home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / ien / ien-181 < prev    next >
Encoding:
Text File  |  1988-12-01  |  12.6 KB  |  525 lines
  1. To: Linda at ISIF
  2. Cc: JHaverty at BBNG
  3.  
  4.  
  5.  
  6.  
  7.  
  8.  
  9.  
  10.  
  11.  
  12.  
  13.                                                           IEN-181
  14.  
  15.  
  16.  
  17.  
  18.  
  19.  
  20.  
  21.  
  22.  
  23.  
  24.  
  25.  
  26.  
  27.  
  28.  
  29.                    Van Gateway:  Some Routing
  30.                      and Performance Issues
  31.  
  32.                           Jack Haverty
  33.  
  34.                   Bolt Beranek and Newman Inc.
  35.  
  36.                             May 1981
  37.  
  38.  
  39.  
  40.  
  41.  
  42.  
  43.  
  44.  
  45.  
  46.  
  47.  
  48.  
  49.  
  50.  
  51.  
  52.  
  53.  
  54.  
  55.  
  56.  
  57.  
  58.  
  59.  
  60.  
  61.  
  62.  
  63. IEN-181                              Bolt Beranek and Newman Inc.
  64.                                                      Jack Haverty
  65.  
  66.  
  67.  
  68.      The  VAN  gateway  is  a  new   facility   currently   under
  69.  
  70. development  for the internet community.  Its intended purpose is
  71.  
  72. to  allow  interconnection  of  the  ARPANET  and  therefore  the
  73.  
  74. Internet  with  Telenet,  but  it also introduces a new mechanism
  75.  
  76. whose failure or misuse can seriously affect the system.  The key
  77.  
  78. problem  with  use  of  the VAN gateway is to allow and encourage
  79.  
  80. using it for legitimate purposes, while preventing utilization by
  81.  
  82. unauthorized  users  or  as  a  result  of a software or hardware
  83.  
  84. failure in the networks involved.
  85.  
  86.  
  87.      There are two aspects to this problem.  The first control on
  88.  
  89. the  gateway  usage  must  be  to  assure  that the packets being
  90.  
  91. handled  are  legitimate,  in  that  they  are  associated   with
  92.  
  93. authorized  users.   This  is  a specific example of the need for
  94.  
  95. mechanisms  which  have  been  discussed  at  various  times   as
  96.  
  97. "restricted routing" mechanisms.
  98.  
  99.  
  100.      The second control problem is to assure that the gateway  is
  101.  
  102. being  used  as  intended, with a reasonable level of traffic for
  103.  
  104. the  function  being  performed.   Even  if  packets  are   being
  105.  
  106. processed  for  authorized  users,  it  is  possible for failures
  107.  
  108. within the routing system or host software, for example, to cause
  109.  
  110. packets  to  loop  endlessly.   Failures of the network protocols
  111.  
  112. could similarly cause duplicate packets to be sent needlessly.
  113.  
  114.  
  115.  
  116.  
  117.  
  118.                                -1-
  119.  
  120.  
  121. IEN-181                              Bolt Beranek and Newman Inc.
  122.                                                      Jack Haverty
  123.  
  124.  
  125.  
  126.      In both cases, the concern results from the  highly  visible
  127.  
  128. impact which use of Telenet incurs, since charges are computed on
  129.  
  130. a per-packet basis.  However, the same issues are inherent in the
  131.  
  132. Catenet  itself, in that misuse of the network consumes resources
  133.  
  134. which are then unavailable for legitimate use.  Thus the  problem
  135.  
  136. of  managing  use  of  the  gateway  is most critical for the VAN
  137.  
  138. gateway, but applies as well to all gateways, and in fact to  any
  139.  
  140. shared resource.
  141.  
  142.  
  143.      In the initial implementation of the VAN  gateway,  resource
  144.  
  145. management is being provided by use of tables which enumerate the
  146.  
  147. authorized users of the gateway.   These  users  are  simply  the
  148.  
  149. addresses of the hosts, both on the ARPANET (Catenet) side and on
  150.  
