專業提供企業網絡專線 、MPLS VPN、SD-WAN、IPLC、IPLC、海外IDC、云專線等技術方案。
咨詢熱線:400-028-9798

IPLC

DSCP:IPv4 和 IPv6 報頭中區分服務字段(DS 字段)的定義

發布時間:2021-07-28 15:21:48來源:未知作者:大V閱讀:

[導讀]: Definition of the Differentiated Services Field (DS Field)in the IPv4 and IPv6 Headers 本備忘錄的狀態 本文檔為 Internet 社區指定了 Internet 標準跟蹤協議,并請求討論和改進建議。本協議的標準化狀態和...

Definition of the Differentiated Services Field (DS Field)in the IPv4 and IPv6 Headers

本備忘錄的狀態

本文檔為 Internet 社區指定了 Internet 標準跟蹤協議,并請求討論和改進建議。本協議的標準化狀態和現狀請參考當前版本的《互聯網官方協議標準》(STD 1)。本備忘錄的分發不受限制。

版權聲明

版權所有 (C)互聯網協會 (1998)。版權所有。

梗概

對 Internet 協議的區分服務增強旨在實現 Internet 中可擴展的服務區分,而無需在每個躍點處進行每個流狀態和信令??梢詮牟渴鹪诰W絡節點中的一組定義良好的小型構建塊構建各種服務。服務可以是端到端的,也可以是域內的;它們包括能夠滿足定量性能要求(例如峰值帶寬)和相對性能(例如“等級”區分)。服務可以通過以下組合構建:

- 在網絡邊界(自治系統邊界、內部管理邊界或主機)的 IP 報頭字段中設置位;

- 使用這些位來確定網絡內部節點如何轉發數據包;

- 根據每項服務的要求或規則,在網絡邊界處調節標記的數據包。

每個服務的要求或規則必須通過超出本文檔范圍的管理策略機制來設置。區分服務兼容網絡節點包括一個分類器,該分類器根據 DS 字段的值選擇數據包,以及能夠提供 DS 字段值指示的特定數據包轉發處理的緩沖區管理和數據包調度機制。DS 字段的設置和標記數據包的時間行為的調節只需要在網絡邊界執行,并且復雜性可能會有所不同。

本文檔定義了 IP 頭字段,稱為 DS(differentiated services,區分服務)字段。在 IPv4 中,它定義了 TOS 八位字節的布局;在 IPv6 中,流量類八位字節。此外,還定義了一組基本的數據包轉發處理或每跳行為。

要更完整地了解區分服務,另請參閱區分服務架構 [ARCH]。

1、 簡介

區分服務旨在提供一個框架和構建塊,以支持在 Internet 中部署可擴展的服務區分。區分服務方法旨在通過將架構分成兩個主要組件來加快部署速度,其中一個組件已經很好理解,而另一個才剛剛開始被理解。在這方面,我們以互聯網的原始設計為指導,在該設計中決定將轉發和路由組件分開。數據包轉發是一項相對簡單的任務,需要盡快在每個數據包的基礎上執行。轉發使用數據包頭在路由表中查找確定數據包輸出接口的條目。路由設置該表中的條目,可能需要反映一系列傳輸和其他策略以及跟蹤路由故障。路由表作為轉發任務的后臺進程進行維護。此外,路由是一項更復雜的任務,已經在過去 20 年中不斷發展。

類似地,區分服務架構包含兩個主要組件:一種是轉發路徑中相當容易理解的行為,另一種是配置轉發路徑中使用的參數的更復雜且仍在出現的后臺策略和分配組件。轉發路徑行為包括由隊列服務規程和/或隊列管理規程實現的單個數據包接收的差異處理。無論我們如何構建端到端或域內服務,這些每跳行為都是有用的,并且在網絡節點中需要對數據包進行差異化處理。我們的重點是行為的一般語義,而不是用于實現它們的特定機制,因為這些行為的發展速度不如機制快。

如今,可以在網絡節點中部署基于每個數據包選擇它們的每跳行為和機制,而首先解決的正是區分服務架構的這一方面。此外,轉發路徑可能需要對指定用于“特殊”處理的網絡流量進行一些監視、管制和整形,以強制執行與特殊處理的傳遞相關的要求。這種流量調節的機制也很容易理解。此類流量調節器的廣泛部署對于構建服務也很重要,盡管它們在構建服務中的實際用途可能會隨著時間的推移而發展。

