Reencaminamiento seguro y escalable en redes de satélites LEO

Las constelaciones de satélites de órbita terrestre baja (LEO), como Starlink, OneWeb y Kuiper, están remodelando la infraestructura mundial de Internet. Con miles de satélites conectados a través de enlaces intersatelitales, prometen una conectividad mundial de baja latencia.

Sin embargo, estas redes se enfrentan a un reto operativo fundamental: cómo mantener el flujo de datos cuando fallan los satélites o los enlaces. Los fallos pueden producirse por muchas razones, como fallos del hardware, interrupciones temporales de los enlaces o ataques dirigidos.

Los mecanismos de enrutamiento existentes, como IP Fast Reroute (IPFRR) o Loop-Free Alternates (LFA), se diseñaron para topologías terrestres estables. Se basan en rutas de reserva precalculadas y a menudo asumen que los fallos son aislados y poco frecuentes. En las constelaciones LEO grandes y dinámicas ocurre lo contrario: la topología cambia constantemente y pueden producirse múltiples fallos simultáneamente.

Nuestra investigación examina cómo el alcance del conocimiento de fallos -hasta qué punto cada satélite es consciente de los fallos en curso- afecta al rendimiento y la resistencia del encaminamiento. En particular, nos centramos en los fallos multienlace, que son significativamente más perturbadores y realistas en constelaciones grandes y dinámicas.

Simular el encaminamiento en constelaciones de satélites no es sencillo. La red cambia rápidamente y la introducción de fallos realistas puede dificultar la separación de los efectos del diseño del encaminamiento de la variación aleatoria.

Afortunadamente, el Simulador de Redes del Espacio Profundo (DSNS), sobre el que construimos, ya modela los aspectos predecibles del movimiento de los satélites y la disponibilidad de los enlaces. Esto nos permitió centrarnos únicamente en las perturbaciones adversas: fallos aleatorios o selectivos que van más allá de la dinámica normal y esperada de la red.

La arquitectura modular y basada en eventos del DSNS lo hizo adecuado para ampliarlo con comportamientos personalizados de fallo y enrutamiento.

En comparación con trabajos anteriores, nuestro estudio se centra específicamente en escenarios adversos, aislando la conciencia del fallo como el principal factor que impulsa el rendimiento del enrutamiento. A diferencia de muchos modelos anteriores, nuestro enfoque no depende de la topología de constelación subyacente para las decisiones de partición o encaminamiento. Esto lo hace adaptable a disposiciones de red diferentes y potencialmente más complejas.

Nuestro objetivo principal era evaluar cómo influye la amplitud del conocimiento de los fallos en el rendimiento y la resistencia del enrutamiento en estos escenarios adversos. Para aislar este efecto, utilizamos un diseño de enrutamiento uniforme sin tablas de enrutamiento, sin rutas precalculadas y sin difusión de estado global. Todas las decisiones se toman bajo demanda, utilizando únicamente la información disponible en el momento del reenvío.

Un reto clave fue representar de forma coherente los diferentes "niveles" de conciencia. Modelizarlos de forma demasiado específica -por ejemplo, vinculados a la estructura de una constelación- limitaría la generalidad. En su lugar, definimos e implementamos tres niveles genéricos de conciencia inspirados en los enfoques de redireccionamiento existentes:

• Reencaminamiento basado en los vecinos, en el que los satélites pueden reaccionar ante fallos locales e informar a sus vecinos.
• Reencaminamiento basado en segmentos, en el que la información sobre fallos se comparte dentro de los segmentos.
• El reencaminamiento global, que utiliza el conocimiento completo e inmediato de los fallos, sirve como límite superior.

Las comparamos entre sí y con una estrategia de enrutamiento fuente puro (línea de base), en la que las rutas se fijan en el momento de su creación y no se realiza ningún reencaminamiento.

La modelización del reencaminamiento basado en segmentos resultó ser la parte más compleja del trabajo. Implica muchos parámetros ajustables, como el tamaño del segmento, cómo debe propagarse exactamente la información sobre fallos y si se deben utilizar rutas de conmutación por error u otros mecanismos de redundancia. Para mantener el modelo general y ampliamente aplicable, optamos por un diseño agnóstico de la topología, dejando espacio para futuros refinamientos y optimizaciones prácticas.

Se realizaron simulaciones en tres constelaciones a gran escala: Iridium (66 satélites), Starlink (1.584 satélites) y una constelación LEO/LEO de dos capas (1.650 satélites). Cada configuración incluía tanto fallos aleatorios, en los que una fracción de los enlaces se caía constantemente, como fallos selectivos, en los que se inutilizaban temporalmente satélites "fronterizos" estructuralmente importantes. 

