8.2. SRv6

8.2. SRv6

IPv6 データプレーンに適用される場合, Segment Routing (セグメントルーティング) は Segment Routing Header (セグメントルーティングヘッダ, SRH, [IPv6-SRH]) を導入します。これは [RFC8200] で定義されているルーティング拡張ヘッダ (Routing Extension header) の一種です。

SRH は IPv6 パケットにメタデータを追加します。これにはパケットが通過しなければならない転送パス要素 (例えば, ノード, リンク, サービスなど) のリストが含まれ, これらは IPv6 アドレスで表現されます。完全なソースルーティングパスは単一のセグメント (単一の IPv6 アドレス) を使用してパケットにエンコードできます。

SR ドメイン境界ルータは, 信頼されたドメインの SRGB 内のアドレスまたは特定の境界ルータの SRLB 内のアドレスを宛先とする外部トラフィックをフィルタリングしなければなりません。外部トラフィックとは, 信頼ドメイン外のノードに接続されたインターフェースから受信したトラフィックです。

ネットワーク保護の観点から, パケットに SRH を追加するノードはそうすることを許可されていると仮定される信頼モデルがあります。したがって, デフォルトでは, 明示的なルーティング情報は管理ドメインの境界を通じて漏洩してはなりません。さまざまなプロトコルで定義されている Segment Routing 拡張は, 暗号化, 認証, フィルタリングなど, これらのプロトコルのセキュリティメカニズムを活用します。

一般的なケースでは, SRv6 ルータは, これらの SID が信頼できるソースによってアドバタイズされている場合にのみ, セグメント識別子 (IPv6 アドレスの形式) を受け入れてインストールします。受信した情報は, 認証とセキュリティメカニズムを提供する既存のコントロールプレーンプロトコルを使用して検証されます。Segment Routing は既存のコントロールプレーンプロトコルに追加のセキュリティメカニズムを定義しません。

上記の動作が実装されていない場合, または仮定された信頼モデルが侵害された場合 (例えば, セキュリティ侵害を通じて), 発生する可能性のある問題には次のものが含まれます:

• 悪意のあるループ (Malicious looping)

• アクセス制御の回避 (Evasion of access controls)

• DoS 攻撃のソースの隠蔽 (Hiding the source of DoS attacks)

IPv6 データプレーンでの SR のセキュリティ上の懸念は [RFC5095] でより完全に議論されています。新しい IPv6 ベースの Segment Routing Header は [IPv6-SRH] で定義されています。この文書は上記のセキュリティ上の懸念についても議論しています。