mit den geringsten Kosten zwischen dem ABR des ver- Nachbarbundenen Nicht-Backbone-Bereichs und dem Backbone-Router des Transitbe- schaft reichs verwendet. Über die virtuelle Verbindung wird eine virtuelle Nachbarschaft gebildet und die Routing-Informationen werden in Form von LSAs ausgetauscht. Beispiel: Betrachten wird das AS in der Abbildung 9.3-7. Der Bereich 0.0.0.3 ist hier der Transitbereich für den Bereich 0.0.0.4. Zwischen den Routern R3 und R9 wird eine virtuelle Nachbarschaft aufgebaut, um zwischen ihnen die Routing-Information auszutauschen.
AS-übergreifendes Routing Der AS-übergreifende Datenverkehr wird über einen AS-Grenzen-Router, kurz Externe ASBR (Area Boundary Router), bzw. über mehrere ASBRs nach außen weiter- Routen geleitet. Eine Route, die zu einem Netzwerkziel außerhalb eines AS führt, wird als externe Route bezeichnet. Eine externe Route ist definiert als beliebige Route, die sich nicht vollständig innerhalb eines OSPF-AS befindet. Abbildung 9.3-8 illustriert dies.
398
9
Routing in IP-Netzen
A u to n o m e s S y s te m B e r e ic h 0 .0 .0 .1
(A S )
B e r e ic h 0 .0 .0 .2
R 1
E x te rn e R o u te n
R 2 A S B R
B e r e ic h 0 .0 .0 .0 R 3
R 4
B e r e ic h 0 .0 .0 .3
B e r e ic h 0 .0 .0 .4
E x te rn e N e tz w e rk z ie le
Abb. 9.3-8: Veranschaulichung von externen Routen eines autonomen Systems
Externe Routen werden durch einen oder mehrere ASBRs erlernt und im gesamten AS bekanntgemacht. Der ASBR kündigt die Verfügbarkeit externer Routen mit einer Reihe von LSAs für die externen Routen an. Diese LSAs werden als Flut von OSPF-Paketen im gesamten AS (ausgenommen sog. StubBereich) gesendet. Die LSAs für die externen Routen gehen immer in die Berechnung von SPF-Bäumen und Routing-Tabellen ein. Der Datenverkehr zu externen Netzwerkzielen wird innerhalb des AS gemäß den Routen mit den geringsten Kosten an den ASBR weitergeleitet. Stub Area
Um die Menge der als Flut von OSPF-Paketen in Bereiche gesendeten Routing-Informationen noch weiter zu verringern, kann bei OSPF ein Bereich als sog. Stub-Bereich (Stub Area) eigerichtet werden. Ein Stub-Bereich kann einen oder mehrere ABR/s haben, aber die externen Netzwerkziele (d.h. die Ziele in anderen autonomen Systemen) können nur über einen ABR erreicht werden. Außerhalb des AS liegende Routen werden nicht als Flut von OSPF-Paketen in einen Stub-Bereich gesendet oder dort verbreitet. Das Routing auf alle außerhalb des AS liegenden Netzwerke in einem Stub-Bereich erfolgt über eine Standardroute (Zieladresse 0.0.0.0 mit der Netzwerkmaske 0.0.0.0). Somit erfolgt das Routing zu allen Netzwerkzielen außerhalb des AS mithilfe eines einzigen Eintrags in der Routing-Tabelle von Routern in einem StubBereich. Beispiel: Betrachten wir das Netzwerk aus Abbildung 9.3-7. Alle Bereiche können hier als StubBereiche eingerichtet werden. Ist z.B. der Bereich 0.0.0.2 als Stub-Bereich konfiguriert, erfolgt der gesamte externe Datenverkehr über einen einzigen ABR, d.h. über Router R2. Dieser kündigt eine Standardroute zur Verteilung innerhalb des Bereichs 0.0.0.2 an, anstatt die außerhalb des AS liegenden Netzwerkziele als Flut von OSPF-Paketen im Bereich 0.0.0.2 bekanntzumachen.
Beispiel für einen OSPF-Einsatz Abbildung 9.3-9 zeigt ein autonomes System (eine Organisation), das sich in drei Bereiche aufteilt. Anhand dieses autonomen Systems wird OSPF im Weiteren näher erläutert. R1, R4, R7 und R8 sind interne Router und besitzen somit keine Verbindung bzw. Informationen über die Topologie von anderen Bereichen. R2, R3, R5 und R6 sind ABRs (Area Border Router) und realisie-
399
9.3 Open Shortest Path First (OSPF) ren das Routing zwischen den einzelnen Bereichen. R5 und R6 sind zusätzlich zuständig für die Bestimmung von Routen für die Daten, deren Ziel außerhalb des autonomen Systems liegt.
3
S N 1 S N 2
1
R 3 1 0 4 3
3
S N 3 B e re ic h 0 .0 .0 .1
S N 4
B e r e ic h 0 .0 .0 .2
B a c k b o n e 0 .0 .0 .0
R 1
4
S N 5 8 2 0
R 2
1 0
R 5
S N 9
3
R 7
B e r e ic h 0 .0 .0 .3
1
6
R 6 1
S N 8 1
R 8
R 4 1
S N 6 1 S N 7
7
W A N
A u to n o m e s S y s te m (A S )
1
3
1 2
S N 1 2 S N 1 1 S N 1 2
S N 1 0
Abb. 9.3-9: Autonomes System mit drei Standortbereichen SN: Subnetz
Den einzelnen Ausgangsports der Router wurden bestimmte Kosten zugewiesen. Somit verursacht die Verbindung über das WAN natürlich höhere Kosten (20) als eine Kopplung über LANs. Hierbei ist zu beachten, dass immer nur die Kosten von einem Router zu einem Subnetz erfasst werden. Dies bedeutet, dass nur der „Eingang“ in ein Subnetz gewisse Kosten verursacht. Verbindungen von einem Netz zu einem Router werden mit dem Kostenwert 0 belegt und somit nicht angezeigt. Bestehen zwei Verbindungen zu einem Subnetz, wird immer der Pfad mit den niedrigeren Kosten verwendet. Sind die Kosten der Pfade gleich, wird der Datenstrom über diese Pfade gleich verteilt.
RouteKosten
Die Kosten für die Ausgangsports müssen vom Netzwerk-Manager in allen Routern entsprechend eingestellt werden. Der Manager hat die Möglichkeit, bis zu 8 verschiedene Kostenarten (auch als Metriken bezeichnet) zu definieren. Die Metrik wird aufgrund der Angaben im Feld TOS (Type of Service) in OSPF-Paketen Router-LSA festgelegt. Werden mehrere Metriken unterstützt, muss jeder Router für jede Metrik einen SPF-Baum erstellen. Dies bedeutet, dass jede Metrik in jedem Router eine eigene Routing-Tabelle haben muss.
Verschiedene Metriken
Jeder Router muss für sich selbst eine Routing-Tabelle erstellen. Zu diesem Zweck baut er um sich – aufgrund der Eintragungen in seiner RI-Datenbank – einen überspannenden Baum auf, in dem er selbst die Wurzel (Root) darstellt und die Verzweigungen des Baums die billigsten Wege zu allen möglichen Zielobjekten (Subnetze, Routern) sind. Ein solcher Baum wird als SPF-Baum (Shortest Path First) bezeichnet [Abb. 9.3-3]. In Abbildung 9.3-10 ist der errechnete SPF-Baum für den Router R5 gezeigt. Üblicherweise werden die Verbindungen und die Kosten zu den einzelnen Objekten (Subnetzen, Routern) mit Richtungspfeilen dargestellt. Da der Router R5 in diesem Fall ein Bereichs- und AS-Grenzen-Router (d.h. ein ABR und ein ASBR) ist, muss er eine Routing-Tabelle verwalten, in der zwei Teile enthalten sind: ein Teil mit Netzwerkzielen und Kosten innerhalb des autonomen Systems, ein Teil mit Netzwerkzielen und Kosten außerhalb des autonomen Systems.
400
9
Routing in IP-Netzen
3
S N 1
R 1
S N 2
S N 5 3
3
S N 3
4
S N 4 S N 9
3
1 0 8
R 2
R 5 7
2 0 1 S N 8
R 7
R 4
R 6 R 8
1
S N 7
S N 1 2 S N 1 1
6 3
S N 6 1
S N 1 0
Abb. 9.3-10: SPF-Baum für den Router R5 Ein AS-Grenzen-Router kennt daher die Netzwerkziele außerhalb des autonomen Systems. Die Routing-Tabelle im Router R5 zeigt Abbildung 9.3-11.
N e tz w e rk z ie l
in n e rh a lb A S
a u ß e rh a lb A S
S N 1 S N 2 S N 3 S N 4 S N 5 S N 6 S N 7 S N 8 S N 9 S N 1 0 S N 1 1 S N 1 2
W e ite R R R R R R R R R
rle itu n g 2 2 2 2 -4 4 6 6 6
R 6 ---
M e trik 1 4 1 1 1 1 1 2 1 0 1 1 1 1 2 1 2 4 2 4 2 6 7
Abb. 9.3-11: Routing-Tabelle im Router R5 Wie bereits erwähnt, haben die ABR (d.h. die Bereichsgrenzen-Router) die Aufgabe, die über die Bereichsgrenzen hinweg erreichbaren Netzwerkziele ihrem eigenen Bereich bekannt zu geben, jedoch nur mit den entsprechenden Kosten und ohne die zugehörigen Topologie-Informationen. Aus unserem Beispiel ergibt sich die in Abbildung 9.3-12a dargestellte Information über die „Innen“- und die „Außen“-Netzwerk-Topologie für den Bereich 0.0.0.1. Die Tabelle in Abbildung 9.3-12b enthält die Informationen über erreichbare Ziele im Bereich 0.0.0.1. Diese Informationen werden an die übrigen Bereiche in Form von LSAs weitergeleitet. Die Tabelle in Abbildung 9.3-12c enthält die „Außen“-Ziele und die möglichen Kosten, d.h. die Ziele, die außerhalb des Bereichs 0.0.0.1 erreichbar sind. In dieser Tabelle fehlen die Informationen über die Erreichbarkeit von Subnetz 11 und Subnetz 12, denn diese Netze gehören nicht mehr zum autonomen System. Die entsprechenden Routing-Informationen über die Verbindungen zu Subnetz 11 und Subnetz 12 werden somit von den ausgewählten Routern R5 und R6 verwaltet, d.h. in den AS-Grenz-Routern (ASBR).
9.3 Open Shortest Path First (OSPF)
3
S N 1
B e re ic h 0 .0 .0 .1
R 1 1 S N 2
4
R 3
3 3
S N 3
1 1 3 1 1 2
R 2 4
2 2 3 2 2 3 2 3 2 5 2 8 2 8
S N 4
a )
R 5
R 6 S N S N S N S N S N S N
b )
R 5
1 0 3 0 1 0 1 1
R 6 S N S N S N S N S N S N
3 4 3 4
N e tz w e rk z ie l B e r e ic h 0 .0 .0 .1 S N 1 S N 2 S N 3 S N 4
im
5 6 7 8 9
N e tz w e rk z ie d e s B e re ic h R 5 c ) R 6 S N S N S N S N S N S N
1 0
5 6 7 8 9
1 0
K o s te n ü b e r R 2 6 3 3 4
l a u ß e rh a lb e s 0 .0 .0 .1
K o s te n ü b e r R 3 7 4 7 8 K o s te n 1 2 3 2
5
2 2 6
2 3 7
2 3 8
2 5 9
2 8
1 0
2 8
Abb. 9.3-12: Information über die Netzwerk-Topologie des Bereichs 0.0.0.1: a) „Außen“-LSDB, b) „Innen“-Netzwerk-Topologie, c) „Außen“-Topologie
B e r e ic h 0 .0 .0 .1
In diesem Zusammenhang stellt sich die Frage, wie die Netzwerkziele in den einzelnen Bereichen über ABR (Bereichsgrenzen-Router) von der Außenwelt erreichbar sind. Da die RoutingInformationen über erreichbare Netzwerkziele innerhalb des Bereichs in einer bereichsübergreifenden Topologie-Datenbank und somit von allen ABRs gelesen werden, können sie die Übertragungskosten zu allen Netzwerkzielen außerhalb ihres eigenen Bereichs berechnen und die Kosten in die bereichsübergreifende Topologie-Datenbank eintragen. Abbildung 9.3-13 zeigt eine solche Datenbank, die sich aus unserem Beispiel ergibt.
S N 1 S N 2 S N 3 S N 4 S N 1 S N 2 S N 3 S N 4
6 3
3
R 3
4 6 3
3 4
B e r e ic h 0 .0 .0 .2
1 0 1 0
2 1
1 2
R 2
R 5 8
S N 8
S N 9
2 0
R 6
B e r e ic h 0 .0 .0 .3 1
2 6
2 0
B a c k b o n e
2 4
4 4 S N 1 0
6 S N 1 1
Abb. 9.3-13: Bereichsübergreifende Topologiedatenbank
1 2 S N 1 2
1 0 1 1 1 1 2 4 7
S N 5 S N 6 S N 7 S N 8 S N 9 S N 1 0 S N 1 1 S N 1 2
401
402
9
Routing in IP-Netzen
9.3.4 OSPF-Pakete Um Routing-Tabellen in den Routern nach OSPF zu erstellen und zu verwalten, müssen entsprechende OSPF-Pakete zwischen den Routern übermittelt werden. Bei OSPF werden folgende Typen der OSPF-Pakete definiert: Hello, Database Description, Link State Request, Link State Update, Link State Acknowledgment (Ack).
Um sich gegenseitig kennenzulernen, nutzen die Router das Hello-Paket. Dieses Paket kommt vor allem beim Hinzufügen eines neuen Routers zum Einsatz. Die weiteren OSPF-Pakete werden hauptsächlich beim Aufbau von Nachbarschaften und beim Versenden von LSAs genutzt. Aufbau von OSPFPaketen
Jedes OSPF-Paket setzt sich aus einem OSPF-Header und einem Paketteil zusammen. Im Weiteren werden die Pakete nur von OSPFv2 dargestellt. Den Aufbau von OSPF-Paketen illustriert Abbildung 9.3-14. V e rs io n (1 T y p e (1 B y P a c k e t L e n R o u te r ID A re a ID (4 C h e c k su m A u T y p e (2 A u th e n tic a
O S P F -H e a d e r
B y te ) te ) g th (2 B y te s ) (4 B y te s ) B y te s ) (4 B y te s ) B y te s ) tio n (8 B y te s )
T y p e = 1 : 2 : 3 : 4 : 5 :
H e llo D a ta b a L in k S L in k S L in k S
se D ta te ta te ta te
e s R e U p A c
c rip tio n q u e st d a te k
O S P F -P a k e tte il
Abb. 9.3-14: Aufbau von OSPF-Paketen (genauer gesagt: von OSPFv2-Paketen)
OSPFHeader
Die Angaben im OSPF-Header sind: Version: die Version von OSPF (d.h. die Version 2), Type (Pakettyp): der Typ (d.h. die Bedeutung) des OSPF-Pakets, Packet Length: die Länge des gesamten Pakets in Bytes, Router ID: die Identifikation (ID) des Routers, der das OSPF-Paket abgeschickt hat, Area ID (Bereich-ID): die Identifikation des Bereichs, in dem das OSPF-Paket erzeugt wurde. Ein OSPF-Paket wird normalerweise einem Bereich zugeordnet. Wird ein Paket über eine virtuelle Verbindung (über mehrere Bereiche) gesendet, erhält es die Identifikation 0.0.0.0, d.h. die Identifikation des Backbone-Bereichs [Abb. 9.3-7]. Checksum: Diese Prüfsumme über den Paketinhalt – mit Ausnahme des Feldes Authentication – soll es ermöglichen, Fehler im Paket zu entdecken.
9.3 Open Shortest Path First (OSPF)
403
AuType (Authentication Type): Hier wird angezeigt, welche Art der Authentifizierung
(Passwort, kryptografische Summe etc.) man verwendet. Authentication: In diesem Feld werden die Authentifizierungsangaben gemacht.
Hello-Paket
Das Hello-Paket wird für die Unterstützung folgender Funktionen verwendet: um die benachbarten Router bei der Initialisierung eines neuen Routers bzw. beim Aufbau einer Nachbarschaft anzusprechen, um zu prüfen, ob die Verbindungen intakt sind, um sowohl einen designierten Router (DR) als auch einen Backup-DR zu bestimmen. Wie Abbildung 9.3-15 zeigt, enthält das Hello-Paket u.a. Zeitangaben über die Länge des Intervalls (Hello Interval), in dem „Hellos“ gesendet werden müssen, und die Zeit, nach der ein Router seinen Nachbarn als ausgefallen erklären sollte (RouterDeadInterval), nachdem von ihm keine Hello-Pakete mehr eingehen. O S P F -H e a d e r
H e llo N e ig h b o r (n * 4 B y te s ) B a c k u p D R (4 B y te s ) D R (4 B y te s ) R o u te rD e a d In te rv a l (4 B y te s ) R tr P ri (1 B y te s ) O p tio n s (1 B y te ) H e llo In te rv a l (2 B y te s ) N e tw o rk M a s k (4 B y te s )
Abb. 9.3-15: Angaben im Hello-Paket Die einzelnen Angaben im Hello-Paket sind:
Angaben in Network Mask (Netzwerkmaske): Dieses Feld wird für das Subnetting verwendet; hier wird Hellodie Netzwerkmaske (bzw. Subnetzmaske) dieses Router-Interface (Schnittstelle) angegeben, Paketen über das das Hello-Paket abgeschickt wurde.
Hello Interval: Das Zeitintervall zwischen den regelmäßig gesendeten Hello-Paketen in Sekunden. Standardmäßig beträgt das Hello-Intervall 10 Sekunden. Options: Mithilfe einzelner Bits in diesem Byte werden einige Routerbesonderheiten angegeben (z.B. ob der Router über dieses Interface, über das das Hello-Paket abgeschickt wur-
de, die AS-externen LSAs senden und empfangen kann). RtrPri (Router Priority): Hier wird die Routerpriorität angegeben; sie ist bei der Auswahl
des designierten Routers von Bedeutung.
404
9
Routing in IP-Netzen RouterDeadInterval (Ausfallentdeckungs-Intervall): Die Anzahl von Sekunden, bis der Router einen Nachbar-Router als ausgefallen (tot) erklärt. DR (Designated Router): Falls der Router, der das Hello-Paket abgeschickt hat, ein designierter Router ist, wird hier die IP-Adresse des Interface angegeben, über das dieses Paket gesendet wurde. Gegebenenfalls wird mit 0.0.0.0 angezeigt, dass es sich um keinen designierten Router handelt. Backup DR (Backup Designated Router, Backup-DR): Falls der Router, der das HelloPaket abgeschickt hat, ein Backup-DR ist, wird hier die IP-Adresse des Interface angegeben, über das das Paket gesendet wurde. Gegebenenfalls wird mit 0.0.0.0 angezeigt, dass es sich um keinen Backup-DR handelt. Neighbors (benachbarte Router): Hier werden die IDs jener Router angegeben, von denen der „Absender“-Router des Hello-Pakets bereits gültige Hello-Pakete empfangen hat.
Paket Database Description Exchange Protocol
Falls zwei benachbarte Router bereits eine Nachbarschaft aufgebaut haben [Abschnitt 9.3.2], müssen sie ihre LSDBs synchronisieren (d.h. ständig abgleichen). Hierfür wird das Exchange Protocol verwendet. Dieses Protokoll funktioniert nach dem Anfrage/Antwort-Prinzip, wobei zuerst festgelegt wird, welcher Router als Master fungiert und welcher ein Slave ist. Danach werden die Beschreibungen von LSDBs zwischen diesen Routern ausgetauscht. Hierbei werden die LSDB-Inhalte in Paketen Database Description (DD) übermittelt. Der Master-Router fordert die LSDB-Inhalte an und antwortet darauf durch das Absenden eines bzw. mehrerer Pakete/s DD. Wie Abbildung 9.3-16 zeigt, setzt sich das DD-Paket aus einem OSPF-Header und einem DD-Teil zusammen. Der DD-Teil enthält bestimmte Steuerungsangaben und die LSDB-„Beschreibung“ in Form von LSA-Headern. O S P F -H e a d e r
D a ta b a s e D e s c rip tio n (D D )
... L S A H ... L S A H D D S e 0 0 0 O p tio n In te rfa
e a d e r (2 0 B y te s e a d e r q u e n c 0 0 s (1 B c e M T
(2 0 B e (4 B I M M y te ) U (2
y te s ) y te s ) S B y te s )
Abb. 9.3-16: Aufbau des Pakets Database Description (DD) Der DD-Teil enthält folgende Angaben: Interface MTU: Hier wird angezeigt, wie groß ein IP-Paket ohne Fragmentierung sein darf, das über das betreffende Router-Interface gesendet wird.
9.3 Open Shortest Path First (OSPF)
405
Options: Einige Bits in diesem Feld werden verwendet, um bestimmte Routerbesonder-
heiten anzuzeigen. I-Bit (Init Bit): Falls I = 1 ist, wird damit angezeigt, dass dieses DD-Paket das erste innerhalb der Folge von DD-Paketen ist. M-Bit (More Bit): Mit M = 1 wird darauf verwiesen, dass nach diesem DD-Paket noch weitere DD-Pakete aus einer Folge kommen. MS-Bit (Master/Slave Bit): Mit MS = 1 zeigt der „Absender“-Router an, dass er der MasterRouter während des LSDB-Abgleichprozesses ist. DD Sequence Number: Die gesendeten DD-Pakete werden fortlaufend nummeriert. Hier wird die Sequenznummer des DD-Pakets angegeben. Die Anfangsnummer ist eindeutig zu wählen. LSA-Header (Link State Advertisement): Die LSDB-„Beschreibung“ wird in LSA-Headern
übermittelt. Den Aufbau des LSA-Header zeigt Abbildung 9.3-21.
Link-State-Pakete Bei OSPF werden sog. Link-State-Pakete definiert, um die Routing-Information in Form von LSAs zwischen den benachbarten Routern zu tauschen. Hierzu gehören folgende OSPF-Pakete: Link State Request (LS-Request), Link State Update (LS-Update), Link State Ack (LS-Ack, Acknowledgment).
Ein Router kann die veraltete Routing-Information in Form von LSAs von seinen benachbarten Routern mit einem Paket LS-Request anfordern. Dieses Paket kann mit dem Paket LS-Update beantwortet werden. Hat sich beispielsweise die Routing-Tabelle in einem Router verändert, sendet er die aktuelle Routing-Information als LSAs in LS-Update an die benachbarten Router. Sie bestätigen ihm den Empfang von „aktuellen“ LSAs mit LS-Ack. Den Aufbau des Pakets LS-Request zeigt Abbildung 9.3-17. L in k S ta te R e q u e s t
O S P F -H e a d e r L S -A n f.
...
L S -A n f.
A d v e rtis in g R o u te r (4 B y te s ) L in k S ta te ID (4 B y te s ) L S T y p e (4 B y te s )
Abb. 9.3-17: Aufbau des Pakets Link State Request (LS-Request) LS-Anf: LS-Anforderung
LS-Request
406
9
Routing in IP-Netzen
LS-Request setzt sich aus dem OSPF-Header und einem LS-Request-Teil zusammen. Im LS-Request-Teil können mehrere LS-Anforderungen enthal-
ten sein und mit ihnen wird angezeigt, welche LSAs der Router haben möchte. Die LS-Anforderung enthält folgende Angaben: LS Type: Hier wird angegeben, um welchen LS-Typ es sich handelt [Abb. 9.3-20]. Link State ID: Hier wird die LS-Identifikation (LS-ID) angegeben. Sie ist vom LS-Typ
abhängig. Zum Beispiel stellt die IP-Adresse eines Interface in einem designierten Router die Identifikation eines Network-LSA dar. Advertising Router: Die Identifikation des Quell-Routers von LSA. Beim Einsatz eines designierten Routers wäre hier dessen Identifikation enthalten.
LS-Update
Die Veränderungen der Routing-Information werden in Form von LSAs in den Paketen LS-Update übermittelt. Diese Pakete werden auch als Antworten auf die Pakete LS-Request gesendet. Wie aus der Abbildung 9.3-18 ersichtlich ist, enthält das Paket LS-Update den OSPF-Header und einen LS-UpdateTeil mit mehreren LSAs. L in k S ta te U p d a te
O S P F -H e a d e r # L S A s
...
L S A
L S A
Abb. 9.3-18: Aufbau des Pakets Link State Update (LS-Update)
Im LS-Update-Teil wird im Feld #LSA die im Paket enthaltene Anzahl von LSAs angegeben. Im Feld LSA werden die LSA-Daten übermittelt. Die Strukturierung der LSA-Daten ist in Abbildung 9.3-21 dargestellt. LS-Ack
Um das Verteilen von LSAs zuverlässig zu gestalten, werden die in den Paketen LS-Update übertragenen LSAs durch ein LS-Ack quittiert. Den Aufbau des Pakets LS-Ack zeigt Abbildung 9.3-19. O S P F -H e a d e r L S A H e a d e r
L in k S ta te A c k n o w le d g m e n t ...
L S A H e a d e r
Abb. 9.3-19: Aufbau des Pakets Link State Ack (LS-Ack)
Der Empfang von LSA im Paket LS-Update bei einem Router wird von ihm mit dem Paket LS-Ack bestätigt. LS-Ack enthält die Liste von Headern dieser LSAs, deren Empfang bestätigt wird.
9.3 Open Shortest Path First (OSPF)
407
LSA-Typen und -Angaben Die Routing-Information nach OSPF wird in Form von LSAs (Link State Advertisements) zwischen den Routern so verteilt, dass jeder Router innerhalb eines Bereichs sich eine Datenbank mit der Routing-Information, d.h. eine LSDB, erstellen kann. Die LSDB enthält diese LSAs, die den „Zustand“ des Bereichs aus OSPF-Sicht beschreiben [Abb. 9.3-2b]. Wird ein autonomes System AS nicht in Bereiche aufgeteilt, stellt das ganze AS einen Bereich dar. Die Router-LSAs beschreiben die aktiven Router-Interfaces und Verbindungen, über die der Router an den Bereich gebunden ist. Bei der Beschreibung des Router-Interface wird u.a. angegeben, um welche „Link“-Art es sich handelt (z.B. Point-to-Point, Virtual Link), welche Metrik-Arten (d.h. Arten von Kosten) der Router unterstützt. Die Router-LSAs werden nur innerhalb des betreffenden Bereichs verteilt. Im Allgemeinen definiert OSPF folgende LS-Typen: LS Type 1 2 3 4 5 Tab. 9.3-3:
Beschreibung Router-LSA Network-LSA Summary-LSA (IP Network) Summary-LSA (ASBR) AS-external-LSA
OSPF Link-State-Typen
Network-LSAs verwendet man, um broadcastorientierte Netze (genauer gesagt NetworkSubnetze) im Hinblick auf das Routing zu beschreiben. Im Network-LSA eines LSAs broadcast-orientierten Subnetzes wird angegeben: Subnetzmaske, ID (Identifikation) des designierten Routers, IDs aller Router, die am Subnetz „angeschlossen“ sind. Abbildung 9.3-20 illustriert die Bedeutung von LSAs der Typen 3, 4 und 5. a )
A S
S N 1 K ... S N i K
1 i
B : 0 .0 .0 .x
R x
B : 0 .0 .0 .y R y L S A s B a c k b o n e R z B : 0 .0 .0 .z
b )
B : 0 .0 .0 .y R y
A S L S A s R
B : 0 .0 .0 .x
x
K K
x z
B a c k b o n e R z
B : 0 .0 .0 .z
c )
B : 0 .0 .0 .y
A S L S A s
R R x
B : 0 .0 .0 .x
Abb. 9.3-20: Bedeutung von Network-LSAs: a) Typ 3, b) Typ 4, c) Typ 5 AS: Autonomes System, B: Bereich, K: Kosten, SN: Subnetz
y
L S A s B a c k b o n e
K
K n
1
S N 1 ... S N n
408
9
Routing in IP-Netzen
Eine Network-LSA vom Typ 3 (Summary-LSA, IP-Network) wird vom Bereichgrenzen-Router (d.h. ABR) verwendet, um die erreichbaren Netzwerkziele mit den Kosten in „seinem“ Bereich im Backbone-Bereich ankündigen zu können. In Abbildung 9.3-20a macht der ABR Rx im Backbone-Bereich die im Bereich 0.0.0.x erreichbaren Subnetze bekannt. In einer LSA kann nur ein Netzwerkziel (eine IP-Adresse) angegeben werden. Daher müssen für die Bekanntmachung mehrerer Ziele mehrere LSAs übermittelt werden. Eine Network-LSA vom Typ 4 (Summary-LSA, ASBR) wird vom ABR generiert, um die AS-Grenzen-Router (d.h. ASBRs) und die mit ihnen verbundenen Kosten in „seinem“ Bereich bekanntzumachen. In Abbildung 9.3-20b macht der ABR Rx die beiden ASBRs Ry und Rz im Bereich 0.0.0.x bekannt. In einer LSA kann nur ein ASBR angegeben werden. Eine Network-LSA vom Typ 5 (AS-external-LSA) wird vom ASBR generiert, um die außerhalb des eigenen AS liegenden Netzwerkziele mit ihren Kosten in „seinem“ AS bekannt zu machen. In Abbildung 9.3-20c macht der ASBR Ry im eigenen AS die über ihn erreichbare „AS-Außen“-Netzwerkziele bekannt. Aufbau von LSAs
Wie aus Abbildung 9.3-21 ersichtlich ist, setzt sich jede LSA aus einem LSAHeader und aus LSA-Daten zusammen. L S A g e (2 B y te s ) O p tio n s (1 B y te ) L S T y p e (1 B y te ) L in k S ta te ID (4 B A d v e rtis in g R o u te L S S e q u e n c e N u m L S C h e c k su m (2 B L e n g th (2 B y te s ) L S A -H e a d e r
y te s ) L S r (4 B y te s ) 1 : b e r (4 B y te s ) 2 : y te s ) 3 : 4 : 5 :
T y p e = R o u te r-L S A N e tw o rk -L S A S u m m a ry -L S A (IP N e tw o rk ) S u m m a ry -L S A (A S B R ) A S -e x te rn a l-L S A
L S A -D a te n te il
Abb. 9.3-21: Struktur von LSAs (Link State Advertisements)
LSA-Header
Die einzelnen Angaben im LSA-Header sind: LSA Age: Die Angabe der Zeit (in Sekunden), die seit der LSA-Generierung vergangen ist. Options: Dieses Feld enthält festgelegte Bits (z.B. E, MC, N/P, ...), mit denen einige Routerbesonderheiten angegeben werden. Ist hier beispielsweise E=1, bedeutet dies, dass der Ad-
vertising-Router ein „external link“ hat, d.h. ein Interface zum anderen AS. Link State ID (LS-ID): LS-ID ist vom LSA-Typ abhängig und hat folgende Bedeutung: − LSA-Typ 1: LS-ID = ID des Routers, der die LSA generiert hat, − LSA-Typ 2: LS-ID = IP-Adresse des Interface des designierten Routers, − LSA-Typ 3: LS-ID = IP-Adresse des Netzwerkziels, − LSA-Typ 4: LS-ID = ID des Routers (ASBR), der die LSA gesendet hat, − LSA-Typ 5: LS-ID = IP-Adresse des Netzwerkziels.
9.3 Open Shortest Path First (OSPF) Advertising Router: Hier wird die ID des Routers angegeben, der die LSA generiert hat. LS Sequence Number: Hier werden die gesendeten LSAs fortlaufend nummeriert. LS Checksum: Hier ist eine Prüfsequenz enthalten, mit der die ganze LSA ohne Feld LS Age überprüft wird. Length: Die LSA-Länge in Bytes.
9.3.5 Besonderheiten von OSPFv2 Die OSPF-Besonderheiten sind u. a.: Schleifenlose Routen Der designierte Router führt zur Synchronisation von einzelnen Routern innerhalb eines Bereichs. Dadurch entstehen keine logischen Schleifen bei der Berechnung von Routen und somit tritt das Count-to-Infinity-Problem bei OSPF nicht auf, wie dies beim RIP der Fall war. Schnellere Konvergenz als beim RIP OSPF kann die Änderungen der Topologie schneller erkennen und übermitteln als das RIP. VLSM- bzw. CIDR-Unterstützung Bei OSPF wird die Präfixlänge (d.h. die Länge der Subnetzmaske) übermittelt. Dadurch ist die VLSM- bzw. CIDR-Unterstützung mit der Aggregation von Routen möglich. Skalierbarkeit großer IP-Netze Bei OSPF werden autonome Systeme in Bereiche aufgeteilt. Dadurch lässt sich die Größe von Routing-Tabellen verringern. Zu einem Bereich kann eine aggregierte Route führen, die alle Routen zu den einzelnen Netzwerkzielen innerhalb des Bereichs zusammenfasst. Dadurch ist OSPF für große und sehr große IP-Netze geeignet, die beliebig erweiterbar sind. Unterstützung für Authentifizierung Der Informationsaustausch auf OSPF-Routen lässt sich authentifizieren. Kompatibilität zum OSPFv1
9.3.6 OSPF für IPv6 (OSPFv3) OSPF für das Protokoll IPv6 stellt eine an die IPv6-Besonderheiten angepasste Form des OSPFv2 für IPv4 dar und wird in RFC 2740 beschrieben. OSPF für IPv6 wird seit einiger Zeit als OSPFv3 bezeichnet. Da IPv6 als IP Next Generation angesehen werden kann, wird manchmal auch die Abkürzung OSPFng für das OSPF für IPv6 verwendet.
409
410 Besonderheiten von OSPFv3
9
Routing in IP-Netzen
Die wichtigsten Besonderheiten von OSPFv3 sind: Bei OSPFv3 wird der Begriff Link für ein Subnetz bzw. ein Netz verwendet Damit trifft die einheitliche Beschreibung von OSPFv3 sowohl für broadcast-orientierte LANs als auch für verbindungsorientierte WANs zu. OSPFv3 wird über dem IPv6 angesiedelt. Die OSPFv3-Pakete werden direkt in die IP-Pakete eingebettet. Somit ist OSPFv3 der Schicht 4 im Schichtenmodell zuzuordnen. OSPFv3 eignet sich für große Netze. OSPFv3 wurde (genauso wie OSPFv2) insbesondere für den Einsatz in großen Netzen konzipiert, die in eine Vielzahl von autonomen Systemen aufgeteilt werden können. OSPFv3-Pakete Um die Routing-Information in Form von LSAs (Link State Advertisements) zu übermitteln, verwendet OSPFv3 (ebenfalls wie OSPFv2) folgende Pakete: Hello, Database Description, Link State Request, Link State Update und Link State Acknowledgment. Diese Pakete für OSPFv2 wurden in Abschnitt 9.3.4 beschrieben. Link State Database (LSDB) und die Routing-Tabelle (RT) LSDB und RT werden bei OSPFv3 identisch aufgebaut wie LSDB und RT beim OSPFv2 [Abschnitt 9.3.1]. Bildung einer Nachbarschaft Bei OSPFv3werden die Nachbarschaften zwischen den benachbarten Routern nach den gleichen Prinzipien gebildet wie bei OSPFv2. Einsatz eines designierten Routers Bei OSPFv3 wird (wie bei OSPFv2) ein designierter Router für die Verteilung der Routing-Information in Broadcast-Netzwerken und in NBMANetzen eingesetzt. Erstellung der Routing-Tabelle bei OSPFv3 Die Routing-Tabelle bei OSPFv3 wird nach den gleichen Prinzipien wie bei OSPFv2 erstellt [Abschnitt 9.3.1], d.h. die Berechnung des SPF-Baums erfolgt bei OSPFv3 nach dem Algorithmus von Dijkstra.
9.4 Was ist BGP?
Border Gateway Protocol (BGP-4)
Das BGP (Border Gateway Protocol) ist ein Protokoll für den Austausch der Routing-Information (RI) zwischen autonomen Systemen [Abb. 9.1-13]. Es wurde im Jahre 1989 eingeführt und inzwischen mehrfach verbessert. Die aktuelle BGP-Version 4 (kurz BGP-4) ist seit 1994 im Einsatz. Die letzte Spezifikation des BGP-4 enthält RFC 4271 (Jan. 2006). Damit wurde RFC 1771 mit
9.4 Border Gateway Protocol (BGP-4)
411
der Spezifikation des BGP-4 aus dem Jahr 1995 abgelöst. Das Wesentliche beim BGP-4 ist die Unterstützung von CIDR (Classless Inter-Domain Routing). Hierfür wird das Netzwerk-Präfix übermittelt. In diesem Abschnitt wird nur das BGP-4 dargestellt, sodass manchmal kurz BGP statt BGP-4 geschrieben wird.
9.4.1 Grundlagen des BGP-4 Das BGP verwendet das TCP als Transportprotokoll über den Port 179. Damit BGP nutzt wird sichergestellt, dass die Verantwortung für die Zuverlässigkeit der Über- TCP mittlung von BGP-Nachrichten vom TCP übernommen wird und nicht im BGP implementiert werden muss. Zwischen zwei benachbarten BGP-Routern wird daher für den Austausch der RI eine TCP-Verbindung aufgebaut. Die beiden benachbarten Router werden daher als Peers bzw. als BGP-Sprecher (BGP Speaker) bezeichnet. Die Verbindung zwischen Peers nennt man auch PeerVerbindung. Obwohl das BGP hauptsächlich für den Einsatz zwischen autonomen Systemen Arten von konzipiert wurde, kann es auch innerhalb eines autonomen Systems (AS) für BGP die Kommunikation zwischen zwei AS Border Router (ASBR) eingesetzt werden [Abb. 9.3-8]. Somit kann eine Peer-Verbindung sowohl innerhalb eines AS als auch zwischen unterschiedlichen AS aufgebaut werden. Deshalb bezeichnet man das BGP als internes (IBGP) bzw. als externes BGP (EBGP). Die PeerVerbindung zwischen zwei Routern, die zu verschiedenen AS gehören, nennt man external Link, die Peer-Verbindung innerhalb eines AS internal Link. Abbildung 9.4-1 illustriert die beiden BGP-Varianten. A S 1 0 0 E B G P A S 2 0 0
R 4 e x te rn a l e x te rn a l L in k L in k R 2 R 3 in te rn a l L in k IB G P
R 1
A S 3 0 0 E B G P
Abb. 9.4-1: Externes und internes BGP AS: Autonomes System, R: Router
Die Peers sind hier die Router R1 und R2, R3 und R4 sowie R2 und R3. Die Peers R1 und R2 sowie R3 und R4 sind direkt (physikalisch) verbunden. Dagegen sind R2 und R3, die IBGP realisieren, (nur) logisch miteinander verbunden. Die Routing-Information im BGP-Router wird in einer speziellen Datenbank Routing abgespeichert, der RIB (Routing Information Base). Zur Gestaltung des Rou- Information ting-Prozesses setzt sich die RIB aus verschiedenen Teilen zusammen. Abbil- Base dung 9.4-2 illustriert die RIB-Struktur.
412
9
Routing in IP-Netzen
L o c -R IB
R IB
R T
A d jR IB -O u t
...
...
A d jR IB -In
R I
R o u te r-In te rfa c e s (-P o rts )
D a te n
Abb. 9.4-2: Struktur der RIB (Routing Information Base) beim BGP Adj: Adjacent, RT: Routing-Tabelle, In: Input, Loc: Local, Out: Output
Den Kern der RIB bildet die Routing-Tabelle, in der die einzelnen Routen aufgelistet werden. Jeder BGP-Router verfügt über eigene Angaben (Konfigurationsparameter), die für das Routing dienen können; sie werden im Loc-RIB gespeichert. Die empfangenen Routing-Informationen (in den Nachrichten UPDATE, [Abb. 9.4-6]) von Nachbar-Routern werden in Adj-RIB-In (EingangsRIB) abgespeichert. Unter Berücksichtigung von Angaben in Loc-RIB verwendet der Router diese Routing-Informationen, um die Routing-Tabelle zu aktualisieren. Die Routen-Änderungen, die der Router an seine Nachbarn weiterleiten muss, speichert er in Adj-RIB-Out (Ausgangs-RIB) ab.
9.4.2 Funktionsweise des BGP-4 Ein AS Border Router (ASBR) macht mithilfe des BGP die Routen zu seinem AS bekannt. Hierfür muss sowohl jedes AS als auch jeder ASBR eine Identifikation haben. Der Verlauf des BGP-4 wird nun anhand des Beispiels in Abbildung 9.4-3 näher erklärt. Die Router R1 und R2 sind BGP-Peers. Die RoutingInformation zwischen ihnen wird in BGP-Nachrichten ausgetauscht. Die BGPPeers bauen hierfür zuerst eine TCP-Verbindung; dies bedeutet, dass jeder zu übertragenden BGP-Nachricht ein TCP-Header vorangestellt wird. OPEN
Nachdem die TCP-Verbindung zwischen BGP-Peers aufgebaut wurde, wird eine BGP-Nachbarschaft zwischen ihnen „geknüpft“. Diese kann als gegenseitige Bereitschaft, die Routing-Information zu tauschen, gesehen werden. Um eine Nachbarschaft aufzubauen, sendet jeder Router eine BGP-Nachricht OPEN, in der die Identifikation MyAS des eigenen autonomen Systems und des „Absender“-Routers als BGP Identifier (BGP-ID) angegeben wird. Die Nachricht OPEN wird von der Gegenseite mit KEEPALIVE bestätigt. Während des Aufbaus der Nachbarschaft stellen sich die beiden Router gegenseitig vor.
9.4 Border Gateway Protocol (BGP-4)
A S 1 0 1 6 0 .1 0 .0 .0 /1 6 B G P -ID = A
R 1
R 2 T C P -V e rb in d u n g s a u fb a u
A S 2 0 1 7 0 .1 0 .0 .0 /1 6 B G P -ID = B
O P E N [M y A S = 1 0 , B G P -ID = A ] K E E P A L IV E O P E N [M y A S = 2 0 , B G P -ID = B ]
A u fb a u e in e r N a c h b a rsc h a ft K E E P A L IV E R o u te n b e k a n n tg a b e
U P D A T E [ M y A S = 1 0 , 1 6 0 .1 0 .0 .0 /1 6 U P D A T E [ M y A S = 2 0 , 1 7 0 .1 0 .0 .0 /1 6
R : R o u te r
Abb. 9.4-3: Beispiel für einen Verlauf des BGP
Nach dem Aufbau der Nachbarschaft kündigen die BGP-Peers die Routen zu UPDATE ihren autonomen Systemen mittels Nachrichten UPDATE an. Der Name UPDATE kommt daher, dass es sich im Lauf der Zeit überwiegend um die Aktualisierungen (Updates) von Routing-Tabellen handelt. Wie in Abbildung 9.4-3 ersichtlich ist, enthält UPDATE die Identifikation des Quell-AS (als MyAS) und die Angabe der aggregierten Route zum AS. Hat sich die Lage im AS geändert, weil z.B. ein Subnetz plötzlich nicht erreichbar ist oder eine bessere Route zur Verfügung steht, informiert ein BGPRouter seinen Nachbarn darüber, dass die ungültig gewordene Route zurückgezogen und eventuell durch die neue Route ersetzt bzw. vollkommen entfernt werden soll. Die ungültig gewordenen Routen werden in UPDATE angegeben.
9.4.3 BGP-4-Nachrichten Jede BGP-Nachricht setzt sich aus einem 19 Bytes langen BGP-Header und einem Nachrichtenteil zusammen (Abbildung 9.4-4). Die BGP-Nachrichten können maximal 4096 Bytes haben. KEEPALIVE als kleinste Nachricht besteht lediglich aus dem BGP-Header und ist nur 19 Bytes lang. M a rk e r (1 6 B y te s ) L e n g th (2 B y te s ) T y p e (1 B y te ) B G P -H e a d e r
Abb. 9.4-4: Aufbau von BGP-4-Nachrichten Der BGP-Header enthält folgende Angaben:
B G P -P a y lo a d
413
414
9
Routing in IP-Netzen Marker: Dieses Feld soll zuerst nach RFC 1771 zur gegenseitigen Authentisierung der BGP-
Peers während der Nachbarschaft dienen. Dies wurde aber in RFC 4271 abgelehnt und alle Marker-Bits sind auf 1 zu setzen. Length: Hier wird die Länge der BGP-Nachricht (inkl. Header) in Bytes angegeben. Type: Hier wird der Typ (d.h. die Bedeutung) der BGP-Nachricht eingetragen. Folgende Nachrichtentypen sind zu unterscheiden [Tab. 9.4-1]:
Type 1 2 3 4 5 Tab. 9.4-1:
Nachricht OPEN
BGP-4-Nachricht OPEN UPDATE NOTIFICATION KEEPALIVE ROUTE-REFRESH (RFC 2918)
Type-Angaben bei BGP-4-Nachrichten
Eine wichtige Funktion des BGP besteht im Aufbau von Nachbarschaften zwischen BGP-Peers. Dies ist die Voraussetzung für den Austausch der RoutingInformation. Falls bereits eine TCP-Verbindung zwischen BGP-Peers besteht, kann die Nachbarschaft mithilfe von Nachrichten OPEN aufgebaut werden [Abb. 9.4-3]. Die Struktur der Nachricht OPEN zeigt Abbildung 9.4-5. V e rs io n (1 B y te ) M y A u to n o m o u s S y s te m (2 B y te s ) H o ld T im e (2 B y te s ) B G P Id e n tifie r (4 B y te s ) O p t P a rm L e n (1 B y te ) O p tio n a l P a ra m e te rs (v a ria b e l)
B G P -H e a d e r
O P E N
Abb. 9.4-5: Struktur von BGP-4-Nachrichten OPEN Die Angaben innerhalb der Nachricht OPEN haben folgende Bedeutung: Version (des BGP): Dieses Feld enthält 4, d.h. es handelt sich um das BGP-4. My Autonomous System (MyAS) als Angabe der Identifikation (Nummer) des Quell-AS. Hold Time: Das ist die maximale Wartezeit auf eine neue KEEPALIVE bzw. ein UPDATE
vom BGP-Peer. Nach Ablauf dieser Zeit wird der Peer für ausgefallen erklärt. BGP Identifier: Hier wird die Identifikation des „Absender“-Routers angegeben. Somit handelt es sich um die Router-ID. Opt Parm Len (Optional Parameters Length): Hier wird die Länge von optionalen Parametern angezeigt. Der Wert 0 weist darauf hin, dass keine optionalen Parameter vorhanden sind.
Optional Parameters: Angabe von optionalen Parametern. Jeder von ihnen wird als Triplet: <Parametertyp (1 Byte), Parameterlänge (1 Byte), Parameterwert> dargestellt.
9.4 Border Gateway Protocol (BGP-4)
415
Nach der Übermittlung der Nachricht OPEN werden zunächst die gesamten Nachricht Routing-Informationen mittels Nachrichten UPDATE zwischen den BGP-Peers UPDATE ausgetauscht. Die Änderungen, die im Laufe der Zeit im Netz auftreten (z.B. ein neues Subnetz wurde eingerichtet), werden durch die Übermittlung von UPDATE bekannt gemacht. Abbildung 9.4-6 zeigt die Struktur von UPDATE. a )
U n fe a W ith d T o ta l P
H e a d e r
s ib le ra w P a th a th A
R o u te L e n R o u te s (v a r A ttrib u te L ttrib u te s (v N L R I
g th (2 B y te s ) ia b e l) e n g th (2 B y te s ) a ria b e l)
U P D A T E
b )
N L R I-In s ta n z
L e n g th (1 B y te )
P re fix
1 1 0 0 0 1 1 0 .0 0 0 1 1 0 0 0 .1 0 1 0 0 0 0 0 .0 0 0 0 0 0 0 0 1 1 1 1 1 1 1 1 .1 1 1 1 1 1 1 1 .1 1 1 0 0 0 0 0 .0 0 0 0 0 0 0 0 L e n g th < L e n g th , P r e f ix > = 1 9 7 .2 4 .1 6 .0 /1 9
Abb. 9.4-6: BGP-Nachricht UPDATE: a) Struktur der Nachricht, b) NLRI-Interpretation Die Nachricht UPDATE besteht aus den folgenden Angaben: Unfeasible Route Length: Hier wird die Länge in Bytes des nächsten Felds Withdraw Routes mit den ungültig gewordenen (zurückgezogenen) Routen angezeigt. Withdraw Routes: Hier werden die ungültig gewordenen Routen aufgelistet. Diese Routen müssen aus der Routing-Tabelle entfernt werden. Withdraw Routes werden durch das Tupel repräsentiert. <17, 131.42.128.0> bedeutet beispielsweise, dass die Route 131.42.128.0/17 (im CIDR-Format, [Abb. 2.5-2]) zurückgezogen werden soll. Total Path Attribute Length: die Länge des nächsten Felds Path Attributes. Path Attributes (Pfad-Attribute): In diesem Feld werden die zusätzlichen Informationen
über Pfade (d.h. über BGP-Routen) angegeben. NLRI (Network Layer Reachability Information): Das NLRI-Feld enthält eine Liste der Netzwerkziele (im CIDR-Format), über die ein Router seinen BGP-Peer informieren möchte. Das NLRI-Feld besteht aus mehreren NLRI-Instanzen der Form . Wie Abbildung 9.4-6b zeigt, gibt Length die Anzahl von Bits an, die zur Netzwerkmaske (bzw. Subnetzmaske) gehören.
Die BGP-Nachricht KEEPALIVE besteht nur aus einem 19 Bytes langen Hea- Nachricht der [Abb. 9.4-4] und enthält keine weiteren Angaben. KEEPALIVE wird u.a. als KEEPALIVE eine Bestätigung verwendet [Abb. 9.4-3]. Falls keine neuen RoutingInformationen (keine Veränderungen) vorliegen, werden die Nachrichten KEEPALIVE periodisch zwischen BGP-Peers gesendet, um der Gegenseite die Funktionsbereitschaft zu signalisieren. Dadurch lässt sich feststellen, ob der Peer erreichbar ist. Ein Router sendet eine Nachricht NOTIFICATION, um seinem Peer (Nachbar- Nachricht Router) eine Fehlermeldung zu signalisieren. Sie wird immer nach der Entde- NOTIFICATION ckung eines Fehlers verschickt und kann zum Abbruch der Peer-Verbindung
416
9
Routing in IP-Netzen
(Nachbarschaft) führen. Möchte ein Router die Verbindung abbauen, sendet er NOTIFICATION, in der er gleichzeitig den Grund für den Abbau der Verbindung angibt. Wie Abbildung 9.4-7 zeigt, besteht NOTIFICATION aus der Fehlerangabe (Error Code, Error Subcode) und aus einem variablen Feld Data, in dem der Fehler gegebenenfalls weiter beschrieben werden kann. E rro r C o d e (1 B y te ) E rro r S u b c o d e (1 B y te ) D a ta (v a ria b e l)
B G P -H e a d e r N O T IF IC A T IO N Abb. 9.4-7: BGP-Nachricht NOTIFICATION
Error Code verweist auf den Fehlertyp. Mit Error-Subcode wird der Fehler näher spezifiziert. Die Fehler sind u.a.: Error Code 1: Message Header Error 2: OPEN Message Error 3: UPDATE Message Error 4: Hold Timer Expired 5: Finite State Machine Error 6: Cease ( Beenden) Tab. 9.4-2:
PathAttribute
Error Subcode (z.B.) 1: Connection not Synchronized 2: Bad Message Length, ... 1: Unsupported Version Number 2: Bad Peer AS 3: Bad BGP Identifier, ... 1: Malformed Attribute List 2: Unrecognized Well-known Attribute, ... Kein Error Subcode Kein Error Subcode Kein Error Subcode
Beispiele für den Fehler-Code in der BGP-Nachricht NOTIFICATION
Um die Eigenschaften von BGP-Routen, die sog. Paths (Pfade), näher zu spezifizieren, werden die Path-Attribute in BGP-Nachrichten UPDATE übermittelt. Tabelle 9.4-3 zeigt eine Auflistung möglicher Path-Attribute. Name ORIGIN AS_PATH NEXT_HOP MULTI_EXIT_DISC LOCAL_PREF ATOMIC_AGGREGATE AGGREGATOR COMMUNITY
Tab. 9.4-3:
TC 1 2 3 4 5 6 7 8
Bedeutung Wer hat den Pfad initiiert? Festlegung des Pfads als Sequenz von AS-IDs IP-Adresse des nächsten BGP-Nachbar-Routers auf dem Pfad Welcher Pfad für ankommenden Traffic soll ausgewählt werden? Welcher Pfad für ausgehenden Traffic soll ausgewählt werden? Hinweis auf aggregierte Route, z.B. falls eine Route unsichtbar ist Wo wurde die BGP-Route aggregiert? RFC 1991; Zugehörigkeit zu einer Community in mehreren AS
Mögliche Path-Attribute in BGP-Nachrichten UPDATE TC: Type Code
9.4 Border Gateway Protocol (BGP-4)
Folgende Attribut-Kategorien sind zu unterscheiden: Well-known mandatory: Die Attribute dieser Kategorie müssen in der Nachricht UPDATE vorhanden und in allen Implementierungen erkannt sein. Zu diesen Attributen gehören: ORIGIN, AS_PATH und NEXT_HOP.
417 AttributKategorien
Well-known discretionary: Die Attribute dieser Kategorie müssen von allen Implementierungen erkannt werden und können optional in UPDATE enthalten sein. Hierzu gehören LOCAL_PREF und ATOMIC_AGGREGATE. Optional transitive: Es handelt sich um optionale Attribute. Falls sie durch eine Implementierung nicht erkannt werden, sollten sie nicht ignoriert, sondern eventuell an andere BGP-Router weitergeleitet werden. Die Attribute AGGREGATOR und COMUNITIES gehören zu dieser Kategorie. Optional
non-transitive: Es handelt sich um optionales Attribut MULTI_EXIT_DISC. Falls es durch eine Implementierung nicht erkannt wird, sollte es ignoriert und nicht weitergeleitet werden. Abbildung 9.4-8 zeigt die Struktur der Path-Attribute. Das erste Byte mit Flags beschreibt die Attribut-Kategorie, im zweiten Byte wird Type Code [Tab. 9.43], d.h der Attributtyp, angegeben.
1 a
2 b
3 c
F la g s 1 B y te 4 5 .... d E x te n d e C o m p le N o n -tr a W e ll-k n
d te n s o w
T y p e C o d e A ttr. L e n g th (v a ria b e l) A ttr. V a lu e (v a ria b e l) 8 L e n g / p a r itiv e / o p
th : d = 1 is t tia l: c = 1 is / tr a n s itiv e : tio n a l: a = 1
A ttr. t d ie b = 1 is t A
L e n In fo is t ttr.
g th = 2 B y . im A ttr n o p tio n a le s o p tio n a l, s
te s , s o n s t A ttr. L e n g th = 1 B y te ic h t k o m p le tt (p a r tia l), s o n s t k o m p le tt A ttr. tr a n s itiv e , s o n s t n o n -tr a n s itiv e o n s t w e ll-k n o w n
Abb. 9.4-8: Struktur der Path-Attribute in BGP-Nachrichten UPDATE
Die Nutzung der Path-Attribute wird nun an einigen Beispielen näher erläutert. Beispiel 1: Abbildung 9.4-9 illustriert die Bedeutung des Path-Attributs AS_PATH. Dieses Attribut beschreibt den Pfad (Path), d.h. die BGP-Route, und ermöglicht auch, die sog. Loops (Schleifen) entlang der Route zu entdecken. Der Pfad zu einem AS enthält die aggregierte Route zu diesem AS und die Angabe von Identifikationen (IDs) dieser AS, über die der Pfad verläuft.
A S 1 0 0 1 0 .0 .0 .0 /8 A S _ P A T H
R 1
1 0 .0 .0 .0 /8
1 0 .0 .0 .0 /8 1 0 0
R 2
A S 2 0 0 1 0 .0 .0 .0 /8 2 0 0 1 0 0
R 3
A S 3 0 0
R 4
1 0 .0 .0 .0 /8 3 0 0 2 0 0 1 0 0
Abb. 9.4-9: Illustration der Bedeutung des Path-Attributs AS_PATH
A S 4 0 0
Nutzung von AS_PATH
418
9
Routing in IP-Netzen
Den Pfad zum AS 100 kündigt der Router R1 daher dem Router R2 aus AS 200 als 10.0.0.0/8 100 an. R2 kündigt dann den Pfad zum AS 100 dem Router R3 aus AS 300 als 10.0.0.0/8 200 100 an. R3 kündigt danach den Pfad dem Router R4 aus AS 400 als 10.0.0.0/8 300 200 100 an usw. Verläuft der Pfad über ein Transit-AS, wird, wie hier ersichtlich, die Identifikation dieses AS den bereits in AS_PATH enthaltenen AS-IDs vorangestellt.
Nutzung von NEXT_HOP
Beispiel 2: Mit dem Path-Attribut NEXT_HOP wird die IP-Adresse des BGP-Routers angegeben, der auf dem Pfad am nächsten ist. Abbildung 9.4-10 illustriert dies.
R 2
A S 2 0 0
IB G P
1 7 2 .9 .0 .0 /1 2 R 1
1 0 .0 .0 .0 /8 N E X T _ H O P = 1 9 2 .7 .1 .1 1 7 2 .9 .0 .0 /1 2 N E X T _ H O P = 1 6 9 .5 .1 .1
E B G P
1 6 9 .5 .1 .1
IS P R
In te rn e t A S 1 0 0
1 0 .0 .0 .0 /8
1 9 2 .7 .1 .1
1 0 .0 .0 .0 /8 N E X T _ H O P = 1 9 2 .7 .1 .1
Abb. 9.4-10: Veranschaulichung der Bedeutung des Path-Attributs NEXT_HOP Hier kündigt der Router R beim Internet Service Provider (ISP) dem AS-Border-Router R1 einer Institution an, dass der nächste Sprung (NEXT_HOP) vom R1 zum Ziel 10.0.0.0/8 an die IPAdresse 192.7.1.1 erfolgen muss. R1 kündigt danach dem AS-internen Router R2 u.a. an, dass der nächste Sprung von ihm zum Ziel 10.0.0.0/8 an 169.5.1.1 erfolgen muss.
Nutzung von MULTI_ EXIT_ DISC
Beispiel 3: Wie Abbildung 9.4-11 illustriert, erlaubt das Path-Attribut MULTI_EXIT_DISC (kurz MED), den in ein AS eingehenden Datenverkehr auf mehrere Routern zu verteilen.
A S 2 0 0 1 2 8 .7 .0 .0 /1 6
1 2 8 .7 .1 .0 /1 8 R 3 1 2 8 .7 .2 .0 /1 8
R 1 R 2
1 2 8 .7 .1 .0 /1 8 M E D = 1 0 1 2 8 .7 .2 .0 /1 8 M E D = 5 0
IS P R
A S 1 0 0
In te rn e t
1 2 8 .7 .1 .0 /1 8 M E D = 5 0 1 2 8 .7 .2 .0 /1 8 M E D = 1 0
Abb. 9.4-11: Beispiel für die Nutzung des Path-Attributs MULTI_EXIT_DISC (MED) MED stellt die Kosten (Metrik) eines Pfad-Abschnitts dar. Der Router R1 teilt dem Router R beim ISP mit, dass die Kosten über ihn zu den Zielen 128.7.1.0/18 und 128.7.2.0/18 entsprechend 10 und 50 betragen. R2 teilt R aber mit, dass die Kosten zu den Zielen 128.7.1.0/18 und 128.7.2.0/18 über ihn entsprechend 50 und 10 betragen. Dadurch wird der Datenverkehr von R zum Ziel 128.7.1.0/18 so verteilt, dass ca. (50/60)·100% über R1 und ca. (10/60)·100% über R2 verläuft. Der Datenverkehr von R zu 128.7.2.0/18 wird aber so verteilt, dass ca. (50/60)·100% über R2 und ca. (10/60)·100% über R1 geführt wird.
Nutzung von LOCAL_ PREF
Beispiel 4: Das Path-Attribut LOCAL_PREF (Local Preference) ermöglicht es, den aus einem AS ausgehenden Datenverkehr entsprechend zu verteilen. Abbildung 9.4-12 veranschaulicht dies näher. Der Internet-Zugang bei einer Institution erfolgt über ISPa und ISPb. Hier hat die Anbindung über ISPa die Bitrate von 155 Mbit/s (SDH-Schnittstelle STM-1) und über ISPb die Bitrate von 2 Mbit/s (PDH-Schnittstelle E1).
9.4 Border Gateway Protocol (BGP-4)
A S 2 0 0
1 5 5 M b it/s
R 1
1 2 8 .7 .0 .0 /1 6
IS P a 2 M b it/s
R 2
1 0 .0 .0 .0 /8 L O C A L _ P R E F = 1 0
In te rn e t
R a A S 1 0 0
IS P b
1 0 .0 .0 .0 /8
R b A S 1 5 0
1 0 .0 .0 .0 /0 L O C A L _ P R E F = 7 0 0
419
ü b e rg e o rd n e te r IS P
Abb. 9.4-12: Beispiel für die Nutzung des Path-Attributs LOCAL_PREF LOCAL_PREF wird nur innerhalb eines AS zwischen BGP-Routern (IGBP [Abb. 9.4-1]) übermittelt. Der Router R 1 aus dem AS 200 teilt dem Router R2 im gleichen AS mit, dass er den Datenverkehr zum Ziel 10.0.0.0/8 über R1 mit der Präferenz 700 leiten soll. Dagegen teilt R2 dem R1 mit, dass er den Datenverkehr zum Ziel 10.0.0.0/8 über R2 mit der Präferenz nur 10 leiten soll. Dadurch soll der Datenverkehr vom AS 200 zum Ziel 10.0.0.0/8 so verteilt werden, dass ca. (700/710)·100% über R1 und ca. (10/710)·100% über R2 verläuft. Da 10/700 ungefähr dem Verhältnis der Bitrate von Internet-Anbindungen (d.h. 2/155) entspricht, soll der Datenverkehr dementsprechend beim Internet-Zugriff verteilt werden.
Beispiel 5: Bei der Aggregation von Pfaden können einige Angaben nicht mehr ersichtlich sein. Wie Abbildung 9.4-13 zeigt, enthält der aggregierte Pfad 10.0.0.0/16 in sich die Pfade 10.0.5.0/24 und 10.0.9.0/24, die aus dem aggregierten Pfad nicht direkt ersichtlich sind.
A S 1 0 0
R 1
A S 2 0 0
R 2 1 0 .0 .5 .0 /2 4 2 0 0
R 3 - I D = 1 9 2 .1 6 5 .1 .1 R 3 1 0 .0 .9 .0 /2 4 1 0 0
A S 3 0 0
R 4
A S 4 0 0
1 0 .0 .0 .0 /1 6 3 0 0 A T O M I C _ A G G R E G A T E A G G R E G A T O R = 3 0 0 , 1 9 2 .1 6 5 .1 .1
Abb. 9.4-13: Nutzung der Path-Attribute AGGREGATOR und ATOMIC_AGGREGATE Das Path-Attribut AGGREGATOR = 300, 192.165.1.1 gibt an, welcher Router (hier 192.165.1.1) in welchem AS (hier 300) den aggregierten Pfad erzeugt hat. R3 aus dem AS 300 als Aggregator kündigt den aggregierten Pfad R4 aus dem AS 400 als 10.0.0.0/16 300 ATOMIC_AGGREGATE an.
9.4.4 Multiprotocol Extensions for BGP-4 (MP-BGP) Um BGP u.a. in Netzen mit IPv6 und in Virtual Private Networks (VPN) auf Basis der MPLS-Netze zu verwenden, wurde BGP so erweitert, dass man die nicht IPv4-konformen Routen übermitteln kann. Diese so erweiterte BGPVersion spezifiziert RFC 4760/2858 und sie wird als MP-BGP bezeichnet. Die Routen bei MP-BGP, ebenso wie bei BGP, werden zwischen jeweils zwei BGP-Routern in den Nachrichten UPDATE als Angabe NLRI übermittelt. Bei MP-BGP werden zwei neue Attribute MP-REACH_NLRI und MPUNREACH_NLRI definiert. Dadurch ist MP-BGP ein wichtiges Routing-
Nutzung von AGGREGATOR
420
9
Routing in IP-Netzen
Protokoll in VPNs auf Basis der MPLS-Netze geworden. MP-BGP dient auch als Routing-Protokoll zwischen IPv6-Domains [RFC 2545] und kann u.a. auch für die Label Distribution in MPLS-Netzen verwendet werden [RFC 3107]. Nachbarschaft bei MP-BGP
Abbildung 9.4-14 zeigt den Aufbau einer Nachbarschaft zwischen BGP-Peers bei MP-BGP. Die Nachricht OPEN enthält im Vergleich zu BGP [Abb. 9.4-3] den Parameter Capability Option (CO), in dem angegeben wird, dass nun MP-BGP im Einsatz ist und wofür es dienen soll. Sind die beiden Peers kompatibel, wird die Nachricht OPEN von der Gegenseite mit KEEPALIVE bestätigt [Abb. 9.4-14a]. Hat der Peer nach der Angabe in Capability Option festgestellt, dass er die geforderte Option nicht unterstützt, antwortet er mit der Nachricht NOTIFICATION, in der er die Ursache (Error Code, Error Subcode) für die „Absage“ der Nachbarschaft angibt [Abb. 9.4-14b]. A S 1 0 1 6 0 .1 0 .0 .0 /1 6 B G P -ID = A
a )
b )
R 1 T C P -V e rb in d u n g s a u fb a u O P E N [M y A S = 1 0 , B G P -ID = A , C O ] K E E P A L IV E O P E N [M y A S = 2 0 , B G P -ID = B , C O ] K E E P A L IV E
A u fb a u e in e r N a c h b a rsc h a ft
A S 2 0 R 2 1 7 0 .1 0 .0 .0 /1 6 B G P -ID = B
O P E N [M y A S = 1 0 , B G P -ID = A , C O ] N O T IF IC A T IO N [E rro r C o d e = x , E rro r S u b c o d e = y ]
K e in e N a c h b a rsc h a ft
R : R o u te r
Abb. 9.4-14: Nachbarschaft zwischen BGP-Peers beim Einsatz von MP-BGP: a) Aufbau einer Nachbarschaft, b) Nachbarschaft ist nicht möglich
Parameter Capability Option
Bei MP-BGP kann eine Nachbarschaft zwischen zwei Peers nur dann geknüpft werden, wenn sie zueinander kompatibel sind. Mit dem Parameter Capability Option lässt sich dies überprüfen. Seine Struktur zeigt Abbildung 9.4-15. 0
A F I
2 3
1 5
R e s
3 1
S A F I
C a p a b ility V a lu e L e n g th = 4 T y p e C o d e = 1
Abb. 9.4-15: Parameter Capability Option in der Nachricht OPEN AFI: Address Family Identifier, SAFI: Subsequent AFI
AFI und SAFI
AFI (Address Family Identifier) gibt an, welche Art von IP-Adressen in der
Angabe von Routen enthalten ist; z.B.: AFI = 1: IPv4-Adresse,
9.4 Border Gateway Protocol (BGP-4)
421
AFI = 2: IPv6-Adresse.
SAFI (Sub-AFI, Subsequent AFI) gibt die Anwendungsart; z.B.: SAFI = 1: Weiterleitung als Unicast, SAFI = 4: Label Distribution bei MPLS [Abschnitt 11.2], SAFI = 64: Virtual Private LAN Service [Abschnitt 12.2.2], SAFI = 128: MPLS-labeled VPN Address [Abschnitt 12.2.1].
Bei MP-BGP kann eine Nachbarschaft zwischen zwei Peers nur dann geknüpft werden, wenn sie MP-BGP mit den gleichen Werten von AFI und SAFI unterstützen. Ist dies der Fall, sind die beiden zueinander kompatibel. Die wesentliche Erweiterung vom BGP-4 zum MP-BGP besteht darin, dass PathAttribute folgende zwei NLRI-Attribute für die Nachricht UPDATE spezifiziert wurden: beim MP-BGP
MP_REACH_NLRI für die Angabe von neuen (aktuellen) Routen, MP_UNREACH_NLRI für die Angabe von ungültig gewordenen Routen.
In diesen beiden Attributen können die Routen in IPv4-, IPv6-, MulticastAdressen oder in VPN-IPv4-Adressen [Abb. 9.4-18c] angegeben werden. Im Feld NLRI von MP_REACH_NLRI können die aktuellen (neuen) Routen angegeben werden. Abbildung 9.4-16a zeigt die Struktur von MP_REACH_NLRI. A F I (2 B S A F I (1 L e n g th o N H N A ( N u m b e r ...
a )
y te s ) B y te ) f N H N A (1 B y te ) v a ria b e l) o f S N P A s (1 B y te ) N L R I
S N P A s In h a lt v o n M P _ R E A C H _ N L R I T C = 1 4
L e n g th
T C : T y p e C o d e
L e n g th 1 B y te
S N P A
b )
A F I (2 B y te s ) S A F I (1 B y te ) N R L I = W ith d ra w n R o u te s
...
In h a lt v o n M P _ U N R E A C H _ N L R I R o u te T C = 1 5 L e n g th L e n g th P re fix
v a ria b e l
1 B y te
v a ria b e l
Abb. 9.4-16: Path-Attribute beim MP-BGP: a) MP_REACH_NLRI, b) MP_UNREACH_NLRI MP_REACH_NLRI enthält folgende Angaben: AFI (Address Family Identifier): Art der IP-Adressen in der Spezifikation von Routen, SAFI (Subsequent AFI): Art der Nutzung von Angaben in NLRI, Length of NHNA (Next Hop Network Address): Länge (in Bytes) der IP-Adresse des BGP-
Peer, d.h. 4 bei der IPv4-Adresse bzw. 16 bei der IPv6-Adresse, NHNA: IPv4- bzw. IPv6-Adresse des des BGP-Peer, Number of SNPA (Subnetwork Point of Attachment): Anzahl von Layer-2-Adressen (z.B.
MAC-Adresse), über die der BGP-Peer zu erreichen ist,
MP_ REACH_ NLRI
422
9
Routing in IP-Netzen SNPA: Layer-2-Adresse des BGP-Peer, NLRI (Network Layer Reachability Information): NLRI kann eine Liste der neuen Routen in der CIDR-Notation enthalten, über die ein Router seine Peers informieren möchte.
MP_ UNREACH_ NLRI
Die Änderungen im Netz, die während des Netzbetriebs auftreten (z.B. wurde ein neues Subnetz eingerichtet) und die dazu führen, dass einige Routen ungültig geworden sind, müssen entsprechend bekannt gemacht werden. Bei MPBGP dient hierfür das Path Attribut MP_UNREACH_NLRI. Als Inhalt dieses Attributs können die Routen in der Nachricht UPDATE angegeben werden, die als ungültig gelten, also jene, die gelöscht werden sollen. Die Struktur von MP_UNREACH_NLRI zeigt Abbildung 9.4-16b. Dieses Attribut kann eine Liste der Routen in der CIDR-Notation enthalten, die aus einer Routing-Tabelle „gestrichen“ werden sollen. AFI und SAFI haben hier die gleiche Bedeutung wie im Attribut MP_UNREACH_NLRI. IPv6 Inter-Domain Routing Das MP-BGP kann zwischen zwei IPv6-Domains eingesetzt werden, sodass diese sich die Netzwerkziele gegenseitig bekannt machen können. In diesem Fall spricht man von IPv6 Inter-Domain Routing [RFC 2545]. Abbildung 9.4-17 illustriert einen derartigen Einsatz des MP-BGP.
IP v 6 D o m a in R
U P D A T E
M P -B G P
1
U P D A T E [ ..., M P _ R E A C H _ S A L e n g th o f N H N A N N L R I (m it IP v 6 -R o N H N A
N H
P u
IP v 6 R 2 D o m a in U P D A T E L R I( , ..., , ,... ), ...] = 2 = 3 2 N A te n )
= (G lo b a l U n ic a s t IP v 6 -A d r., L in k -lo k a l IP v 6 -A d r.)
Abb. 9.4-17: IPv6 Inter-Domain Routing mit dem MP-BGP
Mithilfe des Attributs MP_REACH_NLRI in der Nachricht UPDATE teilen sich die beiden Router ihre IPv6-Adressen und Netzwerkziele in ihren IPv6Domains mit. Hierbei werden ihre IPv6-Adressen als NHNA übermittelt. Die Netzwerkziele werden im Feld NLRI eingetragen. Enthält NHNA die GlobalUnicast-IPv6-Adresse, so wird der Parameter Length of NHNA auf 16 gesetzt. Falls NHNA sowohl die Global-Unicast-IPv6-Adresse als auch die Linklokal-IPv6-Adresse angibt, wird Length of NHNA auf 32 gesetzt. So können sich die beiden BGP-Peers ihre Adressen mitteilen. Da es sich um die IPv6Adressen handelt, wird mit SAP = 2 darauf verwiesen.
9.4 Border Gateway Protocol (BGP-4)
423
Einsatz des MP-BGP in BGP/MPLS IPv4-VPNs Ein BGP/MPLS IPv4-VPN bildet mehrere IPv4-Netzwerke, die über ein BGP/MPLS MPLS-Netz mithilfe von emulierten Standleitungen miteinander vernetzt sind IPv4-VPN [Abschnitt 12.2.3]. Abbildung 9.4-18a illustriert dies. Die Netzwerke an den einzelnen Standorten eines VPN werden über sog. CE (Customer Edge) an die Router im MPLS-Netz eines Providers angeschlossen. Die Router am Rande des MPLS-Netzes werden als PE (Provider Edge) bezeichnet. Ein PE kann die Routing-Ziele vom CE mithilfe des RIP-2 bzw. von OSPF erlernen. Die PEs an beiden Enden einer emulierten Standleitung tauschen die Routing-Ziele untereinander mithilfe der Nachricht UPDATE des Protokolls BGP aus. a )
C E R IP -2 , O S P F
P E
U P D A T E
E m u lie rte S ta n d le itu n g
1
U P D A T E [..., M P _ R E A C H _ A S A F I R o u te in N L R I = V P N -IP v 4 -A c )
C E
M P -B G P 1
M P L S -N e tz
b )
IP v 4 -N e tz w e rk
B G P /M P L S IP v 4 -V P N
IP v 4 -N e tz w e rk
R o u te D is tin g u is h e r (R D ) 8 B y te s
N L R F I = = 1 2 d re s s
U P D A T E
P E 2
2
R IP -2 , O S P F
I( , , ..., N L R I( ))] 1 8 e IP v 4 -A d re s s e 4 B y te s
Abb. 9.4-18: Einsatz des MP-BGP im BGP/MPLS IPv4-VPN: a) Struktur der Vernetzung, b) Angaben in MP_REACH_NLRI, c) Struktur der VPN-IPv4-Adresse
Mit AFI = 1 und SAFI = 128 wird darauf verwiesen, dass es sich hier um IPv4-VPN handelt (Abbildung 9.4-18b). Eine Route im Feld NLRI wird durch eine sog. VPN-IPv4-Adresse angegeben, die in RFC 2547 spezifiziert wird. Ihre Struktur zeigt Abbildung 9.4-18c und sie setzt sich aus einem Route Distinguisher und einer IPv4-Adresse zusammen. Über ein MPLS-Netz können auch mehrere IPv6-Netzwerke so vernetzt wer- BGP/MPLS den, dass sie ein sog. BGP/MPLS IPv6-VPN bilden. Ein derartiges IPv6-VPN IPv6-VPN wurde in RFC 4659 spezifiziert und es funktioniert nach den gleichen Prinzipien wie ein IPv4-VPN. Mit AFI = 2 und SAFI = 128 wird in diesem Fall darauf verwiesen, dass es sich um BGP/MPLS IPv6-VPN handelt. Eine Route in NLRI wird durch eine VPN-IPv6-Adresse festgelegt. Derartige IPv6Adressen werden in RFC 4659 definiert.
424
9
Routing in IP-Netzen
9.5
Redundante Auslegung von Routern
Eine wichtige Anforderung bei der Planung eines komplexen Netzwerks ist die Gewährleistung seiner Ausfall- und Betriebssicherheit. Die Netzwerkplaner sind immer darauf bedacht, sog. Single Points of Failure zu vermeiden. Dazu gehören vor allem zentrale Netzwerkkomponenten wie Router. Diese sollen in bestimmten Situationen redundant ausgelegt werden. Die redundant eingesetzten Router müssen sich aber gegenseitig so ergänzen, dass sie eine funktionierende Einheit bilden. Somit ist ein Protokoll nötig, mit dem ein Router einen anderen über seinen Zustand informieren kann. Hierfür stehen bereits folgende Protokolle zur Verfügung: VRRP (Virtual Router Redundancy Protocol) [Abschnitt 9.5.2] und Virtueller Router
HSRP (Hot Standby Routing Protocol) [Abschnitt 9.5.3]. Diese Protokolle ermöglichen es, mehrere Router als Virtueller Router (Virtual Router, VR) einzurichten. Daher stellt sowohl VRRP als auch HSRP ein VRProtokoll (kurz VRP) dar.
9.5.1 Konzept des virtuellen Routers Bedeutung von Default Router
IP-Netzwerke bestehen in der Regel aus mehreren IP-Subnetzen, die mithilfe von Routern miteinander vernetzt werden. Falls ein Quellrechner ein IP-Paket zu einem Zielrechner in einem anderen IP-Subnetz sendet, muss er das IP-Paket an einen ihm zugeordneten Router zur Weiterleitung ins andere IP-Subnetz übergeben. Ein derartiger Router wird als Default Router oder als Default Gateway bezeichnet. In der Praxis werden die Default Router in der Regel den Rechnern statisch zugeordnet und oft manuell bei ihrer Konfiguration eingetragen. In diesem Fall wirkt sich der Ausfall eines Default Routers besonders stark aus. Infolgedessen ist kein Rechner innerhalb eines IP-Subnetzes mehr in der Lage, mit Rechnern in anderen IP-Subnetzen Daten auszutauschen und die Rechner werden dadurch komplett von der „Außenwelt“ abgeschnitten. Aus diesem Grund sollten in „wichtigen IP-Subnetzen“ mehrere Default Router eingesetzt werden. Abbildung 9.5-1a illustriert den Einsatz von zwei Routern als Default Router. Hier wurde angenommen, dass bei der Konfiguration von Rechnern die Möglichkeit besteht, mehrere Default Router bei ihnen einzutragen.
9.5 Redundante Auslegung von Routern
D R 1 = X (p rim ä r) D R 2 = Y (se k u n d ä r) IP S u b n e tz
D R 1 R 1 D R 2 R
D R IP A u ß e n w e lt
= X
IP -A d r = X
IP S u b n e tz
R
2
IP -A d r = Y
M a s te r R 1
V R P
8 4
b )
IP -A d r = X
...
a )
425
IP A u ß e n w e lt
2
B a c k u p IP -A d r = Y
V IP = X V M A C = a
Abb. 9.5-1: Redundante Router: a) Default Router ohne VRP, b) Virtueller Router mit VRP DR: Default Router; R: Router, VMAC: Virtuelle MAC-Adresse, VIP: Virtuelle IP-Adresse VRP: Virtual-Router-Protokoll (d.h. VRRP bzw. HSRP)
Ohne Einsatz eines VRP sind dem Rechner zwei Default Router bekannt, die er Redundante als primär und sekundär interpretiert. Eine derartige Lösung kommt nur dann Router ohne infrage, wenn das Betriebssystem die Möglichkeit bietet, bei der Rechnerkon- VRP figuration mehrere Default Router anzugeben. Eine solche Lösung schützt nur ungenügend vor einem Totalausfall, denn das Netzwerkbetriebssystem prüft in der Regel lediglich beim Start (Booten des Rechners), ob der primäre Default Router verfügbar ist. Ist er nicht verfügbar, wird anschließend geprüft, ob der nächste eingestellte (d.h. sekundäre) Router erreichbar ist. Ist dies der Fall, wird der sekundäre Router verwendet. Dieser Test wird allerdings nur beim Booten des Rechners durchgeführt. Falls mehrere Router in einem „wichtigen“ IP-Subnetz als Default Router die- Redundante nen, sollten sie als virtuelle Router (VR) eingerichtet werden. Dies ist mithilfe Router als eines VRP, d.h. mithilfe von VRRP bzw. von HSRP, möglich. Falls zwei phy- VR sikalische Router nach außen als VR wirken sollen, müssen eine virtuelle IPAdresse (kurz VIP) und eine virtuelle MAC-Adresse (VMAC) dem VR zugeordnet werden. Abbildung 9.5-1b illustriert das Prinzip der redundanten Auslegung von Routern, sodass diese als VR nach außen wirken. Hier fungiert R1 als Master-Router; er ist aktuell für die Weiterleitung aller IP-Pakete zuständig, die an die VIP übergeben werden. Der Master-Router übernimmt die Rolle des Default Routers. Sollte der Master-Router aber ausfallen, übernimmt automatisch der bis dahin als Backup arbeitende Router seine Funktion. VMAC wird wie folgt aufgebaut: VMAC bei VRRP: 00-00-5E-00-01-{VRID} Die Oktetts 00-00-5E stellen hier den OUI (Organizationally Unique Identifier) dar. Die Oktetts 00-01 kennzeichnen das VRRP. Das Oktett VRID dient als Identifikation von VR. VMAC bei HSRP wird so dargestellt: 0000.0c07.abxy xy stellt die Nummer der sog. Standby Group dar. Ein Verbund von Routern, die einen VR bilden, bezeichnet man bei HSRP als Standby Group. Da eine Standby Group einen virtuellen Router bildet, kann xy als Nummer des virtuellen Routers angesehen werden.
VMAC Struktur
426
9
Routing in IP-Netzen
IP-Adresse des MasterRouters als VIP
In Abbildung 9.5-1b wurde die IP-Adresse X des Master-Routers (d.h. von R1) als virtuelle IP-Adresse (VIP = X) angenommen. Fällt R1 aus, ist der BackupRouter R2 weiterhin unter VIP = X ansprechbar und übernimmt direkt den Datentransport. Die Rechner bemerken also in diesem Fall nichts vom Ausfall eines Routers. Sie sprechen weiterhin wie gewohnt ihren Default Router über die VIP = X an.
Kooperation von Routern
Wie die beiden Router „kooperieren“, regelt ein VRP. Hierbei sendet der Master-Router regelmäßig sog. Advertisements, um dem Backup-Router die eigene Funktionsfähigkeit (Ich lebe noch!) zu signalisieren. Wichtig ist, dass eine derartige Kooperation von Routern, die einen virtuellen Router bilden, für die normalen Rechner nicht zu bemerken ist. Das heißt, die Rechner „glauben“, sie hätten es immer mit demselben Router zu tun. Virtueller Router und ARP Will ein Rechner ein IP-Paket zum ersten Mal an einen Rechner in einem anderen IP-Subnetz übermitteln, so sendet er normalerweise zunächst einen ARPRequest [Abb. 2.6-2] mit der IP-Adresse des Default Routers als BroadcastNachricht auf dem MAC-Level, um seine MAC-Adresse zu ermitteln. Danach sendet der Rechner das IP-Paket mit dem Ziel im fremden Subnetz direkt an diese MAC-Adresse, d.h. direkt an den Default Router.
VR-Antwort auf ARPRequest
mit VMAC
Im Normalfall (also ohne redundante Routerauslegung) antwortet der entsprechende Router auf einen ARP-Request mit seiner physikalischen MACAdresse. Unterstützt dieser Router jedoch das VR-Protokoll, antwortet er mit seiner virtuellen MAC-Adresse (VMAC) anstatt mit seiner physikalischen MAC-Adresse. Somit darf der Backup-Router aus einem VR auf keinen Fall mit seiner physikalischen MAC-Adresse auf einen ARP-Request antworten. Die Tatsache, dass ein Router aus einem VR immer mit der virtuellen MACAdresse auf den ARP-Request antwortet, hat folgenden Vorteil: Wenn der Master-Router ausfällt und der Backup-Router für ihn einspringt, bleibt dies für die Rechner vollkommen transparent, da beide Router sowohl die gleiche VIP als auch die gleiche VMAC verwenden. Somit sendet der Rechner weiterhin alle IP-Pakete in fremde IP-Subnetze an die gleiche VMAC. Welcher Router tatsächlich gerade Master-Router ist und als Default Router dient, spielt für die Rechner daher keine Rolle. Lastverteilung mit virtuellen Routern Die Lösung in Abbildung 9.5-1b hat den Nachteil, dass der Backup-Router R2 nur als passive Redundanz dient. Das heißt, er hat nichts zu tun, solange der Master-Router R1 einwandfrei funktioniert. Für die Praxis wäre aber der Fall interessanter, in dem beide Router gleichzeitig aktiv sind. Dies lässt sich da-
9.5 Redundante Auslegung von Routern
427
durch erreichen, indem man mehrere virtuelle Router definiert und die Lastverteilung (Load Sharing) auf mehrere Router verteilt. Abbildung 9.5-2 zeigt eine derartige Lösung. Hier ist hervorzuheben, dass jeder Router gleichzeitig zu mehreren virtuellen Routern gehört. V IP = X , V M A C
D R
IP -A d r = X
M a s te r fü r V R 1 B a c k u p fü r V R 2 R
2
V R
R
= Y
V IP = Y , V M A C
= b
1
1
IP S u b n e tz
V R
= X
...
D R
= a
IP -A d r = Y
IP A u ß e n w e lt
2
M a s te r fü r V R 2 B a c k u p fü r V R 1
Abb. 9.5-2: Lastverteilung mit virtuellen Routern Abkürzungen wie in Abb. 9.5-1
Um die Lastverteilung zu erreichen, müssen die virtuellen Router VR1 und VR2 Aufgabe von entsprechend konfiguriert werden. R1 fungiert als Master für VR1 mit VIP = X Routern und als Backup-Router für VR2. R2 hingegen ist Master für VR2 mit VIP = Y und Backup-Router für VR1. Die einzelnen Rechner im IP-Subnetz müssen daher so konfiguriert werden, dass ein Teil von ihnen als Default Router (DR) die VIP = X eingetragen hat und der andere Teil die VIP = Y. Dies bedeutet, dass der Router R1 im Normalfall für alle Rechner mit dem Eintrag DR = X und der Router R2 für alle Rechner mit dem Eintrag DR = Y als Default Gateway fungiert. Dadurch erreicht man eine Lastverteilung. Da R2 als Backup-Router für VR1 dient, würde er bei einem Ausfall von R1 zu- Wie ergänzen sätzlich dessen Master-Aufgabe für VR1 übernehmen. Damit wäre R2 dann sich die Master-Router für die beiden virtuellen Router und dadurch Default Router für Router? alle Rechner im IP-Subnetz. Umgekehrt dient R1 als Backup-Router für VR2 und würde beim Ausfall von R2 ebenfalls dessen Master-Aufgabe für VR2 übernehmen. Damit wäre er dann Master-Router für die beiden virtuellen Router und gleichzeitig Default Router für alle Rechner im IP-Subnetz. Fällt einer der beiden Router R1 oder R2 aus, geht zwar der Vorteil der Lastverteilung verloren, aber das Netzwerk bleibt weiterhin funktionsfähig.
9.5.2 Funktionsweise von VRRP Ein VR-Protokoll ist das VRRP (Virtual Router Redundancy Protocol). Das VRRP in der VRRP wurde in RFC 3768 spezifiziert und sorgt dafür, dass mehrere Router als Schicht 4 virtueller Router eingesetzt werden können. Beim VRRP tauschen die Router
Routing in IP-Netzen
die sog. VRRP-Advertisements miteinander aus; im normalen Betrieb sendet diese lediglich der Master-Router. Sie werden direkt in den IP-Paketen transportiert, sodass das VRRP der Schicht 4 im Schichtenmodell zuzuordnen ist [Abb. 9.5-3]. Das VRRP unterstützt u.a. folgende Funktionen: Auswahl eines Master-Routers, Entdeckung eines Ausfalls des Master-Routers. Aufbau von VRRP-Advertisement Abbildung 9.5-3 zeigt den Aufbau von Advertisement. Hier ist folgendes hervorzuheben: VRRP-Router kommunizieren über die Multicast-Adresse 224.0.0.18 miteinander. TTL im IP-Header wird auf 255 gesetzt. Diese Maßnahme dient dazu, die aus fremden Netzwerken eingeschleusten IP-Pakete zu erkennen.
Das VRRP hat die Protokollnummer 112. IP -H e a d e r T T L = 2 5 5 P ro to k o ll-N r. = 1 1 2 Z ie l- I P - A d r . = 2 2 4 .0 .0 .1 8
0
V R R P -A d re rtis e m e n t V e rs io n T y p e A u th T y p e
7
1 5
3 1
...
Funktionen des VRRP
9
...
428
V R ID P rio rity C o u n t IP A d d rs A d v e r In t C h e c k su m IP -A d d re ss (1 ) IP -A d d re ss (n ) A u th e n tic a tio n D a ta (1 ) A u th e n tic a tio n D a ta (2 )
Abb. 9.5-3: Aufbau von VRRP-Advertisement Die Angaben in VRRP-Advertisement haben folgende Bedeutung: Version: Dieses Feld gibt die Version des VRRP an. Aktuell gilt die Version 2. Type: Typ des VRRP-Pakets; zurzeit ist nur Typ 1 (Advertisement) definiert. VRID (Virtual Router Identifier) als Identifikation des virtuellen Routers. Priority: Hier wird die Priorität des Routers definiert. Ein Router, dessen IP-Adresse mit der virtuellen IP-Adresse übereinstimmt, erhält die Priorität 255 und wird damit automatisch zum Master-Router. Die Priorität 0 in einem Advertisement signalisiert, dass der aktuelle Master-Router den Betrieb einstellt (z.B. beim Herunterfahren) und bewirkt, dass der Backup-Router mit der höchsten Priorität sofort die Master-Funktionen übernimmt. Count IP Addrs: Die Anzahl der IP-Adressen in VRRP-Advertisement. Auth Type (Authentification Type): Das VRRP sollte in verschiedenen Netzwerkumgebungen funktionieren, in denen auch unterschiedliche Sicherheitsrichtlinien gelten. Daher können beim VRRP verschiedene Methoden zur gegenseitigen Authentifizierung der Router zum Einsatz kommen. Hier wird die verwendete Authentifizierungsmethode angegeben.
9.5 Redundante Auslegung von Routern
429
Advert Int (Advertisement Interval): Hier wird angegeben, in welchen Zeitabständen die Advertisements verschickt werden. Standardmäßig ist 1s definiert. Checksum, um zu ermitteln, ob Advertisement korrekt übertragen wurde. IP Address(es): Eine oder mehrere IP-Adresse/n, die mit dem Virtuellen Router verknüpft ist/sind. Die Anzahl der Adressen wird im Feld Count IP Addrs angegeben. Authentication Data: Hier werden die Angaben zur Authentifizierung gemacht.
Auswahl des Master-Routers Bei der Entscheidung, welcher Router als Master fungiert, werden mehrere Faktoren und Parameter berücksichtigt, die zwischen Routern in Advertisement ausgetauscht werden. Zuerst wird überprüft, ob die virtuelle IP-Adresse (VIP) bereits von einem tatsächlichen Router-Port verwendet wird. Ist dies der Fall, wird die Priorität 255 diesem Router zugewiesen, wodurch er automatisch zum Master wird. Wird als VIP eine zusätzliche IP-Adresse verwendet, die keinem Router-Port zugeordnet ist, entscheidet die Priorität der einzelen Router, wer zum Master ausgewählt werden soll. Dabei gilt folgende Regel: Der Router mit der höchsten Priorität wird zum Master-Router ausgewählt. Haben zwei Router die gleiche Priorität, dann wird der Router mit der höheren IP-Adresse als Master-Router ausgewählt.
Entdeckung eines Ausfalls des Master-Routers Normalerweise sendet der Master-Router Advertisement in von vornherein festgelegten Intervallen, um den Backup-Routern zu signalisieren, dass er noch intakt ist. Solange Advertisement gesendet wird, bleiben die Backup-Router im Backup-Zustand. Fällt der Master-Router jedoch aus, empfangen die Backup-Router kein Advertisement mehr. In diesem Fall spricht man von Master-Down. Beim Ausfall des Master-Routers übernimmt der Backup Router mit der höchsten Priorität dessen Funktion. Standardmäßig geschieht dies nach 3 hintereinander ausbleibenden Advertisements. Jeder Master-Down-Fall wird von Backup-Routern mithilfe des sog. Master_Down_Timer erkannt, der den maximalen Wert von 3·Advertisement_Interval (3·AdvIn) erreichen kann. AdvIn ist das Intervall, mit dem der Master-Router Advertisement sendet (typisch AdvIn =1s). Hat ein Backup-Router innerhalb von 3·AdvIn kein Advertisement empfangen, geht er davon aus, dass der Master-Router ausgefallen ist und ein neuer Master-Router ausgewählt werden muss. Da der Backup-Router mit der höchsten Priorität am schnellsten den Ausfall des Master-Routers erkennen muss, wird hierfür das sog. Master_Down_Interval wie folgt definiert: Master_Down_Interval = 3·AdvIn + Skew_Time,
wobei:
Skew_Time = (256-Priority)/256, Priority = Priorität des Backup-Routers.
Der Backup-Router mit der höchsten Priorität entdeckt aufgrund von Skew_Time den Ausfall am schnellsten. Beispiel: Unerwarteter Ausfall des Master-Routers. In Abbildung 9.5-4 wurde angenommen, dass der Master-Router unerwartet ausgefallen ist. Wie viel Zeit brauchen nun die BackupRouter, um diesen Ausfall zu bemerken?
Priorität entscheidet
430
9
Routing in IP-Netzen
IP -A d r = X
D R
IP S u b n e tz
= X V IP = X , V M A C
IP -A d r = Y IP -A d r = Y
1
V R
= X
...
D R
R R R
= a
3
2
M a s te r P rio = 2 5 5 B a c k u p P rio = 2 0 0 B a c k u p P rio = 1 0 0
IP A u ß e n w e lt
A d v e rtis e m e n t_ In te rv a l = 1 S e k .
Abb. 9.5-4: Unerwarteter Ausfall des Master-Routers Abkürzungen wie in Abb. 9.5-1
Ist der Master-Router ausgefallen, haben die Backup-Router innerhalb der Zeitperiode 3·AdvIn kein Advertisement vom ihm empfangen. Jeder Backup-Router rechnet nun für sich Master_Down_Interval wie folgt aus: R2:
Skew_Time = (256 - 200)/256 = 56/256 s Master_Down_Interval = (3·1) + 56/256 = 3 + 56/256 = 3,21875 s
R3:
Skew_Time = (256 – 100)/256 = 156/256 s, Master_Down_Interval = (3·1) + 156/256 = 3+156/256 = 3,609375 s
In diesem Fall entdeckt R2 dank der höheren Priorität und der daraus resultierenden kürzeren Skew_Time den Ausfall des Master-Routers am schnellsten. Er geht in den Master-Zustand über und sendet Advertisement. Damit teilt er den restlichen Backup-Routern (in diesem Fall nur R3) mit, dass er jetzt die Rolle des Master-Routers übernommen hat. Sollte Advertisement vom R2 nicht rechtzeitig beim R3 (d.h. vor dem Ablauf seines Master_Down_Interval) eintreffen, würde R3 ebenfalls ein Advertisement senden. Falls zwei oder mehr Backup-Router gleichzeitig ein Advertisement senden, mit dem sie sich als neuer Master-Router melden, gewinnt der Router mit der höchsten Priorität. Im dargestellten Beispiel bleibt folglich R2 Master-Router und R3 wird wieder zum Backup-Router zurückgestuft.
9.5.3 Einsatz HSRP Besonderheiten des HSRP
Das HSRP (Hot Standby Routing Protocol) sorgt dafür, dass mehrere Router als virtueller Router (VR) eingesetzt werden können. Das HSRP wurde von der Firma Cisco entwickelt und ist in RFC 2281 spezifiziert. Ein Verbund von Routern, die einen VR bilden, bezeichnet man bei HSRP als Standby Group. Die Router aus einer Standby Group tauschen miteinander entsprechende HSRP-Nachrichten aus, sodass sie sich über ihre Zustände informieren und dadurch gegenseitig überwachen können. Normalerweise ist nur ein Router in einer Standby Group zu jedem Zeitpunkt aktiv, die anderen sind passiv. Der aktive Router (Active Router) fungiert als Master-Router und ist für die Weiterleitung von IP-Paketen verantwortlich, die an die VIP übergeben werden. Der aktive Router antwortet außerdem auf die ARP-Anfragen (Welche MAC-Adresse entspricht der VIP?). Als aktiver Router
9.5 Redundante Auslegung von Routern
431
fungiert der Router aus einer Standby Group, der die höchste Priorität hat. Die passiven Router nennt man Standby Router, sie dienen nur als Backup-Router. Alle Router einer Standby Group arbeiten so zusammen, dass sie für alle Rechner wie ein einziger verfügbarer Router erscheinen. Das HSRP definiert folgende drei Nachrichtentypen, die von jedem Router einer Standby Group gesendet werden können:
Nachrichten beim HSRP
Hello: Jeder intakte Router verschickt diese Nachricht, um anzuzeigen, dass er als aktiver bzw. als passiver Router fungieren kann. Hello enthält die Routerpriorität und die Information über den Routerzustand. Coup: Diese Nachricht wird von einem Standby-Router gesendet, wenn er die Funktion des
aktiven Routers übernimmt. Resign: Sie wird von einem Standby-Router gesendet, falls er die Funktion des aktiven Rou-
ters nicht wahrnehmen kann bzw. darf. Abbildung 9.5-5 illustriert, wie die HSRP-Nachrichten strukturiert werden.
H S R P -N a c h ric h t
IP -H e a d e r U D P -H e a d e r 0
T T L = 1 I P - Z ie l- A d r . = 2 2 4 .0 .0 .2 M u ltic a s t-A d r e s s e
V e rs io n H o ld tim e
Z ie l-P o rt-N r. = 1 9 8 5
HSRP in der Schicht 5
7
1 5
O p C o d e P rio rity A u th e n tic a tio n D A u th e n tic a tio n D V irtu a l IP A d d
S ta te G ro u p a ta (1 ) a ta (2 ) re ss
H e llo tim e R e se rv e d
3 1
Abb. 9.5-5: Aufbau von HSRP-Nachrichten Die Angaben in HSRP-Nachrichten haben folgende Bedeutung: Version: Dieses Feld enthält die HSRP-Version. Hier wird 0 angegeben. Op Code : Angabe des Nachrichtentyps wie folgt: 0: Hello, 1: Coup, 2: Resign State: Routerzustand, z.B.: 0: Initial, 8: Standby, 16: Active (Master-Router) Hellotime: Angabe, in welchen Zeitabständen ein Router Hello sendet. Holdtime: Hier wird die Gültigkeitsdauer der Hello-Nachricht angegeben. Priority als Priorität des Routers. Group: Diese Angabe dient als Identifikation des virtuellen Routers. Authentication Data: Dieses Feld enthält eine Zeichenfolge, die als Passwort dient. Virtual IP Address: Hier wird die virtuelle IP-Adresse (VIP) eingetragen.
In der Praxis ist es oft notwendig, z.B. für die Lastverteilung [Abb. 9.5-2], meh- Multigroup rere virtuelle Router in einem Netzwerk einzurichten. HSRP bietet die Mög- HSRP lichkeit, einen Router mehreren Standby Groups zuzuordnen, sodass er an mehreren virtuellen Routern „beteiligt“ ist. Man spricht in diesem Zusammenhang von MHSRP (Multigroup HSRP).
Redundante InternetAnbindung
9
Routing in IP-Netzen
Von großer Bedeutung ist eine hohe Verfügbarkeit der Internet-Anbindung. Man kann sie durch eine redundante Internet-Anbindung und eine Kombination der Funktionalität der Protokolle HSRP und BGP [Abschnitt 9.4] erreichen. Die folgenden Beispiele illustrieren dies. Beispiel 1: Abbildung 9.5-6 zeigt eine redundante Internet-Anbindung über zwei ISPs. Hier wird der gesamte Datenverkehr, d.h. der ausgehende und der ankommende, über den Master-Router R1 weitergeleitet. R2 dient nur als Backup-Router. Um den Datenverkehr vom Internet nur über R1 zu führen, muss der BGP-Pfad AS_PATH manipuliert werden. Dies erreicht man in einigen Routern (z.B. der Firma Cisco) mit dem Kommando as-path prepend, mit dem ein Pfad künstlich verlängert werden kann.
M a s te r-R o u te r R
IP N e tz 1 6 9 .2 .0 .0 /1 6
V IP = X V R 1
432
B a c k u p -R o u te r
1
R
A S 1 0 0 2
a n k o m m e n d e r D a te n v e rk e h r IS P 2 B G P A S 2 0 0 A S -P A T H 1 A S -P A T H 2
B G P
a s -p a th p re p e n d 1 0 0
IS P 3 A S 3 0 0 lo k a le IS P s
A S _ P A T H : 1 6 9 .2 .0 .0 /1 6
1 0 0
In te rn e t
IS P 1 A S 6 0 0 A S _ P A T H : 1 6 9 .2 .0 .0 /1 6
2 0 0
3 0 0
1 0 0 1 0 0
Abb. 9.5-6: Redundante Internet-Anbindung: ausgehender und ankommender Datenverkehr verläuft nur über den Master-Router AS: Autonomes System, R: Router, VIP: Virtuelle IP-Adresse, VR: Virtueller Router
Hier sieht der Router beim übergeordneten ISP1 (AS 600) den Pfad zum R2 im AS 100 mit der Länge von 3 Hops, d.h. 300, 100, 100. Dies ist die Folge der künstlichen Verlängerung des Pfads mit dem Kommando as-path prepend 100 im R2. Der Router beim ISP1 sieht aber die Route zum R1 im AS 100 mit der Länge von 2 Hops, d.h. 200, 100. Somit wird der Datenverkehr vom AS 600 (ISP1) und damit auch vom Internet über das AS 200 (ISP2) zum R1 im AS 100 geführt. Beispiel 2: Im vorherigen Beispiel hat R1 als einziger Router sowohl den ausgehenden als auch den ankommenden Datenverkehr weitergeleitet. Man kann R1, der im virtuellen Router aktiv ist, für den ankommenden Datenverkehr vom Internet „sperren“, und zwar mit dem Kommando aspath prepend 100 beim R1. Abbildung 9.5-7 illustriert eine derartige Lösung. Hier sieht der Router im AS 600 den BGP-Pfad zum R1 im AS 100 mit der Länge von 3 Hops, d.h. 200, 100, 100. Dies ist die Folge der künstlichen Verlängerung des Pfads mit dem Kommando as-path prepend 100 im R1. Der Router im AS 600 sieht den Pfad zum R2 im AS 100 mit der Länge nur von 2 Hops, d.h. 300, 100. Der Datenverkehr wird somit vom AS 600 (ISP1) über das AS 300 (ISP3) zum R2 im AS 100 geführt.
9.6 Mulitcast Routing-Protokolle
a s -p a th p re p e n d 1 0 0
M a s te r-R o u te r R V IP = X V R 1
IP N e tz 1 6 9 .2 .0 .0 /1 6
A S 1 0 0 R
B a c k u p -R o u te r
B G P 1
2
A S _ P A T H : 1 6 9 .2 .0 .0 /1 6 2 0 0 1 0 0 1 0 0
IS P 2 A S 2 0 0
A S -P A T H 1
433
IS P 1 A S 6 0 0
A S -P A T H 2
IS P 3 A S 3 0 0 B G P a n k o m m e n d e r D a te n v e rk e h r
In te rn e t
A S _ P A T H : 1 6 9 .2 .0 .0 /1 6 3 0 0 1 0 0
Abb. 9.5-7: Redundante Internet-Anbindung: ausgehender Datenverkehr verläuft über den Master-Router und ankommender Datenverkehr verläuft über den Backup-Router Abkürzungen wie in Abbildung 9.5-6
Bemerkung: Für die in den Abbildungen 9.5-6 und 9.5-7 dargestellte Führung des ankommenden Internet-Datenverkehrs muss auch der DNS-Server im AS 100 entsprechend konfiguriert werden.
9.6
Mulitcast Routing-Protokolle
Bei den Internet-Diensten, die auf dem Multicasting basieren, können die Bedeutung Rechner als Mitglieder einer Multicast-Gruppe (MC-Gruppe) auf mehrere IP- von IGMP Subnetze verteilt werden. Jeder Router muss daher wissen, welche Rechner zu und MLD welchen MC-Gruppen in den an ihn angeschlossenen Subnetzen gehören. Dies kann er mithilfe des IGMP (Internet Group Management Protocol) bei IPv4 bzw. MLD (Multicast Listener Discovery) bei IPv6 erfassen. Mit dem IGMP bzw. mit dem MLD kann sich ein Rechner dynamisch in eine MC-Gruppe einschreiben bzw. diese verlassen [Abschnitt 2.8.2]. Gehören die Rechner einer MC-Gruppe aber zu verschiedenen Subnetzen, müssen die Router auch multicastfähig sein; man spricht dann von Multicast-Routern (MC-Routern). Abbildung 9.6-1 bringt dies zum Ausdruck. a )
M C -Q u e lle
S e n d e r
b )
M C -Q u e lle A
C B
IP -N e tz E D M C - G r u p p e 2 2 4 .1 .1 .1 M C -R o u te r
G
H
F I
R e c h n e r d e r M C -G ru p p e
Abb. 9.6-1: MC-Gruppe: a) logische Sicht, b) physikalische Verteilung von Rechnern
J
434
9
Routing in IP-Netzen
Ziel von MC-Routing
Multicast-Routing (MC-Routing) ermöglicht die Weiterleitung von MC-IP-Paketen an Rechner, die zu einer auf mehrere IP-Subnetze verteilten MulticastGruppe gehören. Die MC-Router müssen sich somit untereinander koordinieren, um die MC-IP-Pakete für eine bestimmte MC-Gruppe von Rechnern als Empfänger von einer bzw. mehreren MC-Quelle(n) in einem IP-Netz zu verteilen. Wie eine solche Koordination zwischen mehreren MC-Routern verläuft, beschreibt ein Mulitcast-Routing-Protokoll (kurz MC-Routing-Protokoll).
Welche MC-RoutingProtokolle gibt es?