  151. the Telenet side, which will be acceptable as  valid  source  and
  152.  
  153. destination  addresses of packets which transit the gateway.  All
  154.  
  155. other  packets  which  are  received  by  the  gateway  will   be
  156.  
  157. discarded.
  158.  
  159.  
  160.      In the  internet  architecture,  the  Telenet  side  of  the
  161.  
  162. gateway  appears  as a single network to the internet mechanisms.
  163.  
  164. The gateway contains a table which maps artificial host addresses
  165.  
  166. on  that  network  into  real 14-digit Telenet/X.25 addresses, in
  167.  
  168. much the same way as other networks  convert  internet  addresses
  169.  
  170. into  addresses  for  their  particular  attached  network.  X.25
  171.  
  172. virtual circuits are only permitted between the gateway and  X.25
  173.  
  174.  
  175.  
  176.                                -2-
  177.  
  178.  
  179. IEN-181                              Bolt Beranek and Newman Inc.
  180.                                                      Jack Haverty
  181.  
  182.  
  183.  
  184. hosts   which  are  present  in  this  translation  table,  which
  185.  
  186. effectively defines the set of authorized gateway  users  in  the
  187.  
  188. X.25 community.
  189.  
  190.  
  191.      No similar table is necessary for translation  of  addresses
  192.  
  193. on  the  ARPANET  side  of the gateway, since this translation is
  194.  
  195. well defined by the internet protocol.   Without  any  additional
  196.  
  197. mechanisms,  this  would  permit  any ARPANET host to use the VAN
  198.  
  199. gateway.  In addition,  since  gateways  to  other  networks  are
  200.  
  201. simply  ARPANET  hosts, this would permit any host on the Catenet
  202.  
  203. to use the VAN gateway.
  204.  
  205.  
  206.      To restrict the user community of the VAN gateway, a  second
  207.  
  208. table  is provided, which enumerates all internet addresses which
  209.  
  210. are acceptable as sources or destinations on the ARPANET side  of
  211.  
  212. the  gateway.   Each  internet  datagram  which  arrives from the
  213.  
  214. ARPANET or Telenet is checked  to  assure  that  the  source  and
  215.  
  216. destination addresses in the internet header are listed in one of
  217.  
  218. the two tables which define the set of hosts which are  permitted
  219.  
  220. to use the VAN gateway.
  221.  
  222.  
  223.      The table entries will be set  up  directly  by  DARPA.   In
  224.  
  225. selecting  the  set  of  valid hosts, the reliability of the data
  226.  
  227. presented to the gateway should be considered.
  228.  
  229.  
  230.  
  231.  
  232.  
  233.  
  234.                                -3-
  235.  
  236.  
  237. IEN-181                              Bolt Beranek and Newman Inc.
  238.                                                      Jack Haverty
  239.  
  240.  
  241.  
  242.      In  particular,  we  note  that  there  is   a   significant
  243.  
  244. difference  in  the  addresses  presented  at  the gateway in the
  245.  
  246. internet header of each packet.  If such an address is in fact on
  247.  
  248. the  ARPANET,  the  gateway  can verify it by comparison with the
  249.  
  250. address supplied by the IMP in the ARPANET leader of the  packet.
  251.  
  252. For packets sent to the ARPANET, one can similarly expect the IMP
  253.  
  254. subnet to deliver the packet to the host specified in the ARPANET
  255.  
  256. leader.
  257.  
  258.  
  259.      If the address of a packet handled  by  the  gateway  is  on
  260.  
  261. another   component   network  of  the  Catenet,  the  packet  is
  262.  
  263. necessarily handled through one or more gateways.   The  internet
  264.  
  265. structure  permits gateways to freely enter the system.  Gateways
  266.  
  267. are in general under the control of the organization  which  owns
  268.  
  269. them  and/or  the  attached  network.  Gateways in general do not
  270.  
  271. check the addresses in the internet headers of packets which they
  272.  
  273. process,  so  it  is  possible  for  malfunctioning  hardware  or
  274.  
