ОПТИМИЗАЦИЯ ТРАФИКА И БЕЗОПАСНОСТЬ В СЕТЯХ С МНОГОПРОТОКОЛЬНОЙ КОММУТАЦИЕЙ ПО МЕТКАМ
OPTIMIZATION OF THE TRAFFIC IN NETWORKS WITH MULTIPROTOCOL LABEL SWITCHING
Авторы: Еременко В.Т., Плащенков Д.А., Краснов Д.А., Парамохин В.М.
Источник: http://itnop.ostu.ru/media/transfer/Material/2/338/статья_2.doc
В данной статье авторы освещают проблемы оптимального распределения трафика и безопасности в сетях с многопротокольной коммутацией по меткам.
Ключевые слова: сеть, трафик, маршрутизация, алгоритм.
In given article authors shine a problem of optimal distribution of traffic and the safety of the networks to multiprotocol label switching.
Keywords: network, traffic, routing, algorithm.
ВВЕДЕНИЕ
Технология многопротокольной коммутации по меткам (Multiprotocol Label Switching, MPLS) является ведущей технологией, способной стать фундаментом для инфраструктуры мультисервисных сетей следующего поколения (NGN), в рамках которых станет возможна передача любого трафика через единую телекоммуникационную инфраструктуру. MPLS сочетает в себе гибкость дейтаграммного IP и виртуальных каналов MPLS с поддержкой трафик-инжиниринга, что открывает принципиально новые возможности для использования протокола IP в современных сетях, которые ранее были технически не осуществимы. Особенностями MPLS-TE являются:
– высокая масштабируемость;
– поддержка QoS;
– универсальность по отношению к протоколам сетевого уровня;
– значительное упрощение процедур маршрутизации;
– универсальность по отношению к транспортным технологиям (ATM, Ethernet, POS и т.п.).
Применение технологии MPLS позволяет перейти на новый уровень обслуживания и организовать предоставление услуг более высокого качества. Особенно перспективным является использование этой технологии для создания виртуальных частных сетей (VPN) и перехода к мультисервисным сетям на основе IP.Основным подходом в маршрутизации в сетях с коммутацией пакетов вот уже долгое время является выбор маршрута на основе топологии сети без учета информации о текущей загрузке. Для каждой пары «адрес источника – адрес назначения» такие протоколы выбирают единственный маршрут, не принимая во внимание информационные потоки, протекающие через сеть. В результате все потоки между парами конечных узлов идут по кратчайшему маршруту (в соответствии с некоторой метрикой). Выбранный маршрут может быть более рациональным, если, например, в расчет принимается номинальная пропускная способность канала связи или вносимые ими задержки, либо менее рациональным, если учитывается только количество промежуточных маршрутизаторов между исходным и конечным узлами. Такой подход приводит к тому, что даже если кратчайший путь перегружен, пакеты все равно посылаются по этому пути. Налицо явная ущербность методов распределения ресурсов сети – одни ресурсы работают с перегрузкой, а другие не используют вовсе. Традиционные методы борьбы с перегрузками эту проблему решить не могут, нужны качественно иные механизмы.
ПРОБЛЕМЫ РАСПРЕДЕЛЕНИЯ ТРАФИКА И БЕЗОПАСНОСТИ В СЕТЯХ MPLS
Несмотря на то, что технология MPLS достигла значительного прогресса и обеспечивает широкий диапазон функциональных возможностей и приложений, ее реализация связана с большими сложностями. Производители, разрабатывающие технологию MPLS, а также организации, в настоящее время развертывающие MPLS сети, должны также учитывать состояние постоянного развития этой технологии и ее влияние на производительность и расширяемость сети [1].
Как было сказано выше, MPLS не является самостоятельной – она накладывается на технологии 2-го уровня, такие как Ethernet или ATM, и должна работать совместно с другими протоколами плоскости управления, в частности протоколами маршрутизации IP. Сложность развертывания MPLS возрастает из-за этого взаимодействия. В некоторых случаях в заданный сетевой сценарий может быть вовлечено четыре или более протоколов, требующих тщательной координации и подтверждения работоспособности сквозной системы. Интеграция традиционных услуг и развертывание новых, таких как VPN, требует туннелирования, которое, в свою очередь, расширяет требования настройки для данной сети [1]. Поэтому возможность взаимодействия оборудования MPLS в разнородных сетях остается проблемой. Хотя достижения в технологии интегральных схем значительно улучшили характеристики современных маршрутизаторов, сложность MPLS в реальных сетевых приложениях вызывает проблемы с рабочими показателями и расширяемостью сети. Проблемы обычно возникают не в базовой сети MPLS, где данные просто переключаются с использованием меток, а на краю сети, где MPLS должна интегрироваться с не MPLS сетями и где инициируются услуги. Из-за объединения сетей загрузка трафика возрастает, и сети должны справляться с дополнительными задачами обработки трафика в реальном времени и трафика с приоритетом. Вот почему основной задачей при построении сетей на основе технологии MPLS остается оптимизация трафика.
