路由器ip地址-路由器IP指派DHCP和BOOTP不同之處

  • A+
所屬分類:路由器限速

配置路由器通過6IN4隧道在小區動態IP寬帶上用IPV6[ASUS-MERLINWRT/RT-N66U]

注意:對于動態IP用戶,如想自動更新Client EndPoint地址,需要開啟路由器的SSH服務,也就是MiBoys等路由器玩家常說的“獲取路由器root權限”(哈哈哈哈)。退而求其次,如果路由器的管理頁面內允許設置開機啟動腳本,也可以。或者,如果家里有另一臺永遠不關機的電腦的話,也可以設置一個定時任務,但這里不說。

都不行的話,就只能把自己的瀏覽器主頁設置成更新頁的API了(什么是更新頁API,后面會說)……

16/01/31更新:如果路由器的DDNS設置有內置tunnelbroker DDNS模板的話,可以直接使用,方便省力:https://mirrochou.com/2016/01/how-to-use-tunnelbroker-ddns/

好了,下面是正文。

很久以前就了解到了tunnelbroker這么一個神奇的東西,畢竟啊, ipv6資源那么多(各大高校的pt站),而ISP因為某些眾所周知的原因短時間內是不會上ipv6設備的,所以通過別的方法訪問tcp6網絡也就成了無奈的辦法。之前折騰過很久也沒有成功。然而好在shadowsocks-rss和anyconnect都支持使用tcp4協議傳輸tcp6內容,所以ipv6資源也是照看不誤。剛才看到了PeterCai的一篇寫于去年的Blog大受啟發,摩拳擦掌決定再嘗試一番。這一段時間內,路由器還是用了三年的ASUS RT-N66U,不過固件從DD-WRT換成了OpenWRT又換成了TomatoUSB到現在的Merlin-WRT。Merlin-WRT是基于ASUSWRT更改的第三方固件,UI與原版固件無異,但是增加了很多喜聞樂見的功能(比如JFFS2掛載、SSH登陸等),而且還有向NETGEAR等品牌型號的移植版。扯遠了,對于要折騰路由器,那首先就是要先看一看SSH登陸打開了沒有,各種固件的操作大多大同小異:設置(Settings)或管理(Administration)頁面中的SSH登陸,由于安全考量一般是關閉的,打開,允許密碼登陸(或是有安全強迫癥也可以選擇使用密鑰登陸,至于怎樣生成私鑰我沒有嘗試過,所以并不清楚)。

開啟后就可以使用遠程終端連接和管理路由器了,大部分固件都不帶sftp服務,有需要可以使用ipkg或opkg安裝,對于沒有安裝optware的固件可以參考之前的文章https://mirrochou.com/2016/01/install-opt-and-sftp-on-tomatousb-asus-rt-n66u/這篇文章中的內容不需要使用sftp或是optware,所以以上內容只限軟廣之用。然后將路由器DNS更改為支持ipv6的DNS,如8.8.8.8,DNS的內容設置大多在路由器的WAN配置頁,如果8.8.8.8在當地被和諧了,也可以使用本地ISP提供的DNS,不過對于ipv6解析是否會存在問題并不保證。路由器弄了這么多,接下來該去尋找IPv6隧道服務商了,在這里推薦Hurricane Electric的TunnelBroker服務(也是老牌子了),進入https://www.tunnelbroker.net/注冊一個賬號,然后選擇左側的“Create Regular Tunnel”

這個步驟中EndPoint(本地客戶端終點)是必填的,也就是自己當前的ip,去ip138之類的網站或者ipconfig(Linux下是ifconfig)一下都可以看到,注意要先配置路由器的防火墻允許接收ping(允許ICMP包)。選擇一個服務器,推薦使用亞洲的,據說速度或者ping會更快一些,然而我還沒有寫腳本的能力去實時測試每個服務器的連接速度……所以我果斷聽信了據說選擇了香港的。下一個頁面將會給出一份詳細的設置內容

這時我們打開路由器的IPv6頁,各個固件的進入方法大致相同,有的是直接進入,有的是隱藏在WAN中,有的隱藏在Basic中,對于較老版本的Openwrt沒有內置ipv6可以使用Tunnelbroker.net提供的Example Configurations(配置樣例)頁面中的Openwrt的配置方法使用終端(建議PuTTY)手動配置。

首先將IPv6類型選為ipv6in4 (Tunnel 6in4),看準,是6in4不是6to4,然后將tunnelbroker.net提供的配置信息填入路由器的IPv6配置中。

可以發現,Server IPv6 Address 對應 服務器IPv6地址,Server IPv4 Address 對應 服務器IPv4地址,Client IPv6 Address 對應 用戶端IPv6地址,Client IPv4 Address在Tunnelbroker頁面中是可以點擊的控件,點擊后可以編輯然后刷新。Routed IPv6 Prefixes對應IPv6內部網絡設置,有些固件允許在填寫配置時將長度“/64”填寫在IP地址后面,有些則不允許,各種固件慢慢嘗試吧,反正MerlinWRT不允許,需要在填寫前綴長度的地方表明長度。DNS服務器也是,MerlinWRT只允許填寫ipv6地址的DNS服務器。

填寫完成后點擊應用設置,等待啟動完成后嘗試訪問http://ipv6-test.com/或者http://test-ipv6.com/,應該已經可以檢測到由hurricane electric提供的IPv6服務了。如果不行,看一看是不是因為重啟路由器改變了本地ipv4地址,如果改變了返回tunnelbroker.net的隧道信息設置頁更新一下Client IPv4 Address。還不行的話嘗試更改隧道的MTU或在路由器的ipv6設置配置中進行排查。

這時應該就可以成功訪問IPv6資源了,但由于家庭寬帶的動態IP分配特殊性,每次重啟路由器都要重新在tunnelbroker.net進行配置也未免太過麻煩,所以最好能夠路由器實時檢測ip的變化并反饋給tunnelbroker.net,還好tunnelbroker.net已經想到了這個問題,在隧道詳情的頁面中有一個Advanced選項卡,里面會有意想不到的事情哦。

首先是MTU設置,由于我家這邊的ISP的上層設備原因,最大的數據包的MTU只能到1462,而tunnelbroker默認的是1480,為了避免出現問題,我主動設置為了1460,然后就是下面的Example Update URL了。好奇的話可以將這段URL復制進瀏覽器看一看是什么效果,正常的話會反饋回一個IP地址外加ok字樣,IP地址就是本機當前的ip地址了,而在tunnelbroker的服務器上則會因為這次訪問而回自動將服務器上的隧道配置中的客戶端IPv4地址自動更新為剛剛訪問的ip。

這里,我們通過crontab與cURL(curl)達到路由器每隔一分鐘訪問一次上述更新API的效果。配置好路由器上的SSH后用PuTTY連接路由器,輸入用戶名與密碼。

首先檢測命令是否有效(小貼士,在PuTTY中右鍵相當于粘貼)curl tunnelbroker提供的更新URL如果有問題的話嘗試curl -k tunnelbroker提供的更新URL-k命令的作用是忽略不信任的ssl證書,由于時間長之后可能會遇到長城的中間人攻擊,所以建議加上-k,畢竟更新ip地址總比被看了已經知道的ip地址重要……

如果能夠返回nochg+本機ip的話則指令是有效的,如果提示command not found,考慮用optware安裝一個curl吧,如果超時的話,可能是tunnelbroker.net在當地被和諧了,請允悲。

接下來使用crontab。crontab是一個定時計劃任務模板,具體詳情不多介紹,在終端中輸入crontab -e然后應該會遇到如下頁面

那么恭喜,你進入了固件自帶的vi文本編輯器頁面,注意,什么都不要動,什么都不要動,什么都不要動!(菊苣隨意吧,當然菊苣也不會看這篇文章……)按一下鍵盤上的“I”進入編輯模式,輸入如下內容* * * * * curl -k 你自己的更新API網址完成后按“ESC”退出編輯模式,然后按“:”(沒錯就是鍵盤的Shift + ;)進入命令模式,輸入“w”并回車保存文檔,再次輸入“:”進入命令模式輸入“q”退出,輸入“wq”保存并退出,如果兩條命令不起作用可以嘗試“w!”或“q!”強制保存與退出。事已至此,讓我們愉快的重啟一遍路由器,享受原生IPv6的生活吧。====== 16/01/31更新 ======由于路由器內部存儲的特殊性,直到路由器工作了兩晚我才發現重啟之后crontab的配置變量會消失,再附上一個寫入文件到nvram中的句子。nvram save/var/spool/cron/crontabs/{創建crontab時使用的用戶名,比如我的是admin}nvram commit這個時候可以重啟一下試試了。不清楚自己用戶名的可以先cd到/var/spool/cron/crontabs然后使用 ls -l 命令查看。貌似不同固件的NVRAM用法不一樣,這里就不一一舉例了。

