[要約] RFC 4712は、RAQMONプロトコルデータユニット(PDU)のためのトランスポートマッピングに関するものであり、リアルタイムアプリケーションの品質監視に使用されます。このRFCの目的は、RAQMON PDUのトランスポートマッピングを定義し、ネットワーク上での品質監視のための効果的な通信手段を提供することです。
Network Working Group A. Siddiqui Request for Comments: 4712 D. Romascanu Category: Standards Track Avaya E. Golovinsky Alert Logic M. Rahman Samsung Information Systems America Y. Kim Broadcom October 2006
Transport Mappings for Real-time Application Quality-of-Service Monitoring (RAQMON) Protocol Data Unit (PDU)
Status of This Memo
本文書の位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2006).
Copyright(c)The Internet Society(2006)。
Abstract
概要
This memo specifies two transport mappings of the Real-Time Application Quality-of-Service Monitoring (RAQMON) information model defined in RFC 4710 using TCP as a native transport and the Simple Network Management Protocol (SNMP) to carry the RAQMON information from a RAQMON Data Source (RDS) to a RAQMON Report Collector (RRC).
Table of Contents
目次
1. Introduction ....................................................3 2. Transporting RAQMON Protocol Data Units .........................3 2.1. TCP as an RDS/RRC Network Transport Protocol ...............3 2.1.1. The RAQMON PDU ......................................5 2.1.2. The BASIC Part of the RAQMON Protocol Data Unit .....7 2.1.3. APP Part of the RAQMON Protocol Data Unit ..........14 2.1.4. Byte Order, Alignment, and Time Format of RAQMON PDUs ........................................15 2.2. Securing RAQMON Session ...................................15 2.2.1. Sequencing of the Start TLS Operation ..............18 2.2.2. Closing a TLS Connection ...........................21 2.3. SNMP Notifications as an RDS/RRC Network Transport Protocol ..................................................22 3. IANA Considerations ............................................38 4. Congestion-Safe RAQMON Operation ...............................38 5. Acknowledgements ...............................................39 6. Security Considerations ........................................39 6.1. Usage of TLS with RAQMON ..................................41 6.1.1. Confidentiality & Message Integrity ................41 6.1.2. TLS CipherSuites ...................................41 6.1.3. RAQMON Authorization State .........................42 7. References .....................................................43 7.1. Normative References ......................................43 7.2. Informative References ....................................44 Appendix A. Pseudocode ............................................46
The Real-Time Application QoS Monitoring (RAQMON) Framework, as outlined by [RFC4710], extends the Remote Monitoring family of protocols (RMON) by defining entities such as RAQMON Data Sources RDS) and RAQMON Report Collectors (RRC) to perform various application monitoring in real time. [RFC4710] defines the relevant metrics for RAQMON monitoring carried by the common protocol data unit (PDU) used between a RDS and RRC to report QoS statistics. This memo contains a syntactical description of the RAQMON PDU structure.
[RFC4710]で概説されているリアルタイムアプリケーションQoS監視(RAQMON)フレームワークは、RAQMONデータソースRDS)やRAQMONレポートコレクター(RRC)などのエンティティを定義することにより、リモートモニタリングファミリ(RMON)を拡張して、さまざまなアプリケーションを実行します。リアルタイムで監視。[RFC4710]は、RDSとRRCの間で使用される共通プロトコルデータユニット(PDU)が携帯するRAQMONモニタリングに関連するメトリックを定義し、QOS統計を報告します。このメモには、Raqmon PDU構造の構文的な説明が含まれています。
The following sections of this memo contain detailed specifications for the usage of TCP and SNMP to carry RAQMON information.
このメモの以下のセクションには、RAQMON情報を携帯するためのTCPとSNMPの使用に関する詳細な仕様が含まれています。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].
The RAQMON Protocol Data Unit (PDU) utilizes a common data format understood by the RDS and the RRC. A RAQMON PDU does not transport application data but rather occupies the place of a payload specification at the application layer of the protocol stack. As part of the specification, this memo also specifies the usage of TCP and SNMP as underlying transport protocols to carry RAQMON PDUs between RDSs and RRCs. While two transport protocol choices have been provided as options to chose from for RDS implementers, RRCs MUST implement the TCP transport and MAY implement the SNMP transport.
RAQMONプロトコルデータユニット(PDU)は、RDSとRRCが理解する共通のデータ形式を利用しています。Raqmon PDUは、アプリケーションデータを輸送するのではなく、プロトコルスタックのアプリケーションレイヤーでペイロード仕様の場所を占有します。仕様の一部として、このメモは、RDSとRRCの間でRaqmon PDUを運ぶ基礎となる輸送プロトコルとしてTCPとSNMPの使用を指定します。RDS実装者から選択するオプションとして2つの輸送プロトコルの選択肢が提供されていますが、RRCはTCPトランスポートを実装し、SNMPトランスポートを実装する必要があります。
A transport binding using TCP is included within the RAQMON specification to facilitate reporting from various types of embedded devices that run applications such as Voice over IP, Voice over Wi-Fi, Fax over IP, Video over IP, Instant Messaging (IM), E-mail, software download applications, e-business style transactions, web access from wired or wireless computing devices etc. For many of these devices, PDUs and a TCP-based transport fit the deployment needs.
TCPを使用したトランスポートバインディングは、RAQMON仕様に含まれており、Voice Over IP、Voice Over Wi-Fi、IPオーバーIPのファックス、IPオーバーIP、インスタントメッセージング(IM)、Eなどのアプリケーションを実行するさまざまなタイプの組み込みデバイスからのレポートを容易にします。-mail、ソフトウェアのダウンロードアプリケーション、電子ビジネススタイルのトランザクション、有線またはワイヤレスコンピューティングデバイスからのWebアクセスなど。
The RAQMON transport requirements for end-to-end congestion control and reliability are inherently built into TCP as a transport protocol [RFC793].
エンドツーエンドの混雑制御と信頼性のRAQMON輸送要件は、輸送プロトコル[RFC793]として本質的にTCPに組み込まれています。
To use TCP to transport RAQMON PDUs, it is sufficient to send the PDUs as TCP data. As each PDU carries its length, the receiver can determine the PDU boundaries.
TCPを使用してRaqmon PDUを輸送するには、PDUをTCPデータとして送信するだけで十分です。各PDUがその長さを持つため、受信機はPDU境界を決定できます。
The following section details the RAQMON PDU specifications. Though transmitted as one Protocol Data Unit, a RAQMON PDU is functionally divided into two different parts: the BASIC part and application extensions required for vendor-specific extension [RFC4710]. Both functional parts follow a field carrying a SMI Network Management Private Enterprise code currently maintained by IANA http://www.iana.org/assignments/enterprise-numbers, which is used to identify the organization that defined the information carried in the PDU.
次のセクションでは、Raqmon PDU仕様について詳しく説明しています。1つのプロトコルデータユニットとして送信されましたが、Raqmon PDUは機能的に2つの異なる部分に分割されます。ベンダー固有の拡張に必要な基本部分とアプリケーション拡張[RFC4710]です。両方の機能部品は、現在IANA http://www.iana.org/assignments/enterprise-numbersによって維持されているSMIネットワーク管理プライベートエンタープライズコードを運ぶフィールドに従います。
A RAQMON PDU in the current version is marked as PDU Type (PDT) = 1. The parameters carried by RAQMON PDUs are shown in Figure 1 and are defined in section 5 of [RFC4710].
現在のバージョンのRAQMON PDUは、PDUタイプ(PDT)= 1としてマークされています。RaqmonPDUによって運ばれるパラメーターは図1に示されており、[RFC4710]のセクション5で定義されています。
Vendors MUST use the BASIC part of the PDU to report parameters pre-listed here in the specification for interoperability, as opposed to using the application-specific portion. Vendors MAY also use application-specific extensions to convey application-, vendor-, or device-specific parameters not included in the BASIC part of the specification and explicitly publish such data externally to attain extended interoperability.
ベンダーは、PDUの基本部分を使用して、アプリケーション固有の部分を使用するのではなく、相互運用性の仕様に事前にリストされているパラメーターを報告する必要があります。ベンダーは、アプリケーション固有の拡張機能を使用して、仕様の基本部分に含まれていないアプリケーション、ベンダー、またはデバイス固有のパラメーターを伝達し、そのようなデータを外部から明示的に公開して、拡張された相互運用性を達成することもできます。
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |PDT = 1 |B| T |P|S|R| RC | Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | DSRC | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | SMI Enterprise Code = 0 |Report Type = 0| RC_N | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | |flag +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Data Source Address {DA} | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Receiver's Address (RA) | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | NTP Timestamp, most significant word | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | NTP Timestamp, least significant word | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Length | Application Name (AN) ... | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | ... | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Length | Data Source Name (DN) ... | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | ... | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Length | Receiver's Name (RN) ... | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | ... | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Length | Session State ... | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | ... | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Session Duration | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Round-Trip End-to-End Network Delay | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | One-Way End-to-End Network Delay | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Cumulative Packet Loss | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Cumulative Application Packet Discard | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Total # Application Packets sent |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Total # Application Packets received | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Total # Application Octets sent | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Total # Application Octets received | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Data Source Device Port Used | Receiver Device Port Used | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | S_Layer2 | S_Layer3 | S_Layer2 | S_Layer3 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |Source Payload |Receiver | CPU | Memory | |Type |Payload Type | Utilization | Utilization | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Session Setup Delay | Application Delay | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | IP Packet Delay Variation | Inter arrival Jitter | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Packet Discrd | Packet loss | Padding | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | SMI Enterprise Code = "xxx" | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Report Type = "yyy" | Length of Application Part | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | application/vendor specific extension | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | ............... | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | ............... | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | ............... | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | SMI Enterprise Code = "abc" | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Report Type = "zzz" | Length of Application Part | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | application/vendor specific extension | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | ............... | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Figure 1: RAQMON Protocol Data Unit
A RAQMON PDU must contain the following BASIC part fields at all times:
PDU type (PDT): 5 bits - This indicates the type of RAQMON PDU being sent. PDT = 1 is used for the current RAQMON PDU version defined in this document.
PDUタイプ(PDT):5ビット - これは、送信されるRaqmon PDUのタイプを示します。PDT = 1は、このドキュメントで定義されている現在のRaqmon PDUバージョンに使用されます。
basic (B): 1 bit - While set to 1, the basic flag indicates that the PDU has BASIC part of the RAQMON PDU. A value of zero is considered valid and indicates a RAQMON NULL PDU.
基本(b):1ビット - 1に設定している間、基本フラグは、PDUにRaqmon PDUの基本的な部分があることを示します。ゼロの値は有効であると見なされ、Raqmon Null PDUを示します。
trailer (T): 3 bits - Total number of Application-Specific Extensions that follow the BASIC part of RAQMON PDU. A value of zero is considered valid as many times as there is no application-specific information to add to the basic information.
トレーラー(T):3ビット - Raqmon PDUの基本部分に従うアプリケーション固有の拡張機能の総数。ゼロの値は、基本情報に追加するアプリケーション固有の情報がないため、何度も有効と見なされます。
padding (P): 1 bit - If the padding bit is set, the BASIC part of the RAQMON PDU contains some additional padding octets at the end of the BASIC part of the PDU that are not part of the monitoring information. Padding may be needed in some cases, as reporting is based on the intent of a RDS to report certain parameters. Also, some parameters may be reported only once at the beginning of the reporting session, e.g., Data Source Name, Receiver Name, payload type, etc. Actual padding at the end of the BASIC part of the PDU is 0, 8, 16, or 24 bits to make the length of the BASIC part of the PDU a multiple of 32 bits
パディング(P):1ビット - パディングビットが設定されている場合、RAQMON PDUの基本部分には、監視情報の一部ではないPDUの基本部分の端に追加のパディングオクテットが含まれています。報告は特定のパラメーターを報告するRDSの意図に基づいているため、パディングが必要になる場合があります。また、一部のパラメーターは、レポートセッションの開始時に一度だけ報告される場合があります。たとえば、データソース名、受信者名、ペイロードタイプなど。PDUの基本部分の最後にある実際のパディングは0、8、16、または、PDUの基本部分の長さを32ビットの倍数にするための24ビット
Source IP version Flag (S): 1 bit - While set to 1, the source IP version flag indicates that the Source IP address contained in the PDU is an IPv6 address.
ソースIPバージョンフラグ:1ビット - 1に設定している間、ソースIPバージョンフラグは、PDUに含まれるソースIPアドレスがIPv6アドレスであることを示します。
Receiver IP version Flag (R): 1 bit - While set to 1, the receiver IP version flag indicates that the receiver IP address contained in the PDU is an IPv6 address.
受信機IPバージョンフラグ(r):1ビット - 1に設定している間、受信者IPバージョンフラグは、PDUに含まれる受信機IPアドレスがIPv6アドレスであることを示します。
record count (RC): 4 bits - Total number of application records contained in the BASIC part of the PDU. A value of zero is considered valid but useless, with the exception of the case of a NULL PDU indicating the end of a RDS reporting session.
レコードカウント(RC):4ビット - PDUの基本部分に含まれるアプリケーションレコードの総数。ゼロの値は有効ですが、役に立たないと見なされますが、NULL PDUの場合を除き、RDSレポートセッションの終了を示します。
length: 16 bits (unsigned integer) - The length of the BASIC part of the RAQMON PDU in units of 32-bit words minus one; this count includes the header and any padding.
