Ulepszenia RIPv2

Ulepszenia w RIPv2: wsparcie VLSM, uwierzytelnianie i aktualizacje multicast.

Wprowadzenie: Niezbędna Aktualizacja

Oryginalny Protokół Informacji o Trasach (RIPv1) był pionierem w dziedzinie routingu dynamicznego, pozwalając routerom na automatyczne uczenie się topologii sieci. Jednak w miarę jak sieci stawały się coraz bardziej złożone pod koniec lat 80. i na początku 90., poważne ograniczenia RIPv1 stały się krytycznym wąskim gardłem. Był prosty, ale zbyt prosty. Brakowało mu inteligencji do zrozumienia nowoczesnych projektów sieci i zabezpieczeń, by można było mu zaufać.

RIP wersja 2 (RIPv2), standaryzowany w 1994 roku, nie był rewolucyjnym nowym protokołem, ale raczej kluczową ewolucją. Został zaprojektowany, aby rozwiązać najbardziej rażące wady swojego poprzednika, zachowując ten sam podstawowy algorytm wektora-odległości i metrykę opartą na liczbie przeskoków. RIPv2 wziął podstawową ideę routingu przez plotki i uczynił go znacznie inteligentniejszym, wydajniejszym i bezpieczniejszym.

Ta strona zagłębia się w trzy fundamentalne ulepszenia, które przekształciły RIP z historycznego artefaktu w działający, choć wciąż prosty, protokół routingu: wsparcie dla routingu bezklasowego (VLSM), użycie wydajnych aktualizacji multicast oraz dodanie mechanizmu uwierzytelniania.

Rewolucja Bezklasowa: Wsparcie dla VLSM i CIDR

Najważniejszym ulepszeniem w RIPv2 było jego przejście z protokołu klasowego na bezklasowy. Ta zmiana była niezbędna dla przetrwania i skalowania samego internetu.

Problem z Routingiem Klasowym (Wada RIPv1)

RIPv1 działał w świecie . Jego aktualizacje routingowe nie zawierały informacji o masce podsieci. Gdy router otrzymywał aktualizację, musiał odgadnąć maskę na podstawie pierwszego oktetu adresu sieci. To tworzyło dwa ogromne problemy:

Niewydajne Wykorzystanie Adresów: Nie obsługiwał Masek Podsieci o Zmiennej Długości (VLSM). Jeśli potrzebowałeś sieci dla zaledwie 20 komputerów, musiałeś przydzielić całą sieć klasy C, marnując ponad 200 adresów. To było jak posiadanie tylko jednego rozmiaru pudełka (dużego) do wysyłania wszystkiego, od długopisu po lodówkę.
Sieci Nieciągłe: Nie radził sobie z projektami sieci, w których podsieci tej samej dużej sieci były oddzielone inną dużą siecią, co prowadziło do błędów routingu i nieprawidłowych sumaryzacji.

Rozwiązanie RIPv2: Dołączenie Maski Podsieci

RIPv2 rozwiązał ten problem w najprostszy możliwy sposób: dodał pole maski podsieci do swoich komunikatów aktualizacji routingu. Ta mała zmiana miała głęboki wpływ. Dzięki jawnemu dołączaniu maski podsieci do każdego adresu sieciowego, routery nie musiały już zgadywać. Znały dokładny rozmiar każdej ogłaszanej podsieci.

Przykład: Sieć z VLSM

Rozważmy firmę z biurami w Warszawie i Krakowie oraz łączem centralnym między nimi. Sieć używa podsieci z głównej sieci $172.16.0.0$ .

Biuro w Warszawie: Potrzebuje około 100 hostów, więc przypisano mu $172.16.1.0/25$ .
Biuro w Krakowie: Potrzebuje około 50 hostów, więc przypisano mu $172.16.2.0/26$ .
Łącze WAN: Łącze punkt-punkt między routerami potrzebuje tylko 2 adresów, więc przypisano mu $172.16.10.0/30$ .

