[要約] RFC 2685は、仮想プライベートネットワーク(VPN)の識別子に関する標準化された仕様です。このRFCの目的は、異なるVPNプロトコル間での一意の識別子の使用方法を定義することです。
Network Working Group B. Fox
Request for Comments: 2685 Lucent Technologies
Category: Standards Track B. Gleeson
Nortel Networks
September 1999
Virtual Private Networks Identifier
仮想プライベートネットワーク識別子
Status of this Memo
本文書の位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (1999). All Rights Reserved.
Copyright(c)The Internet Society(1999)。無断転載を禁じます。
Abstract
概要
Virtual Private IP networks may span multiple Autonomous Systems or Service Providers. There is a requirement for the use of a globally unique VPN identifier in order to be able to refer to a particular VPN (see section 6.1.1 of [1]). This document proposes a format for a globally unique VPN identifier.
仮想プライベートIPネットワークは、複数の自律システムまたはサービスプロバイダーにまたがる場合があります。特定のVPNを参照できるようにするには、グローバルに一意のVPN識別子を使用するための要件があります([1]のセクション6.1.1を参照)。このドキュメントは、グローバルに一意のVPN識別子の形式を提案しています。
As the Public Internet expands and extends its infrastructure globally, the determination to exploit this infrastructure has led to widespread interest in IP based Virtual Private Networks. A VPN emulates a private IP network over public or shared infrastructures. Virtual Private Networks provide advantages to both the Service Provider and its customers. For its customers, a VPN can extend the IP capabilities of a corporate site to remote offices and/or users with intranet, extranet, and dialup services. This connectivity should be achieved at a lower cost to the customer with savings in capital equipment, operations, and services. The Service Provider is able to make better use of its infrastructure and network administration expertise offering IP VPN connectivity and/or services to its customers.
パブリックインターネットがグローバルにインフラストラクチャを拡大および拡張するにつれて、このインフラストラクチャを活用するという決意により、IPベースの仮想プライベートネットワークに広範な関心が寄せられています。VPNは、パブリックまたは共有インフラストラクチャを介してプライベートIPネットワークをエミュレートします。仮想プライベートネットワークは、サービスプロバイダーとその顧客の両方に利点を提供します。顧客の場合、VPNは、企業サイトのIP機能を、イントラネット、エクストラネット、およびダイアップサービスを備えたリモートオフィスおよび/またはユーザーに拡張できます。この接続性は、資本機器、運用、サービスを節約することで、顧客にとってより低いコストで達成する必要があります。サービスプロバイダーは、IP VPN接続および/またはサービスを顧客に提供するインフラストラクチャおよびネットワーク管理の専門知識をより適切に活用できます。
There are many ways in which IP VPN services may be implemented. The IP based VPN framework document [1] identifies four types of VPN to be supported: Virtual Leased Lines, Virtual Private Routed Networks, Virtual Private Dial Networks, and Virtual Private LAN Segments. In addition, numerous drafts and white papers outline methods to be used by Service Providers and/or Service Provider customers to enable this service. Solutions may be customer based or network based. Network based solutions may provide connectivity and services at layer 2 and/or layer 3. The devices involved in enabling the solution may be Customer Premises Equipment (CPE), Service Provider Edge equipment, Service Provider Core equipment, or some combination of these.
IP VPNサービスを実装する方法は多くあります。IPベースのVPNフレームワークドキュメント[1]は、仮想リースライン、仮想プライベートルーティングネットワーク、仮想プライベートダイヤルネットワーク、仮想プライベートLANセグメントの4種類のVPNを識別します。さらに、このサービスを有効にするために、サービスプロバイダーおよび/またはサービスプロバイダーの顧客が使用する多数のドラフトとホワイトペーパーの概要メソッドがあります。ソリューションは、顧客ベースまたはネットワークベースの場合があります。ネットワークベースのソリューションは、レイヤー2および/またはレイヤー3で接続とサービスを提供する場合があります。ソリューションの有効化に関与するデバイスは、顧客施設機器(CPE)、サービスプロバイダーエッジ機器、サービスプロバイダーコア機器、またはこれらの組み合わせである場合があります。
While the various methods of VPN service implementation are being discussed and debated, there are two points on which there is agreement:
VPNサービスの実装のさまざまな方法が議論され、議論されていますが、合意がある2つのポイントがあります。
Because a VPN is private, it may use a private address space which may overlap with the address space of another VPN or the Public Internet.
VPNはプライベートであるため、別のVPNまたはパブリックインターネットのアドレススペースと重複する可能性のあるプライベートアドレススペースを使用する場合があります。
A VPN may span multiple IP Autonomous Systems (AS) or Service Providers.
VPNは、複数のIP自律システム(AS)またはサービスプロバイダーにまたがる場合があります。
The first point indicates that an IP address only has meaning within the VPN in which it exists. For this reason, it is necessary to identify the VPN in which a particular IP address has meaning, the "scope" of the IP address.
