[要約] RFC 3430は、SNMPをTCPトランスポートマッピングで使用するための仕様です。目的は、SNMPをTCP上で使用することで、信頼性とセキュリティを向上させることです。

Network Working Group                                   J. Schoenwaelder
Request for Comments: 3430                               TU Braunschweig
Category: Experimental                                     December 2002
        

Simple Network Management Protocol (SNMP) over Transmission Control Protocol (TCP) Transport Mapping

シンプルなネットワーク管理プロトコル(SNMP)トランスミッションコントロールプロトコル(TCP)トランスポートマッピング

Status of this Memo

本文書の位置付け

This memo defines an Experimental Protocol for the Internet community. It does not specify an Internet standard of any kind. Discussion and suggestions for improvement are requested. Distribution of this memo is unlimited.

このメモは、インターネットコミュニティの実験プロトコルを定義します。いかなる種類のインターネット標準を指定しません。改善のための議論と提案が要求されます。このメモの配布は無制限です。

Copyright Notice

著作権表示

Copyright (C) The Internet Society (2002). All Rights Reserved.

Copyright(c)The Internet Society(2002)。無断転載を禁じます。

Abstract

概要

This memo defines a transport mapping for using the Simple Network Management Protocol (SNMP) over TCP. The transport mapping can be used with any version of SNMP. This document extends the transport mappings defined in STD 62, RFC 3417.

このメモは、TCPを介して単純なネットワーク管理プロトコル(SNMP)を使用するためのトランスポートマッピングを定義します。トランスポートマッピングは、SNMPの任意のバージョンで使用できます。このドキュメントは、STD 62、RFC 3417で定義されている輸送マッピングを拡張します。

Table of Contents

目次

   1.  Introduction . . . . . . . . . . . . . . . . . . . . . . . . .  2
   2.  SNMP over TCP  . . . . . . . . . . . . . . . . . . . . . . . .  2
   2.1 Serialization  . . . . . . . . . . . . . . . . . . . . . . . .  2
   2.2 Well-Known Values  . . . . . . . . . . . . . . . . . . . . . .  3
   2.3 Connection Management  . . . . . . . . . . . . . . . . . . . .  3
   2.4 Reliable Transport versus Confirmed Operations . . . . . . . .  4
   3.  Security Considerations  . . . . . . . . . . . . . . . . . . .  5
   4.  Acknowledgments  . . . . . . . . . . . . . . . . . . . . . . .  6
       References . . . . . . . . . . . . . . . . . . . . . . . . . .  6
   A.  Connection Establishment Alternatives  . . . . . . . . . . . .  8
       Author's Address . . . . . . . . . . . . . . . . . . . . . . .  9
       Full Copyright Statement . . . . . . . . . . . . . . . . . . . 10
        
1. Introduction
1. はじめに

This memo defines a transport mapping for using the Simple Network Management Protocol (SNMP) [1] over TCP [2]. The transport mapping can be used with any version of SNMP. This document extends the transport mappings defined in STD 62, RFC 3417 [3].

このメモは、TCP [2]を介して単純なネットワーク管理プロトコル(SNMP)[1]を使用するためのトランスポートマッピングを定義します。トランスポートマッピングは、SNMPの任意のバージョンで使用できます。このドキュメントは、STD 62、RFC 3417 [3]で定義されている輸送マッピングを拡張します。

The SNMP over TCP transport mapping is an optional transport mapping. SNMP protocol engines that implement the SNMP over TCP transport mapping MUST also implement the SNMP over UDP transport mapping as defined in STD 62, RFC 3417 [3].

TCPトランスポートマッピングを介したSNMPは、オプションのトランスポートマッピングです。TCPトランスポートマッピングを介してSNMPを実装するSNMPプロトコルエンジンは、STD 62、RFC 3417 [3]で定義されているように、UDPトランスポートマッピングを介してSNMPを実装する必要があります。

The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14, RFC 2119 [4].

