[要約] RFC 6183は、IPFIXメディエーションのフレームワークを定義しています。その目的は、IPフロー情報の収集、変換、および配信を容易にすることです。

Internet Engineering Task Force (IETF)                      A. Kobayashi
Request for Comments: 6183                                           NTT
Updates: 5470                                                  B. Claise
Category: Informational                              Cisco Systems, Inc.
ISSN: 2070-1721                                                 G. Muenz
                                                             TU Muenchen
                                                            K. Ishibashi
                                                                     NTT
                                                              April 2011
        

IP Flow Information Export (IPFIX) Mediation: Framework

IPフロー情報エクスポート(IPFIX)調停:フレームワーク

Abstract

概要

This document describes a framework for IP Flow Information Export (IPFIX) Mediation. This framework extends the IPFIX reference model specified in RFC 5470 by defining the IPFIX Mediator components.

このドキュメントでは、IPフロー情報エクスポート(IPFIX)調停のフレームワークについて説明します。このフレームワークは、IPFIXメディエーターコンポーネントを定義することにより、RFC 5470で指定されたIPFIX参照モデルを拡張します。

Status of This Memo

本文書の位置付け

This document is not an Internet Standards Track specification; it is published for informational purposes.

このドキュメントは、インターネット標準の追跡仕様ではありません。情報目的で公開されています。

This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.

このドキュメントは、インターネットエンジニアリングタスクフォース(IETF)の製品です。IETFコミュニティのコンセンサスを表しています。公開レビューを受けており、インターネットエンジニアリングステアリンググループ(IESG)からの出版が承認されています。IESGによって承認されたすべてのドキュメントが、あらゆるレベルのインターネット標準の候補者ではありません。RFC 5741のセクション2を参照してください。

Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc6183.

このドキュメントの現在のステータス、任意のERRATA、およびそのフィードバックを提供する方法に関する情報は、http://www.rfc-editor.org/info/rfc6183で取得できます。

Copyright Notice

著作権表示

Copyright (c) 2011 IETF Trust and the persons identified as the document authors. All rights reserved.

Copyright(c)2011 IETF Trustおよび文書著者として特定された人。全著作権所有。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.

このドキュメントは、BCP 78およびIETFドキュメント(http://trustee.ietf.org/license-info)に関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、セクション4.Eで説明されている法的規定のセクション4.Eで説明されており、単純化されたBSDライセンスで説明されているように保証なしで提供される簡略化されたBSDライセンステキストを含める必要があります。

Table of Contents

目次

   1. Introduction ....................................................3
   2. Terminology and Definitions .....................................3
   3. IPFIX/PSAMP Documents Overview ..................................6
      3.1. IPFIX Documents Overview ...................................6
      3.2. PSAMP Documents Overview ...................................6
   4. IPFIX Mediation Reference Model .................................7
   5. IPFIX Mediation Functional Blocks ..............................12
      5.1. Collecting Process ........................................12
      5.2. Exporting Process .........................................13
      5.3. Intermediate Process ......................................13
           5.3.1. Data Record Expiration .............................14
           5.3.2. Specific Intermediate Processes ....................14
   6. Component Combination ..........................................20
      6.1. Data-Based Collector Selection ............................20
      6.2. Flow Selection and Aggregation ............................21
      6.3. IPFIX File Writer/Reader ..................................22
   7. Encoding for IPFIX Message Header ..............................22
   8. Information Model ..............................................24
   9. Security Considerations ........................................24
      9.1. Avoiding Security Level Downgrade .........................25
      9.2. Avoiding Security Level Upgrade ...........................25
      9.3. Approximating End-to-End Assertions for IPFIX Mediators ...26
      9.4. Multiple Tenancy ..........................................26
   10. References ....................................................27
      10.1. Normative References .....................................27
      10.2. Informative References ...................................27
   11. Acknowledgements ..............................................29
        
1. Introduction
1. はじめに

The IP Flow Information Export (IPFIX) architectural components in [RFC5470] consist of IPFIX Devices and IPFIX Collectors communicating using the IPFIX protocol. Due to the sustained growth of IP traffic in heterogeneous network environments, this Exporter-Collector architecture may lead to scalability problems. In addition, it does not provide the flexibility required by a wide variety of measurement applications. A detailed descriptions of these problems is given in [RFC5982].

[RFC5470]のIPフロー情報エクスポート(IPFIX)アーキテクチャコンポーネントは、IPFIXプロトコルを使用して通信するIPFIXデバイスとIPFIXコレクターで構成されています。不均一なネットワーク環境でのIPトラフィックの持続的な成長により、この輸出者コレクターアーキテクチャはスケーラビリティの問題につながる可能性があります。さらに、さまざまな測定アプリケーションで必要な柔軟性を提供しません。これらの問題の詳細な説明は[RFC5982]に記載されています。

To fulfill application requirements with limited system resources, the IPFIX architecture needs to introduce an intermediate entity between Exporters and Collectors. From a data manipulation point of view, this intermediate entity may provide the aggregation, correlation, filtering, and modification of Flow Records and/or Packet Sampling (PSAMP) Packet Reports to save measurement system resources and to perform preprocessing tasks for the Collector. From a protocol conversion point of view, this intermediate entity may provide conversion into IPFIX, or conversion of IPFIX transport protocols (e.g., from UDP to the Stream Control Transmission Protocol (SCTP)) to improve the export reliability.

限られたシステムリソースでアプリケーション要件を満たすために、IPFIXアーキテクチャは輸出業者とコレクターの間に中間エンティティを導入する必要があります。データ操作の観点から、この中間エンティティは、測定システムリソースを保存し、コレクターの前処理タスクを実行するために、フローレコードおよび/またはパケットサンプリング(PSAMP)パケットレポートの集約、相関、フィルタリング、および修正を提供する場合があります。プロトコル変換の観点から、この中間エンティティはIPFIXへの変換、またはIPFIXトランスポートプロトコルの変換(UDPからStream Control Transmission Protocol(SCTP))の変換を提供して、輸出の信頼性を改善します。

This document introduces a generalized concept for such intermediate entities and describes the high-level architecture of IPFIX Mediation, key IPFIX Mediation architectural components, and characteristics of IPFIX Mediation.

このドキュメントでは、このような中間エンティティの一般化された概念を紹介し、IPFIX調停の高レベルアーキテクチャ、主要なIPFIX調停アーキテクチャコンポーネント、およびIPFIX調停の特性について説明します。

This document is structured as follows: Section 2 describes the terminology used in this document, Section 3 gives an IPFIX/PSAMP document overview, Section 4 describes a high-level reference model, Section 5 describes functional features related to IPFIX Mediation, Section 6 describes combinations of components along with some application examples, Section 7 describes consideration points of the encoding for IPFIX Message Headers, Section 8 describes the Information Elements used in an IPFIX Mediator, and Section 9 describes the security issues raised by IPFIX Mediation.

このドキュメントは次のように構成されています。セクション2では、このドキュメントで使用されている用語について説明します。セクション3にはIPFIX/PSAMPドキュメントの概要を示します。セクション4では、高レベル参照モデルを説明します。コンポーネントの組み合わせといくつかのアプリケーションの例とともに、セクション7では、IPFIXメッセージヘッダーのエンコーディングの考慮事項について説明し、セクション8ではIPFIXメディエーターで使用される情報要素について説明し、セクション9ではIPFIXの調停によって提起されたセキュリティ問題について説明します。

2. Terminology and Definitions
2. 用語と定義

The IPFIX-specific and PSAMP-specific terminology used in this document is defined in [RFC5101] and [RFC5476], respectively. The IPFIX-Mediation-specific terminology used in this document is defined in [RFC5982]. However, as reading the problem statements document is not a prerequisite to reading this framework document, the definitions have been reproduced here along with additional definitions. In this document, as in [RFC5101] and [RFC5476], the first letter of each IPFIX-specific and PSAMP-specific term is capitalized along with the IPFIX-Mediation-specific terms defined here. The use of the terms "must", "should", and "may" in this document is informational only.

このドキュメントで使用されているIPFIX固有およびPSAMP固有の用語は、それぞれ[RFC5101]および[RFC5476]で定義されています。このドキュメントで使用されているIPFIXメディエーション固有の用語は、[RFC5982]で定義されています。ただし、問題ステートメントドキュメントを読むことは、このフレームワークドキュメントを読むための前提条件ではないため、定義は追加の定義とともにここで再現されています。このドキュメントでは、[RFC5101]および[RFC5476]のように、各IPFIX固有およびPSAMP固有の用語の最初の文字は、ここで定義されているIPFIXメディエーション固有の用語とともに大文字になります。このドキュメントの「必須」、「必須」、「可能性」という用語の使用は、情報のみです。

In this document, we use the term "record stream" to mean a stream of records carrying flow-based or packet-based information. The records may be encoded as IPFIX Data Records or in any other format.

このドキュメントでは、「レコードストリーム」という用語を使用して、フローベースまたはパケットベースの情報を運ぶレコードのストリームを意味します。レコードは、IPFIXデータレコードまたは他の形式としてエンコードされる場合があります。

Transport Session Information

輸送セッション情報

The Transport Session Information contains information that allows the identification of an individual Transport Session as defined in [RFC5101]. If SCTP is used as transport protocol, the Transport Session Information identifies the SCTP association. If TCP or UDP is used as transport protocol, the Transport Session Information corresponds to the 5-tuple {Exporter IP address, Collector IP address, Exporter transport port, Collector transport port, transport protocol}. The Transport Session Information may include further details about how Transport Layer Security (TLS) [RFC5246] or Datagram Transport Layer Security (DTLS) [RFC4347] is used for encryption and authentication.

トランスポートセッション情報には、[RFC5101]で定義されている個々の輸送セッションの識別を可能にする情報が含まれています。SCTPが輸送プロトコルとして使用されている場合、トランスポートセッション情報はSCTP協会を識別します。TCPまたはUDPが輸送プロトコルとして使用される場合、トランスポートセッション情報は5タプル{輸出業者IPアドレス、コレクターIPアドレス、輸出者輸送ポート、コレクタートランスポートポート、輸送プロトコル}に対応します。トランスポートセッションの情報には、輸送層のセキュリティ(TLS)[RFC5246]またはデータグラムトランスポートレイヤーセキュリティ(DTLS)[RFC4347]が暗号化と認証に使用される方法に関する詳細を含めることができます。

Original Exporter

元の輸出業者

An Original Exporter is an IPFIX Device that hosts the Observation Points where the metered IP packets are observed.

元の輸出業者は、計量されたIPパケットが観測される観測点をホストするIPFIXデバイスです。

IPFIX Mediation

IPFIXメディエーション

IPFIX Mediation is the manipulation and conversion of a record stream for subsequent export using the IPFIX protocol.

