[SRv6]《SRv6网络编程》SRv6网络的演进

最新推荐文章于 2024-07-05 17:07:17 发布
最新推荐文章于 2024-07-05 17:07:17 发布
阅读量1.8k 收藏 19
点赞数 7
分类专栏: 云网 文章标签: 网络 安全 5g SRv6
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33868661/article/details/115426405
版权
本文探讨了SRv6在网络中的增量部署策略,包括平滑演进路径和应对现有设备的挑战。同时,分析了SRv6网络安全问题,如源路由攻击,并提出了基于ACL和HMAC的防护措施。此外,还介绍了IPSec和流量过滤在保障SRv6网络安全性中的作用。
摘要由CSDN通过智能技术生成

概述

内容提要

  • SRv6的增量部署和平滑演进
  • 现网对SRv6的兼容
  • SRv6网络安全

SRv6网络演进面临的挑战

对设备能力的要求
随着对SRv6功能支持的覆盖度,对设备的能力要求不断提高
标签深度的要求高达10层或者更多,还需要支持IOAM的相关报文
在这里插入图片描述
SRv6网络面临的安全问题
因SRv6源路由特性带来的安全风险
比如,源路由机制允许入节点指定转发路径,给攻击者提供了定点攻击的手段

Routing Type 0即 RH0 类型的IPv6 Routing Header的主要问题也是SRv6 SRH需要解决的:

  • 远程网络发现:RH0可以插入指定的节点地址
  • 绕过防火墙:RH0可以替换目的地址
  • DoS攻击:RH0不限制插入重复地址

SRv6网络的增量部署

SRv6演进路线
SRv6的演进路线分为两条,如下图所示:
第一种较为简单的演进方式为实现IPv6的支持后,平滑升级到SRv6
第二种相对复杂,在该演进过程中,需要在很长时间内同时支持SR-MPLS和SRv6网络,有时还需要两者互通,这就需要专门的协议和标准的提出
在IPv6路线演进过程中,如果想要实现SR-TE的功能,则不能仅仅升级PE设备,而是需要中间的部分P设备的同时升级。最终全网升级SRv6后方可实现SRv6的端到端支持,充分利用网络编程的能力
在这里插入图片描述
SRv6网络的演进实践
场景1:在多个城域网之间快速建立或拆除VPN业务,实时地在专线中传输数据
场景2:跨省云专线的创建

现网设备兼容SRv6网络演进

现网设备若要克服SRv6升级的难点,需要提升硬件性能,且全网升级才能实现SRv6的端到端服务
当前的过渡方案包括:

  1. 使用Binding SID来弥补某些现网设备SRv6 SID栈深的短板
  2. 利用BGP或者PCE的Flowspec等技术,弥补SRv6全网覆盖度不足的短板

下面介绍如何利用SRv6加上Flowspec的流重定向功能实现端到端的流量调度
核心思想就是:
对于支持SRv6的节点,通过SRH实现流量调度;
对于不支持SRv6的节点,通过Flowspec的重定向功能实现流量疏导。
下图是一个方案示例:
在这里插入图片描述
组网中只有R1和R4是SRv6节点。先需要使流量沿着虚线所示的路劲传输。
基于这些限制条件,我们利用Flowspec作为辅助完成流量调度。
到达R2的流量将装载Flowspec表项,下一跳指向R6,按照这种方式,最终报文会沿着虚线的路劲到达目的地R4。
需要注意一点,Flowspec如果基于PCE,则路径信息和引流规则将一同发布给入节点,使路径信息和引流规则有机结合,利于自动化引流

SRv6网络安全问题

SRv6的网络安全问题包括两个重点:

  1. 通信源的可信性
  2. 传输过程中报文是否被篡改

基于这两点来指定网络安全方案

IPv6的安全措施

主要利用IPSec保证安全
该协议主要由以下3部分组成:

  1. AH(Authentication Header):数据完整性检查,数据源身份验证,防重放攻击保护
  2. ESP(Encapsulating Security Payload):加密,数据源身份验证,完整性验证,防重放攻击保护
  3. SA(Secure Association):通信两端传递算法和参数等信息,常用IKE协议

