其他示例包括:IP数据包包含其标题字段中的选项,需要碎片的IP数据包以及用于创建状态的IP组播数据包。还有其他异常,路由器平台之间存在各种不同。
非IP数据包
另一组例外报文包括非ip报文。一般来说,路由器可能需要处理两组非ip数据包。第一类包括由路由器自身产生的用于构建和维护网络的第二层包。这种类型的数据包示例包括:
第2层Keepalives:Cisco HDLC,帧中继,ATM操作,管理和维护(OAM)和其他第2层协议通常会发送周期性L2消息以在设备之间传送接口上/下状态。
链路控制协议(LCP):LCP是PPP和MultiLink PPP(MLP)的组成部分,并提供接口的自动配置,例如设置数据报大小,转义字符和魔术号,以及选择(可选)身份验证。LCP还可以检测循环链路和其他常见的错误配置,并终止链接。
思科发现协议(CDP):CDP是一种专有协议,通过组播层2帧在相邻路由器之间发送路由器硬件,软件和接口状态信息。
前面的示例使用纯粹的第2帧,将其作为路由器(由路由器CPU分组和处理)作为异常处理。
笔记 -刚描述的所有第2层数据包是本地数据包,意思是由本地路由器CPU处理的点对点数据包。这将它们与隧道的第2层分组区分开来(例如,原子,VPLS和L2TPv3)。
另一组非IP数据包包括所有第3层“非IP”分组,可以配置为与IP同时在路由器上运行。
非IP层3协议的示例包括:
中间系统到中间系统(IS-IS):许多大型服务提供商使用的IGP,以在自己的网络管理域(而不是OSPF中)维护路由信息,以支持BGP Next-Hops之间的可达性。IS-IS在像IP中的第3层运行,而是一个单独的协议,最初由国际标准化组织(ISO)作为无连接网络协议(CLNP)的路由协议,作为无连接网络服务(CLNS)的一部分。它稍后扩展到支持IP路由,并且被称为集成的IS-IS。
地址解析协议(ARP):主机用于查找IP网络(第3层)地址的相应图层2(硬件)地址。
多协议标签交换(MPLS):一种模拟电路交换网络的一些特性的数据携带机制。通常认为MPLS在第2层和第3层协议的传统定义之间操作。
非IP层3协议的其他示例包括:Novell Corporation的互联网数据包交换(IPX)和Apple Corporation的AppleTalk协议。
正如您所见,路由器必须处理四种不同的流量类型:运输流量,接收流量,异常IP流量和非IP流量。这里单独描述这四种流量的主要原因是路由器以不同的方式处理这些数据包。路由器供应商,如思科,构建硬件和软件,以处理适合给定成本结构的可接受性能范围内的所有类型流量。同时,网络架构师和运营商必须了解这四种流量类型之间的交互,并了解每个可能对路由器和网络性能和可用性的影响。例如,某些拒绝服务(DOS)攻击可以基于IP协议异常分组的有目的地操纵。必须设计并建立路由器和网络基础架构,以便有效地转发“正常”流量,同时处理异常流量和减轻攻击流量而不会产生不利影响。
IP交通飞机
已经涵盖了足够的背景知识,现在充分探讨的概念IP交通飞机。有哪些类型的IP交通飞机?为什么网络流量将被分段为IP交通平面?每个交通飞机都发现了哪些类型的流量?这些问题在这里得到了回答。
交通刨是逻辑用于根据其在网络中执行的函数对流量进行分类。这种方法是有几种原因使用的。首先,它提供了一致的基础,可以从中开发安全策略。其次,它为将这些安全策略转换为可以在各种网络元素上实现的实际网络控制功能的基础。
如前所述在上一篇讨论中,根据路由器在网络中的位置,它将在其处理的哪种类型的数据包上具有不同的透视图(例如,传输与接收)。但是,数据包是否运输或接收不会自动为每个数据包最终支持的功能提供任何指示。它是提供此端到端框架的IP流量飞机的概念。无论网络内的位置如何,每个流量平面中的数据包都必须强制执行某些要求。定义了四种不同的IP流量飞机:数据平面,控制平面,管理平面和服务平面。每个都有自己的独特特征,以及自己的安全要求。下一步详细介绍了四个IP交通平面。
数据平面
数据平面是包含所有“客户”应用程序流量的逻辑实体。在此上下文中,客户流量是指由主机,客户端,服务器和应用程序生成的流量,该应用程序旨在仅将网络作为传输使用。因此,数据平面流量永远不应具有属于任何网络设备(路由器,交换机)的目的地IP地址,而是应该从网络支持的其他设备源和发往其他设备,例如网络。在数据平面的情况下路由器的主要工作只是尽快转发这些数据包下游。图1-6说明了数据平面的基本概念。
数据平面