Verizon被指幫助網絡犯罪分子路由數百萬被盜的IP地址

看來Verizon需要好好解釋一下了:來自The Spamhaus Project的一份報告指責該公司通過路由四百多萬IP地址的方式為網絡犯罪分子提供幫助。

The Spamhaus Project是一家非營利性國際組織,多年來一直維護一份垃圾郵件黑名單,也跟執法部門一道打擊垃圾郵件發送人員以及一些互聯網垃圾郵件操作行為。

該組織的代表BarryBranagh指出,最近IPv4地址塊的耗盡狀況迫使網絡犯罪分子從還未使用這些地址或者還未為這些IP設置路由的公司的公司IP池中竊取IP范圍。“設置路由”就是說一個網絡服務提供商(ISP)會告知其它ISP稱在自己的服務器上發現了某個IP地址塊。當垃圾郵件發送者發現很好竊取IP地址塊或者從黑市上很容易就能買到從而設置路由時,他們就需要以獨立系統(AS)注冊并獲取一個獨立系統號碼(ASN)。

Verizon并未捕獲那些想在服務器上路由IP地址的AS

由于Verizon設置ASN的流程簡單,網絡犯罪分子發現很容易就能將偽造文檔提交給Verizon并且將偷來的IP地址塊通過Verizon的服務器路由。Branagh表示,超過400萬個IP地址被以這種方式從Verizon網絡路由,隨后這種方式被用于向用戶發送垃圾郵件。通過這種技巧,垃圾郵件發送者在不同的位置使用多個地址發送垃圾郵件。而這種技巧讓諸如Spamhaus等組織很難識別并追蹤更大型的垃圾郵件活動,而且還能逃避被列入黑名單。

Verizon沒跟Spamhaus好好合作

Branagh指出,像Verizon這樣的大型美國ISP能被輕易說服路由大量被分配給亞太地區的IP地址塊這件事聽起來很奇怪。這些地址塊并不能被日常活動的噪音所掩蓋。這些活動看起來很異常,用戶應當立即被告知。

Spamhaus官方表示,Verizon看似認為這件事無所謂。他表示自2015年7月起,該組織就想盡辦法跟Verizon的多個部門取得聯系,其中包括高層管理人員但均未果。

此外,那些IP地址被竊取的中國和韓國企業或者已經消失,或者并不理解這件事情,或者被垃圾郵件發送者所控制。雖然Verizon并未做出回應,但它的這種行為為網絡犯罪提供了方便,而且在必要時必須向執法部門提供解釋。


63、電腦無法連接外網,ping不通網關,路由器中檢測不到電腦IP的解決辦法

今天,公司一臺電腦突然無法打開網頁。

檢查時發現本地連接正常,未提示IP沖突等問題。內網的ERP也能正常打開。說明內部的網絡是正常的。

ping網關,不通。

檢查路由器,在ARP綁定中,發現沒有獲取到這臺電腦的IP地址。

再檢查這臺電腦上已打開的軟件,發現網關是手動綁定的。

查看詳細信息,發現這里綁定的MAC地址與現在路由器的MAC地址不一致。

終于找到問題了,這個防火墻軟件里,以前綁定了網關和MAC地址,昨天公司路由器出故障,更換了新路由,由于新路由的MAC地址與這臺電腦安裝的防火墻軟件綁定的MAC地址不一致,導致新路由無法獲取這臺電腦的MAC和IP地址,最終導致無法連接外網。

把手動設置網關改為自動獲取網關,稍等一下,再ping網關,就正常了。

如果還不正常,可以重啟電腦或卸載防火墻,就可以了。

再登錄路由器,發現已經可以獲取到這臺電腦的IP和MAC地址了。打開網頁,正常了。


路由器IP指派DHCP和BOOTP不同之處

目前路由器進行IP指派主要有DHCP和BOOTP,DHCP也就是動態主機分配協議,它的前身是BOOTP,BOOTP原本是用于無磁盤主機連接的網絡上面的,以下分析這兩種方式的不同之處。

一、DHCP可以說是BOOTP的增強版本,它分為兩個部份:一個是服務器端,而另一個是客戶端。所有的IP網絡設定數據都由DHCP服務器集中管理,并負責處理客戶端的DHCP要求;

而客戶端則會使用從服務器分配下來的IP環境數據。比較起BOOTP,DHCP透過"租約"的概念,有效且動態的分配客戶端的TCP/IP設定,而且,作為兼容考慮,DHCP也完全照顧了BOOTP Client的需求。

二、必須至少有一臺DHCP工作在網絡上面,它會監聽網絡的DHCP請求,并與客戶端搓商TCP/IP的設定環境。它提供兩種IP定位方式:

1、自動分配,其情形是:一旦DHCP客戶端第一次成功的從DHCP服務器端租用到IP地址之后,就永遠使用這個地址。

2、動態分配,當DHCP第一次從HDCP服務器端租用到IP地址之后,并非永久的使用該地址,只要租約到期,客戶端就得釋放(release)這個IP地址,以給其它工作站使用。當然,客戶端可以比其它主機更優先的更新(renew)租約,或是租用其它的IP地址。

三、DHCP除了能動態的設定IP地址之外,還可以將一些IP保留下來給一些特殊用途的機器使用,它可以按照硬件地址來固定的分配IP地址,這樣可以給您更大的設計空間。

同時,DHCP還可以幫客戶端指定router、netmask、DNS Server、WINS Server、等等項目,您在客戶端上面,除了將DHCP選項打勾之外,幾乎無需做任何的IP環境設定。

四、尋找Server,當DHCP客戶端第一次登錄網絡的時候,也就是客戶發現本機上沒有任何IP數據設定,它會向網絡發出一個DHCP DISCOVER封包。

因為客戶端還不知道自己屬于哪一個網絡,所以封包的來源地址會為0.0.0.0,而目的地址則為255.255.255.255,然后再附上DHCP discover的信息,向網絡進行廣播。

五、提供IP租用地址。當DHCP 服務器監聽到客戶端發出的 DHCP discover 廣播后,它會從那些還沒有租出的地址范圍內,選擇最前面的空置IP,連同其它TCP/IP設定,響應給客戶端一個DHCP OFFER封包,由于客戶端在開始的時候還沒有IP地址,所以在其DHCP discover封包內會帶有其MAC地址信息。

六、接受IP租約。如果客戶端收到網絡上多臺DHCP服務器的響應,只會挑選其中一個DHCP offer而已,并且會向網絡發送一個DHCP request廣播封包,告訴所有DHCP服務器它將指定接受哪一臺服務器提供的IP地址,客戶端還會向路由器發送一個ARP封包,查詢網絡上面有沒有其它機器使用該IP地址;

如果發現該IP已經被占用,客戶端則會送出一個DHCPDECLINE封包給DHCP服務器,拒絕接受其DHCP offer,并重新發送DHCP discover信息。

七、當DHCP服務器接收到客戶端的DHCP request之后,會向客戶端發出一個DHCPACK響應,以確認IP租約的正式生效,也就結束了一個完整的DHCP工作過程,一旦DHCP客戶端成功地從服務器哪里取得DHCP租約之后,除非其租約已經失效并且IP地址也重新設定回0.0.0.0,否則就無需再發送DHCP discover信息了,而會直接使用已經租用到的IP地址向之前之DHCP服務器發出DHCP request信息,DHCP服務器會盡量讓客戶端使用原來的IP地址,如果沒問題的話,直接響應DHCPack來確認則可。

從前面描述的過程中,我們不難發現:DHCDISCOVER是以廣播方式進行的,其情形只能在同一網絡之內進行,因為router是不會將廣播傳送出去的。但如果DHCP服務器安設在其它的網絡上面呢?