Folgende MC-Routing-Protokolle sind z.B. als Internet-Standards spezifiziert: DVMRP (Distance Vector Multicast Routing Protocol) [RFC 1075], MOSPF (Multicast OSPF) [RFC 1584], PIM (Protocol Independent Multicast) als: − PIM-SM (PIM– Sparse Mode) [RFC 4601], − PIM-DM (PIM– Dense Mode) [RFC 3973], CBT (Core Based Trees) [RFC 2189, RFC 2201], MSDP (Multicast Source Discovery Protocol) [RFC 3616] und BGMP (Border Gateway Multicast Protocol) [RFC 3913]. In der Praxis sind die MC-Routing-Protokolle PIM und MSDP von großer Bedeutung. Auf sie wird im Weiteren näher eingegangen.
9.6.1 Einige Aspekte von MC-Routing Wie bei Unicast-Routing unterscheidet man auch bei MC-Routing zwischen Intra-Domain-MC-Routing und Inter-Domain-MC-Routing.
R
R R
R IG M P b e i IP v 4 M L D b e i IP v 6
In tra -D o m a in -M C -R o u tin g
R
...
A S 1 4 0 R
...
A S 1 0 0 S u b n e tz
...
Abbildung 9.6-2 stellt diese beiden Arten von MC-Routing dar.
...
Arten von MC-Routing
A S 2 0 0
A S 1 8 0
In te r-D o m a in -M C -R o u tin g
R
M C -R o u te r
Abb. 9.6-2: Intra-Domain-MC-Routing versus Inter-Domain-MC-Routing
Als Intra-Domain-MC-Routing wird das MC-Routing innerhalb eines autonomen Systems verstanden [Abschnitt 9.1-4]. Hierfür eignen sich die Protokolle PIM-DM, PIM-SM, DVMM, CBT und MOSPF.
9.6 Mulitcast Routing-Protokolle
435
Als Inter-Domain-MC-Routing bezeichnet man das MC-Routing zwischen autonomen Systemen. Um dieses MC-Routing zu ermöglichen, wurden die Protokolle MSDP und BGMP entwickelt. Sind die Rechner als Mitglieder einer MC-Gruppe auf mehrere autonome Systeme verteilt, kann das PIM-SM im Verbund mit dem MSDP eingesetzt werden. Hierbei verwendet man das MSDP, um eine MC-Quelle über die Grenze eines autonomen Systems hinaus bekannt zu machen. Abbildung 9.6-2 zeigt auch, dass das IGMP und das MLD die Protokolle für die Kommunikation zwischen Rechnern und einem MC-Router innerhalb eines Subnetzes darstellen. Um das Internet vor der Überflutung durch MC-IP-Pakete zu schützen, darf nicht jede Quelle die MC-Daten weltweit versenden. Häufig muss die Reichweite von Multicast aus einer Quelle begrenzt werden. In diesem Zusammenhang spricht man von Scoping als Begrenzung der Reichweite von Multicast. Hierfür gibt es bei IPv4-Multicasting folgende zwei Ansätze: TTL Scoping und
Scoping als Begrenzung der MCReichweite
Administrative Scoping Beim TTL Scoping bestimmt der TTL-Wert im IP-Header [Abb. 2.2-1] die TTL Scoping Reichweite des MC-IP-Pakets. Abbildung 9.6-3a illustriert dies. Wurde beispielsweise ein MC-IP-Paket von einer Quelle mit TTL = 32 abgeschickt, kann es nur innerhalb eines Standorts (Site) versendet werden. Die MC-IPPakete z.B. mit TTL = 64 können nur innerhalb eines Kontinents (z.B. Westeuropa) verteilt werden. b )
a ) M C Q u e lle
S u b n e tz T T L = 1 T T L = 6 4
S ite
R e g io n
K o n tin e n t
T T L = 6 4
T T L = 4 2
M C -R o u te r T T L = 3 2
T T L = 2 5 5
T T L = 1
T T L = 3 2
T T L = 1 2 8 w e ltw e it (u n b e g r e n z t)
Abb. 9.6-3: Prinzip von TTL Scoping: a) MC-Reichweite und TTL im von der MC-Quelle abgeschickten IP-Paket, b) Behandlung des MC-IP-Pakets im MC-Router
Um die MC-Reichweite zu kontrollieren, müssen die MC-Router entsprechend konfiguriert werden. Hierfür wird jedem physikalischen Port ein TTL-Grenzwert zugeordnet (Abbildung 9.6-3b). Ein empfangenes MC-IP-Paket wird nur dann über einen Ausgangsport weitergeleitet, wenn der TTL-Wert in einem empfangenen MC-IP-Paket größer als der TTL-Grenzwert des Ports ist.
436 Administratives Scoping
9
Routing in IP-Netzen
Nach RFC 2365 sind die Adressen von 239.0.0.0 bis 239.255.255.255 für Scoping reserviert; man bezeichnet dies als administratives Scoping. Eine administrative Multicast-Zone beim IPv4 wird von einer Gruppe von Routern definiert, die eine Region innerhalb eines Netzwerks umfassen. Beispielsweise wird der Adressbereich 239.255.0.0/16 für den lokalen Bereich (Local Scope) bestimmt und der Adressbereich 239.192.0.0/14 für eine ganze Organisation (Organisation Local Scope). Hervorzuheben ist, dass es durch Scoping möglich ist, MC-Adressen in verschiedenen Bereichen mehrfach zu nutzen. Bemerkung: Die Reichweite von IPv6-Multicasting wird durch vier Scope-Bits in MC-IPv6-Adressen bestimmt [Abb. 6.10-1].
MC über nicht MCfähiges IP-Netz
Um das Multicasting zu unterstützen, müssen sowohl Rechner als auch Router MC-fähig sein. Entsprechend muss ihre Software erweitert werden. Daher sind nicht alle IP-Netze MC-fähig. Oft ist es nötig, mehrere MC-Inseln über ein nicht MC-fähiges IP-Netz zu vernetzen. In diesem Fall müssen die IP-Pakete mit MC-Ziel-IP-Adressen über ein nicht MC-fähiges IP-Netz übermittelt werden. Hierfür wird ein zusätzlicher IP-Header den zu übermittelnden MC-IPPaketen vorangestellt, sodass man auch von IP-in-IP-Encapsulation spricht. Abbildung 9.6-4 illustriert eine derartige Encapsulation. 1 9 2 .1 6 5 .2 3 .0 M C - G r u p p e 2 3 9 .1 .1 .0
M C -fä h ig e s IP -N e tz
A M C R o u te r
1 9 2 .1 6 5 .3 1 .0 N ic h t M C -fä h ig e s IP -N e tz
M C -IP -P a k e t P a y lo a d R T P U D P
D e s t. A d d r e s s = 2 3 9 .1 .1 .0 R e c h n e r e in e r M C -G ru p p e
IP
M C - G r u p p e 2 3 9 .1 .1 .0 B M C R o u te r M C -fä h ig e s IP -N e tz
IP P ro to c o l = 4 (IP ) D e s t. A d d r e s s = 1 9 2 .1 6 5 .3 1 .0 S o u r c e A d d r e s s = 1 9 2 .1 6 5 .2 3 .0
Abb. 9.6-4: Übermittlung der MC-IP-Pakete über ein nicht MC-fähiges IP-Netz
IP-in-IPTunneling
Der zusätzliche IP-Header, der dem MC-IP-Paket vorangestellt wird, gibt u.a. an, von welchem Quell-MC-Router das Paket abgeschickt wurde und zu welchem Ziel-MC-Router es übermittelt wird. Außerdem wird als Protocol = 4 angegeben [Tab. 2.2-1], dass ein IP-Paket direkt nach diesem IP-Header folgt. Die derartige Übermittlung eines MC-IP-Pakets könnte man so interpretieren, als ob das MC-IP-Paket in einem Tunnel übermittelt wäre. Daher spricht man auch von IP-in-IP-Tunnel bzw. von IP-in-IP-Tunneling.
9.6 Mulitcast Routing-Protokolle
437
Um Multicast über ein nicht MC-fähiges IP-Netz zu übermitteln, kann auch Einsatz Generic Routing Encapsulation (GRE) verwendet werden. Bei GRE wird dem des GREMC-IP-Paket zuerst ein GRE-Header und dann ein zusätzlicher IP-Header mit Header der Angabe Protocol Type = 47 vorangestellt. Damit wird im ersten IPHeader auf den GRE-Header hingewiesen. Im GRE-Header wird danach mit der Angabe Protocol Type = 2048 (Ethernet-Type) darauf verwiesen, dass ein MC-IP-Paket als GRE-Payload folgt. Da es sich bei Protocol Type im GRE-Header um die gleiche Angabe handelt, die im Feld Type von Ethernet-Frames eingetragen wird, kann das nicht-MC-fähige IP-Netz mit GRE aus der funktionellen Sicht als eine Nachbildung von Ethernet angesehen werden.
9.6.2 Aufgaben von MC-Routing Die Kernfunktion von Multicast-Routing (MC-Routing) ist die Verteilung von MC-IP-Paketen in einem Verbund mehrerer IP-Subnetze. Hierfür wird zuerst ein Baum von Verbindungen für jede MC-Gruppe erstellt, der alle MC-Router mit angeschlossenen MC-Rechnern als Mitglieder der MC-Gruppe erfasst. Einen solchen Baum bezeichnet man als MC-Verteilbaum (Multicast Distribution Tree) bzw. kurz Verteilbaum. Bei MC-Routing werden daher folgende zwei Hauptfunktionen realisiert: Erstellung und Verwaltung der Verteilbäume und Verteilung von MC-IP-Paketen, auch MC-Forwarding genannt. Arten der Verteilbäume In einer MC-Gruppe können mehrere Rechner als MC-Quellen fungieren. In diesem Fall kann ein Verteilbaum für jede MC-Quelle erstellt werden, also ein quellbasierter Verteilbaum (Source-Tree). Für alle MC-Quellen einer MCGruppe kann aber auch ein gemeinsamer Verteilbaum (Shared-Tree) erstellt werden. Abbildung 9.6-5 illustriert solche Verteilbäume für die MC-Gruppe aus Abbildung 9.6-1b. Im quellbasierten Verteilbaum stellt der designierte Router (kurz DR) im IP- QuellbasierSubnetz der MC-Quelle die Baumwurzel (Root) dar und die Äste im Verteil- ter Verteilbaum repräsentieren die Routenabschnitte zu den einzelnen MC-Routern, über baum die alle Mitglieder der MC-Gruppe erreicht werden können. Hier handelt es sich um die Wege mit minimalen Kosten zu den einzelnen MC-Routern. Um diese zu überprüfen, zeigt Abbildung 9.6-5a auch die Kosten einzelner Leitungen. Ein quellbasierter Verteilbaum ist daher ein Baum mit minimalen Gesamtkosten. Er ist auch ein Baum mit kürzesten Pfaden (Routen), d.h. ein Shortest Path Tree (SPT), der nach dem Algorithmus von Dijkstra ermittelt werden kann [Abb. 9.3-3].
438
9
Routing in IP-Netzen
a )
3 D G
1 1
H
M C -IP -P a k e te a n 2 2 4 .1 .1 .1 M C Q u e lle 1 9 2 .1 .1 .1 B
A 4 3 2
C E
3 F
4
6 I
3
IP -S u b n e tz
b )
IP -S u b n e tz
M C -IP -P a k e te a n 2 2 4 .1 .1 .1 M C Q u e lle 1 9 2 .1 .1 .1 B
J G
C E
D 2
Ü b e rg a b e d e r M C -IP -P a k e te a n d e n R P A
F
H
R P I
J
Abb. 9.6-5: Verteilbäume für die MC-Gruppe aus Abbildung 9.6-1b: a) quellbasierter Verteilbaum als Shortest Path Tree, b) gemeinsamer Verteilbaum RP: Rendezvous Point
Notation (S, G)
Gemeinsamer Verteilbaum
Für einen quellbasierten Verteilbaum wird die Notation (S, G) verwendet. Mit S bezeichnet man die MC-Quelle (Source) und mit G die MC-Gruppe. Der in Abbildung 9.6-5a gezeigte Verteilbaum kann kurz als (192.1.1.1, 224.1.1.1) bezeichnet werden. Für eine MC-Gruppe kann auch ein gemeinsamer Verteilbaum erstellt werden. Hierfür wird ein MC-Router als Baumwurzel ausgewählt, der Rendezvous Point (RP) genannt wird. Ein RP ist somit ein Zentrumsknoten innerhalb einer MC-Gruppe. Die Äste im Verteilbaum stellen die Routenabschnitte zu den einzelnen Routern dar, über die alle Mitglieder der MC-Gruppe erreicht werden können. Berücksichtigt man die Verbindungskosten, sollte der gemeinsame Verteilbaum möglichst minimale Gesamtkosten aufweisen.
IP-in-IPTunnel von MC-Quelle zum RP
Bei der Nutzung eines gemeinsamen Verteilbaums müssen die MC-IP-Pakete von der MC-Quelle zum RP transportiert werden; in der Regel werden sie als Payload in Unicast-IP-Paketen von der MC-Quelle direkt zum RP übermittelt. Hier handelt es sich deshalb um die in Abbildung 9.6-4 dargestellte IP-in-IPEncapsulation. Die Übermittlung der MC-IP-Pakete von der Quelle zum RP erfolgt somit in einem IP-in-IP-Tunnel.
Notation (*, G)
Für einen gemeinsamen Verteilbaum für die MC-Gruppe G wird die Notation (*,G) verwendet. Mit * verweist man darauf, dass der Verteilbaum für alle MCQuellen aus der MC-Gruppe G gilt. Der in Abbildung 9.6-5b gezeigte Verteilbaum kann kurz als (*, 224.1.1.1) bezeichnet werden. Bei MC-Routing wird angenommen, dass ein neues Mitglied zu jedem Zeitpunkt zu einer MC-Gruppe hinzukommen kann und dass ein Mitglied eine MC-Gruppe zu jedem Zeitpunkt verlassen kann. Dies führt dazu, dass die Verteilbäume ständig aktualisiert – also verwaltet – werden. Hierbei werden die Begriffe Pruning und Grafting verwendet.
9.6 Mulitcast Routing-Protokolle
439
Wenn ein bzw. mehrere Mitglied(er) eine MC-Gruppe verlassen hat (haben), Pruning kann der Fall auftreten, dass die MC-IP-Pakete nicht mehr zu einem bestimmten MC-Router gesendet werden müssen. Ist dieser MC-Router ein Blatt im Verteilbaum, kann der Ast im Baum zu diesem Blatt „abgeschnitten“ werden. Man spricht in diesem Fall von Pruning. Wenn ein bzw. mehrere Mitglied(er) zu einer MC-Gruppe zukommt(en), kann Grafting dies dazu führen, dass die MC-IP-Pakete zu einem neuen MC-Router gesendet werden müssen. Hierfür muss der Verteilbaum entsprechend erweitert werden. Man spricht in diesem Fall von Grafting. Daher kann Grafting als Gegenteil von Pruning angesehen werden. Multicast Forwarding Um MC-IP-Pakete an Rechner einer MC-Gruppe zu verteilen, wird das Prinzip RPF (Reverse Path Forwarding) verwendet. Abbildung 9.6-6 illustriert dieses Prinzip. Hier hat der MC-Router ein MC-IP-Paket von der MC-Quelle S mit der IP-Adresse 151.1.2.14 empfangen und muss es weiterleiten. R o u tin g N e tz w e 1 5 1 .1 .0 1 9 8 .4 .1 2 0 2 .1 .1 2 0 2 .1 .2 a )
-T rk .0 .0 .0 .0
a b e lle z ie l P o rt P 1 /1 6 P 0 /2 4 P 2 /2 4 P 3 /2 4 D a s d e m fa ls c
Q -IP -A d r. = 1 5 1 .1 .2 .1 4 P ru n e (S , G )
P
P 0
1
M C R o u te r P P 3
P a k e t w u rd e a u f h e n P o r t e m p fa n g e n .
2
R o u tin g N e tz w e 1 5 1 .1 .0 1 9 8 .4 .1 2 0 2 .1 .1 2 0 2 .1 .2 b )
-T rk .0 .0 .0 .0
a b e lle z ie l P o rt P 1 /1 6 P 0 /2 4 P 2 /2 4 P 3 /2 4 D a s P a k e t d e m r ic h tig e n P
Q -IP -A d r. = 1 5 1 .1 .2 .1 4 P 0
P 1
M C R o u te r P P 3 2
w u rd e a u f o r t e m p fa n g e n .
Abb. 9.6-6: Multicast Forwarding nach dem RPF-Prinzip Q-IP-Adr: Quell-IP-Adresse
Das RPF-Prinzip besteht darin, dass der MC-Router sich die MC-Quelle S und RPF-Prinzip den physikalischen Port (Interface) merkt, über den ein MC-IP-Paket an die MC-Gruppe G empfangen wurde. Die Regel für Multicast Forwarding (MCForwarding) von der MC-Quelle S an die MC-Gruppe G – in Anlehnung an das Protokoll PIM-SM – lautet wie folgt: Gehört der physikalische Port, über den ein MC-IP-Paket an die MC-Gruppe G empfangen wurde, zur optimalen Route (zum kürzesten Pfad) zur MC-Quelle S, wird dieses MC-IP-Paket über alle anderen Ports weitergeleitet, auf denen vorher keine Nachricht Prune(S, G) empfangen wurde. Gehört der Port aber nicht zur optimalen Route zur MC-Quelle S, wird das empfangene MC-IP-Paket nicht weitergeleitet, sondern eine Nachricht Prune(S, G) über diesen Port an den Upstream-Router gesendet, sodass er an
440
9
Routing in IP-Netzen
diesen Port zukünftig keine weiteren MC-IP-Pakete an die MC-Gruppe G sendet. Bei der Weiterleitung wird hierbei auch auf Scoping geachtet [Abb. 9.6-3] . Mit einer Nachricht Prune(S, G) teilt ein MC-Router seinem benachbarten MC-Router mit, dass dieser an ihn keine von der Quelle S an die Gruppe G adressierten MC-IP-Pakete senden soll. Vorteil und Nachteil von RPF
Der Vorteil von RPF ist, dass keine speziellen MC-Routing-Tabellen außer herkömmlichen Routing-Tabellen in MC-Routern erforderlich sind. Der Nachteil von RPF besteht darin, dass die Weiterleitung von MC-IP-Paketen nicht zielorientiert ist und dass ein Empfänger dasselbe MC-IP-Paket mehrfach erhalten kann. Aufbau und Nutzung des quellbasierten Verteilbaums Durch das Versenden von Prune-Nachrichten beim MC-Forwarding nach RPF kann ein quellbasierter Verteilbaum aufgebaut werden. Abbildung 9.6-7a illustriert dies in Anlehnung an das Protokoll PIM-SM. a )
2
M C Q u e lle S
4
D
G P : P ru n e (S , G )
2
B 3
P E P
P
5 5
I
P
F 4
B 3
4
4 P J G
D
Q u e ll-D R 2
2
3
4 4
A 1
M C Q u e lle S C
3
4 H
b )
Q u e ll-D R A
1
C 3 E 4
4 H
3
I
F J
Abb. 9.6-7: Quellbasierter Verteilbaum: a) Aufbau, b) Nutzung
Aufbau des Verteilbaums der Quelle S
Sperre: E F
Beim MC-Forwarding sind in Abbildung 9.6-7a folgende Schritte zu unterscheiden: 1.
Die MC-Quelle S sendet in ihrem lokalen IP-Subnetz ein MC-IP-Paket. Der Router A, der als designierter Router (DR) fungiert, empfängt dieses IP-Paket.
2.
Der Router A als Quell-DR leitet das empfangene MC-IP-Paket über alle anderen Ports weiter und die Router B und C empfangen dieses MC-IP-Paket.
3.
Die Router B und C senden das MC-IP-Paket nach dem RPF-Prinzip weiter. In diesem Schritt empfangen die Router D, E und F das MC-IP-Paket.
4.
Der Router D leitet das MC-IP-Paket nach dem RPF-Prinzip weiter und jetzt empfangen die Router G und H dieses Paket. In diesem Schritt leitet auch der Router E das MC-IP-Paket über den anderen Port zum Router F weiter. Der Router F stellt fest, dass sein Port in der Richtung zu E nicht auf der optimalen (kürzesten) Route zur MC-Quelle S liegt. Deswegen wird das von E empfangene MC-IP-Paket nicht weitergeleitet, sondern verworfen. Der Router F sendet daraufhin die
441
9.6 Mulitcast Routing-Protokolle Nachricht Prune(S, G) über diesen Port an den Router E, um ihm mitzuteilen, dass er an diesen Port zukünftig keine weiteren von der Quelle S an die Gruppe G adressierten MC-IPPakete senden soll. Dies soll dazu führen, dass die Leitung in Richtung von E zu F für Forwarding der MC-IP-Pakete von der Quelle S an die Gruppe G gesperrt wird.
5.
Ebenfalls in diesem Schritt leitet der Router F das empfangene MC-IP-Paket nach dem RPF-Prinzip weiter. U.a. empfängt der Router E dieses Paket und er stellt fest, dass sein Port in der Richtung zu F nicht auf der kürzesten Route zur Quelle S liegt. Daher wird das von F empfangene MC-IP-Paket nicht weitergeleitet, sondern verworfen. Der Router E sendet danach über diesen Port die Nachricht Prune(S, G) an den Router F, um ihm mitzuteilen, dass er an diesen Port zukünftig keine weiteren von der Quelle S an die Gruppe G adressierten MC-IP-Pakete sendet. Daher wird die Leitung auch in Richtung von F zu E für die MC-IP-Pakete von der Quelle S an die Gruppe G gesperrt. Somit ist jetzt die Leitung zwischen E und F in beide Richtungen gesperrt.
Sperre: E⊥F
Der Router H leitet das empfangene MC-IP-Paket nach dem RPF-Prinzip weiter. Der Router I empfängt dieses Paket und stellt fest, dass sein Port in Richtung H nicht auf der kürzesten Route zur Quelle S liegt. Daher wird das vom Router I empfangene MC-IP-Paket nicht weitergeleitet, sondern verworfen. Der Router I sendet die Nachricht Prune (S, G) an den Router H, sodass er zukünftig an ihn keine an die Gruppe G adressierten MC-IP-Pakete sendet. Daher wird die Leitung in Richtung von H zu I gesperrt.
Sperre: H I
In diesem Schritt leitet ebenfalls der Router I das MC-IP-Paket nach dem RPF-Prinzip weiter. Der Router H empfängt dieses Paket und stellt fest, dass sein Port in der Richtung zu I nicht auf der kürzesten Route zur Quelle S liegt. Der Router H sendet die Nachricht Prune(S, G) an den Router I, sodass er zukünftig an ihn keine von der Quelle S an die Gruppe G adressierten MC-IP-Pakete sendet. Daher wird die Leitung in Richtung von I zu H gesperrt. Die Leitung zwischen I und H ist nun in beide Richtungen gesperrt.
Sperre: H⊥I
Schließt man in der in Abbildung 9.6-7a dargestellten Vernetzung die in den Schritten 4 und 5 gesperrten Leitungen, d.h. zwischen den Routern E und F sowie zwischen H und I, aus, entsteht die in Abbildung 9.6-7b gezeigte Baumstruktur. Sie stellt den optimalen Verteilbaum für die MC-Quelle S dar. Eine Besonderheit des quellbasierten Verteilbaums besteht darin, dass die Wege von der MC-Quelle zu den einzelnen MC-Routern die kürzesten sind. Daher empfängt jeder Router die MC-Pakete von seinem Upstream-Router nur auf dem Port, der auf der kürzesten (optimalen) Route zur MC-Quelle liegt. Dies bedeutet, dass jeder Router die empfangenen MC-Pakete nur auf die anderen Ports weiterleitet, die zu dem quellbasierten Verteilbaum gehören. Abbildung 9.6-7b veranschaulicht das MC-Forwarding im quellbasierten Ver- Nutzung des quellbasierteilbaum, dessen Aufbau in Abbildung 9.6-7a gezeigt wurde. Das Forwarding eines MC-IP-Pakets verläuft hier in folgenden Schritten: 1.
Die MC-Quelle S sendet in ihrem lokalen IP-Subnetz ein MC-IP-Paket. Dieses IP-Paket wird vom MC-Router A empfangen, der als designierter Router (DR) in diesem IP-Subnetz dient.
2.
Der Router A leitet das empfangene MC-IP-Paket nach dem RPF-Prinzip weiter und die Router B und C empfangen dieses Paket.
3.
Die Router B und C senden das MC-IP-Paket nach dem RPF-Prinzip weiter und in diesem Schritt empfangen die Router D, E und F dieses Paket.
ten Verteilbaums
442
9
Routing in IP-Netzen
4. Die Router D und F senden das MC-IP-Paket nach dem RPF-Prinzip weiter und die Router G, H und I empfangen dieses Paket.
In diesen vier Schritten wurde das MC-IP-Paket an alle MC-Router verteilt, über die sämtliche Mitglieder der MC-Gruppe erreicht werden können. Diese MC-Router dienen als designierte Router und versenden dann das empfangene MC-IP-Paket in ihren lokalen IP-Subnetzen weiter.
9.6.3 Intra-Domain-MC-Routing mit PIM-SM PIM-SM (Protocol Independent Multicast – Sparse Mode) gilt heute als das wichtigste MC-Routing-Protokoll [RFC 4601]. Die Verteilung der MC-IPPakete erfolgt beim PIM-SM nach dem in Abschnitt 9.6.2 dargestellten RPFPrinzip. Beim PIM-SM werden die MC-IP-Pakete zuerst nach dem für alle MC-Quellen gemeinsamen Verteilbaum verteilt, sodass sie von einem MCQuellrouter an einen gemeinsamen Quellverteilrouter (sog. Rendezvous Point) übergeben werden müssen. Da die Verteilung der MC-IP-Pakete nach dem quellbasierten Verteilbaum, in dem der MC-Quellrouter die Wurzel des Verteilbaums darstellt, in der Regel effektiver verläuft, wird im Verlauf des PIMSM auf die Nutzung des quellbasierten Verteilbaums umgeschaltet. PIM-SM kann bei den beiden Internet-Protokollen IPv4 und IPv6 eingesetzt werden. Besonderheiten der MC-Forwarding Beim PIM-SM wird vorausgesetzt, dass die Mitglieder einer MC-Gruppe innerhalb eines autonomen Systems verteilt sind. Daher ist das PIM-SM ein Inter-Domain-Routing-Protokoll. Mit Protocol Independent (PI) wird darauf hingewiesen, dass das PIM-SM vom „normalen“ Routing-Protokoll unabhängig ist. Daher kann das PIM-SM (theoretisch) bei allen Routing-Protokollen – also sowohl beim RIP als auch bei OSPF – eingesetzt werden. Mit Sparse Mode (SM) wird zum Ausdruck gebracht, dass das PIM-SM sich insbesondere für jene Fälle eignet, wo die Mitglieder einer MC-Gruppe „dünn“ auf mehrere IPSubnetze verteilt sind. Phasen beim Verlauf des PIM-SM
Beim Verlauf von PIM-SM unterscheidet man drei Phasen: 1. Nutzung des gemeinsamen MC-Verteilbaums Für die MC-Unterstützung muss in jedem IP-Subnetz ein designierter Router (DR) ausgewählt werden, der für das Management von MC-Gruppen zuständig ist. Die Kommunikation zwischen DR und Rechnern aus dem IPSubnetz, das an einem physikalischen Port von DR angeschlossen ist, erfolgt nach dem Protokoll IGMP (Internet Group Management Protocol). Beim PIM-SM beginnt der DR im IP-Subnetz der MC-Quelle – also der Quell-DR – zuerst die MC-IP-Pakete über den gemeinsamen Verteilbaum
9.6 Mulitcast Routing-Protokolle
zu versenden. Dieser Verteilbaum wird auch RP-Baum, kurz RPT (Rendezvous Point Tree), genannt. Bevor ein Quell-DR aber mit dem MC-Versenden über den RPT beginnt, muss er beim Router, der als Rendezvous Point (RP) dient, registriert werden. Der RP stellt die Wurzel des RPT dar [Abb. 9.6-5b] und verteilt die MC-IP-Pakete über ihn. Der Quell-DR muss daher die MC-IP-Pakete an den RP übergeben. Hierfür verwendet er die Nachricht Register. In einer Nachricht Register wird jeweils ein MC-IPPaket transportiert [Abb. 9.6-12]. Die Übergabe der MC-IP-Pakete an den RP in den Nachrichten Register wird als Register-Phase bezeichnet. 2. Übergang zur Nutzung des quellbasierten MC-Verteilbaums Die Nutzung des RPT kann dazu führen, dass die MC-Verteilung einer bestimmten MC-Quelle nicht optimal verläuft. Da nur der Verteilbaum der MC-Quelle den optimalen Verlauf der Verteilung ihrer MC-IP-Pakete garantiert, wurde das PIM-SM so konzipiert, dass während der MC-Verteilung schrittweise zur Nutzung des quellbasierten MC-Verteilbaums übergegangen wird. Diese Übergangsphase nennt man Register-Stop. 3. Nutzung des quellbasierten MC-Verteilbaums Nach der Durchführung der Phase Register-Stop erfolgt die Verteilung der MC-IP-Pakete einer bestimmten MC-Quelle nach ihrem Verteilbaum. Nutzung des gemeinsamen Verteilbaums Abbildung 9.6-8 illustriert die ersten drei Schritte beim MC-Forwarding an die Gruppe G und bei der Nutzung des gemeinsamen Verteilbaums (*, G) mit dem RP als Baumwurzel. Der Router E dient hier als RP.
M C Q u e lle S
A 1 2
M C -G ru p p e G B
3 F I
M C -IP -P a k e t R e g is te r (S , G )
2
R P H
1
C E
D G
3
Q u e ll-D R
P ru n e (* , G )
M C -D a te n n a c h (* , G )
Abb. 9.6-8: Nutzung des gemeinsamen MC-Verteilbaums (*, G) Die in Abbildung 9.6-8 dargestellten Schritte sind wie folgt zu interpretieren: 1.
Die MC-Quelle S beginnt, die MC-IP-Pakete an die MC-Gruppe G zu senden. Diese Pakete empfängt der designierte Router A. Da die Mitglieder der Gruppe G auf mehrere Subnetze verteilt sind, übernimmt er die MC-Verteilung und dient daher als Quell-DR.
443
444
Sperre: B A
9
Routing in IP-Netzen
2.
Der Quell-DR übergibt zuerst die MC-IP-Pakete zur Verteilung an den RP (Router E). Hierfür kapselt er jeweils ein MC-IP-Paket in eine Nachricht Register ein und sendet diese Nachrichten an den RP. Dieser nimmt die MC-IP-Pakete aus den Nachrichten Register heraus und verteilt sie nach dem RPF-Prinzip im gemeinsamen Baum(*, G).
3.
Das erste MC-IP-Paket an die Gruppe G, das vom RP verteilt wurde, empfängt auch der Quell-DR A vom Router B. Er stellt aber fest, dass sein Port zu B nicht auf der kürzesten Route zur Quelle S liegt. Daher wird dieses Paket vom Quell-DR A verworfen und er sendet die Nachricht Prune(*, G) an den Router B. Damit signalisiert er dem Router B, dass er ihm zukünftig keine an die Gruppe G adressierten MC-IP-Pakete von der Quelle S mehr senden soll. Dadurch wird die Leitung in der Richtung von B zu A für die Übermittlung weiterer MC-IP-Pakete von der Quelle S an die Gruppe G – also für die Verteilung vom RP im gemeinsamen Verteilbaum – gesperrt.
Übergang zur Nutzung des quellbasierten Verteilbaums Die ersten drei Schritte beim MC-Forwarding an die Gruppe G wurden bereits in Abbildung 9.6-8 dargestellt. Abbildung 9.6-9 zeigt die Schritte 4 und 5. M C
M C -Q u e lle S
4
M C -IP -P a k e te a n R P in N a c h r ic h te n R e g is te r 4 5
A
C B
J o in (S , G )
D
R e g is te r-S to p
G
Q u e ll-D R 5
H
4
E R P
M C -IP -P a k e te a n R P h o p -b y -h o p M C -D a te n n a c h (* , G )
I
F J
Abb. 9.6-9: Schritte beim Übergang zur Nutzung des Verteilbaums der MC-Quelle S
RP schließt sich an den Verteilbaum (S, G) an
4.
Die Übermittlung der MC-IP-Pakete vom Quell-DR A an den RP in den Nachrichten Register und die weitere MC-Verteilung nach dem gemeinsamen Verteilbaum (*, G)ist uneffektiv. Daher initiiert der RP den Übergang zur Nutzung des quellbasierten Verteilbaums (S, G), d.h. des Verteilbaums vom Quell-DR A. Hierfür sendet der RP die Nachricht Join(S, G) an den Quell-DR A. Damit möchte sich der RP an den quellbasierten Verteilbaum (S, G) als Mitglied der Gruppe G anschließen. Join(S, G) wird nach dem Hop-by-Hop-Prinzip entlang der besten Route an den QuellDR A übermittelt und veranlasst unterwegs die Router, die Join(S, G) empfangen haben (in Abbildung 9.6-9 die Router B und A) dazu, auf die Nutzung des quellbasierten Verteilbaum (S, G)umzuschalten. Hat Join(S, G) den Quell-DR A erreicht, werden ab jetzt die MC-IP-Pakete von der Quelle S an die Gruppe G zwischen dem Quell-DR A und dem RP nach dem Hop-by-Hop-Prinzip über den quellbasierten Verteilbaum(S, G) übermittelt.
Daher können nun die von der Quelle S an die Gruppe G adressierten MC-IP-Pakete den RP über zwei verschiedene Wege erreichen, d.h. sowohl in Nachrichten Register nach dem Tunneling-Prinzip als auch nach dem Hop-by-Hop-Prinzip über den quellbasierten Verteilbaum(S, G). Daher wird der RP zwei Kopien eines MC-IP-Pakets empfangen.
9.6 Mulitcast Routing-Protokolle 5.
Empfängt der RP zwei Kopien eines MC-IP-Pakets, verwirft er die Kopie, die in der Nachricht Register angekommen ist und sendet an den Quell-DR A die Nachricht RegisterStop. Damit signalisiert der RP dem Quell-DR A, dass er die Übermittlung von Nachrichten Register ab jetzt stoppen soll.
445 Nachricht RegisterStop
Nach dem Schritt 5 werden die von der Quelle S an die Gruppe G adressierten MC-IP-Pakete an den RP über den quellbasierten Verteilbaum (S, G) übermittelt und von dort nach dem gemeinsamen Verteilbaum (*, G) verteilt. Der Quell-DR A muss sicher sein, dass die von der Quelle S an die Gruppe G Bedeutung adressierten und nach dem quellbasierten Verteilbaum (S, G) an den RP ge- von Nullsendeten MC-IP-Pakete beim ihm korrekt ankommen. Daher sendet der Quell- Register DR in bestimmten Zeitabständen eine sog. Null-Register-Nachricht an den RP, um Bestätigung zu erhalten, dass die von der Quelle S an die Gruppe G adressierten MC-IP-Pakete bei ihm korrekt ankommen. Ist dies der Fall, wird Null-Register vom RP mit Register-Stop bestätigt. Empfängt der QuellDR vom RP innerhalb einer festgelegten Zeit jedoch keine Nachricht Register-Stop, beginnt der Quell-DR wieder, die MC-IP-Pakete an den RP in den Nachrichten Register zu übermitteln. Aufnahme eines neuen MC-Routers Während des Übergangs zur Nutzung des Verteilbaums (S, G) kann ein neuer MC-Router in eine bereits bestehenden MC-Gruppe aufgenommen werden. Abbildung 9.6-10 illustriert dies. M C -Q u e lle S
M C
M C -IP -P a k e te n a c h d e m V e rte ilb a u m (* , G )
A
Q u e ll-D R 6 C
B
M C -IP -P a k e te n a c h d e m V e rte ilb a u m (S , G )
E R P
G
D H
J o in (S , G ) 6
J o in (S , G )
F I
6 J o in (S , G ) J
Abb. 9.6-10: Anbindung eines neuen MC-Routers während des Übergangs zur Nutzung des Verteilbaums (S, G) Nach dem in Abbildung 9.6-9 gezeigten Schritt 5 verläuft Schritt 6 [Abb. 9.6-10] wie folgt: 6.
Im lokalen IP-Subnetz vom Router J wurde ein neues Mitglied der MC-Gruppe G mithilfe des Protokolls IGMP registriert. Um die von der Quelle S an die Gruppe G adressierten MC-IP-Pakete an dieses neue Mitglied zu liefern, muss der Router J sich an den Verteilbaum(S, G) anschließen. Hierfür sendet er die Nachricht Join(S, G) an den Quell-DR. Diese Nachricht wird über den Verteilbaum(S, G)übermittelt.
446
9
Routing in IP-Netzen
In Abbildung 9.6-10 empfängt der Router B zwei Kopien des von der Quelle S an die Gruppe G adressierten MC-IP-Pakets, d.h. eine Kopie vom Router A (über den quellbasierten Verteilbaum(S, G)) und eine Kopie vom Router E, d.h. vom RP, über den gemeinsamen Verteilbaum (*, G). In dieser Situation werden die von der Quelle S an die Gruppe G adressierten MC-IP-Pakete vom Router B zum Router E, also an den RP, übermittelt, um diese erst von dort an die Router G und H zu verteilen. Es wäre aber effektiver, wenn der Router B diese MC-IP-Pakete selbst über den Router D an die Router G und H verteilen würde. Dies kann durch Pruning erreicht werden. Pruning beim PIM-SM Ein MC-Router, der zwei Kopien jedes von der Quelle S an die Gruppe G adressierten MC-IP-Pakets empfängt, d.h. eine Kopie vom Quell-DR nach dem quellbasierten Verteilbaum(S, G) und eine Kopie vom RP nach dem gemeinsamen Verteilbaum(*, G), kann mit einer Nachricht Prune(S, G, rtp) seinem Upstream-Router im gemeinsamen Verteilbaum(*, G) mitteilen, dass dieser ihm keine MC-IP-Pakete mehr senden soll. Abbildung 9.6-11 illustriert, wie dies erfolgen kann. Man spricht hierbei von Pruning. M C -Q u e lle S
M C
M C -IP -P a k e te n a c h d e m V e rte ilb a u m (* , G )
7
P ru n e (S , G , rp t)
D G
H
Q u e ll-D R
C B
M C -IP -P a k e te n a c h d e m V e rte ilb a u m (S , G ) 7
A
E R P
7
7 F
I
J
Abb. 9.6-11: Pruning beim Übergang zur Nutzung des Verteilbaums (S, G) rpt: RP tree (gemeinsamer Verteilbaum)
Nach dem Schritt 6 [Abb. 9.6-10] verläuft der Schritt 7 in Abbildung 9.6-11 folgendermaßen:
Sperre: E B, E F und F C
7.
Der Router B empfängt zwei Kopien jedes von der Quelle S an die Gruppe G adressierten MC-IP-Pakets, d.h. eine Kopie vom Quell-DR A über den quellbasierten Verteilbaum (S, G) und eine Kopie vom RP über den gemeinsamen Verteilbaum(*, G). Mit der Nachricht Prune(S, G, rtp) teilt der Router B seinem Upstream-Router E im gemeinsamen Verteilbaum (*, G) mit, dass dieser ihm keine von der Quelle S an die Gruppe G adressierten MC-IP-Pakete mehr senden soll. Daher wird die Leitung in der Richtung von E zu B für diese MC-IP-Pakete gesperrt. Logisch gesehen wird der Ast von E zu B im gemeinsamen Verteilbaum (*, G) abgeschnitten. Die Router F und C empfangen ebenfalls zwei Kopien jedes von der Quelle S an die Gruppe adressierten MC-IP-Pakets. Mit Nachrichten Prune(S, G, rtp) teilen sie ihren
G
9.6 Mulitcast Routing-Protokolle Upstream-Routern mit, d.h. der Router F teilt dem Router E und der Router C dem Router F mit, dass sie ihnen keine von der Quelle S an die Gruppe G adressierten MC-IP-Pakete mehr senden sollen. Daher werden die Äste von E zu F und von F zu C im gemeinsamen Verteilbaum (*, G) abgeschnitten. Da die Äste von F zu I und von F zu J sowohl zum gemeinsamen als auch zum quellbasierten Verteilbaum gehören, leitet der Router F nach dem Schritt 7 die vom Router C empfangenen und an die Gruppe G adressierten MC-IP-Pakete an die Router I und J weiter.
Mit dem in Abbildung 9.6-11 gezeigten Schritt 7 wurde der Übergang zur Nutzung des quellbasierten Verteilbaums beendet. Wie das MC-Forwarding der von der Quelle S an die Gruppe G adressierten MC-IP-Pakete entlang der Äste des quellbasierten Verteilbaums (S, G) verläuft, zeigt Abbildung 9.6-7b. Struktur von PIM-Nachrichten Wie Abbildung 9.6-12 zeigt, enthält eine PIM-Nachricht einen PIM-Header, in dem PIM-Version, Type und Checksum enthalten sind. Checksum ermöglicht es, die Übertragungsfehler in der PIM-Nachricht zu entdecken. Im Feld Type wird die Bedeutung der Nachricht angegeben; z.B. besagt Type = 1, dass es sich um die Nachricht Register handelt. a )
P ro to c o P T C
IP
P IM
l = IM y p h e e
1 0 3 (P IM ) V e rs io n c k su m
In h a lt d e r P IM -N a c h r ic h t
b ) 1
B N
2
In h a lt d e r N a c h ric h t R e g i s t e r re s e rv ie rt
3 2
M C -IP -P a k e t
P IM -H e a d e r Abb. 9.6-12: PIM-Nachricht: a) Struktur, b) Inhalt der Nachricht Register Die Nachricht Register enthält das vollständige MC-IP-Paket. Die Bits B und N haben hier folgende Bedeutung: Bit B (Border Bit): B = 1, falls der Quell-DR der Border-Router einer PIM-Domain ist. Bit N (Null-Register Bit): N = 1, falls die Register-Nachricht eine sog. Null-RegisterNachricht darstellt, d.h. eine Nachricht Register mit einem MC-IP-Paket ohne Daten. Der Quell-DR sendet Null-Register an den RP, nachdem er bereits von ihm Register-Stop empfangen hat und selbst zur Nutzung des quellbasierten Verteilbaums übergegangen ist, um zu prüfen, ob der RP seine MC-IP-Pakete empfängt.
9.6.4 Inter-Domain-MC-Routing mit MSDP Eine Besonderheit der IP-Netze ist, dass sie aus mehreren autonomen Systemen (AS) bestehen, die miteinander und mit dem Internet entsprechend verbunden sind. Das MC-Routing in einem AS verläuft nach dem PIM-SM, daher wird ein
447
448
9
Routing in IP-Netzen
AS mit PIM-SM als PIM-Domain bezeichnet. Es ist ein zusätzliches Protokoll nötig, um MC-Quellen über die Grenzen von PIM-SM-Domains hinaus bekannt zu machen und damit die MC-Dienste im Verbund von mehreren Domains anbieten zu können. Hierfür wurde MSDP (Multicast Source Discovery Protocol) konzipiert [RFCs 3618 und 4611]. Grundkonzept von MSDP MSDP als Ergänzung zum PIM-SM
Das MSDP ist ein Protokoll, um mehrere PIM-Domains miteinander so zu verbinden, dass eine MC-Quelle aus einer PIM-Domain in anderen Domains bekannt gemacht werden kann und die MC-IP-Pakete aus dieser Quelle an die Empfänger in anderen Domains verteilt werden können. Der Funktion nach kann das MSDP als eine Ergänzung zum PIM-SM angesehen werden. Mithilfe des MSDP kann das PIM-SM über die Grenze eines autonomen Systems hinaus benutzt werden. In jeder PIM-Domain ist ein Rendezvous Point (RP) vorhanden, über den die MC-Verteilung in der Domain initiiert wird. Das MSDP ist das Protokoll zwischen zwei RPs, die in der Regel zu verschiedenen autonomen Systemen gehören. Abbildung 9.6-13 illustriert die Hauptaufgabe des MSDP. Hier sind die Rechner aus der MC-Gruppe G auf mehrere autonome Systeme verteilt.
A S 1
S A
R P
S A M C -Q u e lle S is t a k tiv g e w o rd e n S
D R R e g is te r
S A R P
S A
A S 3
R P
A S 2
R P
A S 4
S A
S A R P
A S 5
R e c h n e r d e r M C -G ru p p e G
Abb. 9.6-13: Bekanntmachung einer MC-Quelle in anderen autonomen Systemen mit MSDP AS: Autonomes System, DR: Designierter Router, RP: Rendezvous Point, SA: Source-Active
MSDP nutzt TCP
Das MSDP nutzt das Transportprotokoll TCP. Mit dem MSDP kann ein RP aus einer PIM-Domain die TCP-Verbindungen zu den RPs in anderen Domains aufbauen. Nachdem der RP von einer neuen MC-Quelle in seiner Domain erfahren hat, sendet er die MSDP-Nachricht Source-Active (SA) an die RPs in anderen Domains, um ihnen die neue MC-Quelle bekannt zu machen. So werden die RPs über die neue Quelle und deren IP-Adresse informiert.
Bekanntmachung der neuen MCQuelle
Wie Abbildung 9.6-13 zeigt, ist die MC-Quelle S im AS 2 aus der MC-Gruppe G aktiv geworden. Der ihr zugeordnete designierte Router sendet das erste MC-IP-Paket in der PIM-Nachricht Register an den RP. Dieser nimmt das MC-IP-Paket aus der Nachricht Register heraus und verschickt es nach dem gemeinsamen MC-Verteilbaum im AS 2 weiter. Daher erreicht dieses
9.6 Mulitcast Routing-Protokolle
449
MC-IP-Paket bereits im AS 2 die Mitglieder der MC-Gruppe G. Da die Mitglieder der MCGruppe G aber auf mehrere autonome Systeme verteilet sind, sendet der RP aus dem AS 2 die MSDP-Nachricht SA mit dem MC-IP-Paket an seine benachbarten RPs und diese verteilen danach SA an die RPs in anderen autonomen Systemen mit den Mitgliedern der MC-Gruppe G. Auf diese Weise werden die RPs in allen anderen autonomen Systemen, in denen sich nur die Rechner der MC-Gruppe G befinden, darüber informiert, dass die MC-Quelle S im AS 2 aktiv geworden ist. Darüber hinaus erhalten die RPs die IP-Adresse dieser MC-Quelle und gleichzeitig das erste MC-IP-Paket, um es an die Mitglieder der MC-Gruppe G in anderen autonomen Systemen zu verteilen. Die weiteren an die MC-Gruppe G adressierten MC-IP-Pakete werden ebenfalls in den MSDPNachrichten SA vom RP aus dem autonomen System mit der MC-Quelle an die RPs in anderen autonomen Systemen zur Verteilung an die Rechner der MC-Gruppe G übergeben. Die MC-IPPakete werden im autonomen System nach dem PIM-SM verteilt. Daher erreichen die an die Gruppe G adressierten MC-IP-Pakete von einer MC-Quelle in einem autonomen System alle Rechner der MC-Gruppe G in anderen autonomen Systemen.
Um zu verhindern, dass ein RP eine Nachricht SA mit einem MC-IP-Paket nicht zurück zu jenem RP sendet, von dem er bereits diese Nachricht erhalten hat, spezifiziert das MSDP bestimmte Regeln, nach denen die RPs die empfangenen Nachrichten SA an die anderen RPs weiterleiten müssen. Diese Regeln entsprechen weitgehend dem RPF-Prinzip [Abb. 9.6.-6], das bei den anderen MC-Routing-Protokollen verwendet wird. Da das MSDP das verbindungsorientierte Transportprotokoll TCP nutzt, um seine Nachrichten zu übermitteln, muss zuerst eine TCP-Verbindung zwischen den benachbarten RPs aufgebaut werden, bevor eine MSDP-Nachricht SA gesendet wird. Wurde eine TCP-Verbindung zwischen zwei RPs aufgebaut, bedeutet dies, dass eine Nachbarschaft zwischen ihnen geknüpft wurde.
RPF-Prinzip beim MSDP
Falls vorläufig keine Nachrichten SA vom RP, der die TCP-Verbindung initiiert hat, an seinen benachbarten RP übermittelt werden, sendet er periodisch (in der Regel alle 60 Sekunden) dem benachbarten RP die MSDP-Nachrichten KeepAlive. Damit signalisiert er, dass er weiterhin die Nachbarschaft aufrechterhalten möchte. Wenn ein RP keine Nachricht SA oder KeepAlive von seinem benachbarten RP empfangen hat, initiiert er den Abbau der TCP-Verbindung.
Überwachung der Nachbarschaft
Verknüpfung einer Nachbarschaft
Bildung von MC-Gruppen in autonomen Systemen Bevor MC-IP-Pakete an eine MC-Gruppe verteilt werden, müssen die Rechner erfasst werden, die zu dieser MC-Gruppe gehören. Innerhalb eines IP-Subnetzes kann ein Rechner sich mit IGMP-Hilfe dynamisch in eine MC-Gruppe einschreiben bzw. einen Router darüber informieren, dass er eine bestimmte MC-Gruppe verlassen möchte. Mithilfe des PIM-SM kann eine MC-Gruppe nur über die Grenze eines IP-Subnetzes hinaus gebildet werden. Um eine MCGruppe aber über die Grenze eines autonomen Systems hinaus einrichten zu können, kommt das MSDP zurhilfe. Abbildung 9.6-14 illustriert dies näher.
MC-Gruppe über die AS-Grenze hinaus
450
9
Routing in IP-Netzen
R P -A
A S A
A
M C -IP -P a k e te
J B
M C Q u e lle
M C -IP -P a k e te M S D P
D Q u e llD R
C J
F IG M P
J : J o in (* , G )
H I J
J E IP -S u b n e tz
R P -B J G
M C R o u te r
J
A S B
J K
IG M P
R e c h n e r d e r M C -G ru p p e G (G
= 2 2 4 .2 .2 .2 )
Abb. 9.6-14: Beispiel für die Bildung einer AS-übergreifenden MC-Gruppe AS: Autonomes System, DR: Designierter Router, RP: Rendezvous Point
Hier teilen einige Rechner in lokalen IP-Subnetzen, die an die Router E, F, I und J angeschlossen sind, mithilfe des IGMP diesen Routern mit, dass sie sich an die MC-Gruppe G anschließen möchten. Die Router E, F, I und J fungieren in diesen IP-Subnetzen als dedizierte Router und melden dies den zentralen MC-Verteilungsstellen – also den RPs – in ihren autonomen Systemen an. Hierfür senden sie die entsprechenden PIM-Nachrichten Join(*, G) an RP-A und RP-B. Das Symbol „*“ weist darauf hin, dass es sich hier um einen gemeinsamen MC-Verteilbaum mit dem RP an der Spitze handelt. Haben die Nachrichten Join(*, G) die RP-A und RP-B erreicht, werden die Router E, F, I und J an die gemeinsamen Verteilbäume, in denen RP-A und RP-B an der Spitze stehen, angebunden.
MC-IPPakete aus Register in SA kopiert
Wie in Abbildung 9.6-14 zu sehen ist, werden die MC-IP-Pakete von der Quelle S im AS A an den RP-A übergeben. Dies erfolgt in den PIM-Nachrichten Register. Der RP im AS A hat u.a. die Aufgabe, die empfangenen MC-IP-Pakete aus den Nachrichten Register herauszunehmen, in die MSDP-Nachrichten SA (Source-Active) einzubetten und sie an die RPs in benachbarten autonomen Systemen zu senden. So werden die an die Gruppe G adressierten MC-IP-Pakete an die RPs in verschiedenen autonomen Systemen zur Verteilung übergeben.
MC-Verteilung über gemeinsame Bäume Nach dem PIM-SM beginnt die Verteilung der MC-IP-Pakete zuerst nach dem gemeinsamen Verteilbaum, der für alle MC-Quellen einer MC-Gruppe eingerichtet wurde und in dem ein RP an der Spitze als Baumwurzel steht. Ist eine MC-Gruppe aber auf mehrere autonomen Systeme verteilt, werden die MC-IPPakete in den einzelnen autonome Systemen zuerst nach den gemeinsamen Verteilbäumen übermittelt, in denen die RPs der einzelnen autonomen Systeme als Baumwurzel fungieren. Abbildung 9.6-15 veranschaulicht dies. Bedeutung von SA
Hier werden die MC-IP-Pakete von der MC-Quelle S im AS A in den PIM-Nachrichten Register vom designierten Router D an den RP-A übergeben. Der RP-A übergibt im nächsten Schritt die MC-IP-Pakete in den MSDP-Nachrichten SA (Source-Active) an den RP im AS B. Im AS A werden die MC-IP-Pakete über den gemeinsamen Verteilbaum mit RP-A an der Spitze verteilt, d.h. zuerst vom RP-A an die Router B und C und dann von B an E und von C an F. Im AS B werden die MC-IP-Pakete auch über den gemeinsamen Verteilbaum, in dem RP-B an der Spitze steht, verteilt, d.h. zuerst vom RP-B an den Router I und dann von ihm an J und K.
451
9.6 Mulitcast Routing-Protokolle
A S A
R P -A A
M C -IP -P a k e te B
M C Q u e lle D
M S D P C
Q u e llD R E
H I
M C -IP P a k e t
F
A S B
R P -B G
M C -IP -P a k e te
K J
Abb. 9.6-15: MC-Verteilung über gemeinsame Bäume Die Router E, F, J und K haben die Aufgabe, die empfangenen an die Gruppe G adressierten MCIP-Pakete in den an sie „angeschlossenen“ IP-Subnetzen zu verschicken. Dies wurde hier außer Acht gelassen.
Anbindung von RPs an den Verteilbaum der MC-Quelle Die Verteilung der an eine MC-Gruppe adressierten MC-IP-Pakete nach dem gemeinsamen Verteilbaum, in dem ein RP an der Spitze als Baumwurzel steht, ist mit einem zusätzlichem Aufwand (wie z.B. Übergabe von MC-IP-Paketen an den RP) verbunden. Daher initiiert der RP im autonomen System mit der MC-Quelle im Laufe des PIM-SM-Verlaufs den Übergang zur Nutzung des quellbasierten Verteilbaums. Hierfür muss sich der RP an den Verteilbaum der Quelle anschließen. Ein RP eines autonomen Systems ohne MC-Quelle kann sich ebenfalls an den MC-Verteilbaum der MC-Quelle, die in einem fremden autonomen System aktiv ist, anschließen. Abbildung 9.6-16 illustriert, wie die Anbindung von RPs an den Verteilbaum der MC-Quelle erfolgen kann. A S A
R P -A J
M C Q u e lle J
D Q u e ll-D R
A S B A J
B E
J C
J
(S, G)
R P -B G
H I J
F
Übergang zur Nutzung des Verteilbaums
K
J : J o in ( S ,G )
Abb. 9.6-16: Anbindung von RPs an den Verteilbaum der MC-Quelle Um zu vermeiden, dass die MC-IP-Pakete vom designierten Router D an den RP-A in den PIMNachrichten Register übergeben werden müssen, muss sich der RP-A an den Verteilbaum der Quelle S, in dem der Quell-DR D an der Spitze steht, anschließen. Deswegen sendet der RP-A die PIM-Nachricht Join(S, G) an den Quell-DR D. Dadurch werden die MC-IP-Pakete vom Router D an den RP-A auf dem kürzesten Weg und nach dem Hop-by-Hop-Prinzip übermittelt. Um die MC-IP-Pakete an den RP-B im AS B nicht in den MSDP-Nachrichten SA durch den RP-A übermitteln zu müssen, sondern direkt vom designierten Router D auf dem kürzesten Weg, muss sich der RP-B ebenfalls an den Verteilbaum der Quelle S anschließen. Dies erfolgt auch
Anbindung von RPs an (S, G)
452
9
Routing in IP-Netzen
dadurch, indem der RP-B – also der RP aus einem fremden AS – die PIM-Nachricht Join(S, G) an den designierten Router D sendet.
Verteilbaum (S, G) über mehrere automome Systeme
Nachdem der designierte Router D im AS A die PIM-Nachrichten Join(S, G) von RP-A und RP-B empfangen hat, wird er die an die Gruppe G adressierten MC-IP-Pakete auf dem kürzesten Weg an die beiden RPs senden. Abbildung 9.6-17 soll dies näher verdeutlichen. A S A
R P -A B
M C Q u e lle D
Q u e ll-D R
A S B A
H C
E
R P -B G
I J
F
K
M C -IP -P a k e t
Abb. 9.6-17: MC-Verteilung über den Verteilbaum der MC-Quelle Wie hier ersichtlich, kann der RP-B im AS B als Blatt im Verteilbaum des designierten Routers der MC-Quelle S angesehen werden. An den RP-B werden nun die an die Gruppe G adressierten MC-IP-Pakete auf dem kürzesten Weg und nach dem Hop-by-Hop-Prinzip übermittelt. Der RP-B steht an der Spitze des gemeinsamen Verteilbaums im AS B und verteilt die vom designierten Router D empfangenen MC-IP-Pakete nach dem gemeinsamen Verteilbaum weiter.
9.7
Schlussbemerkungen
Das Routing in IP-Netzen ist ein sehr breites Gebiet. Daher war es das Ziel dieses Kapitels, die Routing-Prinzipien und -Protokolle in IP-Netzen in einer komprimierten Form darzustellen. Aufgrund des begrenzten Umfangs konnten hier nicht alle Routing-Protokolle präsentiert und keine technischen Systemlösungen vorgestellt werden. Insbesondere wurde auf die Darstellung einiger MC-Routing-Protokolle, die in der Praxis keine große Rolle spielen, sondern mehr historische bzw. theoretische Bedeutung haben, verzichtet. Abschließend ist noch Folgendes hervorzuheben: Näheres über das IS-IS
In den 80er-Jahren – also noch vor dem TCP/IP-Boom – wurde das Routing-Protokoll IS-IS (Intermediate System – Intermediate System) für den Einsatz in sog. OSI-Netzen entwickelt [RFC 1142] (1990). Das IS-IS ist ein sehr komplexes Protokoll und regelt den Austausch der Routing-Information zwischen den Routern in OSI-Netzen. Da Router in OSI-Netzen als Zwischensysteme (Intermediate Systems) bezeichnet werden, spricht man von IS-IS. Es handelt sich hierbei um ein netzzustandsabhängiges RoutingProtokoll, das nach dem Algorithmus von Dijkstra arbeitet und gut für große
9.7 Schlussbemerkungen
453
Netze geeignet ist. Das IS-IS ist daher dem Protokoll OSPF ähnlich und legt nur Routingregeln innerhalb einer Domäne fest, die einem autonomen System bei OSPF entspricht. RFC 1195 beschreibt, wie das IS-IS in IP-Netzen eingesetzt werden kann. Für Näheres über das IS-IS sei auf [BaHK 94] verwiesen. In den 90er-Jahren hatte das IS-IS infolge des Sieges von TCP/IP über OSI vollkommen an Bedeutung verloren. In den letzten Jahren wurde das IS-IS aber neu entdeckt und für den Einsatz in MPLS- bzw. in GMPLS-Netzen [Kapitel 11] vorgeschlagen und hierfür um neue Funktionen erweitert. Die IP-Netze nach dem MPLS [Abschnitt 11.2] sind innerhalb der Netzwerkschicht verbindungsorientiert. Dementsprechend wurden die netzzustandsabhängigen Routing-Protokolle OSPF und IS-IS für den Einsatz in MPLSNetzen entsprechend erweitert. Hervorzuheben sind folgende Erweiterungen von OSPF und IS-IS für die Unterstützung von Traffic Engineering (TE) in MPLS-Netzen [Abschnitt 11.4]: − OSPF-TE [RFC 3630] als Erweiterung von OSPF und − IS-IS-TE [RFC 3784], eine Erweiterung von IS-IS. Da GMPLS [Abschnitt 11.3] das Konzept für den Einsatz von MPLS in WDM- und SDH-Netzen darstellt, sind auch die IP-Netze nach GMPLS innerhalb der Netzwerkschicht verbindungsorientiert. Daher wurden OSPFTE und IS-IS-TE auch für TE-Unterstützung in GMPLS-Netzen erweitert [Abschnitt 11.4.5]. Es handelt sich hierbei um: − GMPLS OSPF-TE [RFC 3473] als Erweiterung von OSPF-TE und − GMPLS IS-IS-TE [RFC 4205] als Erweiterung von IS-IS-TE.
Erweiterung von OSPF und des IS-IS für das MPLS
Erweiterung von OSPF und IS-IS für das GMPLS
Um den Umfang dieses Buches nicht zu sprengen, konnten hier nicht alle Weitere MCMC-Routing-Protokolle dargestellt werden. Da die Protokolle PIM-SM und RoutingMSDP in der Praxis die wichtigste Rolle spielen, wurden die Prinzipien von Protokolle MC-Routing anhand dieser Protokolle präsentiert. Zu erwähnen sind noch folgende MC-Routing-Protokolle: − Das DVMRP (Distance Vector Multicast Routing Protocol) ist ein Intra- DVMRP Domain MC-Routing-Protokoll und stützt sich zur Übertragung der Routing-Information auf das Protokoll IGMP. Das DVMRP setzt das Unicast-Routing-Protokoll RIP [Abschnitt 9.2] voraus. Die erste Version des DVMRP wurde in RFC 1075 (1988) spezifiziert. Inzwischen wurde die Version 3 des DVMRP entwickelt und in [draft-ietf-idmr-dvmrp-v311] beschrieben (Dez. 2003). Bis Juli 2007 wurde das DVMPRv3 aber nicht als RFC veröffentlicht. Das DVMRP war das erste MCRouting-Protokoll und spielt heute in der Praxis kaum eine Rolle. − MOSPF (Multicast OSPF) [RFC 1584] ist ein Intra-Domain MC-Rou- MOSPF ting-Protokoll und stellt eine Erweiterung des Unicast-Routing-Protokolls
454
9
Routing in IP-Netzen
OSPF [Abschnitt 9.3] um ein zusätzliches Link State Advertisement dar. Daher setzt MOSPF das Protokoll OSPF voraus. MOSPF hat in der Praxis keine Bedeutung. CTB
− Das CBT (Core Based Trees) [RFCs 2189 und 2201] ist ein MC-RoutingProtokoll und wird ähnlich wie das PIM konzipiert. Das CBT ist vom eingesetzten Unicast-Routing-Protokoll unabhängig und kann nicht nur in einer Routing-Domain eingesetzt werden, sondern erlaubt den Aufbau der Verteilbäume auch über mehrere Domains hinweg.
PIM-DM
− Das PIM-DM (PIM-Dense Mode) [RFC 3973] ist vom Unicast-RoutingProtokoll unabhängig und setzt im Gegensatz zu seinem „Bruder“ PIMSM [Abschnitt 9.6.3] voraus, dass ein MC-Router viele Mitglieder einer MC-Gruppe in den an ihn angeschlossenen IP-Subnetzen hat, d.h. die MC-Empfängern sind „dicht“ (dense) auf einem Gebiet verteilt. Daher verwendet das PIM-DM das Flooding im Verbund mit dem RPF-Prinzip [Abb. 9.6-6]. Ein großer Unterschied zum PIM-SM besteht darin, dass kein Rendezvous Point (RP) beim PIM-DM eingesetzt wird.
BGMP
− Das BGMP (Border Gateway Multicast Protocol) [RFC 3913] ist ein Inter-Domain MC-Routing-Protokoll und wurde in Anlehnung an BGP-4 entwickelt. Der Funktion nach entspricht das BGMP dem MSDP. Das BGMP kann sowohl beim IPv4 als auch beim IPv6 eingesetzt werden.
Routing in Ad-HocNetzwerken
Eine Art von drahtlosen IP-Netzen stellen Ad-Hoc-Netze dar. Unter einem Ad-Hoc-Netz versteht man eine Gruppe von mobilen Stationen (wie z.B. Laptops, PDAs), die spontan (ad hoc) und ohne irgendwelche feste Einrichtung miteinander kommunizieren können. Eines der größten Probleme in derartigen Netzen ist das Routing. Die herkömmlichen Routing-Protokolle eignen sich nicht dafür, weil keine Router im klassischen Sinne in Ad-HocNetzen eingesetzt werden. Jede Station im Ad-Hoc-Netz muss zusätzlich einige Funktionen vom Router übernehmen. Es gibt bereits mehrere RoutingKonzepte für die Ad-Hoc-Netze. Hierbei ist u.a. hervorzuheben: − Table-driven Protokolle: OLSR (Optimized Link State Routing Protocol) [RFC 3626], TBRPF (Topology dissemination Based on ReversePath Forwarding routing protocol) [RFC 3684], DSDV-Routing-Protokoll (Destination-Sequenced Distance-Vector), WRP (Wireless Routing Protocol), CGSR (Clusterhead Gateway Switch Routing) − On-Demand Protokolle: AODV-Routing (Ad-Hoc On-demand Distance Vector) [RFC 3561], ABP (Associativity-Based Routing), DSR (Dynamic Source Routing), TORA (Temporally-Ordered Routing Algorithm) Einige dieser Routing-Protokolle werden so erweitert, dass sie als MulticastRouting-Protokolle in Ad-Hoc-Netzen eingesetzt werden. AODV beispielsweise wird zum MAODV (Multicast AODV) erweitert.
10 Klassische Ansätze für IP over X In vielen Unternehmen werden verschiedene Netztechnologien für die Rech- Bedeutung nerkommunikation gleichzeitig eingesetzt. In den 80er-Jahren haben LANs wie von Ethernet und Token Ring im lokalen Bereich und die Paketvermittlungsnetze IP over X nach X.25 im Weitverkehrsbereich die dominierende Rolle gespielt. In den 90er-Jahren kamen Frame Relay (FR) und ATM (Asynchronous Transfer Mode) als Netztechniken für Weitverkehrsbereiche. Inzwischen hat das Protokoll IP immer mehr an Bedeutung gewonnen. Daher wurden in den 90er-Jahren Konzepte entwickelt, um das IP in Netzen auf Basis verschiedener Technologien einsetzen zu können. Diesen Ansatz nennt man IP over X und dies bedeutet u.a. IP over LAN, IP over X.25, IP over FR und IP over ATM. Diese Konzepte können bereits heute als klassische Ansätze angesehen werden. Die IP-Kommunikation beruht auf dem Datagramm-Prinzip, nach dem die einzelnen IP-Pakete voneinander unabhängig über das Netz entlang verschiedener Routen transportiert werden. Die anderen Technologien für Paketvermittlungsnetze wie X.25, FR und ATM setzen eine virtuelle Verbindung für die Übermittlung von paketierten Daten voraus. Zusätzlich sind IP-Adressen vom Netztyp unabhängig und daher anders als Adressen in X.25-, FR- bzw. ATMNetzen. Um IP-Kommunikation über diese Netze zu ermöglichen, müssen diese Unterschiede entsprechend berücksichtigt werden. Dieses Kapitel stellt die Konzepte für den Einsatz des IP in Netzen auf Basis klassischer Netztechnologien kompakt dar. Abschnitt 10.1 erklärt das Konzept für IP über LANs. Die Möglichkeiten der IP-Kommunikation über Punkt-zuPunkt-Verbindungen nach SLIP und nach PPP erläutert Abschnitt 10.2. Auf das IP über X.25- und über FR-Netze geht Abschnitt 10.3 ein. Abschnitt 10.4 beschreibt verschiedene Konzepte für das IP über ATM-Netze. Abschließende Bemerkungen in Abschnitt 10.5 runden dieses Kapitel ab.
IP versus X.25, FR und ATM
In diesem Kapitel werden u.a. folgende Fragen beantwortet: Wie kann man sich ein logisches LAN-Modell vorstellen?
Ziel dieses Kapitels
Wie kann die Multiprotokollfähigkeit in LANs erreicht werden? Nach welchen Prinzipien verläuft die IP-Kommunikation über Punkt-zuPunkt-Verbindungen? Wie können IP-Pakete über X.25-Verbindungen übermittelt werden? Wie kann die IP-Kommunikation über FR-Netze realisiert werden? Welche Konzepte für IP over ATM gibt es, welche Besonderheiten haben sie und wie können sie eingesetzt werden?
Überblick über das Kapitel
456
10 Klassische Ansätze für IP over X
10.1 IP über LANs Um die IP-Kommunikation über LANs besser erklären zu können, zeigt Abbildung 10.1-1 das funktionale Modell eines klassischen Shared-Medium-LAN mit den funktionalen Schichten in LAN-Endsystemen (Client, Server) [vgl. Abb. 1.4-10]. Im Allgemeinen enthält ein PC-basierter Arbeitsplatz (Client) bzw. ein Server im LAN eine Adapterkarte (mit deren Hilfe er mit dem Übertragungsmedium verbunden wird), eine multiprotokollfähige Software-Schnittstelle, mit der die LLC-Teilschicht realisiert wird, sowie nach Bedarf mehrere Protokolle und Anwendungen. Logisches LAN-Modell
A n w e n d u n g e n T P 1 N P 1
. . . . . .
L L C
S A. . .P s S /E -P
N IC
M A C P H Y
T P n N P n
L A N S ta tio n A
L A N S ta tio n B
S c h ic h t 3 u n d 4 : P ro to k o lle
A n w e n d u n g e n T P 1 N P 1
S c h ic h t 2 b : L L C -S c h ic h t S c h ic h t 2 a : M A C -S c h ic h t S c h ic h t 1 : P h y s ik a lis c h e S c h ic h t
L
A
. . .
. . .
T P n N P n
S . A. . P s S /E -P
L L C
M A C P H Y
N IC
N - V e r k a b e lu n g
Abb. 10.1-1: Logisches Modell eines klassischen Shared-Medium-LAN MAC: Media Access Control, LLC: Logical Link Control, NP: Netzwerkprotokoll, PHY: Physikalische Schicht, SAP: Service Access Point, S/E-P: Sende -/Empfangspuffer, TP: Transportprotokoll
LANStandards
Die LAN-Standards werden vom Institute of Electrical and Electronics Engineers (IEEE) spezifiziert und betreffen die zwei unteren Schichten des OSIReferenzmodells [Abb. 1.3-2]. Die Standardsammlung IEEE 802.x beinhaltet die Definition aller LAN-Architekturen mit Ausnahme von FDDI (Fiber Data Distributed Interface), das eine Spezifikation des American National Standards Institute darstellt (ANSI X3T9.5).
Schichten in LANs
LANs nach den IEEE-Standards 802.3 (Ethernet), 802.5 (Token-Ring) sowie FDDI unterscheiden sich nur hinsichtlich der Funktionsweise der Schichten 1 und 2a. Diese Schichten beinhalten die folgende Funktionen und Dienste: Schicht 1: Physikalische Schicht (Physical Layer) Hier werden alle physikalischen Eigenschaften, die für die Bitübertragung notwendig sind, festgelegt. Dazu gehören vor allem die Spezifikation des LAN-Übertragungsmediums (Verkabelung) sowie der Anschlussstecker und dessen Pinbelegung. Entscheidend sind ferner die Verfahren für die Über-
10.1 IP über LANs
tragung einzelner Bits und der damit verbundenen Erzeugung und Verarbeitung elektrischer bzw. optischer Signale. Schicht 2a: MAC-Schicht (MAC-Layer) LANs unterscheiden sich durch unterschiedliche Implementierungen auf der MAC-Schicht. Der MAC-Schicht fallen hierbei folgende Aufgaben zu: − Medienzugriffsverfahren: Die Art und Weise der Belegung des Mediums durch die einzelnen LAN-Stationen wird als (Medien-)Zugriffsverfahren bezeichnet. Funktional kann unterschieden werden zwischen Switched Medium und Shared Medium LANs. Die wichtigsten Zugriffsverfahren in Shared Medium LANs sind: • CSMA/CD (Carrier Sense Multiple Acces /Collision Detection) in LANs nach dem IEEE-802.3- bzw. Ethernet-Standard, • Token-Ring-Verfahren in Token-Ring-LANs nach dem IEEE–802.5-Standard und in FDDI-LANs.
− Übertragungssicherung, d.h. Sicherstellung einer fehlerfreien Ende-zuEnde-Übermittlung der MAC-Frames zwischen den beteiligten Sende/Empfangs-Instanzen auf Schicht 2 durch Hinzufügen einer Prüfsumme. − Bereitstellen und Erkennen spezifischer MAC-Adressen (DA Destination Address, SA Source Address). − MAC-Frame-Encapsulation der LLC-Daten durch Einfügen der MACAdresse, der Prüfsumme und LAN-spezifischer Steuerungsinformationen, d.h. letztlich Erzeugen eines gültigen MAC-Frames. Schicht 2b: LLC-Schicht (Logical Link Control) Diese Schicht wird im Standard IEEE 802.2 festgelegt und ist daher allgemeiner Bestandteil aller LANs. Sie hat folgende zwei Hauptfunktionen: − LLC-Dienste-Funktionen zur Abwicklung einer verbindungslosen bzw. verbindungsorientierten Kommunikation mit und ohne Bestätigung. Diese Dienste (LLC-Typ I, II und III) werden mittels unterschiedlicher LLC-Frames abgewickelt [Abb. 10.1-3]. − Multiplexerfunktionen für die Netzwerkprotokolle der Schicht 3, die durch sog. SAPs (Service Access Point) als LLC-Dienstzugangspunkte implementiert sind [vgl. Abb. 1.4-10]. Ein SAP ist eindeutig mit einer Speicheradresse (Port) verknüpft und lässt sich als individueller Kommunikationspuffer eines Netzwerkprotokolls interpretieren. Abbildung 10.1-1 illustriert, dass mehrere Kommunikationsprotokolle in einem LAN-Endsystem gleichzeitig verwendet werden können.
10.1.1 Übermittlung der IP-Pakete in MAC-Frames Für die Übermittlung von Steuerungsangaben zwischen zwei Instanzen der Transportschicht wird dem zu übertragenden Datensegment ein TCP- bzw.
457
458
10 Klassische Ansätze für IP over X
UDP-Header vorangestellt. Damit entsteht ein TCP/UDP-Paket (auch als TCP/UDP-Datensegment bezeichnet). Diesem wird dann ein IP-Header vorangestellt, sodass ein IP-Paket entsteht. Bei der Übertragung des IP-Pakets in LANs wird also eine zweifache Encapsulation vorgenommen. Die Nutzdaten, die zwischen zwei LAN-Applikationen übertragen werden, müssen für die Übertragung entsprechend vorbereitet werden. Abbildung 10.1-2 zeigt, wie ein Datensegment für die Übertragung im LAN vorbereitet wird.
L A N E n d s y s te m A
D a te n
A n w . T C P /U D P
T C P /U D P -P a k e te
IP L L C
T C P /U D P -P a k e t
B
M A C
Ü b e r tr a g u n g s m e d iu m D a te n s e g m e n t
L A N E n d s y s te m
IP L L C
IP -P a k e te L L C -F ra m e s
M A C M A C T ra ile r
A n w . T C P /U D P
M A C -F ra m e T C P /U D P
IP
L L C
M A C H e a d e r
IP -P a k e t
L L C -F ra m e
Abb. 10.1-2: Struktur übertragener Daten im LAN Anw: Anwendung
LLC-, MACFrame
Jedes IP-Paket wird um zusätzliche LLC-Steuerungsangaben zu einem LLCFrame (Rahmen) ergänzt. Auf dem MAC-Niveau wird jeder LLC-Frame noch um einen MAC-Header und einen -Trailer erweitert. Auf diese Weise entstehen sog. MAC-Frames, die über das Übertragungsmedium übermittelt werden.
MAC-Trailer
Den MAC-Trailer bildet die Prüfsumme, die als Frame Check Sequence (FCS) bezeichnet wird, sowie in Token-Ring-LANs ein zusätzlicher Ending Delimiter und ggf. noch ein Feld Frame Status.
MACHeader
Der MAC-Header enthält die MAC-Adressen des Senders und des Empfängers. Zusätzliche Kontrollelemente sind eine Präambel, die über ein spezifisches Bitmuster den Beginn des Frames kennzeichnet, sowie wiederum in TokenRing-LANs ein zusätzliches Feld Frame Control bzw. ein Starting Delimitor oder ein Feld Access Control.
LLCTransport
Wie Abbildung 10.1-3 zeigt, unterscheiden sich die LLC-Frames durch die Struktur des Control-Felds. Innerhalb der LLC-Teilschicht nutzt IP den verbindungslosen Dienst ohne Bestätigung, d.h. den LLC-Diensttyp I. Die LLCFrames mit IP-Paketen werden als Unnumbered Information bzw. kurz als UIFrames bezeichnet. Die in Abbildung 10.1-3 zusätzlich dargestellten LLCFrames vom Typ Information sowie Supervisory werden beim Transport von
10.1 IP über LANs
459
IP-Paketen über LANs nicht eingesetzt und wurden hier nur der Vollständigkeit halber gezeigt. Z ie l-S A P
Q u e ll-S A P
In fo rm a tio n F ra m e
B it:
0
1
C o n tro l
S u p e rv is o ry F ra m e 1
0
U n n u m b e re d F ra m e 1
1
2
In fo rm a tio n 8
N (S ) S M
M
S X
X
P /F M
X M
9
P /F
N (R )
X P /F
N (R )
M
1 6
U -F ra m e
Abb. 10.1-3: Aufbau von LLC-Frames P/F: Poll/Final, S: Supervisory Bit, N(R): Empfangsfolgenummer, N(S): Sendefolgenummer, M: Mode-Bit, SAP: Service Access Point
Die Länge von im LAN übertragenen IP-Paketen ist immer begrenzt und wird MTU von der IP-Instanz medienspezifisch als Maximum Transfer Unit (MTU) definiert. Sie hängt vom LAN-Typ ab.
10.1.2 Multiplexing auf der LLC-Teilschicht Wird ein IP-Paket von der Netzwerkschicht an die Schicht 2 überreicht [vgl. PID Abb. 1.4-10], ergänzt die LLC-Teilschicht dieses durch einen PID (Protocol Identifier). Umgekehrt kann beim Empfang des Frames anhand des PID das jeweilige Netzwerkprotokoll angesprochen werden, das für die weitere Verarbeitung zuständig ist. Die verschiedenen Netzwerkprotokolle haben alle festdefinierte Nummern und Ethernet V2 diese beginnen ab 1518. Die Festlegung dieser auf den ersten Blick überra- ohne LLC schend großen Protokollnummern ist mit der Einführung der Ethernet-Netztechnologie durch die Firmen Digital, Intel und Xerox (DIX) historisch begründet. Abweichend vom IEEE 802.3-Standard wird bei Ethernet – genauer auch Ethernet V2 oder gelegentlich Ethernet-DIX genannt – statt des bei IEEE 802.3-LANs üblichen zwei Bytes großen Felds Length ein Type-Feld (auch Ethertype genannt) im MAC-Frame definiert, in dem die Protokollnummern untergebracht sind. Dies hat einerseits zur Folge, dass Ethernet V2 auf die Unterstützung der LLC-Teilschicht verzichtet. Andererseits werden mögliche Fehlinterpretationen hinsichtlich des Type/Length-Felds dadurch vermieden, dass die Werte Type größer als die maximale Länge eines IEEE 802.3-Frames gewählt wurden, nämlich 1518 Bytes. Die Protokollnummern werden durch XEROX bzw. US Defence Communications Agency verwaltet und sind als Felder Destination-SAP (DSAP) und Source-SAP (SSAP) im LLC-Header von der IEEE neu festgelegt, wobei i.d.R. nur
460
10 Klassische Ansätze für IP over X
der Ziel-SAP benutzt wird. Einige ursprünglich speziell für Ethernet V2 entwickelte Protokolle können jedoch mit ihren Protokollnummern (z.B. Appletalk Type = 32923) nicht mehr im lediglich ein Byte großen SAP-Feld untergebracht werden. PID und OUI
Mit der starken Verbreitung von FDDI-Netzen Ende der 80er-Jahre und speziell ihrer Kopplung mit Ethernet-Segmenten (nach V2 oder nach IEEE 802.3) ergab sich die Notwendigkeit, die Interoperabilität der Übermittlung vom IP über IEEE 802.2- und Nicht-LLC-Implementierungen wie Ethernet V2 sicherzustellen. Hierzu wurde das Sub-Network Access Protocol – kurz als SNAP bezeichnet – geschaffen [BaHK 94], das in RFC 1042 spezifiziert ist. Es definiert einen SNAP-Header, der nach dem LLC-Header folgt, mit den Bestandteilen OUI (Organizationally Unique Identifier) und PID (Protocol Identifier). Abbildung 10.1-4 zeigt dies. L L C -H e a d e r a )
8 B its
8 B its
D S A P = A A Z ie l-S A P
S S A P = A A Q u e ll-S A P
b )
8 B its
2 4 B its
C o n tro l = 3
O U I = 0 0 -0 0 -0 0 O U I = 0 0 -0 0 -F 8
IE T F -P ro to k o lle (IP ) N ic h t-IE T F -P ro to k o lle ( z .B . A p p le T a lk )
S N A P -H e a d e r
O U I
1 6 B its
P ID
c )
P ID IP : A R X N A p
= E th e rn e P ID P : P ID S : P ID p le : P ID
t T = = = =
y p 2 0 2 0 2 0 3 2
e 4 8 5 4 5 5 9 2 3
Abb. 10.1-4: SNAP Multiplexing: a) Aufbau des SNAP-Header, b) OUI-Protokollfeld bei IPund Nicht-IP-Protokollen, c) PID-Werte für Ethernet-V2-Typen
SNAP
Das SNAP lässt sich daher als Spezialfall des LLC-Diensttyps I mit UI-Frames (Unnumbered Information) ansehen [Abb. 10.1-3], für den eine feste Zuordnung hinsichtlich der SAPs und der Felder Control und Information vorgenommen wurde. Die Kennung für das SNAP wird in den beiden Feldern DSAP und SSAP (DSAP = x'AA'; SSAP = x'AA') eingetragen, im Control-Feld wird der Wert x'03' angegeben. Die 5 Bytes des SNAP-Header sind für die Identifikation verschiedener Netzwerkprotokolle reserviert. Hierdurch lassen sich alle auf Ethernet V2 gängigen Protokolle übertragen. Im SNAP-Header stehen 3 Bytes für den OUI und 2 Bytes für den PID zur Verfügung. Abbildung 10.1-5 zeigt, dass hierdurch eine hierarchische Multiplexing-Struktur innerhalb der LLCTeilschicht geschaffen wird.
IP-Pakete in MACFrames
Zusammenfassend kann festgestellt werden, dass es drei Methoden gibt, IPPakete in MAC-Frames einzukapseln: Bei Ethernet wird in der Regel auf die zusätzliche LLC-Verkapselung verzichtet und das IP-Paket als Ethernet V2 MAC-Frame mit Type = 2048 eingebettet.
10.2 IP über Punkt-zu-Punkt-Verbindungen
In IEEE-konformen LANs wie IEEE 802.3 und IEEE 802.5 besteht die Möglichkeit, IP-Daten als LLC Unnumbered Information Frames gemäß IEEE 802.2 zu übertragen. Als SAP-Wert wird x’60’ bzw. dezimal 96 eingetragen.
L L C
S A P S A P
P ID # 2
P ID # 3
P ID # 1
O U I # 1
P ID # 2
S A P S A P
O U I # 2
S A P = A A
T C P /IP
D E C n e t
S P X /IP X
Q u e llre c h n e r
P ID # 1
Z ie lre c h n e r
T C P /IP
D E C n e t
S P X /IP X
H ö h e re S c h ic h te n
Die IETF-Empfehlung schreibt aber vor, für IP-Datenverkehr einen SNAPHeader zu nutzen. Hierbei lauten die Werte (gemäß Abb. 10.1.-4) SAP = x’AA’, OUI = 00-00-00 sowie PID = 2048
P ID # 1
P ID # 2
P ID # 3
P ID # 1
O U I # 1
O U I # 2
S A P = A A
M A C P H Y D A
S A
P ID # 2
D S A P S S A P = A A = A A
M A C P H Y C trl
M A C
O U I
P ID
D a te n p a k e t
L L C
Abb. 10.1-5: Aufgabe des Protokolls SNAP OUI: Organizationally Unique Identifier, SAP: Service Access Point
10.2 IP über Punkt-zu-Punkt-Verbindungen Die „nackten“ IP-Pakete enthalten keine Bits für die Synchronisation (wie z.B. Flag = 01111110). Somit wäre es nicht möglich, sie auf einer Leitung zu entdecken. Für die Übertragung über eine physikalische Verbindung müssen die IP-Pakete in zusätzliche Frames mit Synchronisationsbits eingebettet werden. Man benötigt deswegen zusätzliche Protokolle, die den Transport der IP-Pakete über Punkt-zu-Punkt-Verbindungen ermöglichen. Hierfür stehen SLIP (Serial Line IP) und PPP (Point-to-Point Protocol) zur Verfügung.
10.2.1 Protokoll SLIP Das SLIP, wie sein Name Serial Line IP bereits sagt, stellt ein Protokoll für die Übermittlung der IP-Pakete über serielle Leitungen dar. Eine serielle Leitung
461
462
10 Klassische Ansätze für IP over X
kann eine Verbindung über das analoge Telefonnetz (eine analoge Leitung) oder eine ISDN-Verbindung (eine digitale Leitung) darstellen. SLIP wurde bereits in den 80er-Jahren im RFC 1055 spezifiziert und bis zu Beginn der 90erJahre zur Anbindung von PCs mit der Protokollfamilie TCP/IP über serielle Leitungen an Unternehmensnetze verwendet. SLIP Steuerzeichen
SLIP ist ein einfaches zeichenorientiertes Protokoll und stellt folgende zwei Steuerzeichen zu Verfügung: END: x’C0’ (hexadezimal) bzw. ASCII Code 192, ESC: x’DB’ bzw. ASCII Code 219.
Das Konzept von SLIP ist aus Abbildung 10.2-1 ersichtlich.
C 0 H e a d e r
IP -H e a d e r
4 5
A 3
C 0
B C
3 7
0 B D B
B C
IP -H e a d e r
4 5
A 3
D B
D C
B C
3 7
D B D D
E N D
E S C
0 B
B C
C 0 T ra ile r
Abb. 10.2-1: Konzept des SLIP-Protokolls
Beim SLIP wird ein zu übertragendes IP-Paket in einen SLIP-Frame eingebettet. Das Zeichen END dient als Header und als Trailer. Der Header ermöglicht dem Zielendsystem, den SLIP-Frame auf der Leitung zu entdecken. Damit wird die Synchronisation auf dem Paketniveau unterstützt. Einige SLIP-Implementierungen arbeiten nur mit dem Header, d.h. der Trailer ist nicht vorhanden. Transparenz bei SLIP
Das SLIP nutzt zwei festgelegte 8-Bits-Kombinationen als Steuerzeichen, um die Frames zu bilden. Daraus entsteht ein Transparenz-Problem. Dies bedeutet, dass jedes Zeichen (jede beliebige Bitkombination) als Nutzdaten übertragbar sein muss. Falls die Steuerzeichen END und ESC als Nutzdaten im IP-Paket gesendet werden müssen, werden besondere „Maßnahmen“ zur Garantie der Transparenz ergriffen. Tritt in dem zu sendenden IP-Paket das Steuerzeichen END als Nutzzeichen auf, so wird dieses Nutzzeichen (x’C0’) durch die beiden Zeichen x’DB’ und x’DC’ (ASCII Code 219 und 220) ersetzt. Falls das Steuerzeichen ESC im IPPaket als Nutzzeichen vorhanden ist, wird dieses Nutzzeichen (x’DB’) durch die beiden Zeichen x’DB’und x’DD’ (ASCII Code 219 und 221) ersetzt. Auf der Empfangsseite werden den Doppelzeichen x’DB’ und x’DC’ bzw. x’DB’ und x’DD’ entsprechend die Zeichen x’C0’ und x’DB’ zugeordnet.
CSLIP
Für die Übertragung eines IP-Pakets über eine Leitung sind nicht alle Angaben im IP- und im TCP/UDP-Header nötig, sodass sie nicht übertragen werden
10.2 IP über Punkt-zu-Punkt-Verbindungen
463
müssen. Auf diese Weise lassen sich die IP- und TCP/UDP-Header komprimieren. Eine solche Komprimierung ist unter dem Namen Van-JacobsonVerfahren bekannt und in RFC 1144 spezifiziert. SLIP mit Komprimierung wird als CSLIP (Compressed SLIP) bezeichnet. Das SLIP hat zwar den Vorteil, dass es ein einfaches und relativ effektives Protokoll ist. Gleichzeitig hat es aber folgende Nachteile: Das SLIP ist „empfindlich“ gegen Störungen, bei denen ein Nutzzeichen in ein „unerwünschtes“ Zeichen END umgewandelt wird. Das SLIP ermöglicht keine Fehlerkontrolle. In den SLIP-Frames werden nur IP-Pakete übermittelt. Mit dem SLIP ist es nicht möglich, einem Remote-PC eine IP-Adresse von einem RAS-Server (Remote Access Service) [Abb. 11.5-1] dynamisch zuzuordnen. Beim Remote Access sollten Remote-PCs die notwendigen Netzwerkadressen (IP-Adressen) nach Bedarf vom entsprechenden RAS-Server beziehen können. Die Nachteile des SLIP werden durch das Protokoll PPP aufgehoben.
10.2.2 Protokoll PPP Das PPP (Point-to-Point Protocol) wird für die Übermittlung der Datenpakete verschiedener Protokolle der Netzwerkschicht (z.B. des IP) über physikalische bzw. virtuelle Punkt-zu-Punkt-Verbindungen verwendet. Die sog. PPP-Frames dienen als Umschläge für die Übermittlung der Datenpakete. PPP wird vor allem bei Remote Access Services eingesetzt. Mehrere RFCs legen das Konzept des PPP und seinen Einsatz fest, wobei RFC 1661 das Basisverfahren spezifiziert. Es gibt eine Vielzahl von RFCs, die den Transport von PPP-Frames in verschiedenen Netzen (z.B. Frame Relay, ATM, SDH) spezifizieren [s. http://www.ietf.org/html.charters/pppext-charter.html]. Im PPP-Frame wird die Identifikation des Protokolls angegeben, dessen Daten- Protokollpaket im Frame enthalten ist. Somit lassen sich die Pakete verschiedener Netz- unterstütwerkprotokolle (IP, IPX, ...) in PPP-Frames transportieren. Zusätzlich erlaubt zung das PPP neben der Unterstützung des SNACP (SNA Control Protocol) [RFC 2043] und einer direkten NetBEUI-Encapsulation NBFCP (NetBIOS Frame Control Protocol) [RFC 2097] auch einen sog. Bridging-Mode für die transparente Übertragung von MAC-Frames. Zum PPP gehören auch die „Hilfs“Protokolle PAP (Password Authentication Protocol) und CHAP (Challenge Handshake Authentication Protocol) für die Authentifizierung von Benutzern. Das PPP ist ein Protokoll, das für die Übertragung von Information über alle PPPArten von Punkt-zu-Punkt-Verbindungen eingesetzt werden kann. Mit dem Bedeutung PPP kann die zu übertragende Information so ergänzt werden, dass man sie näher spezifizieren kann. Wie Abbildung 10.2-2 illustriert, wird der zu übertra-
464
10 Klassische Ansätze für IP over X
genden Information ein Feld Protocol vorangestellt, in dem die Bedeutung der Information näher spezifiziert wird. Falls die übertragene Information ein Datenpaket darstellt, wird im Feld Protocol angegeben, nach welchem Netzwerkprotokoll (z.B. IP, IPX, etc.) das Datenpaket definiert ist. Falls die übertragene Information bestimmte Steuerungsangaben darstellt, spezifiziert das Feld Protocol auch die Bedeutung dieser Steuerung.
P ro to c o l 8 /1 6 B its
In fo rm a tio n P a y lo a d
P a d d in g o p tio n a l
Abb. 10.2-2: Allgemeine Struktur der PPP-Dateneinheit
PPPDateneinheit
Die übertragene Information zusammen mit dem Feld Protocol bildet eine PPP-Dateneinheit, die eventuell zusätzlich nach Bedarf mit Füllbits ohne Bedeutung als Padding zu einer bestimmten Länge verlängert werden kann. Normalerweise ist das Feld Protocol 2 Bytes lang. Wird die PPP-Dateneinheit aber in einer komprimierten Form übertragen, beträgt die Länge des Protocol-Felds ein Byte.
PPP Payload
Es sind folgende Gruppen von Protokollen, deren Datenpakete in PPPDateneinheiten als Payload transportiert werden können, zu unterscheiden: Netzwerkprotokolle für die Übermittlung von „Nutz“-Daten Die Nummern dieser Protokolle im Feld Protocol beginnen immer mit 0 (d.h. sie sind x’0yyy’). Diese Protokolle sind z.B.: − x’0021’ Internet Protocol, Version 4 (IPv4), − x’0031’ PPP Bridging, − x’003F’ NetBios Frame Control Protocol, − x’0057’ Internet Protocol, Version 6 (IPv6).
Network Control Protocols (NPCs) für die Konfiguration der Netzwerkprotokolle zuständig. Hierzu gehören u.a.: − x’8021’ IPv4 Control Protocol IPv4, (IPCP), − x’803F’ NetBIOS Frame Control Protocol (NBFCP), − x’804D’ SNA Control Protocol (SNACP), − 0x’8057’ IPv6 Control Protocol (IPv6CP). Die Nummern der NPCs unterscheiden sich von den entsprechenden Netzwerkprotokollen nur in der ersten Stelle. Sie beginnen immer mit 8.
Authentifizierungs- und Link-Kontroll-Protokolle − − −
x’C021’ Link Control Protocol (LCP), x’C023’ Password Authentication Protocol (PAP), x’C025’ Link Quality Report,
−
x’C223’ Challenge Handshake Authentication Protocol (CHAP).
10.2 IP über Punkt-zu-Punkt-Verbindungen
465
Das Feld Information in der PPP-Dateneinheit enthält die Daten (d.h. das Datenpaket bzw. die Steuerungsangaben) nach dem Protokoll, dessen Nummer im Feld Protocol enthalten ist [vgl. Abb. 10.2-5, -7, 9 und -10]. Die maximale Länge der Information zusammen mit Padding kann mithilfe des Parameters MRU (Maximum Receive Unit) in der sog. Konfigurationsphase des PPP festgelegt werden. Als Default-Wert werden 1500 Bytes angenommen. Dies ist gerade die maximale Länge eines MAC-Frames in Ethernet-basierten LANs. Die „nackten“ PPP-Dateneinheiten enthalten keine Bits für die Synchronisation HDLC(wie z.B. Flag = 01111110), somit wäre es nicht möglich, sie auf einer Leitung basierte zu entdecken. Für die Übertragung über eine physikalische Verbindung (z.B. PPP-Frames über das ISDN) müssen die in Abbildung 10.2-2 gezeigten PPP-Dateneinheiten in zusätzliche Frames mit Synchronisationsbits eingebettet werden. Häufig werden hierfür Frames vom Sicherungsprotokoll HDLC (High-Level Data Link Control) verwendet. Abbildung 10.2-3 zeigt die Struktur eines HDLC-Frames mit einer eingebetteten PPP-Dateneinheit. Wird eine PPP-Dateneinheit in einem HDLC-Frame transportiert, so spricht man von einem HDLC-basierten PPP-Frame und bezeichnet ihn auch als PPP/HDLC-Frame.
1 1 1 1 1 1 1 1 F la g
A d d re s s C o n tro l
0 1 1 1 1 1 1 0
In fo rm a tio n
P ro to c o l
P P P -D a te n e in h e it
0 0 0 0 0 0 1 1
P a d d in g F C S
F la g
0 1 1 1 1 1 1 0
Abb. 10.2-3: Aufbau von HDLC-basierten PPP-Frames Ein PPP/HDLC-Frame enthält folgende Felder: Flag (Frame-Begrenzung): Mit Flag = 01111110 werden Beginn und Ende des Frames
markiert. Address-Feld: Bei einer bestehenden Punkt-zu-Punkt-Verbindung über eine physikalische
Leitung ist die Angabe der physikalischen Adresse des Kommunikationspartners im Frame nicht mehr notwendig. Daher enthält dieses Feld immer die Bitkombination 11111111 (x’FF’), die All Station Address genannt wird. Control-Feld (Steuer-Feld): Für die PPP-Frames wird eine Variante des Protokolls HDLC angewandt, bei der nur sog. unnummerierte Frames verwendet werden. Aus diesem Grund enthält das Control-Feld in PPP/HDLC-Frames immer 00000011 (x’03’). FCS-Feld (Frame Check Sequence): Dieses Feld enthält eine Frame-Prüffolge, die auf einem
zyklischen Code basiert, und dient zur Entdeckung von Übertragungsfehlern in den Feldern Address, Control, Protocol und Information.
466
10 Klassische Ansätze für IP over X
Stuffing/ Destuffing
Da für die beiden Flags eine spezielle Bitkombination 01111110 reserviert wurde, müssen besondere Maßnahmen ergriffen werden, um eine transparente Übertragung zu garantieren, d.h., um zu ermöglichen, dass die Bitkombination 01111110 innerhalb der „Nutz“-Daten übertragen werden darf. Hierfür wird ein Verfahren verwendet, das man als Bit-Stuffing/Destuffing bezeichnet. Dieses Verfahren besteht darin, dass ein zusätzliches Bit 0 jeweils nach der Bitkombination 11111 im Frame zwischen den beiden Flags an der Sendeseite hinzugefügt wird (Bit Stuffing). Umgekehrt wird ein Bit 0 jeweils nach der gleichen Bitkombination 11111 im Frame zwischen den beiden Flags an der Empfangsseite entfernt (Bit Destuffing).
PPPZustände
Nach dem PPP entsteht in Bezug auf den Datenaustausch eine logische Beziehung zwischen zwei kommunizierenden PPP-Instanzen, die als eine logische Datenverbindung (sog. Data-Link-Verbindung) angesehen werden kann. Diese Verbindung wird im Weiteren als PPP-Verbindung bezeichnet und setzt das Vorhandensein einer physikalischen Verbindung (z.B. einer ISDN-Verbindung) voraus. Jede PPP-Verbindung muss auf- und abgebaut werden. Somit werden bestimmte Zustände (Phasen) im Ablauf des PPP definiert. Diese Zustände und die Übergänge zwischen ihnen werden in Form eines PPPZustandsdiagramms dargestellt (Abbildung 10.2-4). D e a d D o w n
U p
E s ta b lis h
F a ile d T e rm in a te
O p e n e d
A u th e n tic a te
F a ile d C lo s in g
N e tw o rk
A u th e n tic a tio n s u c c e s s fu ll
Abb. 10.2-4: PPP-Zustandsdiagramm Die einzelnen PPP-Zustände sind wie folgt zu interpretieren: Dead: Dieser Zustand stellt die Anfangs- und die Endphase einer PPP-Verbindung dar. Establish: Dieser Zustand repräsentiert den Aufbau einer PPP-Verbindung. Hierfür wer-
den die Pakete nach LCP (Link Control Protocol) als Information in PPP-Dateneinheiten übertragen. Die Pakete Configure von LCP enthalten sog. Konfigurationsoptionen (Configuration Options) und ermöglichen es, die Parameter einer PPP-Verbindung zu setzen. Authenticate: In diesem Zustand erfolgt die Authentifizierung, d.h. die Überprüfung der Authentizität des Benutzers, der die PPP-Verbindung initiiert. In dieser Phase wird normalerweise eines der beiden Authentifizierungsprotokolle PAP (Password Authentication Protocol) bzw. CHAP (Challenge Handshake Authentication Protocol) verwendet. Network (genauer Network-Layer Protocol Phase): In diesem Zustand erfolgt die Konfigu-
ration von Parametern des eingesetzten Netzwerkprotokolls (wie z.B. IPv4, IPv6, IPX, ...). Jedes Netzwerkprotokoll muss individuell konfiguriert werden. Der Ablauf der Konfiguration verläuft nach dem Protokoll NCP (Network Control Protocol). Jedes Netzwerkprotokoll verfügt über ein eigenes Control Protocol (CP), so hat z.B. IPv4 das IPCP, IPv6 das IPv6CP, IPX das IPXCP usw. Terminate: Dieser Zustand repräsentiert den Abbau einer PPP-Verbindung. Hierfür werden die Pakete vom LCP als Information in PPP-Dateneinheiten übertragen [Abb. 10.2-5].
10.2 IP über Punkt-zu-Punkt-Verbindungen
467
Das Protokoll LCP (Link Control Protocol) stellt bestimmte Pakete zur Verfü- Protokoll gung, die man zum Auf- und Abbau und zur Konfiguration einer PPP- LCP Verbindung benötigt. Das LCP definiert 11 Pakete, die im Feld Information von PPP-Frames übertragen werden. Abbildung 10.2-5 zeigt, wie die LCPPakete in PPP-Dateneinheiten eingebettet werden und wie sie strukturiert sind. P P P D a te n e in h e it
P ro to c o l
L C P = x 'C 0 2 1 '
C o d e 1 2 3 4 5 6 7 8 9 1 0 1 1
In fo rm a tio n L C P -P a k e t Id e n tifie r L e n g th D a ta /O p tio n s C o n fig u re -R e q u e s t C o n fig u re -A c k C o n fig u re -N a k C o n fig u re -R e je c t T e rm in a te -R e q u e s t T e rm in a te -A c k C o d e -R e je c t P ro to c o l-R e je c t E c h o -R e q u e st E c h o -R e p ly D is c a rd -R e q u e s t
Abb. 10.2-5: LCP-Pakete in PPP-Dateneinheiten Ein LCP-Paket enthält folgende Komponenten: Code (1 Byte): Hier wird die Bedeutung des LCP-Pakets durch eine Nummer angegeben. Identifier (1 Byte): Dieses Feld dient der Zuordnung von Antworten der Gegenseite (Replies) zu den abgeschickten Anforderungen (Requests). Length (2 Bytes): Hier wird die Länge des LCP-Pakets angegeben. Data bzw. Options (n Bytes): Dieses Feld enthält die Angaben des LCP-Protokolls als
Daten bzw. in Form festgelegter Optionen.
Es sind folgende Klassen der LCP-Pakete zu unterscheiden: LCP-Pakete für den Aufbau und die Konfiguration von PPP-Verbindungen: Configure-Request, Configure-Ack, Configure-Nak und Configure-Reject,
LCP-Pakete für den Abbau von PPP-Verbindungen: Terminate-Request und Terminate-Ack,
LCP-Pakete für das Management und die Fehlerbeseitigung: Code-Reject, Protocol-Reject, Echo-Request, Echo-Reply und Discard-Request.
Die Configure-Pakete für den Aufbau und die Konfiguration von PPP- ConfigureVerbindungen enthalten bestimmte Steuerungsangaben in Form sog. Configu- Pakete rations Options. Deren Aufbau zeigt Abbildung 10.2-6. Die einzelnen Configurations Options haben folgende Bedeutung: Maximum Receive Unit: Mit dieser Option wird die Paketlänge angegeben, die an der
Empfangsseite aufgenommen werden kann. Der Standardwert hierfür beträgt 1500 Bytes.
468
10 Klassische Ansätze für IP over X Authentication: Mit dieser Option wird angegeben, welches Protokoll zur Authentifizierung verwendet wird. Hierbei kommen u.a. in Frage: PAP, CHAP, EAP (Extensible Authentication Protocol), Microsoft-CHAP (MS-CHAP). Quality Protocol: Diese Option gibt an, welches Protokoll man zur Qualitätsüberwachung der PPP-Verbindung verwendet. Zurzeit wird nur das Protokoll Link Quality Report unterstützt. Magic Number: Diese Option enthält eine zufällige Zahl. Sie wird verwendet, um bestimmte Anomalien auf der Verbindung zu entdecken. Protocol Field Compression (PFC): Standardmäßig ist das Feld Protocol in der PPPDateneinheit 2 Bytes lang [Abb. 10.2-2]. Diese Option wird verwendet, um die Gegenseite darüber zu informieren, dass die zu einem Byte komprimierte Form des Felds Protocol verwendet werden soll. Address and Control Field Compression (ACFC): Diese Option wird verwendet, um die Gegenseite zu informieren, wie die Felder Address und Control in HDLC-basierten PPP-Frames komprimiert werden sollen.
T y p e
L e n g th 1 3 4 5 7 8
M a x im u m R e c e iv e A u th e n tic a tio n P ro Q u a lity P ro to c o l M a g ic N u m b e r P ro to c o l F ie ld C o m A d d re s s a n d C o n tro
D a ta U n it to c o l p re s s io n l F ie ld C o m p re s s io n
Abb. 10.2-6: Configurations Options in Configure-LCP-Paketen
IPv4 Control Protocol (IPCP)
Das Protokoll IPCP stellt bestimmte Pakete zur Verfügung, mit denen man eine PPP-Verbindung für die Übermittlung der IP-Pakete konfigurieren kann. Das IPCP verwendet einige Pakete des Protokolls LCP: zur Konfiguration der PPP-Verbindung: Configure-Request, Configure-Ack, Configure-Nak und Configure-Reject,
für den Abbau der PPP-Verbindung: Terminate-Request und Terminate-Ack, für die Fehlerbeseitigung: Code-Reject. Diese IPCP-Pakete werden im Feld Information von PPP-Dateneinheiten übertragen. Wie Abbildung 10.2-7 zeigt, werden die IPCP-Pakete genau so wie die LCP-Pakete aufgebaut [Abb. 10.2-5]. Configuration Options
Die IPCP-Pakete vom Typ Configure können u.a. folgende Configuration Options enthalten: IP-Compression-Protocol: Mit dieser Option wird angegeben, welches Verfahren zur Komprimierung der IP-Pakete verwendet wird. Hier verwendet man das Van-JacobsonVerfahren [RFC 1144] bzw. das DEFLATE Compressed Data Format [RFCs 1951, 1979]. IP-Address: Diese Option wird verwendet, um die dynamische Vergabe von IP-Adressen
zu ermöglichen.
