1.2 理解网络技术
管理员可以在多种不同的网络技术上设置路由协议。管理员应该考虑各个方案所存在的限制,及其如何影响路由协议的部署和操作,这是非常重要的。
完成本节内容后,读者应该能够:
区分流量类型;
区分IPv6地址类型;
描述ICMPv6邻居发现;
区分网络类型;
描述NBMA(Nonbroadcast Multiaccess,非广播多路访问)对路由协议的影响;
描述Internet是如何影响企业路由的。
1.2.1 流量类型
以不同类型的IP地址作为目的IP地址,设备可以将流量发送给一个接收方,或者选定的多个接收方,再或者同时发给一个子网内的所有设备。路由协议可以使用不同的流量类型来控制路由信息的交换方式。
从不同的地址类型选择一个目的IP,即可让设备发送不同类型的流量。
单播:单播地址用于在一对一的情景中。单播流量只会在一台发送方设备和一台接收方设备之间进行交换。数据包的源地址只能是单播地址。
组播:组播地址标识不同设备上的一组接口。发往组播地址的流量会被同时发送给多个目的。一个接口可能属于任意数量的组播组。在IPv4中,组播地址的预留地址空间范围是224.0.0.0~239.255.255.255。IPv6预留的组播地址前缀则为FF00::/8。
任播:一个任播地址会被分配给一个或多个节点上的一个接口。当数据包被发往一个任播地址时,它就会被路由到拥有这个地址的最近的接口。这个最近的接口是根据特定路由协议的距离度量发现的。共享相同地址的所有节点的行为都应一致,使得无论服务所请求的是哪一个节点,提供的服务都是相似的。任播的一个常见用例是Internet DNS服务器。相同的服务器在全世界有很多实例,而若以任播地址来充当目的地址,请求即会被发送给最近的一台服务器。图 1-6 中任播的箭头表示一个目的比另一个更近。
广播:在发送流量给子网中的所有设备时,即会使用IPv4广播地址。信息会从一台发送方设备被传输给所有相连的接收方设备。如果希望与本地网络上的所有设备通信,就要使用本地广播地址255.255.255.255。定向广播地址是每个子网的最后一个IPv4地址,通过这个地址,一台设备即可访问远程网络中的所有设备。IPv6不使用广播地址,而是以组播地址代之,我们会在1.
2.2节中讨论这种情形。
图1-6说明了4种不同的流量类型。
)
早期的路由协议仅使用广播来交换路由信息。那些包含有路由更新的广播消息无谓地影响到了直连到相同网络上的其他设备,因为每台设备都需要在收到广播包时进行处理。所有的现代IGP都使用组播地址来完成邻居发现、交换路由信息和发送更新的工作。
表1-2列出了路由协议所使用的一些知名IPv4和IPv6组播地址。请注意,组播地址中的低位值在IPv4和IPv6中相同。
1.2.2 IPv6地址类型
如图1-7所示,IPv6地址有几种不同基本类型。熟悉这些类型是很重要的,因为路由协议也会使用到其中的某些类型。
RFC 3587 指定 2000::/3 是 IANA 可以分配给区域互联网注册管理机构(Regional Internet Registry,RIR)的全局单播地址空间。全局单播地址是全局单播前缀中的一个IPv6地址,它等同于一个公有IPv4地址。这些地址是唯一且全局可路由的。全局单播地址的分配和结构使路由协议可以执行路由前缀汇总,而路由汇总可以限制全球路由表中路由表条目的数量。链路上使用的全局单播地址通过组织机构不断向上汇总,直至ISP为止。
IPv6链路本地地址使用前缀FE80::/10(1111 1110 10)。任意一台IPv6设备必须至少拥有一个链路本地地址,设备既可以通过默认使用EUI-64或使用私有扩展自动进行配置,也可以静态进行配置。路由器的链路本地地址通常是静态配置的,这样做可以在查找IPv6路由表及检查IPv6路由协议信息时更容易认出这个地址。本地链路上的节点可以使用链路本地地址来通信;这类节点不需要使用全局唯一地址来通信。链路本地地址是不可路由的,只能存在于链路或网络中。
因为没有广播地址,所以组播地址在IPv6中得到了大量的使用。读者可以通过前缀部分的FF00::/8识别出这类地址。组播地址分为分配的组播地址和请求节点组播地址两种。路由协议广泛使用分配的组播地址。分配的组播地址与IPv4中那些由路由协议(如EIGRP和OSPF)使用的知名组播地址类似。请求节点组播地址则由ICMPv6 邻居发现(Neighbor Discovery,ND)协议用来执行地址解析。NDP与IPv4中的ARP类似,其作用是将一个2层MAC地址映射为一个3层IPv6地址。
