SRv6 网络演进面临的挑战

总体来说，现网演进到 SRv6 网络面临的挑战主要包括 3 点：一是要求网络设备支持 IPv6，二是需兼容现网设备，三是安全方面的挑战。

一、网络设备支持 IPv6

支持 SRv6 的前提是网络设备支持 IPv6。目前主流的网络还是 IPv4/MPLS 网络，随着 IP 技术的发展和成熟，以及运营商、内容提供商和设备商的共同努力，IPv6 的普及程度越来越高。可以预见，全 IPv6 网络离我们越来越近。事实上，现网绝大多数的网络设备已经具备了 IPv4/IPv6 的双栈能力，这也为向 SRv6 演进打下了坚实的基础。

二、SRv6 网络如何兼容现网设备

向 SRv6 网络演进要实现对现网设备的兼容。网络的升级需要大量的投资，特别是网络更新换代，例如从 IPv4 升级到 IPv6、从 SR-MPLS 升级到 SRv6。兼容现网设备是任何新协议获得成功的关键。

支持 SRv6 需要同时对网络设备的软硬件进行升级。软件需要升级支持 SRv6 相关的控制协议，例如升级 IGP、BGP 扩展支持 SRv6 等，这对现有网络设备的影响可控。硬件设备的升级则存在比较大的挑战。SRv6 赋予了 IPv6 地址更为丰富的含义，引入了 SRH 和转发平面 TLV 封装等机制。

这些技术带来丰富的网络编程能力的同时，也对网络设备的处理能力提出了更高的要求。通常，为了实现高性能的报文处理和转发，对 SRH、TLV 的处理一般都需要相应的硬件功能来实现。另外，为了支持更精细化的 TE、SFC 和 IOAM 等功能，网络硬件设备需要具备处理更深 SRv6 SID 栈的能力。这些都对现网设备提出了一定程度的挑战。

三、SRv6 网络面临的安全挑战

网络安全和我们每一个人的利益密切相关，也是网络运营商最关心的话题之一。部署任何一种新技术都需要考虑安全保护的问题，SRv6 也不例外。与其他网络一样，SRv6 网络也面临如下可能的网络安全威胁 。

• 窃听：若报文未采用加密等手段，则入侵者可能在报文经过的设备上截获传送的数据，并通过多次窃取和分析，找到信息的规律和格式，进而获取传输信息的内容，造成信息的泄露。

• 报文篡改：入侵者掌握了信息的格式和规律后，通过一定的技术手段和方法，在信息传递的途中对信息进行篡改，然后再发向目的节点，进行欺骗或攻击。

• 仿冒：由于掌握了数据格式篡改的方法，攻击者可以冒充合法用户，主动发送假冒信息或者主动获取信息，从而欺骗远端用户，非法窃取信息或攻击网络。

• 回放攻击：通过非法截获报文，过一段时间再重新发送该报文来造成攻击。比如截获携带登录账号密码的报文，过一段时间再回放报文，完成登录。

• DDoS 攻击：一个或多个攻击者不断发送攻击报文，使得被攻击目标不停地为其需求提供服务，从而耗尽被攻击者的资源，使其无法为其他用户提供服务的攻击类型。

• 恶意报文攻击：攻击者发送具有攻击性的可执行代码或报文，直接攻击目标主机。

此外，SRv6 作为一种源路由技术，同样存在源路由机制的安全问题。比如，源路由机制允许入节点指定转发路径给攻击者提供了定点攻击的手段。Routing Type 0（RH0）类型的 IPv6 Routing Header 被弃用的主要原因就是没有解决这些安全问题 。RH0 遇到的源路由机制的安全问题也是 SRv6 SRH 需要解决的。RH0 存在的安全问题主要包含以下几种。

• 远程网络发现：主要是基于已有的 Tracing 技术获取最短路径转发的沿途节点信息，再通过在 RH0 中插入指定的节点地址，让报文按照指定的路径转发，继续探明其他网络节点，不断遍历，最终获得全网拓扑。

• 绕过防火墙：利用防火墙只基于五元组匹配的策略漏洞来绕过防火墙。比如防火墙丢包规则中丢弃源地址为节点 A、目的地址为节点 D 的报文，只需要向 RH0 中插入节点 B 的地址，使得报文先以节点 B 为目的地址通过防火墙，再在节点 B 更换目的地址为节点 D，这样就绕过了防火墙。

• DoS 攻击：由于 RH0 不限制插入重复的地址，所以如果往路由扩展报文头中插入多组重复的 SID，就可以让数据在网络中来回转发，从而实现放大攻击，最终耗尽设备资源实现 DoS 攻击。比如 RH0 中插入了 50 组节点 A 的地址和节点 B 的地址，就可以在节点 A 和节点 B 之间创造 50 倍的攻击流量。

以上是 RH0 带来的主要的安全问题，也是源路由机制带来的公共安全问题，这些问题也是 SRv6 SRH 需要解决的问题。为解决 SRv6 网络面临的这些安全挑战，需要设计对应的安全解决方案。