關于哪些數據包得到特殊處理以及哪些類型的規則將應用于資源的使用,網絡元素的配置還不太清楚。然而,可以通過使用簡單的策略和靜態配置在網絡中部署有用的區分服務。如 [ARCH] 中所述,有多種方法可以組合每跳行為和流量調節器來創建服務。在這個過程中,獲得了額外的經驗,將指導更復雜的政策和分配。轉發路徑中的基本行為可以保持不變,而架構的這個組件會演進。此類服務的構建經驗將持續一段時間,因此我們避免將這種構建標準化,因為為時過早。此外,服務構建的許多細節都包含在不同業務實體之間的標準協議中,我們避免這樣做,因為它非常超出 IETF 的范圍。

本文檔重點介紹轉發路徑組件。在數據包轉發路徑中,通過將包含在 IP 數據包報頭字段中的代碼點映射到沿其路徑的每個網絡節點的特定轉發處理或每跳行為 (per-hop behavior,PHB)來實現區分服務。代碼點可以從本文檔稍后定義的一組強制值中選擇,也可以從將在未來文檔中定義的一組推薦值中選擇,或者可能具有純粹的本地含義。預計 PHB 將通過在網絡節點的輸出接口隊列上采用一系列隊列服務和/或隊列管理規則來實現:例如加權循環 (weighted round-robin,WRR)隊列服務或丟棄優先隊列管理。

標記由網絡邊界的流量調節器執行,包括網絡邊緣(第一跳路由器或源主機)和管理邊界。流量調節器可能包括標記、計量、監管和整形的原語(這些機制在[ARCH]中描述)。服務是通過在邊界使用特定的數據包分類和流量調節機制以及沿流量的傳輸路徑串聯每跳行為來實現的。區分服務架構的目標是為未來的可擴展性指定這些構建塊,包括構建塊的數量和類型以及由它們構建的服務。

本備忘錄中使用的術語在第2節中定義;區分服務字段定義(DS 字段)在第 3 節中給出;在第4節,我們討論了與當前使用的 IPv4 優先級字段部分向后兼容的愿望。作為解決方案,我們引入了類選擇器代碼點和類選擇器兼容 PHB。第5節給出了每跳行為標準化的指南。第6節討論了代碼點分配的指南。第7節涵蓋了安全考慮。

本文檔簡要描述了 DS 字段及其用途。它旨在與區分服務架構 [ARCH] 一起閱讀。

本文檔中的關鍵詞“必須”、“不得”、“需要”、“應該”、“不應”、“應該”、“不應該”、“推薦”、“可以”和“可選”是解釋為 [RFC2119] 中的描述。

2、 本文檔中使用的術語

Behavior Aggregate:行為聚合,在特定方向上穿過鏈路的具有相同代碼點的數據包的集合。術語“聚合”和“行為聚合”在本文檔中可互換使用。

Classifier:分類器,根據定義的規則根據包頭的內容選擇包的實體。

Class Selector Codepoint:類選擇器代碼點,“xxx000”范圍內的八個代碼點中的任何一個(其中“x”可能等于“0”或“1”)。類選擇器代碼點在4.2.2節中討論。

Class Selector Compliant PHB:符合類選擇器的PHB,滿足第4.2.2.2節中規定的類選擇器 PHB 要求的每跳行為。

Codepoint:代碼點,DS 字段的 DSCP 部分的特定值。推薦的代碼點應該映射到特定的、標準化的 PHB。多個代碼點可以映射到同一個 PHB。

Differentiated Services Boundary:區分服務邊界,DS 域的邊緣,可能會部署分類器和流量調節器。區分服務邊界可以進一步細分為入口節點和出口節點,其中入口/出口節點是給定流量方向上邊界鏈路的下游/上游節點。區分服務邊界通常位于主機數據包所經過的符合區分服務的第一跳路由器(或網絡節點)的入口處,或位于傳輸數據包的符合區分服務的最后一跳路由器或網絡節點的出口處在到達主機之前遍歷。這有時被稱為葉路由器的邊界。區分服務邊界可能與主機位于同一地點,受當地政策的約束。也稱為DS邊界。