其中AH不支持加密,但是支持整个报文的完整性验证
ESP支持加密,也支持完整性验证,但是完整性验证范围仅限于ESP到ESP Trailer
IPSec分为两种模式
传输模式:
在这里插入图片描述
隧道模式:
在这里插入图片描述
隧道模式下,所有的安全封装都不会填在原始报文中间
注意:当前的SRH中的字段均为可变字段,这样一来 计算AH认证摘要时,需要跳过SRH,AH就无法确保SRH没有被篡改

源路由的安全措施

原则:防止将网络内部信息泄露给攻击者
解决源路由安全问题的两个关键:

  1. 可信网络的边界问题
  2. 来自可信网络域外流量的可信性问题
    在这里插入图片描述
    理论上我们防止SID发布到可信域之外,因此外部数据包就不可能包含可信域内的SID,解决了源路由安全问题。
    但是若必须将SID信息发布到域外,则需要在网络边缘和内部部署过滤规则(例如ACL)或安全检验(例如HMAC)

SRv6网络的安全解决方案

基础方案:基于ACL进行流量过滤,丢弃非法访问内部信息的流量

在这里插入图片描述
基础方案包括以下三方面:

  1. 对外接口上需要配置ACL规则。若SRv6报文 SIP和DIP来自域内,则丢弃报文
  2. 对外对内接口均需配置ACL规则。DIP是域内的,SIP是域外的,则丢弃报文
  3. 在域内未被声明为SID的IPv6地址被插入SegmentList,将不触发SID的处理操作。SL>0则被丢弃

增强方案:基于HMAC对通信源进行身份验证,并验证报文

为提高安全保障,解决泄露SID到外域时带来的风险,SRv6增加了HMAC机制对SRH进行验证,确保外域进来的报文来自可信数据源
SID泄露到外域的场景

  1. Binding SID场景
  2. 云数据中心中,赋予主机SRH封装能力,实现主机自主选路应用级别精细调优
    在这里插入图片描述
    解决方案:在边缘路由器上配置HMAC策略

SRv6网络安全总结

IPSec在IP协议层面提供了一定程度的安全保障。
在此基础上,通过配置ACL和HMAC保证SRv6报文来自可信数据源且无篡改
从整体上提供了对当前SRv6部署的充足安全保障

