8.1. SR-MPLS
8.1. SR-MPLS
Quando applicato al piano dati MPLS, SR non introduce alcun nuovo comportamento o alcuna modifica nel modo in cui funziona il piano dati MPLS. Pertanto, dal punto di vista della sicurezza, questo documento non definisce alcun meccanismo aggiuntivo nel piano dati MPLS.
SR consente l'espressione di un percorso source-routed utilizzando un singolo segmento (il Binding SID). Rispetto a RSVP-TE, che fornisce anche capacità di routing esplicito, non ci sono differenze fondamentali in termini di informazioni fornite. Sia RSVP-TE che Segment Routing possono esprimere un percorso source-routed utilizzando un singolo segmento.
Quando un percorso è espresso utilizzando una singola etichetta, la sintassi dei metadati è equivalente tra RSVP-TE [RFC3209] e SR.
Quando un percorso source-routed è espresso con un elenco di segmenti, vengono aggiunti al pacchetto metadati aggiuntivi costituiti dal percorso source-routed che il pacchetto deve seguire espresso come elenco di segmenti.
Quando un percorso è espresso utilizzando uno stack di etichette, se si ha accesso al significato (cioè, la classe di equivalenza di inoltro) delle etichette, si ha la conoscenza del percorso esplicito. Per il piano dati MPLS, poiché non è richiesta alcuna modifica del piano dati, non vi è alcun cambiamento fondamentale nelle capacità. Tuttavia, l'occorrenza di label stacking aumenterà.
I router di confine del dominio SR DEVONO filtrare qualsiasi traffico esterno destinato a un'etichetta associata a un segmento all'interno del dominio fidato. Ciò include le etichette all'interno dell'SRGB del dominio fidato, le etichette all'interno dell'SRLB del router di confine specifico e le etichette al di fuori di entrambi questi blocchi. Il traffico esterno è qualsiasi traffico ricevuto da un'interfaccia connessa a un nodo al di fuori del dominio di fiducia.
Dal punto di vista della protezione della rete, esiste un modello di fiducia presunto tale che si presume che qualsiasi nodo che impone uno stack di etichette su un pacchetto sia autorizzato a farlo. Questo è un cambiamento significativo rispetto al semplice IP che offre il routing del percorso più breve, ma non è fondamentalmente diverso rispetto alle tecniche esistenti che forniscono capacità di routing esplicito come RSVP-TE. Per impostazione predefinita, le informazioni di routing esplicito NON DEVONO essere divulgate attraverso i confini del dominio amministrato. Le estensioni Segment Routing che sono state definite in vari protocolli sfruttano i meccanismi di sicurezza di questi protocolli come crittografia, autenticazione, filtraggio, ecc.
Nel caso generale, un router segment-routing-capable accetta e installa le etichette solo se le etichette sono state precedentemente annunciate da una fonte attendibile. Le informazioni ricevute vengono convalidate utilizzando protocolli di piano di controllo esistenti che forniscono meccanismi di autenticazione e sicurezza. Segment Routing non definisce alcun meccanismo di sicurezza aggiuntivo nei protocolli di piano di controllo esistenti.
SR non introduce segnalazione tra la sorgente e i punti intermedi di un percorso source-routed. Con SR, il percorso source-routed viene calcolato utilizzando i SID precedentemente annunciati nel piano di controllo IP. Pertanto, oltre al filtraggio e all'annuncio controllato dei SID ai confini del dominio SR, è necessario anche il filtraggio nel piano dati. Il filtraggio DEVE essere eseguito sul piano di inoltro ai confini del dominio SR e può richiedere l'esame di più etichette/istruzioni.
Per il piano dati MPLS, non ci sono nuovi requisiti poiché l'architettura MPLS esistente consente già tale source routing impilando più etichette. E, per la protezione della sicurezza, [RFC4381] e [RFC5920] richiedono già il filtraggio dei pacchetti MPLS sui confini di fiducia.