10.2 IP über Punkt-zu-Punkt-Verbindungen
P P P D a te n e in h e it I P C P = x '8 0 2 1 '
P ro to c o l
469
In fo rm a tio n IP C P -P a k e t
C o d e 1 2 3 4 5 6 7
Id e n tifie r C o n fig u re C o n fig u re C o n fig u re C o n fig u re T e rm in a te T e rm in a te C o d e -R e je
L e n g th -R e q u e st -A c k -N a k -R e je c t -R e q u e st -A c k c t
C O : C o n fig u ra tio n O p tio n
C O
T y p e L e n g th 2 3
V a lu e
IP -C o m p re s s io n P ro to c o l IP -A d d re ss
Abb. 10.2-7: IPCP-Pakete und deren Configuration Options
Eine PPP-Verbindung stellt eine Vereinbarung zwischen zwei PPP-Instanzen in Ablauf des Bezug auf den Datenaustausch dar. Eine Vereinbarung kann als logische Da- Protokolls tenverbindung angesehen werden. Sie setzt das Vorhandensein einer physikali- PPP schen Verbindung (z.B. einer ISDN-Verbindung) voraus. Ein Beispiel für einen Ablauf von PPP zeigt Abbildung 10.2-8. Der Aufbau ei- CO ner PPP-Verbindung (Phase: Establish, Abb. 10.2-4) erfolgt nach LCP mithilfe der Configure-Pakete. Im Paket Configure-Request können Parameter der PPP-Verbindung als Configuration Options (CO) angegeben werden. Die CO-Typen wurden in Abbildung 10.2-6 aufgelistet. Werden die angeforderten Parameter von der Gegenseite vollständig angenommen, wird dies mit dem Paket Configure-Ack (Acknowledgment) bestätigt. P P P -In s ta n z
P P P -In s ta n z L C P [C o n fig u re -R e q u e s t [C O s ]]
L C P
L C P [C o n fig u re -a c k ]
A u th e n tifiz ie ru n g s p h a s e IP C P [C o n fig u re -R e q u e s t [X , Y ]]
IP C P [C o n fig u re -a c k [X , Y ]]
IP C P (a ls N C P )
P P P [ P r o t o c o l = x '0 0 2 1 ' [ I P - P a k e t ] ] P P P [ P r o t o c o l = x '0 0 2 1 ' [ I P - P a k e t ] ] P P P [ P r o t o c o l = x '0 0 2 1 ' [ I P - P a k e t ] ] L C P [T e rm in a te -R e q u e s t]
L C P [T e rm in a te -A c k ]
X = K o m p rim ie ru n g s v e rfa h re n (z . B . v a n J a c o b s o n , D E F L A T E )
D a te n a u s ta u s c h n a c h IP L C P
Y = IP -A d re sse
Abb. 10.2-8: Beispiel für einen Ablauf des Protokolls PPP
Werden nicht alle Parameter vom Paket Configure-Request angenommen, wird dies mit dem Paket Configure-Nak (Negative acknowledgment) mitge-
470
10 Klassische Ansätze für IP over X
teilt. Wird der Verbindungsaufbau abgewiesen, sendet die Gegenseite das Paket Configure-Reject. Nach der Phase Establish kann die Authentifizierung des Benutzers erfolgen. Dies wird im PPP-Protokoll als Phase Authenticate bezeichnet [Abb. 10.2-4]. Der Verlauf dieser Phase richtet sich entweder nach PAP oder CHAP. Phase Network
In der nächsten Phase Network werden die Parameter der eingesetzten Netzwerkprotokolle konfiguriert. Für jedes Netzwerkprotokoll wird ein entsprechendes Control Protocol verwendet. Abbildung 10.2-8 zeigt den Ablauf der Konfiguration des Protokolls IPv4 mithilfe seines Control Protocol IPCP [Abb. 10.2-7]. Die geforderten Einstellungen werden im IPCP-Paket ConfigureRequest und mit der Angabe Configuration Options (IP-CompressionProtocol, IP-Address) an die Gegenseite übermittelt. Akzeptiert die Gegenseite die angeforderten Parameter, wird dies mit dem IPCP-Paket Configure-Ack bestätigt. Nach der Phase Network [Abb. 10.2-4] des PPP findet der Datenaustausch nach dem IP statt. Hier werden die PPP-Frames mit der Angabe Protocol = x’0021’ (d.h. Protokoll IP) übermittelt. Das Feld Information in den PPPDateneinheiten wird mit IP-Paketen belegt.
Phase Terminate
Der Abbau der PPP-Verbindung (Phase Terminate) erfolgt nach dem LCP. Hierfür werden dessen Terminate-Pakete verwendet.
Authentifizierung
PPP definiert zwei verschiedene Möglichkeiten der Authentifizierung von Benutzern, die nach den folgenden Protokollen verlaufen: Password Authentication Protocol (PAP), Challenge Handshake Authentication Protocol (CHAP). Die Authentifizierung ist Teil des LCP und erfolgt nach der Verbindungsaufbauphase [Abb. 10.2-8]. Beim Aufbau einer PPP-Verbindung ist eine Authentifizierung optional, aber nicht notwendig.
PAP
Wie Abbildung 10.2-9a zeigt, legt das PAP drei Pakete fest, die im Feld Information von PPP-Dateneinheiten übertragen werden. Die Authentifizierung nach dem PAP zeigt Abbildung 10.2-9b. Die Authentifizierung erfolgt hier mithilfe der Angaben Benutzer-ID (Identification) und Password. Diese Angaben werden im PAP-Paket Authenticate-Request vom Initiator an den Authentifizierer als Responder übermittelt, wobei Password im Klartext übertragen wird. Der Responder sendet das Paket Authenticate-Ack mit Benutzer-ID und Password zurück, falls die Authentifizierung erfolgreich war. Falls die Authentifizierung erfolglos war, wird dies mit dem Paket Authenticate-Nak mitgeteilt und die Verbindung vom Responder abgebrochen.
10.2 IP über Punkt-zu-Punkt-Verbindungen
a )
P P P -D a te n e in h e it In fo rm a tio n
P ro to c o l P A P = x 'C 0 2 3 '
P A P -P a k e t C o d e 1 A 2 A 3 A
Id u u u
e n tifie th e n tic th e n tic th e n tic
r L a te a te a te
e n g th D a ta -R e q u e st -A c k -N a k
b )
P P P In itia to r (B e n u tz e r)
471
P P P A u th e n tifiz ie re r
A u th e n tic a te -R e q u e s t
[B e n u tz e r-ID , P a s s w o rd ]
A u th e n tic a te -A c k b z w . -N a k
Abb. 10.2-9: Konzept des PAP: a) PAP-Paket, b) Ablauf der Authentifizierung
Das CHAP legt der IETF-Standard RFC 1994 fest. Wie Abbildung 10.2-10a CHAP zeigt, definiert das CHAP vier Pakete, die im Feld Information von PPPDateneinheiten übertragen werden. a ) P ro to c o l
P P P -D a te n e in h e it In fo rm a tio n C H A P -P a k e t
C o d e C H A P = x 'C 2 2 3 ' 1 C 2 R 3 S 4 F
Abb. 10.2-10:
P P P B e n u tz e r
b )
P P P A u th e n tifiz ie re r
C h a lle n g e [X ] [A ] u c c e ss d e r a ilu re
H (X , P ) Id e n tifie r L e n g th D a ta R e sp o n se = A S h a lle n g e e sp o n se o u c c e ss F a ilu re P : P a s s w o rt X : Z u fa lls fo lg e (s o g . C h a lle n g e )
H (X , P ) = B
Ja A = B ? N e in
Konzept des CHAP: a) CHAP-Paket, b) Ablauf der Authentifizierung
Den Ablauf der Authentifizierung nach dem CHAP illustriert Abbildung 10.2- Authentifi10b. Beim CHAP erfolgt keine Übertragung des Passworts im Klartext. Hierbei zierung nach verwendet man eine nicht umkehrbare Hash-Funktion H, die auf eine Kombina- dem CHAP tion der Zufallsfolge X (sog. Challenge) und des Passworts Y des Benutzers angewendet wird. Die Zufallsfolge X muss entsprechend lang sein, sodass sie nicht wiederholbar und nicht vorhersehbar sein darf. Initiator und Authentifizierer verwenden die gleiche Einweg-Hash-Funktion H. Eine Hash-Funktion ist eine Rechenvorschrift, durch die eine „Eingangs“Zahlenfolge beliebiger Länge in eine „Ausgangs“-Zahlenfolge fester (im Allgemeinen kürzerer) Länge umgewandelt wird. Eine Einweg-Hash-Funktion funktioniert nur in eine Richtung. Das heißt, aus der „Eingangs“-Zahlenfolge lässt sich einfach die „Ausgangs“-Zahlenfolge berechnen, doch ist es sehr schwer bis unmöglich, zu einer „Ausgangs“-Zahlenfolge eine passende „Eingangs“-Zahlfolge zu berechnen. Nach dem Ablauf der Phase Establish [Abb. 10.2-4], also nach dem Aufbau der PPP-Verbindung, wird beim Authentifizierer eine Zufallsfolge X erzeugt und im Paket Challenge an den Initiator übergeben. Die Authentifizierung basiert auf dem Passwort P des Initiators, das nur ihm und dem Authentifizierer
472
10 Klassische Ansätze für IP over X
bekannt ist. Beim Initiator wird die Einweg-Hash-Funktion H auf die empfangene Zufallsfolge X und dessen Passwort P angewandt. Das Ergebnis A wird im Paket Response an den Authentifizierer zurückgesendet. Dort vergleicht man das „Initiator“-Ergebnis A mit dem dort erzielten Ergebnis B, das nach der Durchführung der gleichen mathematischen Operation H entsteht. Sind die beiden Ergebnisse identisch, ist die Authentifizierung erfolgreich und wird vom Authentifizierer mit Success bestätigt. In allen anderen Fällen wird Failure gesendet und die PPP-Verbindung abgebrochen. Die Authentifizierung nach dem CHAP kann auch während einer PPP-Verbindung durchgeführt werden, ohne dass der Datenaustausch davon betroffen ist. Dieser Prozess ist somit nicht nur auf die Verbindungsaufbauphase beschränkt. Als Hash-Funktion wird hauptsächlich der MD5-Algorithmus verwendet [RFC 1321].
10.3 IP über X.25 und Frame Relay Die Verfahren SLIP und PPP werden in der Regel eingesetzt, um IP-Pakete über physikalische Punkt-zu-Punkt-Verbindungen, also über sog. Leitungsvermittlungsnetze, wie z.B. das ISDN, zu übertragen. Neben diesen Netzen gibt es auch Paketvermittlungsnetze. Bereits Mitte der 70er-Jahre wurde der ITU-TStandard X.25 für den Aufbau von Paketvermittlungsnetzen spezifiziert. Die Netze nach X.25, die sog. X.25-Netze, spielten bis Ende 80er-Jahre bei der Datenkommunikation im WAN-Bereich eine wichtige Rolle. Da X.25 für die Datenkommunikation über Leitungen mit Bitraten im Bereich von Mbit/s nicht effektiv eingesetzt werden konnte, wurde Ende der 80er-Jahre das Konzept Frame Relay (FR) entwickelt. Die FR-Netze wurden in den 90er-Jahren oft für die standortübergreifende Vernetzung von LANs eingesetzt. Bemerkung: Bei X.25 hat das in Abschnitt 11.2 dargestellte Konzept von MPLS (Multi-Protocol Label Switching) seine Wurzel.
10.3.1 Grundlagen der X.25-Netze X.25 regelt die Übermittlung von paketierten Daten zwischen zwei Systemkomponenten, die man als DTE (Data Terminal Equipment) und DCE (Data Communication Equipment) bezeichnet. Wie Abbildung 10.3-1 zeigt, unterscheidet man zwei Varianten von X.25. X.25 DTE-DCE
Die Variante X.25 DTE-DCE regelt den Datenverkehr zwischen einem DTE im Endsystem und einem DCE eines Netzknotens. Sie wird in X.25-Netzen eingesetzt. Logisch gesehen setzt sich ein X.25-Netzknoten zusammen aus
10.3 IP über X.25 und Frame Relay
473
mehreren DCEs, die mit den einzelnen Leitungen verbunden sind, und aus einer Funktionskomponente, mit der die Vermittlungsfunktion (VF) realisiert wird. Zwischen benachbarten X.25-Netzknoten, d.h. zwischen zwei DCEs, wird eine modifizierte Version von X.25 eingesetzt, die man X.75 nennt. a ) E n d s y s te m A
D C E
z .B . X .2 1
D T E
V F
D C E
X .2 5 E n d s y s te m
b )
D C E
X .2 5 N e tz
D C E A
z .B . X .2 1
D T E
E n d s y s te m
D C E
X .7 5 D C E
D T E
D C E
V F
B
X .2 5
D C E
E n d s y s te m
L e itu n g s v e rm ittlu n g s n e tz
B
D T E
X .2 5 D T E - D T E
Abb. 10.3-1: Varianten von X.25: a) X.25 DTE-DCE, b) X.25 DTE-DTE VF: Vermittlungsfunktion
X.25 DTE-DTE regelt den Datenverkehr zwischen zwei DTEs, die entweder X.25 DTEdirekt über eine feste physikalische Leitung oder über ein Netz mit der Lei- DTE tungsvermittlung (d.h. über eine geschaltete physikalische Leitung), wie das in Abbildung 10.3-1b der Fall ist, verbunden sind. Diese Variante von X.25 beschreibt die Datenübermittlung in Form von Paketen über eine physikalische Punkt-zu-Punkt-Verbindung.
n
D T E
b
...
L C I= b n
L C I= n
b n
D T E a a
L C I= a a
b
...
n
a
M U X
a
b v ir tu e lle K a n ä le
b n
Abb. 10.3-2: Multiplexer-Modell der logischen Schnittstelle X.25
b
...
M U X
b
b
n
A p p lik a tio n e n
R e c h n e r B
R e c h n e r A a
...
A p p lik a tio n e n
X.25 bietet die Möglichkeit, über eine physikalische Leitung parallel mehrere virtuelle Kanäle zu realisieren (siehe Abbildung 10.3-2). Dabei wird eine Verbindung von zwei statistischen Multiplexern in kommunizierenden Rechnern logisch nachgebildet. Zwischen ihnen wird eine Reihe von Paketen über eine Leitung übertragen. Jedes Paket enthält die Angabe LCI (Logical Channel Identifier), die den Port im Multiplexer (MUX) bestimmt.
Parallele Kommunikation nach X.25
474 Bedeutung des LCI
10 Klassische Ansätze für IP over X
Ein Port, der einen Network Service Access Point (NSAP) darstellt und einem Socket bei TCP/IP entspricht, ist hierbei als Sende-/Empfangs-Puffer zu interpretieren. Eine logische Verbindung von Ports in Multiplexern kann als logischer (virtueller) Kanal angesehen werden. Damit lässt sich die serielle Übertragung einer Reihe von Paketen als parallele Übertragung über mehrere virtuelle Kanäle mit den Nummern a, b, ..., n auslegen. Für die Zuordnung eines Pakets zu einem virtuellen Kanal erhält jedes Paket im Header eine Kanalnummer LCI (Logical Channel Identifier) [Abb. 10.3-4]. Für den Auf- und Abbau von virtuellen Wählverbindungen stellt X.25 spezielle Pakete zur Verfügung. Hierzu gehören u.a. die Pakete Call Request, Call Confirmation, Clear Request und Clear Confirmation.
Definitionsbereich von X.25
X.25 umfasst die Definitionen der drei untersten Schichten nach dem OSIReferenzmodell [Abb. 1.3-3]. Abbildung 10.3-3 illustriert dies. X .2 5 - A n w e n d u n g
X .2 5 - A n w e n d u n g X .2 5 - D e f in itio n s b e r e ic h
N S A P S c h ic h t 3
X .2 5 P L P
S c h ic h t 3
S c h ic h t 2
L A P B
S c h ic h t 2
S c h ic h t 1
P H Y
D T E A
V F
X .2 5 N e tz S c h ic h t 1 k n o te n D C E A
N S A P
S c h ic h t 3
X .2 5 P L P
S c h ic h t 3
S c h ic h t 2
L A P B
S c h ic h t 2
S c h ic h t 1
P H Y
S c h ic h t 1
D C E B
D T E B
Abb. 10.3-3: Definitionsbereich von X.25 VF: Vermittlungsfunktion, NSAP: Network Service Access Point
Die Funktionen der einzelnen Schichten in DTE und DCE sind: Schicht 1 (Bitübertragungsschicht): Sie beschreibt die physikalische Schnittstelle. Hier sind die Schnittstellen X.21 und X.21bis möglich. Welche Schnittstelle im konkreten Fall eingesetzt wird, ist von den DTE-Fähigkeiten abhängig. Schicht 2 (Sicherungsschicht): Sie beinhaltet das Steuerungsverfahren zur Übertragung von Frames. Es wird eine Variante der HDLC-Prozedur (High-Level Data Link Control) verwendet, die als LAPB (Link Access Protocol, Balanced) bezeichnet wird. Schicht 3 (Vermittlungsschicht): Sie legt die Struktur der Steuerungsangaben und der Daten innerhalb der X.25-Pakete fest. Das Protokoll dieser Schicht wird als X.25PLP (Packet Layer Protocol) bezeichnet und ist für den Verbindungsauf- und -abbau sowie die Übertragung der Datenpakete während einer Verbindung verantwortlich. Es können gleichzeitig mehrere virtuelle Verbindungen über eine physikalische Leitung abgewickelt werden [Abb. 10.3-2]. X.25PLP verwendet verschiedene Typen der X.25-Pakete, um u.a. folgende Funktionen zu realisieren: Verbindungsauf- und abbau, Datentransfer und Flusskontrolle.
Abbildung 10.3-4 zeigt die Datenstruktur nach X.25. Ein X.25-Paket enthält einen Header, nach dem die Parameterangeben bzw. die Daten folgen können. X.25-Pakete stellen den Inhalt des Datenfelds in HDLC-Frames der Siche-
10.3 IP über X.25 und Frame Relay
475
rungsschicht dar und sie werden um einige Angaben nach LAPB zur Fehlerund Flusskontrolle ergänzt. 4 G F I
S te u e rfe ld A d re s s fe ld R a h m e n b e g re n z u n g
1 2 L C I
H e a d e r
8 P T I
B its
X .2 5 - D a te n p a k e t P a ra m e te r, D a te n R a h m e n b e g re n z u n g D a te n fe ld
F C S
L A P -B -F ra m e 0 1 1 1 1 1 1 0 1 0 1 1 1 0 0 1 0 0 ... ...1 0 1 0 1 0 1 1 0 1 1 1 1 1 1 0 B its tr o m z .B . n a c h X .2 1
Abb. 10.3-4: Strukturierung von Datennach nach X.25 FCS: Frame Check Sequence, LAP-B: Link Access Protocol, Balanced
Die einzelnen Angaben im X.25-Header haben folgende Bedeutung:
X.25-Header
GFI (General Format Identifier): Die GFI-Angaben legen das Grundformat für den restli-
chen Paketteil fest. LCI (Logical Channel Identifier): Der LCI setzt sich aus der LGN (Logical Group Number) und der LCN (Logical Channel Number) zusammen. Mit 12 Bits des LCI können (theoretisch!) bis zu 4096 virtuelle Kanäle je physikalische Leitung definiert werden. Mit der LGN
können diese virtuellen Kanäle in 16 Gruppen zu jeweils 256 Kanälen aufgeteilt werden. Mit der LGN wird die Kanalgruppe identifiziert und mit der LCN werden die einzelnen Kanäle innerhalb einer Gruppe gekennzeichnet. PTI (Packet Typ Identifier): Der PTI definiert den jeweiligen Pakettyp. Die PTI-Angaben dienen der Unterscheidung einzelner Pakettypen, also ob es sich um ein Datenpaket bzw. um welches Steuerungspaket es sich handelt.
Die Aufgabe einer X.25-Paketvermittlung ist, virtuelle (Ende-zu-Ende-)Verbin- Paketverdungen, die sog. X.25-Verbindungen, durch die Kopplung virtueller Kanäle in mittlung Netzknoten zu realisieren. Dazu müssen LCIs mithilfe von Vermittlungstabel- nach X.25 len umgesetzt werden, sodass eine korrekte Verknüpfung virtueller Kanäle in Netzknoten erfolgt. Abbildung 10.3-5 illustriert die X.25-Paketvermittlung.
L C I = a
L C I = b
a
E in .- K 1
b
E in .- K m
X .2 5 - P a k e tv e r m ittlu n g
L C I-U m s e tz u n g
A u s .- K 1
A u s .- K n
Abb. 10.3-5: Veranschaulichung des Prinzips der X.25-Paketvermittlung Ein-K: Eingangs-Kanal, Aus-K: Ausgangs-Kanal
x
y
L C I = x
L C I = y
476
10 Klassische Ansätze für IP over X
Die X.25-Paketvermittlung realisiert in einem Netzknoten folgende Abbildung: (Ausgangskanal, Ausgangs-LCI)
(Eingangskanal, Eingangs-LCI)
Damit sind hierbei folgende Funktionen zu erfüllen: Ausgangskanal), d.h. die Übergabe eiRaumvermittlung (Eingangskanal nes X.25-Pakets von einem physikalischen Eingangskanal an einen physikalischen Ausgangskanal. LCI-Bestimmung (Eingangs-LCI Ausgangs-LCI): Für jedes empfangene Paket muss ein Ausgangs-LCI bestimmt werden. Zwischenspeicherung der X.25-Pakete: Es kann vorkommen, dass einige Pakete zwischengespeichert werden müssen, weil der Ausgangskanal mit der Übertragung früher angekommener Pakete vorläufig belegt ist. Man unterscheidet bei X.25 zwischen festen virtuellen Verbindungen PVC (Permanent Virtual Circuit) und virtuellen Wählverbindungen SVC (Switched Virtual Circuit). Abbildung 10.3-6 illustriert die Übermittlung eines X.25-Pakets über eine virtuelle Verbindung. X .2 5 - N e tz k n o te n
E in .- K = x a
V F b
E in .- K = y
V - T a b .- x 1 a
y
... ...
b
c
b V - T a b .- y
b 1 b
D T E M U X
M U X
a
V F
M U X
a
X .2 5 - N e tz k n o te n
M U X
A
M U X
D T E
M U X
Vermittlungsfunktionen
y
... ...
B c
c
c
Abb. 10.3-6: Realisierung von virtuellen Ende-zu-Ende-Verbindungen
Jedem Eingangskanal (Ein.-K) wird eine Vermittlungstabelle (V-Tab.) im Netzknoten zugeordnet, in der der Ausgangskanal vom Knoten und der Ausgangs-LCI-Wert für jeden möglichen Eingangs-LCI-Wert angegeben werden. Die Aufgabe der Vermittlungsfunktion (VF) besteht in der „Übergabe“ eines empfangenen Pakets vom Port am Eingangskanal zum Port am Ausgangskanal.
10.3.2 IP über X.25 Der schichtenbezogene Aufbau von X.25 macht deutlich [Abb. 10.3-3], dass das X.25PLP auf einer Stufe mit dem IP steht. Im Gegensatz zu diesem verfügt
10.3 IP über X.25 und Frame Relay
477
X.25 aber sowohl über einen verbindungsorientierten Dienst CONS (Connection Oriented Network Service) als auch über einen verbindungslosen CNLP (ConnectionLess Network Service). Die Nutzung des X.25 für IPKommunikation basiert wesentlich auf dem ITU-T-Standard X.244 sowie dem RFC 1356, der die IP-Encapsulation über X.25 beschreibt. Ein X.25-Netz fungiert für die Übermittlung der IP-Pakete als Transitnetz. Da- IP-Pakete her müssen IP-Pakete entsprechend in X.25-Pakete eingebettet werden. Die in X.25X.25-Pakete können über feste X.25-Verbindungen bzw. über Wählver- Paketen bindungen übertragen werden. Sollen die IP-Pakete über eine Wählverbindung transportiert werden, muss dies bereits beim Verbindungsaufbau im X.25-Paket Call Request signalisiert werden. Hierfür wird das ein Byte große Feld NLPID (Network Layer Protocol Identifier) in Call Request hinzugefügt. Wie Abbildung 10.3-7 zeigt, gibt es dafür drei Alternativen.
a ) b ) c )
X .2 5 - P a k e te D a ta
X .2 5 - P a k e te C a ll R e q u e s t G F I
L C I
P T I
A D R
F A C
C C
G F I
L C I
P T I
A D R
F A C
8 0
G F I
L C I
P T I
A D R
F A C
0 0 N L P ID
S N A P
G F I
L C I P ( R ) ,P ( S )
G F I
L C I P ( R ) ,P ( S ) P D U ( o h n e S N A P )
G F I
L C I P ( R ) ,P ( S )
IP -P a k e t
C C
P D U
N L P ID
Abb. 10.3-7: Angabe von IP in Call Request und Transport der IP-Pakete in X.25-Paketen: a) Standard mit NLPID = x'CC', b) mittels SNAP-Header und NLPID = x'80' c) mittels Null-NLPID und mit NLPID = x'CC' im Datenpaket ADR: Adresse, FAC: Facilities, P(S): Sendefolgenummer, P(R): Empfangsfolgenummer
Um darauf zu verweisen, dass IP-Pakete in X.25-Paketen Data – also in X.25-Datenpaketen – transportiert werden, können in X.25-Paketen Call Request folgende NLPID-Angaben gemacht werden: Standard IP mit NLPID = x'CC' [Abb. 10.3-7a]. In diesem Fall werden die IP-Pakete als Payload in X.25-Paketen Data übermittelt. Einsatz von SNAP [Abschnitt 10.1.2] mit NLPID = x'80' [Abb. 10.3-7b]. Bei dieser Lösung können über eine virtuelle Verbindung nur genau die mit SNAP gekennzeichneten Protokolldaten übertragen weren. Null Encapsulation mit NLPID = x'00' [Abb. 10.3-7c]. Hierbei wird der NLPID der PDU, die als Nutzlast in X.25-Paketen Data transportiert wird, vorangestellt. Da mit dem NLPID angegeben wird, nach welchem Layer-3-Protokoll die Daten strukturiert sind, können somit die Daten nach mehreren Protokollen über eine virtuelle Verbindung transportiert werden. Werden IP-Pakete übermittelt, müssen die X.25-Paketen Data NLPID = x'80' enthalten.
RFC 1236 formuliert zwar ein Verfahren, wie aus IP-Adressen DTE-Adressen nach X.121 abgeleitet werden können, jedoch ist im Gegensatz zur Übertragung von IP-Paketen über ein LAN kein (ARP-)Verfahren festgelegt, wie das
Ansätze für das IP over X.25
478
10 Klassische Ansätze für IP over X
dynamisch geschehen kann. Daher findet in der Regel eine statische Adressumsetzung statt, die auf lokalen, d.h. im X.25-Knoten hinterlegten Konfigurationstabellen basiert. IP-Fragmentation bei X.25
Wird ein X.25-Netz als Transitnetz zwischen LANs eingesetzt, weisen die vom LAN kommenden IP-Pakete vor allem bei Applikationen, wie z.B. Filetransfer, Größen in der Nähe der Maximum Transfer Unit (MTU) auf, d.h. je nach LANTyp zwischen 1500 Bytes bei Ethernet und 17800 Bytes bei Token-Ring. Entsprechend dem RFC 1356 stellt X.25 auch Mechanismen bereit, diese großen IP-Pakete mittels des M-Bit im Data-Paket zu fragmentieren. Für weitere Informationen über X.25-Netze sei u.a. verwiesen auf [Bada 97b] und [Stöt 95].
10.3.3 Konzept von Frame Relay Frame Relay (FR) wird häufig als Nachfolger von X.25 angesehen und ist durch Verzicht auf einige X.25-Sicherungsmechnismen auf eine „schnelle“ Datenübertragung optimiert. Bei FR werden die Nutzdaten im Gegensatz zu X.25 in Frames innerhalb der Schicht 2 übertragen. Die Spezifikation des Konzepts und die Anwendungen von FR wurden von der ITU-T, vom ANSI und vom Frame-Relay-Forum parallel vorangetrieben. Die Spezifikationen von ITU-T und ANSI sind fast identisch und sehr stark auf die ISDN-Architektur bezogen. Die Spezifikation des FR-Forums enthalten eine Reihe von Vereinbarungen der Hersteller von FR-Systemkomponenten. Das als FR bezeichnete Protokoll stellt eine Variante des Schicht-2-Protokolls LAPD (Link Access Protocol, Channel D) vom ISDN [Bada 97a] dar und wird im Standard Q.922 Annex A festgelegt. FR vereinigt in sich die Eigenschaften von X.25 und statistischen Multiplexern. FR versus X.25
Auf den ersten Blick erfüllt ein X.25-Netz die Anforderungen der modernen Datenkommunikation. Warum ist dann aber FR entwickelt worden? Um die Frage zu beantworten, vergleichen wir in Abbildung 10.3-8 das Prinzip der Datenübermittlung nach X.25 und nach FR. In X.25-Netzen wird die 2-stufige Fehlerkontrolle realisiert. Das Prinzip dieser Fehlerkontrolle veranschaulicht Abbildung 10.3-8a. Bei der Übertragung eines Pakets im X.25-Netz über eine physikalische Leitung findet eine Fehlerkontrolle innerhalb der zweiten Schicht nach dem Protokoll LAPB statt, das eine Variante von HDLC darstellt. Jedes X.25-Paket wird für die Übertragung über jede physikalische Leitung in einen LAPB-Frame eingebettet. Jeder LAPB-Frame wird nach der Übertragung über eine Leitung immer daraufhin geprüft, ob einige Bits während der Übertragung eventuell verfälscht wurden. Danach erfolgt eine positive oder negative lokale Quittung nach dem LAPB. Diese mit jeder physikalischen Leitung verbundenen Quittungen realisieren die abschnittsweise (lokale) Fehlerkontrolle. Zusätzlich zur abschnittsweisen Fehlerkontrolle findet eine Ende-zu-Ende-
10.3 IP über X.25 und Frame Relay
479
Fehlerkontrolle innerhalb der dritten Schicht nach dem X.25PLP statt. In diesem Fall werden X.25-Pakete durch die Ziel-DTE entsprechend quittiert. a ) Q u e llE S
b )
Q u e ll-D T E
X .2 5
X .2 5 - N e tz
X .2 5
Z ie l-D T E
Z ie lE S
L A P B Q u ittu n g e n
L A P B -F ra m e m it e in e m X .2 5 - P a k e t
X .2 5 Q u ittu n g
L A P B -Q u ittu n g e n
Q u e llE S
Q u e llD T E
F R
F R -N e tz
F R
Z ie lD T E
Z ie lE S Q u ittu n g (o p tio n a l)
Abb. 10.3-8: Prinzip der Datenübermittlung: a) nach X.25, b) nach Frame Relay (FR) ES: Endsystem
Die mit jeder physikalischen Leitung verbundenen lokalen Quittungen nach dem LAPB verringern den Durchsatz von X.25-Netzknoten. Dadurch werden die Leitungen in X.25-Netzen überwiegend nur bis zu 64 kbit/s eingesetzt. Bei einfachen Strukturen eines X.25-Netzes kann die Datenübertragung mit der Bitrate von 2 Mbit/s erfolgen. Dies ist aber selten der Fall. Werden schnelle Übertragungsmedien (z.B. Glasfaser) eingesetzt, müssen die Netzknoten in der Lage sein, höhere Übertragungsbitraten zu unterstützen. Dafür ist eine Modifikation von X.25 notwendig. Diese hat zur Entstehung von FR geführt. FR ist eine Vereinfachung von X.25 u.a. in Bezug auf eine abschnittsweise Fehlerkontrolle, um die höheren Übertragungsbitraten im Netz zu unterstützen. Bei FR werden die Nutzdaten in Frames eingepackt, die unterschiedlich groß sein können. Die Frames werden nach dem LAPF (Link Access Protocol for Frame Relay) aufgebaut [Abb. 10.3-11]. Wie Abbildung 10.3-8b illustriert, werden die übertragenen FR-Frames nicht abschnittsweise quittiert. In jedem FRKnoten bzw. im Ziel-DTE werden die empfangenen Daten nur darauf geprüft, ob Übertragungsfehler vorliegen. Es werden keine mit jeder physikalischen Leitung verbundenen lokalen Quittungen gesendet, wie es bei X.25 der Fall war. Bei Kern-FR wird die eigentliche Sicherheitsüberprüfung der Datenübermittlung über das Netz den Endsystemen überlassen. Sie müssen die Übertragungsfehler erkennen und wiederholte Übertragung fehlerhafter bzw. verloren gegangener Daten anfordern. Bei FR kann aber die Ende-zu-Ende-Fehlerkontrolle bei Bedarf über das Protokoll LAPF Control realisiert werden. Diese Option wird jedoch in der Praxis kaum eingesetzt.
Warum FR?
Datenübermittlung nach FR
480 Architektur von FRNetzen
10 Klassische Ansätze für IP over X
FR wird bei Übertragungsraten bis zu 2 Mbit/s eingesetzt und steht in der „Bitraten-Hierarchie“ somit zwischen X.25 und ATM [Abschnitt 10.4.1]. Die logische Architektur von FR-Netzen illustriert Abbildung 10.3-9. Diese Architektur stimmt mit der Architektur der X.25-Netze fast überein [Abb. 10.3.1a]. F R E n d s y s te m
z .B . X .2 1 , E 1 , T 1
D T E
F R -N e tz
D C E D C E
F R -U N I
F R -N N I
D C E
V F
V F
D C E
D C E
F R E n d s y s te m
D C E
D T E
D C E F R -U N I
D C E
Abb. 10.3-9: Logische Architektur von FR-Netzen (vgl. Abb. 10.3-1a) DTE: Data Terminal Equipment, DCE: Data Communication Equipment, VF: Vermittlungsfunktion
FR regelt den Datenaustausch in Form von sog. Frames (Datenrahmen) zwischen der Komponente DTE (Data Terminal Equipment) in einem Endsystem und der Komponente DCE (Data Communication Equipment) in einem Netzknoten bzw. zwischen DCEs in benachbarten Netzknoten. DTE und DCE sind als logische Module zu interpretieren und ihre Funktionen sind den Schichten 1 und 2 des Schichtenmodells zuzuordnen. Die Netzzugangsschnittstelle zwischen DTE und DCE wird als FR-UNI (FR User Network Interface) bezeichnet. Die Schnittstelle zwischen zwei DCEs trägt die Bezeichnung FR-NNI (FR Network Network Interface). Um herkömmliche Endsysteme an ein FR-Netz anzuschließen, können alle gebräuchlichen physikalischen Schnittstellen aus dem Bereich der Datenkommunikation verwendet werden. Hierzu gehören u.a. die Schnittstellen X.21, E1 (2 Mbit/s) und T1 (1.5 Mbit/s). Definitionsbereich von FR
Wie Abbildung 10.3-10 zeigt, umfasst FR die Definitionen der zwei unteren Schichten nach dem OSI-Referenzmodell, wobei die zweite Schicht aufgeteilt werden kann. FR realisiert die Vermittlungsfunktion (VF) innerhalb der Schicht 2. F R -A n w e n d u n g
L A P F C o n tro l (o p tio n a l)
S c h ic h t 2 b S c h ic h t 2 a S c h ic h t 1
Abb. 10.3-10:
F R -A n w e n d u n g
D e fin itio n s b e re ic h v o n F ra m e R e la y (F R )
L A P F C o re P H Y
S c h ic h t 2 a S c h ic h t 1
V F
S c h ic h t 2 b
S c h ic h t 2 a
L A P F C o re
S c h ic h t 2 a
S c h ic h t 1
P H Y
S c h ic h t 1
Definitionsbereich von Frame Relay (vgl. Abb. 10.3-3)
481
10.3 IP über X.25 und Frame Relay Die Funktionen der einzelnen Schichten sind: Schicht 1 (Bitübertragungsschicht): Sie beschreibt die physikalische Schnittstelle. In der Regel kommen hier die Schnittstellen E1 und T1 zum Einsatz. Schicht 2a (FR-Kernschicht): Sie beinhaltet das Kerprotokoll LAPF, nach dem die FRFrames aufgebaut und übermittelt werden. Schicht 2b (Fehlerkontrolle): Sie ist optional und kann realisiert werden, um die Ende-zuEnde-Fehlerkontrolle zu ermöglichen. Hier kommt das Protokoll LAPF Control zum Einsatz, das eine Variante von HDLC darstellt. Die Schicht 2b wird in der Praxis kaum realisiert.
Abbildung 10.3-11 zeigt den Aufbau von Frames bei FR. B it: 8
D L C I 1 B y te F la g B it: 8 7
D L C I
5 6
D L C I
4 5
6 7
D L C I
F E C N B E C N
3
F E C N B E C N D L C I b z w . C o re C o n tro l
C /R D E D /C
2
1
E A = 0 E A = 0 E A = 1
3 -B y te s -S te u e ru n g s fe ld
Abb. 10.3-11:
1
E A = 0 E A = 1
B it: 8
2 -B y te s S te u e ru n g s fe ld 2 B y te s
1 ... 8 1 8 8 B y te s D a te n fe ld
A d re s s fe ld 4
2
C /R D E
3
D L C I
1 B y te F la g
F C S 5 6
7
Frames bei FR
4 3
D L C I F E C N B E C N
D L C I D L C I b z w . C o re C o n tro l
2
C /R D E D /C
1
E A E A E A E A
= 0 = 0 = 0 = 1
4 -B y te s -S te u e ru n g s fe ld
Aufbau von Frames bei FR
Jeder Frame beim FR beginnt mit einem Beginn-Flag als Frame-Begrenzung, dann kommt ein 2, 3 oder 4 Bytes langes Adressfeld, anschließend folgen die zu übertragenden Daten und daraufhin kommt die Fehlerprüffolge FCS (Frame Check Sequence). In der Praxis werden oft die Frames mit dem 2 Bytes langen Adressfeld verwendet. Beide Flags als 01111110 erlauben es den Beginn und das Ende jedes Frames zu erkennen. Die FCS ermöglicht das Erkennen von Bitfehlern nach der Übertragung im Adressfeld und innerhalb von Daten. Die einzelnen Angaben im Steuerungsfeld haben folgende Bedeutung: DLCI (Data Link Connection Identifier): Der DLCI wird zur Identifikation eines virtuellen
Kanals innerhalb einer physikalischen Leitung benutzt und gilt als FR-Adresse. Einige DLCI-Werte werden von vornherein z.B. für Management-Zwecke reserviert. Der Funktion nach ist der DLCI mit dem LCI bei X.25 vergleichbar [Abb. 10.3-2]. C/R-Bit (Command/Response): FR wurde zuerst als zusätzlicher ISDN-Dienst für die Übertragung von paketierten Daten im D-Kanal vorgesehen. Hierfür wurde das C/R-Bit vom Protokoll LAPD (Schicht 2 im D-Kanal) übernommen. Das C/R-Bit wird „außerhalb“ des ISDN nicht benutzt. Daher wird C/R beliebig gesetzt und transparent über das FR-Netz übertragen. EA-Bit (Extended Address, DLCI-Erweiterung): Mit dem EA-Bit können die DLCI-Angaben, d.h. Multiplex-Adressen, wie folgt erweitert werden: − EA=0: weitere DLCI-Bits im nächsten Byte, − EA=1: keine weiteren DLCI-Bits im nächsten Byte.
482
10 Klassische Ansätze für IP over X DE-Bit (Discard Eligibility, Wegwerf-Erlaubnis): Das DE=1 kennzeichnet diejenigen Frames, die bei Überlastsituationen in FR-Netzknoten in erster Reihe – d.h. bevorzugt vor anderen Frames – verworfen werden dürfen. BECN (Backward Explicit Congestion Notification, Überlast-Rückwärtsanzeige): Das Bit BECN kann in einem FR-Knoten gesetzt sein, um Überlast rückwärts anzuzeigen. Alle Netz-
knoten zwischen dem betroffenen Knoten und dem Quellendsystem dürfen dieses Bit nicht löschen, um dem Quellendsystem anzuzeigen, dass es vorläufig weniger Daten ins Netz senden soll. FECN (Forward Explicit Congestion Notification, Überlast-Vorwärtsanzeige): Das Bit FECN
kann in einem FR-Knoten gesetzt sein, um Überlast vorwärts anzuzeigen. Alle Netzknoten zwischen dem betroffenen Knoten und dem Zielendsystem dürfen dieses Bit nicht löschen. Bit FECN=1 kann das Zielendsystem durch die Ende-zu-Ende-Flusskontrolle das Quellendsystem zur Reduzierung der ins Netz gesendeten Datenmenge zwingen. D/C-Bit (DLCI or Core Control Indication): In einem 3-Bytes- bzw. 4-Bytes-Steuerungsfeld kann das letzte Byte entweder die DLCI-Bits oder die Steuerungsangaben (Core Control) in
Bezug auf die Realisierung der wichtigsten Dienste (d.h. der Core Services) enthalten. Mit dem D/C-Bit wird der Inhalt des letzten Bytes folgendermaßen markiert: − D/C=0: Im letzten Byte sind die DLCI-Bits enthalten. − D/C=1: Das letzte Byte enthält die Steuerungsangaben.
Ein FR-Netz kann als Vernetzung von statistischen Multiplexern angesehen werden. Ähnlich wie X.25 erlaubt auch FR mehrere logische Verbindungen auf einer physikalischen Übertragungsstrecke. Abbildung 10.3-12 zeigt dies. Für die Datenkommunikation über ein FR-Netz müssen virtuelle Ende-zu-EndeVerbindungen zwischen den Endsystemen aufgebaut werden. Logisch gesehen stellt eine virtuelle Ende-zu-Ende-Verbindung eine logische Verknüpfung von Multiplexer-Ports in zwei Endsystemen dar, um die Daten in Frames übermitteln zu können. Die FR-Verbindungen sind duplexfähig, d.h. sie lassen gleichzeitiges Senden und Empfangen zu.
D T E
Abb. 10.3-12:
D C E
F
X
U
F
M M X X
U
D C E
D L C Is
X
U
M
V
M
U
...
X
V
F R -E n d s y s te m
F R -N e tz k n o te n
F R -N e tz
...
X
U
...
M U
...
...
M
F R -N e tz k n o te n
...
F R -E n d s y s te m
D L C Is
Verbindungen über FR-Netze
D T E
FR-Netz als Vernetzung von statistischen Multiplexern FR-ES: FR-Endsystem, VF: Vermittlungsfunktion; MUX: Multiplexerfunktion
Die FR-Netze arbeiten nur auf der Grundlage von virtuellen Verbindungen, die vom Netzbetreiber zuerst über ein Netzmanagementsystem eingerichtet werden und so lange vorhanden sind, bis sie wieder gelöscht werden.
10.3 IP über X.25 und Frame Relay
10.3.4 IP über Frame Relay FR-Netze dienen als Transitnetze für die Vernetzung von LANs bzw. anderen Hostsystemen. Die Daten nach verschiedenen Protokollen für den Transport über FR-Netze müssen entsprechend in FR-Frames eingekapselt werden. In RFC 2427 wird festgelegt, wie IP-Pakete und Daten anderer Protokolle über FR übertragen werden können. Abbildung 10.3-13 illustriert, wie IP-Pakete und LAN-Frames in FR-Frames transportiert werden können. Nach dem FRHeader kommt das Feld Control mit dem Wert x´03´, um darauf zu verweisen, dass es sich um eine ungesicherte Übertragung von UI-Frames (Unnumbered Information) nach LAPF Core handelt [Abb. 10.3-10]. Danach kommt optional das 1-Byte-Feld Pad. Dieses Feld wird hinzugefügt, um die Anzahl von Bytes des restlichen Frames gerade zu machen. Falls dieses Feld vorhanden ist, enthält es immer den Wert x´00´. a )
b )
F R -H e a d e r
= x ´C C ´ IP v 4 , = x ´8 E ´ IP v 6
F la g
A d r-F
C trl x ´0 3 ´
P a d x ´0 0 ´
N L P ID
F la g
A d r-F
C trl x ´0 3 ´
P a d N L P ID x ´0 0 ´ x ´8 0 ´
L 3 -P ro to k o lld a te n
F la g
A d r-F
C trl x ´0 3 ´
P a d N L P ID x ´0 0 ´ x ´8 0 ´
F la g
O U I = x ´0 0 -0 0 -0 0 ´, P ID = x ´0 8 -0 0 ´ (2 0 4 8 ) fa lls IP S N A P L 3 -P ro to k o lld a te n F C S F la g P ID P ID P ID P ID
O U I = x ´0 0 -8 0 -C 2 ´ c )
F C S
S N A P
= x ´0 = x ´0 = x ´0 = x ´0 L A N -F
0 -0 0 -0 0 -0 0 -0 ra m
1 ´ E 7 ´ E 3 ´ T 9 ´ T e [IP
th e rn th e rn R -F r R -F r -P a k
e te ta m a m e t]
F ra F ra e m e o
m e m m e o it F C h n e F F C S
it F C S h n e F C S S C S F la g
A d r-F : A d re s s fe ld , C trl: C o n tro l, L 3 : L a y e r-3 , P a d : P a d d in g , T R : T o k e n R in g
Abb. 10.3-13:
Möglichkeiten der Übermittlung von IP-Daten in FR-Frames: a) L3-Protokoll wird in NLPID angegeben, b) NLPID verweist auf das SNAP, c) NLPID verweist auf das SNAP mit der Angabe des LAN-Frame-Typs
Mit NLPID (Network Layer Protocol IDentifier) wird angezeigt, welche Daten bzw. welche weitere Einkapselung folgt. Es werden folgende Möglichkeiten zur Verfügung gestellt: Übermittlung von Paketen der Layer-3-Protokolle (u.a. der IP-Pakete) Hierbei sind weitere zwei Fälle zu unterscheiden: − Falls NLPID nicht gleich x´80´ ist, wird ein Paket eines Layer-3-Protokolls im FR-Frame transportiert; welches das ist, wird durch NLPID angegeben [Abb. 10.3-13a]. − NLPID = x´80´ verweist darauf [Abb. 10.3-13b], dass der SNAP-Header folgt [Abb. 10.1-4], sodass ein Protokollmultiplexing [Abb. 10.1-5] über eine FR-Verbindung realisiert werden kann. Übermittlung der LAN-Frames (MAC-Frames) mit Layer-3-Protokolldaten Hier verweist NLPID = x´80´ darauf [Abb. 10.3-13c], dass der SNAP-Header folgt. Mit OUI =x´00-80-C2´ wird aber angezeigt, dass ein LAN-Frame im FR-Frame transportiert wird,
483
484
10 Klassische Ansätze für IP over X in dem die Daten verschiedener Layer-3-Protokolle enthalten sein können [Abschnitt 10.1.2]. Optional ist es möglich, auch die ursprüngliche FCS (Frame Check Sequence) vom LANFrame einzubetten. Dies wird mit dem PID angegeben.
Fragmentation
Bei der IP-Kommunikation über FR-Netze kann der Fall auftreten, dass die MTU auf die Belange von FR reduziert werden muss. Daher wurde ein Verfahren in RFC 2427 vorgestellt, wie ein sog. FR Access Device (FRAD) am Rande eines FR-Netzes ein langes IP-Paket in mehreren FR-Frames übermitteln sollte, was als Fragmentation bezeichnet wird. Abbildung 10.3-14 illustriert sie. F la g
A d r-F
C trl x ´0 3 ´
P a d N L P ID x ´0 0 ´ x ´8 0 ´
S N A P = [ O U I = x '0 0 - 8 0 - C 2 ', P I D = x '0 0 - 0 D ']
F la g
A d r-F
Abb. 10.3-14:
C trl x ´0 3 ´
S N A P
F
R
O
IP -T e ilp a k e t 1
F C S
F la g
F C S
F la g
S N = 1 , O = 0 , F = 0 D a te n ( z .B . T C P /U D P - P D U )
IP -H e a d e r
P a d N L P ID x ´0 0 ´ x ´8 0 ´
S N
S N = 2 , O = x , F = 1
S N A P
S N
F
R
O
IP -T e ilp a k e t 2
S N : S e q u e n c e N u m b e r, F : F in a l, O : O ffs e t, R : R e s e rv e d
Übertragung eines großen IP-Pakets in zwei FR-Frames
Die Fragmentation wird wie folgt durchgeführt: Allen Teilpaketen wird der SNAP-Header mit OUI = x'00-80-C2' und PID = x'00-0D' vorangestellt. Jeder Frame mit Teilpaket erhält eine Sequenznummer (SN) und einen sog. Offset (O) von 11 Bits, der dem logischen Versatz des Teilpakets dividiert durch 32 entspricht. Der Offset entfällt naturgemäß beim ersten Teilpaket. Der letzte Frame einer Folge von Teilpaketen wird mit einem Final-Bit gekennzeichnet. Das Feld Reserved wird zurzeit nicht genutzt.
Das in Abbildung 10.3-14 gezeigte Verfahren garantiert somit, dass die einzelnen IP-Teilpakete beim Verlassen des FR-Netzes vom verantwortlichen FRAD wieder zu einem IP-Paket zusammengefügt werden können. Die Fragmentation setzt u.a. voraus, dass die Teilpakete in der richtigen Reihenfolge auf der gleichen FR-Verbindung übertragen werden. Adressauflösung
Für die Ermittlung der MAC-Adresse für eine IP-Adresse ist das ARP (Address Resolution Protocol) zuständig [Abschnitt 2.6.1]. Beim FR sind statt der MAC-Adressen die DLCIs von Bedeutung. DLCIs können daher als FR-Adressen angesehen werden. Werden mehrere IP-Subnetze über ein FR-Netz verbunden, müssen die Router über die Tabellen mit den Zuordnungen Ziel-IPlokale DLCI verfügen. Abbildung 10.3-15 illustriert dies. Liegt z.B. ein IP-Paket im Adresse Router A vor, das an den Port beim Router B mit der IP-Adresse x3, gesendet werden soll, muss der Router A wissen, dass er DLCI = a2 im Header des FR-Frame setzen muss. Dies kann der Router A aus seiner Adresstabelle ablesen. Um die Adresstabelle dynamisch zu erzeugen, legt RFC 2427 fest, wie hierfür das ARP bzw. das RARP verwendet werden kann. Abbildung 10.3-15 zeigt, wie das ARP hierfür eingesetzt wird. Der Router A sendet hier ARP-Request mit der Quell-IP-Adresse (spa = x1) und der Ziel-IPAdresse (tpa = x3). Da DLCIs dynamisch zugeordnet werden und lokale Bedeutung haben,
10.4 IP über ATM-Netze muss die Quell-Hardware-Adresse (sha) in ARP-Request nicht angegeben werden. Aus dem im Router B empfangenen FR-Frame mit ARP-Request wird die DLCI = a3 abgelesen und als sha im ARP-Request eingetragen. Der Router B kopiert sich die Zuordnung x1 a3 und sendet ARP-Reply an den Router A, in dem er die Quellangaben als Zielangeben setzt. sha wird in ARP-Reply nicht angegeben. Aus dem im Router A empfangenen FR-Frame mit ARP-Reply wird DLCI = a2 abgelesen und als sha im ARP-Reply eingetragen. Der Router A kopiert sich danach die Zuordnung x3 a2.
a 1
1
x 4
5
... P V C 2
...
S N
x
x
a 2
a 4
S N
IP -A d r D L C I a 3 x 1
R o u te r C F R -N e tz
P V C 1
a
R o u te r A A R P -R e q [sh a = A R P -R [ s h a = a 2, s p a = th a = a 3, tp a = Abb. 10.3-15:
A R ? , s p a = x 1, th a = ? , tp a = x 3] [ sh th a e p A R P -R e p [s h a = ? , s p a = x 3, th a x 3 , IP -A d re sse D L x 1]
Bestimmung der Zuordnung Ziel-IP-Adresse
x
...
IP -A d r D L C I a 2 x 3 x 5 a 1
R o P -R a = = ? = a
3
x
2
S N 3
u te r B e q a 3, s p a = x 1 , , tp a = x 3] 3 , t p a = x 1 ]
C I
lokale DLCI mit ARP-Hilfe
sha/tha: source/target hadware address, spa/tpa: source/target protocol address, Req: Request, Rep: Reply, PVC: Permanent Virtual Connection
Auf eine ähnliche Art und Weise kann RARP eingesetzt werden, um die Adresstabelle dynamisch zu erzeugen. Die Nachrichten der Protokolle ARP und RARP werden im Datenfeld von FR-Frames nach dem Schema aus Abbildung 10.3-13b transportiert. Beim ARP-Einsatz wird gesetzt NLPID = x´80´, OUI = x´00-00-00´ und auf ARP mit PID = x´08-06´ verwiesen.
10.4 IP über ATM-Netze Um IP-Kommunikation in ATM-Netzen (Asynchronous Transfer Mode) zu ermöglichen, müssen einige Unterschiede zwischen IP und ATM ausgeglichen werden. Sie bestehen vor allem in der Kommunikationsart und den Adressstrukturen. Die Kommunikation nach IP ist verbindungslos, d.h. es wird keine logische Verbindung zwischen dem Quell- und dem Zielsystem aufgebaut. Im Gegensatz dazu ist die Kommunikation in ATM-Netzen verbindungsorientiert, hier muss vor der Datenübermittlung eine ATM-Verbindung aufgebaut sein. Zudem sind die Adressen in ATM-Netzen anders als IP-Adressen. Es wurden mehrere Konzepte für die IP-Kommunikation in ATM-Netzen entwickelt. Hierzu gehören:
485
486 Konzepte für IP over ATM
10 Klassische Ansätze für IP over X
Classical-IP over ATM (CLIP bzw CLIPoA), LAN-Emulation (LANE), Multiprotocol over ATM (MPOA) und Multiprotocol Label Switching (MPLS). Bevor auf diese Konzepte eingegangen wird, werden zuerst kurz die Grundlagen der ATM-Netze dargestellt.
10.4.1 Grundlagen der ATM-Netze Übermittlungsprinzip beim ATM
Um die Möglichkeiten des ATM fundiert darstellen zu können, ist das Modell der Kommunikation über ATM-Netze sehr nützlich. Wie Abbildung 10.4-1 illustriert, stellt der ATM ein Übermittlungsprinzip dar, nach dem die Blöcke konstanter Länge (sog. ATM-Zellen) auf einer Leitung übertragen werden. W ie d e rh e rs te llu n g u rs p rü n g lic h e r B its trö m e
A T M -Z e lle n -B ild u n g A T M -Ü b e rtra g u n g s a b s c h n itt
b
n b
K a
K b n
K
=
b
a
= n
a
b b n
3 4 M b it/s 2 M b it/s
n
= a = b
K
a b
le e r e Z e lle n
6 4 k b it/s
a
M U X
2 M b it/s
M U X
a
b
...
3 4 M b it/s
n
6 4 k b it/s P a ra K o m ü b e r a , b
lle m lo u n
le u n ik a tio n g is c h e K a n ä le d n
V P I/V C I (V ir tu a l P a th Id e n tifie r / V ir tu a l C h a n n e l Id e n tifie r )
Abb. 10.4-1: Übermittlungsprinzip nach dem ATM MUX: Multiplexerfunktion
VPI/VCI
Ist gerade keine Nutzinformation zu senden, wird eine speziell markierte leere Zelle gesendet. Die zeitlichen Abstände auf der Leitung zwischen jeweils zwei benachbarten Nutzzellen können unterschiedlich sein. Jede Zelle enthält die Angaben VPI (Virtual Path Identifier) und VCI (Virtual Channel Identifier) hinsichtlich des Ports im Multiplexer, aus dem sie stammt. Eine derartige Übermittlung von Zellen aus mehreren Quellen über eine Leitung lässt sich als parallele Kommunikation über mehrere virtuelle Kanäle darstellen. Jede physikalische Leitung kann nach dem ATM für den Transport von Bitströmen mit unterschiedlichen Bitraten benutzt werden (vgl. Abbildung 10.3-2). Abbildung 10.4-2 zeigt das Prinzip der Kommunikation über ein ATM-Netz.
10.4 IP über ATM-Netze
E n d s y s te m K P A A L A T M
M U X
K o m m u n ik a tio n s p ro to k o lle (K P ) d ie n s ta b h ä n g ig A T M -V e rb in d u n g e n d ie n s tu n a b h ä n g ig
A T M -N e tz
P H Y A n w e n d u n g
E n d s y s te m A
A T M -S A P
487 Modell der Kommunikation
B K P A A L M U X
A T M
P H Y
A A L -S A P
Abb. 10.4-2: Modell der Kommunikation über ein ATM-Netz
Die notwendigen Funktionen werden durch die folgenden Schichten erbracht: PHY (Physikalische Schicht) für die Übertragung der Bitströme, ATM-Schicht für die Realisierung der Multiplexfunktion und die Übermittlung von Zellen, AAL (ATM Adaption Layer): An der Sendeseite werden hier ATM-Zellen gebildet und auf der Empfangsseite aus den Zellen die ursprünglichen Bitströme wiederhergestellt. Die höheren Schichten bilden herkömmliche Kommunikationsprotokolle, wie AAL-SAPs z.B. TCP/IP. Somit ist es möglich, die vorhandenen Applikationen am ATMNetz weiter zu betreiben. An der oberen Grenze der Schicht AAL werden die Kommunikationspuffer (Ports), sog. AAL-SAPs (Service Access Point), zur Verfügung gestellt, wo einerseits die zu sendenden und andererseits die zurückgewonnenen Pakete verschiedener Protokolle zwischengespeichert werden können. Vereinfacht gesehen stellt die ATM-Schicht in einem Endsystem einen logi- ATM-SAPs schen Multiplexer zur Verfügung, in dem die Ports als ATM-SAPs bezeichnet werden. Eine ATM-Verbindung stellt eine Beziehung zwischen zwei ATMSAPs in beiden Endsystemen dar. Die ATM-SAPs werden mit VPI/VCI [Abb. 10.4-1] gekennzeichnet und repräsentieren die Kommunikationspuffer, in denen die zu sendenden und die empfangenen ATM-Zellen zwischengespeichert werden können. Eine ATM-Verbindung kann auch durch mehrere Dienste parallel benutzt werden, d.h. an einen ATM-SAP können mehrere AAL-SAPs logisch „angeschlossen“ werden. Bildung von ATM-Zellen Um eine Information als Folge von Bits über ein ATM-Netz übertragen zu können, muss sie zuerst in ATM-Zellen umgewandelt werden. Abbildung 10.43 zeigt, wie dies funktioniert.
488
10 Klassische Ansätze für IP over X
S c h ritt 0 S c h ritt 1 S c h ritt 2
H
I n f o r m
a t i o n
I n f o r m
a t i o n
T
S S C S
F ü llb its
H ´
Z e lle 1
Z e lle 2
T ´
A A L
C P C S S A R
Z e lle 3
Z e lle n k o p f
Z e lle 4
Abb. 10.4-3: Prinzip der Bildung von ATM-Zellen H: Header, T: Trailer, AAL: ATM Adaption Layer, CP: Common Part CS, CS: Convergence Sublayer, SSCS: Service Specific CS, SAR: Segmentation and Reassembly Sublayer
Teilschicht SSCS
Die zu übertragende Information kann zuerst nach Bedarf in Frames eines bestimmten Protokolls eingebettet werden, deswegen die Bezeichnung Schritt 0. Diesem Schritt entspricht die Teilschicht SSCS (Service Specific Convergence Sublayer) innerhalb der Schicht AAL, die von der konkreten ATM-Anwendung abhängig und nur bedarfsweise vorhanden ist.
Teilschicht CPCS
In Schritt 1 werden die Funktionen der Teilschicht CPCS (Common Part Convergence Sublayer) realisiert. Hier wird die Information bzw. der Frame aus Schritt 0 um einen weiteren Header und Trailer sowie eventuell auch eine Folge von Füllbits so ergänzt, dass sich ein Vielfaches von ATM-Zellen ergibt. Der Header H´ und der Trailer T´ enthalten zusätzliche Steuerungsangaben, die vom Typ der Information (Daten, Sprache, ...) und der Kommunikationsart (verbindungsorientiert oder verbindunglos) abhängig sind.
Teilschicht SAR
In Schritt 2 werden die Funktionen der Teilschicht SAR (Segmentation and Reassembly Sublayer) realisiert. Hier erfolgen die Segmentierung der zu übertragenden Information und die Bildung von Zellen. Die Steuerungsangaben in jeder Zelle bilden den Zellenkopf mit 5 Bytes. Hinzu kommt noch ein Nutzlastfeld von 48 Bytes, in dem Informationssegmente transportiert werden, sodass jede Zelle insgesamt 53 Bytes enthält [Abb. 10.4-4].
AAL-Schicht
Die ATM-Adaptionsschicht (kurz AAL-Schicht) ist dafür verantwortlich, auf der Sendeseite aus den unterschiedlichen Bitströmen die ATM-Zellen zu bilden und auf der Empfangsseite aus den empfangenen Nutzzellen die einzelnen Bitströme wiederzugewinnen. Im Allgemeinen kann die AAL-Schicht in die in Abbildung 10.4-3 gezeigten Teilschichten aufgeteilt werden. Die Teilschicht CPCS dient als gemeinsame Anpassungsschicht für alle Anwendungen, die einen gemeinsamen ATM-Diensttyp nutzen. Innerhalb dieser Teilschicht werden die zu sendenden Bitströme um zusätzliche Steuerungs- und Füllinformationen ergänzt. Eine solche Ergänzung soll u.a. garantieren, dass jeder zu übertragende Informationsblock inkl. Steuerung in der Länge ein Vielfaches von 48 Bytes (Nutzteil von ATM-Zellen, s. Abb. 10.4-4) ist und somit als Folge von ATM-Zellen verschickt werden kann. Die SAR-Teilschicht ist unmittelbar über der ATMSchicht angesiedelt und hat die Aufgaben, auf der Sendeseite den zu sendenden Bitstrom in Segmente von der Länge des Nutzlastfeldes einer ATM-Zelle aufzuteilen (Segmentierung), auf der Empfangsseite aus den empfangenen Nutzzellen den Originalbitstrom wieder zurückzugewinnen (Reassemblierung).
ATMDiensttypen
Das in Abbildung 10.4-3 dargestellte Prinzip der Bildung von ATM-Zellen entspricht nur dann dieser Situation, wenn eine begrenzte Folge von Bits (z.B. eine Datei, ein Datenpaket) vorliegt.
10.4 IP über ATM-Netze
489
Nach diesem Prinzip funktionieren nur die AAL-Schichten, die den sog. ATM-Diensttypen 3, 4 oder 5 entsprechen. Diese Diensttypen ermöglichen es u.a., LAN-Daten in ATM-Zellen abzubilden. Soll über ein ATM-Netz ein kontinuierlicher Bitstrom (z.B. digitalisierte Sprache) übermittelt werden, setzt man den ATM-Diensttyp 1 ein. Die Schicht AAL für die Realisierung des Diensttyps 1 ist einfacher in der Ausführung und enthält nur die Teilschicht SAR.
Struktur von ATM-Zellen In ATM-Netzen werden die zwei Schnittstellen UNI (User Network Interface) als Netzzugangsschnittstelle und NNI (Node Node Interface) als KnotenKnoten-Schnittstelle definiert. In privaten ATM-Netzen wird die Schnittstelle NNI als PNNI (Private Node Node Interface) bezeichnet. Für die UNISignalisierung gibt es folgende Spezifikationen: Q.2931 von ITU-T und ATM User-Network Interface Specification des ATM-Forums. Die UNI-Signalisierung des ATM-Forums wurde für den Einsatz in privaten ATM-Netzen konzipiert [s. http://www.mfaforum.org/tech/atm_specs.shtml]. Eine ATM-Zelle setzt sich immer aus einem Header von 5 Bytes und einem Payload Nutzlastteil (Payload) als einem Informationsfeld von 48 Bytes zusammen. Wie Abbildung 10.4-4 zeigt, ist die Struktur des Header in ATM-Zellen davon abhängig, ob die ATM-Zelle über die Schnittstelle UNI oder NNI übermittelt wird. Die einzelnen Angaben im Header zeigt Abbildung 10.4-4. B its :
H E C
8
1 C L P
1 6 V C I
3 P T
8 V P I
U N I H e a d e r
N u tz la s tte il 4 8 B y te s D V & T K In fra s tru k tu r
4 G F C
U N I
N N I U N I
A T M -N e tz N u tz la s tte il 4 8 B y te s
B it(s ):
H E C 8
C L P 1
D V & T K In fra s tru k tu r
H e a d e r P T
V C I
3
1 6
V P I 1 2
Abb. 10.4-4: Struktur von ATM-Zellen Die einzelnen Angaben im Header von ATM-Zellen sind:
Angaben im GFC (Generic Flow Control): Die GFC soll eine Flußkontrolle ermöglichen. Sie soll den ge- Header regelten Zugang verschiedener Anwendungen zum ATM-Netz gewährleisten und eine ATMAnwendung in ihrer Aktivität bremsen können, um einer Überlastung des Netzes vorzubeugen. Damit kann die Aktivität einer ATM-Anwendung an die Netzbelastung angepasst werden. VPI/VCI (Virtual Path Identifier/Virtual Channel Identifier): Im Allgemeinen kann ein phy-
sikalischer Kanal auf eine Anzahl von virtuellen Pfaden (Virtual Path, VP) aufgeteilt werden,
490
10 Klassische Ansätze für IP over X wobei ein virtueller Pfad ein Bündel mehrerer virtueller Kanäle (Virtual Channel, VC) darstellt, die die gleichen Endsysteme miteinander verbinden. Die VPI/VCI-Interpretation ist aus Abbildung 10.4-1 ersichtlich. Physikalisch gesehen werden ATM-Zellen in einem Übertragungskanal seriell übertragen. Die Zellen werden entsprechend den Angaben im Kopf einem virtuellen Pfad VP und einem virtuellen Kanal VC zugeordnet. Diese Zuordnung erfolgt mithilfe der Parameter VPI und VCI. Der Parameter VCI stellt die Nummer des virtuellen (logischen) Kanals dar. Der virtuelle Pfad als eine Gruppe der virtuellen Kanäle wird mit dem Parameter VPI gekennzeichnet. Mit VCI lassen sich theoretisch 216 virtuelle Kanäle in einem virtuellen Pfad identifizieren. Mit VPI können 28 oder 212 virtuelle Pfade entsprechend an der Schnittstelle UNI oder NNI identifiziert werden. PT (Payload Type): Der PT markiert den Nutzlasttyp in ATM-Zellen und dient dazu, inner-
halb einer ATM-Verbindung zwischen Zellen mit Benutzerinformation und den Zellen, in denen die Information für das Management des ATM-Netzes übertragen wird, zu unterscheiden. CLP (Cell Loss Priority): Diese Angabe ermöglicht es der ATM-Anwendung gegenüber dem Netz, die besonders kritischen (verlustempfindlichen) Zellen (z.B. Daten-Zellen) innerhalb einer ATM-Verbindung zu markieren, um sie in Überlastsituationen nach Möglichkeit nicht zu verwerfen. CLP=1 bedeutet, dass die Zelle eine niedrige Priorität hat. CLP=0 indiziert eine hohe Priorität. Die Zellen mit niedrigerer Priorität (z.B. Sprach- oder Video-Zellen) werden vom Netz in Überlastsituationen zuerst verworfen. HEC (Header Error Control): Dieses Feld dient der Bitfehlerkontrolle im Header (nur dort!)
und ermöglicht es, entweder einen einzelnen Bitfehler zu korrigieren oder Fehler in mehreren Bits zu erkennen. Falls bei der HEC-Auswertung nicht korrigierbare Übertragungsfehler im Header entdeckt werden, wird die betroffene Zelle verworfen.
ATM-Verbindungen ATM-Netze sind verbindungsorientiert, d.h. vor der Übermittlung der Information wird zunächst eine virtuelle Verbindung zwischen Quell- und Zielendsystem aufgebaut, die ATM-Verbindung genannt wird. Sie stellt eine Beziehung zwischen zwei Ports in logischen Multiplexern innerhalb der ATM-Schicht beider ATM-Endsysteme dar [Abb. 10.4-2]. Jede ATM-Verbindung entsteht als eine Kopplung virtueller Kanäle auf unterschiedlichen physikalischen Übertragungswegen. Abbildung 10.4-5 illustriert die ATM-Verbindungen.
V C I= b
V P I= A
V P I= B V C I= m
V P I= X V C I= n
V C I= c E n d s y s te m
1
V C I= p
Abb. 10.4-5: Interpretation einer ATM-Verbindung
V C I= y V C I= x E n d s y s te m
A T M -N e tz V P I= C
V P I= Z
V P I= Y V C I= r
2
10.4 IP über ATM-Netze
491
Eine ATM-Verbindung setzt sich aus einer Reihe virtueller Kanäle (VCs) zusammen. Den Anfang und das Ende jedes Abschnittes der VC-Verbindung bilden jeweils Speicherplätze in Endsystemen und in einzelnen ATM-Vermittlungsstellen, in denen die zu sendenden und die empfangenen ATM-Zellen zwischengespeichert werden können. Eine virtuelle Ende-zu-Ende-Verbindung ist als Verknüpfung von Speicherplätzen zu sehen und die Zellenübermittlung als Zellen-Weitergabe von einem Speicherplatz zum nächstliegenden in der Reihe. Für den Auf- und Abbau von ATM-Verbindungen werden getrennte Signalisie- Signalisierungsverbindungen parallel zu ATM-Verbindungen verwendet [Bada 97b]. Das rungsverPrinzip der Signalisierung in ATM-Netzen ist mit dem Signalisierungsprinzip bindungen im ISDN fast identisch. Das Signalisierungsprotokoll an der UNI-Schnittstelle, das der Steuerung von ATM-Verbindungen dient, ist mit dem D-KanalProtokoll im ISDN vergleichbar.
10.4.2 Classical IP over ATM Ein Prinzip der IP-Kommunikation in ATM-Netzen wird als Classical IP over Idee von ATM (CLIP) bezeichnet [RFC 2225]. Dieses Konzept führt zur Entstehung von CLIP IP-Subnetzen, die LIS (Logical IP Subnetwork) genannt werden. In jedem LIS muss ein spezieller Server installiert werden, in dem die Tabelle mit den ZuATM-Adresse verwaltet wird. Über diese Tabelle ordnungen IP-Adresse kann das Ziel-ATM-Endsystem ermittelt werden. Die LISs können nur mithilfe von Routern miteinander vernetzt werden. Um die Kommunikation zwischen den LISs effektiv zu realisieren, wurde das Protokoll NHRP (Next Hop Resolution Protocol) entwickelt. ATM-basiertes IP-Subnetz Um die IP-Kommunikation in ATM-Netzen zu realisieren, müssen die wich- Unterschiede tigsten Unterschiede zwischen IP- und ATM-Netzen berücksichtigt werden. zwischen IP Diese bestehen vor allem in der Kommunikationsart und den Adressstrukturen. und ATM Die IP-Kommunikation ist verbindungslos, d.h. es wird keine logische Beziehung zwischen Sender und Empfänger aufgebaut. Im Gegensatz dazu ist die Kommunikation in ATM-Netzen verbindungsorientiert, d.h. vor der Datenübermittlung muss eine ATM-Verbindung aufgebaut werden. Außerden unterscheiden sich Adressen in ATM-Netzen von IP-Adressen. Bei IP over ATM werden die ATM-Komponenten als direkter Ersatz für klassische Netzwerke (Ethernet, Token-Ring) eingesetzt. Somit dienen diese aus der Sicht von IP nur als ein Übermittlungssystem für IP-Pakete. Ein einfaches IP-Subnetz auf ATM-Basis zeigt Abbildung 10.4-6.
492
10 Klassische Ansätze für IP over X
IP -A d r. a a
...
I P - A d r . = 1 5 4 .1 2 .1 7 .9 A T M -A d r. = X
A T M S w itc h
L IS
...
...
...
A T M A R P S e rv e r I P - A d r . = 1 5 4 .1 2 .1 7 .7 7 A T M -A d r. = Z
A T M -A d r. x x
I P - A d r . = 1 5 4 .1 2 .1 7 .1 0 A T M -A d r. = Y
Abb. 10.4-6: Einfaches IP-LAN auf ATM-Basis LIS: Logical IP Subnetwork, ATMARP: ATM Address Resolution Protocol
LIS als IPSubnetz
Wie hier ersichtlich ist, enthält jedes ATM-Endsystem zwei Adressen, nämlich eine ATM-Adresse und eine IP-Adresse. Alle ATM-Endsysteme mit der gleichen Subnetz-ID bilden eine „geschlossene Gruppe“, die LIS (Logical IP Subnetwork) genannt wird. In Abbildung 10.4-6 ist die Subnetz-ID = 154.12.17. Das LIS ist ein IP-Subnetz. Die Kommunikation zwischen zwei Rechnern in unterschiedlichen LISs kann daher nur über Router erfolgen.
ATMARPServer
Das LIS besteht aus mehreren Rechnern als IP-Clients mit der gleichen Subnetz-ID und aus einem ATMARP-Server, der u.a. eine Adresstabelle mit den ATM-Adresse für das LIS verwaltet. Ein solcher Zuordnungen IP-Adresse Server kann in einem Rechner bzw. in einem ATM-Switch realisiert werden. In einem LIS können aus Sicherheitsgründen mehrere ATMARP-Server eingerichtet werden. Ist ein ATMARP-Server vorläufig außer Betrieb, können die entsprechenden Clients automatisch Verbindungen zu einem anderen aufbauen. Schritte vor der Datenübermittlung Ein IP-Client benötigt für den Betrieb eine IP-Adresse, eine ATM-Adresse sowie die ATM-Adresse des ATMARP-Servers. Die Schritte vor der Datenübermittlung zwischen zwei IP-Clients veranschaulicht Abbildung 10.4-7. I P - A d r . = 1 5 4 .1 2 .1 7 .9 A T M -A d r. = X X
A T M A R P S e rv e r A T M -V e rb in d u n g
IP -C lie n t x
R e g is trie ru n g E rm ittlu n g d e r A T M -A d re sse
I P - A d r . = 1 5 4 .1 2 .1 7 .7 7 A T M -A d r. = Z Z
1
2 3 4
I P - A d r . = 1 5 4 .1 2 .1 7 .1 0 A T M -A d r. = Y Y
A u fb a u d e r A T M -V e rb in d u n g u n d Ü b e rm ittlu n g v o n IP -P a k e te n 1 : In A T M A R P _ R e q u e st [IP -A d r? ] 2 : I n A T M A R P _ R e p ly [ 1 5 4 .1 2 .1 7 .9 ]
3 : A T M A R P _ R e q u e st [IP -A d r, A T M -A d r ? ] 4 : A T M A R P _ R e p ly [A T M -A d r = Y Y ]
Abb. 10.4-7: Schritte vor der Datenübermittlung
IP -C lie n t y
10.4 IP über ATM-Netze Zuerst registriert sich der IP-Client beim ATMARP-Server. Hierfür baut zuerst der IP-Client eine ATM-Verbindung zum Server auf. Dieser fragt den Client mit InATMARP_Request nach seiner IP-Adresse. Der Client übermittelt dem ATMARP-Server seine IP-Adresse in InATMARP_Reply ATM-Adresse in seiner Adresstabelle. und er speichert die Zuordnung IP-Adresse
493 ATMARPServer
Der Eintrag in der Adresstabelle ist nur innerhalb einer festgelegten Zeitperiode (z.B. max. 15 Minuten) gültig. Nach Ablauf dieser Zeitperiode überprüft der Server durch das Aussenden eines InATMARP_Request nach dem Protokoll InATMARP (Inverse ATM Address Resolution Protocol), ob der Client noch erreichbar und die Adressangabe noch immer korrekt ist. Falls der Client erreichbar ist, wird die entsprechende Adresszuordnung in der Adresstabelle nach dem Empfang des InATMARP_Request neu eingetragen. Bemerkung: InATMARP ist eine Version des Protokolls InARP (Inverse ARP) [RFC 2390/1293] . Will ein IP-Client Daten zu einem anderen IP-Client im gleichen LIS schicken, überprüft er in seiner eigenen Adresstabelle, ob die ATM-Adresse für die IP-Zieladresse vorhanden ist. Falls die ATM-Adresse vorhanden ist, wird geprüft, ob die Verbindung unter dieser ATM-Adresse bereits besteht. Bei bereits bestehender ATM-Verbindung (z.B. ATM-Festverbindung) werden die Daten direkt an den Ziel-IP-Client gesendet. Falls die gewünschte ATM-Verbindung nicht besteht, wird sie aufgebaut. Ist die ATM-Ziel-Adresse dem Quell-IP-Client unbekannt, schickt er ein ATMARP_Request an den ATMARP-Server. Dieser wiederum sendet ATMARP_Reply als Antwort mit der ATM-Adresse des Zielrechners zurück und der Client speichert diese Information in der eigenen Adresstabelle ab. Der Eintrag in seiner Adresstabelle ist nur über eine festgelegte Zeit (z.B. max. 15 Minuten) gültig. Falls der ATMARP-Server die ATM-Adresse des Zielrechners nicht kennt, antwortet er dem entsprechenden Client mit ARP_NAK (Negative Acknowledgement). Besitzt der Client die ATM-Adresse des Zielrechners, baut er die gewünschte ATM-Verbindung auf und sendet anschließend die vorliegenden Daten. Bemerkung: Bei der Abfrage der ATM-Adresse wird ATMARP (ATM Address Resolution Protocol) verwendet. ATMARP stellt eine Version von ARP dar [Abschnitt 2.6.1].
ATMARP/InATMARP-Pakete in ATM-Zellen Um ATMARP/InATMARP-Pakete über ATM-Netze zu übertragen, müssen sie zunächst so ergänzt werden, dass die Identifikation des Protokolls angegeben werden kann. Hierfür wird das SNAP verwendet [Abb. 10.1-4]. Hierbei wird jedes gesendete Paket mit einem SNAP-Header erweitert, um das Protokoll ARP zu identifizieren. Abbildung 10.4-8 illustriert dies. A T M A R P /In A T M A R P -P a k e t L L C
O U I P ID S N A P F ra m e
A T M -Z e lle A T M -Z e lle
D a te n
...
A A L 5 T
A T M -Z e lle
L L C = x 'A A - A A - 0 3 ' O U I = x '0 0 - 0 0 - 0 0 ' P I D = x '0 8 - 0 6 '
Abb. 10.4-8: Umsetzung der ATMARP/InATMARP-Pakete in ATM-Zellen
ATMARP_ Request und ATMARP_ Reply
494
10 Klassische Ansätze für IP over X
Für die Umsetzung der ATMARP/InATMARP-Pakete in die ATM-Zellen wird die ATM-Adaption vom Typ 5 (d.h. AAL 5, ATM Adaption Layer) verwendet, sodass jeder zu übertragenede LLC-Frame zusätzlich mit einem AAL5-Trailer ergänzt wird. Die Struktur der Pakete (Nachrichten) der beiden Protokolle ATMARP und InATMARP ist identisch [RFC 2225]. Weitere CLIPBesonderheiten
Weitere Besonderheiten von Classical IP over ATM (CLIP) sind: Das CLIP definiert lediglich die Funktionsweise eines IP-Subnetzes (sog. LIS) auf Basis des ATM [Abb. 10.4-6]. Die ATM-Stationen, die den verschiedenen IP-Subnetzen angehören, müssen über einen bzw. mehrere Router kommunizieren, auch wenn sie Teil desselben ATM-Netzes sind und eine direkte Datenverbindung zwischen ihnen möglich wäre. Um die Kommunikation zwischen LISs effektiv zu realisieren, wurde das NHRP (Next Hop Resolution Protocol) entwickelt [Abschnitt 10.4.4]. Mit dem CLIP ist Multicasting nicht möglich. Um IP-Multicasting innerhalb eines LIS zu unterstützen, muss ein spezieller Server – der sog. MARS (Multicast Address Resolution Server) – eingesetzt werden.
10.4.3 LAN-Emulation in ATM-Netzen ELAN = IP-Subnetz
Die LAN-Emulation (LE) ist ein Konzept des ATM-Forums, nach dem LANspezifische Kommunikation in ATM-Netzen nachgebildet werden kann. Dies ermöglicht die Integration von klassischen LANs (Ethernet, Token-Ring) mit ATM-Netzen, sodass ein ATM-Netz als räumliche LAN-Erweiterung dienen kann. Es wird nur die Emulation von Ethernet und Token-Ring spezifiziert. LAN-Emulation bedeutet, dass innerhalb des ATM-Netzes eine MAC-Broadcast-Domäne nachgebildet wird. Durch LAN-Emulation entsteht ein emuliertes LAN (ELAN), das eine geschlossene Gruppe von LAN- und ATM-Endsystemen bildet. Falls das IP verwendet wird, entspricht ein ELAN einem IP-Subnetz.
LE-Ziele
Die LAN-Emulation in ATM-Netzen stellt eine Nachbildung der LANspezifischen Kommunikation dar und wurde mit dem Ziel entwickelt, LANSoftware auf Arbeitsplätzen am ATM-Netz ohne Veränderungen weiter betreiben zu können. Die Nachbildung der LAN-spezifischen Kommunikation in ATM-Netzen ist aus folgenden Gründen notwendig: Die klassischen LANs (Ethernet, Token-Ring) sind Broadcast-Netze. In LANs werden keine physikalischen Punkt-zu-Punkt-Verbindungen aufgebaut, sondern Daten als Broadcast übermittelt. In ATM-Netzen muss dagegen für jede Kommunikation eine ATM-Verbindung aufgebaut werden. In ATM-Netzen und in LANs sind die Prinzipien der Adressierung unterschiedlich. In LANs werden unstrukturierte MAC-Adressen verwendet. Zur Adressierung in ATM-Netzen dienen strukturierte ATM-Adressen.
10.4 IP über ATM-Netze
Bedeutung der LAN-Emulation Die Bedeutung der LAN-Emulation illustriert Abbildung 10.4-9. Hier stellt ein ATM-Endsystem (d.h. ein Rechner mit einer ATM-Adapterkarte) einen zentralen Server dar. Mithilfe der LAN-Emulation kann der ATM-Switch die bestehenden, herkömmlichen Ethernet- und Token-Ring-LANs so erweitern, dass die Rechner an den beiden LANs auf diesen zentralen Server zugreifen können. A n w e n d u n g e n
Z e n tra lS e rv e r
K P 1
...
K P n
L L C -S c h n itts te lle L E C y L E C x
E m u lie rte s L A N : E th e rn e t (E th )
A T M L E D x x
E th -S w itc h
A T M N e tz
L E C
... x
L E D y A T M S w itc h
E m u lie rte s L A N : T o k e n R in g (T R ) L E C
...
L E C y
y
...
...
L E C
...
T R -S w itc h
Abb. 10.4-9: Bedeutung der LAN-Emulation (LE) im ATM-Netz LECx/LECy: Nachbildung einer Ethernet (Token-Ring)-Adapterkarte, LE-Dx (LE-Dy): LAN-Emulationsdienste für Ethernet (Token Ring)
LAN-Emulation funktioniert nach dem Client-Server-Prinzip und besteht aus LAN-Emulations-Clients (LEC) und LAN-Emulations-Diensten (LED), die z.B. in einem ATM-Switch untergebracht werden können. LEC kann als Nachbildung einer LAN-Adapterkarte in einem ATM-Endsystem gesehen werden. Durch LAN-Emulation entsteht ein emuliertes LAN (ELAN). Darunter ist eine ELAN geschlossene Gruppe von LAN- und ATM-Endsystemen zu verstehen, die eine Broadcast-Domäne bildet. Die LAN-Techniken Ethernet und Token-Ring müssen getrennt nachgebildet werden. Somit entstehen zwei ELANs: emuliertes Ethernet und emulierter Token Ring. Als Kopplungskomponente zwischen LAN und ATM muss ein Layer-2-Switch (Ethernet- bzw. Token-Ring-Switch) eingesetzt werden, d.h. ein Switch, der die Daten aufgrund von MAC-Adressen weiterleitet. Im Server am ATM-Switch werden softwaremäßig Ethernet- und Token-Ring-Adapterkarten nachgebildet, sodass der Server für die Clients sowohl am Ethernet als auch am Token-Ring erreichbar ist. Auf diese Weise kann der „Multinetz“-Zugang zum Server über verschiedene LAN-Typen realisiert werden. Oberhalb von Adapterkarten wird eine treiberspezifische Software-Schnittstelle implementiert, mit der die LAN-Schicht LLC (Logical Link Control) realisiert
495
496
10 Klassische Ansätze für IP over X
wird. Dank der LLC-Schnittstelle sind Kommunikationsprotokolle (KP) und Anwendungen vom LAN-Typ und damit auch vom ATM-Netz unabhängig. Komponenten der LAN-Emulation Die LAN-Emulation (LE) in ATM-Netzen wurde vom ATM-Forum spezifiziert [http://www.mfaforum.org/tech/atm_specs.shtml] und sie wird nach dem Client-Server-Modell realisiert. Wie Abbildung 10.4-10 zeigt, besteht die LAN-Emulation aus LE-Clients (LECs) und LE-Diensten, die folgende Komponenten enthalten: LE-Konfigurations-Server (LECS, LE Configuration Server), LE-Server (LES) und Broadcast- und Unbekannt-Server (BUS).
A T M E n d s y s te m
L U N I
L E C
A T M E n d s y s te m
L U N I
B U S U N I
Abb. 10.4-10:
L A N E -D ie n s te L E C S L E S
A T M -N e tz
L E C U N I
Logische Komponenten der LAN-Emulation UNI: User Network Interface, LUNI: LAN Emulation UNI
LE-Dienst
Die LE-Dienste haben die Aufgabe, den Broadcast- und den Multicast-LANVerkehr zu unterstützen und den LECs bei der Ermittlung der ATMZieladresse zu helfen. Sie können physisch an unterschiedlichen Stellen implementiert werden. Sie können z.B. in einem ATM-Switch oder in einem Netzknoten eines ATM-WANs als ein LE-Dienstzentrum untergebracht werden.
LEC
Der LEC entspricht der Funktion nach einer LAN-Adapterkarte und kann in einem ATM-Endsystem bzw. in einem Kopplungselement (z.B. Layer-2-Switch) zwischen einem klassischen LAN und einem ATM-Netz untergebracht werden [Abb. 10.4-9]. Die LEC-Funktionalität kann als Teil einer Treiber-Software implementiert werden.
LES, LECS und BUS
Die wichtigste logische Komponente der LE ist der LES. Er stellt die zentrale Stelle jedes emulierten LAN dar und ist für die Verwaltung von MAC- und ATM-Adressen aller LECs in einem emulierten LAN verantwortlich. Der LECS enthält die notwendigen Informationen, die für die Konfiguration von LECs gebraucht werden. Insbesondere liefert der LECS auf Wunsch die LESAdresse an einen LEC, der sich an ein emuliertes LAN „anschließen“ will. Die Hauptfunktion des BUS besteht in der Übermittlung von Multicast- bzw.
10.4 IP über ATM-Netze
Broadcast-Frames im ATM-Netz. Die einzelnen Komponenten LECs, LECS, LES und BUS müssen über ATM-Verbindungen entsprechend miteinander vernetzt werden. Phasen beim Ablauf der LAN-Emulation Das Zusammenwirken von einzelnen Systemkomponenten der LAN-Emulation verläuft nach den in Abbildung 10.4-11 gezeigten Phasen.
L E C
L E C S L E S h a se B U S tio n s p a r u g i e s a h K o n f p B e itritts m B U S V e rb in d u n g z u
L E C
D a te n tra n s fe rp h a s e
Abb. 10.4-11:
Phasen beim Ablauf der LAN-Emulation
Konfigurationsphase: Damit ein LEC die Daten versenden darf, muss er zuerst Mitglied eines emulierten LAN werden. Dazu muss er die ATMAdresse des zuständigen LES kennen. In der Konfigurationsphase werden notwendige Vorbereitungen zum Beitreten des LEC zu einem emulierten LAN durchgeführt. In dieser Phase teilt der LEC dem LECS seine MACAdresse, seine ATM-Adresse, den gewünschten LAN-Typ (Ethernet bzw. Token-Ring) sowie die maximale MAC-Frame-Größe mit. Er erhält vom LECS die gesuchte ATM-Adresse des LES sowie die Bestätigung des gewünschten LAN-Typs. Beitrittsphase (Join Phase): In dieser Phase baut der LEC eine Verbindung zum LES auf und lässt sich als „LAN-Teilnehmer“ registrieren. Verbindung zum BUS: Der BUS nimmt den LEC in seine BroadcastVerteilerliste auf. Damit sind alle notwendigen Vorbereitungen zur LANspezifischen Kommunikation im ATM-Netz abgeschlossen. Datentransferphase: Will ein Quell-LEC die Daten an einen Ziel-LEC senden, überprüft er zunächst, ob zum Ziel-LEC bereits eine ATM-Verbindung besteht, bzw. ob die ATM-Adresse des Endsystems diesem Ziel-LEC bereits bekannt ist. Falls die ATM-Adresse bekannt ist und noch keine Verbindung besteht, wird sie aufgebaut und die Daten werden danach direkt an das Zielsystem übermittelt.
497
10 Klassische Ansätze für IP over X
Beispiel für den Ablauf der LAN-Emulation Den Ablauf der LAN-Emulation mit der Angabe von entsprechenden LENachrichten illustriert Abbildung 10.4-12.
E n d s y s te m
A
P 1 P 2 P 3 P 4 L L C
P 5 P 6 P 7 P 8
Abb. 10.4-12:
S E T U P
L E C S C O N N E C T .in d
L E _ C O N F IG U R E _ R E Q L E _ C O N F IG U R E _ R S P
S E T U P
L E S
C O N N E C T .in d
L E _ J O IN _ R E Q L E _ J O IN _ R S P
S E T U P
L E D ie n s te
B U S E n d s y s te m B
C O N N E C T .in d
L E _ A R P _ R E Q
L E _ A R P _ R S P
S E T U P L E _ U N IT D A T A
L E C
C O N N E C T .in d
L E _ U N IT D A T A _ IN D
L E C
L E _ U N IT D A T A _ R E Q
498
L L C
Typischer Ablauf der LAN-Emulation (LE) LLC: Logical Link Control, REQ: Request, RSP: Response
Die einzelnen LEC-Zustände P1, ..., P8 sind folgendermaßen zu interpretieren: P1: Verbindungsaufbau zum LECS SETUP: Verbindungsaufforderung, CONNECT.ind: Bestätigung der Verbindung P2: Konfigurationsphase: Während dieser Phase erhält der LEC die ATM-Adresse vom LES sowie zusätzliche Konfigurationsparameter. Hierfür gibt es zwei Control-Frames: − LE_CONFIGURE_REQ wird vom LEC gesendet, um die Konfigurationsparameter zu erhalten. − LE_CONFIGURE_RSP wird vom LECS als Antwort auf LE_CONFIGURE_REQ gesendet. P3: Verbindungsaufbau zum LES (vgl. P1): Nach der Konfigurationsphase baut der LEC eine Kontrollverbindung zum LES auf. P4: Beitrittsphase (Join-Phase): In dieser Phase bekommt der LEC die Erlaubnis, sich der LAN-Emulation anzuschließen. Der LEC erhält vom LES auch die ATM-Adresse vom BUS, um über ihn die MAC-Broadcast-Frames zu verschicken. Hierfür gibt es zwei ControlFrames: − LE_JOIN_RE wird vom LEC gesendet, um die Erlaubnis vom LES zu bekommen, sich der LE anzuschließen. Er beinhaltet die ATM-Adresse, seinen LAN-Typ, die maximale Framegröße und gegebenenfalls eine Proxy-Indication. Die Proxy-Indication verweist darauf, dass es sich um einen sog. Proxy-LEC handelt, der in einem Kopplungselement zwischen einem klassischen LAN und dem ATM-Netz enthalten ist. Da mehrere Endsysteme am LAN angeschlossen sind, werden diese klassischen Clients am LAN durch den Proxy-LEC beim LES vertreten.
10.4 IP über ATM-Netze −
LE_JOIN_RSP wird vom LES als Antwort geschickt und bestätigt oder lehnt den Beitritt ab. Wenn der LEC abgewiesen wird, bricht er die bidirektionale Verbindung zum LES ab und versucht, die Beitrittsphase zu wiederholen.
Beispiel: Als Proxy-LECs dienen z.B. LECx und LECy – entsprechend in Ethernetund in Token-Ring-Switch – in Abbildung 10.4-9. P5: Verbindung zum BUS (vgl. P1 und P3): Der LEC baut dann eine unidirektionale Verbindung zum BUS auf und der BUS fügt den LEC seiner Point-to-Multipoint-Verbindung hinzu. P6: Ermittlung der gesuchten ATM-Zieladresse: Wenn der LEC die Daten senden will, prüft er zunächst, ob er die mit der MAC-Zieladresse korrespondierende ATM-Zieladresse kennt und ob bereits eine virtuelle Verbindung zum Ziel besteht. Kennt der LEC die ATMZieladresse nicht, kann er sie beim LES abfragen, wo eine zentrale Zuordnungstabelle MACATM-Adresse gespeichert wird. Für die Ermittlung von ATM-Zieladressen dieAdresse nen zwei LE_ARP-Frames (LAN Emulation Address Resolution Protocol): − LE_ARP_REQ wird vom LEC mit einer MAC-Zieladresse gesendet, um die mit dieser MAC-Adresse korrespondierende ATM-Adresse zu bekommen. − LE_ARP_RSP wird als Antwort mit der gesuchten ATM-Adresse zurückgeschickt. P7: Verbindungsaufbau zum Partner-LEC: vgl. P1, P3 und P5. P8: Datentransfer: Ein „Quasi“-MAC-Frame wird mit dem Control-Frame LE_UNIDATA an den Partner-LEC über das ATM-Netz übermittelt.
LAN-Kommunikation über ein ATM-Netz Abbildung 10.4-13 zeigt den Ablauf der LAN-spezifischen Kommunikation über ein ATM-Netz, falls nur die ATM-Endsysteme zu einem emulierten LAN gehören. Hier müssen jedem ATM-Endsystem mit LEC zwei Adressen zugeordnet werden, eine ATM-Adresse und eine MAC-Adresse. L A N -s p e z ifis c h e K o m m u n ik a tio n C lie n t M A C -A d r = a A T M -A d r = A M A C F ra m e
S e rv e r
L A N E -D ie n s te L E C S
A T M -N e tz
L E C m
B U S
L E S M A C -Z ie la d r = b 1
M A C -A d r = b A T M -A d r = B
L E C n
M A C -A d r = s A T M -A d r = S 2
A u fb a u e in e r A T M -V e rb in d u n g 3
Z e lle n w e is e Ü b e r m ittlu n g v o n M A C -F r a m e L E _ A R P _ R E Q
[S -M A C -A d r = a , S -A T M -A d r = A , D - M A C - A d r = b , D - A T M - A d r = ? ...]
Abb. 10.4-13:
1
L E _ A R P _ R S P
[ D - M A C - A d r = b , D - A T M - A d r = B , ...]
LAN-spezifische Kommunikation über ein ATM-Netz
S : S o u rc e D : D e s tin a tio n 2
499
500 Schritte bei der LANEmulation
10 Klassische Ansätze für IP over X Folgende Schritte sind zu unterscheiden: 1. Die ATM-Zieladresse wird beim LES abgefragt: Beim LEC m liegt ein MAC-Frame vor, der an die MAC-Zieladresse b gesendet werden soll. Da das Zielendsystem am ATM-Netz angeschlossen ist, muss zunächst bestimmt werden, welche ATM-Adresse dieser MAC-Zieladresse entspricht. Der Kern der LAN-Emulation besteht gerade in diesem Adressauflösungsprozess, um die nötige ATM-Adresse des Zielendsystems für die MAC-Zieladresse zu ermitteln. Wie Abbildung 10.4-13 zeigt, wird hierfür das LE_ARP (LAN Emulation Address Resolution Protocol) verwendet. Jeder LEC enthält eine Adressermittlungstabelle mit den ATM-Adresse im sog. ARP Cache. Zuordnungen MAC-Adresse Liegt ein MAC-Frame zum Senden vor, prüft der LEC zuerst, ob die gewünschte ATMZieladresse für die vorliegende MAC-Zieladresse in seinem ARP Cache enthalten ist und ob bereits eine ATM-Verbindung unter dieser ATM-Adresse besteht. Besteht die gewünschte ATM-Verbindung, wird der MAC-Frame direkt an den Partner-LEC gesendet. Abbildung 10.4-13 illustriert den Fall, in dem die gesuchte ATM-Zieladresse nicht im ARP Cache des LEC m enthalten ist. Diese Adresse wird beim LES abgefragt. Hierfür sendet der LEC über die bereits bestehende Verbindung zum LES eine LE_ARP_REQ Anfrage. In diesem Frame werden u.a. die MAC- und die ATM-Adresse des Quell-LEC angegeben. 2. Die gesuchte ATM-Zieladresse wird vom LES geliefert: Der LES antwortet auf LE_ARP_REQ mit dem Absenden von LE_ARP_RSP mit der gesuchten ATM-Adresse. 3. Aufbau einer ATM-Verbindung und Übermittlung des MAC-Frames: Nach dem Eintreffen von LE_ARP_RSP ist die gesuchte ATM-Zieladresse bekannt. Somit kann die ATMVerbindung aufgebaut und der MAC-Frame anschließend übermittelt werden.
10.4.4 Next Hop Resolution Protocol Wozu NHRP?
Bei der IP-Kommunikation über ATM-Netze entsteht häufig folgendes Problem: Die IP-Pakete müssen zur Ziel-IP-Adresse x übermittelt werden, doch die ATM-Adresse y des Zielsystems ist dem Quellsystem unbekannt. Wie kann die unbekannte ATM-Adresse y bestimmt werden, falls mehrere IP-Subnetze (z.B. sog. LISs) [Abb. 10.4-6] auf Basis eines ATM-Netzes aufgebaut worden sind. Um dieses Problem zu lösen, ist ein Protokoll für die Ermittlung von ATMAdressen notwendig. Das NHRP (Next Hop Resolution Protocol) stellt ein solches Protokoll dar. Es ist Bestandteil von MPOA [Abschnitt 10.4.5].
NHRPAufgabe
NHRP wurde mit dem Ziel entwickelt, die Adressierung bei der Realisierung der IP-Kommunikation in verbindungsorientierten Netzen (wie z.B. ATM-, Frame-Relay-Netzen) zu unterstützen. Bei der IP-Kommunikation unterscheidet man zwischen physikalischen Adressen und IP-Adressen. Die physikalischen Adressen sind von einem physikalischen Netz abhängig und stellen Adressen dar, die es ermöglichen, eine Hardware-Komponente (Endsystem, Router) in einem Netz zu identifizieren. Sie müssen nur innerhalb eines physikalischen Netzes eindeutig sein: In ATM-Netzen stellen die ATM-Adressen physikalische Adressen dar.
10.4 IP über ATM-Netze
501
In klassischen LANs sind dies die MAC-Adressen, die oft auch als Hardwareadressen von Adapterkarten angesehen werden. Die IP-Adressen sind dagegen vom physikalischen Netz unabhängig und ermöglichen es, IP-spezifische Komponenten sowohl in einem Netz als auch im Verbund von mehreren physikalischen Netzen eindeutig zu identifizieren. Um die physikalische Adresse für eine IP-Adresse zu ermitteln, kann die Bestimmung Broadcast-Nachricht ARP-REquest vom Protokoll ARP an alle Endsysteme in von ATMeinem broadcast-orientierten Netzwerk wie etwa einem Shared Medium LAN Adressen (z.B. Ethernet, Token-Ring) abgeschickt werden. Diese Nachricht lautet im Allgemeinen: Wer kennt die physikalische Adresse zu der IP-Adresse? Mit dieser Nachricht bittet das Quellsystem dabei alle Endsysteme in diesem Netz um „Hilfe“, ihm die physikalische Adresse zukommen zu lassen. Entsteht das eben geschilderte Problem aber in einem Quellsystem an einem ATM-Netz, so ist es nicht möglich, eine Broadcast-Nachricht an alle anderen Endsysteme am ATMNetz zu senden. Dies würde bedeuten, dass ein Quellsystem die Verbindungen zu allen restlichen Endsystemen am Netz aufbauen müsste. Damit es das nicht tun muss, gibt es eben das Protokoll NHRP. Abbildung 10.4-18 illustriert die Notwendigkeit des NHRP. Es werden vier IP-Subnetze [Abb. 10.4-6] innerhalb eines ATM-Netzes realisiert. Für die Kommunikation zwischen den einzelnen IP-Subnetzen werden Router eingesetzt. Auf dem Datenpfad zwischen den Subnetzen 1 und 4 befinden sich drei Routing-Abschnitte. Ein Routing-Abschnitt wird in der Literatur oft als Hop bezeichnet. Da für einen Hop eine ATM-Verbindung notwendig ist, sind in diesem Fall drei ATM-Verbindungen erforderlich.
Notwendigkeit von NHRP
H o p -b y -H o p -R o u tin g A T M S w itc h
R
S N 1
A T M S w itc h
R
S N 2
R A T M S w itc h
S N 3
A T M S w itc h
S N 4
K o m m u n ik a tio n
Abb. 10.4-14:
Notwendigkeit von NHRP; Hop-by-Hop-Routing ohne NHRP R: Router, SN: IP-Subnetz
Das in Abbildung 10.4-14 geschilderte Problem kann auf elegante Weise mithilfe von NHRP gelöst werden. Bei NHRP werden folgende Systemkomponenten definiert:
NHRPNext Hop Client (NHC): Der NHC stellt eine Komponente dar, die in einem Systemkomponenten
Endsystem am ATM-Netz implementiert wird. Er ist dafür zuständig, die unbekannte physikalische ATM-Adresse des Zielsystems für die bekannte Ziel-IP-Adresse anzufragen.
502
10 Klassische Ansätze für IP over X
Next Hop Server (NHS): Der NHS stellt eine Komponente dar, in der die ATM-Adresse enthalten Adresstabellen mit den Zuordnungen IP-Adresse sind. In einem ATM-Netz können auch mehrere NHSs implementiert werden, sodass die einzelnen NHSs miteinander vernetzt werden müssen, um die Adresstabellen miteinander tauschen zu können. Der NHS kann sowohl in einem Netzknoten (z.B. in einem ATM-Switch) als auch in einem Router implementiert werden. Bedeutung des NHRP
Abbildung 10.4-15 veranschaulicht die Bedeutung des NHRP. Hier wurde der Fall angenommen, dass jedes Subnetz einen NHS enthält. N H S 2
A n fra g e
N H S 1
N H C
A T M S w itc h
S N 1
R
N H S 3 R
A T M S w itc h
S h o r tc u t
A T M S w itc h
S N 3
S N 2 K o m m u n ik a tio n
Abb. 10.4-15:
A n tw o rt R
N H S 4 A T M S w itc h
S N 4
Bedeutung des NHRP; Shortcut mit dem NHRP R: Router, SN: IP-Subnetz
Jeder NHS enthält eine Adresstabelle IP-Adresse ATM-Adresse für alle IPAdressen „seines“ Subnetzes. Falls eine Folge von IP-Paketen von Subnetz 1 zu Subnetz 4 übermittelt werden muss und die ATM-Adresse des Zielrechners mit der IP-Adresse x dem Quellrechner nicht bekannt ist, kann diese ATMAdresse mithilfe des NHRP bestimmt werden. Hierfür sendet der NHC im (ATMQuellrechner eine Anfrage nach der Zuordnung (IP-Adresse = x) Adresse = ?) an Server NHS 1. Die gesuchte Zuordnung enthält aber Server NHS 4. Somit wird diese Anfrage von Server zu Server weitergeleitet und erreicht schließlich Server NHS 4. Dieser antwortet mit der Angabe der gesuchten ATM-Adresse des Zielrechners. Die Antwort wird wiederum von Server zu Server weitergeleitet und letztlich von Server NHS 1 an den NHC übergeben. Shortcut
Im nächsten Schritt baut der Quellrechner eine ATM-Verbindung (auch Shortcut genannt) zum Zielrechner auf. Diese ATM-Verbindung wird in der RouterTerminologie als Next Hop bezeichnet. Der Name NHRP deutet somit darauf hin, dass es sich um die Ermittlung (Resolution) von Next Hops über ein ATMNetz handelt. Über eine direkte Shortcut-Verbindung kann jede Folge von IP-Paketen effektiv über das ATM-Netz übermittelt werden. Beispiel: Den Ablauf des NHRP bei der IP-Kommunikation zwischen klassischen Netzwerken über ein ATM-Netz illustriert Abbildung 10.4-16. Hier wird angenommen, dass der Router 1 neu installiert wurde.
10.4 IP über ATM-Netze
S u b n e tz 2
K la s s is c h e s N e tz w e rk (S u b n e tz 1 )
IP -A d r = A N H C a R 1
A T M N e tz
a a
N H S 1 1
R e g is trie ru n g
1 -te s P a k e t 3 D a te n tra n s fe r
Abb. 10.4-16:
IP -A d r = C N H C c c c
IP -A d r = B N H C b b b
S u b n e tz 3 IP -A d r = D N H C d
N H S 2 R
2
d d
4
1 -te s P a k e t 3
4 4
S h o r tc u t
4
503
K la s s is c h e s N e tz w e rk (S u b n e tz 4 )
R 2 1 : R R 2 : R R 3 : R R 4 : R R
e g e q e g e p e s e q e s e p
is tra tio n u e st is tra tio n ly o lu tio n u e st o lu tio n ly
Beispiel für einen Ablauf des NHRP ES: Endsystem; R, R1, R2: Router; aa, bb, cc, dd: ATM-Adressen
Die NHCs stellen entsprechende Software-Module in Endsystemen (Rechnern, Routern) am ATM-Netz dar. Die NHSs werden hier in ATM-Switches untergebracht. Mit jedem Endsystem am ATM-Netz sind eine ATM-Adresse und eine IP-Adresse verbunden. Wurde der Router 1 am ATM-Netz neu installiert, muss der in ihm enthaltene NHC a bei einem NHS (bzw. nach Bedarf bei mehreren NHSs) registriert werden. Die Registrierung erfolgt hier beim NHS 1, so dass dieser Server für die „Betreuung“ des NHC a zuständig ist. Um sich registrieren zu lassen, sendet NHC a an den NHS 1 ein NHRP- Paket Registration Request, in dem u.a. seine ATM-Adresse und seine IP-Adresse angegeben werden. Der NHS 1 antwortet darauf mit Registration Reply. In diesem Paket kann die Registrierung entweder bestätigt (positive Quittung) bzw. durch Angabe der Ursache (administrativ unzulässig, Ressourcen sind nicht ausreichend, ...). abgesagt werden (negative Quittung). Nach der Registrierung wird eine permanente ATM-Verbindung zwischen NHC a und NHS 1 eingerichtet.
Registration Request
Liegen die Daten beim Router 1 zum Senden vor, so kommen zwei Möglichkeiten in Frage: Die ATM-Adresse des Routers 2 (d.h. des Ziel-ATM-Endsystems) ist dem Router 1 (d.h. dem Quell-ATM-Endsystem) bekannt. Damit kann eine ATM-Verbindung für die gewünschte Datenkommunikation (zwischen den beteiligten Routern) aufgebaut werden. Die ATM-Adresse des Routers 2 ist dem Router 1 nicht bekannt. Daher muss die NHC„Hilfe“ in Anspruch genommen werden. Hier sind wiederum zwei Möglichkeiten denkbar: − Die Daten können vorläufig zwischengespeichert werden, bevor die gewünschte ZielATM-Adresse (d.h. des Routers 2) mit NHS-Hilfe bestimmt ist. − Um eine unnötige Verzögerung von Daten zu vermeiden, kann das erste IP-Paket (wie in Abbildung 10.4-16) zur Weiterleitung an einen Default-Router übergeben werden. Nach Absenden des ersten Pakets wird gleichzeitig der Prozess der Ermittlung der Ziel-ATMAdresse mithilfe des NHRP-Pakets Resolution Request gestartet. Im Beispiel in Abbildung 10.4-16 wurde angenommen, dass die Ziel-ATM-Adresse dem Server NHS 1 nicht bekannt ist. Da die NHSs mit den permanenten ATM-Verbindungen verbunden sind, sendet der Server NHS 1 das Paket Resolution Request an den Server NHS 2 weiter.