由于DHCP客戶端還沒有IP環境設定,所以也不知道Router地址,而且有些Router也不會將DHCP廣播封包傳遞出去,因此這情形下DHCP DISCOVER是永遠沒辦法抵達DHCP服務器那端的,當然也不會發生OFFER及其它動作了。


一個報文的路由器之旅——IP單播轉發流程

端到端的IPv4單播轉發過程

以大家熟悉的以太幀為例,先來回顧下IP單播端到端的轉發流程。

下圖是個最簡單的IP轉發場景,某局域網的主機A發送報文給另一局域網的主機B,中間經過一臺路由器,那么這臺路由器就是PC-A的網關。

由主機PC-A向主機PC-B發送IP報文,那么該報文的目的IP地址就是PC-B的IP地址,源IP地址就是主機PC-A的IP地址,目標MAC地址就是其網關路由器Port1的MAC地址,源MAC地址就是PC-A的MAC地址。

路由器轉發過程:

1、路由器收到這個報文,發現其目的MAC為本機Port1端口的,表明需要本機來進行進一步解析(如果目的MAC不是本機,表明直接進行二層轉發,不需要再解析幀的其他內容了);

2、路由器進一步解析報文,得知該幀所承載的協議類型為IPv4(協議類型值=0x800),即需要進行IPv4轉發;

3、查IP轉發表(FIB表),得知該報文并不是發給自己的,而是需要送往出端口Port2,因此,路由器不再繼續分析IP頭后面的內容。

4、路由器將目的MAC更換成PC-B的MAC,將源MAC更換為出接口Port2的MAC,并將報文從Port2發送出去。

路由器的IPv4轉發全流程

IPv4轉發全流程如下圖所示。需要關注的地方在于查表轉發和獲取封裝信息兩個環節(其他環節在本系列的前1~6貼中已描述,不再贅述)。

(1)查表轉發詳細流程

流程說明:

步驟1:判斷報文的目的MAC是否等于本機MAC,如果不是,則做L2轉發;是則繼續下一步驟。

步驟2:判斷報文的協議類型是否為IPv4(例如以太幀,eth_type = 0x800),如果不是,則進入其他轉發流程;是則繼續下一步驟。

步驟3:檢查報文的長度、IP地址、Checksum字段是否正確,如果不正確,則丟棄報文,否則繼續下一步驟。

步驟4:判斷目的IP地址是否為單播地址,如果不是單播則其他轉發處理,是則進入繼續下一步驟。

步驟5:用目的IP地址查FIB表得到的下一跳IP、出接口等信息(如果是公網的報文,查公網FIB表,如果是VPN報文,則查對應VPN的FIB表)。

如果是負載分擔,會查到多份這樣的信息,于是根據負載分擔哈希算法選取其中的一份。

如果是FRR(FastReroute)狀態,則會根據出接口狀態做主備路由選擇,如果出接口正常工作,則會選擇主路由;否則選擇FRR備份路由。

如果出接口為Trunk接口,會再根據Trunk負載分擔哈希算法,選擇Trunk成員口中的其中一個作為最終的出接口。

步驟6:如果使能了URPF檢查,則用源IP地址查FIB表,如果命中,對于松散的URPF檢查只要出接口為真實的外部接口則檢查通過(對于出接口為CPU、NULL接口、TE接口、IPv4 Tunnel接口則松散的URPF檢查不通過);對應嚴格的URPF檢查,用報文的入端口信息與源IP地址查FIB表得到的出口信息進行比較,相等則通過,不等則丟棄(對于入接口為VLAN子接口,出接口為入端口信息,同時出接口VLANID也要等于入口的VLANID,則檢查才會通過)。

?說明:

URPF(Unicast Reverse Path Forwarding),是一種單播逆向路由查找技術,用來預防偽造源地址攻擊的手段。之所以稱為逆向,是針對正常的路由查找而言的。一般情況下路由器接收到報文,獲取報文的目的地址,針對目的地址查找路由。如果找到了進行正常的轉發,否則丟棄該報文。

URPF的實現原理:通過獲取報文的源地址和入接口,以源地址為目的地址,在轉發表中查找源地址對應的接口是否與入接口匹配。如果不匹配認為源地址是偽裝的,丟棄該報文。通過這種方式,能有效地防范網絡中通過修改源地址而進行的惡意攻擊行為的發生。

然而,有的場景(例如負載分擔)同一目的地址在路由表中存在有多條路由表項,同一目的IP地址的報文發送的接口不唯一,即非對稱路由。此時若應用URPF時,報文會異常丟棄。因此,URPF出現了嚴格模式和松散模式。嚴格模式要求接口匹配;而松散模式,不檢查接口是否匹配,只要路由表項中存在針對源地址的路由,數據報文就通過URPF檢查。

步驟7:如果目的IP為非本機IP,則報文頭的TTL減1,并重新計算并修改Checksum值,繼續執行后續的CAR等公共處理。如果目的IP為本機(查表發現下一跳為127.0.0.1),則直接送入上行TM部件。

之后的處理中,交換網根據出接口信息(出接口信息包含了目的單板和目的出接口)信息將報文發送到正確的下行單板。

(2)獲取封裝信息

到了下行,下行包轉發引擎PFE用下一跳IP或目的IP和VLANID查ARP表項,獲取目的MAC信息,根據出接口信息查出接口表項獲取端口MAC。因為,路由器需要將報文的目的MAC更換成下一跳設備的MAC,將源MAC更換成自己出接口的MAC。

如果查ARP表項沒有命中,則啟動ARP學習功能,過程如下:

1) 發送ARP請求報文,此報文的目的MAC為廣播地址,目的地址為下一跳IP,源IP為自己的IP。

2)由于是MAC廣播報文,在局域網內的設備或主機都能收到,因此下一跳設備也能收到。于是下一跳設備解析報文發現目的IP為自己,便發送ARP回應報文,里面攜帶了自己的MAC地址。

3)路由器收到回應報文,得到下一跳的MAC地址,添加到ARP表項中。

通過ARP學習后,重新查ARP表項獲取下一跳MAC信息,便可繼續后續的處理。

(3)出口檢查和封裝

對于目的IP為本機的,在出口處理模塊處上送到接口板CPU,再上送給主控板CPU。

對于目的地址非本機的,則在出接口處理模塊時,根據需要進行MTU檢查。如果報文長度不超過MTU,則將報文發送給接口卡。接口卡用待發送的數據幀內容計算幀檢驗序列FCS,然后對數據幀加封裝幀間隙、前導碼、幀開始界定符和FCS,并將數據幀轉換成光/電信號,再發送到出接口線路上。

如果報文長度超過MTU,則判斷報文頭DF位,如果DF位置0,則分片后再發送給接口卡;若DF置1,表示報文源端不允許該報文分片,所以將報文做CP-CAR檢查后上送接口板CPU,再上送主控板CPU,以便回應ICMP Too-Big消息給源端。

IPv6單播轉發流程

IPv6轉發流程與IPv4基本相同,不同點在于:

- 所查的表項不同,IPv4查FIBv4表,而IPv6查的是FIBv6表;IPv4查ARP表,而IPv6則是查鄰居表。

- IPv6 MTU檢查時,超過接口IPv6 MTU時不進行分片,而是上送CPU并返回ICMPv6 Too-big消息給源端(這符合IPv6協議標準)。

濟南博賽網絡技術有限公司是一家集IT產品銷售、高端IT技術服務、技術培訓為一體的綜合性高新技術企業,與全球多家IT企業建立了長期合作伙伴關系,在產品技術服務領域、高端IT認證培訓領域以及產品銷售方面都有深層次的合作。
路由器WAN口IP顯示為10、100、172開頭,網絡被電信運營商做了NAT轉發

1、表現形式:

路由器撥號獲得的公網IP變成了一個以100開頭的IP(或者是10、172開頭),而打開www.ip138.com查詢卻又是另外一個IP,將100開頭的這個IP到百度去查詢下則顯示所在區域為美國或顯示為本地局域網;

路由器上顯示的ip:

這都是被限制了的線路,別以為能上QQ、看視頻、開網頁就是正常的了,您的線路進行其他網絡應用的權利已經在您不知情的情況下被剝奪了。

正常的網絡應該是路由器里面的WAN口IP與www.ip138.com上面顯示的是一致的,不一致的話則說明該網絡被電信或者聯通做了NAT轉發,導致您獲取到了一個虛假的IP地址,無法用于外網訪問;您已經處于電信或者聯通構建的一個大型局域網里面了,不是真正的互聯網,動態域名也只能解析到運營商公用網關的那個IP地址。

