Aller au contenu principal

8.2. SRv6

8.2. SRv6

Lorsqu'il est appliqué au plan de données IPv6, le Segment Routing introduit le Segment Routing Header (en-tête de routage de segment, SRH, [IPv6-SRH]) qui est un type d'en-tête d'extension de routage tel que défini dans [RFC8200].

Le SRH ajoute certaines métadonnées au paquet IPv6, avec la liste des éléments de chemin de transfert (par exemple, noeuds, liens, services, etc.) que le paquet doit traverser et qui sont représentés par des adresses IPv6. Un chemin source complet peut être encodé dans le paquet en utilisant un seul segment (une seule adresse IPv6).

Les routeurs de frontière du domaine SR DOIVENT filtrer tout trafic externe destiné à une adresse dans le SRGB du domaine de confiance ou le SRLB du routeur de frontière spécifique. Le trafic externe est tout trafic reçu d'une interface connectée à un noeud en dehors du domaine de confiance.

Du point de vue de la protection du réseau, il existe un modèle de confiance supposé tel que tout noeud ajoutant un SRH au paquet est supposé être autorisé à le faire. Par conséquent, par défaut, les informations de routage explicites NE DOIVENT PAS fuir à travers les frontières du domaine administré. Les extensions Segment Routing qui ont été définies dans divers protocoles, tirent parti des mécanismes de sécurité de ces protocoles tels que le chiffrement, l'authentification, le filtrage, etc.

Dans le cas général, un routeur SRv6 accepte et installe des identifiants de segments (sous la forme d'adresses IPv6), uniquement si ces SID sont annoncés par une source de confiance. Les informations reçues sont validées à l'aide de protocoles de plan de contrôle existants fournissant des mécanismes d'authentification et de sécurité. Le Segment Routing ne définit aucun mécanisme de sécurité supplémentaire dans les protocoles de plan de contrôle existants.

Les problèmes qui peuvent survenir lorsque les comportements ci-dessus ne sont pas mis en oeuvre ou lorsque le modèle de confiance supposé est violé (par exemple, par une violation de sécurité) incluent:

  • Bouclage malveillant

  • Évasion des contrôles d'accès

  • Dissimulation de la source des attaques DoS

Les préoccupations de sécurité concernant le SR au niveau du plan de données IPv6 sont discutées plus complètement dans [RFC5095]. Le nouvel en-tête de routage de segment basé sur IPv6 est défini dans [IPv6-SRH]. Ce document discute également des préoccupations de sécurité ci-dessus.

Dernière mise à jour le