IPFIXメディエーションは、IPFIXプロトコルを使用した後続のエクスポートのレコードストリームの操作と変換です。

The following terms are used in this document to describe the architectural entities used by IPFIX Mediation.

このドキュメントでは、IPFIXメディエーションで使用されるアーキテクチャエンティティを説明するために、次の用語が使用されています。

Intermediate Process

中間プロセス

An Intermediate Process takes a record stream as its input from Collecting Processes, Metering Processes, IPFIX File Readers, other Intermediate Processes, or other record sources; performs some transformations on this stream based upon the content of each record, states maintained across multiple records, or other data sources; and passes the transformed record stream as its output to Exporting Processes, IPFIX File Writers, or other Intermediate Processes in order to perform IPFIX Mediation. Typically, an Intermediate Process is hosted by an IPFIX Mediator. Alternatively, an Intermediate Process may be hosted by an Original Exporter.

中間プロセスは、収集プロセス、計量プロセス、IPFIXファイルリーダー、その他の中間プロセス、またはその他のレコードソースからの入力として、レコードストリームを取ります。各レコードのコンテンツ、複数のレコード、または他のデータソースにわたって維持されている状態に基づいて、このストリームでいくつかの変換を実行します。IPFIXメディエーションを実行するために、変換されたレコードストリームをエクスポートプロセス、IPFIXファイルライター、またはその他の中間プロセスへの出力として渡します。通常、中間プロセスはIPFIXメディエーターによってホストされます。あるいは、中間プロセスは、元の輸出業者によってホストされる場合があります。

Specific Intermediate Processes are described below. However, this is not an exhaustive list.

特定の中間プロセスを以下に説明します。ただし、これは網羅的なリストではありません。

Intermediate Conversion Process

中間変換プロセス

An Intermediate Conversion Process is an Intermediate Process that transforms non-IPFIX into IPFIX or manages the relation among Templates and states of incoming/outgoing transport sessions in the case of transport protocol conversion (e.g., from UDP to SCTP).

中間変換プロセスは、非IPFIXをIPFIXに変換するか、輸送プロトコル変換の場合(UDPからSCTPへ)、受信/発信輸送セッションのテンプレートと状態間の関係を管理する中間プロセスです。

Intermediate Aggregation Process

中間集約プロセス

An Intermediate Aggregation Process is an Intermediate Process that aggregates records based upon a set of Flow Keys or functions applied to fields from the record (e.g., data binning and subnet aggregation).

中間集約プロセスは、レコードからフィールドに適用される一連のフローキーまたは関数(例:データビニングやサブネット集約など)に基づいてレコードを集約する中間プロセスです。

Intermediate Correlation Process

中間相関プロセス

An Intermediate Correlation Process is an Intermediate Process that adds information to records, noting correlations among them, or generates new records with correlated data from multiple records (e.g., the production of bidirectional flow records from unidirectional flow records).

中間相関プロセスは、レコードに情報を追加し、それらの間の相関に注目するか、複数のレコードから相関データを持つ新しいレコードを生成する中間プロセスです(例えば、単方向フローレコードからの双方向フローレコードの生成)。

Intermediate Selection Process

中間選択プロセス

An Intermediate Selection Process is an Intermediate Process that selects records from a sequence based upon criteria-evaluated record values and passes only those records that match the criteria (e.g., filtering only records from a given network to a given Collector).

中間選択プロセスは、基準が評価されたレコード値に基づいてシーケンスからレコードを選択し、基準に一致するレコードのみを渡す中間プロセスです(たとえば、特定のネットワークから特定のコレクターに記録のみをフィルタリングする)。

Intermediate Anonymization Process

中間匿名化プロセス

An Intermediate Anonymization Process is an Intermediate Process that transforms records in order to anonymize them, to protect the identity of the entities described by the records (e.g., by applying prefix-preserving pseudonymization of IP addresses).

中間の匿名化プロセスは、レコードを匿名化するためにレコードを変換し、レコードによって記述されたエンティティのIDを保護する中間プロセスです(たとえば、IPアドレスのプレフィックス予定の仮名化を適用することにより)。

IPFIX Mediator

IPFIXメディエーター

An IPFIX Mediator is an IPFIX Device that provides IPFIX Mediation by receiving a record stream from some data sources, hosting one or more Intermediate Processes to transform that stream, and exporting the transformed record stream into IPFIX Messages via an Exporting Process. In the common case, an IPFIX Mediator receives a record stream from a Collecting Process, but it could also receive a record stream from data sources not encoded using IPFIX, e.g., in the case of conversion from the NetFlow V9 protocol [RFC3954] to the IPFIX protocol.

IPFIXメディエーターは、一部のデータソースからレコードストリームを受信し、1つ以上の中間プロセスをホストしてそのストリームを変換し、変換されたレコードストリームをエクスポートプロセスを介してIPFIXメッセージにエクスポートすることにより、IPFIXメディエーションを提供するIPFIXデバイスです。一般的なケースでは、IPFIXメディエーターは収集プロセスからレコードストリームを受け取りますが、NetflowV9プロトコル[RFC3954]からの変換の場合、IPFIXを使用してエンコードされていないデータソースからレコードストリームを受信することもできます。IPFIXプロトコル。

Note that the IPFIX Mediator is a generalization of the concentrator and proxy elements envisioned in the IPFIX requirements [RFC3917]. IPFIX Mediators running appropriate Intermediate Processes provide the functionality specified therein.

IPFIXメディエーターは、IPFIX要件[RFC3917]で想定される濃縮要素とプロキシ要素の一般化であることに注意してください。適切な中間プロセスを実行するIPFIXメディエーターは、そこで指定された機能を提供します。

3. IPFIX/PSAMP Documents Overview
3. IPFIX/PSAMPドキュメントの概要

IPFIX Mediation can be applied to flow-based or packet-based information. The flow-based information is encoded as IPFIX Flow Records by the IPFIX protocol, and the packet-based information is extracted by some packet selection techniques and then encoded as PSAMP Packet Reports by the PSAMP protocol. Thus, this section describes relevant documents for both protocols.

IPFIXメディエーションは、フローベースまたはパケットベースの情報に適用できます。フローベースの情報は、IPFIXプロトコルによってIPFIXフローレコードとしてエンコードされ、パケットベースの情報は一部のパケット選択技術によって抽出され、PSAMPプロトコルによってPSAMPパケットレポートとしてエンコードされます。したがって、このセクションでは、両方のプロトコルに関連するドキュメントについて説明します。

3.1. IPFIX Documents Overview
3.1. IPFIXは概要をドキュメントします

The IPFIX protocol [RFC5101] provides network administrators with access to IP Flow information. The architecture for the export of measured IP Flow information from an IPFIX Exporting Process to a Collecting Process is defined in [RFC5470], per the requirements defined in [RFC3917]. The IPFIX protocol [RFC5101] specifies how IPFIX Data Records and Templates are carried via a number of transport protocols from IPFIX Exporting Processes to IPFIX Collecting Processes. IPFIX has a formal description of IPFIX Information Elements, their names, types, and additional semantic information, as specified in [RFC5102]. The IPFIX Management Information Base is defined in [RFC5815]. Finally, [RFC5472] describes what types of applications can use the IPFIX protocol and how they can use the information provided. Furthermore, it shows how the IPFIX framework relates to other architectures and frameworks. The storage of IPFIX Messages in a file is specified in [RFC5655].

IPFIXプロトコル[RFC5101]は、ネットワーク管理者にIPフロー情報へのアクセスを提供します。[RFC3917]で定義されている要件に従って、IPFIXエクスポートプロセスから収集プロセスへの測定されたIPフロー情報のエクスポートのアーキテクチャが[RFC5470]で定義されています。IPFIXプロトコル[RFC5101]は、IPFIXデータレコードとテンプレートが、IPFIXのエクスポートプロセスからIPFIXの収集プロセスへの多数のトランスポートプロトコルを介してどのように運ばれるかを指定します。IPFIXには、[RFC5102]で指定されているように、IPFIX情報要素、名前、種類、および追加のセマンティック情報の正式な説明があります。IPFIX管理情報ベースは[RFC5815]で定義されています。最後に、[RFC5472]は、IPFIXプロトコルを使用できるアプリケーションの種類と、提供された情報をどのように使用できるかを説明します。さらに、IPFIXフレームワークが他のアーキテクチャとフレームワークとどのように関連するかを示しています。ファイル内のIPFIXメッセージのストレージは[RFC5655]で指定されています。

3.2. PSAMP Documents Overview
3.2. PSAMPドキュメントの概要

The framework for packet selection and reporting [RFC5474] enables network elements to select subsets of packets by statistical and other methods and to export a stream of reports on the selected packets to a Collector. The set of packet selection techniques (Sampling and Filtering) standardized by PSAMP is described in [RFC5475]. The PSAMP protocol [RFC5476] specifies the export of packet information from a PSAMP Exporting Process to a Collector. Like IPFIX, PSAMP has a formal description of its Information Elements, their names, types, and additional semantic information. The PSAMP information model is defined in [RFC5477]. The PSAMP Management Information Base is described in [PSAMP-MIB].

パケットの選択とレポートのフレームワーク[RFC5474]により、ネットワーク要素は統計的およびその他の方法でパケットのサブセットを選択し、選択したパケットのレポートのストリームをコレクターにエクスポートできます。PSAMPによって標準化された一連のパケット選択手法(サンプリングとフィルタリング)は、[RFC5475]で説明されています。PSAMPプロトコル[RFC5476]は、PSAMPエクスポートプロセスからコレクターへのパケット情報のエクスポートを指定します。IPFIXと同様に、PSAMPには、情報要素、名前、種類、および追加のセマンティック情報の正式な説明があります。PSAMP情報モデルは[RFC5477]で定義されています。PSAMP管理情報ベースは[PSAMP-MIB]で説明されています。

4. IPFIX Mediation Reference Model
4. IPFIXメディエーションリファレンスモデル

Figure A shows the high-level IPFIX Mediation reference model as an extension of the IPFIX reference model presented in [RFC5470]. This figure covers the various possible scenarios that can exist in an IPFIX measurement system.

