[要約] RFC 5533は、IPv6のレベル3マルチホーミングシムプロトコルであるShim6に関するものです。このRFCの目的は、IPv6ネットワークでのマルチホーミングをサポートするためのプロトコルを提案することです。
Network Working Group E. Nordmark
Request for Comments: 5533 Sun Microsystems
Category: Standards Track M. Bagnulo
UC3M
June 2009
Shim6: Level 3 Multihoming Shim Protocol for IPv6
SHIM6:IPv6用のレベル3マルチホームシムプロトコル
Status of This Memo
本文書の位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (c) 2009 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2009 IETF Trustおよび文書著者として特定された人。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents in effect on the date of publication of this document (http://trustee.ietf.org/license-info). Please review these documents carefully, as they describe your rights and restrictions with respect to this document.
このドキュメントは、BCP 78およびこのドキュメントの公開日(http://trustee.ietf.org/license-info)に有効なIETFドキュメントに関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。
Abstract
概要
This document defines the Shim6 protocol, a layer 3 shim for providing locator agility below the transport protocols, so that multihoming can be provided for IPv6 with failover and load-sharing properties, without assuming that a multihomed site will have a provider-independent IPv6 address prefix announced in the global IPv6 routing table. The hosts in a site that has multiple provider-allocated IPv6 address prefixes will use the Shim6 protocol specified in this document to set up state with peer hosts so that the state can later be used to failover to a different locator pair, should the original one stop working.
このドキュメントでは、輸送プロトコルの下にロケーターの俊敏性を提供するためのレイヤー3 SHIMであるSHIM6プロトコルを定義します。そのため、マルチホームサイトにはプロバイダーに独立したIPv6アドレスがあると仮定することなく、マルチホミングをフェールオーバーおよび負荷共有プロパティを備えたIPv6に提供できます。グローバルIPv6ルーティングテーブルで発表されたプレフィックス。複数のプロバイダーに割り当てられたIPv6アドレスのプレフィックスを備えたサイトのホストは、このドキュメントで指定されたSHIM6プロトコルを使用してピアホストとともに状態を設定するため、元のロケーターペアにフェイルオーバーするために状態を使用できるようにします。仕事をやめる。
Table of Contents
目次
1. Introduction ....................................................4
1.1. Goals ......................................................5
1.2. Non-Goals ..................................................5
1.3. Locators as Upper-Layer Identifiers (ULID) .................6
1.4. IP Multicast ...............................................7
1.5. Renumbering Implications ...................................8
1.6. Placement of the Shim ......................................9
1.7. Traffic Engineering .......................................11
2. Terminology ....................................................12
2.1. Definitions ...............................................12
2.2. Notational Conventions ....................................15
2.3. Conceptual ................................................15
3. Assumptions ....................................................15
4. Protocol Overview ..............................................17
4.1. Context Tags ..............................................19
4.2. Context Forking ...........................................19
4.3. API Extensions ............................................20
4.4. Securing Shim6 ............................................20
4.5. Overview of Shim Control Messages .........................21
4.6. Extension Header Order ....................................22
5. Message Formats ................................................23
5.1. Common Shim6 Message Format ...............................23
5.2. Shim6 Payload Extension Header Format .....................24
5.3. Common Shim6 Control Header ...............................25
5.4. I1 Message Format .........................................26
5.5. R1 Message Format .........................................28
5.6. I2 Message Format .........................................29
5.7. R2 Message Format .........................................31
5.8. R1bis Message Format ......................................33
5.9. I2bis Message Format ......................................34
5.10. Update Request Message Format ............................37
5.11. Update Acknowledgement Message Format ....................38
5.12. Keepalive Message Format .................................40
5.13. Probe Message Format .....................................40
5.14. Error Message Format .....................................40
5.15. Option Formats ...........................................42
5.15.1. Responder Validator Option Format .................44
5.15.2. Locator List Option Format ........................44
5.15.3. Locator Preferences Option Format .................46
5.15.4. CGA Parameter Data Structure Option Format ........48
5.15.5. CGA Signature Option Format .......................49
5.15.6. ULID Pair Option Format ...........................49
5.15.7. Forked Instance Identifier Option Format ..........50
5.15.8. Keepalive Timeout Option Format ...................50
6. Conceptual Model of a Host .....................................51
6.1. Conceptual Data Structures ................................51
6.2. Context STATES ............................................52
7. Establishing ULID-Pair Contexts ................................54
7.1. Uniqueness of Context Tags ................................54
7.2. Locator Verification ......................................55
7.3. Normal Context Establishment ..............................56
7.4. Concurrent Context Establishment ..........................56
7.5. Context Recovery ..........................................58
7.6. Context Confusion .........................................60
7.7. Sending I1 Messages .......................................61
7.8. Retransmitting I1 Messages ................................62
7.9. Receiving I1 Messages .....................................62
7.10. Sending R1 Messages ......................................63
7.10.1. Generating the R1 Validator .......................64
7.11. Receiving R1 Messages and Sending I2 Messages ............64
7.12. Retransmitting I2 Messages ...............................65
7.13. Receiving I2 Messages ....................................66
7.14. Sending R2 Messages ......................................67
7.15. Match for Context Confusion ..............................68
7.16. Receiving R2 Messages ....................................69
7.17. Sending R1bis Messages ...................................69
7.17.1. Generating the R1bis Validator ....................70
7.18. Receiving R1bis Messages and Sending I2bis Messages ......71
7.19. Retransmitting I2bis Messages ............................72
7.20. Receiving I2bis Messages and Sending R2 Messages .........72
8. Handling ICMP Error Messages ...................................74
9. Teardown of the ULID-Pair Context ..............................76
10. Updating the Peer .............................................77
10.1. Sending Update Request Messages ..........................77
10.2. Retransmitting Update Request Messages ...................78
10.3. Newer Information while Retransmitting ...................78
10.4. Receiving Update Request Messages ........................79
10.5. Receiving Update Acknowledgement Messages ................81
11. Sending ULP Payloads ..........................................81
11.1. Sending ULP Payload after a Switch .......................82
12. Receiving Packets .............................................83
12.1. Receiving Payload without Extension Headers ..............83
12.2. Receiving Shim6 Payload Extension Headers ................83
12.3. Receiving Shim Control Messages ..........................84
12.4. Context Lookup ...........................................84
13. Initial Contact ...............................................86
14. Protocol Constants ............................................87
15. Implications Elsewhere ........................................88
15.1. Congestion Control Considerations ........................88
15.2. Middle-Boxes Considerations ..............................88
15.3. Operation and Management Considerations ..................89
15.4. Other Considerations .....................................90
16. Security Considerations .......................................91
16.1. Interaction with IPSec ...................................93
16.2. Residual Threats .........................................94
17. IANA Considerations ...........................................95
18. Acknowledgements ..............................................97
19. References ....................................................97
19.1. Normative References .....................................97
19.2. Informative References ...................................97
Appendix A. Possible Protocol Extensions ........................100
Appendix B. Simplified STATE Machine ............................101
B.1. Simplified STATE Machine Diagram ........................108
Appendix C. Context Tag Reuse ...................................109
C.1. Context Recovery ........................................109
C.2. Context Confusion .......................................109
C.3. Three-Party Context Confusion .........................110
C.4. Summary .................................................110
Appendix D. Design Alternatives .................................111
D.1. Context Granularity .....................................111
D.2. Demultiplexing of Data Packets in Shim6 Communications ..111
D.2.1. Flow Label .........................................112
D.2.2. Extension Header ...................................115
D.3. Context-Loss Detection ................................115
D.4. Securing Locator Sets ...................................117
D.5. ULID-Pair Context-Establishment Exchange ............120
D.6. Updating Locator Sets ...................................121
D.7. State Cleanup ...........................................122
This document describes a layer 3 shim approach and protocol for providing locator agility below the transport protocols, so that multihoming can be provided for IPv6 with failover and load-sharing properties [11], without assuming that a multihomed site will have a provider-independent IPv6 address announced in the global IPv6 routing table. The hosts in a site that has multiple provider-allocated IPv6 address prefixes will use the Shim6 protocol specified in this document to set up state with peer hosts so that the state can later be used to failover to a different locator pair, should the original one stop working (the term locator is defined in Section 2).
このドキュメントでは、輸送プロトコルの下にロケーターの俊敏性を提供するためのレイヤー3シムアプローチとプロトコルについて説明します。これにより、マルチホームサイトにはプロバイダーに独立していると仮定することなく、フェイルオーバーおよび負荷分担プロパティを備えたIPv6にマルチホームを提供できます[11]グローバルIPv6ルーティングテーブルで発表されたIPv6アドレス。複数のプロバイダーに割り当てられたIPv6アドレスのプレフィックスを備えたサイトのホストは、このドキュメントで指定されたSHIM6プロトコルを使用してピアホストとともに状態を設定するため、元のロケーターペアにフェイルオーバーするために状態を使用できるようにします。作業を停止します(ロケーターという用語はセクション2で定義されています)。
The Shim6 protocol is a site-multihoming solution in the sense that it allows existing communication to continue when a site that has multiple connections to the Internet experiences an outage on a subset of these connections or further upstream. However, Shim6 processing is performed in individual hosts rather than through site-wide mechanisms.
SHIM6プロトコルは、インターネットへの複数の接続を持つサイトがこれらの接続のサブセットまたはさらに上流のサブセットで停止を経験したときに既存の通信が継続できるという意味で、サイト総体ソリューションです。ただし、SHIM6処理は、サイト全体のメカニズムではなく、個々のホストで実行されます。
We assume that redirection attacks are prevented using Hash-Based Addresses (HBA) as defined in [3].
[3]で定義されているように、ハッシュベースのアドレス(HBA)を使用して、リダイレクト攻撃が防止されると仮定します。
The reachability and failure-detection mechanisms, including how a new working locator pair is discovered after a failure, are specified in RFC 5534 [4]. This document allocates message types and option types for that sub-protocol, and leaves the specification of the message and option formats, as well as the protocol behavior, to RFC 5534.
RFC 5534 [4]で、障害後に新しい作業ロケーターペアがどのように発見されるかを含む、到達可能性と故障検出メカニズムが指定されています。このドキュメントは、そのサブプロトコルのメッセージタイプとオプションタイプを割り当て、メッセージとオプション形式の仕様、およびプロトコルの動作をRFC 5534に残します。
The goals for this approach are to:
このアプローチの目標は次のとおりです。
o Preserve established communications in the presence of certain classes of failures, for example, TCP connections and UDP streams.
o 特定のクラスの障害、たとえばTCP接続やUDPストリームの存在下で確立された通信を保存します。
o Have minimal impact on upper-layer protocols in general and on transport protocols and applications in particular.
o 一般的な上層層プロトコルと、特に輸送プロトコルとアプリケーションには最小限の影響を与えます。
o Address the security threats in [15] through a combination of the HBA/CGA approach specified in RFC 5535 [3] and the techniques described in this document.
o RFC 5535 [3]で指定されたHBA/CGAアプローチとこのドキュメントで説明されている手法の組み合わせを介して、[15]のセキュリティの脅威に対処します。
o Not require an extra roundtrip up front to set up shim-specific state. Instead, allow the upper-layer traffic (e.g., TCP) to flow as normal and defer the set up of the shim state until some number of packets have been exchanged.
o シム固有の状態をセットアップするために、前もって追加の丸いトリップを必要としません。代わりに、上層層のトラフィック(TCPなど)が通常どおりに流れ、いくつかのパケットが交換されるまでシム状態のセットアップを延期させます。
o Take advantage of multiple locators/addresses for load spreading so that different sets of communication to a host (e.g., different connections) might use different locators of the host. Note that this might cause load to be spread unevenly; thus, we use the term "load spreading" instead of "load balancing". This capability might enable some forms of traffic engineering, but the details for traffic engineering, including what requirements can be satisfied, are not specified in this document, and form part of potential extensions to this protocol.
o ロードスプレッドの複数のロケーター/アドレスを活用して、ホストとの異なる通信セット(異なる接続など)がホストの異なるロケーターを使用できるようにします。これにより、負荷が不均一に広がる可能性があることに注意してください。したがって、「負荷分散」ではなく「荷重拡散」という用語を使用します。この機能により、いくつかの形式のトラフィックエンジニアリングが可能になる場合がありますが、どの要件を満たすことができるかを含むトラフィックエンジニアリングの詳細は、このドキュメントでは指定されておらず、このプロトコルの潜在的な拡張の一部を形成します。
The problem we are trying to solve is site multihoming, with the ability to have the set of site prefixes change over time due to site renumbering. Further, we assume that such changes to the set of locator prefixes can be relatively slow and managed: slow enough to allow updates to the DNS to propagate (since the protocol defined in this document depends on the DNS to find the appropriate locator sets). However, note that it is an explicit non-goal to make communication survive a renumbering event (which causes all the locators of a host to change to a new set of locators). This proposal does not attempt to solve the related problem of host mobility. However, it might turn out that the Shim6 protocol can be a useful component for future host mobility solutions, e.g., for route optimization.
私たちが解決しようとしている問題は、サイトのマルチホミングであり、サイトのプレフィックスのセットを時間の経過とともに変更することができます。さらに、ロケーターのプレフィックスのセットのこのような変更は比較的遅く、管理される可能性があると仮定します。DNSの更新が伝播できるように十分に遅くなると仮定します(このドキュメントで定義されているプロトコルは、適切なロケーターセットを見つけるためにDNSに依存するため)。ただし、コミュニケーションを変更するイベントを生き残ることは明示的な非ゴールであることに注意してください(ホストのすべてのロケーターが新しいロケーターのセットに変更させます)。この提案は、ホストのモビリティの関連する問題を解決しようとはしていません。ただし、SHIM6プロトコルは、将来のホストモビリティソリューション、たとえばルートの最適化に役立つコンポーネントになる可能性があることがわかります。
Finally, this proposal also does not try to provide a new network-level or transport-level identifier name space distinct from the current IP address name space. Even though such a concept would be useful to upper-layer protocols (ULPs) and applications, especially if the management burden for such a name space was negligible and there was an efficient yet secure mechanism to map from identifiers to locators, such a name space isn't necessary (and furthermore doesn't seem to help) to solve the multihoming problem.
最後に、この提案は、現在のIPアドレス名スペースとは異なる新しいネットワークレベルまたはトランスポートレベルの識別子名スペースを提供しようとはしていません。このような概念は、特にそのような名前のスペースの管理負担が無視できる場合、識別子からロケーターにマッピングする効率的で安全なメカニズムがあった場合、上層層プロトコル(ULPS)およびアプリケーションに役立ちますが、そのような名前空間があった場合マルチホームの問題を解決するために必要ではありません(さらには役に立たないようです)。
The Shim6 proposal doesn't fully separate the identifier and locator functions that have traditionally been overloaded in the IP address. However, throughout this document the term "identifier" or, more specifically, upper-layer identifier (ULID), refers to the identifying function of an IPv6 address. "Locator" refers to the network-layer routing and forwarding properties of an IPv6 address.
SHIM6の提案は、従来IPアドレスで過負荷になっていた識別子とロケーターの関数を完全に分離していません。ただし、このドキュメント全体で「識別子」という用語またはより具体的には、上層識別子(ulid)は、IPv6アドレスの識別機能を指します。「ロケーター」とは、IPv6アドレスのネットワーク層ルーティングおよび転送プロパティを指します。
The approach described in this document does not introduce a new identifier name space but instead uses the locator that is selected in the initial contact with the remote peer as the preserved upper-layer identifier (ULID). While there may be subsequent changes in the selected network-level locators over time (in response to failures in using the original locator), the upper-level protocol stack elements will continue to use this upper-level identifier without change.
このドキュメントで説明されているアプローチは、新しい識別子名スペースを導入するのではなく、代わりにリモートピアとの最初の接触で選択されたロケーターを保存されたアッパーレイヤー識別子(ulid)として使用します。選択したネットワークレベルのロケーターに時間の経過とともにその後の変更がある場合がありますが(元のロケーターの使用の障害に応じて)、上位レベルのプロトコルスタック要素は、変更せずにこの上位レベルの識別子を引き続き使用します。
This implies that the ULID selection is performed as today's default address selection as specified in RFC 3484 [7]. Some extensions are needed to RFC 3484 to try different source addresses, whether or not the Shim6 protocol is used, as outlined in [9]. Underneath, and transparently, the multihoming shim selects working locator pairs with the initial locator pair being the ULID pair. If communication subsequently fails, the shim can test and select alternate locators. A subsequent section discusses the issues that arise when the selected ULID is not initially working, which creates the need to switch locators up front.
これは、RFC 3484で指定されているように、今日のデフォルトアドレス選択としてulid選択が実行されることを意味します[7]。RFC 3484には、[9]で概説されているように、SHIM6プロトコルが使用されているかどうかにかかわらず、さまざまなソースアドレスを試すためにいくつかの拡張機能が必要です。下の、そして透過的に、マルチホームのシムは、初期のロケーターペアがulidペアである作業ロケーターのペアを選択します。通信がその後失敗した場合、シムは代替ロケーターをテストして選択できます。次のセクションでは、選択したulidが最初に機能していないときに発生する問題について説明します。これにより、ロケーターを前もって切り替える必要があります。
Using one of the locators as the ULID has certain benefits for applications that have long-lived session state or that perform callbacks or referrals, because both the Fully Qualified Domain Name (FQDN) and the 128-bit ULID work as handles for the applications.
ロケーターのいずれかをULIDとして使用すると、セッション状態が長くなったアプリケーションまたはコールバックまたは紹介を行うアプリケーションに特定の利点があります。
However, using a single 128-bit ULID doesn't provide seamless communication when that locator is unreachable. See [18] for further discussion of the application implications.
ただし、単一の128ビットのulidを使用すると、そのロケーターが到達できない場合、シームレスな通信は提供されません。アプリケーションへの影響についての詳細については、[18]を参照してください。
There has been some discussion of using non-routable addresses, such as Unique-Local Addresses (ULAs) [14], as ULIDs in a multihoming solution. While this document doesn't specify all aspects of this, it is believed that the approach can be extended to handle the non-routable address case. For example, the protocol already needs to handle ULIDs that are not initially reachable. Thus, the same mechanism can handle ULIDs that are permanently unreachable from outside their site. The issue becomes how to make the protocol perform well when the ULID is known a priori to be unreachable (e.g., the ULID is a ULA), for instance, avoiding any timeout and retries in this case. In addition, one would need to understand how the ULAs would be entered in the DNS to avoid a performance impact on existing, non-Shim6-aware IPv6 hosts potentially trying to communicate to the (unreachable) ULA.
マルチホームソリューションの尿素として、ユニークなローカルアドレス(ULAS)[14]など、不可能なアドレスを使用することについての議論がありました。このドキュメントはこれのすべての側面を指定していませんが、アプローチを拡張して、不可能なアドレスケースを処理するために拡張できると考えられています。たとえば、プロトコルはすでに最初は到達できないulidを処理する必要があります。したがって、同じメカニズムは、サイトの外部から永久に到達できない亜油を処理できます。問題は、ulidが先験的に到達不可能であることが知られている場合(例えば、ulidはula)、この場合はタイムアウトと再試行を回避する場合、プロトコルをうまく機能させる方法になります。さらに、(到達不能な)ULAと通信しようとする可能性のある既存の非SHIM6に認識されたIPv6ホストへのパフォーマンスの影響を回避するために、DNSにULASがどのように入力されるかを理解する必要があります。
IP multicast requires that the IP Source Address field contain a topologically correct locator for the interface that is used to send the packet, since IP multicast routing uses both the source address and the destination group to determine where to forward the packet. In particular, IP multicast routing needs to be able to do the Reverse Path Forwarding (RPF) check. (This isn't much different than the situation with widely implemented ingress filtering [6] for unicast.)
IPマルチキャストでは、IPマルチキャストルーティングはソースアドレスと宛先グループの両方を使用してパケットを転送する場所を決定するため、IPソースアドレスフィールドにはパケットの送信に使用されるインターフェイスのトポロジカルなロケーターが含まれることが必要です。特に、IPマルチキャストルーティングは、逆パス転送(RPF)チェックを実行できる必要があります。(これは、ユニキャストのために広く実装されたイングレスフィルタリング[6]の状況とそれほど違いはありません。)
While in theory it would be possible to apply the shim re-mapping of the IP address fields between ULIDs and locators, the fact that all the multicast receivers would need to know the mapping to perform makes such an approach difficult in practice. Thus, it makes sense to have multicast ULPs operate directly on locators and not use the shim. This is quite a natural fit for protocols that use RTP [10], since RTP already has an explicit identifier in the form of the synchronization source (SSRC) field in the RTP headers. Thus, the actual IP address fields are not important to the application.
理論的には、ulidsとロケーターの間にIPアドレスフィールドのシム再マッピングを適用することは可能ですが、すべてのマルチキャストレシーバーが実行するためにマッピングを知る必要があるという事実により、実際にはそのようなアプローチが困難になります。したがって、マルチキャストULPSをロケーターで直接動作させ、シムを使用しないことは理にかなっています。RTPは、RTPヘッダーの同期ソース(SSRC)フィールドの形式の明示的な識別子を既に持っているため、RTP [10]を使用するプロトコルには非常に自然な適合です。したがって、実際のIPアドレスフィールドはアプリケーションにとって重要ではありません。
In summary, IP multicast will not need the shim to remap the IP addresses.
要約すると、IPマルチキャストでは、IPアドレスを再マルチングする必要はありません。
This doesn't prevent the receiver of multicast to change its locators, since the receiver is not explicitly identified; the destination address is a multicast address and not the unicast locator of the receiver.
これは、レシーバーが明示的に識別されないため、マルチキャストのレシーバーがロケーターを変更するのを妨げません。宛先アドレスはマルチキャストアドレスであり、レシーバーのユニキャストロケーターではありません。
As stated above, this approach does not try to make communication survive renumbering in the general case.
上記のように、このアプローチでは、一般的なケースでのコミュニケーションを生き残ることを試みません。
When a host is renumbered, the effect is that one or more locators become invalid, and zero or more locators are added to the host's network interface. This means that the set of locators that is used in the shim will change, which the shim can handle as long as not all the original locators become invalid at the same time; the shim's ability to handle this also depends on the time that is required to update the DNS and for those updates to propagate.
ホストが変更されると、1つ以上のロケーターが無効になり、ゼロ以上のロケーターがホストのネットワークインターフェイスに追加されることが効果があります。これは、シムで使用されるロケーターのセットが変更されることを意味します。これは、すべての元のロケーターが同時に無効になるわけではない限り、シムが処理できることを意味します。これを処理するシムの能力は、DNSの更新に必要な時間とそれらの更新が伝播するのにも依存します。
But IP addresses are also used as ULIDs, and making the communication survive locators becoming invalid can potentially cause some confusion at the upper layers. The fact that a ULID might be used with a different locator over time opens up the possibility that communication between two ULIDs might continue to work after one or both of those ULIDs are no longer reachable as locators, for example, due to a renumbering event. This opens up the possibility that the ULID (or at least the prefix on which it is based) may be reassigned to another site while it is still being used (with another locator) for existing communication.
しかし、IPアドレスはulidsとしても使用されており、通信を生き残るためにロケーターが無効になる可能性がある可能性があるため、上層層である程度の混乱を引き起こす可能性があります。時間の経過とともに異なるロケーターとともに使用される可能性があるという事実は、2つのulid間の通信が、例えば変更イベントのために、ロケーターとしてもはや到達できなくなった後、2つのulid間の通信が機能し続ける可能性を開きます。これにより、既存の通信のために(別のロケーターを使用して)まだ使用されている間に、亜油(または少なくともそれが基づいているプレフィックス)が別のサイトに再割り当てされる可能性が開かれます。
In the worst case, we could end up with two separate hosts using the same ULID while both of them are communicating with the same host.
最悪の場合、同じ亜油を使用して2つの別々のホストになり、両方とも同じホストと通信しています。
This potential source for confusion is avoided by requiring that any communication using a ULID MUST be terminated when the ULID becomes invalid (due to the underlying prefix becoming invalid). This behavior can be accomplished by explicitly discarding the shim state when the ULID becomes invalid. The context-recovery mechanism will then make the peer aware that the context is gone and that the ULID is no longer present at the same locator(s).
混乱のこの潜在的な原因は、ulidを使用した通信を無効にしたときに(基礎となる接頭辞が無効になるため)要求することにより回避されます。この振る舞いは、ulidが無効になったときにシム状態を明示的に破棄することによって達成できます。コンテキスト回復メカニズムにより、ピアはコンテキストがなくなっており、亜油が同じロケーターに存在しなくなったことをピアに認識させます。
-----------------------
| Transport Protocols |
-----------------------
-------------- ------------- IP endpoint
| Frag/reass | | Dest opts | sub-layer
-------------- -------------
---------------------
| Shim6 shim layer |
---------------------
------ IP routing
| IP | sub-layer
------
Figure 1: Protocol Stack
図1:プロトコルスタック
The proposal uses a multihoming shim layer within the IP layer, i.e., below the ULPs, as shown in Figure 1, in order to provide ULP independence. The multihoming shim layer behaves as if it is associated with an extension header, which would be placed after any routing-related headers in the packet (such as any hop-by-hop options). However, when the locator pair is the ULID pair, there is no data that needs to be carried in an extension header; thus, none is needed in that case.
この提案は、ULPの独立性を提供するために、図1に示すように、IPレイヤー内のマルチホームシム層、つまりULPSの下に使用されます。マルチホームシム層は、パケット内のルーティング関連ヘッダー(ホップバイホップオプションなど)の後に配置される拡張ヘッダーに関連付けられているかのように動作します。ただし、ロケーターのペアがulidペアである場合、拡張ヘッダーに携帯する必要があるデータはありません。したがって、その場合は何も必要ありません。
Layering the Fragmentation header above the multihoming shim makes reassembly robust in the case that there is broken multi-path routing that results in using different paths, hence potentially different source locators, for different fragments. Thus, the multihoming shim layer is placed between the IP endpoint sublayer (which handles fragmentation and reassembly) and the IP routing sublayer (which selects the next hop and interface to use for sending out packets).
マルチホミングシムの上に断片化ヘッダーを重ねると、異なるパス、したがって異なるソースロケーターを使用すると、異なるフラグメントに対して潜在的に異なるソースロケーターを使用するマルチパスルーティングが壊れている場合、再組み立てを堅牢にします。したがって、マルチホミングシム層は、IPエンドポイントサブレイヤー(フラグメンテーションと再組み立てを処理する)とIPルーティングサブレイヤー(パケットの送信に使用する次のホップとインターフェイスを選択)の間に配置されます。
Applications and upper-layer protocols use ULIDs that the Shim6 layer maps to/from different locators. The Shim6 layer maintains state, called ULID-pair context, per ULID pair (that is, such state applies to all ULP connections between the ULID pair) in order to perform this mapping. The mapping is performed consistently at the sender and the receiver so that ULPs see packets that appear to be sent using ULIDs from end to end. This property is maintained even though the packets travel through the network containing locators in the IP address fields, and even though those locators may be changed by the transmitting Shim6 layer.
アプリケーションと上層層プロトコルは、SHIM6が異なるロケーターとの間でマップされるというulidを使用します。SHIM6層は、このマッピングを実行するために、ulidペアごとに、ulid-pairコンテキストと呼ばれるulid-pairコンテキストと呼ばれる状態を維持します(つまり、そのような状態はulidペア間のすべてのULP接続に適用されます)。マッピングは、送信者と受信機で一貫して実行されるため、ULPSは端から端までulidsを使用して送信されるように見えるパケットを表示します。このプロパティは、IPアドレスフィールドのロケーターを含むネットワークを通過するパケットを移動し、それらのロケーターが送信SHIM6層によって変更される場合でも維持されます。
The context state is maintained per remote ULID, i.e., approximately per peer host, and not at any finer granularity. In particular, the context state is independent of the ULPs and any ULP connections. However, the forking capability enables Shim6-aware ULPs to use more than one locator pair at a time for a single ULID pair.
コンテキスト状態は、リモートの酸化塩、つまりピアホストごとにほぼ約で維持され、より細かい粒度ではありません。特に、コンテキスト状態はULPとULP接続に依存しません。ただし、フォーキング機能により、SHIM6を使用したULPSは、単一のulidペアに対して一度に複数のロケーターペアを使用できます。
---------------------------- ----------------------------
| Sender A | | Receiver B |
| | | |
| ULP | | ULP |
| | src ULID(A)=L1(A) | | ^ |
| | dst ULID(B)=L1(B) | | | src ULID(A)=L1(A) |
| v | | | dst ULID(B)=L1(B) |
| multihoming shim | | multihoming shim |
| | src L2(A) | | ^ |
| | dst L3(B) | | | src L2(A) |
| v | | | dst L3(B) |
| IP | | IP |
---------------------------- ----------------------------
| ^
------- cloud with some routers -------
Figure 2: Mapping with Changed Locators
図2:変更されたロケーターを使用したマッピング
The result of this consistent mapping is that there is no impact on the ULPs. In particular, there is no impact on pseudo-header checksums and connection identification.
この一貫したマッピングの結果は、ULPSに影響がないことです。特に、擬似ヘッダーチェックサムと接続の識別には影響はありません。
Conceptually, one could view this approach as if both ULIDs and locators are present in every packet, and as if a header-compression mechanism is applied that removes the need for the ULIDs to be carried in the packets once the compression state has been established. In order for the receiver to re-create a packet with the correct ULIDs, there is a need to include some "compression tag" in the data packets. This serves to indicate the correct context to use for decompression when the locator pair in the packet is insufficient to uniquely identify the context.
概念的には、このアプローチは、すべてのパケットにulidsとロケーターの両方が存在するかのように見ることができ、まるで圧縮状態が確立されたら、ulidsをパケットに携帯する必要性を削除するヘッダー圧縮メカニズムが適用されているかのように表示されます。受信者が正しい尿酸酸塩を使用してパケットを再現するためには、データパケットに「圧縮タグ」を含める必要があります。これは、パケット内のロケーターペアがコンテキストを一意に識別するには不十分な場合、減圧に使用する正しいコンテキストを示すのに役立ちます。
There are different types of interactions between the Shim6 layer and other protocols. Those interactions are influenced by the usage of the addresses in these other protocols and the impact of the Shim6 mapping on these usages. A detailed analysis of the interactions of different protocols, including the Stream Control Transmission Protocol (SCTP), mobile IP (MIP), and Host Identity Protocol (HIP), can be found in [19]. Moreover, some applications may need to have a richer interaction with the Shim6 sublayer. In order to enable that, an API [23] has been defined to enable greater control and information exchange for those applications that need it.
SHIM6層と他のプロトコルの間には、さまざまな種類の相互作用があります。これらの相互作用は、これらの他のプロトコルのアドレスの使用と、これらの使用法に対するSHIM6マッピングの影響によって影響されます。ストリーム制御伝送プロトコル(SCTP)、モバイルIP(MIP)、ホストIDプロトコル(HIP)を含むさまざまなプロトコルの相互作用の詳細な分析は、[19]に記載されています。さらに、一部のアプリケーションは、SHIM6サブレイヤーとより豊かな相互作用を持つ必要がある場合があります。それを有効にするために、API [23]が定義されており、それを必要とするアプリケーションのより大きな制御と情報交換を可能にします。
At the time of this writing, it is not clear what requirements for traffic engineering make sense for the Shim6 protocol, since the requirements must both result in some useful behavior as well as be implementable using a host-to-host locator agility mechanism like Shim6.
この執筆時点では、SHIM6プロトコルのトラフィックエンジニアリングの要件がSHIM6プロトコルにとって意味があることは明らかではありません。要件は、SHIM6のようなホストからホストのロケーターの俊敏性メカニズムを使用して、有用な動作をもたらす必要があるため、実装可能でなければならないためです。。
Inherent in a scalable multihoming mechanism that separates the locator function of the IP address from identifying function of the IP address is that each host ends up with multiple locators. This means that, at least for initial contact, it is the remote peer application (or layer working on its behalf) that needs to select an initial ULID, which automatically becomes the initial locator. In the case of Shim6, this is performed by applying RFC 3484 address selection.
IPアドレスのロケーター関数をIPアドレスの識別と分離するスケーラブルなマルチホームメカニズムに固有のものは、各ホストが複数のロケーターで終わることです。これは、少なくとも最初の接触の場合、初期の尿酸液を選択する必要があるのは、自動的に初期ロケーターになるのは、リモートピアアプリケーション(またはそのために作業するレイヤー)であることを意味します。SHIM6の場合、これはRFC 3484アドレス選択を適用することにより実行されます。
This is quite different than the common case of IPv4 multihoming where the site has a single IP address prefix, since in that case the peer performs no destination address selection.
これは、ピアが宛先アドレスの選択を実行しないため、サイトに単一のIPアドレスプレフィックスがあるIPv4マルチホームの一般的なケースとはまったく異なります。
Thus, in "single prefix multihoming", the site (and in many cases its upstream ISPs) can use BGP to exert some control of the ingress path used to reach the site. This capability does not by itself exist in "multiple prefix multihoming" approaches such as Shim6. It is conceivable that extensions allowing site or provider guidance of host-based mechanisms could be developed. But it should be noted that traffic engineering via BGP, MPLS, or other similar techniques can still be applied for traffic on each individual prefix; Shim6 does not remove the capability for this. It does provide some additional capabilities for hosts to choose between prefixes.
したがって、「シングルプレフィックスマルチホミング」では、サイト(および多くの場合、その上流ISP)がBGPを使用して、サイトに到達するために使用される入り口のパスの何らかの制御を行うことができます。この機能は、SHIM6などの「複数の接頭辞マルチホーム」アプローチには存在しません。ホストベースのメカニズムのサイトまたはプロバイダーのガイダンスを可能にする拡張機能を開発できると考えられます。ただし、BGP、MPLS、またはその他の同様の手法を介したトラフィックエンジニアリングは、個々のプレフィックスのトラフィックに適用できることに注意する必要があります。SHIM6はこれの機能を削除しません。ホストがプレフィックスを選択できる追加機能を提供します。
These capabilities also carry some risk for non-optimal behaviour when more than one mechanism attempts to correct problems at the same time. However, it should be noted that this is not necessarily a situation brought about by Shim6. A more constrained form of this capability already exists in IPv6, itself, via its support of multiple prefixes and address-selection rules for starting new communications. Even IPv4 hosts with multiple interfaces may have limited capabilities to choose interfaces on which they communicate. Similarly, upper layers may choose different addresses.
また、これらの機能は、複数のメカニズムが問題を同時に修正しようとする場合、非最適な行動のリスクもあります。ただし、これは必ずしもSHIM6によってもたらされる状況ではないことに注意する必要があります。この機能のより制約のある形式は、複数の接頭辞とアドレス選択ルールのサポートを介して、IPv6自体にすでに存在しています。複数のインターフェイスを持つIPv4ホストでさえ、通信するインターフェイスを選択する機能が限られている可能性があります。同様に、上層は異なるアドレスを選択する場合があります。
In general, it is expected that Shim6 is applicable in relatively small sites and individual hosts where BGP-style traffic engineering operations are unavailable, unlikely, or if run with provider-independent addressing, possibly even harmful, considering the growth rates in the global routing table.
一般に、SHIM6は、BGPスタイルのトラフィックエンジニアリングオペレーションが利用できない、ありそうにない、またはプロバイダーに依存しないアドレス指定で実行される場合、グローバルルーティングの成長率を考慮して、プロバイダーに依存しないアドレス指定で実行される場合、比較的小さなサイトと個々のホストに適用できると予想されます。テーブル。
The protocol provides a placeholder, in the form of the Locator Preferences option, that can be used by hosts to express priority and weight values for each locator. This option is merely a placeholder when it comes to providing traffic engineering; in order to use this in a large site, there would have to be a mechanism by which the host can find out what preference values to use, either statically (e.g., some new DHCPv6 option) or dynamically.
プロトコルは、ロケーター設定オプションの形式でプレースホルダーを提供します。これは、各ロケーターの優先度と重量値を表現するためにホストが使用できます。このオプションは、トラフィックエンジニアリングを提供することに関して、単なるプレースホルダーです。これを大規模なサイトで使用するには、ホストが使用する優先度値を静的に(たとえば、新しいDHCPV6オプション)または動的に使用できるメカニズムが必要です。
Thus, traffic engineering is listed as a possible extension in Appendix A.
したがって、交通工学は、付録Aの可能な拡張機能としてリストされています。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [1].
「必須」、「そうしない」、「必須」、「必要」、「「しない」、「そうでない」、「そうではない」、「そうでない」、「推奨」、「5月」、および「オプション」は、RFC 2119 [1]に記載されているように解釈される。
This document introduces the following terms:
このドキュメントでは、次の用語を紹介します。
upper-layer protocol (ULP) A protocol layer immediately above IP. Examples are transport protocols such as TCP and UDP; control protocols such as ICMP; routing protocols such as OSPF; and Internet or lower-layer protocols being "tunneled" over (i.e., encapsulated in) IP, such as the Internet Packet Exchange (IPX), AppleTalk, or IP itself.
上層層プロトコル(ULP)IPのすぐ上のプロトコル層。例は、TCPやUDPなどの輸送プロトコルです。ICMPなどのコントロールプロトコル。OSPFなどのルーティングプロトコル。インターネットまたは低層のプロトコルは、インターネットパケット交換(IPX)、AppleTalk、またはIP自体など、IPに「トンネル」されています(つまり、カプセル化されています)。
interface A node's attachment to a link.
インターフェイスリンクへのノードの添付ファイル。
address An IP-layer name that both contains topological significance and acts as a unique identifier for an interface. 128 bits. This document only uses the "address" term in the case where it isn't specific whether it is a locator or an identifier.
両方ともトポロジーの重要性を含み、インターフェイスの一意の識別子として機能するIP層名を扱います。128ビット。このドキュメントは、ロケーターであろうと識別子であろうと具体的でない場合の「アドレス」用語のみを使用します。
locator An IP-layer topological name for an interface or a set of interfaces. 128 bits. The locators are carried in the IP address fields as the packets traverse the network.
ロケーターインターフェイスまたはインターフェイスのセットのIP層トポロジー名。128ビット。ロケーターは、パケットがネットワークを横断するときにIPアドレスフィールドに運ばれます。
identifier An IP-layer name for an IP-layer endpoint. The transport endpoint name is a function of the transport protocol and would typically include the IP identifier plus a port number.
IP層エンドポイントのIP層名を識別します。トランスポートエンドポイント名はトランスポートプロトコルの関数であり、通常、IP識別子とポート番号が含まれます。
NOTE: This proposal does not specify any new form of IP-layer identifier, but still separates the identifying and locating properties of the IP addresses.
注:この提案では、新しい形式のIP層識別子を指定するのではなく、IPアドレスの識別と位置付けのプロパティを分離します。
upper-layer identifier (ULID) An IP address that has been selected for communication with a peer to be used by the upper-layer protocol. 128 bits. This is used for pseudo-header checksum computation and connection identification in the ULP. Different sets of communication to a host (e.g., different connections) might use different ULIDs in order to enable load spreading.
上層識別子(ulid)上層層プロトコルで使用するピアとの通信のために選択されたIPアドレス。128ビット。これは、ULPでの擬似ヘッダーチェックサムの計算と接続の識別に使用されます。ホストへのさまざまな通信セット(例:異なる接続)は、荷重拡散を可能にするために異なる酸化塩を使用する場合があります。
Since the ULID is just one of the IP locators/ addresses of the node, there is no need for a separate name space and allocation mechanisms.
ulidはノードのIPロケーター/アドレスの1つにすぎないため、個別の名前空間と割り当てメカニズムは必要ありません。
address field The Source and Destination Address fields in the IPv6 header. As IPv6 is currently specified, these fields carry "addresses". If identifiers and locators are separated, these fields will contain locators for packets on the wire.
アドレスフィールドIPv6ヘッダーのソースおよび宛先アドレスフィールド。IPv6が現在指定されているため、これらのフィールドには「アドレス」があります。識別子とロケーターが分離されている場合、これらのフィールドには、ワイヤー上のパケット用のロケーターが含まれます。
FQDN Fully Qualified Domain Name
FQDN完全資格のドメイン名
ULID-pair context The state that the multihoming shim maintains between a pair of upper-layer identifiers. The context is identified by a Context Tag for each direction of the communication and also by a ULID-pair and a Forked Instance Identifier (see below).
ulid-pairコンテキストマルチホミングシムが一対の上層層識別子の間で維持する状態。コンテキストは、通信の各方向のコンテキストタグと、ulidペアおよびフォークされたインスタンス識別子によって識別されます(以下を参照)。
Context Tag Each end of the context allocates a Context Tag for the context. This is used to uniquely associate both received control packets and Shim6 Payload Extension headers as belonging to the context.
コンテキストタグコンテキストの各端は、コンテキストのコンテキストタグを割り当てます。これは、受信したコントロールパケットとSHIM6ペイロード拡張ヘッダーの両方をコンテキストに属するものとして一意に関連付けるために使用されます。
current locator pair Each end of the context has a current locator pair that is used to send packets to the peer. However, the two ends might use different current locator pairs.
現在のロケーターペアコンテキストの各端には、パケットをピアに送信するために使用される現在のロケーターペアがあります。ただし、両端は異なる電流ロケーターペアを使用する場合があります。
default context At the sending end, the shim uses the ULID pair (passed down from the ULP) to find the context for that pair. Thus, normally, a host can have at most one context for a ULID pair. We call this the "default context".
送信端でデフォルトのコンテキストでは、シムはulidペア(ULPから渡された)を使用して、そのペアのコンテキストを見つけます。したがって、通常、ホストは、塩分ペアの最大1つのコンテキストを持つことができます。これを「デフォルトコンテキスト」と呼びます。
context forking A mechanism that allows ULPs that are aware of multiple locators to use separate contexts for the same ULID pair, in order to be able use different locator pairs for different communication to the same ULID. Context forking causes more than just the default context to be created for a ULID pair.
コンテキスト分岐複数のロケーターを認識しているULPが、同じulidペアに対して別のロケーターペアを使用できるように、同じulidとの異なる通信に異なるロケーターペアを使用できるようにするメカニズムを分岐します。コンテキストフォーキングは、ulidペアに対して作成されるデフォルトのコンテキスト以上のものを引き起こします。
Forked Instance Identifier (FII) In order to handle context forking, a context is identified by a ULID pair and a Forked Context Identifier. The default context has an FII of zero.
Forked Instance Identifier(FII)コンテキストフォークを処理するために、コンテキストは塩分ペアとフォークコンテキスト識別子によって識別されます。デフォルトのコンテキストのFIIはゼロです。
initial contact We use this term to refer to the pre-shim communication when a ULP decides to start communicating with a peer by sending and receiving ULP packets. Typically, this would not invoke any operations in the shim, since the shim can defer the context establishment until some arbitrary, later point in time.
最初の連絡先この用語を使用して、ULPパケットを送信および受信してULPがピアとの通信を開始することを決定したときに、シムシム通信を参照します。通常、これはシムの操作を呼び起こすことはありません。なぜなら、シムは、ある程度の任意の時点までコンテキスト確立を延期できるからです。
Hash-Based Addresses (HBA) A form of IPv6 address where the interface ID is derived from a cryptographic hash of all the prefixes assigned to the host. See [3].
ハッシュベースのアドレス(HBA)インターフェイスIDがホストに割り当てられたすべての接頭辞の暗号化ハッシュから導出されるIPv6アドレスの形式。[3]を参照してください。
Cryptographically Generated Addresses (CGA) A form of IPv6 address where the interface ID is derived from a cryptographic hash of the public key. See [2].
暗号化されたアドレス(CGA)は、インターフェイスIDが公開キーの暗号化ハッシュから導出されるIPv6アドレスの形式です。[2]を参照してください。
CGA Parameter Data Structure (PDS) The information that CGA and HBA exchange in order to inform the peer of how the interface ID was computed. See [2] and [3].
CGAパラメーターデータ構造(PDS)インターフェイスIDの計算方法をピアに通知するために、CGAとHBAが交換する情報。[2]および[3]を参照してください。
A, B, and C are hosts. X is a potentially malicious host.
A、B、およびCはホストです。Xは潜在的に悪意のあるホストです。
FQDN(A) is the Fully Qualified Domain Name for A.
fqdn(a)は、Aの完全に適格なドメイン名です。
Ls(A) is the locator set for A, which consists of the locators L1(A), L2(A), ... Ln(A). The locator set is not ordered in any particular way other than maybe what is returned by the DNS. A host might form different locator sets containing different subnets of the host's IP addresses. This is necessary in some cases for security reasons. See Section 16.1.
LS(a)はAのロケーターセットであり、ロケーターL1(a)、L2(a)、... ln(a)で構成されています。ロケーターセットは、DNSによって返されるもの以外の特定の方法で注文されません。ホストは、ホストのIPアドレスの異なるサブネットを含む異なるロケーターセットを形成する場合があります。これは、セキュリティ上の理由で場合によっては必要です。セクション16.1を参照してください。
ULID(A) is an upper-layer identifier for A. In this proposal, ULID(A) is always one member of A's locator set.
ulid(a)はAの上層識別因子です。この提案では、ulid(a)は常にAのロケーターセットのメンバーです。
CT(A) is a Context Tag assigned by A.
CT(a)は、Aによって割り当てられたコンテキストタグです。
STATE (in uppercase) refers to the specific state of the state machine described in Section 6.2
状態(大文字で)は、セクション6.2で説明されている特定の状態マシンを指します
This document also makes use of internal conceptual variables to describe protocol behavior and external variables that an implementation must allow system administrators to change. The specific variable names, how their values change, and how their settings influence protocol behavior are provided to demonstrate protocol behavior. An implementation is not required to have them in the exact form described here, so long as its external behavior is consistent with that described in this document. See Section 6 for a description of the conceptual data structures.
また、このドキュメントでは、内部概念変数を使用して、プロトコルの動作と、実装によりシステム管理者が変更できるようにする外部変数を説明しています。特定の変数名、その値の変化方法、およびその設定がプロトコルの動作に提供される方法が提供され、プロトコルの動作を実証します。このドキュメントで説明されているものと外部の動作が一致している限り、実装はここで説明する正確な形式でそれらを使用する必要はありません。概念データ構造の説明については、セクション6を参照してください。
The design intent is to ensure that the Shim6 protocol is capable of handling path failures independently of the number of IP addresses (locators) available to the two communicating hosts, and independently of which host detects the failure condition.
