The Locator/ID Separation Protocol (LISP)

The Locator/ID Separation Protocol (LISP) Robin Kořístka (KOR0116) Abstrakt: Seminární práce je věnována popisu a přiblížení funkčnosti nové síťové architektury LISP (Locator/ID Separation Protocol). Součástí práce je stručná charakteristika protokolu, jeho možné využití a nechybí ani několik praktických příkladů. Klíčová slova: LISP, Locator Identifier Separation Protocol, ETR, ITR, EID, RLOC, PETR, PITR, OpenLISP 1 Úvod...2 2 Jak to celé funguje...2 2.1 DNS...2 2.2 LISP...2 2.3 LISP detailněji...3 3 Pár příkladů...4 3.1 Přemístění zařízení...4 3.2 Multihoming...5 4 Komunikace sítě podporující LISP s okolním světem...5 5 Experimentální síť...6 5.1 Požadavky na připojení do experimentální sítě...6 6 Shrnutí a závěr...7 6.1 Výhody...7 6.2 Nevýhody...7 7 Použitá literatura...7 květen 2013 1/7

1 Úvod V dnešní síťové architektuře v sobě IP adresa kombinuje dvě funkce. Jednou z těchto funkcí je identifikace koncového bodu (kdo jsme) a druhou je lokátor (kde se nacházíme). Identifikace síťového prvku a jeho umístění v síti je tedy charakterizováno pouze jedním souhrnným identifikátorem. Jedním z důsledků tohoto stavu je, že se velmi rychle zvyšuje počet záznamů v DFZ (default free zone) směrovací tabulce. Tento nárůst je také umocňován, dnes hojně využívaným, multi-homingem, přidělováním neagregovatelných bloků IP adres, obchodními akvizicemi a slučováním podniků. Problémy mohou také nastat ve chvíli, kdy je třeba změnit umístění zařízení v rámci sítě nebo když dojde ke změně poskytovatele připojení. Locator Identifier Separation Protocol, zkráceně LISP, je sada protokolů implementující novou sémantiku pro přidělování IP adres. LISP architektura se snaží výše uvedené potíže řešit tím, že od sebe odděluje identifikaci (kdo jsme) a lokátor (kde se nacházíme). Pro spárování lokátoru a identifikátoru používá mapovací systém. Vše co se týká LISP technologie se odehrává v rámci sítě. To znamená, že nejsou potřeba žádné změny ani zásahy do konfigurace koncových stanic. 2 Jak to celé funguje 2.1 DNS Ještě předtím, než přejdeme k samotnému LISPu, podíváme se jak funguje vyhledávání pomocí klasického systému DNS. 1. ve chvíli kdy se uživatel pokouší o přístup k webové stránce, je poslán dotaz na DNS server 2. DNS servery přeloží DNS jméno na IP adresu a tu pošle zpět uživateli 3. webová aplikace na klientském počítači pak pomocí dodané IP adresy naváže spojení se serverem a zobrazí webovou stránku 2.2 LISP Jednoduchý příklad jak by mohlo připojení s pomocí LISP architektury vypadat je následující. 1. počítač připojený do sítě určí cílovou IP adresu webového serveru skrze DNS a vytvoří standardní IP paket s IP adresou počítače (zdrojová IP adresa) a IP adresou web serveru (cílová IP adresa) 2. paket je potom poslán přes lokální síť k bráně 3. směrovač podporující LISP protokol, takzvaný ITR, vyhledá v internetu cílovou IP adresu a zjistí IP adresu ETR (směrovač podporující LISP protokol na straně příjemce) pro cílový web server 4. následně ITR zapouzdří datový paket do LISP paketu s IP adresou ITR určující zdroj a IP adresou ETR určující cíl 5. datový paket je pak poslán přes internet směrovači ETR květen 2013 2/7