唯一本地地址是全局唯一且用于本地通信的IPv6单播地址。这类地址并非全球Internet可路由,而是只能在限定的区域(如一个站点)内进行路由。它也可在有限的站点集合之间进行路由。唯一本地IPv6单播地址由FC00::/7前缀进行标识。
正如在IPv4中那样,IPv6中同样规划了特殊的环回地址以作测试之用;发送给该地址的数据会被“环回”到发送方的设备。但在IPv6中,仅一个地址(而不是一整个地址块)具有这一功能——这个环回地址是0:0:0:0:0:0:0:1,通常表示为“::1”。
在IPv4中,全零的地址有特殊的含义,它指代主机本身,这个地址用于设备不知道自己的情形。在IPv6中,这一概念得到了正式化,全零地址被称为“未指定”地址“::”。这个地址会用来充当源IPv6地址,一般表示缺失全局单播地址,或数据包的源地址无关紧要。
注释
有关IPv6编址的更多信息,可以参见Rick Graziani著作的IPv6 Fundamentals(Cisco Press,2013)。
1.2.3 ICMPv6邻居发现
IPv6的Internet控制消息协议(Internet Control Message Protocol for IPv6,ICMPv6)与IPv4的ICMP(ICMPv4)类似。ICMPv6也像ICMPv4一样使用信息类消息(informational message)和错误消息(error message)来测试3层连通性,并告知源如网络不可达等这类问题。
ICMPv6也比其IPv4版本要强健得多,它包含了RFC 4861中定义的ICMPv6邻居发现协议。ICMPv6邻居发现的作用是执行IPv6中的自动地址分配、地址解析和重复地址检测。ICMPv6邻居发现包含5种消息。
路由器请求(Router Solicitation,RS):由一台设备发送给所有IPv6路由器的组播消息,请求来自路由器的路由器通告消息。
路由器通告(Router Advertisement,RA):由一台IPv6路由器发送给所有IPv6设备的组播消息。包含的链路信息有前缀、前缀长度和默认网关地址。RA也会向主机表明是否需要使用无状态或状态化DHCPv6服务器。
邻居请求(Neighbor Solicitation,NS):由一台设备在知道另一台设备的IPv6地址但不知道其以太网MAC地址时,向所请求的节点组播地址发送的消息。这种做法与IPv4的地址解析协议(Address Resolution Protocol,ARP)的做法相似。
邻居通告(Neighbor Advertisement,NA):通常是由一台设备为了响应邻居请求消息而发送的消息。这类消息会以单播的形式发送,告知接收方自己的与NS消息中IPv6地址对应的以太网MAC地址。
重定向(Redirect):与IPv4中的同类消息功能相似。这类消息也是由一台路由器发送,用来告知数据包的源链路上存在距离目的更近的下一跳路由器。
1.2.4 网络类型
并不是所有的2层网络拓扑都支持所有类型的流量。鉴于网络若不支持某些类型的流量有可能会影响路由协议的工作,所以读者了解某些网络技术的限制非常重要。如图 1-8所示,有三种常见的网络类型,我们会通过下面的分项进行详细的描述。
点到点网络:即连接一对路由器的网络。由一端发送的数据包恰好被链路另一端的一个接收方接收到。串行链路就是典型的点到点连接。
广播网络:即连接许多台路由器,并能够将一个消息发送给所有连接的路由器的网络。以太网就是典型的广播网络。
非广播多路访问(NBMA)网络:可以支持许多路由器但没有广播能力的网络。发送方如果通知所有相连的邻居设备,则需要为每一台接收方设备独立创建同一个数据包的副本。在数据包可以进行传输之前,发送方必须知道接收方的地址。帧中继(Frame Relay)和异步传输模式(Asynchronous Transfer Mode,ATM)都属于NBMA类型的网络。
虽然点到点网络和广播网络并不会给路由器增加任何麻烦,但NBMA网络却引入了一些挑战,因此管理员需要通过配置对路由协议执行邻居发现的方式进行一些调整。距离矢量协议需要进行额外的配置,这也改变了路由协议在邻居之间交换消息的默认方式。这是因为这类协议存在水平分割这种避免环路的机制,这种机制会防止将从一个接口收到的信息还从这个相同的接口传输出去。
