home *** CD-ROM | disk | FTP | other *** search
/ Internet Standards / CD1.mdf / MISC / MERIT / NOOP / PLANS / MITRE_RT.V2 < prev    next >
Encoding:
Internet Message Format  |  1991-04-08  |  23.1 KB
  1. From noop-owner@merit.edu Wed Mar 20 12:40:16 1991
  2. Received: Wed, 20 Mar 91 12:40:13 EST from merit.edu by rivendell.merit.edu (5.51/1.6)
  3. Received: by merit.edu (5.65/1123-1.0)
  4.     id AA07773; Wed, 20 Mar 91 12:37:43 -0500
  5. Received: from gateway.mitre.org by merit.edu (5.65/1123-1.0)
  6.     id AA07769; Wed, 20 Mar 91 12:37:36 -0500
  7. Received: from dockside.mitre.org by gateway.mitre.org (5.61/SMI-2.2)
  8.     id AA29195; Wed, 20 Mar 91 12:37:18 -0500
  9. Return-Path: <lazear@gateway.mitre.org>
  10. Received: by dockside.mitre.org (5.54/SMI-2.2)
  11.     id AA03639; Wed, 20 Mar 91 12:38:53 EST
  12. Date: Wed, 20 Mar 91 12:38:53 EST
  13. From: lazear@gateway.mitre.org
  14. Message-Id: <9103201738.AA03639@dockside.mitre.org>
  15. To: mitre-osi@gateway.mitre.org
  16. Subject: New OSI Routing plan
  17. Cc: barns@gateway.mitre.org, noop@merit.edu, sallyt@gateway.mitre.org,
  18.         skh@merit.edu
  19. Status: RO
  20.  
  21. Here is the updated OSI routing plan for MITRE's pilot effort.
  22. This is a major rewrite from the previous one and includes a
  23. lot of recently-discussed notions about whether being a
  24. "good Internet citizen" is good for MITRE.  Again, this is
  25. preliminary and needs your comments.
  26.  
  27.     Walt
  28. ===============================================================
  29.  
  30.  
  31.  
  32.  
  33.  
  34.  
  35.                                      SECTION 1
  36.  
  37.                                     OSI ROUTING
  38.  
  39.  
  40.              NOTE:  This draft is dated 20 March 1991.
  41.            This paper is a preliminary  draft  of  the  proposed  routing
  42.            architecture, implementation approach, and outstanding issues.
  43.            The text here is composed  of  distilled  correspondence  with
  44.            national-level standards participants, members of implementors
  45.            groups, and MITRE staff.   It  is  rough  and  intended  as  a
  46.            working  draft to stimulate early thought about the design and
  47.            implementation of OSI routing.  The reader  is  encouraged  to
  48.            discuss   the  contents,  suggest  improvements,  and  correct
  49.            misconceptions   with   the    author    (Walt    Lazear    --
  50.            lazear@gateway.mitre.org).
  51.  
  52.              This task is to define and implement OSI routing  in  MITRE.
  53.            It  will  be  performed jointly by W31 (John McGuthry and Mike
  54.            Saintcross) and W154 (Clay Speicher and  John  Jamison).   The
  55.            cisco  configurations, software bugs, and lessons-learned will
  56.            be documented.
  57.  
  58.  
  59.            1.1  ADDRESSES
  60.  
  61.  
  62.            1.1.1  General Situation
  63.            The GOSIP format for the NSAP is  the  format  of  choice  for
  64.            Government  and  Internet  systems and should match the format
  65.            being defined by ANSI this year.  Routing  between  the  GOSIP
  66.            (NIST)  and  ANSI formats should not be an issue.  There are a
  67.            number of hierarchy levels in the GOSIP NSAP.   Some  of  them
  68.            are of interest (with octet count in parens):
  69.  
  70.                   AA (3)       - Administrative Authority
  71.                                - normally given to a regional.
  72.                   RD (2)       - Routing Domain
  73.                                - normally given to a campus or company.
