[要約] 要約:RFC 3990は、無線アクセスポイントの設定とプロビジョニングの問題を解決するためのガイドラインです。 目的:CAPWAPの問題を特定し、効果的な解決策を提供することで、無線アクセスポイントの設定とプロビジョニングのプロセスを改善することを目指しています。
Network Working Group B. O'Hara Request for Comments: 3990 P. Calhoun Category: Informational Airespace J. Kempf Docomo Labs USA February 2005
Configuration and Provisioning for Wireless Access Points (CAPWAP) Problem Statement
ワイヤレスアクセスポイント(capwap)問題ステートメントの構成とプロビジョニング
Status of This Memo
本文書の位置付け
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモは、インターネットコミュニティに情報を提供します。いかなる種類のインターネット標準を指定しません。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2005).
Copyright(c)The Internet Society(2005)。
Abstract
概要
This document describes the Configuration and Provisioning for Wireless Access Points (CAPWAP) problem statement.
このドキュメントでは、ワイヤレスアクセスポイント(CAPWAP)問題ステートメントの構成とプロビジョニングについて説明します。
With the approval of the 802.11 standard by the IEEE in 1997, wireless LANs (WLANs) began a slow entry into enterprise networks. The limited data rates of the original 802.11 standard, only 1 and 2 Mbps, limited the widespread adoption of the technology. 802.11 found wide deployment in vertical applications, such as inventory management, point of sale, and transportation management. Pioneering enterprises began to deploy 802.11, mostly for experimentation.
1997年のIEEEによる802.11規格の承認により、ワイヤレスLAN(WLANS)はエンタープライズネットワークへのゆっくりとしたエントリを開始しました。元の802.11標準の限られたデータレート、1および2 Mbpsのみが、テクノロジーの広範な採用を制限しました。802.11在庫管理、販売地点、輸送管理など、垂直アプリケーションで幅広い展開が見つかりました。先駆的な企業は、主に実験用に802.11の展開を開始しました。
In 1999, the IEEE approved the 802.11a and 802.11b amendments to the base standard, increasing the available data rate to 54 and 11 Mbps, respectively, and expanding to a new radio band. This removed one of the significant factors holding back adoption of 802.11 in large enterprise networks. These large deployments were bound by the definition and functionality of an 802.11 Access Point (AP), as described in the 802.11 standard. The techniques required extensive use of layer 2 bridging and widespread VLANs to ensure the proper operation of higher layer protocols. Deployments of 802.11 WLANs as large as several thousand APs have been described.
1999年、IEEEは、基準標準の802.11aおよび802.11bの修正を承認し、利用可能なデータレートをそれぞれ54および11 Mbpsに引き上げ、新しいラジオバンドに拡大しました。これにより、大規模なエンタープライズネットワークでの802.11の採用を妨げる重要な要因の1つが削除されました。これらの大規模な展開は、802.11標準で説明されているように、802.11アクセスポイント(AP)の定義と機能に拘束されました。この手法では、より高い層プロトコルの適切な動作を確保するために、レイヤー2ブリッジングと広範なVLANを広範囲に使用する必要がありました。数千のAPと同じ大きさの802.11 WLANの展開が説明されています。
Large deployments of 802.11 WLANs have introduced several problems that require solutions. The limitations on the scalability of bridging should come as no surprise to the networking community, as similar limitations arose in the early 1980s for wired network bridging during the expansion and interconnection of wired local area networks. This document will describe the problems introduced by the large-scale deployment of 802.11 WLANs in enterprise networks.
802.11 WLANの大規模な展開により、ソリューションが必要ないくつかの問題が発生しました。ブリッジングのスケーラビリティの制限は、1980年代初頭に有線のローカルエリアネットワークの拡張と相互接続中の有線ネットワークブリッジングについても同様の制限が生じたため、ネットワーキングコミュニティにとって驚くことではないはずです。このドキュメントでは、エンタープライズネットワークで802.11 WLANの大規模な展開によって導入された問題について説明します。
Large WLAN deployments introduce several problems. First, each AP is an IP-addressable device requiring management, monitoring, and control. Deployment of a large WLAN will typically double the number of network infrastructure devices that require management. This presents a significant additional burden to the network administration resources and is often a hurdle to adoption of wireless technologies, particularly because the configuration of each access point is nearly identical to the next. This near-sameness often leads to misconfiguration and improper operation of the WLAN.