2、產生原因:

在當前IPV4下,公網IP作為不可再生資源已經捉襟見肘,而上網用戶和上網設備越來越多,所以運營商已經無法給新用戶提供充足的IP地址資源了,因此運營商只能通過NAT轉發技術(網絡地址轉換)的方法,使部分用戶都處于一個大局域網內,公用少量的外網出口,從而緩解IP壓力,就好比小區一樣,您和同小區的所有居民公用一個小區大門。

3、解決方法

方法一:找電信(10000號)或者聯通(10010)投訴,報故障,要求隨機分配一個國內的動態公網ip,說現在路由器解析出來的ip不對,如果客服不懂,就要求轉技術,維護您的合法權益。

你可以這樣對電信或聯通的客服投訴說:原來我們上網后,可以設置外部來訪問我上網的路由器,可以做監控。現在不行了,經檢查發現是你們給了我一個虛擬的IP地址,現在嚴重影響到我們正常工作,請立刻幫我們恢復。如果你不能明白我的意思,請把我的投訴向上提交。

方法二:將服務器托管到IDC機房,IDC機房一般都有固定IP,而且網絡環境比較好,缺點是成本比較高,這個不建議。

方法三:購買管家婆專用NAT域名,將所有客戶端組建成一個局域網使用,費用880元/年

注:電信或聯通一般會說要花錢換成專線才有固定的公網ip,但建議不需要這樣做,只要他們在后臺調下線路就好了,如果您需要更好的網絡體現,才考慮更換網絡。

摘要:針對IP骨干網路由規模大、路徑多、重疊度高而易繞轉的問題,在分析傳統BGP路由選路機制缺陷的基礎上,采用SDN控制技術,提出了一種支持傳統路由設備和OpenFlow設備的路由反射優化方法,并給出了具體實現算法及部署方案。典型應用場景的測試結果表明,國際訪問時延平均縮短了30%,驗證了方法的有效性。

關鍵詞:軟件定義網絡;OpenFlow;邊界網關協議;OpenDaylight

中圖分類號:TN915.41

文獻標識碼:A

doi: 10.11959/j.issn.1000-0801.2016112

Route optimization method for BGP based on

SDN in large-scale IP network

TANG Hong, ZHU Huahong, CAO Weihua, ZOU Jie

Guangzhou Research Institute of China Telecom Co.,Ltd., Guangzhou 510630, China

Abstract: Aiming at rotation problem of route because of large-scale, multi-path, overlap in IP backbone networks, an optimization method for route reflection supported by both traditional routing devices and OpenFlow devices based on SDN controller technology was proposed. At first, the defects of traditional BGP routing mechanism was analyzed in detail. Then, a specific algorithm implementation and deployment scenarios were given. Test results of typical application scenarios demonstrate the validity of the proposed method. The average delay of international access reduces by 30%.

Key words: software defined networking, OpenFlow, border gateway protocol, OpenDaylight

1 引言

近年來,隨著產業變革和新技術的發展,互聯網迅速成為影響社會經濟發展、改善人民生活品質的重要基石。互聯網應用不斷豐富,寬帶用戶數高速增長,尤其是“寬帶中國”戰略進一步促進了寬帶網絡能力的躍升,網絡流量每年以60%的速度高速增長,給IP骨干網運營帶來巨大的挑戰。互聯網路由條目數不斷增加,但受限于傳統分布式的路由算法以及匱乏的整體網絡拓撲,大量的重疊路由導致流量繞轉、用戶感知下降等問題。因此,隨著骨干網規模的增加及流量的增長,如何優化路由選路策略成為一個重要而有價值的研究課題。

軟件定義網絡(software defined networking,SDN)技術[1]為骨干網路由優化提供了有效手段,但骨干網設備數量多、改造成本高,全網設備的升級替換較為困難,需要考慮兼容現有設備能力的解決方案。本文在分析現有路由反射器選路機制缺陷的基礎上,提出了一種基于源和目的地址的路由反射優化方法,并給出了骨干網部署方案。最后,在典型應用場景下進行測試,驗證了方法的有效性。

2 傳統路由反射器路由選路機制

邊界網關協議(border gateway protocol,BGP)[2]是一種自治系統間的動態路由發現協議,它的基本功能是在自治系統間自動交換無環路的路由信息,通過交換帶有自治系統號(AS)序列屬性的路徑可達信息,構造自治區域的拓撲圖,從而消除路由環路并實施用戶配置的路由策略。在大規模網絡中,通過部署路由反射器來減少對等體連接關系,1所示。路由反射器收到多個指向同一IP 地址前綴但下一跳不同的路由信息,路由反射器按照BGP路由選擇機制來確定最優路由,也就是選擇下一跳,然后轉發給客戶機和非客戶機。選路的規則如下[3]:

(1)如果next-hop無法到達,則不考慮;

(2)首選具有最大weight的路由(Cisco特有);

(3)如果路由具有相同weight,則使用本地優先級最高的路由;

(4)如果具有相同本地優先級,則首選來自本身路由器的BGP路由;

(5)如果沒有來自本身路由器上的BGP路由,則選擇AS長度最短的路由;

(6)如果所有的路由具有相同的AS長度,則選擇具有最低origin code的路由;

(7)如果origin code相同,則選擇MED值最小的路由;

(8)如果MED相同,則首選外部路由,而不是內部路由;

(9)如果仍然相同,選擇最近的IGP鄰居的路由;

(10)如果仍然相同,選路由器ID最小的路由;

(11)如果仍然相同,選cluster_list最短的路由。

因此,從客戶機角度看,經過路由反射器選擇后的下一跳可能不是最佳選擇——只是距離路由反射器最近的路由,而不是源和目的地址間距離最近的路由,導致次優路由的產生,2所示。

圖2中,上海客戶機和廣州客戶機1都有ICP的路由prefix 1,并將該條路由向路由反射器進行通告。路由反射器根據BGP選路規則進行選路,當(1)~(8)的屬性都相同,無法判斷時,根據規則(9)選擇距離自身IGP最近的上海客戶機作為下一跳反射給所有客戶機,導致廣州客戶機2接入的用戶經上海訪問prefix 1,造成路由繞轉。

3 基于源和目的地址的路由反射方法

3.1 基于源和目的地址的路由反射方法

傳統路由反射器的選路規則在(9)中是從路由反射器自身角度計算到下一跳的IGP最短距離,因此所有的客戶機都將收到同樣的路由,對于某些客戶機來說,該路由并非最優路徑。在很多情況下,可能導致流量的繞轉,造成時延增大,用戶感知下降。針對該問題,IETF也有相關草案,路由器支持add-path功能[4],反射器反射多條路由,由客戶機自行計算最佳路由。考慮目前互聯網路由數量超過50萬條[5],且波動較大,因此,對反射器的性能要求較高,客戶機需要接收的路由條目也較多,實際應用中實施困難。為此,對該條選路規則進行修改,路由反射器反射路由時,對不同的客戶機計算客戶機到下一跳的IGP最短距離,從而選擇源和目的地址間的路徑最短路由。基于OpenFlow技術[6],在網絡中部署OpenFlow控制器,對不同的設備下發不同的流表實現最優路徑的選擇。圖3為OpenFlow 1.3[7]的流表結構,對于相同的路由前綴,針對不同的客戶機計算其與各下一跳之間的IGP距離,選擇距離最小的下一跳作為最優路由下發流表。

然而,在骨干網中,仍然存在大量傳統路由設備,對OpenFlow的支持有限。為了在現網中實現該方法,依然需要考慮基于BGP對網絡設備進行控制。控制器主要包含狀態信息采集、數據中心、策略管理、網絡建模、統一計算以及指令適配模塊,具體4所示。

狀態信息采集模塊采集IP骨干網拓撲及網絡基礎設施和互聯網業務路由、業務流量流向和業務質量等信息數據,同時將這一系列的大數據入庫到數據中心;統一計算模塊從BGP路由表中選出上述選路規則中(1)~(8)全相同的路由條目,同時計算設備間IGP metric矩陣,并對不同的客戶機計算下一跳IGP最短的最優路徑;經路由仿真模塊驗證策略后,最后進行統一下發。主要算法實現如下所示。

