Passa al contenuto principale

8.2. SRv6

8.2. SRv6

Quando applicato al piano dati IPv6, Segment Routing introduce il Segment Routing Header (intestazione di routing di segmento, SRH, [IPv6-SRH]) che è un tipo di intestazione di estensione di routing come definito in [RFC8200].

L'SRH aggiunge alcuni metadati al pacchetto IPv6, con l'elenco degli elementi del percorso di inoltro (ad esempio, nodi, collegamenti, servizi, ecc.) che il pacchetto deve attraversare e che sono rappresentati da indirizzi IPv6. Un percorso source-routed completo può essere codificato nel pacchetto utilizzando un singolo segmento (singolo indirizzo IPv6).

I router di confine del dominio SR DEVONO filtrare qualsiasi traffico esterno destinato a un indirizzo all'interno dell'SRGB del dominio fidato o dell'SRLB del router di confine specifico. Il traffico esterno è qualsiasi traffico ricevuto da un'interfaccia connessa a un nodo al di fuori del dominio di fiducia.

Dal punto di vista della protezione della rete, esiste un modello di fiducia presunto tale che si presume che qualsiasi nodo che aggiunge un SRH al pacchetto sia autorizzato a farlo. Pertanto, per impostazione predefinita, le informazioni di routing esplicito NON DEVONO essere divulgate attraverso i confini del dominio amministrato. Le estensioni Segment Routing che sono state definite in vari protocolli sfruttano i meccanismi di sicurezza di questi protocolli come crittografia, autenticazione, filtraggio, ecc.

Nel caso generale, un router SRv6 accetta e installa identificatori di segmento (sotto forma di indirizzi IPv6), solo se questi SID sono annunciati da una fonte attendibile. Le informazioni ricevute vengono convalidate utilizzando protocolli di piano di controllo esistenti che forniscono meccanismi di autenticazione e sicurezza. Segment Routing non definisce alcun meccanismo di sicurezza aggiuntivo nei protocolli di piano di controllo esistenti.

I problemi che possono sorgere quando i comportamenti sopra descritti non sono implementati o quando il modello di fiducia presunto viene violato (ad esempio, attraverso una violazione della sicurezza) includono:

  • Loop malevoli

  • Evasione dei controlli di accesso

  • Occultamento della fonte di attacchi DoS

Le preoccupazioni sulla sicurezza con SR sul piano dati IPv6 sono discusse più completamente in [RFC5095]. La nuova intestazione di routing di segmento basata su IPv6 è definita in [IPv6-SRH]. Questo documento discute anche le preoccupazioni sulla sicurezza di cui sopra.

Ultimo aggiornamento il