Differentiated Services-Compliant:區分服務兼容,符合本文檔中規定的要求。也符合 DS。

Differentiated Services Domain:區分服務域,Internet 的一個連續部分,在該部分上以協調的方式管理一組一致的區分服務策略。一個差異化的服務域可以代表不同的管理域或自治系統、不同的信任區域、不同的網絡技術(例如,包/幀)、主機和路由器等。也是 DS 域。

Differentiated Services Field:區分服務字段,當按照本文檔中給出的定義進行解釋時,IPv4 報頭 TOS 八位字節或 IPv6 流量類八位字節。也是DS字段。

Mechanism:機制,根據特定算法實現一個或多個每跳行為。

Microflow:微流,應用程序到應用程序數據包流的單個實例,由源地址、目標地址、協議 ID 和源端口、目標端口(如果適用)標識。

Per-hop Behavior:每跳行為(PHB),對在區分服務兼容節點上應用到行為聚合的外部可觀察轉發處理的描述。PHB 的描述應該足夠詳細,以允許構建可預測的服務,如 [ARCH] 中所述。

Per-hop Behavior Group:一組一個或多個 PHB,由于適用于該集合中所有 PHB 的共同約束,例如隊列服務或隊列管理策略,只能有意義地同時指定和實施。也是PHB組。

Traffic Conditioning:流量調節,可應用于行為聚合、應用程序流或其他操作上有用的流量子集的控制功能,例如路由更新。這些可以包括計量、管制、整形和數據包標記。流量調節用于執行域之間的協議,并通過在 DS 字段中使用適當的代碼點標記數據包并在必要時監視和更改聚合的時間特性來調節流量以接收域內的區分服務。見[ARCH]。

Traffic Conditioner:流量調節器,執行流量調節功能的實體,可能包含儀表、監管器、整形器和標記。流量調節器通常部署在 DS 邊界節點中(即,不在 DS 域的內部節點中)。

Service:服務,對跨特定域、跨一組互連 DS 域或端到端的客戶流量(子集)的整體處理的描述。服務描述包含在管理策略中,服務是通過應用流量調節來創建行為聚合體來構建的,這些行為聚合體在 DS 域內的每個節點都經歷了已知的 PHB。多個服務可以通過與一系列流量調節器協同使用的單個每跳行為來支持。

總之,分類器和流量調節器用于選擇將哪些數據包添加到行為聚合中。聚合在 DS 域中接受不同的處理,流量調節器可以改變聚合的時間特性以符合某些要求。數據包的 DS 字段用于指定數據包的行為聚合,隨后用于確定數據包接收哪種轉發處理??梢曰?DS 字段中的代碼點選擇 PHB 的行為聚合分類器,例如差分輸出隊列服務規則,應該包含在 DS 域中的所有網絡節點中。DS 邊界的分類器和流量調節器是根據某些服務規范配置的,這是本文檔范圍之外的管理策略問題。

[ARCH] 中給出了額外的區分服務定義。

3、 區分服務字段定義

定義了稱為 DS 字段的替換報頭字段,旨在取代 IPv4 TOS 八位字節 [RFC791] 和 IPv6 流量類八位字節 [IPv6] 的現有定義。

DS 字段的 6 位用作代碼點 (Differentiated Services Code Point,DSCP),以選擇數據包在每個節點經歷的 PHB。保留了兩位當前未使用 (currently unused,CU)字段,其定義和解釋超出了本文檔的范圍。在確定適用于接收數據包的每跳行為時,區分服務兼容節點會忽略 CU 位的值。

DS 字段結構如下所示:

DSCP:IPv4 和 IPv6 報頭中區分服務字段(DS 字段)的定義

在本文檔中使用的 DSCP 值符號“xxxxxx”(其中“x”可能等于“0”或“1”)中,最左側的位表示 DS 字段的第 0位(如上所示),最右側的位表示第5位。