步驟1 從當前BGP路由表查找選路規則(1)~(8)中路由屬性相同(如local-preference、MED、AS path length)的路由,即經過路由反射器可能產生非優選的路由。

步驟2 將步驟1中查到的路由數據復制到數據表BGP prefix中(先清空BGP prefix中已有數據,再寫入)。

步驟3 由于BGP路由更新頻繁,為了便于比較更新的路由,數據表prefixSnap用于存放以前采用步驟1獲取的路由。將BGP prefix表中的prefix與數據表prefixSnap中的prefix進行比較,如果相同,說明路由沒有更新,不做處理;如果不同,則將BGP prefix表中的prefix增量更新到數據表prefixSnap中。

步驟4 采集當前網絡中IGP拓撲信息,生成設備間IGP metric矩陣。

步驟5 獲取當前控制器的客戶機列表igpDevMetric,為了便于比較更新的拓撲,peerIpMetricSnap用于存放以前采集的客戶機列表。將igpDevMetric與peerIpMetricSnap進行比較,如果相同,說明拓撲沒有更新,不做處理;如果不同,則將igpDevMetric增量更新到peerIpMetricSnap中。

步驟6 獲取peerIpMetricSnap中的客戶機列表,針對每個客戶機,分別以該客戶機為根節點,基于IGP metric矩陣,采用SPF算法,對數據表prefixSnap中的相同prefix計算根節點到各下一跳的metric,將metric最小的下一跳作為該prefix的優選路由。

步驟7 無論是否需要進行配置下發,都將上述最優路由進行統計,并將其放入數據表WorkStatus中。

3.2 網絡部署方案

軟件定義網絡技術為傳統IP的優化提供了重要手段,然而,IP網絡全面實現軟件自主定義還有很長的過程。首先是技術的成熟度還不適合大規模現網運營的要求,如高可靠性、高安全性以及電信級SLA要求;其次,現網設備的技術支持能力也成為應用推廣的關鍵。考慮到骨干網仍然以傳統網絡設備為主及新技術引入的可能風險,網絡中的部署方案以增量疊加為主:在網絡中部署SDN控制器,支持OpenFlow和BGP,對傳統設備采用BGP的更新方式,對OpenFlow設備下發流表進行控制。其部署方案5所示。

控制器與路由反射器、相關的客戶機建立IBGP鄰居關系,并僅接收路由反射器反射的路由,同時獲取IGP metric矩陣信息。結合BGP路由數據庫及鏈路狀態數據庫,提取多路徑路由,計算源到路由接收段之間的SPF計算,針對不同的客戶機提取最優路徑,經校驗路由可達后分別對不同的客戶機反射相關路由,或者下發流表,具體算法見第3.1節中的描述。客戶機同時收到傳統路由反射器及控制器的路由,根據BGP選路信息可以進一步得到最佳路徑,放入路由表。該部署方案的好處在于,如果控制器發生故障或者計算錯誤,可以直接退出服務,原有IP地址仍然起效,不會對網絡運營造成巨大影響。為了更好地對全網路由進行維護和監控,系統提供了相關的展示功能,6所示。

路由表中的數據可以按“路由前綴”(prefix字段)、歸屬AS(destAS字段)、next-hop進行查詢及顯示,方便人員進行操作。

4 測試結果分析

SDN控制器主要是一個軟件實體,目前主流的開源控制器主要有NOX、POX、Ryu等。本文提出的控制器主要基于OpenDaylight開源平臺[8]實現,采用OSGI框架和Java開發,南向支持SNMP、BGP、OpenFlow等協議,北向提供RESTful接口[9],便于實現開放性。

測試的典型場景5所示,大量ICP會在多地接入骨干網,例如從上海、廣州兩地的ASBR均擁有ICP的路由,經骨干網路由反射器后只優選一條下一跳為上海節點的路由進行反射,導致廣州接入段的用戶需要繞轉到上海節點訪問ICP,造成時延增加,用戶體驗下降。尤其在國際網絡環境下,繞轉的距離將大幅度增加,從而裂化訪問質量。在骨干網(100多臺路由器,50萬多條互聯網路由)中部署SDN控制器,采用本文所提方法采集全網拓撲信息和路由數據,針對廣州客戶機2,計算出到達ICP的最優路徑為廣州客戶機1,于是對廣州客戶機2下發下一跳為廣州客戶機1的ICP路由,實現路由最優化,降低單向訪問時延約15 ms,7所示。進一步地,國際訪問時延平均可降低30%。測試結果表明,本文方法可實現路由端到端優化,提高互聯網訪問質量,驗證了方法的可行性。

5 結束語

SDN作為一種優化和簡化網絡操作的體系結構方式,具有更大的靈活性和敏捷性,為基礎互聯網設施提供了智能化選擇,成為當前網絡領域最熱門和最具發展前途的技術之一。本文針對BGP的缺陷導致IP骨干網路由不佳、流量繞轉問題,提出了一種基于SDN的路由反射方法,并給出了網絡規模部署方案。測試結果表明,新方法可減少流量繞轉情況,國際互聯網訪問質量可大幅度提升,證明了方法的有效性。然而,SDN作為一項系統工程,仍有大量的技術研發及實例化工作,后續將進一步完善控制器功能,實現網絡的高質量運營。

參考文獻:

[1]張朝昆, 崔勇, 唐翯祎, 等. 軟件定義網絡(SDN)研究進展[J]. 軟件學報, 2015, 26(1): 62-81.

ZHANG C K, CUI Y, TANG H Y, et al. State-of-the-art survey on software-defined networking (SDN)[J]. Journal of Software, 2015, 26(1): 62-81.

[2]李道豐, 王高才, 王志偉, 等. 標準模型下可證明安全的BGP路由屬性保護機制[J]. 計算機學報, 2015, 38(4): 859-871.

LI D F, WANG G C, WANG Z W, et al. Provable secure mechanism for BGP path protection in the standard model[J]. Chinese Journal of Computers, 2015, 38(4): 859-871.

[3]徐建鋒, 朱華虹. 改進BGP實現大型復雜IP網絡的負載均衡[J]. 電信科學, 2004, 20(10): 15-19.

XU J F, ZHU H H. Load sharing implementation in large complicated IP networks by improving BGP[J]. Telecommunications Science, 2004, 20(10): 15-19.

[4]SCUDDER J, RETANA A, WALTON D, et al. Advertisement of multiple paths in BGP[EB/OL]. [2012-12-30]. http://xueshu.baidu.com/s?wd=Advertisement+of+Multiple+Paths+in+BGP&rsv_bp=0&tn=SE_baiduxueshu_c1gjeupa&rsv_spt=3&ie=utf-8&f=8&rsv_sug2=1&sc_f_para=sc_tasktype%3D%7BfirstSimpleSearch%7D&rsv_n=2.

[5]辛喆. 一種基于SDN的IP骨干網流量調度方案的研究與實現[D]. 北京: 北京郵電大學, 2015.

XIN Z. Research and realization of IP backbone network traffic scheduling program based on OpenFlow[D]. Beijing: Beijing University of Posts and Telecommunications, 2015.

[6]左青云, 陳鳴, 趙廣松, 等. 基于OpenFlow的 SDN技術研究[J]. 軟件學報, 2013, 24(5): 1078-1097.

ZUO Q Y, CHEN M, ZHAO G S, et al. SDN technology research based on OpenFlow[J]. Journal of Software, 2013, 24(5): 1078-1097.

[7]徐秋伊. 基于SDN的路由映射算法的設計與實現[D]. 北京: 北京郵電大學, 2015.

XU Q Y. Design and realization of route mapping algorithm based on SDN[D]. Beijing: Beijing University of Posts and Telecommunications, 2015.

[8]AHMED S, MARTINI B, GHARBAOUI M, et al. Orchestration algorithms for network-assisted virtual machine migrations using OpenDaylight controller[C]// 2015 2nd International Conference on Electrical Information and Communication Technology (EICT), December 10-12, 2015, Khulna, Bangladesh. New Jersey: IEEE Press, 2015.