「必須」、「そうしない」、「必須」、「shall」、「shall "、" ingle "、" should "、" not "、" becommended "、" bay "、および「optional」は、BCP 14、RFC 2119 [4]に記載されているように解釈される。

2. SNMP over TCP
2. TCPを超えるSNMP

SNMP over TCP is an optional transport mapping. It is primarily defined to support more efficient bulk transfer mechanisms within the SNMP framework [5].

TCPを介したSNMPは、オプションのトランスポートマッピングです。これは主に、SNMPフレームワーク内のより効率的なバルク転送メカニズムをサポートするために定義されています[5]。

The originator of a request-response transaction chooses the transport protocol for the entire transaction. The transport protocol MUST NOT change during a transaction.

リクエスト応答トランザクションのオリジネーターは、トランザクション全体のトランスポートプロトコルを選択します。トランザクション中に輸送プロトコルが変更されてはなりません。

In general, originators of request/response transactions are free to use the transport they assume is the best in a given situation. However, since TCP has a larger footprint on resource usage than UDP, engines using SNMP over TCP may choose to switch back to UDP by refusing new TCP connections whenever necessary (e.g. too many open TCP connections).

一般に、リクエスト/応答トランザクションの発信者は、特定の状況で最高であると想定するトランスポートを自由に使用できます。ただし、TCPはUDPよりもリソース使用量が大きいため、TCPを介してSNMPを使用するエンジンは、必要に応じて新しいTCP接続を拒否してUDPに戻すことを選択できます(たとえば、Open TCP接続が多すぎます)。

When selecting the transport, it is useful to consider how SNMP interacts with TCP acknowledgments and timers. In particular, infrequent SNMP interactions over TCP may lead to additional IP packets carrying acknowledgments for SNMP responses if there is no chance to piggyback them. Furthermore, it is recommended to configure SNMP retransmission timers to fire later when using SNMP over TCP to avoid application specific timeouts before the TCP timers have expired.

トランスポートを選択する際には、SNMPがTCP謝辞とタイマーとどのように相互作用するかを検討することが役立ちます。特に、TCPを介したまれなSNMP相互作用により、SNMP応答の謝辞を運ぶ追加のIPパケットにつながる可能性があります。さらに、TCPタイマーが失効する前にアプリケーション固有のタイムアウトを回避するためにTCPを介してSNMPを使用する場合、後でSNMP再送信タイマーを構成するように設定することをお勧めします。

2.1 Serialization
2.1 シリアル化

Each instance of a message is serialized into a single BER-encoded message, using the algorithm specified in Section 8 of STD 62, RFC 3417 [3]. The BER-encoded message is then sent over a TCP connection. An SNMP engine MUST NOT interleave SNMP messages within the TCP byte stream.

メッセージの各インスタンスは、STD 62のセクション8、RFC 3417 [3]で指定されたアルゴリズムを使用して、単一のBERエンコードメッセージにシリアル化されます。次に、BERエンコードされたメッセージがTCP接続を介して送信されます。SNMPエンジンは、TCPバイトストリーム内のSNMPメッセージをインターリーブしてはなりません。

All the bytes of one SNMP message must be sent before any bytes of a different SNMP message.

1つのSNMPメッセージのすべてのバイトは、別のSNMPメッセージのバイトの前に送信する必要があります。

It is possible to exchange multiple SNMP request/response pairs over a single (persistent) TCP connection. TCP connections are by default full-duplex and data can travel in both directions at different speeds. It is therefore possible to send multiple SNMP messages to a remote SNMP engine before receiving responses from the same SNMP engine. Note that an SNMP engine is not required to return responses in the same order as it received the requests.

単一の(永続的な)TCP接続で複数のSNMPリクエスト/応答ペアを交換することができます。TCP接続はデフォルトではフルダップレックスであり、データは異なる速度で両方向に移動できます。したがって、同じSNMPエンジンから応答を受信する前に、複数のSNMPメッセージをリモートSNMPエンジンに送信することができます。SNMPエンジンは、リクエストを受け取ったのと同じ順序で応答を返す必要はないことに注意してください。

It is possible that the underlying TCP implementation delivers byte sequences that do not align with SNMP message boundaries. A receiving SNMP engine MUST therefore use the length field in the BER-encoded SNMP message to separate multiple requests sent over a single TCP connection (framing). An SNMP engine which looses framing (for example due to ASN.1 parse errors) SHOULD close the TCP connection. The connection initiator will then be responsible for establishing a new TCP connection.

