[要約] RFC 4176は、Layer 3 Virtual Private Networks(L3VPN)の運用と管理のためのフレームワークです。このRFCの目的は、L3VPNの運用と管理に関するガイドラインを提供することです。
Network Working Group Y. El Mghazli, Ed.
Request for Comments: 4176 Alcatel
Category: Informational T. Nadeau
Cisco
M. Boucadair
France Telecom
K. Chan
Nortel
A. Gonguet
Alcatel
October 2005
Framework for Layer 3 Virtual Private Networks (L3VPN) Operations and Management
レイヤー3仮想プライベートネットワーク(L3VPN)の操作と管理のフレームワーク
Status of This Memo
本文書の位置付け
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモは、インターネットコミュニティに情報を提供します。いかなる種類のインターネット標準を指定しません。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2005).
Copyright(c)The Internet Society(2005)。
Abstract
概要
This document provides a framework for the operation and management of Layer 3 Virtual Private Networks (L3VPNs). This framework intends to produce a coherent description of the significant technical issues that are important in the design of L3VPN management solutions. The selection of specific approaches, and making choices among information models and protocols are outside the scope of this document.
このドキュメントは、レイヤー3仮想プライベートネットワーク(L3VPNS)の操作と管理のためのフレームワークを提供します。このフレームワークは、L3VPN管理ソリューションの設計に重要な重要な技術的問題の一貫した説明を作成することを目的としています。特定のアプローチの選択、情報モデルとプロトコル間で選択を行うことは、このドキュメントの範囲外です。
Table of Contents
目次
1. Introduction ................................................. 2
1.1. Terminology ............................................ 2
1.2. Management functions ................................... 4
1.3. Reference Models ....................................... 5
2. Customer Service Operations and Management ................... 7
2.1. Customer Service Management Information Model .......... 7
2.2. Customer Management Functions .......................... 8
2.2.1. Fault Management ............................... 8
2.2.2. Configuration Management ....................... 9
2.2.3. Accounting ..................................... 9
2.2.4. Performance Management ......................... 10
2.2.5. Security Management ............................ 10
2.3. Customer Management Functional Description ............. 11
2.3.1. L3VPN Service Offering Management .............. 11
2.3.2. L3VPN Service Order Management ................. 12
2.3.3. L3VPN Service Assurance ........................ 12
3. Provider Network Manager ..................................... 12
3.1. Provider Network Management Definition ................. 12
3.2. Network Management Functions ........................... 13
3.2.1. Fault Management ............................... 13
3.2.2. Configuration Management ....................... 14
3.2.3. Accounting ..................................... 17
3.2.4. Performance Management ......................... 17
3.2.5. Security Management ............................ 17
4. L3VPN Devices ................................................ 18
4.1. Information Model ...................................... 18
4.2. Communication .......................................... 18
5. Security Considerations ...................................... 19
6. Acknowledgements ............................................. 19
7. Normative References ......................................... 19
In this document, the following terms are used and defined as follows:
このドキュメントでは、次の用語が使用され、次のように定義されています。
VPN:
VPN:
Virtual Private Network. A set of transmission and switching resources that will be used over a shared infrastructure to process the (IP) traffic that characterizes communication services between the sites or premises interconnected via this VPN. See [RFC4026].
仮想プライベートネットワーク。共有インフラストラクチャで使用される一連の送信およびスイッチングリソースは、このVPNを介して相互接続されたサイトまたは施設間の通信サービスを特徴付ける(IP)トラフィックを処理します。[RFC4026]を参照してください。
L3VPN:
L3VPN:
An L3VPN interconnects sets of hosts and routers based on Layer 3 addresses. See [RFC4026].
L3VPNは、レイヤー3アドレスに基づいてホストとルーターのセットを相互接続します。[RFC4026]を参照してください。
VPN Instance:
VPNインスタンス:
From a management standpoint, a VPN instance is the collection of configuration information associated with a specific VPN, residing on a PE router.
管理の観点から、VPNインスタンスは、PEルーターに存在する特定のVPNに関連付けられた構成情報のコレクションです。
VPN Site:
VPNサイト:
A VPN customer's location that is connected to the Service Provider network via a CE-PE link, which can access at least one VPN.
少なくとも1つのVPNにアクセスできるCE-PEリンクを介して、サービスプロバイダーネットワークに接続されているVPN顧客の場所。
VPN Service Provider (SP):
VPNサービスプロバイダー(SP):
A Service Provider that offers VPN-related services.
VPN関連のサービスを提供するサービスプロバイダー。
VPN Customer:
VPN顧客:
Refers to a customer that bought VPNs from a VPN service provider.
VPNサービスプロバイダーからVPNを購入した顧客を指します。
Customer Agent:
顧客エージェント:
Denotes the entity that is responsible for requesting VPN customer-specific information.
VPN顧客固有の情報を要求する責任のあるエンティティを示します。
Service Level Agreement(SLA):
サービスレベル契約(SLA):
Contractual agreement between the Service Provider and Customer, which includes qualitative and quantitative metrics that define service quality guarantees and retribution procedures when service levels are not being met.
サービスプロバイダーと顧客との間の契約上の合意。これには、サービスレベルが満たされていない場合のサービス品質保証と報復手順を定義する定性的および定量的メトリックが含まれます。
Service Level Specifications (SLS):
サービスレベルの仕様(SLS):
Internally-focused service performance specifications used by the Service Provider to manage customer service quality levels.
カスタマーサービスの品質レベルを管理するためにサービスプロバイダーが使用する内部的に中心のサービスパフォーマンス仕様。
For any type of Layer-3 VPN (PE or CE-based VPNs), having a management platform where the VPN-related information could be collected and managed is recommended. The Service and Network Management System may centralize information related to instances of a VPN and allow users to configure and provision each instance from a central location.
あらゆるタイプのレイヤー-3 VPN(PEまたはCEベースのVPN)の場合、VPN関連の情報を収集して管理できる管理プラットフォームを持つことをお勧めします。サービスおよびネットワーク管理システムは、VPNのインスタンスに関連する情報を集中させ、ユーザーが各インスタンスを中央の場所から構成およびプロビジョニングできるようにする場合があります。
An SP must be able to manage the capabilities and characteristics of their VPN services. Customers should have means to ensure fulfillment of the VPN service to which they subscribed. To the extent possible, automated operations and interoperability with standard management protocols should be supported.
SPは、VPNサービスの機能と特性を管理できる必要があります。顧客は、サブスクライブしたVPNサービスの履行を確保するための手段を持つ必要があります。可能な限り、標準管理プロトコルを使用した自動化された操作と相互運用性をサポートする必要があります。
Two main management functions are identified:
2つの主要な管理機能が特定されています。
A customer service management function:
カスタマーサービス管理機能:
This function provides the means for a customer to query, configure, and receive (events/alarms) customer-specific VPN service information. Customer-specific information includes data related to contact, billing, site, access network, IP address, routing protocol parameters, etc. It may also include confidential data, such as encryption keys. Several solutions could be used:
この関数は、顧客が顧客固有のVPNサービス情報をクエリ、構成、および受信(イベント/アラーム)受信する手段を提供します。顧客固有の情報には、連絡先、請求、サイト、アクセスネットワーク、IPアドレス、ルーティングプロトコルパラメーターなどに関連するデータが含まれます。暗号化キーなどの機密データも含まれる場合があります。いくつかのソリューションを使用できます。
* Proprietary network management system
* 独自のネットワーク管理システム
* SNMP manager
* SNMPマネージャー
* PDP function
* PDP関数
* Directory service, etc.