Greyplayground
关注
  • 7
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
sdn主要包含哪些接口_广域网SDN架构
weixin_39960700的博客
12-31 1127
SDN(Software Defined Netrork)软件定义网络。在网络使用中升级SDN架构,是网络智能化演进的基础,是广域网网络升级的必然途径和必选项。一、背景SDN概念的诞生已经有十多个年头,从近年来SDN技术发展与应用部署情况来看,数据中心领域技术发展成熟较早并迅速得到广泛应用,而国内大型互联网公司和运营商广域网领域相对发展要慢一些,究其原因还是由广域网的网络实际情况决定的。数据中心场...
SRv6 Network Programming.pdf
01-23
SRv6 Network Programming.pdf
华为SRv6 policy EVPN配置案例
IT技术
06-26 1172
华为SRv6 policy EVPN配置案例
SRv6源路由端到端自组网服务
12-13
基于SRv6实现的纯IPv6(报文)转发机制,实现下沉到客户端侧节点的IPv4业务流量端到端LAN应用(视频监控、内网应用) 只需部署组网的SRv6端节点,即可依托公网IPv6转发平面快速打通分支流量场景,按需协同网络与应用
[SRv6]《SRv6网络编程SRv6 OAM与随路网络测量(1/2:OAM)
Greyplayground
04-17 2266
概述 本文主要介绍SRv6 OAM和数据平面Telemetry关键技术(随路网络测量) OAM:基于已有的IPv6 OAM机制进行简单扩展,实现故障管理和性能测量 随路网络测量:基于IFIT(In-situ Flow Information Telemetry)框架实现,不引入额外的测量报文,提升了检测的准确度;支持多种随路网络测量技术的数据平面封装,可大规模部署在IP网络中 第一部分: SRv6 OAM 1.1. SRv6故障管理 1.1.1. 经典IP Ping 1.1.2. Ping SRv6 SID
华为(IPv6+系列电子书)SRv6.zip
09-09
华为(IPv6+系列电子书)SRv6.zip
IPV6网络编程.doc
09-17
IPV6网络编程.doc
金融骨干网的SRv6 Policy研究与应用
01-19
金融骨干网作为金融机构网络基础平台的重要组成部分,在当前国家推进数据中心云化及IPv6的大背景下,金融骨干网技术架构也必然需要优化演进。基于此,研究探索了SRv6 Policy在金融骨干网中的应用。首先针对金融骨干...
SRV6特性培训.pdf
04-30
1. **路径编程能力**:SRv6允许网络管理员预定义路径,提供精细化的流量工程,以优化网络资源使用并提高服务质量。 2. **简化控制平面**:与传统的逐跳路由相比,SRv6将路径选择和数据包转发分离,减少了控制平面的...
G-SRv6头压缩优化技术研究与应用
01-19
SRv6作为新一代IP网络核心技术,逐步成为5G和云时代的网络演进方向。如何解决头部开销过大、承载效率低、现网升级难的问题,使SRv6可实际商用部署,已经成为业界关注的焦点。基于这一技术难题,首先提出头压缩设计...
基于“IPv6+”的5G承载网切片技术与应用
01-19
对如何在网络基础设施层、网络切片实例层以及网络切片管理层将“IPv6+”关键技术与承载网切片结合使用进行了研究。以北京联通为例,介绍了智能城域网向基于“IPv6+”的承载网切片演进演进目标、应用场景、演进计划...
中国移动IPv6技术演进与应用白皮书
10-23
SRv6/G-SRv6技术利用IPv6的大地址空间提供灵活的路径编程能力,实现高效的数据包转发。MSR6则是在移动网络中的IPv6创新,旨在优化移动网络的性能和服务质量。IP网络切片技术允许在单一物理网络上创建多个独立的虚拟...
华为 IPv6+系列 培训视频教程【共11集】
03-30
主要内容包含: IPv6+系列 01 SRv6的技术原理和产业发展 IPv6+系列 02 G-SRv6技术原理介绍 IPv6+系列 03 网络切片 IPv6+系列 04 随流检测iFIT技术...IPv6+系列 09 IPv6网络演进策略 IPv6+系列 10 IPv6 NAT技术介绍
3GPP 5G UPF硬件技术解析.pdf
09-14
在这些参考点上 采用了不同的协议,例如 GTP 协议、分段路由协议(SRV6 或 NSH)、ICN(Information Centric Networking)协议、LISP-DP(Locator/ID Separation data plane protocol,位置/身份分离数据平面协议)...
29 企业广域承载网络架构与典型技术应用.pptx
01-25
此外,Segment Routing for IPv6(SRv6)是新一代的承载技术,基于IPv6,提供更高级别的编程能力和网络服务功能。 网络流量优化是企业网络中的重要议题,涉及到负载均衡、带宽管理、QoS策略等。通过智能调度和...
引领智能IP网络 华为智简网络四大引擎新产品.pdf
09-23
2. CloudEngine S12700E园区交换机:采用可编程Solar S芯片,能够快速适应网络业务需求,实现新业务的平滑演进。其互联互通架构支持与多种平台及第三方设备无缝对接,扩展性极强。CloudEngine S12700E拥有57.6T的单...
[SRv6]《SRv6网络编程SRv6网络在SD-WAN中的应用
Greyplayground
04-14 1831
2. SRv6在SD-WAN中的应用 2.1. 基于SRv6的SD-WAN 2.1.1. SRv6 SD-WAN的基本组网 2.1.2. SRv6 SD-WAN的控制平面处理流程 2.1.3. SRv6 SD-WAN的数据平面处理流程 2.1.4. SRv6 SD-WAN方案的优势
算力互联网网络架构;SRV6;智享WAN
最新发布
ZJQ的博客
07-05 1210
智享WAN是中国移动为应对新业务、新需求层出不穷的云时代,提出的一种整合云、边、端、网资源,提供端到端服务及动态调整能力的新型网络解决方案。它旨在通过G-SRv6技术,实现融合Overlay和Underlay网络的新一代SD-WAN,以满足企业数字化转型中对灵活网络连接和高质量上云的需求。
DDOS学习:引流--回注
weixin_38018494的博客
10-26 1209
动态BGP Flow Specification功能 配置动态BGP Flow Specification功能,需要先将流量分析服务器和网络入口设备之间建立BGP Flow Specification对等体关系,用于传递BGP Flow Specification路由。 当一个AS中存在较多的入口设备时,为了减少BGP Flow Specification对等体关系的数量,节约网络资源,可以继续部署Flow路由反射器,即Flow RR。 1、执行命令system-view,进入系统视图。 2、执行命令
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值