図Aは、[RFC5470]に示されているIPFIX参照モデルの拡張として、高レベルのIPFIXメディエーション参照モデルを示しています。この図は、IPFIX測定システムに存在する可能性のあるさまざまなシナリオをカバーしています。

       +----------------+  +---------------+    +---------------+
       | Collector 1    |  | Collector 2   |    | Collector N   |
       |[Collecting     |  |[Collecting    |    |[Collecting    |
       |   Process(es)] |  |  Process(es)] |... |  Process(es)] |
       +----^-----------+  +---^--------^--+    +--------^------+
            |                 /          \               |
            |                /            \              |
     Flow Records     Flow Records   Flow Records   Flow Records
            |              /                \            |
     +------+-------------+------+    +------+-----------+--------+
     |IPFIX Mediator N+1         |    |IPFIX Mediator Z           |
     |[Exporting Process(es)]    |    |[Exporting Process(es)]    |
     |[Intermediate Process(es)] |    |[Intermediate Process(es)] |
     |[Collecting Process(es)]   |... |[Collecting Process(es)]   |
     +----^----------------^-----+    +------^----------------^---+
          |                |                 |                |
     Flow Records     Flow Records      Packet Reports  record stream
          |                |                 |                |
   +------+------+  +------+-------+  +------+-------+  +-----+-----+
   |IPFIX        |  |IPFIX Original|  |PSAMP Original|  |Other      |
   |  Mediator 1 |  |   Exporter 1 |  |   Exporter 1 |  |  Source 1 |
   |+-------------+ |+--------------+ |+--------------+ |+-----------+
   +|IPFIX        | +|IPFIX Original| +|PSAMP Original| +|Other      |
    |  Mediator N |  |   Exporter N |  |   Exporter N |  |  Source N |
    |[Exporting   |  |[Exporting    |  |[Exporting    |  |           |
    | Process(es)]|  |  Process(es)]|  |  Process(es)]|  |           |
    |[Intermediate|  |[Metering     |  |[Metering     |  |           |
    | Process(es)]|  |  Process(es)]|  |  Process(es)]|  |           |
    |[Collecting  |  |[Observation  |  |[Observation  |  |           |
    | Process(es)]|  |     Point(s)]|  |     Point(s)]|  |           |
    +------^------+  +-----^-^------+  +-----^-^------+  +-----------+
           |               | |               | |
      Flow Records   Packets coming    Packets coming
                    into Observation  into Observation
                          Points            Points
        

Figure A: IPFIX Mediation Reference Model Overview

図A:IPFIXメディエーションリファレンスモデルの概要

The functional components within each entity are indicated within brackets []. An IPFIX Mediator receives IPFIX Flow Records or PSAMP Packet Reports from other IPFIX Mediators, IPFIX Flow Records from IPFIX Original Exporters, PSAMP Packet Reports from PSAMP Original Exporters, and/or a record stream from other sources. The IPFIX Mediator then exports IPFIX Flow Records and/or PSAMP Packet Reports to one or multiple Collectors and/or other IPFIX Mediators.

各エンティティ内の機能コンポーネントは、括弧内に示されています[]。IPFIXメディエーターは、他のIPFIXメディエーターからIPFIXフローレコードまたはPSAMPパケットレポート、IPFIXの元の輸出業者からのIPFIXフローレコード、PSAMPオリジナル輸出業者からのPSAMPパケットレポート、および/または他のソースからのレコードストリームを受信します。IPFIXメディエーターは、IPFIXフローレコードおよび/またはPSAMPパケットレポートを1つまたは複数のコレクターおよび/または他のIPFIXメディエーターにエクスポートします。

Figure B shows the basic IPFIX Mediator component model. An IPFIX Mediator contains one or more Intermediate Processes and one or more Exporting Processes. Typically, it also contains a Collecting Process but might contain several Collecting Processes, as described in Figure B.

図Bは、基本的なIPFIXメディエーターコンポーネントモデルを示しています。IPFIXメディエーターには、1つ以上の中間プロセスと1つ以上のエクスポートプロセスが含まれています。通常、図Bに説明するように、収集プロセスも含まれていますが、いくつかの収集プロセスが含まれる場合があります。

                  IPFIX (Data Records)
                              ^
                            ^ |
   +------------------------|-|---------------------+
   | IPFIX Mediator         | |                     |
   |                        | |                     |
   |  .---------------------|-+-------------------. |
   | .----------------------+--------------------.| |
   | |          Exporting Process(es)            |' |
   | '----------------------^--------------------'  |
   |                        | |                     |
   |  .---------------------|-+-------------------. |
   | .----------------------+--------------------.| |
   | |          Intermediate Process(es)         |' |
   | '----------------------^--------------------'  |
   |                        | |                     |
   |  .---------------------|-+-------------------. |
   | .----------------------+--------------------.| |
   | |          Collecting Process(es)           |' |
   | '----------------------^--------------------'  |
   +------------------------|-|---------------------+
                            |
                  IPFIX (Data Records)
        

Figure B: Basic IPFIX Mediator Component Model

図B:基本的なIPFIXメディエーターコンポーネントモデル

However, other data sources are also possible: an IPFIX Mediator can receive a record stream from non-IPFIX protocols such as NetFlow [RFC3954] exporter(s). This document does not make any particular assumption on how a record stream is transferred to an IPFIX Mediator. Figure C shows the IPFIX Mediator component model in the case of IPFIX protocol conversion from non-IPFIX exporters.

ただし、他のデータソースも可能です。IPFIXメディエーターは、Netflow [RFC3954] Exporterなどの非IPFIXプロトコルからレコードストリームを受信できます。このドキュメントでは、レコードストリームがIPFIXメディエーターにどのように転送されるかについて特別な仮定はありません。図Cは、非IPFIX輸出業者からのIPFIXプロトコル変換の場合のIPFIXメディエーターコンポーネントモデルを示しています。

                  IPFIX (Data Records)
                              ^
                            ^ |
   +------------------------|-|---------------------+
   | IPFIX Mediator         | |                     |
   |  .---------------------|-+-------------------. |
   | .----------------------+--------------------.| |
   | |          Exporting Process(es)            |' |
   | '----------------------^--------------------'  |
   |  .---------------------|-+-------------------. |
   | .----------------------+--------------------.| |
   | |          Intermediate Process(es)         |' |
   | '----------------------^--------------------'  |
   +------------------------|-----------------------+
                            | record stream
   +------------------------|-----------------------+
   | Non-IPFIX exporter     |                       |
   |          +-------------+----------+            |
   |          |                        |            |
   +----------|------------------------|------------+
              |                        |
            Packets coming into observation points
        

Figure C: IPFIX Mediator Component Model in IPFIX Protocol Conversion

図C:IPFIXプロトコル変換のIPFIXメディエーターコンポーネントモデル

Alternatively, an Original Exporter may provide IPFIX Mediation by hosting one or more Intermediate Processes. The component model in Figure D adds Intermediate Process(es) to the IPFIX Device model illustrated in [RFC5470]. In comparison with Figures 1 or 2 in [RFC5470], the Intermediate Process is located between Exporting Process(es) and IPFIX or PSAMP Metering Process(es).

あるいは、元の輸出業者は、1つ以上の中間プロセスをホストすることにより、IPFIXメディエーションを提供する場合があります。図Dのコンポーネントモデルは、[RFC5470]に示されているIPFIXデバイスモデルに中間プロセスを追加します。[RFC5470]の図1または2と比較して、中間プロセスはエクスポートプロセス(ES)とIPFIXまたはPSAMPメータリングプロセスの間に配置されます。

                     IPFIX (Data Records)
                               ^ ^
   +---------------------------|-|------------------------+
   | Original Exporter         | |                        |
   |                           | |                        |
   |     .---------------------|-+-------------------.    |
   |    .----------------------+--------------------.|    |
   |    |           Exporting Process(es)           |'    |
   |    '----------------------^--------------------'     |
   |                           | |                        |
   |     .---------------------|-+-------------------.    |
   |    .----------------------+--------------------.|    |
   |    |          Intermediate Process(es)         |'    |
   |    '---------^-----------------------^---------'     |
   |              |      Data Records     |               |
   |   .----------+---------.   .---------+----------.    |
   |   | Metering Process 1 |...| Metering Process N |    |
   |   '----------^---------'   '---------^----------'    |
   |              |                       |               |
   |  .-----------+---------.   .---------+-----------.   |
   |  | Observation Point 1 |...| Observation Point N |   |
   |  '-----------^---------'   '---------^-----------'   |
   +--------------|-----------------------|---------------+
                  |                       |
            Packets coming into Observation Points
        

Figure D: IPFIX Mediation Component Model at Original Exporter

図D:元の輸出業者のIPFIX調停コンポーネントモデル

In addition, an Intermediate Process may be collocated with an IPFIX File Reader and/or Writer. Figure E shows an IPFIX Mediation component model with an IPFIX File Writer and/or Reader.

さらに、中間プロセスは、IPFIXファイルリーダーおよび/またはライターとコロークされる場合があります。図Eは、IPFIXファイルライターおよび/またはリーダーを備えたIPFIXメディエーションコンポーネントモデルを示しています。

                   IPFIX (Data Records)
                               ^
                             ^ |
      .----------------------|-+--------------------.
     .-----------------------+---------------------.|
     |              IPFIX File Writer              |'
     '-----------------------^---------------------'
                             | |
      .----------------------|-+--------------------.
     .-----------------------+---------------------.|
     |          Intermediate Process(es)           |'
     '-----------------------^---------------------'
                             | |
      .----------------------|-+--------------------.
     .-----------------------+---------------------.|
     |              IPFIX File Reader              |'
     '-----------------------^---------------------'
                             |
                   IPFIX (Data Records)
        

Figure E: IPFIX Mediation Component Model Collocated with IPFIX File Writer/Reader

図E:IPFIXファイルライター/リーダーと協力したIPFIXメディエーションコンポーネントモデル

5. IPFIX Mediation Functional Blocks
5. IPFIXメディエーション機能ブロック

Figure F shows a functional block diagram example in an IPFIX Mediator that has different Intermediate Process types.

図Fは、異なる中間プロセスタイプを持つIPFIXメディエーターの機能的ブロック図の例を示しています。

                         IPFIX           IPFIX               IPFIX
                           ^               ^                   ^
                           |               |                   |
     .------------.  .-----+-------. .-----+-------.    .------+------.
     | IPFIX File |  | Exporting   | | Exporting   |    | Exporting   |
     | Writer     |  | Process 1   | | Process 2   |....| Process N   |
     '-----^-^----'  '-----^-------' '-----^-------'    '------^------'
           | |             |               |                   |
           | +-------------+               |                   |
           :          Flow Records / Packet Reports            :
    .------+-------. .-----+--------. .----+---------. .--------------.
    | Intermediate | | Intermediate | | Intermediate | | Intermediate |
    | Anonymization| | Correlation  | | Aggregation  | | Selection    |
    | Process N    | | Process N    | | Process N    | | Process N    |
    '------|-------' '------|-------' '-----|-|------' '-------|------'
           |                +---------------+ |                |
           :                :                 :                :
    .------+-------. .------+-------. .-------+------. .-------+------.
    | Intermediate | | Intermediate | | Intermediate | | Intermediate |
    | Selection    | | Selection    | | Selection    | | Selection    |
    | Process 1    | | Process 2    | | Process 3    | | Process 4    |
    '------|-|-----' '------|-------' '-----|--------' '-------|------'
           | +--------------+               | +----------------+
           |                |               | |                |
           :          Flow Records / Packet Reports            :
    .------+------. .-------+-----.   .-----+-+-----.    .-----+------.
    | Collecting  | | Collecting  |   | Collecting  |    | IPFIX File |
    | Process 1   | | Process 2   |...| Process N   |    | Reader     |
    '------^------' '------^------'   '------^------'    '------------'
           |               |                 |
      Flow Records   Flow Records      Flow Records
        

Figure F: IPFIX Mediation Functional Block Diagram

図F:IPFIXメディエーション機能ブロック図

5.1. Collecting Process
5.1. 収集プロセス

A Collecting Process in an IPFIX Mediator is not different from the Collecting Process described in [RFC5101]. Additional functions in an IPFIX Mediator include transmitting the set of Data Records and Control Information to one or more components, i.e., Intermediate Processes and other applications. In other words, a Collecting Process may duplicate the set and transmit it to one or more components in sequence or in parallel. In the case of an IPFIX Mediator, the Control Information described in [RFC5470] includes IPFIX Message Header information and Transport Session Information along with information about the Metering Process and the Exporting Process in an Original Exporter, e.g., Sampling parameters.