Рассматривая более детально архитектуру протокола MPLS, необходимо отметить, что в основном некоторые проблемы связаны с обеспечением безопасности при создании сети, а именно с несанкционированным доступом, несовершенной конфигурацией самой сети, атаками внутри сети, подмене меток и т.д.
Архитектура данного протокола обеспечивает защищенность на втором уровне с использованием обычных протоколов типа ATM или Frame Relay.
Базовый принцип защиты основывается на сокрытие структуры ядра MPLS сети. Из соображений безопасности операторы и заказчики обычно не хотят открывать сетевую топологию внешним сторонам. Это значительно снижает вероятность атак на сетевую инфраструктуру. Зная IP-адресацию, потенциальный злоумышленник в состоянии организовать атаку типа отказ в обслуживании, направленную против сетей заказчика или ядра MPLS сети. В общем случае атаки на данный протокол (и сети, построенные на базе данного протокола) можно разделить на два типа:
– атаки типа отказ в обслуживании (denial-of-service, DoS),
– атаки, направленные на взлом самой сети для получения информации.
Учитывая вышесказанное, на практике должны быть предприняты многочисленные дополнительные меры безопасности, в основном по фильтрации пакетов.
Для защиты от атак второго вида существует два базовых типа защиты: усиление защищенности самих протоколов, обеспечение «невидимости» самой сети как таковой (использование межсетевых экранов и пакетных фильтров).
Для защиты от DoS-атак наиболее устойчивый способ защиты – обеспечение «невидимости» самой сети извне (использование межсетевых экранов или трансляции сетевых адресов (NetWork Address Translation, NAT), т.е. маршрутизаторы скрывают детали домашней сети).
MPLS распространяет наружу только необходимую информацию, это относится и к VPN-клиентам. Адресация ядра MPLS-сети может быть выполнена с использованием как частных (RFC 1918), так и публичных адресов. Так как в основном выходной интерфейс VPN потенциально может быть интернетным – здесь работает протокол BGP, то наружу остальную внутреннюю информацию показывать не обязательно. Однако, если между пользовательским маршрутизатором (customer edge, СЕ) и граничным маршрутизатором провайдера (provider edge, РЕ) ядра MPLS-сети используется протокол маршрутизации, то может еще передаваться информация о маршрутах, тогда единственной требуемой информацией является адрес РЕ-маршрутизатора. Если требуется этого избежать, то между РЕ и СЕ можно сконфигурировать статическую маршрутизацию. В этом случае ядро MPLS-сети может быть полностью скрыто. В случае услуг VPN с одновременным разделяемым доступом в Интернет оператор обычно объявляет адресную информацию клиентов, желающих использовать Интернет вышестоящим или одноранговым провайдером. Сокрытие подобной информации может быть организовано с использованием NAT функциональности (трансляции адресов). Оператор в этом случае объявляет только адреса своего пограничного РЕ-маршрутизатора.
В случае использования «чистой» сети на базе MPLS-VPN сервиса, где нет подключения к Интернету, защищенность такая же, как и у протоколов ATM/FR. При подключении к Интернету провайдер обязан «открыть» хотя бы один адрес РЕ-маршрутизатора, что может повлечь за собой атаку.
Сама базовая сеть MPLS может атаковаться двумя способами: нападением на РЕ-маршрутизатор или попыткой навязывания ложных маршрутов.
Для атаки необходимо иметь адрес хотя бы одного маршрутизатора. При этом, если сеть «спрятана», то атака не состоится – сеть будет «думать», что пакет атакующего – это лишь информация пользователя для передачи.
При использовании статических маршрутов между СЕ и РЕ задача для атакующего значительно усложняется. Однако при использовании протоколов маршрутизации типа RIP, OSPF, BGP для СЕ-маршрутизатора уже нужно знать как минимум идентификатор маршрутизатора (router ID, RID) РЕ в «базовой» сети MPLS, что означает упрощение задачи для атакующего. Для уменьшения риска атаки необходимо:
– использовать списки доступа (access control lists, ACL);
– по возможности использовать аутентификацию с помощью Message Digest 5 в протоколах маршрутизации. Протоколы BGP, OSPF и RIP II поддерживают данную аутентификацию;
– проводить конфигурирование параметров протоколов маршрутизации с учетом безопасности.