實施者應注意 DSCP 字段為 6 位。DS 兼容節點必須通過匹配整個 6 位 DSCP 字段來選擇 PHB,例如,將該字段的值視為表索引,該索引用于選擇已在該設備中實現的特定數據包處理機制。PHB 選擇必須忽略 CU 字段的值。DSCP 字段被定義為非結構化字段,以方便定義未來的每跳行為。

除了下面提到的一些例外,代碼點到 PHB 的映射必須是可配置的。符合 DS 的節點必須支持從代碼點到 PHB 的可配置映射表的邏輯等效項。PHB 規范必須包括一個推薦的默認代碼點,對于標準空間中的代碼點,它必須是唯一的(參見第 6 節)。實現應在其默認配置中支持推薦的代碼點到 PHB 映射。操作者可以選擇為 PHB 使用不同的代碼點,作為推薦的默認值的補充或替代。請注意,如果操作者選擇這樣做,即使在邊界兩側實施了相同的 PHB,在邊界處也可能需要重標記 DS 字段。

有關重標記的進一步討論,請參見 [ARCH]。

一般可配置性的例外是代碼點“xxx000”,并在第4.2.2節和第4.3節中注明。

接收到的帶有無法識別代碼點的數據包應該被轉發,就好像它們被標記為默認行為(參見第 4 節),并且它們的代碼點不應更改。此類數據包不得導致網絡節點發生故障。

上面顯示的 DS 字段的結構與 [RFC791] 中 IPv4 TOS 八位字節的現有定義不兼容。假設是 DS 域通過部署重標記邊界節點來保護自己,就像使用 RFC 791 優先級指定的網絡一樣。正確的操作程序應該遵循 [RFC791],其中指出:“如果這些優先級名稱的實際使用與特定網絡有關,則該網絡有責任控制對這些優先級名稱的訪問和使用。”在 DS 邊界驗證 DS 字段的值在任何情況下都是明智的,因為上游節點可以輕松地將其設置為任意值。沒有被適當配置的邊界節點隔離的 DS 域可能會提供不可預測的服務。

節點可以根據需要重寫 DS 字段以提供所需的本地或端到端服務。DS 邊界處的 DS 字段轉換規范是提供商和用戶之間服務水平協議的主題,不在本文檔的范圍內。標準化的 PHB 允許提供商根據一組眾所周知的數據包轉發處理來構建他們的服務,這些處理預計會出現在許多供應商的設備中。

4、 歷史代碼點定義和 PHB 要求

如本節所述,DS 字段將與當前實踐具有有限的向后兼容性。向后兼容性通過兩種方式解決。首先,有已經廣泛使用的每跳行為(例如,那些滿足 [RFC1812] 中規定的 IPv4 優先隊列要求的行為),我們希望允許它們在符合 DS 的節點中繼續使用。此外,還有一些代碼點與 IP 優先級字段的歷史使用相對應,我們保留這些代碼點以映射到滿足第4.2.2.2節中規定的一般要求的 PHB。雖然這些代碼點映射到的特定區分服務 PHB 可能有額外的規范。

沒有嘗試保持與 [RFC791] 中定義的 IPv4 TOS 八位字節的“DTR”或 TOS 位的向后兼容性。

4.1、 默認PHB

“默認”PHB 必須在符合 DS 的節點中可用。這是 [RFC1812] 中標準化的現有路由器中常見的、盡力而為的轉發行為。如果沒有其他協議,則假定數據包屬于該聚合。此類數據包可以在不遵守任何特定規則的情況下發送到網絡中,并且網絡將盡可能多地并盡快交付這些數據包,但受其他資源策略限制。這個 PHB 的一個合理的實現是一個隊列規則,每當輸出鏈路不需要滿足另一個 PHB 時,它就會發送這個聚合的數據包。構建服務的合理策略將確保聚合不會“餓死”。這可以通過每個節點中的一種機制來強制執行,該機制為默認行為聚合保留一些最小資源(例如,緩沖區、帶寬)。這允許不具有區分服務意識的發送者繼續以與今天相同的方式使用網絡。將區分服務引入域對其客戶和對等方的服務期望的影響是一個復雜的問題,涉及域的策略決策,超出了本文檔的范圍。默認 PHB 的推薦代碼點是 “000000”;值“000000”必須映射到滿足這些規范的 PHB。為默認行為選擇的代碼點與現有實踐 [RFC791] 兼容。如果代碼點未映射到標準化或本地使用的 PHB,則應將其映射到默認 PHB。

