8.1. SR-MPLS
8.1. SR-MPLS
Lorsqu'il est appliqué au plan de données MPLS, le SR n'introduit aucun nouveau comportement ni aucun changement dans la façon dont le plan de données MPLS fonctionne. Par conséquent, du point de vue de la sécurité, ce document ne définit aucun mécanisme supplémentaire dans le plan de données MPLS.
Le SR permet l'expression d'un chemin source à l'aide d'un seul segment (le Binding SID). Par rapport à RSVP-TE, qui fournit également une capacité de routage explicite, il n'y a pas de différences fondamentales en termes d'informations fournies. RSVP-TE et Segment Routing peuvent tous deux exprimer un chemin source à l'aide d'un seul segment.
Lorsqu'un chemin est exprimé à l'aide d'une seule étiquette, la syntaxe des métadonnées est équivalente entre RSVP-TE [RFC3209] et SR.
Lorsqu'un chemin source est exprimé avec une liste de segments, des métadonnées supplémentaires sont ajoutées au paquet consistant en le chemin source que le paquet doit suivre exprimé comme une liste de segments.
Lorsqu'un chemin est exprimé à l'aide d'une pile d'étiquettes, si l'on a accès à la signification (c'est-à-dire, la classe d'équivalence de transfert) des étiquettes, on a la connaissance du chemin explicite. Pour le plan de données MPLS, comme aucune modification du plan de données n'est requise, il n'y a pas de changement fondamental de capacité. Pourtant, l'occurrence d'empilement d'étiquettes augmentera.
Les routeurs de frontière du domaine SR DOIVENT filtrer tout trafic externe destiné à une étiquette associée à un segment dans le domaine de confiance. Cela inclut les étiquettes dans le SRGB du domaine de confiance, les étiquettes dans le SRLB du routeur de frontière spécifique, et les étiquettes en dehors de l'un ou l'autre de ces blocs. Le trafic externe est tout trafic reçu d'une interface connectée à un noeud en dehors du domaine de confiance.
Du point de vue de la protection du réseau, il existe un modèle de confiance supposé tel que tout noeud imposant une pile d'étiquettes sur un paquet est supposé être autorisé à le faire. C'est un changement significatif par rapport à l'IP ordinaire offrant un routage par chemin le plus court, mais il n'est pas fondamentalement différent par rapport aux techniques existantes fournissant une capacité de routage explicite telles que RSVP-TE. Par défaut, les informations de routage explicites NE DOIVENT PAS fuir à travers les frontières du domaine administré. Les extensions Segment Routing qui ont été définies dans divers protocoles, tirent parti des mécanismes de sécurité de ces protocoles tels que le chiffrement, l'authentification, le filtrage, etc.
Dans le cas général, un routeur capable de segment routing accepte et installe des étiquettes uniquement si les étiquettes ont été préalablement annoncées par une source de confiance. Les informations reçues sont validées à l'aide de protocoles de plan de contrôle existants fournissant des mécanismes d'authentification et de sécurité. Le Segment Routing ne définit aucun mécanisme de sécurité supplémentaire dans les protocoles de plan de contrôle existants.
Le SR n'introduit pas de signalisation entre la source et les points intermédiaires d'un chemin source. Avec le SR, le chemin source est calculé à l'aide de SID précédemment annoncés dans le plan de contrôle IP. Par conséquent, en plus du filtrage et de l'annonce contrôlée des SID aux frontières du domaine SR, le filtrage dans le plan de données est également requis. Le filtrage DOIT être effectué sur le plan de transfert aux frontières du domaine SR et peut nécessiter l'examen de plusieurs étiquettes/instructions.
Pour le plan de données MPLS, il n'y a pas de nouvelles exigences car l'architecture MPLS existante permet déjà un tel routage source en empilant plusieurs étiquettes. Et, pour la protection de sécurité, [RFC4381] et [RFC5920] appellent déjà au filtrage des paquets MPLS sur les frontières de confiance.