設計の意図は、SHIM6プロトコルが、2人の通信ホストが利用できるIPアドレスの数(ロケーター)の数とは無関係にパス障害を処理できることを保証することであり、ホストとは独立して障害条件を検出することです。
Consider, for example, the case in which both A and B have active Shim6 state and where A has only one locator while B has multiple locators. In this case, it might be that B is trying to send a packet to A, and has detected a failure condition with the current locator pair. Since B has multiple locators, it presumably has multiple ISPs, and (consequently) likely has alternate egress paths toward A. B cannot vary the destination address (i.e., A's locator), since A has only one locator. However, B may need to vary the source address in order to ensure packet delivery.
たとえば、AとBの両方がアクティブなSHIM6状態を持ち、Aが1つのロケーターのみを持っている場合、Bが複数のロケーターを持っている場合を考えてみましょう。この場合、BがパケットをAに送信しようとしている可能性があり、現在のロケーターペアで故障条件を検出した可能性があります。Bには複数のロケーターがあるため、おそらく複数のISPがあり、その結果、Aが1つのロケーターしか持っていないため、Aが宛先アドレス(Aのロケーター)を変更することはできません。ただし、パケットの配信を確保するために、Bはソースアドレスを変更する必要がある場合があります。
In many cases, normal operation of IP routing may cause the packets to follow a path towards the correct (currently operational) egress. In some cases, it is possible that a path may be selected based on the source address, implying that B will need to select a source address corresponding to the currently operating egress. The details of how routing can be accomplished is beyond the scope of this document.
多くの場合、IPルーティングの通常の操作により、パケットが正しい(現在動作している)出口へのパスに従うことがあります。場合によっては、ソースアドレスに基づいてパスを選択する可能性があり、Bが現在動作中の出口に対応するソースアドレスを選択する必要があることを意味します。ルーティングの達成方法の詳細は、このドキュメントの範囲を超えています。
Also, when the site's ISPs perform ingress filtering based on packet source addresses, Shim6 assumes that packets sent with different source and destination combinations have a reasonable chance of making it through the relevant ISP's ingress filters. This can be accomplished in several ways (all outside the scope of this document), such as having the ISPs relax their ingress filters or selecting the egress such that it matches the IP source address prefix. In the case that one egress path has failed but another is operating correctly, it may be necessary for the packet's source (node B in the previous paragraph) to select a source address that corresponds to the operational egress, in order to pass the ISP's ingress filters.
また、サイトのISPがパケットソースアドレスに基づいて侵入フィルタリングを実行すると、SHIM6は、異なるソースと宛先の組み合わせで送信されるパケットが、関連するISPのイングレスフィルターを介してそれを作成する合理的な機会があると想定しています。これは、ISPがイングレスフィルターをリラックスさせるか、IPソースアドレスのプレフィックスと一致するように出口を選択するなど、いくつかの方法(このドキュメントの範囲外)で実現できます。1つの出力パスが失敗した場合、別のパスが正しく動作している場合、ISPの侵入を通過するために、パケットのソース(前の段落のノードB)が動作出力に対応するソースアドレスを選択する必要がある場合があります。フィルター。
The Shim6 approach assumes that there are no IPv6-to-IPv6 NATs on the paths, i.e., that the two ends can exchange their own notion of their IPv6 addresses and that those addresses will also make sense to their peer.
SHIM6アプローチは、パスにIPv6-to-IPV6 NATがないこと、つまり、2つのエンドがIPv6アドレスの独自の概念を交換でき、それらのアドレスもピアに意味があることを想定しています。
The security of the Shim6 protocol relies on the usage of Hash-Based Addresses (HBA) [3] and/or Cryptographically Generated Addresses (CGA) [2]. In the case that HBAs are used, all the addresses assigned to the host that are included in the Shim6 protocol (either as a locator or as a ULID) must be part of the same HBA set. In the case that CGAs are used, the address used as ULID must be a CGA, but the other addresses that are used as locators do not need to be either CGAs or HBAs. It should be noted that it is perfectly acceptable to run the Shim6 protocol between a host that has multiple locators and another host that has a single IP address. In this case, the address of the host with a single address does not need to be an HBA or a CGA.
SHIM6プロトコルのセキュリティは、ハッシュベースのアドレス(HBA)[3]および/または暗号化されたアドレス(CGA)[2]の使用に依存しています。HBAが使用される場合、SHIM6プロトコルに含まれるホストに割り当てられたすべてのアドレス(ロケーターとして、または亜油として)は、同じHBAセットの一部でなければなりません。CGAが使用される場合、ulidとして使用されるアドレスはCGAでなければなりませんが、ロケーターとして使用される他のアドレスは、CGAまたはHBAのいずれかである必要はありません。複数のロケーターと単一のIPアドレスを持つ別のホストを持つホストとの間でSHIM6プロトコルを実行することは完全に許容されることに注意する必要があります。この場合、単一のアドレスを持つホストのアドレスは、HBAまたはCGAである必要はありません。
The Shim6 protocol operates in several phases over time. The following sequence illustrates the concepts:
SHIM6プロトコルは、時間の経過とともにいくつかのフェーズで動作します。次のシーケンスは概念を示しています。
o An application on host A decides to contact an application on host B using some upper-layer protocol. This results in the ULP on host A sending packets to host B. We call this the initial contact. Assuming the IP addresses selected by default address selection [7] and its extensions [9] work, then there is no action by the shim at this point in time. Any shim context establishment can be deferred until later.
o ホストAのアプリケーションは、いくつかの上層層プロトコルを使用して、ホストBのアプリケーションに連絡することを決定します。これにより、HostのULPがホストBに送信パケットを送信します。これを最初の連絡先と呼びます。デフォルトで選択されたIPアドレスがアドレスの選択[7]とその拡張[9]が機能すると仮定すると、この時点でシムによるアクションはありません。シムのコンテキスト確立は、後まで延期することができます。
o Some heuristic on A or B (or both) determine that it is appropriate to pay the Shim6 overhead to make this host-to-host communication robust against locator failures. For instance, this heuristic might be that more than 50 packets have been sent or received, or that there was a timer expiration while active packet exchange was in place. This makes the shim initiate the 4-way, context-establishment exchange. The purpose of this heuristic is to avoid setting up a shim context when only a small number of packets is exchanged between two hosts.
o AまたはB(またはその両方)のいくつかのヒューリスティックは、SHIM6のオーバーヘッドを支払って、このホストからホストへの通信をロケーターの障害に対して堅牢にすることが適切であると判断します。たとえば、このヒューリスティックは、50以上のパケットが送信または受信されたこと、またはアクティブなパケット交換が整っている間にタイマーの有効期限があったことです。これにより、シムは4ウェイのコンテキスト確立交換を開始します。このヒューリスティックの目的は、2つのホスト間で少数のパケットのみが交換されている場合に、シムコンテキストのセットアップを避けることです。
As a result of this exchange, both A and B will know a list of locators for each other.
この交換の結果、AとBの両方が、互いにロケーターのリストを知っています。
If the context-establishment exchange fails, the initiator will then know that the other end does not support Shim6, and will continue with standard (non-Shim6) behavior for the session.
コンテキスト確立の交換が失敗した場合、イニシエーターは、反対側がSHIM6をサポートせず、セッションの標準(非SHIM6)動作を続けます。
o Communication continues without any change for the ULP packets. In particular, there are no Shim6 Extension headers added to the ULP packets, since the ULID pair is the same as the locator pair. In addition, there might be some messages exchanged between the shim sublayers for (un)reachability detection.
o ULPパケットの変更なしに通信は続きます。特に、ULPパケットに追加されたSHIM6拡張ヘッダーはありません。これは、ULPペアがロケーターペアと同じであるためです。さらに、到達可能性検出のために、シムサブレイヤーの間でいくつかのメッセージが交換される可能性があります。
o At some point in time, something fails. Depending on the approach to reachability detection, there might be some advice from the ULP, or the shim (un)reachability detection might discover that there is a problem.
o ある時点で、何かが失敗します。到達可能性検出へのアプローチに応じて、ULPからのアドバイスがある場合があります。
At this point in time, one or both ends of the communication need to probe the different alternate locator pairs until a working pair is found, and then switch to using that locator pair.
この時点で、通信の一方または両端は、作業ペアが見つかるまで異なる代替ロケーターペアをプローブし、そのロケーターペアの使用に切り替える必要があります。
o Once a working alternative locator pair has been found, the shim will rewrite the packets on transmit and tag the packets with the Shim6 Payload Extension header, which contains the receiver's Context Tag. The receiver will use the Context Tag to find the context state, which will indicate which addresses to place in the IPv6 header before passing the packet up to the ULP. The result is that, from the perspective of the ULP, the packet passes unmodified end-to-end, even though the IP routing infrastructure sends the packet to a different locator.
o 作業中の代替ロケーターペアが見つかると、SHIMは送信時にパケットを書き換え、受信者のコンテキストタグを含むSHIM6ペイロード拡張ヘッダーでパケットをタグ付けします。受信機はコンテキストタグを使用してコンテキスト状態を見つけます。これは、PacketをULPに渡す前にIPv6ヘッダーに配置するアドレスを示します。その結果、ULPの観点からは、IPルーティングインフラストラクチャがパケットを別のロケーターに送信しても、パケットは変更されていないエンドツーエンドを通過します。
o The shim (un)reachability detection will monitor the new locator pair as it monitored the original locator pair, so that subsequent failures can be detected.
o SHIM(UN)Reachability検出は、元のロケーターペアを監視する際に新しいロケーターペアを監視し、その後の障害を検出できます。
o In addition to failures detected based on end-to-end observations, one endpoint might know for certain that one or more of its locators is not working. For instance, the network interface might have failed or gone down (at layer 2), or an IPv6 address might have become deprecated or invalid. In such cases, the host can signal its peer that trying this address is no longer recommended. This triggers something similar to a failure handling, and a new working locator pair must be found.
o エンドツーエンドの観測に基づいて検出された障害に加えて、1つのエンドポイントは、そのロケーターの1つ以上が機能していないことを確実に知っているかもしれません。たとえば、ネットワークインターフェイスが故障またはダウン(レイヤー2)またはIPv6アドレスが非推奨または無効になった可能性があります。そのような場合、ホストは、このアドレスを試してみることはもはや推奨されないことをピアに信号することができます。これにより、障害の処理に似たものがトリガーされ、新しい作業ロケーターペアが見つかる必要があります。
The protocol also has the ability to express other forms of locator preferences. A change in any preference can be signaled to the peer, which will have made the peer record the new preferences. A change in the preferences might optionally make the peer want to use a different locator pair. In this case, the peer follows the same locator switching procedure as after a failure (by verifying that its peer is indeed present at the alternate locator, etc).
プロトコルには、他の形式のロケーター設定を表現する機能もあります。好みの変更は、ピアに合図することができます。これにより、ピアは新しい好みを記録します。設定の変更により、オプションでピアが別のロケーターペアを使用したい場合があります。この場合、ピアは障害後と同じロケーターの切り替え手順に従います(そのピアが実際に代替ロケーターなどに存在することを確認することにより)。
o When the shim thinks that the context state is no longer used, it can garbage collect the state; there is no coordination necessary with the peer host before the state is removed. There is a recovery message defined to be able to signal when there is no context state, which can be used to detect and recover from both premature garbage collection as well as from complete state loss (crash and reboot) of a peer.
o シムがコンテキスト状態がもはや使用されなくなったと考えると、ガベージは状態を集めることができます。州が削除される前に、ピアホストと調整は必要ありません。コンテキスト状態がない場合に信号を送ることができるように定義された回復メッセージがあります。これは、時期尚早のガベージコレクションの検出と回復と、ピアの完全な状態損失(クラッシュと再起動)の両方から回復するために使用できます。
The exact mechanism to determine when the context state is no longer used is implementation dependent. For example, an implementation might use the existence of ULP state (where known to the implementation) as an indication that the state is still used, combined with a timer (to handle ULP state that might not be known to the shim sublayer) to determine when the state is likely to no longer be used.
コンテキスト状態が使用されなくなった時期を決定する正確なメカニズムは、実装依存です。たとえば、実装では、ULP状態(実装に知られている場合)の存在を、状態がまだ使用されていることを示す兆候として使用する場合があり、タイマーと組み合わせて(Shim Sublayerに知られていない可能性のあるULP状態を処理するために)決定して決定します。状態がもはや使用されない可能性がある場合。
NOTE 1: The ULP packets in Shim6 can be carried completely unmodified as long as the ULID pair is used as the locator pair. After a switch to a different locator pair, the packets are "tagged" with a Shim6 Extension header so that the receiver can always determine the context to which they belong. This is accomplished by including an 8-octet Shim6 Payload Extension header before the (extension) headers that are processed by the IP endpoint sublayer and ULPs. If, subsequently, the original ULIDs are selected as the active locator pair, then the tagging of packets with the Shim6 Extension header is no longer necessary.
注1:SHIM6のULPパケットは、ulidペアがロケーターペアとして使用されている限り、完全に変更されていないことができます。別のロケーターペアに切り替えた後、パケットはSHIM6拡張ヘッダーで「タグ付け」され、受信機が常に属するコンテキストを決定できるようにします。これは、IPエンドポイントサブレイヤーとULPSによって処理される(拡張)ヘッダーの前に8オクテットSHIM6ペイロード拡張ヘッダーを含めることによって達成されます。その後、元のUlidがアクティブロケーターペアとして選択されている場合、SHIM6拡張ヘッダーを使用したパケットのタグ付けは不要になります。
A context between two hosts is actually a context between two ULIDs. The context is identified by a pair of Context Tags. Each end gets to allocate a Context Tag, and once the context is established, most Shim6 control messages contain the Context Tag that the receiver of the message allocated. Thus, at a minimum, the combination of <peer ULID, local ULID, local Context Tag> have to uniquely identify one context. But, since the Shim6 Payload Extension headers are demultiplexed without looking at the locators in the packet, the receiver will need to allocate Context Tags that are unique for all its contexts. The Context Tag is a 47-bit number (the largest that can fit in an 8-octet extension header), while preserving one bit to differentiate the Shim6 signaling messages from the Shim6 header included in data packets, allowing both to use the same protocol number.
2つのホスト間のコンテキストは、実際には2つのulidの間のコンテキストです。コンテキストは、一対のコンテキストタグによって識別されます。各端はコンテキストタグを割り当てるようになり、コンテキストが確立されると、ほとんどのSHIM6コントロールメッセージには、メッセージの受信機が割り当てられたコンテキストタグが含まれます。したがって、少なくとも、<Peer ulid、Local Ulid、Local Context Tagの組み合わせは、1つのコンテキストを一意に識別する必要があります。ただし、SHIM6ペイロードエクステンションヘッダーは、パケット内のロケーターを見ることなく脱調しているため、受信者はすべてのコンテキストに一意のコンテキストタグを割り当てる必要があります。コンテキストタグは47ビット番号(8オクテットの拡張ヘッダーに収まる最大のもの)です。一方、データパケットに含まれるSHIM6ヘッダーからSHIM6シグナル伝達メッセージを区別するために少し保持し、同じプロトコルを使用できるようになります。番号。
The mechanism for detecting a loss of context state at the peer assumes that the receiver can tell the packets that need locator rewriting, even after it has lost all state (e.g., due to a crash followed by a reboot). This is achieved because, after a rehoming event, the packets that need receive-side rewriting carry the Shim6 Payload Extension header.
ピアでコンテキスト状態の喪失を検出するメカニズムは、レシーバーがすべての状態を失った後でも、ロケーターの書き換えを必要とするパケットに伝えることができると仮定します(たとえば、クラッシュに続いて再起動したため)。これは、リホームイベントの後、受信側の書き換えが必要なパケットがSHIM6ペイロード拡張ヘッダーを運ぶためです。
It has been asserted that it will be important for future ULPs -- in particular, future transport protocols -- to be able to control which locator pairs are used for different communication. For instance, host A and host B might communicate using both Voice over IP (VoIP) traffic and ftp traffic, and those communications might benefit from using different locator pairs. However, the basic Shim6 mechanism uses a single current locator pair for each context; thus, a single context cannot accomplish this.
将来のULP、特に将来の輸送プロトコルが、異なる通信に使用されるロケーターペアを制御できるようにすることが重要であると主張されています。たとえば、ホストAとホストBは、Voice over IP(VoIP)トラフィックとFTPトラフィックの両方を使用して通信する可能性があり、それらの通信は異なるロケーターペアを使用することで利益を得ることがあります。ただし、基本的なSHIM6メカニズムは、コンテキストごとに単一の電流ロケーターペアを使用します。したがって、単一のコンテキストではこれを達成できません。
For this reason, the Shim6 protocol supports the notion of context forking. This is a mechanism by which a ULP can specify (using some API not yet defined) that a context, e.g., the ULID pair <A1, B2>, should be forked into two contexts. In this case, the forked-off context will be assigned a non-zero Forked Instance Identifier, while the default context has FII zero.
このため、SHIM6プロトコルはコンテキストフォーキングの概念をサポートしています。これは、ULPが(まだ定義されていないいくつかのAPIを使用して)指定できるメカニズムであり、例えば、塩分ペア<a1、b2>を2つのコンテキストに分岐する必要があります。この場合、フォークオフコンテキストにはゼロ以外のフォーク付きインスタンス識別子が割り当てられ、デフォルトのコンテキストにはFIIゼロがあります。
The Forked Instance Identifier (FII) is a 32-bit identifier that has no semantics in the protocol other than being part of the tuple that identifies the context. For example, a host might allocate FIIs as sequential numbers for any given ULID pair.
Forked Instance Identifier(FII)は、コンテキストを識別するタプルの一部である以外に、プロトコルにセマンティクスを持たない32ビット識別子です。たとえば、ホストは、特定の酸化ペアのシーケンシャル番号としてFIIを割り当てる場合があります。
No other special considerations are needed in the Shim6 protocol to handle forked contexts.
SHIM6プロトコルでは、フォークされたコンテキストを処理するために他の特別な考慮事項は必要ありません。
Note that forking as specified does NOT allow A to be able to tell B that certain traffic (a 5-tuple?) should be forked for the reverse direction. The Shim6 forking mechanism as specified applies only to the sending of ULP packets. If some ULP wants to fork for both directions, it is up to the ULP to set this up and then instruct the shim at each end to transmit using the forked context.
指定されたフォーキングは、Aが特定のトラフィック(5タプル?)を逆方向に分岐する必要があることをBに伝えることができないことに注意してください。指定されたSHIM6フォーキングメカニズムは、ULPパケットの送信にのみ適用されます。一部のULPが両方向をフォークしたい場合、これをセットアップしてから、フォークされたコンテキストを使用して送信するように各端にシムに指示するのはULP次第です。
Several API extensions have been discussed for Shim6, but their actual specification is out of scope for this document. The simplest one would be to add a socket option to be able to have traffic bypass the shim (not create any state and not use any state created by other traffic). This could be an IPV6_DONTSHIM socket option. Such an option would be useful for protocols, such as DNS, where the application has its own failover mechanism (multiple NS records in the case of DNS) and using the shim could potentially add extra latency with no added benefits.
SHIM6については、いくつかのAPI拡張機能が議論されていますが、実際の仕様はこのドキュメントの範囲外です。最も単純なものは、ソケットオプションを追加して、トラフィックをシムにバイパスできるようにすることです(他のトラフィックによって作成された状態を使用しないでください)。これは、IPv6_dontshimソケットオプションになる可能性があります。このようなオプションは、アプリケーションに独自のフェールオーバーメカニズム(DNSの場合の複数のNSレコード)があるDNSなどのプロトコルに役立ち、SHIMを使用すると、追加の利点がない場合に追加のレイテンシを追加する可能性があります。
Some other API extensions are discussed in Appendix A. The actual API extensions are defined in [23].
他のいくつかのAPI拡張機能については、付録Aで説明します。実際のAPI拡張機能は[23]で定義されています。
The mechanisms are secured using a combination of techniques:
メカニズムは、テクニックの組み合わせを使用して保護されます。
o The HBA technique [3] for verifying the locators to prevent an attacker from redirecting the packet stream to somewhere else.
o 攻撃者がパケットストリームを他の場所にリダイレクトするのを防ぐためにロケーターを検証するためのHBAテクニック[3]。
o Requiring a Reachability Probe+Reply (defined in [4]) before a new locator is used as the destination, in order to prevent 3rd party flooding attacks.
o サードパーティの洪水攻撃を防ぐために、新しいロケーターが目的地として使用される前に、到達可能性プローブの返信([4]で定義)を必要とします。
o The first message does not create any state on the responder. Essentially, a 3-way exchange is required before the responder creates any state. This means that a state-based DoS attack (trying to use up all memory on the responder) at least provides an IPv6 address that the attacker was using.
o 最初のメッセージは、レスポンダーの状態を作成しません。基本的に、レスポンダーが任意の状態を作成する前に、3方向の交換が必要です。これは、状態ベースのDOS攻撃(レスポンダーのすべてのメモリを使用しようとする)が少なくとも攻撃者が使用していたIPv6アドレスを提供することを意味します。
o The context-establishment messages use nonces to prevent replay attacks and to prevent off-path attackers from interfering with the establishment.
o コンテキスト確立のメッセージは、noncesを使用して、リプレイ攻撃を防ぎ、オフパス攻撃者が施設を妨害するのを防ぎます。
o Every control message of the Shim6 protocol, past the context establishment, carries the Context Tag assigned to the particular context. This implies that an attacker needs to discover that Context Tag before being able to spoof any Shim6 control message. Such discovery probably requires any potential attacker to be along the path in order to sniff the Context Tag value. The result is that through this technique, the Shim6 protocol is protected against off-path attackers.
o コンテキスト確立を過ぎたSHIM6プロトコルのすべてのコントロールメッセージは、特定のコンテキストに割り当てられたコンテキストタグを運びます。これは、攻撃者がSHIM6コントロールメッセージをスプーフィングできるようにする前に、そのコンテキストタグを発見する必要があることを意味します。このような発見には、コンテキストタグ値を嗅ぐために、潜在的な攻撃者がパスに沿っている必要があります。その結果、この手法を通じて、SHIM6プロトコルはオフパス攻撃者から保護されます。
The Shim6 context establishment is accomplished using four messages; I1, R1, I2, R2. Normally, they are sent in that order from initiator and responder, respectively. Should both ends attempt to set up context state at the same time (for the same ULID pair), then their I1 messages might cross in flight, and result in an immediate R2 message. (The names of these messages are borrowed from HIP [20].)
SHIM6コンテキスト確立は、4つのメッセージを使用して達成されます。I1、R1、I2、R2。通常、それらはそれぞれイニシエーターとレスポンダーからその順序で送信されます。両端がコンテキスト状態を同時に(同じulidペアの場合)セットアップしようとした場合、I1メッセージは飛行中に交差し、即時のR2メッセージになります。(これらのメッセージの名前は股関節から借用されています[20]。)
R1bis and I2bis messages are defined; they are used to recover a context after it has been lost. An R1bis message is sent when a Shim6 control or Shim6 Payload Extension header arrives and there is no matching context state at the receiver. When such a message is received, it will result in the re-creation of the Shim6 context using the I2bis and R2 messages.
R1BISおよびI2BISメッセージが定義されています。それらは、それが失われた後にコンテキストを回復するために使用されます。R1BISメッセージは、SHIM6コントロールまたはSHIM6ペイロード拡張ヘッダーが到着し、レシーバーにマッチングコンテキスト状態がないときに送信されます。そのようなメッセージが受信されると、i2BIとR2メッセージを使用してSHIM6コンテキストが再作成されます。
The peers' lists of locators are normally exchanged as part of the context-establishment exchange. But the set of locators might be dynamic. For this reason, there are Update Request and Update Acknowledgement messages as well as a Locator List option.
ロケーターのピアリストは通常、コンテキスト確立交換の一部として交換されます。しかし、ロケーターのセットは動的である可能性があります。このため、更新リクエストと更新の確認メッセージ、およびロケーターリストオプションがあります。
Even when the list of locators is fixed, a host might determine that some preferences might have changed. For instance, it might determine that there is a locally visible failure that implies that some locator(s) are no longer usable. This uses a Locator Preferences option in the Update Request message.
ロケーターのリストが修正されている場合でも、ホストはいくつかの好みが変更された可能性があると判断する場合があります。たとえば、一部のロケーターが使用できなくなったことを意味する局所的に目に見える障害があると判断される場合があります。これは、更新リクエストメッセージでロケーター設定オプションを使用します。
The mechanism for (un)reachability detection is called Forced Bidirectional Communication (FBD). FBD uses a Keepalive message which is sent when a host has received packets from its peer but has not yet sent any packets from its ULP to the peer. The message type is reserved in this document, but the message format and processing rules are specified in [4].
(Un)Reachability検出のメカニズムは、強制双方向通信(FBD)と呼ばれます。FBDは、ホストがピアからパケットを受け取ったときに送信されるキープライブメッセージを使用しますが、ULPからピアにパケットをまだ送信していません。メッセージタイプはこのドキュメントでは予約されていますが、メッセージ形式と処理ルールは[4]で指定されています。
In addition, when the context is established and there is a subsequent failure, there needs to be a way to probe the set of locator pairs to efficiently find a working pair. This document reserves a Probe message type, with the packet format and processing rules specified in [4].
さらに、コンテキストが確立され、その後の障害がある場合、ロケーターペアのセットをプローブして、効率的に作業ペアを見つける方法が必要です。このドキュメントは、[4]で指定されているパケット形式と処理ルールを使用して、プローブメッセージタイプを留保します。
The above Probe and Keepalive messages assume we have an established ULID-pair context. However, communication might fail during the initial contact (that is, when the application or transport protocol is trying to set up some communication). This is handled using the mechanisms in the ULP to try different address pairs as specified in [7] and [9]. In future versions of the protocol, and with a richer API between the ULP and the shim, the shim might be able to help optimize discovering a working locator pair during initial contact. This is for further study.
上記のプローブとキープライブメッセージは、確立されたulidペアコンテキストがあると仮定します。ただし、最初の連絡先(つまり、アプリケーションまたはトランスポートプロトコルが通信を設定しようとしている場合)で通信が失敗する可能性があります。これは、ULPのメカニズムを使用して処理され、[7]および[9]で指定されているように異なるアドレスペアを試します。プロトコルの将来のバージョンでは、ULPとShimの間のより豊富なAPIを使用して、シムは最初の接触中に作業ロケーターペアの発見を最適化するのに役立つ可能性があります。これはさらなる研究のためです。
Since the shim is placed between the IP endpoint sublayer and the IP routing sublayer, the Shim header will be placed before any Endpoint Extension headers (Fragmentation headers, Destination Options header, AH, ESP) but after any routing-related headers (Hop-by-Hop Extensions header, Routing header, and a Destinations Options header, which precedes a Routing header). When tunneling is used, whether IP-in-IP tunneling or the special form of tunneling that Mobile IPv6 uses (with Home Address options and Routing header type 2), there is a choice whether the shim applies inside the tunnel or outside the tunnel, which affects the location of the Shim6 header.
シムはIPエンドポイントサブレイヤーとIPルーティングサブレイヤーの間に配置されるため、シムヘッダーはエンドポイント拡張ヘッダー(フラグメンテーションヘッダー、目的地オプションヘッダー、ああ、ESP)の前に配置されますが、ルーティング関連のヘッダー(ホップ - -hop拡張ヘッダー、ルーティングヘッダー、およびルーティングヘッダーの前に宛先オプションヘッダー)。IP-in-IPトンネリングまたはモバイルIPv6が使用する特別なトンネリングの場合(ホームアドレスオプションとルーティングヘッダータイプ2を使用)トンネリングを使用する場合、シムがトンネル内またはトンネルの外側に適用されるかどうかにかかわらず、選択肢があります。SHIM6ヘッダーの位置に影響します。
In most cases, IP-in-IP tunnels are used as a routing technique; thus, it makes sense to apply them on the locators, which means that the sender would insert the Shim6 header after any IP-in-IP encapsulation. This is what occurs naturally when routers apply IP-in-IP encapsulation. Thus, the packets would have:
ほとんどの場合、IP-in-IPトンネルはルーティング手法として使用されます。したがって、それらをロケーターに適用することは理にかなっています。つまり、送信者はIP-in-IPカプセル化の後にSHIM6ヘッダーを挿入します。これは、ルーターがIP-in-IPカプセル化を適用するときに自然に発生することです。したがって、パケットは次のとおりです。
o Outer IP header
o 外側のIPヘッダー
o Inner IP header o Shim6 Extension header (if needed)
o インナーIPヘッダーO SHIM6拡張ヘッダー(必要に応じて)
o ULP
o ULP
But the shim can also be used to create "shimmed tunnels", i.e., where an IP-in-IP tunnel uses the shim to be able to switch the tunnel endpoint addresses between different locators. In such a case, the packets would have:
しかし、シムは「シムされたトンネル」を作成するためにも使用できます。つまり、IP-in-IPトンネルがシムを使用して、異なるロケーター間でトンネルエンドポイントアドレスを切り替えることができます。そのような場合、パケットには次のようになります。
o Outer IP header
o 外側のIPヘッダー
o Shim6 Extension header (if needed)
o SHIM6拡張ヘッダー(必要に応じて)
o Inner IP header
o 内側のIPヘッダー
o ULP
o ULP
In any case, the receiver behavior is well-defined; a receiver processes the Extension headers in order. However, the precise interaction between Mobile IPv6 and Shim6 is for further study; it might make sense to have Mobile IPv6 operate on locators as well, meaning that the shim would be layered on top of the MIPv6 mechanism.
いずれにせよ、受信者の動作は明確に定義されています。レシーバーは、拡張ヘッダーを順番に処理します。ただし、モバイルIPv6とSHIM6の間の正確な相互作用は、さらなる研究のためです。モバイルIPv6をロケーターで動作させることも理にかなっているかもしれません。つまり、SHIMはMIPV6メカニズムの上に階層化されることを意味します。
The Shim6 messages are all carried using a new IP protocol number (140). The Shim6 messages have a common header (defined below) with some fixed fields, followed by type-specific fields.
SHIM6メッセージはすべて、新しいIPプロトコル番号(140)を使用して運ばれます。SHIM6メッセージには、いくつかの固定フィールドを備えた共通のヘッダー(以下に定義)があり、その後にタイプ固有のフィールドが続きます。
The Shim6 messages are structured as an IPv6 Extension header since the Shim6 Payload Extension header is used to carry the ULP packets after a locator switch. The Shim6 control messages use the same extension header formats so that a single "protocol number" needs to be allowed through firewalls in order for Shim6 to function across the firewall.
SHIM6ペイロードエクステンションヘッダーは、ロケータースイッチの後にULPパケットを運ぶために使用されるため、SHIM6メッセージはIPv6拡張ヘッダーとして構成されています。SHIM6コントロールメッセージは同じ拡張ヘッダー形式を使用するため、SHIM6がファイアウォール全体で機能するためには、ファイアウォールを介して単一の「プロトコル番号」を許可する必要があります。
The first 17 bits of the Shim6 header is common for the Shim6 Payload Extension header and for the control messages. It looks as follows:
SHIM6ヘッダーの最初の17ビットは、SHIM6ペイロード拡張ヘッダーと制御メッセージに共通しています。次のように見えます:
0 1
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Next Header | Hdr Ext Len |P|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Fields:
田畑:
Next Header: The payload that follows this header.
次のヘッダー:このヘッダーに続くペイロード。
Hdr Ext Len: 8-bit unsigned integer. Length of the Shim6 header in 8-octet units, not including the first 8 octets.
HDR ext Len:8ビットの符号なし整数。最初の8オクテットを含まない8オクテット単位のSHIM6ヘッダーの長さ。
P: A single bit to distinguish Shim6 Payload Extension headers from control messages.
P:SHIM6ペイロード拡張ヘッダーを制御メッセージと区別するための1つのビット。
Shim6 signaling packets may not be larger than 1280 bytes, including the IPv6 header and any intermediate headers between the IPv6 header and the Shim6 header. One way to meet this requirement is to omit part of the locator address information if, with this information included, the packet would become larger than 1280 bytes. Another option is to perform option engineering, dividing into different Shim6 messages the information to be transmitted. An implementation may impose administrative restrictions to avoid excessively large Shim6 packets, such as a limitation on the number of locators to be used.
SHIM6シグナリングパケットは、IPv6ヘッダーとIPv6ヘッダーとSHIM6ヘッダーの間の中間ヘッダーなど、1280バイトより大きくない場合があります。この要件を満たす1つの方法は、この情報を含めてパケットが1280バイトより大きくなる場合、ロケーターアドレス情報の一部を省略することです。別のオプションは、オプションエンジニアリングを実行し、さまざまなSHIM6メッセージに分割され、送信される情報をメッセージします。実装は、使用するロケーターの数の制限など、過度に大きなSHIM6パケットを避けるために管理上の制限を課す場合があります。
The Shim6 Payload Extension header is used to carry ULP packets where the receiver must replace the content of the Source and/or Destination fields in the IPv6 header before passing the packet to the ULP. Thus, this extension header is required when the locator pair that is used is not the same as the ULID pair.
SHIM6ペイロードエクステンションヘッダーは、PacketをULPに渡す前に、IPv6ヘッダーのソースフィールドおよび/または宛先フィールドのコンテンツを受信者が置き換える必要があるULPパケットを運ぶために使用されます。したがって、使用されているロケーターペアがulidペアと同じではない場合、この拡張ヘッダーが必要です。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Next Header | 0 |1| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |
| Receiver Context Tag |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Fields:
田畑:
Next Header: The payload that follows this header.
次のヘッダー:このヘッダーに続くペイロード。
Hdr Ext Len: 0 (since the header is 8 octets).
HDR ext Len:0(ヘッダーは8オクテットであるため)。
P: Set to one. A single bit to distinguish this from the Shim6 control messages.
P:1つに設定します。これをSHIM6コントロールメッセージと区別するための1つのビット。
Receiver Context Tag: 47-bit unsigned integer. Allocated by the receiver to identify the context.
レシーバーコンテキストタグ:47ビットの符号なし整数。コンテキストを識別するために受信機によって割り当てられます。
The common part of the header has a Next Header field and a Header Extension Length field that are consistent with the other IPv6 Extension headers, even if the Next Header value is always "NO NEXT HEADER" for the control messages.
ヘッダーの共通部分には、次のヘッダー値が常に制御メッセージの「次のヘッダーなし」であっても、次のヘッダーフィールドと他のIPv6拡張ヘッダーと一致するヘッダー拡張長のフィールドがあります。
The Shim6 headers must be a multiple of 8 octets; hence, the minimum size is 8 octets.
SHIM6ヘッダーは、8オクテットの倍数でなければなりません。したがって、最小サイズは8オクテットです。
The common Shim6 Control message header is as follows:
一般的なSHIM6コントロールメッセージヘッダーは次のとおりです。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Next Header | Hdr Ext Len |P| Type |Type-specific|S|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Checksum | |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |
| Type-specific format |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Fields:
田畑:
Next Header: 8-bit selector. Normally set to NO_NXT_HDR (59).
次のヘッダー:8ビットセレクター。通常、no_nxt_hdr(59)に設定します。
Hdr Ext Len: 8-bit unsigned integer. Length of the Shim6 header in 8-octet units, not including the first 8 octets.
HDR ext Len:8ビットの符号なし整数。最初の8オクテットを含まない8オクテット単位のSHIM6ヘッダーの長さ。
P: Set to zero. A single bit to distinguish this from the Shim6 Payload Extension header.
P:ゼロに設定します。これをSHIM6ペイロード拡張ヘッダーと区別するための1つのビット。
Type: 7-bit unsigned integer. Identifies the actual message from the table below. Type codes 0-63 will not trigger R1bis messages on a missing context, while codes 64-127 will trigger R1bis.
タイプ:7ビット符号なし整数。以下の表から実際のメッセージを識別します。タイプコード0-63は欠落しているコンテキストでR1BISメッセージをトリガーしませんが、コード64-127はR1BIをトリガーします。
S: A single bit set to zero that allows Shim6 and HIP to have a common header format yet still distinguishes between Shim6 and HIP messages.
S:shim6とhipが共通のヘッダー形式を持つことを可能にするゼロに設定されたシングルビット設定でありながら、him6メッセージとヒップメッセージを区別します。
Checksum: 16-bit unsigned integer. The checksum is the 16-bit one's complement of the one's complement sum of the entire Shim6 header message, starting with the Shim6 Next Header field and ending as indicated by the Hdr Ext Len. Thus, when there is a payload following the Shim6 header, the payload is NOT included in the Shim6 checksum. Note that, unlike protocols like ICMPv6, there is no pseudo-header checksum part of the checksum; this provides locator agility without having to change the checksum.
チェックサム:16ビットの符号なし整数。チェックサムは、SHIM6次のヘッダーフィールドから始まり、HDR ext Lenで示されるように、SHIM6ヘッダーメッセージ全体の補完合計を16ビットの補完である16ビットです。したがって、SHIM6ヘッダーに続いてペイロードがある場合、ペイロードはSHIM6チェックサムに含まれていません。ICMPV6のようなプロトコルとは異なり、チェックサムの擬似ヘッダーチェックサムの一部はないことに注意してください。これにより、チェックサムを変更することなく、ロケーターの俊敏性が提供されます。
Type-specific: Part of the message that is different for different message types.
タイプ固有:メッセージタイプが異なるメッセージの一部。
+------------+----------------------------------------------------+
| Type Value | Message |
+------------+----------------------------------------------------+
| 1 | I1 (1st establishment message from the initiator) |
| 2 | R1 (1st establishment message from the responder) |
| 3 | I2 (2nd establishment message from the initiator) |
| 4 | R2 (2nd establishment message from the responder) |
| 5 | R1bis (Reply to reference to non-existent context) |
| 6 | I2bis (Reply to an R1bis message) |
| 64 | Update Request |
| 65 | Update Acknowledgement |
| 66 | Keepalive |
| 67 | Probe Message |
| 68 | Error Message |
+------------+----------------------------------------------------+
Table 1
表1
The I1 message is the first message in the context-establishment exchange.
I1メッセージは、コンテキスト確立交換の最初のメッセージです。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 59 | Hdr Ext Len |0| Type = 1 | Reserved1 |0|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Checksum |R| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |
| Initiator Context Tag |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Initiator Nonce |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ Options +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Fields:
田畑:
Next Header: NO_NXT_HDR (59).
次のヘッダー:no_nxt_hdr(59)。
Hdr Ext Len: At least 1, since the header is 16 octets when there are no options.
HDR ext Len:ヘッダーはオプションがない場合に16オクテットであるため、少なくとも1つ。
Type: 1
タイプ:1
Reserved1: 7-bit field. Reserved for future use. Zero on transmit. MUST be ignored on receipt.
予約1:7ビットフィールド。将来の使用のために予約されています。送信時にゼロ。受領時に無視する必要があります。
R: 1-bit field. Reserved for future use. Zero on transmit. MUST be ignored on receipt.
R:1ビットフィールド。将来の使用のために予約されています。送信時にゼロ。受領時に無視する必要があります。
Initiator Context Tag: 47-bit field. The Context Tag that the initiator has allocated for the context.
イニシエーターコンテキストタグ:47ビットフィールド。イニシエーターがコンテキストに割り当てたコンテキストタグ。
Initiator Nonce: 32-bit unsigned integer. A random number picked by the initiator, which the responder will return in the R1 message.
イニシエーターNonce:32ビットの符号なし整数。イニシエーターによって選ばれた乱数。これはR1メッセージで応答者が返されます。
The following options are defined for this message:
このメッセージの次のオプションが定義されています。
ULID pair: When the IPv6 source and destination addresses in the IPv6 header does not match the ULID pair, this option MUST be included. An example of this is when recovering from a lost context.
ulidペア:IPv6ヘッダーのIPv6ソースと宛先アドレスがulidペアと一致しない場合、このオプションを含める必要があります。この例は、失われたコンテキストから回復するときです。
Forked Instance Identifier: When another instance of an existent context with the same ULID pair is being created, a Forked Instance Identifier option MUST be included to distinguish this new instance from the existent one.
Forked Instance Identifier:同じulidペアを持つ既存のコンテキストの別のインスタンスが作成されている場合、この新しいインスタンスを既存のインスタンスと区別するために、フォークされたインスタンス識別子オプションを含める必要があります。
Future protocol extensions might define additional options for this message. The C-bit in the option format defines how such a new option will be handled by an implementation. See Section 5.15.
将来のプロトコル拡張は、このメッセージの追加オプションを定義する場合があります。オプション形式のCビットは、このような新しいオプションが実装によってどのように処理されるかを定義します。セクション5.15を参照してください。
The R1 message is the second message in the context-establishment exchange. The responder sends this in response to an I1 message, without creating any state specific to the initiator.
R1メッセージは、コンテキスト確立交換の2番目のメッセージです。レスポンダーは、イニシエーターに固有の状態を作成することなく、I1メッセージに応じてこれを送信します。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 59 | Hdr Ext Len |0| Type = 2 | Reserved1 |0|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Checksum | Reserved2 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Initiator Nonce |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Responder Nonce |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ Options +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Fields:
田畑:
Next Header: NO_NXT_HDR (59).
次のヘッダー:no_nxt_hdr(59)。
Hdr Ext Len: At least 1, since the header is 16 octets when there are no options.
HDR ext Len:ヘッダーはオプションがない場合に16オクテットであるため、少なくとも1つ。
Type: 2
タイプ:2
Reserved1: 7-bit field. Reserved for future use. Zero on transmit. MUST be ignored on receipt.
予約1:7ビットフィールド。将来の使用のために予約されています。送信時にゼロ。受領時に無視する必要があります。
Reserved2: 16-bit field. Reserved for future use. Zero on transmit. MUST be ignored on receipt.
予約2:16ビットフィールド。将来の使用のために予約されています。送信時にゼロ。受領時に無視する必要があります。
Initiator Nonce: 32-bit unsigned integer. Copied from the I1 message.
イニシエーターNonce:32ビットの符号なし整数。I1メッセージからコピーされました。
Responder Nonce: 32-bit unsigned integer. A number picked by the responder, which the initiator will return in the I2 message.
Responder nonce:32ビットの符号なし整数。イニシエーターがi2メッセージで返すレスポンダーによって選ばれた番号。
The following options are defined for this message:
このメッセージの次のオプションが定義されています。
Responder Validator: Variable length option. This option MUST be included in the R1 message. Typically, it contains a hash generated by the responder, which the responder uses together with the Responder Nonce value to verify that an I2 message is indeed sent in response to an R1 message, and that the parameters in the I2 message are the same as those in the I1 message.
Responder Validator:可変長オプション。このオプションはR1メッセージに含める必要があります。通常、レスポンダーによって生成されたハッシュが含まれます。これは、レスポンダーがResponder nonce値と一緒に使用して、i2メッセージがR1メッセージに応じて実際に送信され、i2メッセージのパラメーターがそれらと同じであることを確認することを確認します。i1メッセージ。
Future protocol extensions might define additional options for this message. The C-bit in the option format defines how such a new option will be handled by an implementation. See Section 5.15.
将来のプロトコル拡張は、このメッセージの追加オプションを定義する場合があります。オプション形式のCビットは、このような新しいオプションが実装によってどのように処理されるかを定義します。セクション5.15を参照してください。
The I2 message is the third message in the context-establishment exchange. The initiator sends this in response to an R1 message, after checking the Initiator Nonce, etc.
i2メッセージは、コンテキスト確立交換の3番目のメッセージです。イニシエーターは、イニシエーターNonCEなどをチェックした後、R1メッセージに応じてこれを送信します。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 59 | Hdr Ext Len |0| Type = 3 | Reserved1 |0|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Checksum |R| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |
| Initiator Context Tag |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Initiator Nonce |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Responder Nonce |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Reserved2 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ Options +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Fields:
田畑:
Next Header: NO_NXT_HDR (59).
次のヘッダー:no_nxt_hdr(59)。
Hdr Ext Len: At least 2, since the header is 24 octets when there are no options.
HDR ext Len:ヘッダーはオプションがない場合に24オクテットであるため、少なくとも2つ。
Type: 3
タイプ:3
Reserved1: 7-bit field. Reserved for future use. Zero on transmit. MUST be ignored on receipt.
予約1:7ビットフィールド。将来の使用のために予約されています。送信時にゼロ。受領時に無視する必要があります。
R: 1-bit field. Reserved for future use. Zero on transmit. MUST be ignored on receipt.
R:1ビットフィールド。将来の使用のために予約されています。送信時にゼロ。受領時に無視する必要があります。
Initiator Context Tag: 47-bit field. The Context Tag that the initiator has allocated for the context.
イニシエーターコンテキストタグ:47ビットフィールド。イニシエーターがコンテキストに割り当てたコンテキストタグ。
Initiator Nonce: 32-bit unsigned integer. A random number picked by the initiator, which the responder will return in the R2 message.
イニシエーターNonce:32ビットの符号なし整数。イニシエーターによって選ばれた乱数。これはR2メッセージで応答者が返されます。
Responder Nonce: 32-bit unsigned integer. Copied from the R1 message.
Responder nonce:32ビットの符号なし整数。R1メッセージからコピーされました。
Reserved2: 32-bit field. Reserved for future use. Zero on transmit. MUST be ignored on receipt. (Needed to make the options start on a multiple of 8 octet boundary.)
予約2:32ビットフィールド。将来の使用のために予約されています。送信時にゼロ。受領時に無視する必要があります。(オプションを8オクテットの境界の倍数で開始するために必要です。)
The following options are defined for this message:
このメッセージの次のオプションが定義されています。
Responder Validator: Variable length option. This option MUST be included in the I2 message and MUST be generated by copying the Responder Validator option received in the R1 message.
Responder Validator:可変長オプション。このオプションはi2メッセージに含める必要があり、R1メッセージで受信したResponder Validatorオプションをコピーして生成する必要があります。
ULID pair: When the IPv6 source and destination addresses in the IPv6 header do not match the ULID pair, this option MUST be included. An example of this is when recovering from a lost context.
ulidペア:IPv6ヘッダーのIPv6ソースと宛先アドレスがulidペアと一致しない場合、このオプションを含める必要があります。この例は、失われたコンテキストから回復するときです。
Forked Instance Identifier: When another instance of an existent context with the same ULID pair is being created, a Forked Instance Identifier option MUST be included to distinguish this new instance from the existent one.
Forked Instance Identifier:同じulidペアを持つ既存のコンテキストの別のインスタンスが作成されている場合、この新しいインスタンスを既存のインスタンスと区別するために、フォークされたインスタンス識別子オプションを含める必要があります。
Locator List: Optionally sent when the initiator immediately wants to tell the responder its list of locators. When it is sent, the necessary HBA/CGA information for verifying the locator list MUST also be included.