  74.                   Area (2)     - Area within RD
  75.                                - used within a campus or company
  76.                   System-ID (6)- SID of a host or router
  77.                   Selector(1)   - Protocol number (like TCP port)
  78.  
  79.              In looking at the address hierarchy structure in  NSAPs,  it
  80.            becomes  clear  that  the  so-called backbones cannot occupy a
  81.            level by themselves. They belong at the  AA  level,  but  they
  82.            should  not  consume  this large address space exclusively. It
  83.            also seems appropriate to have the regionals obtain an AA  and
  84.            make  their  subscribers (companies and campuses) into Routing
  85.            Domains.
  86.  
  87.              We should encourage our regionals (Alternet and Nearnet)  to
  88.            apply  directly  to  GSA for an AA. This can be done now at no
  89.            cost.  The address  and  procedure  has  been  posted  on  the
  90.            Internet to the noop@merit.edu list.
  91.  
  92.  
  93.  
  94.  
  95.  
  96.               The person in charge is Tom DeWitt.  His email address is
  97.               tbd@isdn.ncsl.nist.gov.
  98.  
  99.               The formal assignment action requires that you send a genuine
  100.               hardcopy letter signed by someone with a very important sounding
  101.               title.  The purpose of this is to try to prevent two or more parts
  102.               of the same organization from making independent requests.
  103.               The mailing address is:
  104.  
  105.                      Telecommunications Customer Requirements Office
  106.                      U.S. General Services Administration
  107.                      Information Resource Management Service
  108.                      Office of Telecommunications Services
  109.                      18th and F Streets, N.W.
  110.                      Washington, DC  20405
  111.  
  112.               The requestor provides the following information:
  113.  
  114.                      NSAP ADMINISTRATIVE AUTHORITY IDENTIFIER (AAI) REQUEST FORM
  115.                      Requestor's name:
  116.                      Title:
  117.                      Organization:
  118.                      Postal Address:
  119.                      Phone Number:
  120.                      Fax Number:
  121.                      E-Mail Address:
  122.                      Date Needed:
  123.                      Statement of Requirement:
  124.                      This is where you say why you need it.
  125.  
  126.  
  127.  
  128.                                     Figure 1.
  129.  
  130.  
  131.  
  132.              Making a company or campus an RD gives the Area level to the
  133.            subscribers  to  use  within their organization for subnetting
  134.            (by buildings, labs, etc., without resorting to funny  System-
  135.            ID numbers (to create subnets) and without breaking the use of
  136.            MAC addresses (Ethernet) as System-ID  (48  bits,  6  octets).
  137.            This  works  well  for  companies  and campuses connected to a
  138.            single regional net.  Organizations with multiple  connections
  139.            to regionals, however, present a different set of requirements
  140.            and demand a different solution (at least until  better  tools
  141.            are available to support such complex situations).
  142.  
  143.            1.1.2  MITRE Situation
  144.  
  145.              MITRE has a complex topology that does not fit  well  within
  146.            the  strictly hierarchical NSAP address space.  Notably, MITRE
  147.            has connections to three regional networks (Milnet,  Alternet,
  148.            and Nearnet).  OSINET could be considered as a fourth regional
  149.            network.    MITRE   has   nationwide   geographic   dispersion
  150.            (Massachusetts,  Virginia, Colorado, and New Jersey are linked
  151.            as one  corporate  network).   As  discussed  in  the  Callon,
  152.            Colella, and Gardner paper "Guidelines for OSI NSAP Allocation
  153.            in the  Internet,"  the  use  of  a  regional's  prefix  in  a
  154.            company's NSAP means that the company's addresses will have to
  155.            be changed if the connection point  is  changed.   This  would
  156.            mean  that some portion of MITRE's addresses would change each
  157.            time one of the four connection points was changed or dropped.
  158.  
  159.              We recognize that the address  change  is  an  architectural
  160.            "feature" of the GOSIP structure and that tools will be needed
  161.            to support such turbulence, but that support is not in place:
  162.  
