SRv6技术白皮书.pdf_报告吧baogao8.com-

资源描述

SRv6技术白皮书中兴通讯版权所有未经许可不得扩散第 1页 SRv6 技术白皮书 SRv6技术白皮书第 2页中兴通讯版权所有未经许可不得扩散 SRv6 技术白皮书版本日期作者审核者备注V1.0 2020/07/27 ZTE ZTE 新建关键词：分段路由， SRv6摘要： SRv6是指将 Segment Routing技术应用于 IPv6 数据平面，通过在 IPv6报文中插入一个路由扩展头 SRH（ Segment Routing Header），在 SRH 中包含了由 IPv6地址列表表示的 segment list，报文的目的地址将逐段的被更新，完成逐段转发。本文介绍了 SRv6的基本概念、实现方案和基本应用及现状。 2020ZTE Corporation.Allrightsreserved.2020版权所有中兴通讯股份有限公司保留所有权利版权声明：本文档著作权由中兴通讯股份有限公司享有。文中涉及中兴通讯股份有限公司的专有信息，未经中兴通讯股份有限公司书面许可，任何单位和个人不得使用和泄漏该文档以及该文档包含的任何图片、表格、数据及其他信息。本文档中的信息随着中兴通讯股份有限公司产品和技术的进步将不断更新，中兴通讯股份有限公司不再通知此类信息的更新。 SRv6技术白皮书中兴通讯版权所有未经许可不得扩散第 3页目录1 技术背景与分析 .61.1 产生背景 .61.2 技术特点 .62 SRv6技术实现 .72.1 概述 .72.1.1 SRH封装 .72.1.2 Segment类型 .92.1.3 SRH中的安全字段 .102.2SR域内部署模型 .102.3SRv6-TE路径的建立 .112.4 报文沿 SRv6-TE路径的转发流程 . 12 2.5L3VPNover SRv6.132.5.1 L3VPN over SRv6-plain（ SRv6 BE).142.5.2 L3VPN over SRv6-TE.142.6EVPNover SRv6.152.7SRv6Policy.162.8 基于 SR转发机制的 TI-LFA.172.9 基于 SR转发机制的微环避免 .182.10SRv6Ping/Trace-route.192.10.1 SRv6 Ping.202.10.2SRv6Trace-route.222.11SRv6SRH优化 .233 SRv6的典型应用及应用现状 .24 3.1.1 SRv6的典型应用 .243.1.1.1L2/3 VPNoverSRv6BE.243.1.1.2L2/3 VPNoverSRv6TE（ SRv6Policy） .253.1.1.3SRv6与 SR-MPLS的互联 .263.1.2 SRv6 的应用现状 .284 总结和客户价值 .285 术语及缩略语 .29 SRv6技术白皮书第 4页中兴通讯版权所有未经许可不得扩散图目录图 1 128位 SRv6SID.5图 2 SRH封装格式图 .7图 3 SRv6-TE路径建立 .10图 4 报文沿 SRv6-TE路径的转发流程 .12图 5 VPNv4 overSRv6-plain的转发流程 .13图 6 VPNv4 overSRv6-TE的转发流程 .14图 7 TI-LFA网络拓扑图 .16图 8 Segment List重导向转发示意图 .17 图 9 基于 SR转发机制的微环避免 .18图 10 SRv6 Ping/Trace-route网络拓扑 .19图 11 L2/L3VPN overSRv6BE网络拓扑 .23图 12 L2/L3VPN overSRv6BE网络拓扑 .24图 13 L2/L3VPN overSRv6TE网络拓扑 .25图 14 SRv6与 SR-MPLS互联场景 .26图 15 SRv6与 SR-MPLS端到端互联场景 .27表目录表 5-1 术语及缩略语说明表 .28 SRv6技术白皮书中兴通讯版权所有未经许可不得扩散第 5页 1 技术背景与分析1.1 产生背景移动互联网及云业务的快速发展，对承载网络的基础网络能力提出了更高的要求，包括智能管控、快速服务构建、可信的差分化服务保障、云网一体化等。SDN+NFV架构是符合当前及未来业务发展的主流网络架构： SDN主要实现网络路径集中式规划， NFV定义虚拟化网络功能云化部署，上层编排器负责业网融合，云网一体规划。