Α–ΣΦΑΛΕΙΑ ΣΤΟ ΔΙΚΤΥΟ (Z)


(ΣΥΝΕΧΕΙΑ ΑΠΟ  18/06/16)

5.2 NAT (Network Address Translation)

5.2.1 Τι είναι το NAT

Ο Μεταφραστής Διευθύνσεων Δικτύου σχεδιάστηκε για απλοποίηση και διατήρηση των IP διευθύνσεων αφού αυτό που κάνει είναι να επιτρέπει σε ιδιωτικά δίκτυα που χρησιμοποιούν μη εγγεγραμμένες IP διευθύνσεις να έχουν σύνδεση με το Internet. Το σύστημα ΝΑΤ λειτουργεί σε κάποιον δρομολογητή, ο οποίος συνδέει συνήθως δύο δίκτυα και μεταφράζει τις ιδιωτικές (μη μοναδικές στον παγκόσμιο ιστό) διευθύνσεις του εσωτερικού δικτύου σε νόμιμες διευθύνσεις προτού τα πακέτα προωθηθούν σε άλλο δίκτυο. Σαν μέρος αυτής της λειτουργίας το ΝΑΤ μπορεί να ρυθμιστεί να κάνει γνωστή μόνο μία διεύθυνση στον έξω κόσμο για ολόκληρο το δίκτυο που συνδέει με αυτόν. Αυτό το χαρακτηριστικό παρέχει επιπλέον ασφάλεια αφού κρύβει ολόκληρο το εσωτερικό δίκτυο από το κόσμο πίσω από μία διεύθυνση.

Επιπλέον, μία επιχείρηση μπορεί να θέλει να έχει σύνδεση με το Internet χρησιμοποιώντας όμως παραπάνω από έναν παροχέα υπηρεσιών internet (ISP) για διάφορους λόγους. Το να διατηρεί κανείς σύνδεση στο internet μέσω παραπάνω του ενός ISP μπορεί να θεωρηθεί σαν ένας τρόπος αύξησης της αξιοπιστίας της σύνδεσης στο internet. Τέτοιου είδους sites με πολλαπλές συνδέσεις ονομάζονται “multi-homed”. Όταν η σύνδεση από τον ένα παροχέα πέφτει τότε η εταιρία περνάει σε κάποιον άλλο διατηρώντας τη σύνδεσή της έτσι πάντα. Ακόμα ένα πλεονέκτημα αυτού του σχήματος είναι το ότι η επιχείρηση μπορεί να διανείμει το φορτίο της σε διαφορετικές συνδέσεις. Για επιχειρήσεις μάλιστα που εκτείνονται σε μεγάλη γεωγραφική περιοχή ένα τέτοιο σχήμα θα σήμαινε και καλύτερη διαδικασία δρομολόγησης.

Όλες οι παραπάνω σκέψεις συνδυαζόμενες και με τις συνεχώς μειούμενες τιμές των internet συνδέσεων δίνουν κίνητρο σε όλο και περισσότερες εταιρίες να γίνουν “multi-homed”. Την ίδια στιγμή, ο φόρτος που τέτοιες εταιρίες επιβάλλουν στους δρομολογητές στο internet αυξάνεται και γίνεται ολοένα και πιο σημαντικός. Πρέπει λοιπόν να βρεθεί ένας τρόπος κλιμακοποίησης τουinternet και υποστήριξης αυτών των επιχειρήσεων. Μία λύση θα ήταν οι δρομολογητές της ελεύθερης ζώνης του internet να διατηρούσαν μία διαδρομή για κάθε “multi-homed” επιχείρηση που συνδέεται με παραπάνω του ενός ISPs στο internet. Αυτή η λύση όμως δεν παρέχει επαρκή κλιμακοποίηση. Επιπλέον μία λύση για τη διαχείριση της δρομολόγηση τέτοιων εταιριών θα πρέπει να ενσωματώνει το σκεπτικό ότι ο απαιτούμενος βαθμός συνεργασίας των ISPs θα πρέπει να είναι όσο το δυνατόν μικρότερος και ιδιαίτερα αυτών που δεν συνδέονται άμεσα με τις επιχειρήσεις αυτές.