* ディレクトリサービスなど
A provider network management function:
プロバイダーネットワーク管理機能:
This function is responsible for planning, building, provisioning, and maintaining network resources in order to meet the VPN service-level agreements outlined in the SLA offered to the customer. This mainly consists of (1) setup and configuration of physical links, (2) provisioning of logical VPN service configurations, and (3) life-cycle management of VPN service, including the addition, modification, and deletion of VPN configurations.
この機能は、顧客に提供されるSLAで概説されているVPNサービスレベルの契約を満たすために、ネットワークリソースの計画、構築、プロビジョニング、および維持を担当します。これは主に、(1)物理リンクのセットアップと構成、(2)論理VPNサービス構成のプロビジョニング、および(3)VPN構成の追加、変更、削除を含むVPNサービスのライフサイクル管理で構成されています。
There may be relationships between the customer service and provider network management functions, as the provider network is managed to support/realize/provide the customer service. One example use of this relationship is to provide the VPN-SLS assurance for verifying the fulfillment of the subscribed VPN agreement.
プロバイダーネットワークはカスタマーサービスをサポート/実現/提供するために管理されているため、カスタマーサービスとプロバイダーのネットワーク管理機能の間には関係があります。この関係の1つの例は、購読されたVPN契約の履行を検証するためのVPN-SLS保証を提供することです。
The ITU-T Telecommunications Management Network has the following generic requirements structure:
ITU-T Telecommunications Management Networkには、次の一般的な要件構造があります。
o Engineer, deploy and manage the switching, routing, and transmission resources supporting the service from a network perspective (network element management);
o ネットワークの観点からサービスをサポートするスイッチング、ルーティング、および送信リソースのエンジニア、展開、および管理(ネットワーク要素管理)。
o Manage the VPNs deployed over these resources (network management);
o これらのリソース(ネットワーク管理)に展開されているVPNSを管理します。
o Manage the VPN service (service management);
o VPNサービス(サービス管理)を管理します。
- - - - - - - - - - - - - - - - - - - - - - - -:- - - - - - - - -
Service +-------------+ : +----------+
Management | Service |<------------------:----->| Customer |
Layer | Manager | : | Agent |
+-------------+ : +----------+
- - - - - - - - - - ^ - - - - - - - - - - - - -:- - - - - - - - -
Network | +------------+ :
Management | | Provider | :
Layer | | Network | Customer
+------>| Manager | Interface
+------------+ :
- - - - - - - - - - - - - - - - - ^ - - - - - -:- - - - - - - - -
Network Element | :
Management | +------+ : +------+
Layer | | | : | CE |
+->| PE | : |device|
|device| : | of |
| |--:--|VPN A|
+------+ : +------+
---------------------------------------------->:<----------------
SP network : Customer Network
Figure 1: Reference Model for PE-based L3VPN Management
図1:PEベースのL3VPN管理の参照モデル
- - - - - - - - - - - - - - - - - - - - - - - -:- - - - - - - - -
Service +-------------+ : +----------+
Management | Service |<------------------:----->| Customer |
Layer | Manager | : | Agent |
+-------------+ : +----------+
- - - - - - - - - - ^ - - - - - - - - - - - - -:- - - - - - - - -
Network | +------------+ :
Management | | Provider | :
Layer | | Network | Customer
+------>| Manager | Interface
+------------+ :
- - - - - - - - - - - - - - - -^- - - -^- - - -:- - - - - - - - -
Network Element | +-------:---------------+
Management | +------+ : +------+ |
Layer | | | : | CE | |
+---->| PE | : |device|<----+
|device| : | of |
| |--:--|VPN A|
+------+ : +------+
---------------------------------------------->:<----------------
SP network : Customer Network
Figure 2: Reference Model for CE-based L3VPN Management
図2:CEベースのL3VPN管理の参照モデル
Above, Figures 1 and 2 present the reference models for both PE and CE-based L3VPN management, according to the aforementioned generic structure.
上記の図1と2は、前述の汎用構造に従って、PEベースのL3VPN管理の両方の参照モデルを示しています。
In both models, the service manager administrates customer-specific attributes, such as customer Identifier (ID), personal information (e.g., name, address, phone number, credit card number, etc.), subscription services and parameters, access control policy information, billing and statistical information, etc.
両方のモデルで、サービスマネージャーは、顧客識別子(ID)、個人情報(例:名前、住所、電話番号、クレジットカード番号など)、サブスクリプションサービスとパラメーター、アクセス制御ポリシー情報などの顧客固有の属性を管理します。、請求および統計情報など。
In the PE-based reference model, the provider network manager administrates device attributes and their relationships, covering PE devices and other devices that construct the corresponding PE-based VPN.
PEベースのリファレンスモデルでは、プロバイダーネットワークマネージャーは、デバイスの属性とその関係を管理し、対応するPEベースのVPNを構築するPEデバイスやその他のデバイスをカバーします。
In the CE-based reference model, the provider network manager administrates device attributes and their relationships, covering PE and CE devices that construct the corresponding CE-based VPN.
CEベースの参照モデルでは、プロバイダーネットワークマネージャーは、対応するCEベースのVPNを構築するPEおよびCEデバイスをカバーするデバイス属性とその関係を管理します。
Network and customer service management systems that are responsible for managing VPN networks have several challenges, depending on the type of VPN network(s) they are required to manage.
VPNネットワークの管理を担当するネットワークおよびカスタマーサービス管理システムには、管理する必要があるVPNネットワークのタイプに応じて、いくつかの課題があります。
Services offered by providers can be viewed from the customer's or the provider's perspective. This section describes service management from the customer's perspective, focusing on the Customer Management function.
プロバイダーが提供するサービスは、顧客またはプロバイダーの観点から見ることができます。このセクションでは、顧客管理機能に焦点を当てた顧客の観点からのサービス管理について説明します。
The Customer Management function's goal is to manage the service-based operations like service ordering, service subscription, activation, etc.
顧客管理機能の目標は、サービスの注文、サービスサブスクリプション、アクティベーションなど、サービスベースの運用を管理することです。
The Customer Management function resides in the L3VPN service manager at the Service Management Layer (SML). It mainly consists of defining the L3VPN services offered by the SP, collecting and consolidating the customer L3VPN services requirements, as well as performing some reporting for the customer. This function is correlated with the Network Management function at the Network Management Layer (NML) for initiating the L3VPN services provisioning, and getting some service reporting.
顧客管理機能は、サービス管理レイヤー(SML)のL3VPNサービスマネージャーにあります。主に、SPが提供するL3VPNサービスを定義し、顧客のL3VPNサービス要件を収集および統合すること、および顧客向けのレポートを実行することで構成されています。この機能は、L3VPNサービスプロビジョニングを開始し、サービスレポートを取得するために、ネットワーク管理レイヤー(NML)のネットワーク管理機能と相関しています。
This section presents a framework that is used for L3VPN customer service management at the SML. The information framework represents the data that need to be managed, and the way they are represented. At the SML, the information framework that is foreseen is composed of Service Level Agreements (SLA) and Service Level Specifications (SLS).