最初標記為默認行為的數據包可能會在它通過邊界進入 DS 域時用另一個代碼點重標記,以便使用該域內的不同 PHB 轉發它,這可能取決于對等域之間的某些協商協議。

4.2、 曾經和未來的 IP 優先級字段使用

我們希望與 IP 優先級字段的當前使用保持某種形式的向后兼容性:IPv4 TOS 八位字節的 0-2 位。存在的路由器使用 IP 優先級字段來選擇不同的每跳轉發處理,其方式與此處針對 DSCP 字段的使用建議類似。因此,通過適當配置這些路由器,可以快速部署一個簡單的原型區分服務架構。此外,當今的 IP 系統了解 IP 優先級字段的位置,因此如果以與部署 DS 兼容設備類似的方式使用這些位,則在早期部署期間不太可能出現重大故障。換句話說,如果 DSCP 字段的位 0-2 以類似于或包含 IP 優先級字段的部署用途的方式使用,則即使在單個服務提供商的網絡中也不需要普遍存在嚴格的 DS 合規性。

4.2.1、 IP 優先級歷史和演變簡述

IP Precedence 字段是 DS 字段的先驅。IP 優先級和 IP 優先級字段首先在 [RFC791] 中定義。三位 IP 優先級字段可能采用的值被分配給各種用途,包括網絡控制流量、路由流量和各種級別的權限。最低級別的特權被視為“常規流量”。在 [RFC791] 中,優先級的概念被廣義地定義為“該數據報重要性的獨立度量”。并非 IP Precedence 字段的所有值都被假定為具有跨邊界的含義,例如“網絡控制優先級指定旨在僅在網絡內使用。該指定的實際使用和控制取決于每個網絡。” [RFC791]

雖然早期的 BBN IMP 實現了 Precedence 特性,但早期的商業路由器和 UNIX IP 轉發代碼通常沒有。隨著網絡變得更加復雜和客戶需求的增長,商業路由器供應商開發了實現各種排隊服務的方法,包括優先級排隊,這些服務通?;诼酚善鬟^濾器中編碼的策略,這些策略檢查 IP 地址、IP 協議編號、TCP 或UDP 端口和其他標頭字段。IP Precedence 過去和現在都是此類過濾器可以檢查的選項之一。

簡而言之,IP 優先級被廣泛部署和廣泛使用,即使不是完全按照 [RFC791] 中預期的方式。這在 [RFC1122] 中得到了認可,它指出雖然 IP 優先級字段的使用是有效的,但 [RFC791] 中優先級的具體分配僅僅是歷史性的。

4.2.2、 將 IP 優先級包含在類選擇器代碼點中

今天由 IP 優先級字段選擇的數據包轉發處理規范必須非常通用;可能不夠具體,無法從區分服務框架中構建可預測的服務。為了在不犧牲未來靈活性的情況下保持與 IP 優先級字段的已知當前使用的部分向后兼容性,我們采用了描述一組 PHB 的最低要求的方法,這些 PHB 與 IP 優先級字段選擇的大多數部署的轉發處理兼容。此外,我們提供了一組必須映射到滿足這些最低要求的 PHB 的代碼點。除了此處規定的要求之外,這些代碼點映射到的 PHB 可能還有更詳細的規范列表。其他代碼點可以映射到這些相同的 PHB。我們將這組代碼點稱為類選擇器代碼點,這些代碼點可能映射到的 PHB 的最低要求稱為類選擇器 PHB 要求。

4.2.2.1、 類選擇器代碼點

由 'xxx000|xx' 的 DS 字段值或 DSCP = 'xxx000' 和未指定的 CU 子字段選擇的數據包轉發處理的規范被保留為一組類選擇器代碼點。除了保留對代碼點“000000”(第 4.1 節)的默認 PHB 要求之外,這些代碼點映射到的 PHB 還必須滿足類選擇器 PHB 要求。

