Netzwerktechnologien ermöglichen die sichere und effiziente Datenübertragung zwischen IT-Systemen. Ein zentrales Konzept ist das Routing, das den Datenpfad von Datenpaketen durch das Netzwerk bestimmt. Router treffen Routing-Entscheidungen auf Grundlage verschiedener Kriterien wie Netzwerktopologie, Verfügbarkeit von Verbindungen und Routing-Protokoll. Router mit lokaler Sicht kennen nur ihre direkten Nachbarn und entscheiden den nächsten Hop individuell. Demgegenüber haben Router mit globaler Sicht eine vollständige Netzwerktopologie und können optimale Pfade berechnen. Pfade können statisch (von Anfang an festgelegt, z.B. Source Routing) oder dynamisch (Hop-by-Hop abhängig) sein.
IP-basiertes Hop-by-Hop Routing
Beim IP-basierten Hop-by-Hop-Routing werden IP-Pakete schrittweise (Hop-by-Hop) über einen Pfad durch ein oder mehrere Netzwerke bis zur Ziel-IP-Adresse geschickt. Jeder Router (Hop) entscheidet dabei individuell, wie das Paket weitergeleitet wird. Diese Entscheidung basiert auf den Routing-Tabellen des jeweiligen Routers, die entweder statisch oder dynamisch sein können.
Funktionsweise des IP-basierten Hop-by-Hop Routings
Der Routing-Prozess beim IP-basierten Hop-by-Hop-Routing erfolgt in mehreren Schritten:
Erstellung des Pakets: Das sendende Gerät kapselt die zu übertragenden Daten mit einem HTTP-Header auf der Anwendungsebene, einem UDP- oder TCP-Header auf der Transportebene und einem IP-Header auf der Netzwerkebene. Falls das Zielgerät in einem anderen Netzwerk liegt, wird zusätzlich ein Ethernet-Header hinzugefügt.
Bestimmung des nächsten Hops: Das Gerät überprüft die Ziel-IP-Adresse, um zu bestimmen, wohin das Paket gesendet werden soll. Falls die MAC-Adresse des nächsten Hops unbekannt ist, führt das Gerät ein Address Resolution Protocol-(ARP)-Lookup durch.
Weiterleitung zum ersten Router: Das Paket wird über das lokale Netzwerk an den ersten Router gesendet.
Verarbeitung durch den Router: Der Router prüft den Ethernet-Header, entfernt ihn und analysiert den IP-Header. Anschließend sucht der Router mithilfe des Longest Prefix Match (LPM) in der Routing-Tabelle nach dem besten nächsten Hop.
Weiterleitung durch den Router: Der Router erstellt einen neuen Ethernet-Header und sendet das Paket weiter. Dieser Vorgang wiederholt sich an jedem Router entlang des Pfads, bis das Paket das Ziel erreicht.
Zustellung an das Zielgerät: Das Zielgerät empfängt das Paket, prüft die Header und leitet die Daten an die Anwendung weiter.
Herausforderungen beim IP-basierten Hop-by-Hop-Routing
Beim IP-basierten Hop-by-Hop-Routing können verschiedene Probleme auftreten:
Jeder Router prüft den nächsten Hop für jedes Paket erneut, was ineffizient ist.
Große Routing-Tabellen beanspruchen Speicher und beeinträchtigen die Leistung.
Das Routing ist protokollabhängig, verschiedene Protokolle wie IPv4 und IPv6 erschweren die Kommunikation.
Automatische Pfadanpassungen für Quality of Service (QoS) fehlen.
Um diesen Herausforderungen zu begegnen, wurde Multi-Protocol Label Switching (MPLS) entwickelt, das eine effizientere Datenweiterleitung ermöglicht.
Multi-Protocol Label Switching (MPLS)
Beim MPLS wird ein Tunnel gebildet, in dem alle Header über Ethernet eingekapselt sind. Durch diesen Tunnel folgen alle Datenpakete der gleichen Forwarding Equivalence Class (FEC) demselben Label-Switched Path (LSP). Ein LSP ist ein vordefinierter, unidirektionaler Pfad durch das Netzwerk, der von einem Eingangsrouter bis zu einem Ausgangsrouter verläuft. Für die Weiterleitung zum nächsten Hop werden ausschließlich MPLS-Labels verwendet, die in einem Label Stack gespeichert sind und den LSP definieren. Der oberste Eintrag im Stack bestimmt den nächsten Hop.
Funktionsweise von MPLS
Der Routing-Prozess mit MPLS am Beispiel eines IP-Pakets:
Paketerstellung: Das sendende Gerät kapselt die Daten, fügt den Anwendungs-, Transport-, IP- und Ethernet-Header hinzu und versendet es weiter an den MPLS Label Edge Router (LER).
Paketverarbeitung und Label-Zuweisung: Ein MPLS LER bestimmt die zugehörige FEC und fügt ein oder mehrere MPLS-Labels hinzu.
Weiterleitung innerhalb des MPLS-Netzwerks: Router verwenden drei Optionen:
SWAP: Ersetzt das erste Label mit einem neuen.
PUSH: Fügt ein weiteres Label hinzu.
POP: Entfernt das oberste Label.
Austritt aus dem MPLS-Netzwerk: Der Ziel-LER entfernt das letzte Label und leitet das Paket basierend auf dem IP-Protokoll weiter.
Herausforderungen beim MPLS
MPLS verbessert das Routing von Pakten, bringt aber auch Herausforderungen mit sich, wie z.B. die Label Distribution. Damit Pakete korrekt weitergeleitet werden, müssen die Router die Labels kennen und verwalten. Dies geschieht entweder manuell oder über Signaling-Protokolle, die Labels automatisch zuweisen:
Label Distribution Protocol (LDP): Weist Labels basierend auf Routing-Tabellen zu.