ロケーターリスト:オプションで、イニシエーターがすぐにレスポンダーにロケーターのリストを指示したいときに送信されます。送信されると、ロケーターリストを確認するために必要なHBA/CGA情報も含める必要があります。
Locator Preferences: Optionally sent when the locators don't all have equal preference.
ロケーターの設定:オプションで、ロケーターがすべて同じ好みを持っているわけではないときに送信されます。
CGA Parameter Data Structure: This option MUST be included in the I2 message when the locator list is included so the receiver can verify the locator list.
CGAパラメーターデータ構造:このオプションは、レシーバーがロケーターリストを確認できるように、ロケーターリストが含まれている場合にI2メッセージに含める必要があります。
CGA Signature: This option MUST be included in the I2 message when some of the locators in the list use CGA (and not HBA) for verification.
CGA署名:このオプションは、リスト内のロケーターの一部が検証のためにCGA(およびHBAではなく)を使用する場合、i2メッセージに含める必要があります。
Future protocol extensions might define additional options for this message. The C-bit in the option format defines how such a new option will be handled by an implementation. See Section 5.15.
将来のプロトコル拡張は、このメッセージの追加オプションを定義する場合があります。オプション形式のCビットは、このような新しいオプションが実装によってどのように処理されるかを定義します。セクション5.15を参照してください。
The R2 message is the fourth message in the context-establishment exchange. The responder sends this in response to an I2 message. The R2 message is also used when both hosts send I1 messages at the same time and the I1 messages cross in flight.
R2メッセージは、コンテキスト確立交換の4番目のメッセージです。レスポンダーは、i2メッセージに応じてこれを送信します。R2メッセージは、両方のホストが同時にi1メッセージを送信し、I1メッセージが飛行中に交差する場合にも使用されます。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 59 | Hdr Ext Len |0| Type = 4 | Reserved1 |0|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Checksum |R| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |
| Responder Context Tag |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Initiator Nonce |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ Options +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Fields:
田畑:
Next Header: NO_NXT_HDR (59).
次のヘッダー:no_nxt_hdr(59)。
Hdr Ext Len: At least 1, since the header is 16 octets when there are no options.
HDR ext Len:ヘッダーはオプションがない場合に16オクテットであるため、少なくとも1つ。
Type: 4
タイプ:4
Reserved1: 7-bit field. Reserved for future use. Zero on transmit. MUST be ignored on receipt.
予約1:7ビットフィールド。将来の使用のために予約されています。送信時にゼロ。受領時に無視する必要があります。
R: 1-bit field. Reserved for future use. Zero on transmit. MUST be ignored on receipt.
R:1ビットフィールド。将来の使用のために予約されています。送信時にゼロ。受領時に無視する必要があります。
Responder Context Tag: 47-bit field. The Context Tag that the responder has allocated for the context.
レスポンダーコンテキストタグ:47ビットフィールド。コンテキストタグがコンテキストに割り当てられたタグ。
Initiator Nonce: 32-bit unsigned integer. Copied from the I2 message.
イニシエーターNonce:32ビットの符号なし整数。i2メッセージからコピーされました。
The following options are defined for this message:
このメッセージの次のオプションが定義されています。
Locator List: Optionally sent when the responder immediately wants to tell the initiator its list of locators. When it is sent, the necessary HBA/CGA information for verifying the locator list MUST also be included.
ロケーターリスト:オプションで、レスポンダーがすぐにイニシエーターにロケーターのリストを伝えたいときに送信されます。送信されると、ロケーターリストを確認するために必要なHBA/CGA情報も含める必要があります。
Locator Preferences: Optionally sent when the locators don't all have equal preference.
ロケーターの設定:オプションで、ロケーターがすべて同じ好みを持っているわけではないときに送信されます。
CGA Parameter Data Structure: Included when the locator list is included so the receiver can verify the locator list.
CGAパラメーターデータ構造:レシーバーがロケーターリストを確認できるようにロケーターリストが含まれている場合に含まれます。
CGA Signature: Included when some of the locators in the list use CGA (and not HBA) for verification.
CGA署名:リスト内のロケーターの一部が検証にCGA(およびHBAではなく)を使用した場合に含まれます。
Future protocol extensions might define additional options for this message. The C-bit in the option format defines how such a new option will be handled by an implementation. See Section 5.15.
将来のプロトコル拡張は、このメッセージの追加オプションを定義する場合があります。オプション形式のCビットは、このような新しいオプションが実装によってどのように処理されるかを定義します。セクション5.15を参照してください。
Should a host receive a packet with a Shim6 Payload Extension header or Shim6 control message with type code 64-127 (such as an Update or Probe message), and the host does not have any context state for the received Context Tag, then it will generate a R1bis message.
ホストがSHIM6ペイロードエクステンションヘッダーまたはタイプコード64-127(更新またはプローブメッセージなど)を備えたSHIM6コントロールメッセージを備えたパケットを受け取った場合、ホストには受信コンテキストタグのコンテキスト状態がありません。R1BISメッセージを生成します。
This message allows the sender of the packet referring to the non-existent context to re-establish the context with a reduced context-establishment exchange. Upon the reception of the R1bis message, the receiver can proceed with re-establishing the lost context by directly sending an I2bis message.
このメッセージにより、存在しないコンテキストを指すパケットの送信者が、コンテキスト確立交換を減らしてコンテキストを再確立することができます。R1BISメッセージを受信すると、受信者はi2bisメッセージを直接送信することにより、失われたコンテキストを再確立することを進めることができます。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 59 | Hdr Ext Len |0| Type = 5 | Reserved1 |0|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Checksum |R| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |
| Packet Context Tag |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Responder Nonce |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ Options +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Fields:
田畑:
Next Header: NO_NXT_HDR (59).
次のヘッダー:no_nxt_hdr(59)。
Hdr Ext Len: At least 1, since the header is 16 octets when there are no options.
HDR ext Len:ヘッダーはオプションがない場合に16オクテットであるため、少なくとも1つ。
Type: 5 Reserved1: 7-bit field. Reserved for future use. Zero on transmit. MUST be ignored on receipt.
タイプ:5予約1:7ビットフィールド。将来の使用のために予約されています。送信時にゼロ。受領時に無視する必要があります。
R: 1-bit field. Reserved for future use. Zero on transmit. MUST be ignored on receipt.
R:1ビットフィールド。将来の使用のために予約されています。送信時にゼロ。受領時に無視する必要があります。
Packet Context Tag: 47-bit unsigned integer. The Context Tag contained in the received packet that triggered the generation of the R1bis message.
パケットコンテキストタグ:47ビットの符号なし整数。R1BISメッセージの生成をトリガーした受信パケットに含まれるコンテキストタグ。
Responder Nonce: 32-bit unsigned integer. A number picked by the responder which the initiator will return in the I2bis message.
Responder nonce:32ビットの符号なし整数。イニシエーターがi2bisメッセージで返すレスポンダーによって選ばれた番号。
The following options are defined for this message:
このメッセージの次のオプションが定義されています。
Responder Validator: Variable length option. Typically, a hash generated by the responder, which the responder uses together with the Responder Nonce value to verify that an I2bis message is indeed sent in response to an R1bis message.
Responder Validator:可変長オプション。通常、レスポンダーによって生成されたハッシュは、レスポンダーがレスポンダーNonCE値と一緒に使用して、I2BISメッセージがR1BISメッセージに応じて実際に送信されることを確認します。
Future protocol extensions might define additional options for this message. The C-bit in the option format defines how such a new option will be handled by an implementation. See Section 5.15.
将来のプロトコル拡張は、このメッセージの追加オプションを定義する場合があります。オプション形式のCビットは、このような新しいオプションが実装によってどのように処理されるかを定義します。セクション5.15を参照してください。
The I2bis message is the third message in the context-recovery exchange. This is sent in response to an R1bis message, after checking that the R1bis message refers to an existing context, etc.
i2bisメッセージは、コンテキスト回復交換の3番目のメッセージです。これは、R1BISメッセージが既存のコンテキストなどを参照していることを確認した後、R1BISメッセージに応じて送信されます。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 59 | Hdr Ext Len |0| Type = 6 | Reserved1 |0|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Checksum |R| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |
| Initiator Context Tag |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Initiator Nonce |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Responder Nonce |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Reserved2 |
| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| | |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |
| Packet Context Tag |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ Options +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Fields:
田畑:
Next Header: NO_NXT_HDR (59).
次のヘッダー:no_nxt_hdr(59)。
Hdr Ext Len: At least 3, since the header is 32 octets when there are no options.
HDR ext Len:ヘッダーはオプションがない場合に32オクテットであるため、少なくとも3つ。
Type: 6
タイプ:6
Reserved1: 7-bit field. Reserved for future use. Zero on transmit. MUST be ignored on receipt.
予約1:7ビットフィールド。将来の使用のために予約されています。送信時にゼロ。受領時に無視する必要があります。
R: 1-bit field. Reserved for future use. Zero on transmit. MUST be ignored on receipt.
R:1ビットフィールド。将来の使用のために予約されています。送信時にゼロ。受領時に無視する必要があります。
Initiator Context Tag: 47-bit field. The Context Tag that the initiator has allocated for the context.
イニシエーターコンテキストタグ:47ビットフィールド。イニシエーターがコンテキストに割り当てたコンテキストタグ。
Initiator Nonce: 32-bit unsigned integer. A random number picked by the initiator, which the responder will return in the R2 message.
イニシエーターNonce:32ビットの符号なし整数。イニシエーターによって選ばれた乱数。これはR2メッセージで応答者が返されます。
Responder Nonce: 32-bit unsigned integer. Copied from the R1bis message.
Responder nonce:32ビットの符号なし整数。R1BISメッセージからコピーされました。
Reserved2: 49-bit field. Reserved for future use. Zero on transmit. MUST be ignored on receipt. (Note that 17 bits are not sufficient since the options need to start on a multiple-of-8-octet boundary.)
予約2:49ビットフィールド。将来の使用のために予約されています。送信時にゼロ。受領時に無視する必要があります。(オプションは8-OCTETの境界から始める必要があるため、17ビットでは十分ではないことに注意してください。)
Packet Context Tag: 47-bit unsigned integer. Copied from the Packet Context Tag field contained in the received R1bis.
パケットコンテキストタグ:47ビットの符号なし整数。受信したR1BIに含まれるパケットコンテキストタグフィールドからコピーされました。
The following options are defined for this message:
このメッセージの次のオプションが定義されています。
Responder Validator: Variable length option. Just a copy of the Responder Validator option in the R1bis message.
Responder Validator:可変長オプション。R1BISメッセージのResponder Validatorオプションのコピーのみです。
ULID pair: When the IPv6 source and destination addresses in the IPv6 header do not match the ULID pair, this option MUST be included.
ulidペア:IPv6ヘッダーのIPv6ソースと宛先アドレスがulidペアと一致しない場合、このオプションを含める必要があります。
Forked Instance Identifier: When another instance of an existent context with the same ULID pair is being created, a Forked Instance Identifier option is included to distinguish this new instance from the existent one.
Forked Instance Identifier:同じulidペアを持つ既存のコンテキストの別のインスタンスが作成されている場合、この新しいインスタンスを既存のインスタンスと区別するために、フォークされたインスタンス識別子オプションが含まれています。
Locator List: Optionally sent when the initiator immediately wants to tell the responder its list of locators. When it is sent, the necessary HBA/CGA information for verifying the locator list MUST also be included.
ロケーターリスト:オプションで、イニシエーターがすぐにレスポンダーにロケーターのリストを指示したいときに送信されます。送信されると、ロケーターリストを確認するために必要なHBA/CGA情報も含める必要があります。
Locator Preferences: Optionally sent when the locators don't all have equal preference.
ロケーターの設定:オプションで、ロケーターがすべて同じ好みを持っているわけではないときに送信されます。
CGA Parameter Data Structure: Included when the locator list is included so the receiver can verify the locator list.
CGAパラメーターデータ構造:レシーバーがロケーターリストを確認できるようにロケーターリストが含まれている場合に含まれます。
CGA Signature: Included when some of the locators in the list use CGA (and not HBA) for verification.
CGA署名:リスト内のロケーターの一部が検証にCGA(およびHBAではなく)を使用した場合に含まれます。
Future protocol extensions might define additional options for this message. The C-bit in the option format defines how such a new option will be handled by an implementation. See Section 5.15.
将来のプロトコル拡張は、このメッセージの追加オプションを定義する場合があります。オプション形式のCビットは、このような新しいオプションが実装によってどのように処理されるかを定義します。セクション5.15を参照してください。
The Update Request message is used to update either the list of locators, the locator preferences, or both. When the list of locators is updated, the message also contains the option(s) necessary for HBA/CGA to secure this. The basic sanity check that prevents off-path attackers from generating bogus updates is the Context Tag in the message.
更新リクエストメッセージは、ロケーターのリスト、ロケーター設定、またはその両方を更新するために使用されます。ロケーターのリストが更新されると、メッセージにはHBA/CGAがこれを保護するために必要なオプションも含まれています。オフパスの攻撃者が偽の更新を生成できないことを防ぐ基本的な正気チェックは、メッセージのコンテキストタグです。
The Update Request message contains options (the Locator List and the Locator Preferences) that, when included, completely replace the previous locator list and locator preferences, respectively. Thus, there is no mechanism to just send deltas to the locator list.
更新リクエストメッセージには、それぞれ以前のロケーターリストとロケーター設定を完全に置き換えるオプション(ロケーターリストとロケーターの設定)が含まれています。したがって、デルタをロケーターリストに送信するメカニズムはありません。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 59 | Hdr Ext Len |0| Type = 64 | Reserved1 |0|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Checksum |R| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |
| Receiver Context Tag |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Request Nonce |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ Options +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Fields:
田畑:
Next Header: NO_NXT_HDR (59).
次のヘッダー:no_nxt_hdr(59)。
Hdr Ext Len: At least 1, since the header is 16 octets when there are no options.
HDR ext Len:ヘッダーはオプションがない場合に16オクテットであるため、少なくとも1つ。
Type: 64
タイプ:64
Reserved1: 7-bit field. Reserved for future use. Zero on transmit. MUST be ignored on receipt.
予約1:7ビットフィールド。将来の使用のために予約されています。送信時にゼロ。受領時に無視する必要があります。
R: 1-bit field. Reserved for future use. Zero on transmit. MUST be ignored on receipt.
R:1ビットフィールド。将来の使用のために予約されています。送信時にゼロ。受領時に無視する必要があります。
Receiver Context Tag: 47-bit field. The Context Tag that the receiver has allocated for the context.
受信コンテキストタグ:47ビットフィールド。受信者がコンテキストに割り当てたコンテキストタグ。
Request Nonce: 32-bit unsigned integer. A random number picked by the initiator, which the peer will return in the Update Acknowledgement message.
NONCEをリクエスト:32ビットの符号なし整数。イニシエーターによって選ばれた乱数。ピアは更新謝辞メッセージに戻ります。
The following options are defined for this message:
このメッセージの次のオプションが定義されています。
Locator List: The list of the sender's (new) locators. The locators might be unchanged and only the preferences have changed.
ロケーターリスト:送信者(新しい)ロケーターのリスト。ロケーターは変更されておらず、好みのみが変更されている可能性があります。
Locator Preferences: Optionally sent when the locators don't all have equal preference.
ロケーターの設定:オプションで、ロケーターがすべて同じ好みを持っているわけではないときに送信されます。
CGA Parameter Data Structure (PDS): Included when the locator list is included and the PDS was not included in the I2/ I2bis/R2 messages, so the receiver can verify the locator list.
CGAパラメーターデータ構造(PDS):ロケーターリストが含まれており、PDSがI2/ I2BIS/ R2メッセージに含まれていない場合に含まれるため、レシーバーはロケーターリストを確認できます。
CGA Signature: Included when some of the locators in the list use CGA (and not HBA) for verification.
CGA署名:リスト内のロケーターの一部が検証にCGA(およびHBAではなく)を使用した場合に含まれます。
Future protocol extensions might define additional options for this message. The C-bit in the option format defines how such a new option will be handled by an implementation. See Section 5.15.
将来のプロトコル拡張は、このメッセージの追加オプションを定義する場合があります。オプション形式のCビットは、このような新しいオプションが実装によってどのように処理されるかを定義します。セクション5.15を参照してください。
This message is sent in response to an Update Request message. It implies that the Update Request has been received and that any new locators in the Update Request can now be used as the source locators of packets. But it does not imply that the (new) locators have been verified to be used as a destination, since the host might defer the verification of a locator until it sees a need to use a locator as the destination.
このメッセージは、更新リクエストメッセージに応じて送信されます。更新要求が受信され、更新リクエストの新しいロケーターがパケットのソースロケーターとして使用できることを意味します。しかし、ホストがロケーターを宛先として使用する必要があると見られるまで、ホストがロケーターの検証を延期する可能性があるため、(新しい)ロケーターが宛先として使用されることが検証されていることを意味するものではありません。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 59 | Hdr Ext Len |0| Type = 65 | Reserved1 |0|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Checksum |R| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |
| Receiver Context Tag |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Request Nonce |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ Options +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Fields:
田畑:
Next Header: NO_NXT_HDR (59).
次のヘッダー:no_nxt_hdr(59)。
Hdr Ext Len: At least 1, since the header is 16 octets when there are no options.
HDR ext Len:ヘッダーはオプションがない場合に16オクテットであるため、少なくとも1つ。
Type: 65
タイプ:65
Reserved1: 7-bit field. Reserved for future use. Zero on transmit. MUST be ignored on receipt.
予約1:7ビットフィールド。将来の使用のために予約されています。送信時にゼロ。受領時に無視する必要があります。
R: 1-bit field. Reserved for future use. Zero on transmit. MUST be ignored on receipt.
R:1ビットフィールド。将来の使用のために予約されています。送信時にゼロ。受領時に無視する必要があります。
Receiver Context Tag: 47-bit field. The Context Tag the receiver has allocated for the context.
受信コンテキストタグ:47ビットフィールド。コンテキストタグレシーバーは、コンテキストに割り当てられています。
Request Nonce: 32-bit unsigned integer. Copied from the Update Request message.
NONCEをリクエスト:32ビットの符号なし整数。更新リクエストメッセージからコピーされました。
No options are currently defined for this message.
現在、このメッセージのオプションは定義されていません。
Future protocol extensions might define additional options for this message. The C-bit in the option format defines how such a new option will be handled by an implementation. See Section 5.15.
将来のプロトコル拡張は、このメッセージの追加オプションを定義する場合があります。オプション形式のCビットは、このような新しいオプションが実装によってどのように処理されるかを定義します。セクション5.15を参照してください。
This message format is defined in [4].
このメッセージ形式は[4]で定義されています。
The message is used to ensure that when a peer is sending ULP packets on a context, it always receives some packets in the reverse direction. When the ULP is sending bidirectional traffic, no extra packets need to be inserted. But for a unidirectional ULP traffic pattern, the shim will send back some Keepalive messages when it is receiving ULP packets.
このメッセージは、ピアがコンテキストでULPパケットを送信しているときに、常に逆方向にいくつかのパケットを受信するようにするために使用されます。ULPが双方向トラフィックを送信している場合、追加のパケットを挿入する必要はありません。しかし、一方向のULPトラフィックパターンの場合、SHIMはULPパケットを受信しているときにいくつかのキープライブメッセージを送り返します。
This message and its semantics are defined in [4].
このメッセージとそのセマンティクスは[4]で定義されています。
The goal of this mechanism is to test whether or not locator pairs work in the general case. In particular, this mechanism is to be able to handle the case when one locator pair works from A to B and another locator pair works from B to A, but there is no locator pair that works in both directions. The protocol mechanism is that, as A is sending Probe messages to B, B will observe which locator pairs it has received and report that back in Probe messages it sends to A.
このメカニズムの目標は、ロケーターペアが一般的なケースで機能するかどうかをテストすることです。特に、このメカニズムは、1つのロケーターペアがAからBまで動作する場合にケースを処理できるようにすることであり、別のロケーターペアがBからAに動作しますが、両方向で動作するロケーターペアはありません。プロトコルメカニズムは、AがプローブメッセージをBに送信しているため、Bが受信したロケーターペアを確認し、Aに送信するプローブメッセージに戻って報告することです。
The Error message is generated by a Shim6 receiver upon the reception of a Shim6 message containing critical information that cannot be processed properly.
エラーメッセージは、適切に処理できない重要な情報を含むSHIM6メッセージを受信すると、SHIM6レシーバーによって生成されます。
In the case that a Shim6 node receives a Shim6 packet that contains information that is critical for the Shim6 protocol and that is not supported by the receiver, it sends an Error Message back to the originator of the Shim6 message. The Error message is unacknowledged.
SHIM6ノードがSHIM6プロトコルにとって重要であり、受信機によってサポートされていない情報を含むSHIM6パケットを受信した場合、SHIM6メッセージのオリジネーターにエラーメッセージを送信します。エラーメッセージは承認されていません。
In addition, Shim6 Error messages defined in this section can be used to identify problems with Shim6 implementations. In order to do so, a range of Error Code types is reserved for that purpose. In particular, implementations may generate Shim6 Error messages with Code types in that range, instead of silently discarding Shim6 packets during the debugging process.
さらに、このセクションで定義されているSHIM6エラーメッセージを使用して、SHIM6実装の問題を特定できます。そのためには、その目的のためにさまざまなエラーコードタイプが予約されています。特に、デバッグプロセス中にSHIM6パケットを静かに破棄するのではなく、その範囲のコードタイプを使用してSHIM6エラーメッセージを実装する場合があります。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 59 | Hdr Ext Len |0| Type = 68 | Error Code |0|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Checksum | Pointer |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ Packet in error +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Fields:
田畑:
Next Header: NO_NXT_HDR (59).
次のヘッダー:no_nxt_hdr(59)。
Hdr Ext Len: At least 1, since the header is 16 octets. Depends on the specific Error Data.
HDR ext Len:ヘッダーは16オクテットであるため、少なくとも1つ。特定のエラーデータに依存します。
Type: 68
タイプ:68
Error Code: 7-bit field describing the error that generated the Error message. See Error Code list below.
エラーコード:エラーメッセージを生成したエラーを説明する7ビットフィールド。以下のエラーコードリストを参照してください。
Pointer: 16-bit field. Identifies the octet offset within the invoking packet where the error was detected.
ポインター:16ビットフィールド。エラーが検出されたInvoking Packet内のOctetオフセットを識別します。
Packet in error: As much of invoking packet as possible without the Error message packet exceeding the minimum IPv6 MTU.
エラーのパケット:最小IPv6 MTUを超えるエラーメッセージパケットなしで可能な限りパケットを呼び出すことが多い。
The following Error Codes are defined:
次のエラーコードが定義されています。
+---------+---------------------------------------------------------+
| Code | Description |
| Value | |
+---------+---------------------------------------------------------+
| 0 | Unknown Shim6 message type |
| 1 | Critical option not recognized |
| 2 | Locator verification method failed (Pointer to the |
| | inconsistent verification method octet) |
| 3 | Locator List Generation number out of sync. |
| 4 | Error in the number of locators in a Locator Preference |
| | option |
| 120-127 | Reserved for debugging purposes |
+---------+---------------------------------------------------------+
Table 2
表2
The format of the options is a snapshot of the current HIP option format [20]. However, there is no intention to track any changes to the HIP option format, nor is there an intent to use the same name space for the option type values. But using the same format will hopefully make it easier to import HIP capabilities into Shim6 as extensions to Shim6, should this turn out to be useful.
オプションの形式は、現在のHIPオプション形式[20]のスナップショットです。ただし、HIPオプション形式の変更を追跡するつもりはなく、オプションタイプの値に同じ名前のスペースを使用する意図もありません。しかし、同じ形式を使用すると、これが有用であると判明した場合、SHIM6への拡張機能としてhim6に股関節機能を簡単にインポートできるようになることを願っています。
All of the TLV parameters have a length (including Type and Length fields) that is a multiple of 8 bytes. When needed, padding MUST be added to the end of the parameter so that the total length becomes a multiple of 8 bytes. This rule ensures proper alignment of data. If padding is added, the Length field MUST NOT include the padding. Any added padding bytes MUST be zeroed by the sender, and their values SHOULD NOT be checked by the receiver.
すべてのTLVパラメーターには、8バイトの倍数である長さ(タイプと長さのフィールドを含む)があります。必要に応じて、合計の長さが8バイトの倍数になるように、パラメーターの最後にパディングを追加する必要があります。このルールにより、データの適切なアラインメントが保証されます。パディングが追加されている場合、長さのフィールドにパディングを含めてはなりません。追加されたパディングバイトは、送信者によってゼロになっている必要があり、その値は受信機によってチェックされるべきではありません。
Consequently, the Length field indicates the length of the Contents field (in bytes). The total length of the TLV parameter (including Type, Length, Contents, and Padding) is related to the Length field according to the following formula:
したがって、長さフィールドは、コンテンツフィールドの長さ(バイト単位)を示します。TLVパラメーターの全長(タイプ、長さ、内容、およびパディングを含む)は、次の式に従って長さフィールドに関連しています。
Total Length = 11 + Length - (Length + 3) mod 8;
The total length of the option is the smallest multiple of 8 bytes that allows for the 4 bytes of the Option header and option, itself. The amount of padding required can be calculated as follows:
オプションの全長は、オプションヘッダーとオプション自体の4バイトを可能にする8バイトの最小倍数です。必要なパディングの量は、次のように計算できます。
padding = 7 - ((Length + 3) mod 8)
And:
と:
Total Length = 4 + Length + padding
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type |C| Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
~ ~
~ Contents ~
~ +-+-+-+-+-+-+-+-+
~ | Padding |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Fields:
田畑:
Type: 15-bit identifier of the type of option. The options defined in this document are below.
タイプ:オプションのタイプの15ビット識別子。このドキュメントで定義されているオプションは以下にあります。
C: Critical. One, if this parameter is critical and MUST be recognized by the recipient; zero otherwise. An implementation might view the C-bit as part of the Type field by multiplying the type values in this specification by two.
C:クリティカル。1つは、このパラメーターが重要であり、受信者によって認識されなければならない場合です。それ以外の場合はゼロ。実装では、この仕様のタイプ値に2を掛けることにより、Cビットを型フィールドの一部として表示する場合があります。
Length: Length of the Contents, in bytes.
長さ:内容の長さ、バイト単位。
Contents: Parameter-specific, defined by Type.
内容:タイプで定義されたパラメーター固有。
Padding: Padding, 0-7 bytes, added if needed.
パディング:パディング、0〜7バイト、必要に応じて追加。
+------+------------------------------+
| Type | Option Name |
+------+------------------------------+
| 1 | Responder Validator |
| 2 | Locator List |
| 3 | Locator Preferences |
| 4 | CGA Parameter Data Structure |
| 5 | CGA Signature |
| 6 | ULID Pair |
| 7 | Forked Instance Identifier |
| 10 | Keepalive Timeout Option |
+------+------------------------------+
Table 3
表3
Future protocol extensions might define additional options for the Shim6 messages. The C-bit in the option format defines how such a new option will be handled by an implementation.
将来のプロトコル拡張は、SHIM6メッセージの追加オプションを定義する場合があります。オプション形式のCビットは、このような新しいオプションが実装によってどのように処理されるかを定義します。
If a host receives an option that it does not understand (an option that was defined in some future extension to this protocol) or that is not listed as a valid option for the different message types above, then the Critical bit in the option determines the outcome.
ホストが理解できないオプション(このプロトコルの将来の拡張で定義されたオプション)または上記の異なるメッセージタイプの有効なオプションとしてリストされていない場合、オプションの重要なビットは結果。
o If C=0, then the option is silently ignored, and the rest of the message is processed.
o c = 0の場合、オプションは静かに無視され、メッセージの残りの部分が処理されます。
o If C=1, then the host SHOULD send back a Shim6 Error message with Error Code=1, with the Pointer field referencing the first octet in the Option Type field. When C=1, the rest of the message MUST NOT be processed.
o C = 1の場合、ホストはエラーコード= 1でSHIM6エラーメッセージを送信する必要があります。ポインターフィールドは、オプションタイプフィールドの最初のオクテットを参照します。c = 1の場合、メッセージの残りの部分を処理する必要はありません。
The responder can choose exactly what input is used to compute the validator and what one-way function (such as MD5 or SHA1) it uses, as long as the responder can check that the validator it receives back in the I2 or I2bis message is indeed one that:
レスポンダーは、検証装置の計算に使用される入力と、使用する一方向関数(MD5やSHA1など)を正確に選択できます。レスポンダーがI2またはI2BISメッセージで受け取るバリデーターが実際にあることを確認できる限りその1つ:
1) computed,
1) 計算された、
2) computed for the particular context, and
2) 特定のコンテキストのために計算されました
3) isn't a replayed I2/I2bis message.
3) 再生されたi2/i2bisメッセージではありません。
Some suggestions on how to generate the validators are captured in Sections 7.10.1 and 7.17.1.
検証器を生成する方法に関するいくつかの提案は、セクション7.10.1および7.17.1でキャプチャされます。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type = 1 |0| Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
~ Validator ~
~ +-+-+-+-+-+-+-+-+
~ | Padding |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Fields:
田畑:
Validator: Variable length content whose interpretation is local to the responder.
VALIDATOR:解釈がレスポンダーにローカルである可変長コンテンツ。
Padding: Padding, 0-7 bytes, added if needed. See Section 5.15.
パディング:パディング、0〜7バイト、必要に応じて追加。セクション5.15を参照してください。
The Locator List option is used to carry all the locators of the sender. Note that the order of the locators is important, since the Locator Preferences option refers to the locators by using the index in the list.
ロケーターリストオプションは、送信者のすべてのロケーターを運ぶために使用されます。ロケーターの順序は重要であることに注意してください。ロケーター設定オプションは、リスト内のインデックスを使用してロケーターを指すためです。
Note that we carry all the locators in this option even though some of them can be created automatically from the CGA Parameter Data Structure.
CGAパラメーターデータ構造から自動的に作成できる場合でも、このオプションのすべてのロケーターを携帯することに注意してください。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type = 2 |0| Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Locator List Generation |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Num Locators | N Octets of Verification Method |
+-+-+-+-+-+-+-+-+ |
~ ~
~ +-+-+-+-+-+-+-+-+
~ | Padding |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
~ Locators 1 through N ~
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Fields:
田畑:
Locator List Generation: 32-bit unsigned integer. Indicates a generation number that is increased by one for each new locator list. This is used to ensure that the index in the Locator Preferences refers to the right version of the locator list.
ロケーターリストの生成:32ビットの署名整数。新しいロケーターリストごとに1つ増加する生成数を示します。これは、ロケーター設定のインデックスがロケーターリストの適切なバージョンを指すようにするために使用されます。
Num Locators: 8-bit unsigned integer. The number of locators that are included in the option. We call this number "N" below.
numロケーター:8ビットの符号なし整数。オプションに含まれるロケーターの数。この番号「n」を以下に呼びます。
Verification Method: N octets. The ith octet specifies the verification method for the ith locator.
検証方法:nオクテット。ITHオクテットは、ITHロケーターの検証方法を指定します。
Padding: Padding, 0-7 bytes, added if needed so that the Locators start on a multiple-of-8-octet boundary. Note that for this option, there is never a need to pad at the end since the Locators are a multiple-of-8- octets in length. This internal padding is included in the Length field.
パディング:パディング、0〜7バイト、必要に応じて追加されて、ロケーターが倍数のオクセット境界で開始されるように。このオプションでは、ロケーターの長さは8倍のオクテットであるため、最後にパッドする必要はないことに注意してください。この内部パディングは、長さフィールドに含まれています。
Locators: N 128-bit locators.
ロケーター:n 128ビットロケーター。
The defined verification methods are:
定義された検証方法は次のとおりです。
+---------+----------------------------------+
| Value | Method |
+---------+----------------------------------+
| 0 | Reserved |
| 1 | HBA |
| 2 | CGA |
| 3-200 | Allocated using Standards action |
| 201-254 | Experimental use |
| 255 | Reserved |
+---------+----------------------------------+
Table 4
表4
The Locator Preferences option can have some flags to indicate whether or not a locator is known to work. In addition, the sender can include a notion of preferences. It might make sense to define "preferences" as a combination of priority and weight, the same way that DNS SRV records have such information. The priority would provide a way to rank the locators, and, within a given priority, the weight would provide a way to do some load sharing. See [5] for how SRV defines the interaction of priority and weight.
ロケーター設定オプションには、ロケーターが機能することが知られているかどうかを示すフラグがあります。さらに、送信者は好みの概念を含めることができます。DNS SRVレコードがそのような情報を持っているのと同じように、「好み」を優先度と重量の組み合わせとして定義することは理にかなっているかもしれません。優先順位は、ロケーターをランク付けする方法を提供し、特定の優先順位の範囲内で、重量は何らかの負荷共有を行う方法を提供します。SRVが優先度と重量の相互作用をどのように定義するかについては[5]を参照してください。
The minimum notion of preferences we need is to be able to indicate that a locator is "dead". We can handle this using a single octet flag for each locator.
必要な好みの最小概念は、ロケーターが「死んでいる」ことを示すことができることです。各ロケーターに単一のオクテットフラグを使用してこれを処理できます。
We can extend that by carrying a larger "element" for each locator. This document presently also defines 2-octet and 3-octet elements, and we can add more information by having even larger elements if need be.
各ロケーターに大きな「要素」を運ぶことで、それを拡張できます。現在、このドキュメントは2-OCTETおよび3-OCTET要素を定義しており、必要に応じてさらに大きな要素を持つことで情報を追加できます。
The locators are not included in the preference list. Instead, the first element refers to the locator that was in the first element in the Locator List option. The generation number carried in this option and the Locator List option is used to verify that they refer to the same version of the locator list.
ロケーターは設定リストに含まれていません。代わりに、最初の要素は、ロケーターリストオプションの最初の要素にあったロケーターを指します。このオプションとロケーターリストオプションに掲載された生成番号は、同じバージョンのロケーターリストを参照することを確認するために使用されます。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type = 3 |0| Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Locator List Generation |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Element Len | Element[1] | Element[2] | Element[3] |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
~ ... ~
~ +-+-+-+-+-+-+-+-+
~ | Padding |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Case of Element Len = 1 is depicted.
要素の場合len = 1が描かれています。
Fields:
田畑:
Locator List Generation: 32-bit unsigned integer. Indicates a generation number for the locator list to which the elements should apply.
ロケーターリストの生成:32ビットの署名整数。要素が適用されるロケーターリストの生成番号を示します。
Element Len: 8-bit unsigned integer. The length in octets of each element. This specification defines the cases when the length is 1, 2, or 3.
Element Len:8ビットの符号なし整数。各要素のオクテットの長さ。この仕様は、長さが1、2、または3の場合を定義します。
Element[i]: A field with a number of octets defined by the Element Len field. Provides preferences for the ith locator in the Locator List option that is in use.
要素[i]:要素lenフィールドで定義された多くのオクテットを備えたフィールド。使用中のロケーターリストオプションでITHロケーターの設定を提供します。
Padding: Padding, 0-7 bytes, added if needed. See Section 5.15.
パディング:パディング、0〜7バイト、必要に応じて追加。セクション5.15を参照してください。
When the Element length equals one, then the element consists of only a one-octet Flags field. The currently defined set of flags are:
要素の長さが1に等しくなると、要素は1オクセットフラグフィールドのみで構成されます。現在定義されているフラグのセットは次のとおりです。
BROKEN: 0x01
壊れた:0x01
TRANSIENT: 0x02
一時的:0x02
The intent of the BROKEN flag is to inform the peer that a given locator is known to be not working. The intent of TRANSIENT is to allow the distinction between more stable addresses and less stable addresses when Shim6 is combined with IP mobility, and when we might have more stable home locators and less stable care-of-locators.
壊れたフラグの意図は、特定のロケーターが機能していないことが知られていることをピアに通知することです。一時的な意図は、SHIM6がIPモビリティと組み合わされた場合、およびより安定したホームロケーターと安定したロケーターのケアを持っている場合に、より安定したアドレスと安定性の低いアドレスとの区別を可能にすることです。
When the Element length equals two, then the element consists of a one-octet Flags field followed by a one-octet Priority field. This Priority field has the same semantics as the Priority field in DNS SRV records.
要素の長さが2に等しい場合、要素は1オクセットフラグフィールドで構成され、その後に1オクテットの優先度フィールドが続きます。この優先フィールドには、DNS SRVレコードの優先度フィールドと同じセマンティクスがあります。
When the Element length equals three, then the element consists of a one-octet Flags field followed by a one-octet Priority field and a one-octet Weight field. This Weight field has the same semantics as the Weight field in DNS SRV records.
要素の長さが3に等しい場合、要素は1オクテットのフラグフィールドで構成され、その後に1オクタートの優先フィールドと1オクテットの重量フィールドが続きます。この重量フィールドには、DNS SRVレコードの重量フィールドと同じセマンティクスがあります。
This document doesn't specify the format when the Element length is more than three, except that any such formats MUST be defined so that the first three octets are the same as in the above case, that is, a one-octet Flags field followed by a one-octet Priority field, and a one-octet Weight field.
このドキュメントは、要素の長さが3つ以上の場合に形式を指定しません。ただし、最初の3つのオクテットが上記の場合と同じであるように、つまり、1オクテットフラグフィールドが続く1 Outetフラグフィールドが同じように定義する必要があることを除きます。1オクテットの優先フィールドと1オクテットの重量フィールドによって。
This option contains the CGA Parameter Data Structure (PDS). When HBA is used to verify the locators, the PDS contains the HBA multiprefix extension in addition to the PDS mandatory fields and other extensions unrelated to Shim6 that the PDS might have. When CGA is used to verify the locators, in addition to the PDS option, the host also needs to include the signature in the form of a CGA Signature option.
このオプションには、CGAパラメーターデータ構造(PDS)が含まれています。HBAを使用してロケーターを検証する場合、PDSには、PDSが持つ可能性のあるSHIM6とは無関係のPDS必須フィールドやその他の拡張機能に加えて、HBAマルチプリフィックス拡張が含まれます。CGAを使用してロケーターを検証する場合、PDSオプションに加えて、ホストはCGA署名オプションの形で署名を含める必要があります。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type = 4 |0| Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
~ CGA Parameter Data Structure ~
~ +-+-+-+-+-+-+-+-+
~ | Padding |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Fields:
田畑:
CGA Parameter Data Structure: Variable length content. Content defined in [2] and [3].
CGAパラメーターデータ構造:変数長コンテンツ。[2]および[3]で定義されているコンテンツ。
Padding: Padding, 0-7 bytes, added if needed. See Section 5.15.
パディング:パディング、0〜7バイト、必要に応じて追加。セクション5.15を参照してください。
When CGA is used for verification of one or more of the locators in the Locator List option, then the message in question will need to contain this option.
CGAがロケーターリストオプションで1つ以上のロケーターを検証するために使用される場合、問題のメッセージはこのオプションを含める必要があります。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type = 5 |0| Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
~ CGA Signature ~
~ +-+-+-+-+-+-+-+-+
~ | Padding |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Fields:
田畑:
CGA Signature: A variable-length field containing a PKCS#1 v1.5 signature, constructed by using the sender's private key over the following sequence of octets:
CGA署名:PKCS#1 V1.5の署名を含む可変長フィールド。
1. The 128-bit CGA Message Type tag [CGA] value for Shim6: 0x4A 30 5662 4858 574B 3655 416F 506A 6D48. (The tag value has been generated randomly by the editor of this specification.).
1. SHIM6:0x4a 30 5662 4858 574b 3655 416f 506a 6d48の128ビットCGAメッセージタイプタグ[CGA]値の値。(タグ値は、この仕様の編集者によってランダムに生成されました。)。
2. The Locator List Generation number of the correspondent Locator List option.
2. ロケーターリストの生成通信機ロケーターリストオプションの番号。
3. The subset of locators included in the correspondent Locator List option whose verification method is set to CGA. The locators MUST be included in the order in which they are listed in the Locator List Option.
3. CGAに設定されている検証方法がCGAに設定されている特派員ロケーターリストオプションに含まれるロケーターのサブセット。ロケーターは、ロケーターリストオプションにリストされている順序に含める必要があります。
Padding: Padding, 0-7 bytes, added if needed. See Section 5.15.
パディング:パディング、0〜7バイト、必要に応じて追加。セクション5.15を参照してください。
I1, I2, and I2bis messages MUST contain the ULID pair; normally, this is in the IPv6 Source and Destination fields. In case the ULID for the context differs from the address pair included in the Source and Destination Address fields of the IPv6 packet used to carry the I1/ I2/I2bis message, the ULID Pair option MUST be included in the I1/I2/ I2bis message.
I1、I2、およびI2BISメッセージには、塩分ペアが含まれている必要があります。通常、これはIPv6ソースと宛先フィールドにあります。コンテキストのulidが、i1/ i2/ i2bisメッセージを伝達するために使用されるIPv6パケットのソースおよび宛先アドレスフィールドに含まれるアドレスペアと異なる場合、ulidペアオプションはi1/ i2/ i2bisメッセージに含める必要があります。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type = 6 |0| Length = 36 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Reserved2 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ Sender ULID +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ Receiver ULID +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Fields:
田畑:
Reserved2: 32-bit field. Reserved for future use. Zero on transmit. MUST be ignored on receipt. (Needed to make the ULIDs start on a multiple-of-8-octet boundary.)
予約2:32ビットフィールド。将来の使用のために予約されています。送信時にゼロ。受領時に無視する必要があります。(ulidsを8-OCTET境界で開始するために必要です。)
Sender ULID: A 128-bit IPv6 address.
送信者Ulid:128ビットIPv6アドレス。
Receiver ULID: A 128-bit IPv6 address.
受信者ulid:128ビットIPv6アドレス。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type = 7 |0| Length = 4 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Forked Instance Identifier |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Fields:
田畑:
Forked Instance Identifier: 32-bit field containing the identifier of the particular forked instance.
フォークインスタンス識別子:特定のフォークインスタンスの識別子を含む32ビットフィールド。
This option is defined in [4].
このオプションは[4]で定義されています。
This section describes a conceptual model of one possible data structure organization that hosts will maintain for the purposes of Shim6. The described organization is provided to facilitate the explanation of how the Shim6 protocol should behave. This document does not mandate that implementations adhere to this model as long as their external behavior is consistent with that described in this document.
このセクションでは、ホストがSHIM6の目的のために維持される1つの可能なデータ構造組織の概念モデルについて説明します。説明された組織は、SHIM6プロトコルがどのように動作するかの説明を促進するために提供されます。このドキュメントは、外部の動作がこのドキュメントに記載されているものと一致している限り、実装がこのモデルに準拠することを義務付けていません。
The key conceptual data structure for the Shim6 protocol is the ULID-pair context. This is a data structure that contains the following information:
SHIM6プロトコルの主要な概念データ構造は、ulid-pairコンテキストです。これは、次の情報を含むデータ構造です。
o The state of the context. See Section 6.2.
o コンテキストの状態。セクション6.2を参照してください。
o The peer ULID: ULID(peer).
o ピア・ウリド:ulid(ピア)。
o The local ULID: ULID(local).
o 地元の雄牛:ulid(ローカル)。
o The Forked Instance Identifier: FII. This is zero for the default context, i.e., when there is no forking.
o FII:FII。これは、デフォルトのコンテキスト、つまりフォーキングがない場合のゼロです。
o The list of peer locators with their preferences: Ls(peer).
o 好みを持つピアロケーターのリスト:LS(ピア)。
o The generation number for the most recently received, verified peer locator list.
o 最近受け取った、検証済みのピアロケーターリストの生成番号。
o For each peer locator, the verification method to use (from the Locator List option).
o 各ピアロケーターについて、使用する検証方法(ロケーターリストオプションから)。
o For each peer locator, a flag specifying whether it has been verified using HBA or CGA, and a bit specifying whether the locator has been probed to verify that the ULID is present at that location.
o ピアロケーターごとに、HBAまたはCGAを使用して検証されているかどうかを指定するフラグ、およびLocatorがその場所にulidが存在していることを確認するためにロケーターが調査されているかどうかを少し指定します。
o The current peer locator is the locator used as the destination address when sending packets: Lp(peer).
o 現在のピアロケーターは、パケットを送信するときに宛先アドレスとして使用されるロケーターです:LP(PEER)。
o The set of local locators and the preferences: Ls(local).
o ローカルロケーターのセットと設定:LS(ローカル)。
o The generation number for the most recently sent Locator List option.
o 最近送信されたロケーターリストオプションの生成番号。
o The current local locator is the locator used as the source address when sending packets: Lp(local).
o 現在のローカルロケーターは、パケットを送信するときにソースアドレスとして使用されるロケーターです:LP(ローカル)。
o The Context Tag used to transmit control messages and Shim6 Payload Extension headers; this is allocated by the peer: CT(peer).
o コントロールメッセージとSHIM6ペイロード拡張ヘッダーを送信するために使用されるコンテキストタグ。これは、ピア:CT(ピア)によって割り当てられます。
o The context to expect in received control messages and Shim6 Payload Extension headers; this is allocated by the local host: CT(local).
o 受信したコントロールメッセージとSHIM6ペイロード拡張ヘッダーに期待するコンテキスト。これは、ローカルホスト、CT(ローカル)によって割り当てられます。
o Timers for retransmission of the messages during context-establishment and update messages.
o コンテキスト確立および更新メッセージ中にメッセージを再送信するためのタイマー。
o Depending how an implementation determines whether a context is still in use, there might be a need to track the last time a packet was sent/received using the context.
o 実装がコンテキストがまだ使用されているかどうかを決定する方法に応じて、コンテキストを使用してパケットが最後に送信/受信されたときに追跡する必要があるかもしれません。
o Reachability state for the locator pairs as specified in [4].
o [4]で指定されているロケーターペアの到達可能性状態。
o During pair exploration, information about the Probe messages that have been sent and received as specified in [4].
o ペア探査中、[4]で指定されているように送信および受信されたプローブメッセージに関する情報。
o During context-establishment phase, the Initiator Nonce, Responder Nonce, Responder Validator, and timers related to the different packets sent (I1,I2, R2), as described in Section 7.
o コンテキスト確立段階では、セクション7で説明されているように、イニシエーターの非CE、応答者NonCE、Responder NonCe、Responder Validator、および送信された異なるパケット(I1、I2、R2)に関連するタイマー。
The STATES that are used to describe the Shim6 protocol are as follows:
SHIM6プロトコルを説明するために使用される状態は次のとおりです。
+---------------------+---------------------------------------------+
| STATE | Explanation |
+---------------------+---------------------------------------------+
| IDLE | State machine start |
| | |
| I1-SENT | Initiating context-establishment exchange |
| | |
| I2-SENT | Waiting to complete context-establishment |
| | exchange |
| | |
| I2BIS-SENT | Potential context loss detected |
| | |
| ESTABLISHED | SHIM context established |
| | |
| E-FAILED | Context-establishment exchange failed |
| | |
| NO-SUPPORT | ICMP Unrecognized Next Header type |
| | (type 4, code 1) received, indicating |
| | that Shim6 is not supported |
+---------------------+---------------------------------------------+
In addition, in each of the aforementioned STATES, the following state information is stored:
さらに、前述の各州では、次の状態情報が保存されます。
+---------------------+---------------------------------------------+
| STATE | Information |
+---------------------+---------------------------------------------+
| IDLE | None |
| | |
| I1-SENT | ULID(peer), ULID(local), [FII], CT(local), |
| | INIT Nonce, Lp(local), Lp(peer), Ls(local) |
| | |
| I2-SENT | ULID(peer), ULID(local), [FII], CT(local), |
| | INIT Nonce, RESP Nonce, Lp(local), Lp(peer),|
| | Ls(local), Responder Validator |
| | |
| ESTABLISHED | ULID(peer), ULID(local), [FII], CT(local), |
| | CT(peer), Lp(local), Lp(peer), Ls(local), |
| | Ls(peer), INIT Nonce?(to receive late R2) |
| | |
| I2BIS-SENT | ULID(peer), ULID(local), [FII], CT(local), |
| | CT(peer), Lp(local), Lp(peer), Ls(local), |
| | Ls(peer), CT(R1bis), RESP Nonce, |
| | INIT Nonce, Responder Validator |
| | |
| E-FAILED | ULID(peer), ULID(local) |
| | |
| NO-SUPPORT | ULID(peer), ULID(local) |
+---------------------+---------------------------------------------+
ULID-pair contexts are established using a 4-way exchange, which allows the responder to avoid creating state on the first packet. As part of this exchange, each end allocates a Context Tag and shares this Context Tag and its set of locators with the peer.