  163.              The  routing  protocols  do  not  carry   enough   alternate
  164.              addresses for a node to make this turbulence practical.
  165.  
  166.              There is no  widespread  end-system  software  that  chooses
  167.              another NSAP address if errors are received.
  168.  
  169.              There is no regional support  to  redirect  packets  to  new
  170.              routes for sites that changed addresses.
  171.  
  172.              There is no support in the  Transport  protocols  to  change
  173.              NSAPs if one becomes unreachable.
  174.  
  175.              There  is  no  Directory  Services  X.500   help   for   the
  176.              transition.
  177.  
  178.              Work on defining the necessary support is  already  underway
  179.            in  such standards bodies as ANSI X3S3.3 and the IETF, but the
  180.            efforts are slow and not well supported at present.  This  can
  181.            be  expected  to change as more installations of OSI protocols
  182.            require the suppport.
  183.  
  184.            1.1.3  Corporate Administrative Authority
  185.  
  186.              To avoid the internal administrative burden discussed above,
  187.            MITRE  should obtain a single AA directly from GSA.  Addresses
  188.            should be assigned and  registered  by  each  campus  computer
  189.            center,  as  is  done  with  IP  and  Ethernet  addresses now.
  190.            Registration logs should  be  exchanged  among  interconnected
  191.            campuses,  to  aid  in  monitoring network traffic and solving
  192.            network  problems.   Arrangements  will  be  made   with   the
  193.            connected regionals to advertise a route to the MITRE AA.
  194.  
  195.            1.1.4  Campus Routing Domains
  196.  
  197.              Each campus should obtain an RD domain identifier  from  the
  198.            MITRE AA address space.  For example, Washington, Bedford, and
  199.            Colorado Springs should each have an RD assigned to them.   As
  200.            initial  participants in the Pilot effort, these sites can get
  201.            separate  RDs  from  Alternet,  to  allow  them  to  establish
  202.            registration  and  assignment  procedures  in the style of the
  203.            production system.  Some experimental systems in  Bedford  and
  204.            Washington  will  have  to  change from OSINET or private NSAP
  205.            formats to the GOSIP one.
  206.  
  207.              The hierarchical levels within the NSAP means that,  in  the
  208.            case  of  fully  connected  sites, traffic will be routed to a
  209.            Well-known Entry Point (WEP) for  the  site  RD.  From  there,
  210.            internal  links  can  be used to route within the site Routing
  211.            Domain (RD).  The external OSI infrastructure won't route to a
  212.            separate  MITRE  island.   Non-connected  sites  are discussed
  213.            below.
  214.  
  215.            1.1.5  Building Areas
  216.  
  217.              Initially, we should try to assign addresses as we expect to
  218.            see  them  in  the long run.  We propose that routing Areas be
  219.            assigned within an RD by building.  Extra-large buildings  can
  220.            be   subdivided   into  as  many  Areas  as  make  sense.   As
  221.            familiarity  with  OSI   routing   protocols   grows,   campus
  222.            administrators may decide to subdivide further.
  223.  
  224.  
  225.            1.1.6  System IDs
  226.  
  227.              System IDs should be MAC-based (Ethernet), or assigned  from
  228.            the  locally-assigned  pool of Ethernet addresses (setting the
  229.            x'40' bit in the first octet), using the central  registry  at
  230.            the  computer  centers.   The  local pool can be used to embed
  231.            meaningful numbers in the System ID, such  as  IP  address  or
  232.            serial  number.   The  System  ID  may also be a simple number
  233.            assigned from a sequential pool or registry.  The benefits  in
  234.            using  a  MAC  address  as  the  System  ID  are  to guarantee
  235.            uniqueness of the NSAP address thus generated,  to  allow  the
  236.            process  to  be automated, and to ease the monitoring of a LAN
  237.            by address. The benefit  of  using  an  IP  address  is  again
  238.            uniqueness  (although  we  don't  want  to  have  to assign IP
  239.            addresses to OSI-only hosts forever).  The danger in embedding
  240.            real  information  in  the  System  ID is that some program or
  241.            local protocl will try to interpret this information (that is,
  242.            "reverse  engineer"  a  MAC  or IP address).  Such efforts are
  243.            naive and in error.