このセクションでは、SMLのL3VPNカスタマーサービス管理に使用されるフレームワークを紹介します。情報フレームワークは、管理する必要があるデータとそれらの表現方法を表します。SMLでは、予見される情報フレームワークは、サービスレベル契約(SLA)とサービスレベルの仕様(SLS)で構成されています。
Services are described through Service Level Agreements (SLA), which are contractual documents between customers and service providers. The technical part of the service description is called the Service Level Specification (SLS). The SLS groups different kinds of parameters. Some are more related to the description of the transport of the packets, and some to the specification of the service itself.
サービスは、顧客とサービスプロバイダーの間の契約書であるサービスレベル契約(SLA)を通じて説明されています。サービスの説明の技術的な部分は、サービスレベルの仕様(SLS)と呼ばれます。SLSは、異なる種類のパラメーターをグループ化します。パケットの輸送の説明に関連するものもあれば、サービス自体の仕様に関連するものもあります。
A Service Level Specification (SLS) may be defined per access network connection, per VPN, per VPN site, and/or per VPN route. The service provider may define objectives and the measurement intervals, for at least the SLS, using the following Service Level Objective (SLO) parameters:
サービスレベルの仕様(SLS)は、アクセスネットワーク接続、VPNごと、VPNサイト、および/またはVPNルートごとに定義できます。サービスプロバイダーは、少なくともSLSの目的と測定間隔を定義し、次のサービスレベル目標(SLO)パラメーターを使用してください。
o QoS and traffic parameters
o QoSおよびトラフィックパラメーター
o Availability for the site, VPN, or access connection
o サイト、VPN、またはアクセス接続の可用性
o Duration of outage intervals per site, route, or VPN o Service activation interval (e.g., time to turn up a new site)
o サイト、ルート、またはVPN oサービスアクティベーション間隔ごとの停止間隔の期間(新しいサイトを上げる時間など)
o Trouble report response time interval
o 報告の対応時間間隔を報告します
o Time to repair interval
o 間隔を修復する時間
o Total incoming/outgoing traffic from a site or a (VPN) route, or that has transited through the whole VPN
o サイトまたは(VPN)ルートからの総受信/発信トラフィック、またはVPN全体を通過したルート
o Measurement of non-conforming incoming/outgoing traffic (compliance of traffic should deserve some elaboration because of many perspectives - security, QoS, routing, etc.) from a site or a (VPN) route, or that has transited through the whole VPN
o サイトまたは(VPN)ルートからの、不適合な着信/発信トラフィックの測定(トラフィックのコンプライアンスは、セキュリティ、QoS、ルーティングなど、多くの視点のためにいくつかの視点に値する必要があります)、またはVPN全体を介して通過したルートから
The service provider and the customer may negotiate contractual penalties in the case(s) where the provider does not meet a (set of) SLS performance objective(s).
サービスプロバイダーと顧客は、プロバイダーがSLSパフォーマンスの目標を満たしていない場合に、契約上の罰則を交渉する場合があります。
Traffic parameters and actions should be defined for incoming and outgoing packets that go through the demarcation between the service provider premises and the customer's premises. For example, traffic policing functions may be activated at the ingress of the service provider's network, while traffic shaping capabilities could be activated at the egress of the service provider's network.
サービスプロバイダーの敷地と顧客の敷地との間の境界を通過する着信および発信パケットのトラフィックパラメーターとアクションを定義する必要があります。たとえば、サービスプロバイダーのネットワークの侵入でトラフィックポリシング機能をアクティブにすることができますが、サービスプロバイダーのネットワークの出口でトラフィックの形成機能をアクティブにすることができます。
This section presents detailed customer management functions in the traditional fault, configuration, accounting, performance, and security (FCAPS) management categories.
このセクションでは、従来の障害、構成、会計、パフォーマンス、セキュリティ(FCAPS)管理カテゴリにおける詳細な顧客管理機能を示します。
The fault management function of the Customer Service Manager relies upon the manipulation of network layer failure information, and it reports incidents to the impacted customers. Such reports should be based upon and related to the VPN service offering to which the customer is subscribed. The Customer Management function support for fault management includes:
カスタマーサービスマネージャーの障害管理機能は、ネットワーク層の障害情報の操作に依存しており、影響を受けた顧客にインシデントを報告しています。このようなレポートは、顧客が購読するVPNサービス提供に基づいており、関連する必要があります。障害管理の顧客管理機能サポートには以下が含まれます。
o Indication of customer's services impacted by failure
o 失敗の影響を受けた顧客のサービスの兆候
o Incident recording or logs
o インシデント記録またはログ
o Frequency of tests
o テストの頻度
o Ability to invoke probes from the customer and provider o Ability to uncover faults before the customer notices them
o 顧客とプロバイダーからプローブを呼び出す能力o顧客が気付く前に障害を明らかにする能力
The configuration management function of the Customer Manager must be able to configure L3VPN service parameters with the level of detail that the customer is able to specify, according to service templates defined by the provider.
カスタマーマネージャーの構成管理機能は、プロバイダーによって定義されたサービステンプレートに従って、顧客が指定できる詳細レベルでL3VPNサービスパラメーターを構成できる必要があります。
A service template contains fields which, when instantiated, yield a definite service requirement or policy. For example, a template for an IPsec tunnel [RFC2401] would contain fields such as tunnel end points, authentication modes, encryption and authentication algorithms, shared keys (if any), and traffic filters.
サービステンプレートには、インスタンス化されたときに明確なサービス要件またはポリシーが生成されるフィールドが含まれています。たとえば、IPSECトンネル[RFC2401]のテンプレートには、トンネルエンドポイント、認証モード、暗号化と認証アルゴリズム、共有キー(存在する場合)、トラフィックフィルターなどのフィールドが含まれます。
Other examples: a BGP/MPLS-based VPN service template would contain fields such as the customer premises that need to be interconnected via the VPN, and a QoS agreement template would contain fields such as one-way transit delay, inter-packet delay variation, throughput, and packet loss thresholds.
その他の例:BGP/MPLSベースのVPNサービステンプレートには、VPNを介して相互接続する必要がある顧客施設などのフィールドが含まれ、QoS契約テンプレートには一元配置輸送遅延、パケット間遅延変動などのフィールドが含まれます。、スループット、およびパケット損失のしきい値。
The accounting management function of the Customer Manager is provided with network layer measurements information and manages this information. The Customer Manager is responsible for the following accounting functions:
カスタマーマネージャーの会計管理機能には、ネットワークレイヤー測定情報が提供され、この情報が管理されます。カスタマーマネージャーは、次の会計機能について責任を負います。
o Retrieval of accounting information from the Provider Network Manager
o プロバイダーネットワークマネージャーからの会計情報の検索
o Analysis, storage, and administration of measurements
o 測定の分析、保管、および管理
Some providers may require near-real time reporting of measurement information, and may offer this as part of a customer network management service.
一部のプロバイダーは、測定情報のほぼリアルの時間報告を必要とする場合があり、これを顧客ネットワーク管理サービスの一部として提供する場合があります。
If an SP supports "Dynamic Bandwidth Management" service, then the schedule and the amount of the bandwidth required to perform requested bandwidth allocation change(s) must be traceable for monitoring and accounting purposes.
SPが「動的帯域幅管理」サービスをサポートする場合、要求された帯域幅の割り当て変更を実行するために必要な帯域幅のスケジュールと量は、監視と会計目的で追跡可能でなければなりません。
Solutions should state compliance with accounting requirements, as described in section 1.7 of [RFC2975].