[9]WEI Z, LI L, MIN L, et al. REST API design patterns for SDN northbound API[C]// 2014 28th International Conference on Advanced Information Networking and Applications Workshops (WAINA), May 13-16, 2014, Victoria, BC, USA. New Jersey: IEEE Press, 2014: 358-365.

[作者簡介]

唐宏(1974-),男,中國電信股份有限公司廣州研究院高級工程師,主要研究方向為IP網絡技術、SDN技、移動互聯網技術。

朱華虹(1978-),女,中國電信股份有限公司廣州研究院高級工程師,主要研究方向為IP路由技術、SDN技術。

曹維華(1976-),女,中國電信股份有限公司廣州研究院高級工程師,主要研究方向為IP技術、移動互聯網技術。

鄒潔(1975-),女,中國電信股份有限公司廣州研究院高級工程師,主要研究方向為IP技術、SDN技術。


兩個路由器ip地址沖突怎么解決?

問:兩個路由器IP地址沖突怎么解決?家里路由器A、路由器B兩個無線路由器,路由器A連接寬帶能夠正常上網,把路由器B連接到路由器A上,總是提示IP地址沖突,請問這個問題應該怎么解決。

答:兩個路由器連接上網時,由于2個路由器的IP地址都是:192.168.1.1,這時候就會存在IP地址沖突的問題。解決辦法就是修改路由器B的IP地址的,如何路由器B的IP地址?和路由器A、B之間的連接有關系的,下面進行詳細的介紹。一、路由器A的LAN連接路由器B的WAN

如果是路由器A的LAN口(1、2、3、4)連接路由器B的WAN口,這時候路由器B的IP地址要修改為與路由器A的不在同一個網段。有用戶反映不明白,路由器B與路由器A的IP地址不在同一個網段是什么意思,下面舉例進行說明。

路由器A的LAN連接路由器B的WAN

如果路由器A的IP地址是:192.168.1.1或者192.168.0.1,那么路由器B的IP地址可以修改為:192.168.2.1,192.168.3.1,192.168.4.1,192.168.5.1等等。

修改方法:

在路由器B的設置界面,點擊“網絡參數”——>“LAN口設置”——>“IP地址”修改為:192.168.2.1——>點擊“保存”,之后會提示重啟路由器。

路由器B的IP地址修改為:192.168.2.1

溫馨提示:路由器B重啟之后,需要在瀏覽器中輸入修改后的IP(本例是:192.168.2.1)重新登錄到路由器B的設置界面的。二、路由器A的LAN連接路由器B的LAN

如果路由器A的LAN(1、2、3、4)口連接路由器B的LAN(1、2、3、4)口,這時候需要是路由器B的IP地址,與路由器A的IP地址在同一個網段,下面舉例說明。

路由器A的LAN連接路由器B的LAN

(1)、如果路由器A的IP地址是:192.168.1.1,則路由器B的IP地址可以修改為:192.168.1.2,192.168.1.3,192.168.1.4,192.168.1.5,最大可以修改為:192.168.1.254。

(2)、如果路由器A的IP地址是:192.168.0.1,則路由器B的IP地址可以修改為:192.168.0.2,192.168.0.3,192.168.0.4,192.168.0.5,最大可以修改為:192.168.0.254。

總結:也就是路由器A與路由器BIP地址的前3段要保持一致,最后一段不一樣。

修改方法

在路由器B的設置界面,點擊“網絡參數”——>“LAN口設置”——>“IP地址”修改為:192.168.1.200——>點擊“保存”,之后會提示重啟路由器。

路由器B的IP地址修改為:192.168.1.200

溫馨提示:路由器B重啟之后,需要在瀏覽器中輸入修改后的IP(本例是:192.168.1.200)重新登錄到路由器B的設置界面的。

以上就是兩個路由器IP地址沖突的解決辦法,大家應該先確定路由器A和路由器B之間的連接,然后在修改一下路由器B的IP地址即可。

在修改路由器B的IP地址的時候需要注意,路由器A的LAN連接路由器B的WAN時,路由器B的IP地址修改為與路由器A的IP地址不在同一個網段。路由器A的LAN連接路由器B的LAN時,路由器B的IP地址要修改為與路由器A的IP地址在同一個網段。

IP通信有三種典型的方式:

? 第一種是單播(unicast),是在一臺源IP主機和一臺目的IP主機之間進行。網絡上絕大部分的數據都是以單播的形式傳輸的,例如,電子郵件收發、網頁瀏覽、優酷/土豆等的視頻點播,都是采用單播實現的。單播屬于一對一(點對點)的通訊方式,同時只有一個發送者和一個接收者,中間的交換機和路由器對數據只進行轉發不進行復制。

? 第二種是廣播(broadcast),在一臺源IP主機和網絡中所有其它的IP主機之間進行。廣播屬于一對所有的通訊方式,無路由過程,中間的交換機和路由器對數據進行無條件的復制和轉發,所有主機都可以接收到(不管是否需要)。廣播不僅會將信息發送給不需要的主機而浪費帶寬,也可能由于路由回環引起嚴重的廣播風暴,所以廣播數據被限制在二層交換的局域網范圍內,禁止其穿過路由器,防止廣播數據影響大面積的主機。但IP網絡中,廣播也是不可少的,如客戶機通過DHCP自動獲得IP地址的過程,通過ARP請求獲得某IP地址對應的MAC地址的過程,都需要使用廣播。

? 第三種是組播(Multicast),在一臺源IP主機和網絡中多臺(一組)IP主機之間進行。組播是一對多(點對多點)的通訊方式,同時有一個發送者和多個接收者,中間的交換機和路由器根據接收者的需要,有選擇性地對數據進行復制和轉發。視頻/音頻會議、網絡電視、股票行情發布等,便是采用組播形式。

可能有讀者會有疑問,網頁瀏覽和網絡視頻點播,雖然不是所有人都想看,但觀看的人數不少,假設有1000個人想看同一個網頁/視頻,采用單播,服務器就得逐一傳送,重復1000次相同工作,那為什么采用單播不是組播呢?

那是因為,不是所有客戶都是同一時間想看同一內容,單播能夠針對每個客戶的及時響應;如果采用組播,用戶便有“過了這個村就沒那個點“的煩惱。視頻/音頻會議、股票行情發布,實時性很高,用戶在同一時間看同一內容,就很適合采用組播。

組播對于網絡而言還是很有魅力的,比如下圖所示場景,一目了然,組播比單播更能節約網絡資源,也極大減輕了服務器的負擔。

組播分發樹

上圖右側所示的網絡流量轉發路徑,像不像一棵倒長的樹?這棵樹稱為”組播分發樹“,樹根是服務器(稱為組播源);樹葉是客戶端(稱為組播接收者)。只是,組播分發樹有個特別之處,從根到葉子都是一樣粗,也就是說,網絡負載不會隨著組播接收者(客戶端)數量的增加而增加,這就是組播的魅力所在。

那么,IP網絡是如何將報文從組播源沿著組播分發樹發送給眾多接收者呢?如下圖中的Router-X收到組播數據后,該如何轉發呢?

按照傳統IP的尋址轉發機制,首先Router-X要到轉發表去匹配目的接收者的地址,找到對應的出接口。上圖中,組播的目的地址是組播接收者1、接收者2、……,接收者7;出接口是接口A、接口B。那么,Router-X在轉發組播數據時,是拿數據包去逐一匹配目的地址(組播接收者1、接收者2、……,接收者7)嗎?這顯然效率太低了。如果組播接收者的數量非常巨大,尤其是越靠近組播源的節點,其組播接收者越多。這么大量的組播接收者,如果都在組播轉發表項中都列出來,轉發時逐一去匹配,是不大現實的。為此,誕生了“組播組“這個詞。

組播組

“組播組“用來表示一群組播接收者,即組播接收者的集合。組播組并不代表網絡上的具體主機,僅僅代表相應的接收者組成的集合,只用于組播報文從組播源往接收者方向發送,是單向的。“組播組”如同電視頻道,組播源如同電視臺。電視臺向某頻道內發送數據;觀眾想看該頻道的節目,就打開電視機切換到該頻道即可。