  244.  
  245.            1.1.7  Site Routing Domains
  246.  
  247.              Each site, regardless of size, should be assigned a  Routing
  248.            Domain  number now.  They can develop their OSI environment as
  249.            an "island", using  the  guidelines  developed  for  the  main
  250.            campuses  to  create  Areas  and System-IDs.  When and if they
  251.            connect to the corporate LAN, they  will  fit  correctly  into
  252.            MITRE's addressing and routing scheme.
  253.  
  254.              Further, if they are going to use something (like  DDN)  for
  255.            Internet  connectivity,  then they should "additionally" get a
  256.            block of RD identifiers from their connectivity provider  (eg,
  257.            regional  net).  This way they will fit easily into the global
  258.            routing scheme.  Access through this additional address  space
  259.            is  independent  of whether the site has connected directly to
  260.            the  corporate  LAN.   There  is  the  administrative   burden
  261.            (discussed  above)  of  changing these additional addresses if
  262.            the regional provider is changed or dropped.
  263.  
  264.  
  265.            1.2  PROTOCOLS
  266.  
  267.              All routers on the  MITRE  backbone  are  ciscos  and  as  a
  268.            temporary  measure  we can use their proprietary IGRP solution
  269.            to the IS-IS lack.  When the standard solution appears, we can
  270.            shift to it.
  271.  
  272.            1.2.1  Static
  273.  
  274.              Static routing will be the primary mode in the IE Testbed to
  275.            keep  the  routing  simple  and  common  across  all  types of
  276.            components (eg, ciscos and MicroVaxes).
  277.  
  278.            1.2.2  Dynamic
  279.  
  280.              The goal is to use cisco's dynamic OSI IGRP protocol on  the
  281.            production  LAN.   Cisco  says if you are running a version of
  282.            the ROMs after 8.1(19), you should  be  able  to  use  dynamic
  283.            routing (with ISO IGRP).
  284.  
  285.            1.2.3  Management
  286.  
  287.              The Internet has defined a MIB (in RFC 1162) for  monitoring
  288.            CLNP  and ES-IS with SNMP.  This is a potential way to monitor
  289.            the  ciscos,  but  will  need   exploration.    We   will   be
  290.            incorporating  this  MIB  into  the SunNet Manager software to
  291.            test the monitoring of the cisco OSI routing.
  292.  
  293.  
  294.            1.3  SECURITY
  295.  
  296.              Initially, we will not try  to  bridge  the  MITRE  security
  297.            perimeter  with OSI protocols.  Applications may use some form
  298.            of "tunnelling" at the application layer, or we  might  use  a
  299.            couple  of transport layer gateways (TCP to TP4) to accomplish
  300.            this.  In the end, we'll certainly want to put the full  stack
  301.            through the perimeter.  This will be a topic of discussion for
  302.            future Information Security Committee meetings.
  303.  
  304.              We'd like to duplicate the filtering available under TCP/IP.
  305.            The "discard" option on the CLNS ROUTE command seems to be the
  306.            only  mechanism  to  limit  traffic.  The  full  "permit/deny"
  307.            access-list  mechanism  for  CLNS  is  desirable, but is still
  308.            under development.  Early email  exchanges  with  cisco  about
  309.            this facility were encouraging.
  310.  
  311.  
  312.            1.4  TESTING
  313.  
  314.  
  315.            1.4.1  I.E. Testbed (outside)
  316.  
  317.              We have been talking about how to hook in the IE Testbed  to
  318.            Alternet  for  OSI purposes.  One of the guiding thoughts that
  319.            came out of the discussion is that we don't want to upset  the
  320.            testbed  functioning.   This  means  keeping the logging of IP
  321.            traffic consistent with the past  two  years  collection.   It
  322.            means  keeping OSI traffic segregated when possible.  It means
  323.            not bouncing operational testbed gateways frequently.