長さ:16ビット(符号なし整数) - 32ビット語の単位の単位のRaqmon PDUの基本部分の長さから1を引いた。このカウントには、ヘッダーとパディングが含まれます。
DSRC: 32 bits - Data Source identifier represents a unique RAQMON reporting session descriptor that points to a specific reporting session between RDS and RRC. Uniqueness of DSRC is valid only within a reporting session. DSRC values should be randomly generated using vendor-chosen algorithms for each communication session. It is not sufficient to obtain a DSRC simply by calling random() without carefully initializing the state. One could use an algorithm like the one defined in Appendix A.6 in [RFC3550] to create a DSRC. Depending on the choice of algorithm, there is a finite probability that two DSRCs from two different RDSs may be the same. To further reduce the probability that two RDSs pick the same DSRC for two different reporting sessions, it is recommended that an RRC use parameters like Data Source Address (DA), Data Source Name (DN), and layer 2 Media Access Control (MAC) Address in the PDU in conjunction with a DSRC value. It is not mandatory for RDSs to send parameters like Data Source Address (DA), Data Source Name (DN), and MAC Address in every PDU sent to RRC, but occasionally sending these parameters will reduce the probability of DSRC collision drastically. However, this will cause an additional overhead per PDU.
DSRC:32ビット - データソース識別子は、RDSとRRCの間の特定のレポートセッションを指す一意のRAQMONレポートセッション記述子を表します。DSRCの一意性は、レポートセッション内でのみ有効です。DSRC値は、各通信セッションのベンダー選択アルゴリズムを使用してランダムに生成する必要があります。状態を慎重に初期化せずにランダム()を呼び出すだけでDSRCを取得するだけでは不十分です。[RFC3550]の付録A.6で定義されているようなアルゴリズムを使用して、DSRCを作成できます。アルゴリズムの選択に応じて、2つの異なるRDSから2つのDSRCが同じである可能性があります。2つのRDSが2つの異なるレポートセッションで同じDSRCを選択する確率をさらに減らすために、RRCはデータソースアドレス(DA)、データソース名(DN)、レイヤー2メディアアクセスコントロール(MAC)などのパラメーターを使用することをお勧めします。DSRC値と組み合わせてPDUのアドレス。RDSSがRRCに送信されるすべてのPDUのデータソースアドレス(DA)、データソース名(DN)、MACアドレスなどのパラメーターを送信することは必須ではありませんが、これらのパラメーターを送信すると、DSRC衝突の確率が劇的に減少します。ただし、これによりPDUごとに追加のオーバーヘッドが発生します。
A value of zero for basic (B) bit and trailer (T) bits constitutes a RAQMON NULL PDU (i.e., nothing to report). RDSs MUST send a RAQMON NULL PDU to RRC to indicate the end of the RDS reporting session. A NULL PDU ends with the DSRC field.
基本(b)およびトレーラー(t)ビットの値は、Raqmon null PDUを構成します(つまり、報告するものはありません)。RDSSは、RDSレポートセッションの終了を示すために、RAQMON NULL PDUをRRCに送信する必要があります。ヌルPDUはDSRCフィールドで終了します。
SMI Enterprise Code: 16 bits. A value of SMI Enterprise Code = 0 is used to indicate the RMON-WG-compliant BASIC part of the RAQMON PDU format.
SMIエンタープライズコード:16ビット。SMIエンタープライズコード= 0の値は、RAQMON PDU形式のRMON-WG準拠の基本部分を示すために使用されます。
Report Type: 8 bits - These bits are reserved by the IETF RMON Working Group. A value of 0 within SMI Enterprise Code = 0 is used for the version of the PDU defined by this document.
レポートタイプ:8ビット - これらのビットは、IETF RMONワーキンググループによって予約されています。SMIエンタープライズコード= 0内の0の値は、このドキュメントで定義されたPDUのバージョンに使用されます。
The BASIC part of each RAQMON PDU consists of Record Count Number (RC_N) and RAQMON Parameter Presence Flags (RPPF) to indicate the presence of appropriate RAQMON parameters within a record, as defined in Table 1.
各Raqmon PDUの基本部分は、表1に定義されているように、レコード内の適切なRaqmonパラメーターの存在を示すために、レコードカウント数(RC_N)およびRAQMONパラメーターの存在フラグ(RPPF)で構成されています。
RC_N: 8 bits - The Record Count number indicates a sub-session within a communication session. A value of zero is a valid record number. The maximum number of records that can be described in one RAQMON Packet is 256.
RC_N:8ビット - レコードカウント番号は、通信セッション内のサブセッションを示します。ゼロの値は有効なレコード番号です。1つのRaqmonパケットで説明できるレコードの最大数は256です。
RAQMON Parameter Presence Flags (RPPF): 32 bits
RAQMONパラメータープレゼンスフラグ(RPPF):32ビット
Each of these flags, while set, represents that this RAQMON PDU contains corresponding parameters as specified in Table 1.
これらの各フラグは、設定されていますが、このRaqmon PDUには、表1に指定されているように対応するパラメーターが含まれていることを表しています。
+----------------+--------------------------------------------------+ | Bit Sequence | Presence/Absence of corresponding Parameter | | Number | within this RAQMON PDU | +----------------+--------------------------------------------------+ | 0 | Data Source Address (DA) | | | | | 1 | Receiver Address (RA) | | | | | 2 | NTP Timestamp | | | | | 3 | Application Name | | | | | 4 | Data Source Name (DN) | | | | | 5 | Receiver Name (RN) | | | | | 6 | Session Setup Status | | | | | 7 | Session Duration | | | | | 8 | Round-Trip End-to-End Net Delay (RTT) | | | | | 9 | One-Way End-to-End Network Delay (OWD) | | | | | 10 | Cumulative Packets Loss | | | | | 11 | Cumulative Packets Discards | | | | | 12 | Total number of App Packets sent | | | | | 13 | Total number of App Packets received | | | | | 14 | Total number of App Octets sent | | | | | 15 | Total number of App Octets received | | | | | 16 | Data Source Device Port Used | | | | | 17 | Receiver Device Port Used | | | | | 18 | Source Layer 2 Priority | | | | | 19 | Source Layer 3 Priority | | | | | 20 | Destination Layer 2 Priority | | | | | 21 | Destination Layer 3 Priority | | | |
| 22 | Source Payload Type | | | | | 23 | Receiver Payload Type | | | | | 24 | CPU Utilization | | | | | 25 | Memory Utilization | | | | | 26 | Session Setup Delay | | | | | 27 | Application Delay | | | | | 28 | IP Packet Delay Variation | | | | | 29 | Inter arrival Jitter | | | | | 30 | Packet Discard (in fraction) | | | | | 31 | Packet Loss (in fraction) | +----------------+--------------------------------------------------+
Table 1: RAQMON Parameters and Corresponding RPPF
表1:RAQMONパラメーターと対応するRPPF
Data Source Address (DA): 32 bits or 160 bits in binary representation - This parameter is defined in section 5.1 of [RFC4710]. IPv6 addresses are incorporated in Data Source Address by setting the source IP version flag (S bit) of the RAQMON PDU header to 1.
データソースアドレス(DA):バイナリ表現における32ビットまたは160ビット - このパラメーターは[RFC4710]のセクション5.1で定義されています。IPv6アドレスは、Raqmon PDUヘッダーのソースIPバージョンフラグ(sビット)を1に設定することにより、データソースアドレスに組み込まれます。
Receiver Address (RA): 32 bits or 160 bits - This parameter is defined in section 5.2 of [RFC4710]. It follows the exact same syntax as Data Source Address but is used to indicate a Receiver Address. IPv6 addresses are incorporated in Receiver Address by setting the receiver IP version flag (R bit) of the RAQMON PDU header to 1.
Session Setup Date/Time (NTP timestamp): 64 bits - This parameter is defined in section 5.7 of [RFC4710] and represented using the timestamp format of the Network Time Protocol (NTP), which is in seconds [RFC1305]. The full resolution NTP timestamp is a 64-bit unsigned fixed-point number with the integer part in the first 32 bits and the fractional part in the last 32 bits.
セッションのセットアップ日付/時刻(NTPタイムスタンプ):64ビット - このパラメーターは[RFC4710]のセクション5.7で定義され、ネットワーク時間プロトコル(NTP)のタイムスタンプ形式を使用して表されます。フル解像度のNTPタイムスタンプは、最初の32ビットに整数部品と最後の32ビットの分数部分を持つ64ビットの符号なしの固定点数です。
Application Name: This parameter is defined in section 5.32 of [RFC4710]. The Application Name field starts with an 8-bit octet count describing the length of the text followed by the text itself using UTF-8 encoding. Application Name field is a multiple of 32 bits, and padding will be used if necessary.
A Data Source that does not support NTP SHOULD set the appropriate RAQMON flag to 0 to avoid wasting 64 bits in the PDU. Since the NTP time stamp is intended to provide the setup Date/Time of a session, it is RECOMMENDED that the NTP Timestamp be used only in the first RAQMON PDU after sub-session RC_N setup is completed, in order to use network resources efficiently.
NTPをサポートしていないデータソースは、PDUで64ビットを無駄にしないように、適切なRaqmonフラグを0に設定する必要があります。NTPタイムスタンプはセッションのセットアップ日/時刻を提供することを目的としているため、ネットワークリソースを効率的に使用するために、サブセッションRC_Nセットアップが完了した後、NTPタイムスタンプを最初のRAQMON PDUでのみ使用することをお勧めします。
Data Source Name (DN): Defined in section 5.3 of [RFC4710]. The Data Source Name field starts with an 8-bit octet count describing the length of the text followed by the text itself. Padding is used to ensure that the length and text encoding occupy a multiple of 32 bits in the DN field of the PDU. The text MUST NOT be longer than 255 octets. The text is encoded according to the UTF-8 encoding specified in [RFC3629]. Applications SHOULD instruct RDSs to send out the Data Source Name infrequently to ensure efficient usage of network resources as this parameter is expected to remain constant for the duration of the reporting session.
Receiver Name (RN): This metric is defined in section 5.4 of [RFC4710]. Like Data Source Name, the Receiver Name field starts with an 8-bit octet count describing the length of the text, followed by the text itself. The Receiver Name, including the length field encoding, is a multiple of 32 bits and follows the same padding rules as applied to the Data Source Name. Since the Receiver Name is expected to remain constant during the entire reporting session, this information SHOULD be sent out occasionally over random time intervals to maximize success of reaching a RRC and also conserve network bandwidth.
Session Setup Status: The Session (sub-session) Setup Status is defined in section 5.10 of [RFC4710]. This field starts with an 8-bit length field followed by the text itself. Session Setup Status is a multiple of 32 bits.
Session Duration: 32 bits - The Session (sub-session) Duration metric is defined in section 5.9 of [RFC4710]. Session Duration is an unsigned integer expressed in seconds.
Round-Trip End-to-End Network Delay: 32 bits - The Round-Trip End-to-End Network Delay is defined in section 5.11 of [RFC4710]. This field represents the Round-Trip End-to-End Delay of sub-session RC_N, which is an unsigned integer expressed in milliseconds.
往復エンドツーエンドネットワーク遅延:32ビット - 往復エンドツーエンドネットワーク遅延は、[RFC4710]のセクション5.11で定義されています。このフィールドは、サブセッションRC_Nの往復エンドツーエンドの遅延を表します。これは、ミリ秒で発現する署名のない整数です。
One-Way End-to-End Network Delay: 32 bits - The One-Way End-to-End Network Delay is defined in section 5.12 of [RFC4710]. This field represents the One-Way End-to-End Delay of sub-session RC_N, which is an unsigned integer expressed in milliseconds.
Cumulative Application Packet Loss: 32 bits - This parameter is defined in section 5.20 of [RFC4710] as an unsigned integer, representing the total number of packets from sub-session RC_N that have been lost while this RAQMON PDU was generated.
Cumulative Application Packet Discards: 32 bits - This parameter is defined in section 5.22 of [RFC4710] as an unsigned integer representing the total number of packets from sub-session RC_N that have been discarded while this RAQMON PDU was generated.
Total number of Application Packets sent: 32 bits - This parameter is defined in section 5.17 of [RFC4710] as an unsigned integer, representing the total number of packets transmitted within sub-session RC_N by the sender.
送信されるアプリケーションパケットの総数:32ビット - このパラメーターは、[RFC4710]のセクション5.17では、送信者がサブセッションRC_N内で送信したパケットの総数を表す署名のない整数として定義されています。
Total number of Application Packets received: 32 bits - This parameter is defined in section 5.16 of [RFC4710] and is represented as an unsigned integer representing the total number of packets transmitted within sub-session RC_N by the receiver.
受信したアプリケーションパケットの総数:32ビット - このパラメーターは[RFC4710]のセクション5.16で定義され、サブセッションRC_N内で送信されるパケットの総数を表す署名されていない整数として表されます。
Total number of Application Octets sent: 32 bits - This parameter is defined in section 5.19 of [RFC4710] as an unsigned integer, representing the total number of payload octets (i.e., not including header or padding) transmitted in packets by the sender within sub-session RC_N.
Total number of Application Octets received: 32 bits - This parameter is defined in section 5.18 of [RFC4710] as an unsigned integer representing the total number of payload octets (i.e., not including header or padding) transmitted in packets by the receiver within sub-session RC_N.
Data Source Device Port Used: 16 bits - This parameter is defined in section 5.5 of [RFC4710] and describes the port number used by the Data Source as used by the application in RC_N session while this RAQMON PDU was generated.
Receiver Device Port Used: 16 bits - This parameter is defined in section 5.6 of [RFC4710] and describes the receiver port used by the application to communicate to the receiver. It follows same syntax as Source Device Port Used.
S_Layer2: 8 bits - This parameter, defined in section 5.26 of [RFC4710], is associated to the source's IEEE 802.1D [IEEE802.1D] priority tagging of traffic in the communication sub-session RC_N. Since IEEE 802.1 priority tags are 3 bits long, the first 3 bits of this parameter represent the IEEE 802.1 tag value, and the last 5 bits are padded to 0.
