Seite 2: Gut gemeintes Traffic Engineering

Inhaltsverzeichnis

Dass es Middleboxen überhaupt gibt, liegt daran, dass Netzbetreiber zunehmend mehr Geräte für ihr Traffic Engineering einsetzen, die Optionen entweder löschen oder auf unvorhersebare Weise ändern. Dazu gehören nicht nur die Network Address Translators (NATs), die globale IP-Adressen mehrfach auf lokale IP-Adressen abbilden und dazu die Portnummern in den TCP-Headern heranziehen; die Palette der Geräte umfasst Firewalls, Proxies, Intrusion Detection Systeme und Policy Manager, die mittels Deep Packet Inspection Netzbetreibern das Filtern unerwünschter Anwendungen ermöglichen.

Die IETF definiert im RFC 3234 diese Middlebox genannten Kisten als "any intermediary box performing functions apart from normal, standard functions of an IP router on the data path between a source host and destination host". Dazu gehören unter anderem, oft in Kombination:

Router: Router sind oft so konfiguriert, dass sie IP-Pakete verwerfen, die im Header ihnen unbekannte oder auch nur andere Transportprotokolle als TCP und UDP ausweisen oder die im Anschluss an den Header zusätzliche Optionen enthalten.

NATs: Network Address (and Port) Translators; sie wurden ursprünglich eingeführt, um der Knappheit an IPv4-Adressen zu begegnen. Sie setzen die lokalen IP-Adressen eines privaten Subnetzes auf eine öffentliche IP-Adresse um und verbergen so die intern verwendeten Adressen hinter der öffentlich sichtbaren.

ALGs: Application-Level Gateways sind ein spezieller NAT-Typ, der sogar Nutzlastdaten verändern kann – beispielsweise durch das Einfügen von Steuerungsbefehlen, damit auch FTP durch ein NAT hindurch funktioniert.

PEPs: Performance-Enhancing Proxies spalten zur Leistungssteigerung eine TCP-Verbindung in zwei auf – mit sich selbst als zwischengeschaltetem Host. An der Schnittstelle zu einem schnellen und zuverlässigen Netz können sie selbst ACKs anstelle des Empfängers senden und so den sendenden Server von Timeouts entlasten, die der eigentlich adressierte Host in einem langsamen und möglicherweise unzuverlässigen Anschlussnetz verursachen könnte.

IDS/Firewalls: Intrusion Detection Systems und Firewalls sollen unerwünschte Zugriffe auf das Netz aufdecken und unterbinden. Sie interpretieren Unregelmäßigkeiten wie beispielsweise Abweichungen von der fortlaufenden TCP-Sequenznummerierung häufig als Eindringversuch und sperren die Verbindung.

TSO/LRO: TCP Segmentation Offload und Large Receive Offload sind Techniken, die im Zusammenspiel von CPU und Netzwerkkarte TCP-Segmente aufspalten oder zusammenlegen, um den Datendurchsatz zu erhöhen.