传统的 MPLS， SR-MPLS、 SFC等技术往往仅能支撑路径或者业务独立部署，而SRv6 独特的 Locator+Function SID 设计同时提供路径和业务的规划能力，为两者的结合提供了完美的手段。在网络和业务编排器的支撑下， SRv6能够实现云网路径拉通及业务定义能力，为云网融合、端到端业务定义提供了极好的技术选择。SRv6一经问世，即赢得了业界的高度关注，被认为是未来网络的基础性支撑技术。运营商网络正面临网络结构和运营模式的巨大变革点，创新力度空前，也面临各种技术挑战。 SRv6应运而生，正处于技术发展和试点应用的前导期，与上层业务模式、管控支撑系统互促互进，逐渐成熟。1.2 技术特点 SR（ Segment Routing）是源路由技术的一种， SRv6是 SR技术在 IPv6网络平面的应用。 SRv6 技术在 IPv6 报文中新增 SRH（ Segment Routing Header）报头，用于存储 128bit IPv6地址格式的 SRv6SID（ segmentID）列表。128位 SRv6SID主要由三部分组成，标识节点位置的 LOC字段（ IPv6前缀格式，可路由）、标识服务和功能的 FUNC字段（本地识别）以及存储相关参数的 ARG字段（见图 1）。一个标准的 SRv6SID可以定义特定节点的路径信息及服务和功能信息。图1 128位SRv6SID由基本的 SRv6 定义，我们可以看到 SRv6 的基本特征： SID 可路由、通过 SIDLOCator FUNCTion ARGuments SRv6技术白皮书第 6页中兴通讯版权所有未经许可不得扩散可同时定义节点路径和功能服务信息。SID可路由SID的 LOC即为标准的 IPv6地址前缀，在 IPv6网络中可直接路由。可路由特性对优化现有网络带来较多的便利：在 IPv6网络中实现离散型 SRv6部署。非 segmentlist的中间节点只要支持IPv6转发即可。作为对比，一般情况下， SR-MPLS需要中间节点普遍支持 MPLS转发。举例来说，离散型部署特性在仅升级 VPNPE节点情况下即可实现基于SRv6的 VPN业务，而不必网络中所有节点进行 SRv6升级。 SRv6在跨域 LSP路径时，不需要复杂的路由扩散，转发面只要 SIDIPv6路由可达，简化跨域路径建立。简化 SR技术的网络转发面需求，不再需要专门的 MPLS转发面支撑，有 IPv6转发面基础即可。当前的 SRv6 试点和部署主要是利用了 SRv6 的可路由属性，对现有网络业务进行继承和优化。通过 SID可同时定义节点路径和功能服务信息SRv6更为核心的特性是融合了路径和业务编排能力，能够预先规划特定的路径以及路径中每一个节点的 Function动作。 yitihua2 SRv6 技术实现2.1 概述2.1.1 SRH 封装 SRv6 扩展了 RFC2460 中的 Routing Header 定义，新增一种 Segment RoutingHeader(SRH)，以包含 Segment List。如下图， IPv6 Header 中的 Next Header SRv6技术白皮书中兴通讯版权所有未经许可不得扩散第 7页取值为 43 表示下层头为 Routing Extension Header， Routing Extension Header中的 Routing Type 为 4 表示该 Routing Extension Header 是一个 SegmentRouting Header(SRH) 。图2 SRH封装格式图SRH中包含的各字段解释如下：字段名解释NextHeader 标识该 SRH所封装的下层头类型。HdrExtLen 该 SRH头的长度（以 8字节为基本单位），不包括前 8字节。RoutingType 4SegmentsLeft 表示还剩下多少个 segment 待转发。头节点在发出报文时，SegmentLeft设置为 n-1， n为 SRpolicy的 segment的总数。LastEntry 索引，是指 SRH 中的 segment list数组中最后一个数组元素对应的下标（由于 SRH中是逆序存放， LastEntry实际上是逻辑上第一个 SID的下标），它的作用是给出 SRH中实际包含的 segment的总数，取值一般为 n-1， reduced-SRH模式时为 n-2，假设 n为 SRpolicy的 segmentlist中所包含的 segment的总数。