Jak RIPv1 zawodzi:

Gdy Waw_Router wysyła aktualizację do Link_Router, wysyła tylko sieć $172.16.1.0$ . Ponieważ $172.16.0.0$ to adres klasy B, Link_Router zakłada, że maska to $/16$ ( $255.255.0.0$ ). Następnie próbuje wysłać własną aktualizację do Krk_Router i dokonuje sumaryzacji trasy. Ta nieprawidłowa sumaryzacja psuje routing, ponieważ szczegółowe informacje o podsieciach $/25$ , $/26$ i $/30$ są tracone. Komunikacja zawodzi.

Jak RIPv2 odnosi sukces:

Waw_Router wysyła aktualizację do Link_Router zawierającą parę: (Sieć: $172.16.1.0$ , Maska Podsieci: $255.255.255.128$ ). Link_Router zna teraz dokładny prefiks $172.16.1.0/25$ . Może następnie poprawnie ogłosić tę precyzyjną trasę do Krk_Router. Wszystkie trasy są poznawane z poprawnymi maskami, a sieć działa doskonale. Ta zdolność jest znana jako routing bezklasowy.

Wydajna Komunikacja: Aktualizacje Multicast

Drugie duże ulepszenie w RIPv2 dotyczyło nieefektywnego sposobu komunikacji RIPv1.

Problem z Rozgłoszeniami (Metoda RIPv1)

RIPv1 wysyłał swoje aktualizacje jako rozgłoszenia na adres $255.255.255.255$ . To jak krzyczenie w zatłoczonym pokoju. Każde urządzenie w sieci: każdy komputer, drukarka i smartfon, musiało przerwać to, co robi, aby posłuchać komunikatu. Ponieważ urządzenia te nie uruchamiają protokołu routingu, przetwarzały pakiet aż do warstwy sieciowej i transportowej, zanim ostatecznie zdały sobie sprawę, że nie jest on dla nich, i go odrzuciły. Marnowało to cykle procesora na każdym urządzeniu niebędącym routerem i generowało niepotrzebny szum w sieci.

Rozwiązanie RIPv2: Rozmowa z Grupą

RIPv2 zastąpił nieefektywne rozgłoszenia inteligentnymi aktualizacjami . Zamiast krzyczeć do wszystkich, RIPv2 wysyła swoje aktualizacje na zarezerwowany adres multicastowy $224.0.0.9$ .

Tylko routery z uruchomionym RIPv2 są skonfigurowane do nasłuchiwania pakietów wysyłanych na ten konkretny adres grupowy. Wszystkie inne urządzenia w sieci, takie jak komputery PC i serwery, nie są częścią tej grupy i mogą ignorować pakiety na znacznie niższym poziomie (w warstwie łącza danych). Daje to w rezultacie:

Zmniejszone obciążenie hostów niebędących routerami.
Mniej niepotrzebnego ruchu w sieci lokalnej.
Bardziej wydajne i profesjonalne działanie sieci.

Zabezpieczanie Rozmowy: Uwierzytelnianie

Jedną z najgroźniejszych wad RIPv1 był całkowity brak bezpieczeństwa. Każdy, kto miał dostęp do sieci lokalnej, mógł potencjalnie wprowadzić fałszywe trasy, co prowadziło do naruszeń bezpieczeństwa lub awarii sieci.

Problem z Niezabezpieczonymi Aktualizacjami (Wada RIPv1)

Ponieważ aktualizacje RIPv1 nie były uwierzytelniane, złośliwy aktor mógł podłączyć laptopa do sieci, wygenerować fałszywe pakiety RIP i je rozgłosić. Mógł na przykład ogłosić fałszywą trasę domyślną z bardzo niską metryką. Inne routery uwierzyłyby w to fałszywe ogłoszenie i zaczęłyby wysyłać ruch wychodzący do laptopa atakującego zamiast do prawdziwej bramy internetowej, umożliwiając atak typu man-in-the-middle.