ソリューションは、[RFC2975]のセクション1.7で説明されているように、会計要件に準拠する必要があります。
From the Customer Manager's perspective, performance management includes functions involved in the determination of the conformance level with the Service Level Specifications, such as QoS and availability measurements. The objective is to correlate accounting information with performance and fault management information to produce billing that takes into account SLA provisions for periods of time where the service level objectives are not met.
顧客マネージャーの観点から、パフォーマンス管理には、QoSや可用性測定などのサービスレベルの仕様との適合レベルの決定に関与する機能が含まれます。目的は、会計情報をパフォーマンスおよび障害管理情報と相関させて、サービスレベルの目標が満たされない期間SLAの規定を考慮した請求を作成することです。
The performance information should reflect the quality of the subscribed VPN service as perceived by the customer. This information could be measured by the provider or controlled by a third party. The parameters that will be used to reflect the performance level could be negotiated and agreed upon between the service provider and the customer during the VPN service negotiation phase.
パフォーマンス情報は、顧客が認識しているように、購読されているVPNサービスの品質を反映する必要があります。この情報は、プロバイダーによって測定されるか、第三者によって管理されることができます。パフォーマンスレベルを反映するために使用されるパラメーターは、VPNサービス交渉段階でサービスプロバイダーと顧客の間で交渉および合意することができます。
Performance management should also support analysis of important aspects of an L3VPN, such as bandwidth utilization, response time, availability, QoS statistics, and trends based on collected data.
パフォーマンス管理は、帯域幅の利用、応答時間、可用性、QoS統計、収集されたデータに基づく傾向など、L3VPNの重要な側面の分析もサポートする必要があります。
From the Customer Manager's perspective, the security management function includes management features to guarantee the security of the VPN. This includes security of devices, configuration data, and access connections. Authentication and authorization (access control) also fall into this category.
カスタマーマネージャーの観点から見ると、セキュリティ管理機能には、VPNのセキュリティを保証する管理機能が含まれています。これには、デバイスのセキュリティ、構成データ、およびアクセス接続が含まれます。認証と承認(アクセス制御)もこのカテゴリに分類されます。
Management access control determines the privileges that a user has for particular applications and parts of the network. Without such control, only the security of the data and control traffic is protected (leaving the devices providing the L3VPN network unprotected) among other equipment or resources. Access control capabilities protect these devices to ensure that users have access to only those resources and applications they are granted to use.
管理アクセス制御は、ユーザーが特定のアプリケーションとネットワークの一部に対して持っている特権を決定します。このような制御がなければ、データと制御トラフィックのセキュリティのみが保護されます(L3VPNネットワークを保護していないデバイスのまま)他の機器やリソースの中で。アクセス制御機能は、これらのデバイスを保護して、ユーザーが使用するために付与されているリソースとアプリケーションのみにアクセスできるようにします。
Authentication is the process of verifying the identity of a VPN user.
認証は、VPNユーザーのIDを確認するプロセスです。
This section provides a high-level example of an architecture for the L3VPN management framework, with regard to the SML layer. The goal is to map the customer management functions described in Section 2.2 to architectural yet functional blocks, and to describe the communication with the other L3VPN management functions.
このセクションでは、SML層に関して、L3VPN管理フレームワークのアーキテクチャの高レベルの例を示します。目標は、セクション2.2で説明されている顧客管理機能を構造的でありながら機能的なブロックにマッピングし、他のL3VPN管理機能との通信を説明することです。
+ - - - - - - - - - - - - - - - - - - - - - - - - - +
| Service +----------------+ +----------------+ |
| Management | VPN Offering| | VPN Order | |
| | Management | | Management | |
| +----------------+ +----------------+ |
| +----------------+ +----------------+ |
| | VPN | | VPN-based | |
| | Assurance | | SLS Management | |
| +----------------+ +----------------+ |
+ - - - - - - - - - - - - - - - - - - - - - - - - - +
Figure 3: Overview of the Service Management
図3:サービス管理の概要
A customer must have a means to view the topology, operational state, order status, and other parameters associated with the VPN service offering that has been subscribed.
顧客は、サブスクライブされているVPNサービスの提供に関連するトポロジ、運用状態、注文ステータス、およびその他のパラメーターを表示する手段を持っている必要があります。
All aspects of management information about CE devices and customer attributes of an L3VPN, manageable by a SP, should be capable of being configured and maintained by an authenticated, authorized Service manager.
SPが管理できるL3VPNのCEデバイスと顧客属性に関する管理情報のすべての側面は、認証された認定サービスマネージャーによって構成および維持できる必要があります。
A customer agent should be able to make dynamic requests for changing the parameters that describe a service. A customer should be able to receive responses from the SP network in response to these requests (modulo the existence of necessary agreements). Communication between customer Agents and (VPN) service providers will rely upon a query/response mechanism.
顧客エージェントは、サービスを説明するパラメーターを変更するための動的なリクエストを行うことができるはずです。顧客は、これらのリクエストに応じてSPネットワークから回答を受け取ることができるはずです(必要な合意の存在を測定)。顧客エージェントと(VPN)サービスプロバイダー間の通信は、クエリ/応答メカニズムに依存します。
A customer who may not be able to afford the resources to manage its CPEs should be able to outsource the management of the VPN to the service provider(s) supporting the network.
CPEを管理するためのリソースを購入できない可能性のある顧客は、ネットワークをサポートするサービスプロバイダーにVPNの管理を外部委託できるはずです。
Hopefully, the deployment of a VPN addresses customers' requirements. Thus, the provider must have the means to advertise the VPN-based services it offers. Then, the potential customers could select the service to which they want to subscribe. Additional features could be associated to this subscription phase, such as the selection of a level of quality associated to the delivery of the VPN service, the level of management of the VPN service performed by the SP, security options, etc.
うまくいけば、VPNの展開が顧客の要件に対処することを願っています。したがって、プロバイダーは、提供するVPNベースのサービスを宣伝する手段を持っている必要があります。その後、潜在的な顧客は、購読したいサービスを選択できます。VPNサービスの提供に関連する品質レベルの選択、SPによって実行されるVPNサービスの管理レベル、セキュリティオプションなど、追加機能は、このサブスクリプションフェーズに関連付けられる可能性があります。
This operation aims at managing the requests initiated by the customers and tracks the status of the achievement of the related operations. The activation of the orders is conditioned by the availability of the resources that meet the customer's requirements with the agreed guarantees (note that it could be a result of a negotiation phase between the customer and the provider).
このオペレーションは、顧客によって開始されたリクエストを管理することを目的としており、関連する運用の達成のステータスを追跡します。注文のアクティブ化は、合意された保証で顧客の要件を満たすリソースの可用性によって条件付けられます(顧客とプロバイダーの間の交渉段階の結果である可能性があることに注意してください)。
The customer may require the means to evaluate the fulfillment of the contracted SLA with the provider. Thus, the provider should monitor, measure, and provide statistical information to the customer, assuming an agreement between both parties on the measurement methodology, as well as the specification of the corresponding (set of) quality of service indicators.
顧客は、プロバイダーと契約されたSLAの履行を評価する手段を必要とする場合があります。したがって、プロバイダーは、測定方法に関する両当事者間の合意と、対応する(セットの)サービスインジケーターの仕様の仕様を想定して、顧客に統計情報を監視、測定、および提供する必要があります。
When implementing a VPN architecture within a domain (or a set of domains managed by a single SP), the SP must have a means to view the physical and logical topology of the VPN premises, the VPN operational status, the VPN service ordering status, the VPN service handling, the VPN service activation status, and other aspects associated with each customer's VPN.