Flags 定义了以下标志：O： OAMflag， OAM报文时设置。 SRv6技术白皮书第 8页中兴通讯版权所有未经许可不得扩散 Tag 用于标识报文属于同一类或同一组，比如具有相同的属性集合的报文。SegmentList Segment List0表示最后一个 segment， Segment Listn-1表示第一个 segment。OptionalTLVs 目前仅定义了 HMACTLV和 PADTLV，注意这些 TLVs不用于路由，不用于指导转发。PADTLV用于使得 SRH整体为 8字节的整数倍。HMAC 全称为 keyed Hashed Message Authentication Code，该TLV可选，用于校验报文的源头是否允许在报文的 DA中使用当前segment，并确保报文在传输时没有被修改。2.1.2 Segment 类型 SRH中直接采用 IPv6 地址表示 Segment，可以灵活的支持非常多的类型，将不同类型的 Segment 结合在一起使用以完成特定的功能。大体上， Segment可以分为两类：表示路径信息的 Segment；表示业务信息的 Segment。典型的几种 Segment类型如下：Segment类型解释路径信息 END 路径中包含的节点。相当于 SR-MPLS中的 node-sid。END.X 路径中包含的链路。相当于 SR-MPLS 中的adjacency-sid。END.B6 路径中包含的 SRv6 policy子路径。报文进入该子路径时还可区分 Encaps/Encaps.RED等行为。END.BM 路径中包含的 SR-MPLSpolicy子路径。 L2VPN业务 END.DX2 Egress PE 上标识 VPWS 业务，内层 L2 载荷向END.DX2指定的出接口转发。END.DX2V EgressPE上标识 EVPNLXC（灵活交叉）业务，内层Ethernet载荷向指定 CE侧转发时继续根据内层 VLAN查表区分不同的出向接口。END.DT2U Egress PE 上标识 EVPN 单播业务，内层 Ethernet 载荷查询私网 MAC表转发。END.DT2M Egress PE 上标识 EVPN 组播业务，内层 Ethernet 载荷查询私网广播表转发。L3VPN业务 END.DX6 Egress PE 上标识 L3VPN 业务，内层 IPv6 载荷向END.DX6指定的出接口转发。END.DX4 Egress PE 上标识 L3VPN 业务，内层 IPv4 载荷向END.DX4指定的出接口转发。END.DT6 EgressPE上标识 L3VPN业务，内层 IPv6 载荷查询私 SRv6技术白皮书中兴通讯版权所有未经许可不得扩散第 9页网 IPv6路由表转发。END.DT4 EgressPE上标识 L3VPN业务，内层 IPv4 载荷查询私网 IPv4路由表转发。END.DT46 Egress PE 上标识 L3VPN 业务，内层 IPv6 或 IPv4 载荷查询私网 IPv6或 IPv4路由表转发。2.1.3 SRH 中的安全字段SRv6在 SRH中插入 HMAC信息以校验报文的源头是否允许在报文的 DA中使用当前 segment，并确保报文在传输时没有被修改。 HMAC 信息是根据某个 KEY和算法对样本 TXT进行计算得到的结果。 DA 对应的目的节点会使用本地保存的同样的 pre-shared key 和算法对同样的样本 TXT 进行加密，然后将加密结果与 HAMC字段进行对比看是否一致。SRH中的 HMACTLV格式如下： HMAC Key ID：是一个索引，唯一标识，可基于对TXT（ IPv6Header+SRH）文本内容运行加密算法得到 HMAC字段。 HMACKeyID如果为 0，则不包含 HMAC。HMAC：采用 pre-sharedkey和特定算法对 IPv6Header+SRH加密得到的内容。HMAC的计算方法可参考 RFC2104。2.2 SR 域内部署模型对于处于 SR domain 外的节点，它们是不可信的，不能直接使用 SR domain 内的 SID。