1.2.5 NBMA网络
NBMA网络可以采用多种拓扑,其中最常见的是星型拓扑和部分网状拓扑。这是因为全网状拓扑不能很好地扩展,且对于有大量互连区域的网络来说非常昂贵。帧中继技术是NBMA网络的最常见的用例。有几种方式可以调整路由协议,使其能够在星型帧中继NBMA网络中正常工作。
如果使用一个帧中继多点接口来互连多个站点,可达性有可能会出现问题,这与帧中继NBMA自身的特性有关。帧中继NBMA拓扑有可能造成以下问题。
水平分割:对于距离矢量路由协议来说,水平分割规则减少了路由环路。如图1-9所示,其避免了从一个接口上收到的路由更新再从相同的接口转发出去。在使用星型帧中继拓扑的情境中,一台分支路由器通过一个物理接口将更新发送给一台连接有多条PVC(永久虚拟电路,Permanent Virtual Circuit)的中心路由器。中心路由器在物理接口上接收到更新,但不能通过相同的接口将更新转发给其他分支路由器。如果每个物理接口上仅连接一个PVC,那么使用水平分割也就不是问题了,因为这种连接方式相当于点到点连接。
邻居发现:在NBMA网络中,OSPF默认会按照非广播网络模式工作,且邻居也不会自动被发现。邻居可以静态进行配置,但静态配置邻居需要手动完成,并将中心路由器配置为指定路由器(Designated Router,DR)。OSPF默认情况下会将NBMA网络当作以太网来处理,而在以太网中,在一个网络段上所有路由器之间交换路由信息需要通过一台DR。因此,只有中心路由器才能充当DR,这是因为它是唯一一个与所有其他路由器都存在PVC连接的路由器。
广播复制:对于通过一个接口连接多个PVC,支持多点连接的路由器来说,路由器必须在每条连接远程路由器的PVC上复制诸如路由更新广播这样的广播包。这些复制的广播数据包会消耗带宽,并造成用户流量的显著延迟波动。
当一台路由器通过一个WAN NBMA链路连接到多个物理位置时,可以在一个物理接口上使用逻辑子接口来建立多条虚电路。子接口也克服了一些NBMA网络的限制。子接口有两种不同的类型可供选择。
点到点子接口:每个连接路由器的子接口分别使用自己的子网进行编址。从路由协议的角度看,这种连接看起来就像是多个物理的点到点链路,这也就意味着这类接口不存在与邻居发现和水平分割规则有关的问题。图1-10显示了一个点到点子接口的示例。
点到多点子接口:所有虚电路共享同一个子网。因为编址往往采用私有地址,因此节省地址空间倒不算是这类子接口的最大优势。因为EIGRP和OSPF都需要执行额外的配置才能支持这种底层技术,因此建议读者选择点到点子接口。
1.2.6 Internet上的路由
在决定如何连接远程站点和(像总部站点这样的)中心站点时,有几种不同的选项和技术可供选择。一种方式是租用Internet连接,这种方式是比较便宜的方案。
关于为什么不能使用IGP路由协议来通过Internet建立连接,有如下几个原因。
所有IGP只能在直连的邻居设备之间建立邻接关系。而通过Internet连接的路由器之间都相隔数跳距离。
组织机构内部通常都会使用私有IPv4编址,而发往Internet的数据包只有使用公有IPv4地址才能进行路由。如果希望通过Internet在远程站点之间路由内部流量,将会需要大量使用地址转换技术(NAT)。而依赖NAT技术会极大增加网络的复杂程度,因为发送方和接收方的IPv4地址都需要被转换为公有IPv4地址。
Internet作为一种传输介质是不可靠的。任何位于传输路径中的人都可以窃听或修改数据。若没有额外的安全机制作为辅助,则Internet不适合用来交换私有数据。
为了克服上述障碍,管理员可以使用不同的隧道技术通过Internet来扩展私有网络。虽然这些隧道涉及多种不同的技术,但这些技术一般被统称虚拟专用网络(Virtual Private Network,VPN),人们可以通过这些隧道来交换信息,其效果类似于远程主机直连到相同的私有网络中。大部分VPN技术也支持路由协议。路由器之间的邻居邻接关系通过隧道接口建立,隧道接口在VPN建立时即会创建出来。
VPN技术对辅助的安全机制进行了有效的整合,提供了适宜的认证、加密和抗重放保护机制。