6. ETR směrovač z obdrženého paketu odstraní hlavičku a nasměruje paket do lokální sítě k webovému serveru. IP adresu počítače posílajícího data přitom označí jako zdroj a IP adresu webového serveru označí jako cíl. Při obrácené komunikaci (od serveru k uživateli) bude celá procedura probíhat opačně. Jako ITR se vždy označuje směrovač na straně odesilatele, který paket zapouzdřuje do LISP paketu a ETR se nazývá směrovač na straně příjemce, jenž pakety rozbaluje. Označení směrovačů je proto relativní. 2.3 LISP detailněji Cílem architektury LISP je oddělit lokační a identifikační funkci IP adresy. Toho je dosaženo rozdělením adresního prostoru na dva oddělené IP prostory. První z nich, zvaný EID (Endpoint Identifier) slouží k identifikaci a jsou do něj připojeny koncové body (servery a klienti). Síť směrovačů pak používá adresní prostor RLOC (Routing Locator), kde IP adresa slouží jen pro lokalizaci. Celý protokol funguje na principu zapouzdřování. Paket je vytvořen v EID prostoru se zdrojovým a cílovým EID identifikátorem, přičemž jako EID je možné použít IPv4 nebo IPv6 adresy. Pokud cílový EID nepatří do stejného EID prostoru jako zdrojový, je doručen na hraniční směrovač oblasti, tzv. ITR (Ingress Tunnel Router). Tam se IP hlavičkám předřadí LISP hlavička a celé se to zapouzdří do UDP protokolu s IPv4 nebo IPv6 hlavičkou s RLOC adresami. V RLOC prostoru se paket doručí na ETR (Egress Tunnel Router) cílového EID prostoru, který vnější hlavičky odstraní a doručí paket koncovému zařízení. Protokol LISP je nezávislý na typu adres v RLOC a EID prostoru, takže je možno na jejich místě použít všechny čtyři možné kombinace IPv4 a IPv6. květen 2013 3/7

3 Pár příkladů V této části uvedu několik praktických příkladů použití LISP architektury. 3.1 Přemístění zařízení V tomto příkladu se podíváme jak lze s pomocí LISP technologie přemístit zařízení bez nutnosti přeadresovávání. Zařízení, jehož lokace je zaregistrovaná na mapovacím serveru, lze libovolně přesunovat v rámci lokální sítě. Mapovací server bude vždy schopen přesměrovat zařízení do správné sítě. 1. mějme uživatelský počítač (EID Endpoint Identifier) s IP adresou 100.100.100.100/32 připojený k směrovači A 2. směrovač A registruje uživatelský počítač na LISP mapovacím serveru (je zde uložena informace, že klient je dosažitelný skrze směrovač A) 3. je zde také druhý uživatelský počítač s IP adresou 200.200.200.200/32, který je umístěn za směrovačem s označením B 4. směrovač B také registruje uživatelský počítač s IP adresou 200.200.200.200/32 na LISP mapovacím serveru 5. v případě, že chce klient 200.200.200.200/32 navázat spojení se 100.100.100.100/32, pošle paket na router B 6. router B pak pošle dotaz LISP mapovacímu serveru 7. LISP mapovací server odpoví, že pro navázaní spojení se 100.100.100.100/32 je třeba poslat paket na router A 8. router B pak tedy pošle paket na router A 9. směrovač A přijatý paket zpracuje a přepošle uživatelskému počítači 100.100.100.100/32 Teď přesuneme koncové zařízení 100.100.100.100/32 do podsítě za router C. V běžné síti bychom museli změnit IP adresu tohoto zařízení, aby odpovídala nové podsíti. S LISP architekturou tato nepříjemnost odpadá. Umožňuje to mapovací LISP server, který sdělí tázacímu se směrovači, jak se spojit s hledaným koncovým zařízením. květen 2013 4/7

1. takže jsme přemístili zařízení 100.100.100.100/32 na novou lokaci za router C 2. router C teď sdělí LISP mapovacímu serveru, že zařízení 100.100.100.100/32 je dosažitelné skrz router C 3. příště, až bude chtít klient 200.200.200.200/32 komunikovat se zařízením 100.100.100.100/32, se opět směrovač B dotáže LISP mapovacího serveru 4. ten mu sdělí, že zařízení 100.100.100.100/32 je dosažitelné pomocí routeru C 5. router B pak pošle paket routeru C 6. router C paket zpracuje a přepošle zařízení 100.100.100.100/32 3.2 Multihoming Jednou z výhod LISP architektury je podpora multihomingu, jehož názorným příkladem je mobilní telefon. Ten má dnes už celkem běžně dvě síťová rozhraní - 3G a WiFi a normálně používá v jednu chvíli jen jedno z nich. S použitím LISP technologie bude mobilnímu telefonu, místo jedné IP adresy použité jako identifikátor i lokátor, přidělen unikátní EID identifikátor a jako RLOC budou použity adresy jednotlivých síťových rozhraní. Mobilní telefon tak bude moci komunikovat pomocí 3G i WiFi zároveň. 4 Komunikace sítě podporující LISP s okolním světem Pro správnou komunikaci z LISP sítě do internetu je potřebné vhodné nastavení ITR. ITR musí rozeznat, že cílová adresa se nenachází v LISP síti a že nemá zapouzdřovat posílané pakety. Informaci, že se cílová adresa nenachází v LISP síti, získá ITR přijetím negativní odpovědi o namapování. V případě, že v cílové síti není umožněno posílání paketů s EID adresou, je zde PETR (Proxy Egress Tunnel Router), který se chová stejně jako ETR, ale je určen pro provoz směrovaný mimo LISP síť. Pro komunikaci v opačném směru se zase používá PITR (Proxy Ingress Tunnel Router), který slouží k posílání dat ze sítě nepodporující LISP do sítě LISP podporující. květen 2013 5/7

