Оптимизация IP сети с использованием программно-конфигурируемых сетей

С постоянным ростом объемов передаваемого трафика в сети провайдера оптимизация инфраструктуры сети имеет важное значение. Зачастую при наличии всех необходимых ресурсов сеть не может обеспечить должную функциональность и отказоустойчивость. Даже небольшая сеть, имеющая выход в глобальную сеть, с точки зрения эксплуатации и выявления проблем может представлять весьма серьезные задачи. На данный момент реализация программно-конфигурируемых сетей на определенных уровнях сети может способствовать существенной оптимизации сетевой инфраструктуры и обеспечить более рациональное использование сетевых возможностей. Одной из важных характеристик сети является использование ARP протокола.

При наличии даже небольшой сетевой инфраструктуры чрезмерное количество ARP запросов может отрицательно влиять на производительность сети, к тому же ARP является одним из слабых мест с точки зрения организации безопасности сети, и использования различных механизмов может привести к утечке информации или выходу из строя отдельного сетевого элемента или целой сети. При росте количества ARP запросов в определенном сегменте сети дополнительно будет увеличиваться и нагрузка на активные сетевые элементы, обрабатывающие данные запросы. Что также скажется весьма отрицательно на качестве работы сетевой инфраструктуры.

В данном случае число широковещательных запросов, инициированных с одного сетевого элемента, составляет 7 шт. При росте количества сетевых элементов и возрастании активных сетевых соединений будет расти и число широковещательных запросов . Процентное соотношение широковещательного трафика от всего остального в рамках одного домена может составлять 12-15% от общего количества трафика.

ARP в программно-конфигурируемых сетях

Одной из основных задач SDN сети является отделение служебного трафика от пользовательского. Под служебным трафиком понимается вся активная пакетная нагрузка, используемая для обслуживания сетевых протоколов в рамках конкретной сетевой инфраструктуры. В качестве пользовательского трафика выступает пакетная нагрузка, инициированная конкретным пользователем.

В рамках использования SDN основным отличием от традиционной сети является тот факт, что контроллер самостоятельно отправляет ARP ответ активным сетевым устройствам, направившим ARP запрос. Соответственно, при рассмотрении использования подхода SDN совместно с определенной сетевой инфраструктурой применение протокола ARP остается актуальным. Схема распространения ARP запросов в SDN сети показана на рис. 2.

Рис. 1. Пример распространения ARP запроса без участия SDN решений

Соответственно, широковещательный ARP запрос генерируется сетевым элементом с IP адресом 10.0.0.1 с задачей определить MAC адрес, принадлежащий сетевому элементу 10.0.0.2. В свою очередь, аналогично распространению в сети без SDN - ARP запрос представляет пакет с указанным MAC адресом назначения FFFF:FFFF:FFFF, который и характеризует данный ARP запрос как широковещательный. Далее пакет поступает на коммутатор OVS S1, который, в свою очередь, данный запрос направля- ет к контроллеру SDN. Далее SDN контроллер определяет соответствие IP и MAC адресов и формирует ARP ответ с указанным MAC адресом сетевого элемента 10.0.0.2. Затем контроллер направляет ARP ответ на коммутатор OVS S1, а тот, в свою очередь, пересылает на сетевой элемент 10.0.0.1. После данной процедуры сетевой элемент 10.0.0.1 запоминает в собственной ARP таблице MAC адрес сетевого элемента 10.0.0.2 и может формировать пакеты уже непосредственно до сетевого элемента 10.0.0.2.

Для повышения контроля за ARP запросами, локализации избыточных запросов, повышения качества и надежности сети возможно использование ARP сервера в рамках сетевой инфраструктуры. Использование ARP сервера подразумевает интеграцию в сеть сервера с постоянно обновляющейся базой данных по IP ARP TA-BLE, собираемой со всех активных устройств в сети. Использование данного сервера позволит:

• -    полностью контролировать количество ARP запросов со всех сетевых устройств в рамках одного сетевого элемента (ARP сервера);

• -    ARP запросов со всех сетевых устройств в рамках одного сетевого элемента (ARP сервера);

• -    обеспечить выявление лишних или отсутствие обязательных ARP записей в IP ARP TABLE, что существенно повысит надежность и безопасность сетевой инфраструктуры;

• -    записывать и хранить все процессы, касающиеся появления и активности всех ARP запросов в конкретной сетевой инфраструктуре. Обеспечить ограничение и расширение прав в доступе для конкретных сетевых узлов. Сегментировать IP ARP TABLE, тем самым разделяя один широковещательный домен на требуемое количество.