組播組地址

為了讓組播數據在網絡中能被正確的尋址轉發,需要給“組播組”分配地址。

組播報文在三層(IP)層轉發時,使用的是D類IP地址,即224.0.0.0至239.255.255.255之間的IP地址。協議規定,其中的224.0.0.0至224.0.0.255為保留的組播地址,給本地網絡協議使用,比如224.0.0.5和224.0.0.6這兩個是OSPF協議使用的組播地址,路由器對收到的目的地址在此范圍內的報文,不管報文的TTL值是多少,都不能進行轉發。

當組播報文在以太二層網絡轉發時,需要用到組播MAC地址。組播MAC地址同單播MAC地址一樣,都是48bit,一般用6字節的十六進制來表示,如XX-XX-XX-XX-XX。IEEE 802.3規定,MAC的第0字節的末位(The last bit of the first byte)用于表示這個地址是組播/廣播地址還是單播地址,如果這一位是0,表示此MAC地址是單播地址,如果這位是1,表示此MAC地址是多播地址或廣播地址。其中,廣播地址只有一個,即FF-FF-FF-FF-FF-FF。到目前為止,大部分組播MAC地址都是以0x01-00-5E開頭,即01-00-5E-XX-XX-XX。

組播轉發表四要素

如下圖,按照傳統IP的尋址轉發機制,Router-X收到組播數據,到轉發表去匹配目的接收者的地址,找到對應的出接口。根據前面描述,組播轉發表的目的接收者的地址是“組播組地址”,出接口列表為{出接口A、出接口B}。如果有匹配的組播組地址,則將組播數據從出接口A和出接口B發送。這樣就完美了嗎?

其實不然。組播報文是發送給一組接收者的,如果轉發了不該轉發的數據,造成的影響很大,比如下圖中,正確的組播轉發應該是藍色箭頭所示的方向。如果由于某種原因,Router-X把組播數據錯發了一份給RouterY(入紅色箭頭標識的流量),那么就會多出好多流量,浪費大量網絡資源。如果存在路由環路,影響則更大。

為了能確保正確發送組播數據,組播必須嚴格沿著組播分發樹轉發,即,沿著遠離組播源的方向進行轉發。為了做到這點,組播技術引入了RPF(Reverse Path Forwarding,逆向路徑轉發)檢查機制,路由器轉發組播數據時,執行RPF檢查,確保組播數據流能夠沿組播轉發樹正確的傳輸,同時可以避免轉發路徑上環路的產生。RPF檢查的過程是:在接收到報文后,在單播轉發表中,查找到組播源地址的路由,如果該路由的出接口就是報文的入接口,則檢查通過,否則不通過。也就是說,組播轉發時,不僅要關心數據要到哪里去,還要關心它從哪里來。

但在實際組播數據轉發過程中,如果對每一份接收到的組播數據報文都通過查找單播路由表進行RPF檢查,會給路由器帶來很大負擔。因此,URPF檢查應該放在轉發表項生成之前進行,也就是路由器在生成路由表的過程中進行URPF檢查,得到“組播源”及“到組播源的接口”,并將這兩個信息也放入轉發表項。這樣,在轉發組播報文時,匹配組播報文的源地址是否為轉發表的“組播源”,報文的目的地址是否為轉發表的“組播組地址”,如果匹配上,則判斷接收報文的入接口是否就是“到組播源的接口”,如果是,表面數據是安全無誤的,可以轉發,如果接收報文的入接口不是“到組播源的接口”,則丟棄報文。

所以,組播轉發表有四要素:“組播源”、“組播組”、“到組播源的接口”、“出接口列表”,其中組播源和組播組作為匹配對象,是個組合,通常表示為(S,G)。其中,S是Source首字母,表示組播源;G是Group的首字母,表示組播組。如下圖的Router-X的組播轉發表項為:(10.1.1.1, 255.1.1.1), GE1/0/0, {GE2/0/0, GE3/0/0}。

IP組播轉發流程

IP組播轉發流程如下圖所示。需要關注的地方在于查表轉發環節(其他環節在本系列的前1~7帖中已描述,不再贅述)。

查表轉發流程:

步驟1 判斷報文的目的MAC是否為組播MAC,如果不是,則做單播轉發;是則繼續下一步驟。

步驟2 判斷報文的協議類型是否為IP,如果不是,則進入其他轉發流程;是則繼續下一步驟。

步驟3 檢查報文的長度、IP地址、Checksum字段是否正確,如果不正確,則丟棄報文,否則繼續下一步驟。

步驟4 判斷是否為組播IP地址,如果不是組播則丟棄報文,是則進入繼續下一步驟。

步驟5 檢查入接口是否使能IP組播,如果不是則丟棄報文,是則繼續下一步驟。

步驟6 在組播FIB(MFIB)表(如果是公網的報文,查公網MFIB表,如果是VPN報文,則查對應VPN的MFIB表)查找是否存在匹配的(S,G)表項:

? 如果存在匹配的(S,G)表項,并且接收該報文的接口與轉發表項的入接口一致,則繼續步驟7的處理。特殊地,對于Register狀態的出接口,表明本設備為源DR但還沒收到RP的Register-Stop消息,這時需要將收到的組播上送CPU(的組播協議模塊),將組播報文封裝在注冊消息發送給RP。

? 如果存在匹配的(S,G)表項,但入接口不一致,將報文上送CPU處理。CPU進行RPF檢查:對照單播路由表,若到組播源的接口與(S,G)表項的入接口一致,則說明(S,G)表項正確,報文來源路徑錯誤,將報文丟棄;否則說明(S,G)表項已過時,于是根據單播路由表更新(S,G)表項中的入接口,并刷新轉發表。然后再檢查收到報文的接口是否就是更新后的接口,是則繼續步驟7的處理,否則將其丟棄。

? 如果不存在匹配的(S,G)表項,有兩種場景:

一種場景是本路由器是源DR,收到組播源發送的第1個組播報文,此時還沒有(S,G)表項,需要將報文上送CPU處理,將報文封裝成Register消息發給RP,同時CPU下發出接口為空的(S,G)表項,等收到RP的注冊報文再添加出接口。如果注冊失敗,則為了減少上報對CPU的負擔,后續的組播數據流就會進行轉發,但是因(S,G)表項出接口為空,實際上是把報文丟棄了。

另一種場景是組播組的第1個報文從RP向接收者方向發送時,由于共享樹上(除RP外)的路由器只有(*,G)表項,沒有(S,G)表項,此時收到的組播報文也上送CPU處理,CPU生成(S,G)表項,其出接口列表從(*,G)表項拷貝。接著CPU對報文進行RPF檢查,如果檢查失敗則丟棄報文,否則繼續步驟7的處理。

步驟7 檢查匹配的(S,G)表項是否有對應的組成員,即檢查對應的出接口列表是否為空,如果為空,則報文丟棄;,否則繼續下一步驟。

步驟8 檢查報文的入接口與(S,G)表項的入接口是否一致,如果不一致則丟棄報文,否則繼續下一步驟。

步驟9 進行組播復制等后續處理,如上行TM進行板間組播復制,下行TM進行板內組播復制。詳細處理過程在本系列的前1~7帖中已描述,不再贅述,如您遺忘了,快戳下方的鏈接復習一下吧:)

本系列漫談一個報文的路由器之旅,您將看到:

0、開篇引言(轉發全景圖)(點擊可打開鏈接)

1、交換與尋址轉發(點擊可打開鏈接)

2、報文收發、解析與封裝(點擊可打開鏈接)

3、流量控制(反壓、隊列、限速) (點擊可打開鏈接)

4、QoS基礎(上篇) (點擊可打開鏈接)

5、QoS基礎(下篇) (點擊可打開鏈接)

6、QoS處理流程 (點擊可打開鏈接)

7、轉發層面的其他處理(組播復制、NAT、包過濾、策略路由等)(點擊可打開鏈接)

8、協議報文之旅(點擊可打開鏈接)

9、IP單播轉發流程(點擊可打開鏈接)

10、L2橋接轉發流程(點擊可打開鏈接)

11、IP組播轉發流程(本貼)

12、MPLS轉發流程

迫不及待想看到全部的技術帖么?莫急莫急,猛戳閱讀原文,開啟您個人的路由器探秘之旅吧!

【NE探秘】一個報文的路由器之旅-(8)IP單播轉發流程【原創】

嗨,親愛的朋友們,NE探秘系列技術帖又與您相約了,有沒有很期待?

