Base de información de reenvío

Una base de información de reenvío ( FIB ), también conocida como tabla de reenvío o tabla MAC , se usa más comúnmente en puentes de red , enrutamiento y funciones similares para encontrar el controlador de interfaz de red de salida adecuado al que la interfaz de entrada debe reenviar un paquete. Es una tabla dinámica que asigna direcciones MAC a puertos. Es el mecanismo esencial que separa los conmutadores de red de los concentradores Ethernet . La memoria de contenido direccionable (CAM) se usa normalmente para implementar de manera eficiente la FIB, por lo que a veces se la denomina tabla CAM .

Aplicaciones en la capa de enlace de datos

En la capa de enlace de datos , una FIB se utiliza sobre todo para facilitar el puente Ethernet basado en direcciones MAC . Otras tecnologías de capa de enlace de datos que utilizan FIB incluyen Frame Relay , el modo de transferencia asíncrono (ATM) y la conmutación de etiquetas multiprotocolo (MPLS).

Puente

La función de un conmutador Ethernet es reenviar tramas Ethernet de un puerto a otro. La presencia de una FIB es un atributo que separa un conmutador de un concentrador. Sin una FIB funcional, todas las tramas recibidas por un conmutador de red se devolverían a todos los demás puertos, como un concentrador Ethernet . Al unir paquetes entre puertos, un conmutador solo debe emitir una trama en el puerto donde reside el dispositivo de red de destino ( unidifusión ), a menos que la trama sea para todos los nodos del conmutador ( difusión ), varios nodos ( multidifusión ) o si el conmutador no No sé dónde reside el dispositivo de destino ( inundación de unidifusión ).

Los conmutadores aprenden el puerto en el que vieron por primera vez una dirección de origen en particular y asocian ese puerto con esa dirección. Cuando el puente recibe posteriormente una trama con una dirección de destino en su FIB, envía la trama al puerto almacenado en la entrada de la FIB.

La FIB es una construcción de memoria utilizada por el conmutador Ethernet para asignar la dirección MAC de una estación al puerto del conmutador al que está conectada la estación. Esto permite que los conmutadores faciliten las comunicaciones entre estaciones conectadas a alta velocidad.

Retardo de fotograma

Si bien la mecánica exacta de una tabla de reenvío es específica de la implementación, el modelo general de Frame Relay es que los switches tienen tablas de reenvío definidas estáticamente, una por interfaz. Cuando se recibe una trama con un identificador de conexión de enlace de datos (DLCI) dado en una interfaz, la tabla asociada con esa interfaz proporciona la interfaz saliente y el nuevo DLCI para insertar en el campo de dirección de la trama.

Modo de Transferencia Asíncrona

Los conmutadores ATM tienen tablas de reenvío a nivel de enlace muy parecidas a las que se utilizan en Frame Relay. Sin embargo, en lugar de un DLCI, las interfaces tienen tablas de reenvío que especifican la interfaz saliente por identificador de ruta virtual (VPI) e identificador de circuito virtual (VCI). Estas tablas se pueden configurar de forma estática o se pueden distribuir mediante el protocolo de interfaz de red a red privada (PNNI). Cuando se usa PNNI, los conmutadores ATM en los bordes de la red asignan uno de los identificadores de extremo a extremo estándar de ATM, como una dirección NSAP , al VPI/VCI de siguiente salto.

Cambio de etiquetas multiprotocolo

MPLS tiene muchas similitudes, a nivel de reenvío, con ATM. Los enrutadores de borde de etiqueta en los bordes de un mapa de nube MPLS entre el identificador de extremo a extremo, como una dirección IP, y una etiqueta local de enlace. En cada salto MPLS, hay una tabla de reenvío que le dice al enrutador de etiqueta conmutada qué interfaz de salida debe recibir el paquete MPLS y qué etiqueta usar al enviar el paquete a esa interfaz.

Aplicaciones en la capa de red

Las direcciones de la capa de red , como las direcciones IP , se utilizan en diferentes tipos de medios y se pueden manejar de manera similar en todos los casos.

Reenvío

Los FIB están optimizados para una búsqueda rápida de direcciones de destino y pueden mejorar el rendimiento del reenvío en comparación con el uso directo de la base de información de enrutamiento (RIB). El RIB está optimizado para una actualización eficiente mediante protocolos de enrutamiento y otros métodos del plano de control , y contiene el conjunto completo de rutas aprendidas por el enrutador. Las implementaciones anteriores almacenaron en caché solo un subconjunto de las rutas utilizadas con mayor frecuencia en el reenvío real, y esto funcionó razonablemente bien para las empresas donde hay un subconjunto significativo utilizado con mayor frecuencia. Sin embargo, los enrutadores utilizados para acceder a toda Internet experimentaron una grave degradación del rendimiento al actualizar las rutas almacenadas en caché en una pequeña FIB, y varias implementaciones pasaron a tener FIB en correspondencia uno a uno con la RIB.^[1]