  

  Рис. 2. Схема распространения ARP запроса в пределах SDN сети

  
  

  На рис. 3 представлена схема распространения ARP запроса в пределах SDN сети с использованием ARP сервера. По аналогии со схемой распространения ARP запросов в пределах SDN сети ARP запрос генерируется сетевым элементом 10.0.0.1 и отправляет данный запрос на коммутатор OVS S1. Таким образом, основная задача при использовании ARP сервера заключается в необходимости при поступлении на любой из коммутаторов SDN пакета с Ethertype=0x0806 подменить в пакете поле Destination MAC на MAC адрес ARP сервера. Далее данный пакет преобразуется в однонаправленный (unicast) и

• уже с измененным полем Destination MAC поступает на ARP сервер. ARP сервер проверяет соответствие в локальной IP ARP TABLE и отправляет ARP ответ на сетевой элемент 10.0.0.1.

После этого сетевой элемент 10.0.0.1 запоминает в собственной ARP таблице MAC адрес сетевого элемента 10.0.0.2 и может формировать пакеты уже непосредственно до сетевого элемента 10.0.0.2. При условии того, что в базе ARP сервера отсутствуют запрашиваемые данные, поле Source MAC в ARP можно заполнить любым сетевым MAC адресом, вследствие чего можно создать отдельное хранилище для ненайденных запросов.

Ip arp table

Первый этап - сбор информации по ARP table с активных устройств

Ip add 10.0.0.1 10.0.0.2

1111:1111:1111

2222:2222:2222

Sip 10.0.0.1

Sa 1111:1111:1111

Dip 10.0.0.2

Da ffff:ffff:ffff

Router

OVSS1

OVS S2

Ipadd 10.0.0.1

Мас 1111.1111.1111

Sip 10.0.0.1

Sa 1111:1111:1111

Dip 10.0.0.2

Da 2222:2222:2222

Четвертый этап - отправка unicast пакета SiplO.0.0.1     Dip 10.0.0.2

Рис. 3. Схема распространения ARP запроса в пределах SDN сети с использованием ARP сервера

ISDN controller ^

Sip 10.0.0.1

Sa 1111:1111:1111

Dip 10.0.0.2

Da 9999:9999:9999

Второй этап - отправка broadcast пакета с поиском хоста 10.0.0.2 на OVS1, подмена DA на mac ARP Proxy

9999:9999

Третий этап - отправка unicast пакета с МАС адресом хоста 10.0.0.2

Sip 10.0.0.2

Sa 2222:2222:2222

Dip 10.0.0.1

1111:1111:1111

Ip add 10.0.0.2 Мас 2222:2222:2222

Тем самым обезопасить и разгрузить сетевую инфраструктуру отсутствием лишних широковещательных пакетов и найти источник, по изученным сетевым атрибутам данных запросов. Алгоритм управления ARP запросами с использованием ARP сервера в SDN сети представлен на рис. 4.

Таким образом, использование ARP сервера может существенно уменьшить количество «лишних» ARP запросов в сети. Использование SDN в определенном сегменте сетевой инфраструктуры может существенно снизить нагрузку как на активное сетевое оборудование, так и на каналы связи существенным снижением количества широковещательных запросов.

Также при использовании данной концепции существенно снизится вероятность подмены MAC адреса на сети с точки зрения сетевой безопасности.

Заключение

Использование ARP сервера возможно как в рамках SDN сети, так и без участия SDN решений. К основным примерам реализации инфра- структуры с использованием ARP сервера в SDN сети относятся:

• -    реализации закрытого ведомственного сегмента сети с заранее известным количеством сетевых элементов. Тем самым использование ARP сервера может положительно сказаться на организации безопасности внутри сетевой инфраструктуры, а именно обнаружением и выявлением «лишних» сетевых элементов, полным контролем внутрисетевого трафика в пределах одного широковещательного домена;

Использование ARP сервера в рамках сети FTTB. С точки зрения использования SDN на сети провайдера связи для реализации широкополосного доступа существует ряд плюсов:

• -    отсутствие в необходимости локальной настройки активного сетевого оборудования, используемого в рамках реализации сети. Всю настройку сети необходимо будет проводить локально через SDN контроллер. Тем самым возможно существенное снижение затрат на эксплуатацию сетевой инфраструктуры;

  - возможность интеграции абонентских устройств с фиксированными MAC адресами.

Рис. 4. Алгоритм управления ARP запросами с использованием ARP сервера в SDN сети

При реализации ARP сервера и также при условии того, что у абонентов будут реализованы устройства провайдера связи с фиксированной МАC адресацией, возможен перевод ряда функционала с AAA/Radius серверов на ARP сервер. В данном случае при заранее известной MAC адресации у клиента и при дополнительной реализации функционала PORT SECURITY на активном сетевом оборудовании уровня доступа возможен полный контроль доступа ШПД абонента. Также при реализации взаимодействия ARP сервера с системой биллинга провайдера связи возможно полностью отказаться от использования AAA/Radius серверов и функционал контроля доступа абонентов будет полностью выполнять ARP сервер.