IPFIXメディエーターの収集プロセスは、[RFC5101]で説明されている収集プロセスと違いはありません。IPFIXメディエーターの追加機能には、データレコードのセットを1つ以上のコンポーネント、つまり中間プロセスやその他のアプリケーションに制御することが含まれます。言い換えれば、収集プロセスはセットを複製し、順番または並行して1つ以上のコンポーネントに送信する場合があります。IPFIXメディエーターの場合、[RFC5470]に記載されている制御情報には、IPFIXメッセージヘッダー情報と輸送セッション情報が、メータープロセスと元の輸出業者のエクスポートプロセス、例えばサンプリングパラメーターに関する情報とともに含まれています。

5.2. Exporting Process
5.2. エクスポートプロセス

An Exporting Process in an IPFIX Mediator is not different from the Exporting Process described in [RFC5101]. Additional functions in an IPFIX Mediator may include the following:

IPFIXメディエーターのエクスポートプロセスは、[RFC5101]で説明されているエクスポートプロセスと違いはありません。IPFIXメディエーターの追加関数には、以下が含まれる場合があります。

o Receiving the trigger to transmit the Template Withdrawal Messages from Intermediate Process(es) when relevant Templates become invalid due to, for example, incoming session failure.

o トリガーを受信して、たとえば受信セッションの障害により、関連するテンプレートが無効になったときに、中間プロセスからテンプレートの引き出しメッセージを送信します。

o Transmitting the origin (e.g., Observation Point, Observation Domain ID, Original Exporter IP address, etc.) of the data in additional Data Record fields or additional Data Records. The parameters that represent the origin should be configurable.

o 追加のデータレコードフィールドまたは追加データレコードのデータの原点(観測点、観測ドメインID、元の輸出業者IPアドレスなど)を送信します。原点を表すパラメーターは構成可能である必要があります。

5.3. Intermediate Process
5.3. 中間プロセス

An Intermediate Process is a key functional block for IPFIX Mediation. Its typical functions include the following:

中間プロセスは、IPFIXメディエーションの重要な機能ブロックです。その典型的な機能には、次のものが含まれます。

o Generating a new record stream from an input record stream including context information (e.g., Observation Domain ID and Transport Session Information) and transmitting it to other components.

o コンテキスト情報(観測ドメインIDやトランスポートセッション情報など)を含む入力レコードストリームから新しいレコードストリームを生成し、それを他のコンポーネントに送信します。

o Reporting statistics and interpretations for IPFIX Metering Processes, PSAMP Metering Processes, and Exporting Processes from an Original Exporter. See Section 4 of [RFC5101] and Section 6 of [RFC5476] for relevant statistics data structures and interpretations, respectively. Activation of this function should be configurable.

o IPFIXメータープロセス、PSAMPメータリングプロセス、および元の輸出業者からのプロセスのエクスポートの統計と解釈の報告。関連する統計データ構造と解釈については、それぞれ[RFC5101]のセクション4および[RFC5476]のセクション6を参照してください。この関数のアクティブ化は構成可能である必要があります。

o Maintaining the configurable relation between Collecting Process(es)/Metering Process(es) and Exporting Process(es)/other Intermediate Process(es).

o 収集プロセス(ES)/メータープロセス(ES)とエクスポートプロセス(ES)/その他の中間プロセス(ES)との間の構成可能な関係を維持します。

o Maintaining database(s) of Data Records in the case of an Intermediate Aggregation Process and an Intermediate Correlation Process. The function has the Data Record expiration rules described in the next subsection.

o 中間集約プロセスと中間相関プロセスの場合、データレコードのデータベースを維持します。この関数には、次のサブセクションで説明されているデータレコード有効期限ルールがあります。

o Maintaining statistics on the Intermediate Process itself, such as the number of input/output Data Records, etc.

o 入力/出力データレコードの数など、中間プロセス自体の統計を維持します。

o Maintaining additional information about output record streams, which includes information related to the Original Exporters, Observation Domain, and administrative domain as well as some configuration parameters related to each function.

o 出力レコードストリームに関する追加情報の維持。これには、元の輸出業者、観測ドメイン、および管理ドメインに関連する情報、および各機能に関連するいくつかの構成パラメーターが含まれます。

In the case of an Intermediate Aggregation Process, Intermediate Anonymization Process, and Intermediate Correlation Process, the value of the "flowKeyIndicator" needs to be modified when modifying the data structure defined by an original Template.

中間集約プロセス、中間匿名化プロセス、および中間相関プロセスの場合、元のテンプレートによって定義されたデータ構造を変更する際に「FlowKeyIndicator」の値を変更する必要があります。

For example, an Intermediate Aggregation Process aggregating incoming Flow Records composed of the sourceIPv4Address and destinationIPv4Address Flow Keys into outgoing Flow Records with the destinationIPv4Address Flow Key must modify the incoming flowKeyIndicator to contain only the destinationIPv4Address.

たとえば、soulityipv4AddressとdestinationIPv4Addressフローキーで構成される入力フローレコードを集約する中間集約プロセスは、destinationIPv4Addressフローキーを使用して発信フローレコードになります。

5.3.1. Data Record Expiration
5.3.1. データは有効期限を記録します

An Intermediate Aggregation Process and Intermediate Correlation Process need to have expiration conditions to export cached Data Records. In the case of the Metering Process in an Original Exporter, these conditions are described in [RFC5470]. In the case of the Intermediate Process, these conditions are as follows:

中間集約プロセスと中間相関プロセスは、キャッシュされたデータレコードをエクスポートするために有効期限条件を持つ必要があります。元の輸出業者の計量プロセスの場合、これらの条件は[RFC5470]で説明されています。中間プロセスの場合、これらの条件は次のとおりです。

o If there are no input Data Records belonging to a cached Flow for a certain time period, aggregated Flow Records will expire. This time period should be configurable at the Intermediate Process.

o 特定の期間、キャッシュフローに属する入力データレコードがない場合、集約されたフローレコードが期限切れになります。この期間は、中間プロセスで構成可能である必要があります。

o If the Intermediate Process experiences resource constraints (e.g., lack of memory to store Flow Records), aggregated Flow Records may prematurely expire.

o 中間プロセスがリソースの制約を経験している場合(たとえば、フローレコードを保存するメモリの欠如)、集約されたフローレコードが早期に期限切れになる場合があります。

o For long-running Flows, the Intermediate Process should cause the Flow to expire on a regular basis or on the basis of an expiration policy. This periodicity or expiration policy should be configurable at the Intermediate Process.

o 長期にわたるフローの場合、中間プロセスにより、定期的または有効期限ポリシーに基づいてフローが期限切れになるはずです。この周期性または有効期限ポリシーは、中間プロセスで構成可能である必要があります。

In the case of an Intermediate Correlation Process, a cached Data Record may be prematurely expired (and discarded) when no correlation can be computed with newly received Data Records. For example, an Intermediate Correlation Process computing one-way delay may discard the cached Packet Report when no other matching Packet Report are observed within a certain time period.

中間相関プロセスの場合、新しく受信したデータレコードと相関が計算できない場合、キャッシュされたデータレコードが早期に期限切れになっている(および破棄される)ことがあります。たとえば、一元配置遅延を計算する中間相関プロセスは、特定の期間内に他の一致するパケットレポートが観察されない場合、キャッシュされたパケットレポートを破棄する場合があります。

5.3.2. Specific Intermediate Processes
5.3.2. 特定の中間プロセス

This section describes the functional blocks of specific Intermediate Processes.

このセクションでは、特定の中間プロセスの機能ブロックについて説明します。

5.3.2.1. Intermediate Conversion Process
5.3.2.1. 中間変換プロセス

When receiving a non-IPFIX record stream, the Intermediate Conversion Process covers the following functions:

IPFIX以外のレコードストリームを受信するとき、中間変換プロセスは次の機能をカバーします。

o Determining the IPFIX Information Element identifiers that correspond to the fields of the non-IPFIX records (e.g., converting the NetFlow V9 protocol [RFC3954] to the IPFIX Information Model [RFC5102]).

o 非IPFIXレコードのフィールドに対応するIPFIX情報要素識別子の決定(たとえば、Netflow V9プロトコル[RFC3954]をIPFIX情報モデル[RFC5102]に変換する)。

o Transforming the non-IPFIX records into Data Records, (Options) Template Records, and/or Data Records defined by Options Templates.

o IPFIX以外のレコードをデータレコード、(オプション)テンプレートレコード、および/またはオプションテンプレートで定義されたデータレコードに変換します。

o Converting additional information (e.g., sampling rate, sampling algorithm, and observation information) into appropriate fields in the existing Data Records or into Data Records defined by new Options Templates.

o 追加情報(サンプリングレート、サンプリングアルゴリズム、観測情報など)を、既存のデータレコードの適切なフィールドまたは新しいオプションテンプレートで定義されたデータレコードに変換します。

IPFIX transport protocol conversion can be used to enhance the export reliability, for example, for data retention and accounting. In this case, the Intermediate Conversion Process covers the following functions:

IPFIXトランスポートプロトコル変換は、たとえばデータの保持と会計など、エクスポートの信頼性を高めるために使用できます。この場合、中間変換プロセスは次の機能をカバーしています。

o Relaying Data Records, (Options) Template Records, and Data Records defined by Options Templates.

o データレコード、(オプション)テンプレートレコード、およびオプションテンプレートで定義されたデータレコードの中継。

o Setting the trigger for the Exporting Process in order to export IPFIX Template Withdrawal Messages relevant to the Templates when Templates becomes invalid due to, for example, incoming session failure. This case applies to SCTP and TCP Transport Sessions on the outgoing side only.

o エクスポートプロセスのトリガーを設定して、テンプレートに関連するIPFIXテンプレートの引き出しメッセージをエクスポートするために、テンプレートがセッションの障害などの障害により無効になったときにテンプレートに関連します。このケースは、発信側のSCTPおよびTCPトランスポートセッションにのみ適用されます。

o Maintaining the mapping information about Transport Sessions, Observation Domain IDs, and Template IDs on the incoming and outgoing sides in order to ensure the consistency of scope field values of incoming and outgoing Data Records defined by Options Templates and of Template IDs of incoming and outgoing IPFIX Template Withdrawal Messages.

o トランスポートセッション、観測ドメインID、およびテンプレートIDに関するマッピング情報を維持するために、オプションテンプレートと受信および発信IPFIXのテンプレートIDで定義された入力および発信データレコードのスコープフィールド値の一貫性を確保するためにテンプレートの引き出しメッセージ。

5.3.2.2. Intermediate Selection Process
5.3.2.2. 中間選択プロセス

An Intermediate Selection Process has analogous functions to the PSAMP Selection Process described in [RFC5475]. The difference is that the Intermediate Selection Process takes a record stream, e.g., Flow Records or Packet Reports, instead of observed packets as its input.