4.2.2.2、 類選擇器 PHB 要求

我們將具有比另一個類選擇器代碼點更大的數值的類選擇器代碼點稱為具有更高的相對順序,而具有比另一個類選擇器代碼點更小的數值的類選擇器代碼點被稱為具有較低的相對順序。由 8 個類選擇器代碼點映射到的 PHB 集必須產生至少兩個獨立轉發的流量類別,并且由類選擇器代碼點選擇的 PHB 應該給予數據包及時轉發的概率,該概率不低于給予標記為在合理的操作條件和流量負載下,相對順序較低的類選擇器代碼點。丟棄的數據包被認為是不及時轉發的極端情況。此外,由代碼點“11x000”選擇的 PHB 必須通過與由代碼點“000000”選擇的 PHB 相比給予數據包優先轉發處理,以保留 IP 優先級值“110”和“111”用于路由流量的共同使用。

此外,由不同的類選擇器代碼點選擇的 PHB 應該獨立轉發;也就是說,標有不同類選擇器代碼點的數據包可能會被重新排序。網絡節點可以強制限制每個 PHB 可以使用的節點資源量。

其規范滿足這些要求的 PHB 組被稱為符合類選擇器的 PHB。

代碼點“000000”上的類選擇器 PHB 要求與第4.1節中為默認 PHB 列出的要求兼容。

4.2.2.3、 使用類選擇器 PHB 對 IP 優先級兼容性的要求

可以使用一組一個或多個符合類選擇器的 PHB 組來部署符合 DS 的網絡節點。本文檔聲明代碼點“xxx000”集必須映射到這樣的 PHB 集。由于也可以將多個代碼點映射到同一個 PHB,供應商或網絡管理員可以配置網絡節點以將代碼點映射到 PHB,而不考慮 DSCP 字段的第 3-5 位,以產生與歷史 IP 兼容的網絡優先使用。因此,例如,代碼點“011010”將映射到與代碼點“011000”相同的 PHB。

4.2.2.4、 實現類選擇器兼容 PHB 組的示例機制

符合類選擇器的 PHB 可以通過多種機制實現,包括嚴格優先級隊列、加權公平隊列 (weighted fair queueing,WFQ)、WRR 或變體 [RPS、HPFQA、DRR] 或基于類的隊列 [Class-Based Queuing,CBQ]。PHB 和機制之間的區別在第5節中有更詳細的描述。

需要注意的是,這些機制可能可以通過特定供應商設備中可用的其他 PHB(標準化或非標準化)獲得。例如,未來的文檔可能會為一組推薦的代碼點標準化一個嚴格的優先級隊列 PHB 組。網絡管理員可以將這些路由器配置為選擇具有代碼點“xxx000”的嚴格優先級隊列 PHB,以符合本文檔的要求。

再舉一個例子,另一家供應商可能在其路由器中采用 CBQ 機制。CBQ 機制可用于實現嚴格優先級排隊 PHB 以及一組符合類選擇器的 PHB,其功能范圍比僅滿足最低類選擇器 PHB 要求的一組 PHB 中可用的功能范圍更廣.

4.3、 總結

本文檔將代碼點“xxx000”定義為類選擇器代碼點,其中由這些代碼點選擇的 PHB 必須滿足第4.2.2.2節中描述的類選擇器 PHB 要求。這樣做是為了在不過度限制未來靈活性的情況下,保持與 Internet 中 IP 優先級字段的當前使用的向后兼容性的有用水平。此外,代碼點“000000”用作 Internet 的默認 PHB 值,因此不可配置。剩下的七個非零類選擇器代碼點只能在它們映射到滿足第4.2.2.2節中要求的 PHB 的范圍內進行配置。

5、 每跳行為標準化指南

PHB 的行為特征將被標準化,而不是特定的算法或用于實現它們的機制。一個節點可能有一組(可能很大)參數,可用于控制如何將數據包調度到輸出接口上(例如,具有可設置優先級、隊列長度、循環權重、丟棄算法、丟棄偏好權重的 N 個單獨隊列和閾值等)。為了說明 PHB 和機制之間的區別,我們指出符合類選擇器的 PHB 可以通過多種機制實現,包括:嚴格優先級隊列、WFQ、WRR 或變體 [HPFQA、RPS、DRR] 或 CBQ [CBQ ],單獨或組合。