Resolution Request
504
10 Klassische Ansätze für IP over X Der letzte Server „betreut“ den NHC b im Router 2, sodass ihm die gewünschte ATM-Adresse bekannt ist. Sie wird im NHRP-Paket Resolution Reply zuerst an den NHS 1 und dann weiter an den NHC a übermittelt.
Resolution Reply
Nach der Ankunft des Pakets Resolution Reply beim NHC a ist die gewünschte Ziel-ATMAdresse des Routers 2 bekannt. Eine Eintragung in der Adresstabelle beim NHC a wird durchgeführt und die ATM-Verbindung zum Router 2 aufgebaut. Router 2 leitet die vom ATM-Netz empfangenen IP-Pakete an entsprechende Endsysteme im IP-Subnetz 4 nach bekannten Regeln weiter.
Die ATM-Verbindung zwischen den beteiligten Endsystemen am ATM-Netz bildet ein sog. Shortcut für die Datenübermittlung.
10.4.5 Multi-Protocol Over ATM (MPOA) Was ist MPOA?
Das MPOA (Multi-Protocol Over ATM) ist ein Konzept, das Routing und Switching in ATM-Netzen integriert. Theoretisch ermöglicht das MPOA die Kommunikation über ATM-Netze nach verschiedenen Netzwerkprotokollen. In der Praxis hat sich jedoch das IP durchgesetzt, sodass das MPOA als Lösung für IP over ATM angesehen werden kann. Beim MPOA wird eine logische Routing-Ebene oberhalb eines ATM-Netzes implementiert, sodass man das MPOA auch als ein Konzept für einen virtuellen und verteilten Router bezeichnen kann. Das MPOA vereinigt in sich mehrere Ansätze wie LAN-Emulation in ATMNetzen, Classical IP Over ATM (CLIP) und das Protokoll NHRP, die entwickelt wurden, um eine LAN-spezifische Kommunikation über ATM-Netze zu unterstützen. Mit dem MPOA ist es möglich, alle Arten von IP-Subnetzen miteinander zu vernetzen. Das MPOA wurde im Dokument af-mpoa-0114.000 des ATM-Forums festgelegt und funktioniert nach dem Client/Server-Prinzip [http://www.mfaforum.org/tech/atm_specs.shtml]. Ziel des MPOA Abbildung 10.4-17 veranschaulicht das Ziel des MPOA. Die an das ATM-Netz angeschlossenen Systeme (physikalische LANs, einzelne Rechner) bilden drei geschlossene Gruppen als Subnetze. Hier sollte zum Ausdruck kommen, dass es mithilfe des MPOA möglich ist, diese physikalische Struktur als logische Struktur zu sehen, die aus einer Vernetzung von drei Subnetzen besteht.
MPED
Als MPOA Edge Device (kurz MPED) wird eine ATM-Endeinrichtung bezeichnet, die als eine „Randeinrichtung“ fungiert. Über sie können die traditionellen LANs sowie einzelne Rechner ohne ATM-Adapter an das ATM-Netz angeschlossen werden. Als MPED kann u.a. ein Router mit einer ATMspezifischen Schnittstelle bzw. ein Layer-3-Switch mit integrierter RoutingFunktion fungieren.
505
10.4 IP über ATM-Netze
p h y s ik a lis c h e S tru k tu r A T M N e tz M P E D L A N
M P E D
lo g is c h e s M o d e ll S N a
S N a E L A N
S N b
L A N L A N
Abb. 10.4-17:
M P R
S N c
S N b
L A N L A N
E L A N
S N c
Veranschaulichung des MPOA-Ziels ELAN: Emuliertes LAN, MPR: MPOA Router, SN: IP-Subnetz
Zu den Aufgaben des MPOA-Routers (MPR) gehört die Realisierung des Routing zwischen den über das ATM-Netz zu vernetzenden Subnetzen. Der Router realisiert einige Funktionen, zu denen auch die eines MPOA-Servers gehört. Auf die Funktionen des MPOA-Servers wird im Folgenden noch näher eingegangen. Ein MPOA-Router kann als ein Bestandteil eines ATM-Switches oder als getrennte Komponente im ATM-Netz implementiert werden. Es können auch mehrere MPOA-Router in einem ATM-Netz eingesetzt werden.
MPOARouter, MPOAServer
Im Allgemeinen besteht das Ziel des MPOA darin, die auf Basis eines ATMNetzes aufgebauten Subnetze miteinander zu vernetzen. Daher kann die in Abbildung 10.4-17 dargestellte physikalische Vernetzung – sehr vereinfacht – logisch als einfache Vernetzung dreier Subnetze angesehen werden. Mit dem MPOA kann die Kommunikation bei einer langen Folge von Paketen Shortcut mit so realisiert werden (Abbildung 10.4-18), dass eine direkte ATM-Verbindung dem MPOA (sog. Shortcut) zwischen Quell- und Zielrechner aufgebaut wird. Um eine direkte Verbindung vom Quellrechner zum Ziel aufbauen zu können, muss der Quellrechner die ATM-Adresse des Zielrechners kennen. Da das NHRP ein Bestandteil des MPOA ist, wird diese Adresse mithilfe des NHRP ermittelt. M P R S N 1 M P C L IS Abb. 10.4-18:
M P R S N 2
A T M -N e tz E L A N
S N 3
M P R
S h o r tc u t L IS
S N 4 M P C E L A N
Direkte ATM-Verbindung (sog. Shortcut) zwischen IP-Subnetzen mit MPOA LIS: Logical IP Subnetwork, ELAN: Emuliertes LAN, SN: Subnetz
506
10 Klassische Ansätze für IP over X
Funktionsweise des MPOA Das MPOA funktioniert nach dem Client/Server-Prinzip und definiert folgende Funktionsmodule: MPOA-Clients (MPC): Sie entsprechen den Clients beim NHRP. MPOA-Server (MPS): Er ist im MPOA-Router enthalten. MPC
Abbildung 10.4-19 illustriert die Funktionsweise und gleichzeitig einen wichtigen Einsatz des MPOA. Den MPC repräsentiert ein Software-Modul, das in ATM-Endsystemen bzw. in MPEDs [Abb. 10.4-7] enthalten ist. Der MPC ist für die Weiterleitung von IP-Paketen zuständig und entscheidet, ob ein Paket zum Zielrechner geroutet oder ein Shortcut aufgebaut wird. Der MPED ermöglicht den Anschluss von klassischen LANs sowie von nicht ATM-fähigen Rechnern. Die Router in Abbildung 10.4-19 dienen als MPEDs. R o u tin g -N e tz IP -A d r = A
M P C
R o u tin g
R
M P C
R
S h o r tc u t
M P E D A T M -A d r = x Abb. 10.4-19:
M P R
A T M N e tz
E th e rn e t S N a
M P R M P R
A T M -A d r = y
IP -A d r = B T o k e n R in g S N b
M P E D
Illustration der Funktionsweise des MPOA MPR: MPOA-Router, R: Router, SN: Subnetz
Der MPR kann in einem ATM-Switch – also in einem ATM-Netzknoten – implementiert werden. Es können auch mehrere MPRs in einem ATM-Netz eingesetzt werden. Die MPOA-Komponenten MPCs und MPR werden über permanente ATM-Verbindungen miteinander vernetzt. So entsteht ein logisches Routing-Netz, in dem als Knoten die MPRs und als Endkomponenten die MPCs fungieren. Logisch gesehen werden den Endsystemen die physikalischen ATM-Adressen am physikalischen ATM-Netz und die IP-Adressen entsprechend den MPCs am Routing-Netz zugeordnet. Man stelle sich vor, dieses Routing-Netz würde eine Routing-Ebene oberhalb der physikalischen Netzstruktur bilden. Integration von Switching und Routing
Beim MPOA werden Switching und Routing nach den folgenden Prinzipien integriert: Liegt ein IP-Paket im MPED unter der ATM-Adresse x zum Senden vor, wird die Ziel-IP-Adresse B im Paket interpretiert, die das Modul MPC im Ziel-ATM-Endsystem identifiziert. Zwei Möglichkeiten kommen in Betracht, ein IP-Paket über das ATM-Netz zu übermitteln:
507
10.4 IP über ATM-Netze
Routing: Das Paket kann über das ATM-Netz mithilfe des MPR geroutet werden. Dies ließe die Interpretation zu, das Paket würde über das RoutingNetz zum Ziel-MPC übermittelt. Switching: Für die Übermittlung des IP-Pakets (und eventuell der nächsten darauffolgenden Pakete) kann eine ATM-Verbindung zum Ziel-Endsystem unter der ATM-Adresse y aufgebaut werden. Diese Verbindung bildet einen sog. Shortcut. Ist die Ziel-ATM-Adresse dem Quellendsystem nicht bekannt, kann sie mithilfe des NHRP bestimmt werden. Nun stellt sich die Frage: Wann soll ein IP-Paket über das ATM-Netz geroutet und wann soll es über ein Shortcut übermittelt werden? Da ATM-Netze verbindungsorientiert sind, eignen sie sich besonders gut für die Übermittlung von kontinuierlichen Datenströmen. Hierzu gehört beispielsweise die Übermittlung einer Datei, aus der eine lange Folge von Paketen entsteht. In jedem MPC wird ein Kriterium definiert, nach dem man feststellen kann, ob es sich um eine Folge von Paketen zu einer bestimmten ATM-Adresse handelt und ob es sich „lohnt“, eine ATM-Verbindung zum Ziel-ATM-Endsystem mit dieser Adresse aufzubauen. Handelt es sich um eine Folge von Paketen, wird eine ATMVerbindung zum Ziel-ATM-Endsystem aufgebaut und die Daten werden direkt übermittelt.
Wann Routing und wann Switching?
Theoretisch gesehen ermöglicht das MPOA die Übermittlung von Daten über MPOA nur ein ATM-Netz nach unterschiedlichen routing-fähigen Netzwerkprotokollen als IP over (Multiprotocol!) wie z.B. IP, IPX, AppleTalk. Wegen der Dominanz des IP in ATM der Netzwerkwelt wurden die Nicht-IP-Protokolle in den verfügbaren Netzwerkkomponenten mit der MPOA-Funktionalität nicht unterstützt. Somit ist beim MPOA nur das IP relevant. IP-Kommunikation nach dem MPOA Der Verlauf der IP-Kommunikation nach dem MPOA ist aus Abbildung 10.420 ersichtlich. Es wurde hier angenommen, dass die Datenübermittlung vom ATM-Endsystem ES X initiiert wird. Die Daten sollen zum Endsystem ES Y im traditionellen LAN über das ATM-Netz transportiert werden. Die MPOA-Komponenten MPC und MPS im MPR (MPOA-Router), die sich Ingress/ an der Quellseite befinden, tragen die Bezeichnung Ingress (Eingang), sodass Engress sie Ingress MPC (I-MPC) und Ingress MPS (I-MPS) genannt werden. Ähnlich nutzt man die Bezeichnung Engress (Ausgang) für die MPOA-Komponenten an der Zielseite und spricht man von Engress MPC (E-MPC) und Engress MPS (E-MPC). Beim MPOA wird Folgendes vorausgesetzt: Jeder MPC muss bei einem MPS registriert und über eine ATM-Verbindung mit ihm verbunden sein. Da jeder MPS zu einem MPOA-Router gehört, ist
508
10 Klassische Ansätze für IP over X
der MPC auf diese Weise auch mit einem Router dauerhaft verbunden, falls zwischen MPC und MPS bereits eine ATM-Verbindung besteht. Die „benachbarten“ MPR werden über permanente ATM-Verbindungen miteinander gekoppelt, sodass sie immer in der Lage sind, sowohl die Routing-Information als auch die „Benutzer“-Daten paketweise untereinander zu übermitteln.
A T M -N e tz
A T M A d r = a a E S
M P R E -M P S
M P R I-M P S X
I-M P C
IP -A d r = A
K la s s is c h e s L A N ( S u b n e tz ) E -M P C R
A T M -A d r = b b IP -A d r = B
1 -te s P a k e t
1 -te s P a k e t
1 -te s P a k e t
2 -te s P a k e t
2 -te s P a k e t
2 -te s P a k e t
E S Y
R o u tin g
E rm ittlu n g d e r A T M -A d re s s e (N H R P ) A u fb a u d e r A T M -V e rb in d u n g S h o rtc u t
(H o p 1 )
(H o p 2 )
Ü b e rm ittlu n g v o n w e ite re n D a te n
Abb. 10.4-20:
Veranschaulichung der IP-Kommunikation nach dem MPOA E-MPC: Engress MPC, E-MPS: Engress MPS , I-MPC: Ingress MPC, I-MPS: Ingress MPS, MPR: MPOA-Router, MPS: MPOA-Server
Entdeckung dauerhafter Datenströme
Das MPOA soll ermöglichen, den LAN-Verkehr über ATM-Netze effektiv zu realisieren. Da ATM-Netze im Gegensatz zu traditionellen Shared Medium LANs verbindungsorientiert sind, eignen sie sich besonders gut für die Übermittlung von kontinuierlichen Datenströmen. Hierzu gehört beispielsweise die Übermittlung einer Datei, aus der eine lange Folge von Datenpaketen entsteht. Für die Übermittlung einer kleinen Menge von Daten, die nur ein kleines Paket bilden, ist ein verbindungsorientiertes Netz nicht besonders günstig. Es ist selbstverständlich, dass es sich nicht „lohnt“, für die Übermittlung eines kleinen Datenpakets eine ATM-Verbindung auf- und wieder abzubauen. Der Aufwand hierfür wäre zu groß. Diese Denkweise, die zur Entdeckung der Datenströme führt (flow detection), ist gerade im MPOA-Konzept verankert.
Übermittlung von Daten
Bei der Übermittlung von Daten versucht der Ingress MPC festzustellen, ob zu einer ATM-Zieladresse eine Folge von Datenpaketen gesendet wird. Dies wäre u.a. dadurch zu erreichen, dass man über eine bestimmte Zeitperiode die Zieladressen in den zu sendenden Datenpaketen analysiert. Diese Vorgehensweise
10.5 Schlussbemerkungen
509
verlangt eine Zwischenspeicherung von Daten beim Ingress MPC und würde zu einer zusätzlichen Verzögerung der Daten führen. Um keine zusätzliche Verzögerung beim Ingress MPC zu verursachen, werden Default Path die ersten Datenpakete vom Quell-ATM-Endsystem (ES X in Abbildung 10.420) nach den gleichen Prinzipien wie bei der Vernetzung von LANs gesendet. Stellt der Ingress MPC nach der IP-Adresse fest, dass das Paket zu einem anderen IP-Subnetz (ELAN, LIS) übermittelt werden muss, wird es an den MPOARouter übergeben. Dieser Router leitet dieses Paket nach einem festgelegten Routing-Protokoll weiter. Somit wird dieses Paket, wie dies auch bei der klassischen Vernetzung von LANs der Fall ist, über einen von den Routern bestimmten Weg übermittelt. In der MPOA-Terminologie bezeichnet man den durch die MPOA-Router bestimmten Datenpfad als Default Path. In der Situation in Abbildung 10.4-20 werden die ersten beiden Datenpakete nach dem Default Path übermittelt. In jedem Ingress MPC wird ein Kriterium definiert, nach dem er feststellen kann, ob es sich um eine Folge von Datenpaketen an eine bestimmte ATMAdresse handelt und ob es sich „lohnt“, eine ATM-Verbindung zu dieser Adresse aufzubauen. In Abbildung 10.4-20 wurde angenommen, dass im Ingress MPC nach den ersten beiden Datenpaketen an die gleiche IP-Adresse entschieden wurde, eine ATM-Verbindung aufzubauen. Diese Verbindung bildet einen Shortcut über das ATM-Netz, über den die Daten transparent übermittelt werden können. Auf diese Weise werden die Daten vom Quell- bis zum ZielATM-Endsystem in einem Schritt übergeben. Nach der Terminologie, die man bei den Routing-Protokollen verwendet, bedeutet dies einen Hop (Etappe). Da die Daten in Abbildung 10.4-20 bis zum Endsystem im traditionellen LAN (Ethernet, Token-Ring) übermittelt werden müssen, werden sie vom Router in der zweiten Etappe (zweiter Hop) an das Ziel-LAN-Endsystem ES Y weitergeleitet.
10.5 Schlussbemerkungen Das Ziel dieses Kapitels war es darzustellen, wie die IP-Kommunikation über LANs sowie über klassische Weitwerkehrsnetze wie X.25-, Frame-Relay- und ATM-Netze erfolgen kann. Mangels Platz konnten hier aber die einzelnen Netztechnologien wie X.25, Frame Relay (FR) und ATM nicht detaillierter erläutert werden. Dieses Kapitel soll auch die Grundlagen für die in Kapitel 11 dargestellte Beschreibung einer neuen Generation der IP-Netze mit MPLS dienen. Insbesondere die grundlegende Idee von MPLS hat einige Gemeinsamkeiten mit dem X.25-Konzept.
510
10 Klassische Ansätze für IP over X
Abschließend ist Folgendes hervorzuheben: IP über Metro-Ethernet
Heute findet man die Ethernet-Technik in fast allen Netzwerken. Mit MetroEthernet wird es zukünftig möglich sein, die Ethernet-Anschlüsse in Großstädten nach Bedarf zur Verfügung zu stellen. Ein Metro-Ethernet kann als Dienst auf Basis eines MPLS-Metronetzes eingerichtet werden. Die in Abschnitt 10.1 dargestellten Prinzipien für das IP über LANs können für Metro-Ethernets übernommen werden [www.metroethernetforum.org].
Überlastkontrolle bei FR
In diesem Kapitel wurde nur das allgemeine Konzept der FR-Netze dargestellt. Eine Besonderheit dieser Netze sollte noch erwähnt werden: In FRNetzen findet keine Fehlerkontrolle statt, bei der die mit den einzelnen Leitungen verbundenen Quittungen übermittelt werden. Dies kann dazu führen, dass ein Quellsystem die Daten in das Netz sendet, ohne zu wissen, dass das Netz bereits sehr stark überlastet ist. Deshalb werden beim FR Prinzipien definiert, nach denen die Verkehrssteuerung am Netzeingang realisiert werden soll, sodass Überlastsituationen vermieden werden können. Hierfür werden z.B. die Bits BECN und FECN im Header von Frames eingesetzt [Abb. 10.3-11]. Weitere Informationen darüber sind u.a. enthalten in [Wepp 97].
Management von PVCs bei FR
Da in FR-Netzen kein Signalisierungsprotokoll vorhanden ist, um Wählverbindungen aufbauen zu können, werden in der Praxis permanente Verbindungen, die sog. PVCs (Permanet Virual Connection) über FR-Netze eingerichtet. Hierfür werden die logische Schnittstelle LMI (Local Management Interface) eingefürt und einige Nachrichten definiert, um das Management von PVCs zu ermöglichen, insbesondere um den Status von PVCs zu überwachen. Für Näheres siehe http://www.framerelayforum.com
ATM im WANBereich
In den 80er-Jahren haben die Entwickler von Netzen davon geträumt, über eine einzige Netztechnologie zu verfügen, die man im LAN- und im WANBereich gleichermaßen effektiv einsetzen konnte. Der ATM sollte diesen Traum erfüllen. Im Laufe der Zeit hat es sich aber herausgestellt, dass die ATM-Technik im LAN-Bereich nicht effektiv (die ATM-Zellen sind zu klein) und auch zu teuer ist. Damit ist der erwähnte Traum Ende 90er-Jahre endgültig zerplatzt. Die ATM-Technik wird aber noch im Weitverkehrsbereich weiter eingesetzt. Die ATM-Weitverkehrsnetze werden zu MPLSNetzen ausgebaut. Über MPLS-Netze wiederum können Ethernets nachgebildet werden, sodass die IP-Kommunikation über sie stattfinden kann.
ATMSignalisierung
Um die Verbindungen über ATM-Netze dynamisch aufbauen zu können, sind entsprechende Standards für Signalisierung von der ITU-T (Q.2931) und des ATM-Forums vorhanden. Auf diese Aspekte wurde in diesem Kapitel aber nicht eingegangen. Die Signalisierung in ATM-Netzen ist der Signalisierung im ISDN nach dem D-Kanal-Protokoll ähnlich. Für Näheres hierfür ist z.B. auf [Bada 97b] bzw. [Sieg 02a] zu verweisen.
11 Neue Generation der IP-Netze mit MPLS und GMPLS In klassischen IP-Netzen werden die IP-Pakete unabhängig voneinander über Schwäche das Übermittlungsnetz transportiert, sodass einzelne IP-Pakete auf einer virtu- klassischer ellen Verbindung oft über unterschiedliche Routen übertragen werden. Handelt IP-Netze es sich um eine weite Strecke, sind die Übermittlungszeiten einzelner IP-Pakete sehr unterschiedlich und breit gestreut. Bei der Übermittlung von Echtzeitmedien, wie z.B. bei Voice over IP, wirkt sich dies negativ auf die Qualität der Kommunikation aus. Diese Schwäche klassischer IP-Netze kann „beseitigt“ werden, indem man vor Bedeutung der Übermittlung der IP-Pakete auf einer virtuellen Verbindung zuerst eine op- von MPLS timale Route zum Ziel findet und danach alle IP-Pakete im „Gänsemarsch“ ü- und GMPLS ber sie übermittelt. Dieser Ansatz wird als MPLS (Multi-Protocol Label Switching) bezeichnet. MPLS ermöglicht die Konvergenz von Ethernets, FrameRelay- und ATM-Netzen. Um MPLS in SDH- und WDM-Netzen einsetzen zu können, wurde MPLS zum GMPLS (Generalized MPLS) erweitert. Die neue Generation der IP-Weitverkehrsnetze basiert auf (G)MPLS. Dieses Kapitel stellt die Konzepte und Protokolle für den Aufbau von Next Überblick Generation IP Networks dar. Abschnitt 11.1 schildert die Wege zur neuen Ge- über das neration der IP-Netze. Das Konzept von MPLS wird in Abschnitt 11.2 erläu- Kapitel tert. Abschnitt 11.3 beschreibt das Konzept von GMPLS. Den Prinzipien von Traffic Engineering in (G)MPLS-Netzen widmet sich Abschnitt 11.4. Die Signalisierung in (G)MPLS-Netzen stellt Abschnitt 11.5 dar. Abschließende Bemerkungen in Abschnitt 11.6 runden dieses Kapitel ab. In diesem Kapitel werden u.a. folgende Fragen beantwortet: Worin bestehen die Konzepte MPLS und GMPLS und welche neuen Möglichkeiten für die IP-Kommunikation entstehen? Welche Aufgaben hat Traffic Engineering in IP-Weitverkehrsnetzen? Wie werden (G)MPLS-Netze aufgebaut und wie wird die IP-Kommunikation über sie realisiert? Wie kann die IP-Kommunikation über optische Netze erfolgen? Wie können virtuelle Datenpfade über (G)MPLS-Netze dynamisch eingerichtet werden und welche Protokolle sind hierfür nötig?
Ziel dieses Kapitels
512
11 Neue Generation der IP-Netze mit MPLS und GMPLS
11.1 Weg zu neuer Generation der IP-Netze Trend zu Gigabit-IPNetzen
Durch die rasche Entwicklung und Verbreitung lokaler Netzwerke haben sich die Möglichkeiten der Rechnerkommunikation dramatisch verändert. Der zunehmende Bandbreitenbedarf, der vor allem durch die Einführung neuer webbasierter und multimedialer Applikationen entsteht, zwingt immer mehr Unternehmen zu einer Entscheidung für ein zukunftssicheres Netzwerk, dessen Übertragungsbitrate im Gigabit-Bereich liegt. Die heutigen Anforderungen u.a. an die Integration der Sprach- und Datenkommunikation führen zu der Konvergenz von Netztechniken für Gigabit Networking wie GE (Gigabit Ethernet), 10GE und SDH (Synchronous Digital Hierarchy) [Wild 99] mit optischen Netzen auf der Basis von WDM (Wavelength Division Multiplexing) [KiWi 02]. Der Trend geht heute eindeutig auch zum IP-Einsatz in allen Netztechniken zur Übertragung von Daten und Echtzeitmedien wie Sprache/Audio und Video.
MPLS- und GMPLSNetze
Um IP-Pakete auf eine einheitliche Art und Weise über alle Netztypen, wie z.B. Ethernets, SDH- und WDM-Netze, transportieren zu können, wurden die Konzepte MPLS und GMPLS entwickelt. Die neuen IP-Netze auf der Basis von MPLS bzw. von GMPLS, die man auch als (G)MPLS-Netze bezeichnet, sind nicht mehr verbindungslos, sondern verbindungsorientiert und stellen Multiplane-Architekturen dar. Weil die (G)MPLS-Netze verbindungsorientiert sind, müssen zusätzliche Konzepte und Verfahren implementiert werden, die eine individuell unterschiedliche Behandlung einzelner Verkehrsströme und die effektive Ausnutzung von Netzressourcen ermöglichen. In diesem Zusammenhang spricht man von Traffic Engineering (TE).
Notwendigkeit von Traffic Engineering
11.1.1 Notwendigkeit von (G)MPLS Klassische IP-Netze verbindungslos
Die klassischen IP-Netze funktionieren nach dem Datagram-Prinzip, sodass die einzelnen IP-Pakete unabhängig voneinander über das Übermittlungsnetz transportiert werden, ohne hierfür vorher eine virtuelle Verbindung aufzubauen. Daher sind klassische IP-Netze verbindungslos. Die Folge davon ist, dass die einzelnen IP-Pakete bei der Übermittlung eines Echtzeitmediums, wie z.B. der Sprache, über unterschiedliche Wege transportiert werden. Abbildung 11.11a illustriert dies.
Negative Effekte in klassischen IP-WANs
Handelt es sich bei einer virtuellen Verbindung um eine weite Strecke, sind die statistischen Schwankungen der Übermittlungszeiten der übertragenen IP-Pakete – die man als Jitter bezeichnet – sehr beträchtlich und auch breit gestreut. Um diese Schwankungen der Übermittlungszeit auszugleichen, müssen empfangene IP-Pakete in einem sog. Jitter-Ausgleichspuffer entsprechend lang zwischengespeichert werden. Falls die Zwischenspeicherungszeit im Jitter-
Weg zu neuer Generation der IP-Netze
513
Ausgleichpuffer zu kurz ist, führt sie zur Steigerung der Paketverlustrate. Dadurch, dass einzelne IP-Pakete auf einer virtuellen Verbindung in klassischen IP-Netzen unterschiedliche physikalische Wege zurücklegen können, ist dies bei der Übermittlung von Echtzeitmedien ein großer Nachteil.
a ) N e tz w e rk A R
1
4
3 2
N e tz w e rk B R
K la s s is c h e s IP -W A N
b ) N e tz w e rk A
4 3
R
2 1
(G )M P L S -W A N
3
2 1
R
4
N e tz w e rk B
Abb. 11.1-1: Verbindungslose versus verbindungsorientierte IP-Paketübermittlung: a) Verbindungslose Paketübermittlung im klassischen IP-WAN, b) Verbindungsorientierte Paketübermittlung im (G)MPLS-WAN
Eine Lösung zur Beseitigung dieses Nachteils besteht darin, vor der Übermittlung der IP-Pakete auf einer virtuellen Verbindung zunächst eine optimale Route zum Ziel zu finden und danach eine virtuelle Verbindung aufzubauen und somit alle IP-Pakete über diese Route quasi im „Gänsemarsch“ zu übermitteln. Diese Idee hat zur Entwicklung von MPLS geführt. Die Vorteile einer MPLS-basierten Lösung sind offensichtlich: Die Reihenfolge von IP-Paketen auf einer virtuellen Verbindung wird garantiert und alle IP-Pakete legen den gleichen physikalischen Weg über das Übermittlungsnetz zurück, sodass auch die Jitter-Werte sehr stark reduziert werden. Abbildung 11.1-1b illustriert dies.
IP-Pakete im „Gänsemarsch“ nach MPLS
Die Attraktivität von MPLS besteht u.a. darin, dass die Netzwerke auf Ethernet-Basis und die bestehenden Frame-Relay- und ATM-Netze sich fast ohne Erweiterung für MPLS-Unterstützung – also für eine einheitliche Art und Weise der IP-Paketübermittlung – einsetzen lassen. Wenn MPLS modifiziert wird, kann es auch in optischen Netzen auf Basis der WDM-Technik und der SDH (Synchronous Digital Hierarchy) zum Einsatz kommen. Das Konzept, nach dem das MPLS-Prinzip in SDH-Netzen und in optischen Transportnetzen mit der WDM-Technik eingesetzt werden kann, wird als GMPLS (Generalized MPLS) bezeichnet. (G)MPLS-Netze stellen daher eine neue Generation der IPWeitverkehrsnetze dar.
IP über SDH und WDM nach GMPLS
514
11 Neue Generation der IP-Netze mit MPLS und GMPLS
11.1.2 Bedeutung von Traffic Engineering in IP-Netzen In MPLS-Netzen müssen zusätzliche Konzepte und Verfahren als Erweiterungen zu MPLS implementiert werden, die eine individuell unterschiedliche Behandlung einzelner Verkehrsströme und eine effektive Ausnutzung von Netzressourcen ermöglichen. Diese Erweiterungen werden als MPLS Traffic Engineering (MPLS TE) bezeichnet und können als zusätzlicher Dienst in MPLS-Netzen angesehen werden. Aufgabe von TE
Traffic Engineering (TE) hat sich zu einer der wichtigsten Aufgaben im Bereich der Administration von großen IP-Netzen entwickelt. Unter TE versteht man, in Abhängigkeit von der vorhandenen Netzstruktur und den verfügbaren Netzressourcen (insbesondere von der Bandbreite einzelner Leitungen) die besten Übermittlungswege durch das Transportnetz eines Netzproviders für die vorgegebenen Datenverkehrsströme zu finden. Abbildung 11-1-2 illustriert die Aufgabe von TE. lo g is c h e S ic h t
p h y s ik a lis c h e S ic h t R
R
R
R R
R
T E R
R
T ra n s p o rtn e tz (A T M -, S D H -, W D M -N e tz ) R
R
R o u te r
S w itc h
R
V e rk e h rss trö m e
R R
K u n d e n n e tz
Abb. 11.1-2: Veranschaulichung der Aufgabe von Traffic Engineering in (G)MPLS-Netzen ATM: Asynchronous Transfer Mode, SDH: Synchronous Digital Hierarchy, WDM: Wavelength Division Multiplexing
TE ermöglicht den Netzbetreibern u.a., die verfügbaren Netzressourcen sinnvoller und gezielter zu verteilen. Falls ein neuer Verkehrsstrom mit einer hohen Priorität über ein Transportnetz geführt werden muss, in dem bereits mehrere Verkehrsströme verlaufen, so muss die Möglichkeit gegeben werden, einige bereits laufenden Verkehrsströme mit einer niedrigeren Priorität bei Bedarf dynamisch auf andere physikalische Strecken zu verlegen. Ein Verkehrsstrom mit einer hohen Priorität kann also andere Verkehrsströme mit den niedrigeren Prioritäten aus einer Leitung verdrängen. Schritte bei TE
MPLS TE wird im Allgemeinen in folgenden zwei Schritten durchgeführt: 1. Zuerst werden die (Daten-)Verkehrsströme ermittelt, die zwischen den einzelnen Kundennetzen verlaufen und die über ein vorhandenes Transportnetz geführt werden. Hierbei sind im Besonderen noch die QoS-Anforderungen (Quality of Service) einzelner Verkehrsströme zu berücksichtigen.
Weg zu neuer Generation der IP-Netze
515
2. Sind die einzelnen Verkehrsströme und ihre Charakteristika bekannt, kann ihr optimaler Weg durch das Transportnetz bestimmt werden. Hierbei sind optimale Routen bei in einem Netz gegebenen Randbedingungen zu ermitteln. Da die Leitungen (Links) im Transportnetz über eine begrenzte Bandbreite verfügen, kann nur eine bestimmte Anzahl der Verkehrsströme über eine Leitung gleichzeitig und dauerhaft verlaufen. Dies muss u.a. bei der Ermittlung der Route für jeden Verkehrsstrom berücksichtigt werden. Man spricht hierbei von Constraint-based Routing. Herkömmliche Routing-Protokolle sind für den Einsatz in (G)MPLS-Netzen entsprechend zu modifizieren. Eine Kernaufgabe des TE besteht in der Gewährleistung der Fehler- und Ausfalltoleranz, sodass bestimmte Maßnahmen realisiert werden müssen, um fehlerhafte Situationen und Ausfälle von Systemkomponenten entdecken und neue Wege bestimmen zu können. Eine fehlerhafte Situationen bzw. der Ausfall einer Systemkomponente führt zum Re-Routing. Unter Re-Routing versteht man die automatische Bereitstellung einer neuen Verbindung, nachdem eine fehlerhafte Situation auf der alten Verbindung aufgetreten ist bzw. nachdem die alte Verbindung von einer neuen Verbindung aus einer Leitung verdrängt wurde. Dies kann dann zustande kommen, wenn die Setup-Priorität der neuen Verbindung höher als die Holding-Priorität der alten Verbindung ist. Die alte und verdrängte Verbindung muss entsprechend umgeleitet werden. Die Verdrängung einer Verbindung aus einem Link wird als Preemption der Verbindung bezeichnet.
RoutingProbleme
Re-Routing muss sehr schnell durchgeführt werden. Um dies zu erreichen, sind dedizierte Umleitungen im Netz im Voraus einzuplanen. In diesem Fall spricht man bei TE in (G)MPLS-Netzen von Fast Re-Routing (FRR). Mithilfe von FRR realisiert man Link Protection (Link-Absicherung) und Node Protection (Knotenabsicherung).
Fast ReRouting in (G)MPLSNetzen
Fehler- und Ausfalltoleranz
Re-Routing
Unter Link Protection sind alle Maßnahmen zu verstehen, die dazu führen, dass Link und der Ausfall einer Übertragungsstrecke, d.h. eines Link, schnell kompensiert Node werden kann. Hierfür kann bereits im Voraus eine Ersatzstrecke eingerichtet Protection werden. Unter Node Protection versteht man alle notwendigen Maßnahmen, um einen ausgefallenen Netzknoten (Node) schnell zu ersetzen. Wie auch bei Link Protection wird hierfür eine Ersatzstrecke eingerichtet.
11.1.3 Multiplane-Architekturen zukünftiger IP-Netze (G)MPLS-Netze können als Next Generation (IP-)Networks (NGN) angesehen (G)MPLSwerden, in denen die Sprach-, Daten- und Videokommunikation gleichermaßen Netze als möglich ist. Da die Echtzeitdatenströme (Sprache, Video) in guter Qualität NGN übermittelt werden sollen, müssen NGNs verbindungsorientiert sein. Um Ende-
516
11 Neue Generation der IP-Netze mit MPLS und GMPLS
zu-Ende-Verbindungen für die Verkehrsströme über ein NGN dynamisch aufbauen und verschiedene Dienstmerkmale unterstützen zu können, ist die Outband-Signalisierung (wie im ISDN) nötig. Dies bedeutet, dass NGNs eine Control Plane enthalten müssen. Abbildung 11.1-3 illustriert die dadurch entstehende Multiplane-Architektur. O p e r a to r
M a n a g a m e n t P la n e
o p tim a le R o u te
C o n tro l P la n e C C
E
C C C
C E
T ra n s p o rt P la n e
K u n d e n n e tz A R R
K u n d e n n e tz B
T r a n s p o r tn e tz S w itc h R
R o u te r C
S te u e ru n g s p u n k t E
E n d p u n k t
D a te n p fa d
Abb. 11.1-3: Multiplane-Architektur der (G)MPLS-Netze als Next Generation IP-Networks
Transport Plane
Control Plane
Ein NGN stellt ein physikalisches Transportnetz dar, das um eine Control Plane und eine Management Plane erweitert wurde. Hierfür werden die Switches als Knoten im Transportnetz um zusätzliche Routing- und Signalisierungs-Funktionen erweitert. Das physikalische Transportnetz wird als Transport Plane bezeichnet und kann sowohl ein Ethernet, ein ATM-, ein SDH- oder ein WDMNetz bzw. ein beliebiger Verbund dieser Netzen sein. Die Control Plane stellt ein logisches Routing- und Signalisierungs-Netz dar. Ein Steuerungspunkt als Knoten in der Control Plane hat die Aufgabe, Routing und Signalisierung zu unterstützen. Daher besteht eine Aufgabe der Control Plane in der Ermittlung der optimalen Route für den Verlauf jedes Datenpfades über das Transportnetz. Ein Datenpfad stellt eine virtuelle Ende-zu-EndeVerbindung dar und wird auch in (G)MPLS-Netzen als LSP (Label Switched Path) bezeichnet. Die Control Plane hat auch die Aufgabe, die Signalisierung zu unterstützen. Das bedeutet, sie muss den Auf- und Abbau von LSPs über das Transportnetz steuern. Abbildung 11.1-4 listet die Aufgaben der Control Plane auf. Innerhalb der Control Plane wird das Management von Netzressourcen realisiert. Die Netzknoten in der Control Plane müssen daher u.a. in der Lage sein, ihre benachbarten Knoten zu entdecken und verfügbare Netzressourcen zu in-
Weg zu neuer Generation der IP-Netze
517
ventarisieren. Die benachbarten Knoten müssen sich auch über die verfügbaren Netzressourcen (wie z.B. genutzte Wellenlängen in WDM-Netzen) gegenseitig informieren. Bei GMPLS kommt hierfür das Protokoll LMP (Link Management Protocol) zum Einsatz [Abschnitt 11.3.5]. M a n a g e m e n t v o n N e tz re s s o u rc e n
A u fg a b e n d e r C o n tro l P la n e
B e re its te llu n g v o n V e rb in d u n g e n U n te rs tü tz u n g v o n T ra ffic E n g in e e rin g
E n td e c k (N e ig h b B e k a n n (T o p o lo
u n o r tm g y
g d e r N D is c o v a c h u n g D is s e m
R o u tin g fü r S ig n a lis ie ru u n d A b b a u F e h le r- u n d (F a s t) R e -R L in k P ro te c
a c h b a rsc h a ft e ry ) d e r T o p o lo g ie in a tio n )
d ie P fa n g fü r v o n V e A u sfa o u tin g tio n , N
d b d e rb lle
e s tim m u n g n A u fin d u n g e n n td e c k u n g
o d e P ro te c tio n
Abb. 11.1-4: Aufgabe der Control Plane in IP-Netzen mit (G)MPLS
Zu den Aufgaben der Control Plane gehört auch die Unterstützung von Traffic Engineering [Abschnitt 11.4]. Die Systemkomponenten innerhalb der Control Plane werden mithilfe eines Management Netzmangement-Systems durch einen Operator konfiguriert. Man ordnet diese Plane Funktion der Management Plane zu.
11.1.4 Schritte zu einem LSP Um einen LSP als Datenpfad über ein Transportnetz aufzubauen, sind in der Regel die in Abbildung 11.1-5 gezeigten Schritte nötig. S c h r itt 1
S c h r itt 2
B a n d w ith B ro k e r
S N M P
O S P F -T E
o d e r IS -IS -T E C S P F
C O P S
N e tz re s s o u rc e n -M a n a g e m e n tP ro to k o lle
S c h r itt 3
E rm ittlu n g d e r R o u te fü r d e n L S P -V e rla u f
F e s tle g u n g b z w . A b ru f v o n A n fo rd e ru n g e n a n e in e n L S P
C o n s tra in t-R o u tin g -P ro to k o lle
A u fb a u d e s L S P
R S V P -T E
o d e r C R -L D P
M P L S S ig n a lis ie ru n g s p ro to k o lle
Abb. 11.1-5: Schritte zu einem LSP
Im ersten Schritt werden die Anforderungen an den neuen LSP in Form von bestimmten Regeln (Policies) spezifiziert. Diese Regeln werden manchmal von
518
11 Neue Generation der IP-Netze mit MPLS und GMPLS
vornherein festgelegt, sodass sie beim Ausbau eines neuen LSP nur aus einem speziellen Server abgerufen werden müssen. Hierbei können die Protokolle SNMP (Simple Network Management Protocol) und COPS (Common Open Policy Service) [RFC 2748] bzw. das Konzept von Bandwidth Broker zum Einsatz kommen. Als Bandwidth Broker wird ein spezieller Server bezeichnet, der bestimmte Regeln enthält, die mithilfe von COPS abgerufen werden können. ConstraintRouting
Im zweiten Schritt erfolgt die Ermittlung der Route innerhalb der Control Plane, um den Verlauf des LSP zu bestimmen. Der LSP wird dann über die Netzknoten im Transportnetz verlaufen, die entlang dieser Route liegen. Bei der Ermittlung der Route müssen Einschränkungen berücksichtigt werden, die sich aus den Anforderungen an den LSP ergeben. Daher spricht man von Constraint-Based Routing bzw. Constraint-Routing. Hierfür können als RoutingProtokoll eingesetzt werden: OSPF-TE (OSPF - Traffic Engineering), das eine Erweiterung des RoutingProtokolls OSPF (Open Shortest Path First) [Abschnitt 9.3] für die Unterstützung von TE in MPLS-Netzen darstellt, IS-IS-TE (Intermediate System to Intermediate System - Traffic Engineering) als eine Erweiterung des Routing-Protokolls IS-IS [BAHK 94]. Die beiden Constraint-Routing-Protokolle basieren auf dem Algorithmus CSPF (Constrained Shortest Path First).
Signalisierungsprotokolle
Wurde die Route für den Verlauf des LSP festgelegt, kann mit dem LSP-Aufbau begonnen werden. Da die Route bereits vorliegt, wird sie als explizite Route bezeichnet. Für den Aufbau eines LSP entlang einer Route kommen folgende Signalisierungsprotokolle infrage: RSVP-TE (RSVP with Traffic Engineering): Dieses Protokoll ist eine Erweiterung des Protokolls RSVP (Resource reSerVation Protocol) für TE. CR-LDP (Constraint-Routing LDP): Es handelt sich hier um eine erweiterte Version des Protokolls LDP (Label Distribution Protocol).
11.2 Multi-Protocol Label Switching Das Multi-Protocol Label Switching (MPLS) stellt ein Verfahren dar, um IPPakete u.a. in Ethernets sowie in Frame-Relay- und ATM-Netzen effektiv übermitteln zu können. Nach dem MPLS wird jedem zu übertragenden Paket ein Label vorangestellt. Anhand von Labels können IP-Pakete in Netzknoten effizient weitergeleitet werden, ohne dabei den komplexen IP-Header auswerten zu müssen. Bemerkung: Multi-Protocol beim MPLS deutet darauf hin, dass mit MPLS-Hilfe die Daten nach den verschiedenen Protokollen der Schicht 3 übermittelt werden können.
11.2 Multi-Protocol Label Switching
519
Da das IP de facto zum Standard-Protokoll geworden ist, haben die anderen Schicht-3Protokolle ihre Bedeutung verloren. Daher betrifft MPLS nur das IP.
11.2.1 Multiplane-Architektur der MPLS-Netze Das MPLS ist ein Konzept, nach dem ein physikalisches Transportnetz, das ein Switching-Netz darstellt, um eine Control Plane als logisches Routing- und Signalisierungs-Netz ergänzt wird. Abbildung 11.2-1 illustriert die MultiplaneArchitektur eines MPLS-Netzes auf FR- bzw. ATM-Basis. Die Knoten, d.h. die Switches, im Transportnetz, das ein MPLS-Switching-Netz darstellt, werden um Routing- und Signalisierungs-Funktionen erweitert. Die in Abbildung 11.2-1 dargestellte Architektur entspricht der Architektur in Abbildung 11.1-3. C
R o u te
IP -N e tz
C o n tro l P la n e C
C E
C C
R R
R
R o u te r C
C o re -L S R
IP -N e tz
U n id ire k tio n a le r T ra n s p o rtp fa d
S w itc h in g -N e tz a ls T ra n s p o rtn e tz S w itc h
E
C
E
E d g e -L S R
Abb. 11.2-1: Multiplane-Architektur des MPLS-Netzes auf FR- bzw. ATM-Basis ATM: Asynchronous Transfer Mode, FR: Frame Relay
Bei MPLS werden zwei Arten von sog. Label Switching Routern (LSR) definiert, nämlich Edge-LSR (E-LSR) am Rande und Core-LSR (C-LSR) im Kernbereich des Netzes. Die Router sind über permanente logische Verbindungen so vernetzt, dass sie ein logisches Netz bilden, in dem die C-LSR als Knoten und die E-LSR als Endkomponenten dienen. Ein solches Netz stellt ein zusätzliches logisches Routing- und Signalisierungs-Netz oberhalb des physikalischen Transportnetzes dar. Die E-LSR klassifizieren die zu übertragenden IPPakete und versehen sie mit Labels. Die Netzknoten leiten die IP-Pakete anhand der Label weiter. Die Label-Informationen werden nach dem Protokoll LDP (Label Distribution Protocol) ausgetauscht.
E-LSRs und C-LSRs als Control Plane
Die Router am Transportnetz können als Endsysteme angesehen werden. Über LSP als unisie haben die Kundennetze den Zugang zum MPLS-Netz. Um Router als End- direktionale systeme am Transportnetz miteinander zu verbinden, werden die sog. LSPs Verbindung (Label Switched Paths) aufgebaut. Ein LSP stellt beim MPLS eine unidirektionale Ende-zu-Ende-Verbindung über das Transportnetz dar und kann als Da-
520
11 Neue Generation der IP-Netze mit MPLS und GMPLS
tenpfad angesehen werden. Um den Datenverkehr zwischen zwei Routern in beide Richtungen zu übermitteln, sind zwei entgegengerichtete LSPs nötig. Ein LSP kann automatisch so bestimmt werden, dass zuerst eine Route über das MPLS-Routing-Netz zwischen den kommunizierenden E-LSRs mithilfe eines Routing-Protokolls ermittelt wird. Dann verläuft der LSP über diese Switches (d.h. im MPLS-Switching-Netz), deren LSR sich auf der Route innerhalb des Routing-Netzes befinden. Ethernet als Link
Als Link (d.h. Übertragungsstrecke) zwischen zwei benachbarten Knoten im Transportnetz kann auch ein Ethernet dienen. Abbildung 11.2-2 zeigt dies. C
R o u te
IP -N e tz
C o n tro l P la n e C
C E
C C
E
C
R R
U n id ire k tio n a le r T ra n s p o rtp fa d
E th e rn e ts a ls T ra n s p o rtn e tz E th e rn e t
S w itc h R
R o u te r E
IP -N e tz
E d g e -L S R C
C o re -L S R
Abb. 11.2-2: Architektur des MPLS-Netzes auf Ethernet-Basis
Über einen Ethernet-Link werden die IP-Pakete in Ethernet-Frames – also in sog. MAC-Frames – übermittelt. Jedem IP-Paket wird ein Label vorangestellt, das im MPLS-Header enthalten ist. Der MPLS-Header wird nach dem MACHeader und vor dem IP-Header im MAC-Frame eingebettet [Abb. 11.2-14]. Gleiche Idee wie in X.25-, FR- bzw. ATM-Netzen
Die Idee des MPLS besteht darin, dass zuerst ein Datenpfad als virtuelle Verbindung über das IP-Netz zwischen den kommunizierenden Rechnern für die Übermittlung der IP-Pakete aufgebaut wird. Dadurch werden die einzelnen IPPakete über die gleichen Netzknoten übermittelt. Dieses Prinzip entspricht vollkommen den virtuellen Verbindungen in klassischen verbindungsorientierten Netzen mit Paketvermittlung (wie z.B. X.25-, FR- bzw. ATM-Netze). Um IP-Pakete genauso wie z.B. Pakete in einem Frame-Relay- bzw. ATMNetz übermitteln zu können, müssen sie um eine spezielle Angabe ergänzt werden, die der Angabe eines logischen Kanals entspricht. Beim MPLS wird hierfür jedem zu übertragenden IP-Paket ein Zusatzfeld mit einem Label vorangestellt. Das Label kann als Identifikation des IP-Pakets angesehen werden. Anhand der Label können die IP-Pakete in den Netzknoten effizient nach den gleichen Prinzipien wie in FR- bzw. ATM-Netzen weitergeleitet werden, ohne dass dabei der komplexe IP-Header ausgewertet werden muss.
11.2 Multi-Protocol Label Switching
521
Im Allgemeinen stellt MPLS ein Konzept für eine verteilte Integration von Integration Routing (Layer 3) und Layer-2-Switching dar. Bei MPLS unterscheidet man von Routing und zwischen zwei Netz-Layers: Switching
MPLS-Routing-Netz auf Layer 3 und MPLS-Switching-Netz auf Layer 2.
11.2.2 MPLS als Integration von Routing und Switching Die Integration von Routing und Switching beim MPLS illustriert Abbildung 11.2-3. Jeder Knoten im Netz enthält zwei Funktionskomponenten: einen Layer-2-Switch, wo die Weiterleitung der IP-Pakete auf Basis einer Label-Switching-Tabelle (LST) stattfindet, und ein Router-Modul mit MPLS-Unterstützung, das einen LSR darstellt. Der LSR unterstützt hauptsächlich die Routing-Funktion. Zusätzlich realisiert er die Verteilung der Label-Informationen innerhalb des logischen MPLSRouting-Netzes nach dem Protokoll LDP [Abschnitt 11.5.3]. Am Eingang zum Netz wird zuerst jedes zu übertragende IP-Paket eines Daten- Bedeutung stroms einer bestimmten Klasse, die man FEC (Forwarding Equivalence von FEC Class) nennt, zugeordnet und jeder FEC wiederum ein Label zugewiesen. Somit kann ein Label als FEC-ID (Identifikation) bzw. als Verkehrsstrom-ID angesehen werden.
R o u tin g -In fo . L a b e l-V e rte ilu n g
L S R L a y e r-2 S w itc h IP -P a k e te
R o u tin g P ro to k o ll
R o u tin g -In fo . C R -L D P
L a b e l-V e rte ilu n g
Z u o rd n u n g L a b e l Û F E C
R o u tin g T a b e lle L S T
N H L F E
L a y e r-2 -S w itc h in g
IP -P a k e te
Abb. 11.2-3: Integration von Routing und Switching im Netzknoten beim MPLS FEC: Forwarding Equivalence Class, CR-LDP: Constraint-Routing Label Distribution Protocol, NHLFE: Next Hop Label Forwarding Entry
Die Routing-Tabelle und die Tabelle mit den Zuordnungen Label FEC die- Was enthält nen als „Basis“-Informationen für die Instanz NHLFE (Next Hop Label For- die LST? warding Entry). Sie enthält sämtliche Angaben, die man benötigt, um IPPakete nach MPLS weiterzuleiten. Den Kern von NHLFE bildet die Label-
522
11 Neue Generation der IP-Netze mit MPLS und GMPLS
Switching-Tabelle (LST), in der angegeben wird, wie die einzelnen IP-Pakete im Switch weitergeleitet werden sollen. Wie in Abbildung 11.2-7 gezeigt wird, ist es sinnvoll, dass jedem Eingangs-Interface im Switch eine LST zugeordnet wird. Die LST eines Interface enthält die Angaben, wie die an diesem Interface empfangenen IP-Pakete weitergeleitet werden müssen.
11.2.3 Logisches Modell des MPLS Nach MPLS können mehrere Verkehrsströme als unterschiedliche Klassen der IP-Pakete über eine physikalische Leitung parallel übertragen werden. Das MPLS-Konzept lässt sich daher in Form des in Abbildung 11.2-4 dargestellten logischen Modells veranschaulichen. E -L S R
C -L S R
L a b e l-R a u m
x
a
E -L S R
L S T
b
R o u te r 2
IP -P a k e t b L e itu n g y L a b e l-R a u m
M U X
IP -P a k e t a L e itu n g x
M U X
a
M U X
F E C i
S w itc h
M U X
R o u te r 1
b
F E C i
y
Abb. 11.2-4: Kopplung von Multiplexübertragungsstrecken als logisches Modell von MPLS FEC: Forwarding Equivalence Class, LST: Label Switching Table, MUX: Multiplexer
Label-Raum pro Leitung
Die Datenübertragung über eine physikalische Leitung nach MPLS kann als eine Multiplexübertragungsstrecke interpretiert werden. Die Ports im Multiplexer stellen Sende/Empfangs-Puffer im Speicher dar und werden mithilfe von Labels identifiziert. Die beiden verbundenen Multiplexer müssen immer die gleiche Anzahl von Ports aufweisen. Im E-LSR und im C-LSR wird somit jeder Leitung eine Anzahl von Labels zugeordnet, die als Label-Raum pro physikalisches Interface angesehen werden kann. Da einer Klasse der zu übertragenden IP-Pakete ein Label im E-LSR zugeordnet wird, bedeutet dies, dass Pakete derselben Klasse im E-LSR zum Absenden immer am gleichen Port vor dem Multiplexer abgespeichert werden. Das Label, das einer Klasse von IP-Paketen zugeordnet wurde, dient also als Identifikation dieses Ports im Multiplexer, in dem die IP-Pakete dieser Klasse zum Absenden abgespeichert werden. In Abbildung 11.2-4 wurde z.B. das Label a der Klasse FEC i zugeordnet. Somit wird das Label a jedem zu übertragenden IP-Paket der Klasse FEC i vorangestellt. Die Pakete dieser Klasse werden am EingangsPort a vor dem Absenden im E-LSR abgespeichert und nach dem Empfangen im LSR im Ausgangs-Port zwischengespeichert.
11.2 Multi-Protocol Label Switching
523
Nach MPLS können mehrere Klassen von IP-Paketen – also mehrere Verkehrsströme – parallel über eine physikalische Leitung übertragen werden. Hierbei wird jede Klasse mit einem Label markiert. Daher kann eine physikalische Leitung auf eine Vielzahl von logischen Kanälen aufgeteilt werden und das Label stellt hierbei die Identifikation eines logischen Kanals dar. Dies entspricht weitgehend dem X.25-Konzept [Abb. 10.3-1]. Beim MPLS wird ein Label als FEC-ID (d.h.Verkehrsstrom-ID) jedem zu über- Interpretatragenden IP-Paket entsprechend vorangestellt. Die Interpretation von Labels tion ist aber von der Art des Transportnetzes abhängig. Abbildung 11.2-5 zeigt dies. von Labels
2
...
1
X = ? ? ?
n
T ra n s p o rtp fa d e (T P )
L a b e l = T P -N r.
Q 1 Q 2 Q n
T P = 1
T P = 2
X = E th e rn e t
H
L a b e l
X = F ra m e R e la y (F R ) X = A T M
P a y lo a d
H
T ...
Z n Z 1 Z 2 Z n
T P = n
IP -P a k e t T
Z 1 Z 2
2
n
...
Q n
L a b e l a ls P o rt-N r. 1
Q 1 Q 2
H IP -P a k e t D L C I a ls L a b e l H H P a y lo a d P a y lo a d
V C I/V P I a ls L a b e l
F R F ra m e E th e r n e tF ra m e IP -P a k e t a ls P a y lo a d im A T M -Z e lle n
Abb. 11.2-5: Labels beim MPLS in Abhängigkeit vom Transportnetz H: Header, T: Trailer, Q: Quelle, Z: Ziel
Wie hier ersichtlich ist, wird beim MPLS jedem zu übertragenden IP-Paket ein Label wie folgt vorangestellt: In FR-Netzen verwendet man als Label DLCI (Data Link Connection Identifier) [Abb. 10.3-11] im Header von FR-Frames mit den IP-Paketen. In ATM-Netzen dient als Label VPI/VCI (Virtual Path Identifier/Virtual Circuit Identifier) im Header von ATM-Zellen [Abb. 10.4-4]. Fungiert ein Ethernet als Link, wird ein MPLS-Header mit einem Label im Ethernet-Frame vor dem IP-Header eingebettet. Beim MPLS wird immer ein Label vor dem IP-Paket im Transportnetz, also in der Transport Plane, übermittelt. Dies ist bei GMPLS aber nicht der Fall [Abb. 11.3.8]. Genau darin besteht der große Unterschied zwischen MPLS und GMPLS.
524
11 Neue Generation der IP-Netze mit MPLS und GMPLS
11.2.4 Prinzip des Label-Switching
Aufgabe von LabelSwitching
Das Prinzip des Label-Switching besteht darin [Abb. 11.2-4], dass ein empfangenes IP-Paket (z.B. aus der Leitung x und mit dem Label a) mit einem (im Allgemeinen) anderen Label auf eine andere Leitung (z.B. auf die Leitung y und mit dem Label b) weitergeleitet wird. Die Aufgabe von Label-Switching ist es, virtuelle Verbindungen als Label Switched Path (LSP) durch die Kopplung der logischen Kanäle in Switches zu realisieren. Hierfür müssen die Label-Werte mithilfe einer Label-SwitchingTabelle (LST) umgesetzt werden, sodass eine korrekte Verknüpfung der logischen Kanäle in IP-Netzknoten erfolgen kann. Wie Abbildung 11.2-6 zum Ausdruck bringt, stellt ein LSP eine Kette von logischen Kanälen in den einzelnen unterwegs liegenden physikalischen Leitungen dar. Hierbei wird ein logischer Kanal mit einem Label identifiziert. Daher wird das IP-Paket z.B. mit Label a vom Port a im Router A zum Port a im Switch übermittelt. L S P = V irtu e lle V e rb in d u n g L o g is c h e r K a n a l a F E C
IP -P a k e t a
L o g is c h e r K a n a l b
a R o u te r A
L e itu n g x
IP -P a k e t b
S w itc h a
L S T
b
L e itu n g y
b R o u te r B
Abb. 11.2-6: Veranschaulichung eines LSP (Label Switched Path)
Nach der LST im Switch werden zuerst eine physikalische Ausgangsleitung für das Absenden des IP-Pakets und dann ein Port bestimmt, an dem diese Ausgangsleitung anliegt. Dem zu sendenden IP-Paket wird danach eventuell ein neuer Label-Wert, der dem neuen Ausgangs-Port entspricht, vorangestellt. In einem Switch mit MPLS wird folgende Abbildung realisiert: (Ausgangsleitung, abgehendes Label)
(Eingangsleitung, ankommendes Label)
Damit hat jeder MPLS-Switch folgende Funktionen zu erfüllen: Raumvermittlung: Eingangsleitung
Ausgangsleitung
Darunter versteht man die Übergabe eines IP-Pakets von einer physikalischen Eingangsleitung an eine andere physikalische Ausgangsleitung.
Label Swapping
Label-Umsetzung: ankommendes Label
abgehendes Label
Für jedes empfangene IP-Paket muss das Label nach der LST für das zu sendende Paket festgelegt werden. Die Label-Umsetzung bezeichnet man als Label Swapping. Zwischenspeicherung der IP-Pakete Es kann vorkommen, dass einige Pakete zwischengespeichert werden müssen, weil die Ausgangsleitung vorläufig durch die Übertragung von früher angekommenen Paketen belegt ist.
11.2 Multi-Protocol Label Switching
525
Beispiel: Abbildung 11.2-7 veranschaulicht die Übermittlung der IP-Pakete über einen LSP vom Router A zum Router B. Jeder Eingangsleitung im Switch wird eine LST zugeordnet, in der die Ausgangsleitung und das abgehende Label für jedes angekommene Label angegeben wird. Die Aufgabe von Label Switching besteht in der „Übergabe“ eines empfangenen IP-Pakets vom Port an der Eingangsleitung zum Port an der Ausgangsleitung. S w itc h 2
a E in L a b a
A u s In tf L a b ... y b ...
b L S T -x
E in L a b b
L S c b
z
M U X
b
y
R o u te r B
M U X
a L S
M U X
M U X
x
M U X
a
M U X
S w itc h 1
R o u te r A
c
c A u s In tf L a b ... c z ...
L S T -y
Abb. 11.2-7: Prinzip der Übermittlung von IP-Paketen über einen LSP [vlg. Abb. 10.3-6] Ein-L: Eingangsleitung, Intf: Interface (Leitung), LS: Label Switching, LST-x: Label Switching Tabelle des Eingangs-Interface x
Dieses Beispiel soll einerseits zum Ausdruck bringen, dass ein Label im All- Lokale gemeinen nur lokale Bedeutung hat, d.h. nur mit einer physikalischen Leitung Bedeutung verbunden ist. Auch ist es möglich, dass das Label in allen auf dem LSP lie- von Label genden Switches nicht verändert wird. In einem solchen Fall wird den IPPaketen auf allen Leitungen das gleiche Label vorangestellt. Andererseits soll hervorgehoben werden, dass die Übermittlung der IP-Pakete über einen bereits bestehenden LSP nur auf den vorangestellten Labels basiert.
11.2.5 Logische Struktur der MPLS-Netze Ein MPLS-Switching-Netz lässt sich als Geflecht logischer Kanäle verstehen. InterpretaWie Abbildung 11.2-8 illustriert, stellt eine virtuelle Ende-zu-Ende- tion des LSP Verbindung im MPLS-Switching-Netz einen LSP dar, der eine geordnete Kette von logischen Kanälen innerhalb von physikalischen Leitungen bildet. Hierbei werden die logischen Kanäle mithilfe von Labels identifiziert. Mit einer Leitung ist immer ein Label-Raum verbunden [Abb. 11.2-4]. Über einen LSP wird daher eine Klasse FEC (Forwarding Equivalence Class) von IP-Paketen übermittelt. Beim MPLS werden über einen LSP die IP-Pakete nur in eine Richtung transportiert [Abb. 11.2-7]. Für eine virtuelle Vollduplex-Verbindung sind zwei entgegengerichtete LSPs nötig.
526
11 Neue Generation der IP-Netze mit MPLS und GMPLS
M P L S -N e tz
R o u te r
L S
S w itc h R o u te r
S w itc h
S w itc h L S
L S : L a b e l S w itc h in g
L S P 2 R o u te r
L S
L S P 1
Abb. 11.2-8: Logische Struktur eines MPLS-Netzes Bemerkung: Eine Vollduplex-TCP-Verbindung setzt sich aus zwei entgegengerichteten, unidirektionalen TCP-Teilverbindungen zusammen. Daher kann jede von ihnen auf der Basis eines LSP eingerichtet werden. Für eine Vollduplex-TCP-Verbindung sind daher zwei LSPs nötig.
Da die IP-Pakete auf einem LSP immer über die gleiche „virtuelle Übertragungsstrecke“ laufen, wird die Reihenfolge der übermittelten IP-Pakete im MPLS-Netz nicht verändert. Dies ist ein großer Vorteil im Vergleich zu den klassischen IP-Netzen, die verbindungslos sind [Abb. 11.1-1a].
11.2.6 Bildung der Klassen von IP-Paketen und MPLS-Einsatz Im Quell-E-LSR [Abb. 11.2-4] werden die zu übertragenden IP-Pakete klassifiziert, einem Verkehrsstrom zugeordnet und als FEC (Forwarding Equivalence Class) interpretiert. Jede FEC wird wiederum über einen LSP im Netz übermittelt. Da FECs nach unterschiedlichen Kriterien gebildet werden können, ergibt sich dadurch ein breites Spektrum von MPLS-Einsatzmöglichkeiten. Beispielsweise kommen folgende Kriterien für die Zuordnung von IP-Paketen zu FECs im Quell-E-LSR in Frage: Bildung von FECs
FEC = alle IP-Pakete zu einem Ziel-Subnetz In diesem Fall wird ein LSP aufgebaut, um die IP-Pakete von einem IP-Subnetz zu einem anderen zu übermitteln [Abb. 11.2-9]. Zwei entgegengerichtete LSPs würden einer virtuellen Vollduplex-Standleitung zwischen den Subnetzen entsprechen.
FEC = alle IP-Pakete zu einem Ziel-Rechner Hier wird ein LSP aufgebaut, um die IP-Pakete an einen Zielrechner zu übermitteln.
FEC = alle IP-Pakete zwischen zwei Routern, über die zwei Standorte eines Unternehmens angeschlossen sind Werden bei einer derartigen Zuordnung der IP-Pakete zur FEC zwei entgegengerichtete LSPs über ein MPLS-Netz aufgebaut, so könnte man diese LSPs mit einer virtuellen Standleitung zwischen zwei Standorten eines Unternehmens vergleichen. Über diese virtuelle Standleitung kann ein virtuelles privates Netz auf IP-Basis aufgebaut werden.
11.2 Multi-Protocol Label Switching Beispiel für einen MPLS-Einsatz Abbildung 11.2-9 illustriert den MPLS-Einsatz für die Kopplung von IP-Subnetzen. Hier wird nur die Übermittlung der IP-Pakete von Subnetz A zu Subnetz B veranschaulicht. In diesem Fall dient die Identifikation (ID) des Ziel-Subnetzes im Quell-E-LSR des Routers PRA als Kriterium für die Zuordnung der IP-Pakete zur FEC. Somit bilden hier alle IP-Pakete, die von Subnetz A zu Subnetz B mit der Subnetz-ID = 48.1 übermittelt werden, eine FEC. Dieser FEC (IP-Pakete mit der Zielsubnetz-ID = 48.1) wird das Label a im Quell-E-LSR zugewiesen.
F E C = > L a b e l F E C L a b E -L S R ... ... 4 8 .1 a ... ... 1
C R A
2
S u b n e tz A
P R A
4
R o u tin g -N e tz
E -L S R
C -L S R R o u te
3
S x
S w itc h in g N e tz 2 1
Z ie l A u s -In tf ... ... 3 4 8 .1 ... ... R o u tin g T a b e lle
Abb. 11.2-9:
C -L S R
C -L S R
L S T -1
E in L a b ... a ...
S z S y
3 4
A u s In tf L a b ... ... b 4 ... ...
1
2
3 P R B
C R 4
L S P Z ie l A u ... 4 8 .1 ... R o u tin g T
B
S u b n e tz B 4 8 .1
s -In tf ... 4
...
a b e lle
Kopplung der IP-Subnetze über ein MPLS-Netz Aus: Ausgang, CR: Customer Router, Ein: Eingang, Intf: Interface, Lab: Label, PR: Provider Router, S: Switch
Nach MPLS muss ein LSP vom PRA zum PRB eingerichtet werden. Um den optimalen Verlauf des LSP zu finden, bestimmt der Quell-E-LSR anhand eines Routing-Protokolls (z.B. OSPF) die Route über das MPLS-Routing-Netz zum Ziel-E-LSR. Die optimale Route führt nur über den C-LSR, der im Switch Sy des Switching-Netzes enthalten ist. Somit führt der LSP vom PRA zum PRB über den Switch Sy. Der Router PRA realisiert normalerweise die Routing-Funktion. Nach der Routing-Tabelle werden die IP-Pakete mit der Ziel-Subnetz-ID = 48.1 im PRA zum Ausgangs-Interface 3 geleitet. Da diese IP-Pakete eine Klasse bilden, der das Label a zugeordnet wurde, werden sie an den Multiplexer-Port a des Ausgangs-Interface 3 übergeben. Beim Absenden zum Switch Sy wird diesen IP-Paketen das Label a vorangestellt. Switch Sy empfängt die IP-Pakete mit Label a vom PRA auf dem Eingangs-Interface 1. Nach der LST dieses Interface im Switch Sy werden diese Pakete vom Eingangs-Interface 1 an das Ausgangs-Interface 4 übergeben. Zusätzlich wird den IP-Paketen das Label b vorangestellt, als ob diese IP-Pakete vor dem Interface 4 im Port mit der Identifikation b abgespeichert würden. Der Ziel-Router PRB empfängt die IP-Pakete mit Label b auf dem Interface 1. Er leitet diese IPPakete zum IP-Subnetz B (ohne Label) nach der Routing-Tabelle zum Ausgangs-Interface 4 weiter. Die Router mit E-LSR unterstützen daher das MPLS und realisieren das Routing.
527
11 Neue Generation der IP-Netze mit MPLS und GMPLS
11.2.7 MPLS und die Hierarchie von Netzen Übermittlungsnetze werden oft hierarchisch aufgebaut. Ein Beispiel hierfür zeigt Abbildung 11.2-10. Hier nutzt das FR-Netz als Backbone ein ATM-Netz, das wiederum auf der Basis eines optischen Netzes mit der WDM-Technik aufgebaut wird. Wird das FR-Netz für die Vernetzung von IP-Netzwerken eingesetzt, ergibt sich folgende logische Hierarchie der Netze: IP/FR/ATM/WDM. IP /F R /A T M /W D M
F r a m e -R e la y -N e tz
...
A T M
Abb. 11.2-10:
A T M
A T M -N e tz W D M -N e tz W D M W D M
W D M
IP N e tz w e rk B
F R
...
F R
...
IP N e tz w e rk A
...
528
Beispiel für eine hierarchische Netzstruktur IP/FR/ATM/WDM
Die Netztypen wie ATM- bzw. WDM-Netze können auch verschiedenen Netzanbietern gehören, sodass sie unterschiedliche administrative Domänen bilden. Falls in einer derartigen Netzstruktur MPLS unterstützt werden soll, ist es sinnvoll bzw. manchmal auch notwendig, den zu übertragenden IP-Paketen mehrere Labels voranzustellen. Abbildung 11.2-11 zeigt, wie ein Transportpfad als LSP über die in Abbildung 11.2-10 dargestellte Hierarchie der Netze eingerichtet werden kann.
IP N e tz w e rk A
S
L S R
IP -P a k e t x a
a
S
L S R i
F R -N e tz
L S R
F R -L S P i
IP -P a k e t x
A T M -N e tz
L S R y A T M -L S P
b
S b
IP N e tz w e rk B
j
S j
S i: S w i t c h i
Abb. 11.2-11: IP über die hierarchische Netzstruktur FR/ATM mit MPLS
Das FR-Netz dient hier u.a. als Zubringer zum ATM-Netz. Zwischen den Knoten im FR-Netz, an die die IP-Netzwerke angebunden sind, wird eine virtuelle Verbindung aufgebaut. Aus MPLS-Sicht stellt diese Verbindung einen logischen Kanal dar, sodass LSRa und LSRb als Nachbar-LSRs zu betrachten sind.
11.2 Multi-Protocol Label Switching
529
Somit müssen sich die beiden LSRa und LSRb aus dem FR-Netz auf den gleichen Label-Raum verständigen [Abb. 11.2-4]. Die über das FR-Netz übertragenen IP-Pakete werden daher mit dem Label x etikettiert. Falls ein ATM-Netz als reines Transitnetz für die bereits im FRNetz mit dem Label x etikettierten IP-Pakete dienen soll, muss diesen IPPaketen ein zweites Label vorangestellt werden, um sie nach MPLS über das ATM-Netz zu transportieren (siehe Abbildung 11.2-11). Bei der Übertragung der IP-Pakete nach MPLS über eine hierarchische Netz- Label-Stack struktur werden mehrere Labels den IP-Paketen vorangestellt. In diesem Fall spricht man daher von einem Label-Stack (Label-Stapel). MPLS und Tunneling Weitverkehrsnetze werden oft hierarchisch aufgebaut und setzen sich aus unterschiedlichen Netztypen zusammen. Sie werden so eingerichtet, dass ein schnelleres und inneres Netz als Backbone für das äußere Netz dient. Ein solcher Fall wurde bereits in Abbildung 11.2-10 gezeigt. Falls IP-Pakete über ein solches hierarchisch strukturiertes Netz, das sich aus Tunneling den unterschiedlichsten Netztypen zusammensetzt, übermittelt werden, dient das innere Netz als reines Transitnetz. Für die Übermittlung von Daten über ein Transitnetz verwendet man das sog. Encapsulation/Decapsulation-Verfahren. Logisch gesehen wird hierbei ein Tunnel über ein Transitnetz aufgebaut. Man spricht daher auch von Tunneling. Wird ein Label-Stack den zu übertragenden IP-Paketen vorangestellt, so handelt es sich um den Transport der IP-Pakete über ein Netz, das aus einem hierarchisch strukturierten Backbone besteht. Dies zeigt Abbildung 11.2-12. F R -N e tz (F ra m e -R e la y -N e tz ) L S R a
L S R
A T M -N e tz
i
A T M -L K F R -L K
L S R j
L S R b
IP -P a k e t x y IP -P a k e t x IP -P a k e t
Abb. 11.2-12:
Tunneling beim MPLS über die hierarchische Netzstruktur FR/ATM LK: Logischer Kanal, LSR: Label Switching Router, x, y, z: Label
Wie hier zum Ausdruck kommt, verwendet man bei der Übermittlung der IP- TunnelingPakete nach MPLS über ein hierarchisch strukturiertes Transitnetz das Tunne- Prinzip ling-Prinzip. Abbildung 11.2-12 zeigt eine Situation, in der die IP-Pakete über
530
11 Neue Generation der IP-Netze mit MPLS und GMPLS
ein FR-Netz transportiert werden. Dieses Netz stellt ein reines Transitnetz für die IP-Pakete dar. Aus MPLS-Sicht sind LSRa und LSRb als benachbarte Router zu interpretieren. Sie sind mit einem logischen Kanal verbunden und müssen sich auf einen gemeinsamen Label-Raum verständigen [Abb. 11.2-4]. Den über das FR-Netz zu übertragenden IP-Paketen wird das Label x vorangestellt. Transitnetze
Die Übermittlung im FR-Netz erfolgt über einen ATM-Backbone (d.h. wiederum über ein Transitnetz), sodass LSRi und LSRj benachbarte Router sind. Sie sind mit einem logischen Kanal verbunden und müssen ebenfalls einen gemeinsamen Label-Raum vereinbaren. Den über das ATM-Netz zu übertragenden und bereits mit einem Label etikettierten IP-Paketen wird das zweite Label y vorangestellt. Das hier dargestellte hierarchische Tunneling kann auch für den Aufbau von hierarchisch strukturierten Virtual Private Networks (VPN) verwendet werden [Abb. 11.2-16]. Label-Stack Wird ein IP-Paket über mehrere Transitnetze nach MPLS übermittelt, werden ihm (logisch gesehen) mehrere Labels vorangestellt; man spricht somit von einem Label-Stack. Wie Abbildung 11.2-13a zeigt, besteht ein Label-Stack aus einer bestimmten Anzahl von Label-Einträgen (Label Entries). Logisch gesehen wird ein Label-Stack den IP-Paketen dann vorangestellt, wenn sie über eine hierarchische Struktur von Transitnetzen transportiert werden [Abb. 11.2-11]. a )
H in te rs te s L a b e l IP -P a k e t
V o rd e rs te s L a b e l L n
L i L a b e l-S ta c k
Abb. 11.2-13:
b )
H ie ra rc h is c h e N e tz s tru k tu r IP /F R /A T M
L 1
IP -P a k e t
x
y
Label-Stack: a) allgemeine Struktur, b) in der Netzstruktur FR/ATM FR: Frame Relay, WDM: Wavelength Division Multiplexing
Es besteht ein Zusammenhang zwischen der Hierarchie der Netze und der Label-Stack-Struktur. Dies bringt Abbildung 11.2-13b zum Ausdruck. Hier wurde die Netzstruktur aus Abbildung 11.2-11 angenommen. Somit erfolgt die Weiterleitung des IP-Pakets innerhalb der untersten Netzhierarchie (d.h. im ATMNetz) anhand des ersten Labels y. Dagegen erfolgt die Weiterleitung des IPPakets innerhalb der obersten Netzhierarchie (d.h. im FR-Netz) aufgrund des zweiten Labels x.
11.2 Multi-Protocol Label Switching
531
11.2.8 MPLS und verschiedene Übermittlungsnetze MPLS kann für die Übermittlung von IP-Paketen über verschiedene Netze eingesetzt werden. Die MPLS-Standards sehen vor, dass folgende Netztypen für die MPLS-Unterstützung eingesetzt werden können: Frame-Relay-Netze [Abschnitt 10.3.3], ATM-Netze [Abschnitt 10.4.1], herkömmliche LANs (Ethernets) und PPP-Verbindungen (Point-to-Point Protocol) [Abschnitt 10.2.2]. Für die Realisierung von MPLS über unterschiedliche Netztypen wurden daher Arten von folgende Arten von Labels eingeführt: FR-Label (Frame Relay), ATM-Label Labels und Generic-Label. Ein FR-Label repräsentiert einen DLCI-Wert (Data Link Connection Identifier), d.h. die Identifikation eines logischen Kanals in FR-Netzen. Ähnlich repräsentiert ein ATM-Label einen VPI/VCI-Wert aus dem ATM-Header. Für die MPLS-Realisierung in LAN-Verbundsystemen und über PPP-Verbindungen dienen sog. Generic Labels. Für die Übermittlung von Generic Labels wurde der MPLS-Header eingeführt. Abbildung 11.2-14 zeigt, wie die MPLS-Angaben in den einzelnen Netztypen transportiert werden. a )
F R -H e a d e r D L C I
F R -T ra ile r IP -P a k e t
L a b e l c )
P P P -H e a d e r M P L S -H e a d e r
Abb. 11.2-14:
IP -P a k e t
b )
A T M -H e a d e r V P I V C I
D a te n
L a b e l L a b e l E x p d ) M A C -H e a d e r M P L S -H e a d e r
S T T L
IP -P a k e t L L C /S N A P
M A C -T ra ile r
Übermittlung der MPLS-Angaben über: a) FR-Netze, b) ATM-Netze, c) PPP-Verbindungen, d) herkömmliche LANs DLCI: Data Link Connection Identifier, LLC: Logical Link Control, SNAP: Subnetwork Access Protocol, VCI: Virtual Connection Identifier, VPI: Virtual Path Identifier
Bei der Übertragung der IP-Pakete nach MPLS über FR-Netze wird der LabelWert im DLCI-Feld des FR-Header angegeben. In diesem Fall gilt: Label = DLCI. Somit lassen sich die FR-Netze für die Übermittlung der IP-Pakete nach MPLS relativ einfach adaptieren. Bei der Übertragung der IP-Pakete nach MPLS über ATM-Netze wird der Label-Wert im VPI/VCI-Feld des ATM-Header angegeben. Auf diese Weise können ATM-Netze einfach erweitert werden, um MPLS zu unterstützen.
532 Shim-Header
11 Neue Generation der IP-Netze mit MPLS und GMPLS
Das Generic-Label beim MPLS über LANs bzw. über PPP-Verbindungen wird im MPLS-Header angegeben, den man auch als Shim-Header bezeichnet. Bei MPLS über PPP-Verbindungen wird der MPLS-Header nach dem PPP-Header und vor dem IP-Paket eingekapselt. In LANs wird der MPLS-Header nach dem LLC/SNAP-Header [Abb. 10.1-4] und vor dem IP-Paket transportiert. Der MPLS-Header ist 4 Bytes lang und setzt sich aus folgenden Feldern zusammen: Label: In diesem Feld (20 Bits) wird der Label-Wert angegeben. Exp (Experimental): Die Nutzung dieses Feldes (3 Bits) ist zurzeit noch offen. Bei einigen
MPLS-Lösungen wird es für die Unterstützung von Quality of Service eingesetzt. In diesem Fall werden hier die Class-of-Service- bzw. Prioritäts-Angaben gemacht. S (Bottom of Stack): In diesem 1-Bit-Feld markiert man, ob dieser Label-Eintrag der hinters-
te Eintrag im Stack ist. TTL (Time To Live): In diesem Feld (8 Bits) wird der TTL-Wert aus dem IP-Header eingetragen. Der TTL-Wert wird in jedem Switch unterwegs um 1 verringert.
11.2.9 Virtual Private Networks mit MPLS MPLS-VPNs
Mit MPLS können virtuelle private Netze VPN (Virtual Private Network) eingerichtet werden. In diesem Zusammenhang spricht man auch von MPLSVPNs. Wie Abbildung 11.2-15 illustriert, handelt es sich hierbei oft um eine standortübergreifende Vernetzung der Unternehmensnetze.
U N A
V P N
C R P R
U N Abb. 11.2-15:
C R B
A
C R
M P L S -N e tz V P N
U N A
P R C R
B
U N B
VPN als eine standortübergreifende Vernetzung CR: Customer Router, PR: Provider Router, UN: Unternehmensnetz
Beim Aufbau eines VPN über ein IP-Netz werden den zu übertragenden IPPaketen mehrere Labels vorangestellt. Abbildung 11.2-16 illustriert das Prinzip der VPN-Bildung. Man verwendet hier das Label x (d.h. das hintere Label) als VPN-Identifikation. Der Eingangs-E-LSR (sog. Ingress E-LSR) im EdgeRouter PR beim Netz-Provider klassifiziert die zu übermittelnden IP-Pakete. In diesem Fall wird allen IP-Paketen vom Router PRA eine Klasse FEC zugeordnet. Da das ganze IP-Netz nun als Transitnetz dient, wird ein Tunnel zum Ausgangs-E-LSR (sog. Egress E-LSR) aufgebaut [Abb. 11.2-12]. Somit fungieren Eingangs- und Ausgangs-E-LSR als benachbarte Router. Logisch gesehen be-
11.3 Konzept von GMPLS
533
steht zwischen ihnen ein logischer Kanal, sodass sie sich auf einen Label-Raum verständigen müssen. Das Label x, das den IP-Paketen von Router PRA vorangestellt wird, gehört u.a. zu diesem Raum.
C R
U N
V P N
A
L a b e l x = V P N -ID
in g r e s s
E -L S R
P R A
A
E -L S R
IP -P a k e t x C -L S R
S
IP -P a k e t x y
i
M P L S -N e tz
Abb. 11.2-16:
U N
P R
B
C R B
e g re ss
B
C -L S R
S j
Prinzip der Realisierung eines VPN auf Basis eines MPLS-Netzes CR: Customer Router, PR: Provider Router, UN: Unternehmensnetz
Für die Übermittlung der zum VPN gehörenden (d.h. bereits mit dem Label x etikettierten) IP-Pakete über das MPLS-Netz wird den Paketen im Eingangs-ELSR das zweite Label y vorangestellt. Die Übermittlung der IP-Pakete erfolgt hierbei anhand des vorderen Labels y. Im Ausgangs-E-LSR wird das vordere Label y vom IP-Paket „abgeschnitten“. Nach dem hinteren Label x werden die IP-Pakete im Ausgangs-E-LSR zum richtigen Unternehmensnetz (d.h. zum CRB) weitergeleitet.
11.3 Konzept von GMPLS MPLS ermöglicht die Konvergenz von Ethernets mit Frame-Relay- und mit IP über SDH ATM-Netzen auf eine elegante Art und Weise. Ein Verbund dieser Netzarten und WDM kann daher ein MPLS-Netz darstellen, in dem die IP-Kommunikation verbin- mit GMPLS dungsorientiert ist und die Übermittlung von IP-Paketen im „Gänsemarsch“ verläuft [Abb. 11.1-1b]. In MPLS-Netzen müssen auch zusätzliche Konzepte und Verfahren als Erweiterungen zum MPLS implementiert werden, die eine individuell unterschiedliche Behandlung einzelner Verkehrsströme und effektive Ausnutzung von Netzressourcen ermöglichen. Wie bereits in Abschnitt 11.1.2 gezeigt wurde, nennt man diese Erweiterungen MPLS-TE (Traffic Engineering). Eine Verallgemeinerung von MPLS und MPLS-TE, sodass man die IP-Pakete nach dem MPLS-Prinzip auch in SDH-Netzen [Wild 99] sowie in optischen Transportnetzen auf Basis der WDM-Technik [KiWi 02] übermitteln kann, wird als Generalized MPLS (GMPLS) bezeichnet. GMPLS wurde von der IETF entwickelt und bereits in mehreren RFCs spezifiziert [RFC 3945].
534
11 Neue Generation der IP-Netze mit MPLS und GMPLS
Das GMPLS ist zwar eine Verallgemeinerung von MPLS, aber es besteht ein gravierender Unterschied zwischen ihnen in der Signalisierung. Control Plane bei GMPLS
Jedem GMPLS-Netz auf Basis der SDH- bzw. WDM-Transportnetze liegt die in Abbildung 11.1-3 gargestellt Multiplane-Architektur zugrunde. Das Prinzip von Routing und Signalisierung in GMPLS-Netzen soll Abbildung 11.3-1 näher erläutern. Die Signalisierungsinstanzen innerhalb der Control Plane, die zu jeweils zwei benachbarten Netzknoten gehören, müssen dauerhaft miteinander vernetzt werden. Mithilfe eines Protokolls wird ein Label zwischen ihnen vereinbart.
E n d s y s te m
S w itc h
R R
S
S w itc h
L 1
IP -P a k e t
E th
S L
2
3
T ra n s p o rtp fa d P a y lo a d
E th e r n e t-F r a m e
R S
T ra n s p o rt P la n e
T
E n d s y s te m
R
S ig n a lis ie r u n g S
L
C o n tro l P la n e
G F P T
IP -P a k e t
P P P
P P P /H D L C -F r a m e
Abb. 11.3-1: Signalisierung in GMPLS-Netzen auf Basis der SDH- bzw- WDM-Netze Eth: Ethernet, PPP: Point-to-Point-Protocol, HDLC: High-Level Data Link Control; L: SDH- bzw. WDM-Link, R: Routing-Instanz, S: Signalisierungsinstanz
LabelBedeutung beim GMPLS
Wie die Abbildungen 11.3-4 und 11.3-5 zeigen, dient ein Label als Identifikation eines Zeitschlitzes auf einem SDH-Link bzw. einer Wellenlänge auf einem WDM-Link. Daher müssen die Signalisierungsinstanzen in benachbarten Switches vereinbaren, welcher Zeitschlitz auf dem SDH-Link bzw. welche Wellenlänge auf dem WDM-Link zwischen ihnen für die Übermittlung von IP-Paketen verwendet werden soll. Wie in den Abbildungen 11.3-4 und 11.3-5 auch gezeigt wird, kann ein Label als Nummer des Ports in den jeweils mit einem Link verbundenen Multiplexern interpretiert werden.
Bedeutung von GFC
Für die Übermittlung der IP-Pakete über SDH und optische Netze mit der WDM-Technik wurde von der ITU-T ein Framing-Protokoll, das sog. GFP (Generic Framing Procedure), entwickelt. Es ist zu erwarten, dass GFP auch bei GMPLS zukünftig von großer Bedeutung sein wird. Wie Abbildung 11.3-1
11.3 Konzept von GMPLS
535
illustriert, werden IP-Pakete über SDH- bzw. über WDM-Links entweder in Ethernet-Frames oder in PPP/HDLC-Frames eingekapselt und als Payload (Nutzlast) in GFP-Frames transportiert. Hier ist hervorzuheben, dass in GFP-Frames, die über ein SDH- bzw. über ein SDH-Link übermittelt werden, keine Label-Angaben enthalten sind.
11.3.1 Vom MPLS über MPλS zum GMPLS Um die IP-Kommunikation in optischen WDM-Netzen zu unterstützen, wurde Vom MPLS zuerst vorgeschlagen, MPLS mit einer kleinen Modifikation zu übernehmen. zum MPλS Hierbei wurden die Labels zur Identifikation von Wellenlängen also von Lambdas verwendet. Damit ist MPλS entstanden. Beim MPλS stellt das Label de facto die Identifikation einer Lichtwelle dar, d.h. Label = λ (Wellenlänge). Dies bringt Abbildung 11.3-2 zum Ausdruck. Ein WDM-Netzknoten - im Vergleich zu einem MPLS-Netzknoten – arbeitet anstelle von Labels mit Wellenlängen, also mit Lambdas [Abb. 11.3-3]. O p tis c h e r P fa d : E n d e -z u -E n d e -V e rb in d u n g
l l l
M 2
m
3
O p tis c h e r S w itc h
U
l
X
U
X
l -R a u m 1 L a b e l-R a u m 1
L a b e l = l
l
U X
1
l
M M
M
3
2
X
U
l 3
...
1
2
...
l l
l (W e lle n lä n g e )
l -R a u m 2 L a b e l-R a u m
n
2
Abb. 11.3-2: Ende-zu-Ende-Verbindung als optischer Pfad nach MPλS
Weiterhin wurde aber nach einem Konzept gesucht, um die IP-Kommunikation Vom MPλS auf die gleiche Art und Weise in SDH-Netzen zu unterstützen. Aus diesen zum GMPLS Überlegungen und aus MPλS ist GMPLS entstanden. GMPLS stellt eine Verallgemeinerung von MPLS dar. Bei GMPLS – wie auch bei MPLS – wird ein physikalisches Switching-Netz als Transportnetz um eine Control Plane als logisches Routing- und Signalisierungs-Netz ergänzt. Dies führt zu einer Multiplane-Architektur, die bereits in Abbildung 11.1-3 gezeigt wurde. Im Gegensatz zum MPLS handelt es sich beim GMPLS aber um ein SwitchingNetz, das auf der Basis eines SDH-Netzes, eines optischen WDM-Netzes bzw. eines Verbunds dieser beiden Netzarten aufgebaut wird.
536
11 Neue Generation der IP-Netze mit MPLS und GMPLS
11.3.2 Struktur eines optischen Switches beim GMPLS Die allgemeine Struktur eines Switches in WDM-Netzen, die beim GMPLS angenommen wird, zeigt Abbildung 11.3-3. Über eine Glasfaser (Fiber) werden mehrere optische Datensignale mit verschiedenen Wellenlängen (Lambdas) parallel übermittelt. Eine Wellenlänge kann aus Sicht der Switching-Funktion als Port angesehen werden. Mehrere Glasfasern werden in der Regel in einem LWL-Kabel untergebracht, sodass man von Fiber Bundle spricht.
O p tis c h e Ü b e r tr a g u n g L W L
...
W D M
F ib e r B u n d le
F ib e rs
...
L W L
F ib e rs P o rts P o rts D a te n p fa d e (l -V e rb in d u n g e n )
...
...
L W L
...
...
...
...
...
...
...
S w itc h in g F u n k tio n
...
L W L
O p tis c h e s S w itc h in g -S y s te m
...
...
O p tis c h e Ü b e r tr a g u n g
F ib e r B u n d le
W D M
Abb. 11.3-3: Allgemeine Struktur eines optischen Switches beim GMPLS
Ein Port stellt das Ende bzw. den Beginn eines logischen Kanals dar, der mithilfe einer Wellenlänge realisiert wird. Ein Port, der als Beginn eines logischen Kanals dient, kann als Eingangsport bezeichnet werden. Dementsprechend ist ein Port, der das Ende eines logischen Kanals bildet, als Ausgangsport zu bezeichnen. Jeder Port repräsentiert eine Wellenlänge, also ein Lambda (λ). Es ist hierbei hervorzuheben, dass die Identifikation von λ beim GMPLS ein Label darstellt. Switching als Abbildung
Anschaulich gesehen, besteht die Switching-Funktion darin, einen Ausgangsport einer Glasfaser mit einem Eingangsport einer anderen Glasfaser zu verknüpfen. Mit Switching wird daher folgende Abbildung realisiert: Eingang: Fiber i, λx
Arten von Switches
Ausgang: Fiber j, λy
Die Realisierung dieser Abbildung ist davon abhängig, ob es sich um einen OEO-Switch (Optical-Electrical-Optical) oder um einen OOO-Switch (Optical-Optical-Optical) handelt. In OEO-Switches werden die empfangenen optischen Signale (O) zuerst in elektrische Signale (E) umgesetzt und danach in der elektrischen Form weitergeleitet (vermittelt). Nach ihrer Vermittlung werden sie wiederum für die Übertragung in optische Signale umgewandelt. In OOOSwitches werden die empfangenen optischen Signale nicht in elektrische Sig-
11.3 Konzept von GMPLS
537
nale umgewandelt, sondern in ihrer optischen Form vermittelt. OOO-Switches werden als photonische Switches bezeichnet. Für das Switching in OOOSwitches verwendet man sehr komplexe Mikrospiegelsysteme [KiWi 02]. Ein Datenpfad als λ-Verbindung über einen optischen Switch kann im Allgemeinen dargestellt werden als folgendes Paar: λ-Verbindung = [(Fiber i, λx), (Fiber j, λy)].
11.3.3 Interpretation von Labels Abbildung 11.3-4 illustriert eine WDM-Übertragungsstrecke. Hier dienen die Labels einzelnen Wellenlängen als Datenträger und werden den einzelnen Ports in den beim WDM Multiplexern zugeordnet. Um GMPLS zu realisieren, werden die Ports in den Multiplexern und damit auch die einzelnen Wellenlängen λ , ..., λ mithilfe von Labels identifiziert. 1
Q n
E /O
T ra n s p o rtp fa d e (T P )
l
l
l 2
W D M -Ü b e rtra g u n g s s tre c k e l
n
T P = l
E : E le k tris c h , O : O p tis c h
T
1
T P = l 2
IP -P a k e t E th e r n e t-F r a m e
H
T P = l G F P
1 2
O /E
Z 1
O /E
Z 2
n
...
E /O
...
Q 2
l
1
...
L a b e l a ls P o rt-N r. b z w . a ls l -ID l
E /O
...
Q 1
n
O /E
Z n
n
G F P -F ra m e
* )
* ) G F P -F ra m e o h n e L a b e l-A n g a b e !
Abb. 11.3-4: Interpretation von Labels auf einer WDM-Übertragungsstrecke Q: Quelle, Z: Ziel
Eine Wellenlänge kann für einen LSP (Label Switched Path) dauerhaft bzw. für eine bestimmte Dauer reserviert werden. Über eine WDM-Übertragungsstrecke können mehrere LSPs eingerichtet werden. Über einen LSP können die IPPakete als Payload in GFP-Frames transportiert werden. SDH (Synchronous Digital Hierarchy) stellt ein Zeitmultiplexverfahren dar, mit dem es möglich ist, flexible Übertragungssysteme auf Basis von optischen Leitungen zu realisieren, um hohe Übertragungsraten zur Verfügung zu stellen. Eine SDH-Übertragungsstrecke kann als Multiplexstrecke logisch dargestellt werden. Dies bringt Abbildung 11.3-5 zum Ausdruck. Da die Zeitschlitze im Zeitrahmen mit den zu übertragenden Datenströmen, die Labels an einzelnen Ports im Multiplexer eintreffen, belegt werden, kann ein Zeit- bei der SDH
538
11 Neue Generation der IP-Netze mit MPLS und GMPLS
schlitz einem Port im Multiplexer zugeordnet werden. Um GMPLS zu realisieren, werden die Ports in Multiplexern und damit auch die einzelnen Zeitschlitze τ1, τ2, ..., τn in den synchronen Zeitrahmen mithilfe von Labels identifiziert. Ein Zeitschlitz mit einer bestimmten Länge kann für einen LSP dauerhaft bzw. für eine bestimmte Zeitspanne reserviert werden. Über eine SDH-Übertragungsstrecke können mehrere LSPs verlaufen. Über einen LSP können die IPPakete als Payload in GFP-Frames transportiert werden.
S D H -Ü b e rtra g u n g s s tre c k e ...
t
Z e itra h m e n n
Z e its c h litz e t
t n
t 2
T P = t 1 T P = t
...
T ra n s p o rtp fa d e (T P )
...
T
IP -P a k e t E th e r n e t-F r a m e
H * )
2
Z 2 n
Z n
1
T P = t
G F P * )
Z 1 1
2
...
2
t
...
t
t
1
t
Q 2 Q n
L a b e l a ls P o rt-N r. b z w . a ls Z e its c h litz -N r. t
Q 1
n
G F P -F ra m e
K e in e L a b e l-A n g a b e im
E th e rn e t-F ra m e !
Abb. 11.3-5: Interpretation von Labels auf einer SDH-Übertragungsstrecke Q: Quelle, Z: Ziel
11.3.4 Interpretation des Transportpfads Abbildung 11.3-6 illustriert die Interpretation des Transportpfads, d.h. des LSP (Label Switched Path), im GMPLS-Netz auf Basis der SDH- und WDMTransportnetze. Hier verläuft der LSP über die Links L1, L2, ..., L6. Wie bereits in den Abbildungen 11.3-4 und 11.3-5 gezeigt wurde, stellt ein Link sowohl in einem SDH-Netz als auch in einem optischen WDM-Netz eine Multiplexstrecke dar, die eine Anzahl von logischen Kanälen zur Verfügung stellt. Zeitschlitz als logischer Kanal bei der SDH
Jede Übertragungsstrecke bei der SDH stellt ein Zeitmultiplexsystem dar, das eine Anzahl von Zeitschlitzen (time-slots) für die Übertragung zur Verfügung stellt. Daher kann ein Zeitschlitz auf jeder Multiplexstrecke im SDH-Netz als logischer Kanal angesehen werden. Der logische Kanal x kann als Verknüpfung von Ports mit der Nummer x in den beiden über den Link verbundenen Multiplexern angesehen werden. Die Nummer des Zeitschlitzes und damit auch des logischen Kanals kann als Label angegeben werden.
11.3 Konzept von GMPLS
L R
S D H 1
L a b = Z s = a 1
R
R o u te r
L
L 2
L a b = Z s = a 2
W D M 3
L a b = l -N r = l 1
L 4
L a b = l -N r = l 2
L
S D H 5
L a b = Z s = b 1
L 6
539
R
L a b = Z s = b 2
E n d e -z u -E n d e -L S P S w itc h
Abb. 11.3-6: Interpretation des Transportpfads (LSP) im GMPLS-Netz Li: Link i (Übermittlungstrecke i), Lab: Label, Zs: Zeitschlitz (time-slot)
Der LSP verläuft über eine Reihe von Multiplexstrecken, sodass er eine geordnete Kette von logischen Kanälen auf den einzelnen Multiplexstrecken darstellt. Ein logischer Kanal wird gebildet durch einen Zeitschlitz auf einer SDH-Multiplexstrecke bzw. durch eine Wellenlänge (Lambda) auf einer WDM-Multiplexstrecke. Jede Übertragungsstrecke im optischen WDM-Netz stellt eine Anzahl von λ als logiWellenlängen (d.h. von Lambdas) zur Verfügung, die als logische Kanäle in- scher Kanal terpretiert werden können. Die Nummer der Wellenlänge (von λ) wird als La- bei WDM bel angegeben. Der LSP in Abbildung 11.3-6 kann daher als die geordnete Reihe der Labels a1, a2, λ1, λ2, b1, b2 in einzelnen Links spezifiziert werden.
11.3.5 Bedeutung des LMP in GMPLS-Netzen Wie bereits in Abschnitt 11.1.3 erwähnt wurde, ist das Management von Netz- Wo wird das ressourcen eine der Aufgaben der Control-Plane [Abb. 11.1-3]. In WDM-Netzen LMP einhandelt es sich hierbei um die Erfassung von zur Verfügung stehenden Wellen- gesetzt? längen auf den WDM-Übertragungsstrecken. Da man in der englischen Literatur eine Übertragungstrecke als Link bezeichnet, wird eine WDM-Übertragungsstrecke kurz WDM-Link genannt. In diesem Zusammenhang wird auch vom Management von WDM-Links gesprochen. Um diese Funktion zu unterstützen, steht das Protokoll LMP (Link Management Protocol) zur Verfügung [RFC 4204]. Abbildung 11.3-7 illustriert den Einsatz des LMP in WDM-Netzen. Das LMP wird zwischen den benachbarten Knoten in optischen Netzen, die man Cross-Connect-Systeme (kurz OXCs) nennt, verwendet. Das LMP wird in GMPLS-Netzen eingesetzt an der Schnittstelle: NNI (Node-Node Interface) zwischen benachbarten OXCs, die als Netzknoten in GMPLS-Netzen fungieren,
540
11 Neue Generation der IP-Netze mit MPLS und GMPLS
UNI (User Network Interface) zwischen einem Endsystem und einem OXC als Zugangsnetzknoten. L M P
L M P
O X C
W e lc h e l ?
W D M
W D M
...
N N I
... 1
O X C
...
...
U N I
l
W D M -L in k W e lc h e l ?
W e lc h e l ? W D M
L M P
l 2 E n d e -z u -E n d e -V e rb in d u n g a ls L S P
U N I
l 3
Abb. 11.3-7: Illustration der Notwendigkeit des LMP in WDM-Netzen
Notwendigkeit des LMP
Da oft über 100 Wellenlängen in einer Faser als Datenträger genutzt werden und ca. 100 Fasern in einem LWL-Kabel enthalten sein können, wird ein Protokoll zwischen den benachbarten OXCs benötigt, mit dessen Hilfe sie sich u.a. gegenseitig über verfügbare Wellenlängen (Lambdas) in den einzelnen optischen Fasern informieren können [Abbildung 11.3-8].
Mithilfe des LMP können sich benachbarte OXCs u.a. mitteilen, welche Wellenlänge auf einer WDM-Übertragungsstrecke zwischen ihnen verwendet wird und wie die einzelnen Wellenlängen in beiden OXCs identifiziert werden. Zudem kann man mit dem LMP auch Data-Links testen, bestimmte fehlerhafte Situationen in den optischen IP-Netzen entdecken und sie auch lokalisieren. Besonderhei- Sind OXCs in einem GMPLS-Netz vom Typ OOO, d.h. verlaufen über diese ten des LMP OXCs nur optische Signale, kann keine Steuerung über optische Links zwischen OXCs übermittelt werden. Wie Abbildung 11.3-8 zeigt, ist ein externes IP-Netz notwendig, über das ein bzw. mehrere Steuerkanal/Steuerkanäle aufgebaut werden kann/können, um die Steuerung zwischen OXCs zu übermitteln. Funktionen des LMP
Da ein Steuerkanal außerhalb von optischen Fasern verläuft, handelt es sich um einen externen bidirektionalen Kanal (d.h. Out-of-Fiber). Daher spricht man auch von Out-of-Fiber-Steuerkanal. Über einen externen Steuerkanal kann eine Vielzahl von Data-Links zwischen benachbarten OXCs mit LMP-Hilfe angesteuert und verwaltet werden. Bei Bedarf können mehrere Out-of-Fiber-Steuerkanäle zwischen zwei OXCs eingerichtet werden.
11.4 Traffic Engineering in (G)MPLS-Netzen
L M P
...
IP -N e tz
S te u e rk a n a l n S te u e rk a n a l 1 C n tl
C n tl
O X C B
O X C A W D M -L in k
541
W e lle n lä n g e n a ls D a ta -L in k s
C n tl: C o n tro l
Abb. 11.3-8: LMP und Out-of-Fiber-Steuerkanäle Die LMP-Aufgaben sind u.a.: Control Channel Management (Management des Steuerkanals): Für die Übermittlung von LMP-Nachrichten zwischen OXCs muss ein Steuerkanal aufgebaut werden. Das LMP stellt die Nachrichten für den Auf- und Abbau eines Steuerkanals zur Verfügung.
LMPFunktionen in optischen IP-Netzen
Authentication (Authentifizierung): Beim Aufbau eines Steuerkanals können sich die beteiligten OXCs – bei Bedarf – gegenseitig authentifizieren. Link Connectivity Verification (Überprüfen der Konnektivität): Mit dieser Funktion ist es möglich zu überprüfen, welche Ports eines OXC mit welchen Ports eines anderen OXC verbunden sind. Damit lässt es sich feststellen, welche Data-Links es gibt und ob sie funktionsfähig sind. Fault Management (Fehlerhandhabung): Das LMP stellt einige Mechanismen zur Verfügung, um bestimmte fehlerhafte Situationen (Defekte) zu entdecken und sie zu lokalisieren.
11.4 Traffic Engineering in (G)MPLS-Netzen Sowohl in MPLS-Netzen als auch in GMPLS-Netzen müssen zusätzliche Konzepte und Verfahren implementiert werden, die eine individuell unterschiedliche Behandlung einzelner Verkehrsströme und die effektive Ausnutzung von Netzressourcen ermöglichen. Diese Erweiterungen werden als Traffic Engineering (TE) bezeichnet. Das TE definiert die Funktionen und die Verfahren, die notwendig sind, um den Datenverkehr hinsichtlich Lastverteilung, Quality of Service und Zuverlässigkeit optimal zu gestalten. Es kann auch als zusätzlicher Dienst in (G)MPLS-Netzen angesehen werden. In diesem Zusammenhang spricht man auch von MPLS TE bzw. GMPLS TE.
11.4.1 Traffic Trunks und LSPs Um den Verlauf der Verkehrsströme in MPLS-Netzen effektiv zu gestalten und zu regeln, wurden bei MPLS-TE die Begriffe Traffic Flow und Traffic Trunk eingeführt. Die Bedeutung dieser Begriffe illustriert Abbildung 11.4-1.
Notwendigkeit von Traffic Engineering
542
11 Neue Generation der IP-Netze mit MPLS und GMPLS
V e r k e h r s s tr ö m e T ra ffic F lo w s (F E C s ) T ra ffic T ru n k s
Ü b e r m ittlu n g s w e g e D a te n p fa d e
D a te n S p ra c h e V id e o D a te n
L S P
P h y s ik a lis c h e L e itu n g (L in k )
L S P
D a te n S p ra c h e
T T L
T C P o d e r U D P D L -T
P a y lo a d
IP
S
E x p
M P L S D L -H
S h im L a b e l H e a d e r D L -H : D a ta -L in k H e a d e r D L -T : D a ta -L in k T ra ile r
Abb. 11.4-1: Strukturierung der Verkehrsströme nach MPLS-TE FEC: Forwarding Equivalence Class, LSP: Label Switched Path, TTL: Time To Live
Traffic Flow
Beim MPLS werden die zu übertragenden IP-Pakete zuerst entsprechend klassifiziert. Eine Klasse von IP-Paketen wird als FEC (Forwarding Equivalence Class) bezeichnet und kann nach verschiedenen Angaben im IP- bzw. TCP/UDP-Header (z.B. nach der Quell- und Ziel-IP-Adresse bzw. nach der Ziel-IP-Adresse und der Zielportnummer) gebildet werden. Eine Klasse von IPPaketen bildet einen Traffic Flow. Es ist hervorzuheben, dass es sich beim Traffic Flow beim MPLS um einen unidirektionalen Verkehrsstrom handelt.
