4. 安全考虑 (Security Considerations)
YANG模块在本文档中使用"config true"定义,这是可写/可创建/可删除的(即它们提供对配置信息的写入访问)。
敏感的可写数据节点
这些数据节点可能被视为敏感或易受攻击,在某些网络环境中需要特别考虑:
- 写入访问权限应仅授予可信实体
- 应实施适当的访问控制机制
NETCONF访问控制
建议实现"网络配置访问控制模型"(NACM)[RFC8341]:
- 限制对特定NETCONF或RESTCONF用户对特定预配置操作的访问
- 提供细粒度的访问控制策略
OSPF特定安全考虑
段路由配置完整性
前缀SID保护:
- 未经授权修改前缀SID可能导致流量被误导
- 可能造成黑洞路由或流量劫持
邻接SID保护:
- 邻接SID修改可能影响流量工程路径
- 可能破坏快速重路由保护
SRGB/SRLB冲突
不当配置的SRGB可能导致:
- 标签空间冲突
- 与其他节点的互操作性问题
- 段路由功能失效
LSA泛洪攻击
恶意配置可能触发:
- 大量LSA更新
- 网络带宽消耗
- 路由器CPU资源耗尽
推荐的安全措施
-
强认证:
- 使用OSPF认证机制保护协议消息
- OSPFv2: MD5或加密认证
- OSPFv3: IPsec
-
管理接口保护:
- 使用TLS/SSH加密NETCONF/RESTCONF会话
- 实施强密码策略
- 多因素认证
-
访问控制列表 (ACL):
- 限制管理接口访问源地址
- 实施基于角色的访问控制(RBAC)
-
配置验证:
- 实施配置提交前的验证机制
- 检测SID冲突
- 验证SRGB范围合理性
-
审计和监控:
- 记录所有配置变更
- 监控异常LSA活动
- 建立基线并检测偏离
5. IANA考虑 (IANA Considerations)
YANG模块名称注册
IANA已在"YANG模块名称"注册表[RFC6020]中注册以下URI:
URI: urn:ietf:params:xml:ns:yang:ietf-ospf-sr-mpls
Registrant Contact: OSPF工作组 ([email protected])
XML: N/A; 请求的URI是一个XML命名空间
YANG模块注册
本文档在"YANG模块名称"注册表[RFC6020]中注册以下YANG模块:
Name: ietf-ospf-sr-mpls
Namespace: urn:ietf:params:xml:ns:yang:ietf-ospf-sr-mpls
Prefix: ospf-sr-mpls
Reference: RFC 9903
6. 参考文献 (References)
6.1. 规范性参考文献 (Normative References)
-
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997.
-
[RFC2328] Moy, J., "OSPF Version 2", STD 54, RFC 2328, DOI 10.17487/RFC2328, April 1998.
-
[RFC5340] Coltun, R., Ferguson, D., Moy, J., and A. Lindem, Ed., "OSPF for IPv6", RFC 5340, DOI 10.17487/RFC5340, July 2008.
-
[RFC6020] Bjorklund, M., Ed., "YANG - A Data Modeling Language for the Network Configuration Protocol (NETCONF)", RFC 6020, DOI 10.17487/RFC6020, October 2010.
-
[RFC6991] Schoenwaelder, J., Ed., "Common YANG Data Types", RFC 6991, DOI 10.17487/RFC6991, July 2013.
-
[RFC7950] Bjorklund, M., Ed., "The YANG 1.1 Data Modeling Language", RFC 7950, DOI 10.17487/RFC7950, August 2016.
-
[RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC 2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174, May 2017.
-
[RFC8341] Bierman, A. and M. Bjorklund, "Network Configuration Access Control Model", STD 91, RFC 8341, DOI 10.17487/RFC8341, March 2018.
-
[RFC8349] Lhotka, L., Lindem, A., and Y. Qu, "A YANG Data Model for Routing Management (NMDA Version)", RFC 8349, DOI 10.17487/RFC8349, March 2018.
-
[RFC8665] Psenak, P., Ed., Previdi, S., Ed., Filsfils, C., Gredler, H., Shakir, R., Henderickx, W., and J. Tantsura, "OSPF Extensions for Segment Routing", RFC 8665, DOI 10.17487/RFC8665, December 2019.
-
[RFC8666] Psenak, P., Ed. and S. Previdi, Ed., "OSPFv3 Extensions for Segment Routing", RFC 8666, DOI 10.17487/RFC8666, December 2019.
-
[RFC9129] Yeung, D., Qu, Y., Zhang, J., Chen, I., and A. Lindem, "YANG Data Model for the OSPF Protocol", RFC 9129, DOI 10.17487/RFC9129, October 2022.
6.2. 信息性参考文献 (Informative References)
-
[RFC8340] Bjorklund, M. and L. Berger, Ed., "YANG Tree Diagrams", BCP 215, RFC 8340, DOI 10.17487/RFC8340, March 2018.
-
[RFC8660] Bashandy, A., Ed., Filsfils, C., Ed., Previdi, S., Decraene, B., Litkowski, S., and R. Shakir, "Segment Routing with the MPLS Data Plane", RFC 8660, DOI 10.17487/RFC8660, December 2019.