网络构建并运行以支持数据平面流量。没有数据平面,不需要网络。首先,数据平面必须“可用”。当您很快就会看到,数据平面取决于控制平面,并且在一定程度上是管理平面。因此,这些平面之间存在相互依赖性,并且必须考虑它们。另外,可以存在“机密性”要求,其可以通过数据分离满足(如帧中继或MPLS VPN,例如)或加密。这是进一步讨论的“服务飞机“ 部分。
数据平面流量始终包括传输数据包。在正常条件下,运输流量应占所有数据平面交通的大量百分比。这正是路由器通常使用专用转发硬件和算法来尽快完成此转发功能的原因。这并不意味着所有传输数据包都属于数据平面,或者数据平面仅由传输数据包组成。在这种情况下,有例外,可能需要路由器来执行一些额外的工作以转发某些数据平面数据包。因此,数据平面还可以包括某些(传输)异常分组。发生这种情况时,需要额外的路由器资源来转发数据平面流量。两个例子将有助于澄清这一点:
例1:数据包进入路由器的接口,路由器确定它是一个需要将直接连接以太网LAN段上的主机传递到主机的传输数据包。但是,路由器没有目标IP地址的ARP条目。在这种情况下,路由器必须使用其控制平面为目标MAC地址的“ARP”。一旦获得了MAC地址,就可以直接转发数据包(以及发往此IP地址的所有后续数据包,无需进一步“例外”。
例2:数据包在路由器上输入具有1500字节的最大传输单元(MTU)的接口。路由器确定应将传输数据包转发出一个带有1300字节的MTU的接口。这需要路由器将数据包分段。因此,路由器必须通过首先检查IP标题中的DF(不片段)位来确定这是否可以允许(请参阅图1-4)。如果DF位设置为0,则该数据包必须由路由器分段,然后转发。如果DF位设置为1,则路由器必须丢弃数据包,然后生成ICMP类型3的错误消息,代码4(所需的碎片,不碎片集)并将其发送到数据包源。任何一个事件都会导致要消耗的其他路由器处理资源。
即使只有这两个示例也可以看到,合法数据平面流量也会通过导致路由器通过特殊处理必须满足的异常条件来影响路由器或网络的性能。大多数安全书描述了保护来自各种攻击的数据平面流量的方法。在异常条件下,还需要在数据平面流量中保护路由器和网络。有效的数据平面安全策略必须完成两个目标。
必须分离数据平面流量并控制以保护路由器和网络免受许多威胁。这些威胁可以来自合法的流量和恶意流量,并且必须为任何一种情况做好准备数据平面安全策略。当路由器或网络性能受到影响时,是否对恶意流量或合法流量导致此问题有关吗?不是网络的其他用户。因此,数据平面安全性必须确保提供客户流量的传送,并确保客户流量,无论是合法的,畸形还是恶意,都不会干扰网络的正确操作。第2章对数据平面的一些威胁提供了额外的讨论。第4章“数据平面安全性”提供了用于保护数据平面的当前最佳实践的详细描述。
控制飞机
控制平面是与路由过程和用于创建和维护关于网络状态和路由器接口的必要智能的逻辑实体。控制平面包括网络协议,例如路由,信令和链路状态协议,用于网络元素之间的通信和用于构建网络服务的其他控制协议。因此,控制平面是如何该网络得到动态构建,并为路由器提供了解转发拓扑和网络的操作状态的机制。没有控制平面,没有其他交通飞行将起作用。图1-7图示了控制平面的基本概念。
控制平面例
控制平面始终包括接收数据包。接收数据包由路由器上运行的各种控制进程生成和消耗。这些可以包括用于路由协议处理的第3层分组,例如OSPF和BGP,或者用于维护转发状态的其他进程,例如协议独立的多播(PIM),标签分发协议(LDP)和热备路由协议(HSRP)。
控制平面还包括传输分组。例如,多彩虹EBGP分组在对等体之间遍历几个中间路由器,因此从沿着它们的路径的中间路由器的角度来具有传输特征。这些EBGP报文不用于在中间路由器上运行的进程,但它们无疑是整个网络控制平面的一部分。其他示例包括诸如OSPF虚拟链路和资源预留协议(RSVP)之类的机制。ICMP是控制平面的一部分,其通常会在响应于IP数据报中的错误或用于诊断或路由目的而生成消息。
控制平面还包括某些第3层非IP分组,例如路由协议是 - 和ARP,以及诸如第2层keepalive,CDP,ATM OAM和PPP LCP帧的层2分组。
笔记 -控制平面通常与由网络元素本身生成的分组相关联。最终用户通常不会与控制平面交互。这ICMP Ping.应用是可以通过最终用户直接采用控制平面协议的一个例外。Ping应用程序允许最终用户直接与控制平面交互以确定网络可达性信息。
确保控制平面对路由器和网络操作至关重要。如果控制平面受到损害,则无法对网络的状态保证任何内容。控制平面中的妥协可能会对数据平面,管理平面和服务平面产生不利影响。这可能导致以下内容:
服务中断:数据未送达
意想不到的路由:例如,数据遍历对抗的数据包嗅探,流氓DNS使用以及特洛伊木马/恶意软件插入
管理完整性问题:计费,服务盗窃等