Mehrere FECs über einen LSP
Mehrere Traffic Flows können zu einem Traffic Trunk aggregiert werden. Da Traffic Flows unidirektionale Verkehrsströme sind, stellt jeder Traffic Trunk ebenfalls einen aggregierten unidirektionalen Verkehrsstrom dar. Eine Endezu-Ende-Verbindung über das MPLS-Transportnetz stellt einen LSP dar. Über eine physikalische Leitung werden in der Regel mehrere LSPs geführt. Über einen LSP können somit die IP-Pakete aus mehreren Traffic Trunks und damit auch von mehreren FECs transportiert werden. Wie Abbildung 11.4-1 zeigt, kann ein Label als Identifikation eines LSP angesehen werden. Das Label wird im MPLS-Header angegeben und dem IP-Paket „vorangestellt“. Dies bedeutet, dass das gleiche Label allen IP-Paketen vorangestellt wird, die über einen LSP transportiert werden. Das Label hat nur lokale Bedeutung, d.h. innerhalb eines Link [Abb. 11.2-7]. Dem gleichen LSP kann auf einem anderen Link ein anderes Label zugeordnet werden.
CoS-Angabe im Feld Exp
Um die Traffic Trunks innerhalb eines LSP zu unterscheiden, wird das Feld Exp im MPLS-Header benutzt. Jeder Traffic Trunk stellt in der Regel den gesamten Datenverkehr eines Kunden dar und wird nach den von vornherein festgelegten Regeln im Transportnetz eines Netzanbieters behandelt. Damit wird jeder Traffic Trunk einer bestimmten Dienstklasse CoS (Class of Service) zugeordnet. Das Feld Exp im MPLS-Header war ursprünglich für experimentelle Zwecke vorgesehen. Im Laufe der Zeit hat es sich aber herausgestellt, dass
11.4 Traffic Engineering in (G)MPLS-Netzen
543
es sinnvoll ist, dieses Feld für die CoS-Angabe, also de facto für die Identifikation von Traffic Trunks, zu verwenden. Beim MPLS werden Traffic Flows und Traffic Trunks als unidirektional be- Bidirektionatrachtet. Daher werden LSPs für die Übermittlung dieser Verkehrsströme auch le Traffic als unidirektionale Ende-zu-Ende-Verbindungen eingerichtet. Sollte es sich a- Trunks ber um einen bidirektionalen Verkehrsstrom handeln, kann man ihn als eine Zusammensetzung aus zwei unidirektionalen Verkehrsströmen betrachten. Für ihre Übermittlung müssen daher zwei entgegengerichtete LSPs voneinander getrennt aufgebaut werden, wofür zwei separate Vorgänge nötig sind. Bemerkung: Beim GMPLS werden sowohl unidirektionale als auch bidirektionale Verkehrsströme definiert. Daher können LSPs beim GMPLS auch bidirektional sein. Der Aufbau eines bidirektionalen LSP kann hier als ein Vorgang betrachtet werden.
11.4.2 Aufgaben und Schritte beim MPLS-TE Das Traffic Engineering (TE) in MPLS-Netzen ist eine komplexe Aufgabe, bei der mehrere Schritte zu unterscheiden sind. Abbildung 11.4-2 zeigt sie. K la s s ifiz v o n IP -P B ild u n g T ra ffic F (F E C s)
ie ru n g a k e te n : v o n lo w s
B ild u n g v o n T T s , d .h .A b b ild u n g : F E C s _ T T s
A b b ild u n g v o n T T s a u f p h y s ik a lis c h e N e tz s tru k tu r d u rc h E in ric h te n v o n L S P s
In s ta n u n d M v o n T R e ro u P re e m
d h a ltu n g a n a g e m e n t T s: tin g , p tio n
Abb. 11.4-2: Aufgaben und Schritte beim Traffic Engineering in MPLS-Netzen FEC: Forwarding Equivalence Class, LSP: Label Switched Path, TT: Traffic Trunk
Die zu übertragenden Datenströme werden zuerst entsprechend klassifiziert und Traffic Flows als FECs gebildet. Die einzelnen Traffic Flows können danach zu Traffic Trunks aggregiert werden [Abb. 11.4-1]. Im nächsten Schritt wird die Kernaufgabe von MPLS-TE durchgeführt. Sie be- Ermittlung steht darin, den Verlauf von Traffic Trunks über das physikalische Transport- von Routen netz zu bestimmen. Da Traffic Trunks über LSPs als MPLS-Verbindungen transportiert werden, müssen die optimalen Routen für den Verlauf von LSPs ermittelt werden. Bei der Ermittlung von Routen müssen verschiedene Einschränkungen (z.B. begrenzte Bandbreite von Leitungen) berücksichtigt werden. Daher handelt es sich hierbei um Constraint-based Routing. Für die Ermittlung von Routen kann der Algorithmus CSPF (Constrained Shortest Path First) verwendet werden. Eine wichtige Aufgabe von MPLS-TE sind die Instandhaltung und das Management von Traffic Trunks. Hierzu zählen folgende zwei Funktionen:
544
11 Neue Generation der IP-Netze mit MPLS und GMPLS
Preemption
Jedem Traffic Trunk werden zwei Prioritäten zugewiesen, nämlich SetupPriorität und Holding-Priorität. Soll ein neuer Traffic Trunk A über das Transportnetz verlaufen, so kann er auf einem Link einen anderen bereits verlaufenden Traffic Trunk B aus diesem Link verdrängen. Dies ist der Fall, wenn die Setup-Priorität von Traffic Trunk A höher als die Holding-Priorität von Traffic Trunk B ist. Eine derartige Verdrängung nennt man Preemption.
Re-Routig
Ein Traffic Trunk kann aus einem Link verdrängt werden. Dies führt dazu, dass dieser Traffic Trunk entsprechend auf eine andere Übermittlungsstrecke im Transportnetz umgeleitet werden muss. Diesen Vorgang nennt man Re-Routig.
11.4.3 Routing beim Traffic Engineering
Explizites Routing
Das Routing in klassischen IP-Netzen bezieht sich nur auf die Ermittlung von Routern für die Übermittlung einzelner IP-Pakete und stellt zielbasiertes Routing dar. Das wichtigste Kriterium, nach dem eine Route für jedes IP-Paket zum Ziel bestimmt wird, ist die Entfernung zum Ziel. Als Maß für die Entfernung wird die Anzahl von sog. Hops angenommen, wobei ein Hop eine Übermittlungsstrecke repräsentiert [Abschnitt 9.1.3]. Im Gegensatz zu klassischen IP-Netzen werden beim Routing beim MPLS-TE nicht die Routen für die Übermittlung einzelner IP-Pakete, sondern die Routen für die Übermittlung einzelner Traffic Trunks ermittelt. Hierfür müssen dauerhafte LSPs im Transportnetz eingerichtet werden. Wie bereits in Abbildung 11.4-1 gezeigt wurde, können im Allgemeinen auch mehrere Traffic Trunks über einen LSP verlaufen. In MPLS-Netzen müssen außer der Entfernung zusätzliche Kriterien bei der Bestimmung des Verlaufs von LSPs berücksichtigt werden. Daher spricht man von explizitem Routing. Eines dieser Kriterien ist die effektive Ausnutzung von Netzressourcen. Dies lässt sich u.a. durch eine sinnvolle Verteilung des Datenverkehrs auf alle Leitungen erreichen. Am Beispiel einer fischförmigen Netzstruktur bringt Abbildung 11.4-3b dies zum Ausdruck. Da es sich bei LSPs um die dauerhafte Übermittlung von Traffic Trunks handelt, würde herkömmliches Routing in MPLS-Netzen dazu führen, dass einige Leitungen dauerhaft überlastet sind und die anderen wiederum dauerhaft unbenutzt bleiben. Einen solchen Fall illustriert Abbildung 11.4-3a. Hier verlaufen LSP1 und LSP2 nach den kürzesten Routen.
11.4 Traffic Engineering in (G)MPLS-Netzen
R 2
L S P 1
Ü b e rla s te te L e itu n g
a ) T ra n s p o rtn e tz R 1
545
R 3
L S P 1
=
+
R
S w itc h
R o u te r
u n b e n u tz te K a p a z itä t R 2
L S P 2
b )
T ra n s p o rtn e tz
R 1
R 3
L S P 1
Abb. 11.4-3: Routing Probleme beim Traffic Engineering (TE): a) zielbasiertes Routing, b) explizites Routing
11.4.4 Attribute von Traffic Trunks Die Eigenschaften von Traffic Trunks werden mithilfe verschiedener Attribute spezifiziert. Wie Abbildung 11.4-4 zeigt, können mehrere Klassen der Attribute jedem Traffic Trunk zugeordnet werden. w ie z .B .:
K la s s e n d e r A ttrib u te v o n T ra ffic T ru n k s
T ra ffic P a ra m e te r
S p itz e n b a n d b re ite (P e a k R a te ) M ittle re B a n d b re ite G a ra n tie rte B a n d b re ite
G e n e ric P a th S e le c tio n a n d M a in te n a n c e
E x p lic it P a th A ffin itä ts a ttrib u te A d a p tiv itä ts a ttrib u te
P rio rity a n d P re e m p tio n
S e tu p -P rio ritä t H o ld in g -P rio ritä t
R e s ilie n c e P o lic in g
Abb. 11.4-4: Klassen der Attribute von Traffic Trunks
Mit den Attributen der Klasse Traffic Parameter werden die Anforderungen von Traffic Trunks an die Bandbreite spezifiziert. Die Attribute der Klasse Generic Path Selection and Maintenance legen u.a. fest, ob der Verlauf eines Traffic Trunk durch den Netzoperator angegeben wird (Explicit Path) und wie sich die Veränderungen des Netzzustands auf den Verlauf des Traffic Trunk auswirken sollen (Adaptivitätsattribute). Zu den Attributen der Klasse Priority and Preemption gehören die Setup-Prio- Priority and rität und die Holding-Priorität. Ihre Werte liegen im Bereich zwischen 0 und 7, Preemption wobei 0 die höchste und 7 die niedrigste Priorität ist. Mit Setup-Priorität wird
546
11 Neue Generation der IP-Netze mit MPLS und GMPLS
festgelegt, ob ein Traffic Trunk A während seines Einrichtens einen bereits verlaufenden Traffic Trunk B verdrängen darf. Ist die Setup-Priorität von Trunk A höher als die Holding-Priorität von Trunk B, wird Trunk B aus einem Link durch Trunk A verdrängt (Preemption). Die Priorität des Traffic Trunk bestimmt daher die Priorität des LSP, über den dieses Traffic Trunk verläuft. PreemptionAttribute
Als Preemption-Attribut wird angegeben, ob ein Traffic Trunk aus einem Link verdrängt werden darf (d.h. verdrängbar, preemptable) oder nicht (d.h. unverdrängbar, non-preemptable), ob ein Traffic Trunk einen anderen Traffic Trunk aus einem Link verdrängen darf (d.h. preemptor enabled) oder nicht (d.h. non-preemptor). Die Attribute der Klasse Resilience besagen, was mit einem Traffic Trunk in fehlerhaften Situationen bzw. nach bestimmten Ausfällen passieren soll. Mit Attributen der Klasse Policing werden die Aktionen spezifiziert, die in anderen Situationen vorkommen, z.B. falls die Parameter von Traffic Trunk nicht mit dem Vertrag zwischen Kunden und Netzanbieter konform sind.
Affinitätsattribute
Beim Traffic Engineering müssen bestimmte Vorgaben bei der Festlegung des Verlaufs des Traffic Trunk berücksichtigt werden. Insbesondere sind hierbei folgende zwei Arten von Vorgaben von großer Bedeutung: Einige Traffic Trunks sollen nur über bestimmte Links geführt werden. Einige Links sollen für bestimmte Traffic Trunks ausgeschlossen werden. Um die derartigen Vorgaben bei der Bestimmung der Route für den Verlauf eines Traffic Trunk zu berücksichtigen, werden sowohl den Traffic Trunks als auch den physikalischen Links die sog. Affinitätsattribute zugeordnet. Der Begriff Affinität bezeichnet die Fähigkeit (Neigung) etwas an sich zu binden bzw. eine Beziehung einzugehen. Beispiel: Abbildung 11.4-5 zeigt die Zuordnung der Affinitätsattribute in einem Transportnetz. 3 2 1
6 4
3 1
4 2
4 3
3
3
3 , 5
4 1 2
5 B a n d b re ite in a lle n L in k s : 1 5 0 M b it/s A lle L in k s h a b e n g le ic h e M e trik (G e w ic h t)
7
1 = P 2 = G 3 = S 4 = B 5 = B =
la tin o ld ilb e r ro n z e e st E ffo rt S w itc h
+
R R o u te r
Abb. 11.4-5: Zuordnung der Affinitätsattribute zu den Links in einem Transportnetz Die einzelnen Links erfüllen hier die QoS-Anforderungen sehr unterschiedlich. Sie können daher verschiedenen Classes of Service (CoS) zugeordnet werden. Einer CoS kann eine Farbe zugeordnet werden, sodass man auch von der Link-Farbe (Link Color) spricht. Ein Link einer CoS mit
11.4 Traffic Engineering in (G)MPLS-Netzen
547
einer bestimmten Farbe stellt eine bestimmte QoS-Stufe (Platin, Gold, ...) zu Verfügung, sodass er nur bestimmte Traffic Trunks an sich binden kann. Dieses Prinzip heißt Link-Affinität (Link Affinity).
Die Affinitätsattribute können auch einem Traffic Trunk zugeordnet werden. Sie können u.a. besagen, über welche Links ein neuer LSP für die Übermittlung des betreffenden Traffic Trunk verlaufen soll bzw. welche Links hierbei ausgeschlossen werden müssen. Bei der Bestimmung des LSP-Verlaufs für einen Traffic Trunk werden die Affinitätsattribute des Traffic Trunk mit den Affinitätsattributen einzelner Links entsprechend miteinander verglichen.
11.4.5 Constraint-based Routing Die Ermittlung der Route für den Verlauf jedes LSP erfolgt nach dem Algorithmus CSPF (Constrained Shortest Path First). Abbildung 11.4-6 zeigt die Schritte beim CSFP. Eine Link-Farbe (Link Color) stellt hier eine Klasse von Links mit einer bestimmten Class of Service (CoS) dar. 1
2
S c h lie ß e a lle L in k s a u s , d ie u n z u re ic h e n d e B a n d b re ite h a b e n . 4
3
S c h lie ß e a lle L in k s a u s , d ie k e in e g e fo rd e te F a rb e h a b e n
S c h lie ß e a lle L in k s a u s , d ie e in e v e rb o te n e F a rb e h a b e n . 6
5 W ä h le d ie k ü rz e s te R o u te v o n d e r Q u e lle z u m Z ie l
B e re c h n e a lle R o u te n v o n d e r Q u e lle z u m Z ie l
D ie k ü rz e s te R o u te b e s tim m t d e n L S P fü r T ra ffic T ru n k
Abb. 11.4-6: Hauptschritte beim Ablauf des Algorithmus CSPF
Müssen mehrere LSPs mit verschiedenen Setup-Prioritäten ausgebaut werden, so beginnt man mit der Ermittlung der Route für den Verlauf des LSP mit der höchsten Setup-Priorität. Beispiel: Ein neuer LSP für einen Traffic Trunk soll im Transportnetz in Abbildung 11.4-7 nur über Gold- und Silber-Links verlaufen. Verwendet man den Algorithmus CSFP, so ergibt sich der gezeigte Verlauf des LSP.
L S P v o m K n o te z u m K n o te n 7 s n u r ü b e r G o ld - b z w . S ilb e rv e rla u fe n . a u s g e s c h lo
n 1 o ll L in k s s s e n e r L in k
3 3 2 1
6 4
4
1 2
3 4 3 ,5
3 3
Abb. 11.4-7: LSP soll nur Gold- bzw. Silber-Links nutzen
4 1 5
2
7 L S P
1 = P 2 = G 3 = S 4 = B 5 = B
la tin o ld ilb e r ro n z e e st E ffo rt
LSP nutzt nur Goldund SilberLinks
548
11 Neue Generation der IP-Netze mit MPLS und GMPLS Hier haben alle Links eine ausreichende Bandbreite (Schritt 1). Die gestrichenen Links werden in den Schritten 2 und 3 ausgeschlossen. Es gibt nur eine Route zwischen den Netzknoten 1 und 7, bei der die gestellten Anforderungen erfüllt werden. Diese wird für den LSP-Verlauf genommen.
LSP über keine BestEffort-Links
Beispiel: Ein neuer LSP für einen Traffic Trunk soll im Transportnetz in Abbildung 11.4-8 nur alle Best-Effort-Links ausschließen. Nach CSPF ergibt sich der gezeigte Verlauf von LSP. Es handelt sich hier um die kürzeste Route zwischen den Netzknoten 1 und 7.
L S P v o m K n o te n 1 z u m K n o te n 7 s o ll n u r a lle B e s t-E ffo rt-L in k s a u s c h lie ß e n .
3
L S P
3 2
1
6 4 4
1 4
3 ,5 3
2
3
3
4 7
1 2 5
1 = P 2 = G 3 = S 4 = B 5 = B
la tin o ld ilb e r ro n z e e st E ffo rt
a u s g e s c h lo ß e n e r L in k
Abb. 11.4-8: LSP soll alle Best-Effort-Links ausschließen
RoutingProtokolle für TE
Die Routing-Protokolle in (G)MPLS-Netzen müssen Traffic Engineering unterstützen. Hierfür kommen folgende Protokolle infrage: OSPF-TE (Open Shortest Path First - Traffic Engineering): Es handelt sich um eine Erweiterung des herkömmlichen Routing-Protokolls OSPF [Abschnitt 9.3] für den Einsatz in MPLS-Netzen, GMPLS OSPF-TE als Erweiterung von OSPF-TE für den Einsatz in GMPLS-Netzen [RFCs 3473, 4420, 4783 und 4874], IS-IS-TE (Intermediate System to Intermediate System Extensions for Traffic Engineering) als Erweiterung des klassischen Routing-Protokolls IS-IS für den Einsatz in MPLS-Netzen [RFC 3784], GMPLS IS-IS-TE als Erweiterung von IS-IS-TE für den Einsatz in GMPLS-Netzen [RFC 4205].
11.4.6 Re-Routing und Preemption Bedeutung von Re-Routing
Unter Re-Routing versteht man die automatische Bereitstellung eines neuen LSP, nachdem eine fehlerhafte Situation auf dem alten LSP aufgetreten ist bzw. der alte LSP von einem neuen Traffic Trunk aus einem Link verdrängt wurde. Dies kann dann zustande kommen, wenn die Setup-Priorität des neuen LSP höher als Holding-Priorität des alten LSP ist. Der alte und verdrängte LSP muss entsprechend umgeleitet werden. Die Verdrängung eines Traffic Trunks aus einem Link nennt man Preemption. Beispiel: Abbildung 11.4-9a illustriert die Situation, wo drei LSPs über ein Transportnetz verlaufen. Nach dem Ausfall des Link zwischen den Netzknoten 1 und 4 wurde das LSP1 auf eine andere Übertragungsstrecke umgeleitet. Dies bedeutet Re-Routing von LSP1. Wie Abbildung 11.49b zeigt, führt diese Umleitung zur Überlastung des Link vom Netzknoten 3 zum Router 2.
11.5 Signalisierung in (G)MPLS-Netzen
a ) L S P 3 R 1
b ) L S P 3 3
2
1
L S P 1
4 2
R 1
L S P 1
L S P 2 1
R 2
L S P 2 1
L S P 1
L S P 3
c )
R 1
R 2
L S P 2
Ü b e rla s t 3
2
3
549
4
R e -R o u tin g v o n L S P 1 4
R 2
P re e m p tio n v o n L S P 2 u n d L S P 3
=
S w itc h
+
R R o u te r
Abb. 11.4-9: Beispiel für Re-Routing und Preemption: a) Ausgangssituation, b) Re-Routing von LSP1 nach einem Link-Ausfall, c) LSP1 hat LSP2 und LSP 3 aus einem Link verdrängt Da die Setup-Priorität des LSP1 höher als die Holding-Priorität von LSP2 und LSP3 ist, werden LSP2 und LSP3 aus dem überlasteten Link verdrängt (Preemption). Diese beiden LSPs werden nun auf andere Übertragungsstrecken umgeleitet (Abbildung 11.4-9c). Eine Preemption führt somit zu Re-Routing.
11.5 Signalisierung in (G)MPLS-Netzen Wie bereits in Abschnitt 11.1.3 erwähnt wurde, gehört zur Aufgabe der Control SignalisiePlane in (G)MPLS-Netzen auch die Bereitstellung der Transportpfade (LSPs). rungsUm einen Transportpfad mit bestimmten Eigenschaften dynamisch nach Bedarf protokolle einrichten zu können, ist ein Signalisierungsprotokoll innerhalb der Control Plane nötig. Als derartiges Protokoll kann dienen: RSVP-TE (RSVP with Traffic Engineering) [RFC 3209] für den Aufbau und den Abbau von LSPs über MPLS-Netze. RSVP-TE [RFC 2205] stellt eine erweiterte Version des Protokolls RSVP (Resource reServation Protocol) dar. GMPLS RSVP-TE [RFC 3473] für den Aufbau und den Abbau von LSPs über GMPLS-Netze. Es handelt sich hier um eine Erweiterung von RSVPTE. CR-LDP (Constraint-Routing LDP) [RFCs 3212, 3213] für den Aufbau und den Abbau von LSPs über MPLS-Netze. Das ist eine Erweiterung des Protokolls LDP (Label Distribution Protocol) [RFC 3036]. GMPLS CR-LDP [RFCs 3472, 4201] als Erweiterung von CR-LDP für den Einsatz in GMPLS-Netzen.
550
11 Neue Generation der IP-Netze mit MPLS und GMPLS
11.5.1 Einsatz des RSVP-TE Das RSVP-TE ist eine Erweiterung des RSVP. Um das RSVP-TE näher erklären zu können, wird nun kurz auf das RSVP eingegangen. Das RSVP wurde ursprünglich entwickelt, um vor allem die Bandbreite in IP-Netzen zu reservieren, sodass die von der Anwendung geforderte Dienstqualität (Quality of Service) garantiert werden kann. Das RSVP hat zuerst fast kaum Akzeptanz in der Praxis gefunden. Mit der Entwicklung der (G)MPLS-Netze wurde das RSVP aber wieder entdeckt und mit zusätzlichen Erweiterungen als Signalisierungsprotokoll RSVP-TE eingesetzt, um LSPs dynamisch aufbauen zu können. Funktionsweise des RSVP Beim RSVP liegt die Tatsache zugrunde, dass die gesamte Zwischenspeiche-
TB-Modell als RSVPGrundlage
rungszeit der IP-Pakete vor den Leitungen auf einer virtuellen Verbindung durch die Reservierung der Bandbreite von einzelnen Leitungen unterwegs verringert werden kann. Diese Reservierung kann mit dem RSVP vorgenommen werden und sie bezieht sich immer nur auf eine unidirektionale virtuelle Verbindung. Für eine Vollduplex-Verbindung sind zwei Reservierungen erforderlich, d.h. eine für jede Kommunikationsrichtung. Die gesamte Zwischenspeicherungszeit auf einer unidirektionalen virtuellen Verbindung kann dadurch kontrolliert werden, dass die zu dieser Verbindung gehörenden IP-Pakete in den einzelnen Routern unterwegs nach einer von vornherein festgelegten Regel gesendet werden. Diese Regel basiert auf dem sog. Token-Bucket-Modell (kurz TB-Modell) und liegt dem Scheduler beim RSVP zugrunde. Abbildung 11.5-1 zeigt den Einsatz des TB-Modells. Nach diesem Modell kontrolliert der Scheduler beim RSVP die gesamte Zwischenspeicherungszeit auf einer unidirektionalen, virtuellen Verbindung, um z.B. eine geforderte Bandbreite zu garantieren. u n id ire k tio n a le v irtu e lle V e rb in d u n g IP -N e tz
Q u e lle IP -P a k e te T o k e n m it d e r R a te R
W a rte s c h la n g e
IP -P a k e te B u c k e t
B
x
Z ie l
B : m a x im a le B u c k e t-G rö ß e
Abb. 11.5-1: Paket-Scheduler nach dem Token-Bucket-Modell
R S V P S c h e d u le r
11.5 Signalisierung in (G)MPLS-Netzen
551
Das TB-Modell wird durch die folgenden Parameter näher beschrieben: R als Token-Rate [Bytes/s] und B als maximale Bucket-Größe [Bytes]. Der Parameter R stellt die vom Netz unterstützte (garantierte) Datenrate einer virtuellen Verbindung dar und kann daher als garantierte Bandbreite für diese Verbindung angesehen werden. Ein Token stellt eine Dateneinheit dar. BeimRSVP wird angenommen: Token = Byte. Das TB-Modell beschreibt das Verhalten beim Senden der IP-Pakete auf einer unidirektionalen, virtuellen Verbindung. Der Behälter (Bucket) wird mit der Rate von R Bytes pro Sekunde gefüllt. Die Variable x beschreibt den aktuellen Zustand von Bucket in Bytes und besagt, wieviel Bytes man zu jeder Zeit senden darf. Somit darf ein IP-Paket nur dann gesendet werden, wenn der Bucket genügend Bytes enthält. Die Funktionsweise des Schedulers beim Senden eines IP-Pakets mit der Länge von a Bytes lässt sich wie folgt beschreiben:
Funktionsweise des Schedulers
Ist a < x , wird das IP-Paket gesendet und der Inhalt des Bucket um a reduziert. Ist x < a bzw. x = 0, muss das IP-Paket so lange warten, bis der Zustand x den Wert a erreicht hat. Erst dann wird das IP-Paket gesendet und der Inhalt von Bucket um a reduziert. Nach dem TB-Modell dürften nicht mehr als R*T + B [Bytes] während eines Zeitintervalls T auf der virtuellen Verbindung gesendet werden. Somit gibt der Parameter B an, um wie viele Bytes die mittlere Datenmenge zusätzlich gemäß der garantierten Datenrate R bei einem unregelmäßigen (burstartigen) Datenverkehr überschritten werden darf.
Um bestimmte Netzressourcen, wie z.B. Bandbreite von Leitungen reservieren zu können, definiert das RSVP mehrere Nachrichten. Wie Abbildung 11.5-3 zeigt, enthält jede Nachricht einen Header und eine Anzahl von festgelegten Objekten als Parameter. Die einzelnen Nachrichten unterscheiden sich voneinander durch die Zusammensetzung von Objekten und durch die Inhalte dieser Objekte. Abbildung 11.5-2 illustriert den Aufbau einer unidirektionalen virtuellen Verbindung mit einer garantierten Bandbreite. Die Quelle initiiert hier eine Verbindung zum ausgewählten Ziel durch das Absenden der RSVP-Nachricht Path, in der angegeben wird, welche Bandbreite diese Verbindung haben soll. Path wird nach den herkömmlichen Routing-Prinzipien über das IP-Netz übermittelt. Jeder Router unterwegs analysiert Path und kann eventuell über einen externen Policy-Server überprüfen, ob diese Reservierung zulässig ist. Q u e lle R P a th R e sv V e rfü g b a re B a n d b re ite n V e rla u f d e r R e s e rv ie ru n g
R = B B 0
B 0
< B
R
P a th 1
R = B 1 1
B 1= m in { B 0, B 1}
B 1
R
R e sv B 1
< B
R
R e sv R = B
2 2
B 1= m in { B 1, B 2}
B x:v o n d e r Q u e lle g e w ü n s c h te B a n d b re ite ; B 1:v o m
P a th 2
B
Z ie l
IP -N e tz R
2
B 2
< B
P a th 3
x x
B 2= m in { B 2, B x}
B 3
R e sv R = B B 3
> B
x x
B x= m in { B 3, B x}
IP -N e tz g a ra n tie rte E n d e -z u -E n d e -B a n d b re ite
Abb. 11.5-2: Aufbau einer Punkt-zu-Punkt-Verbindung mit garantierter Bandbreite
Verbindung mit garantierter Bandbreite
552
11 Neue Generation der IP-Netze mit MPLS und GMPLS
Ermittlung optimaler Route mit Path
Vor dem Absenden der Nachricht Path trägt jeder Absender (Quelle, Router) seine IP-Adresse als Objekt RSVP Hop in der Nachricht Path ein. Hat Path das Ziel erreicht, enthält sie somit die zu diesem Zeitpunkt optimale Route von der Quelle zum Ziel. Diese Path-Route, als Folge von IP-Adressen von ihren Absendern (in Abb. 11.5-2: Quelle, R1, R2 und R3), wird den Verlauf der virtuellen Verbindung bestimmen. Sie wird beim Ziel in die RSVP-Nachricht Resv (Reservierung) kopiert, die das Ziel als Antwort auf Path zur Quelle zurücksendet.
Reservierung der Bandbreite mit Resv
Die eigentliche Reservierung der gewünschten Bandbreite Bx beginnt durch das Absenden der Nachricht Resv vom Ziel an die Quelle. Da Resv die Route von Path in sich enthält, wird sie auf der gleichen Route wie Path, jedoch in umgekehrter Richtung übermittelt. Der Router Ri auf der Resv -Route (in Abb. 11.5-2: R3, R2, R1 und Quelle) überprüft, ob er die in Resv gewünschte Bandbreite auf der Leitung, über die Resv empfangen wurde, garantieren kann. Die Bandbreite wird als Parameter R [Abb. 11.5-1] angegeben. Beim Router Ri kommen zwei Fälle infrage: 1.
Die verfügbare Bandbreite Bi ist größer als R in Resv: In diesem Fall reserviert Ri die Bandbreite R und leitet danach den Parameter R ohne Veränderungen weiter.
2.
Die verfügbare Bandbreite Bi ist kleiner als R in Resv: In diesem Fall wird nur die Bandbreite Bi vom Router Ri garantiert. Ri ersetzt den Wert R in Resv durch Bi und leitet Resv mit R = Bi weiter.
Ende-zuEndeBandbreite
Hat die Quelle Resv empfangen, verfügt sie über die Ende-zu-Ende-Bandbreite, die auf der unidirektionalen virtuellen Verbindung, die nach der Path-Route verläuft, von allen Routern unterwegs garantiert wird. Diese Bandbreite stellt den kleinsten Wert aus den verfügbaren Bandbreiten in den einzelnen Leitungen auf der Path -Route und aus der gewünschten Bandbreite Bx dar. In Abbildung 11.5-2 wird die Ende-zu-Ende-Bandbreite durch den kleinsten Wert aus B0, B1, B2, B3 und Bx bestimmt.
Optimierung der Route
Da sich die optimale Route im IP-Netz ändern kann, wird der in Abbildung 11.5-2 dargestellte Vorgang (d.h. das Absenden von Path- und Resv-Nachrichten) in bestimmten Zeitabständen periodisch wiederholt. Dies dient dem Zweck, den Verlauf der Route zu optimieren und die Reservierung der Bandbreite aufzufrischen.
RSVPNachrichten
Die RSVP-Nachrichten werden nach dem in Abbildung 11.5-3 gezeigten Prinzip aufgebaut. Jede Nachricht enthält einen Header, der in allen Nachrichtentypen die gleiche Struktur hat. Somit bezeichnet man ihn als gemeinsamen Header (Common Header). Nach dem Common Header folgt eine Anzahl von Objekten für die Übermittlung von verschiedenen Angaben und Parametern. Bei RSVP-TE werden folgende RSVP-Nachrichten verwendet: Path und Resv (Reservation Request) für den Aufbau von LSPs, PathTear (Path Teardown) für den Abbau von LSPs, Resv und ResvConf (Reservation Confirmation) für die Reservierung der
Bandbreite, PathErr (Path Error) und ResvErr (Reservation Error) für die Fehler-
meldungen.
11.5 Signalisierung in (G)MPLS-Netzen
M e ss R S V P C h S E R S V P M e ssa g
V e rs io n F la g s a g e T y p e e c k su m ( N D -T T L R e se rv e d e L e n g th
IP -H P ro to k o ll-N r. = 4 6
(4 (4 (8 1 6 (8 (8 (4
B its B its B its B its B its B its B its
C H
) )
)
) )
)
L e n g th C la s s N C la s s T O b je c t
)
O 1
O 2
O 3
...
R S V P -O b je k te R S V P -N a c h ric h t
O n
(1 6 u m y p e C o n
IP -H C H : O : R T T L
B its b e r ( (8 B te n t
: IP C o m S V P : T im
553
)
8 B its ) its (n B its )
H e a d e r m o n H e a d e r -O b je k t e T o L iv e
Abb. 11.5-3: Struktur von RSVP-Nachrichten und -Objekten
Die einzelnen RSVP-Nachrichtentypen unterscheiden sich voneinander durch die Zusammensetzung von Objekten und durch die Inhalte dieser Objekte. Für die Übermittlung von RSVP-Nachrichten wird ihnen ein IP-Header vorangestellt. Daher ist RSVP-TE ein Protokoll der Schicht 4 und seine ProtokollNummer ist 46. RSVP Checksum deckt die ganze RSVP-Nachricht ab. Mithilfe der Prüfsumme kann man die Bitfehler in der ganzen Nachricht entdecken. Das Feld SEND_TTL enthält den TTL-Wert aus dem IP-Header. Um RSVT-TE zu realisieren, wurden zusätzliche RSVP-Objekte, die sog. RSVP-TERSVP-TE-Objekte, für die Übermittlung von Parametern spezifiziert. Sie wer- Objekte den genauso wie RSVP-Objekte aufgebaut (strukturiert) [s Abb. 11.5-3]. RSVP-TE als Signalisierungsprotokoll in MPLS-Netzen Abbildung 11.5-4 illustriert den Aufbau eines LSP. Der Aufbau wird mit dem Aufbau eines Absenden einer RSVP-Nachricht Path mit dem Objekt LABEL_REQUEST LSP durch den Quellrouter initiiert. Diese Nachricht wird zuerst nach einer ausgewählten bzw. von vornherein festgelegten Route, die den LSP bestimmt, zum Zielrouter übermittelt. Beim RSVP-TE unterscheidet man zwischen einem Downstream-Router und einem Upstream-Router. Als Downstream-Router wird der nächste Router in LSP-Richtung, d.h. in Richtung des Datenflusses, bezeichnet. Der nächste Router in Gegenrichtung zum LSP, d.h. in Gegenrichtung zum Datenfluss, ist ein Upstream-Router. Ein Downstream-Router reserviert zuerst ein Label nach dem Empfang der Nachricht Path und wartet auf die Nachricht Resv, die als Antwort auf die Nachricht Path in Gegenrichtung gesendet wird. Hat der Ziel-Router auch die Nachricht Path empfangen, antwortet er darauf mit der Nachricht Resv. Sie enthält das Objekt LABEL mit dem zugewiesenen Label. Dieses Label bezieht sich auf die Strecke zu dem nächsten Upstream-Router und dient als Identifika-
554
11 Neue Generation der IP-Netze mit MPLS und GMPLS
tion des logischen Kanals auf dieser Strecke [Abb. 11.2-4]. Daher wird das Label durch den Downstream-Router bestimmt und er übermittelt es seinem Upstream-Router in der Nachricht Resv. Hat der Quellrouter die Nachricht Path empfangen, wird damit der Aufbau eines LSP abgeschlossen.
1
P a th [L A B _ R E Q ] R e sv [L A B = a] 6
S w itc h L e itu n g 1 L a b e l = a
R e sv [L A B = b ]
a
L S P
3 P a th [L A B _ R E Q ]
C 5
S w itc h b
...
a
2 P a th [L A B _ R E Q ]
C
b
R e sv [L A B = c]
c
L e itu n g 2 L a b e l = b
4
L e itu n g 3 L a b e l = c
Z ie lro u te r E
...
Q u e ll- E ro u te r
...
C o n tr o l P la n e
c
Abb. 11.5-4: Schritte beim Aufbau eines LSP mithilfe des RSVP-TE C: Core-LSR (Label Switching Router), E: Edge-LSR, LAB: LABEL, LAB_REQ: LABEL_REQUEST
Abbau eines LSP
Für den Abbau eines LSP werden die RSVP-Nachrichten PathTear und ResvTear (Tear: Teardown) verwendet. Üblicherweise wird der Vorgang vom Quellrouter initiiert. Ein Router kann sofort nach Empfang von PathTear die Ressourcen freigeben, danach mit ResvTear seinem benachbarten Router antworten und anschließend PathTear entlang LSP weiterleiten. Explizites Routing mit dem RSVP-TE Um die Sicherheit zu garantieren bzw. bestimmte Netze in Anspruch zu nehmen, ist es wünschenswert, dass ein LSP über eine bestimmte Route verläuft. Daher sollte es möglich sein, den Verlauf eines LSP von vornherein vollkommen oder teilweise festlegen zu können. Hierfür definiert das RSVP-TE das Objekt EXPLICITE_ROUTE (kurz ERO), um den Verlauf des LSP zu bestimmen. Man spricht hierbei von explizitem Routing und unterscheidet zwei Fälle: Strict explicit Route (genau festgelegte Route) und Loose explicit Route (teilweise festgelegte Route).
Strict explicit Route
Abbildung 11.5-5a illustriert eine genau festgelegte Route. Hier erhält ERO beim Quell-Router die vollständige Liste von Routern, über die die gewünschte Route verlaufen soll. Jeweils zwei benachbarte Router auf dieser Liste sind miteinander über eine entsprechende Leitung verbunden. Der gewünschte LSP verläuft daher über das Transportnetz entlang dieser Route [Abb. 11.2-1]. Genauer gesagt enthält ERO eine Liste von IP-Adressen von Ports entsprechender Router. ERO wird in der RSVP-Nachricht Path übermittelt.
11.5 Signalisierung in (G)MPLS-Netzen
555
Eine teilweise festgelegte Route veranschaulicht Abbildung 11.5-5b. ERO erhält Loose explinur eine Liste von einigen Routern, über die die Route verlaufen soll. Jeweils cit Route zwei benachbarte Router auf dieser Liste müssen in diesem Fall nicht miteinander über eine entsprechende Leitung verbunden werden. Die Route zwischen jeweils zwei benachbarten Routern aus der ERO-Liste kann über andere Router verlaufen, die nach einem Routing-Protokoll bestimmt werden.
a )
C E
Z ie lro u te r
E R O Q u e llro u te r E
b )
C C
E
Q u e llro u te r
C C
C
C
C
C
C
C C
C
Z ie lro u te r
E
C o re -L S R C
E R O
E
E d g e -L S R
Abb. 11.5-5: Beispiel für explizites Routing: a) Strict explicit Route, a) Loose explicit Route C-LSR: Core LSR, E-LSR: Edge LSR, LSR: Label Switching Router
Mit einer teilweise festgelegten Route besteht die Möglichkeit, den Verlauf des LSP über mehrere und vornherein festgelegte Provider-Netze zu bestimmen. Beim RSVP-TE kann ERO einen abstrakten Router (sog. Abstract-Node) enthalten. Abstract-Node stellt die Identifikation (Nummer) eines autonomen Systems (AS) dar. Unter AS wird ein IP-Netz(werk) verstanden, das von einer administrativen Einheit verwaltet wird. Ein Netz eines Netzanbieters ist ein AS. Mithilfe eines Abstract-Node kann ein LSP definiert werden, der von vornherein über bestimmte Provider-Netze verläuft. Abbildung 11.5-6 zeigt diese Möglichkeit. Es handelt sich hier um eine teilweise festgelegte Route, die nur über bestimmte autonome Systeme verlaufen muss. Jeweils zwei benachbarte Router auf der ERO-Liste sind hier die Border-Router in benachbarten autonomen Systemen. C o n tr o l P la n e R o u tin g -N e tz
E R O
T r a n s p o r tn e tz
A
A S
C B
T N N S P
B
...
A
C
...
T N N S P
C A
...
R
A S C
...
E
B
Abb. 11.5-6: Automomes System als abstrakter Router (Abstract-Node) AS: autonomes System, NSP: Network Service Provider, R: Router, TN: Transportnetz, weitere Abkürzungen wie in Abbildung 11.5-5
E R
LSP über mehrere ProviderNetze
556
11 Neue Generation der IP-Netze mit MPLS und GMPLS
Fast Re-Routig mit dem RSVP-TE Für die Unterstützung von Fast Re-Routing [Abschnitt 11.4.6] wird das RSVPTE um die Objekte FAST_REROUTE und DETOUR erweitert. Diese Objekte werden nur in der RSVP-Nachricht Path transportiert. FAST_REROUTE spezifiziert die Anforderungen des Backup-LSP an Links, über die er verlaufen soll bzw. darf. Der Backup-LSP, der als Umleitung für einen ausgefallenen Link bzw. MPLS-Router dient, wird als Detour LSP bezeichnet. Das Objekt DETOUR enthält die Identifikation von Detour LSP. Durch das Fast Re-Routing können die Link-Absicherung (Link Protection) und die Router-Absicherung (Node Protection) schnell erfolgen. Beispielsweise kann ein LSP aus einem ausgefallenen Link auf einen Backup-LSP schnell, d.h. im Zeitintervall bis ca. 50 ms, umgeleitet werden.
11.5.2 Einsatz des GMPLS RSVP-TE Besonderheiten des GMPLS RSVP-TE
Das GMPLS RSVP-TE stellt eine Erweiterung des RSVP-TE dar, um LSPs als Transportpfade in GMPLS-Netzen dynamisch einrichten zu können. Um die RSVP-Nachrichten Path und Resv auch zum Aufbau von LSPs in GMPLSNetzen zu nutzen, werden bei GMPLS RSVP-TE spezielle RSVP-TE-Objekte eingeführt. Mit ihnen kann ein geforderter LSP spezifiziert werden. Zu den Informationen über den LSP gehören u.a. die Angaben, welche Netze (z.B. Ethernets, SDH-, WDM-Netze) über den LSP vernetzt werden sollen und welche Art von Switching (z.B. Paket-, TDM-, Lambda-Switching) gefordert wird. Ein GMPLS-Netz stellt ein physikalisches Transportnetz (wie z.B. SDH-, WDM-Netz) dar, das um ein logisches Routing- und Signalisierungsnetz, das eine Control Plane bildet, erweitert wird [Abb. 11.1-3]. Um einen LSP dynamisch über ein Transportnetz einzurichten, wird zuerst eine Route innerhalb der Control Plane ausgewählt. Danach wird ein LSP mithilfe des GMPLS RSVP-TE über das Transportnetz entlang dieser Route eingerichtet. Der LSP verläuft über diese Switches innerhalb des Transportnetzes, deren Router auf der ausgewählten Route „liegen“.
Bidirektionaler LSP
Es ist hervorzuheben, dass LSPs über GMPLS-Netze in der Regel bidirektionale Datenpfade sind. Abbildung 11.5-7 bringt dies näher zum Ausdruck. Ein bidirektionaler LSP in einem GMPLS-Netz setzt sich daher aus zwei entgegengerichteten unidirektionalen LSPs zusammen, man spricht hierbei von Downstream- und Upstream-Richtung. Man unterscheidet auch zwischen UpstreamKnoten und Downstream-Knoten. Als Upstream-Knoten wird der Knoten verstanden, der sich auf dem bidirektionalen LSP näher beim Endsystem befindet, das diesen LSP initiiert hat. Der Datenfluss von diesem Endsystem wird als Downstream und der Datenfluss in Gegenrichtung als Upstream bezeichnet. In
11.5 Signalisierung in (G)MPLS-Netzen
Abbildung 11.5-7a ist C der Downstream-Nachbarknoten vom Knoten B und B ist der Upstream-Nachbarknoten von C. Die wichtigsten Nachrichten des GMPLS RSVP-TE sind Path und Resv. Sie werden verwendet, um einen LSP aufzubauen und ihn auch abzubauen. Path wird immer in Downstream-Richtung gesendet. Resv wird nur in Gegenrichtung, also in Upstream-Richtung gesendet. Abbildung 11.5-7 illustriert, wie ein bidirektionaler LSP eingerichtet wird und wie er interpretiert werden kann. Hier soll der LSP als eine Kette von Wellenlängen (also von Lambdas) realisiert werden [Abb. 11.3-7]. W D M -L in k
W D M -L in k
A
a )
W D M -L in k
P a th { U L (x )} 1
E
R e sv { (G L (a )}
A
b )
2 P a th { U L (y )}
6
C
R e sv { (G L (b )}
C B
x
4 R e s v { (G L (c )} 5
D b c
d ) A
l = a l = z
B
C o n tro l P la n e
E
c
z
C
l = b
W D M N e tz z
D
l = c l = x
l = y
b id ire k tio n e le r L S P M P L S -fä h ig e r R o u te r
T ra n sp o rt P la n e =
y y
A
P a th { U L ( z )} 3
C
a
c )
D
C B
D
O X C (O p tic a l C ro s s -C o n n e c t)
Abb. 11.5-7: Bidirektionaler LSP: a) physikalische Vernetzungsstruktur, b) Schritte beim Einrichten eines dynamischen LSP, c) der LSP als Kette von Lambdas, d) der LSP als virtuelle 2-spurige Straße a, b, c: Downstream-Label; x, y, z: Upstream-Label
Wie Abbildung 11.5-7b zeigt, wird der Aufbau eines LSP vom Router A mit Aufbau einer Nachricht Path über den Kontrollkanal im Signalisierungsnetz [Abb. des LSP 11.3-8] initiiert. Path wird entlang der bereits ausgewählten Route übermittelt. Path enthält ein Objekt UPSTREAM_LABEL (kurz UL). In diesem Objekt ist das sog. Upstream-Label jedes Knotens enthalten. Das Upstream-Label stellt die Wellenlänge λ dar, die als Datenträger in Upstream-Richtung zum Absender von UL von seinem Nachbarknoten verwendet werden soll. Jeder Absender von UL sagt also seinem Downstream-Nachbarknoten, welche Wellenlänge er von ihm empfangen möchte. Hat das Zielsystem Path bereits empfangen, wird damit ein unidirektionaler Downstream-LSP eingerichtet.
557
558
11 Neue Generation der IP-Netze mit MPLS und GMPLS
Das Zielsystem antwortet dem Quellsystem, also dem Initiator des LSP, auf Path mit Resv mit dem Objekt GENERALIZED_LABEL (kurz GL). In GL ist das sog. Downstream-Label jedes Knotens enthalten. Das Downstream-Label stellt die Wellenlänge λ dar, die in Downstream-Richtung zum Absender von GL von seinem Upstream-Nachbarknoten verwendet werden soll. Abbildung 11.5-7c und -7d verdeutlichen, dass ein LSP über ein WDM-Netz durch eine Kette von Wellenlängen gebildet wird. Die einzelnen Wellenlängen werden mithilfe von Labels identifiziert. Ein bidirektionaler LSP kann als virtuelle zweispurige Straße über ein WDM-Netz angesehen werden. Abbau des LSP
Um einen LSP abzubauen, sendet z.B. ein Router A die Nachricht Resv mit dem Objekt ADMIN_STATUS, in dem das Bit D auf 1 gesetzt wird, um anzuzeigen, dass der Abbau fortgesetzt werden soll. Der Router D antwortet mit PathTear. Hat PathTear den Router A erreicht, wurde damit der LSP abgebaut.
11.5.3 Einsatz des CR-LDP Das CR-LDP (Constraint-Routing LDP) stellt eine Erweiterung des Protokolls LDP (Label Distribution Protocol) dar. Das LDP ist ein Protokoll, nach dem ein LSP in einem MPLS-Netz (aber nur theoretisch!) aufgebaut werden kann. Da in realen Situationen immer bestimmte Einschränkungen vorliegen (z.B. eine physikalische Leitung hat nur eine begrenzte Bandbreite), wurde das LDP zum CR-LDP erweitert. Das CR-LDP wird in MPLS-Netzen eingesetzt, um LSPs einzurichten, an die bestimmte Anforderungen gestellt werden können. LDP-Sitzung
Das LDP definiert die Nachrichten, die man in MPLS-Netzen verwendet kann, um die Labels zwischen den LSRs zu verteilen. Für die Übermittlung von Labels zwischen zwei LSRs wird eine gesonderte logische Verbindung (sog. LDP-Sitzung) aufgebaut. Das LDP ist ein Protokoll zwischen jeweils zwei LSRs (Label Switching Routers). Abbildung 11.5-8 illustriert dies. a ) u p s tr e a m L S R a S
u p s tr e a m
b )
a
L D P -S itz u n g
d o w n s tr e a m
C o n tr o l P la n e T r a n s p o r tn e tz L S P
IP -P a k e te
L D P -S itz u n g
L S R a
L S R 1 L S R n C o n tr o l P la n e T r a n s p o r tn e tz
L S R b S b
S a
S L S P
1
T r a n s itn e tz
d o w n s tr e a m L S R b S n
IP -P a k e te
Abb. 11.5-8: Veranschaulichung der LDP-Sitzung zwischen: a) direkt-verbundenen LDP-Peers, b) indirekt-verbundenen LDP-Peers
S b
11.5 Signalisierung in (G)MPLS-Netzen
559
Um die LDP-Nachrichten zwischen benachbarten LSRs zu übermitteln, muss zuerst eine LDP-Session zwischen zwei betreffenden LSRs aufgebaut werden. Diese basiert auf einer TCP-Verbindung. Zwei LSRs werden als sog. LDPPeers betrachtet, falls eine LDP-Session zwischen ihnen aufgebaut wurde, über die sie einen Labelraum vereinbaren können. Wie in Abbildung 11.5-8 ersichtlich ist, unterscheidet man zwischen direkt verbundenen LDP-Peers und indirekt verbundenen LDP-Peers. Bei den direkt verbundenen LDP-Peers handelt es sich um LSRs, die direkt mit einem logischen Kanal verbunden sind. Die direkt verbundenen LSRs aus dem Routing-Netz sind in den Switches des Transportnetzes enthalten, die direkt mit einer physikalischen Leitung verbunden sind. Bei den indirekt verbundenen LDP-Peers handelt es sich um LSRs, die über die anderen Transit-LSRs verbunden sind. Die Transit-LSRs sind in den Switches eines Transit-Transportnetzes enthalten. Die indirekt verbundenen LDP-Peers werden somit über ein Transit-Netz verbunden. Indirekt verbundene LDP-Peers kommen vor, wenn MPLS innerhalb einer hierarchischen Netzstruktur realisiert wird. In diesem Fall werden den Paketen in der Regel mehrere Labels (d.h. Label-Stack) vorangestellt [Abb. 11.2-13]. Struktur von LDP-Nachrichten Die LDP-Nachrichten werden in den sog. LDP-PDU (Protocol Data Unit) transportiert. In einer LDP-PDU können mehrere LDP-Nachrichten enthalten sein. Abbildung 11.5-9 zeigt die Struktur von LDP-Nachrichten. V e rs io n (2 B y te s ) P D U L e n g th (2 B y te s ) L D P ID L e n g th (6 B y te s )
U D P - b z w . T C P -H e a d e r IP
L D P H e a d e r
U B it M e s s a g e T y p e (1 5 B its ) M e s s a g e L e n g th (2 B y te s ) M e s s a g e ID (4 B y te s )
L D P -N a c h ric h (e n ) L D P -N a c h ric h t
...
P a ra m e te r
Abb. 11.5-9: Struktur von LDP-Nachrichten
Für den Transport von PDUs verwendet das LDP sowohl das TCP als auch das UDP. Für den Transport von LDP-Nachrichten (z.B. Hello) bei der Entdeckung von Peers kommt das UDP zum Einsatz. Für die Übermittlung von LDPNachrichten Label Request und Label Mapping wird das TCP verwendet.
Typen von LDP-Peers
560
11 Neue Generation der IP-Netze mit MPLS und GMPLS
Sowohl beim UDP als auch beim TCP hat der Well-Known-Port des LDP die Nummer 646. LDPNachricht
Jede LDP-Nachricht enthält folgende Angaben: U Bit: Mit diesem Bit wird festgelegt, wie der Empfänger reagieren muss, wenn er einen ihm unbekannten Nachrichtentyp empfangen hat: − U = 0: Eine Nachricht Notification muss an den Absender abgeschickt werden. − U = 1: Die empfangene Nachricht wird einfach ignoriert. Message Type: Hier wird der Nachrichtentyp angegeben. Length: Dieses Feld enthält die Länge der LDP-Nachricht in Bytes. Message ID: Hier ist eine Identifikation der Nachricht enthalten. Antworten vom Empfän-
ger, die sich auf diese Nachricht beziehen, müssen diese Identifikation enthalten. Parameter: Jede LDP-Nachricht kann mehrere Angaben als Parameter enthalten.
LDP definiert folgende Kategorien von Nachrichten: für die Entdeckung eines LDP-Peer und für die Bekanntgabe von Labels, für den Auf-, den Abbau und die Unterhaltung von LDP-Sitzungen, für die Anzeige von Fehlern und anderen außergewöhnlichen Situationen.
Aufbau eines LSP mit dem CR-LDP Da der LSP eine Kette von logischen Kanälen auf den einzelnen Übertragungsstrecken darstellt, müssen die benachbarten Systeme sich darauf verständigen, über welche logischen Kanäle der LSP verlaufen soll. Da ein logischer Kanal auf einer Übertragungsstrecke, d.h. einer Wellenlänge bei WDM [Abb. 11.3-4] bzw. einem Zeitschlitz bei SDH [Abb. 11.3-5], mithilfe eines Label identifiziert wird, bedeutet dies, dass die benachbarten Systeme sich nur die Label mitteilen müssen. Man spricht hierbei auch von Label-Zuweisung bzw. Label-Verteilung. Beim LDP unterscheidet man zwischen einem Downstream- und einem Upstream-System. Als Downstream-System wird das nächste System in LSPRichtung, d.h. in Richtung des Datenflusses, bezeichnet. Das nächste System in Gegenrichtung zum LSP ist ein Upstream-System LabelZuweisung
Um die LDP-Nachrichten zu übermitteln, muss zuerst eine Session zwischen zwei betreffenden Systemen aufgebaut werden. Beim CR-LDP ist das eine TCP-Verbindung. Ein System fordert ein Label mit einer Nachricht LabReq (Label Request) von seinem Downstream-System an. Dieses weist ein Label zu und teilt es dem Upstream- System mit LabMap (Label Mapping) mit. Eine Label-Zuweisung kann ein System seinem Upstream-System nur dann mitteilen, wenn es sie entweder bereits von seinem Downstream-System erhalten hat oder wenn es als letztes System auf dem LSP fungiert und diese LabelZuweisung selbst getroffen hat. Die Label-Zuweisung beginnt beim letzten System und wird dann in Richtung „upstream“ fortgesetzt. Abbildung 11.5-10 illustriert den Aufbau eines unidirektionalen LSP.
11.6 Schlussbemerkungen
6
S IG
E S A
S IG
1
C o n tr o l P la n e IP -N e tz T r a n s p o r tn e tz
S IG
S IG
2
K a n a l 1 L a b e l = a L a b R e q : L a b e l R e q u e st
3
L a b R e q L a b M a p (L a b = b ) 2
5
2
S F
IP -N e tz
S W
L S P = (a , b , c )
3 4
S IG
1
S IG L a b R e q L a b M a p (L a b = c )
3
S F
IP -N e tz
S W
K a n a l 2 L a b e l = b
L a b M a p : L a b e l M a p p in g
S F : S w itc h in g -F u n k tio n
S IG
4
4
2
...
L a b R e q L a b M a p (L a b = a 2) 1
...
1
...
S IG
561
E S B
K a n a l 3 L a b e l = c S W : S w itc h
Abb. 11.5-10: Aufbau eines dynamischen unidirektionalen LSP
Das Einrichten eines LSP initiiert hier ESA durch das Absenden der Nachricht LabReq an SW1, die zum ESB übermittelt wird. ESB reserviert das Label c für den ankommenden LSP und übermittelt es in LabMap seinem UpstreamSystem SW2. Dann reserviert SW2 das Label b und übermittelt es an SW1. Zum Schluss reserviert SW1 das Label a und übermittelt es an ESA. Jedes System übermittelt somit seinem Upstream-System das Label in LabMap. Hat ESA LabMap als Antwort auf LabReq empfangen, wird damit das Einrichten des LSP beendet. Daher steht der unidirektionale LSP für die Übermittlung von IPPaketen von ESA zum ESB zur Verfügung. Der in Abbildung 11.5-10 gezeigte Verlauf von CR-LDP entspricht dem Auf- GMPLS bau eines unidirektionalen LSP in einem GMPLS-Netz. Ist ein bidirektionaler CR-LDP LSP nötig, muss ein anderer LSP in Gegenrichtung aufgebaut werden. Daher sind hierbei zwei fast gleiche CR-LDP-Abläufe – also zwei Schritte – notwendig. Für den Einsatz in GMPLS-Netzen wurde das CR-LDP zum Protokoll GMPLS CR-LDP [RFC 3472] so erweitert, dass es mit ihm möglich ist, einen bidirektionalen LSP in einem Schritt aufzubauen.
11.6 Schlussbemerkungen Die Konzepte für das IP über klassische Netze wie LANs, X.25-, FR- und ATM-Netze wurden in Kapitel 10 dargestellt. Das Ziel dieses Kapitels war es, in einer anschaulichen und kompakten Form die Konzepte für die neue Generation der IP-Netze (Next Generation IP-Networks) mit MPLS und GMPLS zu erläutert. Die Themen MPLS und GMPLS sind aber so komplex, dass nur die grundlegenden Ideen in diesem Kapitel erläutert werden konnten. Für weitere
562
11 Neue Generation der IP-Netze mit MPLS und GMPLS
Informationen über MPLS und GMPLS ist u.a. auf [BeRS 04], [DaRe 00], [FaBr 06], [MiLu 05] und [YaSO 06] zu verweisen.
Abschließend ist Folgendes hervorzuheben: MPLSEntwicklung
Mit MPLS ist es möglich, die IP-Kommunikation auf eine einheitliche Art und Weise über integrierte Netzstrukturen, die aus Ethernets sowie aus FRund ATM-Netzen bestehen, zu realisieren. In diesem Zusammenhang sind die Aktivitäten des MFA-Forums zu erwähnen [www.mfaforum.org]. Für MPLS wurden zusätzliche Konzepte und Verfahren entwickelt, um Traffic Engineering in MPLS-Netzen zu ermöglichen (MPLS-TE). Die Standards sind unter [www.ietf.org/html.charters/mpls-charter.html] abrufbar. Für weitere Informationen über MPLS sind [www.mplsrc.com] und [http://tools.ietf.org/wg/mpls] zu empfehlen.
GMPLSEntwicklung
Eine Verallgemeinerung von MPLS und MPLS-TE, sodass man die IPPakete nach dem MPLS-Prinzip in SDH- und WDM-Netzen übermitteln kann, hat zu GMPLS geführt. Für GMPLS sind u.a. spezielle Routing- und Signalisierungs-Protokolle nötig. Die Entwicklungen rund um GMPLS kann man unter [www.ietf.org/html.charters/ccamp-charter.html] verfolgen. Mit MPLS und GMPLS besteht endlich die Möglichkeit, die IPKommunikation in allen Netztypen nach dem gleichen Prinzip zu realisieren. Darauf hat man seit Langem gewartet.
Bedeutung von PWE3
Über ein (G)MPLS-Netz kann eine virtuelle Verbindung zwischen zwei Standorten eines Unternehmens aufgebaut werden. Da die Jitter-Werte über diese virtuelle Verbindung relativ klein sind, kann sie sogar als softwaremäßige Nachbildung einer Drahtverbindung angesehen werden. Daher spricht man von Pseudo Wire (PW) bzw. von PW-Verbindung. Derartige Verbindungen gelten als Basis für zukünftige Virtual Private Networks (VPN) [Abschnitt 12.2]. Da es sich hierbei um die Emulation einer Edge-zu-EdgeDrahtverbindung handelt, ist der Begriff PWE3 (Pseudo Wire Emulation Edge-to-Edge) entstanden. Die betreffenden Standards werden bei der IETF entwickelt [www.ietf.org/html.charters/pwe3-charter.html].
ITU-TKonzept ASON
Die ITU-T hat das Konzept ASON (Automatic(ally) Switched Optical Network) spezifiziert [www.itu.int]. Das ASON beschreibt u.a. die logische Architektur optischer Netze und kann als Rahmenwerk angesehen werden, das festlegt, wie optische Netze logisch strukturiert werden und welche Komponenten und Protokolle zum Einsatz kommen sollen. Bei ASON werden ähnliche Ziele wie beim GMPLS verfolgt. Daher können das ASON und das GMPLS als konkurrierende Ansätze angesehen werden. Das ASON betreffen mehrere ITU-T-Standards. Die Anforderungen an optische Netze werden in G.807 (auch als G.astn bezeichnet) spezifiziert. Die Architektur der Control Plane beim ASON beschreibt G.8080/Y.1304 (auch G.ason genannt).
12 Virtual Private Networks und Remote Access Services In der Vergangenheit wurden standortübergreifende private Netze so aufgebaut, Was ist ein dass mehrere Standorte über gemietete physikalische Standleitungen verbunden VPN? waren. Da die Standleitungen in der Regel teuer waren, haben derartige Lösungen mit einer Vielzahl von weit voneinander entfernten Standorten zu sehr hohen Kosten geführt. Mithilfe von sog. Tunneling-Techniken lassen sich virtuelle Standleitungen für den Transport von vertraulichen Daten über öffentliche IP-Netze aufbauen. Setzt man solche virtuellen Standleitungen ein, um mehrere Netzwerke an verschiedenen Standorten miteinander zu verbinden, entsteht ein VPN (Virtual Private Network). Für den Aufbau von VPN verwendet man sog. Tunneling-Protokolle. Oft werden die Remote Access Services (RAS) mit VPNs so integriert, dass die VPNs Verbindung zwischen einem Remote-Benutzer und dem Intranet über ein öf- mit RAS fentliches IP-Netz in einem „Tunnel“ verläuft. Beim RAS in VPNs müssen die Remote-Benutzer entsprechend authentifiziert werden. Dafür steht das Protokoll RADIUS (Remote Access Dial-In User Service) zur Verfügung. Dieses Kapitel gibt einen fundierten Überblick über die technischen Konzepte Überblick von VPNs und den RAS. Abschnitt 12.1 erläutert kurz verschiedene VPN- über das Arten. Danach werden in Abschnitt 12.2 Provider Provisioned VPNs (PPVPN) Kapitel präsentiert. Auf Layer-2-Tunneling über klassische IP-Netze geht Abschnitt 12.3 ein. Abschnitt 12.4 erläutert die Funktionsweise des IPsec und von Layer3-Tunneling. Das Konzept von RAS und RADIUS präsentiert Abschnitt 12.5. Abschließende Bemerkungen in Abschnitt 12.6 runden das Kapitel ab. In diesem Kapitel werden u.a. folgende Fragen beantwortet: Welche Konzepte liegen den VPNs über klassische IP-Netze und MPLSNetze zugrunde? Wie kann man sich ein VPN vorstellen und welche Ansätze dafür gibt es? Welche Arten von PPVPNs gibt es und wie werden sie eingerichtet? Wie können die Layer-2-Übermittlungsdienste (z.B. Ethernet) über IPNetze bereitgestellt werden? Wie kann ein privates Ethernet auf Basis eines MPLS-Netzes aufgebaut werden und welche Bedeutung hat hierbei VLAN-Stacking? Wie funktioniert das IPsec und wie werden VPNs mit dem IPsec aufgebaut?
Ziel dieses Kapitels
564
12 Virtual Private Networks und Remote Access Services
12.1 Grundlagen und Arten von VPNs Site als Netzwerk an einem Standort
Ein VPN stellt eine Vernetzung mehrerer Netzwerke eines Unternehmens bzw. einer anderen Institution (z.B. einer Hochschule), die sich an verschiedenen Standorten befinden, mithilfe von virtuellen Standleitungen über IP-Netze dar. In der englischen Literatur und in allen VPNs betreffenden Standards wird ein Netzwerk an einem Standort eines Unternehmens als Site bezeichnet, daher wird dieser Begriff auch hier verwendet. Da es sich hierbei natürlich um IPNetzwerke handelt, können Sites als Intranets – also als private Internets – angesehen werden.
Tunneling
Die Eigenschaften einer virtuellen Standleitung über ein IP-Netz u.a. im Hinblick auf die Datensicherheit können mit einem Tunnel verglichen werden. Aus diesem Grund spricht man von Tunneling über IP-Netze. Das Tunneling liegt den VPNs zugrunde. Darauf wird in Abschnitt 12.1.1 näher eingegangen. Bei IP-Netzen ist zwischen klassischen IP-Netzen und MPLS-Netzen [Kapitel 11] zu unterscheiden. Das führt dazu, dass man auch unterscheidet zwischen VPNs auf Basis klassischer IP-Netze und VPNs auf Basis der MPLS-Netze. Einen Überblick über grundlegende Arten von VPNs gibt Abschnitt 12.1.2.
12.1.1 Tunneling als Basis von VPNs Was ist Tunneling?
Das Tunneling ist ein Konzept, nach dem man beliebige Datenpakete aus einem Netzwerk an einem Standort (Site), in der Regel aus einem Intranet, über ein Weitverkehrsnetz als reines Transitnetz transportiert. Dabei spielen die Adressierung und das verwendete Protokoll keine Rolle. Daher ist es mithilfe des Tunneling möglich, mehrere Sites über ein IP-Weitverkehrsnetz transparent zu koppeln. Das Tunneling wird schon seit Langem eingesetzt, um IP-Pakete über andere Netze zu transportieren, in denen ein anderes Protokoll verwendet wird. Tunneling über klassische IP-Netze
IP-Pakete als Container für L3Pakete
Abbildung 12.1-1 illustriert das Tunneling über ein klassisches verbindungsloses IP-Netz, das nach dem Datagram-Prinzip funktioniert [Abb. 11.1-1a]. Hier wird das ganze über das IP-Netz zu übertragende Original-L3-Paket (d.h. ein Paket nach einem Layer-3-Protokoll wie z.B. IP, IPX) aus Site A innerhalb der Randkomponente beim Network Service Provider (NSP), die man oft als PE (Provider Edge) bezeichnet, als Nutzlast (Payload) in ein neues IP-Paket verpackt. Diese Verpackung wird auch als Encapsulation bezeichnet und besteht darin, dass dem Original-L3-Paket zuerst ein Header nach einem Tunneling-
12.1 Grundlagen und Arten von VPNs
565
Protokoll und dann noch ein IP-Header vorangestellt werden. Im Ziel-PE werden diese beiden vorangestellten Header entfernt, sodass das Original-L3-Paket wieder in der ursprünglichen Form vorliegt und an den Zielrechner in Site B übermittelt werden kann. Man nennt dies Decapsulation. Diese sog. TransitPakete dienen als Container für die Übermittlung verschiedener L3-Pakete. N e tw o r k S e r v ic e P r o v id e r (N S P )
K u n d e S ite A
1 E n c a p s u la tio n 2 D e c a p s u la tio n
P E
1
P a y lo a d : L a y e r-3 -P a k e t
K la s s is c h e s IP -W A N T u n n e l IP -P a k e t
P a y lo a d
K u n d e
P E
S ite B
2 IP
W o b e g in n t u n d e n d e t d e r T u n n e l?
T u n n e lin g -P ro to k o ll-H e a d e r
Abb. 12.1-1: Das Tunneling-Prinzip bei der Datenübermittlung über ein klassisches IP-WAN PE: Provider Edge (Router, Layer-2/3-Switch)
Der IP-Header, der dem Original-L3-Paket im Quell-PE vorangestellt wird, be- Wozu ein stimmt Beginn und Ende des Tunnels sowie den Übertragungsweg über das IP- TunnelingNetz. Der zweite vorangestellte Header, der nach dem IP-Header folgt, wird Protokoll? von einem Tunneling-Protokoll, wie z.B. L2TP (Layer 2 Tunneling Protocol) bzw. IPsec (IP Security), festgelegt. Im Header des Tunneling-Protokolls können weitere Angaben zu den PEs, die Beginn und Ende des Tunnels realisieren, übermittelt werden. Insbesondere werden oft Angaben gemacht, um das Original-L3-Paket über das Transit-IP-Netz verschlüsselt zu transportieren. Bemerkung: Bei der Bildung von VPNs über klassische IP-Netze wird der PE oft als VPN-Gateway (VG) bezeichnet.
Da der Transport des Original-L3-Pakets über das IP-Netz auf Basis des Tran- Virtuelle sit-IP-Pakets verläuft, können eventuelle Lauscher unterwegs die Quell- und Standleitung die Zieladresse des verschlüsselt übertragenen L3-Pakets nicht ablesen, sondern lediglich nachvollziehen, dass die Daten zwischen Tunnel-Beginn und Ende transportiert werden. Ein Tunnel über ein IP-Netz verhält sich also wie eine bidirektionale Direktverbindung zwischen den Systemkomponenten, die Tunnel-Beginn und -Ende bilden. Somit ist jeder Tunnel als eine virtuelle Standleitung zu interpretieren. Tunneling über MPLS-Netze Um mehrere Standorte eines Unternehmens bzw. einer anderen Institution zu Pseudovernetzen, eignen sich MPLS-Netze besonders gut [Abschnitt 11.2]. Über ein DrahtverMPLS-Netz kann eine bidirektionale Punkt-zu-Punkt-Verbindung zwischen bindung
566
12 Virtual Private Networks und Remote Access Services
zwei Standorten mithilfe zweier entgegengerichteter LSPs (Label Switched Path) aufgebaut werden [Abb. 11.2-1 und -2], was quasi als Drahtverbindung betrachtet werden kann. In diesem Zusammenhang spricht man von einem Pseudo-Draht (Pseudo Wire, PW) bzw. von einer Pseudo-Drahtverbindung über ein MPLS-Netz. Eine derartige Verbindung wird zwischen den zwei Randkomponenten PE (Provider Edge) eines Network Service Provider (NSP) eingerichtet, an die verschiedene Sites angeschlossen sein können. Es handelt sich hier um eine Nachbildung (Emulation) einer Edge-zu-Edge-Drahtverbindung. Um eine Pseudo-Drahtverbindung über MPLS-Netze einzurichten, wird das Tunneling verwendet. Abbildung 12.1-2 illustriert dies. N e tw o r k S e r v ic e P r o v id e r (N S P ) E m u lie rte P s e u d o -D ra h tle itu n g
K u n d e S ite A
P a y lo a d : L a y e L a y e 1 E n c a p s u la 2 D e c a p s u la C W : C o n tro l W
P E
M P L S -N e tz T u n n e l IP -P a k e t
P E
K u n d e S ite B
1 2 r-2 - o d e r r-1 -F ra m e W o b e g in n t u n d L 2 T P a y lo a d C W P W H T H L 2 H tio n e n d e t d e r T u n n e l? L 2 -F ra m e tio n o rd , P W H : P s e u d o W ire H e a d e r, T H : T u n n e l H e a d e r, L 2 H /T : L a y e r-2 -H e a d e r/T ra ile r
Abb. 12.1-2: Das Tunneling-Prinzip bei der Datenübermittlung über ein MPLS-Netz
L2-Frames als Container für L1/2Daten
Der Quell-PE am Standort A verpackt die zu übertragenden Original-Daten als Payload (Nutzlast) in einen L2-Frame (Encapsulation). Beim L2-Frame handelt es sich um einen Ethernet-Frame, FR-Frame bzw. AAL5-Frame [Abb. 10.43], falls entsprechend Ethernet, FR- oder ATM-Netz als Übermittlungsnetz beim MPLS dient. Im Ziel-PE werden die eingekapselten Daten aus dem L2Frame herausgenommen (Decapsulation). Da die Original-Daten als L1- bzw. L2-Frames in einem L2-Frame übermittelt werden, sind sie im MPLS-Netz als Transitnetz nicht zugänglich. Dies könnte man sich als Übermittlung von Daten in einem Tunnel vorstellen.
PayloadArten
Beim Tunneling über MPLS-Netze handelt es sich in der Regel um einen bidirektionalen Tunnel, der durch zwei entgegengerichtete LSPs gebildet wird. Auf Basis eines solchen Tunnels wird dann eine Pseudo-Drahtverbindung realisiert, über die L2-Frames als quasi Container übermittelt werden. Die im L2-Frame als Payload übermittelten Daten können sein: die Layer-1-Daten, z.B. ein TDM-Frame (Time Division Multiplexing) bzw. die Layer-2-Daten, wie z.B. Ethernet- bzw. PPP-Frame.
567
12.1 Grundlagen und Arten von VPNs
Somit kann eine emulierte Leitung als virtuelle Layer-1- bzw. Layer-2-Leitung angesehen werden. Wie aus Abbildung 12.1-2 ersichtlich, werden der im L2-Frame zu übertragen- Was wird der Payload den Payload folgende drei Header vorangestellt: vorange-
Tunnel-Header (TH) mit einem äußeren Label (sog. Outer Label), nach dem stellt? der L2-Frame im MPLS-Netz übermittelt wird. Dieses Label bestimmt Beginn und Ende des Tunnels. Pseudo-Wire-Header (PWH) mit einem inneren Label (sog. Inner Label), das als Identifikation der emulierten Leitung dient. Dieses Label kann auch als Identifikation des Kunden angesehen werden. Control Word (CW), um verschiedene L1/2-Frames über eine PseudoDrahtleitung auf gleiche Art und Weise übermitteln zu können.
12.1.2 Arten von VPNs VPNs können nach verschiedenen Merkmalen klassifiziert werden. Ein VPN ist u.a. davon abhängig, welche Systemkomponenten die virtuellen Standleitungen als Tunnel verbinden. Die Führung des Tunnels bestimmt daher die Art des VPN. Abbildung 12.1-3 bringt dies zum Ausdruck. N e tw o r k S e r v ic e P r o v id e r (N S P )
IP -N e tz S ite A K u n d e
C E
Z L
P E v o m
IP -N e tz (M P L S -N e tz )
P E
Z L
C E
P ro v id e r b e re itg e s te llte s V P N (P E -b a s e d ) S ite -to -S ite -V P N
S ite B K u n d e
(C E -b a s e d )
E n d -to -E n d -V P N
Abb. 12.1-3: Führung des Tunnels bestimmt die VPN-Art CE: Customer Edge, PE: Provider Edge, ZL: Zubringerleitung bzw. -netz
Wird ein Tunnel zwischen zwei Randkomponenten PE bei einem NSP (Net- Vom Proviwork Service Provider) eingerichtet, handelt es sich um ein vom Provider be- der bereitgereitgestellten VPN. Man bezeichnet derartige VLANs kurz als PPVPNs (Provi- stellte VPNs der Provisioned VPN). Sie werden in der Regel auf Basis der MPLS-Netze gebildet und stellen ein breites Spektrum der Kommunikationsdienste zur Verfügung. Auf PPVPNs geht Abschnitt 12.2 näher ein. Wird ein Tunnel zwischen zwei Randkomponenten CE bei einem Kunden eines Site-zu-SiteNSP – also zwischen mehreren Standorten eines Unternehmens bzw. einer an- VPN deren Institution – eingerichtet, spricht man vom Site-to-Site-VPN. Ein solches
568
12 Virtual Private Networks und Remote Access Services
VPN stellt eine Lösung dar, um mehrere Sites über ein IP-Netz standortübergreifend zu verbinden. Für den Aufbau von Site-to-Site-VPNs verwendet man oft das Protokoll IPsec [Abschnitt 12.4.9]. End-to-EndVPN
Werden die kommunizierenden Rechner mit einem Tunnel über ein IP-Netz verbunden, bezeichnet man das als End-to-End-VPN. Ein solches VPN ermöglicht es, mehrere Remote-Rechner über virtuelle Standleitungen mit einem zentralen Rechner zu verbinden. Hierbei ist zu beachten, dass ein entsprechendes Tunneling-Protokoll auf jedem an das VPN „angeschlossenen“ Rechner installiert werden muss. End-to-End-VPNs können mithilfe des IPsec eingerichtet werden. Auf Konzept und Einsatz des IPsec geht Abschnitt 12.4 detaillierter ein.
RemoteAccess-VPN
Soll Remote Access auf Intranet-Dienste in einem VPN ermöglicht werden, so kann ein Remote-Benutzer die Verbindungen über ein Zugbringernetz zu einem Zugangskonzentrator aufbauen, wo der Tunnel über ein IP-Netz zu einem bestimmten Intranet beginnt. Eine solche Lösung stellt ein Remote-Access-VPN (RA-VPN) dar. Abbildung 12.1-4 illustriert das Konzept des RA-VPN.
Z u g a n g s n e tz
N S P A C
K la s s is c h e s IP -N e tz (In te rn e t)
N A S
In tra n e t
L a y e r-2 -T u n n e l P P P -V e rb in d u n g e n
Abb. 12.1-4: Grundlegendes Konzept von Remote-Access-VPNs AC: Access Concentrator, NAS: Network Access Server
Bei RA-VPNs handelt sich um VPNs, denen das Layer-2-Protokoll PPP (Pointto-Point Protocol) zugrunde liegt [Abschnitt 10.2.2]. Daher spricht man auch von Layer-2-Tunnel bzw. von Layer-2-Tunneling. RA-VPNs sind somit als PPP-basierte VPNs zu bezeichnen. Zwischen den kommunizierenden Rechnern wird eine PPP-Verbindung aufgebaut. Über einen Tunnel können mehrere solche Verbindungen verlaufen. Klassifizierung von VPNs
Bei der Klassifizierung von VPNs ist zuerst zu unterscheiden zwischen VPNs, die auf Basis der klassischen verbindungslosen IP-Netze (d.h. Datagram-Netze) aufgebaut wurden, und VPNs, die auf Basis der verbindungsorientierten MPLS-Netze eingerichtet worden sind. Wie Abbildung 12.1-5 zeigt, können weitere Arten von VPNs innerhalb dieser beiden Klassen unterschieden werden.
12.2 Vom Provider bereitgestellte VPNs
A rte n v o n V P N s V P N s a u f B a s is k la s s is s c h e r IP -N e tz e V P N s m it L 2 -T u n n e lin g (P P P -b a s ie rte V P N s )
V P N s a u f B a s is d e r M P L S -N e tz e
V P N s m it L 3 -T u n n e lin g (P P P -b a s ie rte V P N s )
L 2 T P P P T P L 2 F
V o m P ro v id e r b e re itg e s te llte (P P V P N s ) L 3 V P N L 2 V P N L 1 V P N
S ite -z u -S ite -V P N E n d -to -E n d -V P N
Abb. 12.1-5: Grundlegende VPN-Arten auf Basis von IP-Netzen IPsec: IP Security, L2TP: Layer 2 Tunneling Protocol, Ln: Layer n, L2F: Layer 2 Forwarding, PPTP: Point-to-Point Tunneling Protocol
Den vom Provider bereitgestellten VPNs auf Basis der MPLS-Netze wird Abschnitt 12.2 gewidmet. Auf die VPNs mit Layer-2- und Layer-3-Tunneling gehen die Abschnitte 12.3 und 12.4 ein.
12.2 Vom Provider bereitgestellte VPNs Vom Provider bereitgestellte VPNs, die man kurz als PPVPNs (Provider Provisioned VPN) bezeichnet, werden auf Basis der MPLS-Netze aufgebaut. Zum Aufbau eines PPVPN werden emulierte Leitungen über ein MPLS-Netz eines NSP eingerichtet. Es ist zwischen verschiedenen Typen von PPVPNs zu unterscheiden. Abbildung 12.2-1 bringt dies näher zum Ausdruck. A rte n v o n P P V P N s
B G P /M P L S V P N
P E -b a se d
L 3 V P N
V irtu a l R o u te r V P N
C E -b a se d
IP se c
B G P -b a se d V P L S
V P L S
V P L S o v e r M P L S
P tM L 2 V P N
L 1 V P N
P tP P tP
L a y e r 3
IP L S V P W S P W E 3
L a y e r 2 L a y e r 1
Abb. 12.2-1: Klassifizierung verschiedener Arten von PPVPNs BGP: Border Gateway Protocol, CE: Customer Edge, IPLS: IP-Only LAN Service, Ln: Layer n, PtP: Point-to-Point, PtM: Point-to-Multipoint, PE: Provider Edge, VPLS: Virtual Private LAN Services
569
570
12 Virtual Private Networks und Remote Access Services
In Abhängigkeit davon, welche Datenformate – also Layer-1-Frame, Layer-2Frame bzw. Layer-3-Pakete – übermittelt werden, kann ein PPVPN dem Layer 1, 2 bzw. 3 zugeordnet werden. Man bezeichnet sie dementsprechend als Layer-1-VPN (L1VPN), Layer-2-VPN (L2VPN) oder Layer-3-VPN (L3VPN). CE-based bzw. PE-based
Wird eine virtuelle Leitung in einem VPN zwischen zwei Randkomponenten CE eines Kunden eingerichtet [Abb. 12.1-3], nennt man dies CE-based VPN. Verläuft eine virtuelle Leitung nur zwischen zwei Randkomponenten PE eines Providers, bezeichnet man dies als PE-based VPN. L1VPNs und L2VPNs werden in der Regel als PE-based VPNs realisiert. Bei L3VPNs ist zwischen CEbased und PE-based VPNs zu unterscheiden.
L1VPNs
Ein L1VPN stellt eine Punkt-zu-Punkt-Verbindung von zwei Sites über eine emulierte physikalische Leitung (virtuelle L1-Leitung, Pseudo Wire) dar. Die IETF-Standards für L1VPN werden als Pseudo Wire Emulation Edge-to-Edge (PWE3) bezeichnet. Ein Layer-1-VPN kann eine Kopplung von zwei TDMSystemen (Time Division Multiplexing) darstellen. Wird eine virtuelle L2-Leitung zum Aufbau eines VPN eingesetzt, handelt es sich um ein L2VPN. Die wichtigste Besonderheit von L2VPN ist, dass die Layer-2-Frames über L2VPN übermittelt werden. Ein L2VPN kann entweder
L2VPNs
ein PtP-L2VPN (Punkt-zu-Punkt L2VPN) oder PtP-L2VPN
PtM-L2VPN
ein PtM-L2VPN (Punkt-zu-Mehrpunkt L2VPN) sein. Ein PtP-L2VPN stellt eine direkte Verbindung von zwei Standorten über eine virtuelle Leitung dar. Daher bezeichnet man eine derartige Lösung als Virtual Private Wire Service (VPWS). Sie eignet sich insbesondere für die Kopplung von ATM- bzw. Frame-Relay-Systemen und für die Unterstützung von PPPVerbindungen über MPLS-Netze. Das PtM-L2VPN dagegen stellt eine Vernetzung von mehreren Standorten mithilfe von virtuellen Leitungen dar, die über ein MPLS-Netz eines Providers verlaufen. Ein derartiges L2VPN eignet sich insbesondere für die Vernetzung von LANs, wie z.B. Ethernets. Bei der Unterstützung der LANKommunikation über MPLS-Netze unterscheidet man zwischen den folgenden zwei Ansätzen: VPLS (Virtual Private LAN Service) und IPLS (IP-Only LAN Service). Beim VPLS handelt es sich um ein Konzept, nach dem das ganze MPLS-Netz sich als Layer-2-Switch verhält. Dies bedeutet eine LAN-Emulation innerhalb eines MPLS-Netzes. Sie ermöglicht sogar, ein weltweites Ethernet einzurichten, in dem ein MPLS-Netz als Backbone fungiert. Der IPLS stellt ein Konzept für die Vernetzung einzelner LAN-Komponenten über ein MPLS-Netz dar.
12.2 Vom Provider bereitgestellte VPNs
571
Wird eine virtuelle L3-Leitung zum Ausbau eines VPN eingesetzt, handelt es L3VPNs sich um ein L3VPN. Eine wichtige Besonderheit von L3VPN besteht darin, dass nur die IP-Pakete über L3VPN übermittelt werden können. Die virtuellen Leitungen zwischen CEs [Abb. 12.1-3] werden mithilfe des Protokolls IPsec realisiert. Eine virtuelle Leitung wird hierbei als IPsec-Tunnel eingerichtet. Bei PE-based L3VPNs kann zwischen Virtual Router VPNs (VR VPN) und BGP/MPLS VPNs unterschieden werden. Um ein VPN einzurichten, kann die Router-Funktion, die man auch als Virtual Router bezeichnet, in PEs [Abb. 12.1-3] zur Verfügung gestellt werden. Eine Vernetzung von IP-Subnetzen über ein MPLS-Netz mithilfe von Virtual Routern stellt ein Virtual Router VPN dar. Eine Vernetzung von IP-Subnetzen kann über ein MPLS-Netz so erfolgen, dass die Routing-Ziele zwischen den beteiligten PEs mithilfe des Routing-Protokolls MP-BGP (Multiprotocol Extensions for BGP-4) ausgetauscht werden [Abschnitt 9.4.4]. Man spricht in diesem Fall von einem BGP/MPLS VPN.
12.2.1 Pseudo-Drähte als L1VPNs In MPLS-Netzen wird vor der Übermittlung der IP-Pakete auf einer Kommunikationsbeziehung zuerst eine optimale Route zum Ziel bestimmt und danach werden alle IP-Pakete über diese Route im „Gänsemarsch“ übermittelt. Die MPLS-Netze sind somit verbindungsorientiert. Dadurch wird die Reihenfolge der IP-Pakete garantiert, d.h. alle IP-Pakete einer Kommunikationsbeziehung legen den gleichen physikalischen Weg über das Netz zurück und die Laufzeitunterschiede einzelner IP-Pakete, die sog. Jitter-Werte, werden dadurch sehr stark reduziert. Über ein MPLS-Netz kann eine bidirektionale virtuelle Verbindung zwischen zwei Standorten aufgebaut werden, die sich aus zwei entgegengerichteten Datenpfaden, die man LSP (Label Switched Path) nennt, zusammensetzt. Da die Jitter-Werte in MPLS-Netzen relativ klein sind, kann diese virtuelle Verbindung sogar als softwaremäßige Nachbildung einer Drahtverbindung angesehen werden. Aus diesem Grund spricht man von Pseudo Wire (PW), von PseudoDraht bzw. von Pseudo-Drahtverbindung.
Besonderheit der MPLSNetze
LSPs als Drahtverbindung
Über Pseudo-Drähte innerhalb eines MPLS-Netzes kann ein Netzanbieter verschiedene L1- bzw. L2-Dienste zur Verfügung stellen, die man als Virtual Private Wire Services (VPWS) bezeichnet. Abbildung 12.2-2 zeigt das Referenzmodell einer Pseudo-Drahtverbindung. Modell einer Hier wird ein Transporttunnel (kurz auch Tunnel genannt) zwischen zwei PEs PWbeim NSP eingerichtet. Dieser Tunnel wird in Form von zwei entgegen- Verbindung
572
12 Virtual Private Networks und Remote Access Services
gerichteten LSPs nach MPLS realisiert [Abb. 12.2-3]. In den beiden PEs wird der Tunnel so erweitert, dass ein Pseudo-Draht entsteht. N e tw o rk S e rv ic e P ro v id e r (N S P ) S ite A
C E 1
Z L
P E 1
L 1 /2 D ie n s t
P E 2
M P L S -N e tz T u n n e l e n tg e g e n g e r ic h te te L S P s
Z L
C E 2
S ite B
L 1 /2 D ie n s t
T ra n s p o rttu n n e l E m u lie rte P s e u d o -D ra h tle itu n g E m u lie rte r L 1 /2 -D ie n s t
Abb. 12.2-2: Referenzmodell für eine Pseudo-Drahtverbindung (PW-Verbindung) CE: Customer Edge, PE: Provider Edge, ZL: Zubringerleitung
Eine Randkomponente CE am Intranet eines Kunden wird über eine Zubringerleitung (ZL) an den PE beim NSP angeschlossen und an dann eine emulierte Pseudo-Drahtleitung angebunden. Zwischen CE und PE kann ein L1- bzw. ein L2-Dienst abgewickelt werden. Durch die Nutzung einer emulierten PseudoDrahtleitung kann daher ein emulierter L1/2-Dienst zwischen den an verschiedenen Standorten untergebrachten CEs zur Verfügung gestellt werden. Um emulierte Pseudo-Drahtleitungen über MPLS-Netze einzurichten, wird ein Transporttunnel über das MPLS-Netz aufgebaut. Abbildung 12.2-3 illustriert dies. Die eigentlichen Daten werden hier in Layer-2-Frames (L2-Frames) als Payload übermittelt, in denen zwei Labels enthalten sind. Nach dem äußeren Label (sog. Tunnel-Label bzw. Outer Label) wird der L2-Frame im MPLSNetz geleitet. Das innere Label (Inner Label) dient als Identifikation der emulierten Pseudo-Drahtverbindung – also einer PW-Verbindung. Damit können über einen Tunnel mehrere PW-Verbindungen eingerichtet werden.
P W
M P L S -N e tz 1
P W
T ra n s p o rttu n n e l
P W n
Q u e ll-P E
L 2 -T
P a y lo a d
P W -F ra m e C W
P W H
z .B . T D M - F r a m e , E th e rn e t-F ra m e
* )
1
...
...
Tunnel als Basis für PW
Im M P L S -N e tz a u f d e r A T M -B a s is w ird d a r T u n n e l-L a b e l im L 2 - H e a d e r ( d .h . im A T M - H e a d e r a ls V P I /V C I ) ü b e r m itte lt.
T H
L 2 -H T u n n e l-L a b e l* ) P W -L a b e l C o n tro l W o rd
Abb. 12.2-3: Das Tunneling-Prinzip über ein MPLS-Netz L2-H/T: Layer-2-Header/Trailer, PWH: PW-Header, TH: Tunnel-Header
P W Z ie l-P E
n
12.2 Vom Provider bereitgestellte VPNs
573
Der Quell-PE verpackt die zu übertragenden Original-Daten als Payload (Nutzlast) in einen L2-Frame. Im Ziel-PE werden die eingekapselten Daten aus dem L2-Frame herausgenommen. Da die Original-Daten in einem zusätzlichen L2Frame, der als Umschlag dient, übermittelt werden, sind sie im MPLS-Netz als Transitnetz nicht direkt zugänglich. Deswegen könnte man sich dies als Übermittlung von Daten in einem Transporttunnel vorstellen. Eine besondere Bedeutung hat das sog. Control Word (CW) in den übermittel- Bedeutung ten PW-Frames. Die Angaben in CW sind vom Payload-Typ (wie z.B. Ether- von Control net-, TDM-Frame) abhängig. Für jeden zu übermittelnden Payload-Typ wird Word das entsprechende CW im betreffenden Standard spezifiziert. Das CW wurde eingeführt, um die gleiche Struktur des PW-Header bei der Übermittlung von Daten verschiedener L2-Protokolle zu erhalten [Abb. 12.2-4]. Um eine PW-Verbindung zwischen zwei PEs dynamisch einzurichten, muss Protokolle zuerst einen Tunnel aufgebaut werden. Für diese Zwecke können folgende Pro- für den PWAufbau tokolle verwendet werden [Abschnitt 11.5]: CR-LDP (Constraint-Routing Label Distribution Protocol) und RSVP-TE (Resource reSerVation Protocol with Traffic Engineering). Soll ein Tunnel für eine PW-Verbindung aufgebaut werden, muss sichergestellt PW-Typen werden, dass die beiden PEs den gewünschten Übermittlungsdienst unterstützen, der über die PW-Verbindung realisiert werden soll. Um dies zu erreichen, werden alle Übermittlungsdienste bei IANA registriert und jedem Dienst wird eine eindeutige Identifikation zugewiesen. Tabelle 12.2-1 zeigt die Identifikation einiger dieser Dienste. Die Seite, die den Aufbau eines Tunnels initiiert, zeigt der Gegenseite an, um welchen Übermittlungsdienst es sich handelt. Der geforderte Übermittlungsdienst bestimmt den Typ der emulierten PseudoDrahtverbindung, also den Typ der PW-Verbindung und damit auch den PWTyp. PW-Typ
Emulierter L1- bzw. L2-Übermittlungsdienst
0x0001
Frame Relay DLCI (Martini Mode )
0x0002
ATM AAL5 SDU VCC transport
0x0004
Ethernet Tagged Mode
0x0005
Ethernet
0x0007
PPP
0x0008
SDH Circuit Emulation Service Over MPLS (CEM)
0x0016
TDMoIP basic mode
0x0019
Frame Relay DLCI
Tab. 12.2-1: Einige PW-Typen und emulierte L1- bzw. L2-Übermittlungsdienste [http://www.iana.org/assignments/pwe3-parameters]
574 Working Group PWE3
12 Virtual Private Networks und Remote Access Services
Insbesondere die Möglichkeit, über ein MPLS-Netz eine PW-Verbindung einrichten zu können, hat große Hoffnungen geweckt. Bei der IETF hat sich daher eine Working Group gebildet, die den Namen PWE3 trägt. Sie hat sich u.a. vorgenommen, die Konzepte und Protokolle für die Nutzung von PWVerbindungen für folgende Anwendungen zu erarbeiten: EoPW (Ethernet over PW), FRoPW (Frame Relay over PW), AoMPLS, ATMoMPLS (ATM over MPLS); auch als ATMoPW (ATM over PW) bezeichnet, TDMoIP (Time Division Multiplexing over IP), SONET/SDH Circuit Emulation over MPLS (CEM). Die Working Group PWE3 hat bereits ein Konzept veröffentlicht, um das PWSwitching zu realisieren. Damit soll ermöglicht werden, dass eine Vernetzung über eine Kette aus mehreren Pseudo-Drähten erfolgen kann. Bemerkung: Noch in den 90er-Jahren wurden verschiedene Konzepte für IP over X, z.B. für IP over ATM, Frame Relay oder SDH/SONET, entwickelt. Da sich eine Pseudo-Drahtverbindung über ein MPLS-Netz und damit auch über ein GMPLS-Netz einrichten lässt, können die ATM-, Frame-Relay- oder SDH/SONET-Dienste über IPNetze zur Verfügung gestellt werden. Also hat man nun X over IP statt IP over X.
Für die Koordination der Entwicklung von L1VPNs wurde die Arbeitsgruppe l1vpn-charter [http://www.ietf.org/html.charters] bei der IETF ins Leben gerufen.
12.2.2 Vom Provider bereitgestellte L2VPNs Eine Klassifizierung verschiedener Arten vom Provider bereitgestellter VPNs (PPVPNs) wurde bereits in Abbildung 12.2-1 dargestellt. Eine ihrer Art sind die sog. Layer-2-VPNs (kurz L2VPNs). Die L2VPNs sind im Weiteren zu unterteilen in Punkt-zu-Punkt L2VPNs und in Punkt-zu-Mehrpunkt L2VPNs. Abbildung 12.2-4 zeigt eine Auflistung wichtiger Punkt-zu-Punkt L2VPNs. P u n k t-z u -P u L 2 V P N s E A F H P
n k t th T ra D
e rn e t o v e r M P L S (A sy n c h ro n o u m e R e la y o v e r M L C (H ig h -L e v e l P P (P o in t-to -P o in t M
(E s T P L D a P r
o M P L S r a n s fe r S (F R o ta L in k o to c o l)
) M o d e ) o v e r M P L S (A T M o M P L S ) M P L S ) C o n tr o l) o v e r M P L S (H D L C o M P L S ) o v e r M P L S (P P P o M P L S )
Abb. 12.2-4: Auflistung wichtiger Punkt-zu-Punkt L2VPNs
12.2 Vom Provider bereitgestellte VPNs
575
Als Punkt-zu-Mehrpunkt L2VPN ist Virtual Private LAN Service (VPLS) von großer Bedeutung. Aus Mangel an Platz werden im Weiteren nur EoMPLS und der VPLS näher dargestellt. Punkt-zu-Punkt L2VPN: EoMPLS EoMPLS bedeutet, dass man Pseudo-Drähte (PWs) über ein MPLS-Netz zwi- EoMPLS = schen zwei PEs eines Providers verwendet, um Ethernet-Netzwerke miteinan- EoPW der zu verbinden. Daher kann EoMPLS auch als Ethernet over PW (EoPW) angesehen werden. Über PWs können lokale Ethernet-Netzwerke kostengünstig sogar weltweit miteinander verbunden werden. Verwendet man das EoPW-Konzept, kann ein MPLS-Netz als verteilter virtueller Ethernet-Switch (Layer-2-Switch) fungieren. Eine derartige Idee hat zur Entstehung des VPLS geführt. Auf Basis eines Metro-Ethernet mit 10 Gbit/s kann z.B. ein MPLS-Netz einge- Ethernetrichtet werden. Über dieses Metro-Ethernet kann dann ein Ethernet-Link mit overder Bitrate von 10 Mbit/s bzw. 1 Gbit/s den Kunden zur Verfügung gestellt Ethernet werden. Eine derartige Systemlösung könnte man auch als Ethernet-overEthernet bezeichnen. Als Zubringerleitung zwischen CE und PE kann sowohl ein Punkt-zu-Punkt-Ethernet als auch eine Leitung mit Frame Relay, mit ATM oder sogar mit HDLC/PPP zum Einsatz kommen. Wie aus Abbildung 12.2-5 ersichtlich, werden die Ethernet-Frames über einen Konzept von Pseudo-Draht (PW) als Ethernet-Payload in sog. PW-Frames transportiert. Der EoMPLS Ethernet-Payload wird ein Control Word (CW) vorangestellt, um die übertragenen Ethernet-Frames zu nummerieren [Abb. 12.2-6].
E th e rn e t
C E 1
E th -F ra m e Z L
P E 1
N S P T u n n e l
P E 2
C E 2
E th -F ra m e Z L
E th e rn e t
P W T H
P W H
C W
E th e rn e t-P a y lo a d P W -F ra m e
Abb. 12.2-5: Prinzip der Übermittlung von MAC-Frames über einen Pseudo-Draht (PW) CE: Customer Edge, NSP: Network Service Provider, PE: Provider Edge
Damit mehrere PWs über einen Tunnel verlaufen können, wird die PWIdentifikation im PW-Header eingetragen. Da ein PW in der Regel immer für einen Kunden reserviert wird, kann die PW-Identifikation auch als Identifikation eines Kunden aus Sicht des NSP betrachtet werden.
576 EthernetFrames in PW-Frames
12 Virtual Private Networks und Remote Access Services
Abbildung 12.2-6 zeigt, wie ein Ethernet-Frame in einen PW-Frame eingebettet wird. Hierbei ist Folgendes hervorzuheben: Die Präambel PA und die Prüfsumme FCS aus dem Ethernet-Frame werden über einen PW nicht übermittelt. Der PW-Payload wird ein Control Word vorangestellt, in dem die laufende Nummer des Ethernet-Frames als Sequence Number übermittelt wird. Dadurch können Verluste von Ethernet-Frames während ihrer Übermittlung über ein MPLS-Netz entdeckt werden. E th e rn e t-H e a d e r E th e rn e t F ra m e
P A
D A
S A
T /L
B its :
P W -P a y lo a d
C W
P W H 4
1 2
R e s e rv e d
0 0 0 0
F C S
V L A N T a g (o p tio n a l)
P W -F ra m e T H
E th e rn e t-P a y lo a d
1 6
S e q u e n c e N u m b e r
Abb. 12.2-6: Übermittlung eines Ethernet-Frames in einem PW-Frame DA: Destination Address , FCP: Frame Check Sequence, PA: Preamble, SA: Source Address, T/L: Type/Length, VLAN: Virtual LAN
Zwei physikalische Ethernet-Segmente, die über einen Ethernet-Dienst auf der Basis von EoMPLS miteinander verbunden sind, können ein virtuelles LAN, das sog. VLAN (Virtual LAN), bilden. Ein VLAN stellt in der Regel ein IPSubnetz dar. Daher kann der PE als Ethernet-Switch angesehen werden. Hierarchische Struktur von VLANs
EoMPLS ermöglicht, hierarchische Strukturen von VLANs zu bilden, wie Abbildung 12.2-7 zeigt. Die Systemkomponenten PEs beim NSP realisieren hierfür eine Multiplexfunktion, mit deren Hilfe parallele Verbindungen als Ethernet-Links über einen PW geführt werden können und dann verschiedenen Kunden zur Verfügung gestellt werden können.
K u n d e E th e rn e t
N e tw o r k S e r v ic e P r o v id e r (N S P ) C E 1
Z L 1
P E 1
C -V L A N x
M P L S P W -W e rb in d u n g
P E 2
S -V L A N y (E th e r n e t-L in k )
Abb. 12.2-7: Veranschaulichung des Multiplexprinzips von V-LANs CE: Customer Edge, PE: Provider Edge
Z L 2
C E 2
K u n d e E th e rn e t
12.2 Vom Provider bereitgestellte VPNs
577
Parallele Ethernet-Links über eine PW-Verbindung kann man sich als Service S-VLANs VLANs (S-VLAN) beim Netz-Provider vorstellen. Über ein S-VLAN werden jeweils zwei Ethernet-Segmente eines Kunden verbunden. Mittels eines SVLAN-Tag nach dem Standard IEEE 802.1Q, das im Ethernet-Frame eingebettet [Abb. 12.2-6] wird, erfolgt die Zuordnungen eines Frames in einem S-VLAN zu einer PW-Verbindung bzw. zum Ziel-PE. Ein S-VLAN-Tag kann somit als Identifikation eines Kunden dienen. Über ein S-VLAN können wiederum mehrere VLANs eines Kunden, die man C-VLANs als C-VLANs (Cusstomer VLAN) bezeichnet, paarweise miteinander verbunden werden. Diese C-VLANs müssen entsprechend auf der PW-Verbindung gekennzeichnet werden. Um einen über ein S-VLAN transportierten EthernetFrame einem entsprechenden C-VLAN im Ziel-CE zuzuordnen, kann ein CVLAN-Tag im Ethernet-Frame eingekapselt werden. Weil die Übermittlung optional ist [Abb. 12.2-6], ist ein C-VLAN-Tag in einem Ethernet-Frame nur dann enthalten, wenn mehrere VLANs eines Kunden, d.h. mehrere C-VLANs, über ein S-VLAN verbunden werden müssen. Da eine PW-Verbindung mehrere S-VLANs unterstützen kann und über ein SVLAN wiederum mehrere C-VLANs verbunden werden können, entsteht die in Abbildung 12.2-7 dargestellte hierarchische Struktur von VLANs. Dadurch lässt sich eine PW-Verbindung, deren Bitrate im Bereich von mehreren Gbit/s liegen kann, flexibel ausnutzen. Mithilfe von MPLS-TE (MPLS Traffic Engineering) kann die Bitrate von PW-Verbindungen den laufenden Anforderungen angepasst werden. Die hier gezeigte Flexibilität der Bereitstellung der EthernetDienste auf Basis von EoMPLS hat für die Praxis enorme Bedeutung. Abbildung 12.2-8 illustriert, wie die in Abbildung 12.2-7 gezeigte hierarchische Struktur von VLANs realisiert wird. Wie hier ersichtlich ist, dient eine SVLAN-ID als Identifikation eines Ports im Multiplexer im PE beim NSP. Eine C-VLAN-ID fungiert dementsprechend als Identifikation eines Ports im Multiplexer im CE beim Kunden. Dadurch, dass die Identifikation der PW-Verbindung im PW-Header enthalten Hierarchie ist, kommt eine 2-stufige Hierarchie von Network Service Providern in Frage. von Ein übergeordneter Provider kann einem untergeordneten Provider z.B. eine Providern PW-Verbindung für ein bestimmtes Entgelt zur Verfügung stellen. Dieser kann dann einem Kunden ein S-VLAN ebenfalls für ein bestimmtes Entgelt anbieten. Aus der Sicht eines Kunden kann ein S-VLAN als Backbone-VLAN angesehen werden. Der Kunde hat somit die Möglichkeit, über ein S-VLAN mehrere eigene VLANs als C-VLANs standortübergreifend einzurichten. Da im Ethernet-Frame bei EoMPLS mehrere VLAN-Tags als Stack in Ether- VLANnet-Frames enthalten sind, wird dieses Konzept der Bildung von hierarchischen Stacking V-LAN-Strukturen als VLAN-Stacking bezeichnet und im Standard IEEE 802.1ad spezifiziert. Da der Standard IEEE 802.1Q das Tag mit der VLAN-ID
578
12 Virtual Private Networks und Remote Access Services
spezifiziert, wird VLAN-Stacking auch Q-in-Q-Encapsulation, bzw. kurz Q-inQ genannt.
X
S -V L A N -ID s
U X
P E 1
M P L S -L a b e l D A E th : E th e rn e t D A : D e s tin a tio n A d d re s s S A : S o u rc e A d d re ss
S A
X
P E 2
T H
P W H
U X
K u n d e V L A N x E th
S -V L A N -ID s
P W -ID s
P W -ID s
C -V L A N -ID s
U
M
... ...
U
M
...
E th
M
C E 2
...
M P L S -N e tz T u n n e l
... M
...
V L A N x
E o M P L S C E 1
... ...
K u n d e
C -V L A N -ID s
C W
E th -P a y lo a d E th e r n e t-F r a m e T y p e /L e n g th E th e rn e t-D a te n C -V L A N -T a g S -V L A N -T a g
Abb. 12.2-8: Prinzip der Realisierung von hierarchischen VLAN-Strukturen Eth: Ethernet, ID: Identification, MUX: Multiplexer, TH: Tunnel-Header, PWH: PW-Header, CW: Control Word
Punkt-zu-Mehrpunkt L2VPN: VPLS Idee des VPLS
Ein VPLS verbindet mehrere Ethernet-Segmente über ein MPLS-Netz, sodass sie wie ein einziges größeres Ethernet funktionieren können. Die Entwicklung von L2VPNs koordiniert die Arbeitsgruppe l2vpn-charter bei der IETF. Aus der physikalischen Sicht wird mit dem VPLS ein Backbone auf Basis eines MPLS-Netzes für eine die Vernetzung von Ethernet-Inseln zur Verfügung gestellt. Abbildung 12.2-9a bringt dies zum Ausdruck. Hier gehören alle Ethernets einem Kunden eines NSP. Die Randkomponenten PEs beim NSP müssen aber VPLS-fähig sein. E th
a )
E th
E th
N S P
E th
E th P E : P ro v id e r E d g e
E th
V e rte ilte r V irtu e lle r E th e rn e t-S w itc h
V P L S
M P L S -N e tz
b )
E th
E th C E : C u s to m e r E d g e
Abb. 12.2-9: Grundlegende Idee des VPLS: a) physikalische Sicht, b) logische Sicht Eth: Ethernet, NSP: Network Service Provider
12.2 Vom Provider bereitgestellte VPNs
Logisch gesehen führt ein VPLS dazu, dass ein MPLS-Netz als verteilter virtueller Ethernet-Switch fungiert. Abbildung 12.2-9b illustriert diese logische Sichtsweise. Daher stellt ein VPLS ein privates und virtuelles Ethernet auf Basis des MPLS-Netzes eines NSP dar. Ein VPLS kann auch als ein VLAN (Virtual LAN) angesehen werden.
