Protokół LISP (ang. Locator/ID Separation Protocol) to mechanizm opracowany przez Cisco, którego celem jest oddzielenie tożsamości urządzenia (ID) od jego lokalizacji w sieci (Locator).
Główne założenia:
- Identyfikator (EID – Endpoint Identifier) – reprezentuje hosta, aplikację lub urządzenie, które komunikuje się w sieci. Jest stabilny i nie zmienia się, gdy host zmienia swoją lokalizację.
- Lokalizator (RLOC – Routing Locator) – reprezentuje miejsce w topologii sieci (np. adres IP routera brzegowego). Odpowiada za to, jak ruch faktycznie dotrze do celu.
Tradycyjnie w IP adres hosta pełni podwójną rolę – identyfikuje urządzenie i jednocześnie określa jego lokalizację w sieci. To prowadzi do problemów, np.:
- trudności ze skalowalnością tablic routingu w Internecie,
- komplikacje przy mobilności hostów,
- problemy przy multi-homingu i rozproszonych centrach danych.
LISP rozdziela te dwie funkcje, co pozwala:
- uprościć routing globalny (mniej wpisów w tablicach BGP),
- wspierać mobilność hostów i VM-ów (adres EID nie zmienia się przy migracji),
- ułatwić multi-homing i balansowanie ruchu.
Jak działa LISP:
- Pakiety są enkapsulowane: host wysyła do EID, ale router brzegowy (Ingress Tunnel Router, ITR) „mapuje” EID do RLOC i kapsułkuje pakiet w nowy nagłówek IP.
- Router wyjściowy (Egress Tunnel Router, ETR) odbiera pakiet, usuwa zewnętrzny nagłówek i dostarcza go do właściwego hosta.
- Do obsługi mapowania EID <=> RLOC służy map-server/map-resolver (system podobny w koncepcji do DNS).
Zastosowania:
- Sieci korporacyjne i data center (np. migracja maszyn wirtualnych).
- Multi-homing bez BGP na końcowym systemie.
- Sieci operatorskie, by zmniejszyć rozrost tablic routingu.
- Integracja z IPv6 i mobilnością użytkowników.
Można powiedzieć, że LISP to trochę taki „DNS dla routingu” – zamiast bezpośrednio używać adresów IP jako ID i Locator, korzysta z dodatkowej warstwy mapowania.
Facebook był jednym z największych wdrożeń LISP w świecie produkcyjnym. Używa go m.in. do spięcia rozproszonych centrów danych i optymalizacji routingu.
Dzięki LISP Facebook mógł efektywniej przenosić sesje użytkowników między DC bez przerywania połączeń, bo identyfikator (EID) pozostawał taki sam, a zmieniały się tylko lokalizatory (RLOC). To pozwoliło uprościć globalną architekturę i zmniejszyć zależność od bardzo skomplikowanych polityk BGP.
W Cisco SDA (Software-Defined Access) protokół LISP (Locator/ID Separation Protocol) pełni kluczową rolę w kontroli płaszczyzny sterowania – jest fundamentem działania całej architektury.
Zalety użycia LISP w SDA:
- Mobilność użytkowników – host może zmieniać punkt przyłączenia (np. inny switch w budynku lub innym kampusie), a polityki bezpieczeństwa i segmentacja (SGTs) są zachowane.
- Skalowalność – tablice routingu nie muszą być zalewane wpisami dla każdego hosta; wystarczy wiedza o RLOC.
- Łatwiejsza segmentacja – LISP działa w parze z VXLAN i SGT (Security Group Tagging), co daje granularną kontrolę dostępu.
- Integracja z DNA Center – to on orkiestruje całość i dystrybuuje polityki, ale LISP robi robotę na poziomie data-plane/control-plane.