Ulid-Pairコンテキストは、4ウェイエクスチェンジを使用して確立されています。これにより、応答者は最初のパケットで状態の作成を避けることができます。この交換の一環として、各エンドはコンテキストタグを割り当て、このコンテキストタグとそのロケーターのセットをピアと共有します。
In some cases, the 4-way exchange is not necessary -- for instance, when both ends try to set up the context at the same time, or when recovering from a context that has been garbage collected or lost at one of the hosts.
場合によっては、4方向の交換は必要ありません。たとえば、両端が同時にコンテキストをセットアップしようとする場合、またはホストの1人で収集または失われたごみ収集または失われたコンテキストから回復する場合。
As part of establishing a new context, each host has to assign a unique Context Tag. Since the Shim6 Payload Extension headers are demultiplexed based solely on the Context Tag value (without using the locators), the Context Tag MUST be unique for each context.
新しいコンテキストを確立する一環として、各ホストは一意のコンテキストタグを割り当てる必要があります。SHIM6ペイロードエクステンションヘッダーは、コンテキストタグ値のみに基づいて非難されているため、コンテキストタグはコンテキストごとに一意でなければなりません。
It is important that Context Tags are hard to guess for off-path attackers. Therefore, if an implementation uses structure in the Context Tag to facilitate efficient lookups, at least 30 bits of the Context Tag MUST be unstructured and populated by random or pseudo-random bits.
コンテキストタグをオフパス攻撃者にとって推測するのが難しいことが重要です。したがって、実装がコンテキストタグで構造を使用して効率的なルックアップを容易にする場合、少なくとも30ビットのコンテキストタグを非構造化し、ランダムまたは擬似ランダムビットによって入力する必要があります。
In addition, in order to minimize the reuse of Context Tags, the host SHOULD randomly cycle through the unstructured tag name space that is reserved for randomly assigned Context Tag values (e.g., following the guidelines described in [13]).
さらに、コンテキストタグの再利用を最小限に抑えるために、ホストは、ランダムに割り当てられたコンテキストタグ値のために予約されている非構造化されたタグ名スペースをランダムにサイクリングする必要があります(たとえば、[13]で説明されているガイドラインに従ってください)。
The peer's locators might need to be verified during context establishment as well as when handling locator updates in Section 10.
ピアのロケーターは、セクション10のロケーターの更新を処理するときと同様に、コンテキストの確立中に検証する必要がある場合があります。
There are two separate aspects of locator verification. One is to verify that the locator is tied to the ULID, i.e., that the host that "owns" the ULID is also the one that is claiming the locator "ownership". The Shim6 protocol uses the HBA or CGA techniques for doing this verification. The other aspect is to verify that the host is indeed reachable at the claimed locator. Such verification is needed not only to make sure communication can proceed but also to prevent 3rd party flooding attacks [15]. These different aspects of locator verification happen at different times since the first might need to be performed before packets can be received by the peer with the source locator in question, but the latter verification is only needed before packets are sent to the locator.
ロケーター検証には2つの別々の側面があります。1つは、ロケーターが亜油に結び付けられていること、つまり、ulidを「所有」するホストがロケーターの「所有権」を主張しているホストであることを確認することです。SHIM6プロトコルは、この検証を行うためにHBAまたはCGA技術を使用しています。もう1つの側面は、主張されたロケーターでホストが実際に到達可能であることを確認することです。このような検証は、コミュニケーションが進行できることを確認するためだけでなく、サードパーティの洪水攻撃を防ぐためにも必要です[15]。ロケーター検証のこれらのさまざまな側面は、問題のソースロケーターを使用してピアがパケットを受信する前に最初のものを実行する必要があるため、異なる時間に発生しますが、後者の検証はパケットがロケーターに送信される前にのみ必要です。
Before a host can use a locator (different than the ULID) as the source locator, it must know that the peer will accept packets with that source locator as part of this context. Thus, the HBA/CGA verification SHOULD be performed by the host before the host acknowledges the new locator by sending either an Update Acknowledgement message or an R2 message.
ホストがソースロケーターとしてロケーター(ulidとは異なる)を使用する前に、ピアがこのコンテキストの一部としてそのソースロケーターを持つパケットを受け入れることを知っている必要があります。したがって、HBA/CGAの検証は、更新承認メッセージまたはR2メッセージを送信することにより、ホストが新しいロケーターを認める前にホストが実行する必要があります。
Before a host can use a locator (different than the ULID) as the destination locator, it MUST perform the HBA/CGA verification if this was not performed upon reception of the locator set. In addition, it MUST verify that the ULID is indeed present at that locator. This verification is performed by doing a return-routability test as part of the Probe sub-protocol [4].
ホストが宛先ロケーターとしてロケーター(ulidとは異なる)を使用する前に、ロケーターセットの受信時に実行されなかった場合、HBA/CGA検証を実行する必要があります。さらに、ulidが実際にそのロケーターに存在することを確認する必要があります。この検証は、プローブサブプロトコル[4]の一部としてリターンリュタビリティテストを実行することにより実行されます。
If the verification method in the Locator List option is not supported by the host, or if the verification method is not consistent with the CGA Parameter Data Structure (e.g., the Parameter Data Structure doesn't contain the multiprefix extension and the verification method says to use HBA), then the host MUST ignore the Locator List and the message in which it is contained. The host SHOULD generate a Shim6 Error message with Error Code=2 and with the Pointer referencing the octet in the verification method that was found inconsistent.
ロケーターリストオプションの検証方法がホストによってサポートされていない場合、または検証方法がCGAパラメーターデータ構造と一致していない場合(たとえば、パラメーターデータ構造にはMultiPrefix拡張機能が含まれておらず、検証方法はHBAを使用すると、ホストはロケーターリストとそれが含まれているメッセージを無視する必要があります。ホストは、エラーコード= 2でSHIM6エラーメッセージを生成し、ポインターが一貫性がないことが判明した検証方法のオクテットを参照する必要があります。
The normal context establishment consists of a 4-message exchange in the order of I1, R1, I2, R2, as can be seen in Figure 3.
通常のコンテキストの確立は、図3に見られるように、I1、R1、I2、R2のオーダーの4メッセージ交換で構成されています。
Initiator Responder
イニシエーターレスポンダー
IDLE IDLE
------------- I1 -------------->
I1-SENT
<------------ R1 ---------------
IDLE
------------- I2 -------------->
I2-SENT
<------------ R2 ---------------
ESTABLISHED ESTABLISHED
Figure 3: Normal Context Establishment
図3:通常のコンテキスト確立
When both ends try to initiate a context for the same ULID pair, then we might end up with crossing I1 messages. Alternatively, since no state is created when receiving the I1, a host might send an I1 after having sent an R1 message.
両端が同じulidペアのコンテキストを開始しようとすると、I1メッセージを越えてしまう可能性があります。あるいは、I1を受信するときに状態が作成されないため、ホストはR1メッセージを送信した後にi1を送信する場合があります。
Since a host remembers that it has sent an I1, it can respond to an I1 from the peer (for the same ULID pair) with an R2, resulting in the message exchange shown in Figure 4. Such behavior is needed for reasons such as correctly responding to retransmitted I1 messages, which occur when the R2 message has been lost.
ホストはI1を送信したことを覚えているため、ピア(同じulidペアの場合)からi1にR2と応答できるため、図4に示すメッセージ交換が行われます。再送信されたi1メッセージに応答します。これは、R2メッセージが失われたときに発生します。
Host A Host B
ホストホストb
IDLE IDLE
-\
I1-SENT---\
---\ /---
--- I1 ---\ /--- I1-SENT
---\
/--- I1 ---/ ---\
/--- -->
<---
-\
I1-SENT---\
---\ /---
--- R2 ---\ /--- I1-SENT
---\
/--- R2 ---/ ---\
/--- -->
<--- ESTABLISHED
ESTABLISHED
Figure 4: Crossing I1 Messages
図4:I1メッセージの交差
If a host has received an I1 and sent an R1, it has no state to remember this. Thus, if the ULP on the host sends down packets, this might trigger the host to send an I1 message itself. Thus, while one end is sending an I1, the other is sending an I2, as can be seen in Figure 5.
ホストがI1を受け取ってR1を送信した場合、これを覚えておく状態はありません。したがって、ホストのULPがパケットを送信すると、ホストがI1メッセージ自体を送信するようにトリガーする可能性があります。したがって、一方の端はi1を送信する間、もう片方は図5に見られるようにi2を送信します。
Host A Host B
ホストホストb
IDLE IDLE -\ ---\ I1-SENT ---\ --- I1 ---\ ---\ ---\ -->
アイドルアイドル - \ --- \ i1-sent --- \ --- i1 --- \ --- \ --- \ - >
/---
/--- IDLE
---
/--- R1--/
/---
<---
-\
I2-SENT---\
---\ /---
--- I2---\ /--- I1-SENT
---\
/--- I1 ---/ ---\
/--- -->
<--- ESTABLISHED
-\
I2-SENT---\
---\ /---
--- R2 ---\ /---
---\
/--- R2 ---/ ---\
/--- -->
<--- ESTABLISHED
ESTABLISHED
Figure 5: Crossing I2 and I1
図5:交差I2およびI1
Due to garbage collection, we can end up with one end having and using the context state, and the other end not having any state. We need to be able to recover this state at the end that has lost it before we can use it.
ゴミ収集により、一方の端がコンテキスト状態を持ち、もう一方の端には状態がないことになります。使用する前に、それを失った最後にこの状態を回復できる必要があります。
This need can arise in the following cases:
この必要性は、次の場合に発生する可能性があります。
o The communication is working using the ULID pair as the locator pair but a problem arises, and the end that has retained the context state decides to probe alternate locator pairs.
o 通信は、ulidペアをロケーターペアとして使用して機能していますが、問題が発生し、コンテキスト状態を保持している終了は、代替ロケーターペアをプローブすることを決定します。
o The communication is working using a locator pair that is not the ULID pair; hence, the ULP packets sent from a peer that has retained the context state use the Shim6 Payload Extension header.
o 通信は、ulidペアではないロケーターペアを使用して機能しています。したがって、コンテキスト状態を保持しているピアから送信されたULPパケットは、SHIM6ペイロード拡張ヘッダーを使用します。
o The host that retained the state sends a control message (e.g., an Update Request message).
o 状態を保持したホストは、コントロールメッセージを送信します(たとえば、更新リクエストメッセージ)。
In all cases, the result is that the peer without state receives a shim message for which it has no context for the Context Tag.
すべての場合において、結果は、状態のないピアがコンテキストタグのコンテキストがないシムメッセージを受信することです。
We can recover the context by having the node that doesn't have a context state send back an R1bis message, and then complete the recovery with an I2bis and R2 message, as can be seen in Figure 6.
図6に示すように、コンテキスト状態がR1BISメッセージを送信してからI2BISとR2メッセージで回復を完了することにより、コンテキストを回復できます。
Host A Host B
ホストホストb
Context for CT(peer)=X Discards context for CT(local)=X
CT(PEER)= XのコンテキストCTのコンテキストを破棄する(ローカル)= X
ESTABLISHED IDLE
確立されたアイドル
---- payload, probe, etc. -----> No context state
for CT(local)=X
<------------ R1bis ------------
IDLE
------------- I2bis ----------->
I2BIS_SENT
<------------ R2 ---------------
ESTABLISHED ESTABLISHED
Figure 6: Context Loss at Receiver
図6:受信機でのコンテキスト損失
If one end has garbage collected or lost the context state, it might try to create a new context state (for the same ULID pair), by sending an I1 message. In this case, the peer (that still has the context state) will reply with an R1 message, and the full 4-way exchange will be performed again, as can be seen in Figure 7.
一方の端がコンテキスト状態を収集または紛失した場合、I1メッセージを送信することにより、新しいコンテキスト状態(同じ塩分ペアに対して)を作成しようとする可能性があります。この場合、ピア(まだコンテキスト状態があります)はR1メッセージで返信し、図7に見られるように、完全な4ウェイ交換が再度実行されます。
Host A Host B
ホストホストb
Context for
CT(peer)=X Discards context for
ULIDs A1, B1 CT(local)=X
ESTABLISHED IDLE
確立されたアイドル
Finds <------------ I1 --------------- Tries to set up
existing for ULIDs A1, B1
context,
but CT(peer) I1-SENT
doesn't match
------------- R1 --------------->
Left old context
in ESTABLISHED
<------------ I2 ---------------
Re-create context
with new CT(peer) I2-SENT
and Ls(peer).
ESTABLISHED
------------- R2 -------------->
ESTABLISHED ESTABLISHED
Figure 7: Context Loss at Sender
図7:送信者でのコンテキスト損失
Since each end might garbage collect the context state, we can have the case where one end has retained the context state and tries to use it, while the other end has lost the state. We discussed this in the previous section on recovery. But, for the same reasons, when one host retains Context Tag X as CT(peer) for ULID pair <A1, B1>, the other end might end up allocating that Context Tag as CT(local) for another ULID pair (e.g., <A3, B1>) between the same hosts. In this case, we cannot use the recovery mechanisms since there needs to be separate Context Tags for the two ULID pairs.
各端がコンテキスト状態を収集する可能性があるため、一方の端がコンテキスト状態を保持し、それを使用しようとする場合、もう一方の端は状態を失います。これについては、回復に関する前のセクションで説明しました。ただし、同じ理由で、1人のホストがContext Tag xをulidペア<a1、b1>のCT(ピア)として保持する場合、もう一方の端は、そのコンテキストタグを別のulidペアにCT(ローカル)として割り当てることになります(例えば、<a3、b1>)同じホスト間。この場合、2つの酸化ペアに個別のコンテキストタグが必要である必要があるため、回復メカニズムを使用することはできません。
This type of "confusion" can be observed in two cases (assuming it is A that has retained the state and B that has dropped it):
このタイプの「混乱」は、2つのケースで観察できます(それが状態を保持していると仮定し、それをドロップしたBをbedainしています):
o B decides to create a context for ULID pair <A3, B1>, allocates X as its Context Tag for this, and sends an I1 to A.
o bは、ulidペア<a3、b1>のコンテキストを作成し、xをこのコンテキストタグとして割り当てることを決定し、i1をAに送信します。
o A decides to create a context for ULID pair <A3, B1> and starts the exchange by sending I1 to B. When B receives the I2 message, it allocates X as the Context Tag for this context.
o aは、ulidペア<a3、b1>のコンテキストを作成することを決定し、i1をBに送信して交換を開始します。Bがi2メッセージを受信すると、このコンテキストのコンテキストタグとしてxを割り当てます。
In both cases, A can detect that B has allocated X for ULID pair <A3, B1> even though A still has X as CT(peer) for ULID pair <A1, B1>. Thus, A can detect that B must have lost the context for <A1, B1>.
どちらの場合も、Aは、AがまだxをCT(ピア)にulidペア<A1、B1>にct(ピア)にxがxを割り当てていることを検出します。したがって、aはbが<a1、b1>のコンテキストを失ったに違いないことを検出できます。
The confusion can be detected when I2/I2bis/R2 is received, since we require that those messages MUST include a sufficiently large set of locators in a Locator List option that the peer can determine whether or not two contexts have the same host as the peer by comparing if there is any common locators in Ls(peer).
I2/I2BIS/R2を受信したときに混乱を検出できます。なぜなら、これらのメッセージには、2つのコンテキストがピアと同じホストを持っているかどうかをピアが判断できるロケーターリストオプションに十分に大きなロケーターのセットを含める必要があるため、LS(ピア)に一般的なロケーターがあるかどうかを比較します。
The old context that used the Context Tag MUST be removed; it can no longer be used to send packets. Thus, A would forcibly remove the context state for <A1, B1, X> so that it can accept the new context for <A3, B1, X>. An implementation MAY re-create a context to replace the one that was removed -- in this case, for <A1, B1>. The normal I1, R1, I2, R2 establishment exchange would then pick unique Context Tags for that replacement context. This re-creation is OPTIONAL, but might be useful when there is ULP communication that is using the ULID pair whose context was removed.
コンテキストタグを使用した古いコンテキストは削除する必要があります。パケットを送信するために使用できなくなりました。したがって、aは<a1、b1、x>のコンテキスト状態を強制的に削除し、<a3、b1、x>の新しいコンテキストを受け入れることができます。実装は、削除されたものを置き換えるコンテキストを再作成する場合があります - この場合、<A1、B1>の場合。通常のI1、R1、I2、R2の確立交換は、その置換コンテキストの一意のコンテキストタグを選択します。この再作成はオプションですが、コンテキストが削除されたULPペアを使用しているULP通信がある場合に役立つ場合があります。
Note that an I1 message with a duplicate Context Tag should not cause the removal of the old context state; this operation needs to be deferred until the reception of the I2 message.
重複したコンテキストタグを持つI1メッセージは、古いコンテキスト状態の削除を引き起こさないことに注意してください。この操作は、i2メッセージが受信されるまで延期する必要があります。
When the shim layer decides to set up a context for a ULID pair, it starts by allocating and initializing the context state for its end. As part of this, it assigns a random Context Tag to the context that is not being used as CT(local) by any other context . In the case that a new API is used and the ULP requests a forked context, the Forked Instance Identifier value will be set to a non-zero value. Otherwise, the FII value is zero. Then the initiator can send an I1 message and set the context STATE to I1-SENT. The I1 message MUST include the ULID pair -- normally, in the IPv6 Source and Destination fields. But if the ULID pair for the context is not used as a locator pair for the I1 message, then a ULID option MUST be included in the I1 message. In addition, if a Forked Instance Identifier value is non-zero, the I1 message MUST include a Context Instance Identifier option containing the correspondent value.
Shim層が塩分ペアのコンテキストを設定することを決定すると、コンテキスト状態を割り当てて初期化することから始めます。この一部として、他のコンテキストによってCT(ローカル)として使用されていないコンテキストにランダムコンテキストタグを割り当てます。新しいAPIが使用され、ULPがフォークされたコンテキストを要求する場合、フォークされたインスタンス識別子値は非ゼロ値に設定されます。それ以外の場合、FII値はゼロです。その後、イニシエーターはi1メッセージを送信し、コンテキスト状態をi1-sentに設定できます。i1メッセージには、通常、IPv6ソースと宛先フィールドにulidペアを含める必要があります。ただし、コンテキスト用のulidペアがi1メッセージのロケーターペアとして使用されていない場合、i1メッセージにulidオプションを含める必要があります。さらに、Forked Instance Identifier値がゼロである場合、i1メッセージには、通信者値を含むコンテキストインスタンス識別子オプションを含める必要があります。
If the host does not receive an R1 or R2 message in response to the I1 message after I1_TIMEOUT time, then it needs to retransmit the I1 message. The retransmissions should use a retransmission timer with binary exponential backoff to avoid creating congestion issues for the network when lots of hosts perform I1 retransmissions. Also, the actual timeout value should be randomized between 0.5 and 1.5 of the nominal value to avoid self-synchronization.
I1_TimeOut時間後にI1メッセージに応じてR1またはR2メッセージをホストが受信しない場合、I1メッセージを再送信する必要があります。再送信は、バイナリ指数バックオフを備えた再送信タイマーを使用して、多くのホストがI1再送信を実行したときにネットワークの渋滞の問題を作成しないようにする必要があります。また、実際のタイムアウト値は、自己同期を避けるために、公称値の0.5〜1.5の間でランダム化する必要があります。
If, after I1_RETRIES_MAX retransmissions, there is no response, then most likely the peer does not implement the Shim6 protocol (or there could be a firewall that blocks the protocol). In this case, it makes sense for the host to remember not to try again to establish a context with that ULID. However, any such negative caching should be retained for at most NO_R1_HOLDDOWN_TIME, in order to be able to later set up a context should the problem have been that the host was not reachable at all when the shim tried to establish the context.
i1_retries_maxの再送信の後、応答がない場合、おそらくピアはSHIM6プロトコルを実装しない可能性があります(または、プロトコルをブロックするファイアウォールがある可能性があります)。この場合、ホストは、その尿素とのコンテキストを確立しないように再試行しないことを覚えておくことは理にかなっています。ただし、シムがコンテキストを確立しようとしたときにホストがまったく到達できないという問題がある場合、後でコンテキストを設定できるようにするために、そのようなネガティブなキャッシングは最大のNO_R1_HOLDDOWN_TIMEのために保持されるべきです。
If the host receives an ICMP error with "Unrecognized Next Header" type (type 4, code 1) and the included packet is the I1 message it just sent, then this is a more reliable indication that the peer ULID does not implement Shim6. Again, in this case, the host should remember not to try again to establish a context with that ULID. Such negative caching should be retained for at most ICMP_HOLDDOWN_TIME, which should be significantly longer than the previous case.
ホストが「認識されていないネクストヘッダー」タイプ(タイプ4、コード1)でICMPエラーを受信し、含まれたパケットが送信されたi1メッセージである場合、これはピアルリドがSHIM6を実装しないというより信頼性の高い兆候です。繰り返しますが、この場合、ホストは、その尿酸症とのコンテキストを確立するために再度を試みないように覚えておく必要があります。このような負のキャッシングは、最大のICMP_HOLDDOWN_TIMEで保持する必要があります。これは、前のケースよりも大幅に長くなるはずです。
A host MUST silently discard any received I1 messages that do not satisfy all of the following validity checks in addition to those specified in Section 12.3:
ホストは、セクション12.3で指定されているものに加えて、次のすべての妥当性チェックを満たさない受信したi1メッセージを静かに廃棄する必要があります。
o The Hdr Ext Len field is at least 1, i.e., the length is at least 16 octets.
o HDR ext Lenフィールドは少なくとも1です。つまり、長さは少なくとも16オクテットです。
Upon the reception of an I1 message, the host extracts the ULID pair and the Forked Instance Identifier from the message. If there is no ULID-pair option, then the ULID pair is taken from the Source and Destination fields in the IPv6 header. If there is no FII option in the message, then the FII value is taken to be zero.
I1メッセージを受信すると、ホストはメッセージからulidペアとフォークインスタンス識別子を抽出します。ulid-pairオプションがない場合、ulidペアはIPv6ヘッダーのソースフィールドと宛先フィールドから取得されます。メッセージにFIIオプションがない場合、FII値はゼロになります。
Next, the host looks for an existing context that matches the ULID pair and the FII.
次に、ホストは、ulidペアとFIIに一致する既存のコンテキストを探します。
If no state is found (i.e., the STATE is IDLE), then the host replies with an R1 message as specified below.
状態が見つからない場合(つまり、状態がアイドル状態です)、ホストは以下に指定されているようにR1メッセージで応答します。
If such a context exists in ESTABLISHED STATE, the host verifies that the locator of the initiator is included in Ls(peer). (This check is unnecessary if there is no ULID-pair option in the I1 message.)
そのようなコンテキストが確立された状態に存在する場合、ホストはイニシエーターのロケーターがLS(PEER)に含まれていることを確認します。(i1メッセージにulid-pairオプションがない場合、このチェックは不要です。)
If the state exists in ESTABLISHED STATE and the locators do not fall in the locator sets, then the host replies with an R1 message as specified below. This completes the I1 processing, with the context STATE being unchanged.
状態が確立された状態に存在し、ロケーターがロケーターセットに該当しない場合、ホストは以下に指定されたR1メッセージで応答します。これにより、I1処理が完了し、コンテキスト状態は変更されていません。
If the state exists in ESTABLISHED STATE and the locators do fall in the sets, then the host compares CT(peer) for the context with the CT contained in the I1 message.
状態が確立された状態に存在し、ロケーターがセットに落ちる場合、ホストはI1メッセージに含まれるCTとコンテキストについてCT(PEER)を比較します。
o If the Context Tags match, then this probably means that the R2 message was lost and this I1 is a retransmission. In this case, the host replies with an R2 message containing the information available for the existent context.
o コンテキストタグが一致する場合、これはおそらくR2メッセージが失われ、このi1が再送信であることを意味します。この場合、ホストは、存在するコンテキストで利用可能な情報を含むR2メッセージで返信します。
o If the Context Tags do not match, then it probably means that the initiator has lost the context information for this context and is trying to establish a new one for the same ULID pair. In this case, the host replies with an R1 message as specified below. This completes the I1 processing, with the context STATE being unchanged.
o コンテキストタグが一致しない場合、おそらくイニシエーターがこのコンテキストのコンテキスト情報を失い、同じulidペアの新しいコンテキストを確立しようとしていることを意味します。この場合、ホストは以下に指定されているR1メッセージで返信します。これにより、I1処理が完了し、コンテキスト状態は変更されていません。
If the state exists in other STATE (I1-SENT, I2-SENT, I2BIS-SENT), we are in the situation of concurrent context establishment, described in Section 7.4. In this case, the host leaves CT(peer) unchanged and replies with an R2 message. This completes the I1 processing, with the context STATE being unchanged.
状態が他の状態(I1-SENT、I2-SENT、I2BIS-SENT)に存在する場合、セクション7.4で説明されている同時コンテキスト確立の状況にあります。この場合、ホストはCT(PEER)を変更せずに残し、R2メッセージで返信します。これにより、I1処理が完了し、コンテキスト状態は変更されていません。
When the host needs to send an R1 message in response to the I1 message, it copies the Initiator Nonce from the I1 message to the R1 message, generates a Responder Nonce, and calculates a Responder Validator option as suggested in the following section. No state is created on the host in this case. (Note that the information used to generate the R1 reply message is either contained in the received I1 message or is global information that is not associated with the particular requested context (the S and the Responder Nonce values.))
ホストがi1メッセージに応じてR1メッセージを送信する必要がある場合、I1メッセージからR1メッセージにイニシエーターNONCEをコピーし、レスポンダーNONCEを生成し、次のセクションで提案されているレスポンダー検証装置オプションを計算します。この場合、ホストには状態は作成されていません。(R1の返信メッセージを生成するために使用される情報は、受信したI1メッセージに含まれるか、特定の要求されたコンテキストに関連付けられていないグローバル情報であることに注意してください(SおよびResponder NonCE値。))
When the host needs to send an R2 message in response to the I1 message, it copies the Initiator Nonce from the I1 message to the R2 message, and otherwise follows the normal rules for forming an R2 message (see Section 7.14).
I1メッセージに応じてR2メッセージを送信する必要がある場合、I1メッセージからR2メッセージへのイニシエーターNONCEをコピーし、R2メッセージを形成するための通常のルールに従います(セクション7.14を参照)。
As it is stated in Section 5.15.1, the validator-generation mechanism is a local choice since the validator is generated and verified by the same node, i.e., the responder. However, in order to provide the required protection, the validator needs to be generated by fulfilling the conditions described in Section 5.15.1. One way for the responder to properly generate validators is to maintain a single secret (S) and a running counter (C) for the Responder Nonce that is incremented in fixed periods of time (this allows the responder to verify the age of a Responder Nonce, independently of the context in which it is used).
セクション5.15.1に記載されているように、検証装置は同じノード、つまりレスポンダーによって生成および検証されているため、バリデーター世代のメカニズムは局所的な選択です。ただし、必要な保護を提供するには、セクション5.15.1で説明されている条件を満たすことにより、検証因子を生成する必要があります。応答者がバリデーターを適切に生成する1つの方法は、一定の期間に増分されるレスポンダーNonceの単一の秘密とランニングカウンター(c)を維持することです(これにより、応答者は応答者のNonCEの年齢を確認できます。、それが使用されるコンテキストとは無関係に)。
When the validator is generated to be included in an R1 message sent in response to a specific I1 message, the responder can perform the following procedure to generate the validator value:
特定のi1メッセージに応じて送信されたR1メッセージに含まれるバリデーターが生成されると、レスポンダーは次の手順を実行して、バリデーター値を生成できます。
First, the responder uses the current counter C value as the Responder Nonce.
まず、レスポンダーは現在のカウンターC値をレスポンダーNonceとして使用します。
Second, it uses the following information (concatenated) as input to the one-way function:
第二に、一元配置関数への入力として、次の情報(連結)を使用します。
o The secret S
o 秘密s
o That Responder Nonce
o そのレスポンダーnonce
o The Initiator Context Tag from the I1 message
o I1メッセージからのイニシエーターコンテキストタグ
o The ULIDs from the I1 message
o i1メッセージからのulids
o The locators from the I1 message (strictly only needed if they are different from the ULIDs)
o i1メッセージのロケーター(尿酸塩とは異なる場合にのみ厳密に必要です)
o The Forked Instance Identifier, if such option was included in the I1 message
o そのようなオプションがi1メッセージに含まれている場合、フォークされたインスタンス識別子
Third, it uses the output of the hash function as the validator value included in the R1 message.
第三に、ハッシュ関数の出力をR1メッセージに含まれるバリタレータ値として使用します。
A host MUST silently discard any received R1 messages that do not satisfy all of the following validity checks in addition to those specified in Section 12.3:
ホストは、セクション12.3で指定されているものに加えて、次のすべての有効性チェックを満たさない受信したR1メッセージを静かに廃棄する必要があります。
o The Hdr Ext Len field is at least 1, i.e., the length is at least 16 octets.
o HDR ext Lenフィールドは少なくとも1です。つまり、長さは少なくとも16オクテットです。
Upon the reception of an R1 message, the host extracts the Initiator Nonce and the Locator Pair from the message (the latter from the Source and Destination fields in the IPv6 header). Next, the host looks for an existing context that matches the Initiator Nonce and where the locators are contained in Ls(peer) and Ls(local), respectively. If no such context is found, then the R1 message is silently discarded.
R1メッセージが受信されると、ホストはメッセージ(IPv6ヘッダーのソースフィールドと宛先フィールドから後者)からイニシエーターのノンセとロケーターペアを抽出します。次に、ホストは、イニシエーターNonCEとロケーターがそれぞれLS(ピア)とLS(ローカル)に含まれている既存のコンテキストを探します。そのようなコンテキストが見つからない場合、R1メッセージは静かに破棄されます。
If such a context is found, then the host looks at the STATE:
そのようなコンテキストが見つかった場合、ホストは状態を見ます。
o If the STATE is I1-SENT, then it sends an I2 message as specified below.
o 状態がi1-sentの場合、以下に指定されているようにi2メッセージを送信します。
o In any other STATE (I2-SENT, I2BIS-SENT, ESTABLISHED), then the host has already sent an I2 message and this is probably a reply to a retransmitted I1 message, so this R1 message MUST be silently discarded.
o 他の状態(I2-Sent、I2bis-Sent、確立)では、ホストはすでにi2メッセージを送信しており、これはおそらく再送信されたi1メッセージへの返信であるため、このR1メッセージは静かに廃棄する必要があります。
When the host sends an I2 message, it includes the Responder Validator option that was in the R1 message. The I2 message MUST include the ULID pair -- normally, in the IPv6 Source and Destination fields. If a ULID-pair option was included in the I1 message, then it MUST be included in the I2 message as well. In addition, if the Forked Instance Identifier value for this context is non-zero, the I2 message MUST contain a Forked Instance Identifier option carrying the Forked Instance Identifier value. Besides, the I2 message contains an Initiator Nonce. This is not required to be the same as the one included in the previous I1 message.
ホストがi2メッセージを送信すると、R1メッセージにあるResponder Validatorオプションが含まれます。i2メッセージには、通常、IPv6ソースと宛先フィールドにulidペアを含める必要があります。i1メッセージにulid-pairオプションが含まれている場合、i2メッセージにも含める必要があります。さらに、このコンテキストのフォークインスタンス識別子値がゼロである場合、i2メッセージには、フォークされたインスタンス識別子値を運ぶフォークされたインスタンス識別子オプションを含める必要があります。その上、i2メッセージにはイニシエーターNonceが含まれています。これは、以前のI1メッセージに含まれるものと同じである必要はありません。
The I2 message may also include the initiator's locator list. If this is the case, then it must also include the CGA Parameter Data Structure. If CGA (and not HBA) is used to verify one or more of the locators included in the locator list, then the initiator must also include a CGA Signature option containing the signature.
I2メッセージには、イニシエーターのロケーターリストも含まれている場合があります。この場合、CGAパラメーターデータ構造も含める必要があります。CGA(HBAではなく)を使用して、ロケーターリストに含まれる1つ以上のロケーターを検証する場合、イニシエーターには署名を含むCGA署名オプションも含める必要があります。
When the I2 message has been sent, the STATE is set to I2-SENT.
i2メッセージが送信されると、状態はi2-Sentに設定されます。
If the initiator does not receive an R2 message after I2_TIMEOUT time after sending an I2 message, it MAY retransmit the I2 message, using binary exponential backoff and randomized timers. The Responder Validator option might have a limited lifetime -- that is, the peer might reject Responder Validator options that are older than VALIDATOR_MIN_LIFETIME to avoid replay attacks. In the case that the initiator decides not to retransmit I2 messages, or in the case that the initiator still does not receive an R2 message after retransmitting I2 messages I2_RETRIES_MAX times, the initiator SHOULD fall back to retransmitting the I1 message.
i2メッセージを送信した後、I2_timeout時間後にイニシエーターがR2メッセージを受信しない場合、バイナリ指数バックオフとランダム化されたタイマーを使用して、i2メッセージを再送信する場合があります。Responder Validatorオプションは寿命が限られている可能性があります。つまり、ピアは、再生攻撃を避けるために、Validator_min_lifetimeよりも古いResponder Validatorオプションを拒否する場合があります。イニシエーターがi2メッセージを再送信しないことを決定した場合、またはi2メッセージを再送信した後、イニシエーターがまだR2メッセージを受信しない場合、I2_RETRIES_MAX TIMES、イニシエーターはI1メッセージの再送信に戻る必要があります。
A host MUST silently discard any received I2 messages that do not satisfy all of the following validity checks in addition to those specified in Section 12.3:
ホストは、セクション12.3で指定されているものに加えて、次のすべての有効性チェックを満たさない受信したi2メッセージを静かに廃棄する必要があります。
o The Hdr Ext Len field is at least 2, i.e., the length is at least 24 octets.
o HDR ext Lenフィールドは少なくとも2です。つまり、長さは少なくとも24オクテットです。
Upon the reception of an I2 message, the host extracts the ULID pair and the Forked Instance Identifier from the message. If there is no ULID-pair option, then the ULID pair is taken from the Source and Destination fields in the IPv6 header. If there is no FII option in the message, then the FII value is taken to be zero.
I2メッセージを受信すると、ホストはメッセージからulidペアとフォークインスタンス識別子を抽出します。ulid-pairオプションがない場合、ulidペアはIPv6ヘッダーのソースフィールドと宛先フィールドから取得されます。メッセージにFIIオプションがない場合、FII値はゼロになります。
Next, the host verifies that the Responder Nonce is a recent one (nonces that are no older than VALIDATOR_MIN_LIFETIME SHOULD be considered recent) and that the Responder Validator option matches the validator the host would have computed for the ULID, locators, Responder Nonce, Initiator Nonce, and FII.
次に、ホストは、レスポンダーのノンセが最近のものであることを確認します(validator_min_lifetimeが最近と見なされるべきではない)、および応答者の検証因子オプションは、ホストがulid、ロケーター、レスポンダーの非ce、reconder nonce、initiatatorのために計算したバリッタと一致することを確認しますノンセ、およびfii。
If a CGA Parameter Data Structure (PDS) is included in the message, then the host MUST verify if the actual PDS contained in the message corresponds to the ULID(peer).
CGAパラメーターデータ構造(PDS)がメッセージに含まれている場合、ホストはメッセージに含まれる実際のPDがulid(ピア)に対応するかどうかを確認する必要があります。
If any of the above verifications fail, then the host silently discards the message; it has completed the I2 processing.
上記の検証のいずれかが失敗した場合、ホストは静かにメッセージを破棄します。I2処理が完了しました。
If all the above verifications are successful, then the host proceeds to look for a context state for the initiator. The host looks for a context with the extracted ULID pair and FII. If none exist, then STATE of the (non-existing) context is viewed as being IDLE; thus, the actions depend on the STATE as follows:
上記のすべての検証が成功した場合、ホストはイニシエーターのコンテキスト状態を探すために進みます。ホストは、抽出されたulidペアとFIIのコンテキストを探します。存在しない場合、(存在しない)コンテキストの状態はアイドルであると見なされます。したがって、アクションは次のように状態に依存します。
o If the STATE is IDLE (i.e., the context does not exist), the host allocates a Context Tag (CT(local)), creates the context state for the context, and sets its STATE to ESTABLISHED. It records CT(peer) and the peer's locator set as well as its own locator set in the context. It SHOULD perform the HBA/CGA verification of the peer's locator set at this point in time, as specified in Section 7.2. Then, the host sends an R2 message back as specified below.
o 状態がアイドル状態である場合(つまり、コンテキストが存在しません)、ホストはコンテキストタグ(CT(ローカル))を割り当て、コンテキストのコンテキスト状態を作成し、その状態を確立されます。CT(ピア)とピアのロケーターセット、およびコンテキストで独自のロケーターセットを記録します。セクション7.2で指定されているように、この時点で設定されたピアのロケーターセットのHBA/CGA検証を実行する必要があります。次に、ホストは以下に指定されているようにR2メッセージを送信します。
o If the STATE is I1-SENT, then the host verifies if the source locator is included in Ls(peer) or in the Locator List contained in the I2 message and that the HBA/CGA verification for this specific locator is successful.
o 状態がi1-sentの場合、ソースロケーターがLS(ピア)に含まれている場合、またはi2メッセージに含まれるロケーターリスト、およびこの特定のロケーターのHBA/CGA検証が成功した場合、ホストは検証します。
* If this is not the case, then the message is silently discarded and the context STATE remains unchanged.
* そうでない場合、メッセージは静かに破棄され、コンテキスト状態は変更されません。
* If this is the case, then the host updates the context information (CT(peer), Ls(peer)) with the data contained in the I2 message, and the host MUST send an R2 message back as specified below. Note that before updating Ls(peer) information, the host SHOULD perform the HBA/CGA validation of the peer's locator set at this point in time, as specified in Section 7.2. The host moves to ESTABLISHED STATE.
* この場合、ホストはI2メッセージに含まれるデータを使用してコンテキスト情報(CT(PEER)、LS(PEER))を更新し、ホストは以下に指定されているようにR2メッセージを返送する必要があります。LS(ピア)情報を更新する前に、ホストはセクション7.2で指定されているように、この時点で設定されたピアのロケーターのHBA/CGA検証を実行する必要があることに注意してください。ホストは確立された状態に移動します。
o If the STATE is ESTABLISHED, I2-SENT, or I2BIS-SENT, then the host verifies if the source locator is included in Ls(peer) or in the Locator List contained in the I2 message and that the HBA/CGA verification for this specific locator is successful.
o 状態が確立されている場合、I2-Sent、またはI2Bis-Sentが設定された場合、ソースロケーターがLS(ピア)に含まれている場合、またはI2メッセージに含まれるロケーターリスト、およびこの特定のHBA/CGA検証が含まれている場合、ホストは検証します。ロケーターが成功しました。
* If this is not the case, then the message is silently discarded and the context STATE remains unchanged.
* そうでない場合、メッセージは静かに破棄され、コンテキスト状態は変更されません。
* If this is the case, then the host updates the context information (CT(peer), Ls(peer)) with the data contained in the I2 message, and the host MUST send an R2 message back as specified in Section 7.14. Note that before updating Ls(peer) information, the host SHOULD perform the HBA/CGA validation of the peer's locator set at this point in time, as specified in Section 7.2. The context STATE remains unchanged.
* この場合、ホストはI2メッセージに含まれるデータを使用してコンテキスト情報(CT(PEER)、LS(PEER))を更新し、ホストはセクション7.14で指定されているようにR2メッセージを返送する必要があります。LS(ピア)情報を更新する前に、ホストはセクション7.2で指定されているように、この時点で設定されたピアのロケーターのHBA/CGA検証を実行する必要があることに注意してください。コンテキスト状態は変更されていません。
Before the host sends the R2 message, it MUST look for a possible context confusion, i.e., where it would end up with multiple contexts using the same CT(peer) for the same peer host. See Section 7.15.
ホストがR2メッセージを送信する前に、可能なコンテキストの混乱を探す必要があります。つまり、同じピアホストに対して同じCT(PEER)を使用して複数のコンテキストを使用することになります。セクション7.15を参照してください。
When the host needs to send an R2 message, the host forms the message and its Context Tag, and copies the Initiator Nonce from the triggering message (I2, I2bis, or I1). In addition, it may include alternative locators and necessary options so that the peer can verify them. In particular, the R2 message may include the responder's locator list and the PDS option. If CGA (and not HBA) is used to verify the locator list, then the responder also signs the key parts of the message and includes a CGA Signature option containing the signature.
ホストがR2メッセージを送信する必要がある場合、ホストはメッセージとそのコンテキストタグを形成し、トリガーメッセージ(i2、i2bis、またはi1)からイニシエーターnonceをコピーします。さらに、ピアがそれらを検証できるように、代替ロケーターと必要なオプションが含まれる場合があります。特に、R2メッセージには、ResponderのロケーターリストとPDSオプションが含まれる場合があります。CGA(HBAではなく)を使用してロケーターリストを検証する場合、レスポンダーはメッセージの重要な部分にも署名し、署名を含むCGA署名オプションも含まれています。
R2 messages are never retransmitted. If the R2 message is lost, then the initiator will retransmit either the I2/I2bis or I1 message. Either retransmission will cause the responder to find the context state and respond with an R2 message.
R2メッセージが再送信されることはありません。R2メッセージが失われた場合、イニシエーターはi2/i2bisまたはi1メッセージのいずれかを再送信します。どちらかの再送信により、応答者はコンテキスト状態を見つけ、R2メッセージで応答します。
When the host receives an I2, I2bis, or R2, it MUST look for a possible context confusion, i.e., where it would end up with multiple contexts using the same CT(peer) for the same peer host. This can happen when the host has received the above messages, since they create a new context with a new CT(peer). The same issue applies when CT(peer) is updated for an existing context.