Το RFC2260 περιγράφει ένα μηχανισμό κατανομής διευθύνσεων και δρομολόγησης για “multi-homed” επιχειρήσεις ο οποίος έχει αρκετά καλή κλιμάκωση. Ωστόσο, δεν του λείπουν και τα μειονεκτήματα. Απαιτεί επαναδιευθυνσιοδότηση μέρους της επιχείρησης όταν αυτή αλλάξει έναν από τους ISPs της ή όταν πρωτογίνει “multi-homed”. Επιπλέον, η ικανότητα μιας επιχείρησης να διανέμει τη κίνηση στις διαφορετικές ISP συνδέσεις της, καθορίζεται σε μεγάλο βαθμό από την ανάθεση διευθύνσεων μέσα στην επιχείρηση. Αυτό θα μπορούσε να θεωρηθεί ότι κάνει το καταμερισμό του φορτίου μια άκαμπτη και δυσκίνητη υπόθεση. Ο έλεγχος της κίνησης μέσω της ανάθεσης διευθύνσεων επιφέρει και επιπλέον πολυπλοκότητα στα σχήματα διευθυνσιοδότησης στο εσωτερικό της επιχείρησης.

Η προτεινόμενη, εδώ, λύση είναι το NAΤ. Θα δούμε πως αυτό το σύστημα μπορεί να απαντήσει στα θέματα που τέθηκαν και πώς επιπλέον μπορεί να δραστηριοποιηθεί στην κατεύθυνση της κλιμακοποίησης της δρομολόγησης στις “multi-homed” περιπτώσεις. Το σχήμα που προτείνει το NAT δεν απαιτεί από την επιχείρηση να επαναδιευθυνσιοδοτήσει κατά την αλλαγή ISP και επιτρέπει το καταμερισμό του φορτίου της ανεξάρτητα από το σκηνικό της διευθυνσιοδότησης που υπάρχει μέσα στην επιχείρηση. Η παροχή υπηρεσίας αλλαγής ISP σε περίπτωση που πέσει η σύνδεση με αυτόν που εξυπηρετεί την εταιρία είναι εφαρμόσιμη τόσο στο IPv4 όσο και στο IPv6.

5.2.2 Ανάθεση Διευθύνσεων και Δρομολόγηση

Μία “multi-homed” επιχείρηση συνδεδεμένη ένα σύνολο ISPs έχει πάρει κάποια πεδία διευθύνσεων από καθέναν από τους ISPs (για παράδειγμα μία εταιρία συνδεδεμένη με Ν ISPs θα έχει Ν διαφορετικά πεδία διευθύνσεων). Αυτές τις διευθύνσεις τις ονομάζουμε “εσωτερικές παγκόσμιες διευθύνσεις“. Η ανάθεση τέτοιων διευθύνσεων από τους ISPs στην επιχείρηση μπορεί να βασίζεται στη πολιτική του “δανεισμού διευθύνσεων” [RFC2008]. Τέτοιες διευθύνσεις προέρχονται από πεδία διευθύνσεων που οι ISPs χρησιμοποιούν για να δανείζουν κομμάτια αυτών στους πελάτες τους. Ένα σύστημα ΝΑΤ που συνδέει μια επιχείρηση με έναν ISP χρησιμοποιεί το BGP για να διακηρύξει στον ISP την απευθείας σύνδεσή του με τις εσωτερικές παγκόσμιες διευθύνσεις που έχουν παραχωρηθεί από τον ISP τον ίδιο. Ο ISP με τη σειρά του ομαδοποιεί την πληροφορία αυτή και την διασύνδεει με ένα δρομολόγιο απαλείφοντας την ανάγκη να κρατάει στην ελεύθερη ζώνη του internet δρομολόγια για κάθε “multi-homed” επιχείρηση. Το ΝΑΤ δρα σαν ακραίος δρομολογητής-έχει μία εξωτερική BGP (EBGP) σύνδεση με έναν ή παραπάνω από τους δρομολογητές του παροχέα υπηρεσιών (ISP) και μια εσωτερική BGP (IBGP) σύνδεση με άλλα συστήματα NΑΤ στο εσωτερικό της επιχείρησης.