中間選択プロセスには、[RFC5475]で説明されているPSAMP選択プロセスと類似した機能があります。違いは、中間選択プロセスが、その入力として観察されたパケットの代わりに、フローレコードやパケットレポートなど、レコードストリームを取得することです。

The typical function is property match filtering that retrieves a record stream of interest. The function selects a Data Record if the value of a specific field in the Data Record equals a configured value or falls within a configured range.

典型的な関数は、関心のある記録的なストリームを取得するプロパティマッチフィルタリングです。関数は、データレコード内の特定のフィールドの値が構成された値に等しいか、構成された範囲内にある場合、データレコードを選択します。

5.3.2.3. Intermediate Aggregation Process
5.3.2.3. 中間集約プロセス

An Intermediate Aggregation Process covers the following functions:

中間集約プロセスは、次の機能をカバーしています。

o Merging a set of Data Records within a certain time period into one Flow Record by summing up the counters where appropriate.

o 必要に応じてカウンターを合計することにより、特定の期間内に一連のデータレコードを1つのフローレコードにマージします。

o Maintaining statistics and additional information about aggregated Flow Records.

o 集約されたフロー記録に関する統計と追加情報の維持。

The statistics for an aggregated Flow Record may include the number of original Data Records and the maximum and minimum values of per-flow counters. Additional information may include an aggregation time period, a new set of Flow Keys, and observation location information involved in the Flow aggregation. Observation location information can be tuples of (Observation Point, Observation Domain ID, Original Exporter IP address) or another identifier indicating the location where the measured traffic has been observed.

集約されたフローレコードの統計には、元のデータレコードの数と流量あたりのカウンターの最大値と最小値が含まれる場合があります。追加情報には、集約期間、新しいフローキーのセット、およびフロー集計に関与する観測位置情報が含まれる場合があります。観測位置情報は、(観測点、観測ドメインID、元の輸出者IPアドレス)のタプルまたは測定されたトラフィックが観察された場所を示す別の識別子のタプルです。

o Aggregation of Data Records, which can be done in the following ways:

o データレコードの集約。次の方法で実行できます。

* Spatial composition

* 空間構成

With spatial composition, Data Records sharing common properties are merged into one Flow Record within a certain time period. One typical aggregation can be based on a new set of Flow Keys. Generally, a set of common properties smaller than an original set of Flow Keys results in a higher level of aggregation. Another aggregation can be based on a set of Observation Points within an Observation Domain, on a set of Observation Domains within an Exporter, or on a set of Exporters.

空間構成により、共通のプロパティを共有するデータレコードは、特定の期間内に1つのフローレコードにマージされます。1つの典型的な集約は、新しいフローキーのセットに基づいています。一般に、元のフローキーのセットよりも小さい共通プロパティのセットは、より高いレベルの集約をもたらします。別の集約は、観測ドメイン内の一連の観測ポイント、輸出業者内の観測ドメインのセット、または輸出業者のセットに基づいています。

If some fields do not serve as Flow Keys or per-Flow counters, their values may change from Data Records to Data Records within an aggregated Flow Record. The Intermediate Aggregation Process determines their values by the first Data Record received, a specific Exporter IP address, or other appropriate decisions.

一部のフィールドがフローキーまたはフローごとのカウンターとして機能しない場合、それらの値は、集計フローレコード内のデータレコードからデータレコードに変化する可能性があります。中間集約プロセスは、受信した最初のデータレコード、特定の輸出業者IPアドレス、またはその他の適切な決定によって値を決定します。

Furthermore, a new identifier indicating a group of observation locations can be introduced, for example, to indicate PoPs (Points of Presence) in a large network, or a logical interface composed of physical interfaces with link aggregation.

さらに、観測位置のグループを示す新しい識別子を、たとえば、大きなネットワークのポップ(存在点)を示すために、またはリンク集約を備えた物理インターフェイスで構成される論理インターフェイスを示すことができます。

* Temporal composition

* 一時的な組成

With temporal composition, multiple Flow Records with identical Flow Key values are merged into a single Flow Record of longer Flow duration if they arrive within a certain time interval. The main difference to spatial composition is that Flow Records are only merged if they originate from the same Observation Point and if the Flow Key values are identical. For example, multiple Flow Records with a Flow duration of less than one minute can be merged into a single Flow Record with more than ten minutes Flow duration.

一時的な構成では、同一のフローキー値を持つ複数のフローレコードが、特定の時間間隔内に到着すると、より長いフロー時間の単一のフローレコードにマージされます。空間構成の主な違いは、フローレコードが同じ観測点から発生する場合にのみマージされ、フローキー値が同一である場合にのみマージされることです。たとえば、1分未満のフロー期間の複数のフローレコードを、10分以上のフロー期間で単一のフローレコードにマージできます。

In addition, the Intermediate Aggregation Process with temporal composition produces aggregated counters while reducing the number of Flow Records on a Collector. Some specific non-key fields, such as the minimumIpTotalLength/maximumIpTotalLength or minimumTTL/maximumTTL, will contain the minimum and maximum values for the new aggregated Flow.

さらに、時間組成を使用した中間集約プロセスにより、集約されたカウンターが生成され、コレクターのフローレコードの数が減ります。最小限の標準/最大値または最小TTL/MaximumTTLなどの一部の特定の非キーフィールドには、新しい集計フローの最小値と最大値が含まれます。

Spatial and temporal composition can be combined in a single Intermediate Aggregation Process. The Intermediate Aggregation Process can be combined with the Intermediate Selection Process in order to aggregate only a subset of the original Flow Records, for example, Flow Records with small numbers of packets as described in Section 6.2.

空間的および時間的構成は、単一の中間集約プロセスで組み合わせることができます。中間集約プロセスは、セクション6.2で説明されているように、少数のパケットを備えたフローレコードなど、元のフローレコードのサブセットのみを集約するために、中間選択プロセスと組み合わせることができます。

5.3.2.4. Intermediate Anonymization Process
5.3.2.4. 中間匿名化プロセス

An Intermediate Anonymization Process covers the following typical functions:

中間匿名化プロセスは、次の典型的な機能をカバーしています。

o Deleting specified fields

o 指定されたフィールドを削除します

The function deletes existing fields in accordance with some instruction rules. Examples include hiding network topology information and private information. In the case of feeding Data Records to end customers, disclosing vulnerabilities is avoided by deleting fields, e.g., "ipNextHopIP{v4|v6}Address", "bgpNextHopIP{v4|v6}Address", "bgp{Next|Prev}AdjacentAsNumber", and "mplsLabelStackSection", as described in [RFC5102].

この関数は、いくつかの命令規則に従って既存のフィールドを削除します。例には、ネットワークトポロジ情報と個人情報の隠蔽が含まれます。顧客を終わらせるためにデータレコードを供給する場合、フィールドを削除することにより脆弱性の開示は回避されます。、および[rfc5102]で説明されているように、「mplslabelstacksection」。

o Anonymizing values of specified fields

o 指定されたフィールドの匿名値

The function modifies the values of specified fields. Examples include anonymizing customers' private information, such as IP address and port number, in accordance with a privacy protection policy. The Intermediate Anonymization Process may also report anonymized fields and the anonymization method as additional information.

関数は、指定されたフィールドの値を変更します。例には、プライバシー保護ポリシーに従って、IPアドレスやポート番号などの顧客の個人情報を匿名化することが含まれます。中間匿名化プロセスは、匿名化されたフィールドと匿名化方法を追加情報として報告する場合があります。

5.3.2.5. Intermediate Correlation Process
5.3.2.5. 中間相関プロセス

An Intermediate Correlation Process can be viewed as a special case of the Intermediate Aggregation Process, covering the following typical functions:

中間相関プロセスは、次の典型的な機能をカバーする中間集約プロセスの特殊なケースと見なすことができます。

o Producing new information including metrics, counters, attributes, or packet property parameters by evaluating the correlation among sets of Data Records or among Data Records and other meta data after gathering sets of Data Records within a certain time period.

o 特定の期間内にデータレコードのセットを収集した後、データレコードのセットやデータレコードやその他のメタデータ間の相関を評価することにより、メトリック、カウンター、属性、またはパケットプロパティパラメーターを含む新しい情報を作成します。

o Adding new fields into a Data Record or creating a new Data Record.

o データレコードに新しいフィールドを追加するか、新しいデータレコードを作成します。

A correlation of Data Records can be done in the following ways, which can be implemented individually or in combinations.

データレコードの相関関係は、個別にまたは組み合わせで実装できる以下の方法で実行できます。

o One-to-one correlation between Data Records, with the following examples:

o データレコード間の1対1の相関関係と、次の例があります。

* One-way delay, Packet delay variation in [RFC5481] The metrics come from the correlation of the timestamp value on a pair of Packet Reports indicating an identical packet at different Observation Points in the network.

* 一元配置遅延、[RFC5481]のパケット遅延変動メトリックは、ネットワーク内の異なる観測ポイントで同一のパケットを示すパケットレポートのペアのタイムスタンプ値の相関から得られます。

* Packet inter-arrival time The metrics come from the correlation of the timestamp value on consecutive Packet Reports from a single Exporter.

* パケット攻撃時間メトリックは、単一の輸出業者からの連続したパケットレポートのタイムスタンプ値の相関関係からのものです。

* Rate-limiting ratio, compression ratio, optimization ratio, etc. The data values come from the correlation of Data Records indicating an identical Flow observed on the incoming/outgoing points of a WAN interface.

