Zum Hauptinhalt springen

8.2. SRv6

8.2. SRv6

Wenn Segment Routing auf die IPv6-Datenebene angewendet wird, führt es den Segment Routing Header (SRH, [IPv6-SRH]) ein, der ein Typ eines Routing Extension Headers ist, wie in [RFC8200] definiert.

Der SRH fügt dem IPv6-Paket einige Metadaten hinzu, mit der Liste der Weiterleitungspfadelemente (z.B. Knoten, Verbindungen, Dienste usw.), die das Paket durchlaufen muss und die durch IPv6-Adressen dargestellt werden. Ein vollständiger quellengerouteter Pfad kann im Paket unter Verwendung eines einzelnen Segments (einzelne IPv6-Adresse) kodiert werden.

SR-Domänengrenz-Router MÜSSEN jeglichen externen Verkehr filtern, der für eine Adresse innerhalb des SRGB der vertrauenswürdigen Domäne oder des SRLB des spezifischen Grenz-Routers bestimmt ist. Externer Verkehr ist jeglicher Verkehr, der von einer Schnittstelle empfangen wird, die mit einem Knoten außerhalb der Vertrauensdomäne verbunden ist.

Aus Sicht des Netzwerkschutzes gibt es ein angenommenes Vertrauensmodell, bei dem angenommen wird, dass jeder Knoten, der einen SRH zum Paket hinzufügt, dazu berechtigt ist. Daher DÜRFEN standardmäßig die expliziten Routing-Informationen NICHT über die Grenzen der verwalteten Domäne hinausgehen. Segment-Routing-Erweiterungen, die in verschiedenen Protokollen definiert wurden, nutzen die Sicherheitsmechanismen dieser Protokolle wie Verschlüsselung, Authentifizierung, Filterung usw.

Im Allgemeinen akzeptiert und installiert ein SRv6-Router Segment-Identifikatoren (in Form von IPv6-Adressen) nur, wenn diese SIDs von einer vertrauenswürdigen Quelle angekündigt werden. Die empfangenen Informationen werden mit bestehenden Control-Plane-Protokollen validiert, die Authentifizierungs- und Sicherheitsmechanismen bereitstellen. Segment Routing definiert keine zusätzlichen Sicherheitsmechanismen in bestehenden Control-Plane-Protokollen.

Probleme, die auftreten können, wenn die oben genannten Verhaltensweisen nicht implementiert sind oder wenn das angenommene Vertrauensmodell verletzt wird (z.B. durch eine Sicherheitsverletzung), umfassen:

  • Böswillige Schleifen

  • Umgehung von Zugriffskontrollen

  • Verbergen der Quelle von DoS-Angriffen

Sicherheitsbedenken mit SR auf der IPv6-Datenebene werden ausführlicher in [RFC5095] diskutiert. Der neue IPv6-basierte Segment Routing Header ist in [IPv6-SRH] definiert. Dieses Dokument diskutiert auch die oben genannten Sicherheitsbedenken.

Letztes Update am