PHB 可以單獨指定,也可以作為一個組指定(單個 PHB 是 PHB 組的特例)。由于適用于組內每個 PHB 的共同約束,例如隊列服務或隊列管理策略,PHB 組通常由一組兩個或更多 PHB 組成,這些 PHB 只能有意義地同時指定和實施。PHB 組規范應該描述一個數據包可能被重標記以選擇組內另一個 PHB 的條件。建議 PHB 實現不會在微流中引入任何數據包重新排序。PHB 組規范必須標識任何可能的數據包重新排序含義,這些含義可能發生在每個單獨的 PHB 中,如果微流中的不同數據包被標記為組內不同的 PHB,則可能發生這種情況。

只有那些沒有被現有 PHB 標準描述,并且已經實現、部署并顯示有用的每跳行為才應該被標準化。由于目前對區分服務的經驗非常有限,因此假設這些每跳行為的確切規范還為時過早。

每個標準化的 PHB 必須有一個關聯的推薦代碼點,從 32 個代碼點的空間中分配出來(參見第 6 節)。該規范在代碼點空間中留出了空間以允許演化,因此定義的空間 ('xxx000')是故意稀疏的。

網絡設備供應商可以自由提供任何被認為有用或有市場價值的參數和功能。當在節點中實現特定的標準化 PHB 時,供應商可以使用滿足標準的 PHB 定義的任何算法。節點的功能及其特定配置決定了處理數據包的不同方式。

服務提供商不需要使用相同的節點機制或配置來實現其網絡內的服務差異化,并且可以以適合其服務產品和流量工程目標的任何方式自由配置節點參數。隨著時間的推移,某些常見的每跳行為可能會演變(即,對于實現端到端服務特別有用的行為),并且這些行為可能與 DS 字段中的特定 EXP/LU PHB 代碼點相關聯,允許跨域使用邊界(見第 6 節)。這些 PHB 是未來標準化的候選者。

建議按照 [ARCH] 中規定的指南指定標準化的 PHB。

6、 IANA 考慮

DS 字段中的 DSCP 字段能夠傳送 64 個不同的代碼點。代碼點空間被分為三個池,用于代碼點分配和管理:一個包含 32 個推薦代碼點的池(池 1),由 [CONS] 中定義的標準行動分配,一個包含 16 個代碼點的池(池 2)保留用于 [CONS] 中定義的實驗或本地使用(EXP/LU),以及 16 個代碼點池(池 3),最初可用于實驗或本地使用,但應優先用于標準化分配,如果池 1 永遠疲憊。池在下表中定義(其中“x”指的是“0”或“1”):

DSCP:IPv4 和 IPv6 報頭中區分服務字段(DS 字段)的定義

(*)可根據需要用于未來的標準操作分配

本文檔分配了從上面的池 1 中提取的八個推薦代碼點 ('xxx000')。這些代碼點必須被映射,而不是映射到特定的 PHB,而是映射到“至少”滿足第4.2.2.2節中規定的要求的 PHB。提供與 [RFC791] 中定義的并在某些當前設備中部署的 IP 優先級的最低水平的向后兼容性。

7、 安全考慮

本節考慮引入區分服務引起的安全問題,主要是拒絕服務攻擊的可能性,以及未經授權的流量竊取服務的相關可能性(第 7.1 節)。第 7.2 節討論了在存在 IPsec 的情況下區分服務的操作,包括它與 IPsec 隧道模式和其他隧道協議的交互。請參閱 [ARCH] 以更廣泛地處理整體區分服務架構引起的安全問題。

7.1、 竊取和拒絕服務

區分服務的主要目標是允許為公共網絡基礎設施上的業務流提供不同級別的服務??梢允褂枚喾N技術來實現這一點,但最終結果將是某些數據包接收到與其他數據包不同(例如,更好)的服務。網絡流量到導致不同(例如,更好或更差)服務的特定行為的映射主要由 DS 代碼點指示,因此攻擊者可能能夠通過將代碼點修改為指示用于以下行為的行為的值來獲得更好的服務。增強服務或通過注入具有此類代碼點值的數據包??紤]到其極限,當修改或注入的流量耗盡可用于轉發它和其他流量流的資源時,這種竊取服務就變成了拒絕服務攻擊。

