8.2. SRv6

8.2. SRv6

当应用于 IPv6 数据平面时, Segment Routing (段路由) 确实引入了 Segment Routing Header (段路由头部, SRH, [IPv6-SRH]), 这是 [RFC8200] 中定义的一种路由扩展头部 (Routing Extension header) 类型。

SRH 向 IPv6 数据包添加了一些元数据, 其中包含数据包必须经过的转发路径元素列表 (例如, 节点、链路、服务等), 这些元素由 IPv6 地址表示。完整的源路由路径可以使用单个段 (单个 IPv6 地址) 在数据包中编码。

SR 域边界路由器必须过滤任何目的地为受信任域 SRGB 内地址或特定边界路由器 SRLB 内地址的外部流量。外部流量是指从连接到信任域外节点的接口接收的任何流量。

从网络保护的角度来看, 存在一个假定的信任模型, 即假定任何向数据包添加 SRH 的节点都被允许这样做。因此, 默认情况下, 显式路由信息绝对不能通过管理域的边界泄露。在各种协议中定义的 Segment Routing 扩展利用了这些协议的安全机制, 如加密、认证、过滤等。

在一般情况下, SRv6 路由器仅在这些 SID 由可信源通告的情况下才接受和安装段标识符 (以 IPv6 地址的形式)。接收到的信息使用提供认证和安全机制的现有控制平面协议进行验证。Segment Routing 不在现有控制平面协议中定义任何额外的安全机制。

当上述行为未实施或假定的信任模型被违反时 (例如, 通过安全漏洞), 可能出现的问题包括:

• 恶意循环 (Malicious looping)

• 逃避访问控制 (Evasion of access controls)

• 隐藏 DoS 攻击的来源 (Hiding the source of DoS attacks)

[RFC5095] 中更完整地讨论了 IPv6 数据平面上 SR 的安全问题。新的基于 IPv6 的 Segment Routing Header 在 [IPv6-SRH] 中定义。该文档还讨论了上述安全问题。