ホストがi2、i2bis、またはR2を受信すると、コンテキストの混乱、つまり、同じピアホストに同じCT(ピア)を使用して複数のコンテキストを使用する可能性のあるコンテキストの混乱を探す必要があります。これは、ホストが新しいCT(PEER)を使用して新しいコンテキストを作成するため、上記のメッセージを受信したときに発生する可能性があります。既存のコンテキストに対してCT(PEER)が更新された場合、同じ問題が適用されます。
The host takes CT(peer) for the newly created or updated context, and looks for other contexts which:
ホストは、新しく作成または更新されたコンテキストにCT(PEER)を取り、次の他のコンテキストを探します。
o Are in STATE ESTABLISHED or I2BIS-SENT
o 状態が確立されているか、i2bis-sentです
o Have the same CT(peer)
o 同じCT(ピア)を持っている
o Have an Ls(peer) that has at least one locator in common with the newly created or updated context
o 新しく作成または更新されたコンテキストと少なくとも1つのロケーターが共通しているLS(ピア)を持っています
If such a context is found, then the host checks if the ULID pair or the Forked Instance Identifier are different than the ones in the newly created or updated context:
そのようなコンテキストが見つかった場合、ホストは、ulidペアまたはフォークされたインスタンス識別子が、新しく作成または更新されたコンテキストのものとは異なるかどうかをチェックします。
o If either or both are different, then the peer is reusing the Context Tag for the creation of a context with different ULID pair or FII, which is an indication that the peer has lost the original context. In this case, we are in a context confusion situation, and the host MUST NOT use the old context to send any packets. It MAY just discard the old context (after all, the peer has discarded it), or it MAY attempt to re-establish the old context by sending a new I1 message and moving its STATE to I1-SENT. In any case, once that this situation is detected, the host MUST NOT keep two contexts with overlapping Ls(peer) locator sets and the same Context Tag in ESTABLISHED STATE, since this would result in demultiplexing problems on the peer.
o いずれかまたは両方が異なる場合、ピアは、異なる酸化ペアまたはFIIのコンテキストの作成のためにコンテキストタグを再利用しています。これは、ピアが元のコンテキストを失ったことを示しています。この場合、私たちはコンテキストの混乱状況にあり、ホストは古いコンテキストを使用してパケットを送信してはなりません。古いコンテキストを破棄するだけで(結局、ピアはそれを破棄しました)、または新しいi1メッセージを送信して状態をi1-sentに移動することにより、古いコンテキストを再確立しようとする場合があります。いずれにせよ、この状況が検出されたら、ホストは、重複するLS(ピア)ロケーターセットと確立された状態で同じコンテキストタグを持つ2つのコンテキストを維持してはなりません。
o If both are the same, then this context is actually the context that is created or updated; hence, there is no confusion.
o 両方が同じ場合、このコンテキストは実際に作成または更新されるコンテキストです。したがって、混乱はありません。
A host MUST silently discard any received R2 messages that do not satisfy all of the following validity checks in addition to those specified in Section 12.3:
ホストは、セクション12.3で指定されているものに加えて、次のすべての妥当性チェックを満たさない受信したR2メッセージを静かに廃棄する必要があります。
o The Hdr Ext Len field is at least 1, i.e., the length is at least 16 octets.
o HDR ext Lenフィールドは少なくとも1です。つまり、長さは少なくとも16オクテットです。
Upon the reception of an R2 message, the host extracts the Initiator Nonce and the Locator Pair from the message (the latter from the Source and Destination fields in the IPv6 header). Next, the host looks for an existing context that matches the Initiator Nonce and where the locators are Lp(peer) and Lp(local), respectively. Based on the STATE:
R2メッセージが受信されると、ホストはメッセージ(IPv6ヘッダーのソースフィールドと宛先フィールドから後者)からイニシエーターのノンセとロケーターペアを抽出します。次に、ホストは、イニシエーターNONCEとロケーターがLP(ピア)とLP(ローカル)と一致する既存のコンテキストを探します。状態に基づいて:
o If no such context is found, i.e., the STATE is IDLE, then the message is silently dropped.
o そのようなコンテキストが見つからない場合、つまり状態がアイドル状態である場合、メッセージは静かに削除されます。
o If STATE is I1-SENT, I2-SENT, or I2BIS-SENT, then the host performs the following actions. If a CGA Parameter Data Structure (PDS) is included in the message, then the host MUST verify that the actual PDS contained in the message corresponds to the ULID(peer) as specified in Section 7.2. If the verification fails, then the message is silently dropped. If the verification succeeds, then the host records the information from the R2 message in the context state; it records the peer's locator set and CT(peer). The host SHOULD perform the HBA/CGA verification of the peer's locator set at this point in time, as specified in Section 7.2. The host sets its STATE to ESTABLISHED.
o 状態がi1-sent、i2-sent、またはi2bis-sentの場合、ホストは次のアクションを実行します。CGAパラメーターデータ構造(PDS)がメッセージに含まれている場合、ホストは、メッセージに含まれる実際のPDSがセクション7.2で指定されているようにulid(ピア)に対応することを確認する必要があります。検証が失敗した場合、メッセージは静かに削除されます。検証が成功した場合、ホストはコンテキスト状態のR2メッセージからの情報を記録します。ピアのロケーターセットとCT(ピア)を記録します。ホストは、セクション7.2で指定されているように、この時点で設定されたピアのロケーターのHBA/CGA検証を実行する必要があります。ホストはその状態を確立します。
o If the STATE is ESTABLISHED, the R2 message is silently ignored, (since this is likely to be a reply to a retransmitted I2 message).
o 状態が確立された場合、R2メッセージは静かに無視されます(これは再送信されたi2メッセージへの返信になる可能性が高いため)。
Before the host completes the R2 processing, it MUST look for a possible context confusion, i.e., where it would end up with multiple contexts using the same CT(peer) for the same peer host. See Section 7.15.
ホストがR2処理を完了する前に、可能なコンテキストの混乱を探す必要があります。つまり、同じピアホストに対して同じCT(ピア)を使用して複数のコンテキストで終わることになります。セクション7.15を参照してください。
Upon the receipt of a Shim6 Payload Extension header where there is no current Shim6 context at the receiver, the receiver is to respond with an R1bis message in order to enable a fast re-establishment of the lost Shim6 context.
レシーバーに現在のSHIM6コンテキストがないSHIM6ペイロードエクステンションヘッダーを受信すると、レシーバーはr1bisメッセージで応答して、失われたSHIM6コンテキストの迅速な再確立を可能にします。
Also, a host is to respond with an R1bis upon receipt of any control messages that have a message type in the range 64-127 (i.e., excluding the context-setup messages such as I1, R1, R1bis, I2, I2bis, R2, and future extensions), where the control message refers to a non-existent context.
また、ホストは、64-127の範囲にメッセージタイプがあるコントロールメッセージを受信したときにR1BISで応答することです(つまり、I1、R1、R1BIS、I2、I2BIS、R2などのコンテキストセットアップメッセージを除外します。および将来の拡張)、制御メッセージは存在しないコンテキストを指します。
We assume that all the incoming packets that trigger the generation of an R1bis message contain a locator pair (in the address fields of the IPv6 header) and a Context Tag.
R1BISメッセージの生成をトリガーするすべての着信パケットには、ロケーターペア(IPv6ヘッダーのアドレスフィールド)とコンテキストタグが含まれていると想定しています。
Upon reception of any of the packets described above, the host will reply with an R1bis including the following information:
上記のパケットを受信すると、ホストは次の情報を含むR1BIで返信します。
o The Responder Nonce is a number picked by the responder that the initiator will return in the I2bis message.
o Responder Nonceは、イニシエーターがi2bisメッセージで返すレスポンダーによって選ばれた数字です。
o Packet Context Tag is the Context Tag contained in the received packet that triggered the generation of the R1bis message.
o パケットコンテキストタグは、R1BISメッセージの生成をトリガーする受信パケットに含まれるコンテキストタグです。
o The Responder Validator option is included, with a validator that is computed as suggested in the next section.
o 次のセクションで提案されているように計算されるバリデーターを使用して、応答者の検証装置オプションが含まれています。
One way for the responder to properly generate validators is to maintain a single secret (S) and a running counter C for the Responder Nonce that is incremented in fixed periods of time (this allows the responder to verify the age of a Responder Nonce, independently of the context in which it is used).
応答者がバリデーターを適切に生成する1つの方法は、一定の期間に増分されるレスポンダーNonceの単一の秘密とランニングカウンターCを維持することです(これにより、応答者は応答者の非CEの年齢を独立して確認できます。使用されるコンテキストの)。
When the validator is generated to be included in an R1bis message -- that is, sent in response to a specific control packet or a packet containing the Shim6 Payload Extension header message -- the responder can perform the following procedure to generate the validator value:
VALIDATORがR1BISメッセージに含まれるように生成された場合、つまり、特定のコントロールパケットまたはSHIM6ペイロード拡張ヘッダーメッセージを含むパケットに応答して送信されます。
First, the responder uses the counter C value as the Responder Nonce.
まず、レスポンダーはカウンターC値を応答者のノンセとして使用します。
Second, it uses the following information (concatenated) as input to the one-way function:
第二に、一元配置関数への入力として、次の情報(連結)を使用します。
o The secret S
o 秘密s
o That Responder Nonce
o そのレスポンダーnonce
o The Receiver Context Tag included in the received packet
o 受信パケットに含まれるレシーバーコンテキストタグ
o The locators from the received packet Third, it uses the output of the hash function as the validator string.
o 受信したパケット3番目のロケーターは、ハッシュ関数の出力をバリデーター文字列として使用します。
A host MUST silently discard any received R1bis messages that do not satisfy all of the following validity checks in addition to those specified in Section 12.3:
ホストは、セクション12.3で指定されているものに加えて、以下のすべての有効性チェックを満たさない受信したR1BISメッセージを静かに廃棄する必要があります。
o The Hdr Ext Len field is at least 1, i.e., the length is at least 16 octets.
o HDR ext Lenフィールドは少なくとも1です。つまり、長さは少なくとも16オクテットです。
Upon the reception of an R1bis message, the host extracts the Packet Context Tag and the Locator Pair from the message (the latter from the Source and Destination fields in the IPv6 header). Next, the host looks for an existing context where the Packet Context Tag matches CT(peer) and where the locators match Lp(peer) and Lp(local), respectively.
R1BISメッセージを受信すると、ホストはメッセージ(IPv6ヘッダーのソースフィールドと宛先フィールドから後者)からパケットコンテキストタグとロケーターペアを抽出します。次に、ホストは、パケットコンテキストタグがCT(ピア)とそれぞれLOCATORSがLP(ピア)とLP(ローカル)と一致する既存のコンテキストを探します。
o If no such context is found, i.e., the STATE is IDLE, then the R1bis message is silently discarded.
o そのようなコンテキストが見つからない場合、つまり状態がアイドル状態である場合、R1BISメッセージは静かに破棄されます。
o If the STATE is I1-SENT, I2-SENT, or I2BIS-SENT, then the R1bis message is silently discarded.
o 状態がi1-sent、i2-sent、またはi2bis-sentの場合、R1bisメッセージは静かに破棄されます。
o If the STATE is ESTABLISHED, then we are in the case where the peer has lost the context, and the goal is to try to re-establish it. For that, the host leaves CT(peer) unchanged in the context state, transitions to I2BIS-SENT STATE, and sends an I2bis message, including the computed Responder Validator option, the Packet Context Tag, and the Responder Nonce that were received in the R1bis message. This I2bis message is sent using the locator pair included in the R1bis message. In the case that this locator pair differs from the ULID pair defined for this context, then a ULID option MUST be included in the I2bis message. In addition, if the Forked Instance Identifier for this context is non-zero, then a Forked Instance Identifier option carrying the instance identifier value for this context MUST be included in the I2bis message. The I2bis message may also include a locator list. If this is the case, then it must also include the CGA Parameter Data Structure. If CGA (and not HBA) is used to verify one or more of the locators included in the locator list, then the initiator must also include a CGA Signature option containing the signature.
o 状態が確立された場合、私たちはピアがコンテキストを失った場合にあり、目標はそれを再確立しようとすることです。そのため、ホストはコンテキスト状態でCT(ピア)を変更し、i2bis-sent状態に移行し、計算されたレスポンダーバリデーターオプション、パケットコンテキストタグ、および受信したレスポンダーの非CEを含むi2bisメッセージを送信します。R1BISメッセージ。このi2bisメッセージは、R1BISメッセージに含まれるロケーターペアを使用して送信されます。このロケーターペアがこのコンテキストで定義されたulidペアとは異なる場合、i2bisメッセージにulidオプションを含める必要があります。さらに、このコンテキストのフォークインスタンス識別子がゼロである場合、このコンテキストのインスタンス識別子値を運ぶフォークされたインスタンス識別子オプションをi2bisメッセージに含める必要があります。i2bisメッセージには、ロケーターリストも含まれている場合があります。この場合、CGAパラメーターデータ構造も含める必要があります。CGA(HBAではなく)を使用して、ロケーターリストに含まれる1つ以上のロケーターを検証する場合、イニシエーターには署名を含むCGA署名オプションも含める必要があります。
If the initiator does not receive an R2 message after I2bis_TIMEOUT time after sending an I2bis message, it MAY retransmit the I2bis message, using binary exponential backoff and randomized timers. The Responder Validator option might have a limited lifetime -- that is, the peer might reject Responder Validator options that are older than VALIDATOR_MIN_LIFETIME to avoid replay attacks. In the case that the initiator decides not to retransmit I2bis messages, or in the case that the initiator still does not receive an R2 message after retransmitting I2bis messages I2bis_RETRIES_MAX times, the initiator SHOULD fall back to retransmitting the I1 message.
I2BISメッセージを送信した後、I2BIS_TIMEOUT時間後にイニシエーターがR2メッセージを受信しない場合、バイナリ指数バックオフとランダム化タイマーを使用して、I2BISメッセージを再送信する場合があります。Responder Validatorオプションは寿命が限られている可能性があります。つまり、ピアは、再生攻撃を避けるために、Validator_min_lifetimeよりも古いResponder Validatorオプションを拒否する場合があります。イニシエーターがi2bisメッセージを再送信しないことを決定した場合、またはi2bisメッセージを再送信した後、イニシエーターがまだR2メッセージを受信しない場合、i2bis_retries_max timesでは、イニシエーターはi1メッセージを再送信するために後退する必要があります。
A host MUST silently discard any received I2bis messages that do not satisfy all of the following validity checks in addition to those specified in Section 12.3:
ホストは、セクション12.3で指定されているものに加えて、以下のすべての有効性チェックを満たさない受信したi2bisメッセージを静かに廃棄する必要があります。
o The Hdr Ext Len field is at least 3, i.e., the length is at least 32 octets.
o HDR ext Lenフィールドは少なくとも3です。つまり、長さは少なくとも32オクテットです。
Upon the reception of an I2bis message, the host extracts the ULID pair and the Forked Instance Identifier from the message. If there is no ULID-pair option, then the ULID pair is taken from the Source and Destination fields in the IPv6 header. If there is no FII option in the message, then the FII value is taken to be zero.
I2BISメッセージを受信すると、ホストはメッセージからulidペアとフォークインスタンス識別子を抽出します。ulid-pairオプションがない場合、ulidペアはIPv6ヘッダーのソースフィールドと宛先フィールドから取得されます。メッセージにFIIオプションがない場合、FII値はゼロになります。
Next, the host verifies that the Responder Nonce is a recent one (nonces that are no older than VALIDATOR_MIN_LIFETIME SHOULD be considered recent) and that the Responder Validator option matches the validator the host would have computed for the locators, Responder Nonce, and Receiver Context Tag as part of sending an R1bis message.
次に、ホストは、応答者のノンセが最近のものであることを確認します(validator_min_lifetimeは最近と見なされるべきではありません)。R1BISメッセージの送信の一部としてタグ。
If a CGA Parameter Data Structure (PDS) is included in the message, then the host MUST verify if the actual PDS contained in the message corresponds to the ULID(peer).
CGAパラメーターデータ構造(PDS)がメッセージに含まれている場合、ホストはメッセージに含まれる実際のPDがulid(ピア)に対応するかどうかを確認する必要があります。
If any of the above verifications fail, then the host silently discards the message; it has completed the I2bis processing.
上記の検証のいずれかが失敗した場合、ホストは静かにメッセージを破棄します。i2bis処理が完了しました。
If both verifications are successful, then the host proceeds to look for a context state for the initiator. The host looks for a context with the extracted ULID pair and FII. If none exist, then STATE of the (non-existing) context is viewed as being IDLE; thus, the actions depend on the STATE as follows: o If the STATE is IDLE (i.e., the context does not exist), the host allocates a Context Tag (CT(local)), creates the context state for the context, and sets its STATE to ESTABLISHED. The host SHOULD NOT use the Packet Context Tag in the I2bis message for CT(local); instead, it should pick a new random Context Tag just as when it processes an I2 message. It records CT(peer) and the peer's locator set as well as its own locator set in the context. It SHOULD perform the HBA/CGA verification of the peer's locator set at this point in time, as specified in Section 7.2. Then the host sends an R2 message back as specified in Section 7.14.
両方の検証が成功した場合、ホストはイニシエーターのコンテキスト状態を探しに進みます。ホストは、抽出されたulidペアとFIIのコンテキストを探します。存在しない場合、(存在しない)コンテキストの状態はアイドルであると見なされます。したがって、アクションは次のように状態に依存します。o状態がアイドル状態である場合(つまり、コンテキストが存在しない場合)、ホストはコンテキストタグ(CT(CT))を割り当て、コンテキストのコンテキスト状態を作成し、セットその状態から確立されています。ホストは、CT(ローカル)のi2bisメッセージでパケットコンテキストタグを使用しないでください。代わりに、I2メッセージを処理するときと同じように、新しいランダムコンテキストタグを選択する必要があります。CT(ピア)とピアのロケーターセット、およびコンテキストで独自のロケーターセットを記録します。セクション7.2で指定されているように、この時点で設定されたピアのロケーターセットのHBA/CGA検証を実行する必要があります。次に、ホストはセクション7.14で指定されているようにR2メッセージを送り返します。
o If the STATE is I1-SENT, then the host verifies if the source locator is included in Ls(peer) or in the Locator List contained in the I2bis message and if the HBA/CGA verification for this specific locator is successful.
o 状態がi1-sentの場合、ホストは、ソースロケーターがLS(ピア)に含まれている場合、またはI2BISメッセージに含まれるロケーターリストに含まれていて、この特定のロケーターのHBA/CGA検証が成功した場合に検証します。
* If this is not the case, then the message is silently discarded. The context STATE remains unchanged.
* そうでない場合、メッセージは静かに破棄されます。コンテキスト状態は変更されていません。
* If this is the case, then the host updates the context information (CT(peer), Ls(peer)) with the data contained in the I2bis message, and the host MUST send an R2 message back as specified below. Note that before updating Ls(peer) information, the host SHOULD perform the HBA/CGA validation of the peer's locator set at this point in time, as specified in Section 7.2. The host moves to ESTABLISHED STATE.
* この場合、ホストはI2BISメッセージに含まれるデータを使用してコンテキスト情報(CT(PEER)、LS(PEER))を更新し、ホストは以下に指定されているようにR2メッセージを返送する必要があります。LS(ピア)情報を更新する前に、ホストはセクション7.2で指定されているように、この時点で設定されたピアのロケーターのHBA/CGA検証を実行する必要があることに注意してください。ホストは確立された状態に移動します。
o If the STATE is ESTABLISHED, I2-SENT, or I2BIS-SENT, then the host determines whether at least one of the two following conditions hold: i) if the source locator is included in Ls(peer) or, ii) if the source locator is included in the Locator List contained in the I2bis message and if the HBA/CGA verification for this specific locator is successful.
o 状態が確立されている場合、i2-sent、またはi2bis-sent、ホストは次の2つの条件の少なくとも1つが保持されるかどうかを決定します。i)ソースロケーターがLS(ピア)に含まれている場合、またはソースの場合は、ロケーターは、i2bisメッセージに含まれるロケーターリストに含まれており、この特定のロケーターのHBA/CGA検証が成功した場合。
* If none of the two aforementioned conditions hold, then the message is silently discarded. The context STATE remains unchanged.
* 前述の2つの条件のいずれも保持されない場合、メッセージは静かに破棄されます。コンテキスト状態は変更されていません。
* If at least one of the two aforementioned conditions hold, then the host updates the context information (CT(peer), Ls(peer)) with the data contained in the I2bis message, and the host MUST send an R2 message back, as specified in Section 7.14. Note that before updating Ls(peer) information, the host SHOULD perform the HBA/CGA validation of the peer's locator set at this point in time, as specified in Section 7.2. The context STATE remains unchanged.
* 前述の2つの条件の少なくとも1つが保持されている場合、ホストはI2BISメッセージに含まれるデータでコンテキスト情報(CT(PEER)、LS(PEER))を更新し、ホストは指定どおりにR2メッセージを返送する必要があります。セクション7.14で。LS(ピア)情報を更新する前に、ホストはセクション7.2で指定されているように、この時点で設定されたピアのロケーターのHBA/CGA検証を実行する必要があることに注意してください。コンテキスト状態は変更されていません。
The routers in the path as well as the destination might generate ICMP error messages. In some cases, the Shim6 can take action and solve the problem that resulted in the error. In other cases, the Shim6 layer cannot solve the problem, and it is critical that these packets make it back up to the ULPs so that they can take appropriate action.
パス内のルーターと宛先は、ICMPエラーメッセージを生成する場合があります。場合によっては、SHIM6はアクションを実行し、エラーをもたらした問題を解決できます。それ以外の場合、SHIM6層は問題を解決することができず、これらのパケットがULPSに戻って適切なアクションを実行できるようにすることが重要です。
This is an implementation issue in the sense that the mechanism is completely local to the host itself. But the issue of how ICMP errors are correctly dispatched to the ULP on the host are important; hence, this section specifies the issue.
これは、メカニズムがホスト自体にとって完全にローカルであるという意味での実装の問題です。しかし、ホストのULPにICMPエラーが正しく発送される方法の問題は重要です。したがって、このセクションで問題を指定します。
All ICMP messages MUST be delivered to the ULP in all cases, except when Shim6 successfully acts on the message (e.g., selects a new path). There SHOULD be a configuration option to unconditionally deliver all ICMP messages (including ones acted on by shim6) to the ULP.
すべての場合、すべての場合、すべての場合においてすべてのICMPメッセージをULPに配信する必要があります。すべてのICMPメッセージ(SHIM6によって作用されたものを含む)をULPに無条件に配信する構成オプションが必要です。
According to that recommendation, the following ICMP error messages should be processed by the Shim6 layer and not passed to the ULP:
その推奨によれば、次のICMPエラーメッセージはSHIM6レイヤーによって処理され、ULPに渡されないでください。
ICMP error Destination Unreachable, with codes: 0 (No route to destination) 1 (Communication with destination administratively prohibited) 2 (Beyond scope of source address) 3 (Address unreachable) 5 (Source address failed ingress/egress policy) 6 (Reject route to destination)
ICMPエラーの宛先は到達不可能で、コード:0(宛先へのルートなし)1(管理的に禁止されている宛先との通信)目的地へ)
ICMP Time exceeded error.
ICMP時間はエラーを超えました。
ICMP Parameter problem error, with the parameter that caused the error being a Shim6 parameter.
ICMPパラメーター問題エラー。エラーがSHIM6パラメーターであるパラメーターがあります。
The following ICMP error messages report problems that cannot be addressed by the Shim6 layer and that should be passed to the ULP (as described below):
次のICMPエラーメッセージは、SHIM6層では対処できない問題を報告し、ULPに渡す必要があります(以下に説明するように):
ICMP Packet too big error.
ICMPパケットが大きすぎるエラー。
ICMP Destination Unreachable with Code 4 (Port unreachable).
コード4(到達不能)を使用して到達不可能なICMP宛先。
ICMP Parameter problem (if the parameter that caused the problem is not a Shim6 parameter).
ICMPパラメーターの問題(問題を引き起こしたパラメーターがSHIM6パラメーターではない場合)。
+--------------+
| IPv6 Header |
| |
+--------------+
| ICMPv6 |
| Header |
- - +--------------+ - -
| IPv6 Header |
| src, dst as | Can be dispatched
IPv6 | sent by ULP | unmodified to ULP
| on host | ICMP error handler
Packet +--------------+
| ULP |
in | Header |
+--------------+
Error | |
~ Data ~
| |
- - +--------------+ - -
Figure 8: ICMP Error Handling without the Shim6 Payload Extension Header
図8:SHIM6ペイロード拡張ヘッダーなしでのICMPエラー処理
When the ULP packets are sent without the Shim6 Payload Extension header -- that is, while the initial locators=ULIDs are working -- this introduces no new concerns; an implementation's existing mechanism for delivering these errors to the ULP will work. See Figure 8.
SHIM6ペイロード拡張ヘッダーなしでULPパケットが送信されると、つまり、初期ロケーター= ulidsが機能している間、これは新しい懸念をもたらさない。これらのエラーをULPに配信するための実装の既存のメカニズムが機能します。図8を参照してください。
But when the shim on the transmitting side inserts the Shim6 Payload Extension header and replaces the ULIDs in the IP address fields with some other locators, then an ICMP error coming back will have a "packet in error", which is not a packet that the ULP sent. Thus, the implementation will have to apply reverse mapping to the "packet in error" before passing the ICMP error up to the ULP, including the ICMP extensions defined in [25]. See Figure 9.
しかし、送信側のSHIMがSHIM6ペイロード拡張ヘッダーを挿入し、IPアドレスフィールドのulidを他のロケーターに置き換えると、ICMPエラーが戻ってくるのは「エラーのパケット」になります。これはパケットではありません。ULPが送信されました。したがって、[25]で定義されているICMPエクステンションを含む、ICMPエラーをULPに渡す前に、実装は「誤差のパケット」に逆マッピングを適用する必要があります。図9を参照してください。
+--------------+
| IPv6 Header |
| |
+--------------+
| ICMPv6 |
| Header |
- - +--------------+ - -
| IPv6 Header |
| src, dst as | Needs to be
IPv6 | modified by | transformed to
| shim on host | have ULIDs
+--------------+ in src, dst fields,
Packet | Shim6 ext. | and Shim6 Ext.
| Header | header removed
in +--------------+ before it can be
| Transport | dispatched to the ULP
Error | Header | ICMP error handler.
+--------------+
| |
~ Data ~
| |
- - +--------------+ - -
Figure 9: ICMP Error Handling with the Shim6 Payload Extension Header
図9:SHIM6ペイロード拡張ヘッダーとのICMPエラー処理
Note that this mapping is different than when receiving packets from the peer with Shim6 Payload Extension headers because, in that case, the packets contain CT(local). But the ICMP errors have a "packet in error" with a Shim6 Payload Extension header containing CT(peer). This is because they were intended to be received by the peer. In any case, since the <Source Locator, Destination Locator, CT(peer)> has to be unique when received by the peer, the local host should also only be able to find one context that matches this tuple.
このマッピングは、パケットにCT(ローカル)が含まれているため、SHIM6ペイロード拡張ヘッダーを使用してピアからパケットを受信する場合とは異なることに注意してください。しかし、ICMPエラーには、CT(PEER)を含むSHIM6ペイロード拡張ヘッダーを備えた「エラーのパケット」があります。これは、彼らがピアによって受け取られることを意図していたからです。いずれにせよ、<ソースロケーター、宛先ロケーター、CT(ピア)>はピアが受信した場合に一意でなければならないため、ローカルホストはこのタプルに一致する1つのコンテキストのみを見つけることができるはずです。
If the ICMP error is a "packet too big", the reported MTU must be adjusted to be 8 octets less, since the shim will add 8 octets when sending packets.
ICMPエラーが「パケットが大きすぎる」の場合、報告されたMTUは、パケットを送信するときに8オクテットを追加するため、8オクテットを少なくするように調整する必要があります。
After the "packet in error" has had the original ULIDs inserted, then this Shim6 Payload Extension header can be removed. The result is a "packet in error" that is passed to the ULP which looks as if the shim did not exist.
「パケットインエラー」が元のUlidを挿入した後、このSHIM6ペイロード拡張ヘッダーを削除できます。結果は、まるでシムが存在しなかったかのように見えるULPに渡される「エラーのパケット」です。
Each host can unilaterally decide when to tear down a ULID-pair context. It is RECOMMENDED that hosts do not tear down the context when they know that there is some upper-layer protocol that might use the context. For example, an implementation might know this if there is an open socket that is connected to the ULID(peer). However, there might be cases when the knowledge is not readily available to the shim layer, for instance, for UDP applications that do not connect their sockets or for any application that retains some higher-level state across (TCP) connections and UDP packets.
各ホストは、尿細胞ペアのコンテキストをいつ解体するかを一方的に決定できます。コンテキストを使用する可能性のある上層層プロトコルがあることを知っている場合、ホストはコンテキストを取り壊さないことをお勧めします。たとえば、実装は、亜油(ピア)に接続されているオープンソケットがある場合、これを知っているかもしれません。ただし、たとえば、ソケットを接続しないUDPアプリケーションや、(TCP)接続とUDPパケット全体にあるいくつかの高レベルの状態を保持するアプリケーションについて、知識がShimレイヤーに容易に利用できない場合がある場合があります。
Thus, it is RECOMMENDED that implementations minimize premature teardown by observing the amount of traffic that is sent and received using the context, and tear down the state only after it appears quiescent. A reasonable approach would be to not tear down a context until at least 5 minutes have passed since the last message was sent or received using the context. (Note that packets that use the ULID pair as a locator pair and that do not require address rewriting by the Shim6 layer are also considered as packets using the associated Shim6 context.)
したがって、コンテキストを使用して送信および受信されたトラフィックの量を観察し、静止した状態を取り壊すことにより、実装を最小限に抑えることをお勧めします。合理的なアプローチは、コンテキストを使用して最後のメッセージが送信または受信されてから少なくとも5分が経過するまで、コンテキストを取り壊さないことです。(Locatorペアとしてulidペアを使用し、SHIM6層によるアドレス書き換えを必要としないパケットも、関連するSHIM6コンテキストを使用してパケットと見なされることに注意してください。)
Since there is no explicit, coordinated removal of the context state, there are potential issues around Context Tag reuse. One end might remove the state and potentially reuse that Context Tag for some other communication, and the peer might later try to use the old context (which it didn't remove). The protocol has mechanisms to recover from this, which work whether the state removal was total and accidental (e.g., crash and reboot of the host) or just a garbage collection of shim state that didn't seem to be used. However, the host should try to minimize the reuse of Context Tags by trying to randomly cycle through the 2^47 Context Tag values. (See Appendix C for a summary of how the recovery works in the different cases.)
コンテキスト状態の明示的で調整された除去はないため、コンテキストタグの再利用に関する潜在的な問題があります。一方の端は状態を除去し、他のコミュニケーションのためにそのコンテキストタグを再利用する可能性があり、ピアは後で古いコンテキストを使用しようとする可能性があります(削除しませんでした)。このプロトコルには、これから回復するメカニズムがあります。これは、状態の除去が完全かつ偶発的であるかどうか(たとえば、ホストのクラッシュと再起動)か、使用されていないと思われるシム状態のゴミコレクションであったかどうかにかかわらず機能します。ただし、ホストは、2^47コンテキストタグ値をランダムにサイクリングしようとすることにより、コンテキストタグの再利用を最小限に抑えようとする必要があります。(さまざまなケースでの回復の仕組みについては、付録Cを参照してください。)
The Update Request and Acknowledgement are used both to update the list of locators (only possible when CGA is used to verify the locator(s)) and to update the preferences associated with each locator.
更新リクエストと謝辞は、ロケーターのリストを更新するために使用されます(CGAを使用してロケーターを検証する場合のみ)。
When a host has a change in the locator set, it can communicate this to the peer by sending an Update Request. When a host has a change in the preferences for its locator set, it can also communicate this to the peer. The Update Request message can include just a Locator List option (to convey the new set of locators), just a Locator Preferences option, or both a new Locator List and new Locator Preferences.
ホストがロケーターセットに変更がある場合、更新リクエストを送信することでこれをピアに通信できます。ホストがロケーターセットの設定に変更がある場合、これをピアに伝えることもできます。更新リクエストメッセージには、ロケーターリストオプションのみ(新しいロケーターのセットを伝えるため)、ロケーター設定オプションのみ、または新しいロケーターリストと新しいロケーター設定の両方を含めることができます。
Should the host send a new Locator List, the host picks a new random, local generation number, records this in the context, and puts it in the Locator List option. Any Locator Preference option, whether sent in the same Update Request or in some future Update Request, will use that generation number to make sure the preferences get applied to the correct version of the locator list.
ホストが新しいロケーターリストを送信した場合、ホストは新しいランダムなローカル生成番号を選択し、これをコンテキストに記録し、ロケーターリストオプションに配置します。同じ更新リクエストで送信されたか、将来の更新リクエストで送信されているかどうかにかかわらず、ロケーター選好オプションは、その生成番号を使用して、設定がロケーターリストの正しいバージョンに適用されるようにします。
The host picks a random Request Nonce for each update and keeps the same nonce for any retransmissions of the Update Request. The nonce is used to match the acknowledgement with the request.
ホストは、アップデートごとにランダムリクエストNONCEを選択し、更新リクエストの再送信に対して同じNONCEを保持します。NONCEは、謝辞をリクエストと一致させるために使用されます。
The Update Request message can also include a CGA Parameter Data Structure (this is needed if the CGA PDS was not previously exchanged). If CGA (and not HBA) is used to verify one or more of the locators included in the locator list, then a CGA Signature option containing the signature must also be included in the Update Request message.
更新リクエストメッセージには、CGAパラメーターデータ構造も含めることができます(CGA PDSが以前に交換されていなかった場合にこれが必要です)。CGA(HBAではなく)を使用して、ロケーターリストに含まれる1つ以上のロケーターを検証する場合、署名を含むCGA署名オプションも更新リクエストメッセージに含める必要があります。
If the host does not receive an Update Acknowledgement R2 message in response to the Update Request message after UPDATE_TIMEOUT time, then it needs to retransmit the Update Request message. The retransmissions should use a retransmission timer with binary exponential backoff to avoid creating congestion issues for the network when lots of hosts perform Update Request retransmissions. Also, the actual timeout value should be randomized between 0.5 and 1.5 of the nominal value to avoid self-synchronization.
HostがUpdate_TimeOut Timeの後に更新リクエストメッセージに応じて更新確認R2メッセージを受信しない場合、更新リクエストメッセージを再送信する必要があります。再送信では、バイナリ指数バックオフを備えた再送信タイマーを使用して、多くのホストが更新リクエストの再送信を実行したときにネットワークの渋滞の問題を作成しないようにする必要があります。また、実際のタイムアウト値は、自己同期を避けるために、公称値の0.5〜1.5の間でランダム化する必要があります。
Should there be no response, the retransmissions continue forever. The binary exponential backoff stops at MAX_UPDATE_TIMEOUT. But the only way the retransmissions would stop when there is no acknowledgement is when Shim6, through the REAP protocol or some other mechanism, decides to discard the context state due to lack of ULP usage in combination with no responses to the REAP protocol.
応答がなければ、再送信は永遠に続きます。バイナリ指数バックオフは、max_update_timeoutで停止します。しかし、承認がないときに再送信が停止する唯一の方法は、shim6がreapプロトコルまたは他のメカニズムを介して、reapプロトコルへの応答なしと組み合わせたULP使用の欠如によりコンテキスト状態を破棄することを決定したときです。
There can be at most one outstanding Update Request message at any time. Thus until, for example, an update with a new Locator List has been acknowledged, any newer Locator List or new Locator Preferences cannot just be sent. However, when there is newer information and the older information has not yet been acknowledged, the host can, instead of waiting for an acknowledgement, abandon the previous update and construct a new Update Request (with a new Request Nonce) that includes the new information as well as the information that hasn't yet been acknowledged.
最大で1つの未解決の更新リクエストメッセージがいつでも存在する可能性があります。したがって、たとえば、新しいロケーターリストを使用した更新が認められるまで、新しいロケーターリストまたは新しいロケーター設定を送信することはできません。ただし、新しい情報があり、古い情報がまだ認められていない場合、ホストは謝辞を待つ代わりに、以前の更新を放棄し、新しい情報を含む新しい更新要求(新しいリクエストnonce)を作成できます。まだ認められていない情報も同様です。
For example, if the original locator list was just (A1, A2), and if an Update Request with the Locator List (A1, A3) is outstanding, and the host determines that it should both add A4 to the locator list and mark A1 as BROKEN, then it would need to:
たとえば、元のロケーターリストが(A1、A2)が正当であり、ロケーターリスト(A1、A3)の更新要求が傑出している場合、ホストは両方ともロケーターリストにA4を追加し、A1マークA1の両方が決定する必要があると判断しました。壊れたとき、それは次のようにする必要があります:
o Pick a new random Request Nonce for the new Update Request.
o 新しいアップデートリクエストの新しいランダムリクエストnonceを選択します。
o Pick a new random generation number for the new locator list.
o 新しいロケーターリストの新しいランダム生成番号を選択します。
o Form the new locator list: (A1, A3, A4).
o 新しいロケーターリストを形成します:(A1、A3、A4)。
o Form a Locator Preference option that uses the new generation number and has the BROKEN flag for the first locator.
o 新しい世代番号を使用し、最初のロケーターに壊れたフラグがあるロケーター設定オプションを形成します。
o Send the Update Request and start a retransmission timer.
o 更新リクエストを送信し、再送信タイマーを開始します。
Any Update Acknowledgement that doesn't match the current Request Nonce (for instance, an acknowledgement for the abandoned Update Request) will be silently ignored.
現在のリクエストNonce(たとえば、放棄された更新リクエストの承認)と一致しない更新承認は、静かに無視されます。
A host MUST silently discard any received Update Request messages that do not satisfy all of the following validity checks in addition to those specified in Section 12.3:
ホストは、セクション12.3で指定されているものに加えて、以下のすべての有効性チェックを満たさない受信した更新リクエストメッセージを静かに廃棄する必要があります。
o The Hdr Ext Len field is at least 1, i.e., the length is at least 16 octets.
o HDR ext Lenフィールドは少なくとも1です。つまり、長さは少なくとも16オクテットです。
Upon the reception of an Update Request message, the host extracts the Context Tag from the message. It then looks for a context that has a CT(local) that matches the Context Tag. If no such context is found, it sends an R1bis message as specified in Section 7.17.
更新リクエストメッセージが受信されると、ホストはメッセージからコンテキストタグを抽出します。次に、コンテキストタグに一致するCT(ローカル)を持つコンテキストを探します。そのようなコンテキストが見つからない場合、セクション7.17で指定されているR1BISメッセージを送信します。
Since Context Tags can be reused, the host MUST verify that the IPv6 Source Address field is part of Ls(peer) and that the IPv6 Destination Address field is part of Ls(local). If this is not the case, the sender of the Update Request has a stale context that happens to match the CT(local) for this context. In this case, the host MUST send an R1bis message and otherwise ignore the Update Request message.
コンテキストタグを再利用できるため、ホストはIPv6ソースアドレスフィールドがLS(PEER)の一部であり、IPv6宛先アドレスフィールドがLS(ローカル)の一部であることを確認する必要があります。そうでない場合、更新要求の送信者には、このコンテキストのCT(ローカル)と一致する古いコンテキストがあります。この場合、ホストはR1BISメッセージを送信する必要があります。そうしないと、更新リクエストメッセージを無視する必要があります。
If a CGA Parameter Data Structure (PDS) is included in the message, then the host MUST verify if the actual PDS contained in the packet corresponds to the ULID(peer). If this verification fails, the message is silently discarded.
CGAパラメーターデータ構造(PDS)がメッセージに含まれている場合、ホストはパケットに含まれる実際のPDがulid(ピア)に対応するかどうかを確認する必要があります。この検証が失敗した場合、メッセージは静かに破棄されます。
Then, depending on the STATE of the context:
次に、コンテキストの状態に応じて:
o If ESTABLISHED, proceed to process message.
o 確立されている場合は、メッセージを処理します。
o If I1-SENT, discard the message and stay in I1-SENT.
o I1-Sentの場合、メッセージを捨ててi1-Sentにとどまります。
o If I2-SENT, send I2 and proceed to process the message.
o i2-sentの場合、i2を送信してメッセージの処理に進みます。
o If I2BIS-SENT, send I2bis and proceed to process the message.
o i2bis-sentの場合、i2bisを送信してメッセージの処理に進みます。
The verification issues for the locators carried in the Update Request message are specified in Section 7.2. If the locator list cannot be verified, this procedure should send a Shim6 Error message with Error Code=2. In any case, if it cannot be verified, there is no further processing of the Update Request.
更新リクエストメッセージに掲載されたロケーターの検証問題は、セクション7.2で指定されています。ロケーターリストを検証できない場合、この手順はエラーコード= 2でSHIM6エラーメッセージを送信する必要があります。いずれにせよ、検証できない場合、更新リクエストのそれ以上の処理はありません。
Once any Locator List option in the Update Request has been verified, the peer generation number in the context is updated to be the one in the Locator List option.
更新要求のロケーターリストオプションが検証されると、コンテキストのピア生成番号が更新され、ロケーターリストオプションのオプションが更新されます。
If the Update Request message contains a Locator Preference option, then the generation number in the preference option is compared with the peer generation number in the context. If they do not match, then the host generates a Shim6 Error message with Error Code=3 and with the Pointer field referring to the first octet in the Locator List Generation number in the Locator Preference option. In addition, if the number of elements in the Locator Preference option does not match the number of locators in Ls(peer), then a Shim6 Error message with Error Code=4 is sent with the Pointer field referring to the first octet of the Length field in the Locator Preference option. In both cases of failure, no further processing is performed for the Update Request message.
更新リクエストメッセージにロケーター設定オプションが含まれている場合、設定オプションの生成番号は、コンテキストのピア生成番号と比較されます。それらが一致しない場合、ホストはエラーコード= 3でSHIM6エラーメッセージを生成し、ポインターフィールドがロケーター選好オプションのロケーターリスト生成番号の最初のオクテットを参照して生成します。さらに、ロケーター設定オプションの要素の数がLS(PEER)のロケーターの数と一致しない場合、エラーコード= 4のSHIM6エラーメッセージは、長さの最初のオクテットを参照してポインターフィールドで送信されます。ロケーター設定オプションのフィールド。障害の両方の場合、更新リクエストメッセージに対してさらに処理は実行されません。
If the generation numbers match, the locator preferences are recorded in the context.
生成数が一致する場合、ロケーターの設定はコンテキストに記録されます。
Once the Locator List option (if present) has been verified and any new locator list or locator preferences have been recorded, the host sends an Update Acknowledgement message, copying the nonce from the request and using the CT(peer) as the Receiver Context Tag.
ロケーターリストオプション(存在する場合)が検証され、新しいロケーターリストまたはロケーター設定が記録されたら、ホストは更新謝辞メッセージを送信し、リクエストからNonCEをコピーし、CT(PEER)を受信機コンテキストタグとして使用します。
Any new locators (or, more likely, new locator preferences) might result in the host wanting to select a different locator pair for the context -- for instance, if the Locator Preferences option lists the current Lp(peer) as BROKEN. The host uses the reachability exploration procedure described in [4] to verify that the new locator is reachable before changing Lp(peer).
新しいロケーター(または、より可能性の高い、新しいロケーターの設定)は、ホストがコンテキストに対して異なるロケーターペアを選択したい場合があります。たとえば、ロケーター設定オプションが現在のLP(ピア)を壊れたとリストする場合。ホストは、[4]で説明されている到達可能性探査手順を使用して、LP(PEER)を変更する前に新しいロケーターが到達可能であることを確認します。
A host MUST silently discard any received Update Acknowledgement messages that do not satisfy all of the following validity checks in addition to those specified in Section 12.3:
ホストは、セクション12.3で指定されているものに加えて、以下のすべての有効性チェックを満たさない受信した更新承認メッセージを静かに廃棄する必要があります。
o The Hdr Ext Len field is at least 1, i.e., the length is at least 16 octets.
o HDR ext Lenフィールドは少なくとも1です。つまり、長さは少なくとも16オクテットです。
Upon the reception of an Update Acknowledgement message, the host extracts the Context Tag and the Request Nonce from the message. It then looks for a context that has a CT(local) that matches the Context Tag. If no such context is found, it sends an R1bis message as specified in Section 7.17.
更新承認メッセージが受信されると、ホストはコンテキストタグとリクエストNonceをメッセージから抽出します。次に、コンテキストタグに一致するCT(ローカル)を持つコンテキストを探します。そのようなコンテキストが見つからない場合、セクション7.17で指定されているR1BISメッセージを送信します。
Since Context Tags can be reused, the host MUST verify that the IPv6 Source Address field is part of Ls(peer) and that the IPv6 Destination Address field is part of Ls(local). If this is not the case, the sender of the Update Acknowledgement has a stale context that happens to match the CT(local) for this context. In this case, the host MUST send an R1bis message and otherwise ignore the Update Acknowledgement message.
コンテキストタグを再利用できるため、ホストはIPv6ソースアドレスフィールドがLS(PEER)の一部であり、IPv6宛先アドレスフィールドがLS(ローカル)の一部であることを確認する必要があります。そうでない場合、更新謝辞の送信者には、このコンテキストのCT(ローカル)と一致する古いコンテキストがあります。この場合、ホストはR1BISメッセージを送信する必要があります。そうしないと、更新承認メッセージを無視する必要があります。
Then, depending on the STATE of the context:
次に、コンテキストの状態に応じて:
o If ESTABLISHED, proceed to process message.
o 確立されている場合は、メッセージを処理します。
o If I1-SENT, discard the message and stay in I1-SENT.
o I1-Sentの場合、メッセージを捨ててi1-Sentにとどまります。
o If I2-SENT, send R2 and proceed to process the message.
o I2-SENTの場合、R2を送信し、メッセージの処理に進みます。
o If I2BIS-SENT, send R2 and proceed to process the message.
o i2bis-sentの場合は、R2を送信し、メッセージの処理に進みます。
If the Request Nonce doesn't match the nonce for the last sent Update Request for the context, then the Update Acknowledgement is silently ignored. If the nonce matches, then the update has been completed and the Update retransmit timer can be reset.
リクエストがコンテキストの最後の送信更新リクエストのNonCEと一致しない場合、更新の確認は静かに無視されます。NONCEが一致する場合、更新が完了し、更新が再送信タイマーをリセットできます。
When there is no context state for the ULID pair on the sender, there is no effect on how ULP packets are sent. If the host is using some heuristic for determining when to perform a deferred context establishment, then the host might need to do some accounting (count the number of packets sent and received) even before there is a ULID-pair context.
送信者にulidペアのコンテキスト状態がない場合、ULPパケットがどのように送信されるかに影響はありません。ホストが延期されたコンテキスト確立をいつ実行するかを判断するためにヒューリスティックを使用している場合、ホストは、尿細胞ペアコンテキストがある前であっても(送信および受信したパケットの数を数える)、ある程度の会計を実行する必要がある場合があります。
If the context is not in ESTABLISHED or I2BIS-SENT STATE, then there is also no effect on how the ULP packets are sent. Only in the ESTABLISHED and I2BIS-SENT STATEs does the host have CT(peer) and Ls(peer) set.
コンテキストが確立されていないか、I2BIS-Sent状態にない場合、ULPパケットの送信方法にも影響はありません。確立されたおよびi2bis-Sent状態でのみ、ホストはCT(ピア)およびLS(ピア)セットを持っています。
If there is a ULID-pair context for the ULID pair, then the sender needs to verify whether the context uses the ULIDs as locators -- that is, whether Lp(peer) == ULID(peer) and Lp(local) == ULID(local).
ulidペアに尿細胞ペアコンテキストがある場合、送信者は、コンテキストがulidsをロケーターとして使用するかどうか、つまりLP(ピア)== ulid(ピア)とLP(ローカル)==かどうかを確認する必要があります。ulid(ローカル)。
If this is the case, then packets can be sent unmodified by the shim. If it is not the case, then the logic in Section 11.1 will need to be used.
この場合、パケットはシムによって修正されずに送信できます。そうでない場合は、セクション11.1のロジックを使用する必要があります。
There will also be some maintenance activity relating to (un)reachability detection, whether or not packets are sent with the original locators. The details of this are out of scope for this document and are specified in [4].
また、パケットが元のロケーターとともに送信されるかどうかにかかわらず、到達可能性検出に関連するメンテナンスアクティビティもあります。この詳細は、このドキュメントの範囲外であり、[4]で指定されています。
When sending packets, if there is a ULID-pair context for the ULID pair, and if the ULID pair is no longer used as the locator pair, then the sender needs to transform the packet. Apart from replacing the IPv6 Source and Destination fields with a locator pair, an 8-octet header is added so that the receiver can find the context and inverse the transformation.
パケットを送信するとき、ulidペアに尿酸塗装のコンテキストがある場合、およびulidペアがロケーターペアとして使用されなくなった場合、送信者はパケットを変換する必要があります。IPv6ソースと宛先フィールドをロケーターペアに置き換えることとは別に、レシーバーがコンテキストを見つけて変換を逆にできるように、8オクテットのヘッダーが追加されます。
If there has been a failure causing a switch, and later the context switches back to sending things using the ULID pair as the locator pair, then there is no longer a need to do any packet transformation by the sender; hence, there is no need to include the 8-octet Extension header.