S_Layer3: 8 bits - This parameter, defined in section 5.27 of [RFC4710], represents the layer 3 QoS marking used to send packets to the receiver by this data source during sub-session RC_N.
D_Layer2: 8 bits - This parameter, defined in section 5.28 of [RFC4710], represents layer 2 IEEE 802.1D priority tags used by the receiver to send packets to the data source during sub-session RC_N session if the Data Source can learn such information. Since IEEE 802.1 priority tags are 3 bits long, the first 3 bits of this parameter represent the IEEE 802.1 priority tag value, and the last 5 bits are padded to 0.
D_Layer3: 8 bits - This parameter is defined in section 5.29 of [RFC4710] and represents the layer 3 QoS marking used by the receiver to send packets to the data source during sub-session RC_N, if the Data Source can learn such information.
D_LAYER3:8ビット - このパラメーターは[RFC4710]のセクション5.29で定義されており、データソースがそのような情報を学習できる場合、サブセッションRC_N中に受信機がパケットをデータソースに送信するために使用するレイヤー3 QOSマーキングを表します。
Source Payload Type: 8 bits - This parameter is defined in section 5.24 of [RFC4710] and specifies the payload type of the data source of the communication sub-session RC_N as defined in [RFC3551].
ソースペイロードタイプ:8ビット - このパラメーターは[RFC4710]のセクション5.24で定義されており、[RFC3551]で定義されている通信サブセッションRC_Nのデータソースのペイロードタイプを指定します。
Receiver Payload Type: 8 bits - This parameter is defined in section 5.25 of [RFC4710] and specifies the receiver payload type of the communication sub-session RC_N as defined in [RFC3551].
CPU Utilization: 8 bits - This parameter, defined in section 5.30 of [RFC4710], represents the percentage of CPU used during session RC_N from the last report until the time this RAQMON PDU was generated. The CPU Utilization is expressed in percents in the range 0 to 100. The value should indicate not only CPU utilization associated to a session RC_N but also actual CPU Utilization, to indicate a snapshot of the CPU utilization of the host running the RDS while session RC_N in progress.
CPU使用率:8ビット - [RFC4710]のセクション5.30で定義されているこのパラメーターは、最後のレポートからこのRAQMON PDUが生成されるまでのセッションRC_Nで使用されるCPUの割合を表します。CPU使用率は0〜100の範囲のパーセントで表されます。値は、セッションRC_Nに関連するCPU使用率だけでなく、実際のCPU使用率も示す必要があります。進行中。
Memory Utilization: 8 bits - This parameter, defined in section 5.31 of [RFC4710], represents the percentage of total memory used during session RC_N up until the time this RAQMON PDU was generated. The memory utilization is expressed in percents 0 to 100. The Memory Utilization value should indicate not only the memory utilization associated to a session RC_N but the total memory utilization, to indicate a snapshot of end-device memory utilization while session RC_N is in progress.
メモリ利用:8ビット - [RFC4710]のセクション5.31で定義されているこのパラメーターは、このRaqmon PDUが生成されるまでのセッションRC_Nの間に使用される総メモリの割合を表します。メモリの利用は、パーセント0〜100で表されます。メモリの利用値は、セッションRC_Nに関連付けられたメモリ利用だけでなく、セッションRC_Nが進行中のエンドデバイスメモリの利用のスナップショットを示すために、メモリの使用率の合計を示す必要があります。
Session Setup Delay: 16 bits - The Session (sub-session) Setup Delay metric is defined in section 5.8 of [RFC4710] and expressed in milliseconds.
セッションのセットアップ遅延:16ビット - セッション(サブセッション)セットアップ遅延メトリックは、[RFC4710]のセクション5.8で定義され、ミリ秒で表されます。
Application Delay: 16 bits - The Application Delay is defined in section 5.13 of [RFC4710] and is represented as an unsigned integer expressed in milliseconds.
アプリケーションの遅延:16ビット - アプリケーションの遅延は、[RFC4710]のセクション5.13で定義され、ミリ秒で発現する署名されていない整数として表されます。
IP Packet Delay Variation: 16 bits - The IP Packet Delay Variation is defined in section 5.15 of [RFC4710] and is represented as an unsigned integer expressed in milliseconds.
IPパケット遅延バリエーション:16ビット - IPパケット遅延変動は、[RFC4710]のセクション5.15で定義され、ミリ秒で発現した署名されていない整数として表されます。
Inter-Arrival Jitter: 16 bits - The Inter-Arrival Jitter is defined in section 5.14 of [RFC4710] and is represented as an unsigned integer expressed in milliseconds.
攻撃間ジッター:16ビット - 到着間ジッターは[RFC4710]のセクション5.14で定義されており、ミリ秒で発現した署名されていない整数として表されます。
Packet Discard in Fraction: 8 bits - This parameter is defined in section 5.23 of [RFC4710] and is expressed as a fixed-point number with the binary point at the left edge of the field. (That is equivalent to taking the integer part after multiplying the discard fraction by 256.) This metric is defined to be the number of packets discarded, divided by the total number of packets.
Packet Loss in Fraction: 8 bits - This parameter is defined in section 5.21 of [RFC4710] and is expressed as a fixed-point number, with the binary point at the left edge of the field. The metric is defined to be the number of packets lost divided by the number of packets expected. The value is calculated by dividing the total number of packets lost (after the effects of applying any error protection, such as Forward Error Correction (FEC)) by the total number of packets expected, multiplying the result of the division by 256, limiting the maximum value to 255 (to avoid overflow), and taking the integer part.
padding: 0, 8, 16, or 24 bits - If the padding bit (P) is set, then this field may be present. The actual padding at the end of the BASIC part of the PDU is 0, 8, 16, or 24 bits to make the length of the BASIC part of the PDU a multiple of 32 bits.
パディング:0、8、16、または24ビット - パディングビット(P)が設定されている場合、このフィールドが存在する場合があります。PDUの基本部分の端にある実際のパディングは、PDUの基本部分の長さを32ビットの倍数にするために、0、8、16、または24ビットです。
The APP part of the RAQMON PDU is intended to accommodate extensions for new applications in a modular manner and without requiring a PDU type value registration.
Vendors may design and publish application-specific extensions. Any RAQMON-compliant RRC MUST be able to recognize vendors' SMI Enterprise Codes and MUST recognize the presence of application-specific extensions identified by using Report Type fields. As represented in Figure 1, the Report Type and Application Length fields are always located at a fixed offset relative to the start of the extension fields. There is no need for the RRC to understand the semantics of the enterprise-specific parts of the PDU.
SMI Enterprise Code: 32 bits - Vendors and application developers should fill in appropriate SMI Enterprise IDs available at http://www.iana.org/assignments/enterprise-numbers. A non-zero SMI Enterprise Code indicates a vendor- or application-specific extension.
SMIエンタープライズコード:32ビット - ベンダーとアプリケーション開発者は、http://www.iana.org/assignments/enterprise -numbersで利用可能な適切なSMIエンタープライズIDを入力する必要があります。ゼロ以外のSMIエンタープライズコードは、ベンダーまたはアプリケーション固有の拡張機能を示します。
RAQMON PDUs are capable of carrying multiple Application Parts within a PDU.
Report Type: 16 bits - Vendors and application developers should fill in the appropriate report type within a specified SMI Enterprise Code. It is RECOMMENDED that vendors publish application-specific extensions and maintain such report types for better interoperability.
レポートタイプ:16ビット - ベンダーとアプリケーション開発者は、指定されたSMIエンタープライズコード内の適切なレポートタイプに記入する必要があります。ベンダーは、アプリケーション固有の拡張機能を公開し、そのようなレポートタイプを維持して相互運用性を向上させることをお勧めします。
Length of the Application Part: 16 bits (unsigned integer) - The length of the Application Part of the RAQMON PDU in 32-bit words minus one, which includes the header of the Application Part.
アプリケーションパーツの長さ:16ビット(符号なし整数) - アプリケーションパーツのヘッダーを含む32ビットワードのRAQMON PDUのアプリケーションパーツの長さ。
Application-dependent data: variable length - Application/ vendor-dependent data is defined by the application developers. It is interpreted by the vendor-specific application and not by the RRC itself. Its length must be a multiple of 32 bits and will be padded if necessary.
アプリケーション依存データ:変数長 - アプリケーション/ベンダー依存データは、アプリケーション開発者によって定義されます。これは、RRC自体ではなく、ベンダー固有のアプリケーションによって解釈されます。その長さは32ビットの倍数でなければならず、必要に応じてパッドがパッドになります。
All integer fields are carried in network byte order, that is, most significant byte (octet) first. This byte order is commonly known as big-endian. The transmission order is described in detail in [RFC791]. Unless otherwise noted, numeric constants are in decimal (base 10).
すべての整数フィールドは、ネットワークバイトの順序で運ばれます。つまり、最初に最も重要なバイト(Octet)です。このバイト順序は、一般にビッグエンディアンとして知られています。送信順序は[RFC791]で詳細に説明されています。特に明記しない限り、数値定数は10進数です(ベース10)。
All header data is aligned to its natural length, i.e., 16-bit fields are aligned on even offsets, 32-bit fields are aligned at offsets divisible by four, etc. Octets designated as padding have the value zero.
The RAQMON session, initiated over TCP transport, between an RDS and an RRC carries monitoring information from an RDS client to the RRC, the collector. The RRC distinguishes between clients based on various identifiers used by the RDS to identify itself to the RRC (Data Source Address and Data Source Name) and the RRC (Receiver's Address and Receiver's Name).
In order to ensure integrity of the claimed identities of RDS and RRC to each other, authentication services are required.
RDとRRCの請求されたアイデンティティの互いに整合性を確保するためには、認証サービスが必要です。
Subsequently, where protection from unauthorized modification and unauthorized disclosure of RAQMON data in transit from RDS to RRC is needed, data confidentiality and message integrity services will be required. In order to prevent monitoring-misinformation due to session-recording and replay by unauthorized sources, replay protection services may be required.
その後、RDSからRRCへの輸送中のRaqmonデータの不正な変更と無許可の開示が必要な場合、データの機密性とメッセージ整合性サービスが必要になります。不正なソースによるセッション録音とリプレイによる監視微分情報を防ぐためには、リプレイ保護サービスが必要になる場合があります。
TLS provides, at the transport layer, the required authentication services through the handshake protocol and subsequent data confidentiality, message integrity, and replay protection of the application protocol using a ciphersuite negotiated during authentication.
TLSは、輸送層で、ハンドシェイクプロトコルとその後のデータの機密性、メッセージの整合性、および認証中に交渉されたCiphersuiteを使用してアプリケーションプロトコルのリプレイ保護を介して必要な認証サービスを提供します。
The RDS client authenticates the RRC in session. The RRC optionally authenticates the RDS.
RDSクライアントは、セッション中のRRCを認証します。RRCはオプションでRDSを認証します。
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |PDT = 1 |B| T |P|S|R| RC | Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | DSRC | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | SMI Enterprise Code = 0 |Report Type = | RC_N | | | TLS_REQ| | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Figure 2: RAQMON StartTLS Request - TLS_REQ
図2:Raqmon startTlsリクエスト-TLS_REQ
The protection of a RAQMON session starts with the RDS client's StartTLS request upon successful establishment of the TCP session. The RDS sends the StartTLS request by transmitting the TLS_REQ PDU as in Figure 2. This PDU is distinguished by TLS_REQ Report Type.
Raqmonセッションの保護は、TCPセッションの確立が成功したRDSクライアントのStartTLSリクエストから始まります。RDSは、図2のようにTLS_REQ PDUを送信することによりStartTLSリクエストを送信します。このPDUは、TLS_REQレポートタイプで区別されます。
Following this request, the client MUST NOT send any PDUs on this connection until it receives a StartTLS response.
このリクエストに続いて、クライアントはStartTLS応答を受信するまでこの接続にPDUを送信してはなりません。
Other fields of the PDU are as specified in Figure 1.
PDUの他のフィールドは、図1で指定されています。
The flags field do not carry any significance and exist for compatibility with the generic RAQMON PDU. The flags field in this version MUST be ignored.
フラグフィールドは重要性を持たず、一般的なRaqmon PDUとの互換性のために存在します。このバージョンのフラグフィールドは無視する必要があります。
When a StartTLS request is made, the target server, RRC, MUST return a RAQMON PDU containing a StartTLS response, TLS_RESP. A RAQMON TLS_RESP is defined as follows:
startTLSリクエストが作成された場合、ターゲットサーバーのRRCは、stls_respを含むraqmon PDUを返す必要があります。Raqmon TLS_RESPは次のように定義されています。
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |PDT = 1 |B| T |P|S|R| RC | Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | DSRC | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | SMI Enterprise Code = 0 |Report Type = | Result | | | TLS_RESP| | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Figure 3: RAQMON StartTLS Response - TLS_RESP
図3:Raqmon startTls応答-TLS_RESP
The RRC responds to the StartTLS request by transmitting the TLS_RESP PDU as in Figure 3. This PDU is distinguished by TLS_RESP Report Type.
RRCは、図3のようにTLS_RESP PDUを送信することにより、StartTLSリクエストに応答します。このPDUは、TLS_RESPレポートタイプで区別されます。
The Result field is an octet containing the result of the request. This field can carry one of the following values:
結果フィールドは、リクエストの結果を含むオクテットです。このフィールドは、次の値のいずれかを運ぶことができます。
+-------+------------------+----------------------------------------+ | Value | Mnemonic | Result | +-------+------------------+----------------------------------------+ | 0 | OK | Success. The server is willing and | | | | able to negotiate TLS. | | 1 | OP_ERR | Sequencing Error (e.g., TLS already | | | | established). | | 2 | PROTO_ERR | TLS not supported or incorrect PDU | | | | format. | | 3 | UNAVAIL | TLS service problem or RRC server | | | | going down. | | 4 | CONF_REQD | Confidentiality Service Required. | | | | | | 5 | STRONG_AUTH_REQD | Strong Authentication Service | | | | Required. | | 6 | REFERRAL | Referral to a RRC Server supporting | | | | TLS. | +-------+------------------+----------------------------------------+
Table 2
表2
Other fields of the PDU are as specified in Figure 1.