基礎となるTCP実装が、SNMPメッセージの境界に沿っていないバイトシーケンスを提供する可能性があります。したがって、受信SNMPエンジンは、BERエンコードされたSNMPメッセージの長さフィールドを使用して、単一のTCP接続(フレーミング)で送信された複数の要求を分離する必要があります。フレーミングを緩めるSNMPエンジン(たとえば、ASN.1パースエラーによる)は、TCP接続を閉じる必要があります。接続イニシエーターは、新しいTCP接続を確立する責任があります。

2.2 Well-Known Values
2.2 よく知られている値

It is RECOMMENDED that administrators configure their SNMP entities containing command responders to listen on TCP port 161 for incoming connections. It is also RECOMMENDED that SNMP entities containing notification receivers be configured to listen on TCP port 162 for connection requests.

管理者は、コマンドレスポンダーを含むSNMPエンティティを構成して、着信接続のためにTCPポート161でリッスンするように構成することをお勧めします。また、通知受信機を含むSNMPエンティティを、接続要求のためにTCPポート162でリッスンするように構成することをお勧めします。

SNMP over TCP transport addresses are identified by using the generic TCP transport domain and address definitions provided by RFC 3419 [6], which cover TCP over IPv4 and IPv6.

TCP輸送アドレスを介したSNMPは、一般的なTCP輸送ドメインと、IPv4およびIPv6を超えるTCPをカバーするRFC 3419 [6]によって提供されるアドレス定義を使用して特定されます。

When an SNMP entity uses the TCP transport mapping, it MUST be capable of accepting and generating messages that are at least 8192 octets in size. Implementation of larger values is encouraged whenever possible.

SNMPエンティティがTCPトランスポートマッピングを使用する場合、少なくとも8192オクテットのサイズのメッセージを受け入れて生成できる必要があります。可能な限り、より大きな値の実装が奨励されます。

2.3 Connection Management
2.3 接続管理

The use of TCP connections introduces costs [7]. Connection establishment and teardown cause additional network traffic. Furthermore, maintaining open connections binds resources in the network layer of the underlying operating system.

TCP接続の使用はコストを導入します[7]。接続の確立と裂け目は、追加のネットワークトラフィックを引き起こします。さらに、オープン接続を維持することは、基礎となるオペレーティングシステムのネットワークレイヤーにリソースにバインドされます。

SNMP over TCP is intended to be used when the size of the transferred data is large since TCP offers flow control and efficient segmentation. The transport of large amounts of management data via SNMP over UDP requires many request/response interactions with small-sized SNMP over UDP messages, which causes latency to increase excessively.

TCPを介したSNMPは、TCPがフロー制御と効率的なセグメンテーションを提供するため、転送されたデータのサイズが大きい場合に使用することを目的としています。UDPを介したSNMPを介した大量の管理データの輸送には、UDPメッセージを介した小型SNMPとの多くのリクエスト/応答の相互作用が必要であり、遅延が過度に増加します。

TCP connections are established on behalf of the SNMP applications which initiate a transaction. In particular, command generator applications are responsible for opening TCP connections to command responder applications and notification originator applications are responsible for initiating TCP connections to notification receiver applications, which are selected as described in Section 3 of STD 62, RFC 3413 [8]. If the TCP connection cannot be established, then the transaction is aborted and reported to the application as a timeout error condition. Alternative connection establishment procedures are discussed in Appendix A but are not part of this specification.

TCP接続は、トランザクションを開始するSNMPアプリケーションに代わって確立されます。特に、コマンドジェネレーターアプリケーションは、コマンドレスポンダーアプリケーションへのTCP接続を開く責任があり、通知オリジナルアプリケーションは、STD 62、RFC 3413 [8]のセクション3で説明されている通知受信者アプリケーションへのTCP接続を開始する責任があります。TCP接続を確立できない場合、トランザクションは中止され、タイムアウトエラー条件としてアプリケーションに報告されます。代替接続の確立手順については、付録Aで説明しますが、この仕様の一部ではありません。

All SNMP entities (whether in an agent role or manager role) can close TCP connections at any point in time. This ensures that SNMP entities can control their resource usage and shut down TCP connections that are not used. Note that SNMP engines are not required to process SNMP messages if the incoming half of the TCP connection is closed while the outgoing half remains open.