スイッチを引き起こす障害が発生し、後でコンテキストがロケーターペアとしてulidペアを使用して物を送信するように戻すと、送信者によるパケット変換を行う必要はなくなります。したがって、8-OCTET拡張ヘッダーを含める必要はありません。
First, the IP address fields are replaced. The IPv6 Source Address field is set to Lp(local) and the Destination Address field is set to Lp(peer). Note that this MUST NOT cause any recalculation of the ULP checksums, since the ULP checksums are carried end-to-end and the ULP pseudo-header contains the ULIDs that are preserved end-to-end.
まず、IPアドレスフィールドが交換されます。IPv6ソースアドレスフィールドはLP(ローカル)に設定され、宛先アドレスフィールドはLP(ピア)に設定されています。ULPチェックサムはエンドツーエンドで運ばれ、ULP擬似ヘッダーにはエンドツーエンドが保存されている亜油が含まれているため、これはULPチェックサムの再計算を引き起こしてはならないことに注意してください。
The sender skips any "Routing Sublayer Extension headers" that the ULP might have included; thus, it skips any Hop-by-Hop Extension header, any Routing header, and any Destination Options header that is followed by a Routing header. After any such headers, the Shim6 Extension header will be added. This might be before a Fragment header, a Destination Options header, an ESP or AH header, or a ULP header.
送信者は、ULPが含めた可能性のある「ルーティングサブレイヤー拡張ヘッダー」をスキップします。したがって、ホップバイホップ拡張ヘッダー、ルーティングヘッダー、およびルーティングヘッダーが続く任意の宛先オプションヘッダーをスキップします。そのようなヘッダーの後、SHIM6拡張ヘッダーが追加されます。これは、フラグメントヘッダー、宛先オプションヘッダー、ESPまたはAHヘッダー、またはULPヘッダーの前である可能性があります。
The inserted Shim6 Payload Extension header includes the peer's Context Tag. It takes on the Next Header value from the preceding Extension header, since that Extension header will have a Next Header value of Shim6.
挿入されたSHIM6ペイロード拡張ヘッダーには、ピアのコンテキストタグが含まれています。そのエクステンションヘッダーにはSHIM6の次のヘッダー値があるため、前述の拡張ヘッダーから次のヘッダー値がかかります。
The receive side of the communication can receive packets associated to a Shim6 context, with or without the Shim6 Extension header. In case the ULID pair is being used as a locator pair, the packets received will not have the Shim6 Extension header and will be processed by the Shim6 layer as described below. If the received packet does carry the Shim6 Extension header, as in normal IPv6 receive-side packet processing, the receiver parses the (extension) headers in order. Should it find a Shim6 Extension header, it will look at the "P" field in that header. If this bit is zero, then the packet must be passed to the Shim6 payload handling for rewriting. Otherwise, the packet is passed to the Shim6 control handling.
通信の受信側は、SHIM6拡張ヘッダーの有無にかかわらず、SHIM6コンテキストに関連付けられたパケットを受信できます。ulidペアがロケーターペアとして使用されている場合、受信したパケットにはshim6拡張ヘッダーがなく、以下に説明するようにSHIM6レイヤーによって処理されます。受信したパケットが、通常のIPv6受信側パケット処理のようにSHIM6拡張ヘッダーを運ぶ場合、受信機は(拡張)ヘッダーを順番に解析します。SHIM6拡張ヘッダーが見つかった場合、そのヘッダーの「P」フィールドを調べます。このビットがゼロの場合、パケットは書き換えのためにSHIM6ペイロード処理に渡す必要があります。それ以外の場合、パケットはSHIM6制御処理に渡されます。
The receiver extracts the IPv6 Source and Destination fields and uses this to find a ULID-pair context, such that the IPv6 address fields match the ULID(local) and ULID(peer). If such a context is found, the context appears not to be quiescent; this should be remembered in order to avoid tearing down the context and for reachability detection purposes as described in [4]. The host continues with the normal processing of the IP packet.
受信機はIPv6ソースと宛先フィールドを抽出し、これを使用してulidペアコンテキストを見つけます。これにより、IPv6アドレスフィールドがulid(ローカル)とulid(ピア)と一致します。そのようなコンテキストが見つかった場合、コンテキストは静止していないように見えます。これは、[4]に記載されているように、コンテキストを取り壊すことを避け、到達可能性検出の目的で記憶する必要があります。ホストは、IPパケットの通常の処理を続けます。
The receiver extracts the Context Tag from the Shim6 Payload Extension header and uses this to find a ULID-pair context. If no context is found, the receiver SHOULD generate an R1bis message (see Section 7.17).
受信機は、SHIM6ペイロード拡張ヘッダーからコンテキストタグを抽出し、これを使用してulidペアコンテキストを見つけます。コンテキストが見つからない場合、受信機はR1BISメッセージを生成する必要があります(セクション7.17を参照)。
Then, depending on the STATE of the context:
次に、コンテキストの状態に応じて:
o If ESTABLISHED, proceed to process message.
o 確立されている場合は、メッセージを処理します。
o If I1-SENT, discard the message and stay in I1-SENT.
o I1-Sentの場合、メッセージを捨ててi1-Sentにとどまります。
o If I2-SENT, send I2 and proceed to process the message.
o i2-sentの場合、i2を送信してメッセージの処理に進みます。
o If I2BIS-SENT, send I2bis and proceed to process the message.
o i2bis-sentの場合、i2bisを送信してメッセージの処理に進みます。
With the context in hand, the receiver can now replace the IP address fields with the ULIDs kept in the context. Finally, the Shim6 Payload Extension header is removed from the packet (so that the ULP doesn't get confused by it), and the Next Header value in the preceding header is set to be the actual protocol number for the payload. Then the packet can be passed to the protocol identified by the Next Header value (which might be some function associated with the IP endpoint sublayer or a ULP).
コンテキストを手に入れると、受信者はIPアドレスフィールドをコンテキストに保持している油液に置き換えることができます。最後に、SHIM6ペイロード拡張ヘッダーはパケットから削除されます(ULPが混乱しないように)、前述のヘッダーの次のヘッダー値はペイロードの実際のプロトコル番号に設定されます。次に、パケットを次のヘッダー値(これはIPエンドポイントサブレーヤーまたはULPに関連付けられた何らかの関数である可能性がある)によって識別されるプロトコルに渡すことができます。
If the host is using some heuristic for determining when to perform a deferred context establishment, then the host might need to do some accounting (count the number of packets sent and received) for packets that do not have a Shim6 Extension header and for which there is no context. But the need for this depends on what heuristics the implementation has chosen.
ホストが延期されたコンテキスト確立をいつ実行するかを判断するためにいくつかのヒューリスティックを使用している場合、ホストは、SHIM6拡張ヘッダーがなく、そこにあるパケットについて会計(送信および受信したパケットの数を数える)を行う必要があるかもしれませんコンテキストではありません。しかし、これの必要性は、実装が選択したヒューリスティックに依存します。
A shim control message has the Checksum field verified. The Shim Header Length field is also verified against the length of the IPv6 packet to make sure that the shim message doesn't claim to end past the end of the IPv6 packet. Finally, it checks that neither the IPv6 Destination field nor the IPv6 Source field is a multicast address or an unspecified address. If any of those checks fail, the packet is silently dropped.
シムコントロールメッセージには、チェックサムフィールドが検証されています。Shimヘッダーの長さフィールドは、IPv6パケットの長さに対しても検証され、ShimメッセージがIPv6パケットの終わりを過ぎて終了すると主張しないことを確認します。最後に、IPv6宛先フィールドもIPv6ソースフィールドもマルチキャストアドレスまたは不特定のアドレスではないことを確認します。これらのチェックのいずれかが失敗した場合、パケットは静かに削除されます。
The message is then dispatched based on the shim message type. Each message type is then processed as described elsewhere in this document. If the packet contains a shim message type that is unknown to the receiver, then a Shim6 Error message with Error Code=0 is generated and sent back. The Pointer field is set to point at the first octet of the shim message type.
メッセージは、シムメッセージタイプに基づいて発送されます。各メッセージタイプは、このドキュメントの他の場所で説明されているように処理されます。パケットにレシーバーに不明なSHIMメッセージタイプが含まれている場合、エラーコードを持つSHIM6エラーメッセージが生成され、送信されます。ポインターフィールドは、シムメッセージタイプの最初のオクテットを指すように設定されています。
All the control messages can contain any options with C=0. If there is any option in the message with C=1 that isn't known to the host, then the host MUST send a Shim6 Error message with Error Code=1 with the Pointer field referencing the first octet of the Option Type.
すべての制御メッセージには、C = 0のオプションを含めることができます。ホストに知られていないc = 1のメッセージにメッセージがある場合、ホストはオプションタイプの最初のオクテットを参照するポインターフィールドを使用して、エラーコードを使用してshim6エラーメッセージを送信する必要があります。
We assume that each shim context has its own STATE machine. We assume that a dispatcher delivers incoming packets to the STATE machine that it belongs to. Here, we describe the rules used for the dispatcher to deliver packets to the correct shim context STATE machine.
各シムコンテキストには独自の状態マシンがあると想定しています。ディスパッチャーは、それが属する状態マシンに着信パケットを配信すると仮定します。ここでは、ディスパッチャーが正しいシムコンテキスト状態マシンにパケットを配信するために使用されるルールについて説明します。
There is one STATE machine per identified context that is conceptually identified by the ULID pair and Forked Instance Identifier (which is zero by default) or identified by CT(local). However, the detailed lookup rules are more complex, especially during context establishment.
識別されたコンテキストごとに1つの状態マシンがあり、これはulidペアとフォークされたインスタンス識別子(デフォルトではゼロ)またはCT(ローカル)で識別される概念的に識別されます。ただし、特にコンテキストの確立中は、詳細な検索ルールはより複雑です。
Clearly, if the required context is not established, it will be in IDLE STATE.
明らかに、必要なコンテキストが確立されていない場合、アイドル状態になります。
During context establishment, the context is identified as follows:
コンテキスト確立中に、コンテキストは次のように識別されます。
o I1 packets: Deliver to the context associated with the ULID pair and the Forked Instance Identifier.
o I1パケット:ulidペアとフォークされたインスタンス識別子に関連付けられたコンテキストに配信します。
o I2 packets: Deliver to the context associated with the ULID pair and the Forked Instance Identifier.
o I2パケット:ulidペアとフォークされたインスタンス識別子に関連付けられたコンテキストに配信します。
o R1 packets: Deliver to the context with the locator pair included in the packet and the Initiator Nonce included in the packet (R1 does not contain a ULID pair or the CT(local)). If no context exists with this locator pair and Initiator Nonce, then silently discard.
o R1パケット:パケットに含まれているロケーターペアとパケットに含まれるイニシエーターNonce(R1にはulidペアまたはCT(ローカル)が含まれていない)を使用してコンテキストに配信します。このロケーターペアとイニシエーターNonceにコンテキストが存在しない場合は、静かに破棄します。
o R2 packets: Deliver to the context with the locator pair included in the packet and the Initiator Nonce included in the packet (R2 does not contain a ULID pair or the CT(local)). If no context exists with this locator pair and Initiator Nonce, then silently discard.
o R2パケット:パケットに含まれるロケーターペアとパケットに含まれるイニシエーターNonCE(R2にはulidペアまたはCT(ローカル)が含まれていない)を使用してコンテキストに配信します。このロケーターペアとイニシエーターNonceにコンテキストが存在しない場合は、静かに破棄します。
o R1bis packets: Deliver to the context that has the locator pair and the CT(peer) equal to the Packet Context Tag included in the R1bis packet.
o R1BISパケット:R1BISパケットに含まれるパケットコンテキストタグに等しいロケーターペアとCT(ピア)を持つコンテキストに配信します。
o I2bis packets: Deliver to the context associated with the ULID pair and the Forked Instance Identifier.
o i2bisパケット:ulidペアとフォークされたインスタンス識別子に関連付けられたコンテキストに配信します。
o Shim6 Payload Extension headers: Deliver to the context with CT(local) equal to the Receiver Context Tag included in the packet.
o SHIM6ペイロード拡張ヘッダー:パケットに含まれるレシーバーコンテキストタグに等しいCT(ローカル)でコンテキストに配信します。
o Other control messages (Update, Keepalive, Probe): Deliver to the context with CT(local) equal to the Receiver Context Tag included in the packet. Verify that the IPv6 Source Address field is part of Ls(peer) and that the IPv6 Destination Address field is part of Ls(local). If not, send an R1bis message.
o その他のコントロールメッセージ(更新、KeepAlive、プローブ):パケットに含まれるレシーバーコンテキストタグに等しいCT(ローカル)とコンテキストに配信します。IPv6ソースアドレスフィールドがLS(PEER)の一部であり、IPv6宛先アドレスフィールドがLS(ローカル)の一部であることを確認します。そうでない場合は、R1BISメッセージを送信します。
o Shim6 Error messages and ICMP errors that contain a Shim6 Payload Extension header or other shim control packet in the "packet in error": Use the "packet in error" for dispatching as follows. Deliver to the context with CT(peer) equal to the Receiver Context Tag -- Lp(local) being the IPv6 source address and Lp(peer) being the IPv6 destination address.
o SHIM6エラーメッセージと、「エラーのパケット」にSHIM6ペイロードエクステンションヘッダーまたはその他のSHIMコントロールパケットを含むICMPエラー:次のようにディスパッチに「エラーのパケット」を使用します。CT(PEER)が受信機コンテキストタグに等しいCT(PEER)でコンテキストに配信します。LP(ローカル)はIPv6ソースアドレスであり、LP(PEER)がIPv6宛先アドレスです。
In addition, the shim on the sending side needs to be able to find the context state when a ULP packet is passed down from the ULP. In that case, the lookup key is the pair of ULIDs and FII=0. If we have a ULP API that allows the ULP to do context forking, then presumably the ULP would pass down the Forked Instance Identifier.
さらに、送信側のシムは、ULPからULPのパケットを渡されたときにコンテキスト状態を見つけることができる必要があります。その場合、ルックアップキーはulidsとfii = 0のペアです。ULPがコンテキストフォーキングを行うことを可能にするULP APIがある場合、おそらくULPはフォークされたインスタンス識別子を渡すでしょう。
The initial contact is some non-shim communication between two ULIDs, as described in Section 2. At that point in time, there is no activity in the shim.
最初の接触は、セクション2で説明されているように、2つのulidの間の非シム通信です。その時点で、シムにはアクティビティがありません。
Whether or not the shim ends up being used (e.g., the peer might not support Shim6), it is highly desirable that the initial contact can be established even if there is a failure for one or more IP addresses.
シムが使用されているかどうか(たとえば、ピアがSHIM6をサポートしない可能性がある場合)、1つ以上のIPアドレスの障害がある場合でも、最初の接触を確立できることは非常に望ましいです。
The approach taken is to rely on the applications and the transport protocols to retry with different source and destination addresses, consistent with what is already specified in "Default Address Selection for IPv6" [7] as well as with some fixes to that specification [9], to make it try different source addresses and not only different destination addresses.
取られたアプローチは、アプリケーションとトランスポートプロトコルに依存して、さまざまなソースおよび宛先アドレスで再試行することです。]、異なる宛先アドレスだけでなく、さまざまなソースアドレスを試すために。
The implementation of such an approach can potentially result in long timeouts. For instance, consider a naive implementation at the socket API that uses getaddrinfo() to retrieve all destination addresses and then tries to bind() and connect() to try all source and destination address combinations and waits for TCP to time out for each combination before trying the next one.
このようなアプローチの実装は、潜在的に長時間のタイムアウトをもたらす可能性があります。たとえば、getaddrinfo()を使用してすべての宛先アドレスを取得し、bind()とconnect()を試みて、すべてのソースと宛先アドレスの組み合わせを試して、各組み合わせのTCPを待機しようとするソケットAPIでの素朴な実装を検討してください。次のものを試す前に。
However, if implementations encapsulate this in some new connect-by-name() API and use non-blocking connect calls, it is possible to cycle through the available combinations in a more rapid manner until a working source and destination pair is found. Thus, the issues in this domain are issues of implementations and the current socket API, and not issues of protocol specification. In all honesty, while providing an easy to use connect-by-name() API for TCP and other connection-oriented transports is easy, providing a similar capability at the API for UDP is hard due to the protocol itself not providing any "success" feedback. Yet, even the UDP issue is one of APIs and implementation.
ただし、実装がいくつかの新しいConnect-by-Name()APIでこれをカプセル化し、非ブロッキングConnectコールを使用する場合、作業ソースと宛先ペアが見つかるまで、利用可能な組み合わせをより迅速にサイクリングすることができます。したがって、このドメインの問題は、実装の問題と現在のソケットAPIであり、プロトコル仕様の問題ではありません。正直に言って、TCPおよびその他の接続指向のトランスポートに使いやすいConnect-by-Name()APIを提供するのは簡単ですが、プロトコル自体が「成功を提供しないため、UDPのAPIで同様の機能を提供することは困難です。" フィードバック。しかし、UDPの問題でさえAPIと実装の1つです。
The protocol uses the following constants:
プロトコルは次の定数を使用します。
I1_RETRIES_MAX = 4
I1_TIMEOUT = 4 seconds
NO_R1_HOLDDOWN_TIME = 1 min
ICMP_HOLDDOWN_TIME = 10 min
I2_TIMEOUT = 4 seconds
I2_RETRIES_MAX = 2
I2bis_TIMEOUT = 4 seconds
I2bis_RETRIES_MAX = 2
VALIDATOR_MIN_LIFETIME = 30 seconds
UPDATE_TIMEOUT = 4 seconds
MAX_UPDATE_TIMEOUT = 120 seconds
The retransmit timers (I1_TIMEOUT, I2_TIMEOUT, UPDATE_TIMEOUT) are subject to binary exponential backoff as well as to randomization across a range of 0.5 and 1.5 times the nominal (backed off) value. This removes any risk of synchronization between lots of hosts performing independent shim operations at the same time.
再送信タイマー(i1_timeout、i2_timeout、update_timeout)は、バイナリ指数関数的バックオフと、公称(バックオフ)値の0.5および1.5倍の範囲にわたってランダム化の対象となります。これにより、独立したSHIM操作を同時に実行する多くのホスト間の同期のリスクが削除されます。
The randomization is applied after the binary exponential backoff. Thus, the first retransmission would happen based on a uniformly distributed random number in the range of [0.5*4, 1.5*4] seconds; the second retransmission, [0.5*8, 1.5*8] seconds after the first one, etc.
ランダム化は、バイナリ指数バックオフ後に適用されます。したがって、最初の再送信は、[0.5*4、1.5*4]秒の範囲の均一に分布した乱数に基づいて発生します。2番目の再送信、[0.5*8、1.5*8]最初の再送信後など。
When the locator pair currently used for exchanging packets in a Shim6 context becomes unreachable, the Shim6 layer will divert the communication through an alternative locator pair, which in most cases will result in redirecting the packet flow through an alternative network path. In this case, it is recommended that the Shim6 follows the recommendation defined in [21] and informs the upper layers about the path change, in order to allow the congestion control mechanisms of the upper layers to react accordingly.
SHIM6コンテキストでパケットを交換するために現在使用されているロケーターペアが到達不能になると、SHIM6層は代替ロケーターペアを介して通信を迂回させ、ほとんどの場合、代替ネットワークパスを通るパケットフローをリダイレクトします。この場合、SHIM6は[21]で定義されている推奨事項に従い、上層の混雑制御メカニズムがそれに応じて反応できるようにするために、上層にパスの変化について通知することをお勧めします。
Data packets belonging to a Shim6 context carrying the Shim6 Payload header contain alternative locators other than the ULIDs in the Source and Destination Address fields of the IPv6 header. On the other hand, the upper layers of the peers involved in the communication operate on the ULID pair presented to them by the Shim6 layer, rather than on the locator pair contained in the IPv6 header of the actual packets. It should be noted that the Shim6 layer does not modify the data packets but, because a constant ULID pair is presented to upper layers irrespective of the locator pair changes, the relation between the upper-layer header (such as TCP, UDP, ICMP, ESP, etc) and the IPv6 header is modified. In particular, when the Shim6 Extension header is present in the packet, if those data packets are TCP, UDP, or ICMP packets, the pseudo-header used for the checksum calculation will contain the ULID pair, rather than the locator pair contained in the data packet.
SHIM6ペイロードヘッダーを運ぶSHIM6コンテキストに属するデータパケットには、IPv6ヘッダーのソースおよび宛先アドレスフィールドにulids以外の代替ロケーターが含まれています。一方、通信に関与するピアの上層は、実際のパケットのIPv6ヘッダーに含まれるロケーターペアではなく、shim6層によって提示されたulidペアで動作します。SHIM6レイヤーはデータパケットを変更するのではなく、ロケーターのペアの変化に関係なく上層層に一定の亜鉛ペアが提示されるため、上層ヘッダーの関係(TCP、UDP、ICMP、ICMP、ESPなど)およびIPv6ヘッダーが変更されます。特に、パケットにSHIM6拡張ヘッダーが存在する場合、それらのデータパケットがTCP、UDP、またはICMPパケットである場合、チェックサム計算に使用される擬似ヘッダーには、ロケーターペアではなく、ulidペアが含まれます。データパケット。
It is possible that some firewalls or other middle-boxes will try to verify the validity of upper-layer sanity checks of the packet on the fly. If they do that based on the actual source and destination addresses contained in the IPv6 header without considering the Shim6 context information (in particular, without replacing the locator pair by the ULID pair used by the Shim6 context), such verifications may fail. Those middle-boxes need to be updated in order to be able to parse the Shim6 Payload header and find the next header. It is recommended that firewalls and other middle-boxes do not drop packets that carry the Shim6 Payload header with apparently incorrect upper-layer validity checks that involve the addresses in the IPv6 header for their computation, unless they are able to determine the ULID pair of the Shim6 context associated to the data packet and use the ULID pair for the verification of the validity check.
一部のファイアウォールまたは他のミドルボックスが、その場でのパケットの上層層の正気チェックの妥当性を検証しようとする可能性があります。SHIM6コンテキスト情報を考慮せずにIPv6ヘッダーに含まれる実際のソースおよび宛先アドレスに基づいてそれを行うと(特に、LocatorペアをSHIM6コンテキストで使用したULIDペアに置き換えることなく)、そのような検証は失敗する可能性があります。これらのミドルボックスは、SHIM6ペイロードヘッダーを解析し、次のヘッダーを見つけるために更新する必要があります。ファイアウォールやその他のミドルボックスは、SHIM6ペイロードヘッダーを運ぶパケットをドロップしないことをお勧めします。データパケットに関連付けられたSHIM6コンテキストは、有効性チェックの検証にulidペアを使用します。
In the particular case of TCP, UDP, and ICMP checksums, it is recommended that firewalls and other middle-boxes do not drop TCP, UDP, and ICMP packets that carry the Shim6 Payload header with apparently incorrect checksums when using the addresses in the IPv6 header for the pseudo-header computation, unless they are able to determine the ULID pair of the Shim6 context associated to the data packet and use the ULID pair to determine the checksum that must be present in a packet with addresses rewritten by Shim6.
TCP、UDP、およびICMPチェックサムの特定のケースでは、IPv666666のアドレスを使用するときに明らかに誤ったチェックサムを持つSHIM6ペイロードヘッダーを運ぶTCP、UDP、およびICMPパケットをドロップしないことをお勧めします。データパケットに関連付けられたSHIM6コンテキストの除去ペアを決定し、ulidペアを使用して、shim6が書き直したアドレスを持つパケットに存在する必要があるチェックサムを決定できない限り、擬似ヘッダー計算のヘッダー。
In addition, firewalls that today pass limited traffic, e.g., outbound TCP connections, would presumably block the Shim6 protocol. This means that even when Shim6-capable hosts are communicating, the I1 messages would be dropped; hence, the hosts would not discover that their peer is Shim6-capable. This is, in fact, a benefit since, if the hosts managed to establish a ULID-pair context, the firewall would probably drop the "different" packets that are sent after a failure (those using the Shim6 Payload Extension header with a TCP packet inside it). Thus, stateful firewalls that are modified to pass Shim6 messages should also be modified to pass the Shim6 Payload Extension header so that the shim can use the alternate locators to recover from failures. This presumably implies that the firewall needs to track the set of locators in use by looking at the Shim6 control exchanges. Such firewalls might even want to verify the locators using the HBA/CGA verification themselves, which they can do without modifying any of the Shim6 packets through which they pass.
さらに、今日の限られたトラフィック、たとえばアウトバウンドTCP接続を通過するファイアウォールは、おそらくSHIM6プロトコルをブロックするでしょう。これは、SHIM6対応のホストが通信している場合でも、I1メッセージが削除されることを意味します。したがって、ホストはピアがSHIM6対応であることを発見しません。実際、これは利点です。ホストがulidペアコンテキストを確立できた場合、ファイアウォールはおそらく障害後に送信される「異なる」パケットをドロップする可能性があります(TCPパケットでSHIM6ペイロード拡張ヘッダーを使用するものはその中)。したがって、SHIM6メッセージに合格するように変更されたステートフルなファイアウォールも変更して、SHIM6ペイロード拡張ヘッダーに合格して、SHIMが代替ロケーターを使用して障害から回復できるようにする必要があります。これはおそらく、ファイアウォールがSHIM6コントロール交換を調べて使用中のロケーターのセットを追跡する必要があることを意味します。このようなファイアウォールは、HBA/CGA検証自体を使用してロケーターを検証したいと思うかもしれません。
This section considers some aspects related to the operations and management of the Shim6 protocol.
このセクションでは、SHIM6プロトコルの運用と管理に関連するいくつかの側面を検討します。
Deployment of the Shim6 protocol: The Shim6 protocol is a host-based solution. So, in order to be deployed, the stacks of the hosts using the Shim6 protocol need to be updated to support it. This enables an incremental deployment of the protocol since it does not require a flag day for the deployment -- just single host updates. If the Shim6 solution will be deployed in a site, the host can be gradually updated to support the solution. Moreover, for supporting the Shim6 protocol, only end hosts need to be updated and no router changes are required. However, it should be noted that, in order to benefit from the Shim6 protocol, both ends of a communication should support the protocol, meaning that both hosts must be updated to be able to use the Shim6 protocol. Nevertheless, the Shim6 protocol uses a deferred context-setup capability that allows end hosts to establish normal IPv6 communications and, later on, if both endpoints are Shim6- capable, establish the Shim6 context using the Shim6 protocol. This has an important deployment benefit, since Shim6-enabled nodes can talk perfectly to non-Shim6-capable nodes without introducing any problem into the communication.
SHIM6プロトコルの展開:SHIM6プロトコルは、ホストベースのソリューションです。したがって、展開するには、SHIM6プロトコルを使用してホストのスタックを更新してサポートする必要があります。これにより、プロトコルのインクリメンタルな展開が可能になります。これは、展開にフラグの日を必要としないため、単一のホストアップデートのみです。SHIM6ソリューションがサイトに展開される場合、ホストを徐々に更新してソリューションをサポートできます。さらに、SHIM6プロトコルをサポートするには、エンドホストのみを更新する必要があり、ルーターの変更は必要ありません。ただし、SHIM6プロトコルの恩恵を受けるためには、通信の両端がプロトコルをサポートする必要があることに注意する必要があります。つまり、SHIM6プロトコルを使用できるように両方のホストを更新する必要があります。それにもかかわらず、SHIM6プロトコルは、エンドホストが通常のIPv6通信を確立できるようにする延期されたコンテキストセットアップ機能を使用し、その後、両方のエンドポイントがSHIM6対応である場合、SHIM6プロトコルを使用してSHIM6コンテキストを確立します。SHIM6対応ノードは、コミュニケーションに問題を導入することなく、非Shim6対応ノードと完全に通信できるため、これには重要な展開の利点があります。
Configuration of Shim6-capable nodes: The Shim6 protocol itself does not require any specific configuration to provide its basic features. The Shim6 protocol is designed to provide a default service to upper layers that should satisfy general applications. The Shim6 layer would automatically attempt to protect long-lived communications by triggering the establishment of the Shim6 context using some predefined heuristics. Of course, if some special tunning is required by some applications, this may require additional configuration. Similar considerations apply to a site attempting to perform some forms of traffic engineering by using different preferences for different locators.
SHIM6対応ノードの構成:SHIM6プロトコル自体は、基本機能を提供するために特定の構成を必要としません。SHIM6プロトコルは、一般的なアプリケーションを満たすべき上層にデフォルトのサービスを提供するように設計されています。SHIM6層は、いくつかの事前定義されたヒューリスティックを使用してSHIM6コンテキストの確立をトリガーすることにより、長寿命の通信を自動的に保護しようとします。もちろん、一部のアプリケーションで特別なチューニングが必要な場合、これには追加の構成が必要になる場合があります。同様の考慮事項は、さまざまなロケーターのさまざまな設定を使用して、何らかの形のトラフィックエンジニアリングを実行しようとするサイトにも適用されます。
Address and prefix configuration: The Shim6 protocol assumes that, in a multihomed site, multiple prefixes will be available. Such configuration can increase the operation work in a network. However, it should be noted that the capability of having multiple prefixes in a site and multiple addresses assigned to an interface is an IPv6 capability that goes beyond the Shim6 case, and it is expected to be widely used. So, even though this is the case for Shim6, we consider that the implications of such a configuration is beyond the particular case of Shim6 and must be addressed for the generic IPv6 case. Nevertheless, Shim6 also assumes the usage of CGA/HBA addresses by Shim6 hosts. This implies that Shim6-capable hosts should configure addresses using HBA/CGA generation mechanisms. Additional consideration about this issue can be found at [19].
アドレスとプレフィックスの構成:SHIM6プロトコルは、マルチホームのサイトで複数のプレフィックスが利用可能になると想定しています。このような構成は、ネットワーク内の操作作業を増やすことができます。ただし、サイトに複数のプレフィックスを持つ機能とインターフェイスに割り当てられた複数のアドレスがSHIM6の場合を超えるIPv6機能であり、広く使用されると予想されるIPv6機能であることに注意する必要があります。したがって、これはSHIM6の場合でもありますが、このような構成の意味はSHIM6の特定のケースを超えており、一般的なIPv6の場合に対処する必要があると考えています。それにもかかわらず、SHIM6は、SHIM6ホストによるCGA/HBAアドレスの使用も想定しています。これは、SHIM6対応ホストがHBA/CGA生成メカニズムを使用してアドレスを構成する必要があることを意味します。この問題に関する追加の考慮事項は[19]にあります。
The general Shim6 approach as well as the specifics of this proposed solution have implications elsewhere, including:
一般的なSHIM6アプローチとこの提案されたソリューションの詳細は、他の場所に影響を及ぼします。
o Applications that perform referrals or callbacks using IP addresses as the 'identifiers' can still function in limited ways, as described in [18]. But, in order for such applications to be able to take advantage of the multiple locators for redundancy, the applications need to be modified to either use Fully Qualified Domain Names as the 'identifiers' or they need to pass all the locators as the 'identifiers', i.e., the 'identifier' from the application's perspective becomes a set of IP addresses instead of a single IP address.
o [18]で説明されているように、「識別子」としてIPアドレスを使用して紹介またはコールバックを実行するアプリケーションは、限られた方法でまだ機能できます。ただし、そのようなアプリケーションが冗長性のために複数のロケーターを利用できるようにするためには、アプリケーションを変更する必要があります。'、つまり、アプリケーションの観点からの「識別子」は、単一のIPアドレスの代わりにIPアドレスのセットになります。
o Signaling protocols for QoS or for other things that involve having devices in the network path look at IP addresses and port numbers (or at IP addresses and Flow Labels) need to be invoked on the hosts when the locator pair changes due to a failure. At that point in time, those protocols need to inform the devices that a new pair of IP addresses will be used for the flow. Note that this is the case even though this protocol, unlike some earlier proposals, does not overload the Flow Label as a Context Tag; the in-path devices need to know about the use of the new locators even though the Flow Label stays the same.
o QoSまたはネットワークパスにデバイスを持つことを含む他の事柄のシグナリングプロトコルは、IPアドレスとポート番号(またはIPアドレスとフローラベル)を見て、失敗によりロケーターペアが変更されたときにホストに呼び出される必要があります。その時点で、これらのプロトコルは、新しいIPアドレスのペアがフローに使用されることをデバイスに通知する必要があります。このプロトコルは、いくつかの以前の提案とは異なり、フローラベルをコンテキストタグとしてオーバーロードしない場合でも、これは当てはまります。流れラベルが同じままであっても、パス内のデバイスは新しいロケーターの使用について知る必要があります。
o MTU implications. By computing a minimum over the recently observed path MTUs, the path MTU mechanisms we use are robust against different packets taking different paths through the Internet. When Shim6 fails over from using one locator pair to another, this means that packets might travel over a different path through the Internet; hence, the path MTU might be quite different. In order to deal with this change in the MTU, the usage of Packetization Layer Path MTU Discovery as defined in [24] is recommended.
o MTUの意味。最近観察されたパスMTUで最小限を計算することにより、使用するパスMTUメカニズムは、インターネットを介して異なるパスを取る異なるパケットに対して堅牢です。SHIM6が1つのロケーターペアを別のロケーターペアに使用することから失敗すると、これはパケットがインターネットを介して異なるパスを越えて移動する可能性があることを意味します。したがって、PATH MTUはまったく異なる可能性があります。MTUのこの変更に対処するために、[24]で定義されているパケット化レイヤーパスMTU発見の使用が推奨されます。
The fact that the shim will add an 8-octet Shim6 Payload Extension header to the ULP packets after a locator switch can also affect the usable path MTU for the ULPs. In this case, the MTU change is local to the sending host; thus, conveying the change to the ULPs is an implementation matter. By conveying the information to the transport layer, it can adapt and reduce the Maximum Segment Size (MSS) accordingly.
Locatorスイッチの後、SHIMが8-OCTET SHIM6ペイロード拡張ヘッダーをULPパケットに追加するという事実は、ULPSの使用可能なパスMTUにも影響を与える可能性があります。この場合、MTUの変更は送信ホストにとってローカルです。したがって、ULPSへの変更を伝えることは実装の問題です。情報を輸送層に伝えることにより、それに応じて最大セグメントサイズ(MSS)を適応および削減できます。
This document satisfies the concerns specified in [15] as follows:
このドキュメントは、[15]で指定された懸念を次のように満たしています。
o The HBA [3] and CGA [2] techniques for verifying the locators to prevent an attacker from redirecting the packet stream to somewhere else, prevent threats described in Sections 4.1.1, 4.1.2, 4.1.3, and 4.2 of [15]. These two techniques provide a similar level of protection but also provide different functionality with different computational costs.
o 攻撃者がパケットストリームをどこかにリダイレクトするのを防ぎ、セクション4.1.1、4.1.2、4.1.3、および4.2に記載されている脅威を防ぐためのロケーターを検証するためのHBA [3]およびCGA [2]手法[15]。これらの2つの手法は、同様のレベルの保護を提供しますが、異なる機能を異なる計算コストで提供します。
The HBA mechanism relies on the capability of generating all the addresses of a multihomed host as an unalterable set of intrinsically bound IPv6 addresses, known as an HBA set. In this approach, addresses incorporate a cryptographic one-way hash of the prefix set available into the interface identifier part. The result is that the binding between all the available addresses is encoded within the addresses themselves, providing hijacking protection. Any peer using the shim protocol node can efficiently verify that the alternative addresses proposed for continuing the communication are bound to the initial address through a simple hash calculation.
HBAメカニズムは、HBAセットとして知られる本質的にバインドされたIPv6アドレスの変更不可能なセットとして、マルチホームホストのすべてのアドレスを生成する能力に依存しています。このアプローチでは、アドレスは、インターフェイス識別子部品に使用可能なプレフィックスセットの暗号化の一方向ハッシュを組み込みます。その結果、利用可能なすべてのアドレス間のバインディングがアドレス自体にエンコードされ、ハイジャック保護が提供されます。SHIMプロトコルノードを使用するピアは、通信を継続するために提案された代替アドレスが簡単なハッシュ計算を通じて初期アドレスにバインドされていることを効率的に確認できます。
In a CGA-based approach, the address used as the ULID is a CGA that contains a hash of a public key in its interface identifier. The result is a secure binding between the ULID and the associated key pair. This allows each peer to use the corresponding private key to sign the shim messages that convey locator set information. The trust chain in this case is the following: the ULID used for the communication is securely bound to the key pair because it contains the hash of the public key, and the locator set is bound to the public key through the signature.
CGAベースのアプローチでは、ulidとして使用されるアドレスは、インターフェイス識別子に公開キーのハッシュを含むCGAです。その結果、尿酸酸塩と関連するキーペアの間に安全な結合ができます。これにより、各ピアは対応する秘密鍵を使用して、ロケーターセット情報を伝えるシムメッセージに署名できます。この場合のトラストチェーンは次のとおりです。通信に使用される尿酸塩は、公開キーのハッシュが含まれており、ロケーターセットが署名を通じて公開キーにバインドされるため、キーペアにしっかりとバインドされます。
Either of these two mechanisms, HBA and CGA, provides time-shifted attack protection (as described in Section 4.1.2 of [15]), since the ULID is securely bound to a locator set that can only be defined by the owner of the ULID. The minimum acceptable key length for RSA keys used in the generation of CGAs MUST be at least 1024 bits. Any implementation should follow prudent cryptographic practice in determining the appropriate key lengths.
これらの2つのメカニズムのいずれか、HBAとCGAは、尿酸塩がの所有者のみが定義できるロケーターセットにしっかりと結合されるため、タイムシフト攻撃保護([15]のセクション4.1.2で説明されています)を提供します。ulid。CGAの生成で使用されるRSAキーの最小許容キー長は、少なくとも1024ビットでなければなりません。実装は、適切なキー長を決定する際に慎重な暗号化の実践に従う必要があります。
o 3rd party flooding attacks, described in Section 4.3 of [15], are prevented by requiring a Shim6 peer to perform a successful Reachability probe + reply exchange before accepting a new locator for use as a packet destination.
o [15]のセクション4.3に記載されているサードパーティの洪水攻撃は、パケットの宛先として使用する新しいロケーターを受け入れる前に、SHIM6ピアに成功する可能性プローブの返信交換を実行するように要求することにより防止されます。
o The first message does not create any state on the responder. Essentially, a 3-way exchange is required before the responder creates any state. This means that a state-based DoS attack (trying to use up all memory on the responder) at least requires the attacker to create state, consuming his own resources; it also provides an IPv6 address that the attacker was using.
o 最初のメッセージは、レスポンダーの状態を作成しません。基本的に、レスポンダーが任意の状態を作成する前に、3方向の交換が必要です。これは、状態ベースのDOS攻撃(レスポンダーのすべてのメモリを使い果たそうとする)では、少なくとも攻撃者が自分のリソースを消費し、州を作成する必要があることを意味します。また、攻撃者が使用していたIPv6アドレスも提供します。
o The context-establishment messages use nonces to prevent replay attacks, which are described in Section 4.1.4 of [15], and to prevent off-path attackers from interfering with the establishment.
o コンテキスト確立メッセージは、[15]のセクション4.1.4で説明されているリプレイ攻撃を防ぎ、パス攻撃者が施設を妨害するのを防ぐために、Noncesを使用します。
o Every control message of the Shim6 protocol, past the context establishment, carry the Context Tag assigned to the particular context. This implies that an attacker needs to discover that Context Tag before being able to spoof any Shim6 control message as described in Section 4.4 of [15]. Such discovery probably requires an attacker to be along the path in order to sniff the Context Tag value. The result is that, through this technique, the Shim6 protocol is protected against off-path attackers.
o SHIM6プロトコルのすべてのコントロールメッセージは、コンテキスト確立を過ぎて、特定のコンテキストに割り当てられたコンテキストタグを運びます。これは、攻撃者が[15]のセクション4.4で説明されているように、SHIM6コントロールメッセージをスプーフィングできるようにする前に、そのコンテキストタグを発見する必要があることを意味します。このような発見には、コンテキストタグ値を嗅ぐために、攻撃者がパスに沿っている必要があります。その結果、この手法を通じて、SHIM6プロトコルはオフパス攻撃者から保護されます。
Shim6 has two modes of processing data packets. If the ULID pair is also the locator pair being used, then the data packet is not modified by Shim6. In this case, the interaction with IPSec is exactly the same as if the Shim6 layer was not present in the host.
SHIM6には、データパケットの処理モードが2つあります。ulidペアが使用されているロケーターペアでもある場合、データパケットはshim6によって変更されません。この場合、IPSECとの相互作用は、SHIM6層がホストに存在しなかった場合とまったく同じです。
If the ULID pair differs from the current locator pair for that Shim6 context, then Shim6 will take the data packet, replace the ULIDs contained in the IP Source and Destination Address fields with the current locator pair, and add the Shim6 extension with the corresponding Context Tag. In this case, as is mentioned in Section 1.6, Shim6 conceptually works as a tunnel mechanism, where the inner header contains the ULID and the outer header contains the locators. The main difference is that the inner header is "compressed" and a compression tag, namely the Context Tag, is added to decompress the inner header at the receiving end.
ulidペアがそのshim6コンテキストの現在のロケーターペアと異なる場合、shim6はデータパケットを取り、IPソースと宛先アドレスフィールドに含まれるulidを現在のロケーターペアに置き換え、対応するコンテキストにshim6拡張機能を追加します鬼ごっこ。この場合、セクション1.6で言及されているように、SHIM6は概念的にトンネルメカニズムとして機能し、内側のヘッダーには亜油が含まれ、外側ヘッダーにはロケーターが含まれます。主な違いは、内側のヘッダーが「圧縮」され、圧縮タグ、つまりコンテキストタグが追加されて、受信側の内側のヘッダーを解凍することです。
In this case, the interaction between IPSec and Shim6 is then similar to the interaction between IPSec and a tunnel mechanism. When the packet is generated by the upper-layer protocol, it is passed to the IP layer containing the ULIDs in the IP Source and Destination field. IPSec is then applied to this packet. Then the packet is passed to the Shim6 sublayer, which "encapsulates" the received packet and includes a new IP header containing the locator pair in the IP Source and Destination field. This new IP packet is in turn passed to IPSec for processing, just as in the case of a tunnel. This can be viewed as if IPSec is located both above and below the Shim6 sublayer and as if IPSec policies apply both to ULIDs and locators.
この場合、IPSECとSHIM6間の相互作用は、IPSECとトンネルメカニズムの間の相互作用に似ています。パケットが上層層プロトコルによって生成されると、IPソースと宛先フィールドに亜硫酸塩を含むIPレイヤーに渡されます。その後、IPSECがこのパケットに適用されます。次に、パケットがSHIM6サブレイヤーに渡され、受信したパケットを「カプセル化」し、IPソースと宛先フィールドにロケーターペアを含む新しいIPヘッダーが含まれます。この新しいIPパケットは、トンネルの場合と同様に、処理のためにIPSecに順番に渡されます。これは、IPSECがSHIM6サブレイヤーの上と下の両方で、IPSECポリシーがulidとロケーターの両方に適用されるかのように見えるように見ることができます。
When IPSec processed the packet after the Shim6 sublayer has processed it (i.e., the packet carrying the locators in the IP Source and Destination Address field), the Shim6 sublayer may have added the Shim6 Extension header. In that case, IPSec needs to skip the Shim6 Extension header to find the selectors for the next layer's protocols (e.g., TCP, UDP, Stream Control Transmission Protocol (SCTP)).
IPSECがSHIM6サブレイヤーがそれを処理した後にパケットを処理すると(つまり、IPソースと宛先アドレスフィールドにロケーターを運ぶパケット)、SHIM6サブレイヤーがSHIM6拡張ヘッダーを追加した可能性があります。その場合、IPSECはSHIM6拡張ヘッダーをスキップして、次のレイヤーのプロトコルのセレクターを見つける必要があります(例:TCP、UDP、ストリーム制御伝送プロトコル(SCTP))。
When a packet is received at the other end, it is processed based on the order of the extension headers. Thus, if an ESP or AH header precedes a Shim6 header, that determines the order. Shim6 introduces the need to do policy checks, analogous to how they are done for tunnels, when Shim6 receives a packet and the ULID pair for that packet is not identical to the locator pair in the packet.