* レート制限比、圧縮比、最適化比など。データ値は、WANインターフェイスの着信/発信ポイントで観察された同一のフローを示すデータレコードの相関から得られます。

o Correlation amongst Data Records, with the following examples:

o データレコード間の相関関係、次の例:

* Bidirectional Flow composition The method of exporting and representing a Bidirectional Flow (Biflow) is described in [RFC5103]. The Bidirectional Flow composition is a special case of Flow Key aggregation. The Flow Records are merged into one Flow Record as Biflow if Non-directional Key Fields match and the Directional Key Fields match their reverse direction counterparts. The direction assignment method to assign the Biflow Source and Destination as additional information may be reported. In the case of an Intermediate Aggregation Process, the direction may be assigned arbitrarily (see [RFC5103], Section 5.3).

* 双方向の流れの組成双方向の流れ(biflow)を輸出および表す方法は、[RFC5103]に記載されています。双方向の流れの組成は、流れの重要な凝集の特別なケースです。非方向のキーフィールドが一致し、方向性キーフィールドが逆方向に一致する場合、フローレコードはビフローとして1つのフローレコードにマージされます。追加情報が報告されるように、biflowソースと宛先を割り当てる方向割り当て方法。中間集約プロセスの場合、方向は任意に割り当てられる場合があります([RFC5103]、セクション5.3を参照)。

* Average/maximum/minimum for packets, bytes, one-way delay, packet loss, etc. The data values come from the correlation of multiple Data Records gathered in a certain time interval.

* パケット、バイト、一元配置遅延、パケット損失などの平均/最大/最小。データ値は、特定の時間間隔で収集された複数のデータレコードの相関から得られます。

o Correlation between Data Record and other meta data

o データレコードと他のメタデータとの相関

Typical examples are derived packet property parameters described in [RFC5102]. The parameters are retrieved based on the value of the specified field in an input Data Record, compensating for traditional exporting devices or probes that are unable to add packet property parameters. Typical derived packet property parameters are as follows:

典型的な例は、[RFC5102]で説明されている派生パケットプロパティパラメーターです。パラメーターは、入力データレコードの指定されたフィールドの値に基づいて取得され、パケットプロパティパラメーターを追加できない従来のエクスポートデバイスまたはプローブを補正します。典型的な派生パケットプロパティパラメーターは次のとおりです。

* "bgpNextHop{IPv4|IPv6}Address" described in [RFC5102] This value indicates the egress router of a network domain. It is useful for making a traffic matrix that covers the whole network domain.

* [rfc5102]で説明されている「bgpnexthop {ipv4 | ipv6}アドレス」この値は、ネットワークドメインの出口ルーターを示しています。ネットワークドメイン全体をカバーするトラフィックマトリックスを作成するのに役立ちます。

* BGP community attributes This attribute indicates tagging for routes of geographical and topological information and source types (e.g., transit, peer, or customer) as described in [RFC4384]. Therefore, network administrators can monitor the geographically-based or source-type-based traffic volume by correlating the attribute.

* BGPコミュニティの属性この属性は、[RFC4384]に記載されているように、地理的およびトポロジー情報およびソースタイプ(トランジット、ピア、または顧客など)のルートのタグ付けを示します。したがって、ネットワーク管理者は、属性を相関させることにより、地理的に基づいたまたはソースタイプベースのトラフィックボリュームを監視できます。

* "mplsVpnRouteDistinguisher" described in [RFC5102] This value indicates the VPN customer's identification, which cannot be extracted from the core router in MPLS networks. Thanks to this correlation, network administrators can monitor the customer-based traffic volume even on core routers.

* [RFC5102]に記載されている「MPLSVPNROUTEDISTISTINGISIOMER」この値は、MPLSネットワークのコアルーターから抽出できないVPN顧客の識別を示しています。この相関関係のおかげで、ネットワーク管理者はコアルーターでも顧客ベースのトラフィックボリュームを監視できます。

6. Component Combination
6. コンポーネントの組み合わせ

An IPFIX Mediator may be able to simultaneously support more than one Intermediate Process. Multiple Intermediate Processes generally are configured in the following ways.

IPFIXメディエーターは、複数の中間プロセスを同時にサポートできる場合があります。一般に、複数の中間プロセスが次の方法で構成されています。

o Parallel Intermediate Processes

o 平行中間プロセス

A record stream is processed by multiple Intermediate Processes in parallel to fulfill the requirements of different applications. In this setup, every Intermediate Process receives a copy of the entire record stream as its input.

レコードストリームは、さまざまなアプリケーションの要件を満たすために、複数の中間プロセスによって並行して処理されます。このセットアップでは、すべての中間プロセスが入力としてレコードストリーム全体のコピーを受け取ります。

o Serial Intermediate Processes

o シリアル中間プロセス

To execute flexible manipulation of a record stream, the Intermediate Processes are connected serially. In that case, an output record stream from one Intermediate Process forms an input record stream for a succeeding Intermediate Process.

レコードストリームの柔軟な操作を実行するために、中間プロセスは連続して接続されます。その場合、1つの中間プロセスからの出力レコードストリームは、後続の中間プロセスの入力レコードストリームを形成します。

In addition to the combination of Intermediate Processes, the combination of some components (Exporting Process, Collecting Process, IPFIX File Writer and Reader) can be applied to provide various data reduction techniques. This section shows some combinations along with examples.

中間プロセスの組み合わせに加えて、一部のコンポーネント(エクスポートプロセス、収集プロセス、IPFIXファイルライター、リーダー)の組み合わせを適用して、さまざまなデータ削減手法を提供できます。このセクションでは、いくつかの組み合わせと例を示します。

6.1. Data-Based Collector Selection
6.1. データベースのコレクターの選択

The combination of one or more Intermediate Selection Processes and Exporting Processes can determine to which Collector input Data Records are exported. Applicable examples include exporting Data Records to a dedicated Collector on the basis of a customer or an organization. For example, an Intermediate Selection Process selects Data Records from a record stream on the basis of the peering autonomous system number, and an Exporting Process sends them to a dedicated Collector, as shown in the Figure G.

1つ以上の中間選択プロセスとエクスポートプロセスの組み合わせにより、どのコレクター入力データレコードがエクスポートされるかを決定できます。該当する例には、顧客または組織に基づいて、データレコードを専用のコレクターにエクスポートすることが含まれます。たとえば、中間選択プロセスは、ピアリング自律システム番号に基づいてレコードストリームからデータレコードを選択し、図Gに示すようにエクスポートプロセスは専用のコレクターに送信します。

             .----------------------.   .------------.
             | Intermediate         |   | Exporting  |
             |  Selection Process 1 |   |  Process 1 |
          +--+--- Peering AS #10 ---+-->|            +--> Collector 1
          |  '----------------------'   '------------'
          |  .----------------------.   .------------.
   record |  | Intermediate         |   | Exporting  |
   stream |  |  Selection Process 2 |   |  Process 2 |
   -------+--+--- Peering AS #20 ---+-->|            +--> Collector 2
          |  '----------------------'   '------------'
          |  .----------------------.   .------------.
          |  | Intermediate         |   | Exporting  |
          |  |  Selection Process 3 |   |  Process 3 |
          +--+--- Peering AS #30 ---+-->|            +--> Collector 3
             '----------------------'   '------------'
        

Figure G: Data-Based Collector Selection

図G:データベースのコレクターの選択

6.2. Flow Selection and Aggregation
6.2. フロー選択と集約

The combination of one or more Intermediate Selection Processes and Intermediate Aggregation Processes can efficiently reduce the amount of Flow Records. The combination structure is similar to the concept of the Composite Selector described in [RFC5474]. For example, an Intermediate Selection Process selects Flows consisting of a small number of packets and then transmits them to an Intermediate Aggregation Process. Another Intermediate Selection Process selects other Flow Records and then transmits them to an Exporting Process, as shown in Figure H. This results in aggregation on the basis of the distribution of the number of packets per Flow.

1つ以上の中間選択プロセスと中間集約プロセスの組み合わせにより、フローレコードの量を効率的に減らすことができます。組み合わせ構造は、[RFC5474]で説明されている複合セレクターの概念に似ています。たとえば、中間選択プロセスは、少数のパケットで構成されるフローを選択し、それらを中間集約プロセスに送信します。別の中間選択プロセスは、図Hに示すように、他のフローレコードを選択し、エクスポートプロセスに送信します。これにより、フローあたりのパケット数の分布に基づいて集約が行われます。

            .------------------.  .--------------.  .------------.
            | Intermediate     |  | Intermediate |  | Exporting  |
            |   Selection      |  |  Aggregation |  |    Process |
            |        Process 1 |  |     Process  |  |            |
          +-+ packetDeltaCount +->|              +->|            |
          | |             <= 5 |  |              |  |            |
   record | '------------------'  '--------------'  |            |
   stream | .------------------.                    |            |
   -------+ | Intermediate     |                    |            |
          | |   Selection      |                    |            |
          | |        Process 2 |                    |            |
          +-+ packetDeltaCount +------------------->|            |
            |              > 5 |                    |            |
            '------------------'                    '------------'
        

Figure H: Flow Selection and Aggregation Example

図H:フローの選択と集約の例

6.3. IPFIX File Writer/Reader
6.3. IPFIXファイルライター/リーダー

An IPFIX File Writer [RFC5655] stores Data Records in a file system. When Data Records include problematic Information Elements, an Intermediate Anonymization Process can delete these fields before the IPFIX File Writer handles them, as shown in Figure I.

IPFIXファイルライター[RFC5655]は、ファイルシステムにデータレコードを保存します。データレコードに問題のある情報要素が含まれている場合、図Iに示すように、IPFIXファイルライターが処理する前に、中間匿名化プロセスがこれらのフィールドを削除できます。

          .---------------.  .---------------.  .-------------.
          | Collecting    |  | Intermediate  |  | IPFIX       |
    IPFIX |      Process  |  | Anonymization |  |   File      |
    ----->|               +->|       Process +->|      Writer |
          '---------------'  '---------------'  '-------------'
        

Figure I: IPFIX Mediation Example with IPFIX File Writer

図I:IPFIXファイルライターを使用したIPFIX調停の例

In contrast, an IPFIX File Reader [RFC5655] retrieves stored Data Records when administrators want to retrieve past Data Records from a given time period. If the data structure of the Data Records from the IPFIX File Reader is different from what administrators want, an Intermediate Anonymization Process and Intermediate Correlation Process can modify the data structure, as shown in Figure J.

対照的に、IPFIXファイルリーダー[RFC5655]は、管理者が特定の期間から過去のデータレコードを取得したい場合に保存されたデータレコードを取得します。IPFIXファイルリーダーからのデータレコードのデータ構造が管理者が望むものとは異なる場合、図Jに示すように、中間匿名化プロセスと中間相関プロセスがデータ構造を変更できます。

    .-------------.  .---------------.  .---------------.  .-----------.
    | IPFIX       |  | Intermediate  |  | Intermediate  |  | Exporting |
    |   File      |  | Anonymization |  |   Correlation |  |   Process |
    |      Reader +->|       Process +->|       Process +->|           |
    '-------------'  '---------------'  '---------------'  '-----------'
        

Figure J: IPFIX Mediation Example with IPFIX File Reader

図J:IPFIXファイルリーダーを使用したIPFIX調停の例

In the case where distributed IPFIX Mediators enable on-demand export of Data Records that have been previously stored by a File Writer, a collecting infrastructure with huge storage capacity for data retention can be set up.