大規模なWLAN展開では、いくつかの問題が発生します。まず、各APは、管理、監視、および制御を必要とするIPアドレス可能なデバイスです。大規模なWLANの展開は、通常、管理を必要とするネットワークインフラストラクチャデバイスの数を2倍にします。これは、ネットワーク管理リソースに重大な負担をもたらし、特に各アクセスポイントの構成が次のアクセスポイントとほぼ同じであるため、ワイヤレステクノロジーを採用するためのハードルです。このほぼセミングは、しばしばWLANの誤った構成と不適切な動作につながります。
Second, distributing and maintaining a consistent configuration throughout the entire set of access points in the WLAN is problematic. Access point configuration consists of both long-term static information (such as addressing and hardware settings) and more dynamic provisioning information (such as individual WLAN settings and security parameters). Large WLAN installations that have to update dynamic provisioning information in all the APs in the WLAN require a prolonged phase-over time. As each AP is updated, the WLAN will not have a single, consistent configuration.
第二に、WLANのアクセスポイントのセット全体に一貫した構成を配布および維持することに問題があります。アクセスポイント構成は、長期の静的情報(アドレス指定やハードウェア設定など)と、より動的なプロビジョニング情報(個々のWLAN設定やセキュリティパラメーターなど)の両方で構成されています。WLANのすべてのAPで動的なプロビジョニング情報を更新する必要がある大規模なWLANインストールには、長期にわたる段階的時間が必要です。各APが更新されるため、WLANには単一の一貫した構成がありません。
Third, dealing effectively with the dynamic nature of the WLAN medium itself is difficult. Due to the shared nature of the wireless medium (shared with APs in the same WLAN, with APs in other WLANs, and with devices that are not APs at all), parameters controlling the wireless medium on each AP must be monitored frequently and modified in a coordinated fashion to maximize WLAN performance. This must be coordinated among all the access points, to minimize the interference of one access point with its neighbors. Manually monitoring these metrics and determining a new, optimum configuration for the parameters related to the wireless medium is a task that takes significant time and effort.
第三に、WLAN媒体自体の動的な性質に効果的に対処することは困難です。ワイヤレス媒体の性質が共有されているため(同じWLANのAPS、他のWLANのAPS、およびAPSではないデバイスと共有)、各APのワイヤレスメディアを制御するパラメーターは頻繁に監視し、で修正する必要があります。WLANパフォーマンスを最大化するための調整されたファッション。これは、すべてのアクセスポイント間で調整する必要があり、1つのアクセスポイントの隣人との干渉を最小限に抑える必要があります。これらのメトリックを手動で監視し、ワイヤレスメディアに関連するパラメーターの新しい最適な構成を決定することは、かなりの時間と労力を要するタスクです。
Fourth, securing access to the network and preventing installation of unauthorized access points is challenging. Physical locations for access points are often difficult to secure since their location must often be outside of a locked network closet or server room. Theft of an access point, with its embedded secrets, allows a thief to obtain access to the resources secured by those secrets.
第4に、ネットワークへのアクセスを確保し、許可されていないアクセスポイントのインストールを防ぐことは困難です。アクセスポイントの物理的な場所は、ロックされたネットワーククローゼットまたはサーバールームの外側にある必要があるため、多くの場合、保護が困難です。埋め込まれた秘密を備えたアクセスポイントの盗難により、泥棒はそれらの秘密によって保護されたリソースへのアクセスを取得できます。
Recently, to address some, or all, of the above problems, multiple vendors have begun offering proprietary solutions that combine aspects of network switching, centralized control and management, and distributed wireless access in a variety of new architectures. Since interoperable solutions allow enterprises and service providers a broader choice, a standardized, interoperable interface between access points and a centralized controller addressing the problems seems desirable.