パケットが反対側で受信されると、拡張ヘッダーの順序に基づいて処理されます。したがって、ESPまたはAHヘッダーがSHIM6ヘッダーに先行する場合、順序を決定します。SHIM6は、SHIM6がパケットを受け取ったときにトンネルに対してどのように行われるかに類似したポリシーチェックを行う必要性を導入し、そのパケットのULIDペアはパケットのロケーターペアと同一ではありません。
Some of the residual threats in this proposal are:
この提案の残りの脅威のいくつかは次のとおりです。
o An attacker that arrives late on the path (after the context has been established) can use the R1bis message to cause one peer to re-create the context and, at that point in time, can observe all of the exchange. But this doesn't seem to open any new doors for the attacker since such an attacker can observe the Context Tags that are being used and, once known, can use those to send bogus messages.
o パスに遅れて到着する攻撃者(コンテキストが確立された後)は、R1BISメッセージを使用して1つのピアにコンテキストを再作成させ、その時点ですべての交換を観察できます。しかし、このような攻撃者は使用されているコンテキストタグを観察し、一度知られていればそれらを使用して偽のメッセージを送信できるため、これは攻撃者に新しいドアを開くようには見えません。
o An attacker present on the path in order to find out the Context Tags can generate an R1bis message after it has moved off the path. For this packet to be effective, it needs to have a source locator that belongs to the context; thus, there cannot be "too much" ingress filtering between the attacker's new location and the communicating peers. But this doesn't seem to be that severe because, once the R1bis causes the context to be re-established, a new pair of Context Tags will be used, which will not be known to the attacker. If this is still a concern, we could require a 2-way handshake, "did you really lose the state?", in response to the error message.
o コンテキストタグを見つけるためにパスに存在する攻撃者は、パスから移動した後にR1BISメッセージを生成できます。このパケットが効果的であるためには、コンテキストに属するソースロケーターが必要です。したがって、攻撃者の新しい場所と通信仲間の間に「あまりにも多くの」イングレスフィルタリングはあり得ません。しかし、これはそれほど深刻ではないようです。なぜなら、R1BISがコンテキストを再確立すると、新しいコンテキストタグのペアが使用され、攻撃者にはわからないためです。これがまだ懸念事項である場合、エラーメッセージに応じて、「あなたは本当に状態を失いましたか?」という2方向の握手が必要になる可能性があります。
o It might be possible for an attacker to try random 47-bit Context Tags and see if they can cause disruption for communication between two hosts. In particular, in the case of payload packets, the effects of such an attack would be similar to those of an attacker sending packets with a spoofed source address. In the case of control packets, it is not enough to find the correct Context Tag -- additional information is required (e.g., nonces, proper source addresses; see previous bullet for the case of R1bis). If a 47-bit tag, which is the largest that fits in an 8-octet Extension header, isn't sufficient, one could use an even larger tag in the Shim6 control messages and use the low-order 47 bits in the Shim6 Payload Extension header.
o 攻撃者がランダムな47ビットコンテキストタグを試して、2人のホスト間の通信の混乱を引き起こす可能性があるかどうかを確認することが可能かもしれません。特に、ペイロードパケットの場合、このような攻撃の効果は、攻撃者がスプーフィングされたソースアドレスでパケットを送信するものと類似しています。制御パケットの場合、正しいコンテキストタグを見つけるだけでは十分ではありません。追加情報が必要です(例えば、非セース、適切なソースアドレス。R1BISの場合の前の箇条書きを参照)。8オクテットの拡張ヘッダーに収まる最大の47ビットタグが十分ではない場合、SHIM6コントロールメッセージでさらに大きなタグを使用し、SHIM6ペイロードで低次47ビットを使用できます。拡張ヘッダー。
o When the Shim6 Payload Extension header is used, an attacker that can guess the 47-bit random Context Tag can inject packets into the context with any source locator. Thus, if there is ingress filtering between the attacker and its target, this could potentially allow the attacker to bypass the ingress filtering. However, in addition to guessing the 47-bit Context Tag, the attacker also needs to find a context where, after the receiver's replacement of the locators with the ULIDs, the ULP checksum is correct. But even this wouldn't be sufficient with ULPs like TCP, since the TCP port numbers and sequence numbers must match an existing connection. Thus, even though the issues for off-path attackers injecting packets are different than today with ingress filtering, it is still very hard for an off-path attacker to guess. If IPsec is applied, then the issue goes away completely.
o SHIM6ペイロード拡張ヘッダーを使用すると、47ビットのランダムコンテキストタグを推測できる攻撃者が、ソースロケーターとコンテキストにパケットを挿入できます。したがって、攻撃者とそのターゲットの間に侵入フィルタリングがある場合、これにより、攻撃者がイングレスフィルタリングをバイパスできる可能性があります。ただし、47ビットのコンテキストタグを推測することに加えて、攻撃者は、レシーバーがロケーターをulidsに置き換えた後、ULPチェックサムが正しいコンテキストを見つける必要があります。しかし、TCPポート番号とシーケンス番号は既存の接続と一致する必要があるため、TCPのようなULPSではこれでも十分ではありません。したがって、オフパスの攻撃者の噴射パケットを注入する問題は、イングレスフィルタリングで今日とは異なりますが、オフパスの攻撃者が推測することは依然として非常に困難です。IPSECが適用されると、問題は完全になくなります。
o The validator included in the R1 and R1bis packets is generated as a hash of several input parameters. While most of the inputs are actually determined by the sender, and only the secret value S is unknown to the sender, the resulting protection is deemed to be enough since it would be easier for the attacker to just obtain a new validator by sending an I1 packet than to perform all the computations required to determine the secret S. Nevertheless, it is recommended that the host change the secret S periodically.
o R1およびR1BISパケットに含まれるバリデーターは、いくつかの入力パラメーターのハッシュとして生成されます。ほとんどの入力は実際に送信者によって決定され、秘密の値のみが送信者に知られていませんが、攻撃者がi1を送信するだけで新しいバリデーターを取得することが容易であるため、結果として得られる保護は十分であるとみなされますそれにもかかわらず、秘密Sを決定するために必要なすべての計算を実行するよりも、ホストは秘密を定期的に変更することをお勧めします。
IANA allocated a new IP Protocol Number value (140) for the Shim6 Protocol.
IANAは、SHIM6プロトコルに新しいIPプロトコル番号値(140)を割り当てました。
IANA recorded a CGA message type for the Shim6 protocol in the CGA Extension Type Tags registry with the value 0x4A30 5662 4858 574B 3655 416F 506A 6D48.
IANAは、値0x4a30 5662 4858 574b 3655 416f 506a 6d48で、CGA拡張タイプタグレジストリでSHIM6プロトコルのCGAメッセージタイプを記録しました。
IANA established a Shim6 Parameter Registry with four components: Shim6 Type registrations, Shim6 Options registrations, Shim6 Error Code registrations, and Shim6 Verification Method registrations.
IANAは、SHIM6タイプの登録、SHIM6オプション登録、SHIM6エラーコード登録、およびSHIM6検証方法登録の4つのコンポーネントを備えたSHIM6パラメーターレジストリを確立しました。
The initial contents of the Shim6 Type registry are as follows:
SHIM6型レジストリの初期内容は次のとおりです。
+------------+-----------------------------------------------------+
| Type Value | Message |
+------------+-----------------------------------------------------+
| 0 | RESERVED |
| 1 | I1 (first establishment message from the initiator) |
| 2 | R1 (first establishment message from the responder) |
| 3 | I2 (2nd establishment message from the initiator) |
| 4 | R2 (2nd establishment message from the responder) |
| 5 | R1bis (Reply to reference to non-existent context) |
| 6 | I2bis (Reply to a R1bis message) |
| 7-59 | Allocated using Standards action |
| 60-63 | For Experimental use |
| 64 | Update Request |
| 65 | Update Acknowledgement |
| 66 | Keepalive |
| 67 | Probe Message |
| 68 | Error Message |
| 69-123 | Allocated using Standards action |
| 124-127 | For Experimental use |
+------------+-----------------------------------------------------+
The initial contents of the Shim6 Options registry are as follows:
+-------------+----------------------------------+
| Type | Option Name |
+-------------+----------------------------------+
| 0 | RESERVED |
| 1 | Responder Validator |
| 2 | Locator List |
| 3 | Locator Preferences |
| 4 | CGA Parameter Data Structure |
| 5 | CGA Signature |
| 6 | ULID Pair |
| 7 | Forked Instance Identifier |
| 8-9 | Allocated using Standards action |
| 10 | Keepalive Timeout Option |
| 11-16383 | Allocated using Standards action |
| 16384-32767 | For Experimental use |
+-------------+----------------------------------+
The initial contents of the Shim6 Error Code registry are as follows:
SHIM6エラーコードレジストリの初期コンテンツは次のとおりです。
+------------+--------------------------------------------+
| Code Value | Description |
+------------+--------------------------------------------+
| 0 | Unknown Shim6 message type |
| 1 | Critical Option not recognized |
| 2 | Locator verification method failed |
| 3 | Locator List Generation number out of sync |
| 4 | Error in the number of locators |
| 5-19 | Allocated using Standards action |
| 120-127 | Reserved for debugging purposes |
+------------+--------------------------------------------+
The initial contents of the Shim6 Verification Method registry are as follows:
SHIM6検証法レジストリの初期内容は次のとおりです。
+---------+----------------------------------+
| Value | Verification Method |
+---------+----------------------------------+
| 0 | RESERVED |
| 1 | CGA |
| 2 | HBA |
| 3-200 | Allocated using Standards action |
| 201-254 | For Experimental use |
| 255 | RESERVED |
+---------+----------------------------------+
Over the years, many people active in the multi6 and shim6 WGs have contributed ideas and suggestions that are reflected in this specification. Special thanks to the careful comments from Sam Hartman, Cullen Jennings, Magnus Nystrom, Stephen Kent, Geoff Huston, Shinta Sugimoto, Pekka Savola, Dave Meyer, Deguang Le, Jari Arkko, Iljitsch van Beijnum, Jim Bound, Brian Carpenter, Sebastien Barre, Matthijs Mekking, Dave Thaler, Bob Braden, Wesley Eddy, Pasi Eronen, and Tom Henderson on earlier versions of this document.
長年にわたり、Multi6およびSHIM6 WGSで活動している多くの人々は、この仕様に反映されているアイデアと提案に貢献してきました。サム・ハートマン、カレン・ジェニングス、マグナス・ナイス、スティーブン・ケント、ジェフ・ヒューストン、シンタ・スギモト、ペッカ・サヴォーラ、デイブ・マイヤー、デグアン・ル、ジャリ・アークコ、イルジッチ・ヴァン・ベイヌム、ジム、ジム、ブライアン・カーペンテル、セバスティアン・バル、Matthijs Mekking、Dave Thaler、Bob Braden、Wesley Eddy、Pasi Eronen、およびTom Hendersonは、このドキュメントの以前のバージョンで。
[1] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[1] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。
[2] Aura, T., "Cryptographically Generated Addresses (CGA)", RFC 3972, March 2005.
[2] オーラ、T。、「暗号化されたアドレス(CGA)」、RFC 3972、2005年3月。
[3] Bagnulo, M., "Hash-Based Addresses (HBA)", RFC 5535, June 2009.
[3] Bagnulo、M。、「ハッシュベースのアドレス(HBA)」、RFC 5535、2009年6月。
[4] Arkko, J. and I. van Beijnum, "Failure Detection and Locator Pair Exploration Protocol for IPv6 Multihoming", RFC 5534, June 2009.
[4] Arkko、J。およびI. Van Beijnum、「IPv6 Multihomingの障害検出およびロケーターペア探査プロトコル」、RFC 5534、2009年6月。
[5] Gulbrandsen, A., Vixie, P., and L. Esibov, "A DNS RR for specifying the location of services (DNS SRV)", RFC 2782, February 2000.
[5] Gulbrandsen、A.、Vixie、P。、およびL. Esibov、「サービスの場所を指定するためのDNS RR(DNS SRV)」、RFC 2782、2000年2月。
[6] Ferguson, P. and D. Senie, "Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing", BCP 38, RFC 2827, May 2000.
[6] Ferguson、P。およびD. Senie、「ネットワークイングレスフィルタリング:IPソースアドレススプーフィングを採用するサービス拒否攻撃の敗北」、BCP 38、RFC 2827、2000年5月。
[7] Draves, R., "Default Address Selection for Internet Protocol version 6 (IPv6)", RFC 3484, February 2003.
[7] Draves、R。、「インターネットプロトコルバージョン6(IPv6)のデフォルトアドレス選択」、RFC 3484、2003年2月。
[8] Nordmark, E., "Multihoming without IP Identifiers", Work in Progress, July 2004.
[8] Nordmark、E。、「IP識別子なしのマルチホミング」、2004年7月、進行中の作業。
[9] Bagnulo, M., "Updating RFC 3484 for multihoming support", Work in Progress, November 2007.
[9] Bagnulo、M。、「マルチホームサポートのためのRFC 3484の更新」、2007年11月、進行中の作業。
[10] Schulzrinne, H., Casner, S., Frederick, R., and V. Jacobson, "RTP: A Transport Protocol for Real-Time Applications", STD 64, RFC 3550, July 2003.
[10] Schulzrinne、H.、Casner、S.、Frederick、R。、およびV. Jacobson、「RTP:リアルタイムアプリケーション用の輸送プロトコル」、STD 64、RFC 3550、2003年7月。
[11] Abley, J., Black, B., and V. Gill, "Goals for IPv6 Site-Multihoming Architectures", RFC 3582, August 2003.
[11] Abley、J.、Black、B。、およびV. Gill、「IPv6サイト監督アーキテクチャの目標」、RFC 3582、2003年8月。
[12] Rajahalme, J., Conta, A., Carpenter, B., and S. Deering, "IPv6 Flow Label Specification", RFC 3697, March 2004.
[12] Rajahalme、J.、Conta、A.、Carpenter、B。、およびS. Deering、「IPv6フローラベル仕様」、RFC 3697、2004年3月。
[13] Eastlake, D., Schiller, J., and S. Crocker, "Randomness Requirements for Security", BCP 106, RFC 4086, June 2005.
[13] Eastlake、D.、Schiller、J。、およびS. Crocker、「セキュリティのランダム性要件」、BCP 106、RFC 4086、2005年6月。
[14] Hinden, R. and B. Haberman, "Unique Local IPv6 Unicast Addresses", RFC 4193, October 2005.
[14] Hinden、R。and B. Haberman、「ユニークなローカルIPv6ユニキャストアドレス」、RFC 4193、2005年10月。
[15] Nordmark, E. and T. Li, "Threats Relating to IPv6 Multihoming Solutions", RFC 4218, October 2005.
[15] Nordmark、E。およびT. Li、「IPv6マルチホームソリューションに関連する脅威」、RFC 4218、2005年10月。
[16] Huitema, C., "Ingress filtering compatibility for IPv6 multihomed sites", Work in Progress, September 2005.
[16] Huitema、C。、「IPv6マルチホームサイトの互換性のイングレスフィルタリング」、2005年9月、進行中の作業。
[17] Bagnulo, M. and E. Nordmark, "SHIM - MIPv6 Interaction", Work in Progress, July 2005.
[17] Bagnulo、M。and E. Nordmark、「Shim -Mipv6 Interaction」、2005年7月、進行中の作業。
[18] Nordmark, E., "Shim6-Application Referral Issues", Work in Progress, July 2005.
[18] Nordmark、E。、「Shim6-Application紹介の問題」、2005年7月、進行中の作業。
[19] Bagnulo, M. and J. Abley, "Applicability Statement for the Level 3 Multihoming Shim Protocol (Shim6)", Work in Progress, July 2007.
[19] Bagnulo、M。およびJ. Abley、「レベル3のマルチホミングシムプロトコル(SHIM6)のアプリケーションステートメント」、2007年7月、進行中の作業。
[20] Moskowitz, R., Nikander, P., Jokela, P., and T. Henderson, "Host Identity Protocol", RFC 5201, April 2008.
[20] Moskowitz、R.、Nikander、P.、Jokela、P。、およびT. Henderson、「Host Identity Protocol」、RFC 5201、2008年4月。
[21] Schuetz, S., Koutsianas, N., Eggert, L., Eddy, W., Swami, Y., and K. Le, "TCP Response to Lower-Layer Connectivity-Change Indications", Work in Progress, February 2008.
[21] Schuetz、S.、Koutsianas、N.、Eggert、L.、Eddy、W.、Swami、Y.、およびK. Le、「低層接続の変化指示に対するTCP応答」、2008年2月の作業。
[22] Williams, N. and M. Richardson, "Better-Than-Nothing Security: An Unauthenticated Mode of IPsec", RFC 5386, November 2008.
[22] ウィリアムズ、N。、およびM.リチャードソン、「より良いセキュリティよりも優れたセキュリティ:IPSECの無認定モード」、RFC 5386、2008年11月。
[23] Komu, M., Bagnulo, M., Slavov, K., and S. Sugimoto, "Socket Application Program Interface (API) for Multihoming Shim", Work in Progress, November 2008.
[23] Komu、M.、Bagnulo、M.、Slavov、K。、およびS. Sugimoto、「Multihoming Shimのソケットアプリケーションプログラムインターフェイス(API)」、2008年11月、Work in Progress。
[24] Mathis, M. and J. Heffner, "Packetization Layer Path MTU Discovery", RFC 4821, March 2007.
[24] Mathis、M。およびJ. Heffner、「Packetization Layer Path MTU Discovery」、RFC 4821、2007年3月。
[25] Bonica, R., Gan, D., Tappan, D., and C. Pignataro, "Extended ICMP to Support Multi-Part Messages", RFC 4884, April 2007.
[25] Bonica、R.、Gan、D.、Tappan、D.、およびC. Pignataro、「マルチパートメッセージをサポートするためにICMPを拡張」、RFC 4884、2007年4月。
During the development of this protocol, several issues have been brought up that are important to address but that do not need to be in the base protocol itself; instead, these can be done as extensions to the protocol. The key ones are:
このプロトコルの開発中に、対処することが重要ないくつかの問題が発生しましたが、基本プロトコル自体にある必要はありません。代わりに、これらはプロトコルの拡張として実行できます。重要なものは次のとおりです。
o As stated in the assumptions in Section 3, in order for the Shim6 protocol to be able to recover from a wide range of failures (for instance, when one of the communicating hosts is single-homed) and to cope with a site's ISPs that do ingress filtering based on the source IPv6 address, there is a need for the host to be able to influence the egress selection from its site. Further discussion of this issue is captured in [16].
o セクション3の仮定に記載されているように、SHIM6プロトコルが広範囲の障害から回復できるようにするため(たとえば、通信ホストの1つが単一ホームになっている場合)。INGRESSフィルタリングソースIPv6アドレスに基づいて、ホストがサイトからの出力選択に影響を与える必要があります。この問題のさらなる議論は[16]に記載されています。
o Is there need for keeping the list of locators private between the two communicating endpoints? We can potentially accomplish that when using CGA (not when using HBA), but only at the cost of doing some public key encryption and decryption operations as part of the context establishment. The suggestion is to leave this for a future extension to the protocol.
o 2つの通信エンドポイントの間にロケーターのリストを非公開にする必要がありますか?CGAを使用する場合(HBAを使用する場合ではない場合)、コンテキスト確立の一環として公開キー暗号化と復号化操作を行うだけの費用でのみ、潜在的に達成できます。提案は、これをプロトコルの将来の拡張のために残すことです。
o Defining some form of end-to-end "compression" mechanism that removes the need to include the Shim6 Payload Extension header when the locator pair is not the ULID pair.
o Locatorペアがulidペアではない場合にSHIM6ペイロード拡張ヘッダーを含める必要性を削除するエンドツーエンドの「圧縮」メカニズムを定義します。
o Supporting the dynamic setting of locator preferences on a site-wide basis and using the Locator Preference option in the Shim6 protocol to convey these preferences to remote communicating hosts. This could mirror the DNS SRV record's notion of priority and weight.
o サイト全体でロケーター設定の動的設定をサポートし、SHIM6プロトコルのロケーター設定オプションを使用して、これらの設定をリモート通信ホストに伝えます。これにより、DNS SRV Recordの優先順位と重量の概念を反映できます。
o Specifying APIs in order for the ULPs to be aware of the locators that the shim is using and to be able to influence the choice of locators (controlling preferences as well as triggering a locator-pair switch). This includes providing APIs that the ULPs can use to fork a shim context.
o APIを指定して、ULPSがSHIMが使用しているロケーターを認識し、ロケーターの選択に影響を与えることができるようにします(設定の制御とロケーターペアスイッチのトリガー)。これには、ULPSがシムコンテキストをフォークするために使用できるAPIの提供が含まれます。
o Determining whether it is feasible to relax the suggestions for when context state is removed so that one can end up with an asymmetric distribution of the context state and still get (most of) the shim benefits. For example, the busy server would go through the context setup but would quickly remove the context state after this (in order to save memory); however, the not-so-busy client would retain the context state. The context-recovery mechanism presented in Section 7.5 would then re-create the state should the client send either a shim control message (e.g., Probe message because it sees a problem) or a ULP packet in a Shim6 Payload Extension header (because it had earlier failed over to an alternative locator pair but had been silent for a while). This seems to provide the benefits of the shim as long as the client can detect the failure. If the client doesn't send anything and it is the server that tries to send, then it will not be able to recover because the shim on the server has no context state and hence doesn't know any alternate locator pairs.
o コンテキスト状態が削除されたときの提案を緩和することが可能かどうかを判断して、コンテキスト状態の非対称分布になり、シムの利点を(ほとんどの)利益を得ることができます。たとえば、ビジーサーバーはコンテキストのセットアップを通過しますが、この後にコンテキスト状態をすばやく削除します(メモリを保存するため)。ただし、それほど忙しくないクライアントは、コンテキスト状態を保持します。セクション7.5で提示されたコンテキスト回復メカニズムは、クライアントがシムコントロールメッセージ(問題が見られるためにプローブメッセージ)またはSHIM6ペイロードエクステンションヘッダーのULPパケットを送信した場合(たとえば、プローブメッセージ)を送信した場合(それがあったために状態を再作成します(以前は代替ロケーターのペアに失敗しましたが、しばらく沈黙していました)。これは、クライアントが障害を検出できる限り、シムの利点を提供するようです。クライアントが何も送信せず、送信しようとするのはサーバーである場合、サーバー上のシムにはコンテキスト状態がないため、代替ロケーターのペアがわからないため、回復できません。
o Study what it would take to make the Shim6 control protocol not rely at all on a stable source locator in the packets. This can probably be accomplished by having all the shim control messages include the ULID-pair option.
o SHIM6制御プロトコルがパケット内の安定したソースロケーターにまったく依存しないようにするために必要なことを調べます。これは、おそらくすべてのシム制御メッセージを含めることで実現できます。
o If each host might have lots of locators, then the current requirement to include essentially all of them in the I2 and R2 messages might be constraining. If this is the case, we can look into using the CGA Parameter Data Structure for the comparison, instead of the prefix sets, to be able to detect context confusion. This would place some constraint on a (logical) only using, for example, one CGA public key; it would also require some carefully crafted rules on how two PDSs are compared for "being the same host". But if we don't expect more than a handful of locators per host, then we don't need this added complexity.
o 各ホストには多くのロケーターがある可能性がある場合、I2およびR2メッセージに本質的にすべてを含めるという現在の要件が制約されている可能性があります。この場合、コンテキストの混乱を検出できるように、プレフィックスセットの代わりに、比較にCGAパラメーターデータ構造を使用することを検討できます。これにより、たとえば1つのCGA公開キーのみを使用して(論理的な)制約があります。また、「同じホストである」ために2つのPDSがどのように比較されるかについて、慎重に作成されたルールが必要です。しかし、ホストごとに少数のロケーター以上を期待しない場合、この追加の複雑さは必要ありません。
o ULP-specified timers for the reachability detection mechanism (which can be particularly useful when there are forked contexts).
o 到達可能性検出メカニズムのULP指定タイマー(フォークコンテキストがある場合に特に役立ちます)。
o Pre-verify some "backup" locator pair, so that the failover time can be shorter.
o フェールオーバー時間が短くなるように、いくつかの「バックアップ」ロケーターペアを事前に検証します。
o Study how Shim6 and Mobile IPv6 might interact [17].
o SHIM6とモバイルIPv6がどのように相互作用するかを研究します[17]。
The STATEs are defined in Section 6.2. The intent is for the stylized description below to be consistent with the textual description in the specification; however, should they conflict, the textual description is normative.
州はセクション6.2で定義されています。意図は、以下の様式化された説明が、仕様のテキストの説明と一致することです。しかし、彼らが矛盾する場合、テキストの説明は規範的です。
The following table describes the possible actions in STATE IDLE and their respective triggers:
次の表は、状態のアイドルとそれぞれのトリガーの可能なアクションについて説明しています。
+---------------------+---------------------------------------------+
| Trigger | Action |
+---------------------+---------------------------------------------+
| Receive I1 | Send R1 and stay in IDLE |
| | |
| Heuristics trigger | Send I1 and move to I1-SENT |
| a new context | |
| establishment | |
| | |
| Receive I2, verify | If successful, send R2 and move to |
| validator and | ESTABLISHED |
| RESP Nonce | |
| | If fail, stay in IDLE |
| | |
| Receive I2bis, | If successful, send R2 and move to |
| verify validator | ESTABLISHED |
| and RESP Nonce | |
| | If fail, stay in IDLE |
| | |
| R1, R1bis, R2 | N/A (This context lacks the required info |
| | for the dispatcher to deliver them) |
| | |
| Receive Payload | Send R1bis and stay in IDLE |
| Extension header | |
| or other control | |
| packet | |
+---------------------+---------------------------------------------+
The following table describes the possible actions in STATE I1-SENT
and their respective triggers:
+---------------------+---------------------------------------------+
| Trigger | Action |
+---------------------+---------------------------------------------+
| Receive R1, verify | If successful, send I2 and move to I2-SENT |
| INIT Nonce | |
| | If fail, discard and stay in I1-SENT |
| | |
| Receive I1 | Send R2 and stay in I1-SENT |
| | |
| Receive R2, verify | If successful, move to ESTABLISHED |
| INIT Nonce | |
| | If fail, discard and stay in I1-SENT |
| | |
| Receive I2, verify | If successful, send R2 and move to |
| validator and RESP | ESTABLISHED |
| Nonce | |
| | If fail, discard and stay in I1-SENT |
| | |
| Receive I2bis, | If successful, send R2 and move to |
| verify validator | ESTABLISHED |
| and RESP Nonce | |
| | If fail, discard and stay in I1-SENT |
| | |
| Timeout, increment | If counter =< I1_RETRIES_MAX, send I1 and |
| timeout counter | stay in I1-SENT |
| | |
| | If counter > I1_RETRIES_MAX, go to E-FAILED |
| | |
| Receive ICMP payload| Move to E-FAILED |
| unknown error | |
| | |
| R1bis | N/A (Dispatcher doesn't deliver since |
| | CT(peer) is not set) |
| | |
| Receive Payload | Discard and stay in I1-SENT |
| Extension header | |
| or other control | |
| packet | |
+---------------------+---------------------------------------------+
The following table describes the possible actions in STATE I2-SENT
and their respective triggers:
+---------------------+---------------------------------------------+
| Trigger | Action |
+---------------------+---------------------------------------------+
| Receive R2, verify | If successful, move to ESTABLISHED |
| INIT Nonce | |
| | If fail, stay in I2-SENT |
| | |
| Receive I1 | Send R2 and stay in I2-SENT |
| | |
| Receive I2, | Send R2 and stay in I2-SENT |
| verify validator | |
| and RESP Nonce | |
| | |
| Receive I2bis, | Send R2 and stay in I2-SENT |
| verify validator | |
| and RESP Nonce | |
| | |
| Receive R1 | Discard and stay in I2-SENT |
| | |
| Timeout, increment | If counter =< I2_RETRIES_MAX, send I2 and |
| timeout counter | stay in I2-SENT |
| | |
| | If counter > I2_RETRIES_MAX, send I1 and go |
| | to I1-SENT |
| | |
| R1bis | N/A (Dispatcher doesn't deliver since |
| | CT(peer) is not set) |
| | |
| Receive Payload | Accept and send I2 (probably R2 was sent |
| Extension header | by peer and lost) |
| or other control | |
| packet | |
+---------------------+---------------------------------------------+
The following table describes the possible actions in STATE I2BIS-
SENT and their respective triggers:
+---------------------+---------------------------------------------+
| Trigger | Action |
+---------------------+---------------------------------------------+
| Receive R2, verify | If successful, move to ESTABLISHED |
| INIT Nonce | |
| | If fail, stay in I2BIS-SENT |
| | |
| Receive I1 | Send R2 and stay in I2BIS-SENT |
| | |
| Receive I2, | Send R2 and stay in I2BIS-SENT |
| verify validator | |
| and RESP Nonce | |
| | |
| Receive I2bis, | Send R2 and stay in I2BIS-SENT |
| verify validator | |
| and RESP Nonce | |
| | |
| Receive R1 | Discard and stay in I2BIS-SENT |
| | |
| Timeout, increment | If counter =< I2_RETRIES_MAX, send I2bis |
| timeout counter | and stay in I2BIS-SENT |
| | |
| | If counter > I2_RETRIES_MAX, send I1 and |
| | go to I1-SENT |
| | |
| R1bis | N/A (Dispatcher doesn't deliver since |
| | CT(peer) is not set) |
| | |
| Receive Payload | Accept and send I2bis (probably R2 was |
| Extension header | sent by peer and lost) |
| or other control | |
| packet | |
+---------------------+---------------------------------------------+
The following table describes the possible actions in STATE
ESTABLISHED and their respective triggers:
+---------------------+---------------------------------------------+
| Trigger | Action |
+---------------------+---------------------------------------------+
| Receive I1, compare | If no match, send R1 and stay in ESTABLISHED|
| CT(peer) with | |
| received CT | If match, send R2 and stay in ESTABLISHED |
| | |
| | |
| Receive I2, verify | If successful, send R2 and stay in |
| validator and RESP | ESTABLISHED |
| Nonce | |
| | Otherwise, discard and stay in ESTABLISHED |
| | |
| Receive I2bis, | If successful, send R2 and stay in |
| verify validator | ESTABLISHED |
| and RESP Nonce | |
| | Otherwise, discard and stay in ESTABLISHED |
| | |
| Receive R2 | Discard and stay in ESTABLISHED |
| | |
| Receive R1 | Discard and stay in ESTABLISHED |
| | |
| Receive R1bis | Send I2bis and move to I2BIS-SENT |
| | |
| | |
| Receive Payload | Process and stay in ESTABLISHED |
| Extension header | |
| or other control | |
| packet | |
| | |
| Implementation- | Discard state and go to IDLE |
| specific heuristic | |
| (e.g., No open ULP | |
| sockets and idle | |
| for some time ) | |
+---------------------+---------------------------------------------+
The following table describes the possible actions in STATE E-FAILED
and their respective triggers:
+---------------------+---------------------------------------------+
| Trigger | Action |
+---------------------+---------------------------------------------+
| Wait for | Go to IDLE |
| NO_R1_HOLDDOWN_TIME | |
| | |
| Any packet | Process as in IDLE |
+---------------------+---------------------------------------------+
The following table describes the possible actions in STATE NO-SUPPORT and their respective triggers:
次の表には、州のサポートされていないアクションとそれぞれのトリガーについて説明しています。
+---------------------+---------------------------------------------+
| Trigger | Action |
+---------------------+---------------------------------------------+
| Wait for | Go to IDLE |
| ICMP_HOLDDOWN_TIME | |
| | |
| Any packet | Process as in IDLE |
+---------------------+---------------------------------------------+
Timeout/Null +------------+
I1/R1 +------------------| NO SUPPORT |
Payload or Control/R1bis | +------------+
+---------+ | ^
| | | ICMP Error/Null|
| V V |
+-----------------+ Timeout/Null +----------+ |
| |<---------------| E-FAILED | |
+-| IDLE | +----------+ |
I2 or I2bis/R2 | | | ^ |
| +-----------------+ (Tiemout#>MAX)/Null| |
| ^ | | |
| | +------+ | |
I2 or I2bis/R2 | | Heuristic/I1| I1/R2 | |
Payload/Null | | | Control/Null | |
I1/R1 or R2 | +--+ | Payload/Null | |
R1 or R2/Null | |Heuristic/Null | (Tiemout#<MAX)/I1 | |
+----------+ | | | +--------+ | |
| V V | | | V | |
+-------------------+ R2/Null | +----------------+
| | I2 or I2bis/R2 +------->| |
| ESTABLISHED |<----------------------------| I1-SENT |
| | | |
+-------------------+ +----------------+
| ^ ^ | ^ ^
| | |R2/Null +-------------+ | |
| | +----------+ |R1/I2 | |
| | | V | |
| | +------------------+ | |
| | | |-------------+ |
| | | I2-SENT | (Timeout#>Max)/I1 |
| | | | |
| | +------------------+ |
| | | ^ |
| | +--------------+ |
| | I1 or I2bis or I2/R2 |
| | (Timeout#<Max) or Payload/I2 |
| | R1 or R1bis/Null |
| +-------+ (Timeout#>Max)/I1 |
| R2/Null| +------------------------------------------+
| V |
| +-------------------+
| | |<-+ (Timeout#<Max)/I2bis
+-------->| I2bis-SENT | | I1 or I2 or I2bis/R2
R1bis/I2bis | |--+ R1 or R1bis/Null
+-------------------+ Payload/I2bis
The Shim6 protocol doesn't have a mechanism for coordinated state removal between the peers because such state removal doesn't seem to help, given that a host can crash and reboot at any time. A result of this is that the protocol needs to be robust against a Context Tag being reused for some other context. This section summarizes the different cases in which a Tag can be reused, and how the recovery works.
SHIM6プロトコルには、ホストがいつでもクラッシュして再起動できることを考えると、そのような状態除去が役に立たないため、ピア間で調整された状態除去のメカニズムはありません。その結果、プロトコルは、他のコンテキストのために再利用されるコンテキストタグに対して堅牢である必要があります。このセクションでは、タグを再利用できるさまざまなケースと、回復の仕組みを要約します。
The different cases are exemplified by the following case. Assume hosts A and B were communicating using a context with the ULID pair <A1, B2>, and that B had assigned Context Tag X to this context. We assume that B uses only the Context Tag to demultiplex the received Shim6 Payload Extension headers, since this is the more general case. Further, we assume that B removes this context state, while A retains it. B might then at a later time assign CT(local)=X to some other context, at which time, we have several possible cases:
さまざまなケースは、次のケースで例証されています。ホストAとBが、ulidペア<A1、b2>を使用してコンテキストを使用して通信していたと仮定し、そのbがこのコンテキストにコンテキストタグxを割り当てていました。これはより一般的なケースであるため、Bはコンテキストタグのみを使用して受信したSHIM6ペイロード拡張ヘッダーをDemultiplexで使用します。さらに、Bはこのコンテキスト状態を削除し、Aが保持していると仮定します。bは、後でCT(local)= xを他のコンテキストに割り当てる場合があります。その時点で、いくつかの可能なケースがあります。
o The Context Tag is reassigned to a context for the same ULID pair <A1, B2>. We've called this "context recovery" in this document.
o コンテキストタグは、同じulidペア<a1、b2>のコンテキストに再割り当てされます。このドキュメントでは、この「コンテキストリカバリ」を呼び出しました。
o The Context Tag is reassigned to a context for a different ULID pair between the same two hosts, e.g., <A3, B3>. We've called this "context confusion" in this document.
o コンテキストタグは、同じ2つのホスト、例えば<a3、b3>の間の異なる細胞ペアのコンテキストに再割り当てされます。このドキュメントでは、この「コンテキストの混乱」を呼び出しました。
o The Context Tag is reassigned to a context between B and another host C, for instance, for the ULID pair <C3, B2>. That is a form of three-party context confusion.
o コンテキストタグは、たとえば、ulidペア<c3、b2>について、Bと別のホストCの間のコンテキストに再割り当てされます。それは3つのパーティのコンテキストの混乱の形式です。
This case is relatively simple and is discussed in Section 7.5. The observation is that since the ULID pair is the same, when either A or B tries to establish the new context, A can keep the old context while B re-creates the context with the same Context Tag CT(B) = X.
このケースは比較的単純で、セクション7.5で説明されています。観察は、塩分ペアは同じであるため、AまたはBが新しいコンテキストを確立しようとする場合、Aは古いコンテキストを維持し、Bが同じコンテキストタグCT(B)= Xでコンテキストを再現できるということです。
This case is a bit more complex and is discussed in Section 7.6. When the new context is created, whether A or B initiates it, host A can detect when it receives B's locator set (in the I2 or R2 message) in that it ends up with two contexts to the same peer host (overlapping Ls(peer) locator sets) that have the same Context Tag: CT(peer) = X. At this point in time, host A can clear up any possibility of causing confusion by not using the old context to send any more packets. It either just discards the old context (it might not be used by any ULP traffic, since B had discarded it) or it re- creates a different context for the old ULID pair (<A1, B2>), for which B will assign a unique CT(B) as part of the normal context-establishment mechanism.
このケースはもう少し複雑で、セクション7.6で説明しています。AまたはBがそれを開始するかどうかにかかわらず、新しいコンテキストが作成されると、HOST Aは、同じピアホスト(PEER)に2つのコンテキストで終了するという点で、Bのロケーターセット(I2またはR2メッセージ)を受信したときに検出できます(PEER)同じコンテキストタグを持つロケーターセット:CT(PEER)=X。古いコンテキストを破棄するだけです(Bが破棄したため、ULPトラフィックでは使用されない可能性があります)か、古いulidペア(<a1、b2>)の別のコンテキストを作成します。通常のコンテキスト確立メカニズムの一部としてのユニークなCT(B)。
The third case does not have a place where the old state on A can be verified since the new context is established between B and C. Thus, when B receives Shim6 Payload Extension headers with X as the Context Tag, it will find the context for <C3, B2> and, hence, will rewrite the packets to have C3 in the Source Address field and B2 in the Destination Address field before passing them up to the ULP. This rewriting is correct when the packets are in fact sent by host C, but if host A ever happens to send a packet using the old context, then the ULP on A sends a packet with ULIDs <A1, B2> and the packet arrives at the ULP on B with ULIDs <C3, B2>.
3番目のケースには、bとCの間に新しいコンテキストが確立されるため、Aの古い状態を検証できる場所はありません。<c3、b2>、したがって、ULPに渡す前に、ソースアドレスフィールドにC3、宛先アドレスフィールドにB2があるようにパケットを書き換えます。この書き換えは、パケットが実際にホストCによって送信された場合に正しいが、ホストAがたまたま古いコンテキストを使用してパケットを送信した場合、AのULPはulids <a1、b2>のパケットを送信し、パケットはulids <c3、b2>を含むBのULP。
This is clearly an error, and the packet will most likely be rejected by the ULP on B due to a bad pseudo-header checksum. Even if the checksum is okay (probability 2^-16), the ULP isn't likely to have a connection for those ULIDs and port numbers. And if the ULP is connection-less, processing the packet is most likely harmless; such a ULP must be able to copy with random packets being sent by random peers in any case.
これは明らかにエラーであり、擬似ヘッダーチェックサムが悪いため、パケットはBのULPによって拒否される可能性が高いです。チェックサムが大丈夫であっても(確率2^-16)、ULPはこれらの酸化価格とポート番号に接続されていない可能性があります。そして、ULPが接続なしである場合、パケットの処理はおそらく無害です。このようなULPは、いずれにせよ、ランダムピアから送信されるランダムパケットでコピーできる必要があります。
This broken state, where packets are sent from A to B using the old context on host A, might persist for some time but will not remain for very long. The unreachability detection on host A will kick in because it does not see any return traffic (payload or Keepalive messages) for the context. This will result in host A sending Probe messages to host B to find a working locator pair. The effect of this is that host B will notice that it does not have a context for the ULID pair <A1, B2> and CT(B) = X, which will make host B send an R1bis packet to re-establish that context. The re-established context, just like in the previous section, will get a unique CT(B) assigned by host B; thus, there will no longer be any confusion.
ホストAの古いコンテキストを使用してパケットがAからBに送信されるこの壊れた状態は、しばらくの間持続する可能性がありますが、それほど長くは残ることはありません。ホストAの到達不能の検出は、コンテキストのリターントラフィック(ペイロードまたはキープライブメッセージ)が表示されないため、キックインします。これにより、ホストBへの送信プローブメッセージをホストして、作業ロケーターペアを見つけます。これの効果は、ホストBが、Host BがR1BISパケットを送信してそのコンテキストを再確立するために、Hostペア<A1、B2>およびCT(B)= Xのコンテキストがないことに気付くことです。再確立されたコンテキストは、前のセクションと同じように、ホストBによって割り当てられた一意のCT(b)を取得します。したがって、混乱はもうありません。
In summary, there are cases where a Context Tag might be reused while some peer retains the state, but the protocol can recover from it. The probability of these events is low, given the 47-bit Context Tag size. However, it is important that these recovery mechanisms be tested. Thus, during development and testing, it is recommended that implementations not use the full 47-bit space but instead keep, for example, the top 40 bits as zero, only leaving the host with 128 unique Context Tags. This will help test the recovery mechanisms.
要約すると、一部のピアが状態を保持している間にコンテキストタグが再利用される場合がありますが、プロトコルはそれから回復する場合があります。47ビットのコンテキストタグサイズを考えると、これらのイベントの確率は低くなります。ただし、これらの回復メカニズムをテストすることが重要です。したがって、開発とテスト中に、実装では47ビットの完全なスペースを使用するのではなく、たとえば上位40ビットをゼロとして保持することをお勧めします。これは、回復メカニズムのテストに役立ちます。
This document has picked a certain set of design choices in order to try to work out a bunch of the details and to stimulate discussion. But, as has been discussed on the mailing list, there are other choices that make sense. This appendix tries to enumerate some alternatives.
このドキュメントでは、詳細を大量に解決し、議論を刺激しようとするために、特定のデザインの選択肢を選択しました。しかし、メーリングリストで説明されているように、意味のある他の選択肢があります。この付録は、いくつかの選択肢を列挙しようとします。
Over the years, various suggestions have been made whether the shim should, even if it operates at the IP layer, be aware of ULP connections and sessions and, as a result, be able to make separate shim contexts for separate ULP connections and sessions. A few different options have been discussed:
長年にわたり、シムがIPレイヤーで動作する場合でも、ShimがULPの接続とセッションを認識し、その結果、個別のULP接続とセッションのために個別のシムコンテキストを作成できるかどうかにかかわらず、さまざまな提案が行われてきました。いくつかの異なるオプションが議論されています:
o Each ULP connection maps to its own shim context.
o 各ULP接続は、独自のシムコンテキストにマップします。
o The shim is unaware of the ULP notion of connections and just operates on a host-to-host (IP address) granularity.
o シムは、接続のULP概念に気付いておらず、ホストからホスト(IPアドレス)の粒度で動作するだけです。
o Hybrids in which the shim is aware of some ULPs (such as TCP) and handles other ULPs on a host-to-host basis.
o シムがいくつかのULP(TCPなど)を認識し、ホストからホストベースで他のULPを処理するハイブリッド。
Having shim state for every ULP connection potentially means higher overhead since the state-setup overhead might become significant; there is utility in being able to amortize this over multiple connections.
すべてのULP接続に対してシム状態を持つことは、状態セットアップのオーバーヘッドが重要になる可能性があるため、潜在的にオーバーヘッドが高いことを意味します。複数の接続を介してこれを償却できることには有用性があります。
But being completely unaware of the ULP connections might hamper ULPs that want different communication to use different locator pairs, for instance, for quality or cost reasons.
しかし、ULP接続を完全に知らないことは、異なる通信が品質やコストの理由で異なるロケーターペアを使用するように異なる通信を望んでいるULPを妨げる可能性があります。
The protocol has a shim that operates with host-level granularity (strictly speaking, with ULID-pair granularity) to be able to amortize the context establishment over multiple ULP connections. This is combined with the ability for Shim6-aware ULPs to request context forking so that different ULP traffic can use different locator pairs.
このプロトコルには、複数のULP接続を介したコンテキスト確立を償却できるように、ホストレベルの粒度(厳密に言えば、厳密に言えば、ulid-pair粒度)で動作するシムがあります。これは、異なるULPトラフィックが異なるロケーターペアを使用できるように、SHIM6を認識しているULPがコンテキストフォークを要求する能力と組み合わされます。
Once a ULID-pair context is established between two hosts, packets may carry locators that differ from the ULIDs presented to the ULPs using the established context. One of the main functions of the Shim6 layer is to perform the mapping between the locators used to forward packets through the network and the ULIDs presented to the ULP. In order to perform that translation for incoming packets, the Shim6 layer needs to first identify which of the incoming packets need to be translated and then perform the mapping between locators and ULIDs using the associated context. Such operation is called "demultiplexing". It should be noted that, because any address can be used both as a locator and as a ULID, additional information, other than the addresses carried in packets, needs to be taken into account for this operation.
2つのホストの間にulidペアコンテキストが確立されると、パケットは、確立されたコンテキストを使用してULPSに提示されたulidsとは異なるロケーターを搭載する場合があります。SHIM6レイヤーの主な機能の1つは、ネットワークを介してパケットを転送するために使用されるロケーターとULPに提示されたulids間のマッピングを実行することです。着信パケットのその翻訳を実行するには、SHIM6レイヤーは、最初にどの着信パケットを翻訳する必要があるかを識別し、関連するコンテキストを使用してロケーターとulids間のマッピングを実行する必要があります。このような操作は「Demultiplexing」と呼ばれます。任意のアドレスは、ロケーターとして、およびパケットに掲載されたアドレス以外の亜酸化情報として使用できるため、この操作を考慮する必要があることに注意する必要があります。
For example, if a host has addresses A1 and A2 and starts communicating with a peer with addresses B1 and B2, then some communication (connections) might use the pair <A1, B1> as ULID and others might use, for example, <A2, B2>. Initially there are no failures, so these address pairs are used as locators, i.e., in the IP address fields in the packets on the wire. But when there is a failure, the Shim6 layer on A might decide to send packets that used <A1, B1> as ULIDs using <A2, B2> as the locators. In this case, B needs to be able to rewrite the IP address field for some packets and not others, but the packets all have the same locator pair.
たとえば、ホストにA1とA2のアドレスがあり、アドレスB1とB2のピアとの通信を開始する場合、一部の通信(接続)は、<A1、B1>を使用する可能性があります。、b2>。当初は障害がないため、これらのアドレスペアはロケーターとして使用されます。つまり、ワイヤー上のパケットのIPアドレスフィールドで使用されます。しかし、障害が発生した場合、A上のSHIM6層は、<A1、B1>をロケーターとして<A2、B2>を使用してulidsとして使用したパケットを送信することを決定する可能性があります。この場合、Bは他のパケットではなく、一部のパケットのIPアドレスフィールドを書き換えることができる必要がありますが、パケットはすべて同じロケーターペアを持っています。
In order to accomplish the demultiplexing operation successfully, data packets carry a Context Tag that allows the receiver of the packet to determine the shim context to be used to perform the operation.
Demultiplexing操作を正常に達成するために、データパケットには、パケットの受信機が操作を実行するために使用されるSHIMコンテキストを決定できるコンテキストタグがあります。
Two mechanisms for carrying the Context Tag information have been considered in depth during the shim protocol design: those carrying the Context Tag in the Flow Label field of the IPv6 header and those using a new Extension header to carry the Context Tag. In this appendix, we will describe the pros and cons of each mechanism and justify the selected option.
コンテキストタグ情報を携帯するための2つのメカニズムは、SHIMプロトコル設計中に詳細に考慮されています。IPv6ヘッダーのフローラベルフィールドにコンテキストタグを携帯するものと、コンテキストタグを運ぶために新しい拡張ヘッダーを使用しているメカニズムです。この付録では、各メカニズムの長所と短所について説明し、選択したオプションを正当化します。
A possible approach is to carry the Context Tag in the Flow Label field of the IPv6 header. This means that when a Shim6 context is established, a Flow Label value is associated with this context (and perhaps a separate Flow Label for each direction).
考えられるアプローチは、IPv6ヘッダーのフローラベルフィールドにコンテキストタグを運ぶことです。これは、SHIM6コンテキストが確立されると、フローラベル値がこのコンテキスト(およびおそらく各方向の個別のフローラベル)に関連付けられていることを意味します。
The simplest way to do this is to have the triple <Flow Label, Source Locator, Destination Locator> identify the context at the receiver.