Filtrado de ingreso contra denegación de servicio

Las FIB también pueden desempeñar un papel en las mejores prácticas actuales (BCP) de Internet de filtrado de ingreso . Aunque la forma más simple de filtrado de ingreso es usar listas de control de acceso para descartar paquetes con direcciones de origen incorrectas, el uso de listas de acceso se vuelve difícil en enrutadores con una gran cantidad de redes adyacentes, y las listas de acceso tradicionales no se usan en sistemas de alto rendimiento. rutas de reenvío del enrutador. ^{[ cita requerida ]}

Si bien el documento IETF BCP 38 sobre filtrado de ingreso ^[2] no especifica un método para implementar el filtrado de direcciones de origen, algunos proveedores de enrutadores han implementado un mecanismo que emplea búsquedas de reenvío de ruta inversa en las tablas del enrutador para realizar esta verificación. Esto a menudo se implementa como una búsqueda en la FIB de la dirección de origen del paquete. Si la interfaz no tiene una ruta a la dirección de origen, se asume que el paquete es parte de un ataque de denegación de servicio, utilizando una dirección de origen suplantada , y el enrutador descarta el paquete.

Cuando el enrutador es multitarjeta , el filtrado de ingreso se vuelve más complejo. Hay escenarios operativos perfectamente razonables en los que un paquete podría llegar a una interfaz, pero esa interfaz específica podría no tener una ruta a la dirección de origen. Para los enrutadores cercanos al borde de Internet, los filtros de paquetes pueden proporcionar una solución más simple y efectiva que los métodos que emplean la búsqueda de información de enrutamiento, aunque este enfoque puede ser un desafío cuando se administran enrutadores que se reconfiguran con frecuencia. El filtrado de entrada para enrutadores multitarjeta aceptará el paquete si hay una ruta de regreso a su dirección de origen desde cualquier interfaz en el enrutador. Para este tipo de filtrado, el enrutador también puede mantener una tabla de adyacencia, también organizado para una búsqueda rápida, que realiza un seguimiento de las direcciones de interfaz del enrutador que se encuentran en todos los enrutadores conectados directamente. ^[3]

Calidad de servicio

Los servicios diferenciados brindan un método adicional para seleccionar interfaces salientes, en función de un campo que indica la prioridad de reenvío del paquete, así como la preferencia del paquete que se descartará en presencia de congestión. Los enrutadores que admiten el servicio diferenciado no solo tienen que buscar la interfaz de salida para la dirección de destino, sino que también deben enviar el paquete a la interfaz que mejor se adapte a los requisitos de los servicios diferenciados. En otras palabras, además de hacer coincidir la dirección de destino, la FIB tiene que hacer coincidir los puntos de código de servicios diferenciados (DSCP). ^[4]^{[ verificación fallida ]}

Control de acceso y contabilidad

Las implementaciones de enrutadores específicos pueden, cuando se hace coincidir una dirección de destino u otro criterio FIB, especificar otra acción a realizar antes del reenvío (p. ej., contabilidad o encriptación), o aplicar una lista de control de acceso que puede causar que el paquete se descarte.

Ataques

Las tablas CAM pueden ser el objetivo para configurar un ataque de intermediario . Un agente de amenazas que tiene el control de un dispositivo conectado a un conmutador Ethernet puede utilizar la inundación de MAC para atacar la tabla CAM del conmutador. Si la tabla se llena, el resto del tráfico se trata como tráfico de difusión, unidifusión desconocido y multidifusión y se reenvía a todos los puertos para que esté disponible para el atacante.

Referencias

^ Clasificación de paquetes a velocidad de cable sin TCAM: un registro más (y un poco de lógica) es suficiente P. Dong et al. , ACM SIGCOMM 2006
^ P. Ferguson y D. Senie (mayo de 2000). Filtrado de ingreso de red: Derrotar los ataques de denegación de servicio que emplean la suplantación de direcciones IP de origen] . doi : 10.17487/RFC2827 . RFC 2827 .
^ Panadero de F.; P. Savola (marzo de 2004). Filtrado de ingreso para redes de host múltiple . doi : 10.17487/RFC3704 . RFC 3704 .
^ Definición del campo de servicios diferenciados (campo DS) en los encabezados de IPv4 e IPv6 , RFC 2474, K. Nichols et al. , diciembre de 1998

enlaces externos

Ivan Pepelnjak, RIB y FIB (también conocido como tabla de enrutamiento IP y tabla CEF)

[1] Clasificación de paquetes a velocidad de cable sin TCAM: un registro más (y un poco de lógica) es suficiente P. Dong et al. , ACM SIGCOMM 2006

[2] P. Ferguson y D. Senie (mayo de 2000). Filtrado de ingreso de red: Derrotar los ataques de denegación de servicio que emplean la suplantación de direcciones IP de origen] . doi : 10.17487/RFC2827 . RFC 2827 .

[3] Panadero de F.; P. Savola (marzo de 2004). Filtrado de ingreso para redes de host múltiple . doi : 10.17487/RFC3704 . RFC 3704 .

[4] Definición del campo de servicios diferenciados (campo DS) en los encabezados de IPv4 e IPv6 , RFC 2474, K. Nichols et al. , diciembre de 1998

[1]