因此可使用以下两级 ACL来保证安全： SRv6技术白皮书第 10页中兴通讯版权所有未经许可不得扩散 SRdomian的边界节点检查任何从非 SRdomain进入 SRdomain的报文如果其目的 IP是 SRdomain内的某个 SID，则将被丢弃。如果无法实施这种入向过滤策略，整个 SRdomain将暴露于 RFC5095描述的源路由攻击中。 SRdomain内的每个节点都检查报文的源 IP如果处于非 SRdomian，则丢弃报文。2.3 SRv6-TE 路径的建立如下图，建立一条从 R1 至 R9 的 SRv6-TE 路径，其路径信息为，则沿该路径转发的报文将先沿最短路径转发至节点 R3，然后沿链路 R3R7 转发至节点 R7，最后沿最短路径转发至节点 R9。该路径可以是在头结点 R1上静态配置，或通过 CSPF 计算得到，或者从控制器下发（通过netconf/pcep/bgp 等南向通道）。 R1 上可以以 SRv6-TEtunnel 或者 SRv6Policy的形式维护该 SRv6-TE路径对应的实例。图3 SRv6-TE路径建立需要将形如的路径信息转换成 SegmentList，这个转换动作可以由控制器完成，也可以由 R1节点自己完成。 R1节点可以通过 IGP泛洪学习到 R3节点的 ENDSID与 END.XSID，比如：节点 R3上可以静态配置 ENDSID为： block:a3:1节点 R3上为链路 R3R7静态配置或动态产生的 END.XSID为： block:a3:2类似的，节点 R9上可以静态配置 ENDSID为： block:a9:1这些表示路径信息的 SRv6 SID 均可通过 IGP 泛洪， R1 学习到后，则可将转换成 Segment List block:a3:1, block:a3:2, block:a9:1。当然，有些场景下 SegmentList可以直接静态配或者从控制器下发。 SRv6技术白皮书中兴通讯版权所有未经许可不得扩散第 11页需要注意 SRdomain中所有节点的 SID资源均处于同样 SIDblock范围内。每个支持 SRv6功能的节点都需要为它自身的 SRv6SID准备相应的 LocalSID表项，一般就实现为路由表项，在相应的 Local SID 表项中给出转发动作以及特定的 Function，比如 R3上可建立如下 LocalSID表项： R3 节点的SRv6 SID 都从 block:a3:/64范围中分配，这里 R3将首先对外传统的泛洪前缀 block:a3:/64，然后在 SRv6SID分配好后，再对外泛洪 SRv6SID。每个支持 SRv6 功能的节点绝对不能为学习到的远端 SRv6 SID 建立相应的remoteSID表项。2.4 报文沿 SRv6-TE 路径的转发流程如下图， R1上将流量导入至上述创建好的 SRv6-TE路径时，将直接在载荷前封装 IPv6header+SRH， SRH 中包含的 SegmentList为 block:a3:1,block:a3:2,block:a9:1，反序存放。在这个简单的例子中，只会封装一层 IPv6header+SRH，不涉及到 SRH嵌套。具体转发流程如下：1 IPv6 header 中的 DA 首先拷贝为第一个 segment 即 block:a3:1， SRH 中的Segment Left字段减 1变为 2，报文沿最短路径向目的 R3 节点转发。2 报文到达 R2， R2 节点不处于 Segment List 中，它无需支持 SRv6 功能。 R2继续将报文按最短路径向 R3转发。3 报文到达 R3 ， R3 上发现 DA(block:a3:1) 命中了 local SID 表项(block:a3:1/128)，其 function为 END。于是 R3继续根据 SRH中的 SegmentLeft获取下一个 segment(block:a3:2)，拷贝至 DA， SRH 中的 SegmentLeft字段减 1变为 1。将报文查路由表继续转发。 4 R3 上发现 DA(block:a3:2)命中了 local SID 表项 (block:a3:2/128)，其function 为 END.X。于是 R3 继续根据 SRH 中的 Segment Left 获取下一个segment(block:a9:1)，拷贝至 DA， SRH 中的 Segment Left字段减 1 变为 0。将报文向链路 R3R7 继续转发。