すべてのSNMPエンティティ(エージェントロールまたはマネージャーの役割であろうと)は、いつでもTCP接続を閉じることができます。これにより、SNMPエンティティがリソースの使用を制御し、使用されていないTCP接続をシャットダウンできるようになります。SNMPエンジンは、TCP接続の入っている半分が閉じている間、発信半分が開いたままである場合、SNMPメッセージを処理するために必要ではないことに注意してください。

The processing of any outstanding SNMP requests when both sides of the TCP connection have been closed is implementation dependent. The sending SNMP entity SHOULD therefore not make assumptions about the processing of outstanding SNMP requests once a TCP connection is closed. A timeout error condition SHOULD be signaled for confirmed operations if the TCP connection is closed before a response has been received.

TCP接続の両側が閉じられたときの未解決のSNMP要求の処理は、実装に依存します。したがって、SNMPエンティティの送信は、TCP接続が閉じられたら、未解決のSNMPリクエストの処理について仮定を立てるべきではありません。応答が受信される前にTCP接続が閉じられている場合、確認された操作の場合、タイムアウトエラー条件を通知する必要があります。

2.4 Reliable Transport versus Confirmed Operations
2.4 信頼できる輸送と確認された操作

The transport of SNMP messages over TCP results in a reliable exchange of SNMP messages between SNMP engines. In particular, TCP guarantees (in the absence of security attacks) that the delivered data is not damaged, lost, duplicated, or delivered out of order [2].

TCPを介したSNMPメッセージの輸送により、SNMPエンジン間でSNMPメッセージが信頼できる交換が行われます。特に、TCPは(セキュリティ攻撃がない場合)、配信されたデータが損傷、紛失、重複、または配信されないことを保証します[2]。

The SNMP protocol has been designed to support confirmed as well as unconfirmed operations [9]. The inform-request protocol operation is an example for a confirmed operation while the snmpV2-trap operation is an example for an unconfirmed operation.

SNMPプロトコルは、確認されていない操作と同様に確認された操作をサポートするように設計されています[9]。Inform-Requestプロトコル操作は、確認された操作の例であり、SNMPV2-TRAP操作は未確認の操作の例です。

There is an important difference between an unconfirmed protocol operation sent over a reliable transport and a confirmed protocol operation. A reliable transport such as TCP only guarantees that delivered data is not damaged, lost, duplicated, or delivered out of order. It does not guarantee that the delivered data was actually processed in any way by the application process. Furthermore, even a reliable transport such as TCP cannot guarantee that data sent to a remote system is eventually delivered on the remote system. Even a graceful close of the TCP connection does not guarantee that the receiving TCP engine has actually delivered all the data to an application process.

信頼できる輸送と確認されたプロトコル操作に対して送信される未確認のプロトコル操作には重要な違いがあります。TCPなどの信頼できる輸送は、配信されたデータが損傷、紛失、複製、または配信されないことを保証するだけです。配信されたデータが実際にアプリケーションプロセスによって何らかの方法で処理されたことを保証するものではありません。さらに、TCPなどの信頼できる輸送でさえ、リモートシステムに送信されたデータが最終的にリモートシステムで配信されることを保証することはできません。TCP接続の優雅なクローズでさえ、受信TCPエンジンが実際にすべてのデータをアプリケーションプロセスに配信したことを保証するものではありません。

With a confirmed SNMP operation, the receiving SNMP engine acknowledges that the data was actually received. Depending on the SNMP protocol operation, a confirmation may indicate that further processing was done. For example, the response to an inform-request protocol operation indicates to the notification originator that the notification passed the transport, the security model and that it was queued for delivery to the notification receiver application. Similarly, the response to a set-request indicates that the data passed the transport, the security model and that the write request was actually processed by the command responder.