ドメイン内でVPNアーキテクチャを実装する場合(または単一のSPによって管理されたドメインのセット)、SPにはVPN施設の物理的および論理トポロジ、VPN運用ステータス、VPNサービス順序付けステータスを表示する手段が必要です。VPNサービスの処理、VPNサービスのアクティベーションステータス、および各顧客のVPNに関連するその他の側面。
From a provider's perspective, the management of a VPN service consists mainly of:
プロバイダーの観点から見ると、VPNサービスの管理は主に次のものです。
o Managing the customers (the term "customer" denotes a role rather than the end user, thus an SP could be a customer) and end-users in terms of SLA
o 顧客の管理(「顧客」という用語は、エンドユーザーではなく役割を意味します。
o Managing the VPN premises (especially creating, modifying, and deleting operations, editing the related information to a specific link, or supervising the AAA [RFC2903] [RFC2906] operations)
o VPN施設の管理(特に操作の作成、変更、削除、関連情報の特定のリンクへの編集、またはAAA [RFC2903] [RFC2906]操作の監督))
o Managing the CE-PE links (particularly creating, modifying, and deleting links, editing the related information to a specific VPN)
o CE-PEリンクの管理(特にリンクの作成、変更、削除、関連情報の編集特定のVPNに編集)
o Managing the service ordering, such as Quality of Service, in terms of supported classes of service, traffic isolation, etc.
o サービスの品質など、サービスの品質など、サービスの順序付け、交通隔離などの管理。
Currently, proprietary methods are often used to manage VPNs. The additional expense associated with operators having to use multiple, proprietary, configuration-related management methods (e.g., Command Line Interface (CLI) languages) to access such systems is not recommended, because it affects the overall cost of the service (including the exploitation costs), especially when multiple vendor technologies (hence multiple expertise) are used to support the VPN service offering. Therefore, devices should provide standards-based interfaces. From this perspective, additional requirements on possible interoperability issues and availability of such standardized management interfaces need to be investigated.
現在、独自の方法は、VPNを管理するためによく使用されています。オペレーターに関連する追加費用は、そのようなシステムにアクセスするために複数の独自の構成関連管理方法(コマンドラインインターフェイス(CLI)言語)を使用しなければならないことは推奨されません。特に、複数のベンダーテクノロジー(したがって複数の専門知識)がVPNサービスの提供をサポートするために使用される場合。したがって、デバイスは標準ベースのインターフェイスを提供する必要があります。この観点から、可能な相互運用性の問題とそのような標準化された管理インターフェイスの可用性に関する追加要件を調査する必要があります。
In addition, there can be internal service provided by the SP for satisfying the customer service requirements. Some of these may include the notion of dynamic deployment of resources for supporting the customer-visible services, high availability service for the customer that may be supported by automatic failure detection, and automatic switchover to back-up VPNs. These are accomplished by inter-working with the FCAPS capabilities of the Provider Network Manager.
さらに、顧客サービスの要件を満たすためにSPが提供する内部サービスがある場合があります。これらのいくつかには、顧客可視サービスをサポートするためのリソースの動的展開の概念、自動障害検出によってサポートされる可能性のある顧客向けの高可用性サービス、およびバックアップVPNへの自動スイッチオーバーが含まれる場合があります。これらは、プロバイダーネットワークマネージャーのFCAPS機能と相互作用することによって達成されます。
The Provider Network Manager support for fault management includes:
障害管理のためのプロバイダーネットワークマネージャーのサポートには以下が含まれます。
o Fault detection (incidents reports, alarms, failure visualization)
o 障害検出(インシデントレポート、アラーム、故障視覚化)
o Fault localization (analysis of alarms reports, diagnostics)
o 障害のローカリゼーション(アラームレポートの分析、診断)
o Corrective actions (data path, routing, resource allocation)
o 是正措置(データパス、ルーティング、リソース割り当て)
Since L3VPNs rely upon a common network infrastructure, the Provider Network Manager provides a means to inform the Service Manager about the VPN customers impacted by a failure in the infrastructure. The Provider Network Manager should provide pointers to the related customer configuration information to contribute to the procedures of fault isolation and the determination of corrective actions.
L3VPNは共通のネットワークインフラストラクチャに依存しているため、プロバイダーネットワークマネージャーは、インフラストラクチャの障害の影響を受けたVPN顧客についてサービスマネージャーに通知する手段を提供します。プロバイダーネットワークマネージャーは、障害分離の手順と修正措置の決定に貢献するために、関連する顧客構成情報へのポインターを提供する必要があります。
It is desirable to detect faults caused by configuration errors, because these may cause VPN service to fail, or not meet other requirements (e.g., traffic and routing isolation). One approach could be a protocol that systematically checks that all constraints have been taken into account, and that consistency checks have been enforced during the tunnel configuration process.
構成エラーによって引き起こされる障害を検出することが望ましいです。これは、VPNサービスが失敗したり、他の要件(トラフィックやルーティングの分離など)を満たさない可能性があるためです。1つのアプローチは、すべての制約が考慮されており、トンネル構成プロセス中に一貫性チェックが施行されていることを体系的にチェックするプロトコルです。
A capability that aims at checking IP reachability within a VPN must be provided for diagnostic purposes.
VPN内でIPリーチビリティをチェックすることを目的とする機能を診断目的で提供する必要があります。
A capability that aims at checking the configuration of a VPN device must be provided for diagnostic purposes.
VPNデバイスの構成をチェックすることを目的とする機能を診断目的で提供する必要があります。
The Provider Network Manager must support configuration management capabilities in order to deploy VPNs. To do so, a Provider Network Manager must provide configuration management that provisions at least the following L3VPN components: PE, CE, hierarchical tunnels, access connections, routing, and QoS, as detailed in this section. If access to the Internet is provided, then this option must also be configurable.
プロバイダーネットワークマネージャーは、VPNを展開するために構成管理機能をサポートする必要があります。そのためには、プロバイダーネットワークマネージャーは、このセクションで詳述されているように、少なくとも次のL3VPNコンポーネントを提供する構成管理を提供する必要があります:PE、CE、階層トンネル、アクセス接続、ルーティング、およびQoインターネットへのアクセスが提供されている場合、このオプションも設定可能でなければなりません。
Provisioning for adding or removing VPN customer premises should be as automated as possible.
VPNの顧客施設を追加または削除するためのプロビジョニングは、できるだけ自動化する必要があります。
Finally, the Provider Network Manager must ensure that these devices and protocols are provisioned consistently and correctly. The solution should provide a means for checking whether a service order is correctly provisioned. This would represent one method of diagnosing configuration errors. Configuration errors can arise due to a variety of reasons: manual configuration, intruder attacks, and conflicting service requirements.