本系列的前1~7帖介紹了一個報文在轉發層面的處理流程,該流程中最重要的處理就是轉發流程。不同業務有不同的轉發流程,本系列后面幾帖將分別介紹各類業務的轉發流程,本帖介紹IP單播的轉發流程,包括IPv4單播和IPv6單播。

一個報文的路由器之旅

——(8)IP單播轉發流程

IP單播轉發流程

端到端的IPv4單播轉發過程

以大家熟悉的以太幀為例,先來回顧下IP單播端到端的轉發流程。

下圖是個最簡單的IP轉發場景,某局域網的主機A發送報文給另一局域網的主機B,中間經過一臺路由器,那么這臺路由器就是PC-A的網關。

由主機PC-A向主機PC-B發送IP報文,那么該報文的目的IP地址就是PC-B的IP地址,源IP地址就是主機PC-A的IP地址,目標MAC地址就是其網關路由器Port1的MAC地址,源MAC地址就是PC-A的MAC地址。

路由器轉發過程:

1、路由器收到這個報文,發現其目的MAC為本機Port1端口的,表明需要本機來進行進一步解析(如果目的MAC不是本機,表明直接進行二層轉發,不需要再解析幀的其他內容了);

2、路由器進一步解析報文,得知該幀所承載的協議類型為IPv4(協議類型值=0x800),即需要進行IPv4轉發;

3、查IP轉發表(FIB表),得知該報文并不是發給自己的,而是需要送往出端口Port2,因此,路由器不再繼續分析IP頭后面的內容。

4、路由器將目的MAC更換成PC-B的MAC,將源MAC更換為出接口Port2的MAC,并將報文從Port2發送出去。

路由器的IPv4轉發全流程

IPv4轉發全流程如下圖所示。需要關注的地方在于查表轉發和獲取封裝信息兩個環節(其他環節在本系列的前1~6貼中已描述,不再贅述)。

1)查表轉發詳細流程

流程說明:

步驟1、判斷報文的目的MAC是否等于本機MAC,如果不是,則做L2轉發;是則繼續下一步驟。

步驟2、判斷報文的協議類型是否為IPv4(例如以太幀,eth_type = 0x800),如果不是,則進入其他轉發流程;是則繼續下一步驟。

步驟3、檢查報文的長度、IP地址、Checksum字段是否正確,如果不正確,則丟棄報文,否則繼續下一步驟。

步驟4、判斷目的IP地址是否為單播地址,如果不是單播則其他轉發處理,是則進入繼續下一步驟。

步驟5、用目的IP地址查FIB表得到的下一跳IP、出接口等信息(如果是公網的報文,查公網FIB表,如果是VPN報文,則查對應VPN的FIB表)。

如果是負載分擔,會查到多份這樣的信息,于是根據負載分擔哈希算法選取其中的一份。

如果是FRR(FastReroute)狀態,則會根據出接口狀態做主備路由選擇,如果出接口正常工作,則會選擇主路由;否則選擇FRR備份路由。

如果出接口為Trunk接口,會再根據Trunk負載分擔哈希算法,選擇Trunk成員口中的其中一個作為最終的出接口。

步驟6、如果使能了URPF檢查,則用源IP地址查FIB表,如果命中,對于松散的URPF檢查只要出接口為真實的外部接口則檢查通過(對于出接口為CPU、NULL接口、TE接口、IPv4 Tunnel接口則松散的URPF檢查不通過);對應嚴格的URPF檢查,用報文的入端口信息與源IP地址查FIB表得到的出口信息進行比較,相等則通過,不等則丟棄(對于入接口為VLAN子接口,出接口為入端口信息,同時出接口VLANID也要等于入口的VLANID,則檢查才會通過)。

說明:

URPF(Unicast Reverse Path Forwarding),是一種單播逆向路由查找技術,用來預防偽造源地址攻擊的手段。之所以稱為逆向,是針對正常的路由查找而言的。一般情況下路由器接收到報文,獲取報文的目的地址,針對目的地址查找路由。如果找到了進行正常的轉發,否則丟棄該報文。

URPF的實現原理:通過獲取報文的源地址和入接口,以源地址為目的地址,在轉發表中查找源地址對應的接口是否與入接口匹配。如果不匹配認為源地址是偽裝的,丟棄該報文。通過這種方式,能有效地防范網絡中通過修改源地址而進行的惡意攻擊行為的發生。

然而,有的場景(例如負載分擔)同一目的地址在路由表中存在有多條路由表項,同一目的IP地址的報文發送的接口不唯一,即非對稱路由。此時若應用URPF時,報文會異常丟棄。因此,URPF出現了嚴格模式和松散模式。嚴格模式要求接口匹配;而松散模式,不檢查接口是否匹配,只要路由表項中存在針對源地址的路由,數據報文就通過URPF檢查。

步驟7、如果目的IP為非本機IP,則報文頭的TTL減1,并重新計算并修改Checksum值,繼續執行后續的CAR等公共處理。如果目的IP為本機(查表發現下一跳為127.0.0.1),則直接送入上行TM部件。

之后的處理中,交換網根據出接口信息(出接口信息包含了目的單板和目的出接口)信息將報文發送到正確的下行單板。

2)獲取封裝信息

到了下行,下行包轉發引擎PFE用下一跳IP或目的IP和VLANID查ARP表項,獲取目的MAC信息,根據出接口信息查出接口表項獲取端口MAC。因為,路由器需要將報文的目的MAC更換成下一跳設備的MAC,將源MAC更換成自己出接口的MAC。

如果查ARP表項沒有命中,則啟動ARP學習功能,過程如下:

1) 發送ARP請求報文,此報文的目的MAC為廣播地址,目的地址為下一跳IP,源IP為自己的IP。

2)由于是MAC廣播報文,在局域網內的設備或主機都能收到,因此下一跳設備也能收到。于是下一跳設備解析報文發現目的IP為自己,便發送ARP回應報文,里面攜帶了自己的MAC地址。

3)路由器收到回應報文,得到下一跳的MAC地址,添加到ARP表項中。

通過ARP學習后,重新查ARP表項獲取下一跳MAC信息,便可繼續后續的處理。

3)出口檢查和封裝

對于目的IP為本機的,在出口處理模塊處上送到接口板CPU,再上送給主控板CPU。

對于目的地址非本機的,則在出接口處理模塊時,根據需要進行MTU檢查。如果報文長度不超過MTU,則將報文發送給接口卡。接口卡用待發送的數據幀內容計算幀檢驗序列FCS,然后對數據幀加封裝幀間隙、前導碼、幀開始界定符和FCS,并將數據幀轉換成光/電信號,再發送到出接口線路上。

如果報文長度超過MTU,則判斷報文頭DF位,如果DF位置0,則分片后再發送給接口卡;若DF置1,表示報文源端不允許該報文分片,所以將報文做CP-CAR檢查后上送接口板CPU,再上送主控板CPU,以便回應ICMP Too-Big消息給源端。

IPv6單播轉發流程

IPv6轉發流程與IPv4基本相同,不同點在于:

- 所查的表項不同,IPv4查FIBv4表,而IPv6查的是FIBv6表;IPv4查ARP表,而IPv6則是查鄰居表。

- IPv6 MTU檢查時,超過接口IPv6 MTU時不進行分片,而是上送CPU并返回ICMPv6 Too-big消息給源端(這符合IPv6協議標準)。

本系列漫談一個報文的路由器之旅,您將看到:

0、開篇引言(轉發全景圖)(點擊可打開鏈接)

1、交換與尋址轉發(點擊可打開鏈接)

2、報文收發、解析與封裝(點擊可打開鏈接)

3、流量控制(反壓、隊列、限速)(點擊可打開鏈接)

4、QoS基礎(上篇)(點擊可打開鏈接)

5、QoS基礎(下篇)(點擊可打開鏈接)

6、QoS處理流程(點擊可打開鏈接)

7、轉發層面的其他處理(組播復制、NAT、包過濾、策略路由等)(點擊可打開鏈接)

8、協議報文之旅(點擊可打開鏈接)

9、IP單播轉發流程(本帖)

10、L2橋接轉發流程

11、IP組播轉發流程

12、MPLS轉發流程

迫不及待想看到全部的技術帖么?莫急莫急,猛戳閱讀原文,開啟您個人的路由器探秘之旅吧!

發表評論

您必須才能發表評論!