579 VPLS als virtueller EthernetSwitch
Der verteilte virtuelle Switch stellt eine Vernetzung von virtuellen Switch- VSI als Instanzen (VSI) dar, die in PEs untergebracht sind. Die VSI ist der Funktion Ethernetnach ein Ethernet-Switch und hat – wie jeder normale Ethernet-Switch – die Switch Aufgabe, die empfangenen Ethernet-Frames weiterzuleiten. Über das MPLSNetz werden die Ethernet-Frames nach dem in Abbildung 12.2-5 gezeigten Prinzip übermittelt. Jede VSI muss in der Lage sein, selbst die Weiterleitungstabelle (Forwarding Table) zu erstellen. Hierfür muss sie selbst erlernen, welche MAC-Adressen in den einzelnen Ethernets über ihre Ports zu erreichen sind. Ein VPLS stellt daher ein virtuelles Ethernet dar, das sich aus mehreren physikalischen Ethernet-Segmenten zusammensetzt, die miteinander über PseudoDrahtleitungen vernetzt sind. Die Ethernet-Segmente werden an die PEs eines NSP angeschlossen und können somit geografisch beliebig verteilt werden. Wie Abbildung 12.2-10 zeigt, können mehrere Ethernet-Segmente an einen PE angeschlossen werden, die wiederum zu unterschiedlichen virtuellen Ethernets gehören. Unterstützt ein PE mehrere virtuelle Ethernets, enthält er dann für jedes virtuelle Ethernet eine VSI mit der Funktion eines Ethernet-Switch. Zu einem VPLS können mehrere VSI gehören. In Abbildung 12.2-10 gehören die Ethernet-Segmente A1, A2, ... , A5 zum VPLS 1. Die Ethernet-Segmente B1, B2 und B3 dagegen bilden den VPLS 2. Wie hier ersichtlich ist, wird ein VPLS durch eine Vernetzung von VSI gebildet. V P L S 1 = { A A A
1
1 ,
A
P E 1 V S I
P E 2 V S I
V V S
V S I P E 3
2
, ... , A 5
}
V P L S 2 = { B
A 3
B A
2
A
1
B 2, B 3}
P E 1 V S I
P E 2 V S I B
2
V V S
V S I P E 3 B
3
4
5
1 ,
V V S : V e rte ilte r V irtu e lle r (E th e rn e t-)S w itc h
Abb. 12.2-10:
Vernetzung von virtuellen Switch-Instanzen (VSI) als Basis für einen VPLS
Da ein VPLS ein virtuelles Ethernet auf Basis einer Vernetzung mehrerer VSI ist, die Ethernet-Switches sind, stellt daher jeder VPLS eine flache Netzwerkstruktur dar, die eine Broadcast-Domäne bildet.
Vernetzung von VSI als virtuelles Ethernet
580
12 Virtual Private Networks und Remote Access Services
Um in einem MPLS-Netz mehrere VPLS als virtuelle Ethernets einrichten zu können, müssen einzelne VPLS entsprechend gekennzeichnet werden. Hiefür muss jedem VPLS eine Identifikation, kurz VPLS-ID, zugewiesen werden. Da eine VSI einen Ethernet-Switch darstellt, können auch VLANs beim VPLS nach den in Abbildung 12.2-8 dargestellten Prinzipien gebildet werden. Dies ist in der Praxis von großer Bedeutung. Ein VPLS z.B. auf Basis eines MetroMPLS-Netzes kann eine Großstadt erfassen. Unterstützt ein VPLS die Bildung von VLANs, können dann mehrere Teile eines VLAN innerhalb der Großstadt verteilt werden. Abbildung 12.2-11 illustriert die Realisierung von VLANs im VPLS. Hier ist insbesondere hervorzuheben, dass sich mehrere VLANs auf Basis eines VPLS einrichten lassen.
V L A N x V L A N -ID s
V S I P E
P W
V L A N -ID s
Abb. 12.2-11:
M P L S -N e tz
P W
P E
V S I ... ...
V S I
...
VPLS und VLANs
P W
P E
V P L S
V L A N x V L A N -ID s
V L A N x
Unterstützung von VLANs in einem VPLS
Da ein VLAN ein IP-Subnetz darstellt, ermöglicht ein VPLS die Bildung der IP-Subnetze, die über große Entfernungen verteilt werden können.
12.2.3 BGP/MPLS VPNs BGP/MPLS VPNs als L3VPNs
Werden mehrere Sites als Standorte eines Unternehmens bzw. einer anderen Institution über ein MPLS-Netz so vernetzt, dass sie ein VPN bilden, müssen die Routing-Informationen zwischen den einzelnen Sites entsprechend ausgetauscht werden. Damit wird bekannt gemacht, welche Ziele in einzelnen Sites zu erreichen sind. Hierfür kommt das Routing-Protokoll MP-BGP (Multiprotocol Extensions for BGP-4) zum Einsatz [Abschnitt 9.4.4]. Daher spricht man von BGP/MPLS VPNs, die als vom Provider bereitgestellte L3VPNs angesehen werden können.
Modell für BGP/MPLS VPN
Abbildung 12.2-12 illustriert das Konzept von BGP/MPLS VPN. Der CE stellt hier einen Kunden-Router dar, mit dessen Hilfe eine Site an den PE über eine direkte physikalische Verbindung bzw. über ein Access-Network angeschlossen ist. Der PE stellt einen MPLS-fähigen Router mit der Switching-Funktion dar, über den der Zugang zu einem MPLS-Netz erfolgt. Die verschiedenen VPNs werden an jedem PE entsprechend identifiziert. Um Sites eines VPN zu
12.2 Vom Provider bereitgestellte VPNs
581
vernetzen, werden PEs miteinander entsprechend mit LSPs verbunden. Über LSPs werden sowohl Daten als auch Routing-Informationen zwischen Sites eines VPN übermittelt. Für die Übermittlung der Routing-Informationen verwendet man das MP-BGP. A c c e ss N e tw o rk
S ite 1
V R F
C E
V P N A S ite 1
T u n n e l A
M P L S B a c k b o n e
V R F B
C E A
V R F
S ite 2 V P N A
P E
T u n n e l B
V P N B
Abb. 12.2-12:
V R F
A
P E C E
A c c e ss N e tw o rk
N e tw o rt S e rv ic e P ro v id e r (N S P )
C E B
S ite 2 V P N B
M P -B G P
Referenzmodell eines BGP/MPLS VPN CE: Customer Edge, PE: Provider Edge
Jeder Site im PE wird eine Tabelle VRF (VPN Routing and Forwarding) eingerichtet. Logisch gesehen werden jeweils zwei Sites mit einem Tunnel miteinander verbunden. Über diesen werden sowohl die Daten zwischen den Sites als auch die Routing-Informationen zwischen den VRFs ausgetauscht. Da mehrere Sites an einen PE angeschlossen sein können und jeder Site eine VPN-IPv4Tabelle VRF zugeordnet wird, muss man sowohl Sites als auch ihre VRFs i- Adresse dentifizieren. Hierfür wurde die sog. VPN-IPv4-Adresse eingeführt. Sie kann als Identifikation des Paars (CE, VRF-Tabelle) interpretiert werden und setzt sich zusammen aus einem Route Distinguisher (RD) und der IP-Adresse von CE. Mit dem RD können unterschiedliche Routen zu einer Site, die zu mehreren VPNs gehört, definiert werden. In jeder VRF-Tabelle eines VPN müssen die Routing-Ziele im VPN, die sog. Routing bei VPN-Routen, eingetragen werden. Hierfür kommen verschiedene Routing- BGP/MPLS VPN Protokolle zum Einsatz. Abbildung 12.2-13 bringt dies näher zum Ausdruck.
V P N A S ite 1 1 0 .1 .1 .0 /2 4
Abb. 12.2-13:
C E R IP -2 , O S P F , s ta tis c h
P E V R F A
P E B a c k b o n e M P -B P G
Routing-Protokolle bei BGP/MPLS VPN
V R F
C E A
R IP -2 , O S P F , s ta tis c h
V P N A S ite 2 1 0 .1 .2 .0 /2 4
582
12 Virtual Private Networks und Remote Access Services
Der CE und der PE enthalten die Router-Funktionalität. Daher kann der PE die Routing-Ziele in einer Site vom CE mithilfe des Routing-Protokolls RIP-2 bzw. OSPF erlernen. Eine VRF-Tabelle kann auch manuell konfiguriert werden, sodass man hier auch vom statischen Routing spricht. Jeder PE muss aber die Routing-Ziele in allen an ihn angeschlossenen Sites selbst erlernen. Distribution der VPNRoute
Die Routing-Ziele aus jeder VRF-Tabelle eines VPN müssen an die restlichen VRF-Tabellen dieses VPN verteilt werden. Dies bezeichnet man als RouteDistribution innerhalb eines VPN. Hierfür müssen die Routing-Ziele zwischen den VRF-Tabellen eines VPN aus verschiedenen PEs ausgetauscht werden. Dies geschieht mithilfe des MP-BGP. Bevor eine VPN-Route zwischen zwei PEs übermittelt wird, muss zwischen ihnen bereits ein Tunnel bestehen. Abbildung 12.2-14 veranschaulicht die Distribution einer VPN-Route. V P N -IP v 4 -A d r IP v 4 -P re fix
V P N A S ite 1 V P N B S ite 1 Abb. 12.2-14:
C E 1
IP v 4 -P re fix
R D
1 R D 1
N H :N e x t H o p
L a b e l
3 2
P E
V P N -L a b e l
1
M P L S -B a c k b o n e
V P N -IP v 4 -A d re sse
N H
IP v 4 -P re fix
R T
5 4
P E
C E
2
R T : R o u te T a rg e t R D : R o u te D is tin g u is h e r
V P N A S ite 2 2
V P N B S ite 2
Prinzip der Distribution von VPN-Routen
Bei der Distribution einer VPN-Route sind folgende Schritte zu unterscheiden: 1.
Im ersten Schritt übermittelt der CE dem PE mithilfe eines Routing-Protokolls wie z.B. RIP-2 oder OSPF die Route zu seiner Site 1. Sie wird als IPv4-Prefix (z.B. 10.1.1.0/24) angegeben.
2.
Im zweiten Schritt wird eine VPN-IPv4-Adresse im PE gebildet. Daher wird ein RD dem von CE empfangenen IPv4-Prefix vorangestellt. Der RD wird aus der entsprechenden VRFTabelle entnommen.
3.
Danach gibt der Quell-PE dem Ziel-PE die VPN-Route mithilfe des MP-BGP bekannt. Die VPN-Route setzt sich aus der VPN-IPv4-Adresse, dem VPN-Label, dem Next Hop und dem Route Target zusammen. Mit dem VPN-Label teilt der Quell-PE seinerseits dem Ziel-PE die VPN-Identifikation mit. Als Next Hop wird der Quell-PE angegeben. Der nächste Router für den Ziel-PE ist eben der Quell-PE. Mit Route Target wird angegeben, welches VPN die übermittelte Route betrifft. Damit wird dem Ziel-PE mitgeteilt, zu welcher VRF-Tabelle, also zu welchem VPN, er diese Route hinzufügen muss.
4.
Im Ziel-PE wird nun die empfangene VPN-Route zu einer VRF-Tabelle hinzugefügt. Sie kann durch das VPN-Label aus der VPN-Route bestimmt werden.
5.
Im letzten Schritt wird das IPv4-Prefix aus der VPN-IPv4-Adresse entnommen und mithilfe eines Routing-Protokolls vom Ziel-PE an einen CE übermittelt. An welchen CE die Route übermittelt werden muss, wird durch den RD aus der VPN-Route bestimmt.
12.3 Layer-2-Tunneling über klassische IP-Netze
583
BGP/MPLS VPNs haben bereits eine große Akzeptanz in der Praxis gefunden. Ihre Entwicklung koordiniert die Arbeitsgruppe l3vpn-charter bei der IETF. Für weitere Informationen über technische Details sei auf die RFCs 4364/2547 und 4365 verwiesen.
12.3 Layer-2-Tunneling über klassische IP-Netze Für das Layer-2-Tunneling (kurz L2-Tunneling) stehen folgende Protokolle zur Verfügung : L2TP (Layer 2 Tunnelling Protocol), PPTP (Point-to-Point Tunnelling Protocol) und L2F (Layer 2 Forwarding). Abbildung 12.3-1 zeigt, welche Steuerungsangaben einem zu übertragenden PPP-Header Datenpaket eines L3-Protokolls (z.B. IP, IPX, ...) beim L2-Tunneling vorange- beim L2stellt werden. Das Datenpaket wird zuerst mit einem Header des Protokolls Tunnelung PPP (Point-to-Point Protocol) ergänzt, das dem Layer 2 zugeordnet ist. Im PPP-Header wird u.a. die Identifikation (ID) des L3-Protokolls übermittelt. Damit können die Datenpakete unterschiedlicher Layer-3-Protokolle über einen L2-Tunnel übermittelt werden. Dies ermöglicht die Kommunikation von NichtIP-Protokollen über ein IP-Netz. In einem L2-Tunnel können mehrere virtuelle Verbindungen (sog. Sessions) verlaufen. Dem PPP-Header wird weiter ein Header des L2-Tunneling-Protokolls vorangestellt, in dem u.a. die Tunnel-ID und die Session-ID angegeben werden. Über eine Session wird normalerweise die Kommunikation nach einem L3-Protokoll realisiert. T u n n e l-ID S e s s io n -ID ...
P ro to k o ll-ID ... D a te n p a k e t D a te n
L 3 -P
P P P
U D P * IP
T u n n e l.- P r o t.- F r a m e IP IP X
T u n n e l L a y e r-3 -P ro to k o lle
L 2 T P - ,P P T P b z w .L 2 F - H e a d e r T u n n e l-B e g in n T u n n e lT u n n e l-E n d e H e a d e r ... IP IP X
Abb. 12.3-1: Steuerungsangaben beim Übertragung eines Datenpakets im L2-Tunnel L3-P: Header des Layer-3-Protokolls, *) bei PPTP wird UDP-Header nicht verwendet
Das Datenpaket mit den vorangestellten Headern des PPP und des TunnelingProtokolls bildet einen Frame. Dieser Frame wird bei den Protokollen L2TP
584
12 Virtual Private Networks und Remote Access Services
und L2F als Nutzlast in einem IP-Paket transportiert. Hierbei wird das verbindungslose Transportprotokoll UDP verwendet. Ausnahmsweise wird der IPHeader direkt dem Frame beim Protokoll PPTP vorangestellt.
12.3.1 Tunneling-Protokoll L2TP L2TP und L2TPv3
Das L2TP (Layer 2 Tunnelling Protocol) wurde zuerst in RFC 2661 spezifiziert. Danach wurde es weiter entwickelt und als Version 3 (L2TPv3) im März 2005 in RFC 3931 veröffentlicht. Das L2TPv3 stellt eine Erweiterung des L2TP dar. Das L2TP nach RFC 2661 gilt daher als L2TPv2. In diesem Abschnitt wird zuerst das L2TPv2 dargestellt und danach werden die Besonderheiten des L2TPv3 präsentiert. Im Weiteren wird unter L2TP immer L2TPv2 verstanden. Immer dann, wenn es explizit um die Version 3 geht, wird ausdrücklich L2TPv3 geschrieben. Das L2TP stellt eine Lösung für die Anbindung von PC-basierten Endsystemen (z.B. am ISDN) über öffentliche IP-Netze und über andere Netze mit Paketvermittlung (wie z.B. ATM-, Frame-Relay-Netze) an Intranets dar. Mit dem L2TP kann eine virtuelle Verbindung über ein Netz mit Paketvermittlung aufgebaut werden, die als Tunnel angesehen werden kann. Das L2TP ermöglicht die Authentifizierung von Remote-Benutzern, sodass es auch zum Aufbau von VPN mit integrierten Remote Access Services (RAS) eingesetzt werden kann. Das Konzept des L2TP
Virtuelle Standleitung über L2TP
Das L2TP ermöglicht es, über ein Paketvermittlungsnetz einen Tunnel aufzubauen, der quasi als virtuelle Standleitung dient. Paketvermittlungsnetz kann beim L2TP ein IP-Netz (wie z.B. Internet) bzw. ein Frame-Relay- oder ein ATM-Netz sein. Im Weiteren wird aber als Paketvermittlung nur ein IP-Netz angenommen. Abbildung 12.3-2 illustriert das allgemeine L2TP-Konzept. Z u b rin g e rn e tz P S T N /IS D N R e m o te C lie n ts
N S P L A C
IP -N e tz (In te rn e t) K o n tro llv e rb in d u n g
L 2 T P -T u n n e l
N A S L N S
In tra n e t
D a te n s e rv e r
P P P -V e rb in d u n g e n Abb. 12.3-2: Illustration des allgemeinen Konzepts des L2TP ISDN: Integrated Services Digital Network, NAS: Network Access Server, NSP: Network Service Provider, PSTN: Public Switched Telephone Network
12.3 Layer-2-Tunneling über klassische IP-Netze
585
Das L2TP wird ausschließlich durch den LAC (L2TP Access Concentrator) Funktionsbeim NSP und durch den LNS (L2TP Network Server) im NAS eines Intranet module LAC realisiert. Hierbei stellt der LAC ein Modul in einer Zugangskomponente (z.B. und LNS in einem Router) beim NSP dar, während der LNS ein Modul im NAS ist. Mit L2TP-Hilfe wird ein Tunnel über ein IP-Netz zwischen LAC und LNS aufgebaut. Die Clients als Remote-Rechner haben Zugang zum LAC über ein Zubringer- L2TP mit netz und können mithilfe des PPP über das Zubringernetz und ein IP-Netz auf PPP-Zugang ein Intranet zugreifen. Die Voraussetzung ist, dass sie dafür entsprechende Zugangsrechte haben. Die PPP-Verbindungen von den einzelnen Clients, die innerhalb des Zubringernetzes auf Basis von physikalischen Verbindungen eingerichtet werden, verlaufen zum NAS eines Intranet über das PV-Netz in einem L2TP-Tunnel. Um einen Tunnel aufbauen zu können, muss bereits eine logische Verbindung zwischen LAC und LNS bestehen, die als Kontrollverbindung des Tunnels dient. Zwischen LAC und LNS können mithilfe einer Kontrollverbindung mehrere Tunnel eingerichtet werden. Eine PPP-Verbindung von einem Zubringernetz kann über das IP-Netz bis zum Intranet im L2TP-Tunnel eingerichtet werden. Über eine PPP-Verbindung können wiederum mehrere Kommunikationsbeziehungen gleichzeitig und nach unterschiedlichen L3-Protokollen verlaufen. Abbildung 12.3-3 zeigt das Tunneling-Prinzip nach dem L2TP über ein IP- L2TP Tunneling-Prinzip Netz bei der Anbindung eines Remote-Clients an ein Intranet. P P P -V e rb in d u n g Z u b rin g e rn e tz P P P -F ra m e Q u e llre c h n e r
N S P L A C
T u n n e l IP -P a k e t
IP -N e tz
In tra n e t
N A S L N S
L 2 T P -N a c h ric h t
D a te n p a k e t Z ie lre c h n e r
D a te n p a k e t P P P -F ra m e o h n e F la g s u n d F C S
T u n n e l- I P - H e a d e r [ ..., Z U D P -H e a d e r [Q u e ll-P o rtL 2 T P -H e a d e r [T u n n e l-ID P P P -H e a d e r (P ro to k o llty p
Q u e ll-IP -A d r. = L A C , ie l- I P - A d r . = L N S , ...] N r , Z ie l- P o r t- N r = 1 7 0 1 ,...] , S e s s io n - I D ,...] ,...)
Abb. 12.3-3: Tunneling-Prinzip nach dem L2TP über ein IP-Netz
Die Datenpakete vom Quellrechner werden über das Zubringernetz in PPPFrames übertragen [Abschnitt 10.2.2]. Jedem über das IP-Netz zu übertragenden
586
12 Virtual Private Networks und Remote Access Services
PPP-Frame werden folgende Header im LAC vorangestellt: Tunnel-IP-Header, UDP-Header und L2TP-Header. Der Tunnel-IP-Header bestimmt den Beginn und das Ende des Tunnels sowie den Übertragungsweg über das IP-Netz. Im UDP-Header kann der Quell-Port im LAC als Beginn und der Ziel-Port im LNS als Ende der Verlängerung einer PPP-Verbindung über das IP-Netz angesehen werden. Die wesentlichen Angaben in Bezug auf den Tunnel werden im L2TP-Header gemacht. Der L2TPHeader ist der Funktion nach mit dem GRE-Header bei PPTP zu vergleichen [Abschnitt 12.3.2]. Die Bedeutung des L2TP besteht darin, dass damit eine gesicherte Verlängerung einer PPP-Verbindung über ein IP-Netz bis zum NAS im Intranet erreicht werden kann. Aus Abbildung 12.2-3 ist auch ersichtlich, dass die Pakete verschiedener L3-Protokolle (durch die Angabe Protokolltyp im PPP-Header) über das IP-Netz übertragen werden können (Multiprotokollfähigkeit über ein IP-Netz). Verschlüsselte Übertragung
Um die Sicherheit der Übertragung über das IP-Netz zu garantieren, können die „inneren“ Datenpakete zwischen LAC und LNS verschlüsselt übertragen werden. Da der Transport über das IP-Netz auf Basis des vorangestellten TunnelIP-Header verläuft, kann ein Eindringling unterwegs nicht mehr die Quell- und die Zieladresse des verschlüsselt übertragenen Original-Datenpakets ablesen, sondern lediglich feststellen, dass die Daten zwischen Tunnel-Beginn und Ende transportiert werden.
L2TPNachrichten
Zwischen LAC und LNS werden die L2TP-Nachrichten ausgetauscht. Wie Abbildung 12.3-4 zeigt, wird hierbei unterschieden zwischen L2TP-Nachrichten mit Daten einer PPP-Verbindung, L2TP-Kontrollnachrichten und der ZLB-ACK-Nachricht (Zero-Length-Body Acknowledgment). N a c h r ic h t m it P P P -D a te n
L 2 T P -H e a d e r
K o n tr o lln a c h r ic h t
L 2 T P -H e a d e r
Z L B -A C K
P P P -F ra m e o h n e F la g s u n d F C S M T
A V P 1
...
A V P i
...
A V P n
L 2 T P -H e a d e r
Abb. 12.3-4: L2TP-Nachrichten (genauer des L2TPv2 nach RFC 2661) und deren Aufbau MT: Message Type, FCS: Frame Check Sequence, ZLB: Zero-Length Body
Jede L2TP-Nachricht mit Daten beginnt mit einem L2TP-Header. Darauf folgt ein PPP-Frame ohne Flags und ohne Prüfsequenz FCS [Abschnitt 10.2.2]. Jede Kontrollnachricht enthält einen Header und bestimmte Steuerungsangaben in Form von festgelegten Modulen, die man hier als AVPs (Attribute Value Pair)
587
12.3 Layer-2-Tunneling über klassische IP-Netze
bezeichnet. L2TP definiert eine Vielzahl von AVPs und legt fest, welche AVPs in den einzelnen Kontrollnachrichten enthalten sein müssen und welche optional sind. Unter http://www.iana.org/assignments/l2tp-parameters findet man eine Auflistung aller AVPs. Die ZLB-ACK-Nachricht enthält nur den L2TP-Header und wird nur als positive Quittung verwendet. Den Aufbau des L2TP-Header zeigt Abbildung 12.3-5. 7 0
T L x x S x T u n n e N s (o p O ffse t S
1 5
O P x x x x V er l ID tio n a l) iz e (o p tio n a l)
3 1
L e n g th S e s N r (o O ffse t P a d d
(o p tio n a l) s io n ID p tio n a l) in g (o p tio n a l)
Abb. 12.3-5: Struktur des L2TP-Header (genauer des L2TPv2 nach RFC 2661) Der L2TP-Header besteht aus vier 32-Bits-Worten und enthält folgende Angaben: T: Type der L2TP-Nachricht: − T = 1, es handelt sich um eine Kontrollnachricht. − T = 0, es handelt sich um eine Nachricht mit Daten. L: Length Present: Falls L = 1, ist ein Length-Feld vorhanden. S: Sequence Present: Falls S = 1, sind Ns und Nr vorhanden. O: Offset Size Present
− −
In Kontrollnachrichten ist O = 0. Falls O = 1, ist Offset Size in Nachrichten mit Daten vorhanden.
P: Priority: Bei P = 1 soll die L2TP-Nachricht bei der Übertragung bevorzugt werden. Ver: Version (3 Bits); Version von L2TP. Es handelt sich hier um die Version 2. Length: Länge der Nachricht. Tunnel ID: Identifikation (ID) des Tunnels. Session ID: Identifikation der PPP-Verbindung im Tunnel. Ns (Number send): Falls S = 1, wird hier die Nummer der gesendeten Nachrichten (Sendefolgenummer) angegeben. Nr: Number receive: Falls S = 1, wird hier die Nummer der demnächst erwarteten Nachricht (Empfangsfolgenummer) angegeben. Offset Size: Falls O = 1, wird hier die Anzahl von Bytes im Header zum Datenbeginn
angegeben. Offset Padding (variable Länge): Füllung des Header auf ein Vielfaches von 32-Bits.
Die x-Bits im L2TP-Header sind für zukünftige Funktionen reserviert.
L2TPHeader
588
12 Virtual Private Networks und Remote Access Services
Auf- und Abbau einer Kontrollverbindung Für den Aufbau eines Tunnels müssen zuerst bestimmte Vereinbarungen zwischen LAC und LNS getroffen werden, die als Kontrollverbindung (Control Connection) zu interpretieren sind. Initiator einer Kontrollverbindung kann sowohl LAC als auch LNS sein. Den L2TP-Ablauf beim Auf- und Abbau einer vom LAC initiierten Kontrollverbindung illustriert Abbildung 12.3-6.
C lie n t
Z u b rin g e rn e tz P S T N /IS D N
K o n tro llv e rb in d u n g s a u fb a u Ü b e rw a c h u n g d e r V e rb in d u n g s b e re its c h a ft K o n tro llv e rb in d u n g s a b b a u
N S P L A C
IP -N e tz ( z .B . I n te r n e t)
S C C R Q S C C C N
N A S L N S
S C C R P
In tra n e t
S e rv e r
Z L B -A C K K o n tro llv e rb in d u n g
H E L L O
Z L B -A C K
S to p C C N
Z L B -A C K K o n tro llv e rb in d u n g
Abb. 12.3 -6: Auf- und Abbau einer Kontrollverbindung beim L2TP (beim L2TPv3 identisch)
SCCRQ
Der Aufbau einer Kontrollverbindung beginnt mit der Nachricht SCCRQ (Start-ControlConnection-Request). In SCCRQ müssen u.a. folgende AVPs enthalten sein: Host Name: DNS-Namen des Verbindungsinitiators (hier LAC), Assigned Tunnel ID: Tunnel-Identifikation beim Initiator. SCCRQ kann zusätzlich u.a. enthalten: Challenge: zufällige Variable für die Authentifizierung nach CHAP [Abb. 10.2-10], Receive Windows Size: Fenstergröße für die Flusskontrolle zwischen LAC und LNS.
SCCRP
SCCRQ wird mit SCCRP (Start-Control-Connection-Reply) beantwortet. In SCCRP müssen u.a. folgende AVPs enthalten sein: Host Name: DNS-Namen (hier von LNS), Assigned Tunnel ID: Tunnel-Identifikation beim SCCRP-Absender. SCCRP kann zusätzlich u.a. enthalten: Challenge Response: eine Variable, die nach CHAP [Abschnitt 10.2.2] errechnet wird und als Antwort auf Challenge aus SCCRQ dient,
Receive Windows Size.
SCCCN
SCCRP wird (in Abbildung 12.3-6 vom LAC) mit SCCCN (Start-Control-
Connection-Connected) bestätigt, um der Gegenseite mitzuteilen, dass die gewünschte Verbindung angenommen wurde. SCCCN kann eventuell das AVP
589
12.3 Layer-2-Tunneling über klassische IP-Netze
Challenge Response enthalten. SCCCN wird mit ZLB-ACK bestätigt [Abb. 12.3-6].
Falls keine Daten ausgetauscht werden, wird die Bereitschaft von LAC und LNS mithilfe von HELLO kontrolliert. Diese Nachricht wird periodisch (z.B. in Abständen von 60 s) vom LAC bzw. LNS gesendet und enthält keine AVPs. Als Antwort auf HELLO sendet die Gegenseite immer ZLB-ACK. Auf diese Art und Weise kontrollieren sich LAC und LNS gegenseitig. Antwortet eine Seite auf HELLO nicht, wird die Kontrollverbindung „geschlossen“. Der Abbau einer Kontrollverbindung kann sowohl vom LAC als auch vom StopCCN LNS ausgehen. In Abbildung 12.3-6 wird der Abbau der Kontrollverbindung vom LAC mit StopCCN (Stop-Control-Connection-Notification) initiiert. Die Gegenseite (hier LNS) bestätigt den Verbindungsabbau mit ZLB-ACK. L2TP-Verlauf beim Tunnelaufbau Für die Kommunikation zwischen einem Remote-Client am Zubringernetz und dem NAS eines Intranet wird eine PPP-Verbindung aufgebaut [Abschnitt 10.2.2]. Für den Tunnelaufbau muss eine Kontrollverbindung zwischen LAC und LNS bereits bestehen. Abbildung 12.3-7 illustriert den L2TP-Verlauf beim Aufbau einer PPP-Verbindung. N S P
Z u b rin g e rn e tz R e m o te C lie n t
P S T N /IS D N
IC
IC + V e rb in d u n g
N A S
IP -N e tz ( z .B . I n te r n e t)
L A C IC R Q
L N S
K o n tro llv e rb in d u n g
IC C N
S e rv e r IC R P
T u n n e la u fb a u
Z L B -A C K
T u n n e l A u fb a u e in e r P P P -V e rb in d u n g P P P (x x x )
In tra n e t
IP [U D P [L 2 T P [P P P (x x x )]]]
D a te n p a k e te ü b e r P P P -V e rb in d u n g
x x x :
D a te n p a k e t z .B . I P - P a k e t)
Abb. 12.3-7: Illustration des L2TP-Verlaufs bei einem ankommenden Anruf zum NAS CC: Call-Connection, IC: Incoming-Call (Ankommender Anruf), IC+: Annahme des Anrufes, NSP: Internet Service Provider, NAS: Network Access Server
Will ein Remote-Client auf einen Server in einem Intranet über ein IP-Netz zugreifen, baut er zuerst eine Verbindung über das Zubringernetz zu seinem NSP auf. Empfängt der LAC beim NSP vom Zubringernetz einen ankommenden Anruf IC (Incoming Call), wird der Aufbau einer Sitzung durch den LAC begonnen. Dem ankommenden Anruf ordnet LAC eine Nummer und der initiierenden Sitzung eine Identifikation zu. Danach sendet LAC eine Nachricht ICRQ (Incoming-Call-Request) an den LNS u.a. mit folgenden AVPs:
ICRQ
590
12 Virtual Private Networks und Remote Access Services Call Serial Number: Nummer des Anrufes beim LAC, Assigned Session ID: Identifikation der Sitzung beim LAC.
ICRP und ICCN
ICRQ wird vom LNS mit ICRP (Incoming-Call-Reply) beantwortet, die das AVP Assigned Session ID mit der Identifikation der betreffenden Sitzung beim LNS enthält. Ist ICRP beim
LAC angekommen, wird der seitens des Zubringernetzes ankommende Ruf vom LAC angenommen (IC+). Daraufhin sendet der LAC eine Nachricht ICCN (Incoming-Call-Connected) an LNS, um ihm mitzuteilen, dass der ankommende Ruf vom LAC angenommen wurde. ICCN enthält u.a. das AVP Connect Speed mit der Angabe der Übertragungsbitrate im Zubringernetz. Hat der LNS ICCN empfangen, bestätigt er dies noch mit ZLB-ACK. Nach dem Eintreffen von ZLB-ACK beim LAC, könnte man die Vereinbarungen zwischen LAC und LNS so interpretieren, als ob ein Tunnel zwischen ihnen aufgebaut wäre. Im nächsten Schritt erfolgt der Aufbau einer PPP-Verbindung zwischen Remote-Client und NAS. Die hierfür notwendige Steuerung nach dem PPP verläuft bereits über den aufgebauten Tunnel.
Nach dem Aufbau der PPP-Verbindung kann ein Datenaustausch zwischen Remote-Client und NAS am Intranet stattfinden. Die Datenpakete zwischen Remote-Client und LAC werden über das Zubringernetz in PPP-Frames transportiert. Für die Übertragung über das IP-Netz werden die PPP-Frames (ohne FCS und ohne Flags) in L2TP-Nachrichten übermittelt. L2TP-Verlauf beim Tunnelabbau Der Abbau eines Tunnels kann sowohl vom LAC als auch vom LNS initiiert werden. Abbildung 12.3-8 zeigt den L2TP-Verlauf beim Tunnelabbau, falls der Remote-Client den Abbau initiiert. Da mehrere PPP-Verbindungen gleichzeitig über einen Tunnel verlaufen können, kann man erst mit dem Abbau des Tunnels beginnen, wenn die letzte PPP-Verbindung bereits abgebaut wurde. Z u b rin g e rn e tz P S T N /IS D N
R e m o te C lie n t
N S P L A C
IP -N e tz ( z .B . I n te r n e t)
T u n n e l A b b a u d e r P P P -V e rb in d u n g T u n n e l C C l
C C l+
C D N
Z L B -A C K
N A S L N S
In tra n e t S e rv e r
T u n n e la b b a u
T u n n e l
Abb. 12.3-8: Beispiel für den L2TP-Verlauf beim Tunnelabbau CCl: Call-Clear (Verbindungsabbau), CCl+: CCl-Bestätigung
CCI und CDN
Der Abbau des Tunnels wird hier vom Remote-Client initiiert. Nach dem Empfangen der Anforderung CCl (Clear Call) beim LAC sendet dieser eine Nachricht CDN (Call-Disconnect-Notify) an den LNS, um ihm dies mitzuteilen. CDN enthält das AVP Result Code mit der Angabe der Ursache für den Tunnelabbau.
591
12.3 Layer-2-Tunneling über klassische IP-Netze Hat der LNS die Nachricht CDN empfangen, bestätigt er dies mit ZLB-ACK. Nach dem Eintreffen von ZLB-ACK beim LAC werden die Vereinbarungen zwischen LAC und LNS „gelöst“. Dies bedeutet, dass der Tunnel zwischen ihnen abgebaut wurde. Hat der LAC dem Remote-Client den Verbindungsabbau bestätigt (CCL), wird damit auch die Verbindung über das Zubringernetz abgebaut.
CCL
Besonderheiten des L2TPv3 Das L2TP [RFC 2661] wurde mit dem Ziel weiterentwickelt, wichtige L2-Über- Referenzmittlungsdienste (wie z.B. Ethernet, Frame Relay, ATM) über klassische IP- modelle Netze (d.h. keine MPLS-Netze) zur Verfügung stellen zu können. Dies hat zur beim L2TPv3 Entstehung des L2TPv3 [RFC 3931] geführt. Der Einsatz des L2TPv3 wird durch folgende drei Referenzmodelle beschrieben: Referenzmodell LAC-LNS, Referenzmodell LAC-LAC und Referenzmodell LNS-LNS. Das Referenzmodell LAC-LNS entspricht dem in Abbildung 12.3-3 gezeigten Prinzip vom Tunneling und definiert die Funktion des L2TPv3, die vollkommen der Funktion des L2TP entspricht. Wie aus Abbildung 12.3-9a ersichtlich ist, soll es das L2TPv3 nach dem Refe- L2-Dienste renzmodell LAC-LAC ermöglichen, die vom Provider bereitgestellten VPNs über IPzu realisieren. Dies entspricht dem Referenzmodell für Pseudo-Drahtverbin- Netze dungen (PW-Verbindungen) über MPLS-Netze [Abb. 12.2-2]. Daher wird ein L2TPv3-Tunnel auch als PW-Verbindung bezeichnet. Über einen L2TPv3-Tunnel können zwei Sites (z.B. Standorte eines Unternehmens) verbunden werden. Als Zubringerleitung zwischen dem CE und dem PE kann ein L2-Link, also z.B. eine Frame-Relay-, eine ATM- bzw. eine HDLC-Verbindung dienen. a ) S ite A
C E
P E
Z u b r in g e r
N S P IP -N e tz
L A C
P E
L 2 -L in k Z u b r in g e r
C E
L 2 P T v 3 -T u n n e l a ls L 2 -P W
K u n d e b )
L A C
L 2 -L in k
S ite B K u n d e
E m u lie rte r L 2 -Ü b e rm ittlu n g s d ie n s t
In tra n e t A S ite A
L N S
L N S
C E
IP -N e tz
C E
In tra n e t B S ite B
L 2 P T v 3 -T u n n e l a ls L 2 -P W
E th e rn e t o v e r L 2 T P v 3
Abb. 12.3-9: Bereitstellung der L2-Übermittlungsdienste über IP-Netze nach dem L2TPv3: a) Referenzmodell LAC-LAC, b) Referenzmodell LNS-LNS CE: Customer Edge, PE: Provider Edge, LAC: L2TP Access Concentrator, LNS: L2TP Network Server
592
12 Virtual Private Networks und Remote Access Services
Mit dem L2TPv3 ist es auch möglich, mehrere Sites als Intranets auf EthernetBasis über ein IP-Netz als WAN zu vernetzen. Dies erfolgt nach dem in Abbildung 12.3-9b gezeigten Referenzmodell LNS-LNS. Bedeutung des L2TPv3
L2TPv3Nachrichten
Vergleicht man die Abbildungen 12.2-2 und 12.3-9, so stellt man fest, dass de facto mit PWs über MPLS-Netze und mit dem L2TPv3-Tunnel die gleichen Ziele verfolgt werden. Hervorzuheben ist aber, dass man für den dynamischen Auf- und Abbau von PWs über MPLS-Netze zusätzlich ein Signalisierungsprotokoll, wie z.B. CR-LDP bzw. RSVP-TE, benötigt. Für den dynamischen Aufund Abbau des L2TPv3-Tunnels über klassische IP-Netze ist das nicht der Fall, weil das L2TPv3 selbst ein einfaches Signalisierungsprotokoll ist [Abb. 12.3-6, 7 und 8]. Das ist ein wesentlicher Vorteil des L2TPv3. Um die in Abbildung 12.3-9 gezeigten Dienste zu unterstützen, wird eine neue Struktur vom L2TPv3-Haeder sowohl in Kontrollnachrichten als auch in Nachrichten mit L2-Payload eingeführt. Abbildung 12.3-10 illustriert dies. a ) 0
0
M T
0
L 2 T P v 3 -H 0
0
7
A V P 1 1 5
...
.............................................................................. 0 L e n g th T L x x S x x x x x x x V e r C o n tro l C o n n e c tio n ID N s N r
Abb. 12.3-10:
b ) L 2 T P v 3 -H
A V P n 0
3 1
L 2 -P a y lo a d T u n n e l L 2 -S p e C o o k ie S e s s io n
P a y lo a d c ific S u b la y e r (o p tio n a l, m a x . 6 4 B its ) ID
L2TPv3-Nachrichten: a) Kontrollnachricht, b) Nachricht mit Payload AVP: Attribute Value Pair, H: Header, MT: Message Type
Die Angaben T, L, S, Ver, Length, Ns und Nr im L2TPv3-Header in Kontrollnachrichten haben die gleiche Bedeutung wie im L2TP-Header [Abb. 12.35]. Da über einen Tunnel beim L2TPv3 nur eine Session verläuft, entspricht Control Connection ID der Angabe Tunnel ID im L2TP-Header. Die erste Zeile mit dem „0“-Inhalt im L2TPv3-Header soll die Kompatibilität mit dem L2TP-Header gewährleisten. Für die Verbesserung der Sicherheit wurde Cookie im L2TPv3-Header in Nachrichten mit L2-Payload eingeführt. L2-Specific Sublayer entspricht der Funktion nach dem Control Word beim Tunneling über MPLS-Netze [Abb.12.2-3]. Mit Tunnel Payload wird angegeben, welche Payload-Art (z.B. Ethernet-, HDLC-Frame) die Nachricht transportiert. L2-Specific Sublayer wird erst in der Spezifikation des L2-Übermittlungsdienstes (z.B. Ethernet over L2TPv3) genau festgelegt. Eine wichtige Besonderheit des L2TPv3 ist, dass die L2TPv3-Nachrichten bei der Emulation der L2-Übermittlungsdienste über klassische IP-Netze direkt nach dem IP-Header in IP-Paketen transportiert werden können [Abb. 12.3-11]. Um die Kompatibilität mit dem L2TP zu erhalten, können die L2TPv3-
12.3 Layer-2-Tunneling über klassische IP-Netze
593
Nachrichten auch erst nach dem UDP-Header folgen [Abb.12.3-3]. Somit kann das L2TPv3 als Protokoll sowohl der Schicht 4 als auch der Schicht 5 angesehen werden. L2-Übermittlungsdienste über klassische IP-Netze mit dem L2TPv3 Abbildung 12.3-11 illustriert das Tunneling bei der Bereitstellung der L2- Tunneling Übermittlungsdienste über klassische IP-Netze. Dieses Prinzip entspricht weit- nach dem gehend dem Tunneling-Prinzip über MPLS-Netze [Abb. 12.2-3]. Hierbei ist eine L2TPv3 L2TPv3-Nachricht mit einem PW-Frame vergleichbar. Außerdem entspricht Session ID dem PW-Label und L2-Specific Sublayer dem Control Word.
S ite A
C E
L 2 -L in k
IP -N e tz
P E L 2 T P v 3
IP
L 2 -L in k
P E
IP -P a k e t L 2 T P v 3 -N a c h r ic h t
W a s w ir d tr a n s p o r tie r t?
S ite B
L 2 -P a y lo a d
E th F ra H D A T
P ro to k o lln r. = 1 1 5 S e s s io n ID L 2 -S p e c ific S u b la y e r T u n n e l P a y lo a d
C E
e rn e t-F r m e R e la L C [R F M [R F C
a m e s [ I E E E 8 0 2 .1 Q ] y [R F C 4 5 9 1 ] C 4 3 4 9 ] 4 4 5 4 ]
Abb. 12.3-11: Tunneling nach dem L2TPv3 bei der Bereitstellung der L2-Übermittlungsdienste
Weil das L2TPv3 auch ein Signalisierungsprotokoll ist, ist es möglich, einen Verlauf Tunnel und eine über ihn verlaufende Session bei Bedarf dynamisch aufzubau- des L2TPv3 en. Abbildung 12.3-12 veranschaulicht den Verlauf des L2TPv3 im Referenzmodell LAC-LAC [Abb. 12.3-9a]. Dieser entspricht dem Verlauf des L2TP [Abb. 12.3-6,-7 und -8]. S ite A
C E L 2 -L in k P E
A u fb a u d e r K o n tro llv e rb in d u n g T u n n e la u fb a u (S e s s io n -A u fb a u )
IP -N e tz S C C R Q S C C C N IC R Q
T u n n e la b b a u
Abb. 12.3-12:
L 2 -L in k
C E
S ite B
C o n tro l C o n n e c tio n ID , P W C a p a b ilitie s L is t
S C C R P C o n tro l C o n n e c tio n
C o n tro l C o n n e c tio n ID , P W C a p a b ilitie s S e t
IC R P
IC C N
D a te n tra n s fe r
P E
P W
T y p e
P W
C D N
S to p C C N
Z B L -A C K
A b b a u d e r K o n tro llv e rb in d u n g
Das L2TPv3 beim Auf- und Abbau eines Tunnels PW: Pseudo Wire, weitere Abkürzungen wie in den Abbildungen 12.3 6, -7 und -8
594
12 Virtual Private Networks und Remote Access Services Die Seite, die den Tunnel initiiert, signalisiert der Gegenseite bereits beim Aufbau der Kontrollverbindung als PW Capabilities List in der Nachricht SCCRQ ihre Fähigkeiten. Hier werden die Typen der L2-Übermittlungsdienste aufgelistet, die ihrerseits unterstützt werden. Es handelt sich hier um die gleichen PW-Typen wie in den MPLS-Netzen [Tab. 12.2-1]. Die Gegenseite übermittelt in SCCRP – als Antwort auf SCCRQ – auch ihre Fähigkeiten in PW Capabilities Set. Die den Tunnel initiierende Seite gibt danach der Gegenseite beim Aufbau des Tunnels in ICRQ mit PW Type an, welcher L2-Übermittlungsdienst aktuell realisiert werden soll.
12.3.2 Das Tunneling-Protokoll PPTP Mit dem PPTP kann eine gesicherte virtuelle Verbindung über ein öffentliches IP-Netz zu einem Zielnetzwerk aufgebaut werden. Diese Verbindung lässt sich mit einem Tunnel vergleichen. PPTP kann als eine Erweiterung von PPP (Point-to-Point Protocol) angesehen werden. PPTP ermöglicht die Authentifizierung von Remote-Benutzern. Damit kann es auch zum Aufbau von VPNs bei der Anbindung von Remote-Benutzern verwendet werden. Dabei kann ein Remote-Benutzer eine PPP-Verbindung zu seinem Network Service Provider (NSP) herstellen und dann einen Tunnel vom NSP zum Zielnetzwerk über ein IP-Netz aufbauen lassen. PPTP wurde in RFC 2637 spezifiziert. Das Konzept des PPTP Die Bedeutung des PPTP besteht darin, dass mit seiner Hilfe über ein IP-Netz ein Tunnel aufgebaut werden kann, der quasi als eine virtuelle Standleitung angesehen werden kann. Über diesen Tunnel können mehrere PPP-Verbindungen [Abschnitt 10.2.2] verlaufen. Den PPTP-Einsatz illustriert Abbildung 12.3-13. Wie hier ersichtlich ist, wird mit dem PPTP ein Tunnel über ein IP-Netz zwischen den zwei Funktionsmodulen PAC (PPTP Access Concentrator) und PNS (PPTP Network Server) aufgebaut. PPTP wird ausschließlich durch den PAC und den PNS realisiert. Die restlichen Komponenten einer NetzwerkUmgebung benötigen für den PPTP-Betrieb keine zusätzlichen Erweiterungen.
Z u b rin g e rn e tz C lie n ts
N S P
IP -N e tz ( z .B . I n te r n e t)
P A C
K o n tro llv e rb in d u n g
N A S P N S
In tra n e t S e rv e r
P P T P -T u n n e l P P P -V e rb in d u n g e n Abb. 12.3-13:
PAC und PNS
Allgemeines Konzept von PPTP
Der PAC repräsentiert ein Software-Modul in einer Zugangskomponente (z.B. in einem Router) und wird von einem Netzdienstanbieter zur Verfügung ge-
595
12.3 Layer-2-Tunneling über klassische IP-Netze
stellt. Die Komponente PNS stellt ein Software-Modul im Network Access Server (NAS) eines Intranet dar. Als Remote-Rechner haben die Clients über ein Zubringernetz (z.B. ein analoges Telefonnetz, ISDN) Zugang zum PAC. Sie können mithilfe des PPP über das Zubringernetz und ein IP-Netz (z.B. Internet) auf ein Intranet zugreifen. Natürlich ist die Voraussetzung dafür, dass sie entsprechende Zugangsrechte besitzen. Eine PPP-Verbindung, die über ein Zubringernetz verläuft, kann entsprechend PPTPmit dem PPTP-Tunnel über das IP-Netz bis zum Intranet verlängert werden. Tunnel Über eine PPP-Verbindung können mehrere Kommunikationsbeziehungen gleichzeitig und sogar nach verschiedenen L3-Protokollen verlaufen. Um den Tunnel ansteuern zu können, wird vorher eine virtuelle TCP-Verbindung zwischen dem PAC und dem PNS aufgebaut, die als Kontrollverbindung des Tunnels dient. Das Tunneling-Prinzip über ein IP-Netz (z.B. Internet) bei der Anbindung eines Tunneling nach dem Remote-Clients an ein Unternehmensnetz veranschaulicht Abbildung 12.3-14. PPTP P P P -V e rb in d u n g N S P
Z u b rin g e rn e tz Q u e llre c h n e r
P P P -F ra m e
T u n n e l P A C
IP -P a k e t
D a te n p a k e t P P P -F ra m e o h n e F la g s u n d F C S
Abb. 12.3-14:
N A S
IP -N e tz
P N S
In tra n e t IP -P a k e t
Z ie lre c h n e r
T u n n e l- I P - H e a d e r [ ..., Q u e ll- I P - A d r . = P A C , Z ie l- I P - A d r . = P N S , ...]
G R E - H e a d e r [ ..., C a ll I D ,...] P P P - H e a d e r ( ..., P r o to k o llty p ,...)
Tunneling nach dem PPTP
Wie Abbildung 12.3-14 zeigt, werden dem über das IP-Netz zu übertragenden Generic Routing EnPPP-Frame im PAC folgende zwei Header vorangestellt: ein zusätzlicher Tunnel-IP-Header und ein GRE-Header (Generic Routing Encapsulation). Der Tunnel-IP-Header bestimmt Beginn und Ende des Tunnels sowie den Übertragungsweg über das IP-Netz. Der GRE-Header stellt eine vereinfachte Version des Header vom Protokoll GRE dar [RFCs 1701 und 1202]. Aus Abbildung 12.3-14 geht hervor, dass die Pakete verschiedener L3Protokolle (durch die Angabe Protokolltyp im PPP-Header) über das IPNetz transparent übertragen werden können, d.h. sie werden im IP-Netz nicht interpretiert. Die Bedeutung des PPTP besteht im Allgemeinen darin, dass mit
capsulation
596
12 Virtual Private Networks und Remote Access Services
PPTP-Hilfe eine transparente Verlängerung einer PPP-Verbindung über ein IPNetz bis zum Intranet erreicht werden kann. Um die Sicherheit der Übertragung über das IP-Netz zu garantieren, können die „inneren“ Datenpakete (Payload) zwischen PAC und PNS verschlüsselt übertragen werden. Da der Transport über das IP-Netz auf Basis des vorangestellten Tunnel-IP-Header verläuft, können eventuelle Eindringlinge unterwegs nicht mehr die Quell- und die Zieladresse des verschlüsselt übertragenen OriginalDatenpakets ablesen, sondern nach dem Tunnel IP-Header lediglich feststellen, dass die Daten zwischen Tunnel-Beginn und -Ende transportiert werden. Wird das PPTP ebenfalls im Client implementiert, so kann ein PPTP-Tunnel zwischen dem Client und einem NAS im Intranet, d.h. über das Zubringernetz und über das IP-Netz, aufgebaut werden. Somit können die beiden Netze als ein einziges heterogenes Transitnetz dienen und ermöglichen die Kommunikation nach verschiedenen L3-Protokollen. Struktur des GRE-Header
Beim PPTP wird eine vereinfachte Version des GRE-Protokolls verwendet. Abbildung 12.3-15 zeigt die Struktur des GRE-Header. 0
Abb. 12.3-15:
0
7
1 5
3 1
0 1 S 0 0 0 0 A 0 0 0 0 V e r = 1 P r o t o c o l T y p e = x '8 8 0 B ' ( P P P ) P a y lo a d L e n g th C a ll ID S e q u e n c e N u m b e r (O p tio n a l) A c k n o w le d g e N u m b e r (O p tio n a l)
Struktur des GRE-Header bei PPTP
Der GRE-Header besteht aus vier 32-Bits-Worten und enthält folgende Angaben: S: Sequence Number Present: Falls S = 1, ist Sequence Number vorhanden. A: Acknowledge Number Present: Falls A = 1, ist Acknowledge Number vorhanden. Ver: Version: Ver = 1 Protocol Type, PT = x’880B’: Ein PPP-Frame wird immer als Nutzlast transportiert. Payload Length (2 Bytes) : Länge des Nutzlastteils (d.h. des PPP-Frames)
Call ID (2 Bytes): Identifikation (ID) der PPP-Verbindung im Tunnel Sequence Number: Falls S = 1, werden hier die gesendeten PPP-Frames nummeriert. Acknowledge Number: Falls A = 1, werden hier die empfangenen PPP-Frames quittiert.
Auf- und Abbau einer Kontrollverbindung Bevor ein Tunnel über das IP-Netz aufgebaut wird, muss zuerst eine Verbindung für die Tunnelkontrolle zwischen dem PAC und dem PNS eingerichtet werden. Diese Kontrollverbindung wird auf Basis einer TCP-Verbindung, die am Ziel die Ziel-Port-Nummer 1723 verwendet, eingerichtet. Abbildung 12.3-
12.3 Layer-2-Tunneling über klassische IP-Netze
597
16 illustriert den PPTP-Ablauf beim Auf- und Abbau einer Kontrollverbindung.
Z u b rin g e rn e tz C lie n t A u fb a u d e r K o n tro llv e rb in d u n g Ü b e rw a c h u n g d e r V e rb in d u n g s b e re its c h a ft A b b a u d e r K o n tro llv e rb in d u n g
Abb. 12.3-16:
N S P P A C
I P - N e tz ( z .B . I n te r n e t)
N A S P N S
A u fb a u e in e r T C P -V e rb in d u n g S ta rt-C C -R e q u e s t S ta rt-C C -R e p ly K o n tro llv e rb in d u n g
E c h o -R e q u e st
In tra n e t S e rv e r
E c h o -R e p ly
S to p -C C -R e q u e s t
S to p -C C -R e p ly A b b a u e in e r T C P -V e rb in d u n g
Auf- und Abbau einer Kontrollverbindung
Für den Aufbau der Kontrollverbindung ist eine TCP-Verbindung über das IP-Netz nötig. Diese verwendet am Ziel den Port 1723. Den Aufbau einer Kontrollverbindung kann sowohl der PAC als auch der PNS initiieren, nachdem die hierfür benötigte TCP-Verbindung bereits besteht. Für den Aufbau einer Kontrollverbindung dienen die folgenden PPTP-Nachrichten: Start-Control-Connection-Request: Mit dieser Nachricht wird der Aufbau einer
Kontrollverbindung initiiert. Diese Nachricht enthält u.a. folgende Angaben: − Bearer Capabilities: Art des Zugangsnetzes (analog, digital), − Maximum Channels: Maximale Anzahl von PPP-Verbindungen im Tunnel, − Host Name: DNS-Namen von PAC bzw. PNS. Start-Control-Connection-Reply als Antwort auf Start-Control-ConnectionRequest.
Die Überwachung der Kontrollverbindung erfolgt mithilfe der Nachrichten Echo Request und Echo Reply. Echo Request wird von einer Seite (PAC bzw. PNS) regelmäßig alle 60 Sekunden immer dann
gesendet, wenn keine Nutzdaten ausgetauscht werden. Als Antwort auf Echo Request sendet die Gegenseite Echo Reply. So wird die Bereitschaft von PAC und PNS kontrolliert. Antwortet eine der beiden Seiten auf Echo Request nicht, wird die Kontrollverbindung „geschlossen“ und die entsprechende TCP-Verbindung abgebaut. Für den Abbau einer Kontrollverbindung dienen die folgenden PPTP-Nachrichten: Stop-Control-Connection-Request: Mit dieser Nachricht wird der Abbau einer Kon-
trollverbindung initiiert. Die Ursache des Verbindungsabbaus wird angegeben. Stop-Control-Connection-Reply als Antwort auf Stop-Control-ConnectionRequest.
PPTPNachrichten
598
12 Virtual Private Networks und Remote Access Services Der Kontrollverbindungsabbau kann sowohl vom PAC als auch vom PNS initiiert werden. Bevor eine PPP-Verbindung zwischen einem Remote-Client und dem NAS eines Intranet aufgebaut wird, muss bereits eine Kontrollverbindung für den Tunnelaufbau bestehen.
PPTP-Verlauf beim Tunnelaufbau Den PPTP-Verlauf beim Aufbau einer PPP-Verbindung von einem RemoteClient zum NAS verdeutlicht Abbildung 12.3-17. N S P
Z u b rin g e rn e tz
P A C
C lie n t IC V e rb in d u n g
IC +
I P - N e tz ( z .B . I n te r n e t)
N A S P N S
K o n tro llv e rb in d u n g IC -R e q u e st IC -R e p ly IC -C o n n e c te d
In tra n e t S e rv e r T u n n e la u fb a u
T u n n e l A u fb a u e in e r P P P -V e rb in d u n g P P P (x x x )
IP [G R E [P P P (x x x )]]
x x x : D a te n p a k e t ( z .B . I P - P a k e t)
D a te n p a k e te ü b e r P P P -V e rb in d u n g
Abb. 12.3-17:
PPTP-Verlauf bei ankommendem Anruf zum NAS CC: Call-Connection, IC: Incoming-Call, IC+: Annahme des Anrufes
PPTPNachrichten
Für den Aufbau eines Tunnels über ein IP-Netz dienen die folgenden PPTP-Nachrichten: Incoming-Call-Request (IC-Request): Mit dieser Nachricht wird der Aufbau eines Tunnels initiiert. Incoming-Call-Reply (IC-Reply) als Antwort auf Incoming-Call-Request. Incoming-Call-Connected (IC-Connected)
Mit dieser Nachricht wird dem PNS signalisiert, dass ein ankommender Anruf vom PAC angenommen wurde.
PPTPVerlauf
Will ein Client auf einen Server in einem Intranet über ein IP-Netz zugreifen, baut er zuerst eine Verbindung über das Zubringernetz zu seinem NSP auf. Empfängt der PAC vom Zubringernetz einen ankommenden Anruf IC (Incoming Call), wird der Aufbau eines Tunnels vom PAC initiiert. Dem ankommenden Anruf ordnet der PAC eine Call ID und eine Nummer (Call Serial Number) zu. Zusätzlich ermittelt er den Typ der Anforderung (Bearer Type), d.h. ob es sich um einen ankommenden Anruf aus einem analogen Telefonnetz bzw aus dem ISDN handelt. Danach sendet der PAC eine Nachricht IC-Request an den PNS, die u.a. enthält: Call ID, Call Serial Number, Bearer Type sowie Rufnummer des Anrufers und des Angerufenen. IC-Request wird vom PNS mit IC-Reply beantwortet. Die Annahme des ankommenden Anrufes beim PAC erfolgt erst nach der Antwort vom PNS. Beim PNS wird nun geprüft, ob diese Verbindungsanforderung akzeptiert werden soll, d.h. ob die Rufnummer des Anrufers berechtigt ist, eine Verbindung zum NAS aufzubauen oder nicht.
12.3 Layer-2-Tunneling über klassische IP-Netze Ist IC-Reply beim PAC angekommen, wird der ankommende Ruf erst jetzt vom PAC angenommen (IC+). Danach sendet der PAC IC-Connected an den PNS, womit ihm mitgeteilt wird, dass der ankommende Ruf vom PAC angenommen wurde. Hat der PNS IC-Connected empfangen, können die PPP-Frames mit dem GRE-Header in IPPaketen zwischen PAC und PNS transportiert werden. Dies könnte man so interpretieren, als ob ein Tunnel zwischen PAC und PNS aufgebaut wäre. Im nächsten Schritt erfolgt der Aufbau einer PPP-Verbindung zwischen dem Remote-Client und dem NAS. Die hierfür notwendige PPP-Steuerung verläuft bereits über den Tunnel. Nach dem Aufbau der PPP-Verbindung kann der Datenaustausch zwischen dem Client am Zubringernetz und dem NAS stattfinden. Die Datenpakete zwischen Client und PAC werden über das Zubringernetz in PPP-Frames transportiert. Für die Übertragung über das IP-Netz werden die PPPFrames (ohne Prüfsumme FCS und Flags) um den GRE-Header ergänzt und in IP-Paketen an den NAS übermittelt.
PPTP-Verlauf beim Tunnelabbau Der Abbau eines Tunnels kann sowohl vom PAC als auch vom PNS initiiert werden. Abbildung 12.3-18 zeigt den PPTP-Verlauf beim Tunnelabbau, falls der Client den Abbau initiiert. N S P
Z u b rin g e rn e tz
P A C
C lie n t
V e rb in d u n g C C l
Abb. 12.3-18:
C C l+
I P - N e tz ( z .B . I n te r n e t)
N A S P N S
T u n n e l A b b a u d e r P P P -V e rb in d u n g T u n n e l C C l-R e q u e s t C D -N o tify T u n n e l
In tra n e t S e rv e r
T u n n e la b b a u
Der PPTP-Verlauf beim Tunnelabbau CCl: Call-Clear (Verbindungsabbau), CCl+: Bestätigung des Verbindungsabbaus, CD: Call-Disconnect,
Bevor man mit dem Tunnelabbau beginnt, wird zuerst die PPP-Verbindung zwischen Client und NAS abgebaut. Danach initiiert der Client den Abbau der Verbindung über das Zubringernetz. Nach dem Empfang der Anforderung CCl (Call-Clear) sendet der PAC eine Nachricht CallClear Request (CCl-Request) an den PNS, um ihm dies mitzuteilen. Der PNS antwortet darauf mit der Nachricht Call Disconnected Notify (CD-Notify). Hat der PAC CD-Notify empfangen, sind PAC und PNS im Zustand „inaktiv“. Dies könnte man so interpretieren, als ob der Tunnel zwischen ihnen abgebaut wäre. Hat der PAC dem Client den Verbindungsabbau bestätigt, wird damit auch die Verbindung über das Zubringernetz abgebaut.
599
600
12 Virtual Private Networks und Remote Access Services
12.4 IPsec und Layer-3-Tunneling Das Protokoll IPsec beschreibt, wie die zu übertragenden IP-Pakete erweitert werden sollen, um sie vor der Verfälschung und vor dem „Abhören“ während der Übertragung zu schützen. Mit dem IPsec können z.B. parallele Tunnel (als quasi-virtuelle Standleitungen) über ein IP-Netz zwischen zwei Sites aufgebaut werden. Das IPsec stellt die Basis für den Ausbau von VPNs dar und wird in den IP-Stacks u.a. von Windows 2003 und Linux unterstützt. Mit dem IPsec ist es möglich, sowohl die Vortäuschung einer falschen Identität (z.B. des Passworts) als auch eine gezielte Verfälschung von übertragenen Daten durch einen Angreifer zu entdecken. Um Vertraulichkeit während der Übertragung zu erreichen, können die Daten verschlüsselt übertragen werden. Die Sicherheitsverfahren beim IPsec müssen bei einer Kommunikation nicht unbedingt in beiden Richtungen identisch sein.
12.4.1 Ziele des IPsec Ohne entsprechende Sicherheitsmaßnahmen sind die über ein öffentliches IPNetz (z.B. Internet) übertragenen Daten gefährdet. Dabei kann es sich um einen passiven Angriff, beispielsweise um eine Überwachung der Übertragung, oder um einen aktiven Angriff handeln. Bei einem aktiven Angriff werden die übertragenen IP-Pakete absichtlich verändert oder zerstört. Das IPsec enthält bestimmte Schutzfunktionen, die es ermöglichen, die IP-Pakete vertraulich zu übertragen und unerwünschte „Angriffe“ auf sie zu unterbinden. Es bietet folgende Funktionen, um eine sichere Kommunikation zu gewährleisten: Datenverschlüsselung
Authentifizierung
Garantie der Vertraulichkeit (Confidentiality) Mit dem IPsec kann die Vertraulichkeit während der Übertragung so erreicht werden, dass die Daten unterwegs durch einen Unbefugten nicht interpretiert (abgelesen) werden können. Dies ist möglich durch die Verschlüsselung der Daten vor der Übertragung. Die Daten können nur am Ziel mit einem geheimen Schlüssel entschlüsselt und danach gelesen werden. Authentifizierung der Datenquelle (Authentication) Oft wird die Identität des Absenders bei der IP-Kommunikation anhand der Quell-IP-Adresse geprüft. In bestimmten Fällen kann eine Quell-IP-Adresse durch einen Unbefugten unterwegs vorgetäuscht werden. Bei dieser Art von Fälschung spricht man von Identitäts-Spoofing. Ein Unbefugter kann mithilfe spezieller Programmen IP-Pakete erzeugen, in denen eine gültige QuellIP-Adresse vorgetäuscht wird. Nachdem sich ein Unbefugter mit einer gültigen IP-Adresse den Zugang zum Netzwerk verschaffen konnte, kann er die Daten abrufen, ändern, umleiten etc. Mit dem IPsec ist es möglich festzu-
12.4 IPsec und Layer-3-Tunneling
601
stellen, ob die Daten aus der gültigen (wahren) Quelle stammen, sodass die Datenauthentizität sichergestellt werden kann. Überprüfung der Datenintegrität (Integrity) DatenNachdem ein Datenpaket während der Übertragung von einem Unbefugten integrität gelesen wurde, kann er es in einer veränderten Form an den Zielrechner weiterleiten. Damit können die Datenpakete ohne Wissen des Absenders und des Empfängers unterwegs gezielt verändert werden. Mit dem IPsec können die Daten vor unberechtigten Änderungen während der Übertragung geschützt werden. Dadurch wird sichergestellt, dass die empfangenen Daten exakt mit den gesendeten Daten übereinstimmen. Hierfür wird jedem zu übertragenden IP-Paket eine kryptografische Prüfsequenz (Signatur) hinzugefügt. Diese Prüfsumme wird nach einer HMAC (Hash based Message Authentication Code)-Operation aus dem IP-Paket beim Einsatz eines gemeinsamen, geheimen Schlüssels errechnet [Abschnitt 12.4.7]. Nur Absender und Empfänger verfügen über den geheimen Schlüssel zur Berechnung dieser Prüfsequenz. So kann jedes zu übertragende IP-Paket signiert werden. Verhinderung einer Antwort von einem Angreifer Anti-ReplayDie von einem Angreifer bzw. von einem anderen Unbefugten unterwegs Schutz gelesenen IP-Pakete können unterschiedlich missbraucht werden. Sie können beispielsweise verwendet werden, um eine neue Sitzung einzurichten und illegal auf die Daten im Zielrechner zuzugreifen. Mit dem Anti-ReplaySchutz beim IPsec wird verhindert, dass man mithilfe von aus dem IP-Paket unterwegs illegal abgelesenen Daten auf die Daten im Zielrechner zugreifen kann. Um den Anti-Replay-Schutz zu realisieren, werden die gesendeten IPPakete durch eine Seriennummer und ein bewegliches Nummerierungsfenster geschützt.
12.4.2 Erweiterung der IP-Pakete mit IPsec-Angaben Die grundlegende Idee des IPsec besteht darin, jedes einzelne IP-Paket vor Verfälschung unterwegs zu schützen (Authentizität und Integrität) und auch verschlüsselt zu übertragen (Vertraulichkeit). Um dies zu erreichen, werden die zu übertragenden IP-Pakete entsprechend um zusätzliche Angaben erweitert. Diese Erweiterung ist davon abhängig, wie das IPsec zum Schutz der IP-Pakete eingesetzt wird. Dies wird durch die Art und Weise des IPsec-Einsatzes (d.h. durch die IPsec-Betriebsart) festgelegt. Man unterscheidet folgende zwei Betriebsarten des IPsec: Transport-Mode und Tunnel-Mode.
602
12 Virtual Private Networks und Remote Access Services
Die Prinzipien der Erweiterung der zu übertragenden IP-Pakete mit den IPsecAngaben illustriert Abbildung 12.4-1. O rig in a l IP -P a k e t
a )
T C P
D a te n
b )
IP se c T C P
D a te n
T -IP
IP IP
O rig in a l IP -P a k e t
IP se c
IP
T C P
D a te n
IP
T C P
D a te n
Abb. 12.4-1: IPsec-Angaben in IP-Paketen: a) im Transport-Mode, b) im Tunnel-Mode T-IP: IP-Tunnel-Header
IPsec-Header
Durch den IPsec-Einsatz im Transport-Mode werden die einzelnen Verbindungen zwischen Rechnern geschützt [Abb. 12.4-12b]. Um sichere Verbindungen für ganze Sites zu schaffen, z.B. bei der Verbindung von zwei Standorten eines Unternehmens über ein IP-Netz, wird das IPsec im Tunnel-Mode eingesetzt [Abb. 12.4-8]. Auf die weiteren Besonderheiten dieser beiden Betriebsarten wird im Weiteren noch näher eingegangen. Der IPsec-Header kann gebildet werden aus den folgenden Extension Headers von IPv6 [Abb. 6.3-3]: Authentication Header (AH) und Encapsulating Security Payload (ESP).
Bei der Bildung des IPsec-Header kommen folgende Möglichkeiten in Frage: IPsec-Header = AH: IPsec-Header enthält nur den AH, IPsec-Header = ESP: IPsec-Header enthält nur die ESP, IPsec-Header = [AH, EPS]: IPsec-Header setzt sich aus AH und ESP in dieser Reihenfolge zusammen. In welchen Situationen man diese Kombinationen des IPsec-Header verwendet, wird im Weiteren näher erklärt. Spezifikation des AH: Die Spezifikation des AH wurde ständig verfeinert. AH wurde zuerst im August 1995 als RFC 1827 spezifiziert. Bereits im November 1998 wurde aber RFC 1826 durch RFC 2402 und dann im Dezember 2005 wurde RFC 2402 durch RFC 4302 abgelöst. Spezifikation der ESP: Ebenso wurde die Spezifikation der ESP ständig verfeinert. Die ESP wurde zuerst im August 1995 als RFC 1826 spezifiziert. Dann im November 1998 wurde RFC 1827 durch RFC 2406 und im Dezember 2005 wurde RFC 2406 durch die RFCs 4302 und 4305 abgelöst.
12.4 IPsec und Layer-3-Tunneling
603
12.4.3 Sicherheitsvereinbarungen Das IPsec kann sowohl bei der Übertragung von Daten nach dem IPv4 als auch Security nach dem IPv6 eingesetzt werden. Im Folgenden wird vor allem auf den IPsec- Association Einsatz beim IPv4 eingegangen. Bevor die IP-Pakete beim IPsec-Einsatz zwischen zwei Rechnern ausgetauscht werden können, muss eine Vereinbarung zwischen ihnen getroffen werden. Diese wird als Security Association (SA) bezeichnet und legt fest, wie die IP-Pakete für die Übertragung geschützt werden sollen. Die SA stellt eine Art des Vertrags dar, der zwischen den beiden Rechnern in Bezug auf die eingesetzten Sicherheitsmaßnahmen für die Übertragung der IP-Pakete ausgehandelt wurde. Sie bezieht sich auf die Übertragung der IPPakete nur in eine Richtung (d.h. auf eine unidirektionale Verbindung) und kann als eine Sicherheitszuordnung für diese Verbindung angesehen werden. Werden die Daten in beide Richtungen zwischen den kommunizierenden Rechnern gesendet, wird eine SA jeweils für jede Richtung vereinbart. Eine SA ist auf einen Empfänger bezogen und kann dargestellt werden als: [Destination-IP-Address, SPI (Security Parameter Index), Protocol]. Hierbei bezeichnet man mit Protocol die Art der Erweiterung des IP-Pakets mit einem zusätzlichen IPsec-Header, um die zu übertragenden IP-Pakete zu schützen [Abb. 12.4-1]: Protocol = AH oder ESP oder [AH, ESP].
Im IPsec-Header des IP-Pakets werden z.B. keine direkten Angaben gemacht, Security nach welchem Verschlüsselungsverfahren und mit welchem Schlüssel gerade Policy das betreffende IP-Paket verschlüsselt wird. Diese Angaben werden jedoch in Database jedem der beiden kommunizierenden Rechner in einer sog. Security Policy Database (SPD) abgespeichert. Eine SPD spiegelt in abstrakter Form die Sicherheitsmaßnahmen eines Rechners wider. Der Parameter SPI verweist in jedem geschützten IP-Paket auf die „Stelle“ in der SPD, wo die entsprechenden Informationen über die Sicherheitsparameter, wie z.B. Verschlüsselungsverfahren oder Schlüssel, abgespeichert worden sind, die für das entsprechende IPPaket eingesetzt werden müssen. SPI muss somit in jedem übertragenen und geschützten IP-Paket enthalten sein. Bevor die IP-Pakete zwischen den kommunizierenden Rechnern beim IPsec- SAEinsatz ausgetauscht werden können, müssen die entsprechenden SAs verein- Bedeutung bart werden. Abbildung 12.4-2 illustriert den Prozess bei der SA-Aushandlung. Jeder der beiden Rechner verfügt hier über eine SPD, in der vorgegeben wird, welche Sicherheits-Policies (d.h. welche Authentifizierungs-, Verschlüsselungsverfahren, welche Schlüssel) eingesetzt werden können. Jeder Eintrag in der SPD definiert die Art des Datenverkehrs (z.B. nach der Quell- bzw. ZielIP-Adresse, nach der Anwendung etc.), der geschützt werden soll, wie er zu
604
12 Virtual Private Networks und Remote Access Services
schützen ist und zu welchem Ziel dieser Schutz erfolgen muss. Der Netzwerkadministrator, der für die Sicherheit zuständig ist, kann die SPD konfigurieren. R e c h n e r A S P D IP IP se c IK E 1 2 3 6
5
4
IP -N e tz (In te rn e t) S A -A u s h a n d lu n g
R e c h n e r B
S P D
IP se c IP
IK E 4 5
S A 1 S A -A u s h a n d lu n g
g e s c h ü tz te IP -P a k e te n a c h S A 1
S A 2
3
1 2 6
g e s c h ü tz te IP -P a k e te n a c h S A 2
Abb. 12.4-2: SA-Aushandlung vor der Übertragung der IP-Pakete IKE: Internet Key Exchange, SPD: Security Policy Database
Internet Key Exchange
Im dargestellten Beispiel wurde angenommen, dass der Rechner A eine sichere Kommunikation zum Rechner B initiiert. Hierbei kann es sich z.B. um eine nach IPsec geschützte TCP-Verbindung handeln. Da jede TCP-Verbindung sich aus zwei unidirektionalen und entgegengerichteten virtuellen Verbindungen zusammensetzt, muss für jede Übertragungsrichtung eventuell eine SA ausgehandelt werden. Das IPsec-Modul in Rechner A ermittelt somit anhand der sog. Filterlisten, die in der SPD abgespeichert sind, ob die zu übertragenden IP-Pakete überhaupt gesichert werden müssen (1). Ist dies der Fall, teilt er dem Modul IKE (Internet Key Exchange) mit, die Aushandlung von Sicherheitsparametern mit dem Zielrechner B zu initialisieren (2). Das IKE-Modul in Rechner A fragt in der SPD die verfügbaren Sicherheits-Policies ab (3) und übergibt eine entsprechende Anforderung an das IKE-Modul in Rechner B. Nach dem Eintreffen der Anforderung, eine SA einzurichten, überprüft in Rechner B das Modul IKE seine SPD, und stellt fest, welche Sicherheits-Policy Rechner A angeboten werden kann (4). Daraufhin wird zwischen beiden Rechnern eine Sicherheits-Policy (z.B. Verschlüsselungsart, gemeinsamer Schlüssel, Hash-Funktion) ausgehandelt. Dies wird den IPsec-Modulen in beiden Rechnern A und B mitgeteilt (5), (6). Auf diese Weise wurde die erste SA in Richtung Rechner A zu Rechner B ausgehandelt. Da die IP-Kommunikation in beide Richtungen stattfindet, ist eine zweite SA in Richtung von Rechner B zu Rechner A ebenfalls nötig. Wie Abbildung 12.42 illustriert, wird sie nach den gleichen Prinzipien ausgehandelt.
12.4 IPsec und Layer-3-Tunneling Bemerkung: Findet zwischen den beiden Rechnern A und B bereits eine nach dem IPsec gesicherte Kommunikation statt, besteht in der Regel bereits eine TCP-Verbindung mit dem IPsec-Einsatz. In dieser Situation können einige Sicherheits-Policies bzw. -Parameter für eine neue TCP-Verbindung direkt aus einer bestehenden SA übernommen werden, sodass der Prozess der SA-Aushandlung vereinfacht werden kann. Spezifikation des IKE: Der IKE-Dienst, nach dem die Aushandlung der Sicherheitsrichtlinien zwischen den kommunizierenden Rechnern erfolgt, wurde zuerst in RFC 2409 (November 1998) spezifiziert. Im Dezember 2005 wurde die Version 2 des IKE (IKEv2) als RFC 4306 veröffentlicht. Ein Bestandteil des IKE ist das ISAKMP (Internet Security Association and Key Management Protocol). Das ISAKMP wurde zuerst im November 1998 als RFC 2407 spezifiziert. Mit RFC 4306 wurde aber die Spezifikation des ISAKMP abgelöst.
12.4.4 Authentication Header (AH) Mit dem AH können folgende Sicherheitsdienste realisiert werden: Authentifizierung der Datenquelle, um feststellen zu können, ob die Daten vom wahren (gültigen) Quellrechner stammen, Datenintegrität, um eine gezielte Verfälschung von Daten unterwegs zu erkennen, Anti-Replay-Schutz, um zu verhindern, dass man mithilfe von aus dem IPHeader unterwegs illegal abgelesenen Angaben auf die Daten im Zielrechner zugreifen kann. Die Vertraulichkeit wird mit dem AH jedoch nicht unterstützt, d.h. die Daten werden unverschlüsselt übertragen und können somit unterwegs interpretiert werden. Da das AH als ganz normales Protokoll anzusehen ist, wurde ihm die Nummer 51 zugewiesen. Abbildung 12.4-3 zeigt die Struktur des AH. 0
7
1 5
N e x t H e a d e r P a y lo a d L e n g th R e se rv e d S e c u rity P a ra m e te r In d e x (S P I) S e q u e n c e N u m b e r F ie ld A u th e n tic a tio n D a ta (In te g rity C h e c k V a lu e ) v a r ia b le L ä n g e
3 1
Abb. 12.4-3: Struktur des AH Die einzelnen Felder im AH haben folgende Bedeutung: Next Header: Hier wird der nächste Header (wie z.B. TCP, UDP, ICMP) angegeben, der nach AH im IP-Paket folgt. Dieses Feld enthält die gleiche Protokollnummer, die im „normalen“ IP-Header eingetragen wird, um darauf zu verweisen, zu welchem Protokoll (TCP, UDP, ICMP etc.) die im IP-Paket enthaltenen Daten übergeben werden müssen. Payload Length: Dieses Feld gibt die AH-Länge minus 2 in 32-Bits-Worten an.
605
606
12 Virtual Private Networks und Remote Access Services Security Parameter Index (SPI): Mit SPI wird auf die „Stelle“ in der Datenbank SPD beim Zielrechner verwiesen, wo die entsprechenden Informationen über die Sicherheitsparameter – wie z.B. Verschlüsselungs- und Authentifizierungsverfahren, Schlüssel – abgespeichert worden sind, die für das entsprechende IP-Paket eingesetzt werden müssen. SPI kann als eine Identifikationsart der SA angesehen werden. Sequence Number: Hier wird eine Sequenznummer eingetragen, die sich in einer Folge von
IP-Paketen nicht wiederholen darf. Damit wird der Anti-Replay-Schutz für die betreffende SA realisiert. Sequence Number gilt quasi als Nummer des IP-Pakets. Der Empfänger überprüft dieses Feld, um feststellen zu können, ob bereits ein Paket für eine SA mit dieser Nummer empfangen wurde. Ist dies der Fall, wird das betreffende Paket verworfen. So kann sich ein Rechner vor einem „Angreifer“ schützen, der bestimmte IP-Pakete wiederholt zu senden versucht. Authentication Data: In diesem Feld variabler Länge wird die kryptografische Prüf-
summe ICV (Integrity Check Value) übertragen. Diese Angabe stellt eine mithilfe einer HMAC-Operation und mit einem geheimen Schlüssel berechnete Prüfsequenz dar [Abschnitt 12.4.7]. Der ICV wird über die Daten und einige Header-Teile des übertragenen Original-IPPakets gebildet, um eine mögliche Verfälschung des IP-Pakets zu entdecken. Damit werden die Sicherheitsdienste wie Authentifizierung der Quelle und Datenintegrität realisiert.
Abbildung 12.4-4 zeigt, wie die IP-Pakete im Transport-Mode um den AH erweitert werden können. a )
O rig in a l IP v 4 -P a k e t
IP
T C P
IP
A H
T C P
E H s
T C P
e rw e ite rte s IP v 4 -P a k e t
b )
O rig in a l IP v 6 -P a k e t e rw e ite rte s IP v 6 -P a k e t
IP v 6
IP v 6 E H 1
A H
D a te n
D a te n A u th e n tifiz ie rte r B e re ic h D a te n
D a te n T C P A u th e n tifiz ie rte r B e re ic h
E H
2
Abb. 12.4-4: AH im Transport-Mode in: a) IPv4-Paketen, b) IPv6-Paketen EH: Extension Header von IPv6
Der AH kann eigenständig oder zusammen mit der ESP verwendet werden. Beim IPv6 müssen die Extension Headers Hop-by-Hop, Routing und Fragment direkt nach dem IPv6-Header, d.h. vor dem AH, folgen [Abschnitt 6.3].
12.4.5 Encapsulating Security Payload (ESP) Unter ESP ist eigentlich ein Frame zu verstehen, der sich aus einem Header und einem Trailer zusammensetzt. Mit ESP können die Sicherheitsdienste wie Vertraulichkeit, Authentifizierung, Datenintegrität und Anti-Replay-Schutz realisiert werden. Im Gegensatz zum AH-Einsatz wird mit ESP die Vertraulichkeit
12.4 IPsec und Layer-3-Tunneling
607
gewährleistet. ESP kann eigenständig oder kombiniert mit AH eingesetzt werden. Abbildung 12.4-5 zeigt die Struktur des ESP-Frames. 0
7
3 1
1 5
S e c u rity P a ra m e te r In d e x (S P I) S e q u e n c e N u m b e r F ie ld P a y lo a d D a ta v a r ia b le L ä n g e P a d d in g (0 - 2 5 5 B y te s )
P a d L e n g th
N e x t H e a d e r
A u th e n tic a tio n D a ta (In te g rity C h e c k V a lu e ) v a r ia b le L ä n g e Abb. 12.4-5: Struktur des ESP-Frames Der ESP-Header enthält folgende Angaben:
ESP-Header
Security Parameter Index (SPI): Dieses 32-Bits-Feld hat die gleiche Bedeutung wie das entsprechende Feld SPI im AH [Abb. 12.4-3]. Sequence Number: In diesem 32-Bits-Feld wird eine Sequenznummer eingetragen. Sie hat die gleiche Bedeutung wie die Sequenznummer beim AH. Payload Data beinhaltet
− −
im Transport-Mode den Inhalt des eingebetteten IP-Pakets (d.h. das Paket ohne IPHeader [Abb. 12.4-1]), im Tunnel-Mode das ganze IP-Paket.
Den ESP-Trailer bilden folgende Felder: Padding: In diesem Feld sind die Füllzeichen (Fülldaten) enthalten. Da einige Verschlüsse-
lungs- und Authentifizierungsverfahren die Daten blockweise „bearbeiten“, muss eine Vielzahl der Datenblöcke mit konstanter Länge aus den Daten entstehen. Ist dies nicht der Fall, müssen die zu übertragenden Daten um einige Füllzeichen ergänzt werden, sodass eine Vielzahl an Datenblöcken entsteht. Pad Length (Länge des Padding-Feldes): In diesem 8-Bits-Feld wird die Länge der Füll-
daten angegeben. Damit wird dem Empfänger mitgeteilt, wie viele Fülldaten zu den Nutzdaten hinzugefügt wurde, sodass er die Länge der tatsächlichen Nutzdaten herausfinden kann. Diese Angabe wird beim Empfänger zum Verwerfen des Padding-Feldes verwendet. Next Header: In diesem 8-Bits-Feld wird der nächste Header (z.B. TCP, UDP, ICMP) angegeben, der nach dem ESP-Header im IP-Paket folgt. Dieses Feld hat die gleiche Bedeutung wie das entsprechende Feld beim AH. Authentication Data: In diesem Feld variabler Länge wird die Prüfsumme ICV (Integri-
ty Check Value) übertragen. Diesem Feld kommt ähnliche Bedeutung wie dem entsprechenden Feld beim AH zu.
Abbildung 12.4-6 zeigt, wie die IP-Pakete um den ESP-Header und den -Trailer im Transport-Mode erweitert werden können.
ESP-Trailer
608
12 Virtual Private Networks und Remote Access Services
o rig in a l IP v 4 -P a k e t
a )
IP
e rw e ite rte s IP v 4 -P a k e t
IP
O rig in a l IP v 6 -P a k e t
IP v 6
b )
e rw e ite rte s IP v 6 -P a k e t
Abb. 12.4-6:
IP v 6
E H
D a te n
T C P
E P S -T ra ile r
E P S ´ T C P
1
D a te n E P S ´´ A D IC V V e rs c h lü s s e lte r B e re ic h In te g ritä ts p rü fu n g T C P
E H s E P S ´ E H
D a te n
E P S -T ra ile r
E P S ´´ A D D a te n IC V V e rs c h lü s s e lte r B e re ic h In te g ritä ts p rü fu n g 2
T C P
ESP-Angaben beim Transport-Mode in: a) IPv4-Paketen, b) IPv6-Paketen AD: Authentication Data als Integriry Check Value (ICV), EH: Extension Header, EPS´: EPS-Header, EPS´´: EPS-Trailer
Bei IPv6 müssen die Extension Headers Hop-by-Hop, Routing und Fragment direkt nach dem IPv6-Header, d.h. vor dem ESP-Header, folgen.
12.4.6 Datenverschlüsselung beim IPsec ESP kann auch zum Verschlüsseln der im IP-Paket übertragenen Daten ver-
wendet werden. Hierfür werden folgende symmetrische Verschlüsselungsverfahren eingesetzt: Data Encryption Standard (DES), Triple-DES (3DES), International Data Encryption Algorithm (IDEA). Damit eine sichere Kommunikation möglich ist, müssen zwei der kommunizierenden Rechner die gleichen Verschlüsselungs-/Entschlüsselungsverfahren einsetzen sowie natürlich den gleichen gemeinsamen Schlüssel nutzen, allerdings ohne dass der (geheime) Schlüssel über Netz gesendet wird. Schlüssel
Internet Key Exchange
Bei einem Schlüssel handelt es sich um den geheimen Code, der zum Verschlüsseln (Datensicherung) und zum Entschlüsseln von gesicherten Daten erforderlich ist. Die Erzeugung eines gemeinsamen und geheimen Schlüssels erfolgt nach dem IPsec automatisch. Die Richtlinien zum IPsec-Einsatz legen fest, wie oft ein neuer Schlüssel während der Kommunikation erstellt wird. Die Generierung erfolgt nach dem Verfahren IKE (Internet Key Exchange), das man als dynamische Schlüsselneuerzeugung bezeichnet [Abschnitt 12.4.3].
12.4 IPsec und Layer-3-Tunneling
609
Um Schlüsselinformationen über ein IP-Netz auszutauschen, verwendet man Diffieden Diffie-Hellman-Algorithmus (DH) [RFC 2631]. Der DH-Algorithmus gehört Hellmanzu den ältesten und sichersten Algorithmen, die für den Austausch der Schlüs- Algorithmus selinformation verwendet werden. Die beiden kommunizierenden Rechner tauschen öffentlich nur die Schlüsselinformation aus. Keiner der beiden Rechner sendet den tatsächlichen Schlüssel. Sobald die beiden Rechner die Schlüsselinformation ausgetauscht haben, können beide den identischen gemeinsamen Schlüssel für sich selbst generieren. Der tatsächliche, geheime Schlüssel wird allerdings niemals über das Netz ausgetauscht.
12.4.7 Authentifizierung und Prüfung der Datenintegrität Die Authentifizierung der Datenquelle eines IP-Pakets dient als Echtheitsnachweis und ermöglicht am Ziel herauszufinden, ob das betreffende IP-Paket wirklich aus der wahren Quelle stammt, die im Paket angegeben ist und mit der das Ziel einen geheimen Schlüssel teilt. Die Prüfung der Datenintegrität im IPPaket ermöglicht es herauszufinden, ob das IP-Paket unterwegs manipuliert wurde, d.h. ob das IP-Paket auch dem entspricht, was abgeschickt wurde. Die Authentifizierung der Datenquelle und die Prüfung der Datenintegrität beim IP-Paket können als Prüfung der Echtheit dieses Pakets angesehen werden. Hierbei spielen sog. Einweg-Hash-Funktionen eine entscheidende Rolle. Eine Hash-Funktion ist eine Rechenvorschrift, mit der eine „Eingangs“-Zei- Hashchenfolge beliebiger Länge in eine „Ausgangs“-Zeichenfolge fester (im Allge- Funktion meinen kürzerer) Länge umgewandelt wird. Eine Einweg-Hash-Funktion funktioniert nur in einer Richtung, d.h. aus der „Eingangs“-Zeichenfolge lässt sich einfach die „Ausgangs“-Zeichenfolge berechnen, aber es ist sehr schwer bis unmöglich, zu einer „Ausgangs“-Zeichenfolge passende „Eingangs“-Zeichenfolgen zu berechnen. Die oft benutzten Einweg-Hash-Funktionen sind: MD5 (Message Digest 5) [RFC 1321]: Sie erzeugt die „Ausgangs“Zeichenfolge mit der Länge von 128 Bits (16 Zeichen). SHA (Secure Hash Algorithm) [RFC 2404]: Die Hash-Funktion wird verwendet, um eine Prüfsumme MAC (Message Authentication Code) zu berechnen, mit der man ein zu sendendes IP-Paket signieren kann. Somit ist diese Prüfsequenz mit der digitalen Signatur vergleichbar. Beim IPsec wird eine sog. Keyed-Hash-Funktion verwendet, die wiederum von Keyed-Hasheiner bestimmten Einweg-Hash-Funktion Gebrauch macht. Eine besondere Funktion Form der Keyed-Hash-Funktion wird als HMAC-Funktion (Hash based Message Authentication Code) bezeichnet. Sie kann mit jeder beliebigen EinwegHash-Funktion, d.h. sowohl mit MD5 als auch mit SHA, benutzt werden. Die
610
12 Virtual Private Networks und Remote Access Services
HMAC-Funktion auf der Basis der Einweg-Hash-Funktion H ist folgendermaßen definiert [RFC 2104]: Y = HMAC (X, K) = H (K XOR opad, H(K XOR ipad, X)), wobei:
Echtheitsprüfung mit HMAC
K: X: Y: XOR: ipad: opad:
gemeinsamer und geheimer Schlüssel zu übertragende Daten Prüfsequenz als Signatur von übertragenen Daten Operation Bitweise Exclusive OR Sequenz von B Bytes x’36’ Sequenz von B Bytes x’5C’
Bei der Berechnung der Hash-Funktion H werden zunächst die Daten in Blöcke mit der Länge von B Bytes aufgeteilt und danach der Wert der Funktion iterativ ermittelt. Man verwendet B = 64. Abbildung 12.4-7 illustriert das Prinzip, nach dem die HMAC-Funktion beim IPsec verwendet wird, um die Echtheit von Daten zu prüfen. Wie hier ersichtlich ist, wird beim Absender (Quellrechner) zuerst eine Prüfsequenz Y nach der HMAC-Funktion berechnet. Die Prüfsequenz Y stellt den Inhalt des Feldes Authentication Data im AH bzw. im ESP [Abb. 12.4-3 und -5] dar. Das zu sendende IP-Paket wird mit AH bzw. ESP erweitert [Abb. 12.4-4 und -6]. An den Zielrechner (Empfänger) werden somit die Daten X mit Y übermittelt. So werden die zu sendenden IP-Pakete signiert. a ) X
A b se n d e r
[X , Y ]
Y = H M A C (K , X )
b ) X
A b se n d e r
[X , Y ] Y = H M A C (K , X )
H M A C : K e y e d -H a s h -O p e ra tio n
Ü b e rm ittlu n g s n e tz
Ü b e rm ittlu n g s n e tz
[X , Y ]
E m p Z = H M A C ( Z = Y : D a te n s ta m m e n a u s
[X * , Y * ]
fä n g e r K , X ) s in d e c h t u n d g ü ltig e r Q u e lle !
E m p fä n g e r
Z * = H M A C (K , X * ) Z * = Y * : D a te n s in d n ic h t e c h t b z w . s ta m m e n a u s u n g ü ltig e r Q u e lle !
K : g e m e in s a m e r u n d g e h e im e r S c h lü s s e l X : D a te n
Y : P rü fsu m m e
Abb. 12.4-7: Authentifizierung der Datenquelle und Prüfung der Datenintegrität: a) Ergebnis ist positiv, b) Ergebnis ist negativ
Der geheime Schlüssel, den man in der HMAC-Funktion verwendet, wird bei der Aushandlung der entsprechenden SA zwischen den kommunizierenden Rechnern vereinbart [Abb. 12.4-2]. Dieser Vorgang erfolgt nach den im IKE dargestellten Prinzipien [RFC 2407, RFC 4306]. Beim Empfänger wird die gleiche HMAC-Funktion durchgeführt. Stimmt die beim Empfänger ermittelte Prüfsumme Z mit der beim Absender ermittelten
12.4 IPsec und Layer-3-Tunneling
611
Prüfsequenz Y überein, so stellt man fest, dass die Daten im betreffenden IPPaket echt sind (Datenintegrität) und aus der gültigen Quelle stammen (Authentizität der Datenquelle). Für das IPsec stehen folgende HMAC-Funktionen zur Verfügung: MHAC-MD5: Sie generiert aus Daten variabler Länge eine Prüfsequenz mit der Länge von 128 Bits. Man verwendet hier den Message Digest Algorithm 5 (MD5) als Hash-Funktion H. Die Prüfsequenz wird so „abgeschnitten“, dass nur die ersten 96 Bits in AH bzw. in ESP übertragen werden. In diesem Zusammenhang spricht man von MHAC-MD5-96 [RFC 2403]. MHAC-SHA-1: Sie generiert aus den Daten variabler Länge eine Prüfsequenz mit der Länge von 160 Bits. Man verwendet hierbei den Algorithmus SHA (Secure Hash Algorithm) als Hash-Funktion H. Die Prüfsequenz, bis zu 96 Bits, wird „abgeschnitten“ und in AH bzw. in ESP übertragen. Daher wird diese Variante als MHAC-SHA-1-96 bezeichnet [RFC 2404].
HMACFunktionen
RIPEMD-160: RIPEMD (RIPE Message Digest) wurde für das RIPEProjekt (RACE Integrity Primitives Evaluation) der EU entwickelt und 1996 erstmals veröffentlicht. RIPEMD-160 ist eine Hash-Funktion, die eine Prüfsequenz mit der Länge von 160 Bits erzeugt. Nur die ersten 96 Bits der Prüfsequenz werden aber in AH bzw. in ESP übertragen. Daher bezeichnet man die Variante als MHAC-RIPEMD-160-96 [RFC 2404]. Es existieren auch die 128-, 256- und 320-Bits-Versionen von RIPEMD, die man entsprechend als RIPEMD-128, RIPEMD-256 bzw. RIPEMD-320 bezeichnet. RIPEMD-160 scheint sich in Europa und SHA-1 in den USA als de-factoStandard durchzusetzen.
12.4.8 IPsec-Einsatz im Tunnel-Mode Beim IPsec unterscheidet man zwei Betriebsarten: Tunnel-Mode und Transport-Mode. Die Erweiterung der IP-Pakete im Transport-Mode mit AH bzw. ESP wurde bereits in den Abbildungen 12.4-4 und -6 dargestellt. Abbildung 12.4-8 illustriert den IPsec-Einsatz im Tunnel-Mode zwischen zwei Security Sicherheits-Gateways SG (Security Gateway) sowohl beim NSP (Network Gateway Service Provider) als auch im NAS (Network Access Server) eines Intranet. Hierbei werden dem zu sendenden IP-Paket zuerst zusätzliche Sicherheitsparameter als AH oder ESP vorangestellt (s. D1 in Abbildung 12.4-12). Das so erweiterte Original-IP-Paket wird nachher noch um einen IP-Tunnel-Header ergänzt, in dem die Quell- und die Ziel-IP-Adresse der beiden TunnelEndpunkte enthalten sind. Der Tunnel-Mode hat den Vorteil, dass Quelle und
612
12 Virtual Private Networks und Remote Access Services
Ziel der Kommunikation versteckt und nur die Tunnel-Endpunkte bei der Übermittlung über ein IP-Netz sichtbar sind.
Z u b rin g e rn e tz IP -P a k e t
Q u e llre c h n e r
N S P
N A S
I P - N e tz ( z .B . I n te r n e t) T u n n e l
S G 1
S G 2
IP -P a k e t in IP -P a k e t O rig in a l IP -P a k e t
In tra n e t IP -P a k e t
Z ie lre c h n e r
T u n n e l- I P - H e a d e r [ ..., Q u e ll- I P - A d r . = S G 1 , Z ie l- I P - A d r . = S G 2 , ...]
IP se c -H e a d e r
Abb. 12.4-8: IPsec-Einsatz im Tunnel-Mode
Authentication Header
Wie IP-Pakete im Tunnel-Mode um den Header AH erweitert werden, zeigt Abbildung 12.4-9. Beim IPv4 werden die Sicherheitsparameter im TunnelMode als Authentication Header (AH) zwischen dem zusätzlichen TunnelIP-Header (T-IP) und dem Original-IP-Paket eingebettet. Somit kann das gesamte Original-IP-Paket in seiner ursprünglichen Form für die Übermittlung über ein IP-Netz gesichert werden. Da der Tunnel-IP-Header nur die Quellund die Ziel-IP-Adresse der beiden Tunnel-Endpunkte enthält, sind Quelle und Ziel der Kommunikation versteckt und nur die Tunnel-Endpunkte erkennbar. O rig in a l IP v 4 -P a k e t
a )
e rw e ite rte s IP v 4 -P a k e t
O rig in a l IP v 6 -P a k e t
T -IP IP v 6
A H
IP IP
E H s
T C P
D a te n
D a te n T C P A u th e n tifiz ie rte r B e re ic h T C P
D a te n
b ) e rw e ite rte s IP v 6 -P a k e t
T -IP v 6 E H 1
A H
D a te n IP v 6 E H 2 T C P A u th e n tifiz ie rte r B e re ic h
Abb. 12.4-9: AH-Angaben im Tunnel-Mode in: a) IPv4-Paketen, b) IPv6-Paketen
Beim IPv6 im Tunnel-Mode wird AH ebenfalls zwischen dem zusätzlichen Tunnel-IPv6-Header und dem Original-IPv6-Paket eingebettet. Hierbei werden dem AH einige Extension Headers (EH1) wie Hop-by-Hop, Routing und Fragment vorangestellt [Abschnitt 6.3]. Extension Header
Die Erweiterung der IP-Pakete im Tunnel-Mode um die ESP-Angaben zeigt Abbildung 12.3-10. Beim IPv4 wird der ESP-Header (ESP´) zwischen dem zusätzlichen Tunnel-IP-Header und dem Original-IP-Paket eingebettet. Der ESP-
12.4 IPsec und Layer-3-Tunneling
613
Trailer (ESP´´) folgt nach dem Original-IP-Paket. Das erweiterte IP-Paket wird mit dem Feld AD mit einer Prüfsequenz abgeschlossen [vgl. Abb. 12.4-5]. a )
O rig in a l IP v 4 -P a k e t e rw e ite rte s IP v 4 -P a k e t
T -IP
E S P ´
IP
T C P
IP
T C P
D a te n D a te n
In te g ritä ts p rü fu n g
b )
IP v 6
O rig in a l IP v 6 -P a k e t
e rw e ite rte s IP v 6 -P a k e t
T -IP v 6
E H 1
E H s
E S P ´ IP v 6 E H
T C P
In te g ritä ts p rü fu n g
Abb. 12.4-10:
V e rs c h lü s s e lte r B e re ic h D a te n
T C P 2
E P S -T ra ile r
E S P ´´ A D IC V
E P S -T ra ile r
D a te n E S P ´´ A D IC V V e rs c h lü s s e lte r B e re ic h
ESP-Angaben im Tunnel-Mode in: a) IPv4-Paketen, b) IPv6-Paketen ESP´: EPS-Header, ESP´´: ESP-Trailer, AD: Authentication Data als ICV (Integrity Check Value)
Beim IPv6 wird der ESP-Header (ESP´) zwischen dem zusätzlichen TunnelIPv6-Header und dem Original-IPv6-Paket eingebettet. Der ESP-Trailer (ESP´´) folgt nach dem Original-IP-Paket. Bei IPv6 im Tunnel-Mode werden einige Extension Headers (EH1) wie Hop-by-Hop, Routing und Fragment dem ESP-Header vorangestellt. Abbildung 12.4-11 illustriert, wie ein zu übertragendes IPv4-Paket verarbeitet wird, um Vertraulichkeit, Datenintegrität und Authentizität zu erreichen. O rig in a l IP v 4 -P a k e t
IP
D a te n 1
E S P ´
IP
D a te n
E S P ´´ 2
E S P ´
V e rs c h lü s s e lte r B e re ic h
4 3
T -IP
Abb. 12.4-11:
In te g ritä ts p rü fu n g
IC V
Schritte bei der Erweiterung eines IPv4-Pakets mit ESP AD: Authentication Data, T-IP: Tunnel-IP-Header
Bei der Erweiterung eines IPv4-Pakets mit ESP sind folgende Schritte zu unter- IPv4-Pakete mit ESP scheiden: 1. Das zu übertragende IPv4-Paket wird um den ESP-Header (ESP´) und den ESP-Trailer (ESP´´) erweitert.
614
12 Virtual Private Networks und Remote Access Services
2. Der vertrauliche Bereich (Original IP-Paket und ESP´´) wird nach einem Verschlüsselungsverfahren (z.B. 3DES) verschlüsselt. 3. Aus dem verschlüsselten Bereich und dem ESP´ wird die HMAC-Funktion (Hash based Message Authentication Code) errechnet und das Ergebnis wird als Prüfsequenz im ESP-Feld AD am Ende des Pakets übertragen [Abb. 12.4-7]. Als HMAC-Funktion kann hier sowohl − MHAC-MD5 [RFC 2403] als auch − MHAC-SHA-1 [RFC 2404] verwendet werden. 4. Es wird ein neuer Tunnel-IP-Header generiert und den zu übertragenden Daten vorangestellt.
12.4.9 IPsec-Einsatz zum Aufbau von VPNs Site-to-SiteVPNs
Das IPsec ermöglicht den Aufbau aller VPN-Arten über klassische IP-Netze. Die Möglichkeiten des Einsatzes des IPsec zum Aufbau von Site-to-Site-VPNs zeigt Abbildung 12.4-12. Es werden hier zwei Fälle vorgestellt: a. Tunnel über IP-Netz b. Tunnel über IP-Netz und SA (Security Association) intern F ire w a lls S ite A
b )
D 2
IP -N e tz (In te rn e t)
V G a )
D 1 D 1 S A im
D 1 : T -IP [A H /E S P [IP [x x x x ]]] T -IP : T u n n e l-IP -H e a d e r
Abb. 12.4-12:
S ite B
V G
D 2 T ra n s p o rt-M o d e
D 2 : IP [A H /E S P [x x x x ]]
[x x x x ] IP -N u tz la s t
Typische Varianten von Site-to-Site-VPNs mit dem IPsec D1, D2: Struktur von übertragenen Daten, SA: Security Association, VG: VPN-Gateway (VG = SG in Abbildung 12.4-8)
Fall a
Um einen Tunnel über ein IP-Netz aufzubauen, muss das IPsec im TunnelMode realisiert werden. Sollte die Kommunikation über den Tunnel in beide Richtungen erfolgen, so muss der Tunnel mit zwei entgegengerichteten SAs eingerichtet werden [Abb. 12.4-2]. Das IP-Paket (d.h. der Teil IP[xxxx]) wird typischerweise verschlüsselt übertragen und der Teil ESP[IP[xxxx]] mit einer Prüfsequenz gesichert, um so Verfälschungen während der Übertragung zu erkennen (s. D1 in Abbildung 12.4-12).
Fall b
Falls die Kommunikation innerhalb der Site auch vertraulich sein soll, bietet sich an, das IPsec im Transport-Mode zu implementieren. Hierfür kann eine
12.4 IPsec und Layer-3-Tunneling
615
gesicherte virtuelle Verbindung vom Tunnel zu den bestimmten Endsystemen nach Bedarf aufgebaut werden. Eine derartige Verbindung stellt eine SA im Transport-Mode dar. Hier wird das Original-IP-Paket so gesichert, dass ein Header AH bzw. ESP zwischen dem IP-Header und der Nutzlast [xxxx] eingebettet wird (s. D2 in Abbildung 12.4-12). Dadurch wird die Nutzlast verschlüsselt und der Teil [AH/ESP[xxxx]] kann mit einer Prüfsequenz gegen Verfälschungen gesichert werden. Die Möglichkeiten des IPsec-Einsatzes zum Aufbau von Remote-Access-VPNs Remotezeigt Abbildung 12.4-13. Hier wurde angenommen, dass die Firewall im Intra- Access-VPNs net zweistufig ist. Zwischen der ersten und der zweiten Firewall-Stufe im Unternehmensnetz entsteht eine sog. demilitarisierte Zone DMZ (DeMilitarized Zone). Für die Sicherung der Datenübermittlung innerhalb der DMZ müssen normalerweise noch bestimmte Sicherheitsmaßnahmen ergriffen werden. Hierbei sind mehrere Einsatzszenarien des IPsec denkbar (Fall: a, b, c und d).
A
In tra n e t
F ire w a lls : S tu fe 1 Z u g a n g s n e tz
IP -N e tz (In te rn e t)
N S P
V G 1
D M Z
F ire w a lls : S tu fe 2 V G 2
G e s ic h e rte r T e il
D 1
a )
P P P
b )
P P P + S A
D 2
D 1
P P P + S A
D 2
D 1
D 1
S A
D 2
D 1
D 1
S A
D 2
c ) d )
D 1 T -IP [A H /E S P [IP [x x x x ]]]
Abb. 12.4-13:
B
D 2 IP [A H /E S P [x x x x ]] T -IP : T u n n e l-IP -H e a d e r [x x x x ] IP -P a k e tin h a lt
IPsec-Einsatz bei VPNs mit Remote Access D1, D2: Struktur von übertragenen Daten, SA: Security Association, VG: VPN-Gateway (Security Gateway)
Im Fall a) handelt es sich um eine solche Situation, in der ein IPsec-Tunnel nur über Fall a das IP-Netz zwischen einem Network Service Provider (NSP) und dem ersten Security Gateway (SG1) im Intranet eingerichtet wurde. Das IPsec wird über das IP-Netz im Tunnel-Mode betrieben. Ein Remote-Benutzer (A) hat den Zugang zum Tunnel über eine PPP-Verbindung. Mit dem Protokoll CHAP [Abb. 10.2-10], das im PPP enthalten ist, kann er beim NSP authentifiziert werden. Innerhalb des Intranet wird das IPsec bei dieser VPN-Lösung nicht implementiert. Im Fall b) wird das IPsec auch im Zugangsbereich implementiert. Dies bedeutet, dass Fall b eine Security Association (SA) über eine PPP-Verbindung eingerichtet wird. Somit kann die Nutzlast der über das Zugangsnetz übertragenen IP-Pakete verschlüsselt und der Teil [AH/ESP[xxxx]] so gesichert werden, dass sich mögliche Verfälschungen entdecken lassen. Wird eine Verfälschung entdeckt, ist das betreffende IP-Paket einfach zu verwerfen.