Το σχήμα, που περιγράφεται εδώ, δεν θέτει περιορισμούς στην ανάθεση διευθύνσεων στο εσωτερικό της επιχείρησης. Μπορούν να χρησιμοποιηθούν είτε παγκοσμίως μοναδικές διευθύνσεις είτε διευθύνσεις από το “ιδιωτικό” πεδίο διευθύνσεων είτε διευθύνσεις που χρησιμοποιούνται από άλλους στο internet. Αναφερόμαστε στις διευθύνσεις που χρησιμοποιούνται για ανάθεση στο εσωτερικό της επιχείρησης ως “εσωτερικές τοπικές διευθύνσεις“.

Επιπρόσθετα των εσωτερικών και εξωτερικών παγκόσμιων διευθύνσεων, μια επιχείρηση πρέπει να αναθέσει σε κάθε ένα απο τα συστήματα NAT που διαθέτει, ένα πεδίο διευθύνσεων το οποίο να μην συμπίπτει τόσο με τις εσωτερικές τοπικές διευθύνσεις όσο και με οποιαδήποτε από τις (παγκοσμίως μοναδικές) internet διευθύνσεις. Αναφερόμαστε σε αυτές τις διευθύνσεις ως”εξωτερικές τοπικές διευθύνσεις”. Οι διευθύνσεις αυτές μπορεί να προέρχονται από το ιδιωτικό πεδίο διευθύνσεων (εάν η επιχείρηση χρησιμοποιεί ιδιωτικό πεδίο διευθύνσεων για τις εσωτερικές τοπικές διευθύνσεις, τότε πρέπει να κρατήσει ένα μέρος αυτών για χρήση από τις εξωτερικές τοπικές διευθύνσεις). Το ΝΑΤ μιας επιχείρησης διακηρύττει στη δρομολόγηση της επιχείρησης απευθείας δυνατότητα σύνδεσης με εξωτερικές τοπικές διευθύνσεις που έχουν ανατεθεί στο ΝΑΤ. Αυτή η πληροφορία είναι και η μόνη πληροφορία δρομολόγησης που το ΝΑΤ διακηρύττει στην επιχείρηση. Έτσι η δρομολόγηση στην εταιρία διεκπεραιώνει δρομολογήσεις προς όλους τους εσωτερικούς της προορισμούς και προς τις εξωτερικές τοπικές διευθύνσεις που έχουν ανατεθεί στα ΝΑΤ της επιχείρησης και μόνο προς αυτές.

Σχήμα 1:Multi—homed Enterprise

Σαν επίδειξη ας εξετάσουμε το παράδειγμα που φαίνεται στο σχήμα 1, όπου η επιχείρηση foo. com είναι συνδεδεμένη με δύο παροχείς υπηρεσιών (ISPs), τον ISP1 και τον ISP2. Ο ISP1 δίνει από το 140. 16/16 πεδίο διευθύνσεών του το υπο-πεδίο 140. 16. 10/24 στην επιχείρηση. Το ΝΑΤ1 που συνδέει την επιχείρηση με τον ISP1 διακηρύσσει στον ISP1 απευθείας σύνδεση με το 193. 17. 15/24

Για τις εξωτερικές τοπικές διευθύνσεις της η επιχείρηση χρησιμοποιεί διευθύνσεις από το ιδιωτικό πεδίο διευθύνσεων. Για το ΝΑΤ1 η επιχείρηση διαθέτει το 192. 168. 1/24 πεδίο και για το ΝΑΤ2 το 192. 168. 2/24. Το ΝΑΤ1 διακηρύττει στην επιχείρηση απευθείας σύνδεση με το 192. 168. 1/24 και το ΝΑΤ2 αντίστοιχα με το 192. 168. 2/24. Όλα αυτά θεωρώντας ότι η επιχείρηση χρησιμοποιεί το πεδίο 10/8 για τις εσωτερικές τοπικές της διευθύνσεις.

5.2.3 Επισκόπηση Λειτουργιών

Το ΝΑΤ μπορεί να κάνει μετάφραση τόσο των διευθύνσεων των πηγών των πακέτων όσο και αυτών των προορισμών τους. Η μετάφραση γίνεται με τη βοήθεια του πίνακα μετάφρασης διευθύνσεων ο οποίος διατηρείται από το ΝΑΤ. Επιπλέον θεωρούμε ότι η λειτουργία της μετάφρασης των διευθύνσεων επαυξάνεται με μερικά από τα Application Layer Gateways (ALGs) που είναι λειτουργίες για εφαρμογές που περιέχουν IP διευθύνσεις σαν μέρος της ροής δεδομένων της εφαρμογής. Ειδικότερα, θεωρούμε ότι ένα σύστημα ΝΑΤ υλοποιεί την ALG λειτουργία για το πρωτόκολλο DNS.