При этом необходимо учесть, что использование статической маршрутизации не полностью защищает от атаки. Конечно, здесь можно не указывать адрес, а только указать интерфейс, но при этом атакующий все-таки может попробовать угадать адрес.
Все указанное может работать, только если сама сеть принадлежит только одному провайдеру, так как от атак изнутри MPLS не защищена. При этом, если сеть MPLS сконфигурирована без учета вопросов защиты, то возможность атаки повышается. Для повышения защищенности можно использовать протокол IPSec. Данный протокол может быть настроен на СЕ-маршрутизаторе или может использоваться другое устройство.
Существует еще одна проблема – возможность подменить метку. Потенциальный злоумышленник может постараться получить доступ в VPN с использованием «чужих» меток. Это может быть как вне сети (например, пользовательский СЕ-маршрутизатор) или внутри сети MPLS.
МЕТОДЫ ОПТИМИЗАЦИИ ТРАФИКА В MPLS СЕТЯХ
В настоящее время нет универсального алгоритма, который можно было бы использовать для оптимизации трафика. R. Widyono и др. в [2] предложили метод маршрутизации, который позволяет определять оптимальный путь с самой низкой возможной стоимостью с учетом допустимой задержки, так называемый алгоритм маршрутизации CBF (Constrained Bellman-Ford). Данный алгоритм с экспоненциально распределенным временем предоставляет так называемый breadth-first поиск по порядку, обнаруживает пути с постепенно увеличивающейся задержкой и изменяет в соответствии с новыми данными наименьшую стоимость пути до каждого узла. Алгоритм останавливается при превышении верхнего ограничения или в случае невозможности найти лучший путь. Так как данное расширение использует задержку вместо количества «хопов», которые являются метрикой, таблица маршрутизации, содержащая записи для всех возможных задержек, может быть очень большой, даже технически нереализуемого размера.
В качестве дальнейшего развития CBF-алгоритма, используя вид скалярной техники, авторы [3] дали полностью полиномиальную схему аппроксимации по времени для выбора пути с минимальной стоимостью и ограниченной задержкой (Delay Constrained Least Cost path problem, DCLC). Они доказали, что для любого е > 0 существует алгоритм полиномиального времени, способный найти путь, удовлетворяющий ограничениям задержки со стоимостью не больше чем 1 + е от оптимума. Продолжительность для лучшей известной приближенной схемы равна O(nm log n log log n + nm/e), где п – число вершин, m – число направленных ребер [3]. К сожалению, для практики полученные результаты малопригодны и хуже, чем даже для CBF-алгоритма, что делает эти результаты скорее теоретическими.
Многие алгоритмы пытаются использовать некоторую эвристику или приближение. Очень простой метод, предложенный W.C. Lee [4], не дает оптимального пути, но обеспечивает простое эвристическое решение DCLC-проблемы. Резервный (Fallback) алгоритм маршрутизации предполагает, что в сети существует ряд упорядоченных метрик. Прежде всего, этот алгоритм маршрутизации вычисляет наикратчайший путь для первой метрики (иначе стоимости) и затем проверяет, может ли он гарантировать все остальные требования QoS. Если путь не удовлетворяет требованиям, алгоритм пробует найти другой со следующей метрикой до тех пор, пока подходящий путь не будет найден, либо маршрут не будет найден ни для одной из метрик. Этот алгоритм очень прост, быстро и всегда дает подходящее решение, если оно существует, но нет никакой гарантии обнаружения оптимального маршрута, а также нет никакой информации о качестве найденного пути.
Алгоритм, предложенный С. Pornavalai [5], улучшает предыдущую идею, объединяя пути, основанные на различных метриках, прежде всего вычислением путей, основанным на метрике от узла-отправителя к остальным узлам и от всех узлов до узла назначения, и затем перебором всех возможных комбинаций.
Существует еще два алгоритма, улучшающих идеи схемы Fallback. К. Ishida и К. Amano [6] предложили распределенный алгоритм, в котором узлы всегда выбирают наименьший по стоимости путь, пока не будут выполнены требования по задержке, и, таким образом, в конечном счете они выбирают путь с минимальной задержкой.
Однонаправленная маршрутизация с ограниченной задержкой (Delay Constrained Unicast Routing, DCUR) – алгоритм, предложенный в [7], подобен выше описанному, но он может выбирать между путями с наименьшей стоимостью и наименьшей задержкой независимо от выбора предыдущего узла.