最初のポイントは、IPアドレスがVPNが存在するVPN内にのみ意味を持つことを示しています。このため、特定のIPアドレスに意味があるVPN、IPアドレスの「スコープ」を識別する必要があります。
The second point indicates that several methods of VPN service implementation may be used to provide connectivity and services to a single VPN. Different service providers may employ different strategies based on their infrastructure and expertise. It is desirable to be able to identify any particular VPN at any layer and at any location in which it exists using the same VPN identifier.
2番目のポイントは、VPNサービス実装のいくつかの方法を使用して、単一のVPNに接続とサービスを提供できることを示しています。さまざまなサービスプロバイダーは、インフラストラクチャと専門知識に基づいてさまざまな戦略を採用する場合があります。同じVPN識別子を使用して存在する任意のレイヤーおよび任意の場所で特定のVPNを識別できることが望ましい。
The purpose of a VPN-ID is to identify a VPN. This identifier may be used in various ways depending on the method of VPN service implementation. For example, the VPN-ID may be included:
VPN-IDの目的は、VPNを識別することです。この識別子は、VPNサービスの実装の方法に応じて、さまざまな方法で使用できます。たとえば、VPN-IDを含めることができます。
- In a MIB to configure attributes to a VPN, or to assign a physical or logical access interface to a particular VPN.
- MIBで、属性をVPNに構成するか、特定のVPNに物理または論理アクセスインターフェイスを割り当てます。
- In a control or data packet, to identify the "scope" of a private IP address and the VPN to which the data belongs.
- コントロールまたはデータパケットで、プライベートIPアドレスの「スコープ」とデータが属するVPNを識別します。
It is necessary to be able to identify the VPN with which a data packet is associated. The VPN-ID may be used to make this association, either explicitly (e.g. through inclusion of the VPN-ID in an encapsulation header [2]) or implicitly (e.g. through inclusion of the VPN-ID in a ATM signalling exchange [3]). The appropriateness of using the VPN-ID in other contexts needs to be carefully evaluated.
データパケットが関連付けられているVPNを識別できる必要があります。VPN-IDは、この関連性を明示的に(例えば、カプセル化ヘッダー[2]にVPN-IDを含めること)または暗黙的に(たとえば、ATMシグナリング交換[3]にVPN-IDを含めることにより)を作成するために使用できます。)。他のコンテキストでVPN-IDを使用することの適切性を慎重に評価する必要があります。
There is another very important function that may be served by the VPN identifier. The VPN identifier may be used to define the "VPN authority" who is responsible for coordinating the connectivity and services employed by that VPN. The VPN authority may be the Private Network administrator or the primary Service Provider. The VPN authority will administer and serve as the main point of contact for the VPN. The authority may outsource some functions and connectivity, set up contractual agreements with the different Service Providers involved, and coordinate configuration, performance, and fault management.
VPN識別子が提供できる別の非常に重要な関数があります。VPN識別子は、そのVPNが採用している接続性とサービスの調整を担当する「VPN機関」を定義するために使用できます。VPN当局は、プライベートネットワーク管理者またはプライマリサービスプロバイダーである場合があります。VPN当局は、VPNの主な接触点として管理および機能します。当局は、いくつかの機能と接続性を外部委託し、関係するさまざまなサービスプロバイダーとの契約上の契約を設定し、構成、パフォーマンス、および障害管理を調整することができます。
These functions require a VPN that is global in scope and usable in various solutions. To be a truly global VPN identifier, the format cannot force assumptions about the shared network(s). Conversely, the format should not be defined in such a way as to prohibit use of features of the shared network. It is necessary to note that the same VPN may be identified at different layers of the same shared network, e.g. ATM and IP layers. The same VPN-ID format and value should apply at both layers.
これらの関数には、範囲がグローバルで、さまざまなソリューションで使用可能なVPNが必要です。真にグローバルなVPN識別子になるために、この形式は共有ネットワークに関する仮定を強制することはできません。逆に、この形式は、共有ネットワークの機能の使用を禁止するような方法で定義されるべきではありません。同じVPNが同じ共有ネットワークの異なる層で識別される可能性があることに注意する必要があります。ATMおよびIPレイヤー。同じVPN-ID形式と値は、両方のレイヤーに適用する必要があります。
The methods of VPN-ID usage are beyond the scope of this memo.
VPN-IDの使用方法は、このメモの範囲を超えています。
The VPN Identifier format should meet the following requirements:
VPN識別子形式は、次の要件を満たす必要があります。
- Provide a globally unique VPN Identifier usable across multiple Service Providers. - Enable support of a non-IP dependent VPN-ID for use in layer 2 VPNs. - Identify the VPN Authority within the VPN Identifier.