  275. software to emit  packets  with  incorrect  addresses.   If  such
  276.  
  277. addresses  happen  to be present in the VAN gateway tables, these
  278.  
  279. packets will be processed by the VAN gateway.
  280.  
  281.  
  282.      The impact of this situation on the policy for allowing  use
  283.  
  284. of  the  VAN  gateway  is  that  hosts on networks other than the
  285.  
  286. ARPANET are to be considered somewhat less reliable in  terms  of
  287.  
  288. enforcement  of  the usage policy.  The mechanisms in the initial
  289.  
  290.  
  291.  
  292.                                -4-
  293.  
  294.  
  295. IEN-181                              Bolt Beranek and Newman Inc.
  296.                                                      Jack Haverty
  297.  
  298.  
  299.  
  300. VAN gateway implementation will provide some  degree  of  control
  301.  
  302. over  the  use of the gateway, but these mechanisms are not to be
  303.  
  304. considered appropriate or complete in the general sense, and they
  305.  
  306. are  not  proof  against failures.  These mechanisms are intended
  307.  
  308. only as an interim measure.
  309.  
  310.  
  311.      We suggest that further development  work  on  the  internet
  312.  
  313. gateway  system,  of which the VAN gateway is a component, should
  314.  
  315. address the problems of resource control at the  internet  system
  316.  
  317. level.  Any mechanism which restricts the usage of a gateway must
  318.  
  319. be designed in conjunction with other network mechanisms, such as
  320.  
  321. routing, flow control, load sharing, and error control.
  322.  
  323.  
  324.      As an example, we can consider a hypothetical  configuration
  325.  
  326. in  which  two  VAN  gateways  are connected to Telenet, one from
  327.  
  328. ARPANET, and the other from SATNET, to  support  traffic  between
  329.  
  330. Telenet  users  and  hosts  on  ARPANET  or  SATNET.   Only these
  331.  
  332. user/hosts would be listed in the VAN gateway tables.
  333.  
  334.  
  335.      Since the VAN gateways  are  participants  in  the  internet
  336.  
  337. routing  mechanisms,  failure  of the gateway between ARPANET and
  338.  
  339. SATNET would cause the  system  to  recognize  the  path  through
  340.  
  341. TELENET,  as  a  transit  network, as a viable route for ARPANET-
  342.  
  343. SATNET traffic.  However, this traffic would be discarded at  the
  344.  
  345. VAN gateway because the addresses are not listed in its tables.
  346.  
  347.  
  348.  
  349.  
  350.                                -5-
  351.  
  352.  
  353. IEN-181                              Bolt Beranek and Newman Inc.
  354.                                                      Jack Haverty
  355.  
  356.  
  357.  
  358.      This scenario will be avoided  by  preventing  the  two  VAN
  359.  
  360. gateways  from  being  "neighbors" for routing purposes, which is
  361.  
  362. acceptable  only  in  restricted  configurations.   The   general
  363.  
  364. problem  results  from the usage restrictions at the VAN gateway,
  365.  
  366. which makes the path a valid route for one class of packets,  but
  367.  
  368. invalid  for other classes.  The current routing mechanism cannot
  369.  
  370. handle this situation.
  371.  
  372.  
  373.      In addition, the effect of the usage restrictions on  future
  374.  
  375. mechanisms for handling partitioned networks, and load sharing of
  376.  
  377. gateway paths, must be investigated.
  378.  
  379.  
  380.      We have two  mechanisms  to  propose  for  consideration  as
  381.  
  382. mechanisms  to  attack  this  problem.   The  first is a resource
  383.  
  384. control model which is a result  of  the  TIP  Login  work.   The
  385.  
  386. second  involves the use of performance models, which monitor use
  387.  
  388. of resources to determine if unexpected behavior  occurs.   These
  389.  
  390. two  mechanisms can be introduced to work more effectively in the
  391.  
  392. VAN gateway problem.
  393.  
  394.  
  395.      The architecture for the TIP Login system identifies several
  396.  