PDUの他のフィールドは、図1で指定されています。
The server MUST return OP_ERR if the client violates any of the StartTLS operation sequencing requirements described in the section below.
クライアントが以下のセクションで説明するStartTLS操作シーケンス要件のいずれかに違反した場合、サーバーはOP_ERRを返す必要があります。
If the server does not support TLS (whether by design or by current configuration), it MUST set the resultCode to PROTO_ERR or to REFERRAL. The server MUST include an actual referral value in the RAQMON REFER field if it returns a resultCode of referral. The client's current session is unaffected if the server does not support TLS. The client MAY proceed with RAQMON session, or it MAY close the connection.
サーバーがTLSをサポートしていない場合(設計によるものであろうと現在の構成による)、resultCodeをproto_errまたは紹介に設定する必要があります。サーバーは、紹介の結果コードを返す場合、RAQMON紹介フィールドに実際の紹介値を含める必要があります。サーバーがTLSをサポートしていない場合、クライアントの現在のセッションは影響を受けません。クライアントは、Raqmonセッションを進めることも、接続を閉じることもできます。
The server MUST return UNAVAIL if it supports TLS but cannot establish a TLS connection for some reason, e.g., if the certificate server not responding, if it cannot contact its TLS implementation, or if the server is in process of shutting down. The client MAY retry the StartTLS operation, MAY proceed with RAQMON session, or MAY close the connection.
This section describes the overall procedures clients and servers MUST follow for TLS establishment. These procedures take into consideration various aspects of the overall security of the RAQMON connection including discovery of resulting security level.
このセクションでは、クライアントとサーバーがTLS設立のために従わなければならない全体的な手順について説明します。これらの手順は、結果として生じるセキュリティレベルの発見を含む、RAQMON接続の全体的なセキュリティのさまざまな側面を考慮しています。
The client MAY send the StartTLS request at any time after establishing an RAQMON (TCP) connection, except that in the following cases the client MUST NOT send a StartTLS request:
o if TLS is currently established on the connection, or
o TLSが現在接続で確立されている場合、または
o if RAQMON traffic is in progress on the connection.
o Raqmonトラフィックが接続で進行中である場合。
The result of violating any of these requirements is a Result of OP_ERR, as described above in Table 2.
これらの要件のいずれかに違反した結果は、上記の表2に記載されているように、OP_ERRの結果です。
If the client did not establish a TLS connection before sending any other requests, and the server requires the client to establish a TLS connection before performing a particular request, the server MUST reject that request with a CONF_REQD or STRONG_AUTH_REQD result. The client MAY send a Start TLS extended request, or it MAY choose to close the connection.
クライアントが他の要求を送信する前にTLS接続を確立しなかった場合、およびサーバーが特定のリクエストを実行する前にクライアントにTLS接続を確立するよう要求する場合、サーバーはconf_reqdまたはstrong_auth_reqd結果を使用してその要求を拒否する必要があります。クライアントは、Start TLS拡張リクエストを送信するか、接続を閉じることを選択する場合があります。
The server will return an extended response with the resultCode of success if it is willing and able to negotiate TLS. It will return other resultCodes, documented above, if it is unable.
サーバーは、TLSを交渉する意思があり、成功の結果を得て、拡張応答を返します。できない場合は、上記の文書化された他の結果を返します。
In the successful case, the client, which has ceased to transfer RAQMON PDUs on the connection, MUST either begin a TLS negotiation or close the connection. The client will send PDUs in the TLS Record Protocol directly over the underlying transport connection to the server to initiate TLS negotiation [TLS].
成功した場合、接続でRaqmon PDUを転送することをやめたクライアントは、TLS交渉を開始するか、接続を閉じる必要があります。クライアントは、TLSネゴシエーション[TLS]を開始するために、基礎となるトランスポート接続を介してTLSレコードプロトコルのPDUを直接送信します。
Negotiating the version of TLS or SSL to be used is a part of the TLS Handshake Protocol, as documented in [TLS]. The reader is referred to that document for details.
使用するTLSまたはSSLのバージョンを交渉することは、[TLS]で文書化されているTLSハンドシェイクプロトコルの一部です。読者には、詳細についてはそのドキュメントが参照されます。
After a TLS connection is established on a RAQMON connection, both parties MUST individually decide whether or not to continue based on the security assurance level achieved. Ascertaining the TLS connection's assurance level is implementation dependent and is accomplished by communicating with one's respective local TLS implementation.
If the client or server decides that the level of authentication or confidentiality is not high enough for it to continue, it SHOULD gracefully close the TLS connection immediately after the TLS negotiation has completed Section 2.2.2.1.
The client MAY attempt to Start TLS again, MAY disconnect, or MAY proceed to send RAQMON session data, if RRC policy permits.
クライアントは、RRCポリシーが許可されている場合、TLSを再度開始したり、切断したり、RAQMONセッションデータを送信したりする場合があります。
The client MUST check its understanding of the server's hostname against the server's identity as presented in the server's Certificate message, in order to prevent man-in-the-middle attacks.
Matching is performed according to these rules:
一致は、これらのルールに従って実行されます。
o The client MUST use the server dnsNAME in the subjectAltName field to validate the server certificate presented. The server dnsName MUST be part of subjectAltName of the server.
o
o Matching is case-insensitive.
o マッチングは症例感受性です。
o The "*" wildcard character is allowed. If present, it applies only to the left-most name component.
o 「*」ワイルドカード文字が許可されています。存在する場合、それは左端の名前コンポーネントにのみ適用されます。
For example, *.example.com would match a.example.com, b.example.com, etc., but not example.com. If more than one identity of a given type is present in the certificate (e.g., more than one dNSName name), a match in any one of the set is considered acceptable.
If the hostname does not match the dNSName-based identity in the certificate per the above check, automated clients SHOULD close the connection, returning and/or logging an error indicating that the server's identity is suspect.
Beyond the server identity checks described in this section, clients SHOULD be prepared to do further checking to ensure that the server is authorized to provide the service it is observed to provide. The client MAY need to make use of local policy information.
We also refer readers to similar guidelines as applied for LDAP over TLS [RFC4513].
また、TLS [RFC4513]を介してLDAPに適用された同様のガイドラインを読者に紹介します。
Anonymous TLS authentication helps establish a TLS RAQMON session that offers
o server-authentication in course of TLS establishment and
o TLSの確立の過程でのサーバー - 認識
o confidentiality and replay protection of RAQMON traffic, but
o
o no protection against man-in-the-middle attacks during session establishment and
o セッションの設立中に中間の攻撃に対する保護はありません
o no protection from spoofing attacks by unauthorized clients.
o 許可されていないクライアントによるスプーフィング攻撃からの保護はありません。
The server MUST authenticate the RDS client when deployment is susceptible to the above threats. This is done by requiring client authentication during TLS session establishment.
In the TLS negotiation, the server MUST request a certificate. The client will provide its certificate to the server and MUST perform a private-key-based encryption, proving it has the private key associated with the certificate.
TLS交渉では、サーバーは証明書を要求する必要があります。クライアントはその証明書をサーバーに提供し、プライベートキーベースの暗号化を実行する必要があり、証明書に関連付けられたプライベートキーがあることを証明する必要があります。
As deployments will require protection of sensitive data in transit, the client and server MUST negotiate a ciphersuite that contains a bulk encryption algorithm of appropriate strength.
展開には輸送中の機密データの保護が必要なため、クライアントとサーバーは、適切な強度のバルク暗号化アルゴリズムを含む暗号化されたuteを交渉する必要があります。
The server MUST verify that the client's certificate is valid. The server will normally check that the certificate is issued by a known CA, and that none of the certificates on the client's certificate chain are invalid or revoked. There are several procedures by which the server can perform these checks.
サーバーは、クライアントの証明書が有効であることを確認する必要があります。サーバーは通常、証明書が既知のCAによって発行されていること、およびクライアントの証明書チェーン上の証明書が無効または取り消されていないことを確認します。サーバーがこれらのチェックを実行できる手順がいくつかあります。
The server validates the certificate by the Distinguished Name of the RDS client entity in the Subject field of the certificate.
サーバーは、証明書の件名フィールドにあるRDSクライアントエンティティの著名な名前で証明書を検証します。
A corresponding set of guidelines will apply to use of TLS-PSK modes [TLS-PSK] using pre-shared keys instead of client certificates.
対応する一連のガイドラインは、クライアント証明書の代わりに事前に共有されたキーを使用したTLS-PSKモード[TLS-PSK]の使用に適用されます。
The client MUST refresh any cached server capabilities information upon TLS session establishment, such as prior RRC state related to a previous RAQMON session based on another DSRC. This is necessary to protect against active-intermediary attacks, which may have altered any server capabilities information retrieved prior to TLS establishment. The server MAY advertise different capabilities after TLS establishment.
クライアントは、別のDSRCに基づく以前のRAQMONセッションに関連する以前のRRC状態など、TLSセッションの確立に関するキャッシュされたサーバー機能情報を更新する必要があります。これは、TLSの確立前に取得されたサーバー機能情報を変更した可能性のあるアクティブな介入攻撃から保護するために必要です。サーバーは、TLS設立後にさまざまな機能を宣伝する場合があります。
Either the client or server MAY terminate the TLS connection on an RAQMON session by sending a TLS closure alert. This will leave the RAQMON connection intact.
クライアントまたはサーバーのいずれかが、TLSクロージャーアラートを送信することにより、RAQMONセッションでTLS接続を終了する場合があります。これにより、Raqmon接続はそのままになります。
Before closing a TLS connection, the client MUST wait for any outstanding RAQMON transmissions to complete. This happens naturally when the RAQMON client is single-threaded and synchronous.
After the initiator of a close has sent a closure alert, it MUST discard any TLS messages until it has received an alert from the other party. It will cease to send TLS Record Protocol PDUs and, following the receipt of the alert, MAY send and receive RAQMON PDUs.
終了の開始者が閉鎖アラートを送信した後、他の当事者からアラートを受け取るまでTLSメッセージを破棄する必要があります。TLSレコードプロトコルPDUを送信しなくなり、アラートの受領後、Raqmon PDUを送信および受信する場合があります。
The other party, if it receives a closure alert, MUST immediately transmit a TLS closure alert. It will subsequently cease to send TLS Record Protocol PDUs and MAY send and receive RAQMON PDUs.
相手は、閉鎖アラートを受け取った場合、すぐにTLS閉鎖アラートを送信する必要があります。その後、TLSレコードプロトコルPDUの送信をやめ、Raqmon PDUを送信および受信することができます。
Either the client or server MAY abruptly close the entire RAQMON session and any TLS connection established on it by dropping the underlying TCP connection. It MAY be possible for RRC to send RDS a disconnection notification, which allows the client to know that the disconnection is not due to network failure. However, this message is not defined in this version.
クライアントまたはサーバーのいずれかが、RAQMONセッション全体と、基礎となるTCP接続を削除することにより確立されたTLS接続全体を突然閉じることができます。RRCがRDSに切断通知を送信することが可能かもしれません。これにより、クライアントは切断がネットワークの障害によるものではないことを知ることができます。ただし、このメッセージはこのバージョンでは定義されていません。
It was an inherent objective of the RAQMON Framework to re-use existing application-level transport protocols to maximize the usage of existing installations as well as to avoid transport-protocol-level complexities in the design process. Choice of SNMP as a means to transport RAQMON PDU was motivated by the intent of using existing installed devices implementing SNMP agents as RAQMON Data Sources (RDSs).
RAQMONフレームワークの固有の目的は、既存のアプリケーションレベルの輸送プロトコルを再利用して、既存のインストールの使用を最大化し、設計プロセスでの輸送プロトコルレベルの複雑さを回避するための目的でした。Raqmon PDUを輸送する手段としてのSNMPの選択は、SNMPエージェントをRAQMONデータソース(RDSS)として実装する既存のインストールされたデバイスを使用する意図によって動機付けられました。
There are some potential problems with the usage of SNMP as a transport mapping protocol:
輸送マッピングプロトコルとしてのSNMPの使用には、いくつかの潜在的な問題があります。
o The potential of congestion is higher than with the TCP transport, because of the usage of UDP at the transport layer.
o 輸送層でのUDPの使用により、輻輳の可能性はTCP輸送の場合よりも高くなります。
o The encoding of the information is less efficient, and this results in bigger message size, which again may negatively impact congestion conditions and memory size requirements in the devices.
o 情報のエンコードは効率が低く、これによりメッセージサイズが大きくなり、デバイスの混雑条件とメモリサイズの要件に悪影響を与える可能性があります。
In order to avoid these potential problems, the following recommendations are made:
これらの潜在的な問題を回避するために、次の推奨事項が行われます。
o Usage of the TCP transport is RECOMMENDED in deployment over the SNMP transport wherever available for a pair of RDS/RRC.
o
o The usage of Inform PDUs is RECOMMENDED.
o
o The usage of Traps PDU is NOT RECOMMENDED.
o
o It is RECOMMENDED that information carried by notifications be maintained within the limits of the MTU size in order to avoid fragmentation.
o 断片化を避けるために、通知によって運ばれる情報をMTUサイズの制限内で維持することをお勧めします。
If SNMP is chosen as a mechanism to transport RAQMON PDUs, the following specification applies to RAQMON-related usage of SNMP: o RDSs implement the capability of embedding RAQMON parameters in SNMP Notifications, re-using well-known SNMP mechanisms to report RAQMON Statistics. The RAQMON RDS MIB module, as specified in 2.1.1, MUST be used in order to map the RAQMON PDUs onto the SNMP Notifications transport.