- 複数のサービスプロバイダーで使用可能なグローバルにユニークなVPN識別子を提供します。 - レイヤー2 VPNで使用するための非IP依存VPN-IDのサポートを有効にします。-VPN識別子内のVPN機関を特定します。
The global VPN Identifier format is:
グローバルVPN識別子形式は次のとおりです。
3 octet VPN authority Organizationally Unique Identifier [4]
3 Octet VPN機関組織的に一意の識別子[4]
followed by
に続く
4 octet VPN index identifying VPN according to OUI
4 octet vpnインデックスOUIに従ってVPNを識別します
0 1 2 3 4 5 6 7 8
+-+-+-+-+-+-+-+-+
| VPN OUI (MSB) |
+-+-+-+-+-+-+-+-+
| VPN OUI |
+-+-+-+-+-+-+-+-+
| VPN OUI (LSB) |
+-+-+-+-+-+-+-+-+
|VPN Index (MSB)|
+-+-+-+-+-+-+-+-+
| VPN Index |
+-+-+-+-+-+-+-+-+
| VPN Index |
+-+-+-+-+-+-+-+-+
|VPN Index (LSB)|
+-+-+-+-+-+-+-+-+
The VPN OUI (IEEE 802-1990 Organizationally Unique Identifier) [4] identifies the VPN authority. The VPN authority will serve as the primary VPN administrator. The VPN authority may be the company/organization to which the VPN belongs or a Service Provider that provides the underlying infrastructure using its own and/or other providers' shared networks. The 4 octet VPN Index identifies a particular VPN serviced by the VPN authority.
VPN OUI(IEEE 802-1990組織的に一意の識別子)[4]は、VPN当局を識別します。VPN当局は、主要なVPN管理者として機能します。VPN当局は、VPNが属する会社/組織、または独自のプロバイダーの共有ネットワークを使用して、基礎となるインフラストラクチャを提供するサービスプロバイダーである場合があります。4 Octet VPNインデックスは、VPN機関がサービスを提供する特定のVPNを識別します。
This document defines the format of the global VPN identifier without specifying usage. However, the association of particular characteristics and capabilities with a VPN identifier necessitates use of standard security procedures with any specified usage. Misconfiguration or deliberate forging of VPN identifier may result different breaches in security including the interconnection of different VPNs.
このドキュメントでは、使用法を指定せずにグローバルVPN識別子の形式を定義します。ただし、特定の特性と機能とVPN識別子の関連付けにより、指定された使用状況で標準セキュリティ手順を使用する必要があります。VPN識別子の誤った設定または意図的な鍛造は、異なるVPNの相互接続を含むセキュリティに異なる違反をもたらす可能性があります。
[1] Gleeson, Heinanen, Lin, Armitage, Malis, "A Framework for IP Based Virtual Private Networks", Work in Progress.
[1] Gleeson、Heinanen、Lin、Armitage、Malis、「IPベースの仮想プライベートネットワークのフレームワーク」、進行中の作業。
[2] Grossman, D. and J. Heinanen, "Multiprotocol Encapsulation over ATM Adaptation Layer 5", RFC 2684, September 1999.
[2] Grossman、D。およびJ. Heinanen、「ATM適応レイヤー5に対するマルチプロトコルカプセル化」、RFC 2684、1999年9月。
[3] "MPOA v1.1 Addendum on VPN Support", ATM Forum, af-mpoa-0129.000, August, 1999, Bernhard Petri, editor, final ballot document.
[3] 「VPNサポートに関するMPOA V1.1補遺」、ATMフォーラム、AF-MPOA-0129.000、1999年8月、Bernhard Petri、編集者、最終投票文書。
[4] http://standards.ieee.org/regauth/oui/index.html
[4] http://standards.ieee.org/regauth/oui/index.html
Barbara A. Fox Lucent Technologies 300 Baker Ave, Suite 100 Concord, MA 01742-2168
Barbara A. Fox Lucent Technologies 300 Baker Ave、Suite 100 Concord、MA 01742-2168
Phone: +1-978-287-2843
EMail: barbarafox@lucent.com
Bryan Gleeson Nortel Networks 4500 Great America Parkway, Santa Clara, CA 95054
ブライアングリーソンノーテルネットワーク4500グレートアメリカパークウェイ、サンタクララ、カリフォルニア95054
Phone: +1-408-855-3711
EMail: bgleeson@shastanets.com
Copyright (C) The Internet Society (1999). All Rights Reserved.
Copyright(c)The Internet Society(1999)。無断転載を禁じます。
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
このドキュメントと翻訳は他の人にコピーされて提供される場合があります。また、それについてコメントまたは説明する派生作品、またはその実装を支援することは、いかなる種類の制限なしに、準備、コピー、公開、および部分的に配布される場合があります。、上記の著作権通知とこの段落がそのようなすべてのコピーとデリバティブ作品に含まれている場合。ただし、このドキュメント自体は、インターネット協会や他のインターネット組織への著作権通知や参照を削除するなど、いかなる方法でも変更できない場合があります。インターネット標準プロセスに従うか、英語以外の言語に翻訳するために必要な場合に従う必要があります。
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.
上記の限られた許可は永続的であり、インターネット社会またはその後継者または譲受人によって取り消されることはありません。
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントと本書に含まれる情報は、「現状」に基づいて提供されており、インターネット社会とインターネットエンジニアリングタスクフォースは、ここにある情報の使用が行われないという保証を含むがこれらに限定されないすべての保証を否認します。特定の目的に対する商品性または適合性の権利または黙示的な保証を侵害します。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFCエディター機能の資金は現在、インターネット協会によって提供されています。