Πίνακας Μετάφρασης Διευθύνσεων

Ο Πίνακας Μετάφρασης Διευθύνσεων που διατηρεί το ΝΑΤ αποτελείται από καταχωρήσεις δύο τύπων:μετάφραση εσωτερικών διευθύνσεων και μετάφραση εξωτερικών διευθύνσεων. Κάθε καταχώρηση αποτελείται από δύο μέρη: την τοπική διεύθυνση και τη παγκόσμια διεύθυνση.

Το στοιχείο της τοπικής διεύθυνσης ενός τύπου καταχώρησης εσωτερικής μετάφρασης είναι μία διεύθυνση παρμένη από το πεδίο των εσωτερικών τοπικών διευθύνσεων. Αναφερόμαστε σε μια τέτοια διεύθυνση ως γνωστόν με το χαρακτηρισμό “εσωτερική τοπική διεύθυνση” (IL). Το στοιχείο της παγκόσμιας διεύθυνσης μιας τέτοιας καταχώρησης είναι μια διεύθυνση που έχει εξαχθεί από το πεδίο των εσωτερικών παγκοσμίων διευθύνσεων που έχει δοθεί στο ΝΑΤ και αναφερόμαστε σε μια τέτοια διεύθυνση με το όνομα “εσωτερική παγκόσμια διεύθυνση” (IG).

Το στοιχείο της τοπικής διεύθυνσης ενός εξωτερικού τύπου μετάφρασης διεύθυνσης είναι μία διεύθυνση που έχει εξαχθεί από το εξωτερικό τοπικό πεδίο διευθύνσεων που υπάρχει στο ΝΑΤ.Αναφερόμαστε σε μια τέτοια διεύθυνση με το χαρακτηρισμό “εξωτερική τοπική διεύθυνση” (OL). Τέλος το στοιχείο της παγκόσμιας διεύθυνσης μιας τέτοιας καταχώρησης είναι μια διεύθυνση ενός υπολογιστή έξω από την επιχείρηση. . Αναφερόμαστε σε μια τέτοια διεύθυνση με το χαρακτηρισμό “εξωτερική παγκόσμια διεύθυνση” (OG).

Περιληπτικά:

  • Εσωτερική Τοπική (IL)—Η IP διεύθυνση που δίνεται σε υπολογιστή εντός της επιχείρησης. Αυτή η διεύθυνση μπορεί να είναι παγκοσμίως μοναδική, να έχει παρθεί από το ιδιωτικό πεδίο διευθύνσεων ή να έχει ανατεθεί επίσημα σε κάποια άλλη επιχείρηση.
  • Εσωτερική Παγκόσμια (IG)—Η IP διεύθυνση ενός υπολογιστή εντός της επιχείρησης όπως εμφανίζεται στο internet. Αυτές οι διευθύνσεις έχουν εξαχθεί από ένα παγκοσμίως μοναδικό πεδίο διευθύνσεων που τυπικά παρέχεται από τον ISP.
  • Εξωτερική Τοπική (EL)—Η IP διεύθυνση ενός υπολογιστή εκτός της επιχείρησης όπως φαίνεται μέσα στην επιχείρηση. Αυτές οι διευθύνσεις παίρνονται εάν είναι επιθυμητό από το πεδίο διευθύνσεων που ορίζεται στo RFC 1918 και αναφέρεται σε ιδιωτικά πεδία διευθύνσεων.
  • Εξωτερική Παγκόσμια (ΕG)—Η IP διεύθυνση ενός υπολογιστή εκτός της επιχείρησης όπως φαίνεται στο internet. Αυτές οι διευθύνσεις παίρνονται από ένα παγκοσμίως μοναδικό πεδίο διευθύνσεων.

Γέμισμα του Πίνακα Μετάφρασης Διευθύνσεων

Ουσιαστικές για τη λειτουργία των ΝΑΤ είναι οι διαδικασίες γεμίσματος του πίνακα μετάφρασης διευθύνσεων.