RAQMON PDUを輸送するメカニズムとしてSNMPが選択されている場合、次の仕様がSNMPのRaqmon関連の使用に適用されます。ORDSSは、SNMP通知にRaqmonパラメーターを埋め込む能力を実装し、raqmon統計を報告するために有名なSNMPメカニズムを再利用します。2.1.1で指定されているRAQMON RDS MIBモジュールは、RAQMON PDUSをSNMP通知トランスポートにマッピングするために使用する必要があります。
o Since RDSs are not computationally rich, and in order to keep the RDS realization as lightweight as possible, RDSs MAY fail to respond to SNMP requests like GET, SET, etc., with the exception of the GET and SET commands required to implement the User-Based Security Model (USM) defined by [RFC3414].
o RDSは計算上リッチではないため、RDSを可能な限り軽量化するために、RDSSは、ユーザーを実装するために必要なGETおよびセットコマンドを除き、GET、セットなどのSNMPリクエストに応答できない場合があります。 - [RFC3414]で定義されたベースのセキュリティモデル(USM)。
o In order to meet congestion safety requirements, SNMP INFORM PDUs SHOULD be used. In case INFORM PDUs are used, RDSs MUST process the SNMP INFORM responses from RRCs and MUST serialize the PDU transmission rate, i.e., limit the number of PDUS sent in a specific time interval.
o
o Standard UDP port 162 SHOULD be used for SNMP Notifications.
o 標準のUDPポート162は、SNMP通知に使用する必要があります。
The RAQMON RDS MIB module is used to map RAQMON PDUs onto SNMP Notifications for transport purposes. The MIB module defines the objects needed for mapping the BASIC part of RAQMON PDU, defined in [RFC4710], as well as the Notifications themselves. In order to incorporate any application-specific extensions in the Application (APP) part of RAQMON PDU, as defined in [RFC4710], additional variable bindings MAY be included in RAQMON notifications as described in the MIB module.
For a detailed overview of the documents that describe the current Internet-Standard Management Framework, please refer to section 7 of [RFC3410].
現在のインターネット標準管理フレームワークを説明するドキュメントの詳細な概要については、[RFC3410]のセクション7を参照してください。
Managed objects are accessed via a virtual information store, termed the Management Information Base or MIB. MIB objects are generally accessed through the Simple Network Management Protocol (SNMP). Objects in the MIB are defined using the mechanisms defined in the Structure of Management Information (SMI). This memo specifies a MIB module that is compliant to the SMIv2, which is described in STD 58, [RFC2578], STD 58, [RFC2579] and STD 58, [RFC2580].
管理されたオブジェクトは、管理情報ベースまたはMIBと呼ばれる仮想情報ストアからアクセスされます。MIBオブジェクトは通常、単純なネットワーク管理プロトコル(SNMP)からアクセスされます。MIBのオブジェクトは、管理情報の構造(SMI)で定義されたメカニズムを使用して定義されます。このメモは、STD 58、[RFC2578]、STD 58、[RFC2579]およびSTD 58、[RFC2580]に記載されているSMIV2に準拠したMIBモジュールを指定します。
The following MIB module IMPORTS definitions from the following:
SNMPv2-SMI [RFC2578] SNMPv2-TC [RFC2579] SNMPv2-CONF [RFC2580] RMON-MIB [RFC2819] DIFFSERV-DSCP-TC [RFC3289] SNMP-FRAMEWORK-MIB [RFC3411] INET-ADDRESS-MIB [RFC4001]
It also uses REFERENCE clauses to refer to [RFC4710].
RAQMON-RDS-MIB DEFINITIONS ::= BEGIN
IMPORTS MODULE-IDENTITY, OBJECT-TYPE, NOTIFICATION-TYPE, Counter32, Unsigned32 FROM SNMPv2-SMI
DateAndTime FROM SNMPv2-TC
snmpv2-tcからのdateandtime
rmon FROM RMON-MIB
rmon-mibからのrmon
SnmpAdminString FROM SNMP-FRAMEWORK-MIB
snmp-framework-mibからのsnmpadminstring
InetAddressType, InetAddress, InetPortNumber FROM INET-ADDRESS-MIB
inetAddressType、inetAddress、inetportnumber from inet-address-mib
Dscp FROM DIFFSERV-DSCP-TC
diffserv-dscp-tcのDSCP
MODULE-COMPLIANCE, OBJECT-GROUP, NOTIFICATION-GROUP FROM SNMPv2-CONF;
Module Compliance、Object-Group、Snmpv2-confの通知グループ。
raqmonDsMIB MODULE-IDENTITY LAST-UPDATED "200610100000Z" -- October 10, 2006 ORGANIZATION "RMON Working Group" CONTACT-INFO "WG EMail: rmonmib@ietf.org Subscribe: rmonmib-request@ietf.org
MIB Editor: Eugene Golovinsky Postal: BMC Software, Inc. 2101 CityWest Boulevard, Houston, TX, 77094 USA Tel: +713-918-1816 Email: egolovin@bmc.com " DESCRIPTION "This is the RAQMON Data Source notification MIB Module. It provides a mapping of RAQMON PDUs to SNMP notifications.
MIB編集者:Eugene Golovinsky Postal:BMC Software、Inc。2101 CityWest Boulevard、Houston、TX、77094 USA Tel:713-918-1816電子メール:Egolovin@bmc.com "説明"これはRaqmonデータソース通知MIBモジュールです。RAQMON PDUSのSNMP通知へのマッピングを提供します。
Ds stands for data source.
DSはデータソースの略です。
Note that all of the object types defined in this module are accessible-for-notify and would consequently not be available to a browser using simple Get, GetNext, or GetBulk requests.
Copyright (c) The Internet Society (2006).
Copyright(c)The Internet Society(2006)。
This version of this MIB module is part of RFC 4712; See the RFC itself for full legal notices."
このMIBモジュールのこのバージョンは、RFC 4712の一部です。完全な法的通知については、RFC自体を参照してください。」
REVISION "200610100000Z" -- October 10, 2006 DESCRIPTION "Initial version, published as RFC 4712."
リビジョン「200610100000Z」 - 2006年10月10日説明「RFC 4712として公開された初期バージョン。」
::= { rmon 32 }
-- This OID allocation conforms to [RFC3737]
raqmonDsNotifications OBJECT IDENTIFIER ::= { raqmonDsMIB 0 } raqmonDsMIBObjects OBJECT IDENTIFIER ::= { raqmonDsMIB 1 } raqmonDsConformance OBJECT IDENTIFIER ::= { raqmonDsMIB 2 }
raqmonDsNotificationTable OBJECT-TYPE SYNTAX SEQUENCE OF RaqmonDsNotificationEntry MAX-ACCESS not-accessible STATUS current DESCRIPTION "This conceptual table provides the SNMP mapping of the RAQMON BASIC PDU. It is indexed by the RAQMON Data Source, sub-session, and address of the peer entity.
Note that there is no concern about the indexation of this table exceeding the limits defined by RFC 2578 Section 3.5. According to [RFC4710], Section 5.1, only IPv4 and IPv6 addresses can be reported as participant addresses." ::= { raqmonDsMIBObjects 1 }
raqmonDsNotificationEntry OBJECT-TYPE SYNTAX RaqmonDsNotificationEntry MAX-ACCESS not-accessible STATUS current DESCRIPTION "The entry (row) is not retrievable and is not kept by RDSs. It serves data organization purposes only." INDEX { raqmonDsDSRC, raqmonDsRCN, raqmonDsPeerAddrType, raqmonDsPeerAddr } ::= { raqmonDsNotificationTable 1 }
RaqmonDsNotificationEntry ::= SEQUENCE { raqmonDsDSRC Unsigned32, raqmonDsRCN Unsigned32, raqmonDsPeerAddrType InetAddressType, raqmonDsPeerAddr InetAddress, raqmonDsAppName SnmpAdminString, raqmonDsDataSourceDevicePort InetPortNumber, raqmonDsReceiverDevicePort InetPortNumber, raqmonDsSessionSetupDateTime DateAndTime, raqmonDsSessionSetupDelay Unsigned32, raqmonDsSessionDuration Unsigned32, raqmonDsSessionSetupStatus SnmpAdminString, raqmonDsRoundTripEndToEndNetDelay Unsigned32, raqmonDsOneWayEndToEndNetDelay Unsigned32, raqmonDsApplicationDelay Unsigned32, raqmonDsInterArrivalJitter Unsigned32, raqmonDsIPPacketDelayVariation Unsigned32, raqmonDsTotalPacketsReceived Counter32, raqmonDsTotalPacketsSent Counter32, raqmonDsTotalOctetsReceived Counter32, raqmonDsTotalOctetsSent Counter32, raqmonDsCumulativePacketLoss Counter32, raqmonDsPacketLossFraction Unsigned32, raqmonDsCumulativeDiscards Counter32, raqmonDsDiscardsFraction Unsigned32, raqmonDsSourcePayloadType Unsigned32, raqmonDsReceiverPayloadType Unsigned32, raqmonDsSourceLayer2Priority Unsigned32, raqmonDsSourceDscp Dscp, raqmonDsDestinationLayer2Priority Unsigned32, raqmonDsDestinationDscp Dscp, raqmonDsCpuUtilization Unsigned32, raqmonDsMemoryUtilization Unsigned32 }
raqmonDsDSRC OBJECT-TYPE SYNTAX Unsigned32 MAX-ACCESS not-accessible STATUS current DESCRIPTION "Data Source identifier represents a unique session descriptor that points to a specific session between communicating entities. Identifiers unique for sessions conducted between two entities are generated by the communicating entities. Zero is a valid value, with no special semantics." ::= { raqmonDsNotificationEntry 1 }
raqmonDsRCN OBJECT-TYPE SYNTAX Unsigned32 (0..15) MAX-ACCESS not-accessible STATUS current DESCRIPTION "The Record Count Number indicates a sub-session within a communication session. A maximum number of 16 sub-sessions are supported; this limitation is dictated by reasons of compatibility with other transport protocols." ::= { raqmonDsNotificationEntry 2 }
raqmonDsPeerAddrType OBJECT-TYPE SYNTAX InetAddressType MAX-ACCESS not-accessible STATUS current DESCRIPTION "The type of the Internet address of the peer participant for this session." REFERENCE "Section 5.2 of [RFC4710]" ::= { raqmonDsNotificationEntry 3 }
raqmonDsPeerAddr OBJECT-TYPE SYNTAX InetAddress MAX-ACCESS not-accessible STATUS current DESCRIPTION "The Internet Address of the peer participant for this session." REFERENCE "Section 5.2 of [RFC4710]" ::= { raqmonDsNotificationEntry 4 }
raqmonDsAppName OBJECT-TYPE
raqmondsappname object-type
SYNTAX SnmpAdminString MAX-ACCESS accessible-for-notify STATUS current DESCRIPTION "This is a text string giving the name and possibly the version of the application associated with that session, e.g., 'XYZ VoIP Agent 1.2'." REFERENCE "Section 5.28 of [RFC4710]" ::= { raqmonDsNotificationEntry 5 }
raqmonDsDataSourceDevicePort OBJECT-TYPE SYNTAX InetPortNumber MAX-ACCESS accessible-for-notify STATUS current DESCRIPTION "The port number from which data for this session was sent by the Data Source device." REFERENCE "Section 5.5 of [RFC4710]" ::= { raqmonDsNotificationEntry 6 }
raqmonDsReceiverDevicePort OBJECT-TYPE SYNTAX InetPortNumber MAX-ACCESS accessible-for-notify STATUS current DESCRIPTION "The port number where the data for this session was received." REFERENCE "Section 5.6 of [RFC4710]" ::= { raqmonDsNotificationEntry 7 }
raqmonDsSessionSetupDateTime OBJECT-TYPE SYNTAX DateAndTime MAX-ACCESS accessible-for-notify STATUS current DESCRIPTION "The time when session was initiated." REFERENCE "Section 5.7 of [RFC4710]" ::= { raqmonDsNotificationEntry 8 }
raqmonDsSessionSetupDelay OBJECT-TYPE SYNTAX Unsigned32 (0..65535) UNITS "milliseconds" MAX-ACCESS accessible-for-notify STATUS current DESCRIPTION "Session setup time." REFERENCE "Section 5.8 of [RFC4710]" ::= { raqmonDsNotificationEntry 9 }
raqmonDsSessionDuration OBJECT-TYPE SYNTAX Unsigned32 UNITS "seconds" MAX-ACCESS accessible-for-notify STATUS current DESCRIPTION "Session duration, including setup time. The SYNTAX of this object allows expression of the duration of sessions that do not exceed 4660 hours and 20 minutes." REFERENCE "Section 5.9 of [RFC4710]" ::= { raqmonDsNotificationEntry 10 }
raqmonDsSessionSetupStatus OBJECT-TYPE SYNTAX SnmpAdminString MAX-ACCESS accessible-for-notify STATUS current DESCRIPTION "Describes appropriate communication session states, e.g., Call Established successfully, RSVP reservation failed, etc." REFERENCE "Section 5.10 of [RFC4710]" ::= { raqmonDsNotificationEntry 11 }
raqmonDsRoundTripEndToEndNetDelay OBJECT-TYPE SYNTAX Unsigned32 UNITS "milliseconds" MAX-ACCESS accessible-for-notify STATUS current DESCRIPTION "Most recent available information about the round-trip end-to-end network delay." REFERENCE "Section 5.11 of [RFC4710]" ::= { raqmonDsNotificationEntry 12}
raqmonDsOneWayEndToEndNetDelay OBJECT-TYPE SYNTAX Unsigned32 UNITS "milliseconds" MAX-ACCESS accessible-for-notify STATUS current DESCRIPTION "Most recent available information about the one-way end-to-end network delay." REFERENCE "Section 5.12 of [RFC4710]" ::= { raqmonDsNotificationEntry 13}
raqmonDsApplicationDelay OBJECT-TYPE SYNTAX Unsigned32 (0..65535) UNITS "milliseconds" MAX-ACCESS accessible-for-notify STATUS current DESCRIPTION "Most recent available information about the application delay." REFERENCE "Section 5.13 of [RFC4710" ::= { raqmonDsNotificationEntry 14}