分散IPFIXメディエーターがファイルライターによって以前に保存されていたデータレコードのオンデマンドエクスポートを有効にする場合、データ保持のための膨大なストレージ容量を備えた収集インフラストラクチャを設定できます。

7. Encoding for IPFIX Message Header
7. IPFIXメッセージヘッダーのエンコード

The IPFIX Message Header [RFC5101] includes Export Time, Sequence Number, and Observation Domain ID fields. This section describes some consideration points for the IPFIX Message Header encoding in the context of IPFIX Mediation.

IPFIXメッセージヘッダー[RFC5101]には、エクスポート時間、シーケンス番号、および観測ドメインIDフィールドが含まれます。このセクションでは、IPFIXメディエーションのコンテキストでエンコードするIPFIXメッセージヘッダーのいくつかの考慮事項について説明します。

Export Time

エクスポート時間

An IPFIX Mediator can set the Export Time in two ways.

IPFIXメディエーターは、エクスポート時間を2つの方法で設定できます。

* Case 1: keeping the field value of incoming Transport Sessions

* ケース1:着信輸送セッションのフィールド値を維持する

* Case 2: setting the time at which an IPFIX Message leaves the IPFIX Mediator

* ケース2:IPFIXメッセージがIPFIXメディエーターを離れる時間を設定する

Case 1 can be applied when an IPFIX Mediator operates as a proxy at the IPFIX Message level rather than the Data Record level. In case 2, the IPFIX Mediator needs to handle any delta timestamp fields described in [RFC5102], such as "flowStartDeltaMicroseconds" and "flowEndDeltaMicroseconds".

ケース1は、IPFIXメディエーターがデータレコードレベルではなくIPFIXメッセージレベルでプロキシとして動作する場合に適用できます。ケース2では、IPFIXメディエーターは、[FlowStartDeltamicroSeconds]や「FlowEndDeltamicroSeconds」など、[RFC5102]に記載されているデルタタイムスタンプフィールドを処理する必要があります。

Sequence Number

シーケンス番号

In the case where an IPFIX Mediator relays IPFIX Messages from one Transport Session to another Transport Session, the IPFIX Mediator needs to handle the Sequence Number properly. In particular, the Sequence Number in the outgoing session is not allowed to be re-initialized, even when the incoming session shuts down and restarts.

IPFIXメディエーターがあるトランスポートセッションから別のトランスポートセッションにIPFIXメッセージをリレーする場合、IPFIXメディエーターはシーケンス番号を適切に処理する必要があります。特に、発信セッションのシーケンス番号は、着信セッションがシャットダウンして再起動した場合でも、再目的化することはできません。

Observation Domain ID

観測ドメインID

According to [RFC5101], the Observation Domain ID in the IPFIX Message Header is locally unique per Exporting Process. In contrast to the Observation Domain ID used by an Original Exporter, the Observation Domain ID used by an IPFIX Mediator does not necessarily represent a set of Observation Points located at the IPFIX Mediator itself.

[RFC5101]によると、IPFIXメッセージヘッダーの観測ドメインIDは、エクスポートごとにローカルに一意です。元の輸出業者が使用する観測ドメインIDとは対照的に、IPFIXメディエーターが使用する観測ドメインIDは、必ずしもIPFIXメディエーター自体にある一連の観測ポイントを表すものではありません。

An IPFIX Mediator may act as a proxy by relaying entire IPFIX Messages. In this case, it may report information about the Original Exporters by using the Observation Domain ID of the outgoing Messages as the scope field in an Options Template Record.

IPFIXメディエーターは、IPFIXメッセージ全体を中継することにより、プロキシとして機能する場合があります。この場合、Optionsテンプレートレコードのスコープフィールドとして発信メッセージの観測ドメインIDを使用して、元の輸出業者に関する情報を報告する場合があります。

Otherwise, the IPFIX Mediator should have a function to export the observation location information regarding the Original Exporter. The information contains the IP addresses and Observation Domain IDs used by the Original Exporters and some information about the Transport Session, for example, the source port number, so that different Exporting Processes on the same Original Exporter can be identified. As far as privacy policy permits, an IPFIX Mediator reports the information to an IPFIX Collector.

それ以外の場合、IPFIXメディエーターには、元の輸出業者に関する観測位置情報をエクスポートする関数が必要です。この情報には、元の輸出業者が使用するIPアドレスと観測ドメインIDと、たとえばソースポート番号など、トランスポートセッションに関するいくつかの情報が含まれているため、同じ元の輸出業者の異なるエクスポートプロセスを特定できます。プライバシーポリシーが許す限り、IPFIXメディエーターは情報をIPFIXコレクターに報告します。

If information about a set of Original Exporters needs to be reported, it can be useful to export it as Common Properties as specified in [RFC5473]. The commonPropertiesID may then serve as a scope for the set of Original Exporters. The Common Properties Withdrawal Message [RFC5473] can be used to indicate that an incoming Transport Session from one of the Original Exporters was closed.

一連の元の輸出業者に関する情報を報告する必要がある場合、[RFC5473]で指定されているように、一般的な特性をエクスポートすることは有用です。CommonPropertiesIDは、元の輸出業者のセットの範囲として機能する場合があります。一般的なプロパティの引き出しメッセージ[RFC5473]を使用して、元の輸出業者の1つからの輸送セッションが閉鎖されたことを示すことができます。

8. Information Model
8. 情報モデル

IPFIX Mediation reuses the general information models from [RFC5102] and [RFC5477], and, depending on the Intermediate Processes type, potentially Information Elements such as:

IPFIXメディエーションは、[RFC5102]および[RFC5477]の一般的な情報モデルを再利用し、中間プロセスのタイプに応じて、次のような情報要素を潜在的に情報要素に再生します。

o Original Exporter IP address, Observation Domain ID, and source port number about the Transport Session at the Original Exporter, in the case where an IPFIX Mediator reports original observation location information in Section 7. The Information Elements contained in the Export Session Details Options Template in [RFC5655] may be utilized for this purpose.

o 元の輸出業者のIPアドレス、観測ドメインID、および元の輸送業者でのトランスポートセッションに関するソースポート番号。IPFIXメディエーターがセクション7で元の観測位置情報を報告する場合。[RFC5655]は、この目的のために利用できます。

o Report on the applied IPFIX Mediation functions as described in Section 6.7. in [RFC5982].

o セクション6.7で説明されているように、適用されたIPFIX調停機能に関するレポート。[RFC5982]で。

o Certificate of an Original Exporter in Section 9. The Information Element exporterCertificate in [RFC5655] may be utilized for this purpose.

o セクション9の元の輸出業者の証明書。[RFC5655]の情報要素輸出顧客認証は、この目的のために利用できます。

9. Security Considerations
9. セキュリティに関する考慮事項

As Mediators act as both IPFIX Collecting Processes and Exporting Processes, the Security Considerations for IPFIX [RFC5101] also apply to Mediators. The Security Considerations for IPFIX Files [RFC5655] also apply to IPFIX Mediators that write IPFIX Files or use them for internal storage. In addition, there are a few specific considerations that IPFIX Mediator implementations must take into account.

メディエーターは、IPFIXの収集プロセスとエクスポートプロセスの両方として機能するため、IPFIX [RFC5101]のセキュリティに関する考慮事項もメディエーターに適用されます。IPFIXファイル[RFC5655]のセキュリティ上の考慮事項は、IPFIXファイルを記述するか、内部ストレージに使用するIPFIXメディエーターにも適用されます。さらに、IPFIXメディエーターの実装を考慮に入れなければならないいくつかの具体的な考慮事項があります。

By design, IPFIX Mediators are "men-in-the-middle": they intercede in the communication between an Original Exporter (or another upstream Mediator) and a downstream Collecting Process. TLS provides no way to connect the session between the Mediator and the Original Exporter to the session between the Mediator and the downstream Collecting Process; indeed, this is by design. This has important implications for the level of confidentiality provided across an IPFIX Mediator and the ability to protect data integrity and Original Exporter authenticity across a Mediator. In general, a Mediator should maintain the same level of integrity and confidentiality protection on both sides of the mediation operation, except in situations where the Mediator is explicitly deployed as a gateway between trusted and untrusted networks.

設計上、IPFIXメディエーターは「中間の男性」です。彼らは、元の輸出業者(または別の上流のメディエーター)と下流の収集プロセスとの間のコミュニケーションを妨害します。TLSは、調停者と元の輸出業者の間のセッションを調停者と下流の収集プロセスの間のセッションに接続する方法を提供しません。確かに、これは設計によるものです。これは、IPFIXメディエーター全体で提供される機密性のレベルと、メディエーター全体でデータの整合性と元の輸出国の信頼性を保護する能力に重要な意味を持ちます。一般に、調停者は、メディエーターが信頼できるネットワークと信頼されていないネットワークの間のゲートウェイとして明示的に展開される状況を除き、調停操作の両側で同じレベルの完全性と機密保護保護を維持する必要があります。

Subsequent subsections deal with specific security issues raised by IPFIX Mediation.

その後のサブセクションは、IPFIX調停によって提起された特定のセキュリティ問題を扱います。

9.1. Avoiding Security Level Downgrade
9.1. セキュリティレベルの格下げを回避します

An IPFIX Mediator that accepts IPFIX Messages over a Transport Session protected by TLS [RFC5246] or DTLS [RFC4347] and that then exports IPFIX Messages derived therefrom in cleartext is a potentially serious vulnerability in an IPFIX infrastructure. The concern here is that confidentiality protection may be lost across a Mediator.

TLS [RFC5246]またはDTLS [RFC4347]によって保護されているトランスポートセッションでIPFIXメッセージを受け入れるIPFIXメディエーターであり、クリアテキストで導出されたIPFIXメッセージを輸送することは、IPFIXインフラストラクチャの潜在的に深刻な脆弱性です。ここでの懸念は、機密保護が調停者全体で失われる可能性があることです。

Therefore, an IPFIX Mediator that receives IPFIX Messages from an upstream Exporting Process protected using TLS or DTLS must provide for sending of IPFIX Messages resulting from the operation of the Intermediate Process(es) to a downstream Collecting Process using TLS or DTLS by default. It may be configurable to export records derived from protected records in cleartext but only when application requirements allow.

