详细解剖SRv6中SID与TE-Policy的作用及组成

原创 已于 2026-05-14 19:20:38 修改 · 385 阅读 · 11 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#SRv6 #隧道 #数通 #网络 #HCIE
于 2026-05-14 15:41:18 首次发布

第一部分:深入解析SRv6 SID

SRv6(Segment Routing over IPv6)是一种源路由技术。它在数据包的IPv6扩展头中,预先放置一个有序的“指令列表”——也就是一系列128位的段标识符(SID),来精确指定报文的转发路径-1

1. SID的组成:128位地址的三段式结构

一个SRv6 SID是一个128位的IPv6地址,但它并非对应某个物理接口,而是一个虚拟的、代表操作指令的地址-1。其结构通常包含三个主要部分:

  • Locator(定位符):位于地址高位,用于标识该SID所属的网络节点,可以理解为SRv6当中用来标识设备的ID与动态路由的RID有异曲同工之妙不过两者之间的作用并不完全一致。这是一个可汇总、可路由的IPv6前缀,网络中的其他设备通过查找Locator,就能知道如何将报文送达生成此SID的节点,当设备收到一个报文会优先查看报文的Locator信息,是否与自己的Locator一致如果一致则进行SRv6转发,如果不一致则直接按照目的地址查路由表转发。

  • Function(功能):也可以称之为动作,紧随Locator之后,是SID的核心。它定义了节点在收到报文后需要执行的本地操作,比如“转发”或“解封装”等-1-2

  • Arguments(可选参数):位于低位,为Function携带额外的参数,例如用于定义流和服务等信息-1

2. SID的功能与作用:网络程序的指令集

不同的Function字段定义了不同的SID类型,它们就像是网络设备可以执行的各种指令:

  • End SID(节点SID):用于标识网络中的一个节点。其指令是:处理SRH,并将下一个SID拷贝到IPv6报文的目的地址(DA)字段,然后转发报文-。

  • End.X SID(邻接SID):用于标识网络中的一条链路。其指令是:处理SRH,并从指定的接口转发报文-。

  • End.DT4/6 SID(VPN SID):用于标识一个VPN实例。其指令是:解封装报文,并查找IPv4或IPv6的VPN路由表进行转发-1

  • End.DX4/6 SID(三层交叉连接SID):用于标识一个IPv4/IPv6的下一跳。其指令是:解封装报文,并将内层IP报文通过指定的三层接口转发给特定下一跳-1

第二部分:SRv6 TE Policy的工作原理

SRv6 TE Policy是一种基于SRv6的隧道技术,也是实现网络切片的基础。其核心思想是:网络的入口节点通过BGP路由的“Color属性”来匹配预定义的路径规划(Policy),从而将业务流量精确地引导到指定的转发路径上。

一个SRv6 TE Policy由三个关键元素唯一标识-14

  1. 头端(Head-end):Policy生效的节点,负责执行路径封装。

  2. 尾端(End-point):Policy的目的节点,其IPv6地址是匹配的关键。

  3. Color(颜色):一个32位的数值,代表业务的SLA需求。例如,Color 100代表低延迟,Color 200代表高带宽。

一个SRv6 TE Policy可以包含多条候选路径(Candidate Path),每条候选路径都有自己的优先级(Preference)。当通过该Policy转发流量时,设备会根据优先级(值越大越优)选择最优先的路径-14。每条候选路径则由一个或多个段列表(Segment List) 构成,段列表即有序的SID列表,它决定了数据包的确切转发路径,而不是依靠IGP逐跳计算-15

流量引入(引流):主要通过基于Color的引流实现。在网络的入口节点,当BGP路由携带的Color扩展团体属性和下一跳地址,与某个SRv6 TE Policy的Color和尾端地址完全匹配时,该BGP路由就会与SRv6 TE Policy关联起来。当设备收到匹配该路由的报文时,就会自动将其导入SRv6 TE Policy隧道进行转发-14

第三部分:SRv6 TE Policy实验案例(华为设备)

1. 实验拓扑与需求

  • 拓扑:PE1(头端)-- P -- PE2(尾端)。

  • 需求:在PE1和PE2之间建立一个SRv6 TE Policy(Color 100),强制CE1与CE2之间互通的流量,经由一条精确指定的路径(例如,PE1 → P → PE2)转发,而不是依赖IGP(如IS-IS)计算的最短路径-27

2. 配置思路

  1. 配置底层网络:启用IPv6,配置接口地址,运行IGP(如IS-IS或OSPFv3)实现网络互通。

  2. 配置SRv6基础:在所有设备上全局使能SRv6,并配置Locator和静态的End SID。

  3. 配置SRv6 TE Policy:在头端PE1上创建SRv6 TE Policy,指定尾端和Color,定义显式的SID列表作为候选路径,并可选地配置隧道策略。