raqmonDsInterArrivalJitter OBJECT-TYPE SYNTAX Unsigned32 (0..65535) UNITS "milliseconds" MAX-ACCESS accessible-for-notify STATUS current DESCRIPTION "An estimate of the inter-arrival jitter." REFERENCE "Section 5.14 of [RFC4710]" ::= { raqmonDsNotificationEntry 15}
raqmonDsIPPacketDelayVariation OBJECT-TYPE SYNTAX Unsigned32 (0..65535) UNITS "milliseconds" MAX-ACCESS accessible-for-notify STATUS current DESCRIPTION "An estimate of the inter-arrival delay variation." REFERENCE "Section 5.15 of [RFC4710]" ::= { raqmonDsNotificationEntry 16}
raqmonDsTotalPacketsReceived OBJECT-TYPE SYNTAX Counter32 UNITS "packets" MAX-ACCESS accessible-for-notify STATUS current DESCRIPTION "The number of packets transmitted within a communication
raqmondstotalpacketsived object-type構文Counter32ユニット「パケット」 "max-accessアクセシブルステータス現在の説明"通信内で送信されるパケットの数
session by the receiver since the start of the session." REFERENCE "Section 5.16 of [RFC4710]" ::= { raqmonDsNotificationEntry 17 }
raqmonDsTotalPacketsSent OBJECT-TYPE SYNTAX Counter32 UNITS "packets" MAX-ACCESS accessible-for-notify STATUS current DESCRIPTION "The number of packets transmitted within a communication session by the sender since the start of the session." REFERENCE "Section 5.17 of [RFC4710]" ::= { raqmonDsNotificationEntry 18 }
raqmonDsTotalOctetsReceived OBJECT-TYPE SYNTAX Counter32 UNITS "octets" MAX-ACCESS accessible-for-notify STATUS current DESCRIPTION "The total number of payload octets (i.e., not including header or padding octets) transmitted in packets by the receiver within a communication session since the start of the session." REFERENCE "Section 5.18 of [RFC4710]" ::= { raqmonDsNotificationEntry 19 }
raqmonDsTotalOctetsSent OBJECT-TYPE SYNTAX Counter32 UNITS "octets" MAX-ACCESS accessible-for-notify STATUS current DESCRIPTION "The number of payload octets (i.e., not including headers or padding) transmitted in packets by the sender within a communication sub-session since the start of the session." REFERENCE "Section 5.19 of [RFC4710]" ::= { raqmonDsNotificationEntry 20 }
raqmonDsCumulativePacketLoss OBJECT-TYPE SYNTAX Counter32 UNITS "packets" MAX-ACCESS accessible-for-notify STATUS current DESCRIPTION "The number of packets from this session whose loss had been detected since the start of the session." REFERENCE "Section 5.20 of [RFC4710]" ::= { raqmonDsNotificationEntry 21 }
raqmonDsPacketLossFraction OBJECT-TYPE SYNTAX Unsigned32 (0..100) UNITS "percentage of packets sent" MAX-ACCESS accessible-for-notify STATUS current DESCRIPTION "The percentage of lost packets with respect to the overall packets sent. This is defined to be 100 times the number of packets lost divided by the number of packets expected." REFERENCE "Section 5.21 of [RFC4710]" ::= { raqmonDsNotificationEntry 22 }
raqmonDsCumulativeDiscards OBJECT-TYPE SYNTAX Counter32 UNITS "packets" MAX-ACCESS accessible-for-notify STATUS current DESCRIPTION "The number of packet discards detected since the start of the session." REFERENCE "Section 5.22 of [RFC4710]" ::= { raqmonDsNotificationEntry 23 }
raqmonDsDiscardsFraction OBJECT-TYPE SYNTAX Unsigned32 (0..100) UNITS "percentage of packets sent" MAX-ACCESS accessible-for-notify STATUS current DESCRIPTION "The percentage of discards with respect to the overall packets sent. This is defined to be 100 times the number of discards divided by the number of packets expected." REFERENCE "Section 5.23 of [RFC4710]" ::= { raqmonDsNotificationEntry 24 }
raqmonDsSourcePayloadType OBJECT-TYPE SYNTAX Unsigned32 (0..127) MAX-ACCESS accessible-for-notify STATUS current DESCRIPTION "The payload type of the packet sent by this RDS." REFERENCE "RFC 1890, Section 5.24 of [RFC4710] " ::= { raqmonDsNotificationEntry 25 }
raqmonDsReceiverPayloadType OBJECT-TYPE SYNTAX Unsigned32 (0..127) MAX-ACCESS accessible-for-notify STATUS current DESCRIPTION "The payload type of the packet received by this RDS." REFERENCE "RFC 1890, Section 5.25 of [RFC4710] " ::= { raqmonDsNotificationEntry 26 }
raqmonDsSourceLayer2Priority OBJECT-TYPE SYNTAX Unsigned32 (0..7) MAX-ACCESS accessible-for-notify STATUS current DESCRIPTION "Source Layer 2 priority used by the data source to send packets to the receiver by this data source during this communication session." REFERENCE "Section 5.26 of [RFC4710]" ::= { raqmonDsNotificationEntry 27 }
raqmonDsSourceDscp OBJECT-TYPE SYNTAX Dscp MAX-ACCESS accessible-for-notify STATUS current DESCRIPTION "Layer 3 TOS/DSCP values used by the Data Source to prioritize traffic sent." REFERENCE "Section 5.27 of [RFC4710]" ::= { raqmonDsNotificationEntry 28 }
raqmonDsDestinationLayer2Priority OBJECT-TYPE SYNTAX Unsigned32 (0..7) MAX-ACCESS accessible-for-notify STATUS current DESCRIPTION
"Destination Layer 2 priority. This is the priority used by the peer communicating entity to send packets to the data source." REFERENCE "Section 5.28 of [RFC4710]" ::= { raqmonDsNotificationEntry 29 }
raqmonDsDestinationDscp OBJECT-TYPE SYNTAX Dscp MAX-ACCESS accessible-for-notify STATUS current DESCRIPTION "Layer 3 TOS/DSCP values used by the peer communicating entity to prioritize traffic sent to the source." REFERENCE "Section 5.29 of [RFC4710]" ::= { raqmonDsNotificationEntry 30 }
raqmonDsCpuUtilization OBJECT-TYPE SYNTAX Unsigned32 (0..100) UNITS "percent" MAX-ACCESS accessible-for-notify STATUS current DESCRIPTION "Latest available information about the total CPU utilization." REFERENCE "Section 5.30 of [RFC4710]" ::= { raqmonDsNotificationEntry 31 }
raqmonDsMemoryUtilization OBJECT-TYPE SYNTAX Unsigned32 (0..100) UNITS "percent" MAX-ACCESS accessible-for-notify STATUS current DESCRIPTION "Latest available information about the total memory utilization." REFERENCE "Section 5.31 of [RFC4710]" ::= { raqmonDsNotificationEntry 32 }
-- definitions of the notifications -- -- raqmonDsAppName is the only object that MUST be sent by an -- RDS every time the static notification is generated.
-- raqmonDsTotalPacketsReceived is the only object that MUST be -- sent by an RD every time the dynamic notification is generated.
-- Other objects from the raqmonDsNotificationTable may be -- included in the variable binding list. Specifically, a raqmon -- notification will include MIB objects that provide information -- about metrics that characterize the application session
raqmonDsStaticNotification NOTIFICATION-TYPE OBJECTS { raqmonDsAppName } STATUS current DESCRIPTION "This notification maps the static parameters in the BASIC RAQMON PDU onto an SNMP transport. This notification is expected to be sent once per session, or when a new sub-session is initiated. The following objects MAY be carried by the raqmonDsStaticNotification:
raqmondsstatic-notification notification-typeオブジェクト{raqmondsappname}ステータス現在の説明 "この通知は、基本的なRaqmon PDUの静的パラメーターをSNMPトランスポートにマップします。この通知は、セッションごとに1回送信される場合、または新しいサブセッションが開始される場合があります。次のオブジェクトは、Raqmondsstatic -notificationによって運ばれる場合があります。
raqmonDsDataSourceDevicePort, raqmonDsReceiverDevicePort, raqmonDsSessionSetupDateTime, raqmonDsSessionSetupDelay, raqmonDsSessionDuration, raqmonDsSourcePayloadType, raqmonDsReceiverPayloadType, raqmonDsSourceLayer2Priority, raqmonDsSourceDscp, raqmonDsDestinationLayer2Priority, raqmonDsDestinationDscp
raqmonDsDataSourceDevicePort, raqmonDsReceiverDevicePort, raqmonDsSessionSetupDateTime, raqmonDsSessionSetupDelay, raqmonDsSessionDuration, raqmonDsSourcePayloadType, raqmonDsReceiverPayloadType, raqmonDsSourceLayer2Priority, raqmonDsSourceDscp, raqmonDsDestinationLayer2Priority, raqmonDsDestinationDscp
It is RECOMMENDED to keep the size of a notification within the MTU size limits in order to avoid fragmentation." ::= { raqmonDsNotifications 1 }
raqmonDsDynamicNotification NOTIFICATION-TYPE OBJECTS { raqmonDsTotalPacketsReceived } STATUS current DESCRIPTION "This notification maps the dynamic parameters in the BASIC RAQMON PDU onto an SNMP transport.
The following objects MAY be carried by the raqmonDsDynamicNotification:
raqmonDsRoundTripEndToEndNetDelay, raqmonDsOneWayEndToEndNetDelay, raqmonDsApplicationDelay, raqmonDsInterArrivalJitter, raqmonDsIPPacketDelayVariation, raqmonDsTotalPacketsSent, raqmonDsTotalOctetsReceived, raqmonDsTotalOctetsSent, raqmonDsCumulativePacketLoss, raqmonDsPacketLossFraction, raqmonDsCumulativeDiscards, raqmonDsDiscardsFraction, raqmonDsCpuUtilization, raqmonDsMemoryUtilization
It is RECOMMENDED to keep the size of a notification within the MTU size limits in order to avoid fragmentation."
::= { raqmonDsNotifications 2 }
raqmonDsByeNotification NOTIFICATION-TYPE OBJECTS { raqmonDsAppName } STATUS current DESCRIPTION "The BYE Notification. This Notification is the equivalent of the RAQMON NULL PDU, which signals the end of a RAQMON session." ::= { raqmonDsNotifications 3 }
-- -- conformance information raqmonDsCompliance OBJECT IDENTIFIER ::= { raqmonDsConformance 1 } raqmonDsGroups OBJECT IDENTIFIER ::= { raqmonDsConformance 2 }
raqmonDsBasicCompliance MODULE-COMPLIANCE STATUS current DESCRIPTION "The compliance statement for SNMP entities that implement this MIB module.
There are a number of INDEX objects that cannot be represented in the form of OBJECT clauses in SMIv2, but for which we have the following compliance requirements, expressed in OBJECT clause form in this description clause:
-- OBJECT raqmonDsPeerAddrType -- SYNTAX InetAddressType { ipv4(1), ipv6(2) }
-- DESCRIPTION -- This MIB requires support for only global IPv4 -- and IPv6 address types. -- -- OBJECT raqmonDsPeerAddr -- SYNTAX InetAddress (SIZE(4|16)) -- DESCRIPTION -- This MIB requires support for only global IPv4 -- and IPv6 address types. -- " MODULE -- this module MANDATORY-GROUPS { raqmonDsNotificationGroup, raqmonDsPayloadGroup } ::= { raqmonDsCompliance 1 }
raqmonDsNotificationGroup NOTIFICATION-GROUP NOTIFICATIONS { raqmonDsStaticNotification, raqmonDsDynamicNotification, raqmonDsByeNotification } STATUS current DESCRIPTION "Standard RAQMON Data Source Notification group." ::= { raqmonDsGroups 1 }
raqmonDsPayloadGroup OBJECT-GROUP OBJECTS { raqmonDsAppName, raqmonDsDataSourceDevicePort, raqmonDsReceiverDevicePort, raqmonDsSessionSetupDateTime, raqmonDsSessionSetupDelay, raqmonDsSessionDuration, raqmonDsSessionSetupStatus, raqmonDsRoundTripEndToEndNetDelay, raqmonDsOneWayEndToEndNetDelay, raqmonDsApplicationDelay, raqmonDsInterArrivalJitter, raqmonDsIPPacketDelayVariation, raqmonDsTotalPacketsReceived, raqmonDsTotalPacketsSent, raqmonDsTotalOctetsReceived, raqmonDsTotalOctetsSent, raqmonDsCumulativePacketLoss, raqmonDsPacketLossFraction, raqmonDsCumulativeDiscards, raqmonDsDiscardsFraction, raqmonDsSourcePayloadType, raqmonDsReceiverPayloadType, raqmonDsSourceLayer2Priority, raqmonDsSourceDscp, raqmonDsDestinationLayer2Priority, raqmonDsDestinationDscp, raqmonDsCpuUtilization, raqmonDsMemoryUtilization } STATUS current DESCRIPTION "Standard RAQMON Data Source payload MIB objects group." ::= { raqmonDsGroups 2 }
END
Applications using the RAQMON Framework require a single fixed port. Port number 7744 is registered with IANA for use as the default port for RAQMON PDUs over TCP. Hosts that run multiple applications may use this port as an indication to have used RAQMON or provision a separate TCP port as part of provisioning RAQMON RDS and RAQMON Collector.