  1. Καταχώρηση εξωτερικού τύπου μετάφρασης

Δημιουργείται ως αποτέλεσμα επεξεργασίας DNS απαντήσεων πακέτων δεδομένων που προέρχονται από το εξωτερικό της επιχείρησης

  • Εάν η καταχώρηση έχει δημιουργηθεί ως αποτέλεσμα επεξεργασίας DNS απαντήσεων, τότε η εξωτερική παγκόσμια διεύθυνση στη καταχώρηση ισοδυναμεί με τη διεύθυνση που υπήρχε στο Α RR (Resource Record) της DNS απάντησης
  • Εάν η καταχώρηση έχει δημιουργηθεί ως αποτέλεσμα επεξεργασίας πακέτου δεδομένων, τότε η εξωτερική παγκόσμια διεύθυνση στη καταχώρηση ισοδυναμεί με την IP διεύθυνση της πηγής του πακέτου
  • Η εσωτερική τοπική διεύθυνση στη καταχώρηση είναι παρμένη από το πεδίο εξωτερικών τοπικών διευθύνσεων.

  1. Καταχώρηση εσωτερικού τύπου μετάφρασης

Δημιουργείται ως αποτέλεσμα επεξεργασίας DNS απαντήσεων πακέτων δεδομένων που προέρχονται από το εσωτερικό της επιχείρησης

  • Εάν η καταχώρηση δημιουργείται ως αποτέλεσμα της επεξεργασίας κάποιας DNS απάντησης, η εσωτερική τοπική διεύθυνση στην καταχώρηση ισοδυναμεί με τη διεύθυνση που υπήρχε στο Α RR (Resource Record) της DNS απάντησης
  • Εάν η καταχώρηση έχει δημιουργηθεί ως αποτέλεσμα επεξεργασίας πακέτου δεδομένων, τότε η εσωτερική τοπική διεύθυνση στη καταχώρηση ισοδυναμεί με την IP διεύθυνση της πηγής του πακέτου
  • Η εσωτερική παγκόσμια διεύθυνση στη καταχώρηση είναι παρμένη από το πεδίο εσωτερικών παγκόσμιων διευθύνσεων

5.2.4 Παροχή Αδιάλειπτης Εφεδρικής Σύνδεσης

Πρώτη Μέθοδος:”Auto Route Injection”

Ας θεωρήσουμε το παράδειγμα που φαίνεται στο σχήμα 2. Θεωρούμε ότι ο δρομολογητής που συνδέει την επιχείρηση στον ISP-A ονομάζεται ENT-BR-A και ο αντίστοιχος για τον ISP-B ENT-BR-B. θεωρούμε επίσης ότι ο δρομολογητής του ISP-A που συνδέει αυτόν με την επιχείρηση λέγεται ISP-BR-A και ο αντίστοιχος του ISP-B λέγεται ISP-BR-Β. Θεωρούμε επιπλέον ότι το πεδίο εσωτερικών παγκοσμίων διευθύνσεων που ο ISP-A έδωσε στην επιχείρηση ότι λέγεται Prefix A και το αντίστοιχο του ISP-B ότι λέγεται Prefix B.

Σχήμα 2: “Auto Route Injection”—Steady State

Όταν το σύνολο των δρομολογίων που λαμβάνει ο ENT-BR-A από τον ISP-BR-A (μέσω EBGP) έχει ένα γεμάτο τμήμα με το σύνολο των δρομολογίων που ο ENT-BR-A λαμβάνει από τον ISP-BR-Β (μέσω EBGP), τότε ο ENT-BR-A διακηρύττει στον ISP-BR-A ότι έχει σύνδεση μόνο με το Prefix A. Όταν το κοινό μέρος είναι άδειο τότε ο ENT-BR-A διακηρύττει στον ISP-BR-A ότι έχει σύνδεση και με το Prefix A και με το Prefix B. (Στο σχήμα 3 η σύνδεση μεταξύ των ENT-BR-B και ISP-BR-Β έχει χαθεί ). Αυτή η προσέγγιση είναι γνωστή ως “auto route injection” και θα συνεχίζεται για όσο διάστημα η σύνδεση παραμένει κάτω. Με το που το κοινό μέρος γεμίσει, ο ENT-BR-A θα σταματήσει να διακηρύττει σύνδεση με το Prefix B στον ISP-BR-A (αλλά θα συνεχίσει να διακηρύττει σύνδεση με το Prefix A στον ISP-BR-A).