5 报文到达 R7， R7 节点不处于 Segment List 中，它无需支持 SRv6 功能。 R7 prefix/prefix-length operation functionblock:a3 :/6 4 本地终结无block:a3 :1 /1 2 8 本地终结 ENDblock:a3 :2 /1 2 8 向链路 R3 R7 转发 END.X SRv6技术白皮书第 12页中兴通讯版权所有未经许可不得扩散继续将报文按最短路径向 R8转发。6 报文到达 R8， R8 节点不处于 Segment List 中，它无需支持 SRv6 功能。 R8继续将报文按最短路径向 R9转发。7 报文到达 R9 ， R9 上发现 DA(block:a9:1) 命中了 local SID 表项(block:a9:1/128)，其 function为 END。 R9发现 SRH 中的 Segment Left 为 0，知道自身是最后一个 segment，则剥除 IPv6 header + SRH，载荷上送至控制平面处理。图4报文沿SRv6-TE路径的转发流程上述第 4步中， R3可根据 block:a3:2/128 路由表项中含有 PSP标志（ SRH提前弹出标志）并且 SegmentLeft已更新为 0，则可直接将 SRH提前剥除，保留 IPv6header， DA为 block:a9:1，将报文向链路 R3R7转发。2.5 L3VPN over SRv6L3VPN 路由如想迭代 SRv6-plain（或称 SRv6-BE）外层隧道， egress PE 只需要在向 ingress PE通告 VPN路由的时候携带 SRv6 Service SID，后续报文转发时，将封装外层 IPv6header并且其目的地址就是 egressPE通告的 SRv6Service SID。此时 ingress PE 至 egress PE 沿途的转发均是 plain IPv6 转发，无需支持SRH解封装。L3VPN路由如想迭代 SRv6-TE外层隧道， egressPE需要在向 ingress PE通告VPN路由的时候除了携带 SRv6ServiceSID，还携带 colorextendedcommunity SRv6技术白皮书中兴通讯版权所有未经许可不得扩散第 13页（表示相应 LSA），后续报文转发时，将封装外层 IPv6header+SRH， SRH中包含满足相应 SLA的 SRv6policy的所有 SID，后跟 SRv6ServiceSID。 IngressPE至 egressPE沿途的转发，那些处于 SRH中的节点需要支持 SRv6转发。上述 SRv6ServiceSID 在 egressPE上有本地含义，由 egressPE按每 CE或每VRF分配，实际使用中它可以是 END.DT4/6SID或者 END.DX4/6SID。SRv6ServiceSID有两个作用：可用于 egressPE所处 AS内其它节点向本 egressPE的报文的路由；可用于指代相应的 L3VPNID。2.5.1 L3VPN over SRv6-plain（ SRv6 BE) 以 VPNv4overSRv6-plain为例，如下图， R9节点上按每 VRF分配 SRv6VPNSID，即分配一个 END.DT4 类型的 SRv6 VPN SID (block:a9:10/128)， R9 通过 BGP向 R1 通告相应的 VPNv4 NLRI 路由，在 BGP Prefix-SID Attribute 中携带 SRv6ServiceSID(block:a9:10)。注意 R9还需通过 IGP向外泛洪 block:a9:/64 前缀。R1收到该 VPNv4路由通告后，导入至本地的 VRF路由表。后续报文根据相应的VPN路由表转发时，直接封装外层 IPv6 header， DA直接填写为 block:a9:10，不封装 SRH。报文将沿最短路径转发直至 R9 节点， R9 上根据 DA 命中 local SID 表项，且function为 END.DT4，则 R9将外层 IPv6header剥除，将内层 IPv4载荷继续查私网路由表转发。