これを行う最も簡単な方法は、トリプル<フローラベル、ソースロケーター、宛先ロケーター>レシーバーのコンテキストを識別することです。
The problem with this approach is that, because the locator sets are dynamic, it is not possible at any given moment to be sure that two contexts for which the same Context Tag is allocated will have disjoint locator sets during the lifetime of the contexts.
このアプローチの問題は、ロケーターセットが動的であるため、同じコンテキストタグが割り当てられている2つのコンテキストが、コンテキストの寿命において分離ロケーターセットを持つことを確認することは、特定の瞬間に不可能です。
Suppose that Node A has addresses IPA1, IPA2, IPA3, and IPA4 and that Host B has addresses IPB1 and IPB2.
ノードAにはIPA1、IPA2、IPA3、およびIPA4にアドレス指定され、ホストBにIPB1およびIPB2アドレスがあると仮定します。
Suppose that two different contexts are established between Host A and Host B.
ホストAとホストBの間に2つの異なるコンテキストが確立されていると仮定します
Context #1 is using IPA1 and IPB1 as ULIDs. The locator set associated to IPA1 is IPA1 and IPA2, while the locator set associated to IPB1 is just IPB1.
コンテキスト#1は、IPA1とIPB1をulidsとして使用しています。IPA1に関連付けられたロケーターセットはIPA1とIPA2であり、IPB1に関連付けられているロケーターセットはIPB1です。
Context #2 uses IPA3 and IPB2 as ULIDs. The locator set associated to IPA3 is IPA3 and IPA4, while the locator set associated to IPB2 is just IPB2.
コンテキスト#2は、IPA3とIPB2をulidsとして使用します。IPA3に関連付けられたロケーターセットはIPA3とIPA4であり、IPB2に関連付けられているロケーターセットはIPB2です。
Because the locator sets of Context #1 and Context #2 are disjoint, hosts could think that the same Context Tag value can be assigned to both of them. The problem arrives when, later on, IPA3 is added as a valid locator for IPA1 in Context #2 and IPB2 is added as a valid locator for IPB1 in Context #1. In this case, the triple <Flow Label, Source Locator, Destination Locator> would not identify a unique context anymore, and correct demultiplexing is no longer possible.
コンテキスト#1とコンテキスト#2のロケーターセットはばらばらであるため、ホストは同じコンテキストタグ値を両方に割り当てることができると考えることができます。後で、IPA3がコンテキスト#2でIPA1の有効なロケーターとして追加され、IPB2がコンテキスト#1でIPB1の有効なロケーターとして追加されると、問題が生じます。この場合、Triple <Flowラベル、ソースロケーター、宛先ロケーター>は、一意のコンテキストをもはや識別せず、正しい非複数のプレックスは不可能です。
A possible approach to overcome this limitation is to simply not repeat the Flow Label values for any communication established in a host. This basically means that each time a new communication that is using different ULIDs is established, a new Flow Label value is assigned to it. By these means, each communication that is using different ULIDs can be differentiated because each has a different Flow Label value.
この制限を克服するための可能なアプローチは、ホストで確立された通信のフローラベル値を単に繰り返さないことです。これは基本的に、異なる亜油を使用している新しい通信が確立されるたびに、新しいフローラベル値が割り当てられることを意味します。これらの手段では、異なる尿酸酸塩を使用している各通信は、それぞれが異なるフローラベル値を持っているため、区別できます。
The problem with such an approach is that it requires the receiver of the communication to allocate the Flow Label value used for incoming packets, in order to assign them uniquely. For this, a shim negotiation of the Flow Label value to use in the communication is needed before exchanging data packets. This poses problems with non-Shim6-capable hosts, since they would not be able to negotiate an acceptable value for the Flow Label. This limitation can be lifted by marking the packets that belong to shim sessions from those that do not. These markings would require at least a bit in the IPv6 header that is not currently available, so more creative options would be required, for instance, using new Next Header values to indicate that the packet belongs to a Shim6-enabled communication and that the Flow Label carries context information as proposed in [8]. However, even if new Next Header values are used in this way, such an approach is incompatible with the deferred-establishment capability of the shim protocol, which is a preferred function since it suppresses delay due to shim context establishment prior to the initiation of communication. Such capability also allows nodes to define at which stage of the communication they decide, based on their own policies, that a given communication requires protection by the shim.
このようなアプローチの問題は、それらをユニークに割り当てるために、着信パケットに使用されるフローラベル値を割り当てるために通信の受信者が必要であることです。このためには、データパケットを交換する前に、通信で使用するフローラベル値のシムネゴシエーションが必要です。これは、フローラベルの許容値を交渉できないため、非Shim6対応ホストに問題を引き起こします。この制限は、シムセッションに属するパケットをマークしていないパケットをマークすることで解除できます。これらのマーキングは、現在利用できないIPv6ヘッダーで少なくとも少し必要であるため、たとえば、より創造的なオプションが必要になります。たとえば、パケットがSHIM6対応通信に属し、フローが属していることを示すために、より創造的なオプションが必要になります。ラベルは、[8]で提案されているようにコンテキスト情報を伝えます。ただし、このように新しい次のヘッダー値が使用されていても、このようなアプローチは、通信の開始前のSHIMコンテキスト確立による遅延を抑制するため、優先関数であるSHIMプロトコルの繰り返し確立能力と互換性がありません。。このような機能により、ノードは、特定の通信がシムによる保護を必要とするという独自のポリシーに基づいて、彼らが決定する通信のどの段階でどの段階で定義することができます。
In order to cope with the identified limitations, an alternative approach that does not constrain the Flow Label values that are used by communications using ULIDs equal to the locators (i.e., no shim translation) is to only require that different Flow Label values are assigned to different shim contexts. In such an approach, communications start with unmodified Flow Label usage (could be zero or as suggested in [12]). The packets sent after a failure when a different locator pair is used would use a completely different Flow Label, and this Flow Label could be allocated by the receiver as part of the shim context establishment. Since it is allocated during the context establishment, the receiver of the "failed over" packets can pick a Flow Label of its choosing (that is unique in the sense that no other context is using it as a Context Tag), without any performance impact, respecting that, for each locator pair, the Flow Label value used for a given locator pair doesn't change due to the operation of the multihoming shim.
特定された制限に対処するために、ロケーターに等しいulidを使用して通信が使用するフローラベル値を制約しない代替アプローチ(つまり、シム変換はありません)は、異なるフローラベル値がに割り当てられることを要求することです。さまざまなシムコンテキスト。このようなアプローチでは、通信は変更されていないフローラベルの使用状況から始まります([12]でゼロまたは示唆されているように)。異なるロケーターペアが使用されたときに障害後に送信されるパケットは、まったく異なるフローラベルを使用し、このフローラベルは、シムコンテキスト確立の一部として受信機によって割り当てられる可能性があります。コンテキスト確立中に割り当てられるため、パフォーマンスの影響なしに、「失敗した」パケットの受信者は、選択のフローラベル(他のコンテキストがコンテキストタグとして使用していないという意味で一意です)を選択できます。、各ロケーターペアについて、特定のロケーターペアに使用されるフローラベル値は、マルチホームシムの動作により変更されません。
In this approach, the constraint is that Flow Label values being used as context identifiers cannot be used by other communications that use non-disjoint locator sets. This means that once a given Flow Label value has been assigned to a shim context that has a certain locator sets associated, the same value cannot be used for other communications that use an address pair that is contained in the locator sets of the context. This is a constraint in the potential Flow Label allocation strategies.
このアプローチでは、コンテキスト識別子として使用されているフローラベル値は、非ディスジョイントロケーターセットを使用する他の通信では使用できないという制約です。これは、特定のロケーターセットが関連付けられているシムコンテキストに与えられたフローラベル値が割り当てられたら、コンテキストのロケーターセットに含まれるアドレスペアを使用する他の通信に同じ値を使用できないことを意味します。これは、潜在的なフローラベル割り当て戦略の制約です。
A possible workaround to this constraint is to mark shim packets that require translation, in order to differentiate them from regular IPv6 packets, using the artificial Next Header values described above. In this case, the Flow Label values constrained are only those of the packets that are being translated by the shim. This last approach would be the preferred approach if the Context Tag is to be carried in the Flow Label field. This is the case not only because it imposes the minimum constraints to the Flow Label allocation strategies, limiting the restrictions only to those packets that need to be translated by the shim, but also because context-loss detection mechanisms greatly benefit from the fact that shim data packets are identified as such, allowing the receiving end to identify if a shim context associated to a received packet is supposed to exist, as will be discussed in the context-loss detection appendix below.
この制約の可能性のある回避策は、上記の人工次のヘッダー値を使用して、通常のIPv6パケットと区別するために、翻訳を必要とするシムパケットをマークすることです。この場合、制約されているフローラベル値は、シムによって翻訳されているパケットの値のみです。この最後のアプローチは、コンテキストタグをフローラベルフィールドに携帯する場合、好ましいアプローチです。これは、フローラベル割り当て戦略に最小制約を課すためだけでなく、シムによって翻訳する必要があるパケットのみに制限を制限するだけでなく、コンテキストロス検出メカニズムがシムがその事実から大きく利益を得るためにも制限されます。データパケットはそのように識別され、受信側が受信したパケットに関連付けられたシムコンテキストが存在するはずかどうかを識別できるようにします。
Another approach, which is the one selected for this protocol, is to carry the Context Tag in a new Extension header. These Context Tags are allocated by the receiving end during the Shim6 protocol initial negotiation, implying that each context will have two Context Tags, one for each direction. Data packets will be demultiplexed using the Context Tag carried in the Extension header. This seems a clean approach since it does not overload existing fields. However, it introduces additional overhead in the packet due to the additional header. The additional overhead introduced is 8 octets. However, it should be noted that the Context Tag is only required when a locator other than the one used as ULID is contained in the packet. Packets where both the Source and Destination Address fields contain the ULIDs do not require a Context Tag, since no rewriting is necessary at the receiver. This approach would reduce the overhead because the additional header is only required after a failure. On the other hand, this approach would cause changes in the available MTU for some packets, since packets that include the Extension header will have an MTU that is 8 octets shorter. However, path changes through the network can result in a different MTU in any case; thus, having a locator change, which implies a path change, affect the MTU doesn't introduce any new issues.
このプロトコルに選択された別のアプローチは、新しい拡張機能ヘッダーにコンテキストタグを携帯することです。これらのコンテキストタグは、SHIM6プロトコルの初期ネゴシエーション中に受信側によって割り当てられ、各コンテキストには各方向に1つの2つのコンテキストタグがあることを意味します。データパケットは、エクステンションヘッダーに掲載されたコンテキストタグを使用して、反射されます。既存のフィールドを過負荷にしないため、これはクリーンなアプローチのようです。ただし、追加のヘッダーにより、パケットに追加のオーバーヘッドが導入されます。導入された追加のオーバーヘッドは8オクテットです。ただし、Contextタグは、ulidとして使用されるロケーター以外のロケーターがパケットに含まれている場合にのみ必要であることに注意してください。ソースアドレスフィールドと宛先アドレスフィールドの両方がulidに含まれているパケットには、受信機に書き換えは必要ないため、コンテキストタグは必要ありません。追加のヘッダーは障害後にのみ必要であるため、このアプローチはオーバーヘッドを減らします。一方、このアプローチは、拡張ヘッダーを含むパケットに8オクテットが短くなるMTUがあるため、一部のパケットで使用可能なMTUの変更を引き起こします。ただし、ネットワークを介したパスの変更は、いずれにせよ、異なるMTUをもたらす可能性があります。したがって、パスの変更を暗示するロケーターの変更を行うと、MTUに影響があり、新しい問題は導入されません。
In this appendix, we will present different approaches considered to detect context loss and potential context-recovery strategies. The scenario being considered is the following: Node A and Node B are communicating using IPA1 and IPB1. Sometime later, a shim context is established between them, with IPA1 and IPB1 as ULIDs and with IPA1,...,IPAn and IPB1,...,IPBm as locator sets, respectively.
この付録では、コンテキストの損失と潜在的なコンテキスト回復戦略を検出するために考慮されるさまざまなアプローチを提示します。考慮されるシナリオは次のとおりです。ノードAとノードBは、IPA1とIPB1を使用して通信しています。しばらくして、それらの間にシムのコンテキストが確立され、IPA1とIPB1は尿素となり、IPA1、...、IPANとIPB1、...、LocatorセットとしてそれぞれIPBMを使用します。
It may happen that, later on, one of the hosts (e.g., Host A) loses the shim context. The reason for this can be that Host A has a more aggressive garbage collection policy than Host B or that an error occurred in the shim layer at Host A and resulted in the loss of the context state.
後で、ホストの1つ(たとえば、ホストA)がシムのコンテキストを失うことが起こる可能性があります。この理由は、ホストAがホストBよりも積極的なごみ収集ポリシーを持っていること、またはホストAのシム層でエラーが発生し、コンテキスト状態が失われたためです。
The mechanisms considered in this appendix are aimed at dealing with this problem. There are essentially two tasks that need to be performed in order to cope with this problem: first, the context loss must be detected and, second, the context needs to be recovered/ re-established.
この付録で検討されているメカニズムは、この問題に対処することを目的としています。本質的に、この問題に対処するために実行する必要がある2つのタスクがあります。1つ目は、コンテキストの損失を検出する必要があり、次に、コンテキストを回復/再確立する必要があります。
Mechanisms for detecting context loss.
コンテキスト損失を検出するためのメカニズム。
These mechanisms basically consist in each end of the context that periodically sends a packet containing context-specific information to the other end. Upon reception of such packets, the receiver verifies that the required context exists. In the case that the context does not exist, it sends a packet notifying the sender of the problem.
これらのメカニズムは、基本的に、コンテキスト固有の情報を含むパケットを他の端に定期的に送信するコンテキストの各端から構成されています。このようなパケットを受信すると、受信者は必要なコンテキストが存在することを確認します。コンテキストが存在しない場合、問題を送信者に通知するパケットを送信します。
An obvious alternative for this would be to create a specific context keepalive exchange, which consists in periodically sending packets with this purpose. This option was considered and discarded because it seemed an overkill to define a new packet exchange to deal with this issue.
このための明らかな代替案は、特定のコンテキストKeepalive Exchangingを作成することです。これは、この目的で定期的にパケットを送信することで構成されています。このオプションは、この問題に対処するための新しいパケット交換を定義するための過剰なものと思われるため、考慮され、廃棄されました。
Another alternative is to piggyback the context-loss detection function in other existent packet exchanges. In particular, both shim control and data packets can be used for this.
もう1つの選択肢は、他の既存のパケット交換におけるコンテキストロス検出機能をピギーバックすることです。特に、これにはシム制御とデータパケットの両方を使用できます。
Shim control packets can be trivially used for this because they carry context-specific information. This way, when a node receives one such packet, it will verify if the context exists. However, shim control frequency may not be adequate for context-loss detection since control packet exchanges can be very limited for a session in certain scenarios.
Chim Controlパケットは、コンテキスト固有の情報を搭載するため、これには簡単に使用できます。このようにして、ノードがそのようなパケットを1つ受信すると、コンテキストが存在するかどうかが確認されます。ただし、特定のシナリオでのセッションでは、コントロールパケット交換が非常に制限される可能性があるため、シム制御頻度はコンテキストロス検出には適切ではない場合があります。
Data packets, on the other hand, are expected to be exchanged with a higher frequency but do not necessarily carry context-specific information. In particular, packets flowing before a locator change (i.e., a packet carrying the ULIDs in the address fields) do not need context information since they do not need any shim processing. Packets that carry locators that differ from the ULIDs carry context information.
一方、データパケットは、より高い頻度で交換されると予想されますが、必ずしもコンテキスト固有の情報を運ぶとは限りません。特に、ロケーターが変更される前に流れるパケット(つまり、アドレスフィールドにulidを運ぶパケット)は、シム処理が必要ないため、コンテキスト情報は必要ありません。ulidsとは異なるロケーターを運ぶパケットは、コンテキスト情報を伝えます。
However, we need to make a distinction here between the different approaches considered to carry the Context Tag -- in particular, between those approaches where packets are explicitly marked as shim packets and those approaches where packets are not marked as such. For instance, in the case where the Context Tag is carried in the Flow Label and packets are not marked as shim packets (i.e., no new Next Header values are defined for shim), a receiver that has lost the associated context is not able to detect that the packet is associated with a missing context. The result is that the packet will be passed unchanged to the upper-layer protocol, which in turn will probably silently discard it due to a checksum error. The resulting behavior is that the context loss is undetected. This is one additional reason to discard an approach that carries the Context Tag in the Flow Label field and does not explicitly mark the shim packets as such. On the other hand, approaches that mark shim data packets (like those that use the Extension header or the Flow Label with new Next Header values) allow the receiver to detect if the context associated to the received packet is missing. In this case, data packets also perform the function of a context-loss detection exchange. However, it must be noted that only those packets that carry a locator that differs from the ULID are marked. This basically means that context loss will be detected after an outage has occurred, i.e., alternative locators are being used.
ただし、ここでは、コンテキストタグを運ぶために検討されるさまざまなアプローチ、特にパケットがシムパケットとして明示的にマークされているアプローチと、パケットがマークされていないアプローチの間で区別する必要があります。たとえば、コンテキストタグがフローラベルに携帯され、パケットがシムパケットとしてマークされていない場合(つまり、シムに対して新しい次のヘッダー値は定義されていません)、関連するコンテキストを失ったレシーバーはできません。パケットが欠落しているコンテキストに関連付けられていることを検出します。その結果、パケットは上層層プロトコルに変更されずに渡されます。結果として生じる動作は、コンテキスト損失が検出されないことです。これは、フローラベルフィールドにコンテキストタグを運ぶアプローチを破棄し、そのようなシムパケットを明示的にマークしない追加の理由の1つです。一方、Shimデータパケットをマークするアプローチ(拡張ヘッダーまたは新しい次のヘッダー値を使用してフローラベルを使用するなど)は、受信したパケットに関連付けられたコンテキストが欠落しているかどうかを受信者が検出できるようにします。この場合、データパケットはコンテキストロス検出交換の機能も実行します。ただし、ulidとは異なるロケーターを運ぶパケットのみがマークされていることに注意する必要があります。これは基本的に、停止が発生した後、つまり代替ロケーターが使用されている後にコンテキスト損失が検出されることを意味します。
Summarizing, the proposed context-loss detection mechanisms use shim control packets and Shim6 Payload Extension headers to detect context loss. Shim control packets detect context loss during the whole lifetime of the context, but the expected frequency in some cases is very low. On the other hand, Shim6 Payload Extension headers have a higher expected frequency in general, but they only detect context loss after an outage. This behavior implies that it will be common that context loss is detected after a failure, i.e., once it is actually needed. Because of that, a mechanism for recovering from context loss is required if this approach is used.
要約すると、提案されたコンテキストロス検出メカニズムは、SHIMコントロールパケットとSHIM6ペイロード拡張ヘッダーを使用して、コンテキスト損失を検出します。シム制御パケットは、コンテキストの寿命全体でコンテキストの損失を検出しますが、場合によっては予想される頻度は非常に低いです。一方、SHIM6ペイロードエクステンションヘッダーは、一般的に予想される頻度が高くなりますが、停止後のコンテキスト損失のみを検出します。この動作は、障害後、つまり実際に必要になったら、コンテキストの損失が検出されることが一般的であることを意味します。そのため、このアプローチが使用される場合、コンテキスト損失から回復するメカニズムが必要です。
Overall, the mechanism for detecting lost context would work as follows: the end that still has the context available sends a message referring to the context. Upon the reception of such message, the end that has lost the context identifies the situation and notifies the other end of the context-loss event by sending a packet containing the lost context information extracted from the received packet.
全体として、失われたコンテキストを検出するメカニズムは次のように機能します。まだ利用可能なコンテキストがある終わりは、コンテキストを参照するメッセージを送信します。そのようなメッセージを受信すると、コンテキストを失った終わりは状況を識別し、受信したパケットから抽出された失われたコンテキスト情報を含むパケットを送信することにより、コンテキストロスイベントの反対側に通知します。
One option is to simply send an error message containing the received packets (or at least as much of the received packet that the MTU allows to fit). One of the goals of this notification is to allow the other end that still retains context state to re-establish the lost context. The mechanism to re-establish the lost context consists in performing the 4-way initial handshake. This is a time-consuming exchange and, at this point, time may be critical since we are re-establishing a context that is currently needed (because context-loss detection may occur after a failure). So another option, which is the one used in this protocol, is to replace the error message with a modified R1 message so that the time required to perform the context-establishment exchange can be reduced. Upon the reception of this modified R1 message, the end that still has the context state can finish the context-establishment exchange and restore the lost context.
1つのオプションは、受信したパケットを含むエラーメッセージを単に送信することです(または、少なくともMTUが適合させる受信したパケットの多く)。この通知の目標の1つは、コンテキスト状態を保持している反対側に、失われたコンテキストを再確立できるようにすることです。失われたコンテキストを再確立するメカニズムは、4ウェイの初期握手を実行することです。これは時間のかかる交換であり、現時点では、現在必要なコンテキストを再確立しているため、時間が重要になる可能性があります(障害後にコンテキストロス検出が発生する可能性があるため)。したがって、このプロトコルで使用される別のオプションは、エラーメッセージを変更されたR1メッセージに置き換えて、コンテキスト確立交換の実行に必要な時間を減らすことができるようにすることです。この変更されたR1メッセージを受信すると、コンテキスト状態がまだコンテキスト確立の交換を完了し、失われたコンテキストを復元できます。
The adoption of a protocol like SHIM, which allows the binding of a given ULID with a set of locators, opens the door for different types of redirection attacks as described in [15]. The goal, in terms of security, for the design of the shim protocol is to not introduce any new vulnerability into the Internet architecture. It is a non-goal to provide additional protection other than what is currently available in the single-homed IPv6 Internet.
SHIMのようなプロトコルの採用は、特定の亜油のロケーターのセットを結合することを可能にするため、[15]に記載されているように、さまざまなタイプのリダイレクト攻撃の扉を開きます。Shimプロトコルの設計に関するセキュリティの観点からの目標は、インターネットアーキテクチャに新しい脆弱性を導入しないことです。シングルホームのIPv6インターネットで現在利用可能なもの以外に、追加の保護を提供することはノンゴールです。
Multiple security mechanisms were considered to protect the shim protocol. In this appendix we will present some of them.
SHIMプロトコルを保護するために、複数のセキュリティメカニズムが考慮されました。この付録では、それらのいくつかを提示します。
The simplest option to protect the shim protocol is to use cookies, i.e., a randomly generated bit string that is negotiated during the context-establishment phase and then is included in subsequent signaling messages. By these means, it would be possible to verify that the party that was involved in the initial handshake is the same party that is introducing new locators. Moreover, before using a new locator, an exchange is performed through the new locator, verifying that the party located at the new locator knows the cookie, i.e., that it is the same party that performed the initial handshake.
シムプロトコルを保護する最も簡単なオプションは、Cookie、つまり、コンテキスト確立段階でネゴシエートされ、その後のシグナリングメッセージに含まれるランダムに生成されたビット文字列を使用することです。これらの手段では、最初の握手に関与していた当事者が新しいロケーターを導入しているのと同じパーティーであることを確認することが可能です。さらに、新しいロケーターを使用する前に、新しいロケーターを介して交換が行われ、新しいロケーターにあるパーティーがCookieを知っていることを確認します。つまり、最初の握手を実行したのは同じパーティーであることを確認します。
While this security mechanism does indeed provide a fair amount of protection, it leaves the door open for so-called time-shifted attacks. In these attacks, an attacker on the path discovers the cookie by sniffing any signaling message. After that, the attacker can leave the path and still perform a redirection attack since, as he is in possession of the cookie, he can introduce a new locator into the locator set and can also successfully perform the reachability exchange if he is able to receive packets at the new locator. The difference with the current single-homed IPv6 situation is that in the current situation the attacker needs to be on-path during the whole lifetime of the attack, while in this new situation (where only cookie protection is provided), an attacker that was once on the path can perform attacks after he has left the on-path location.
このセキュリティメカニズムは実際にかなりの量の保護を提供しますが、いわゆるタイムシフト攻撃のためにドアを開いたままにします。これらの攻撃では、パスの攻撃者がシグナリングメッセージを嗅ぐことでCookieを発見します。その後、攻撃者はパスを離れてリダイレクト攻撃を実行できます。なぜなら、彼はCookieを所有しているので、彼はロケーターセットに新しいロケーターを紹介することができ、また彼が受け取ることができればReachability Exchangeを正常に実行することができます新しいロケーターのパケット。現在のシングルホームのIPv6状況との違いは、現在の状況では、攻撃者は攻撃の寿命全体でパスする必要があることです。パスに着くと、彼がオンパスの場所を離れた後、攻撃を行うことができます。
Moreover, because the cookie is included in signaling messages, the attacker can discover the cookie by sniffing any of them, making the protocol vulnerable during the whole lifetime of the shim context. A possible approach to increase security is to use a shared secret, i.e., a bit string that is negotiated during the initial handshake but that is used as a key to protect following messages. With this technique, the attacker must be present on the path and sniffing packets during the initial handshake, since this is the only moment when the shared secret is exchanged. Though it imposes that the attacker must be on path at a very specific moment (the establishment phase), and though it improves security, this approach is still vulnerable to time-shifted attacks. It should be noted that, depending on protocol details, an attacker may be able to force the re-creation of the initial handshake (for instance, by blocking messages and making the parties think that the context has been lost); thus, the resulting situation may not differ that much from the cookie-based approach.
さらに、Cookieはシグナリングメッセージに含まれているため、攻撃者はそれらのいずれかを嗅ぐことでCookieを発見し、シムコンテキストの生涯の間にプロトコルを脆弱にすることができます。セキュリティを増やす可能性のあるアプローチは、共有された秘密、つまり最初の握手中にネゴシエートされるビット文字列を使用することですが、それは次のメッセージを保護するための鍵として使用されます。この手法では、攻撃者は、共有された秘密が交換される唯一の瞬間であるため、最初の握手中にパスとスニッフィングパケットに存在する必要があります。攻撃者は非常に特定の瞬間(確立段階)に道を歩む必要があり、セキュリティは改善されていますが、このアプローチは依然としてタイムシフト攻撃に対して脆弱です。プロトコルの詳細に応じて、攻撃者は最初の握手の再作成を強制することができる可能性があることに注意する必要があります(たとえば、メッセージをブロックして、コンテキストが失われたと当事者に考えることにより)。したがって、結果として生じる状況は、Cookieベースのアプローチとそれほど違いはありません。
Another option that was discussed during the design of this protocol was the possibility of using IPsec for protecting the shim protocol. Now, the problem under consideration in this scenario is how to securely bind an address that is being used as ULID with a locator set that can be used to exchange packets. The mechanism provided by IPsec to securely bind the address that is used with cryptographic keys is the usage of digital certificates. This implies that an IPsec-based solution would require a common and mutually trusted third party to generate digital certificates that bind the key and the ULID. Considering that the scope of application of the shim protocol is global, this would imply a global public key infrastructure (PKI). The major issues with this approach are the deployment difficulties associated with a global PKI. The other possibility would be to use some form of opportunistic IPSec, like Better-Than-Nothing-Security (BTNS) [22]. However, this would still present some issues. In particular, this approach requires a leap-of-faith in order to bind a given address to the public key that is being used, which would actually prevent the most critical security feature that a Shim6 security solution needs to achieve from being provided: proving identifier ownership. On top of that, using IPsec would require to turn on per-packet AH/ESP just for multihoming to occur.
このプロトコルの設計中に議論されたもう1つのオプションは、SHIMプロトコルを保護するためにIPSECを使用する可能性でした。現在、このシナリオで検討中の問題は、パケットを交換するために使用できるロケーターセットでulidとして使用されているアドレスを安全にバインドする方法です。暗号化キーで使用されるアドレスを安全にバインドするためにIPSECが提供するメカニズムは、デジタル証明書の使用です。これは、IPSECベースのソリューションでは、キーと亜油を結合するデジタル証明書を生成するために、一般的かつ相互に信頼できる第三者が必要であることを意味します。SHIMプロトコルの適用範囲がグローバルであることを考慮すると、これはグローバルな公開インフラストラクチャ(PKI)を意味します。このアプローチの主な問題は、グローバルPKIに関連する展開の問題です。他の可能性は、より良いセキュリティ(BTNS)のように、何らかの形の日和見的なIPSECを使用することです[22]。ただし、これはまだいくつかの問題を提示します。特に、このアプローチでは、使用されている公開鍵に特定のアドレスをバインドするために、faithの飛躍が必要です。これは、SHIM6セキュリティソリューションが提供されることから達成する必要がある最も重要なセキュリティ機能を実際に防止するでしょう。識別子の所有権。それに加えて、IPSECを使用すると、マルチホミングが発生するためだけにパケットごとにAH/ESPをオンにする必要があります。
In general, SHIM6 was expected to work between pairs of hosts that have no prior arrangement, security association, or common, trusted third party. It was also seen as undesirable to have to turn on per-packet AH/ESP just for the multihoming to occur. However, Shim6 should work and have an additional level of security where two hosts choose to use IPsec.
一般に、SHIM6は、事前の取り決め、セキュリティ協会、または一般的な信頼できる第三者のないホストのペア間で作業することが期待されていました。また、マルチホミングが発生するためだけに、パケットごとにAH/ESPをオンにする必要があることも望ましくないと考えられていました。ただし、SHIM6は動作し、2人のホストがIPSECを使用することを選択する追加のセキュリティを持つ必要があります。
Another design alternative would have employed some form of opportunistic or Better-Than-Nothing Security (BTNS) IPsec to perform these tasks with IPsec instead. Essentially, HIP in opportunistic mode is very similar to SHIM6, except that HIP uses IPsec, employs per-packet ESP, and introduces another set of identifiers.
別のデザインの代替手段は、代わりにIPSECでこれらのタスクを実行するために、何らかの形の日和見的またはより良いセキュリティ(BTNS)IPSECを採用していました。本質的に、日和見モードのヒップはSHIM6と非常に似ていますが、HIPはIPSECを使用し、パケットごとのESPを使用し、別の識別子セットを導入します。
Finally, two different technologies were selected to protect the shim protocol: HBA [3] and CGA [2]. These two techniques provide a similar level of protection but also provide different functionality with different computational costs.
最後に、SHIMプロトコルを保護するために2つの異なる技術が選択されました:HBA [3]およびCGA [2]。これらの2つの手法は、同様のレベルの保護を提供しますが、異なる機能を異なる計算コストで提供します。
The HBA mechanism relies on the capability of generating all the addresses of a multihomed host as an unalterable set of intrinsically bound IPv6 addresses, known as an HBA set. In this approach, addresses incorporate a cryptographic one-way hash of the prefix set available into the interface identifier part. The result is that the binding between all the available addresses is encoded within the addresses themselves, providing hijacking protection. Any peer using the shim protocol node can efficiently verify that the alternative addresses proposed for continuing the communication are bound to the initial address through a simple hash calculation. A limitation of the HBA technique is that, once generated, the address set is fixed and cannot be changed without also changing all the addresses of the HBA set. In other words, the HBA technique does not support dynamic addition of address to a previously generated HBA set. An advantage of this approach is that it requires only hash operations to verify a locator set, imposing very low computational cost to the protocol.
HBAメカニズムは、HBAセットとして知られる本質的にバインドされたIPv6アドレスの変更不可能なセットとして、マルチホームホストのすべてのアドレスを生成する能力に依存しています。このアプローチでは、アドレスは、インターフェイス識別子部品に使用可能なプレフィックスセットの暗号化の一方向ハッシュを組み込みます。その結果、利用可能なすべてのアドレス間のバインディングがアドレス自体にエンコードされ、ハイジャック保護が提供されます。SHIMプロトコルノードを使用するピアは、通信を継続するために提案された代替アドレスが簡単なハッシュ計算を通じて初期アドレスにバインドされていることを効率的に確認できます。HBA技術の制限は、生成されると、アドレスセットが固定されており、HBAセットのすべてのアドレスも変更せずに変更できないことです。言い換えれば、HBA技術は、以前に生成されたHBAセットへのアドレスの動的な追加をサポートしていません。このアプローチの利点は、ロケーターセットを検証するためにハッシュ操作のみが必要であり、プロトコルに非常に低い計算コストを課すことです。
In a CGA-based approach, the address used as ULID is a CGA that contains a hash of a public key in its interface identifier. The result is a secure binding between the ULID and the associated key pair. This allows each peer to use the corresponding private key to sign the shim messages that convey locator set information. The trust chain in this case is the following: the ULID used for the communication is securely bound to the key pair because it contains the hash of the public key, and the locator set is bound to the public key through the signature. The CGA approach then supports dynamic addition of new locators in the locator set, since in order to do that the node only needs to sign the new locator with the private key associated with the CGA used as ULID. A limitation of this approach is that it imposes systematic usage of public key cryptography with its associate computational cost.
CGAベースのアプローチでは、ULIDとして使用されるアドレスは、インターフェイス識別子に公開キーのハッシュを含むCGAです。その結果、尿酸酸塩と関連するキーペアの間に安全な結合ができます。これにより、各ピアは対応する秘密鍵を使用して、ロケーターセット情報を伝えるシムメッセージに署名できます。この場合のトラストチェーンは次のとおりです。通信に使用される尿酸塩は、公開キーのハッシュが含まれており、ロケーターセットが署名を通じて公開キーにバインドされるため、キーペアにしっかりとバインドされます。CGAアプローチは、ロケーターセット内の新しいロケーターの動的な追加をサポートします。これは、ulidとして使用されるCGAに関連付けられた秘密キーを使用して、ノードに新しいロケーターに署名する必要があるためです。このアプローチの制限は、関連する計算コストで公開キー暗号化の体系的な使用を課すことです。
Either of these two mechanisms, HBA and CGA, provides time-shifted attack protection, since the ULID is securely bound to a locator set that can only be defined by the owner of the ULID.
これらの2つのメカニズムのいずれか、HBAとCGAは、ULIDの所有者のみが定義できるロケーターセットにしっかりと結合するため、タイムシフト攻撃保護を提供します。
So the design decision adopted was that both mechanisms, HBA and CGA, are supported. This way, when only stable address sets are required, the nodes can benefit from the low computational cost offered by HBA, while when dynamic locator sets are required, this can be achieved through CGAs with an additional cost. Moreover, because HBAs are defined as a CGA extension, the addresses available in a node can simultaneously be CGAs and HBAs, allowing the usage of the HBA and CGA functionality when needed, without requiring a change in the addresses used.
したがって、採用された設計上の決定は、HBAとCGAの両方のメカニズムがサポートされていることでした。これにより、安定したアドレスセットのみが必要な場合、ノードはHBAが提供する低い計算コストの恩恵を受けることができますが、動的なロケーターセットが必要な場合、これは追加コストでCGAを使用することができます。さらに、HBAはCGA拡張機能として定義されるため、ノードで利用可能なアドレスは同時にCGAとHBAであるため、必要に応じてHBAおよびCGA機能の使用を可能にします。
Two options were considered for the ULID-pair context-establishment exchange: a 2-way handshake and a 4-way handshake.
ulidペアのコンテキスト確立交換の2つのオプションが考慮されました。2ウェイハンドシェイクと4ウェイハンドシェイクです。
A key goal for the design of this exchange was protection against DoS attacks. The attack under consideration was basically a situation where an attacker launches a great amount of ULID-pair establishment-request packets, exhausting the victim's resources similarly to TCP SYN flooding attacks.
この交換の設計の重要な目標は、DOS攻撃に対する保護でした。検討中の攻撃は、基本的に、攻撃者が大量のulidペア設立要求パケットを開始する状況であり、TCP Syn洪水攻撃と同様に被害者のリソースを使い果たしました。
A 4-way handshake exchange protects against these attacks because the receiver does not create any state associated to a given context until the reception of the second packet, which contains prior-contact proof in the form of a token. At this point, the receiver can verify that at least the address used by the initiator is valid to some extent, since the initiator is able to receive packets at this address. In the worst case, the responder can track down the attacker using this address. The drawback of this approach is that it imposes a 4-packet exchange for any context establishment. This would be a great deal if the shim context needed to be established up front, before the communication can proceed. However, thanks to the deferred context-establishment capability of the shim protocol, this limitation has a reduced impact in the performance of the protocol. (However, it may have a greater impact in the situation of context recovery, as discussed earlier. However, in this case, it is possible to perform optimizations to reduce the number of packets as described above.)
4方向の握手交換は、トークンの形での事前接触証明を含む2番目のパケットの受信まで、受信機が特定のコンテキストに関連する状態を作成しないため、これらの攻撃から保護します。この時点で、イニシエーターはこのアドレスでパケットを受信できるため、受信者は少なくともイニシエーターが使用するアドレスがある程度有効であることを確認できます。最悪の場合、レスポンダーはこのアドレスを使用して攻撃者を追跡できます。このアプローチの欠点は、コンテキストの確立に4パケット交換を課すことです。これは、通信が進む前に、シムのコンテキストを前もって確立する必要がある場合に大きなことです。ただし、SHIMプロトコルの延期されたコンテキスト確立能力のおかげで、この制限はプロトコルのパフォーマンスに影響を減らします。(ただし、前述のように、コンテキストの回復の状況に大きな影響を与える可能性があります。ただし、この場合、上記のようにパケットの数を減らすために最適化を実行することができます。)
The other option considered was a 2-way handshake with the possibility to fall back to a 4-way handshake in case of attack. In this approach, the ULID-pair establishment exchange normally consists of a 2-packet exchange and does not verify that the initiator has performed a prior contact before creating context state. In case a DoS attack is detected, the responder falls back to a 4-way handshake similar to the one described previously, in order to prevent the detected attack from proceeding. The main difficulty with this attack is how to detect that a responder is currently under attack. It should be noted that, because this is a 2-way exchange, it is not possible to use the number of half-open sessions (as in TCP) to detect an ongoing attack; different heuristics need to be considered.
考慮されるもう1つのオプションは、攻撃の場合に4方向の握手に戻る可能性がある2方向の握手でした。このアプローチでは、ulid-pair施設交換は通常、2パケット交換で構成されており、イニシエーターがコンテキスト状態を作成する前に事前の接触を実行したことを確認しません。DOS攻撃が検出された場合、検出された攻撃が進行するのを防ぐために、レスポンダーが前述のものと同様の4方向の握手に戻ります。この攻撃の主な難しさは、レスポンダーが現在攻撃を受けていることを検出する方法です。これは2方向の交換であるため、ハーフオープンセッションの数(TCPのように)を使用して進行中の攻撃を検出することは不可能であることに注意する必要があります。さまざまなヒューリスティックを考慮する必要があります。
The design decision taken was that, considering the current impact of DoS attacks and the low impact of the 4-way exchange in the shim protocol (thanks to the deferred context-establishment capability), a 4-way exchange would be adopted for the base protocol.
設計上の決定は、DOS攻撃の現在の影響とSHIMプロトコルにおける4ウェイエクスチェンジの影響の低い影響(延期されたコンテキスト確立能力のおかげで)を考慮して、ベースに4方向の交換が採用されることでした。プロトコル。
There are two possible approaches to the addition and removal of locators: atomic and differential approaches. The atomic approach essentially sends the complete locator set each time a variation in the locator set occurs. The differential approach sends the differences between the existing locator set and the new one. The atomic approach imposes additional overhead since all of the locator set has to be exchanged each time, while the differential approach requires re-synchronization of both ends through changes (i.e., requires that both ends have the same idea about what the current locator set is).
ロケーターの追加と除去には、アトミックと微分アプローチの2つのアプローチがあります。アトミックアプローチは、本質的に、ロケーターセットのバリエーションが発生するたびに完全なロケーターセットを送信します。微分アプローチは、既存のロケーターセットと新しいロケーターセットの違いを送信します。すべてのロケーターセットを毎回交換する必要があるため、アトミックアプローチは追加のオーバーヘッドを課しますが、微分アプローチでは、変化を通じて両端を再同期する必要があります(つまり、現在のロケーターセットが何であるかについて両端が同じアイデアを持つ必要があります。)。
Because of the difficulties imposed by the synchronization requirement, the atomic approach was selected.
同期要件によって課される困難のため、原子アプローチが選択されました。
There are essentially two approaches for discarding an existing state about locators, keys, and identifiers of a correspondent node: a coordinated approach and an unilateral approach.
本質的に、特派員ノードのロケーター、キー、および識別子に関する既存の状態を破棄するための2つのアプローチがあります:調整されたアプローチと一方的なアプローチ。
In the unilateral approach, each node discards information about the other node without coordination with the other node, based on some local timers and heuristics. No packet exchange is required for this. In this case, it would be possible that one of the nodes has discarded the state while the other node still hasn't. In this case, a No Context Error message may be required to inform the other node about the situation; possibly a recovery mechanism is also needed.
一方的なアプローチでは、各ノードは、一部のローカルタイマーとヒューリスティックに基づいて、他のノードと調整せずに他のノードに関する情報を破棄します。これにはパケット交換は必要ありません。この場合、1つのノードが状態を破棄した一方で、他のノードはまだ持っていない可能性があります。この場合、状況について他のノードに通知するために、コンテキストなしエラーメッセージが必要になる場合があります。おそらく回復メカニズムも必要です。
A coordinated approach would use an explicit CLOSE mechanism, akin to the one specified in HIP [20]. If an explicit CLOSE handshake and associated timer is used, then there would no longer be a need for the No Context Error message due to a peer having garbage collected at its end of the context. However, there is still potentially a need to have a No Context Error message in the case of a complete state loss of the peer (also known as a crash followed by a reboot). Only if we assume that the reboot takes at least the time of the CLOSE timer, or that it is okay to not provide complete service until CLOSE-timer minutes after the crash, can we completely do away with the No Context Error message.
調整されたアプローチは、股関節で指定されたものに似た明示的な近接メカニズムを使用します[20]。明示的な緊密な握手と関連するタイマーが使用されている場合、ピアがコンテキストの終わりにガベージを収集したため、コンテキストなしエラーメッセージは必要ありません。ただし、ピアの完全な状態損失(クラッシュとその後の再起動とも呼ばれます)の場合、コンテキストなしエラーメッセージを持つ必要がある可能性があります。再起動が少なくともクローズタイマーの時間がかかると仮定したり、クラッシュの数分後に完全なタイマーまで完全なサービスを提供しないことが問題であると仮定した場合にのみ、コンテキストなしエラーメッセージを完全に廃止できます。
In addition, another aspect that is relevant for this design choice is the context confusion issue. In particular, using a unilateral approach to discard context state clearly opens up the possibility of context confusion, where one of the ends unilaterally discards the context state, while the other does not. In this case, the end that has discarded the state can re-use the Context Tag value used for the discarded state for another context, creating potential context confusion. In order to illustrate the cases where problems would arise, consider the following scenario:
さらに、この設計の選択に関連する別の側面は、コンテキストの混乱の問題です。特に、一方的なアプローチを使用してコンテキスト状態を破棄すると、コンテキストの混乱の可能性が明確に開かれます。この場合、状態を破棄した終わりは、廃棄された状態に使用される別のコンテキストに使用されるコンテキストタグ値を再利用でき、潜在的なコンテキストの混乱を引き起こします。問題が発生する場合を説明するために、次のシナリオを考慮してください。
o Hosts A and B establish context 1 using CTA and CTB as Context Tags.
o ホストAとBは、CTAとCTBをコンテキストタグとして使用してコンテキスト1を確立します。
o Later on, A discards context 1 and the Context Tag value CTA becomes available for reuse.
o その後、コンテキスト1を破棄し、コンテキストタグ値CTAが再利用できるようになります。
o However, B still keeps context 1.
o ただし、Bはまだコンテキスト1を保持します。
This would create context confusion in the following two cases:
これにより、次の2つのケースでコンテキストの混乱が生じます。
o A new context 2 is established between A and B with a different ULID pair (or Forked Instance Identifier), and A uses CTA as the Context Tag. If the locator sets used for both contexts are not disjoint, we have context confusion.
o 新しいコンテキスト2は、AとBの間に異なるPair(またはFroked Instance Identifier)を使用して確立され、AはCTAをコンテキストタグとして使用します。両方のコンテキストに使用されるロケーターセットがばらばらではない場合、コンテキストの混乱があります。
o A new context is established between A and C, and A uses CTA as the Context Tag value for this new context. Later on, B sends Payload Extension header and/or control messages containing CTA, which could be interpreted by A as belonging to context 2 (if no proper care is taken). Again we have context confusion.
o AとCの間に新しいコンテキストが確立され、Aはこの新しいコンテキストのコンテキストタグ値としてCTAを使用します。その後、Bは、CTAを含むペイロード拡張ヘッダーおよび/またはコントロールメッセージを送信します。繰り返しますが、コンテキストの混乱があります。
One could think that using a coordinated approach would eliminate such context confusion, making the protocol much simpler. However, this is not the case, because even in the case of a coordinated approach using a CLOSE/CLOSE ACK exchange, there is still the possibility of a host rebooting without having the time to perform the CLOSE exchange. So, it is true that the coordinated approach eliminates the possibility of context confusion due to premature garbage collection, but it does not prevent the same situations due to a crash and reboot of one of the involved hosts. The result is that, even if we went for a coordinated approach, we would still need to deal with context confusion and provide the means to detect and recover from these situations.
調整されたアプローチを使用すると、そのようなコンテキストの混乱がなくなり、プロトコルがはるかに簡単になると考えることができます。ただし、Close/Close ACK Exchangeを使用した調整されたアプローチの場合でも、密接な交換を実行する時間がなくてもホストが再起動する可能性がまだあるため、そうではありません。したがって、調整されたアプローチは、早期のゴミ収集によるコンテキストの混乱の可能性を排除するのは事実ですが、関係するホストの1人のクラッシュと再起動のために同じ状況を防ぐことはできません。その結果、調整されたアプローチに行ったとしても、コンテキストの混乱に対処し、これらの状況から検出して回復する手段を提供する必要があります。
Authors' Addresses
著者のアドレス
Erik Nordmark Sun Microsystems 17 Network Circle Menlo Park, CA 94025 USA
Erik Nordmark Sun Microsystems 17 Network Circle Menlo Park、CA 94025 USA
Phone: +1 650 786 2921
EMail: erik.nordmark@sun.com
Marcelo Bagnulo Universidad Carlos III de Madrid Av. Universidad 30 Leganes, Madrid 28911 SPAIN
Marcelo Bagnulo Universidad Carlos III de Madrid av。Universidad 30 Leganes、Madrid 28911スペイン
Phone: +34 91 6248814
EMail: marcelo@it.uc3m.es
URI: http://www.it.uc3m.es