Base de información de reenvío - Forwarding information base
Una base de información de reenvío ( FIB ), también conocida como tabla de reenvío o tabla MAC , se usa más comúnmente en puentes de red , enrutamiento y funciones similares para encontrar la interfaz de red de salida adecuada a la que la interfaz de entrada debe reenviar un paquete. Es una tabla dinámica que asigna direcciones MAC a puertos. Es el mecanismo esencial que separa los conmutadores de red de los concentradores Ethernet . La memoria direccionable por contenido (CAM) se usa generalmente para implementar de manera eficiente la FIB, por lo que a veces se la denomina tabla CAM .
Aplicaciones en la capa de enlace de datos
En la capa de enlace de datos , un FIB se utiliza principalmente para facilitar el puente de Ethernet basado en direcciones MAC . Otras tecnologías de capa de enlace de datos que utilizan FIB incluyen Frame Relay , modo de transferencia asíncrona (ATM) y conmutación de etiquetas multiprotocolo (MPLS).
Puente
La función de un conmutador Ethernet es reenviar tramas Ethernet de un puerto a otro. La presencia de un FIB es un atributo que separa un conmutador de un concentrador. Sin un FIB funcional, todas las tramas recibidas por un conmutador de red volverían a enviarse a todos los demás puertos, al igual que un concentrador Ethernet . Al puentear paquetes entre puertos, un conmutador solo debe emitir una trama en el puerto donde reside el dispositivo de red de destino ( unidifusión ), a menos que la trama sea para todos los nodos del conmutador ( difusión ), varios nodos ( multidifusión ) o si el conmutador no lo hace. no sé dónde reside el dispositivo de destino ( inundación de unidifusión ).
Los conmutadores aprenden el puerto en el que vieron por primera vez una dirección de origen en particular y asocian ese puerto con esa dirección. Cuando el puente recibe posteriormente una trama con una dirección de destino en su FIB, envía la trama por el puerto almacenado en la entrada FIB.
El FIB es una construcción de memoria utilizada por el conmutador Ethernet para asignar la dirección MAC de una estación al puerto del conmutador al que está conectada la estación. Esto permite que los conmutadores faciliten las comunicaciones entre estaciones conectadas a alta velocidad.
Retardo de fotograma
Si bien la mecánica exacta de una tabla de reenvío es específica de la implementación, el modelo general de Frame Relay es que los conmutadores tienen tablas de reenvío definidas estáticamente, una por interfaz. Cuando se recibe una trama con un identificador de conexión de enlace de datos (DLCI) dado en una interfaz, la tabla asociada con esa interfaz proporciona la interfaz saliente y el nuevo DLCI para insertar en el campo de dirección de la trama.
Modo de Transferencia Asíncrona
Los conmutadores ATM tienen tablas de reenvío a nivel de enlace muy parecidas a las que se utilizan en Frame Relay. Sin embargo, en lugar de un DLCI, las interfaces tienen tablas de reenvío que especifican la interfaz de salida mediante el identificador de ruta virtual (VPI) y el identificador de circuito virtual (VCI). Estas tablas pueden configurarse estáticamente o pueden distribuirse mediante el protocolo de interfaz de red privada a red (PNNI). Cuando se utiliza PNNI, los conmutadores ATM en los bordes de la red asignan uno de los identificadores ATM estándar de extremo a extremo, como una dirección NSAP , al VPI / VCI del siguiente salto.
Cambio de etiquetas multiprotocolo
MPLS tiene muchas similitudes, a nivel de reenvío, con ATM. Los enrutadores de borde de etiqueta en los bordes de un mapa de nube MPLS entre el identificador de extremo a extremo, como una dirección IP, y una etiqueta de enlace local. En cada salto MPLS, hay una tabla de reenvío que le dice al enrutador con conmutación de etiquetas qué interfaz saliente debe recibir el paquete MPLS y qué etiqueta usar al enviar el paquete a esa interfaz.
Aplicaciones en la capa de red
Las direcciones de la capa de red , como las direcciones IP , se utilizan en diferentes tipos de medios y pueden manejarse de manera similar en todos los casos.