  324.  
  325.              There are really two efforts going on.  One is  to  talk  to
  326.            the outside world thru Alternet.  The other is to route within
  327.            the testbed.  These turn out to be parallel efforts, with  the
  328.            outside effort leading the learning curve.
  329.  
  330.              We will use the 3rd testbed  cisco  as  the  exclusively-OSI
  331.            gateway.  It  has  2 ethers and we can possibly add a 3rd 3COM
  332.            board.  (Note: we are still awaiting new ROMs for this cisco).
  333.            It would be connected to the Transit LAN (Alternet) and to net
  334.            3. Thus, it would be the interface to the  outside  and  could
  335.            route  initially  to net 3 inside.  Frequent rebooting for new
  336.            config files would not be an issue,  since  it's  a  dedicated
  337.            gateway for OSI. A Sun running SunNet OSI 7.0 will be attached
  338.            to net 3 and act as the test  host  for  initial  connectivity
  339.            tests  to  Alternet.  The current ("production") cisco between
  340.            testbed nets 1, 2, & 3 would stay as is, until the OSI routing
  341.            is  stable.  At that time it would activate the OSI routing in
  342.            its config file.
  343.  
  344.              Thus, IPgw (MicroVax  named  Radegond),  MITREgw,  and  TBgw
  345.            would  be  the IP routers, and OSIgw and TBgw would be the OSI
  346.            routers. Later, Radegond could be modified to  take  over  OSI
  347.            routing   for  the  IE  Testbed  with  properly  designed  and
  348.            integrated  OSI  routing  and  instrumentation/logging.    The
  349.            picture looks like this:
  350.            Early end to end  testing  can  be  done  across  Alternet  to
  351.            Nordunet  (to which they're directly attached).  Both Alternet
  352.            and Nordunet are totally online with OSI and are awaiting  our
  353.            participation.
  354.  
  355.              When OSI routing is working well  among  the  local  testbed
  356.            networks,  the  T1 line to DCEC (DCECgw) and their systems can
  357.            be included in the effort.  Their  addresses  and  assignments
  358.            need to be designed.
  359.  
  360.            1.4.2  Washington (inside)
  361.  
  362.              The IE Testbed  environment  is  purely  IP  and  CLNP,  and
  363.            resides  outside  the  MITRE  production environment.  Testing
  364.            inside MITRE will show compatibility with additional protocols
  365.            (mainly  Appletalk  and Novell IPX).  We're preparing a matrix
  366.  
  367.  
  368.  
  369.  
  370.                                             T1
  371.                                              |
  372.                                        +-----------+
  373.                                        |Alternet-gw|
  374.                                        +-----------+
  375.                                              |
  376.                                  --------------------------Transit-LAN
  377.                                   |            |       |
  378.                                +----+       +-----+ +-------+
  379.                                |IPgw|       |OSIgw| |MITREgw|-------MITRE-LAN
  380.                                +----+       +-----+ +-------+
  381.                                   |            |       |
  382.                                -------------1  ---------3
  383.                                  |         |   |      |
  384.                              +------+     +-----+   +---+
  385.                              |DCECgw|     |TB-gw|   |Sun|
  386.                              +------+     +-----+   +---+
  387.                                  |           |
  388.                                 T1          ------2
  389.  
  390.  
  391.                                     Figure 2.
  392.  
  393.  
  394.  
  395.            of which ciscos route/bridge which protocols.   Some  backbone
  396.            segment and appropriate subnet(s) can be used to see that that
  397.            protocol mix will co-exist properly.  Once that's shown to  be
  398.            workable,  then  we can turn on OSI routing or bridging in the
  399.            T-1 link between Bedford and Washington.  Testing can then  be
  400.            performed  between  the  two  campuses.   The link to Colorado
  401.            Springs can be activated.  Extension into the rest  of  either
  402.            campus can proceed independently.