  4. 配置业务引流:配置BGP VPNv4/VPNv6路由,为VPN路由设置Color属性,并在头端PE1上配置隧道策略,使其优先使用SRv6 TE Policy。

  5. 验证:检查VPN路由是否成功迭代到SRv6 TE Policy,并测试通信。

3. 详细配置命令

以下是基于华为设备(如NE40E/NetEngine系列,华为AR系列的命令可能略有不同)的核心配置。

步骤1:基础网络与IGP配置(以IS-IS为例)

配置所有设备的物理接口和Loopback0接口的IPv6地址,并通告Loopback0地址。

# 接口地址配置
[~PE1] interface GigabitEthernet1/0/0
[*PE1-GigabitEthernet1/0/0] ipv6 enable
[*PE1-GigabitEthernet1/0/0] ipv6 address 2001:DB8:12::1/64
[*PE1-GigabitEthernet1/0/0] quit
[*PE1] interface LoopBack 0
[*PE1-LoopBack0] ipv6 enable
[*PE1-LoopBack0] ipv6 address 2001:DB8:1::1/128
[*PE1-LoopBack0] quit

# IS-IS配置(IS-IS Level-2,支持IPv6和宽度量)
[~PE1] isis 1
[*PE1-isis-1] is-level level-2
[*PE1-isis-1] cost-style wide
[*PE1-isis-1] network-entity 49.0001.0000.0000.0001.00
[*PE1-isis-1] ipv6 enable topology ipv6
[*PE1-isis-1] quit
[*PE1] interface GigabitEthernet1/0/0
[*PE1-GigabitEthernet1/0/0] isis ipv6 enable 1
[*PE1-GigabitEthernet1/0/0] quit
[*PE1] interface LoopBack 0
[*PE1-LoopBack0] isis ipv6 enable 1
[*PE1-LoopBack0] quit
[*PE1] commit

  • P和PE2:根据拓扑(P:GE1/0/0连接PE1,GE1/0/1连接PE2;Loopback0:2001:DB8:2::2/128;PE2:GE1/0/0连接P,Loopback0:2001:DB8:3::3/128),参考上述步骤进行相应IP地址和IS-IS配置。

    以上命令演示参考了使能IS-IS IPv6拓扑及配置IS-IS接口的通用方法-48

步骤2:SRv6基础配置

在所有设备上使能SRv6,并配置Locator和静态SID。

  • PE1配置(Locator名称为PE,静态长度为32):

bash
[~PE1] segment-routing ipv6
[*PE1-segment-routing-ipv6] locator PE ipv6-prefix 2001:DB8:100:: 64 static 32
[*PE1-segment-routing-ipv6-locator-PE] opcode 1 end
[*PE1-segment-routing-ipv6-locator-PE] quit
[*PE1-segment-routing-ipv6] quit

P设备配置(Locator名称为P,静态长度为32):

bash
[~P] segment-routing ipv6
[*P-segment-routing-ipv6] locator P ipv6-prefix 2001:DB8:200:: 64 static 32
[*P-segment-routing-ipv6-locator-P] opcode 1 end
[*P-segment-routing-ipv6-locator-P] quit
[*P-segment-routing-ipv6] quit

PE2配置(Locator名称为PE2,静态长度为32):

bash
[~PE2] segment-routing ipv6
[*PE2-segment-routing-ipv6] locator PE2 ipv6-prefix 2001:DB8:300:: 64 static 32
[*PE2-segment-routing-ipv6-locator-PE2] opcode 1 end
[*PE2-segment-routing-ipv6-locator-PE2] quit
[*PE2-segment-routing-ipv6] quit

  • 完成上述配置并Commit后,各设备的SRv6 Locator路由将通过IS-IS自动通告给全网其他设备。

步骤3:配置SRv6 TE Policy

在头端PE1上配置,创建名称为“to_PE2”、Color为100、尾端地址为PE2 Loopback0(2001:DB8:3::3)的Policy。并定义一个名为“Candidate1”的候选路径(优先级高),其SID列表为经P设备到达PE2。

  • PE1配置:

[~PE1] segment-routing ipv6
# 1. 创建显式路径的SID列表
[*PE1-segment-routing-ipv6] segment-list Candidate1
[*PE1-segment-routing-ipv6-segment-list-Candidate1] index 5 sid ipv6 2001:DB8:200::1
[*PE1-segment-routing-ipv6-segment-list-Candidate1] index 10 sid ipv6 2001:DB8:300::1
[*PE1-segment-routing-ipv6-segment-list-Candidate1] quit

