其他的例子包括:IP数据包包含在他们的头字段选项,IP数据包需要分裂,用于创建和IP多播数据包的状态。还有其他异常,这些路由器平台之间的差异。
非ip数据包
另一组的异常数据包包括非ip数据包。一般来说,有两组非ip数据包,路由器可能需要过程。第一组包括层2路由器自己包生成的构造和维护网络。这种类型的数据包的例子包括:
层2 keepalives:思科为、帧中继、ATM机操作、管理和维护(OAM),和其他的2层协议通常发送周期L2消息传递接口设备之间向上/向下状态。
链路控制协议(LCP):连结控制协定是不可或缺的一部分购买力平价和多链路人民党(MLP),并提供自动配置的接口,如设置数据报的尺寸,逃脱了字符,和神奇的数字,并选择(可选)身份验证。连结控制协定也可以检测到原路返回链接和其他常见错误配置,并终止链接。
思科发现协议(CDP):CDP是一种专有协议,传输路由器硬件、软件和接口状态信息通过多播层2帧相邻路由器之间。
前面的例子使用纯粹的层2帧,处理异常的路由器(踢了踢和由路由器处理CPU)。
注意:刚刚描述的层2包都是本地数据包,意义的点对点由本地路由器CPU处理数据包。这区分他们从隧道层2包(例如,原子,vpl和L2TPv3)。
另一组非IP包包括所有第三层“非IP数据包可以并发地运行在路由器上配置IP。
非ip第三层协议的例子包括:
中间System-to-Intermediate系统(到底是什么——却):一个显卡被许多大型服务提供商用来维护自己的网络管理域内路由信息(而不是OSPF)支持边界网关协议跳之间的可达性。到底是什么——却在第三层像IP,但是是一个单独的协议,它最初是由国际标准化组织(ISO)作为无连接网络协议的路由协议(CLNP)作为无连接网络服务(CLNS)的一部分。后来扩展到支持IP路由和被称为是什么,寿命是集成。
地址解析协议(ARP):主机用来找到相应的层2(硬件)地址的IP网络(第三层)地址。
多协议标签交换(MPLS):数据传输机制,模拟电路交换网络的一些属性。MPLS操作通常被认为是传统定义之间的第二层和第三层协议。
其他非ip第三层协议的例子包括:Novell公司的互联网络数据包交换(IPX)和苹果公司的可路由协议组协议。
正如您刚刚看到的,四种不同的流量类型必须由路由器:交通流量,获得流量,异常IP流量和非IP流量。交通的主要原因这四种类型分别描述的是路由器以不同的方式处理这些包。路由器厂商,如思科、构建硬件和软件来处理所有类型的交通在可接受的性能范围内适合给定的成本结构。与此同时,网络架构师和运营商必须知道这四个流量之间的交互类型和理解每个可能影响路由器和网络性能和可用性。例如,某些拒绝服务(DoS)攻击可能是基于IP协议的有目的的操纵异常数据包。路由器和网络基础设施必须设计和建造高效地向前“通常”的交通环境,同时处理异常交通和减轻攻击交通没有不利影响。
IP流量的飞机
足够的背景已经覆盖到现在完全探索的概念IP流量的飞机。什么类型的IP流量的飞机?为什么要划分为IP网络流量交通飞机吗?什么类型的交通被发现在每个交通飞机吗?这些问题的答案。
交通飞机是逻辑分离用来分类交通网络中基于它执行的函数。使用这种方法有几个原因。首先,它提供了一个一致的基础安全策略可以开发。其次,它提供的基础将这些安全策略转换为实际网络控制功能,可以实现在不同网络元素。
当你看到在前面的讨论,根据网络中的路由器在哪里,它会有一个不同的角度在什么类型的包处理(例如,运输和接收)。然而,是否包传输或接收不会自动给任何指示每个数据包最终支持的函数。IP流量的概念飞机,提供端到端框架。数据包在每个交通平面有一定的要求,必须执行,无论他们在哪里在网络。四个不同IP流量飞机定义:数据平面,控制平面,管理平面,平面的服务。每个都有自己的独特的特点,自己的安全需求。四个IP流量飞机接下来详细描述。
数据平面
飞机的数据逻辑实体包含所有应用程序流量“客户”。在这种情况下,客户交通是指交通由主机、客户、服务器和应用程序的目的是使用网络传输。因此,数据平面交通应该从来没有目的地IP地址属于任何网络设备(路由器、交换机),而是应该来自和注定要其他设备,如个人电脑和服务器,支持网络。路由器的主要工作在平面数据的情况下只是将这些数据包转发下游尽快。图1 - 6说明了数据平面的基本概念。
数据平面