  397. abstract modules which interact to implement the resource control
  398.  
  399. functions.  A  "Control  Point"  is  the  module  which  directly
  400.  
  401. controls  the use of a resource.  It is responsible for detecting
  402.  
  403. an attempt to use  some  resource,  collecting  such  information
  404.  
  405.  
  406.  
  407.  
  408.                                -6-
  409.  
  410.  
  411. IEN-181                              Bolt Beranek and Newman Inc.
  412.                                                      Jack Haverty
  413.  
  414.  
  415.  
  416. which  identifies who is trying to use the resource and what they
  417.  
  418. are trying to do, and then  permitting  or  denying  use  of  the
  419.  
  420. resource.   The  decision  concerning whether or not a particular
  421.  
  422. usage is allowed is made by  a  "Decision  Module."  This  module
  423.  
  424. takes  the information supplied by the Control Point, and applies
  425.  
  426. the  algorithm  which  defines   the   resource   usage   policy.
  427.  
  428. Typically,  and  particularly in the Tip Login case, the Decision
  429.  
  430. Module will obtain more information  about  the  particular  user
  431.  
  432. and/or  resource involved in the decision, by using a distributed
  433.  
  434. database system.
  435.  
  436.  
  437.      In the TIP Login system, the Control Point is at  each  TIP.
  438.  
  439. Decision  Modules  are  located  in  special-purpose  hosts.  The
  440.  
  441. database system is present in those hosts as well  as  on  larger
  442.  
  443. database-maintenance  hosts, where tools to manipulate and modify
  444.  
  445. the database exist.  Typically the Decision Module identifies the
  446.  
  447. particular  individual  attempting  to use a TIP, and retrieves a
  448.  
  449. record of information specific to that individual, which  defines
  450.  
  451. his authorizations (or lack thereof).
  452.  
  453.  
  454.      Much of this mechanism should prove to be useful as a  basis
  455.  
  456. for  control  of gateways as well.  In such a system, the control
  457.  
  458. points would be at the gateways.  Decision Modules might also  be
  459.  
  460. at  the  gateways,  if  decisions  must  be  made on each packet.
  461.  
  462. Decisions might be based on source or destination  addresses,  or
  463.  
  464.  
  465.  
  466.                                -7-
  467.  
  468.  
  469. IEN-181                              Bolt Beranek and Newman Inc.
  470.                                                      Jack Haverty
  471.  
  472.  
  473.  
  474. on the identify of the individual responsible for the packet.  We
  475.  
  476. suggest that this approach be considered for further research.
  477.  
  478.  
  479.      A problem which is not  being  addressed  currently  is  the
  480.  
  481. second  control  problem mentioned earlier, namely the monitoring
  482.  
  483. of the use of some resource by an authorized user,  to  guarantee
  484.  
  485. that  the resource is being used as intended.  In the VAN gateway
  486.  
  487. case,  for  example,  a  malfunctioning  TCP  might  cause   many
  488.  
  489. unnecessary  packets to be handled, but since they are associated
  490.  
  491. with authorized addresses, no control is applied.  In addition to
  492.  
  493. the  obvious  cost  and performance penalties, lack of monitoring
  494.  
  495. precludes  the  use  of  policies  which  grant  limited  use  of
  496.  
  497. resources  to,  for example, allow some users to handle only low-
  498.  
  499. throughput traffic, or low priority traffic.  We believe that the
  500.  
  501. use  of  performance models, embedded within the gateways and for
  502.  
  503. hosts, is a promising direction for attacking this problem.
  504.  
  505.  
  506.      Limitations of the current LSI-11 implementation of the  VAN
  507.  
  508. gateway  are  likely to preclude any significant testing of these
  509.  
  510. approaches.  We  have  been  pursuing  these  ideas  as  research
  511.  
  512. issues,  which  have  surfaced  during the current implementation
  513.  
  514. efforts.
  515.  
  516.  
  517.  
  518.  
  519.  
  520.  
  521.  
  522.  
  523.  
  524.                                -8-
  525.