Σχήμα 3: “Auto Route Injection”—Broken Connection

Η παραπάνω προσέγγιση είναι βασισμένη στην υπόθεση ότι ο δρομολογητής της επιχείρησης έχει τους μηχανισμούς που θα τον βοηθούσαν

  • Να καταλάβει εάν η σύνδεση με το internet μέσω κάποιου άλλου δρομολογητή είναι ζωντανή ή έχει πέσει και
  • Να καθορίσει τo Prefix των διευθύνσεων που δόθηκαν από τον ISP που είναι συνδεδεμένος με τον άλλο δρομολογητή της επιχείρησης. Ένας πιθανός τέτοιος μηχανισμός θα μπορούσε να παρέχεται από το BGP. Σε αυτή τη περίπτωση οι δρομολογητές μέσα στην επιχείρηση θα διατηρούσαν, μεταξύ τους, μία IBGP σχέση. Οποτεδήποτε ένας δρομολογητής αντιλαμβάνεται ότι το κοινό μέρος μεταξύ του συνόλου των συνδεδεμένων προορισμών, που λαμβάνει μέσω EBGP απευθείας από τον ISP του, και του συνόλου των συνδεδεμένων προορισμών που λαμβάνει από έναν άλλο δρομολογητή της επιχείρησης, μέσω IBGP, είναι άδειο τότε ξεκινά να διακηρύττει προς το εξωτερικό (τον δρομολογητή του ISP με τον οποίο είναι άμεσα συνδεδεμένος) ότι γνωρίζει και το Prefix που έχει αποδοθεί από τον άλλο ISP στον άλλο δρομολογητή της επιχείρησης. Αυτός, τέλος, διακηρύττει μέσω IBGP το Prefix των διευθύνσεων που είχαν αποδοθεί στην επιχείρηση από τον ISP που είναι άμεσα συνδεδεμένος μαζί του.

Κάθε σύστημα ΝΑΤ εκτός της διακήρυξης στον δρομολογητή της επιχείρησης της σύνδεσης με τις εξωτερικές τοπικές διευθύνσεις που αποδόθηκαν στο ΝΑΤ είναι επιπλέον επιφορτισμένο με την ευθύνη να διακηρύττει στον δρομολογητή της επιχείρησης της σύνδεσης με τις εξωτερικές παγκόσμιες διευθύνσεις που αποδόθηκαν στο ΝΑΤ. Αυτό με τη σειρά του συνεπάγεται ότι καμία από τις εξωτερικές παγκόσμιες διευθύνσεις που αποδόθηκαν στο ΝΑΤ θα μπορούσαν να χρησιμοποιηθούν από εσωτερικές τοπικές διευθύνσεις. Αυτό είναι αναγκαίο για την αποφυγή διάσπασης των μεταφορικών συνδέσεων σε περίπτωση που πέσει η σύνδεση μεταξύ της επιχείρησης και των παροχέων υπηρεσιών (ISP) της. Επιπλέον το ΝΑΤ πρέπει να εμφυσά στην επιχείρηση ένα δεδομένο δρομολόγιο (default route) όσο καταλαβαίνει ότι διατηρείται η σύνδεση με το Internet.

Με αυτή τη μέθοδο και σε σταθερή κατάσταση τα δρομολόγια που εμφυσούνται από την επιχείρηση στους ISPs της ομαδοποιούνται από αυτούς και δεν αναπαράγονται στην “ελεύθερη ζώνη” τουinternet. Μπορεί να ειπωθεί ότι όταν χαθεί η σύνδεση, όπως φαίνεται στο σχήμα 3, αυτή η μέθοδος θα είχε ως αποτέλεσμα την εμφύτεψη επιπλέον πληροφορίας δρομολόγησης στην “ελεύθερη ζώνη” του internet. Ωστόσο, κάποιος θα μπορούσε να παρατηρήσει ότι η πιθανότητα να χάσουν όλες οι “multi-homed” επιχειρήσεις τη σύνδεσή τους με το internet ταυτόχρονα είναι πολύ μικρή.Έτσι κατά μέσο όρο ο αριθμός των επιπλέον δρομολογίων στην “ελεύθερη ζώνη” του internet εξαιτίας των “multi-homed” επιχειρήσεων αναμένεται να είναι μόνο ένα μικρό κλάσμα του συνολικού αριθμού αυτών των επιχειρήσεων.