  403.  
  404.            1.4.3  Bedford (inside)
  405.  
  406.              Dave Miller writes: I wanted to let you know  what  our  OSI
  407.            router  testbed  looks  like  in Bedford.  We currently have 1
  408.            cisco and 2 3Com routers routing  OSI  over  4  subnets.   The
  409.            config looks something like this:
  410.            As far as I know we're the only people at Bedford routing  OSI
  411.            traffic,  but all of the other cisco's in the Bedford backbone
  412.            have bridging enabled and should pass OSI traffic.   Once  you
  413.            guys  get  your  routers  setup  - it should be fairly easy to
  414.            route traffic between testbeds -  just  a  few  static  routes
  415.            pointing to your testbed.
  416.  
  417.  
  418.  
  419.  
  420.  
  421.                          ------------------------------------
  422.                           MITRE Ethernet    |
  423.                                        -----------
  424.                                        | cisco   |----------------------
  425.                                        -----------    subnet 0004
  426.                                          |      |
  427.                          -------------------   -----------------------
  428.                             subnet 0001  |      |  subnet 0002  |
  429.                                        -----------         ----------
  430.                                        |  3Com   |         |  3Com  |
  431.                                        -----------         ----------
  432.                                                                 |
  433.                                                 -----------------------
  434.                                                   subnet 0003
  435.  
  436.  
  437.                                     Figure 3.
  438.  
  439.  
  440.  
  441.            We're currently using OSInet address space in Bedford, but I'd
  442.            like  to  start  using  GOSIP  2 (IS-IS) style addresses.  Our
  443.            addresses currently look like:
  444.  
  445.              AFI=47 IDI=0004 ORG=0018 SUBNET=000X  SYSTEM-ID=XXXXXXXXXXXX
  446.            N-SEL=XX
  447.  
  448.  
  449.            1.4.4  Tools
  450.  
  451.              There are several tools around for testing (Argo, ISODE, and
  452.            private).
  453.  
  454.              PING -- There is an OSI ping (called "clnpping")  that's  in
  455.              /usr/local/bin  on the testbed MicroVaxen.  It came with the
  456.              Argo code from U. Wisconsin, and has probably been  modified
  457.              since.
  458.  
  459.              TRACEROUTE -- Merit has used the Argo software to  create  a
  460.              "traceroute".  We will be trying to obtain a copy.
  461.  
  462.              PACKET DUMP -- There is now a single  packet  trace  program
  463.              for  TCP  and OSI traffic. ("trace -o" and "trace -t").  The
  464.              program was formerly called "TCPtrace".
  465.  
  466.              These tools may need modification when used with  other  OSI
  467.            software.   The  Wisconsin  stuff  uses  the old RFC 986 style
  468.            NSAPs only and the tools probably can't parse  anything  else.
  469.            The changes needed should not be major.
  470.  
  471.  
  472.            1.5  ISSUES
  473.  
  474.            1.5.1  Security Filtering
  475.            The concern is the limiting of  traffic  to  and  from  a  few
  476.            designated  hosts.   The current cisco filtering of IP traffic
  477.            does not have a direct  counterpart  in  CLNP.   Conversations
  478.            with cisco are making our needs known.
  479.  
  480.            1.5.2  Washington Test Facilities
  481.            Which systems will be used on the production LAN for  testing?
  482.            Can a couple of Macintoshes be loaned for Appletalk testing on
  483.            the IE Testbed before testing on the production LAN?
  484.  
  485.            1.5.3  OSI Site Testing
  486.            Which site will be used to test the Alternet connection?  Will
  487.            we  need  to  take  a  Testbed  Sun  to  Alternet to act as an
  488.            intermediate test host?
  489.  
  490.            1.5.4  Alternate Routes
  491.            What's the mechanism going to be to advertise a  "private"  AA
  492.            across many regionals?
  493.  
  494.  
  495.  
  496.  
  497.  
  498.