基于SRv6和流量负载的新型高防系统研究.docxVIP

38

38 2023/08/DTPT

基于SRv6和流量负载的新型

高防系统研究

0前言

高防广义上被定义为集成了防御4层（DDoS）+7层（渗透）攻击的高级防御系统，一般以服务器、安全资源池甚至数据中心的形态出现并提供安全服务。对于7层攻击的防护，高防中心内部通常以WAF作为主要防御手段，对扫描、SQL注入、XSS跨站、爬虫等攻击进行拦截，所以高防资源池或者高防数据中心通常以DNS引流为手段，需要防护用户手动修改被防护WebURL的DNS地址指向，将DNS指向为高防系统IP

——————————

收稿日期：2023-06-08

地址，从而将流量引入到高防资源池中来。本文首先介绍了SRv6的一种应用场景——SRv6

TEPolicy+业务链，并结合SRv6TEPolicy+业务链场景

深入介绍通过SRv6技术作为流量牵引手段与高防相

结合，从而简化了用户接入高防系统的方式，并提出

笔者研究的最佳实践。

1SRv6业务链的概念与网络架构

1.1SRv6业务链的概念

SRv6（SegmentRouting）定义为基于IPv6的分段路由，是一种基于NativeIP的“隧道”技术。SRv6会将路径上的关键节点或链路定义为每个Segment，Segment

字段被封装到SRH（SegmentRoutingHeader）中并插入到原始的IP报文前变成新的IP报文头，数据报文会从头节点开始，按照生成的每个Segment组成的路径进行转发。当转发到尾节点的时候，报文中的SRH会弹出，从而暴露出原始的IP头，并按照原始IP报文根据路由进行转发。

例如，我们计划从A地出发去B公园游玩，打开导航软件，上面显示共有2条路可从A地到达B公园，其中1号路径路程短但比较拥堵，用时较多，2号路径路程长但车流压力不大，用时反而较少。如果从路程角度来计算会选择1号路径，如果从时间长短来考虑会选择2号路径。那么在出发时（A节点）就需要确定选择哪种策略（Policy），这种基于流量工程（案例中为车流量）角度来指定转发策略的方式就是SRv6TEPolicy。

SRv6TEPolicy有3个重要的要素，分别是头端

（Headend）、颜色（Color）、尾端（Endpoint）。头端和尾

端分别为A、B两地，用来确定SRv6TEPolicy的首尾

两端地址，颜色是出行路径的策略，不同的路径会被

进行不同的染色动作（在Color字段配置不同的值），需要根据自己的需求选择一条被染色的路径进行报文转发（比如需要利用更短的时间到达B公园的话，就需要选择路径2）。

通过SRv6的封装和Policy的选路，就可以让数据包流向其目标位置。类比图1中的各个地点，假设A地为攻击源、B公园为攻击目标（防护源站），那么高防系统所在的位置就会被置为广场或交叉路口。但是Policy技术只能让数据包经过高防系统所在地点，如何能让数据包真正进入到高防系统进行监测及防护，则需要SRv6TEPolicy+业务链的模型来解决这个问题。

SRv6业务链（SRv6ServiceFunctionChain，SRv6SFC）为在SRv6中某些关键节点下挂其他设备（如

WAF、防火墙等）提供解决方案。业务链分为控制平面和转发平面2部分，其中控制平面由控制器组成，控制器与下方所管理的路由器建立网络连接，并负责管理路由器状态、下发路由器指令等功能；转发平面即所有SRv6路由经过的网络节点，对于业务链来说分为以下几种设备类型：SC（ServiceClassifier）、SFF（Ser?viceFunctionForwarder）、SF（ServiceFunction）、SFCProxy（业务代理设备）。SFF和SFCProxy作为SRv6TEPolicy中重要的节点，必然有自己的SID（SegmentID）。重要节点的SID称为EndpointSID，简称endSID。在业务链中，SFF及SFCProxy的endSID的类型为end.AS，其作用为暂时剥离SRH暴露Payload转发至指定出接口并缓存SegmentLi