確認されたSNMP操作により、受信SNMPエンジンはデータが実際に受信されたことを認めています。SNMPプロトコル操作に応じて、確認により、さらに処理が行われたことが示される場合があります。たとえば、Inform-Requestプロトコル操作への応答は、通知が通知が輸送、セキュリティモデルに合格し、通知レシーバーアプリケーションへの配信のためにキューに合格したことを通知オリジネーターに示しています。同様に、セットレクストへの応答は、データがトランスポート、セキュリティモデルに合格し、書き込み要求が実際にコマンドレスポンダーによって処理されたことを示しています。

A reliable transport is thus only a poor approximation for confirmed operations. Applications that need confirmation of delivery or processing are encouraged to use the confirmed operations, such as the inform-request, rather than using unconfirmed operations, such as snmpV2-trap, over a reliable transport.

したがって、信頼できる輸送は、確認された操作の貧弱な近似にすぎません。送達または処理の確認が必要なアプリケーションは、信頼できる輸送でSNMPV2-TRAPなどの未確認の操作を使用するのではなく、情報の要求などの確認された操作を使用することが推奨されます。

3. Security Considerations
3. セキュリティに関する考慮事項

It is RECOMMENDED that implementors consider the security features as provided by the SNMPv3 framework in order to provide SNMP security. Specifically, the use of the User-based Security Model STD 62, RFC 3414 [10] and the View-based Access Control Model STD 62, RFC 3415 [11] is RECOMMENDED.

SNMPセキュリティを提供するために、SNMPV3フレームワークで提供されるように、実装者がセキュリティ機能を考慮することをお勧めします。具体的には、ユーザーベースのセキュリティモデルSTD 62、RFC 3414 [10]およびビューベースのアクセス制御モデルSTD 62、RFC 3415 [11]の使用をお勧めします。

It is then a customer/user responsibility to ensure that the SNMP entity giving access to a MIB is properly configured to give access to the objects only to those principals (users) that have legitimate rights to indeed GET or SET (change) them.

その場合、MIBへのアクセスを提供するSNMPエンティティが、実際にそれらを取得または設定(変更)する正当な権利を持つプリンシパル(ユーザー)にのみオブジェクトにアクセスできるように適切に構成されていることを保証するのは顧客/ユーザーの責任です。

The SNMP over TCP transport mapping does not have any impact on the security mechanisms provided by SNMPv3. However, SNMP over TCP may introduce new vulnerabilities to denial of service attacks (such as TCP syn flooding) that do not exist in this form in other transport mappings.

TCPトランスポートマッピングを介したSNMPは、SNMPV3が提供するセキュリティメカニズムに影響を与えません。ただし、TCPを介したSNMPは、他の輸送マッピングではこの形式には存在しないサービス攻撃(TCP Syn洪水など)に新しい脆弱性を導入する可能性があります。

4. Acknowledgments
4. 謝辞

This document is the result of discussions within the Network Management Research Group (NMRG) of the Internet Research Task Force[12] (IRTF). Special thanks to Luca Deri, Jean-Philippe Martin-Flatin, Aiko Pras, Ron Sprenkels, and Bert Wijnen for their comments and suggestions.

このドキュメントは、インターネット研究タスクフォース[12](IRTF)のネットワーク管理研究グループ(NMRG)内での議論の結果です。Luca Deri、Jean-Philippe Martin-Flatin、Aiko Pras、Ron Sprenkels、およびBert Wijnenのコメントと提案に感謝します。

Additional useful comments have been made by Mike Ayers, Jeff Case, Mike Daniele, David Harrington, Lauren Heintz, Keith McCloghrie, Olivier Miakinen, and Dave Shield.

Mike Ayers、Jeff Case、Mike Daniele、David Harrington、Lauren Heintz、Keith McCloghrie、Olivier Miakinen、Dave Shieldによって追加の有用なコメントが行われました。

Luca Deri, Wes Hardaker, Bert Helthuis, and Erik Schoenfelder helped to create prototype implementations. The SNMP over TCP transport mapping is currently supported by the NET-SNMP package[13] and the Linux CMU SNMP package[14].