# 2. 创建SRv6 TE Policy
[*PE1-segment-routing-ipv6] srv6-te policy to_PE2 endpoint 2001:DB8:3::3 color 100
# 3. 在Policy下配置候选路径
[*PE1-segment-routing-ipv6-srv6-te-policy-to_PE2] candidate-path preference 200
[*PE1-segment-routing-ipv6-srv6-te-policy-to_PE2-path-pref200] segment-list Candidate1
[*PE1-segment-routing-ipv6-srv6-te-policy-to_PE2-path-pref200] quit
[*PE1-segment-routing-ipv6-srv6-te-policy-to_PE2] quit
[*PE1-segment-routing-ipv6] quit
[*PE1] commit

  • index 5 sid ipv6 2001:DB8:200::1 配置指令参考了在Segment List中指定SID的通用格式,其中index值(如5、10)用于排序-47

步骤4:配置业务引流(基于Color的引流)

  • 核心配置:在PE1上配置隧道策略(Tunnel Policy),将所有(或特定Color)的BGP路由强制迭代到SRv6 TE Policy上。

[~PE1] tunnel-policy srv6-te
[*PE1-tunnel-policy-srv6-te] tunnel select-seq srv6-te-policy load-balance-number 1
[*PE1-tunnel-policy-srv6-te] quit

  • VPN业务配置简述:本例主要演示Policy的转发原理,VPN实例(VRF)及BGP邻居等基础配置在此不详细展开。其核心是为私网路由设置Color 100扩展团体属性。在PE1上,通过VPN实例视图或BGP VPNv4地址族下应用上述隧道策略(tnl-policy srv6-te),使PE1在学习到来自PE2的、带有Color 100的VPN路由后,能将其迭代到我们创建的SRv6 TE Policy中-31

4. 通信过程与原理

  1. 路由迭代:CE2将192.168.2.0/24的路由通告给PE2。PE2将此路由作为VPNv4路由通过BGP发给PE1,并携带Color 100扩展团体属性。

  2. 路由接收与策略匹配:PE1收到该BGP路由后,发现其Color 100和下一跳(PE2的Loopback0地址2001:DB8:3::3),正好匹配本地配置的SRv6 TE Policy(to_PE2)。同时,配置的隧道策略允许VPN路由迭代到SRv6 TE Policy。因此,PE1在转发表中建立关联:目标网络192.168.2.0/24 -> SRv6 TE Policy。

  3. 报文封装与转发:当CE1发送一个目的地址为192.168.2.1的IP报文到PE1时:
    a. PE1查找路由表,命中与SRv6 TE Policy关联的条目。
    b. PE1根据Policy中优先级最高的候选路径(preference 200),获取其Segment List [2001:DB8:200::1, 2001:DB8:300::1]
    c. PE1将原始IP报文封装在一个新的IPv6头和一个SRH中。SRH中按顺序存放SID列表-2。初始时,IPv6头中的目的地址(DA)字段被设置为列表中的第一个SID(2001:DB8:200::1)。
    d. 转发:P设备收到报文,检查目的地址2001:DB8:200::1。此地址是P设备本地生成的End SID,P设备根据指令,处理SRH,将Segments Left减1,并将下一个SID(2001:DB8:300::1)拷贝到新IPv6头的DA字段,然后转发给PE2。

  4. 解封装与送达:PE2收到报文,发现DA是自己的End SID(2001:DB8:300::1)。它执行指令,剥离外层的SRv6封装,将内层的原始IP报文传递给相应的VPN实例,最终转发给CE2。