616
12 Virtual Private Networks und Remote Access Services
Fall c
Der Fall c) stellt eine Systemlösung dar, bei der die Kommunikation auch innerhalb des Intranet gesichert wird. Auf der ersten Firewall-Stufe findet eine Überprüfung der Authentizität von Remote-Benutzern und der Integrität von Daten statt, und erst dann, falls die Überprüfung positiv war, wird der IPsec-Tunnel bis zur zweiten Firewall-Stufe verlängert. Im Sicherheits-Gateway SG1 ist hierfür eine Art von Tunnel-SwitchingFunktion nötig. Im gesicherten Teil des Intranet wird das IPsec auch eingesetzt. Dies bedeutet, dass das IPsec im Transport-Mode für die Kommunikation zwischen Endsystem und SG2 eingesetzt wird. Somit wird eine SA im Transport-Mode zwischen Endsystem und SG2 aufgebaut, die als gesicherte virtuelle Verbindung zu sehen ist.
Fall d
Im Fall d) wird das IPsec im Tunnel-Mode für die Kommunikation sowohl über das IPNetz als auch über das Zubringernetz eingesetzt. Somit kann ein Remote-Benutzer einen Tunnel initiieren, der direkt (d.h. über die Systemkomponenten beim NSP transparent) bis zum Intranet geführt wird.
12.5 Einsatz des Protokolls RADIUS Was ist RADIUS?
Bei der Realisierung von Remote Access Services (RAS) in großen Intranets ist ein sog. AAA-Server (Authentifizierung, Autorisierung, Accounting) notwendig, in dem die Daten abgespeichert werden, die man benötigt, um die auf das Intranet zugreifenden Remote-Benutzer zu überprüfen. Für die RAS-Zwecke wird ein Network Access Server (NAS) zwischen dem Intranet und einem öffentlichen Netz installiert. RADIUS (Remote Authentication Dial-In User Service) ist ein Protokoll zur Übermittlung von Authentifizierungs- und Autorisierungsinformationen zwischen AAA-Server und NAS an der Grenze zum öffentlichen Netz. Die aktuelle Version von RADIUS beim Einsatz von IPv4 wird in RFC 2865 definiert. Die Besonderheiten von RADIUS für das IPv6 beschreibt RFC 3162. Hier wird nur auf RADIUS bei IPv4 eingegangen. Das RADIUS funktioniert nach dem Client/Server-Konzept und legt die Kooperation zwischen NAS und AAA-Server fest. Die Daten werden zwischen Client und Server in der Regel verschlüsselt übertragen. Das RADIUS wird in Netzen mit IP eingesetzt und verwendet das verbindungslose Transportprotokoll UDP.
12.5.1 Network Access Server und RADIUS Network Access Server
Abbildung 15.5-1 illustriert das RAS-Konzept. Mit dem RAS kann sich ein Remote-Benutzer in ein ihm erlaubtes Intranet einwählen. Nach der Einwahl erhält dieser Benutzer dieselben Rechte wie jeder lokale Benutzer. Die RemoteBenutzer können auf diesem Weg vollständig in das Intranet integriert werden und genauso arbeiten, wie sie es von einem direkt angeschlossenen Arbeitsplatz am Netzwerk gewohnt sind. Mit dem RAS ist es daher möglich, ein Intra-
12.5 Einsatz des Protokolls RADIUS
617
net räumlich uneingeschränkt zu erweitern. Um eine RAS-Lösung realisieren zu können, ist ein NAS notwendig, der an der Grenze zwischen Zugangsnetz und Intranet installiert werden muss. Der NAS fungiert oft auch als Router. D ia l-In Z u g a n g
R e m o te B e n u tz e r (C lie n ts )
N A S Z u g a n g s n e tz (e )
In tra n e t
Z u g a n g s s ic h e rh e it, A d re ssv e rg a b e , R o u te r - F u n k tio n , ...
D a te n se rv e r
W W W -S e rv e r
Abb. 12.5-1: Bedeutung des RAS
Greift ein Remote-Benutzer über Remote Access auf das Intranet zu, so spricht man von einem Dial-In-Zugang. Jeder NAS muss u.a. folgende Funktionen unterstützen: Authentifizierung (auch Authentisierung genannt): Wer ist das? Autorisierung von Remote-Benutzern: Was darf er? Accounting (Abrechnung): Was hat er gemacht? Mit der Öffnung eines Intranet nach außen besteht immer die Gefahr des Zugangs durch unberechtigte Benutzer. Um dies zu vermeiden, muss im NAS eine Überprüfung der Authentizität jedes Remote-Benutzers stattfinden. Diesen Vorgang nennt man Authentifizierung (Authentisierung). Nur wenn die Authentizität sichergestellt ist, können weitere Maßnahmen wie Autorisierung und Accounting wirkungsvoll sein. Unter Autorisierung versteht man die vom jeweiligen Benutzer abhängige Einschränkung des Netzzugriffs. Hierfür werden sog. Benutzer-Profile in einer Benutzerdatenbank (im RADIUS-Server) gespeichert. Man verwendet die Autorisierung, um den Zugriff auf Ressourcen zu überwachen. Erst nach der erfolgreichen Authentifizierung ist der Remote-Benutzer (im Rahmen seines Benutzerprofils) berechtigt, auf bestimmte Ressourcen im Intranet zuzugreifen, so als befände er sich lokal innerhalb des Netzwerks.
Authentifizierung
Autorisierung
Unter Accounting (Abrechnung) versteht man die Art und Weise, wie Rech- Accounting nungen für den Verbrauch von Netz-Ressourcen und Nutzung von dessen Diensten erstellt werden. Ein Accounting ist nicht nur für kommerzielle Anbieter von Online-Diensten für die Rechnungserstellung notwendig. Auch für die Absicherung der Fernzugänge gegenüber Missbrauch und zur Trendanalyse der Auslastung wird ein Abrechnungssystem benötigt. In großen Intranets ist die Anzahl von Remote-Benutzern so groß, dass es sinn- AAA-Server voll ist, Authentifizierung, Autorisierung und Accounting zu zentralisieren und
618
12 Virtual Private Networks und Remote Access Services
sie vom NAS zu trennen. Dies wird von speziellen dedizierten Servern im Unternehmensnetz übernommen. Ein solcher Server kann im Allgemeinen als AAA-Server bezeichnet werden. Dies illustriert Abbildung 12.5-2. Für solche Lösungen sprechen folgende Gründe: die NAS-Komplexität so gering wie möglich halten und damit die Fehleranfälligkeit reduzieren, die Sicherheit erhöhen. D ia l-In Z u g a n g
R e m o te B e n u tz e r (C lie n ts )
N A S Z u g a n g s n e tz (e )
In tra n e t A A A S e rv e r
R A D IU S -P ro to k o ll
B e n u tz e rd a te n
Abb. 12.5-2: Einsatz eines AAA-Servers
Mithilfe eines AAA-Servers können die Authentifizierungs-, Autorisierungsund Accounting-Daten zentral verwaltet und ausgewertet werden. Die allgemeinen Informationen im AAA-Server über jeden Remote-Benutzer umfassen in der Regel solche Angaben wie: Name, Telefonnummer, E-Mail-Adresse und Standort. Neben den Nutzungsrechten werden für jeden Remote-Benutzer weitere sicherheitsbezogene Daten wie Kennwort, Art der Authentifizierung etc. gespeichert. Benutzerspezifisch sollen die Remote-Verbindungen auch überwacht werden, um Daten für die Zuordnung von Verbindungskosten zu liefern.
12.5.2 Konzept von RADIUS Der Datenaustausch zwischen dem NAS und dem AAA-Server findet nach dem RADIUS statt. Das RADIUS funktioniert nach dem Client/ServerKonzept und legt die Kooperation zwischen NAS und AAA-Server fest. Beim RADIUS werden zwei logische Komponenten definiert: RADIUS-Server und AAA-Server
RADIUS-Client. Der RADIUS-Server kann als AAA-Server angesehen werden, in dem sämtliche Informationen über Remote-Benutzer zur Verfügung stehen. Der RADIUSClient stellt ein Funktionsmodul dar, das auf dem NAS installiert wird. Abbildung 12.5-3 zeigt das RADIUS-Konzept.
12.5 Einsatz des Protokolls RADIUS
N A S
R e m o te -B e n u tz e r
Z u g a n g s n e tz V e rb in d u n g s a u fb a u z u m A u th e n tifiz ie ru n g s d a te n :
N A S
N a m e , P a s s w o r t, ...
A u th e n tifiz ie ru n g s e rg e b n is
R A D IU S C lie n t
In tra n e t
R A D IU S
619
A A A -S e rv e r R A D IU S S e rv e r
A u th e n tifiz ie ru n g s d a te n A u th e n tifiz ie ru n g s e rg e b n is
Ü b e rp rü fu n g d e r Z u g a n g sre c h te
Abb. 12.5-3: Authentifizierung eines Remote-Benutzers mit dem RADIUS
Ein Remote-Benutzer, der sich auf dem NAS einwählen möchte, wird entsprechend überprüft (authentifiziert). Sobald ein Remote-Benutzer seine Informationen für die Authentifizierung in den RADIUS-Client einträgt, beginnt die Authentifizierung nach dem RADIUS. Übermittelt ein Remote-Benutzer beispielsweise seine Benutzerdaten mithilfe CHAP des Protokolls CHAP [Abb. 10.2-10], erstellt der RADIUS-Client ein Paket Access-Request (Zugriffsanforderung), in dem Attribute wie beispielsweise der Name des Benutzers, das Kennwort, die Kennung des RADIUS-Client und die Anschlusskennung enthalten sind, auf die der Benutzer zugreift. Ist ein Passwort vorhanden, wird das Passwort durch das CHAP mittels eines Verfahrens verschlüsselt, das auf dem Algorithmus RSA MD5 (Rivest-ShamirAdleman Message Digest 5) basiert. Das Paket Access-Request wird an den RADIUS-Server übermittelt. AccessKommt innerhalb einer bestimmten Zeitperiode keine Antwort an, kann die Request Übertragung von Access-Request mehrmals wiederholt werden. Für den Fall, dass der RADIUS-Server ausgefallen oder nicht erreichbar ist, kann der RADIUS-Client die Zugriffsanforderung auch an einen alternativen Server bzw. mehrere alternative Server weiterleiten. Nach Eingang von Access-Request beim RADIUS-Server überprüft dieser zunächst den RADIUS-Client, der das Paket abgeschickt hat. Hierbei wird festgestellt, ob Access-Request von einem konfigurierten RADIUS-Client abgeschickt worden ist. Wurde Access-Request von einem gültigen RADIUS-Client abgeschickt (bei dem RADIUS-Client sind digitale Signaturen aktiviert), wird die im Paket enthaltene digitale Signatur (nach dem Algorithmus RSA MD5) anhand des gemeinsamen Schlüssels geprüft. Ein AccessRequest von einem RADIUS-Client, für den auf dem RADIUS-Server kein gemeinsamer Schlüssel definiert ist, wird ohne Rückmeldungen abgewiesen. Ist der RADIUS-Client gültig, sucht der RADIUS-Server in einer Benutzerda- Benutzertenbank nach dem Benutzer, dessen Name im Access-Request eingetragen konto ist. Das Benutzerkonto enthält eine Liste mit Voraussetzungen, die zu erfüllen
620
12 Virtual Private Networks und Remote Access Services
sind, damit der Remote-Benutzer einen Zugang erhält. Darunter fallen die Überprüfung des Passworts, aber auch die Festlegung, ob dem Benutzer überhaupt ein Zugriff erlaubt ist. AccessReject
Sollte eine Bedingung für die Authentifizierung oder Autorisierung nicht erfüllt werden, sendet der RADIUS-Server als Antwort das Paket Access-Reject (Zugriffsverweigerung) zurück und meldet, dass der Authentifizierungsversuch des Remote-Benutzers ungültig ist. Erfüllt der Remote-Benutzer alle Bedingungen, wird eine Liste von Konfigurationsangaben (als sog. RADIUS-Attribute) für den Remote-Benutzer im Paket Access-Accept (Zugriff erlaubt) an den RADIUS-Client zurückgesendet. Zu diesen Angaben gehören alle notwendigen Parameter, die für die Bereitstellung des gewünschten Zugangs erforderlich sind. Im Falle des Zugangs mit dem PPP kann es sich bei diesen Werten um eine IP-Adresse, eine Subnetzmaske bzw. die Art der Komprimierung handeln.
12.5.3 RADIUS-Pakete Die Daten zwischen RADIUS-Client und -Server werden in Form sog. RADIUS-Pakete übermittelt. Hierfür wird das verbindungslose Transportprotokoll UDP verwendet. Wie Abbildung 12.5-4 zeigt, stellt das RADIUS eine UDP-Anwendung dar, der die Port-Nummer 1812 zugeordnet wurde. Z ie l-P o rt = 1 8 1 2 IP C
ID
L e n
U D P
D a te n R A D IU S -P a k e t A u th e n tic a to r A ttr . 1 ... A ttr . i ... A ttr . n A ttr ib u t T y p L e n g th V a lu e
Abb. 12.5-4: Aufbau von RADIUS-Paketen C: Code, ID: Identifier, Len: Length
Warum UDP bei RADIUS?
Der Grund, warum man für Übermittlung der RADIUS-Pakete das verbindungslose Transportprotokoll UDP verwendet, besteht darin, dass ein ErsatzRADIUS-Server in der Regel dupliziert werden muss. Fällt ein RADIUSServer aus, so wird direkt der Ersatz-Server in Anspruch genommen, ohne eine Verbindung zum Server aufbauen zu müssen. Die einzelnen Felder im RADIUS-Paket haben folgende Funktionen: Code: Dieses Feld ist 1 Byte lang und gibt den Typ des RADIUS-Pakets an. Es werden fol-
gende RADIUS-Pakettypen definiert:
12.5 Einsatz des Protokolls RADIUS
Code (Dezimal) 1 2 3 4 5 11 12 13
621
Paket Access-Request (Zugriffsanforderung) Access-Accept (Zugriffserlaubnis) Access-Reject (Zugriffsverweigerung) Accounting-Request Accounting-Response Access-Challenge Status-Server (experimentell) Status-Client (experimentell)
Tab. 12.5-1: RADIUS-Pakettypen Identifier: Dieses Feld ist 1 Byte lang. Die Identifikation verwendet der RADIUS-Client
dazu, die Pakete als Antworten vom RADIUS-Server den abgeschickten Anforderungen eindeutig zuzuordnen. Length: Dieses Feld ist 2 Bytes lang und gibt die Gesamtlänge des Pakets an. Authenticator: Dieses Feld ist 16 Bytes lang und enthält die Informationen, die der
RADIUS-Client und der -Server zur gegenseitigen Authentifizierung verwenden. Attribute: Ein RADIUS-Paket kann ein oder mehrere Attribut/e enthalten, in dem/denen
die Authentifizierungs-, Autorisierungs- und Konfigurationsangaben eingetragen sind.
Aus Abbildung 12.5-4 ist auch die Struktur der RADIUS-Attribute ersichtlich. RADIUSAttribute Bei ihnen wird das allgemeine Typ-Länge-Wert-Format verwendet. Die einzelnen Felder beim Attribut haben folgende Bedeutung: Type: Dieses Feld ist 1 Byte lang und gibt die Bedeutung des Attributs an. Length: Dieses Feld ist 1 Byte lang und gibt die Länge des Attributs an. Value: Dieses Feld ist variabel in der Länge und enthält Attributsangaben. Das Format und die Länge des Value-Feldes hängen vom Typ des Attributs ab.
Die RADIUS-Attribute sind u.a. [RFC 2865]: Type 1 2 3 5 7 8 9 12 13 26 32
Attribut User-Name User-Password NAS-IP-Address NAS-Port Framed-Protocol (z.B. SLIP, PPP) Framed-IP-Address (IP-Adr. des Benutzers) Framed-IP-Netmask (IP-Netzmaske beim Benutzer) Framed-MTU (maximale IP-Paketlänge) Framed-Compression (Komprimierungsverfahren) Vendor-Specific (herstellerspezifisches Attribut) NAS-Identifier
Tab. 12.5-2: Einige RADIUS-Attribute
Informationen über die Attribute und deren Verwendung finden sich in den RFCs 2865 und 2866. Beim RADIUS werden auch herstellerspezifische Attribute VSAs (Vendor-Specific Attributes) unterstützt. Sie sind dafür gedacht,
622
12 Virtual Private Networks und Remote Access Services
dass die Hersteller eigene Attribute festlegen können, die nicht in der RADIUS-Spezifikation [RFC 2865] definiert werden.
12.5.4 Einsatz mehrerer RADIUS-Server Große Netzwerke mit IP werden in der Regel auf mehrere Subnetze aufgeteilt. Die Verwaltung von Namen mithilfe des DNS wird ebenfalls so strukturiert, dass mehrere sog. DNS-Zonen mit eigenen Nameservern gebildet werden [Abschnitt 4.1.5]. Die Authentifizierung von Remote-Benutzern und die DNSImplementierung beeinflussen sich gegenseitig. Werden unterschiedliche Zonen innerhalb eines Intranet gebildet, können mehrere RADIUS-Server implementiert werden, die auf die einzelnen Zonen beschränkt sind. In solchen Fällen ist ein sog. Proxy-RADIUS-Server nötig. Wie Abbildung 12.5-5 zeigt, fungiert ein Proxy dem RADIUS-Client im NAS gegenüber als ein Vertreter aller RADIUS-Server.
Z u g a n g s n e tz R e m o te B e n u tz e r
N A S R A D IU S C lie n t
In te rn e t b z w . In tra n e t P ro x y -R A D IU S S e rv e r
R A D IU S S e rv e r R A D IU S S e rv e r
R A D IU S -P ro to k o ll
Abb. 12.5-5: Einsatz mehrerer RADIUS-Server
ProxyRADIUSServer
Die Aufgabe des Proxy-RADIUS-Servers besteht vor allem darin, die Anforderungen vom RADIUS-Client nach bestimmten Kriterien (z.B. IP-Adresse des Remote Clients, Zugangsnetz, ...) an einen RADIUS-Server weiterzuleiten. Falls mehrere RADIUS-Server eingesetzt werden, sind sie entsprechend priorisiert einstufbar. Wenn ein primärer RADIUS-Server nicht innerhalb einer festgelegten Zeitperiode antwortet, wird die Anforderung vom RADIUS-Client automatisch an den nächsten nach der Prioritätsstufe vorgesehenen RADIUSServer übermittelt. Bei erfolgreicher Authentifizierung bei einem RADIUSServer sendet letzterer an den Proxy das Paket Access-Accept, und dieser leitet das Paket an den RADIUS-Client im NAS weiter. Da das RADIUS ein Internet-Standard ist, spielt dieses Protokoll vor allem in heterogenen Umgebungen eine wichtige Rolle. Des Weiteren wird RADIUS bereits oft implementiert und es steht eine Reihe von Accounting-Werkzeugen zur Verfügung, die RADIUS-konform sind.
12.6 Schlussbemerkungen
623
12.6 Schlussbemerkungen Das Ziel dieses Kapitels war es, eine fundierte Übersicht über die technischen Konzepte verschiedener VPNs und Remote Access Services zu geben. Mangels Platz konnten hier VPNs nicht detaillierter dargestellt werden. Abschließend sind noch einige Aspekte hervorzuheben: Die Möglichkeit, eine Pseudo-Drahtverbindung softwaremäßig über IP- VPNs Netze und insbesondere über MPLS-Netze nachbilden zu können, revoluti- verändern oniert die TK-Welt. Durch den zusätzlichen Einsatz von Sicherheitsproto- die TK-Welt kollen, wie z.B. des IPsec, kann ein sicheres VPN eingerichtet werden. Es gibt bereits eine Vielzahl von Lösungen für VPNs, sodass man unterscheidet zwischen L1-, L2- und L3-VPNs [Abb. 12.2-1]. Große Bedeutung für die Praxis haben die L2-VPNs, in denen die Tunnels L2-Dienste eingerichtet werden, um wichtige L2-Übermittlungsdienste über IP-Netze über das IP bereitzustellen. Dies könnte man als X over IP (XoIP) bezeichnen. Als X kann man z.B. Ethernet, Frame Relay, ATM, HDLC bzw. PPP annehmen. In Abbildung 12.6-1 werden wichtige Ansätze für XoIP aufgelistet. Wie hier ersichtlich ist, können die auf L2TPv3 basierenden Lösungen auch über MPLS-Netze realisiert werden. M P L S -N e tz e
K la s s is c h e IP -N e tz e (D a ta g r a m -N e tz e ) E o L 2 T P v 3 X o IP
A T M o P W
F R o L 2 T P v 3
E o L 2 T P v 3
H D L C o L 2 T P v 3 P P P o L 2 T P v 3
= A T M o M P L S
H D L C o M P L S P P P o M P L S
F R o L 2 T P v 3
F R o P W
H D L C o L 2 T P v 3 P P P o L 2 T P v 3
A T M o L 2 T P v 3
A T M o L 2 T P v 3
E o P W
= F R o M P L S = E o M P L S
I n te rn e t P ro to c o l (IP ) IP o X
IP o H D L C
IP o P P P
IP o E
IP o F R
IP o A T M
IP o S D H
IP o W D M
Abb. 12.6-1: IP über L1/2-Übermittlungsdienste und emulierte L2-Übermittlungsdienste über IP E: Ethernet, FR: Frame Relay, IPoX: IP over X, XoIP: X over IP, PW: Pseudo Wire
Seit Langem haben die Entwickler auf dem Networking-Gebiet davon ge- Alter Traum träumt, über eine einzige Technik zu verfügen, mit der man sowohl ein ist wahr LAN als auch ein WAN aufbauen könnte. Im LAN-Bereich hat sich das Ethernet durchgesetzt. Heute spricht fast keiner mehr von Token Ring bzw. von FDDI. Mithilfe des VPLS [Abschnitt 12.2.2] kann theoretisch ein weltweites Ethernet eingerichtet werden. Damit ist der alte Traum wahr geworden. Im VPLS werden Ethernet-Frames übermittelt. Da Pakete verschiede-
624
12 Virtual Private Networks und Remote Access Services
ner Protokolle in Ethernet-Frames transportiert werden können, kann jede Art von Datenverkehr – sowohl IP als auch nicht-IP (z.B. SNA) – über den VPLS abgewickelt werden. Für weitere Informationen über den VPLS sei auf http://www.ietf.org/html.charters/l2vpn-charter.html verwiesen. MetroEthernet als VPLS
Die Ethernet-Technik wird immer häufiger innerhalb von Großstädten, d.h. im MAN-Bereich, eingesetzt, sodass man von Metro-Ethernet spricht. Das Konzept VPLS eignet sich ideal, um Metro-Ethernets einzurichten und sie miteinander zu vernetzen. Zukünftige Netze sowohl im Metro- als auch im WAN-Bereich werden mit Sicherheit MPLS-Netze sein, die auf der Basis von 10 Gigabit-Ethernets und WDM-Netzen aufgebaut werden. Es besteht ein enormer Bedarf an Konzepten, nach denen Ethernets einer Vielzahl von Kunden zur Verfügung gestellt werden können. VPLS und VLAN-Stacking [Abb. 12.2-7 und -8] sind die Konzepte hierfür. VLAN-Stacking ermöglicht hierarchische VPLS-Strukturen, die sog. H-VPLS (Hierarchical VPLS), aufzubauen. In einem H-VPLS kann ein VLAN als virtuelles Medium dienen, auf dem weitere VLANs eingerichtet werden können. VLAN-Stacking würde es einem Kunden ermöglichen, sein VLAN auf Metro-Ethernet-Basis an weitere Kunden zu „vermieten“. Für weitere Informationen ist zu verweisen auf [http://www.metroethernetforum.org].
Bedeutung von L1-VPNs
Die Umgestaltung der IP-Netze für die Sprachkommunikation, was man als VoIP (Voice over IP) bezeichnet, ist heute höchst aktuell. Hierbei können L1-VPNs auf Basis der MPLS-Netze eine wichtige Rolle spielen. Einige Konzepte für die Bereitstellung von L1-VPNs gibt es schon. Beispielsweise wird der sog. Circuit Emulation Service (CES) im Dokument MEF 3 vom Metro Ethernet Forum spezifiziert, nach dem die sog. Ethernet Line Services (kurz E-Line) eingesetzt werden können, um TDM-Systeme (Time Division Multiplexing) miteinander zu vernetzen. Der CES kann über MPLSNetze zur Verfügung gestellt werden. Daher sollte es möglich sein, über eine E-Line over IP eine Leitung mit z.B. der Schnittstelle E1 nachzubilden. Über eine derartig nachgebildete Leitung könnte man mehrere Verbindungen mit 64 kbit/s für die Sprachkommunikation über ein MPLS-Netz einrichten.
SSL-VPN, TLS-VPN
Zur Sicherung des Web-Datenverkehrs wird oft das Protokoll SSL (Secure Sockets Layer) von der Firma Netscape eingesetzt [Anschnitt 5.3]. Eine Variante von SSL stellt der IETF-Standard TLS (Transport Layer Security) dar [RFC 4346]. Nach SSL kann eine gesicherte SSL-Verbindung zwischen Web-Browser und -Server aufgebaut werden, die einer SA nach dem IPsec im Transport Mode entspricht [Abb. 12.4-2]. Da eine SSL-Verbindung als gesicherte Leitung angesehen werden kann, spricht man hierbei von SSLVPN. Bei Einsatz von TLS spricht man auch von TLS-VPN.
13 Unterstützung der Mobilität in IPNetzen Mobile Rechner mit Internet-Anschluss, insbesondere Laptops mit WLANAdaptern, werden immer beliebter. Das Protokoll, das die Mobilität in IPNetzen unterstützt, heißt Mobile IP (MIP). Ein mobiler Rechner mit dem MIP kann z.B. ein Subnetz während einer bestehenden und aktiven TCP-Verbindung bzw. einer anderen Session wechseln, ohne diese abbrechen zu müssen. Um die Mobilität in IP-Netzen mit dem IPv6 zu ermöglichen, wurde das Mobile IPv6 (MIPv6) entwickelt. Das MIPv6 kann als Erweiterung des IPv6 im Hinblick auf die Unterstützung der Mobilität angesehen werden. Falls ein mobiler Rechner während einer bestehenden Session ein Subnetz wechselt, darf die bestehende Session nicht abgebrochen werden. Die Übernahme eines mobilen Rechners in einem neuen Subnetz während einer Session wird Handover genannt. Weil eine bestehende Session beim Handover „eingefroren“ wird, muss die Dauer des Handover so weit wie möglich reduziert werden, um die Qualität von Echtzeitapplikationen, wie z.B. Voice over IP, nicht negativ zu beeinflussen. Hierfür wurde HMIPv6 (Hierarchical Mobile IPv6) entwickelt.
Mobilität mit MIP
MIPv6 und HMIPv6
Dieses Kapitel stellt die Ansätze und die Protokolle für die Unterstützung der Überblick Mobilität in IP-Netzen dar. Abschnitt 13.1 geht kurz auf die verschiedenen An- über das sätze ein. Die Prinzipien von Roaming zwischen öffentlichen WLANs (Hot- Kapitel spots) erläutert Abschnitt 13.2. Die Funktionsweise des MIPv4 wird in Abschnitt 13.3 dargestellt. Abschnitt 13.4 erläutert das Konzept des MIPv6. Auf das HMIPv6 geht Abschnitt 13.5 ein. Ergänzende Bemerkungen in Abschnitt 13.6 schließen dieses Kapitel ab. In diesem Kapitel werden u.a. folgende Fragen beantwortet: Welche Ansätze und Protokolle für die Unterstützung der Mobilität in IPNetzen gibt es? Wie kann Roaming zwischen Hotspots realisiert werden? Welche Idee liegt den Protokollen MIP und MIPv6 zugrunde? Welche Probleme müssen gelöst werden, um die Mobilität in IP-Netzen zu ermöglichen? Wie verläuft die Kommunikation beim Einsatz von MIP bzw. von MIPv6? Wie unterstützt HMIPv6 die Mobilität in WLANs mit mehreren Zellen?
Ziel dieses Kapitels
626
13 Unterstützung der Mobilität in IP-Netzen
13.1 Ansätze für die Unterstützung der Mobilität Hotspot als PWLAN
Bedeutung von HotspotRoaming
MIPv4, MIPv6 und HMIPv6
WLANs (Wireless LANs) werden in Unternehmen immer häufiger als Erweiterung von kabelgebundenen Netzwerken eingesetzt. Sie werden auch in öffentlichen Bereichen, wie z.B. in Hotels, auf Flughäfen, in Sitzungssälen, installiert. Ein WLAN, das in einem öffentlichen Bereich eingerichtet wird und als Internet-Zubringer für mobile Rechner dient, bezeichnet man als Hotspot bzw. als PWLAN (Public WLAN). Ein Benutzer, der mit seinem tragbaren Rechner unterwegs ist, sollte die Möglichkeit haben, jeden Hotspot so zu nutzen, wie er es in seiner Firma bzw. zu Hause gewohnt ist, ohne immer ein Entgelt für die Hotspot-Nutzung zahlen zu müssen. Das sog. Hotspot-Roaming ermöglicht die „Wanderung“ von Benutzern zwischen Hotspots verschiedener Betreiber. Man spricht hierbei auch von PWLAN-Roaming. Alle aktuellen Notebook-Modelle verfügen heute über einen WLAN-Adapter. Das Protokoll Mobile IP (MIP) ermöglicht die uneingeschränkte Nutzung dieser Adapter und damit die Mobilität in IP-Netzen. Man unterscheidet zwischen dem MIP für IPv4 (MIPv4) und dem MIP für IPv6 (MIPv6). Eine Erweiterung des MIPv6 stellt Hierarchical Mobile IPv6 (HMIPv6) dar.
13.1.1 Bedeutung von WLAN- und Hotspot-Roaming Um ein öffentliches Gebiet mit den WLAN-Diensten zu versorgen, können in einem Hotspot mehrere Access Points installiert werden. Abbildung 13.1-1 veranschaulicht die allgemeine Struktur von Hotspots.
A P
H o ts p o t 1
2
...
A P
A P
A c c e ss C o n tro lle r
n
R
... ...
Struktur von Hotspots
W IS P
In te rn e t
In tra n e t A A A S e rv e r
Abb.13.1-1: Allgemeine Struktur von Hotspots WISP: Wireless Internet Service Provider
WLANRoaming
Die Rechner im Übertragungsbereich eines Access Point (AP) bilden deine Funkzelle. Falls ein mobiler Rechner„wandert“, kann er die Funkzelle eines AP
13.1 Ansätze für die Unterstützung der Mobilität
627
verlassen und in die Funkzelle eines anderen AP hineingehen. Dass ein mobiler Rechner in einem WLAN, in dem mehrere Funkzellen vorhanden sind, von einer Funkzelle zu einer anderen wandern kann, ohne die bestehende Verbindung zu verlieren, wird möglich durch das sog. WLAN-Roaming. Hierbei ist zu unterscheiden, ob die beiden APs zu demselben IP-Subnetz oder zu verschiedenen IP-Subnetzen gehören: Falls die beiden APs zu dem gleichen IP-Subnetz gehören, handelt es sich um ein Layer-2-Roaming. Gehören sie zu verschiedenen IP-Subnetzen, handelt es sich um ein Layer3-Roaming. Um Layer-2-Roaming zu realisieren, müssen sich die Funkzellen benachbarter Layer-2APs etwas überlagern. Hält sich ein mobiler Rechner noch im diesem Bereich Roaming auf, in dem sich die Funkzellen von zwei benachbarten APs überlagern, kann er mit IAPP sich bereits beim neuen AP anmelden, ohne sich vorher beim alten AP abmelden zu müssen. In diesem Fall würde eine aktive Verbindung des Rechners nicht abbrechen. Für die Unterstützung von Layer-2-Roaming wurde das Protokoll IAPP (Inter Access Point Protocol) als Standard IEEE 802.11f spezifiziert. Hat der mobile Rechner den AP gewechselt, d.h. es hat auch ein Layer-2- Layer-3Roaming stattgefunden, und ist er zusätzlich in ein neues IP-Subnetz hineinge- Roaming gangen, muss nun das MIP zum Einsatz kommen. Mithilfe des MIP kann der mit MIP mobile Rechner während einer bestehenden Session in ein anderes IP-Subnetz aufgenommen werden, ohne die Session abbrechen zu müssen. Das MIP ist somit die Voraussetzung für das Layer-3-Roaming in WLANs. Mit der Einführung von Hotspots ist eine neue Art von ISPs entstanden. Man WISP bezeichnet sie als WISPs (Wireless ISPs). Ein WISP ist in der Regel ein Unternehmen, das Hotspots bei seinen Kunden (wie z. B. Hotels, Flughäfen) installiert, diesen Hotspots über einheitliche Methoden den Internet-Zugang anbietet und diesen Zugang gemäß einem Vertrag mit dem Kunden abrechnet. Es gibt bereits mehrere WISPs, die ihre Hotspot-Dienste bundesweit anbieten. Von großer Bedeutung ist die Möglichkeit, dass ein Benutzer mit seinem tragbaren Rechner von einem Hotspot zu einem anderen „wandern“ und diesen als Gast nutzen kann. In diesem Zusammenhang ist zwischen folgenden zwei Fällen zu unterscheiden: Ein Benutzer ist im Hotspot, in dem er sich gerade aufhält, auf Dauer bzw. Benutzer auf eine lange Zeit registriert. In diesem Heimat-Hotspot verfügt er über im Heimatgewisse Zugangsrechte bzw. über einen noch nicht verbrauchten Account. Hotspot Nur in seinem Heimat-Hotspot wird lokal überprüft, ob das Internet für ihn freigeschaltet werden soll.
628 Benutzer im FremdHotspot
Mobilität ohne Roaming
13 Unterstützung der Mobilität in IP-Netzen
Ein Benutzer hält sich gerade nicht in seinem Heimat-Hotspot auf, sondern als „Gast“ in einem Fremd-Hotspot. Dort verfügt er über keine bevorzugten Zugangsrechte. Gilt aber eine Vereinbarung zwischen dem WISP des Fremd-Hotspot und dem WISP des Heimat-Hotspot, kann der InternetZugang für den Gastbenutzer im Fremd-Hotspot freigeschaltet werden. Schließt ein Benutzer einen Vertrag mit dem WISP, wird er dort registriert und bekommt für ein bestimmtes Entgelt die Berechtigung, die Hotspots des WISP für den Internet-Zugang zu nutzen. Die Benutzerdaten werden in diesem Fall im zentralen AAA-Server (Authentifizierung, Authorisierung und Abrechnung) beim WISP abgespeichert, sodass der Benutzer nicht nur in einem Hotspot beheimatet ist, sondern alle Hotspots seines Heimat-WISP nutzen kann. Abbildung 13.1-2 bringt dies zum Ausdruck A A A -C lie n t
A A A S e rv e r
R C
H o ts p o t 1
H o ts p o t n
...
A A A -C lie n t
R S
R C
W IS P
In te rn e t R C : R A D IU S -C lie n t R S : R A D IU S -S e rv e r
Abb.13.1-2: WISP als Betreiber mehrerer Hotspots
Bedeutung des RADIUS
Hält sich der Benutzer in einem Hotspot seines WISP auf, muss eine Anfrage von dort an den WISP als Zentrale abgeschickt werden, um die Berechtigung des Benutzers zu überprüfen. Hierfür ist ein AAA-Protokoll nötig. Als derartiges Protokoll dient das Protokoll RADIUS (Remote Access Dial-In User Service), das nach dem Client-Server-Prinzip funktioniert [Abschnitt 12.5]. Wie Abbildung 13.1-2 zeigt, enthalten die einzelnen Hotspots jeweils einen RADIUSClient als AAA-Client. Diese Clients übermitteln die entsprechenden Anfragen an den RADIUS-Server beim WISP, um die Berechtigung von Benutzern zu überprüfen. Der RADIUS-Server beim WISP stellt einen AAA-Server dar. Abbildung 13.1-3 zeigt die Situation, in der ein Benutzer mit seinem tragbaren Rechner unterwegs ist. Hält er sich im Bereich eines Hotspot seines HeimatWISP auf, wird eine Abfrage zur Überprüfung seiner Berechtigung direkt an den AAA-Server bei seinem Heimat-WISP übermittelt. Weil der Benutzer also weiterhin bei seinem Heimat-WISP ist, findet hier kein Hotspot-Roaming statt.
13.1 Ansätze für die Unterstützung der Mobilität
H e im a tW IS P W IS P 1
...
k e in R o a m in g
R o a m in g is t n ö tig
629
... W IS P i
In te rn e t W IS P n
H o ts p o t (P W L A N )
...
F re m d W IS P
Abb.13.1-3: Notwendigkeit von Hotspot-Roaming (PWLAN-Roaming)
Ist der Benutzer unterwegs und hält sich in einem Hotspot eines Fremd-WISP Hotspotauf, wünscht er sich natürlich, den Hotspot des Fremd-WISP so nutzen zu dür- Roaming fen, als ob er in seinem Heimat-WISP wäre. Diesen Wunsch könnte man dadurch erfüllen, dass der Heimat- und der Fremd-WISP eine entsprechende Roaming-Vereinbarung unterzeichnen. Damit können die Benutzer, die bei einem von diesen beiden WISPs registriert sind, alle Hotspots von beiden WISPs so nutzen, dass sie keinen Unterschied merken, ob sie in einem Hotspot ihres Heimat-WISP oder des Fremd-WISP sind. Diese Möglichkeit wird in Abschnitt 13.2 ausführlicher dargestellt.
13.1.2 Hauptproblem der Mobilität in IP-Netzen Die Lokation von Rechnern in IP-Netzen wird bestimmt durch ihre IPAdressen. Ein IP-Netz stellt im Allgemeinen eine Vernetzung mehrerer IPSubnetze dar, die miteinander mithilfe von Routern verbunden werden. Um die Mobilität in IP-Netzen zu unterstützen, muss man die Lokation eines Rechners feststellen können, also in welchem IP-Subnetz sich ein mobiler Rechner aktuell aufhält. Ein Rechner am IP-Netz mit einer IP-Adresse gehört immer zu einem IP- HeimatSubnetz. Dies bedeutet, dass der Rechner in einem IP-Subnetz beheimatet ist. subnetz Die IP-Adresse des Rechners in seinem Heimatsubnetz kann somit als Heimatadresse interpretiert werden. Bei einem mobilen Rechner muss man damit rechnen, dass er sein Heimatsubnetz verlässt und sich vorübergehend in einem Fremdsubnetz aufhält. Dies führt zu einem Subnetzwechsel, der in Abbildung 13.1-4 illustriert wird. Hier sendet ein Rechner am Internet ein IP-Paket an den Zielrechner im Subnetz 135.168.34/24. Der Router Rx im Internet leitet dieses IP-Paket anhand der Routing-Tabelle an den Router R1 weiter. Da der Zielrechner sein Heimatsubnetz verlassen hat, kann das IP-Paket hier den Zielrechner nicht erreichen.
630
13 Unterstützung der Mobilität in IP-Netzen
IP -P a k e t a n 1 3 5 .1 6 8 .3 4 .2
In te rn e t R
R 1
S u b n e tz 1 3 5 .1 6 8 .3 4 /2 4
x
R o u tin g -T a b e lle N ä c h s te r S u b n e tz R o u te r R 1 1 3 5 .1 6 8 .3 4 /2 4 R 2 1 3 5 .1 6 8 .4 1 /2 4 ... ...
R
H e im a ts u b n e tz 1 3 5 .1 6 8 .3 4 .2
2
S u b n e tz w e c h s e l S u b n e tz 1 3 5 .1 6 8 .4 1 /2 4
1 3 5 .1 6 8 .3 4 .2
F re m d s u b n e tz
Abb. 13.1-4: Mobilität in IP-Netzen führt zu einem Subnetzwechsel R: Router
Folge des Subnetzwechsels
Die an einen Rechner adressierten IP-Pakete werden immer in sein Heimatsubnetz übermittelt. Wenn ein mobiler Rechner sein Heimatsubnetz aber verlassen hat, müssen sie in das Fremdsubnetz, in dem der mobile Rechner sich gerade aufhält, weitergeleitet werden. Im Fremdsubnetz muss dem mobilen „Gastrechner“ eine neue vorläufige IP-Adresse zugewiesen werden, um ihn innerhalb dieses Fremdsubnetzes eindeutig lokalisieren zu können. Um einen Gastrechner in einem Fremdsubnetz zu erreichen, muss dieses Fremdsubnetz dem Router R1 in seinem Heimatsubnetz bekannt sein. Dies wird mit dem Protokoll Mobile IP (MIP) gelöst. Das MIP ermöglicht die Weiterleitung der IP-Pakete zu mobilen Rechnern, die sich in irgendwelchen Fremdsubnetzen aufhalten und ihre Heimatadressen weiter verwenden.
13.1.3 Die grundlegende Idee des Mobile IP Internet und Postdienst
Das Internet ist kein einzelnes physikalisches Netz, sondern stellt einen Dienst für die Übermittlung von IP-Paketen in einem weltweiten Verbund unterschiedlicher physikalischer Übermittlungsnetze dar. Logisch gesehen stellt das Internet eine Nachbildung des weltweiten Briefpostdienstes dar, wobei ein IPPaket einem Brief und eine IP-Adresse einer postalischen Adresse entspricht. Der Postdienst basiert auf einer Vernetzung von Postleitzahlgebieten. Das Internet stellt eine Vernetzung von IP-Subnetzen dar. Somit würde ein IPSubnetz einem Postleitzahlgebiet entsprechen. Beim Postdienst findet eine Unterstützung der Mobilität statt. Sie besteht darin, dass ein Brief nach dem Umzug eines Adressaten an seine neue Adresse nachgeschickt werden kann. Abbildung 13.1-5 zeigt dieses Prinzip der Nachsendung beim Postdienst.
13.1 Ansätze für die Unterstützung der Mobilität
P L Z -G
1
P L Z -G
P o s td ie n s t 2 i
V 5
P L Z -G
j
V 3
k
V
631
M e in e N a c h s e n d e a d r e s s e is t ...
N a c h se n d e n
4
Abb. 13.1-5: Unterstützung der Mobilität beim Postdienst PLZ-G: Postleitzahl-Gebiet, V: Verteilungsstelle
Die Unterstützung der Mobilität beim Postdienst lässt sich wie folgt zusammenfassen: 1. 2.
Mobilität beim PostDer Brief wird von der Briefverteilungsstelle im Postleitzahlgebiet des Absenders an die dienst Der Brief wird an eine Briefverteilungsstelle übergeben.
Briefverteilungsstelle (an das Postamt) des Adressaten übermittelt. Der Adressat hat aber sein Postleitzahlgebiet verlassen und ist unter einer neuen Adresse zu erreichen. Er hat die Nachsendeadresse seinem Postamt mitgeteilt. 3.
Der Brief wird an die Briefverteilungsstelle des Postleitzahlgebiets aus der Nachsendeadresse transportiert.
4.
Der Brief wird an die Nachsendeadresse übergeben.
5. Es kann nun direkter Briefaustausch zwischen den beiden Personen stattfinden. Die Unterstützung der Mobilität in IP-Netzen basiert auf dem gleichen Prinzip, Nachsendehier werden ähnliche Schritte unternommen. Es existieren jedoch Unterschiede prinzip als MIP-Idee zwischen dem Mobile IPv4 und dem Mobile IPv6.
13.1.4 Die Idee des Mobile IPv4 Die IP-Adresse eines Rechners in seinem Heimatsubnetz ist seine Heimat-IPAdresse, sie wird kurz als HoA (Home Address) bezeichnet. Wechselt ein mobiler Rechner nun das IP-Subnetz, müssen die an ihn gesandten IP-Pakete in ein Fremdsubnetz nachgeschickt werden. Dies entspricht der Nachsendung von Briefen beim Postdienst [Abb. 13.1-5]. Die Art und Weise der Unterstützung der Mobilität in Netzen mit demIPv4 de- Prinzip des finiert das Mobile IP [RFC 3344/3220]. Man spricht hierbei auch vom MIPv4 MIPv4 (Mobile IPv4). Beim MIPv4 kann man ähnliche Prinzipien erkennen wie beim Postdienst. Abbildung 13.1-6 illustriert das Prinzip der Mobilität nach dem MIPv4. Beim MIPv4 werden zwei Funktionsmodule, die sog. Mobility Agents, für die „Betreuung“ von mobilen Rechnern definiert. Ein Mobility Agent kann Heimatagent (HA, Home Agent) oder
632
13 Unterstützung der Mobilität in IP-Netzen
Fremdagent (FA, Foreign Agent) sein.
S N
IP -N e tz m it IP v 4 i
1
R
2 R
5 3 R
S N k
F A 4
H A
S N j
H e im a ts u b n e tz
N a c h se n d e n D ie N a c h s e n d e a d r e s s e is t ...
F re m d s u b n e tz
Abb. 13.1-6: Unterstützung der Mobilität in IPv4-Netzen nach MIPv4 FA: Fremdagent, HA: Heimatagent, R: Router, SN: Subnetz
Ein HA wird in der Regel als Funktionsmodul auf einem Router im Heimatsubnetz installiert. Er wird vom mobilen Rechner darüber informiert, in welchem Fremdsubnetz sich dieser gerade aufhält. Der HA leitet die im Heimatsubnetz ankommenden und an den mobilen Rechner adressierten IP-Pakete in das Fremdsubnetz, in dem der mobile Rechner sich aktuell aufhält, weiter. Der Mobility Agent, der für jeden mobilen Rechner, der sich in einem Fremdsubnetz aufhält, zuständig ist, stellt einen FA dar. Ein FA wird wie ein HA in der Regel als Funktionsmodul auf einem Router installiert. Mobilität beim MIPv4
Wie aus Abbildung 13.1-6 ersichtlich ist, unterscheidet man beim MIPv4 folgende Schritte beim Verlauf der Kommunikation zwischen einem stationären und einem mobilen Rechner: 1. Ein Paket, das an einen Rechner im Subnetz SNj adressiert ist, wird an den Router im Subnetz SNj übermittelt. 2. Das IP-Paket wird vom Subnetz SNi des Quell-Rechners an das Subnetz SNj des Zielrechners übermittelt. Der mobile Zielrechner hat aber sein Heimatsubnetz verlassen. Daher müssen die an ihn adressierten IP-Pakete in ein Fremdsubnetz, in dem dieser Rechner sich gerade aufhält, weitergeleitet werden. Im Fremdsubnetz wird dem mobilen Gastrechner eine vorläufige IP-Adresse zugewiesen, um ihn innerhalb dieses Fremdsubnetzes zu lokalisieren. Diese Adresse wird als Care-of Address (CoA) bezeichnet und sie stellt die Nachsende-IP-Adresse dar. Die CoA des Gastrechners ist dem FA bekannt und er übermittelt sie an den HA im Heimatsubnetz. Damit ist die CoA als Nachsendeadresse auch dem HA bekannt. 3. Das IP-Paket wird vom HA an die CoA weitergeleitet. Dieses IP-Paket, das im Header als Ziel-IP-Adresse die HoA des mobilen Rechners enthält, wird hierfür in ein anderes IP-Paket eingekapselt. Im Header des äußeren IP-
13.1 Ansätze für die Unterstützung der Mobilität
633
Pakets wird die CoA als Ziel-IP-Adresse eingetragen. Man bezeichnet dies als IP-in-IP-Encapsulation. 4. Das IP-Paket wird im Fremdsubnetz an den Gast-Rechner übermittelt. 5. Zwischen den beiden Rechnern kann nun eine indirekte Kommunikation – aber nur über den FA – stattfinden. Das ist ein Nachteil des MIPv4 im Vergleich zum MIPv6 [vgl. Abb.13.1-7], bei dem kein FA benötigt wird. Das MIPv4 wird im Abschnitt 13.3 ausführlicher dargestellt.
13.1.5 Idee des Mobile IPv6 Beim MIPv6 wurden sowohl die Erfahrungen, die bei der Entwicklung des MIPv4 gesammelt wurden, als auch die zusätzlichen Möglichkeiten, die das IPv6 bietet, berücksichtigt. Das MIPv6 bietet neben allen Funktionen des MIPv4 viele Erweiterungen und kann im Gegensatz zum MIPv4 als ein integrierter Bestandteil des IPv6 angesehen werden. Das MIPv6 ist in RFC 3775 spezifiziert. Die Mobilität in IP-Netzen mit dem IPv6 illustriert Abbildung 13.1-7. Hierbei ist auf den Unterschied zwischen MIPv4 und MIPv6 zu verweisen: Der Gastrechner im Fremdsubnetz SNk übermittelt seine Nachsendeadresse CoA selbst an seinen HA im Heimatsubnetz, also ohne den FA in Anspruch zu nehmen. S N i
1
R
IP -N e tz m it IP v 6 2 5
N a c h se n d e n
R
S N k
4
S N R
j
Unterschied zwischen MIPv4 und MIPv6
H e im a ts u b n e tz
H A
3 D ie N a c h s e n d e a d r e s s e is t ...
F re m d s u b n e tz
Abb. 13.1-7: Unterstützung der Mobilität in IPv6-Netzen nach dem MIPv6 HA: Heimatagent, R: Router, SN: Subnetz
Beim Verlauf der Kommunikation zwischen einem stationären und einem mo- Mobilität beim MIPv6 bilen Rechner unterscheidet man nach dem MIPv6 folgende Schritte: 1. Dieser Schritt entspricht dem Schritt 1 beim MIPv4 [Abb. 13.1-6]. 2. Dieser Schritt entspricht dem Schritt 2 beim MIPv4. 3. Das IP-Paket wird vom HA an die CoA weitergeleitet. Dieser Schritt entspricht dem Schritt 3 beim MIPv4.
634
13 Unterstützung der Mobilität in IP-Netzen
4. Das IPv6-Paket wird im Fremdsubnetz an den Gastrechner übermittelt. Dieser Schritt entspricht dem Schritt 4 beim MIPv4. 5. Zwischen den beiden Rechnern kann nun eine direkte Kommunikation stattfinden. Das ist ein großer Unterschied im Gegensatz zum MIPv4, bei dem nur eine Kommunikation über einen FA möglich war. Auf das Konzept des MIPv6 geht Abschnitt 13.4 ausführlich ein.
13.2 Roaming zwischen Hotspots Auf die Bedeutung von Hotspot-Roaming wurde bereits in Abschnitt 13.1.1 hingewiesen. Eine einfache Lösung für Hotspot-Roaming entsteht bereits dann, wenn zwei WISPs ein Roaming-Agreement vereinbart haben. Das Ziel dieser Vereinbarung ist es, den bei ihnen registrierten Benutzern die Möglichkeit zu verschaffen, dass die bei einem WISP registrierten Benutzer alle Hotspots des anderen WISP so nutzen dürfen, als ob sie sich in einem Hotspot des HeimatWISP befänden. Wie Abbildung 13.2-1 zeigt, handelt es sich hier um ein bilaterales Hotspot-Roaming.
In te rn e t W IS P 1
...
B ila te ra le s R o a m in g -A g re e m e n t
H e im a t-W IS P 1
W e b -S e rv e r W IS P 2
... H e im a t-W IS P 2
Abb. 13.2-1: Bilaterales Hotspot-Roaming zwischen zwei WISPs
Was enthält das RoamingAgreement?
In jedem Roaming-Agreement wird u.a. festgelegt: Wie sollen die Authentifizierung und die Autorisierung (Wer sind Sie und was dürfen Sie?) von „fremden“ Benutzern erfolgen? Hierfür kann man mithilfe einer AAA-Komponente im Hotspot des Fremd-WISP den AAAServer des Heimat-WISP über das Internet abfragen. Wie wird die Hotspot-Nutzung durch die „fremden“ Benutzer abgerechnet?
13.2.1 Hotspot-Roaming zwischen mehreren WISPs Um globales Hotspot-Roaming zu erreichen, falls mehrere WISPs agieren und ihre Hotspots für die öffentliche Nutzung anbieten, müsste normalerweise jeder WISP mit allen anderen WISPs ein bilaterales Roaming-Agreement abschlie-
13.2 Roaming zwischen Hotspots
635
ßen. Um dieses aufwendige Vorgehen zu umgehen, kann ein RoamingKoordinator eingerichtet werden, sodass die einzelnen WISPs nur mit ihm ihre Roaming-Agreements abschließen müssen. Abbildung 13.2-2 zeigt eine derartige Lösung. R o a m in g A g re e m e n ts H e im a tW IS P W IS P 1
... k e in R o a m in g
R o a m in g K o o rd in a to r W IS P 2 F re m d W IS P
... R o a m in g
In te rn e t
...
W IS P n
... H o ts p o t (P W L A N )
Abb. 13.2-2: Hotspot-Roaming zwischen mehreren WISPs über einen Roaming-Koordinator Für jeden WISP stellt der Roaming-Koordinator eine Vertretung anderer WISPs dar und übernimmt u.a. folgende Aufgaben: Er rechnet das Entgelt für die Nutzung von Hotspots jedes WISP durch die fremden Benutzer ab, die in seinen Hotspots zu Gast waren.
Aufgabe des RoamingKoordinators
Er bietet bestimmte Dienste bei der Authentifizierung und der Authentisierung von „fremden“ Benutzern, die in einem Hotspot zu Gast sind. Es handelt sich hierbei vor allem um die Bereitstellung eines RADIUS-Proxy-Servers [Abb. 13.2-3].
Ein Roaming-Koordinator kann auch als verteiltes und hierarchisches System strukturiert werden, in dem es mehrere Unterkoordinatoren gibt.
13.2.2 Ablauf des Hotspot-Roaming Hält sich ein Benutzer mit seinem Rechner in einem Hotspot eines Fremd- RADIUSWISP auf, muss eine Abfrage für die Überprüfung seiner Berechtigung an den Proxy-Server Heimat-WISP übermittelt werden. Hierfür kann das Protokoll RADIUS verwendet werden [Abschnitt 12.5]. Da das RADIUS nach dem Client/ServerPrinzip funktioniert, muss daher bei jedem WISP sowohl ein RADIUS-Client (RC) als auch ein RADIUS-Server (RS) installiert werden, um die Berechtigung von Hotspot-Benutzern zu überprüfen. Beim Roaming-Koordinator wird ein RADIUS-Proxy-Server (RPS) eingesetzt. Abbildung 13.2-3 illustriert dies. Der RC beim Fremd-WISP i übermittelt eine Anfrage an den RPS beim Roaming-Koordinator, um die Berechtigung eines Gastbenutzers zu überprüfen, der beim WISP n beheimatet ist. Der RPS kann als Vertretung von RS anderer WISPs (hier ausgenommen WISP i) dienen. Er leitet die Anfrage des RC beim Fremd-WISP i an den RS des Heimat-WISP n weiter. Im RS beim HeimatWISP n sind die Zugriffsrechte des betreffenden Benutzers abgespeichert.
636
13 Unterstützung der Mobilität in IP-Netzen
&
A u th e n tifiz ie ru g A u to ris ie ru n g
R S 1 W
W IS P i R C
R P S
...
R o a m in g K o o rd in a to r
F re m d -W IS P
IS P 1
... R S n W
IS P n
... H e im a t-W IS P
Abb. 13.2-3: Bedeutung des RADIUS-Proxy-Servers beim Roaming-Koordinator RC: RADIUS-Client, RPS: RADIUS-Proxy-Server, RS: RADIUS-Server
Der Vorteil eines RPS beim Roaming-Koordinator besteht darin, dass jeder neue WISP direkt an einem bestehenden Roaming-System angebunden werden kann, sobald er ein Agreement mit dem Koordinator abgeschlossen hat. Ablauf von HotspotRoaming
Beispiel: Abbildung 13.2-4 illustriert, welche Funktionen durchgeführt werden müssen, bevor der Internet-Zugang freigeschaltet werden kann. Hier hält sich ein Benutzer in einem Hotspot eines Fremd-WISP auf. Daher wird eine Abfrage für die Überprüfung seiner Berechtigung über den Roaming-Koordinator an seinen Heimat-WISP übermittelt. A A A S e rv e r
H o ts p o t R C
A C 1 2
1 0
3
In te rn e t
F re m d W IS P R S 4
9
5 8
1 0
In te rn e t-Z u g a n g fre i 1 1
H e im a tW IS P R S
R o a m in g K o o rd in a to r A b r. R P S
1 1
7
6 E n tg e ltb e re c h n u n g
Abb. 13.2-4: Ablauf von Hotspot-Roaming beim Einsatz eines Roaming-Koordinators Abr.: Abrechnungsmodul, AC: Access Controller, RC: RADIUS-Client, RPS: RADIUS-Proxy-Server, RS: RADIUS-Server
Bei der Internet-Nutzung eines Gastbenutzers über den Hotspot eines Fremd-WISP mithilfe eines Roaming-Koordinators unterscheidet man folgende Schritte: 1.
Die Anfrage des Gastbenutzers im Hotspot wird über einen Access Point an den Access Controller (AC) geleitet. Dieser erkennt, dass es sich um einen noch nicht authentifizierten Benutzer handelt und liefert dem Benutzer eine Web-Seite mit Login-Angaben, um seine Berechtigung zu überprüfen.
2.
Der Benutzer macht die notwendigen Login-Angaben und übergibt sie an den AC.
3.
Der AC übermittelt die Login-Angaben an den RC.
13.3 Funktionsweise des MIPv4 4.
Der RC erkennt, dass es sich um einen „fremden“ Benutzer handelt, der bei einem anderen WISP registriert sein könnte. Somit übergibt er die Login-Angaben an den RPS beim Roaming-Koordinator.
5.
Der RPS übermittelt nun die Login-Angaben an den RS beim Heimat-WISP des Benutzers zur Überprüfung seiner Berechtigung.
6.
Die Überprüfung der Berechtigung im RS vom Heimat-WISP hat zu einem positiven Ergebnis geführt. Darüber wird das Abrechnungssystem beim Roaming-Koordinator informiert.
7.
Das positive Ergebnis der Überprüfung im RS beim Heimat-WISP wird an den RPS beim Roaming-Koordinator übergeben.
8.
Dieser leitet diese Information an den RC beim Fremd-WISP weiter.
9.
Der AC beim Fremd-WISP wird über das positive Ergebnis der Überprüfung des Gastbenutzers informiert.
637
10. Der AC schaltet den Internet-Zugang für den fremden Benutzer frei, sodass er jetzt das Internet nutzen kann. Darüber informiert er auch das Abrechnungssystem beim RoamingKoordinator, um dort die Entgeltberechnung zu starten. 11. Der Benutzer signalisiert dem AC, dass er den Internet-Zugang nicht mehr braucht. Eine Information darüber wird auch an das Abrechnungssystem beim Roaming-Koordinator übergeben, um dort die Entgeltberechnung zu stoppen. Das Abrechnungssystem beim Roaming-Koordinator hat nun die Aufgabe, das berechnete Entgelt für die Hotspot-Nutzung beim Heimat-WISP des betreffenden Benutzers abzubuchen und es dem Fremd-WISP gutzuschreiben.
13.3 Funktionsweise des MIPv4 Die grundlegende Idee des MIPv4 wurde bereits in Abschnitt 13.1.4 dargestellt. Beim MIPv4 (kurz MIP genannt) wird angenommen, dass jeder mobile Rechner folgende Adressen besitzt [RFC 3344/3220]: eine Heimatadresse (HoA, Home Addres) in seinem Heimatsubnetz und eine temporäre IP-Adresse, die sog. Care-of-Adresse (CoA), falls er sich in einem Fremdsubnetz aufhält. Die HoA eines mobilen Rechners ist die IP-Adresse, unter der er seinen Kom- HoA als munikationspartnern immer bekannt ist. Sie ist ihm in seinem Heimatsubnetz stationäre zugeordnet und bleibt auch dann erhalten, wenn der mobile Rechner sein Hei- Adresse matsubnetz verlassen hat und sich von einem Fremdsubnetz in ein anderes Fremdsubnetz bewegt. Die Subnetz-ID der HoA ist identisch mit der SubnetzID, die die stationären Rechner und Router im Heimatsubnetz des mobilen Rechners besitzen. Die CoA ist eine IP-Adresse, die ein mobiler Rechner temporär benutzt, wenn CoA als er ein Fremdsubnetz besucht. Sie kann als Nachsendeadresse angesehen wer- Nachsendeden und ändert sich, wenn der mobile Rechner sich in ein anderes Fremdsub- adresse netz hineinbewegt [Abb. 13.1-6].
638 Modi des MIP
13 Unterstützung der Mobilität in IP-Netzen
Beim MIP sind zwei Modi zu unterscheiden: Foreign-Agent-Modus In diesem Modus ist ein Fremdagent FA (Foreign Agent) im Fremdsubnetz vorhanden und die CoA stellt die IP-Adresse des Fremdagenten dar. Die Gastrechner, die sich im Subnetz dieses Agenten aufhalten, nutzen die gleiche CoA als Nachsendeadresse [Abb. 13.3-9]. Somit definiert die CoA die aktuelle Lokation des mobilen Rechners mit der „Genauigkeit“ zum Subnetz. Colocated-Modus In diesem Modus ist kein FA im Fremdsubnetz vorhanden. Jedem Gastrechner wird eine eindeutige CoA nach Bedarf z.B. mithilfe des Protokolls DHCP zugeteilt; sie wird auch colocated CoA genannt [Abb. 13.3-10]. Die CoA ist somit diejenige IP-Adresse, an die alle an die HoA des mobilen Rechners gerichteten Pakete weitergeleitet werden sollen. Daher stellt die CoA die Nachsendeadresse dar.
13.3.1 Beispiel für einen Ablauf des MIP Für die Unterstützung der Mobilität in IP-Netzen stellt das MIP folgende Funktionen zur Verfügung: die Entdeckung des Agenten (Agent Discovery) [Abschnitt 13.3.2], die Registrierung der aktuellen Lokation beim Heimatagenten [Abschnitt 13.3.6] und das MIP-Routing [Abschnitt 13.3.7].
Advertisements vom HA
Abbildung 13.3-1 illustriert den Ablauf des MIP. Dabei sind im Allgemeinen folgende Schritte zu unterscheiden: 1. Der mobile Rechner befindet sich zunächst in seinem Heimatsubnetz, das über den Router R1 an das Internet angebunden ist. Der in diesem Router untergebrachte Heimatagent HA zeigt seine Präsenz an, indem er periodisch die Nachricht Agent Advertisement (AA) als IP-Broadcast bzw. -Multicast sendet [Abb. 13.3-2]. In AA ist unter anderem das Subnetz, in dem der HA positioniert ist, angegeben, sodass der mobile Rechner durch die Auswertung von AA erkennen kann, ob er das Heimatsubnetz verlassen hat, d.h. ob ein Subnetzwechsel stattgefunden hat. 2. Der mobile Rechner hört AA ab und untersucht den Inhalt, um festzustellen, ob er sich im Heimatsubnetz oder in einem Fremdsubnetz befindet. Falls er sich in Heimatsubnetz befindet, verhält er sich genau wie ein stationärer Rechner und macht keinen Gebrauch von der MIP-Funktion.
13.3 Funktionsweise des MIPv4
R
H e im a t-S u b n e tz 1
H A
1 0
2 1
3 8
In te rn e t
7 1 1
F A R
O rig in a l IP -P a k e t IP -H
639
2
F re m d e s S u b n e tz 4 9
6
1 2
S u b n e tz w e c h se l
5
IP -H
Z ie l-IP -A d r. = H o A Z ie l-IP -A d r. = C o A
Abb.13.3-1: Beispiel für einen Ablauf des MIP im Foreign-Agent-Modus FA: Fremdagent, HA: Heimatagent, HoA: Home Address, IP-H: IP-Header, R: Router
3. Der mobile Rechner „wandert“ im IP-Netz und hat sein Heimatsubnetz bereits verlassen. Er befindet sich nun in einem Fremdsubnetz und ist dort ein Gastrechner. Dies muss er selbst feststellen und seine Lokation dem Heimatagenten im R1 entsprechend mitteilen. 4. Der Mobility Agent im Fremdsubnetz, der nun als FA für den Gastrechner gilt, sendet ebenfalls periodisch die Nachricht AA. 5. Der Gastrechner hört AA im Fremdsubnetz ab und untersucht deren Inhalt. So erkennt er, dass er sich in einem Fremdsubnetz befindet. Die IP-Adresse des Fremdagenten (d.h. die CoA) dient ihm als temporäre IP-Adresse im Fremdsubnetz. Der mobile Rechner muss veranlassen, dass die CoA bei seinem HA registriert wird, um ihm damit seine aktuelle Lokation mitzuteilen [Abb. 13.3-9]. 6. Der Gastrechner sendet die Nachricht Registration Request (RReq) an den FA [Abb. 13.3-7]. RReq enthält die IP-Adresse des HA des mobilen Gastrechners, sodass RReq an den HA weitergeleitet werden kann. 7. Der FA leitet RReq an den HA weiter. Nach dem Empfang von RReq ist dem HA die Lokation des mobilen Rechners bekannt. Der HA weiß nun, an welchen FA er die in das Heimatsubnetz eintreffenden und an den mobilen Rechner adressierten IP-Pakete weiterleiten muss. 8. Der HA des mobilen Rechners antwortet dem FA mit der Nachricht Registration Reply (RRep). 9. RRep wird vom FA an den mobilen Gastrechner weitergeleitet, um ihm die Registrierung beim HA zu bestätigen.
Subnetzwechsel
Advertisements vom FA
640
13 Unterstützung der Mobilität in IP-Netzen
10. Ein stationärer Rechner am Internet hat ein IP-Paket an den mobilen Rechner abgeschickt. Da dieser Rechner im IP-Netz unter seiner HoA bekannt ist, wird dieses IP-Paket in das Heimatsubnetz übermittelt. Falls der mobile Rechner das Heimatsubnetz verlassen hat, werden die an ihn adressierten IP-Pakete vom HA empfangen. Weiterleitung des IPPakets
11. Der HA enthält eine Liste mit der Angabe, welche Rechner sein Subnetz und damit ihr Heimatsubnetz verlassen haben und wo sie sich aktuell beCoA finden. Diese Liste stellt eine Tabelle mit den Zuordnungen HoA dar. Sie wird auch als Mobility Binding Table bezeichnet [Abb. 13.3-4]. Das an die HoA gesendete IP-Paket wird vom HA in ein neues IP-Paket eingekapselt (IP-in-IP-Encapsulation) und an FA abgeschickt. Hierbei wird das Originalpaket in ein äußeres IP-Paket „eingekapselt“, wobei die Ziel-IPAdresse im äußeren IP-Header die CoA des mobilen Rechners darstellt. Da die CoA in diesem Fall die IP-Adresse des FA ist, entsteht logisch gesehen ein Tunnel zwischen HA und FA. Hierbei weiß der HA nicht, ob der mobile Rechner selbst oder der FA der Endpunkt des Tunnels ist. 12. Das vom FA über den Tunnel empfangene IP-Paket wird an den mobilen Gastrechner ausgeliefert. Da der mobile Rechner und der FA sich im gleichen Subnetz befinden, werden die IP-Pakete vom FA nicht geroutet, sondern mittels Link-Layer-Adresse (z.B. MAC-Adresse in LANs) an den mobilen Gastrechner gesendet.
13.3.2 Agent Discovery Wozu Agent Discovery?
Als Agent Discovery bezeichnet man den Prozess, bei dem ein mobiler Rechner erkennen möchte, ob er sich in seinem Heimatsubnetz oder in einem Fremdsubnetz aufhält und ob er sich gerade von einem Fremdsubnetz in ein anderes Fremdsubnetz hineinbewegt hat. Dieser Prozess ermöglicht es, den Subnetzwechsel bei jeder Bewegung eines mobilen Rechners zu erkennen.
Fälle bei Agent Discovery
Bei Agent Discovery müssen folgende Fälle entdeckt werden: 1. Ein mobiler Rechner hat das Heimatsubnetz verlassen und hält sich in einem Fremdsubnetz auf. 2. Ein mobiler Rechner hat sich von einem Fremdsubnetz in ein anderes fremdes Subnetz hineinbewegt. 3. Ein mobiler Rechner ist in das Heimatsubnetz zurückgekehrt. Diese Fälle müssen beim Heimatagenten des mobilen Rechners registriert werden [Abb. 13.3-4, -5 und -6].
Nachrichten
Um Agent Discovery zu realisieren, wird die Nachrichten Agent Advertisement (AA) von jedem Mobility Agent (Heimat-/Fremdagent) periodisch nur
13.3 Funktionsweise des MIPv4
641
in sein Subnetz mit der Ziel-IP-Adresse entweder als Multicast-Adresse 224.0.0.1 (all systems on this link) oder als Broadcast-Adresse 255.255.255.255 (limited broadcast) gesendet. AA wird nicht in andere Subnetze weitergeleitet. Abbildung 13.3-2 zeigt ihre Struktur. P ro to c o l = 1 (IC M P ) S o u rc e A d d r = M o b ility -A g e n t-IP -A d re s s e D e s tin a tio n A d d r = 2 5 5 .2 5 5 .2 5 5 .2 5 5 b z w . 2 2 4 .0 .0 .1 IP -H e a d e r IC M P R o u te r A d v e rt. R o u te r A d d re s s L ife tim e T y p e = 9
A g e n t A d v e rtis e m e n t I C I C M M P P M R A o u A t e d r v A e r d t v. eE r x t . t . C a re -o f-A d d re ss(e s) R e g is tra tio n L ife tim e T y p e = 1 6
IC M P P re fix -L e n g th E x t. T y p e = 1 9
O p tio n a l
Abb. 13.3-2: IP-Paket mit der Nachricht Agent Advertisement(AA) Advert.: Advertisement, Ext.: Extension, MA: Mobility Agent
AA setzt sich aus mehreren Nachrichten des Protokolls ICMP [Abschnitt 2.7] zusammen. Hierzu gehören die Nachrichten: ICMP Router Advertisement mit der IP-Adresse(n) von Router(n), Mobility Agent Advertisement mit der CoA und der Gültigkeitsdauer der Registrie-
rung (Registration Lifetime). Auf die Registrierung geht Abschnitt 13.3.6 näher ein. Prefix-Length Extension nach Bedarf mit der Länge des Präfixes einer CoA.
Alternativ zum periodischen Aussenden kann AA auch explizit von einem mo- Agent bilen Rechner angefordert werden. Hierfür sendet ein mobiler Rechner eine Solicitation Nachricht Agent Solicitation(AS). Wie Abbildung 13.3-3 zeigt, stellt AS einfach die ICMP-Nachricht Router Solicitation dar. P ro to c o l = 1 (IC M P ) S o u rc e A d d r = H e im a t-IP -A d re s s e e in e s m o b ile n R e c h n e rs D e s tin a tio n A d d r = 2 5 5 .2 5 5 .2 5 5 .2 5 5 b z w . 2 2 4 .0 .0 .1 IP -H e a d e r
A g e n t S o lic ita tio n IC M P R o u te r S o lic ita tio n T y p e = 1 0
Abb. 13.3-3: IP-Paket mit der Nachricht Agent Solicitation(AS)
Jeder Mobility Agent antwortet nach Empfang von AS direkt mit einem AA. Ein mobiler Rechner sendet AS, wenn er keine „Geduld“ hat, auf die nächste periodische Übermittlung von AA zu warten, und die Mobility Agents im Netz veranlassen will, sofort ein AA zu senden. Dies ist nützlich, wenn die Periode,
642
13 Unterstützung der Mobilität in IP-Netzen
mit der die Agenten ihre Advertisements senden, für einen mobilen Rechner zu groß ist, weil er schnell von Subnetz zu Subnetz wechselt [Abb. 13.3-5] .
13.3.3 Erkennen des Verlassens des Heimatsubnetzes Aus den Angaben in den von Mobility Agents gesendeten Agent Advertisements kann der mobile Rechner erkennen, ob er sich in seinem Heimatsubnetz oder in einem Fremdsubnetz aufhält [Abb. 13.3-1]. Dies erfolgt nach der folgenden Regel: Ist die Subnetz-ID in der CoA gleich der Subnetz-ID der Heimat-IPAdresse, hält sich der mobile Rechner im Heimatsubnetz auf. Ist die Subnetz-ID in der CoA nicht gleich der Subnetz-ID der Heimat-IPAdresse, hält sich der mobile Rechner in einem Fremdsubnetz auf. Falls sich ein mobiler Rechner in einem Fremdsubnetz aufhält, sind weitere zwei Fälle zu unterscheiden: Kein Subnetzwechsel hat stattgefunden. Der mobile Rechner hält sich im Fremdsubnetz auf und dies wurde seinem Heimatagenten bereits mitgeteilt. Ein Subnetzwechsel hat stattgefunden. Der mobile Rechner hat entweder sein Heimatsubnetz verlassen oder sich aus einem Fremdsubnetz in ein anderes hineinbewegt. Dieser Subnetzwechsel wurde dem Heimatagenten noch nicht mitgeteilt. Beispiel: Abbildung 13.3-4 illustriert den Fall, in dem der mobile Rechner mit der HoA a.b.4.7 sein Heimatsubnetz SN 4 verlassen hat und sich im Fremdsubnetz SN 1 aufhält. Im Fremdsubnetz SN 1 erhält er eine CoA als Nachsendeadresse und teilt diese Adresse seinem Heimatagenten mit. Dies nennt man Registrierung der CoA.
S N 2
a .b .2 .1
F A
R
R 2
3
a .b .3 .1
F A
S N 1 a .b .1 .1 F A
S N 3 a .b .4 .7
R 1
IP -N e tz
a .b .4 .7
N e u e r E in tra g
R 4
H o A _ C o A a .b .4 .3 _ a .b .3 .1 a .b .4 .7 _ a .b .1 .1 ... ...
S N 4 H A a .b .4 .1
M o b ility B in d in g T a b le
Abb. 13.3-4: Registrierung der CoA eines Rechners nach dem Verlassen des Heimatsubnetzes FA: Fremdagent, HA: Heimatagent, HoA: Home-IP-Address, R: Router, SN: Subnetz
13.3 Funktionsweise des MIPv4 Der Heimatagent muss die temporäre CoA des mobilen Rechners kennen, damit er die mit der HoA in das Heimatsubnetz für den mobilen Rechner ankommenden IP-Pakete an die CoA in das Fremdsubnetz weiterleiten kann. Der Heimatagent dient als eine Weiterleitungsinstanz für alle IP-Pakete, die an mobile Rechner adressiert sind, die sich gerade in Fremdsubnetzen aufhalten. In Abbildung 13.3-4 enthält SN 1 einen Mobility Agent, der für den Gastrechner einen Fremdagenten darstellt. Die CoA des Gastrechners ist die IP-Adresse des Fremdagenten im SN 1. a.b.1.1 (HoA Durch die Registrierung beim Heimatagenten wird die Zuordnung: a.b.4.7 CoA.) in seiner Mobility Binding Tabelle eingetragen. Damit können die mit der HoA a.b.4.7 in das Heimatsubnetz SN 4 für den mobilen Rechner ankommenden IP-Pakete vom Heimatagenten an seine CoA a.b.1.1 im SN 1 weitergeleitet werden.
13.3.4 Erkennen des Wechsels eines Fremdsubnetzes Ein mobiler Rechner muss selbst erkennen, ob ein Subnetzwechsel stattgefunden und ob er sich aus einem Fremdsubnetz in ein anderes Fremdsubnetz hineinbewegt hat. Im neuen Fremdsubnetz wird er als Gastrechner unter einer anderen CoA erreichbar sein und diese muss er seinem Heimatagenten mitteilen. Beispiel: Abbildung 13.3-5 illustriert die Bewegung eines mobilen Rechners aus einem Fremdsubnetz in ein anderes Fremdsubnetz.
S N 2 S N 1
a .b .4 .7
a .b .1 .1 F A
a .b .2 .1
F A
R
R
R 2
3
a .b .3 .1
F A
S N 3 S N 4
IP -N e tz 1
a .b .4 .7 M o b ility B in d in g T a b le E in tra g w ird m o d ifiz ie rt
R 4
H o A _ C o A a .b .4 .3 _ a .b .3 .1 a .b .4 .7 _ a .b .1 .1 ... ...
a .b .4 .1 H A
a .b .2 .1
Abb. 13.3-5: Registrierung neuer CoA eines Rechners nach dem Wechsel des Fremdsubnetzes Abkürzungen wie in Abb. 13.3-4
Um eine solche Situation zu erkennen, muss der mobile Rechner feststellen, ob er die letzten zwei aufeinanderfolgenden Agent Advertisements (AAs) im gleichen oder in verschiedenen Subnetzen empfangen hat. Das heißt, ob die letzten zwei aufeinanderfolgenden AAs vom Fremdagenten des gleichen Subnetzes stammen. Dies lässt sich entweder über einen Vergleich der Subnetz-IDs oder anhand der Angabe Lifetime im ICMP Router Advertisement feststellen. Die Zeitdauer Lifetime gibt an, wann der mobile Rechner spätestens das nächste AA von dem gleichen Agenten empfangen sollte. Innerhalb der Lifetime werden in der Regel mehrere AAs gesendet. Wenn nun ein mobiler Rechner innerhalb der Lifetime kein neues AA desselben Agenten erhält, kann er annehmen, dass er das Subnetz dieses Agenten verlassen hat. In diesem Fall ändert sich die CoA des mobilen Rechners und muss dem Heimatagenten mitgeteilt werden. Wie aus Abbildung 13.3-5 er-
643
644
13 Unterstützung der Mobilität in IP-Netzen sichtlich ist, wird ein entsprechender Eintrag in der Mobility Binding Tabelle des Heimatagenten bei der Registrierung modifiziert. Besucht der mobile Rechner noch das gleiche Subnetz, ist keine neue Registrierung nötig, sofern die letzte noch nicht abgelaufen ist. Wie lange die Registrierung bei einem Heimatagenten gültig ist, wird in seinen Advertisements als Registration Lifetime angegeben [Abb. 13.3-2].
Kein Fremdagent im Fremdsubnetz
Es hat ein Subnetzwechsel stattgefunden und der mobile Rechner hat sich soeben aus einem Fremdsubnetz in ein anderes Fremdsubnetz, in dem es keinen Mobility Agent gibt, bewegt. In diesem Fall hört der mobile Rechner keine AAs. In dieser Situation nimmt der mobile Rechner zunächst an, er befände sich im Heimatsubnetz und sein Heimatagent sei zurzeit gestört. Der mobile Rechner versucht nun, die abgehenden IPPakete an den Default-Router in seinem Heimatsubnetz zu senden. Wenn dieser antwortet, hält sich der mobile Rechner höchstwahrscheinlich im Heimatsubnetz auf. Ist dies nicht der Fall, nimmt der mobile Rechner an, er befände sich in einem Fremdsubnetz, in dem es keinen Mobility Agent gibt. Er versucht nun, eine temporäre CoA vom DHCP-Server des Fremdsubnetzes zu erhalten. Wenn dies Erfolg hat, kann der mobile Rechner diese Adresse als colocated CoA benutzen und sich beim Heimatagenten registrieren lassen. Erfolgt keine Antwort vom DHCP-Server, kann der mobile Gastrechner (eventuell!) manuell mit einer temporären IP-Adresse für die Benutzung in diesem Fremdsubnetz als colocated CoA konfiguriert werden.
13.3.5 Erkennen einer Rückkehr in das Heimatsubnetz Ein mobiler Rechner muss selbst feststellen, ob ein Subnetzwechsel stattgefunden hat und er aus einem Fremdsubnetz in sein Heimatsubnetz zurückgekehrt ist. Ist das der Fall, muss er dies seinem Heimatagenten mitteilen. Beispiel: Abbildung 13.3-6 illustriert die Situation nach der Rückkehr eines mobilen Rechners in sein Heimatsubnetz. Um feststellen zu können, ob er in ein Fremdsubnetz gewechselt hat oder in das Heimatsubnetz zurückgekehrt ist, vergleicht der mobile Rechner die IP-Absenderadresse in den empfangenen AAs mit der IP-Adresse des Heimatagenten. Sind sie identisch, so ist ein Wechsel in das Heimatsubnetz erfolgt.
a .b .2 .1
S N 2 S N 1 a .b .1 .1
F A
S N 3
a .b .3 .1
F A
R
R
R 2
IP -N e tz 1
M o b ility B in d in g T a b le E in tra g w ird g e lö s c h t
3
F A
R 4
a .b .4 .7
S N 4
a .b .4 .1
H o A _ C o A a .b .4 .3 _ a .b .3 .1 a .b .4 .7 _ a .b .3 .1 ... ...
H A
a .b .4 .7
Abb. 13.3-6: Registrierung eines mobilen Rechners nach der Rückkehr in das Heimatsubnetz Abkürzungen wie in Abb. 13.3-4
13.3 Funktionsweise des MIPv4
645
Ist der mobile Rechner aus einem Fremdsubnetz in das Heimatsubnetz zurückgekehrt, muss er dem Heimatagenten mitteilen, dass die CoA als Nachsendeadresse keine Bedeutung mehr hat. Dies bezeichnet man als Deregistrierung [Abb. 13.3-11]. Der mobile Rechner ist im Heimatsubnetz unter HoA erreichbar. Wie aus Abbildung 13.3-6 ersichtlich ist, muss für diesen mobilen Rechner der betreffende Eintrag mit der Zuordnung HoA CoA in der Mobility Binding Tabelle gelöscht werden. Damit ist der mobile Rechner im Heimatsubnetz unter seiner HoA erreichbar.
13.3.6 Registrierung beim Heimatagenten Durch die Registrierung werden die Heimatagenten über die aktuelle Lokation Mobility der von ihnen „betreuten“ mobilen Rechner, also über ihre aktuellen CoAs, in- Binding formiert. Der Heimatagent enthält eine Tabelle, die sog. Mobility Binding Table Table, in der die Zuordnung der HoA des mobilen Rechners zu der aktuellen CoA eingetragen wird [Abb. 13.3-4]. Diese Zuordnung muss immer aktuell sein, damit der Heimatagent die an den mobilen Rechner adressierten Pakete an seine aktuelle CoA weiterleiten kann. Jede Registrierung hat nur eine begrenzte Gültigkeitsdauer (Registration Lifetime). Der mobile Rechner muss sich immer dann registrieren lassen, wenn er entdeckt hat, dass er sich von einem Subnetz in ein anderes bewegt hat oder die aktuelle Registrierung abgelaufen ist. Die Registrierung basiert auf dem Austausch der zwei Nachrichten Registration Request (RReq) und Registration Reply (RRep)
zwischen mobilen Rechnern und Heimatagenten, gegebenenfalls unter Beteiligung von Fremdagenten. Ein mobiler Rechner muss sich beim Heimatagenten registrieren lassen, wenn Warum Reer sich gerade in ein fremdes Subnetz hineinbewegt und dies erkannt hat. gistrierung? Dann muss er den Heimatagenten über die neue CoA informieren. Hierbei kann es sich entweder um die CoA eines Fremdagenten [Abb. 13.3-9] oder um eine colocated CoA [Abb. 13.3-10] handeln. er gerade in das Heimatsubnetz zurückgekehrt ist und dies erkannt hat. Dann muss er sich beim Heimatagenten deregistrieren lassen, um ihn darüber zu informieren, dass er jetzt unter seiner HoA erreichbar ist [Abb. 13.311]. Nachrichten für die Registrierung Die Registrierung verläuft nach dem Prinzip Request/Reply, das gewährleistet die Zuverlässigkeit der Übermittlung. Daher kann das verbindungslose und unzuverlässige Protokoll UDP für den Transport der Nachrichten RReq und RRep verwendet werden. Abbildung 13.3-7 zeigt die wichtigsten Angaben in RReq.
646
13 Unterstützung der Mobilität in IP-Netzen
S o u rc e A d d r = H o A o d e r c o lo c a te d C o A D e s tin a tio n A d d r = A d re s s e d e s F re m d -/H e im a ta g e n te n D e s tin a tio n P o rt = 4 3 4 IP
U D P
R e g is tra tio n R e q u e s t (R R e q )
F e s te r T e il
E x te n s io n s
L ife tim e H o m e A d d re s s H o m e A g e n t C a re -o f A d d re s s
M o b ile -H o m e A u th e n tic a tio n (m a n d a to r y ) M o b ile -F o re ig n A u th e n tic a tio n (o p tio n a l) F o re ig n -H o m e A u th e n tic a tio n (o p tio n a l) ...
Abb. 13.3-7: IP-Paket mit der Nachricht Registration Request(RReq)
Die Quell-IP-Adresse im IP-Header ist entweder die HoA des mobilen Rechners [Abb. 13.3-9 und -10] oder seine colocated CoA, falls es keinen Mobility Agent im Fremdsubnetz gibt. Die Ziel-IP-Adresse im IP-Header ist die IPAdresse entweder des Fremdagenten oder des Heimatagenten, falls die temporäre IP-Adresse des mobilen Rechners eine colocated CoA ist. Nachricht RReq
Jede Nachricht RReq enthält einen Teil mit fester Länge (Fixed-Length Portion). Sie kann auch einen Teil mit variabler Länge enthalten, in dem bestimmte zusätzliche Angaben (sog. Extensions) nach Bedarf übermittelt werden können. In RReq sind u.a. folgende Angaben enthalten: Lifetime: Gültigkeitsdauer der Registrierung, HoA(Home-IP-Address): Heimat-IP-Adresse des mobilen Rechners, Home Agent: IP-Adresse des Heimatagenten, CoA(Care-of Address): IP-Adresse des Fremdagenten bzw. colocated CoA, d.h. die IPAdresse, an die der Heimatagent alle an den mobilen Rechner adressierten IP-Pakete weiterleiten muss.
Nachricht RRep
Abbildung 13.3-8 zeigt ein IP-Paket mit Registration Reply(RRep). RRep enthält u.a. folgende Angaben: Lifetime, Home Address und Home Agent. Diese Angaben haben die gleiche Bedeutung wie in RReq. S o u rc e A d d r = D e s tin a tio n A d d r a u s R R e q D e s tin a tio n A d d r = S o u rc e A d d r a u s R R e q D e s tin a tio n P o rt = S o u rc e P o rt a u s R R e q IP
U D P
R e g is tra tio n R e p ly (R R e p )
F e s te r T e il L ife tim e H o m e A d d re s s H o m e A g e n t R R e q : R e g is tra tio n R e q u e s t
E x te n s io n s M o b ile -H o m e A u th e n tic a tio n (m a n d a to r y ) M o b ile -F o re ig n A u th e n tic a tio n (o p tio n a l) F o re ig n -H o m e A u th e n tic a tio n (o p tio n a l) ...
Abb. 13.3-8: IP-Paket mit der Nachricht Registration Reply(RRep)
13.3 Funktionsweise des MIPv4
647
Registrierung einer CoA Die Registrierung einer Nachsendeadresse CoA beim Heimatagenten illustriert CoA wird Abbildung 13.3-9. Hat ein mobiler Rechner nach dem Empfang eines Agent dem HA Advertisement erkannt, dass er sich in einem neuen Fremdsubnetz befindet, mitgeteilt muss er die neue CoA beim Heimatagenten registrieren. Um die Registrierung zu initiieren, sendet er Registration Request (RReq). Da hier ein Fremdagent vorhanden ist, wird RReq zunächst an diesen geschickt und von ihm an den Heimatagenten weitergeleitet. Die IP-Adresse des Fremdagenten erfährt der mobile Rechner aus Agent Advertisement.
F re m d s u b n e tz C o A
R
IP -N e tz 1
F A 1 4 1 .3 .2 1 3 .2
A A R R e q
1 2 9 .6 7 .2 0 1 .1
1 4 1 .3 .2 1 3 .1
H o A = 1 2 9 .6 7 .2 0 1 .1 1
A A R R e p
R
H e im a ts u b n e tz 2
H A 1 2 9 .6 7 .2 0 1 .2
A R P -C a c h e 1 2 9 .6 7 .2 0 1 .2 _ x y z 1 2 9 .6 7 .2 0 1 .1 1 _ x y z
R R e q
R R e p
A A : A g e n t A d v e rtis e m e n t R R e q : R e g is tra tio n R e q u e s t R R e p : R e g is tra tio n R e p ly
n e u
n e u
_
C o A. . . 1 2 9 .6 7 .2 0 1 .1 1 _ 1 4 1 .3 .2 1 3 .2 M o b ility B in d in g T a b le
. .H. o A
Abb. 13.3-9: Registrierung einer Nachsendeadresse (CoA) beim Heimatagenten (HA) FA: Fremdagent, R: Router, xyz: Link-Layer-Adresse vom HA
Ein Heimatagent überprüft zunächst Lifetime (Gültigkeitsdauer) in RReq. Ist Lifetime nicht gleich Null, trägt der Heimagent folgende Zuordnungen ein: im ARP-Cache: HoA des mobilen Rechners
Link-Layer-Adresse des HA (d.h. xyz),
in der Mobility Binding Table: HoA des mobilen Rechners
IP-Adresse des FA.
Dadurch werden alle an die HoA des mobilen Rechners adressierten Pakete zuerst vom Router an den Heimatagenten gesendet (dank des Eintrags im ARPCache [Abb. 13.3-12]) und danach vom Heimatagenten an diese CoA weitergeleitet (dank des Eintrags in der Mobility Binding Table). Ist Lifetime in RReq gleich Null, so wird diese Nachricht als Deregistration Request interpretiert. Hat der Heimat-Agent einen RReq mit Lifetime nicht gleich Null empfangen, trägt er in seinem ARP-Cache und in seiner Mobility Binding Table die entsprechenden Zuordnungen ein und sendet eine Nachricht Registration Reply (RRep) zurück, um mitzuteilen, dass die Registrierung erfolgreich war.
648
13 Unterstützung der Mobilität in IP-Netzen
RRep nimmt den umgekehrten Weg wie RReq. Wenn der mobile Rechner in einer vorgegebenen Zeit kein RRep erhält oder die Registrierung ungültig war, sendet er RReq erneut.
Registrierung einer colocated CoA Colocated CoA wird dem HA mitgeteilt
Die Registrierung einer colocated CoA beim Heimatagenten illustriert Abbildung 13.3-10. Hat ein mobiler Rechner erkannt, dass er sich in einem neuen Fremdsubnetz befindet, in dem es keinen Mobility Agent gibt, kann er sich eine temporäre IP-Adresse vom DHCP-Server [Abschnitt 4.2] ausleihen. Diese IPAdresse, die man colocated CoA nennt, muss er dem Heimatagenten mitteilen. 1 4 1 .3 .2 1 3 .1 H o A = 1 2 9 .6 7 .2 0 1 .1 1 F re m d s u b n e tz R D H C P S e rv e r 1 1 4 1 .3 .2 1 3 .7 R R e q
1 2 9 .6 7 .2 0 1 .1 1
IP -N e tz
R R e p
1 A u s le ih e d e r IP -A d re s s e
R R e q : R e g is tra tio n R e q u e s t R R e p : R e g is tra tio n R e p ly
Abb. 13.3-10:
R
H e im a ts u H A 1 2 9 .6 7 .2 0 1 .2 A 1 2 9 .6 7 .2 0 1 1 2 9 .6 7 .2 0 1 2
n e u
b n e tz R P -C a c h e .2 _ x y z .1 1 _ x y z
n e u
C ... H o A _ 1 2 9 .6 7 .2 0 1 .1 1 _ 1 4 1 M o b ility B in d in g
o . .A . .3 .2 1 3 .7 T a b le
Registrierung einer colocated CoA beim Heimatagenten (HA) Abkürzungen wie in Abb. 13.3-9
Da kein Fremdagent vorhanden ist, wird die Nachricht RReq direkt an den Heimatagenten geschickt. Hat der Heimatagent den RReq empfangen, trägt er folgende Zuordnungen ein: im ARP-Cache: HoA des mobilen Rechners
Link-Layer-Adresse des HA,
in der Mobility Binding Table: HoA des mobilen Rechners
colocated CoA.
Danach sendet er eine Nachricht RRep an den mobilen Rechner zurück, um ihm mitzuteilen, dass die Registrierung erfolgreich war. Deregistrierung beim Heimat-Agenten Abbildung 13.3-11 illustriert die Deregistrierung. Ist ein mobiler Rechner in sein Heimatsubnetz zurückgekehrt und hat er dies anhand der Nachricht Agent
13.3 Funktionsweise des MIPv4
649
Advertisement erkannt, muss er allen Rechnern mitteilen, dass er nun im
Heimatsubnetz erreichbar ist. Dies wird als Deregistrierung bezeichnet. Ein mobiler Rechner, der in sein Heimatsubnetz zurückgekehrt ist, muss Fol- Wozu Deregistrierung? gendes vornehmen: Er muss den anderen Rechnern in seinem Heimatsubnetz mitteilen, dass sie alle an seine HoA adressierten IP-Pakete an ihn direkt und nicht an den Heimatagenten senden sollen. Um dies zu erreichen, wird eine Nachricht nach dem Protokoll ARP mit der Zuordnung: seine Link-Layer-Adresse
seine HoA
als Broadcast-Nachricht an alle Rechner im Heimatsubnetz gesendet. Dies bedeutet eine kleine Modifikation des Protokolls ARP und man bezeichnet dies als gratuitous-ARP. Er muss dem Heimatagenten mitteilen, dass er aktuell unter seiner HoA erreichbar ist und dass der Heimatagent die an ihn adressierten IP-Pakete nicht mehr an den Fremdagenten senden soll, sondern an ihn direkt. M o b ile r R e c h n e r is t in d a s H e im a ts u b n e tz z u rü c k g e k e h rt. 1 4 1 .3 .2 1 3 .1 1 2 9 .6 7 .2 0 1 .1 F re m d s u b n e tz R 1
F A 1 4 1 .3 .2 1 3 .2
...
A R P - 1 2 9 .6 7 .2 0 1 .2 C a c h e 1 2 9 .6 7 .2 0 1 .1 1 M o b ility B in d in g T a b le
H o A ... 1 2 9 .6 7 .2 0 1 .1 1
A A : A g e n t A d v e rtis e m e n t
Abb. 13.3-11:
R
IP -N e tz
_
_
_
A A
H e im a ts u b n e tz a b c
2
H A 1 2 9 .6 7 .2 0 1 .2 ... x y z x y z
C o A
_
1 2 9 .6 7 .2 0 1 .1 1
... 1 4 1 .3 .2 1 3 .2
D R R e q : D e re g is tra tio n R e q u e s t
A A G -A R P
G -A R P
M A C -A d re sse
D R R e q
1 2 9 .6 7 .2 0 1 .1 1 _ acb
D R R e p D R R e p : D e re g is tra tio n R e p ly
Deregistrierung nach der Rückkehr in das Heimatsubnetz FA: Fremdagent, HA: Heimatagent, G-ARP: Gratuitous ARP, R: Router
Registration Request mit Lifetime = 0 dient als Deregistration Request. Eine derartige Nachricht wird vom mobilen Rechner gesendet, um
die Deregistrierung beim Heimatagenten zu veranlassen. Hat der Heimatagent Deregistration Request empfangen, sendet er zuerst eine Nachricht nach dem Protokoll ARP (Gratuitous ARP), um den anderen Rechnern in seinem Heimatsubnetz mitzuteilen, für welche Heimatadressen von mobilen Rechnern die IP-Pakete an ihn zum Weiterleiten gesendet werden
650
13 Unterstützung der Mobilität in IP-Netzen
sollen. Die anderen Rechner nehmen damit zur Kenntnis, dass der Eintrag 129.67.201.11 xyz in seinem ARP-Cache „gestrichen“ wurde. Danach löscht der Heimatagent in seiner Mobility Binding Tabelle die entsprechende Zuordnung HoA => CoA und leitet die an die HoA des mobilen Rechners adressierten IP-Pakete nicht mehr an den Fremdagenten weiter. Zum Schluss sendet er eine Nachricht Registration Reply mit Lifetime = 0 an den mobilen Rechner zurück. Diese Nachricht wird als Deregistration Reply interpretiert. Nach der Deregistration ist der mobile Rechner unter seiner Heimatadresse erreichbar. Die mit seiner HoA ankommenden IP-Pakete werden vom Heimatagenten nicht mehr in ein fremdes Subnetz weitergeleitet. Authentifizierung bei der Registrierung Um bei der Registrierung die notwendige Sicherheit zu garantieren, d.h. etwaige Angriffe von Dritten zu verhindern, werden die Registrationsnachrichten authentifiziert. Insbesondere müssen diese Nachrichten gegen die Angriffe von Dritten geschützt werden, in denen die mobilen Rechner den Heimatagenten ihre aktuellen CoAs mitteilen. Zur Authentifizierung werden der MD5-Algorithmus (Message Digest) und die Erweiterung Mobile-Home Authentication der Registrationsnachrichten verwendet. MD5Algorithmus
Nach dem MD5-Algorithmus wird eine Prüfsumme (sog. Message Digest) fester Länge errechnet. Ein mobiler Rechner generiert ein Registration Request(RReq)und füllt alle Felder aus, mit Ausnahme des Authentifizierungsfeldes in der Erweiterung Mobile-Home Authentication. Dann berechnet er mithilfe des MD5-Algorithmus einen Message Digest über RReq. Hierbei wird ein geheimer Schlüssel verwendet, der nur dem mobilen Rechner und seinem Heimatagenten bekannt ist. Der Message Digest wird nun in der Erweiterung Mobile-Home Authentication an den Heimatagenten übermittelt. Hat die Nachricht den Heimatagenten erreicht, berechnet er seinen eigenen Message Digest und vergleicht ihn mit dem in RReq enthaltenen. Sind die beiden Message Digests identisch, kann der Heimat-Agent davon ausgehen, dass RReq tatsächlich vom „wahren“ mobilen Rechner stammt und während der Übertragung nicht verändert wurde. Nach dem gleichen Prinzip verläuft die Authentifizierung bei der Übermittlung der Nachricht Registration Reply.
13.3.7 Mobiles IP-Routing Das Routing von IP-Paketen zu einem mobilen Rechner, der sich in seinem Heimatnetz aufhält, unterliegt keinen speziellen Routing-Regeln. Es funktio-
13.3 Funktionsweise des MIPv4
651
niert genauso wie das Routing von IP-Paketen zu irgendeinem Rechner ohne Unterstützung der Mobilität. Einsatz von Routern ohne Mobility Agents Ein modifiziertes Routing ist nötig, wenn IP-Pakete an einen mobilen Rechner geschickt werden, der sich gerade in einem Fremdsubnetz aufhält. In diesem Fall spricht man von mobilem Routing. Wenn die eingesetzten Router keine Mobility Agents implementieren, läuft das mobile Routing nach dem in Abbildung 13.3-12 gezeigten Prinzip ab. C o A = 1 4 1 .3 .2 1 3 .2 F A F re m d s u b n e tz 4 5
6
R
2 2
M o b ility B in d in g T a b le H o A _ C o A 1 2 . 9 . . . 6 7 . 2 0 1 . 1 1 _ 1 4 1 . .3 . .. 2 1 3 . 2
H e im a ts u b n e tz
1
S u b n e tz w e c h se l R e c h n e r A
Abb. 13.3-12:
H A R
1
7 R e c h n e r B H o A = 1 2 9 .6 7 .2 0 1 .1 1
I P - A d r = 1 2 9 .6 7 .2 0 1 .2
IP -N e tz 3
H A
M o b ile R e c h n e r in F re m d s u b n e tz e n
A R P -C a c h e IP -A d r. L in k -A d r . 1 2 9 .6 7 .2 0 1 .2 x y z a .b .c .d x y z 1 2 9 .6 7 .2 0 1 .1 1 x y z x y z p .r .s .t
Mobiles Routing, wenn die Router keine Mobility Agents implementieren FA: Fremdagent, HA: Heimatagent, R: Router, xyz: Link-Layer-Adresse
Sendet der Rechner A ein IP-Paket an die HoA des mobilen Rechners B, werden alle Pakete mit der HoA dieses Rechners als Zieladresse zum Router R2 an der Grenze zum Heimatsubnetz geroutet (1). Der Router R2 muss diese IPPakete zum Heimatagenten weiterleiten (2). Hierfür wird eine spezielle Lösung eingesetzt, auf die nun näher eingegangen wird.
Übermittlung des IPPakets an den HA
Da die an die HoA eines mobilen Rechners gesendeten IP-Pakete nicht an den Proxy-ARP Heimatagenten des Heimatsubnetzes adressiert sind, kann dieser sie normaler- im HA weise nicht empfangen. Hierfür muss der Heimatagent die Proxy-ARP-Funktion [Abschnitt 2.6.2] unterstützen, um IP-Pakete, die an die HoA eines mobilen Rechners, der sich gerade in einem Fremdsubnetz aufhält, adressiert sind, an ihn übermitteln zu können. Die IP-Pakete aller mobilen Rechner eines Subnetzes, die sich in Fremdsubnetzen aufhalten, werden zum Heimatagenten dieses Subnetzes übermittelt. Dies bedeutet, dass diese IP-Pakete in den Frame der LL-Schicht (Link-Layer, d.h. der zweiten Schicht) an die LL-Adresse des Heimatagenten (d.h. in LANs an
652
13 Unterstützung der Mobilität in IP-Netzen
eine MAC-Adresse) geschickt werden. Der Heimatagent fungiert somit als Vertreter (Proxy) aller mobilen Rechner, die sich in Fremdsubnetzen aufhalten. Das ARP beim Heimatagenten muss daher die Proxy-ARP-Funktion unterstützen. Wie Abbildung 13.3-12 illustriert, enthält der ARP-Cache des Heimatagenten auch eine Tabelle mit der Zuordnung der LL-Adresse des Heimatagenten zu den Heimatadressen (HoAs) der mobilen Rechner, die sich in fremden Subnetzen aufhalten und beim Heimatagenten registriert sind. Bedeutung des ProxyARP
Da der Router R2 für das Absenden eines IP-Paketes mit der Heimatadresse 129.67.201.11 die entsprechende LL-Adresse benötigt, sendet er eine Broadcast-Anfrage nach dem Protokoll ARP, um diese LL-Adresse zu ermitteln. Auf diese ARP-Anfrage reagiert der Heimatagent und sendet an den Router R2 die ARP-Antwort mit der Zuordnung: 129.67.201.11 xyz. Somit wird das IP-Paket direkt an den Heimatagenten gesendet, d.h. es wird in einem LL-Frame mit der LL-Zieladresse xyz geschickt. Der Heimatagent dient somit als Vertreter (Proxy) aller Rechner, die sich in fremden Subnetzen aufhalten. Hat der Heimatagent das IP-Paket mit der Heimatadresse eines mobilen Rechners, der sich gerade in einem anderen Subnetz aufhält, empfangen, so nimmt er eine sog. IP-in-IP-Encapsulation vor.
Weiterleitung des IPPakets an den FA
Hierbei wird das Original-IP-Paket in ein äußeres IP-Paket eingekapselt und die Care-of-Adresse des mobilen Rechners als Zieladresse im Header dieses äußeren Pakets eingetragen. Das auf diese Art und Weise eingekapselte Original-IP-Paket wird nun an die CoA gesendet. Diesen Vorgang bezeichnet man als Tunneling. Dabei „tunnelt“ der Heimatagent das so eingekapselte OriginalIP-Paket an die CoA, ohne zu wissen, ob der mobile Rechner selbst oder ein Fremdagent am Ende des Tunnels ist (3).
Übermittlung des IPPakets an den Gastrechner
Im dargestellten Beispiel führt der Tunnel zum Fremdagenten. Hier wird das Original-IP-Paket „ausgepackt“. Anhand der Ziel-IP-Adresse des inneren Original-IP-Paketes leitet der Fremdagent dieses Paket zum mobilen Gastrechner weiter (4). Um das IP-Paket aber an einen mobilen Gastrechner zu senden, muss der Fremdagent zuerst die LL-Adresse dieses Gastrechners mithilfe des Protokolls ARP abfragen [Abschnitt 2.6.1].
FA als DefaultGateway für Gastrechner
Der Fremdagent dient als Default-Gateway für alle mobilen Gastrechner, weil die Gastrechner keinen „normalen“ Router im Fremdsubnetz kennen. Sollte der Zielrechner B eine Antwort an den Rechner A übermitteln, so übergibt er das entsprechende IP-Paket zuerst an den Fremdagenten und dieser sendet es dann an den Router R1 (5), (6). Im weiteren Verlauf wird das IP-Paket nach den normalen Routing-Prinzipien zum Zielrechner A geroutet (7).
13.4 Konzept des MIPv6
653
Einsatz von Routern mit Mobility Agents Um das Prinzip des mobilen Routing vollständig erläutern zu können, wurde in Abbildung 13.3-12 angenommen, dass die eingesetzten Router die Mobilität, d.h. die Funktion von Mobility Agents, nicht unterstützen. Falls die Mobility Agents in den Routern untergebracht sind, ergeben sich einige Vorteile. Abbildung 13.3-13 veranschaulicht diese Form des mobilen Routing. C o A = 1 4 1 .3 .2 1 3 .2
F A
F re m d s u b n e tz
3
H o A = 1 2 9 .6 7 .2 0 1 .1 1
2 1
4
R e c h n e r B
Abb. 13.3-13:
R
IP -N e tz
5 S u b n e tz w e c h se l
R 1
R e c h n e r A
1 2 9 .6 7 .2 0 1 .2 H A 2
H e im a ts u b n e tz H o A _ C o 1 2 . .9 . . 6 7 . 2 0 1 . 1 1 _ 1 4 1 M o b ility B in d in g T a b
A . 3. ...2 1 3 . 2 le
Mobiles Routing, falls Mobility Agents in Routern untergebracht sind Abkürzungen wie in Abb. 13.3-12.
Vergleicht man die Abbildungen 13.3-12 und -13, so ist direkt ersichtlich, dass die Implementierung von Mobility Agents in den Routern zur Vereinfachung des mobilen Routing führt. In diesem Fall entfallen die Schritte 2 und 6 aus Abbildung 13.3-12, sodass der vollständige Routing-Verlauf nur noch fünf Schritte umfasst. Die Schritte 1, 2, 3, 4 und 5 aus der Abbildung 13.3-13 entsprechen somit den Schritten 1, 3, 4, 5 und 7 aus der Abbildung 13.3-12. Falls der Heimatagent im Router untergebracht ist, wird die Proxy-ARPFunktion beim Heimatagenten nicht mehr benötigt.