图5 VPNv4 over SRv6-plain的转发流程2.5.2 L3VPN over SRv6-TER1上可以为 VRF配置隧道策略，使得 VPN 路由强行迭代至某个 SRv6-TE路径 SRv6技术白皮书第 14页中兴通讯版权所有未经许可不得扩散上，或者 R9 向 R1 通告 VPN 路由时同时携带 color community属性，也将使得R1将 VPN路由迭代至具有相应 color的目的地址为 R9的 SR-TE路径。以 VPNv4overSRv6-TE为例，如下图， R1上将 VPN路由迭代至 SR-TE路径，该 SR-TE 路径对应的 Segment List 为 block:a3:1, block:a3:2, block:a9:1，报文转发时， SRv6 VPN SID(block:a9:10)可以添加在尾部，即得到 block:a3:1,block:a3:2,block:a9:1,block:a9:10。 R1 可以将其中的 block:a9:1 优化掉，得到 block:a3:1,block:a3:2,block:a9:10。具体报文转发的流程不再赘述，报文将封装 IPv6header+SRH，沿 SR-TE路径转发直至 R9节点， R9上根据 DA命中 localSID表项，且 function 为 END.DT4，则 R9将外层 IPv6header+SRH剥除，将内层 IPv4载荷继续查私网路由表转发。图6 VPNv4 over SRv6-TE的转发流程2.6 EVPN over SRv6Rfc7432定义了 EVPN，主要讨论基于 MPLS 的 EVPN，也可扩展采用基于 IP的EVPN。其中定义了 4种路由类型，携带 prefix以及 MPLSlabel属性，每个标签对 MPLS封装的 EVPN流有特定的用途。 draft-ietf-bess-evpn-prefix-advertisement中定义了第 5种路由类型，也携带 MPLSlabel信息。以下是 EVPN相关的各种路由类型： SRv6技术白皮书中兴通讯版权所有未经许可不得扩散第 15页 o EthernetAuto-discovery Route (Route Type 1)o MAC/IPAdvertisement Route(Route Type 2)o Inclusive MulticastEthernetTagRoute (RouteType 3)o EthernetSegment route(Route Type 4)o IPprefixroute (Route Type 5)o Selective MulticastEthernetTagroute (Route Type 6)o IGMP join sync route (RouteType 7)o IGMP leave sync route (RouteType 8) 为了支持基于 SRv6 的 EVPN， SID 需要在以上的 1,2,3,5 路由类型中通告。与L3VPN over SRv6 是类似的， egress PE 通告这些路由类型时也携带 BGPPrefix-SIDAttribute，包含 SRv6ServiceSID信息。具体内容不再赘述。2.7 SRv6 PolicySegment Routing 技术可以在报文入口节点上为报文流指定转发路径，而不需要在中间节点上维护报文流的路径状态。 SRpolicy是入口节点上转发路径的管理实体，通过 SRpolicy进行报文转发，会把 SRpolicy中的路径信息加入到报文头中，指导报文的转发，是 Segment Routing技术的实现主体。SRpolicy 以三元组为键值。每个 SRpolicy可以包含多个 Candidate Path，每个 Path 有一个 Preference； Candidate Path 可以包含多个 Segment List，每个 Segment List 拥有一个权重。 SRpolicy中会选择一个有效且优先级最高的 candidatepath 作为 activepath，来承载业务。 activepath中的多个 segment list，按权重分担承载的业务。SR Policy 通过 Segment List 来实现流量工程意图， Segment List对数据包在网络中的任意转发路径进行编码。 List中的 Segment支持多种类型，如 MPLS 标记、SRv6SID等。以 SRv6SID作为 Segment的 SRpolicy即可称为 S

展开阅读全文