Эти три алгоритма имеют более высокое, но все же приемлемое время работы, и более вероятно то, что они находят решение, близкое к оптимальному, как это было в случае алгоритма Fallback, но ни один из этих алгоритмов не гарантирует оптимальности пути.
S. Cheng и К. Nahrstedt [8] предлагают алгоритм для поиска пути, который работает в полиномиальном времени. Алгоритм приводит первоначальную задачу к более простой, изменяя функцию стоимости, благодаря чему задача может быть решена при помощи расширенного алгоритма кратчайших путей. Суть этого метода состоит в том, что алгоритм должен использовать высокую точность в приближенном определении метрики, поэтому это может оказаться очень затратным как по времени, так и по расстоянию, и, кроме того, нельзя гарантировать, что более простая проблема имеет решение, если его имеет изначальная проблема.
Следующая группа алгоритмов предложена в [9] и основана на вычислении простой метрики исходя из нескольких требований. Здесь используется простой алгоритм выбора кратчайших путей, основанный на единственной стоимости, представляющей собой комбинацию QoS-параметров с различным весом. Главные недостатки этого решения состоят в том, что результат весьма чувствителен к выбранным групповым весам и нет четкой директивы, какие веса должны быть выбраны. Для решения проблемы выбора удельных весов для метода групповой стоимости предложено несколько алгоритмов маршрутизации. Например, алгоритм, предложенный в [10], находит соответствующий путь, основанный на единственной стоимости нескольких метрик с разными коэффициентами веса. Если найти путь не удается, алгоритм пробует найти другой путь последовательным изменением весов, чтобы уменьшить требования к пути, до тех пор, пока соответствующий путь, гарантирующий QoS, не будет найден. Другая проблема этого решения состоит в том, что, если путь является корректным для групповой стоимости, это не подразумевает, что путь корректен для всех требований пользователей к QoS. Другими словами, информация теряется в процессе группирования. Несомненно, что эта задача может быть решена и существуют алгоритмы, основанные на групповой стоимости, которые могут находить пути, отвечающие требованиям ограничений QoS.
ЗаКЛЮЧЕНИЕ
Таким образом, можно сделать вывод что, алгоритм с наименьшей стоимостью при ограниченной задержке был лучшим среди полиномиальных эвристических алгоритмов, предложенных до настоящего времени в литературе. Его стоимость ближе всего к оптимальной стоимости, вычисленной алгоритмом CBF, кроме того, он дает оценку оптимальности найденных путей. Исходя из проделанного анализа алгоритмов, необходимо подчеркнуть, что алгоритм с однонаправленной маршрутизацией и ограниченной задержкой находит маршруты с более высокой стоимостью и задержкой, чем алгоритм наименьшей стоимости при ограниченной задержке. Алгоритм Fallback имеет очень хорошее время выполнения и легко реализуем, но его стоимость худшая среди рассмотренных алгоритмов, CBF дает решение с оптимальной стоимостью и имеет удивительно хорошее время выполнения в большинстве случаев, но в некоторых ситуациях его продолжительность может быть нежелательно высока.
список литературы
1. SYRUS SYSTEMS-MPLS. Аттестационные и эксплуатационные испытания. – http://www.syrus.ru/index.cgi
2. Widyono R. The design and evaluation of routing algorithms for real time channels. Technical Report TR-94-024, University of California at Berceley, June 1994.
3. Lorenz D.H., Orda A., Raz D., Shavitt Y. Efficient QoS Partition and Routing of Unicast and Multicast // IW QoS 2000, June 2000.
4. Lee W.C. et al. Multi-Criteria Routing subject to Resource and Perfomance Constraints // ATM Forum 94-0280, March 1994.
5. Pornavalai C., Chakraborty G., Shiratori N. Routing with multiple QoS requirements for supporting multimedia applicationa // Journal of High Speed Networks. 1998
6. Ishida K., Amano K. A Delay-Constrained Least-Cost Path Routing Protocol and the Synthesis Method // IEEE. 1988.
7. Salama H.F., Reeves D.S., Viniotis Y. A Distributed Algorithm for Delay-Constrained Unicast Routing // IEEE INFOCOM’97, Kobe, Japan, April 1997.
8. Cheng S., Nahrstedt K. On finding multi-constrained paths // ICC’98, Atlanta, Georgia, 1998.
9. De Neve H., van Mieghem P.A. multiple quality of service routing algorithm for PNNI // IEEE ATM’98 Workshop, pp.306-314, Fairfax, Virginia, May 1998.
10. Guo L., Matta I. Search Space Reduction in QoS Routing. – Technical Report NU-CCS-98-09, October 1998.