13.4 Konzept des MIPv6 Um die Mobilität in Netzen mit dem IPv6 zu unterstützen, wurde Mobile IPv6 (MIPv6) entwickelt. Das MIPv6 stellt eine Erweiterung des IPv6 dar und wird in RFC 3775 spezifiziert. In Abschnitt 13.1.5 wurde bereits die grundlegende Idee des MIPv6 dargestellt [Abb. 13.1-7]. Zwischen den Konzepten des MIPv6 und des MIPv4 gibt es einige Unterschiede, z.B.: Beim MIPv6 ist die Funktion des Fremdagenten (FA) nicht mehr nötig.
Unterschiede zwischen
Zwischen einem mobilen Rechner und einem anderen ist beim MIPv6 eine direkte Kommunikation nach der aktuell optimalen Route möglich. Beim MIPv6 und MIPv4 kann nur eine Kommunikation über einen Fremdagenten verlaufen MIPv4 [Abb. 13.3-12 und 13].
654 MN und CN
13 Unterstützung der Mobilität in IP-Netzen
Beim MIPv6 bezeichnet man einen mobilen Rechner, der im IP-Netz „wandern“ kann, als Mobile Node (MN) und sein Kommunikationspartner wird Correspondent Node (CN) genannt. Zwischen dem MN und einem Rechner mit nur IPv6 ist mit dem MIPv6 eine indirekte Kommunikation über den Heimatagenten möglich [Abschnitt 13.4.5].
13.4.1 MN hat sein Heimatsubnetz verlassen Wie bereits in Abbildung 13.1-7 gezeigt wurde, muss ein MN, falls er sein Heimatsubnetz verlassen hat, dem Heimatagenten (HA, Home Agent) in seinem Heimatsubnetz seine aktuelle Nachsendeadresse im Fremdsubnetz, die sog. CoA (Care-of Address), mitteilen. Mit diesem Vorgang sind beim MIPv6 mehrere Schritte verbunden. Abbildung 13.4-1 illustriert sie.
S N
IP v 6 -N e tz R
i
R
C N
H e im a t- H A s u b n e tz S N j
C N A
1
H o A
2 4 5
6 7 7 8 9 1 0
F re m d s u b n e tz S N k
C o A
3
C N R e g is tr a tio n
M N R
E n td e c k u n g d e s S u b n e tz w e c h s e ls E rz e u g u n g d e r C o A E n td e c k u n g d e r H A A A u fb a u e in e r S A n a c h IP s e c R e g is trie ru n g d e r C o A A k tu a lis ie ru n g d e r L L -A d re s s e v o n M N A u fb a u e in e r T C P -V e rb in d u n g u n d in d ire k te K o m m u n ik a tio n R e tu rn R o u ta b ility P ro c e d u re C N B in d in g D ire k te K o m m u n ik a tio n
Abb. 13.4-1: MN hat sein Heimatsubnetz verlassen und initiiert eine TCP-Verbindung CNA: CN Address, HA: Heimatagent, HAA: HA Address, HoA: Home Address, R: Router, SN: Subnetz
Abgehende TCPverbindung vom MN
Hat ein MN sein Heimatsubnetz verlassen und initiiert eine TCP-Verbindung, sind beim Verlauf nach MIPv6 folgende Schritte zu unterscheiden: 1.
Entdeckung des Subnetzwechsels [Abb. 13.4-10]: Der MN muss seine Bewegung ständig überwachen, um zu erkennen − ob er sein Heimatsubnetz verlassen hat, − ob er sich in ein neues Fremdsubnetz hineinbewegt hat, − ob er in sein Heimatsubnetz zurückgekehrt ist.
13.4 Konzept des MIPv6
2.
3.
4.
5.
6.
Erzeugung der CoA [Abb. 13.4-11]: Hat ein MN einen Subnetzwechsel entdeckt und sich in ein Fremdsubnetz hineinbewegt, erzeugt er für sich eine CoA. Sie muss nun dem Heimatagenten in seinem Heimatsubnetz mitgeteilt werden. Entdeckung der HAA (falls notwendig) [Abb. 13.4-12]: Ein MN ist in der Lage, einen Heimatagenten automatisch zu entdecken und seine Adresse, die sog. HAA (Home Agent Adresse) abzufragen. Nach Bedarf kann der MN überprüfen, ob er über die aktuelle HAA verfügt. Aufbau einer Security Association nach IPsec (optional): Um die Kommunikation zwischen dem MN und seinem Heimatagenten zu sichern, kann das Protokoll IPsec verwendet werden. Bevor der MN dem Heimatagenten seine CoA mitteilt, vereinbart er mit ihm, welche Sicherheitsverfahren sie verwenden, um die Kommunikation zwischen sich zu sichern. Diese Vereinbarung bezeichnet man als Security Association [Abschnitt 12.4.3]. Home Agent Binding [Abb. 13.4-8]: Der MN muss seinem Heimatagenten die CoA mitteilen. Dieser Vorgang wird Home Agent Binding genannt. Hierbei trägt der Heimatagent in seinem Binding Cache die Zuordnung CoA ein. Dies bedeutet für ihn, dass die IP-Pakete, die in das HoA Heimsubnetz eintreffen und an die HoA des MN adressiert sind, an die CoA weitergeleitet werden müssen.
655 Erzeugung der CoA
Entdeckung der HAA
Security Association nach IPsec
Registrierung der CoA
Für das IPv6 wurde das ARP, das beim IPv4 die Ermittlung der MAC- AktualisieAdresse eines Rechners ermöglicht, zum Neighbor Discovery Protocol rung LL(NDP) „ausgebaut“. Der Heimatagent fungiert als NDP-Proxy. Auf die Adresse Anfrage, welche LL-Adresse der MN hat, gibt der Heimatagent als Antwort seine LL-Adresse an. Damit werden die in das Heimatsubnetz eintreffenden und an die HoA des MN adressierten IP-Pakete an den Heimatagenten übermittelt. Er leitet diese an die CoA des MN weiter. Falls ein MN sein Heimatsubnetz verlassen hat, muss sein Heimatagent eine Nachricht als Broadcast im Heimatsubnetz mit der Information darüber verschicken, dass seine LL-Adresse der HoA des MN entspricht. Einige Rechner im Heimatsubnetz des MN, die bereits im Cache die Zuordnung (LL-Adresse von MN) HoA enthalten, ersetzen diesen Eintrag mit der Zuordnung (LL-Adresse von Heimatagent) HoA. Damit haben diese Rechner die LL-Adresse des MN „aktualisiert“. Der Heimatagent wird ab jetzt alle an den MN adressierten IP-Pakete im Heimatsubnetz empfangen und an MN in ein Fremdsubnetz weiterleiten.
Falls ein MN sich in ein Fremdsubnetz hineinbewegt und seine CoA bereits dem Heimatagenten mitgeteilt hat, kann er eine TCP-Verbindung initiieren. Wie Abbildung 13.4-1 zeigt, sind hierbei weitere Schritte zu unterscheiden:
656 Aufbau einer TCPVerbindung
13 Unterstützung der Mobilität in IP-Netzen
7.
Aufbau einer TCP-Verbindung und indirekte Kommunikation: Der MN erzeugt ein IPv6-Paket mit dem TCP-Segment SYN, um eine TCPVerbindung zu initiieren. In diesem IPv6-Paket werden die CN-Adresse (CNA) als Ziel-IP-Adresse und seine HoA als Quell-IP-Adresse eingetragen. Da der CN die CoA des MN noch nicht kennt, wird dieses IPv6Paket an den CN nur über den Heimatagenten übermittelt. Hierfür wird dem IPv6-Paket an den CN ein zusätzlicher IPv6-Header vorangestellt, in dem die HAA als Ziel-IP-Adresse und die CoA als Quell-IP-Adresse enthalten sind. Dies könnte man sich so vorstellen, als ob dieses IPv6-Paket in einem Tunnel an den Heimatagenten übermittelt worden wäre. Man spricht daher von einer IPv6-in-IPv6-Encapsulation bzw. vom IPv6-in-IPv6-Tunneling. Der Heimatagent interpretiert nur den äußeren IPv6-Header und leitet das innere, an den CN adressierte IPv6-Paket an ihn weiter. So werden die ersten IP-Pakete vom MN an den CN übermittelt. Die ersten IPv6-Pakete vom CN an den MN werden ebenfalls über den Heimatagenten übermittelt. Falls eine TCP-Verbindung zwischen MN und CN besteht, wäre es effektiver, die IP-Pakete nicht indirekt über den Heimatagenten zu übermitteln, sondern direkt nach der besten Route zwischen MN und CN. Man spricht beim MIPv6 in diesem Zusammenhang von Route Optimization. Dies kommt nur dann in Frage, wenn der CN ebenso wieder MN auch MIPv6fähig ist. Bevor der MN dem CN seine CoA mitteilt, prüft der MN zuerst, ob der CN MIPv6-fähig ist. Diese Überprüfung wird beim MIPv6 als Return Routability Procedure bezeichnet. Ist der CN MIPv6-fähig, wird der Vorgang Correspondent Node Binding durchgeführt. Correspondent Node Binding [Abb. 13.4-9]: Ist der CN MIPv6-fähig, übermittelt der MN dem CN seine CoA in Binding Update. Der CN bestätigt dies mit Binding Acknowledgement.
Return Routability Procedure
8.
CN-Binding
9.
Direkte Kommunikation
10. Wurde das CN-Binding beendet, findet zwischen MN und CN eine direkte Kommunikation nach der besten Route (Route Optimization) statt. Bei dieser Kommunikation werden die IPv6-Erweiterungs-Header Destination Options Header und Type2 Routing Header [Abb. 13.4-5] in IPv6-Paketen übermittelt [Abb.13.4-7].
Ankommende TCPVerbindung zum MN
Falls ein MN sich in ein Fremdsubnetz hineinbewegt und seinem Heimatagenten die Nachsendeadresse CoA bereits mitgeteilt hat, ist er für alle Rechner im IP-Netz erreichbar. Falls ein CN eine TCP-Verbindung zum MN initiiert, sendet er daher ein IPv6-Paket mit dem TCP-Segment SYN in das Heimatsubnetz des MN. Da der MN bereits das Heimatsubnetz verlassen hat und sein Heimatagent eine Nachsendeadresse (CoA) hat, verpackt er das vom CN empfangene
13.4 Konzept des MIPv6
IPv6-Paket in ein zusätzliches IPv6-Paket und leitet es an den MN im Fremdsubnetz weiter. Es handelt sich hierbei um eine indirekte Kommunikation zwischen CN und MN [Abb. 13.4-6]. Auf diese Art und Weise werden die ersten IP-Pakete vom CN an den MN übermittelt. Dann wird die Return Routability Procedure durchgeführt, um festzustellen, ob der CN MIPv6-fähig ist. Ist das der Fall, wird das CN-Binding durchgeführt. Danach kann zwischen CN und MN eine direkte Kommunikation nach der besten Route stattfinden.
13.4.2 MN hat ein Fremdsubnetz gewechselt Der MN kann sich während einer bestehenden TCP-Verbindung in ein anderes Fremdsubnetz hineinbewegen, Abbildung 13.4-2 illustriert einen solchen Fall. T C P -V e rb in d u n g R
C N
H e im a ts u b n e tz
IP v 6 -N e tz R H A R
3 5
C o A
M N
H o A 4
M N R 1 2
F re m d s u b n e tz n e u
E n td e c k u n g d e E rz e u g u n g e in R e g is trie ru n g d A k tu a lis ie ru n g F o rts e tz u n g d e r
C N B : C o rre sp o n d e n t N o d e B in d in g
s S u b n e tz w e c h s e ls e r n e u e n C o A e r n e u e n C o A v o n C N B K o m m u n ik a tio n
Abb. 13.4-2: Der MN hat während einer TCP-Verbindung ein Fremdsubnetz gewechselt Abkürzungen wie in Abb. 13.4-1
Hat sich ein MN während einer bestehenden TCP-Verbindung in ein anderes Fremdsubnetz hineinbewegt, sind im Allgemeinen folgende Schritte beim Verlauf des MIPv6 zu unterscheiden: 1.
Entdeckung des Subnetzwechsels: Wie Schritt 1 in Abbildung 13.4-1.
2.
Erzeugung einer neuen CoA : Wie Schritt 2 in Abbildung 13.4-1.
3.
Registrierung der neuen CoA: Die neue CoA muss im Binding Cache des Heimatagenten eingetragen werden. Dies entspricht dem Schritt 5 in Abbildung 13.4-1. Da nur eine neue CoA im Binding Cache des Heimatagenten eingetragen wird, fungiert der Heimatagent weiterhin als NDP-Proxy. Daher ist der Abbildung 13.4-1 gezeigte Schritt 6 nicht mehr nötig.
4.
Aktualisierung von Correspondent Node Bindig: Da zwischen MN und CN bereits eine TCP-Verbindung besteht, kommunizieren die beiden Rechner direkt, sodass die CoA aus dem neuen Fremdsubnetz im Binding Cache des CN eingetragen werden muss. Dies entspricht dem Schritt 9 aus Abbildung 13.4-1.
657
658
13 Unterstützung der Mobilität in IP-Netzen
5.
Fortsetzung der direkten Kommunikation: Nach dem Eintragen der neuen CoA beim CN kann die direkte Kommunikation zwischen MN und CN fortgesetzt werden.
13.4.3 MN ist in sein Heimatsubnetz zurückgekehrt Ein MN kann während einer bestehenden TCP-Verbindung in sein Heimatsubnetz zurückkehren. Abbildung 13.4-3 illustriert diesen Fall.
C N A
IP v 6 -N e tz R
C N S N
j
H A A H e im a ts u b n e tz
H A
F re m d s u b n e tz
H o A 2
4
M N C o A R
R
3
1
1 : E 2 : D 3 : A 4 : C
n td e re k tu o rr
e c k u n g d e s g is trie ru n g a lis ie ru n g d e sp o n d e n t N
S u b n d e r C e r L o d e
e tz w e c h s e ls o A L -A d re sse v o n M N D e re g is tra tio n
Abb. 13.4-3: Der MN ist während einer TCP-Verbindung in sein Heimatsubnetz zurückgekehrt Abkürzungen wie in Abb. 13.4-1
Falls ein MN während einer bestehenden TCP-Verbindung in sein Heimatsubnetz zurückgekehrt ist, muss Folgendes durchgeführt werden: 1.
Entdeckung des Subnetzwechsels: Wie Schritt 1 in Abbildungen 13.4-1 und 13.4-2.
2.
CoA muss nun im Deregistrierung der CoA: Die Zuordnung HoA BindingCache des Heimatagenten „gestrichen“ werden. Danach fungiert der Heimatagent nicht mehr als ND-Proxy für die Link-Layer-Adresse (LL-Adresse) des MN, der in das Heimatsubnetz zurückgekehrt ist.
3.
Aktualisierung der LL-Adresse des MN: Da der Heimatagent für die LLAdresse des MN nicht mehr als NDP-Proxy fungiert, muss der MN im Heimatsubnetz bekannt machen, dass die an seine HoA adressierten IPv6Pakete ab jetzt an seine LL-Adresse übermittelt werden müssen.
4.
Correspondent Node Deregistration: Besteht noch das Binding mit einem CoA auch in den bzw. mit mehreren CNs, muss die Zuordnung HoA Binding Caches aller CNs gelöst werden. MN ist nun unter seiner HoA erreichbar.
13.4 Konzept des MIPv6
659
13.4.4 MIPv6-Nachrichten Um beim IPv6 die Mobilität zu unterstützen, wurden zusätzliche Erweiterungen vorgenommen. Insbesondere wurden folgende Nachrichten und Optionen definiert: Mobility Header als IPv6-Erweiterungs-Header
Im Mobility Header werden verschiedene Nachrichten für die Unterstützung der Mobilität übermittelt [Abb. 13.4-4]. Type 2 Routing Header (T2-RH) als IPv6-Erweiterungs-Header
Der T2-RH wird bei der direkten Kommunikation zwischen MN und CN verwendet. Im T2-RH übermittelt der CN die HoA vom MN [Abb. 13.4-7]. Home Address Option (HAO) für Destination Options Header
Die HAO wird bei der direkten Kommunikation zwischen MN und CN eingesetzt. In HAO teilt der MN dem CN seine HoA mit [Abb. 13.4-7]. Neue ICMPv6-Nachrichten Falls ein MN die IP-Adresse seines Heimatagenten automatisch entdecken möchte, spricht man von HAA Discovery [Abschnitt 13.4.9]. Damit der MN in der Lage ist, das Präfix des Heimatsubnetzes abzufragen, wurden die ICMPv6-Nachrichten HAA Discovery Request und HAA Discovery Reply für die Entdeckung der HAA (Home Agent Address) sowie Mobile Prefix Solicitation und Mobile Prefix Advertisement für die Abfrage von Subnetz-Präfix definiert. Mobility Header wird als letzter Extension Header in IPv6-Paketen über- Mobility Header mittelt. Den Aufbau von Mobility Header zeigt Abbildung 13.4-4.
P a y H e a M H R e s C h e
lo a d P ro to c o l (1 B y te ) d e r L e n g th (1 B y te ) T y p e (1 B y te ) e rv e d (1 B y te ) c k s u m (2 B y te s )
M e s s a g e D a ta H e a d e r
M o b iO p tio
0 : 1 : 2 : 3 : 4 : 5 : 6 : 7 :
B in d H o m C a re H o m C a re B in d B in d B in d
in e -o e -o in in in
g R e fre sh R e q T e s t In it (H o T f-T e s t In it (C o T e st (H o T ) f-T e st (C o T ) g U p d a te g A c k n o w le d g g E rro r
u e st I) T I)
e m e n t
M o b iO p tio : M o b ility O p tio n s
Abb. 13.4-4: Aufbau von Mobility Header
Mobility Header setzt sich zusammen aus einem Header und dem Teil Message Data, in dem eine Nachricht mit Mobility Options übermittelt wird. Das Feld Payload Protocol hat die gleiche Bedeutung wie Next Header
660
13 Unterstützung der Mobilität in IP-Netzen
im IPv6-Header. Da Mobility Header als letzter Extension Header im IPv6Paket übermittelt wird, enthält Payload Protocol immer den Wert 59. Type 2 Routing Header (T2-RH)
Type 2 Routing Header (T2-RH) wird als Extension Header in IPv6-
Paketen übermittelt. Abbildung 13.4-5 zeigt seinen Aufbau. Den T2-RH sendet ein CN bei direkter Kommunikation mit einem MN, falls dieser während einer bestehenden TCP-Verbindung sein Heimatsubnetz verlassen hat. Im T2-RH wird die Heimatadresse (HoA) des MN übermittelt. Die Bedeutung von T2-RH ist aus Abb. 13.4-7 ersichtlich. N e x H e a R o u S e g R e s
t H e a d e r (1 B y te ) d e r E x te n s io n L e n g th (1 B y te ) tin g T y p e (1 B y te ) m e n t L e ft (1 B y te ) e rv e d (4 B y te s ) H o m e A d d re ss (H o A )
H e a d e r
Abb. 13.4-5: Aufbau von Type 2 Routing Header (T2-RH)
13.4.5 Kommunikation zwischen MN und CN Man unterscheidet folgende Arten der Kommunikation zwischen MN und CN: indirekte Kommunikation über einen HA von MN, falls z.B. der CN nicht MIPv6-fähig ist, und direkte Kommunikation ohne HA-Beteiligung. Auf diese Arten der Kommunikation wird nun näher eingegangen. Prinzip der indirekten Kommunikation Zwischen MN und CN kann die Kommunikation über einen HA (Heimatagenten) des MN verlaufen. Sie findet u.a. dann statt, wenn ein CN das MIPv6 nicht unterstützt, ein MN eine Session zu einem CN initiiert, zu dem noch kein Binding besteht, ein CN eine Session zu einem MN initiiert, zu dem aber noch kein Binding besteht. Abbildung 13.4-6 illustriert den Verlauf der indirekten Kommunikation, falls der CN ein stationärer Rechner ist und das MIPv6 nicht unterstützt. Der CN
13.4 Konzept des MIPv6
kann daher nur „normale“ IPv6-Pakete, d.h. in denen keine MIPv6-Nachrichten enthalten sind, senden und empfangen. Bei der indirekten Kommunikation unterscheidet man folgende vier Schritte: 1.
Der CN übermittelt ein IPv6-Paket ohne MIPv6-Angaben an die IPv6Adresse des MN (d.h. an die MoA). Der HA (Heimatagent) stellt dem empfangenen IPv6-Paket einen zusätzlichen IPv6-Header voran, in dem er als Quell-IPv6-Adresse seine Adresse (d.h. die HAA) und als Ziel-IPv6-Adresse die Nachsendeadresse CoA angibt. Dies stellt eine IPv6-in-IPv6-Encapsulation dar, die man sich als Übertragung des inneren IPv6-Pakets in einem Tunnel vorstellen kann.
2.
C N
S N
C N A
i
IP v 6 -N e tz R S N
R
j
H A A 1
S N R
H A
M N k
C o A H o A
2 : [ I P v 6 - H ( Q - A = H A A , Z - A = C o A , ...) , I P v 6 - H ( Q - A = C N A , Z - A = H o A , ...) , T - P D U ] 3 : [ I P v 6 - H ( Q - A = C o A , Z - A = H A A , ...) , I P v 6 - H ( Q - A = H o A , Z - A = C N A , ...) , T - P D U ]
2 4
1 : [ I P v 6 - H ( Q - A = C N A , Z - A = H o A , ...) , T - P D U ]
3
4 : [ I P v 6 - H ( Q - A = H o A , Z - A = C N A , ...) , T - P D U ]
Abb. 13.4-6: Prinzip der indirekten Kommunikation zwischen MN und CN über einen HA Q-A: Quell-IPv6-Adresse, Z-A: Ziel-IPv6-Adresse, CNA: CN Address, HA: Heimatagent, HAA: HA Address, R: Router, SN: Subnetz, T-PDU: Transport Protocol Data Unit
3.
Der MN erzeugt ein IPv6-Paket ohne MIPv6-Angaben, das an den CN gesendet wird. Der IPv6-Header enthält als Ziel-Adresse die Adresse des CN, d.h. CNA, und als Quell-Adresse die Adresse des MN, d.h. HoA. Um dieses IPv6-Paket über den HA zu übermitteln, wird ihm ein zusätzlicher IPv6-Header vorangestellt, in dem die Adresse von HA, d.h. HAA, als Ziel-Adresse und die CoA von MN als Quell-Adresse enthalten sind. Bildlich kann man sich dies so vorstellen, als ob das innere IPv6-Paket in einem Tunnel übermittelt werden würde.
4.
Der HA entfernt den zusätzlichen IPv6-Header und leitet das innere IPv6Paket an den CN weiter.
Die zwischen CN und HA übermittelten IPv6-Pakete enthalten keine MIPv6Angaben, sodass der CN nicht unbedingt MIPv6-fähig sein muss. Prinzip der direkten Kommunikation Wenn MN und CN MIPv6-fähig sind, kann eine direkte Kommunikation, d.h. ohne Beteiligung des HA, zwischen ihnen stattfinden. Abbildung 13.4-7 veranschaulicht diese Art der Kommunikation.
661
662
13 Unterstützung der Mobilität in IP-Netzen
C N C N A 2
IP v 6 -N e tz R S N j
R
H A
R H o A
M N
C o A 1
1 : [ I P v 6 - H e a d e r ( Q - A = C o A , Z - A = C N A , ...) , D e s t. O p t. H e a d e r ( H A O = H o A , ...) , T - P D U ] 2 : [ I P v 6 - H e a d e r ( Q - A = C N A , Z - A = C o A , ...) , T y p e 2 R o u tin g H e a d e r ( H o A , ...) , T - P D U ]
Abb. 13.4-7: Prinzip der direkten Kommunikation zwischen MN und CN Abkürzungen wie in Abb. 13.4-6
Bei der direkten Kommunikation unterscheidet man folgende zwei Schritte: 1.
Ein MN, der sich in einem Fremdsubnetz aufhält, übermittelt ein IPv6Paket an einen CN. Im IPv6-Header wird daher die CoA des MN als Quell-IPv6-Adresse und die CNA als Ziel-IPv6-Adresse eingesetzt. In diesem IPv6-Paket ist der Destination Options Header, d.h. ein MIPv6-spezifischer Teil, enthalten, in dem als Home Address Option (HAO) die Heimat-IP-Adresse (d.h. HoA) des MN angegeben wurde. Nach dem Empfangen dieses IPv6-Pakets durch den CN wird die CoA durch die HoA ersetzt. Bemerkung: Falls z.B. zwischen MN und CN eine TCP-Verbindung aufgebaut wurde, als MN noch im Heimatsubnetz war, wird das Ende dieser TCP-Verbindung seitens MN durch die HoA bestimmt. Um die T-PDU an das TCP zu übergeben, muss CoA durch HoA ersetzt werden. Da der Subnetzwechsel während einer bestehenden TCP-Verbindung stattfinden kann, soll das TCP davon nichts merken.
2.
Der CN übermittelt ein IPv6-Paket an den MN, in dem die CNA als Quell-IPv6-Adresse und die CoA des MN als Ziel-IPv6-Adresse enthalten sind. Dieses IPv6-Paket enthält den Type 2 Routing Header, in dem die HoA des MN übermittelt wird. Nach dem Empfang dieses IPv6-Pakets durch den MN wird die CoA durch die HoA ersetzt. Warum die HoA zusätzlich übermittelt wird, wurde bereits oben erwähnt.
13.4.6 Home Agent Binding Was ist Home Agent Binding?
Hat ein MN sein Heimatsubnetz gerade verlassen, muss er seine Nachsendeadresse im Fremdsubnetz, d.h. die CoA, seinem Heimatagenten mitteilen. Dieser muss die entsprechende Zuordnung HoA CoA in seinem Binding Cache eintragen. Falls ein MN sich gerade von einem Fremdsubnetz in ein anderes hineinbewegt, muss er die CoA aus dem neuen Fremdsubnetz ebenfalls seinem Heimatagenten mitteilen. Diese Aktualisierung der CoA bedeutet ein Binding Update. Ist der MN in sein Heimatsubnetz zurückgekehrt, muss er seinem CoA in Heimatagenten mitteilen, dass die ihn betreffende Zuordnung HoA seinem Binding Cache „gestrichen“ werden muss. Der MN ist im Heimatsubnetz unter der HoA erreichbar. Die eben geschilderten Vorgänge werden als
13.4 Konzept des MIPv6
663
Home Agent Binding (HA-Binding) bezeichnet. Abbildung 13.4-8 illustriert den Verlauf von HA-Binding. Falls MN sich in einem Fremdsubnetz aufhält, verläuft das HA-Binding in folgenden zwei Schritten: 1. Der MN übermittelt ein IPv6-Paket an den HA mit seiner CoA als QuellIPv6-Adresse und mit der HAA als Ziel-IPv6-Adresse. Dieses IPv6-Paket enthält einen Destination Options Header, in dem als Home Address Option (HAO) die HoA des MN angegeben wurde. Damit wird die Zuordnung: HoA => CoA im Binding Cache beim HA eingetragen. Falls zwischen MN und HA vorher eine Security Association nach dem IPsec aufgebaut wurde [Abb. 13.4-1], enthält das IPv6-Paket auch einen ESP-Header (Encapsulating Security Payload). Der letzte Extension Header im IPv6-Paket ist der Mobility Header mit dem Binding Update [Abb. 13.4-4]. 2. Der HA bestätigt das Binding mit einem IPv6-Paket, in dem ein Mobility Header mit Binding Acknowledgement enthalten ist. Dieses IPv6Paket enthält auch den Type 2 Routing Header mit der HoA des MN.
IP v 6 -N e tz S N j
R H A H A A
R
S N
2
H o A
1
k
M N
1 : [ I P v 6 - H e a d e r ( Q - A = C o A , Z - A = H A A , ...) , D e s tin a tio n O p tio n s H e a d e r ( H A O = H o A , ...) , E S P -H e a d e r , M o b ility H e a d e r (B in d in g U p d a te )] C o A 2 : [ I P v 6 - H e a d e r ( Q - A = H A A , Z - A = C o A , ...) , T y p e 2 R o u tin g H e a d e r (H o A ), E S P -H e a d e r , M o b ility H e a d e r (B in d in g A c k )]
Abb. 13.4-8: Verlauf von Home Agent Binding (HA-Binding) Q-A: Quell-IPv6-Adresse, Z-A: Ziel-IPv6-Adresse, HA: Heimatagent, HAA: HA Adresse, R: Router, SN: Subnetz
13.4.7 Correspondent Node Binding Eine direkte Kommunikation zwischen einem MN, der sich in einem Fremdsubnetz aufhält, und einem CN kann nur stattfinden, wenn zwischen ihnen ein Binding besteht. Hierfür muss im Binding Cache des CN eine entsprechende Zuordnung MoA => CoA enthalten sein. Das Eingetragen und Aufrechterhalten dieser Zuordnung bezeichnet man als Correspondent Node Binding (CNBinding). Abbildung 13.4-9 illustriert diesen Vorgang. Vergleicht man Abbildung 13.4-8 und 13.4-9, stellt man fest, dass das CNBinding ähnlich wie das HA-Binding verläuft. Im Gegensatz zum HA-Binding
Was bedeutet Correspondent Node Binding?
664
13 Unterstützung der Mobilität in IP-Netzen
wird beim CN-Binding das IPsec in der Regel nicht verwendet. Somit enthalten die IPv6-Pakete beim CN-Binding keinen ESP-Header.
C N
IP v 6 -N e tz R
C N A
S N j
R
R H A
S N k
M N C o A
2 : [ I P v 6 - H e a d e r ( Q - A = C N A , Z - A = C o A , ...) , T y p e 2 R o u tin g H e a d e r (H o A ), M o b ility H e a d e r (B in d in g A c k )]
H o A
1
1 : [ I P v 6 - H e a d e r ( Q - A = C o A , Z - A = C N A , ...) , D e s t. O p tio n s H e a d e r ( H A O = H o A , ...) , M o b ility H e a d e r (B in d in g U p d a te )]
2
Abb. 13.4-9: Verlauf des Correspondent Node Binding (CN-Binding) Abkürzungen wie in Abb. 13.4-8
13.4.8 Entdeckung eines Subnetzwechsels Der MN muss während seiner Bewegung ständig überwachen, ob er sich in ein anderes Subnetz hineinbewegt und damit ein Subnetzwechsel stattgefunden hat. Um einen Subnetzwechsel zu entdecken, kommen mehrere Möglichkeiten infrage. Die einfachste Lösung ergibt sich aus dem Verlauf des NeighborDiscovery-Protokolls (NDP), das ein Bestandteil des IPv6 ist [Abschnitt 7.1]. Das NDP stellt die Funktion zur Verfügung, um einen Router zu entdecken. Diese Funktion lässt sich auch zur Entdeckung eines Subnetzwechsels einsetzen. Abbildung 13.4-10 illustriert, wie dies funktioniert.
IP v 6 -N e tz R S N
j
M N
R A ( ..., P r e f ix = y y y , ...) j
R A : R o u te r A d v e rtis e m e n t
Abb. 13.4-10:
S N R
R A ( ..., P r e f ix = x x x , ...)
Prinzip der Entdeckung eines Subnetzwechsels HA: Heimatagent, R: Router, SN: Subnetz
Erzeugung der CoA
Jeder IPv6-fähige Router sendet periodisch auf jedem Port die Nachricht Router Advertisement (RA), in ihr ist das Präfix des Subnetzes dieses Ports enthalten. Hat der MN das Subnetz gewechselt, empfängt er in einem anderen Subnetz RA mit einem anderen Subnetz-Präfix. Sind die Subnetz-Präfixe in jeweils zwei aufeinanderfolgenden RA nicht gleich, stellt der MN fest, dass ein Subnetzwechsel stattgefunden hat.
13.4 Konzept des MIPv6
Wenn der MN den Subnetzwechsel entdeckt hat, muss er im neuen Fremdsubnetz für sich eine neue Nachsendeadresse CoA erzeugen. Abbildung 13.4-11 zeigt, wie die CoA aufgebaut wird, falls der MN eine MAC-Adresse besitzt. S ta tio n -ID
H e rs te lle r-ID B
U /L = 1 B
S u b n e tz -P rä fix 6 4 B its
1
B
B
2
1
B 3
2
B 3
B
F F F E
B 4
B
B 5
4
B
M A C -A d re s s e (4 8 B its )
5
6
B 6
E U I-6 4 -A d re sse
B i: B y te , ID : Id e n tifik a tio n E U I: E x te n d e d U n iq u e Id e n tifie r U /L -B it: U n iv e rs a l/L o c a l-B it
Abb. 13.4-11:
Aufbau einer Nachsendeadresse CoA, falls der MN eine MAC-Adresse besitzt MAC: Media Access Control
Eine CoA setzt sich zusammen aus dem Subnetz-Präfix, das der MN aus RA erfährt, und aus seiner EUI-64-Adresse [Abb. 6.9-6]. Diese enthält 64 Bits und dient als Identifikation des MN. Die EUI-64-Adresse stellt eine durch die zwei Bytes FF und FE aufgeteilte MAC-Adresse dar. Der MN muss auch überprüfen, ob seine CoA im Fremdsubnetz einmalig ist, d.h. ob es hier ein Duplikat gibt. Man spricht hierbei von Duplicate Address Detection (DAD). Diese Funktion gehört bereits zu den Aufgaben des IPv6 [Abschnitt 7.2.1].
13.4.9 Entdeckung der Home-Agent-Adresse Bei der Konfiguration eines MN kann die Adresse von seinem Heimatagenten manuell eingetragen werden. Falls diese Adresse geändert wird, muss man auch in allen MNs eine entsprechende Änderung durchführen. Das MIPv6 bietet aber die Möglichkeit, die Adresse von Heimatagenten automatisch zu beziehen. Abbildung 13.4-12 illustriert, wie dies funktioniert.
S N j
IP v 6 -N e tz R H A
H A A 2
Abb. 13.4-12:
R
S N k
M N
1
C o A
1 : [ I P v 6 - H e a d e r ( Q - A = C o A , Z - A = H A - A n y c a s t, ...) , H o m e A g e n t A d d r e s s D is c o v e r y R e q u e s t ] 2 : [ I P v 6 - H e a d e r ( Q - A = H A A , Z - A = C o A , ...) , H o m e A g e n t A d d r e s s D is c o v e r y R e p ly ]
Prinzip der Entdeckung der Home-Agent-Adresse (HAA) HA: Heimatagent, HAA: HA Adresse
665
666
13 Unterstützung der Mobilität in IP-Netzen
Um die Adresse eines Heimatagenten zu entdecken, sendet der MN eine ICMPv6-Nachricht Home Agent Address Discovery Request (HAA Discovery Request) als Anycast [Abschnitt 6.10] innerhalb seines Heimatsubnetzes. Somit wird diese ICMPv6-Nachricht im IPv6-Paket mit der ZielIPv6-Adresse übermittelt, die mit dem Präfix (64 Bits) des Heimatsubnetzes beginnt und die restlichen 64 Bits enthalten den Wert FEFF:FFFF:FFFF:FFFE. Jeder Heimatagent antwortet auf HAA Discovery Request mit der ICMPv6Nachricht HAA Discovery Reply, in der die IPv6-Adressen von mehreren Heimatagenten enthalten sein können. Das kann beispielsweise der Fall sein, wenn Heimatagenten redundant ausgelegt sind.
13.5 Hierarchical MIPv6 Wozu Hierarchical MIPv6?
Falls ein mobiler Rechner während einer bestehenden Session mit einem anderen Rechner ein Subnetz verlässt und sich in ein anderes hineinbewegt, darf die bestehende Session nicht abgebrochen werden. Die Übernahme eines mobilen Rechners in ein neues Subnetz während einer bestehenden Session wird als Handover bezeichnet. Während des Handover wird jede bestehende Session „eingefroren“. Daher muss die Dauer des Handover möglichst kurz gehalten werden, um die Qualität von Echtzeitapplikationen, wie z.B. Voice over IP, nicht negativ zu beeinflussen. U.a. um die Dauer von Handover zu reduzieren, wurde eine Erweiterung des MIPv6 als Hierarchical MIPv6 (HMIPv6) in RFC 4140 spezifiziert.
Vorteil von HMIPv6
Beim HMIPv6 wird die Funktionskomponente Mobility Anchor Point (MAP) eingeführt, die als Vertretung von Heimatagenten aus mehreren Subnetzen fungiert. Beim HMIPv6 wird eine RCoA (Regional Care-of Address) definiert, die als regionale Nachsendeadresse angesehen werden kann. Gegenüber dem MIPv6 hat der HMIPv6 den Vorteil, dass ein mobiler Rechner seinem Heimatagenten nur dann die RCoA mitteilen muss, wenn er sich in den Zuständigkeitsbereich eines anderen MAP hineinbewegt hat.
13.5.1 Unterstützung der Mobilität mit dem HMIPv6 Das Protokoll HMIPv6 kommt zum Einsatz, wenn sich Benutzer mit mobilen Rechnern, wie z.B. Laptops, überwiegend lokal bewegen. Abbildung 13.5-1 veranschaulicht das Konzept des HMIPv6. Speziell für den Fall, dass die Bewegung von Benutzern überwiegend lokal stattfindet, wurde das Konzept des MAP eingeführt. Ein MAP unterstützt die Mobilität innerhalb seines Bereichs, zu dem oft mehrere IPv6-Subnetze (kurz Subnetze) gehören. Der Zuständig-
13.5 Hierarchical MIPv6
667
keitsbereich eines MAP wird MAP-Domäne genannt und er kann nur zufällig eine DNS-Domäne sein.
H A
IP -N e tz (In te rn e t) D o m ä n e v o n M A P x
A R
R
M A P x
N e tz w e rk
A R
H e im a ts u b n e tz R
M A P y
A R
D o m ä n e v o n M A P y A R A P
A P
M ik ro m o b ilitä t
M a k ro m o b ilitä t
Abb. 13.5-1: Mikro- und Makromobilität mithilfe des HMIPv6 AR: Access Router, HA: Heimatagent, MAP: Mobility Anchor Point, R: Router
Der MAP wird in einem Router untergebracht, über den ein Netzwerk an das Internet angeschlossen ist. Das Netzwerk kann sich wiederum aus einem kabelgebundenen Netzwerk und aus einem WLAN zusammensetzen bzw. nur ein WLAN darstellen. Im WLAN können mehrere Access Points (AP) installiert werden. Alle mobilen Rechner in einem Übertragungsbereich eines Access Routers AR gehören zu einer Funkzelle. Alle Funkzellen, die über einen AR an das kabelgebundene Netzwerk bzw. direkt an das Internet angebunden sind, bilden ein Subnetz. Wie auch beim MIPv6 wird ein mobiler Rechner beim HMIPv6 als Mobile No- Mikro- bzw. de (MN) bezeichnet und sein Kommunikationspartner als Correspondent Node Makro(CN). Falls der MN „wandert“, kann er die Funkzelle eines AP verlassen und mobilität in die Funkzelle eines anderen AP hineingehen. Gehören diese beiden Funkzellen zur Domäne desselben MAP, handelt es sich um lokale Mobilität, die als Mikromobilität bezeichnet wird. Hat der MN sich aber in eine Funkzelle eines anderen MAP hineinbewegt, spricht man von Makromobilität. Beim HMIPv6 stellt ein MAP die Vertretung von Heimatagenten aller MNs dar, die sich in seiner Domäne vorläufig aufhalten. Beim HMIPv6 hat jeder MN in einem Fremdsubnetz zwei vorläufige Nachsendeadressen. Eine von ihnen wird als RCoA (Regional CoA) und die andere als LCoA (On-Link CoA) bezeichnet. Die RCoA setzt sich aus dem Präfix der IPv6-Adresse des MAP und aus der In- Bedeutung terface-Identifikation des MN zusammen. Die RCoA besagt, über welchen der RCoA MAP der MN zu erreichen ist bzw. in welcher Domäne er sich aufhält. Die RCoA eines MN bleibt unverändert, solange er sich in der Domäne ein und
668
13 Unterstützung der Mobilität in IP-Netzen
desselben MAP aufhält. Der MN muss immer herausfinden, welcher MAP für ihn zuständig ist, und dem Heimatagenten in seinem Heimatsubnetz die RCoA mitteilen. Der Heimatagent sendet dann die in das Heimatsubnetz übermittelten und an den MN adressierten IPv6-Pakete an den MAP nach und der MAP leitet sie an einen Access Router (AR) weiter. Hierfür muss der MN aber dem MAP immer die beiden Nachsendeadressen RCoA und LCoA mitteilen. Nach dem Präfix in LCoA erfährt der MAP, in welchem Subnetz seiner Domäne der MN sich befindet. Vorteil des HMIPv6
Solange ein MN sich von einem Subnetz zu einem anderen bewegt und hierbei in der Domäne desselben MAP bleibt, ist er über dieselbe RCoA erreichbar. Der MN muss daher seine RCoA nur dann dem Heimatagenten in seinem Heimatsubnetz mitteilen, falls er die Domäne eines MAP verlassen hat und in die Domäne eines anderen MAP hineingegangen ist. Dass der MN die RCoA, d.h. die regionale Nachsendeadresse, seinem Heimatagenten nur im Fall der stattgefundenen Makromobilität mitteilen muss, ist der größte Vorteil des HMIPv6 gegenüber dem MIPv6.
13.5.2 Finden eines MAP Jeder MN muss immer den MAP herausfinden können, über den er von seinem Heimatsubnetz erreicht werden kann. Abbildung 13.5-2 illustriert das Finden des MAP (MAP Discovery), falls die Access Routers nicht direkt mit dem MAP verbunden sind.
IP -N e tz (In te rn e t) M A P -D o m ä n e
N e tz w e rk R
S N A R R A
R A
H e im a tS u b n e tz
H A R M A P R A
S N A R R R A
R A
A P M N
Abb. 13.5-2: Finden des MAP; der Access Router (AR) ist indirekt mit MAP verbunden SN: Subnetz, RA: Router Advertisement, weitere Abkürzungen wie in Abb. 131-5-1
Jeder MAP sendet periodisch seine Bekanntmachungen als MAP Option (MAPO) in den Nachrichten Router Advertisement (RA) des Protokolls
13.5 Hierarchical MIPv6
669
ICMPv6. Diese Nachrichten werden als Multicast an alle Router adressiert. In MAPO ist das Feld Dist enthalten, in dem die Entfernung als Anzahl von Hops zwischen dem MAP und dem Empfänger von RA eingetragen wird. Jeder Router, der RA empfangen hat, inkrementiert den Wert Dist um 1 und sendet RA mit MAPO auf seinem Subnetz als Multicast weiter. MAPO enthält das Adresspräfix aus der IPv6-Adresse vom Router mit dem MAP. Dieses Adresspräfix wird vom MN als Identifikation der MAP-Domäne interpretiert. Hat der MN ein RA mit MAPO empfangen, so ist ihm ein AR, über den er mit dem terrestrischen Netzwerk verbunden werden kann, bekannt und er kann auch die regionale Nachsendeadresse RCoA für sich generieren. Sie besteht aus dem empfangenen 64 Bits langen Adresspräfix und aus der 64 Bits langen Interface-Identifikation des MN. Hat der MN aber mehrere RAs mit MAPO über verschiedene ARs empfangen, wählt er nach dem Wert Dist den AR aus, der die geringste Entfernung zum MAP hat. ARs können mit einem Router mit dem MAP direkt verbunden werden. In die- ARs direkt sem Fall verläuft die Entdeckung des MAP nach den gleichen Regeln. Beim di- verbunden rekten Verbund von ARs mit dem MAP empfängt ein MN aber immer nur ein mit MAP RA mit MAPO und mit Dist = 1. Hat ein MN einen neuen MAP entdeckt, bedeutet dies für ihn, dass er sich in die Domäne eines anderen MAP hineinbewegt hat. Es handelt sich nun um die Makromobilität [Abb. 13.5-1].
13.5.4 Unterstützung der Mikromobilität Verlässt ein MN ein Subnetz und geht in ein neues hinein, so bezeichnet man Entdeckung dies als Mikromobilität. Damit jeder MN in der Lage ist, jeden Subnetzwechsel des Subnetzzu entdecken, sendet jeder AR periodisch Router Advertisement (RA) als wechsels ICMPv6-Nachricht. RA enthält das Adresspräfix aus der IPv6-Adresse des AR. Dieses Adresspräfix stellt für den MN die Identifikation des Subnetzes dar und wird vom MN verwendet, um die neue Nachsendeadresse LCoA zu generieren. Die lokale Nachsendeadresse LCoA des MN enthält vorn dieses Adresspräfix Bedeutung und am Ende seine 64 Bits lange Identifikation. Die LCoA entspricht weitge- der LCoA hend der Nachsendeadresse CoA beim MIPv6 und bestimmt den MN im Zielsubnetz. Abbildung 13.5-3 illustriert die Unterstützung der Mikromobilität. Nach dem Empfang von RA muss jeder MN immer vergleichen, ob das Adresspräfix im letzten RA mit dem Adresspräfix im neuen RA übereinstimmt. Ist dies der Fall, hat der MN das Subnetz nicht verlassen. Ist es aber nicht der Fall, hat der MN ein neues Subnetz betreten und muss sich eine neue LCoA generieren und sich bei einem neuen AR registrieren lassen.
670
13 Unterstützung der Mobilität in IP-Netzen
H A
IP -N e tz (In te rn e t) M A P -D o m ä n e
a lt
A R a
R M A P 3 b
C N
H e im a ts u b n e tz
2
A R
n e u b
R A 1
3 a
S u b n e tz A
C N S u b n e tz B
Abb. 13.5-3: Prinzip der Unterstützung der Mikromobilität mit dem HMIPv6 CN: Correspondent Node, Weitere Abkürzungen wie in Abb. 13.5-1
Bei der Unterstützung der Mikromobilität unterscheidet man folgende Schritte: 1. Entdeckung der Mikromobilität (Movement Detection) Der MN hat nach dem Empfang von RA und dem Vergleich des Adresspräfixes aus seiner LCoA mit dem Adresspräfix im neuen RA festgestellt, dass sie unterschiedlich sind. Daher ist er in ein neues Subnetz hineingegangen und generiert eine neue LCoA aus dem neuen Adresspräfix. 2. Registrierung der neuen LCoA beim MAP Um die neue LCoA bei seinem MAP bekannt zu machen, übermittelt der MN die LCoA an den MAP in der Nachricht Binding Update (BU) [Abb. 13.4-4]. Der MAP ersetzt die alte LCoA durch diese neue und hat damit den Wechsel des Subnetzes durch den MN bei sich eingetragen. 3. Mitteilen der neuen LCoA an seine CNs Wechselt der MN das Subnetz während der direkten Kommunikation [Abb. 13.4-7] mit einigen CNs, muss er diesen CNs seine neue Lage im Netzwerk mitteilen. Hierbei teilt der MN in der Nachricht BU mit: 3a. allen CNs in seinem neuen Subnetz die aktuelle LCoA und 3b. allen CNs außerhalb des neuen Subnetzes seine RCoA. Diese CNs erreichen den MN nun über den MAP. Nach dem dritten Schritt können die von den CNs an den MN in sein Heimatsubnetz übermittelten IPv6-Pakete vom HA an den MAP und dann von ihm LCoA) an den neuen (nach der beim MAP gespeicherten Zuordnung RCoA AR übergeben werden. Vom AR werden die IPv6-Pakete an den MN gesendet.
13.5 Hierarchical MIPv6
13.5.5 Unterstützung der Makromobilität Verlässt ein MN ein Subnetz und geht in ein neues hinein, kann es sich auch um Makromobilität handeln [Abb. 13.5-1]. Damit jeder MN in der Lage ist, jeden Wechsel der MAP-Domäne zu entdecken, sendet jeder MAP periodisch die ICMPv6-Nachricht Router Advertisement (RA) mit MAP Option (MAPO)als Multicast an alle Router aus. MAPO enthält das 64 Bits lange Adresspräfix aus der IPv6-Adresse des Routers mit dem MAP. Dieses Adresspräfix stellt für den MN die Identifikation der MAP-Domäne dar. Die RCoA des MN setzt sich aus diesem Adresspräfix und aus seiner 64 Bits langen Identifikation zusammen. Abbildung 13.5-4 illustriert, wie die Makromobilität unterstützt wird. Nach jedem Empfangen von MAPO muss jeder MN immer vergleichen, ob das Adresspräfix in der letzten MAP Option mit dem Adresspräfix in der neuen MAPO übereinstimmt. Ist dies der Fall, hat der MN die MAP-Domäne noch nicht verlassen. Ist es aber nicht der Fall, hat der MN eine neue MAP-Domäne betreten. Dann muss er sowohl eine neue regionale Nachsendeadresse RCoA als auch eine neue lokale Nachsendeadresse LCoA generieren und sich damit bei einem neuen MAP registrieren. Dadurch kann der neue MAP bei sich die Zuordnung RCoA LCoA abspeichern. Aus der LCoA kann der MAP erkennen, an welchen AR er die IPv6-Pakete weiterleiten muss, die an den MN adressiert sind und vom HA an die RCoA nachgesendet wurden.
D o m ä n e v o n M A P x
R ...
M A P x
A R
C N
R
a lt a
H A
H e im a ts u b n e tz
IP -N e tz (In te rn e t)
M A P y
...
n e u
a lt 4 b
A R 2
R A 1
C N
n e u 3
D o m ä n e v o n M A P y
b
3
C N 4 a
4 b
Abb. 13.5-4: Prinzip der Unterstützung der Makromobilität mit dem HMIPv6 Abkürzungen wie in Abb. 13.5-1
Bei der Unterstützung der Makromobilität mit dem HMIPv6 unterscheidet man folgende Schritte:
671
672
13 Unterstützung der Mobilität in IP-Netzen
1. Entdeckung der Makromobilität Hat der MN nach dem Empfang von RA vom MAP und dem Vergleich des Adresspräfixes aus seiner RCoA mit dem Adresspräfix im neuen RA festgestellt, dass sie unterschiedlich sind, bedeutet dies, dass er eine neue MAP-Domäne betreten hat. Daher generiert der MN eine neue regionale Nachsendeadresse RCoA aus dem neuen Adresspräfix. Weil beim Wechsel einer MAP-Domäne gleichzeitig ein Subnetzwechsel stattfindet, muss der MN auch eine neue lokale Nachsendeadresse LCoA aus dem Adresspräfix des neuen AR generieren. Dieses Adresspräfix ist auch in RA enthalten. 2. Registrierung von RCoA und LCoA beim neuen MAP Der MN übermittelt dem neuen MAP in der Nachricht Binding Update (BU) die RCoA und die LCoA, der MAP trägt sich die Zuordnung RCoA LCoA ein. Die an den MN adressierten und vom Heimatagenten an den MAP nachgesendeten IPv6-Pakete werden nun aufgrund der LCoA vom MAP an einen AR und von diesem an den MN weitergeleitet. 3. Die neue RCoA wird dem HA im Heimatsubnetz mitgeteilt Da die RCoA für den Heimatagenten die Nachsendeadresse ist, über die der MN zu erreichen ist, macht der MN dem Heimatagenten seines Heimatsubnetzes die neue RCoA in der Nachricht BU bekannt. 4. Falls der MN während der direkten Kommunikation mit einigen CNs ein Subnetz gewechselt hat, muss er diesen CNs seinen neuen Ort mitteilen. Hierbei teilt der MN in der Nachricht BU mit: 4a. allen CNs in seinem neuen Subnetz die neue LCoA und 4b. allen CNs außerhalb des neuen Subnetzes seine RCoA. Nach dem vierten Schritt können die von den CNs an den MN in sein Heimatsubnetz übermittelten IPv6-Pakete vom Heimatagenten an den neuen MAP und von diesem weiter an den neuen AR nachgesendet werden. Der AR übermittelt die IPv6-Pakete an den MN weiter.
13.5.6 Datentransfer zwischen MN und CN Hat sich der MN bei einem MAP registriert, wird beim MAP die Zuordnung RCoA LCoA eingetragen. Abbildung 13.5-5 illustriert die Übermittlung der IPv6-Pakete zwischen MN und CN. Hierbei sind folgende zwei Fälle zu betrachten. Die aktuelle regionale Nachsendeadresse RCoA des MN kennt ein CN entweder bereits – Fall a) – oder noch nicht – Fall b). Im Fall a) initiiert ein CN, der sich außerhalb des Subnetzes befindet, in dem sich der MN aktuell aufhält, eine Kommunikation zum MN und sendet ein IPv6-Paket an seine HoA (Heimatadresse). Dieses Paket empfängt aber der HA (Heimatagent) in seinem Heimatsubnetz und leitet es an den MAP um, also in die Domäne, wo der MN sich aktuell aufhält. Hierfür wird beim HA dem Ori-
13.5 Hierarchical MIPv6 ginal-IPv6-Paket ein zusätzlicher IPv6-Header vorangestellt, in dem als Ziel-IPv6-Adresse die Adresse des MAP und als Quell-IPv6-Adresse die Adresse des HA eingetragen werden. Der MAP leitet danach das Original-IPv6-Paket an den MN weiter. Hierfür stellt MAP dem OriginalIPv6-Paket einen zusätzlichen IPv6-Header voran, in dem als Ziel-IPv6-Adresse die lokale Nachsendeadresse des MN – also die LCoA – und als Quell-IPv6-Adresse die Adresse des MAP eingetragen werden.
IP v 6 -A d r = C N A
IP v 6 -A d r = H A A
H A
C N a )
IP v 6 -A d r = x
M A P
H o A _ R C o A
H o A C N A
H o A C N A
H A A R C o A
H o A C N A
C N A H o A
b )
T 2 -R H
IP v 6 -P a k e t Z A Q A
Q A Z A
H o A
V o ra n g e s te llte r IP v 6 -H e a d e r
x
L C o A
L C o A
C N A H o A x
R C o A C N A
R C o A C N A
H o A _ R C o A
C N A H o A
IP v 6 -A d r = y A R F re m d s u b n e tz
R C o A _ L C o A
H o A
M N L C o A H o A
x
L C o A
L C o A x
C N A H o A
Q A : Q u e ll-IP v 6 -A d re s s e Z A : Z ie l-IP v 6 -A d re s s e
Abb. 13.5-5: Datentransfer zwischen MN und CN über den MAP und den AR: a) vor der Mitteilung der RCoA, b) CN kennt die RCoA des MN CNA; CN Address, HAA: HA Address, HoA; Home Address, LCoA: On-Link CoA, RCoA: Regional CoA, T2-RH: Type 2 Routing Header
Kennt der CN, der sich außerhalb des Subnetzes befindet, in dem sich der MN aktuell aufhält, bereits die regionale Nachsende-IPv6-Adresse RCoA des MN – wie im Fall b) –, sendet er ein an den MN adressiertes IPv6-Paket an die regionale Nachsende-IPv6-Adresse RCoA. Wie Abbildung 13.5-5b illustriert, enthält dieses Paket einen Type 2 Routing Header (T2-RH), in dem die HoA des MN übermittelt wird [vgl. Abb. 13.4-7], sodass die RCoA beim MN durch die HoA ersetzt werden kann. Der MAP leitet das Original-IPv6-Paket mit einem vorangestellten IPv6-Header an den MN weiter. Im zusätzlichen IPv6-Header – ebenso wie im Fall a) – werden als Ziel-IPv6-Adresse LCoA und als Quell-IPv6-Adresse die Adresse vom MAP eingetragen. Sendet der MN später eine Antwort an den CN, so sendet er sie nicht direkt an den CN, sondern auch über seinen MAP. Daher wird dem Original-IPv6-Paket ein zusätzlicher IPv6-Header beim MN, in dem die Adresse des MAP als Ziel-IPv6-Adresse und die LCoA als Quell-IPv6-Adresse eingetragen werden, vorangestellt. Der MAP leitet danach das Original-IPv6-Paket an den CN weiter.
Die Übermittlung der IPv6-Pakete über einen MAP hat den Vorteil, dass die RCoA beim HA so lange gültig ist, so lange ein MN sich innerhalb der Domäne desselben MAP bewegt.
673
674
13 Unterstützung der Mobilität in IP-Netzen
13.6 Schlussbemerkungen Für die Unterstützung der Mobilität in IP-Netzen wurden mehrere Konzepte und Protokolle entwickelt. Das Ziel dieses Kapitels war es, diese in fundierter Form darzustellen. Abschließend ist Folgendes hervorzuheben: Das MIPv6 wird bereits unter Linux und beim Windows Server 2003 unterstützt. Weil das MIPv6 ein komplexes Protokoll ist, konnten hier nicht alle Aspekte des MIPv6 dargestellt werden. Es wurde hier u.a. nicht gezeigt, wie die Return Routability Procedure bzw. die Aktualisierung von Subnetz-Präfixen verläuft. Die Sicherheitsaspekte konnten auch nicht angesprochen werden. Mehrere CoAs
Ein mobiler Rechner kann über mehrere CoAs als Nachsendeadressen verfügen. Dies kann u.a. der Fall sein, wenn er sich dort aufhält, wo zwei benachbarte WLAN-Zellen sich überlagern, die jeweils ein Subnetz darstellen. In diesem Fall gehört der mobile Rechner zu zwei Subnetzen, sodass er über zwei CoAs verfügt. Folgerichtig kann ein mobiler Rechner beim Einsatz des HMIPv6 auch über mehrere LCoAs und RCoAs verfügen.
Hierarchie von MAPs
Um beim Einsatz des HMIPv6 eine möglichst große Zahl von WLANs zu erfassen, können mehrere MAPs so eingesetzt werden, dass sie in einer Hierarchie zueinander stehen. Dies bedeutet, dass die Route von einem Heimatagent zu einem mobilen Rechner über mehrere MAPs führen kann.
MIP und Handover
Beim MIPv6 kann ein Subnetzwechsel während einer bestehenden TCPVerbindung erfolgen. Dass ein Subnetzwechsel stattgefunden hat, soll das TCP nicht merken. Es werden verschiedene Konzepte entwickelt, um Handover in allen möglichen Situationen sicher durchführen zu können. Man spricht in diesem Zusammenhang z.B. von Smooth Handover, Fast Handover bzw. Seamless Handover.
Protokoll FMIPv6
Um die Dauer eines Handover beim MIPv6 möglichst kurz zu halten, wurde das Protokoll FMIPv6 (Fast Handovers for Mobile IPv6) in RFC 4068 spezifiziert. Verlässt ein mobiler Rechner ein Subnetz und bewegt sich in ein anderes Subnetz hinein, muss er in diesem neuen Subnetz eine neue Nachsendeadresse NCoA (New Care-of Address) für sich generieren. Im Gegensatz zum MIPv6 erlaubt das FMIPv6 dem mobilen Rechner, eine NCoA zu generieren, bevor er bei einem Router im neuen Subnetz „angemeldet“ ist. Dadurch lässt sich die Dauer eines Handover reduzieren. Das FMIPv6 wird unter Linux bereits unterstützt. Um die Echtzeitanwendungen, wie z.B. Voice over IP oder IP-TV, in integrierten Netzstrukturen mit UMTS und WLANs, die man als 4G-Mobilfunknetze bezeichnet, in guter Qualität zu ermöglichen, kann die Koexistenz von MIPv6, FMIPv6 und HMIPv6 zukünftig unabdingbar werden.
Literatur [ACFo 02]
Adams, B., Cheng, E., Fox, T.: Interdomain Multicast Solutions Guide, Cisco Press, 2002
[Armi 00]
Armitage, G.: Quality of Service in IP-Networks, Macmillan Technical Publishing, 2000
[Bada 97a]
Badach, A.: Datenkommunikation mit ISDN, Thomson, 1997
[Bada 97b]
Badach, A.: Integrierte Unternehmensnetze, X.25, Frame Relay, ISDN, LANs und ATM, Hüthig, 1997
[Bada 05]
Badach, A.: Voice over IP – Die Technik, Hanser, 2007
[BaRS 03]
Badach, A., Rieger, S., Schmauch, M.: Web-Technologien, Architekturen, Konzepte, Trends, Hanser, 2003
[BaHK 94]
Badach, A., Hoffmann, E., Knauer, O.: High Speed Internetworking, Addison-Wesly, 1994
[BaGT 94]
Banet, H.-F., Gärtner, E., Teßma, G.: UMTS, Hüthig, 2004
[Bens 07]
Benslimane, A.(Hrg.): Multimedia Multicast on Internet, ISTE, 2007
[BeRS 04]
Bernstein, G., Rajagopalan, B., Saha, D.: Optical Network Control, Addison-Wesly, 2004
[Blac 00]
Black, U.: QoS in Wide Area Networks, Prentice Hall, 2000
[Böhm 05] [DaRe 00]
Böhmer, W.: VPN Virtual Private Networks, Hanser, 2005 Davie, B., Rekhter, Y.: MPLS Technology and Application, Morgan Kaufmann, 2000
[DoHa 00]
Doraswamy, N., Harkins, D.: IPSec, Addison-Wesley, 2000
[DuYa 99]
Durham, D., Yavatkar, R.: Inside the Internet´s Resource reSerVation Protocol, John Wiley & Sons, 1999
[Ecke 04]
Eckert, C.: IT-Sicherheit, Konzepte – Verfahren – Protokolle, Oldenbourg, 2004
[EGWr 02]
Edwards, B., M., Giuliano, L., A., Wright, B., R.: Interdomain Multicast Routing, Addison-Wesley, 2002
[FaBr 06]
Farrel, A., Bryskin, I.: GMPLS, Architecture and Applications, Morgan Kaufman, 2006
[FaFZ 01]
Fahner, H., Feil, P., Zseby, T.: MBone. Aufbau und Einsatz von IP- Multicast- Netzen, Dpunkt, 2001
676
Literatur
[FeHu 98]
Ferguson, P., Huston, G.: Quality of Service, John Wiley & Sons, 1998
[GoKi 99]
Goncalves, M., Niles, K.: IP Multicasting: Concepts and Applications, McGraw-Hill,1999
[Hala 98]
Halabi, B.: Internet-Routing-Architekturen, Hanser, 1998 Jha, S., Hassan, M.: Engineering Internet QoS, Artech House, 2002
[JhHa 02] [Kilk 99] [KiWi 02]
Kilkki, K.: Differentiated Services for the Internet, Sams, 1999 Kiefer, R., Winterling, P.: DWDM, SDH & Co., Hüthig, 2002
[MiLu 05]
Minei, I., Lucek, J.: MPLS-Enabled Applications, John Wiley & Sons, 2005
[Moy 01]
Moy, J., T.: OSPF Complete Implementation, AddisonWesley, 2001
[Orla 00]
Orlamünder, H.: High-Speed-Netze, Hüthig, 2000
[Perk 03]
Perkins, C.: RTP Audio and Video for the Internet, AddisonWesley, 2003
[Schä 02]
Schäfer, C.: Das DHCP-Handbuch, Addison-Wesley, 2002
[Schi 03]
Schiller, J.: Mobilkommunikation, Pearson Studium, 2003
[Sieg 02a]
Siegmund, G.: Technik der Netze, Hüthig, 2002
[Sieg 02b]
Siegmund, G.: Next Generation Networks, IP-basierte Telekommunikation, Hüthig, 2002
[Solo 98] [Stöt 95]
Solomon, J., D.: Mobile IP, Prentice Hall, 1998 Stöttinger, K.: X.25 Datenpaketvermittlung, DATACOM, 1995
[Thom 00]
Thomas, S.: SSL and TLS Essentials, John Wiley &Sons, 2000
[Walk 02]
Walke, B., H.: Mobile Radio Networks , John Wiley &Sons, 2002
[Wepp 97]
Weppler, G.: Frame-Relay-Netze, VDE-VERLAG, 1997
[WeRo 00]
Wegner, J. D., Rockwell, R.: IP Addressing & Subnetting, MITP-VERLAG, 2000
[Wild 99]
Wilde, A.: SDH in der Praxis, VDE-VERLAG, 1999
[WiZi 02]
Wittmann, R., Zitterbart, M.: Multicast, Dpunkt, 2002 Yamanaka, N., Shiomoto, K., Oki, E: GMPLS Technologies, Taylor & Francis, 2006
[YaSO 06]
Abkürzungsverzeichnis 3DES Triple-DES 3WHS 3-Way HandShake
A AAA
Authentifizierung, Autorisierung, Accounting AAL ATM Adaption Layer ABR Area Border Router AC Access Concentrator Ack Acknowledgment ACL Access Control Lists ADS Active Directory Services AES Advanced Encryption Standard AFI Address Family Identifier AGL Application Level Gateway API Application Programming Interface ARP Address Resolution Protocol AH Authentication Header ALG Application Level Gateways ANSI American National Standards Institute AoMPLS ATM over MPLS AP Access Point API Application Programming Interface APNIC Asian Pacific Network Information Center AR Access Router ARIN American Registry for Internet Numbers AS Autonomes System ASBR AS Boundary Router ASN.1 Abstract Syntax Notation No. 1
ASON Automatic(ally) Switched Optical Network ATM Asynchronous Transfer Mode ATMARP ATM Address Resolution Protocol ATMoMPLS ATM over MPLS ATMoPW ATM over PW AVP Attribute Value Pair
B BECN Backward Explicit Congestion Notification BGMP Border Gateway Multicast Protocol BGP Border Gateway Protocol BIND Berkely Internet Name Daemon BUS Broadcast- und UnbekanntServer
C CA Certificate Authority CBC Cipher Block Chaining CCITT Comité Consultatif International Télégraphique et Téléphonique CE Customer Edge CEM SONET/SDH Circuit Emulation over MPLS CERT CERTificate CES Circuit Emulation Service CHAP Challenge Handshake Authentication Protocol CIDR Classless Inter-Domain Routing CBT Core Based Trees CLIP Classical IP over ATM
678
Abkürzungsverzeichnis
CLP Cell Loss Priority C-LSR Core-LSR CNAME Canonical NAME CN Correspondent Node CNA CN Address CNLP ConnectionLess Network Service CoA Care-of Address CONS Connection Oriented Network Service COPS Common Open Policy Service CoS Class of Service COSINE Co-operation and Open Systems Interconnection in Europe CR Customer Router CRL Certifiate Revocation List CR-LDP Constraint-Routing LDP CSLIP Compressed SLIP CSMA/CD Carrier Sense Multiple Access/Collision Detection CSPF Constrained Shortest Path First C-VLAN Cusstomer VLAN CW Control Word
D DA DAP DC DCCP
Destination Address Directory Access Protocol Domain Component Datagram Congestion Control Protocol DCE Data Communication Equipment DDDS Dynamic Delegation Discovery System DER Distinguished Encoding Rules DES Data Encryption Standard DH Diffie-Hellmann
DHCP Dynamic Host Configuration Protocol DIB Directory Information Base DIT Directory Information Tree DIX Digital, Intel und Xerox DL Data Link DLCI Data Link Connection Identifier DMZ DeMilitarisierte Zone DN Distinguished Name DNS Domain Name System DNSSEC DNS Security DO Data Offset DoS Denial of Service DR Designierter Router DS Differentiated Services, Delegation Signer DSCP Differentiated Service Code Point DSH Dual-Stack-Host DSR Dual-Stack-Router DSL Digital Subscriber Line DSTM Dual Stack Transitiom Mechanism DTE Data Terminal Equipment DUA Directory User Agent DUID DHCP Unique IDentifier DVMRP Distance Vector Routing Multicast Protocol DynDNS Dynamic DNS
E EBGP EDNS ELAN ENUM
Externes BGP Extended DNS Emuliertes LAN Telephone Number URI Mapping bzw. TElephone NUmber Mapping E-LSR Edge-LSR EoPW Ethernet over PW
Abkürzungsverzeichnis
ES ESP Eth EUI
Endsystem Encapsulation Security Header Ethernet Extended Unique Identifier
F FA FCS FDDI
Foreign Agent Frame Check Sequence Fiber Data Distributed Interface FEC Forwarding Equivalence Class FECN Forward Explicit Congestion Notification FQDN Full Qualified Domain Name FR Frame Relay FRAD FR Access Device FR-UNI FR User Network Interface FR-NNI FR Network Network Interface FRoPW Frame Relay over PW FRR Fast Re-Routing FTP File Transfer Protocol
G GE GFC GFP GIMP
Gigabit Ethernet Generic Flow Control Generic Framing Procedure GNU Image Manipulation Program GMPLS Generalized MPLS GNU GNU is not Unix GRE Generic Routing Encapsulation GRP Global Routing Prefix GSM Global System for Mobile Communications GSS Generic Secuity Services
GTK gTLD
GIMP Toolkit generic TDL
H HA HAA HDLC HEC HINFO HMAC
Home Agent Home Agent Address High-Level Data Link Control Header Error Control Host INFOrmation Hash based Message Authentication Code HMIP Hierarchical Mobile IP HoA Home Address HTML HyperText Markup Language HSRP Hot Standby Routing Protocol HTTP HyperText Transfer Protocol H-VPLS Hierarchical VPLS
I IANA
Internet Assigned Numbers Authority IAPP Inter Access Point Protocol IBGP Internes BGP ICANN Internet Corporation for Assigned Names and Numbers ICMP Internet Control Message Protocol ICP Internet Cache Protocol ICV Integrity Check Value ID Identification IDEA International Data Encryption Algorithm IDN Internationalized Domain Name IEEE Institute of Electrical and Electronics Engineers IESG Internet Engineering Steering Group IETF Internet Engineering Task Force
679
680
Abkürzungsverzeichnis
IGMP
Internet Group Management Protocol IGP Interior Gateway Protocol IKE Internet Key Exchange IMAP Internet Message Access Protocol InARP Inverse ARP InterNIC Internet Network Information Center IP Internet Protocol IPsec IP Security IPSL IP-Only LAN Service IPX Internetwork Packet eXchange IPv4 Internet Protocol Version 4 IPv6 Internet Protocol Version 6 IRTF Internet Research Task Force ISAKMP Internet Security Association and Key Management Protocol ISATAP Intra-Site Automatic Tunnel Addressing Protocol ISDN Integrated Services Digital Network IS-IS Intermediate System - Intermediate System IS-IS-TE IS-IS- Traffic Engineering ISN Initial Sequence Number ISO International Organization for Standardization ISP Internet Service Provider I-TCP Indirect TCP ITU International Telecommunication Union ITU-T ITU, Telecommunication Standardization Sector
J JAIN
Java API for Integrated Networks
K KMP
Key Management Protocol
L L2F L2TP LAC LAN LANE LAP LAPB LAPD LAPF LBS LCI LCoA LCP LDAP LDP LE LEC LED LIR LIS LLC LLU LMI LMP LNS LS LSA LSDB LSP LSR LST
Layer 2 Forwarding Layer 2 Tunneling Protocol L2TP Access Concentrator Local Area Network LAN-Emulation Link Access Protocol (Procedure) LAP, Balanced LAP – Channel D LAP for Frame Relay Location Based Services Logical Channel Identifier On-Link CoA Link Control Protocol Lightweight Directory Access Protocol Label Distribution Protocol LAN-Emulation LAN Emulations Client LAN Emulations Dienst Local Internet Registry Logical IP Subnetwork Logical Link Control Link Local Unicast Local Management Interface Link Management Protocol L2TP Network Server Link State Link State Advertisement Link State Database Label Switched Path Label Switching Router Label Switching Table
Abkürzungsverzeichnis
M MAC MAC MAN MAP MC MD5 Megaco MFTP
Media Access Control Message Authentication Code Metropolitan Area Network Mobility Anchor Point MultiCast Message Digest 5 Media Gateway Control Multisource File Transfer Protocol MGCP Media Gateway Control Protocol MHSRP Multigroup HSRP MIP Mobile IP MitM Man in the Middle MLD Multicast Listener Discovery MN Mobile Node MOSPF Multicast OSPF MPED MPOA Edge Device MP-BGP Multiprotocol Extensions for BGP-4 MPLS Multi-Protocol Label Switching bzw. Multiprotocol Label Switching MPλS Multi-Protocol Lambda Switching MPLS-TE MPLS Traffic Engineering MPOA Multi-Protocol over ATM MP-BGP Multiprotocol Extensions for BGP MPC MPOA-Client MPR MPOA-Router MPS MPOA-Server MS-CHAP Microsoft-CHAP MSDP Multicast Source Discovery Protocol MSL Maximum Segment Lifetime MSS Maximum Segment Size MTA Mail Transfer Agent
M-TCP MTU MUX MX
Mobile TCP Maximum Transfer Unit Multiplexer Mail eXchange
N NA Neighbor Advertisement NAPT Network Address Port Translation NAPTR Naming Authority PoinTeR NAS Network Access Server NAT Network Address Translation NAT-PT Network Address Translation – Protocol Translation NBMA Non-Broadcast Multiple Access NBP Network Bootstrap Program NCC Network Coordination Centre NCP Network Control Protocol NDP Neighbor Discovery Protocol NDS Network Directory Services NetBEUI NetBIOS Extended User Interface NFS Network File System NGN Next Generation Network NHC Next Hop Client NHNA Next Hop Network Address NHRP Next Hop Resolution Protocol NHS Next Hop Server NIR National Internet Registry NLA Next Level Aggregator NLPID Network Layer Protocol IDentifier NLRI Network Layer Reachability Information NNI Node Node Interface NP Netzwerkprotokoll NS Neighbor Solicitation, Name Server NSAP Network Service Access Point
681
682
Abkürzungsverzeichnis
NSEC Next SECure NSP Network Service Provider NTP Network Time Protocol
O OEO OID OOO OPT OSA
Optical-Electrical-Optical Object-Identifier Optical-Optical-Optical OPTion Open Service Architecture/Access OSI Open System Interconnection OSPF Open Shortest Path First OSPF-TE OSPF - Traffic Engineering OUI Organizationally Unique Identifier OXC Cross-Connect-System
P PAC PAM
PPTP Access Concentrator luggable Authentication Module PAP Password Authentication Protocol PAT Port Address Translation PDA Personal Digital Assistant PDU Protocol Data Unit PE Provider Edge PEM Privacy Enhanced Mail PERL Process and Experiment Automation Realtime Language PHY Physikalische Schicht PID Protocol Identifier PIM Protocol Independent Mulicast PIM-DM PIM– Dense Mode PIM-SM PIM– Sparse Mode PKCS Public Key Cryptography Standards
PKI PLP PNNI PNS POP
Public Key Infrastructure Packet Layer Protocol Private NNI PPTP Network Server Post Office Protocol bzw. Point of Presence POSIX Portable Operating System Interface PPP Point-to-Point Protocol PPTP Point-to-Point Tunneling Protocol PPVPN Provider Provisioned VPN PR Provider Router PSTN Public Switched Telephone Network PT Payload Type PtP Punkt-zu-Punkt PTR PoinTeR PVC Permanent Virtual Connection PW Pseudo Wire PWE3 Pseudo Wire Emulation Edge-to-Edge PWLAN Public WLAN PXE Preboot Execution Environment
Q QoS
Quality of Service
R R Router RA Router Advertisement RADIUS Remote Authentication Dial-In User Service RARP Reverse Address Resolution Protocol RAS Remote Access Service(s) RC2, 4 Rivest Cipher 2, 4 RCoA Regional CoA RCP Remote Procedure Call
Abkürzungsverzeichnis
RD Route Distinguisher RDN Relative Distinguished Name RFC Request for Comments RI Routing-Information RIB Routing Information Base RIP Routing Information Protocol RIPE Réseaux IP Européens RIPEMD RIPE Message Digest RP Rendezvous Point RPC Remote Procedure Call RPF Reverse Path Forwarding RR Resource Record RRSet Resource Record Set RS Router Solicitation RSA Rivest, Shamir, Adleman RSIP Realm Specific IP RSVP Resource reSerVation Protocol RSVP-TE RSVP with Traffic Engineering RT Routing-Tabelle RTCP RTP Control Protocol RTP Real-time Transport Protocol RTT Round Trip Time
S SA SAC SACK SAFI SASL SAP SASL SCTP SDH
Source Address Stateless AutoConfiguration Selective ACKnowledgement Sub-AFI, Subsequent AFI Simple Authentication and Security Layer Service Access Point Simple Authentication and Security Layer Stream Control Transmission Protocol Synchronous Digital Hierarchy bzw. Synchrone Digitale Hierarchie
SDK SIP SLD SHA SG SIG SIIT
Software Development Kit Session Initiation Protocol Second-Level Domain Secure Hash Algorithm Security Gateway SIGnature Stateless IP/ICMP Translation Algorithm SIP Session Initiation Protocol SLA Service Level Agreement SLIP Serial Line IP SLU Site Local Unicast SMTP Simple Mail Transfer Protocol SNA Systems Network Arcchitecture SNAP Sub-Network Access Protocol SNMP Simple Network Management Protocol SN IP-Subnetz SNPA Subnetwork Point of Attachment SOA Start Of zone Authority SOCKS SOCKetS SONET Synchronous Optical NETwork SPD Security Policy Database SPF Shortest Path First SPF Sender Policy Framework SPI Security Parameters Index SRTP Secure Real-time Transport SSH Secure Shell SSL Secure Sockets Layer S-TCP Snoop TCP STUN Simple Traversal of UDP through NAT SVC Switched Virtual Circuit
T TAO TB
TCP Accelerated Open Tunnel Broker
683
684
Abkürzungsverzeichnis
TC TCB TCP
Trust Center, TrunCation Transmission Control Block Transmission Control Protocol TLD Top Level Domain TDM Time Division Multiplexing TE Traffic Engineering TFTP Trivial File Transfer Protocol TH Tunnel-Header TK Telekommunikation TKEY Transaction KEY TLD Top-Level Domain TLS Transport Layer Security ToS Type of Service TRIP Telephony Routing over IP TSIG Transaction SIGnature TSN Transmission Sequence Number TT Traffic Trunk T/TCP Transaction TCP TTL Time To Live TVL Type-Length-Value TXT TeXT
U UDP User Datagram Protocol UMTS Universal Mobile Telecommunications System UN Unternehmensnetz UNI User Network Interface URI Uniform Resource Identifier URL Uniform Resource Locator
V VCI VF VG VIP VLAN VLSM
Virtual Channel Identifier Vermittlungsfunktion VPN-Gateway Virtuelle IP-Adresse Virtual LAN Variable Length Subnet Masks VMAC Virtuelle MAC-Adresse VoIP Voice over IP VPI Virtual Path Identifier VPLS Virtual Private LAN Service VPN Virtual Private Network VPWS Virtual Private Wire Service VR Virtueller Router VRID Virtual Router Identifier VRRP Virtual Router Redundancy Protocol
W WAN Wide Area Network WDM Wavelength Division Multiplexing WISP Wireless Internet Service Provider WKS Well Known Service WLAN Wireless Local Area Network WWW World Wide Web
X XML XNS
eXtensible Markup Language Xerox Network Services
Index 3WHS 121, 138 6BONE 272, 312 6to4 265, 301 6to4-Adresse 264, 315 6to4-Host 314 6to4-Relay-Router 316 6to4-Router 314, 322 6to4-Site 265, 314
A AAA-Server 616, 618, 619, 628 AAL 487 AAL-Schicht 488 Access Point 626, 667 Adaptives Routing 366 Address Family Identifier 383 Address Resolution Protocol s. ARP Address-Realm 204 Ad-Hoc-Netz 9, 456 administratives Scoping 437 Adresspräfix 254 Affinitätsattribut 457, 546 AfriNIC 256 Agent Discovery 638 Aggregatable Global Unicast Addresses 258 Aggregation von Routen 76, 78, 260 aggregierte Route 82, 83, 261 AH 241, 602, 605, 612 Alert-Protokoll 218 ALG 211 AName 163 Anwendungsschicht 19 Anycast-Adresse 252, 268 AoMPLS, 574 API 9 APNIC 255 Application Level Gateways s. ALG
Area Border Router 396 ARIN 256 ARP 33, 41, 68, 85, 86, 108, 235, 359, 484, 649 ARPANET 2, 107 ARP-Cache 86, 88 ARP-Nachricht 88 ARP-Server 68 AS Boundary Router 396 ASN.1 19, 219 Asynchronous Transfer Mode s. ATM ATM 47, 455, 485 ATM Adaption Layer s. AAL ATMARP-Server 492, 493 ATM-Diensttypen 488 ATMoMPLS 574 ATM-Schicht 487 ATM-Verbindung 491 ATM-Zelle 486 Authentication Header s. AH Authentifizierung 617 Authentizität 184 automatisches Tunneling 311, 316 autonomes System 353, 368 Autorisierung 617
B Backbone-Bereich 395 Bandwidth Broker 518 Basic NAT 205 Basic NAT-PT 345, 351 Benutzerdienstprotokoll 35 BGMP 435, 456 BGP 34, 36, 369, 411 BGP Identifier 415 BGP/MPLS IPv4-VPN 424 BGP/MPLS VPN 571, 580 BGP-Nachbarschaft 413
686
Index
BGP-4 412, s. BGP BGPv6 303 Bidirectional NAT 204, 210 Bidirectional NAT-PT 344, 347, 348, 349, 350 bilaterales Hotspot-Roaming 634 BIND 171 Broadcast - und Unbekannt Server 496
C Cache-Poisoning 170 Cache-Pollution 185 Cache-Server 162 Call Serial Number 590, 599 Care-of Address s. CoA CBT 435, 455 CE 424 CE-based VPN 570 Cell Loss Priority 490 CEM 574 CHAP 463, 470 Checksum 44, 403 Checksum Coverage 115 Chunk 146, 148 CIDR 56, 71, 72, 80, 82, 84, 254, 258 CIDR-Block 73 CIDR-Einsatz 80, 84 CipherSuite 217, 223 Circuit Emulation Service 625 Classes of Service 546 Classical IP over ATM 491 Classless Inter-Domain Routing s. CIDR Classless IP 70 CLIP 494, 504 CName 163 CN-Binding 663 CoA 632, 639, 642, 647, 654, 662 colocated CoA 644, 645, 646, 648 Colocated-Modus 638 Common Part Convergence Sublayer 488
Compressed SLIP 463 Cone NAT 208, 328, 330 Congestion Control 15 Constrained Shortest Path First 547 Constraint-based Routing 515, 543 Constraint-Routing 518 Constraint-Routing LDP 558 Content-Server 162, 163, 171, 191 Control Plane 516, 534 Control Word 567, 575 Core Based Trees 455 Correspondent Node 654, 667 Correspondent Node Binding 663 CoS 47, 546 Count-to-Infinity-Problem 374 CR-LDP 518, 549, 558, 573 Cross-Connect-System 539 CSMA/CD 457 CSPF 518, 543, 547 Customer Edge s. CE Customer VLAN 577
D Darstellungsschicht 19 Data Encryption Standard 608 Data Link 18, 22 Data Terminal Equipment 472 Datagram 27, 512 DCCP 155 Decapsulation 565 Default Gateway/Default Router 67, 99, 425 DeMilitarized Zone s. DMZ DENIC 183 Designierter Router 390, 393 DHCP 37, 112, 157, 192 DHCP-Client 194, 196 DHCP-Nachricht 195 DHCP-Relay-Agent 194, 199 DHCP-Server 194, 196, 199, 648 DHCPv6 235, 273, 288, 300, 303 DHCPv6-Client 288, 293, 294, 297
Index
DHCPv6-Nachricht 290 DHCPv6-Server 288, 292, 294, 296 Differentiated Services 43, 46, 107 Diffie-Hellman-Algorithmus 609 Dijkstra-Algorithmus 388 DLCI 523 DMZ 190, 191, 615 DNS 37, 157 DNS-Datenbaum 159 DNS-Nachricht 175 DNS-Namensraum 164 DNS-Root-Server 161, 171 DNSSEC 184, 186 DNSSECbis 184 Domain 159, 160, 171 DoS-Attacke 141 Downstream-Label 558 Downstream-Router 553 DSTM 306, 308, 333, 352 DSTM-Client 334 DSTM-Server 333, 334 Dual-Stack-Host 302 Dual-Stack-Rechner 264, 302, 333 Dual-Stack-Router 302, 318, 325 Duplicate Address Detection 276, 286 DVMRP 435, 455 Dynamisches Routing 366 DynDNS 183, 201, 210
E ECN 137, 155 EDNS 177 emuliertes LAN 494, 495 Encapsulating Security Payload s. ESP Encapsulation 564 End-to-End-VPN 568 Engress MPC 507 ENUM 179, 180 ENUM-DNS 181 ENUM-URI 181 EoMPLS 575, 577
EoPW 574, 575 Erweiterungs-Header 236, 238 ESP 108, 241, 602, 607 Ethernet Line Services 625 Ethernet over PW 575 EUI-64 261 EUI-64-Adresse 261, 262 Exchange Protocol 392 explizite Route 518 explizites Routing 544, 545 Extension Header 236, 613 Externes BGP 412
F Fast Handover for MIPv6 674 Fast Re-Routing 515, 556 FEC 521, 522, 525, 526 Fehlerkontrolle 10, 11 Fenstermechanismus 121, 122 Fiber Bundle 536 Firewall 191 Flooding 367 Flooding Protocol 392 Flusskontrolle 10, 13, 126 FMIPv6 674 Foreign Agent 632 Foreign-Agent-Modus 638 Forwarding Equivalence Class 521, 525, 526 FQDN 158, 160, 163, 182 Fragment Header 250 Fragment-Identifikation 251 Fragment Offset 44, 48, 49 Fragmentierung 47 Frame Control 458 Frame Relay 455, 478 Fremdagent 632 FRoPW 574 FTP 35 FTPS 35 Full Cone NAT 208 Full-Resolver 162, 164, 202
687
688
Index
G GE 512 gemeinsamer Verteilbaum 439 Generalized MPLS s. GMPLS Generic Flow Control 489 Generic Framing Procedure 534 Generic Label 531 Generic Routing Encapsulation 596 GFP 534 GFP-Frame 535 Global Routing Prefix s. GRP Globale Unicast-Adresse 256, 258 Glue 164 Glueless Delegation 165 GMPLS 25, 511, 523, 533, 556, 561 GMPLS CR-LDP 549, 561 GMPLS IS-IS-TE 455, 548 GMPLS OSPF-TE 455, 548 GMPLS RSVP-TE 549, 556 GMPLS TE 541 Grafting. 440 gratuitous-ARP 649 GRE 438 GRE-Header 596 GRP 258, 259, 260
H H.323 37 HAA 655 HA-Binding 663 Handover 625, 666 Handshake Protocol 220, 222 Hash based Message Authentication Code 601, 614 Hash-Funktion 184, 609 Heimatadresse 637 Heimatagent 631 Heimat-WISP 628 Hello Protocol 392 Hello-Paket 367, 404 Hierarchical MIPv6 s. HMIPv6 Hierarchical VPLS 624
High-Level Data Link Control 465, 474 HMIPv6 625, 626, 666, 668, 674 HoA 631, 637, 647, 651 Holding-Priorität 515, 544, 548 Home Address 631 Home Agent 631 Home Agent Binding 663 Host-ID 53, 57, 63, 65, 71 Host-Route 362, 363 Hotspot 626, 627 Hotspot-Roaming 626, 634 HSRP 425, 431 HTML 4, 6 HTTP 4, 6, 35, 40
I IAB 39 IANA 25, 39, 108, 112, 255 IAPP 627 IAX 37 ICANN 3, 159, 3 ICMP 27, 33, 50, 94, 108, 211, 235 ICMP-Header 95 ICMP-Nachricht 95, 96 ICMPv6 269 ICMPv6-Header 270 ICMPv6-Nachricht 270 IDN 192 IDNA 192 IEEE802-Adresse 262 IEPG 3 IESG 3, 39 IETF 3, 38 IGMP 33, 41, 104, 267, 434, 451 IGMP-Nachricht 104 IGMPv1 105 IGMPv2 104, 105 IGMPv3 104, 105, 106 IKE 604 in-addr.arpa 166 InATMARP 493
Index
Indirect TCP 156 Indirekte Route 363 Ingress MPC 507 Initial Sequence Number 124 Integration (Konvergenz) der Netze 8 Integrity Check Value 606 Inter-Area-Routing 395 Inter-Domain-MC-Routing 435 Inter-Domain-Protokoll 369 Interface-ID 252, 258, 262, 268, 315 Interior Gateway Protocol 386 International Data Encryption Algorithm 608 Internet 1, 8 Internet Control Message Protocol 94 Internet Key Exchange 604, 609 Internet Protocol 33 Internet2 25 Internetworking 66 InterNIC 160 Intra-Area-Routing 395 Intra-Domain-MC-Routing 435 Intra-Domain-Protokolle 369 inverse Auflösung 165 inverse IP-Adresse 166 Inverse-DNS-Eintrag 161 IP 1, 21, 27, 33, 42 IP Security s. IPSec IP-Adressblock 74 IP-Adresse 24, 27, 29, 32, 68, 87, 110 IP-Adressklassen 54 IP-Fragmentation 478 IP-Header-Translation 309, 335 IP-in-IP-Encapsulation 633, 652 IP-in-IP-Tunneling 438 IP-Instanz 25 IP-Multicasting 101 IP-Multiplexer 25, 32 IP-Netz 1, 26 IPnG 233 IP-Optionen 50
IP-Pakete 27, 42 IP-Pseudo-Header 113, 115 IP-Router 353 IP-Routing 354 IPsec 108, 211, 242, 565, 601 IPsec-Header 602 IP-Spoofing 185 IP-Subnetz 26, 27, 33 IP-Teilpaket 48 IP-Telefonie 9 IP-Übermittlungsdienst 110 IPv4 32, 40, 107, 233 IPv4 Control Protocol 468 IPv4/IPv6-Rechner 304 IPv4-compatible IPv6-Address 264, 265 IPv4-compatible IPv6-Addresses 264 IPv4-kompatible IPv6-Adressen 264, 305 IPv4-mapped IPv6-Address 264, 265, 336, 337 IPv4-Netz 301 IPv4-Transitnetz 312 IPv4-translated IPv6-Address 265, 337, 344 IPv4-Tunnel 310 IPv6 32, 104, 107, 188, 233 IPv6-Adresse 252, 254, 259, 262 IPv6-Header 236 IPv6-in-IPv4-Tunnel 312 IPv6-in-IPv4-Tunneling 307, 309 IPv6-Netz 301 IPv6-Site 307 IRTF 3 ISAKMP 605 ISATAP 266, 301, 306, 318, 322 ISATAP-Adresse 264, 318, 319 ISATAP-Rechner 318 ISATAP-Router 319, 321 IS-IS 454 IS-IS-TE 455, 518, 548 ISO 17
689
690
Index
ISO/OSI-Referenzmodell 17 ISP 7, 81, 83, 299
J JAIN 9 Jitter 512 Jumbo Payload Option 246
K klassenlose IP-Adressierung 70, 108 klassenweise IP-Adressierung 70 klassisches NAT 204, 205 Kommunikationsprotokoll 1 Konfigurationsphase 497 konfigurierbares Tunneling 311
L L1VPN 570 L2F 583 L2TP 583, 584 L2TP Access Concentrator 585 L2TP-Header 587 L2TP-Nachricht 586 L2TP Network Server 585 L2TPv2 584 L2TPv3 584, 591, 592, 623 L2TPv3-Nachricht 592 L2TP-Verlauf 590 L2VPN 570, 578 L3VPN 580 Label 520 Label Distribution Protocol s. LDP Label Swapping 524 Label Switched Path 524 Label Switching Router 519 Label-Raum 522 Label-Stack 529, 530 Label-Switching-Tabelle 521, 522, 524 Label-Zuweisung 560 LAN 355, 356, 456 LAN-Adresse 68
LAN-Emulation 494 LAN-Emulations-Clients 496 LAN-Emulations-Dienste 496 LAN-Emulations-Server 496 LAN-Multiplexer 31 LAP-B 474 LAPF 479 LAPF Core 483 Layer-1-VPN 570 Layer 2 Forwarding 583 Layer-2-Roaming 627 Layer-2-Tunneling. 568 Layer 2 Tunnelling Protocol 583 Layer-2-VPN 570 Layer-3-Roaming 627 LCI 473, 474 LCoA 667, 670, 672, 674 LDAP 37, 203, 226, 229 LDP 518, 519, 558 LDP-Nachricht 559 Link Access Procedure Balanced s. LAP-B Link-Adresse 274 Link Color 547 Link Control Protocol 467 Link-Local-ISATAP-Adresse 319 Link Local Unicast Address 256, 263 Link Local Use Unicast Addresse 263 Link Management Protocol 517, 539 Link Protection 556 Link State Advertisement 368, 387 Link State Database 387 Link-State-Domäne 395 Link State Routing 366 Link-State Routing Protocol 386 Link-State-Paket 406 Link State Update 390 LIR-ID 259 LIS 492 LLC 457 LLC-Diensttyp I 458 LLC-Schicht 457
Index
LLC-Transport 458 LL-ISATAP-Adresse 319 LMI 510 LMP 517, 539 Logical Channel Identifier s. LCI Lokale Unicast-Adresse 256 Loopback-Adresse 59 Loopback-IPv6-Adresse 257 Loose explicit Route 554 Loose Source Routing 51 LSP 537, 538, 566, 571 LSR 519
M MAC 23, 85, 355, 456, 23, 85 MAC-Adresse 31, 32, 68, 85, 90, 103, 261, 262, 263, 274, 315, 360 MAC-Frame 23, 67, 86, 357, 458 MAC-Funktion 23 MAC-Schicht 457 MAC-Trailer 458 Mail Exchanger 179 Makromobilität 667, 671 Management Plane 517 MAP 666, 668 MAP Discovery 668 MAP-Domäne 667 Maximum Receive Unit 465 Maximum Segment Size 120, 123 Maximum Transfer Unit s. MTU MBone 102 MC-Adresse 266 MC-Gruppe 101, 105, 435 MC-IP-Adresse 103 MC-Router 106 MC-Routing 107, 435, 438 MC-Verteilbaum 438 MD5 224 Message Digest 217 Message Digest 5 609 Metrik 362, 369 Metro-Ethernet 510, 624
MGCP 36 MHAC-MD5 611 MHAC-SHA-1 611 Mikromobilität 667, 669 MIP 94, 235, 630 MIPv4 625, 631 MIPv6 108, 235, 625, 633, 653 MLD 104, 267, 303, 434 MLDv1 104 MLDv2 104 Mobile IP 625, 630 Mobile IPv4 631 Mobile IPv6 242, 625, 653 Mobile Node 654 Mobile TCP 156 Mobility Anchor Point 666 Mobility Binding 645 MOSPF 435, 455 MP-BGP 420, 423 MPLS 8, 25, 70, 510, 511, 518 MPLS-Header 520, 523, 532 MPLS-Multiplexer 25 MPLS-Switch 26 MPLS-Switching-Netz 519 MPLS-TE 533, 541, 562 MPOA 70, 504, 505 MPOA-Client 506 MPOA Edge Device 504 MPOA-Router 505 MPOA-Server 505, 506 MPλS 535 MSDP 435, 449, 450, 455 MTA 178, 179 MTU 47, 48, 94, 100, 178, 250, 459 Multicast-Adresse 101, 252, 255, 266 Multicast-Gruppe 101, 266 Multicast-MAC-Adresse 103 Multicast-Routing 101, 107, 435, 438 Multicasting 9 Multigroup HSRP 433 Multi-homed NAT 232
691
692
Index
Multiplane-Architektur 516 Multi-Protocol Label Switching s. MPLS
N Nagle Algorithmus 133 Nameserver 162, 174 NAPT 204, 206, 207 NAPT-PT 345, 346 NAT 59, 107, 203, 317, 327, 330 NAT-PT 309, 335, 343 NAT-Router 204 NDP 235, 273, 274, 300, 303, 664 NDP-Proxy 655 Neighbor Discovery Protocol s. NDP Network Access Server 595, 611, 616 Network Address Translation s. NAT Network Layer Protocol Identifier 477 Network Service Access Points 474 Network Service Provider 566 Netzdienstprotokoll 35 Netz-ID 53 Netzwerk-Maske 362 Netzwerkpräfix 71 Netzwerkschicht 18, 22 Next Generation Internet 25 Next Header 237, 238, 606 Next Hop 383 Next Hop Client 501 Next Hop Resolution Protocol 500 Next Hop Server 502 NHRP 69, 491, 494, 500, 505, 69 Node Protection 556 NSP 564, 566
O OEO-Switch 536 On-Link CoA 667 OOO-Switch 536 Open Shortest Path First 386 Options Header 242 Organisation Unique Identifier s. OUI
OSI 17 OSI-Referenzmodell 1, 17, 18, 19, 20 OSI-Schichtenmodell 17 OSPF 34, 235, 366, 368, 34 OSPF-Header 403 OSPFng 386, 410 OSPF-TE 455, 518, 548 OSPFv2 79, 386, 403, 410, 79 OSPFv3 386, 410 OSPFv6 235 OUI 103, 426, 460 OXC 539, 540
P Packet Layer Protocol 474 Password Authentication Protocol 463, 470 PAT 204, 206 Path MTU (PMTU) Discovery 100 PE 424, 564 PE-based VPN 570 PEM 219 Permanet Virtual Circuit 476 Physikalische Schicht 18, 456 PIM 435 PIM-DM 435, 456 PIM-Domain 449 PIM-Nachricht 449 PIM-SM 435, 441, 443, 444, 447, 452 ping 94, 98 PKI 187 Point-to-Point Protocol 463 Point-to-Point Tunnelling Protocol s. PPTP Port 26, 29, 110 Port Restricted Cone NAT 209 Portmapper-Dienst 155 PPP 23, 90, 461, 531, 583, 594 PPP-basiertes VPN 568 PPP-Frame 23 PPP/HDLC-Frame 465
Index
PPTP 583, 594 PPTP Access Concentrator 594 PPTP-Tunnel 595 PPTP-Verlauf 598 PPVPN 567, 569, 574 Präambel 458 Präfix 257 Preemption 546, 548 Prefix Delegation 299 Prefix Discovery 275 primärer Nameserver 172 private IP-Adressbereiche 59 private IP-Adressen 59 Private Node Node Interface 489 Protokollfamilie TCP/IP 20, 31, 32 Provider Edge s. PE Provider Provisioned VPN s. PPVPN Proxy-ARP 87, 89, 90, 355, 652 Proxy-RADIUS-Server 622 Pruning 440, 447 Pseudo Wire 562, 566 Pseudo Wire Emulation 570 Pseudo-Draht 571 Pseudo-Drahtverbindung 566 Pseudo-RR 177 PtM-L2VP 570 PtP-L2VPN 570 PWE3 562, 570 PWLAN-Roaming 626 PW-Verbindung 591
Q Q-in-Q-Encapsulation 578 QoS 34, 514 Qualification Procedure. 328 Quality of Service 34, 43 quellbasierter Verteilbaum 439 Quittung 10, 118, 127
R RADIUS 299, 312, 563, 616, 628 RADIUS-Client 628, 635
RADIUS-Paket 620 RADIUS-Proxy-Server 635 RADIUS-Server 299, 623, 628, 635 RARP 33, 85, 93, 33, 85, 93 RARP-Server 93 RAS 563 RCoA 666, 667, 672, 673, 674 Realm 204, 205, 343 Redirect-Funktion 276, 284 Regional Care-of Address s. RCoA Regional Internet Registry 255 Registrierung von CoA 642 Relay-Agent 289, 292 Remote-Access-VPN 568 Remote Authentication Dial-In User Service s. RADIUS Rendezvous Point 443, 450 Re-Routig 515, 544, 548 Resource Record s. RR Restricted Cone NAT 209 Restricted NAT 331, 332 Return Routability Procedure 656 Reverse Address Resolution Protocol 93 Reverse Path Forwarding 440 RFC 38 RFC Editor 38 RIP 34, 37, 366, 368, 369, 34, 37 RIP-Ablauf 371 RIP Version 2 381 RIP-1-Nachricht 377 RIP-2 79, 381, 79 RIP-2-Nachricht 382 RIPE 161 RIPE NCC 256 RIPng 384 RIPng-Nachricht 384 RIPv6 303, 384 RIR 255 Roaming-Agreement 634 Roaming-Koordinator 635 Root 159
693
694
Index
Root-Nameserver 164 Round Trip Time s. RTT Router 60, 66, 353, 354, 60, 66 Router Discovery 274 Router-LSA 408 Router Renumbering 271 Routing 353, 354 Routing-Domain 82, 368 Routing-Information 353, 361, 364 Routing-Metrik 365 Routing-Präfix 259 Routing-Protokoll 34, 353, 361 Routing-Tabelle 360 Routing Table Entry 385 RPF-Prinzip 440, 441, 442, 445, 456 RR 166, 171 RRSet 173 RSIP 205, 210, 211 RSVP 34, 108, 550, 34, 108 RSVP-Nachricht 552 RSVP-TE 518, 549, 555, 573 RSVP-TE-Objekt 553 RTP 37, 112, 155 RTT 120, 123, 132, 134
S SACK 136, 152, 136, 152, 136, 152 SAFI 422 SAP 457 SASL 230 Scoping 436 SCTP 34, 37, 109, 111, 144, 145 SCTP-Assoziation 111, 147, 149, 153 SCTP-Paket 146, 147 SCTP-Verbindung 111 SDH 512, 537 SDH-Link 534 SDH-Multiplexstrecke 539 SDH-Netz 513, 538 SDH-Übertragungsstrecke 537 Secure Hash Algorithm 609 Secure Socket Layer 216
Security Association 603 Security Gateway 611 Security Parameters Index s. SPI sekundärer Nameserver 172 Selective Acknowledgement 120 Serial Line IP s. SLIP Service Specific Convergence Sublayer 488 Service VLAN 577 Setup-Priorität 515, 544, 548 SHA-1 224 Shared-Tree 439 Shim-Header 532 Sicherungsschicht 18 Signatur 601 SIIT 306, 309, 335, 336, 347 Silent-RIP-Rechner 380 SIP 35, 37, 112, 300, 35, 37, 112 Site Local Unicast Address 256, 263 Sitzungsschicht 18 SLD 161, 164 SlidingWindow 126, 127, 128 SLIP 461 SLU-Adresse 263 SMTP 35, 178, 35 SNA Control Protocol 463 SNMP 36 Snoop TCP 156 SNPA 357 SOA-Eintrag 173 Socket 30, 110, 119, 141, 155, 208 Socket Cloning 143 SOCKS 37, 212, 37 SOCKS-Client 212 SOCKS-Proxy 212, 215 SOCKS-Server 212 Source Routing 51, 89, 247, 249, 366 SPI 603, 606, 607 Split Horizon 191, 367 SSH-Client 216 SSH-Dienst 216
Index
SSL 36, 203, 216, 222, 223, 625, 36 SSL-Verbindung 221 SSL-VPN 625 Standard-Route 363 Standard-Subnetz-Maske 66 Standby Group 431 STARTTLS 224 Stateful Autoconfiguration 273, 288 Stateless Autoconfiguration 271, 275, 285, 287 Statisches Routing 366 Stealth-Server 191 Strict explicit Route 554 Stub Area 399 Stub-Bereich 399 Stub-Resolver 162 Stuffing/Destuffing 466 STUN 232 Subdomain 160 Subnet-ID 63, 258, 63 Subnetting 61, 72 Sub-Network Access Protocol 460 Subnetz 56, 60, 67, 60, 67 Subnetz-ID 61, 63, 64, 260, 61, 64 Subnetzmaske 56, 62, 64, 362, 380 Switched Virtual Circuit 476 Symmetric NAPT 208 Symmetric NAT 208 Synchronisation 23 SYN-Flooding 142
T T/TCP 34, 138, 34, 138 TCP 6, 21, 22, 26, 109, 111, 129, 145 TCP-Handoff 143 TCP-Handover 156 TCP-Header 48, 118, 48, 118 TCP-Instanz 118, 125 TCP-Multiplexer. 29 TCP over X 156 TCP Slow Start 136
TCP-Verbindung 31, 33, 111, 117, 118, 123 TCP/IP 1, 31, 1, 31 TDM-Frame 566 TDMoIP 574 TELNET 35 Teredo 266, 313, 324, 352 Teredo-Adresse 266, 324, 325 Teredo-Client 266, 324, 328, 331 Teredo-Server 324, 328 Time To Live 44, 103 TLD 161, 164 TLS 36, 203, 216, 36 TLS-VPN 625 Token-Bucket-Modell 550 Token-Ring 456 Toredo-Address 264 Traditional NAT-PT 344 Traffic Engineering 514 Traffic Flow 542 Traffic Trunk 542 Transaction TCP 138 Translation IPv4 Ù IPv6 306, 335 Transmission Control Protocol s. TCP Transport Layer Security 216 Transportdienst 20 Transportprotokoll 111 Transportschicht 19 Trust Center 220, 232 TTL 27, 103, 173 TTL Scoping 436 Tunnel Broker 312 Tunnel-Mode 612 Tunnel Server 312 Tunneling 529, 564 Two-Way NAT-PT 344
695
696
Index
U UDP 21, 27, 32, 34, 42, 111, 112, 145 UDP-Header 113, 114 UDP-Lite 114, 115 UDP-Multiplexer 28 UDP-Paket 112 Überlastkontrolle 10, 15 Übermittlungsdienst 19 Übertragungsschicht 18 UI-Frame 458 UMTS 8, 9, 156 Unicast-Adresse 252 Upstream-Label 557 Upstream-Router 553 URL 4 User Datagram Protocol s. UDP User Network Interface 489
V Variable Length Subnet Masks s. VLSM Vermittlungsschicht 18 Verzeichnisdienst 225 Virtual Channel Identifier 486 Virtual Private LAN Service s. VPLS Virtual Private Network s. VPN Virtual Private Wire Service s. VPWS virtuelles Ethernet 579 virtueller IPv6-ISP 312 virtuelle (logische) Verbindung 26 virtuelle MAC-Adresse 426, 427 virtuelle Router 425, 426, 431 virtuelle Standleitung 584 VLAN 576, 579 VLAN-Stacking 577, 624 VLSM 70, 75, 78, 85, 108, 381, 396 VLSM-Einsatz 77, 79, 80, 81 VPI/VCI 487, 489, 523 VPLS 570, 575, 578, 579, 580 VPN 530, 532, 563 VPN-IPv4-Adresse 424, 581 VPN-IPv6-Adresse 424
VPWS 570, 571 VR-Protokoll 425 VRRP 425, 429
W WAN 60, 355, 356 WDM 356 WDM-Link 534, 539 WDM-Multiplexstrecke 539 WDM-Netz 558 WDM-Technik 513, 534 Web 5 Web-Adresse 6 Web-Browser 5 Web-Dienst 5, 6 Web-Switching 144 Well Known Port 29, 124, 169 Window 14, 120, 121, 122, 126, 128 WISP 627, 634 WLAN 626 WWW 1, 190
X X over IP 623 X.25 455, 472 X.25PLP 474 X.509-Zertifikat 219
Z Zone 171 Zonendatei 163, 172, 173 Zonentransfer 171, 174