Problem: Die Label-Verteilung erzeugt zusätzlichen Netzwerkverkehr.
Lösung: Verwendung von Source-Routing, bei dem die Quelle den gesamten Pfad bestimmt und in den Header einfügt.
Segment Routing
Segment Routing (SR) ist eine source-basierte Routing-Technik zur Vereinfachung der Pfadsteuerung. Die Pfadinformationen werden im Paket-Header durch den Eingangsrouter festgelegt, sodass keine Signaling-Protokolle benötigt werden. Während beim Loose Source Routing nur bestimmte Segmente definiert sind, ist beim Strict Routing jeder einzelne Link genau festgelegt. Ein Pfad kann eine Kombination aus Loose und Strict Source Routing verwenden.
Das Segment Routing kann in zwei Varianten unterteilt werden:
Segment Routing mit MPLS (SR-MPLS): Nutzt MPLS-Labels zur Pfadsteuerung.
IPv6 Segment Routing (SRv6): Nutzt IPv6-Adressen als Segmente.
Funktionsweise des Segment Routings mit MPLS
Der Routing-Prozess nach Segment Routing am Beispiel eines IP-Pakets:
Erstellung des Pakets: Das Gerät kapselt die Daten und fügt die benötigten Header hinzu.
Eingang in die SR-Domain: Ein Paket erreicht einen SR-Eingangsknoten, derüber Routing-Richtlinien entscheidet, ob es einen SR-Pfad durchlaufen soll.
Weiterleitung zu den Segmenten: Das Gerät fügt ein oder mehrere Segment-IDs (SID) und Adjacency-IDs (AID) hinzu. Die IDs bestimmen die Weiterleitung. Die AID leitet das Paket über eine bestimmte Verbindung weiter (Strict). Die SID bestimmt den Pfad basierend auf der definierten Zieladresse und den jeweiligen Konfigurationen, wobei Load-Balancing-Techniken eingesetzt werden können (Loose).
Durchlaufen der SR-Pfade: Das Paket folgt einem SR-Tunnel. Jeder Segmentendpunkt prüft das oberste Label und entscheidet entsprechend der zuvor definierten Routing-Strategie über die Weiterleitung des Pakets.
Ausstieg aus dem SR-Pfad: Das Paket erreicht den SR-Ausgangsknoten, der den SR-Header entfernt und das Paket weiterleitet.
Vergleich von IP-basiertem Hop-by-Hop Routing, MPLS und Segment Routing: Effizienz und Leistung im Überblick
Die verschiedenen Routing-Technologien können anhand der Kriterien Routing-Ansatz, Flexibilität, QoS-Unterstützung, Skalierbarkeit und Komplexität unterschieden werden.
Steffen entwickelt und optimiert Kommunikationsnetze mit einem klaren Fokus auf Leistung, Skalierbarkeit und Zukunftssicherheit. Er plant innovative Netzdesigns, treibt technische Lösungen voran und stellt sicher, dass Infrastruktur und Unternehmen nachhaltig wachsen. Mit seinem Team meistert er Herausforderungen mit Fachwissen, Strategie und einer guten Portion Humor.
Was ist der BSI IT-Grundschutz? Der BSI IT-Grundschutz ist eine bewährte Methodik, die Unternehmen und Organisationen dabei unterstützt, ihre Daten, Systeme und Informationen abzusichern und ein effektives Managementsystem für Informationssicherheit (ISMS) aufzubauen. Entwickelt vom Bundesamt für Sicherheit in der Informationstechnik (BSI), bietet der IT-Grundschutz seit 1994 eine strukturierte Vorgehensweise zur Identifikation, Bewertung und Reduzierung von […]
Warum ist Informationssicherheit wichtig? In einer zunehmend digitalen Welt sind Unternehmensinformationen einer Vielzahl von Bedrohungen ausgesetzt. Manipulation, unbefugte Weitergabe vertraulicher Informationen oder technische Ausfälle können Geschäftsprozesse erheblich beeinträchtigen. Die Informationssicherheit umfasst alle Maßnahmen, die den Schutz sensibler Daten gewährleisten. Was ist Informationssicherheit? Informationssicherheit dient dem Schutz aller im Unternehmen genutzten Informationen – unabhängig davon, ob […]
Was sind hochsichere Netze? Hochsichere Telekommunikationsnetze sind speziell geschützte Kommunikationsinfrastrukturen, die für die Übertragung sensibler Informationen erforderlich sind. Sie bieten höchste Sicherheitsstandards und Schutzmechanismen, um die Vertraulichkeit, Integrität und Verfügbarkeit der Kommunikation sicherzustellen. Warum sind hochsichere Netze wichtig? Nutzer hochsicherer Netze sind insbesondere Institutionen mit hoheitlichen Aufgaben, wie Regierungseinrichtungen, Sicherheitsbehörden und kritische Infrastrukturen. Diese Organisationen […]
Die Bedeutung hochsicherer Netze für KRITIS-Betreiber Kritische Infrastrukturen (KRITIS) wie Energieversorgung, Telekommunikation und Gesundheitswesen sind essenziell für die öffentliche Ordnung und das tägliche Leben. In Zeiten zunehmender Cyberbedrohungen ist die Absicherung dieser Infrastrukturen von höchster Priorität. Hochsichere Kommunikationsnetze spielen eine zentrale Rolle, um die Widerstandsfähigkeit dieser Systeme zu gewährleisten. 1. Die Bundesregierung hat die Bedrohungslage […]