最後に、プロバイダーネットワークマネージャーは、これらのデバイスとプロトコルが一貫して正しくプロビジョニングされていることを確認する必要があります。ソリューションは、サービス注文が正しくプロビジョニングされているかどうかを確認するための手段を提供する必要があります。これは、構成エラーの診断の1つの方法を表します。構成エラーは、手動の構成、侵入者攻撃、競合するサービス要件など、さまざまな理由により発生する可能性があります。
Requirements for L3VPN configuration management are:
L3VPN構成管理の要件は次のとおりです。
o The Provider Network Manager must support configuration of VPN membership.
o プロバイダーネットワークマネージャーは、VPNメンバーシップの構成をサポートする必要があります。
o The Provider Network Manager should use identifiers for SPs, L3VPNs, PEs, CEs, hierarchical tunnels, and access connections.
o プロバイダーネットワークマネージャーは、SPS、L3VPN、PES、CES、階層トンネル、およびアクセス接続の識別子を使用する必要があります。
o Tunnels must be configured between PE/CE devices. This requires coordination of tunnel identifiers, paths, VPNs, and any associated service information, for example, a QoS service.
o トンネルは、PE/CEデバイス間で構成する必要があります。これには、たとえばQoSサービスなど、トンネル識別子、パス、VPN、および関連するサービス情報の調整が必要です。
o Routing protocols running between PE routers and CE devices must be configured. For multicast services, multicast routing protocols must also be configurable.
o PEルーターとCEデバイス間で実行されるルーティングプロトコルを構成する必要があります。マルチキャストサービスの場合、マルチキャストルーティングプロトコルも設定可能でなければなりません。
o Routing protocols running between PE routers, and between PE and P routers, must also be configured.
o PEルーター間で実行されるルーティングプロトコル、およびPEルーターとPルーター間でも構成する必要があります。
PE-based only:
PEベースのみ:
o Routing protocols running between PE routers and CE devices, if any, must be configured on a per-VPN basis. The Provider Network Manager must support configuration of a CE routing protocol for each access connection.
o PEルーターとCEデバイスの間で実行されるルーティングプロトコルは、あれば、VPNごとに構成する必要があります。プロバイダーネットワークマネージャーは、各アクセス接続のCEルーティングプロトコルの構成をサポートする必要があります。
o The configuration of a PE-based L3VPN should be coordinated with the configuration of the underlying infrastructure, including Layer 1 and 2 networks that interconnect components of an L3VPN.
o PEベースのL3VPNの構成は、L3VPNのコンポーネントを相互接続するレイヤー1および2ネットワークを含む、基礎となるインフラストラクチャの構成と調整する必要があります。
If there is an IGP running within the L3VPN, the Provider Network Manager must provision the related parameters. This includes metrics, capacity, QoS capability, and restoration parameters.
L3VPN内で実行されているIGPがある場合、プロバイダーネットワークマネージャーは関連するパラメーターを提供する必要があります。これには、メトリック、容量、QOS機能、および復元パラメーターが含まれます。
The Provider Network Manager must provision network access between SP-managed PE and CE equipment.
プロバイダーネットワークマネージャーは、SP管理されたPE機器とCE機器間のネットワークアクセスを提供する必要があります。
When a security service is requested, the Provider Network Manager must provision the entities and associated parameters involved in the provisioning of the service. For example, IPsec services, tunnels, options, keys, and other parameters should be provisioned at either the CE and/or the PE routers. In the case of an intrusion detection service, the filtering and detection rules should be provisioned on a VPN basis.
セキュリティサービスが要求された場合、プロバイダーネットワークマネージャーは、サービスのプロビジョニングに関連するエンティティと関連するパラメーターをプロビジョニングする必要があります。たとえば、IPSECサービス、トンネル、オプション、キー、およびその他のパラメーターは、CEおよび/またはPEルーターのいずれかでプロビジョニングする必要があります。侵入検知サービスの場合、フィルタリングおよび検出ルールはVPNベースでプロビジョニングする必要があります。
A service provider should have a means to dynamically provision resources associated with VPN services. For example, in a PE-based service, the number and size of virtual switching and forwarding table instances should be provisioned.
サービスプロバイダーには、VPNサービスに関連するリソースを動的に提供する手段が必要です。たとえば、PEベースのサービスでは、仮想スイッチングおよび転送テーブルインスタンスの数とサイズをプロビジョニングする必要があります。
If an SP supports a "Dynamic Bandwidth Management" service, then the dates, times, amounts, and intervals required to perform requested bandwidth allocation change(s) may be traceable for accounting purposes.
SPが「動的帯域幅管理」サービスをサポートする場合、要求された帯域幅の割り当ての変更を実行するために必要な日付、時間、量、および間隔は、会計目的で追跡可能である場合があります。
If an SP supports a "Dynamic Bandwidth Management" service, then the provisioning system must be able to make requested changes within the ranges and bounds specified in the Service Level Specifications. Examples of QoS parameters are the response time and the probability of being able to service such a request.
SPが「動的帯域幅管理」サービスをサポートする場合、プロビジョニングシステムは、サービスレベルの仕様で指定された範囲と境界内で要求された変更を行うことができなければなりません。QOSパラメーターの例は、応答時間とそのような要求に対応できる確率です。
Dynamic VPN resource allocation is crucial to cope with the frequent requests for changes that are expressed by customers (e.g., sites joining or leaving a VPN), as well as to achieve scalability. The PE routers should be able to dynamically assign the VPN resources. This capability is especially important for dial-up and wireless VPN services.
動的VPNリソース割り当ては、顧客が表現する変更(VPNに参加または離れるサイトなど)の頻繁なリクエストに対処し、スケーラビリティを実現するために重要です。PEルーターは、VPNリソースを動的に割り当てることができるはずです。この機能は、ダイヤルアップおよびワイヤレスVPNサービスにとって特に重要です。
An L3VPN service provides controlled access between a set of sites over a common backbone. However, many service providers also offer a range of value-added services, for example: Internet access, firewall services, intrusion detection, IP telephony and IP Centrex, application hosting, backup, etc. It is outside the scope of this document to define if and how these different services interact with the VPN service offering. However, the VPN service should be able to provide access to these various types of value-added services.
L3VPNサービスは、共通のバックボーンを介した一連のサイト間で制御されたアクセスを提供します。ただし、多くのサービスプロバイダーは、たとえば、インターネットアクセス、ファイアウォールサービス、侵入検知、IPテレフォニー、IPセンター、アプリケーションホスティング、バックアップなど、さまざまな付加価値サービスも提供しています。これは、このドキュメントの範囲外です。これらの異なるサービスがVPNサービス提供と相互作用するかどうか。ただし、VPNサービスは、これらのさまざまな種類の付加価値サービスへのアクセスを提供できるはずです。
A VPN service should allow the SP to supply the customer with different kinds of well-known IP services (e.g., DNS, NTP, RADIUS, etc.) needed for ordinary network operation and management. The provider should be able to provide IP services to multiple customers from one or many servers.
VPNサービスでは、SPが通常のネットワーク運用と管理に必要なさまざまな種類の有名なIPサービス(DNS、NTP、RADIUSなど)をさまざまな種類の有名なIPサービス(例:DNS、NTP、RADIUSなど)に提供できるようにする必要があります。プロバイダーは、1つまたは多くのサーバーから複数の顧客にIPサービスを提供できる必要があります。
A firewall function may be required to restrict access to the L3VPN from the Internet [Y.1311].
インターネットからL3VPNへのアクセスを制限するには、ファイアウォール機能が必要になる場合があります[Y.1311]。
Managed firewalls may be supported on a per-VPN basis, although multiple VPNs will be supported by the same physical device. In such cases, managed firewalls should be provided at the access point(s) of the L3VPN. Such services may be embedded in the CE or PE devices, or implemented in stand-alone devices.