The particular port number was chosen to lie in the range above 5000 to accommodate port number allocation practice within the Unix operating system, where privileged processes can only use port numbers below 1024 and port numbers between 1024 and 5000 are automatically assigned by the operating systems.
特定のポート番号は、5000を超える範囲に位置するように選択され、UNIXオペレーティングシステム内のポート番号割り当て慣行に対応します。特権プロセスは、1024未満のポート番号のみを使用し、1024〜5000のポート番号はオペレーティングシステムによって自動的に割り当てられます。
The OID assignment for the raqmonDsMIB MODULE-IDENTITY is made according to [RFC3737], and there is no need for any IANA action on this respect.
raqmondsmibモジュールのアイデンティティのOID割り当ては[RFC3737]に従って行われ、この点に関するIANAのアクションは必要ありません。
As outlined in earlier sections, the TCP congestion control mechanism provides inherent congestion safety features when TCP is implemented as transport to carry RAQMON PDU.
以前のセクションで概説されているように、TCPの混雑制御メカニズムは、TCPがRaqmon PDUを運ぶための輸送として実装されている場合、固有の輻輳安全機能を提供します。
To ensure congestion safety, clearly the best thing to do is to use a congestion-safe transport protocol such as TCP. If this is not feasible, it may be necessary to fall back to UDP since SNMP over UDP is a widely deployed transport protocol.
混雑の安全性を確保するために、明らかに最善のことは、TCPなどの混雑に安全な輸送プロトコルを使用することです。これが実行不可能な場合、UDPを介したSNMPは広く展開されている輸送プロトコルであるため、UDPに戻る必要がある場合があります。
When SNMP is chosen as RAQMON PDU Transport, implementers MUST follow section 3 of [RFC4710], which outlines measures that MUST be taken to use RAQMON in a congestion-safe manner. Congestion safety requirements in section 3 of [RFC4710] would ensure that a RAQMON implementation using SNMP over UDP does not lead to congestion under heavy network load.
The authors would like to thank Bill Walker and Joseph Mastroguilio from Avaya and Bin Hu from Motorola for their discussions. The authors would also like to extend special thanks to Randy Presuhn, who reviewed this document for spelling and formatting purposes, and who provided a deep review of the technical content. We also would like to thank Bert Wijnen for the permanent coaching during the evolution of this document and the detailed review of its final versions. The Security Considerations section was reviewed by Sam Hartman and Kurt D. Zeilenga and almost completely re-written by Mahalingam Mani.
著者は、AvayaのBill WalkerとJoseph MastroguilioとMotorolaのBin Huの議論に感謝したいと思います。著者はまた、スペルとフォーマットの目的でこのドキュメントをレビューし、技術コンテンツの深いレビューを提供したRandy Presuhnに特別な感謝を拡大したいと考えています。また、この文書の進化とその最終バージョンの詳細なレビュー中の恒久的なコーチングについて、Bert Wijnenに感謝します。セキュリティに関する考慮事項セクションは、サムハートマンとカートD.ゼイレンガによってレビューされ、マハリンガムマニによってほぼ完全に書き直されました。
[RFC4710] outlines a threat model associated with RAQMON and security considerations to be taken into account in the RAQMON specification to mitigate against those threats. It is imperative that RAQMON PDU implementations be able to provide the following protection mechanisms in order to attain end-to-end security:
[RFC4710]は、RAQMONの考慮事項に関連する脅威モデルと、それらの脅威に反して緩和するためにRAQMON仕様で考慮される脅威モデルの概要を示します。Raqmon PDUの実装が、エンドツーエンドのセキュリティを達成するために、次の保護メカニズムを提供できることが不可欠です。
1. Authentication: The RRC SHOULD be able to verify that a RAQMON report was originated by the RDS claiming to have sent it. At minimum, an RDS/RRC pair MUST use a digest-based authentication procedure to authenticate, like the one defined in [RFC1321].
1.
2. Privacy: RAQMON information includes identification of the parties participating in a communication session. RAQMON deployments SHOULD be able to provide protection from eavesdropping, and to prevent an unauthorized third party from gathering potentially sensitive information. This can be achieved by using secure transport protocols supporting confidentiality based on encryption technologies such as DES (Data Encryption Standard), [3DES], and AES (Advanced Encryption Standard) [AES].
2. プライバシー:RAQMON情報には、コミュニケーションセッションに参加している当事者の識別が含まれます。Raqmonの展開は、盗聴からの保護を提供し、許可されていない第三者が潜在的に機密情報を収集するのを防ぐことができるはずです。これは、DES(データ暗号化標準)、[3DES]、AES(Advanced暗号化標準)[AES]などの暗号化技術に基づいた機密性をサポートする安全な輸送プロトコルを使用することで実現できます。
3. Protection from DoS attacks directed at the RRC: RDSs send RAQMON reports as a side effect of external events (for example, receipt of a phone call). An attacker can try to overwhelm the RRC (or the network) by initiating a large number of events in order to swamp the RRC with excessive numbers of RAQMON PDUs.
3.
To prevent DoS attacks against the RRC, the RDS will send the first report for a session only after the session has been established, so that the session set-up process is not affected.
RRCに対するDOS攻撃を防ぐために、RDSはセッションの確立後にのみセッションの最初のレポートを送信し、セッションのセットアッププロセスが影響を受けません。
4. NAT and Firewall Friendly Design: The presence of IP addresses and TCP/UDP port information in RAQMON PDUs may be NAT-unfriendly. Where NAT-friendliness is a requirement, the RDS MAY omit IP address information from the RAQMON PDU. Another way to avoid this problem is by using NAT-Aware Application Layer Gateways (ALGs) to ensure that correct IP addresses appear in RAQMON PDUs.
4.
For the usage of TCP, TLS MUST be used to provide transport layer security. Section 6.1 describes the usage of TLS with RAQMON.
TCPを使用するには、TLSを使用して輸送層のセキュリティを提供する必要があります。セクション6.1では、Raqmonを使用したTLSの使用について説明します。
This memo also defines the RAQMON-RDS-MIB module with the purpose of mapping the RAQMON PDUs into SNMP Notifications. To attain end-to-end security, the following measures have been taken in the RAQMON-RDS-MIB module design:
このメモは、Raqmon PDUをSNMP通知にマッピングする目的でRaqmon-RDS-MIBモジュールを定義します。エンドツーエンドのセキュリティを達成するために、Raqmon-RDS-MIBモジュール設計で次の測定値が取られています。
There are no management objects defined in this MIB module that have a MAX-ACCESS clause of read-write and/or read-create. Consequently, if this MIB module is implemented correctly, there is no risk that an intruder can alter or create any management objects of this MIB module via direct SNMP SET operations.
このMIBモジュールには、読み取りワイトおよび/またはread-Createの最大アクセス句を持つ管理オブジェクトはありません。その結果、このMIBモジュールが正しく実装されている場合、侵入者が直接SNMPセット操作を介してこのMIBモジュールの管理オブジェクトを変更または作成できるリスクはありません。
Some of the readable objects in this MIB module (i.e., objects with a MAX-ACCESS other than not-accessible) may be considered sensitive or vulnerable in some network environments. It is thus important to control even GET and/or NOTIFY access to these objects and possibly to even encrypt the values of these objects when sending them over the network via SNMP. These are the tables and objects and their sensitivity/vulnerability:
raqmonDsNotificationTable
RaqmondsnotificationTable
The objects in this table contain user session information, and their disclosure may be sensitive in some environments.
SNMP versions prior to SNMPv3 did not include adequate security. Even if the network itself is secure (for example by using IPsec), even then, there is no control as to who on the secure network is allowed to access and GET/SET (read/change/create/delete) the objects in this MIB module.
SNMPV3以前のSNMPバージョンには、適切なセキュリティは含まれていませんでした。ネットワーク自体が(たとえばIPSECを使用して)安全である場合でも、それでもセキュアネットワーク上の誰がアクセス/セット/セット(読み取り/変更/作成/削除/削除)を制御することはできません。MIBモジュール。
It is RECOMMENDED that implementers consider the security features as provided by the SNMPv3 framework (see [RFC3410], section 8), including full support for the SNMPv3 cryptographic mechanisms (for authentication and confidentiality).
実装者は、SNMPV3暗号化メカニズム(認証と機密性のため)の完全なサポートを含む、SNMPV3フレームワーク([RFC3410]、セクション8を参照)で提供されるセキュリティ機能を考慮することをお勧めします。
It is a customer/operator responsibility to ensure that the SNMP entity giving access to an instance of this MIB module is properly configured to give access to the objects only to those principals (users) that have legitimate rights to indeed GET or SET (change/create/delete) them.
このMIBモジュールのインスタンスへのアクセスを提供するSNMPエンティティが、実際に取得または設定する正当な権利を持つプリンシパル(ユーザー)にのみオブジェクトにアクセスできるように適切に構成されていることを確認することは、顧客/オペレーターの責任です(変更/変更/それらを作成/削除)それら。
The subsequently authorized RAQMON data flow itself is protected by the same TLS security association that protects the client-side exchange. This standard TLS channel is now bound to the server through the above client-side authentication. The session itself is identified by the tuple {RDS ip-address:RDS_port / RRC ip-address: RRC port}.
その後、承認されたRaqmonデータフロー自体は、クライアント側の交換を保護する同じTLSセキュリティ協会によって保護されています。この標準TLSチャネルは、上記のクライアント側認証を介してサーバーにバインドされています。セッション自体は、tuple {rds ip-address:rds_port / rrc ip-address:rrc port}によって識別されます。
Several issues should be considered when selecting TLS ciphersuites that are appropriate for use in a given circumstance. These issues include the following:
特定の状況での使用に適したTLS暗号を選択する場合、いくつかの問題を考慮する必要があります。これらの問題には以下が含まれます。
The ciphersuite's ability to provide adequate confidentiality protection for passwords and other data sent over the transport connection. Client and server implementers should recognize that some TLS ciphersuites provide no confidentiality protection, while other ciphersuites that do provide confidentiality protection may be vulnerable to being cracked using brute force methods, especially in light of ever-increasing CPU speeds that reduce the time needed to successfully mount such attacks.
Client and server implementers should carefully consider the value of the password or data being protected versus the level of confidentiality protection provided by the ciphersuite to ensure that the level of protection afforded by the ciphersuite is appropriate.
クライアントとサーバーの実装者は、保護されているパスワードまたはデータの価値と、Ciphersuiteが提供する保護レベルが適切であることを確認するために、Ciphersuiteが提供する機密保護のレベルを慎重に検討する必要があります。
The ciphersuite's vulnerability (or lack thereof) to man-in-the-middle attacks. Ciphersuites vulnerable to man-in-the-middle attacks SHOULD NOT be used to protect passwords or sensitive data, unless the network configuration is such that the danger of a man-in-the-middle attack is negligible.
Ciphersuiteの中間攻撃に対する脆弱性(またはその欠如)。ネットワーク構成が中間攻撃の危険性が無視できるようなものでない限り、パスワードや機密データを保護するために、中間攻撃に対して脆弱なCiphersuitesは使用しないでください。
After a TLS negotiation (either initial or subsequent) is completed, both protocol peers should independently verify that the security services provided by the negotiated ciphersuite are adequate for the intended use of the RAQMON session. If not, the TLS layer should be closed.
TLS交渉(初期または後続)が完了した後、両方のプロトコルピアは、交渉されたCiphersuiteが提供するセキュリティサービスがRaqmonセッションの意図された使用に適していることを独立して確認する必要があります。そうでない場合は、TLSレイヤーを閉じる必要があります。
Spoofing Attacks: When anonymous TLS alone is negotiated without client authentication, the client's identity is never established. This easily allows any end-entity to establish a TLS-secured RAQMON connection to the RRC. This not only offers an opportunity to spoof legitimate RDS clients and hence compromise the integrity of RRC monitoring data, but also opens the RRC up to unauthorized clients posing as genuine RDS entities to launch a DoS by flooding data. RAQMON deployment policy MUST consider requiring RDS client authentication during TLS session establishment, especially when RDS clients communicate across unprotected internet.
スプーフィング攻撃:匿名のTLSのみがクライアント認証なしで交渉される場合、クライアントのIDは決して確立されません。これにより、任意のエンドエンティティがRRCへのTLSが配置されたRaqmon接続を確立することができます。これは、合法的なRDSクライアントをスプーフィングする機会を提供するだけでなく、RRC監視データの整合性を損なうだけでなく、Fooldデータを浸水させてDOSを起動する本物のRDSエンティティを装う不正なクライアントにRRCを開きます。RAQMON展開ポリシーは、特にRDSクライアントが保護されていないインターネットを介して通信する場合、TLSセッションの確立中にRDSクライアント認証を要求することを検討する必要があります。
Insider attacks: Even client-authenticated TLS connections are open to spoofing attacks by one trusted client on another. Validation of RDS source address against RDS TLS-session source address SHOULD be performed to detect such attempts.
インサイダー攻撃:クライアントを認識したTLS接続でさえ、ある信頼できるクライアントが別のクライアントにスプーフィングする攻撃に対して開かれています。RDS TLS-Sessionソースアドレスに対するRDSソースアドレスの検証を実行して、そのような試みを検出する必要があります。
Every RAQMON session (between RDS and RRC) has an associated authorization state. This state is comprised of numerous factors such as what (if any) authorization state has been established, how it was established, and what security services are in place. Some factors may be determined and/or affected by protocol events (e.g., StartTLS, or TLS closure), and some factors may be determined by external events (e.g., time of day or server load).