最近、上記の問題の一部またはすべてに対処するために、複数のベンダーがネットワークスイッチング、集中管理と管理、さまざまな新しいアーキテクチャでワイヤレスアクセスの分散を組み合わせた独自のソリューションを提供し始めました。相互運用可能なソリューションにより、企業とサービスプロバイダーはより広範な選択を可能にするため、アクセスポイントと問題に対処する集中コントローラーの間の標準化された相互運用可能なインターフェイスが望ましいと思われます。
In currently fielded devices, the physical portions of this network system are one or more 802.11 access points (APs) and one or more central control devices, alternatively described as controllers (or as access controllers, ACs). Ideally, a network designer would be able to choose one or more vendors for the APs and one or more vendors for the central control devices in sufficient numbers to design a network with 802.11 wireless access to meet the designer's requirements.
現在フィールドされているデバイスでは、このネットワークシステムの物理的部分は、1つ以上の802.11アクセスポイント(APS)と1つ以上の中央制御デバイスであり、あるいはコントローラー(またはアクセスコントローラー、ACS)として記述されています。理想的には、ネットワークデザイナーは、APS用の1つまたは複数のベンダーを選択し、中央制御デバイス用の1つ以上のベンダーを十分な数字で選択でき、802.11ワイヤレスアクセスを備えたデザイナーの要件を満たすネットワークを設計できます。
Current implementations are proprietary and are not interoperable. This is due to a number of factors, including the disparate architectural choices made by the various manufacturers. A taxonomy of the architectures employed in the existing products in the market will provide the basis of an output document to be provided to the IEEE 802.11 Working Group. This taxonomy will be utilized by the 802.11 Working Group as input to their task of defining the functional architecture of an access point. The functional architecture, including descriptions of detailed functional blocks, interfaces, and information flow, will be reviewed by CAPWAP to determine if further work is necessary to apply or develop standard protocols providing for multi-vendor interoperable implementations of WLANs built from devices that adhere to the newly appearing hierarchical architecture using a functional split between an access point and an access controller.
現在の実装は独自であり、相互運用できません。これは、さまざまなメーカーが行った異なる建築的選択を含む多くの要因によるものです。市場の既存の製品で採用されているアーキテクチャの分類法は、IEEE 802.11ワーキンググループに提供される出力文書の基礎を提供します。この分類法は、アクセスポイントの機能アーキテクチャを定義するタスクへの入力として、802.11ワーキンググループによって利用されます。詳細な機能ブロック、インターフェイス、情報フローの説明を含む機能アーキテクチャは、CAPWAPによってレビューされ、マルチベンダーの相互運用可能な実装を提供する標準プロトコルを適用または開発するためにさらなる作業が必要かどうかを判断します。アクセスポイントとアクセスコントローラーの間の機能的な分割を使用して、新しく表示される階層アーキテクチャ。
The devices used in WLANs control network access and provide for the delivery of packets between hosts using the WLAN and other hosts on the WLAN or elsewhere on the Internet. Therefore, the functions for control and provisioning of wireless access points, require protection to prevent misuse of the devices.
WLANSで使用されるデバイスは、ネットワークへのアクセスを制御し、WLANとWLANまたはインターネット上の他の場所で他のホストを使用してホスト間でパケットの配信を提供します。したがって、ワイヤレスアクセスポイントの制御とプロビジョニングの機能には、デバイスの誤用を防ぐための保護が必要です。
Confidentiality, integrity, and authenticity requirements should address central management, monitoring, and control of wireless access points that should be addressed. Once an AP and AC have been authenticated to each other, a single level of authorization allowing monitoring, control, and provisioning may not be sufficient. The requirement for more than a single level of authorization should be determined. Physical security should also be addressed for those devices that contain sensitive security parameters that might compromise the security of the system, if those parameters were to fall into the hands of an attacker.