マネージドファイアウォールは、VPNごとにサポートされる場合がありますが、複数のVPNは同じ物理デバイスによってサポートされます。このような場合、L3VPNのアクセスポイントで管理されたファイアウォールを提供する必要があります。このようなサービスは、CEデバイスまたはPEデバイスに埋め込まれたり、スタンドアロンデバイスに実装されたりする場合があります。
The Provider Network Manager should allow a customer to outsource the management of an IP service to the SP providing the VPN or to a third party.
プロバイダーネットワークマネージャーは、顧客がIPサービスの管理をVPNまたはサードパーティに提供するSPに外部委託することを許可する必要があります。
The management system should support the collection of information necessary for optimal allocation of IP services in response to customers' orders, in correlation with provider-provisioned resources supporting the service.
管理システムは、サービスをサポートするプロバイダーが提供するリソースと相関する顧客の注文に応じて、IPサービスの最適な割り当てに必要な情報の収集をサポートする必要があります。
If Internet access is provided, reachability to and from the Internet from/to sites within a VPN should be configurable by an SP. Configuring routing policy to control distribution of VPN routes advertised to the Internet may realize this.
インターネットアクセスが提供されている場合、VPN内のサイトからのインターネットへの到達可能性は、SPによって構成可能である必要があります。インターネットに宣伝されているVPNルートの配布を制御するためのルーティングポリシーの構成は、これに気付くかもしれません。
Configuration of interworking L3VPN solutions should also be supported, taking security and end-to-end QoS issues into account.
インターワーキングL3VPNソリューションの構成もサポートされ、セキュリティとエンドツーエンドのQOSの問題を考慮に入れてください。
The Provider Network Manager is responsible for the measurements of resource utilization.
プロバイダーネットワークマネージャーは、リソース利用の測定を担当します。
From the Provider Network Manager's perspective, performance management includes functions involved in monitoring and collecting performance data regarding devices, facilities, and services.
プロバイダーネットワークマネージャーの観点から、パフォーマンス管理には、デバイス、施設、サービスに関するパフォーマンスデータの監視と収集に関与する機能が含まれます。
The Provider Network Manager must monitor the devices' behavior to evaluate performance metrics associated with an SLS. Different measurement techniques may be necessary, depending on the service for which an SLA is provided. Example services are QoS, security, multicast, and temporary access. These techniques may be either intrusive or non-intrusive, depending on the parameters being monitored.
プロバイダーネットワークマネージャーは、SLSに関連するパフォーマンスメトリックを評価するために、デバイスの動作を監視する必要があります。SLAが提供されるサービスに応じて、さまざまな測定技術が必要になる場合があります。サンプルサービスは、QoS、セキュリティ、マルチキャスト、および一時アクセスです。これらの手法は、監視されているパラメーターに応じて、邪魔になるか邪魔にならない場合があります。
The Provider Network Manager must also monitor aspects of the VPN that are not directly associated with an SLS, such as resource utilization, status of devices and transmission facilities, as well as control of monitoring resources, such as probes and remote agents at network access points used by customers and mobile users.
また、プロバイダーネットワークマネージャーは、リソースの使用率、デバイスや送信機能のステータス、ネットワークアクセスポイントのリモートエージェントなどの監視リソースの制御だけでなく、リソースの使用、デバイスのステータスや送信機能などのSLSに直接関連付けられていないVPNの側面も監視する必要があります。顧客とモバイルユーザーが使用します。
Devices supporting L3VPN whose level of quality is defined by SLSes should have real-time performance measurements that have indicators and threshold crossing alerts. Such thresholds should be configurable.
品質のレベルがSLSで定義されるL3VPNをサポートするデバイスには、インジケータとしきい値の交差アラートを持つリアルタイムパフォーマンス測定値が必要です。このようなしきい値は構成可能である必要があります。
From the Provider Network Manager's perspective, the security management function of the Provider Network Manager must include management features to guarantee the preservation of the confidentiality of customers' traffic and control data, as described in [RFC3809].
プロバイダーネットワークマネージャーの観点から、プロバイダーネットワークマネージャーのセキュリティ管理機能には、[RFC3809]に記載されているように、顧客のトラフィックと制御データの機密性の保存を保証するために管理機能を含める必要があります。
The Provider Network Manager must support standard methods for authenticating users attempting to access VPN services.
プロバイダーネットワークマネージャーは、VPNサービスにアクセスしようとするユーザーを認証するための標準的な方法をサポートする必要があります。
Scalability is critical, as the number of nomadic/mobile clients is increasing rapidly. The authentication scheme implemented for such deployments must be manageable for large numbers of users and VPN access points.
Nomadic/Mobileクライアントの数が急速に増加しているため、スケーラビリティが重要です。このような展開に実装された認証スキームは、多数のユーザーとVPNアクセスポイントに対して管理可能でなければなりません。
Support for strong authentication schemes needs to be supported to ensure the security of both VPN access point-to-VPN access point (PE to PE) and client-to-VPN Access point (CE-to-PE) communications. This is particularly important to prevent VPN access point (VPN AP) spoofing. VPN Access Point Spoofing is the situation where an attacker tries to convince a PE or a CE that the attacker is the VPN Access Point. If an attacker succeeds, then the device will send VPN traffic to the attacker (who could forward it on to the actual (and granted) access point after compromising confidentiality and/or integrity).
強力な認証スキームのサポートをサポートする必要があります。VPNアクセスポイントからVPNアクセスポイント(PEへのPE)とクライアントからVPNへのアクセスポイント(CE対PE)通信の両方のセキュリティを確保する必要があります。これは、VPNアクセスポイント(VPN AP)のスプーフィングを防ぐために特に重要です。VPNアクセスポイントスプーフィングは、攻撃者が攻撃者がVPNアクセスポイントであることをPEまたはCEに納得させようとする状況です。攻撃者が成功した場合、デバイスはVPNトラフィックを攻撃者に送信します(機密性や整合性を損なう後、実際の(および付与された)アクセスポイントに転送できます)。
In other words, a non-authenticated VPN AP can be spoofed with a man-in-the-middle attack, because the endpoints rarely verify each other. A weakly authenticated VPN AP may be subject to such an attack. However, strongly authenticated VPN APs are not subject to such attacks, because the man-in-the-middle cannot authenticate as the real AP, due to the strong authentication algorithms.
言い換えれば、エンドポイントが互いに検証することはめったにないため、無認定VPN APは中間の攻撃でスプーフィングできます。弱く認証されたVPN APは、このような攻撃の対象となる場合があります。ただし、強力に認証されたVPN APは、そのような攻撃の対象ではありません。これは、強力な認証アルゴリズムのために、中間者が実際のAPとして認証できないためです。
Each L3VPN solution must specify the management information (MIBs, PIBs, XML schemas, etc.) for network elements involved in L3VPN services. This is an essential requirement in network provisioning. The approach should identify any L3VPN-specific information not contained in a standards track MIB module.
各L3VPNソリューションは、L3VPNサービスに関与するネットワーク要素の管理情報(MIBS、PIBS、XMLスキーマなど)を指定する必要があります。これは、ネットワークプロビジョニングにおいて重要な要件です。このアプローチは、標準トラックMIBモジュールに含まれていないL3VPN固有の情報を識別する必要があります。
The deployment of a VPN may span a wide range of network equipment, potentially including equipment from multiple vendors. Therefore, the provisioning of a unified network management view of the VPN shall be simplified by means of standard management interfaces and models. This will also facilitate customer self-managed (monitored) network devices or systems.