Δεύτερη Μέθοδος:”Non-Direct”BGP Peering

Η πρώτη μέθοδος επιτρέπει τη δραστική μείωση του φόρτου δρομολόγησης στην εξ ορισμού ελεύθερη (default-free) ζώνη του internet εξαιτίας των “multi-homed” επιχειρήσεων. Η παρακάτω προσέγγιση επιτρέπει την πλήρη απάλειψη αυτού του φαινομένου.

Ο δρομολογητής της επιχείρησης διατηρεί EBGP σύνδεση όχι μόνο με τον απευθείας σε αυτούς συνδεδεμένους δρομολογητές των ISPs αλλά και με τους δρομολογητές άλλων ISPs που είναι άμεσα συνδεδεμένοι με άλλους δρομολογητές της επιχείρησης. Αυτή η αντιστοίχηση λέγεται “όχι άμεση EBGP αντιστοιχήσει” και φαίνεται στο σχήμα 4.

Σχήμα 4:”Non—Direct” EBGP Peering—Steady State

Ένας ISP που διατηρεί τόσο άμεση όσο και έμμεση EBGP σύνδεση με μια συγκεκριμένη επιχείρηση διακηρύττει το ίδιο σύνολο δρομολογίων και στις δύο συνδέσεις. Ένας δρομολογητής επιχείρησης που διατηρεί άμεση ή έμμεση σύνδεση με τον ISP διακηρύττει σε αυτόν το Prefix διευθύνσεων που διατέθηκε στην επιχείρηση από αυτόν τον ISP. Στον ISP προτιμούνται τα δρομολόγια που ελήφθησαν από άμεση σύνδεση—αντιστοίχηση από τα αντίστοιχα των μη άμεσων συνδέσεων. Η προώθηση μέσω δρομολογίου που ελήφθη από έμμεση σύνδεση γίνεται με ενθυλάκωση[GRE].

Σαν παράδειγμα ας πάρουμε τη διάταξη του σχήματος 5. Η τοπολογία είναι ίδια με αυτή του σχήματος 2 μόνο που εδώ έχουμε και μια επιπλέον έμμεση EBGP σύνδεση του ENT-BR-A με τονISP-BR-B. Ο ENT-BR-Β διατηρεί άμεση EBGP σύνδεση με τον ISP-BR-B και διακηρύττει σε αυτόν σύνδεση με το Prefix B. Τέλος, ο ENT-BR-Β διατηρεί έμμεση EBGP σύνδεση με τον ISP-BR-Α και διακηρύττει σε αυτόν σύνδεση με το Prefix Α.

Όταν η σύνδεση της εταιρίας με τους δύο ISPs είναι ζωντανή, η κίνηση που προορίζεται για υπολογιστές των οποίων οι διευθύνσεις υπήρχαν στο Prefix A θα περάσουν μέσα από τον ISP-A στονISP-BR-A και τέλος στον ENT-BR-A και την επιχείρηση. Αντίστοιχα, η κίνηση που προορίζεται για υπολογιστές των οποίων οι διευθύνσεις υπήρχαν στο Prefix Β θα περάσει μέσα από τον ISP-Β στον ISP-BR-Β και τέλος στον ENT-BR-Β και την επιχείρηση. Τώρα ας δούμε τι θα γινόταν εάν χανόταν η σύνδεση μεταξύ των ISP-BR-Β και ENT-BR-Β. Σε αυτή τη περίπτωση η κίνηση προς τους υπολογιστές με Prefix A θα γίνεται όπως και πριν. Όμως η κίνηση προς αυτούς με Prefix B θα πηγαίνει από τον ISP-Β στον ISP-BR-Β και αυτός θα την ενθυλακώνει και θα τη στέλνει στονENT-BR-Α όπου θα απο-ενθυλακώνετε και θα στέλνεται στην επιχείρηση όπως φαίνεται και στο σχήμα 5.