Medimos la tasa de entrega de mensajes, la latencia y los bucles de enrutamiento con diferentes tasas de fallo para cuantificar cómo influye el alcance de la conciencia de fallo en el rendimiento bajo diferentes niveles de estrés de la red.

Nuestros resultados muestran que el reencaminamiento basado en segmentos funciona mejor en condiciones de red exigentes, como tráfico elevado, fallos frecuentes en los enlaces o ataques dirigidos. Al compartir información limitada sobre fallos dentro de los segmentos, los satélites pueden enrutar alrededor de los fallos de forma más eficaz sin necesidad de un estado global completo. Este enfoque logra un gran equilibrio, con hasta un 30% menos de caídas de mensajes y un 80% menos de bucles de enrutamiento que el reencaminamiento basado en vecinos en condiciones de alta tasa de fallos.

El reencaminamiento basado en los vecinos funciona bien en condiciones de poco o ningún fallo y poco tráfico, pero se degrada rápidamente a medida que los fallos se hacen más frecuentes y la red se vuelve más concurrida. Es sencillo, ligero y reacciona rápidamente con una sobrecarga de señalización muy baja, lo que puede traducirse en una menor latencia incluso si algunas rutas no son óptimas. Con mecanismos de prevención de bucles más eficaces, podría seguir siendo escalable para redes estables y con pocos fallos en las que minimizar la sobrecarga importe más que la resistencia global.

Por último, el reencaminamiento global obtiene los mejores resultados generales, pero resulta poco práctico para despliegues reales debido a su sobrecarga de señalización.

Esta investigación realiza tres contribuciones fundamentales para comprender el encaminamiento resistente en las constelaciones LEO:

1. Ampliación del DSNS para modelar fallos en múltiples enlaces e implementar tres paradigmas de reencaminamiento: vecino, segmento y global.
2. Proporcionar una evaluación sistemática y a gran escala de topologías de satélite realistas, incluidas las constelaciones Iridium, Starlink y LEO/LEO, en escenarios de fallos tanto aleatorios como selectivos.
3. Identificar el papel dominante del alcance del conocimiento de fallos en la determinación del rendimiento de la entrega, la latencia y la sobrecarga de señalización, y cuantificar las compensaciones entre ellos.

Nuestros resultados sugieren las circunstancias en las que cada paradigma es más eficaz, desde el reencaminamiento ligero basado en vecinos en redes estables hasta un enfoque robusto basado en segmentos en condiciones de gran tensión.

Estos resultados son relevantes para las constelaciones LEO planificadas o ya operativas que deben seguir funcionando bajo fallos parciales o ataques. El reencaminamiento basado en segmentos ofrece una vía práctica hacia la escalabilidad y la seguridad, evitando el coste de una coordinación global completa y manteniendo al mismo tiempo un sólido rendimiento de entrega. Nuestro enfoque se adapta a redes que:

• Necesidad de mantenerse resistente sin comprometer demasiado los gastos generales.
• Prefiera no depender de particiones de topología rígida.
• Desea restringir el intercambio de información a través de los límites organizativos o de seguridad.

Un siguiente paso natural es estudiar cómo se comporta el encaminamiento basado en segmentos cuando se combina con rutas de conmutación por error o de reserva, u otras mejoras específicas para aumentar la robustez.

Los trabajos futuros también podrían explorar la integración de mecanismos de autenticación y confianza en el redireccionamiento basado en segmentos para evitar que los nodos maliciosos difundan información falsa sobre fallos. Además, los paradigmas podrían evaluarse en constelaciones más complejas o heterogéneas para ver cómo se escalan los resultados más allá de los modelos actuales.

Por último, mejorar la gestión de los bucles es una dirección importante, ya que nuestro enfoque actual permite y detecta los bucles, pero aún no los resuelve explícitamente.

Para más información, lea nuestro documento y este otro complementario sobre DSNS.

Lyubomir Yanev es estudiante de primer semestre de máster en el Departamento de Informática de la ETH de Zúrich, donde también se licenció en Informática. Sus principales intereses se centran en la seguridad de las redes y la seguridad de la información aplicada.

Adaptado del post original, que apareció por primera vez en el blog de APNIC.

Las opiniones expresadas por los autores de este blog son suyas y no reflejan necesariamente los puntos de vista de la Internet Society.