すべてのRAQMONセッション(RDSとRRCの間)には、関連する認証状態があります。この状態は、(もしあれば)承認状態が確立されたもの、それがどのように確立されたか、どのようなセキュリティサービスが実施されているかなどの多くの要因で構成されています。一部の要因は、プロトコルイベント(startTLSやTLS閉鎖など)によって決定および/または影響を受ける場合があり、一部の要因は、外部イベント(時間またはサーバーの負荷など)によって決定される場合があります。
While it is often convenient to view authorization state in simplistic terms (as we often do in this technical specification) such as "an anonymous state", it is noted that authorization systems in RAQMON implementations commonly involve many factors that interrelate.
「匿名の状態」などの(この技術的仕様でしばしば行うように)認証状態を単純な用語で表示することがしばしば便利ですが、RAQMON実装の認可システムには一般的に相互に関連する多くの要因が含まれることが指摘されています。
Authorization in RAQMON is a local matter. One of the key factors in making authorization decisions is authorization identity. The initial session establishment defined in Section 2.2 allows information to be exchanged between the client and server to establish an authorization identity for the RAQMON session. The RRC is not to allow any RDS-transactions-related traffic through for processing until the client authentication is complete, unless anonymous authentication mode is negotiated.
Upon initial establishment of the RAQMON session, the session has an anonymous authorization identity. Among other things, this implies that the client need not send a TLSStartRequired in the first PDU of the RAQMON message. The client may send any operation request prior to binding RDS to any authentication, and the RRC MUST treat it as if it had been performed after an anonymous RAQMON session start.
RAQMONセッションが最初に確立されると、セッションには匿名の認証IDがあります。とりわけ、これは、クライアントがRaqmonメッセージの最初のPDUでTLSSTARTREFOREDを送信する必要がないことを意味します。クライアントは、RDを任意の認証にバインドする前に操作要求を送信することができ、RRCは匿名のRaqmonセッションの開始後に実行されたかのように扱う必要があります。
The RDS automatically is placed in an unauthorized state upon RRC sending a TLSstart request to the RRC.
RDSは、RRCがRRCにTLSSTARTリクエストを送信すると、不正な状態に自動的に配置されます。
It is noted that other events both internal and external to RAQMON may result in the authentication and authorization states being moved to an anonymous one. For instance, the establishment, change, or closure of data security services may result in a move to an anonymous state, or the user's credential information (e.g., certificate) may have expired. The former is an example of an event internal to RAQMON, whereas the latter is an example of an event external to RAQMON.
RAQMONの内部および外部の両方のイベントにより、認証と認証状態が匿名のものに移動される可能性があることに注意してください。たとえば、データセキュリティサービスの確立、変更、または閉鎖により、匿名の状態に移行するか、ユーザーの資格情報(証明書など)が期限切れになった可能性があります。前者はRaqmonの内部イベントの例ですが、後者はRaqmonの外部のイベントの例です。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。
[RFC2578] McCloghrie, K., Perkins, D., Schoenwaelder, J., Case, J., Rose, M., and S. Waldbusser, "Structure of Management Information Version 2 (SMIv2)", STD 58, RFC 2578, April 1999.
[RFC2578] McCloghrie、K.、Perkins、D.、Schoenwaelder、J.、Case、J.、Rose、M。、およびS. Waldbusser、「管理情報の構造バージョン2(SMIV2)」、STD 58、RFC 2578、1999年4月。
[RFC2579] McCloghrie, K., Perkins, D., Schoenwaelder, J., Case, J., Rose, M., and S. Waldbusser, "Textual Conventions for SMIv2", STD 58, RFC 2579, April 1999.
[RFC2579] McCloghrie、K.、Perkins、D.、Schoenwaelder、J.、Case、J.、Rose、M。、およびS. Waldbusser、「SMIV2のテキストコンベンション」、STD 58、RFC 2579、1999年4月。
[RFC2580] McCloghrie, K., Perkins, D., Schoenwaelder, J., Case, J., Rose, M., and S. Waldbusser, "Conformance Statements for SMIv2", STD 58, RFC 2580, April 1999.
[RFC2580] McCloghrie、K.、Perkins、D.、Schoenwaelder、J.、Case、J.、Rose、M。、およびS. Waldbusser、「Smiv2の適合ステートメント」、STD 58、RFC 2580、1999年4月。
[RFC2819] Waldbusser, S., "Remote Network Monitoring Management Information Base", STD 59, RFC 2819, May 2000.
[RFC3289] Baker, F., Chan, K., and A. Smith, "Management Information Base for the Differentiated Services Architecture", RFC 3289, May 2002.
[RFC3411] Harrington, D., Preshun, R., and B. Wijnen, "An Architecture for Describing Simple Network Management Protocol (SNMP) Management Frameworks", STD 62, RFC 3411, December 2002.
[RFC3411] Harrington、D.、Preshun、R。、およびB. Wijnen、「単純なネットワーク管理プロトコル(SNMP)管理フレームワークを説明するためのアーキテクチャ」、STD 62、RFC 3411、2002年12月。
[RFC4001] Daniele, M., Haberman, B., Routhier, S., and J. Schoenwalder, "Textual Conventions for Internet Network Addresses", RFC 4001, February 2005.
[RFC4001] Daniele、M.、Haberman、B.、Routhier、S。、およびJ. Schoenwalder、「インターネットネットワークアドレスのテキストコンベンション」、RFC 4001、2005年2月。
[RFC791] Postel, J., "Internet Protocol", STD 5, RFC 791, September 1981.
[RFC791] Postel、J。、「インターネットプロトコル」、STD 5、RFC 791、1981年9月。
[RFC793] Postel, J., "Transmission Control Protocol", STD 7, RFC 793, September 1981.
[RFC4710] Siddiqui, A., Romascanu, D., and E. Golovinsky, "Real-time Application Quality-of-Service Monitoring (RAQMON)", RFC 4710, October 2006.
[TLS] Dierks, T. and E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.1", RFC 4346, April 2006.
[3DES] Americation National Standards Institute, "Triple Data Encryption Algorithm Modes of Operation", ANSI X9.52-1998.
[3DES] Americation National Standards Institute、「トリプルデータ暗号化アルゴリズムの動作モード」、ANSI X9.52-1998。
[AES] Federal Information Processing Standard (FIPS), "Specifications for the ADVANCED ENCRYPTION STANDARD(AES)", Publication 197, November 2001.
[AES]連邦情報処理標準(FIPS)、「高度な暗号化標準(AES)の仕様」、出版197、2001年11月。
[IEEE802.1D] "Information technology-Telecommunications and information exchange between systems--Local and metropolitan area networks-Common Specification a--Media access control (MAC) bridges:15802-3: 1998(ISO/IEC)", [ANSI/IEEE Std 802.1D Edition], 1998.
[RFC1305] Mills, D., "Network Time Protocol Version 3", RFC 1305, March 1992.
[RFC1305] Mills、D。、「ネットワークタイムプロトコルバージョン3」、RFC 1305、1992年3月。
[RFC1321] Rivest, R., "Message Digest Algorithm MD5", RFC 1321, April 1992.
[RFC1321] Rivest、R。、「Message Digest Algorithm MD5」、RFC 1321、1992年4月。
[RFC3410] Case, J., Mundy, R., Partain, D., and B. Stewart, "Introduction and Applicability Statements for Internet-Standard Management Framework", RFC 3410, December 2002.
[RFC3410] Case、J.、Mundy、R.、Partain、D。、およびB. Stewart、「インターネット標準管理フレームワークの紹介と適用声明」、RFC 3410、2002年12月。
[RFC3414] Blumenthal, U. and B. Wijnen, "User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3)", RFC 3414, December 2002.
[RFC3414] Blumenthal、U.およびB. Wijnen、「Simple Network Management Protocol(SNMPV3)のバージョン3のユーザーベースのセキュリティモデル(USM)」、RFC 3414、2002年12月。
[RFC3550] Schulzrinne, H., Casner, S., Frederick, R., and V. Jacobson, "RTP: A Transport Protocol for Real-Time Applications", RFC 3550, July 2003.
[RFC3550] Schulzrinne、H.、Casner、S.、Frederick、R。、およびV. Jacobson、「RTP:リアルタイムアプリケーション用の輸送プロトコル」、RFC 3550、2003年7月。
[RFC3551] Schulzrinne, H. and S. Casner, "RTP Profile for Audio and Video Conferences with Minimal Control", STD 65, RFC 3551, July 2003.
[RFC3551] Schulzrinne、H。およびS. Casner、「最小限のコントロールを備えたオーディオおよびビデオ会議のRTPプロファイル」、STD 65、RFC 3551、2003年7月。
[RFC3629] Yergeau, F., "UTF-8, a transformation format of ISO 10646", STD 63, RFC 3629, November 2003.
[RFC3629] Yergeau、F。、「UTF-8、ISO 10646の変換形式」、STD 63、RFC 3629、2003年11月。
[RFC3737] Wijnen, B. and A. Bierman, "IANA Guidelines for the Registry of Remote Monitoring (RMON) MIB modules", RFC 3737, April 2004.
[RFC3737] Wijnen、B。およびA. Bierman、「リモート監視登録(RMON)MIBモジュールのIANAガイドライン」、RFC 3737、2004年4月。
[RFC4513] Harrison, R., "Lightweight Directory Access Protocol (LDAP): Authentication Methods and Security Mechanisms", RFC 4513, June 2006.
[RFC4513] Harrison、R。、「Lightweight Directory Access Protocol(LDAP):認証方法とセキュリティメカニズム」、RFC 4513、2006年6月。
[TLS-PSK] Eronen, P. and H. Tschofenig, "Pre-Shared Key Ciphersuites for Transport Layer Security (TLS)", RFC 4279, December 2005.
[TLS-PSK] Eronen、P。およびH. Tschofenig、「輸送層セキュリティのための事前共有キーヒルスーツ(TLS)」、RFC 4279、2005年12月。
The implementation notes included in Appendix are for informational purposes only and are meant to clarify the RAQMON specification.
付録に含まれる実装ノートは、情報提供のみを目的としており、RAQMON仕様を明確にすることを目的としています。
Pseudocode for RDS & RRC
RDSおよびRRCの擬似コード
We provide examples of pseudocode for aspects of RDS and RRC. There may be other implementation methods that are faster in particular operating environments or have other advantages.
RDSおよびRRCの側面については、擬似コードの例を提供します。特定の操作環境でより速い、または他の利点がある他の実装方法がある場合があります。
RDS: when (session starts} { report.identifier = session.endpoints, session.starttime; report.timestamp = 0; while (session in progress) { wait interval; report.statistics = update statistics; report.curtimestamp += interval; if encryption required report_data = encrypt(report, encrypt parameters); else report_data = report; raqmon_pdu = header, report_data; send raqmon-pdu; } }
RRC: listen on raqmon port when ( raqmon_pdu received ) { decrypt raqmon_pdu.data if needed
RRC:(Raqmon_pduが受信){必要に応じてraqmon_pdu.dataをdecryptしたときにraqmonポートで聞く
if report.identifier in database if report.current_time_stamp > last update update session statistics from report.statistics else discard report }
Report.Ifideifier in database in databaseの場合はreport.current_time_stamp>最終更新更新レポートからのセッション統計を更新します。
Authors' Addresses
著者のアドレス
Anwar Siddiqui Avaya 307 Middletown Lincroft Road Lincroft, NJ 80302 USA
Anwar Siddiqui Avaya 307 Middletown Lincroft Road Lincroft、NJ 80302 USA
Phone: +1 732 852-3200 EMail: anwars@avaya.com
Dan Romascanu Avaya Atidim Technology Park, Bldg #3 Tel Aviv, 61131 Israel
Phone: +972-3-645-8414 EMail: dromasca@avaya.com
Eugene Golovinsky Alert Logic
Eugene Golovinsky Alert Logic
Phone: +1 713 918-1816 EMail: gene@alertlogic.net
Mahfuzur Rahman Samsung Information Systems America 75 West Plumeria Drive San Jose, CA 95134 USA
Mahfuzur Rahman Samsung Information Systems America 75 West Plumeria Drive San Jose、CA 95134 USA
Phone: +1 408 544-5559
電話:1 408 544-5559
Yongbum Yong Kim Broadcom 3151 Zanker Road San Jose, CA 95134 USA
Yongbum Yong Kim Broadcom 3151 Zanker Road San Jose、CA 95134 USA
Phone: +1 408 501-7800 EMail: ybkim@broadcom.com
Full Copyright Statement
完全な著作権声明
Copyright (C) The Internet Society (2006).
Copyright(c)The Internet Society(2006)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれる情報は、「現状のまま」に基づいて提供されています。また、貢献者、彼/彼女が代表する組織(もしあれば)が後援する組織、インターネット協会とインターネット工学タスクフォースは、すべての保証、明示的または明示的、またはすべての保証を否認します。本書の情報の使用が、商品性または特定の目的に対する適合性の権利または黙示的な保証を侵害しないという保証を含むがこれらに限定されないことを含む。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、知的財産権またはその他の権利の有効性または範囲に関して、この文書に記載されている技術の実装または使用、またはそのような権利に基づくライセンスがどの程度であるかについての使用に関連すると主張する可能性があるという立場はありません。利用可能になります。また、そのような権利を特定するために独立した努力をしたことも表明していません。RFCドキュメントの権利に関する手順に関する情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
Acknowledgement
謝辞
Funding for the RFC Editor function is provided by the IETF Administrative Support Activity (IASA).