通过上述步骤,CE1与CE2的业务流就成功、精确地按照我们规划的路径进行了转发。

IP新技术进阶系列 - SRv6 TE Policy深度解析
03-29
SRv6 TE Policy利用Segment Routing的源路由机制,过在头节点封装一个有序的指令列表来指导报文穿越网络SRv6 TE Policy可以实现对转发路径的端到端细粒度控制,满足业务的高可靠、大带宽、低时延等SLA需求。 主要包含:业务模型、独特优势、保护技术、如何配置SRv6 TE Policy、静态配置SRv6 TE Policy、IS-IS配置、SRv6基础配置、查看SRv6本地SID表、携带SRv6信息的IS-IS LSP报文格式、IS-IS路由计算、SRv6 TE Policy配置、验证配置结果、SRv6 TE Policy转发报文(PE1->PE2方向)
【信息科学工程学】【信工程】第四十四篇 城域网络设计10 城域网中涉及的学物理、学化学及学地理07
weixin_49199313的博客
05-18 1054
对于节点 i, 有功和无功功率平衡方程为: Pi​=Vi​∑j=1N​Vj​(Gij​cosθij​+Bij​sinθij​), Qi​=Vi​∑j=1N​Vj​(Gij​sinθij​−Bij​cosθij​)。下风向某点 (x,y,z)的浓度 C为: C=2πuσy​σz​Q​exp(−2σy2​y2​)[exp(−2σz2​(z−H)2​)+exp(−2σz2​(z+H)2​)], 其中 Q是源强, u是风速, H是有效源高, σy​,σz​是水平和垂直扩散参
cisco Linux SRv6 实战踩坑记录
weixin_43941593的博客
02-14 2538
环境: 版本不同:原文ubuntu16,本次使用18 APT Source不同:原文使用1807,2101 安装vpp2101 虚拟机设置-添加-网络适配器,添加4块网卡 一、配置vpp 机器连接的 PCI 网络设备的 ID,预留ens33 root@wl-virtual-machine:/home/wl# lshw -class network -businfo Bus info Device Class Description ================.
Segment Routing(IPv6) - 3 隧道建立业务应用
我思故我在!
02-27 2689
能够应用SRv6的业务很多,这里重点介绍L3VPN和EVPN VPWS L3VPN:路由发布阶段/据转发阶段 在路由发布阶段,首先需要在公网上进行一些必要的配置,比如需要现在公网上配置IGP,保证路由互;其次需要在PE1和PE2之间配置BGP邻居;然后还需要分别在PE1和PE2上配置VPN实例,接入双方的CE1和CE2;之后是SRv6相关的配置。 我们需要在公网的各个设备上使能SRv6,...
SRv6第八弹:SRv6 END行为总览
wbyyy的博客
02-14 1045
END行为总览1、EndPointEndPoint用途: 作为节点SID用于转发End SID: 基于IP路由表将流量引流到节点2、END.X: EndPoint with Layer 3 Cross-Connect3、End.DT4:解封装和特定IPv4表查找4、End.DX4:解封装,连接v4邻接体5、End.DX2:解封装,L2连接到OIF6、End.DT2U:解封装和单播MAC二层查表7、End.DT2M:解封装和二层表洪泛
SRv6(BE)-原理介绍+报文解析+配置示例
fengxingzhe008的博客
11-27 2万+
SRv6原理,BE场景介绍,报文分析,SR Policy介绍
广域网技术——SRv6 SID讲解
热门推荐
m0_49864110的博客
03-19 2万+
SRv6中,直接ping End SID是ping不同的,由于报文中的Flag中O没有置位,End SID收到后是不会响应的,此时就需要End.OP SID,直接ping End.OP SID是可以ping的。End.DT6 SID可以过静态配置生成,也可以过BGP在Locator的动态SID范围内自动分配,并过IGP协议扩散到其他网元,全局可见,本地有效。解封装报文,并查找IPv6 VPN实例路由表转发(也可以解封转报文后直接查找IPv6路由表,不进入实例),去往实例还是非实例过配置实现。
SRv6 SID深度解析:从Locator到Function的实战指南
weixin_42638178的博客
04-10 335
本文深入解析SRv6 SID的核心概念实战配置,从Locator的基础规划到Function的指令集应用,提供详细的配置示例和故障排查技巧。过实际案例展示SRv6在云专线、跨域互联等场景中的高效部署方案,帮助网络工程师掌握SRv6技术精髓,优化广域网性能。
SRv6技术
qq_45742976的博客
03-19 3624
结点R1要指定路径(需要过R2-R3、R4-R5的链路转发)转发到R6,其中R1、R2、R4、R6为有SRv6能力的的设备,R3、R5为不支持SRv6的设备。当Segment Left字段减为零时,节点会弹出SRH报文头,然后对报文进行进一步的处理,这可能包括查找传统的IPv6路由表中的下一跳地址,或者如果报文已经达到了最终目的地,则进行相应的终节点处理。不支持srv6的中间节点。
VPP中SRv6的使用
turbock的博客