Rozwiązanie RIPv2: Weryfikacja Źródła

RIPv2 wprowadził mechanizm uwierzytelniania w celu weryfikacji, czy aktualizacje routingu pochodzą z legalnego, zaufanego źródła. Obsługuje dwie metody:

Uwierzytelnianie Otwartym Tekstem:
Jest to prostsza metoda. Administratorzy konfigurują wspólne hasło, zwane kluczem, na wszystkich routerach. Ten klucz jest następnie dołączany do każdego pakietu aktualizacji RIPv2. Odbierający router sprawdza, czy klucz w pakiecie zgadza się z jego własnym skonfigurowanym kluczem. Chociaż zapobiega to prostym atakom z nieautoryzowanych urządzeń, nie jest to bardzo bezpieczne, ponieważ hasło jest przesyłane przez sieć w formie jawnej i może zostać przechwycone i odczytane przez sniffer pakietów.
Uwierzytelnianie MD5:
Jest to znacznie bezpieczniejsza metoda. Zamiast wysyłać hasło, routery używają wspólnego tajnego klucza do generowania (przy użyciu algorytmu MD5) z treści komunikatu. Ten skrót, wraz z ID klucza i numerem sekwencyjnym, jest wysyłany z pakietem. Sam tajny klucz nigdy nie jest transmitowany. Odbierający router, który zna ten sam tajny klucz, wykonuje identyczne obliczenie skrótu na otrzymanej wiadomości. Jeśli jego obliczony skrót zgadza się z tym w pakiecie, dowodzi to dwóch rzeczy: wiadomość pochodzi z zaufanego źródła, które zna klucz (autentyczność), i wiadomość nie została zmieniona w tranzycie (integralność).

Format Pakietu RIPv2

Zmiany w RIPv2 są bezpośrednio odzwierciedlone w formacie jego komunikatów, który rozszerza strukturę RIPv1. Aktualizacja może zawierać do 25 wpisów tras.

Pole	Rozmiar (bajty)	Opis
Polecenie	1	Wskazuje komunikat żądania (1) lub odpowiedzi (2).
Wersja	1	Ustawione na 2 dla RIPv2.
Musi być zero	2	Pole zarezerwowane.
Wpis Trasy (powtarzany do 25 razy)
Identyfikator Rodziny Adresów (AFI)	2	Określa rodzinę protokołu; dla IP wartość ta wynosi 2.
Znacznik Trasy	2	Używany do przenoszenia informacji z EGP do IGP.
Adres IP	4	Adres sieci docelowej.
Maska Podsieci	4	Maska podsieci dla sieci docelowej. Kluczowy dodatek dla VLSM.
Następny Przeskok	4	Określa lepszy adres następnego przeskoku, jeśli taki istnieje, optymalizując routing w sieciach wielodostępowych.
Metryka	4	Liczba przeskoków do celu (wartość od 1 do 16).

Czy RIPv2 jest nadal aktualny?

Chociaż RIPv2 naprawił krytyczne wady swojego poprzednika, wciąż zachowuje podstawowe ograniczenia prostego protokołu wektora odległości.

Powolna Konwergencja: Wciąż polega na okresowych aktualizacjach i licznikach czasu, co czyni go znacznie wolniejszym w reakcji na awarie sieci niż nowoczesne protokoły stanu łącza, takie jak OSPF.
Metryka oparta na Liczbie Przeskoków: Poleganie na liczbie przeskoków jest poważną wadą w sieciach o zróżnicowanych prędkościach łącz.
Limit 15 Przeskoków: Maksymalna metryka wynosząca 15 sprawia, że jest on nieodpowiedni dla sieci innych niż najmniejsze.

Z powodu tych problemów, RIPv2 jest dziś rzadko używany w sieciach produkcyjnych. Nowoczesne sieci prawie wyłącznie używają bardziej zaawansowanych IGP, takich jak OSPF i EIGRP. Jednakże, RIPv2 pozostaje ważnym protokołem do nauki. Służy jako doskonały krok przejściowy do zrozumienia fundamentalnych wyzwań routingu i docenienia bardziej złożonych rozwiązań, które go zastąpiły. Znajduje swoje miejsce w środowiskach akademickich, prostych konfiguracjach laboratoryjnych i bardzo rzadko w małych, niekrytycznych sieciach, gdzie jego prostota i niskie obciążenie są priorytetem.