8.1. SR-MPLS
8.1. SR-MPLS
Wenn SR auf die MPLS-Datenebene angewendet wird, führt es kein neues Verhalten ein und ändert auch nicht die Funktionsweise der MPLS-Datenebene. Daher definiert dieses Dokument aus Sicherheitssicht keinen zusätzlichen Mechanismus in der MPLS-Datenebene.
SR ermöglicht die Darstellung eines quellengerouteten Pfades unter Verwendung eines einzelnen Segments (des Binding SID). Im Vergleich zu RSVP-TE, das ebenfalls explizite Routing-Fähigkeiten bietet, gibt es keine grundlegenden Unterschiede in Bezug auf die bereitgestellten Informationen. Sowohl RSVP-TE als auch Segment Routing können einen quellengerouteten Pfad unter Verwendung eines einzelnen Segments ausdrücken.
Wenn ein Pfad mit einem einzelnen Label ausgedrückt wird, ist die Syntax der Metadaten zwischen RSVP-TE [RFC3209] und SR gleichwertig.
Wenn ein quellengerouteter Pfad mit einer Segmentliste ausgedrückt wird, werden dem Paket zusätzliche Metadaten hinzugefügt, die aus dem quellengerouteten Pfad bestehen, dem das Paket folgen muss, ausgedrückt als Segmentliste.
Wenn ein Pfad unter Verwendung eines Label-Stacks ausgedrückt wird und man Zugriff auf die Bedeutung (d.h. die Forwarding Equivalence Class) der Labels hat, hat man Kenntnis über den expliziten Pfad. Für die MPLS-Datenebene gibt es keine grundlegende Änderung der Fähigkeiten, da keine Änderung der Datenebene erforderlich ist. Dennoch wird das Auftreten von Label-Stacking zunehmen.
SR-Domänengrenz-Router MÜSSEN jeglichen externen Verkehr filtern, der für ein Label bestimmt ist, das einem Segment innerhalb der vertrauenswürdigen Domäne zugeordnet ist. Dies umfasst Labels innerhalb des SRGB der vertrauenswürdigen Domäne, Labels innerhalb des SRLB des spezifischen Grenz-Routers und Labels außerhalb dieser Blöcke. Externer Verkehr ist jeglicher Verkehr, der von einer Schnittstelle empfangen wird, die mit einem Knoten außerhalb der Vertrauensdomäne verbunden ist.
Aus Sicht des Netzwerkschutzes gibt es ein angenommenes Vertrauensmodell, bei dem angenommen wird, dass jeder Knoten, der einen Label-Stack auf ein Paket auferlegt, dazu berechtigt ist. Dies ist eine bedeutende Änderung im Vergleich zu einfachem IP, das Shortest-Path-Routing bietet, ist aber nicht grundsätzlich anders als bestehende Techniken, die explizite Routing-Fähigkeiten wie RSVP-TE bieten. Standardmäßig DÜRFEN die expliziten Routing-Informationen NICHT über die Grenzen der verwalteten Domäne hinausgehen. Segment-Routing-Erweiterungen, die in verschiedenen Protokollen definiert wurden, nutzen die Sicherheitsmechanismen dieser Protokolle wie Verschlüsselung, Authentifizierung, Filterung usw.
Im Allgemeinen akzeptiert und installiert ein segment-routing-fähiger Router Labels nur, wenn die Labels zuvor von einer vertrauenswürdigen Quelle angekündigt wurden. Die empfangenen Informationen werden mit bestehenden Control-Plane-Protokollen validiert, die Authentifizierungs- und Sicherheitsmechanismen bereitstellen. Segment Routing definiert keine zusätzlichen Sicherheitsmechanismen in bestehenden Control-Plane-Protokollen.
SR führt keine Signalisierung zwischen der Quelle und den Zwischenpunkten eines quellengerouteten Pfades ein. Mit SR wird der quellengeroutete Pfad unter Verwendung von SIDs berechnet, die zuvor in der IP-Control-Plane angekündigt wurden. Daher ist zusätzlich zur Filterung und kontrollierten Ankündigung von SIDs an den Grenzen der SR-Domäne auch eine Filterung in der Datenebene erforderlich. Die Filterung MUSS in der Forwarding-Ebene an den Grenzen der SR-Domäne durchgeführt werden und kann das Betrachten mehrerer Labels/Anweisungen erfordern.
Für die MPLS-Datenebene gibt es keine neuen Anforderungen, da die bestehende MPLS-Architektur bereits ein solches Source-Routing durch das Stapeln mehrerer Labels ermöglicht. Und für den Sicherheitsschutz fordern [RFC4381] und [RFC5920] bereits die Filterung von MPLS-Paketen an Vertrauensgrenzen.