5 Experimentální síť Existuje experimentální sít, již cílem je zkoumat chování LISP architektury v reálném provozu. Do této sítě jsou připojeny velké firmy, univerzity i vládní organizace. Mezi ně patří například Cisco Systems, Microsoft, Google, Facebook, Deutsche bank, University of California Los Angeles a Université catholique de Louvain. 5.1 Požadavky na připojení do experimentální sítě Jedním z předpokladů pro připojení do této experimentální sítě je router podporující protokol LISP. Je možno využít některou z následujících variant: router Cisco s operačním systémem IOS nebo NX-OS počítač s FreeBSD nebo linuxem a open-source LISP implementací zařízení s Androidem a LISP-MN implementací Další nezbytností pro připojení do beta sítě je podání žádosti. Po kladném vyřízení žádosti jsou žadateli přiděleny EID IP adresy. Žadatel pak také obdrží údaje k registraci tohoto rozsahu adres k mapovacímu serveru. Kromě adres mapovacích serverů žadatel také získá adresy Map Resolver serverů a PXTR serverů. květen 2013 6/7

6 Shrnutí a závěr Síťová architektura LISP se jeví jako zajímavý projekt s možným nemalým potenciálem. Je ovšem stále ve fázi vývoje a experimentů na speciálně vytvořené beta síti. Tohoto testování se účastní významné světové společnosti a organizace včetně univerzit. Lze tedy očekávat, že by LISP technologie mohla v brzké době hrát významnou roli v síťové architektuře, například při přechodu na IPv6. Zde se pokusím stručně shrnout výhody a nevýhody LISP architektury. 6.1 Výhody bez nutnosti zásahu do konfigurace koncových zařízení bez nutnosti změn v DNS nezávislost na použitém adresním prostoru podpora mobility podpora multihomingu umožňuje tunelování IPv6 v IPv4 sítích a naopak možná náhrada přechodového mechanizmu pro IPv6 snížení velikosti neustále se zvětšující DFZ (default free zone) směrovací tabulky 6.2 Nevýhody nutnost mapování adres používání dlouhodobě neověřených protokolů bezpečnostní riziko spojené s vyprazdňováním mapovací paměti u ITR 7 Použitá literatura [1] CISCO SYSTEMS, Inc. Cisco LISP - The Locator/ID Separation Protocol [online]. 6 March 2012 [cit. 2013-05-16]. Dostupné z: http://lisp4.cisco.com/ [2] Locator/ID Separation Protocol [online]. c2008-2011 [cit. 2013-05-16]. Get involved!. Dostupné z WWW: <http://www.lisp4.net/>. [3] LISP Locator Identifier Separation Protocol [online]. Fryguy's Blog [cit. 2013-05-16]. Dostupné z: http://blog.fryguy.net/2011/04/07/lisp-locator-identifier-separation-protocol-say-what/ [4] IT12: Gridy, LISP a DNS [online]. ROOT.CZ [cit. 2013-05-16]. Dostupné z: http://www.root.cz/clanky/it12-gridy-lisp-a-dns/ [5] Šubrt, O. LISP oddělení lokátoru a identifikátoru uzlu sítě. Praha: Vysoká škola ekonomická v Praze, Fakulta informatiky a statistiky, Katedra informačních technologií, 2012. 49 s. Vedoucí bakalářské práce Ing. Luboš Pavlíček [6] A Brief Introduction to LISP [online]. Jeremy Filliben's Blog [cit. 2013-05-16]. Dostupné z: http://www.jeremyfilliben.com/2010/08/brief-introduction-to-lisp.html [7] A High-Level overview of LISP [online]. INE [cit. 2013-05-16]. Dostupné z: http://blog.ine.com/2010/07/05/a-high-level-overview-of-lisp/ květen 2013 7/7