Reenvío
Los FIB están optimizados para una búsqueda rápida de direcciones de destino y pueden mejorar el rendimiento del reenvío en comparación con el uso de la base de información de enrutamiento (RIB) directamente. El RIB está optimizado para una actualización eficiente mediante protocolos de enrutamiento y otros métodos de plano de control , y contiene el conjunto completo de rutas aprendidas por el enrutador. Las implementaciones anteriores almacenaban en caché solo un subconjunto de las rutas utilizadas con mayor frecuencia en el reenvío real, y esto funcionó razonablemente bien para empresas donde hay un subconjunto significativo utilizado con mayor frecuencia. Sin embargo, los enrutadores utilizados para acceder a toda la Internet experimentaron una severa degradación del rendimiento al actualizar las rutas almacenadas en caché en un FIB pequeño, y varias implementaciones pasaron a tener FIB en correspondencia uno a uno con el RIB.
Filtrado de entrada contra la denegación de servicio
Los FIB también pueden desempeñar un papel en las mejores prácticas actuales (BCP) de filtrado de entrada de Internet . Aunque la forma más simple de filtrado de entrada es usar listas de control de acceso para descartar paquetes con direcciones de origen incorrectas, el uso de listas de acceso se vuelve difícil en enrutadores con una gran cantidad de redes adyacentes, y las listas de acceso tradicionales no se usan en equipos de alto rendimiento. rutas de reenvío del enrutador.
Si bien el documento IETF BCP 38 sobre filtrado de entrada no especifica un método para implementar el filtrado de direcciones de origen, algunos proveedores de enrutadores han implementado un mecanismo que emplea búsquedas de reenvío de ruta inversa en las tablas del enrutador para realizar esta verificación. Esto a menudo se implementa como una búsqueda en el FIB de la fuente de direcciones del paquete. Si la interfaz no tiene una ruta a la dirección de origen, se supone que el paquete es parte de un ataque de denegación de servicio, utilizando una dirección de origen falsificada , y el enrutador descarta el paquete.
Cuando el enrutador es de host múltiple , el filtrado de entrada se vuelve más complejo. Hay escenarios operativos perfectamente razonables en los que un paquete podría llegar a una interfaz, pero esa interfaz específica podría no tener una ruta a la dirección de origen. Para los enrutadores cercanos al borde de Internet, los filtros de paquetes pueden proporcionar una solución más simple y efectiva que los métodos que emplean la búsqueda de información de enrutamiento, aunque este enfoque puede ser un desafío cuando se administran enrutadores que se reconfiguran con frecuencia. El filtrado de entrada para enrutadores de host múltiple aceptará el paquete si hay una ruta de regreso a su dirección de origen desde cualquier interfaz en el enrutador. Para este tipo de filtrado, el enrutador también puede mantener una tabla de adyacencia , también organizada para una búsqueda rápida, que realiza un seguimiento de las direcciones de interfaz del enrutador que están en todos los enrutadores conectados directamente.
Calidad de servicio
Los servicios diferenciados proporcionan un método adicional para seleccionar interfaces salientes, en base a un campo que indica la prioridad de reenvío del paquete, así como la preferencia del paquete que se descartará en presencia de congestión. Los enrutadores que admiten el servicio diferenciado no solo tienen que buscar la interfaz de salida para la dirección de destino, sino que también deben enviar el paquete a la interfaz que mejor se adapte a los requisitos de los servicios diferenciados. En otras palabras, además de hacer coincidir la dirección de destino, la FIB debe coincidir con los puntos de código de servicios diferenciados (DSCP).
Control de acceso y contabilidad
Las implementaciones de enrutadores específicos pueden, cuando una dirección de destino u otro criterio de FIB coincide, especificar otra acción a realizar antes del reenvío (por ejemplo, contabilidad o encriptación), o aplicar una lista de control de acceso que puede hacer que el paquete se descarte.
Ataques
Las tablas CAM se pueden apuntar para configurar un ataque man-in-the-middle . Un agente de amenazas que tiene el control de un dispositivo conectado a un conmutador Ethernet puede utilizar la inundación de MAC para atacar la tabla CAM del conmutador. Si la tabla se llena, el resto del tráfico se trata como tráfico de difusión, unidifusión desconocida y multidifusión y se reenvía a todos los puertos para que estén disponibles para el atacante.