Luca Deri、Wes Hardaker、Bert Helthuis、およびErik Schoenfelderは、プロトタイプの実装の作成を支援しました。TCPトランスポートマッピングを介したSNMPは、現在、Net-SNMPパッケージ[13]およびLinux CMU SNMPパッケージ[14]によってサポートされています。

References

参考文献

[1] Case, J., Mundy, R., Partain, D. and B. Stewart, "Introduction and Applicability Statements for Internet-Standard Management Framework", RFC 3410, December 2002.

[1] Case、J.、Mundy、R.、Partain、D。およびB. Stewart、「インターネット標準管理フレームワークの紹介と適用声明」、RFC 3410、2002年12月。

[2] Postel, J., "Transmission Control Protocol", STD 7, RFC 793, September 1981.

[2] Postel、J。、「トランスミッションコントロールプロトコル」、STD 7、RFC 793、1981年9月。

[3] Presuhn, R., Ed., "Transport Mappings for the Simple Network Management Protocol (SNMP)", STD 62, RFC 3417, December 2002.

[3] Presuhn、R.、ed。、「Simple Network Management Protocol(SNMP)の輸送マッピング」、STD 62、RFC 3417、2002年12月。

[4] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.

[4] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。

[5] Sprenkels, R. and J. Martin-Flatin, "Bulk Transfers of MIB Data", Simple Times 7(1), March 1999.

[5] Sprenkels、R。およびJ. Martin-Flatin、「MIBデータのバルク転送」、Simple Times 7(1)、1999年3月。

[6] Daniele, M. and J. Schoenwaelder, "Textual Conventions for Transport Addresses", RFC 3419, December 2002.

[6] Daniele、M。およびJ. Schoenwaelder、「輸送住所のテキストコンベンション」、RFC 3419、2002年12月。

[7] Kastenholz, F., "SNMP Communications Services", RFC 1270, October 1991.

[7] Kastenholz、F。、「SNMP Communications Services」、RFC 1270、1991年10月。

[8] Levi, D., Meyer, P. and B. Stewart, "Simple Network Management Protocol (SNMP) Applications", STD 62, RFC 3413, December 2002.

[8] Levi、D.、Meyer、P。and B. Stewart、「Simple Network Management Protocol(SNMP)アプリケーション」、STD 62、RFC 3413、2002年12月。

[9] Harrington, D., Presuhn, R. and B. Wijnen, "An Architecture for Describing Simple Network Management Protocol (SNMP) Management Frameworks", STD 62, RFC 3411, December 2002.

[9] Harrington、D.、Presuhn、R。、およびB. Wijnen、「単純なネットワーク管理プロトコル(SNMP)管理フレームワークを説明するためのアーキテクチャ」、STD 62、RFC 3411、2002年12月。

[10] Blumenthal, U. and B. Wijnen, "User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3)", STD 62, RFC 3414, December 2002.

[10] Blumenthal、U.およびB. Wijnen、「Simple Network Management Protocol(SNMPV3)のバージョン3のユーザーベースのセキュリティモデル(USM)」、STD 62、RFC 3414、2002年12月。

[11] Wijnen, B., Presuhn, R. and K. McCloghrie, "View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP)", STD 62, RFC 3415, December 2002.

[11] Wijnen、B.、Presuhn、R。、およびK. McCloghrie、「シンプルネットワーク管理プロトコル(SNMP)のビューベースのアクセス制御モデル(VACM)」、STD 62、RFC 3415、2002年12月。

   [12] <http://www.irtf.org/>
        
   [13] <http://net-snmp.sourceforge.net/>
        
   [14] <http://www.gaertner.de/snmp/>
        
Appendix A. Connection Establishment Alternatives
付録A. 接続確立の代替案

This memo defines a simple connection establishment scheme where the notification originator or command generator application is responsible for establishing TCP connections to notification receiver or command responder applications. The purpose of this section is to document variations or alternatives of this scheme which have been discussed during the development of this specification. The discussion below focuses on notification originator applications since this is case where people seem to have diverging viewpoints. The discussion below also assumes that the reader is familiar with the SNMPv3 notification forwarding model as defined in STD 62, RFC 3413 [8].