12-05 4448
https://docs.fd.io/vpp/20.01/dd/db5/clicmd_src_vnet_srv6.html https://www.sdnlab.com/23218.html VPP版本:20.01 0.前言 VPP(Vector Packet Processing)是思科旗下的一款可拓展的开源框架,提供容易使用的、高质量的交换、路由功能。 VPP全称Vector Pac...
Linux 网络应用层协议定制实战:从黏包处理到 Jsoncpp 序列化
我哎GIS博客
06-17 345
Linux 网络应用层协议定制实战:从黏包处理到 Jsoncpp 序列化
Vue2 + flv.js 对接海康威视摄像头实现据大屏实时视频监控(完整方案)
pony君的博客
06-18 148
本文介绍了在Vue2据大屏中对接海康威视摄像头的完整方案,解决浏览器无法直接播放RTSP流的问题。过对比HTTP-FLV、HLS、WebRTC等技术方案,最终采用HTTP-FLV为主+HLS为备选的策略,利用flv.js和hls.js实现低延迟视频监控。文章详细说明了整体架构设计、前端实现代码(包括分屏布局、播放器初始化等关键代码),并分享了实际项目中的技术选型经验和解决方案。该方案适用于工业MES系统、仓储管理等需要实时监控的场景,支持2x2/4x4分屏切换,已在淀粉厂MES系统中成功应用。
【AI渗透工具】——AI驱动的MCP网络安全自动化平台(HexStrike AI )
最新发布
zhengfei611的博客
06-18 53
撰写任务提示时,常不能简单地以“我希望你们对 X.com 网站进行渗透测试”开头,因为 LLM(学习型学习任务)常都有一定的道德规范。因此,你需要先描述你的角色以及你网站/任务的关系。例如,你可以先告诉 LLM 你是一名安全研究员,该网站归你或你的公司所有。然后,你还需要说明你希望它使用 hexstrike-ai 的 MCP 工具。HexStrike AI MCP v6.0 采用多智能体架构,具有自主 AI 智能体、智能决策和漏洞情报功能。请参考上面的视频,获取这些平台的详细步骤说明和集成示例。
MPLS+SD-WAN 如何筑牢金融低时延交易网络
NOVAnet2023的博客
06-16 297
结合金融支付平台落地案例,详解 MPLS 骨干网叠加 SD-WAN、BGP 多线融合、主备链路切换等技术方案,解读支撑万级并发、毫秒级传输的金融组网架构。
计算机网络基础:在 P2P 对等方中搜索对象
梁辰兴的博客
06-12 563
P2P网络中的搜索问题可以这样形式化描述:设网络中有N个对等节点,每个节点i存储着一组资源集合R_i(R_i可以是文件、文档、据块等)。当用户发起查询Q(可以是关键词、文件哈希或属性描述)时,系统需要找到所有满足条件的节点集合S = {i | Q matches R_i}。这个看似简单的问题,在去中心化的环境中变得异常复杂。信息分散是P2P搜索面临的首要挑战。资源的索引信息不再集中存储在单一的服务器上,而是分散在整个网络的各个节点中。
Go语言分布式计算(RPC入门)
leo_yty的博客
06-15 399
本文回顾了远程过程调用(RPC)的核心概念技术要点。RPC使远程函调用看起来像本地调用,过序列化解决异构性问题,但网络传输带来了延迟、故障等挑战。文章详细解析了RPC的10步交互流程(请求→序列化→传输→反序列化→执行→返回),并提供了Go语言实现RPC的代码示例(包括同步/异步调用方式)。同时探讨了MapReduce中的RPC应用模式,以及At-Least-Once和At-Most-Once两种容错策略。最后总结了RPC的透明性局限性和常见故障场景,强调网络环境下的调用语义是分布式系统的核心难题。全
MQTT over WebSocket
vb200811的博客
06-16 164
基于websocket 实现mqtt类似的订阅发布模式。
Python核心进阶三连:闭包装饰器、深浅拷贝、网络编程从原理到实战
m0_63267251的博客
06-14 360
本文俗易懂地讲解了Python中闭包、装饰器深浅拷贝的核心概念。过生活化类比和可运行实例,详细介绍了闭包的保存变量特性、装饰器的功能扩展原理,以及用装饰器的使用方法。文章还涵盖了多个装饰器的嵌套执行顺序、带参装饰器的实现技巧,并提供了深浅拷贝的对比示例,帮助读者掌握这些在实际项目和面试中常用的Python知识点。
3.HCIP OSPF补充知识
2301_78572047的博客
06-13 422
本文介绍了OSPF协议中的几个关键知识点: DD报文MTU检查机制:华为设备默认不检查MTU,启用ospf mtu-enable后才会检查,MTU不一致会导致邻居卡在Exstart状态。 网络类型:OSPF支持广播、NBMA、P2P和P2MP四种网络类型,两端接口类型必须一致才能建立邻居。 DR/BDR选举:基于优先级和Router ID的非抢占式选举,使用组播地址224.0.0.5和224.0.0.6进行信。 LSA生命周期:LSA默认每30分钟刷新,60分钟老化,路由器过序列号、校验和和老旧时间判断
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Fanmeang.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值