機密性、完全性、および信頼性の要件は、対処すべきワイヤレスアクセスポイントの中央管理、監視、および制御に対処する必要があります。APとACが互いに認証されると、監視、制御、およびプロビジョニングを許可する単一のレベルの承認で十分ではない場合があります。単一のレベルの承認の要件を決定する必要があります。また、これらのパラメーターが攻撃者の手に渡る場合、システムのセキュリティを損なう可能性のある機密性の高いセキュリティパラメーターを含むデバイスについては、物理的なセキュリティに対処する必要があります。
To provide comprehensive radio coverage, APs are often installed in locations that are difficult to secure. The CAPWAP architecture may reduce the consequences of a stolen AP. If high-value secrets, such as a RADIUS shared secret, are stored in the AC, then the physical loss of an AP does not compromise these secrets. Further, the AC can easily be located in a physically secure location. Of course, concentrating all the high-value secrets in one place makes the AC an attractive target, and strict physical, procedural, and technical controls are needed to protect the secrets.
包括的な無線カバレッジを提供するために、APは多くの場合、保護が困難な場所にインストールされます。CapWapアーキテクチャは、盗まれたAPの結果を減らす可能性があります。半径の共有秘密などの高価値の秘密がACに保存されている場合、APの物理的損失はこれらの秘密を妥協しません。さらに、ACは物理的に安全な場所に簡単に配置できます。もちろん、すべての高価値の秘密を1つの場所に集中させると、ACは魅力的なターゲットとなり、秘密を保護するためには、物理的、手続き的、技術的な厳格なコントロールが必要です。
Authors' Addresses
著者のアドレス
Bob O'Hara Airespace 110 Nortech Parkway San Jose, CA 95134
ボブ・オハラ空軍110 Nortech Parkway San Jose、CA 95134
Phone: +1 408-635-2025 EMail: bob@airespace.com
Pat R. Calhoun Airespace 110 Nortech Parkway San Jose, CA 95134
PAT R. Calhoun Airespace 110 Nortech Parkway San Jose、CA 95134
Phone: +1 408-635-2000 EMail: pcalhoun@airespace.com
James Kempf Docomo Labs USA 181 Metro Drive, Suite 300 San Jose, CA 95110
James Kempf Docomo Labs USA 181 Metro Drive、Suite 300 San Jose、CA 95110
Phone: +1 408 451 4711 EMail: kempf@docomolabs-usa.com
Full Copyright Statement
完全な著作権声明
Copyright (C) The Internet Society (2005).
Copyright(c)The Internet Society(2005)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書は、BCP 78に含まれる権利、ライセンス、および制限の対象となり、そこに記載されている場合を除き、著者はすべての権利を保持しています。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれる情報は、「現状のまま」に基づいて提供されています。また、貢献者、彼/彼女が代表する組織(もしあれば)が後援する組織、インターネット協会とインターネット工学タスクフォースは、すべての保証、明示的または明示的、またはすべての保証を否認します。本書の情報の使用が、商品性または特定の目的に対する適合性の権利または黙示的な保証を侵害しないという保証を含むがこれらに限定されないことを含む。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the IETF's procedures with respect to rights in IETF Documents can be found in BCP 78 and BCP 79.
IETFは、知的財産権またはその他の権利の有効性または範囲に関して、この文書に記載されている技術の実装または使用、またはそのような権利に基づくライセンスがどの程度であるかについての使用に関連すると主張する可能性があるという立場はありません。利用可能になります。また、そのような権利を特定するために独立した努力をしたことも表明していません。IETFドキュメントの権利に関するIETFの手順に関する情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IETF事務局に行われたIPR開示のコピーと、利用可能にするライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得するための試みの結果を取得できます。http://www.ietf.org/iprのIETFオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実装するために必要なテクノロジーをカバーする可能性のあるその他の独自の権利を注意深く招待します。ietf-ipr@ietf.orgのIETFへの情報をお問い合わせください。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFCエディター機能の資金は現在、インターネット協会によって提供されています。