网络是建造和运营支持数据平面交通。没有数据平面,不需要网络。首先,数据平面必须“可用”。As you will see shortly, the data plane depends on the control plane and, to a certain extent, the management plane. Thus, interdependencies exist between these planes and they must be considered. In addition, there may be a "confidentiality" requirement, which may be satisfied via data separation (as would be provided by Frame Relay or MPLS VPNs, for example) or encryption. This is discussed further in the "服务的飞机”一节。
数据平面交通总是包括传输数据包。在正常情况下,运输交通应该占很大比例的流量数据平面。这正是为什么路由器经常使用专门的转发硬件和算法来完成这个尽快转发功能。并不意味着所有运输包属于飞机的数据,或数据平面只包含传输数据包的内容。也有例外,在这种情况下,路由器可能需要执行一些额外的工作将某些数据转发数据包。因此,飞机可能还包括某些数据(交通)异常数据包。当这种情况发生时,其他路由器转发数据平面交通所需资源。两个例子将有助于澄清这一点:
示例1:包进入路由器的界面,路由器确定运输包,需要送到主机直接连接以太局域网段上。然而,路由器没有ARP目的IP地址的条目。在这种情况下,路由器必须使用其控制飞机的ARP目的地MAC地址。一旦取得MAC地址,数据包(和所有后续数据包注定这个IP地址)可以直接转发没有进一步的“例外”。
示例2:数据包输入接口的路由器最大传输单元(MTU)的1500个字节。路由器确定运输包应该转发了一个接口的MTU 1300字节。这需要数据包的路由器片段。因此,路由器必须确定这是否允许首先检查DF(不要片段)的IP报头(见图1 - 4)。如果DF位设置为0,路由器的数据包必须支离破碎,然后转发。如果DF位设置为1时,路由器必须放下包,然后生成一个错误消息的ICMP类型3,代码4(需要分裂,不片段集)和发送数据包的源。要么事件产生其他的路由器处理资源消耗。
甚至可以看到这两个例子,合法数据平面交通会影响路由器或网络的性能,导致异常通过特殊处理路由器所必须满足的条件。最安全的书描述的方法保护数据平面交通从各种攻击。也有需要保护的路由器和网络数据平面在异常条件下交通。一个有效的数据飞机安全政策必须实现两个目标。
数据平面交通必须被分离和控制保护路由器和网络对许多威胁。这些威胁可能来自合法流量和恶意流量,平面和数据安全策略必须做好准备。当路由器或网络性能的影响,它不管恶意流量或合法的交通问题了吗?不要网络的其他用户。因此,数据平面安全必须确保交付的客户流量,并确保客户流量,是否合法,畸形,或恶意,不干扰网络的正确操作。第二章提供了额外的讨论的一些威胁飞机的数据。第四章,“数据飞机安全,”提供了详细描述当前的最佳实践来保护数据平面。
控制飞机
控制平面与路由相关联的逻辑实体流程和功能用于创建和维护必要的情报网络和路由器的状态的接口。控制平面包括网络协议,如路由、信号和链路状态协议,用于网络元素之间的通信,和其他控制协议,用于构建网络服务。因此,控制飞机如何网络动态构建,提供了理解转发路由器拓扑的机制和网络的运行状态。没有控制平面,没有其他交通工具飞机将函数。图1 - 7说明了控制平面的基本概念。
控制飞机的例子
控制平面总是包括接收数据包。接收数据包生成和使用各种控制过程运行在路由器上。这些可能包括第三层数据包路由协议流程如OSPF和边界网关协议,或其他进程,维护转发状态,如协议独立多播(PIM),标签分配协议(LDP)和热备份路由协议(HSRP)。
控制飞机还包括运输包。例如,多次反射eBGP数据包穿越几个同行之间的中间路由器,因此交通特征从中间路由器的角度沿着他们的道路。这些eBGP包不是注定过程中间路由器上运行,但他们无疑是整个网络控制平面的一部分。其他的例子包括OSPF virtual-link等机制和资源预约协议(RSVP)。ICMP是典型的控制平面的一部分生成消息响应错误诊断或路由的IP数据报或目的。
控制飞机还包括某些第三层非ip包,如路由协议是什么,寿命是ARP,一层一层2包如2 keepalives, CDP, ATM OAM和PPP连结控制协定框架。
注意:与包相关的控制平面通常生成的网络元素本身。终端用户通常不与控制平面交互。的ICMP平应用程序是一个例外,一个控制面协议可能直接受雇于最终用户。ping应用程序允许最终用户直接与控制平面交互确定网络可达性信息。
确保控制平面是路由器和网络运营的关键。如果控制平面破坏,没有什么可以保证网络的状态。控制平面的妥协可能影响飞机的数据,管理平面,平面和服务。这可能会导致以下:
服务中断:数据没有被交付
意想不到的路由:数据遍历对手网络包嗅探,流氓DNS使用,和木马病毒/恶意软件插入
管理完整性问题:计费、服务盗窃等等