防御此類竊取和拒絕服務攻擊包括將 DS 域邊界的流量調節與 DS 域內網絡基礎設施的安全性和完整性相結合。DS 域邊界節點必須確保所有進入域的流量都標有適合流量和域的代碼點值,如有必要,用新的代碼點值重標記流量。這些 DS 邊界節點是抵御基于修改代碼點的竊取和拒絕服務攻擊的主要防線,因為任何此類攻擊的成功都表明攻擊流量使用的代碼點不合適。邊界節點的一個重要實例是 DS 域內的任何流量發起節點都是該流量的初始邊界節點。DS 域中的內部節點依靠 DS 代碼點將流量與轉發 PHB 相關聯,并且不需要在使用它們之前檢查代碼點值。因此,內部節點依賴于 DS 域邊界節點的正確操作,以防止帶有不適當代碼點或超出規定級別的流量到達,這會破壞域的操作。

7.2、 IPsec 和隧道交互

[ESP, AH] 中定義的 IPsec 協議在其任何加密計算中都不包括 IP 標頭的 DS 字段(在隧道模式的情況下,不包括外部 IP 標頭的 DS 字段)。因此,網絡節點修改 DS 字段對 IPsec 的端到端安全沒有影響,因為它不會導致任何 IPsec 完整性檢查失敗。因此,IPsec 不會針對攻擊者修改 DS 字段(即中間人攻擊)提供任何防御,因為攻擊者的修改也不會對 IPsec 的端到端安全產生影響。

IPsec 的隧道模式為封裝的 IP 報頭的 DS 字段提供安全性。隧道模式 IPsec 數據包包含兩個 IP 標頭:由隧道入口節點提供的外部標頭和由數據包的原始源提供的封裝內部標頭。當 IPsec 隧道(全部或部分)托管在區分服務網絡上時,中間網絡節點對外部報頭中的 DS 字段進行操作。在隧道出口節點,IPsec 處理包括移除外部報頭并使用內部報頭轉發數據包(如果需要)。IPsec 協議要求內部報頭的 DS 字段不會被此解封裝處理更改,以確保對 DS 字段的修改不能用于跨 IPsec 隧道端點發起竊取或拒絕服務攻擊。本文檔不更改該要求。如果隧道出口節點的 DS 域的 DS 邊界節點尚未處理內部 IP 報頭,則隧道出口節點是離開隧道的流量的邊界節點,因此必須確保產生的流量具有適當的 DS 代碼點。

當 IPsec 隧道出口解封裝處理包括對封裝數據包進行足夠強的加密完整性檢查時(其中充分性由本地安全策略確定),隧道出口節點可以安全地假設內部報頭中的 DS 字段具有與之前相同的值在隧道入口節點。一個重要的結果是,DS 域內原本不安全的鏈接可以通過足夠強大的 IPsec 隧道來保護。此分析及其含義適用于任何執行完整性檢查的隧道協議,但內部報頭的 DS 字段的保證級別取決于隧道協議執行的完整性檢查的強度。如果隧道可以通過當前 DS 域外的節點(或易受攻擊的節點)缺乏足夠的保證,則必須將封裝的數據包視為從 DS 域外到達邊界。

以上就是DSCP:IPv4 和 IPv6 報頭中區分服務字段(DS 字段)的定義的介紹,Vecloud為客戶提供豐富的IPV6網絡專線解決方案,主要國家包含日本、韓國、倫敦、法蘭克福、洛杉磯、圣何塞、華盛頓、印度、迪拜、南非等均可隨時提供網絡專線和IP傳輸服務。

免責聲明:部分文章信息來源于網絡以及網友投稿,本網站只負責對文章進行整理、排版、編輯,是出于傳遞 更多信息之目的,并不意味著贊同其觀點或證實其內容的真實性,如本站文章和轉稿涉及版權等問題,請作者在及時聯系我們本站,我們會盡快處理。

標題:DSCP:IPv4 和 IPv6 報頭中區分服務字段(DS 字段)的定義

TAG標簽: IPV6IPv4

地址:http://www.indiamait.com/haiwaizhuanxian/322.html

常見問題