このメモは、通知オリジネーターまたはコマンドジェネレーターアプリケーションが通知受信者またはコマンドレスポンダーアプリケーションへのTCP接続を確立する責任を負う単純な接続確立スキームを定義します。このセクションの目的は、この仕様の開発中に議論されたこのスキームのバリエーションまたは代替案を文書化することです。以下の議論は、人々が分岐した視点を持っているように見える場合であるため、通知オリジネーターアプリケーションに焦点を当てています。以下の議論は、STD 62、RFC 3413 [8]で定義されているように、読者がSNMPV3通知転送モデルに精通していることを前提としています。

The variations that have been discussed are basically driven by the idea of providing fallback mechanisms in cases where TCP connection establishment from the notification originator to the notification receiver fails. The approach specified in this memo simply drops notifications if the TCP connection cannot be established. This implies that notification originators which need reliable notification delivery must implement a local notification log in order to keep a history of notifications that could not be delivered.

議論されたバリエーションは、基本的に、通知オリジネーターから通知レシーバーへのTCP接続確立が失敗する場合のフォールバックメカニズムを提供するという考えによって推進されます。このメモで指定されたアプローチは、TCP接続を確立できない場合に通知を削除するだけです。これは、信頼できる通知配信が必要な通知オリジネーターが、配信できない通知の履歴を維持するためにローカル通知ログを実装する必要があることを意味します。

Another option is to deliver notifications via UDP in case TCP connection establishment fails. This might require augmenting the snmpTargetTable with columns that provide information about the alternate UDP transport domain and address. In general, this approach only helps to deliver notifications in cases where the notification receiver is unable to accept more TCP connections. In other fault scenarios (e.g. routing problems in the network), the UDP packet would have no or only marginally better chances to reach the notification receiver. This implies that notification originators which need reliable notification delivery still need to implement a local notification log in order to keep a history of notifications in case the UDP packets do not reach the destination.

別のオプションは、TCP接続確立が失敗した場合にUDPを介して通知を配信することです。これには、代替UDPトランスポートドメインとアドレスに関する情報を提供する列でSNMPTARGETABLEを強化する必要がある場合があります。一般に、このアプローチは、通知レシーバーがより多くのTCP接続を受け入れることができない場合の通知を配信するのにのみ役立ちます。他の障害シナリオ(例:ネットワーク内の問題のルーティング)では、UDPパケットには、通知レシーバーに到達する可能性がわずかであるか、わずかに良い可能性があります。これは、UDPパケットが宛先に到達しない場合に備えて、通知の履歴を維持するために、信頼できる通知配信が必要な通知オリジネーターがローカル通知ログを実装する必要があることを意味します。

A generalization of this approach leads to the idea of a sparse augmentation of the snmpTargetTable which lists alternate fallback transport endpoints of arbitrary transport domains. Multiple fallbacks may be possible by using a tag list approach. This provides a generic transport independent fallback mechanism which is independent of the TCP transport mapping defined in this memo.

このアプローチの一般化は、任意の輸送ドメインの代替フォールバック輸送エンドポイントをリストするSNMPTARGETTABLEのまばらな増強のアイデアにつながります。タグリストアプローチを使用すると、複数のフォールバックが可能になる場合があります。これは、このメモで定義されているTCPトランスポートマッピングとは無関係の一般的な輸送独立フォールバックメカニズムを提供します。

Another alternative is to make the notification originator responsible for retrying connection establishment. This could be accomplished by augmenting the snmpTargetTable with additional columns that specify retry counts and timeouts or by adapting the existing snmpTargetAddrTimeout and snmpTargetAddrRetryCount columns in the snmpTargetTable. But even this approach requires a local notification log in order to handle situations where all retries have failed.