Σχήμα 5:”Non–Direct” EBGP Peering—Broken Connection

Κάθε σύστημα ΝΑΤ εκτός της διακήρυξης στον δρομολογητή της επιχείρησης της σύνδεσης με τις εξωτερικές τοπικές διευθύνσεις που αποδόθηκαν στο ΝΑΤ είναι επιπλέον επιφορτισμένο με την ευθύνη να διακηρύττει στον δρομολογητή της επιχείρησης της σύνδεσης με τις εξωτερικές παγκόσμιες διευθύνσεις που αποδόθηκαν στο ΝΑΤ. Αυτό με τη σειρά του συνεπάγεται ότι καμία από τις εξωτερικές παγκόσμιες διευθύνσεις που αποδόθηκαν στο ΝΑΤ θα μπορούσαν να χρησιμοποιηθούν από εσωτερικές τοπικές διευθύνσεις. Αυτό είναι αναγκαίο για την αποφυγή διάσπασης των μεταφορικών συνδέσεων σε περίπτωση που πέσει η σύνδεση μεταξύ της επιχείρησης και των παροχέων υπηρεσιών (ISP) της. Επιπλέον το ΝΑΤ πρέπει να εμφυσά στην επιχείρηση ένα δεδομένο δρομολόγιο (default route) όσο καταλαβαίνει ότι διατηρείται η σύνδεση με το Internet.

Μπορούμε να παρατηρήσουμε ότι με αυτό το σχήμα δεν υπάρχει επιπλέον πληροφορία δρομολόγησης εξαιτίας των “multi-homed” επιχειρήσεων στην “default-free” ζώνη του internet. Επιπλέον βλέπουμε ότι το σύνολο των δρομολογητών μέσα σε έναν ISP που διατηρούν έμμεσες συνδέσεις με δρομολογητές επιχειρήσεων δεν είναι αναγκαστικό να συμπίπτει με τους δρομολογητές που διατηρούν άμεσες συνδέσεις. Για την έμμεση αντιστοίχηση μπορεί να χρησιμοποιηθεί οποιοσδήποτε άλλος δρομολογητής βελτιώνοντας έτσι την αξιοπιστία του συστήματος σε περιπτώσεις αποτυχιών μέσα στον ISP.

5.2.5 Υπολογιστές Επιχειρήσεων Εκτός του Δικτύου Αυτών

Μία DNS ζώνη σχετιζόμενη με μια επιχείρηση μπορεί να περιλαμβάνει έναν ή παραπάνω υπολογιστές που βρίσκονται εκτός του δικτύου της επιχείρησης. Για παράδειγμα αυτοί που δεν βρίσκονται πίσω από το ΝΑΤ της επιχείρησης. Για την υποστήριξη της επικοινωνίας με αυτούς ο πίνακας μετάφρασης διευθύνσεων του κάθε ΝΑΤ που συνδέει την επιχείρηση με το internetρυθμίζεται με έναν εσωτερικό και έναν εξωτερικό τύπο μετάφρασης για κάθε υπολογιστή. Στη καταχώρηση εσωτερικού τύπου μετάφρασης η εσωτερική τοπική διεύθυνση ισοδυναμεί με μια διεύθυνση από τις εξωτερικές τοπικές διευθύνσεις του ΝΑΤ και η εσωτερική παγκόσμια διεύθυνση ισοδυναμεί με την IP διεύθυνση του υπολογιστή. Στην εξωτερικού τύπου καταχώρηση μετάφρασης η εξωτερική τοπική διεύθυνση ισοδυναμεί με την εσωτερική παγκόσμια διεύθυνση της καταχώρησης εσωτερικών διευθύνσεων και η εξωτερική παγκόσμια διεύθυνση ισοδυναμεί με την εσωτερική διεύθυνση της μετάφρασης εσωτερικού τύπου καταχώρησης.

Η DNS καταχώρηση για έναν τέτοιο υπολογιστή (Α και PTR RR) χρησιμοποιούν την IP διεύθυνση του υπολογιστή.

 

 


(ΣΥΝΕΧΙΖΕΤΑΙ)

ΠΗΓΗ http://www.islab.demokritos.gr

Advertisements

About sooteris kyritsis

Job title: (f)PHELLOW OF SOPHIA Profession: RESEARCHER Company: ANTHROOPISMOS Favorite quote: "ITS TIME FOR KOSMOPOLITANS(=HELLINES) TO FLY IN SPACE." Interested in: Activity Partners, Friends Fashion: Classic Humor: Friendly Places lived: EN THE HIGHLANDS OF KOSMOS THROUGH THE DARKNESS OF AMENTHE
This entry was posted in Computers and Internet and tagged , , , , , , , . Bookmark the permalink.

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s