VPNの展開には、複数のベンダーからの機器が含まれる可能性がある幅広いネットワーク機器に及ぶ場合があります。したがって、VPNの統一されたネットワーク管理ビューのプロビジョニングは、標準的な管理インターフェイスとモデルによって簡素化されるものとします。これにより、顧客が自己管理(監視されている)ネットワークデバイスまたはシステムが容易になります。
In cases where significant configuration is required whenever a new service is to be provisioned, it is important, for scalability reasons, that the NMS provides a largely automated mechanism for the relevant configuration operations. Manual configuration of VPN services (i.e., new sites, or re-provisioning existing ones) could lead to scalability issues, and should be avoided. It is thus important for network operators to maintain visibility of the complete picture of the VPN through the NMS system. This should be achieved by using standards track protocols such as SNMP. Use of proprietary command-line interfaces is not recommended.
新しいサービスをプロビジョニングする場合はいつでも重要な構成が必要な場合、Scalabilityの理由から、NMSが関連する構成操作のための大部分自動化メカニズムを提供することが重要です。VPNサービスの手動構成(つまり、新しいサイト、または既存のサイトの再構成)は、スケーラビリティの問題につながる可能性があり、回避する必要があります。したがって、ネットワークオペレーターは、NMSシステムを介してVPNの完全な画像の可視性を維持することが重要です。これは、SNMPなどの標準トラックプロトコルを使用して達成する必要があります。独自のコマンドラインインターフェイスの使用は推奨されません。
This document describes a framework for L3VPN Operations and Management. Although this document discusses and addresses some security concerns in Section 2.2.5 and Section 3.2.5 above, it does not introduce any new security concerns.
このドキュメントでは、L3VPN運用と管理のフレームワークについて説明します。このドキュメントでは、セクション2.2.5および上記のセクション3.2.5でいくつかのセキュリティ上の懸念について説明および対処していますが、新しいセキュリティの懸念は導入されません。
Special Thanks to Nathalie Charton, Alban Couturier, Christian Jacquenet, and Harmen Van Der Linde for their review of the document and their valuable suggestions.
ナタリー・チャートン、アルバン・クチュリエ、クリスチャン・ジャケネット、およびハーメン・ファン・デル・リンデの文書のレビューと貴重な提案に感謝します。
[RFC2975] Aboba, B., Arkko, J., and D. Harrington, "Introduction to Accounting Management", RFC 2975, October 2000.
[RFC2975] Aboba、B.、Arkko、J。、およびD. Harrington、「会計管理の紹介」、RFC 2975、2000年10月。
[RFC2401] Kent, S. and R. Atkinson, "Security Architecture for the Internet Protocol", RFC 2401, November 1998.
[RFC2401] Kent、S。およびR. Atkinson、「インターネットプロトコルのセキュリティアーキテクチャ」、RFC 2401、1998年11月。
[RFC2903] de Laat, C., Gross, G., Gommans, L., Vollbrecht, J., and D. Spence, "Generic AAA Architecture", RFC 2903, August 2000.
[RFC2903] de Laat、C.、Gross、G.、Gommans、L.、Vollbrecht、J。、およびD. Spence、「Generic AAA Architecture」、RFC 2903、2000年8月。
[RFC2906] Farrell, S., Vollbrecht, J., Calhoun, P., Gommans, L., Gross, G., de Bruijn, B., de Laat, C., Holdrege, M., and D. Spence, "AAA Authorization Requirements", RFC 2906, August 2000.
[RFC2906] Farrell、S.、Vollbrecht、J.、Calhoun、P.、Gommans、L.、Gross、G.、De Bruijn、B.、De Laat、C.、Holdrege、M。、およびD. Spence、「AAA認可要件」、RFC 2906、2000年8月。
[RFC3809] Nagarajan, A., "Generic Requirements for Provider Provisioned Virtual Private Networks (PPVPN)", RFC 3809, June 2004.
[RFC3809] Nagarajan、A。、「プロバイダープロビジョニング仮想プライベートネットワーク(PPVPN)の一般的な要件」、RFC 3809、2004年6月。
[RFC4026] Andersson, L. and T. Madsen, "Provider Provisioned Virtual Private Network (VPN) Terminology", RFC 4026, March 2005.
[RFC4026] Andersson、L。およびT. Madsen、「プロバイダープロビジョニング仮想プライベートネットワーク(VPN)用語」、RFC 4026、2005年3月。
[Y.1311] ITU, "Network-based IP VPN over MPLS architecture", ITU-T Y.1311.1, 2001.
[Y.1311] ITU、「MPLSアーキテクチャを介したネットワークベースのIP VPN」、ITU-T Y.1311.1、2001。
Authors' Addresses
著者のアドレス
Yacine El Mghazli (Editor) Alcatel Route de Nozay Marcoussis 91460 France
Yacine El Mghazli(編集者)Alcatel Route De Nozay Marcoussis 91460 France
EMail: yacine.el_mghazli@alcatel.fr
Thomas D. Nadeau Cisco Systems, Inc. 300 Beaver Brook Road Boxborough, MA 01719
Thomas D. Nadeau Cisco Systems、Inc。300 Beaver Brook Road Boxborough、MA 01719
Phone: +1-978-936-1470
EMail: tnadeau@cisco.com
Mohamed Boucadair France Telecom 42, rue des Coutures Caen 14066 France
Mohamed Boucadair France Telecom 42、Rue des Coutures Caen 14066 France
EMail: mohamed.boucadair@francetelecom.com
Kwok Ho Chan Nortel Networks 600 Technology Park Drive Billerica, MA 01821 USA
Kwok Ho Chan Nortel Networks 600 Technology Park Drive Billerica、MA 01821 USA
EMail: khchan@nortel.com
Arnaud Gonguet Alcatel Route de Nozay Marcoussis 91460 France
Arnaud Gonguet Alcatel Route de Nozay Marcoussis 91460フランス
EMail: arnaud.gonguet@alcatel.fr
Full Copyright Statement
完全な著作権声明
Copyright (C) The Internet Society (2005).
Copyright(c)The Internet Society(2005)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書は、BCP 78に含まれる権利、ライセンス、および制限の対象となり、そこに記載されている場合を除き、著者はすべての権利を保持しています。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれる情報は、「現状のまま」に基づいて提供されています。また、貢献者、彼/彼女が代表する組織(もしあれば)が後援する組織、インターネット協会とインターネット工学タスクフォースは、すべての保証、明示的または明示的、またはすべての保証を否認します。本書の情報の使用が、商品性または特定の目的に対する適合性の権利または黙示的な保証を侵害しないという保証を含むがこれらに限定されないことを含む。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、知的財産権またはその他の権利の有効性または範囲に関して、本書に記載されている技術の実装または使用、またはそのような権利に基づくライセンスに基づくライセンスの範囲に関連すると主張される可能性のある他の権利に関しては、立場を取得しません。利用可能になります。また、そのような権利を特定するために独立した努力をしたことも表明していません。RFCドキュメントの権利に関する手順に関する情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IETF事務局に行われたIPR開示のコピーと、利用可能にするライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得しようとする試みの結果を取得できます。http://www.ietf.org/iprのIETFオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実装するために必要な技術をカバーする可能性のあるその他の独自の権利を注意深く招待するよう招待しています。ietf-ipr@ietf.orgのIETFへの情報をお問い合わせください。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFCエディター機能の資金は現在、インターネット協会によって提供されています。