もう1つの選択肢は、接続の確立を再試行する責任を通知オリジネーターにすることです。これは、再試行カウントとタイムアウトを指定する追加の列でSNMPTARGETTABLEを拡張するか、既存のSNMPTARGETADDRTIMEOUTおよびSNMPTARGETADDRRETRYCOUNT列をSNMPTARGETTABLEで適応させることによって達成できます。しかし、このアプローチでさえ、すべてのレトリが失敗した状況を処理するためにローカル通知ログインが必要です。

A fundamentally different approach is to make the notification receiver responsible for establishing the TCP connection to the notification originator. This approach has the advantage that the notification originator does not necessarily need a list of pre-configured notification receiver transport addresses. The current notification forwarding model however relies on the snmpTargetTable to identify notification targets. So the question comes up whether (a) new entries are added to the snmpTargetTable when a connection is established or whether (b) connections are only accepted if they match pre-configured snmpTargetTable entries. Note that the target selection logic relies on a tag list which can not be reasonably populated when a connection is accepted. So only option (b) seems to be compliant with the current notification forwarding logic. Another issue to consider is the vulnerability to denial of service attacks. A notification originator can be easily attacked by syn-flooding attacks if it listens for incoming TCP connections. Finally, in order to let notification originator and notification receiver applications coexist easily on a single system, it would be necessary to assign new default port numbers on which notification originators listen for incoming TCP connections.

根本的に異なるアプローチは、通知受信者に通知オリジネーターへのTCP接続を確立する責任を負わせることです。このアプローチには、通知オリジネーターが必ずしも事前に構成された通知レシーバー輸送アドレスのリストが必要ではないという利点があります。ただし、現在の通知転送モデルは、通知目標を特定するためにSNMPTARGETTABLEに依存しています。したがって、(a)接続が確立されたときに新しいエントリがsnmptargetableに追加されるか、(b)事前に構成されたsnmptargetTableエントリと一致する場合にのみ接続が受け入れられるかどうかは、質問が発生します。ターゲット選択ロジックは、接続が受け入れられたときに合理的に入力できないタグリストに依存していることに注意してください。したがって、オプション(b)のみが現在の通知転送ロジックに準拠しているようです。考慮すべきもう1つの問題は、サービス拒否攻撃に対する脆弱性です。通知オリジネーターは、TCP接続の着信に耳を傾ける場合、Syn-Flooding攻撃によって簡単に攻撃できます。最後に、通知オリジネーターと通知受信者アプリケーションに単一のシステムに簡単に共存できるようにするために、通知オリジネーターが着信TCP接続を聴く新しいデフォルトポート番号を割り当てる必要があります。

Author's Address

著者の連絡先

Juergen Schoenwaelder TU Braunschweig Bueltenweg 74/75 38106 Braunschweig Germany Phone: +49 531 391-3283 EMail: schoenw@ibr.cs.tu-bs.de

Juergen Schoenwaelder Tu Braunschweig Bueltenweg 74/75 38106 Brunschweigドイツ電話:49 531 391-3283メール:schoenw@ibr.cs.tu-bs.de

Full Copyright Statement

完全な著作権声明

Copyright (C) The Internet Society (2002). All Rights Reserved.

Copyright(c)The Internet Society(2002)。無断転載を禁じます。

This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.

このドキュメントと翻訳は他の人にコピーされて提供される場合があります。また、それについてコメントまたは説明する派生作品、またはその実装を支援することは、いかなる種類の制限なしに、準備、コピー、公開、および部分的に配布される場合があります。、上記の著作権通知とこの段落がそのようなすべてのコピーとデリバティブ作品に含まれている場合。ただし、このドキュメント自体は、インターネット協会や他のインターネット組織への著作権通知や参照を削除するなど、いかなる方法でも変更できない場合があります。インターネット標準プロセスに従うか、英語以外の言語に翻訳するために必要な場合に従う必要があります。

The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.

上記の限られた許可は永続的であり、インターネット社会またはその後継者または譲受人によって取り消されることはありません。

This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

この文書と本書に含まれる情報は、「現状」に基づいて提供されており、インターネット社会とインターネットエンジニアリングタスクフォースは、ここにある情報の使用が行われないという保証を含むがこれらに限定されないすべての保証を否認します。特定の目的に対する商品性または適合性の権利または黙示的な保証を侵害します。

Acknowledgement

謝辞

Funding for the RFC Editor function is currently provided by the Internet Society.

RFCエディター機能の資金は現在、インターネット協会によって提供されています。