したがって、TLSまたはDTLを使用して保護されている上流のエクスポートプロセスからIPFIXメッセージを受信するIPFIXメディエーターは、デフォルトでTLSまたはDTLSを使用してTLSまたはDTLSを使用して下流の収集プロセスへの操作から生じるIPFIXメッセージの送信を提供する必要があります。ClearTextで保護されたレコードから派生したレコードをエクスポートするために構成できる場合がありますが、アプリケーション要件が許可された場合にのみ。

There are two common use cases for this. First, a Mediator performing a transformation that leads to a reduction in the required level of security (e.g., by removing all information requiring confidentiality from the output records) may export records downstream without confidentiality protection. Second, a mediator that acts as a proxy between an external (untrusted) network and an internal (trusted) network may export records without TLS when the additional overhead of TLS is unnecessary (e.g., on a physically protected network in the same locked equipment rack).

これには2つの一般的なユースケースがあります。第一に、必要なセキュリティレベルの削減につながる変換を実行するメディエーター(たとえば、出力レコードから機密性を必要とするすべての情報を削除することにより)は、機密保護なしで下流のレコードをエクスポートすることができます。第二に、TLSの追加オーバーヘッドが不要な場合、外部(信頼されていない)ネットワークと内部(信頼できる)ネットワーク間のプロキシとして機能するメディエーターは、TLSなしでレコードをエクスポートできます(たとえば、同じロックされた機器ラックの物理的に保護されたネットワーク上で)。

9.2. Avoiding Security Level Upgrade
9.2. セキュリティレベルのアップグレードを回避します

There is a similar problem in the opposite direction: as an IPFIX Mediator's signature on a TLS session to a downstream Collecting Process acts as an implicit assertion of the trustworthiness of the data within the session, a poorly deployed IPFIX Mediator could be used to "legitimize" records derived from untrusted sources. Unprotected sessions from the Original Exporter are generally untrusted, because they could have been tampered with or forged by an unauthorized third party. The concern here is that a Mediator could be used to add inappropriate trust to external information whose integrity cannot be guaranteed.

反対方向に同様の問題があります。TLSセッションでのIPFIX調停者の署名が下流の収集プロセスへの署名として、セッション内のデータの信頼性の暗黙の主張として機能するため、展開されていないIPFIXメディエーターを使用して「正当化することができます。「信頼されていないソースから派生した記録。元の輸出業者からの保護されていないセッションは、一般的に信頼されていません。なぜなら、彼らは無許可の第三者によって改ざんまたは偽造された可能性があるからです。ここでの懸念は、メディエーターを使用して、完全性を保証できない外部情報に不適切な信頼を追加できることです。

When specific deployment requirements allow, an IPFIX Mediator may export signed IPFIX Messages containing records derived from records received without integrity protection via TLS. One such deployment consideration would be the reverse of the second case above: when the Mediator acts as a proxy between an internal (trusted) and an external (untrusted) network and when the path from the Original Exporter is protected using some other method and the overhead of a TLS session is unnecessary.

特定の展開要件が許可されている場合、IPFIXメディエーターは、TLSを介して整合性保護なしで受信されたレコードから派生したレコードを含むIPFIXメッセージをエクスポートできます。そのような展開の考慮事項の1つは、上記の2番目のケースの逆です。メディエーターが内部(信頼)と外部(信頼されていない)ネットワークの間のプロキシとして機能する場合、および元の輸出業者からのパスが他の方法と他の方法を使用して保護されている場合TLSセッションのオーバーヘッドは不要です。

In such cases, the IPFIX Mediator should notify the downstream Collector about the missing protection of all or part of the original record stream as part of the Transport Session Information.

そのような場合、IPFIXメディエーターは、トランスポートセッション情報の一部として、元のレコードストリームのすべてまたは一部の保護が欠落していることについて、下流のコレクターに通知する必要があります。

9.3. Approximating End-to-End Assertions for IPFIX Mediators
9.3. IPFIXメディエーターのエンドツーエンドのアサーションを近似します

Because the Transport Session between an IPFIX Mediator and an Original Exporter is independent from the Transport Session between the Mediator and the downstream Collecting Process, there is no existing method via TLS to assert the identity of the original Exporting Process downstream. However, an IPFIX Mediator, which modifies the stream of IPFIX Messages sent to it, is by definition a trusted entity in the infrastructure. Therefore, the IPFIX Mediator's signature on an outgoing Transport Session can be treated as an implicit assertion that the Original Exporter was positively identified by the Mediator and that the source information it received was trustworthy. However, as noted in the previous section, IPFIX Mediators must in this circumstance take care not to provide an inappropriate upgrade of trust.

IPFIXメディエーターと元の輸出業者との間の輸送セッションは、メディエーターとダウンストリーム収集プロセスの間の輸送セッションから独立しているため、TLSを介して既存の方法はありません。ただし、IPFIXメッセージのストリームを変更するIPFIXメディエーターは、定義上、インフラストラクチャの信頼できるエンティティです。したがって、発信輸送セッションに関するIPFIX調停者の署名は、元の輸出国がメディエーターによって肯定的に特定され、受け取ったソース情報が信頼できるという暗黙の主張として扱うことができます。ただし、前のセクションで述べたように、IPFIXメディエーターは、この状況では、不適切な信頼のアップグレードを提供しないように注意しなければなりません。

If the X.509 certificates [RFC5280] used to protect a Transport Session between an Original Exporter and an IPFIX Mediator are required downstream, an IPFIX Mediator may export Transport Session Information, including the exporterCertificate and the collectorCertificate Information Elements, with the Export Session Details Options Template defined in Section 8.1.3 of [RFC5655] or the Message Details Options Template defined in Section 8.1.4 of [RFC5655] in order to export this information downstream. However, in this case, the IPFIX Mediator is making an implicit assertion that the upstream session was properly protected and therefore trustworthy or that the Mediator has otherwise been configured to trust the information from the Original Exporter and, as such, must protect the Transport Session to the downstream Collector using TLS or DTLS as well.

元の輸出業者とIPFIXメディエーター間の輸送セッションを保護するために使用されたX.509証明書[RFC5280]が下流に必要な場合、IPFIXメディエーターは輸出委員会やCollectorCertificate情報要素を含む輸送セッション情報をエクスポートすることができます。[RFC5655]のセクション8.1.3で定義されているオプションテンプレートまたはメッセージの詳細オプションテンプレート[RFC5655]のセクション8.1.4で定義されているテンプレートは、この情報を下流にエクスポートします。ただし、この場合、IPFIXメディエーターは、上流セッションが適切に保護されているため、信頼できるか、メディエーターが元の輸出業者から情報を信頼するように構成されており、そのため輸送セッションを保護する必要があるという暗黙の主張を行っています。TLSまたはDTLSを使用して、下流のコレクターにも。

9.4. Multiple Tenancy
9.4. 複数のテナント

Information from multiple sources may only be combined within a Mediator when that Mediator is applied for that specific purpose (e.g., spatial aggregation or concentration of records). In all other cases, an IPFIX Mediator must provide for keeping traffic data from multiple sources separate. Though the details of this are application-specific, this generally entails separating Transport Sessions within the Mediator and associating them with information related to the source or purpose, e.g., network or hardware address range, virtual LAN tag, interface identifiers, and so on.

複数のソースからの情報は、その特定の目的(たとえば、空間集約またはレコードの濃度)に適用される場合にのみ、調停者内に組み合わせることができます。他のすべての場合、IPFIXメディエーターは、複数のソースからのトラフィックデータを分離するために提供する必要があります。この詳細はアプリケーション固有ですが、これは一般にメディエーター内の輸送セッションを分離し、ソースまたは目的、例えばネットワークまたはハードウェアアドレス範囲、仮想LANタグ、インターフェイス識別子などに関連する情報に関連付けます。

10. References
10. 参考文献
10.1. Normative References
10.1. 引用文献

[RFC5101] Claise, B., Ed., "Specification of the IP Flow Information Export (IPFIX) Protocol for the Exchange of IP Traffic Flow Information", RFC 5101, January 2008.

[RFC5101] Claise、B.、ed。、「IPトラフィックフロー情報の交換のためのIPフロー情報エクスポート(IPFIX)プロトコルの仕様」、RFC 5101、2008年1月。

[RFC5470] Sadasivan, G., Brownlee, N., Claise, B., and J. Quittek, "Architecture for IP Flow Information Export", RFC 5470, March 2009.

[RFC5470] Sadasivan、G.、Brownlee、N.、Claise、B。、およびJ. Quittek、「IPフロー情報エクスポートのアーキテクチャ」、RFC 5470、2009年3月。

[RFC5476] Claise, B., Ed., Johnson, A., and J. Quittek, "Packet Sampling (PSAMP) Protocol Specifications", RFC 5476, March 2009.

[RFC5476] Claise、B.、ed。、Johnson、A。、およびJ. Quittek、「パケットサンプリング(PSAMP)プロトコル仕様」、RFC 5476、2009年3月。

[RFC5655] Trammell, B., Boschi, E., Mark, L., Zseby, T., and A. Wagner, "Specification of the IP Flow Information Export (IPFIX) File Format", RFC 5655, October 2009.

[RFC5655] Trammell、B.、Boschi、E.、Mark、L.、Zseby、T。、およびA. Wagner、「IPフロー情報エクスポート(IPFIX)ファイル形式の仕様」、RFC 5655、2009年10月。

10.2. Informative References
10.2. 参考引用

[PSAMP-MIB] Dietz, T., Claise, B., and J. Quittek, "Definitions of Managed Objects for Packet Sampling", Work in Progress, March 2011.

[Psamp-Mib] Dietz、T.、Claise、B。、およびJ. Quittek、「パケットサンプリングのための管理オブジェクトの定義」、2011年3月の作業。

[RFC3917] Quittek, J., Zseby, T., Claise, B., and S. Zander, "Requirements for IP Flow Information Export (IPFIX)", RFC 3917, October 2004.

[RFC3917] Quittek、J.、Zseby、T.、Claise、B。、およびS. Zander、「IP Flow Information Export(IPFIX)の要件」、RFC 3917、2004年10月。

[RFC3954] Claise, B., Ed., "Cisco Systems NetFlow Services Export Version 9", RFC 3954, October 2004.

[RFC3954] Claise、B.、ed。、「Cisco Systems Netflow Services Exportバージョン9」、RFC 3954、2004年10月。

[RFC4347] Rescorla, E. and N. Modadugu, "Datagram Transport Layer Security", RFC 4347, April 2006.

[RFC4347] Rescorla、E。およびN. Modadugu、「Datagram Transport Layer Security」、RFC 4347、2006年4月。

[RFC4384] Meyer, D., "BGP Communities for Data Collection", BCP 114, RFC 4384, February 2006.

[RFC4384] Meyer、D。、「データ収集のためのBGPコミュニティ」、BCP 114、RFC 4384、2006年2月。

[RFC5102] Quittek, J., Bryant, S., Claise, B., Aitken, P., and J. Meyer, "Information Model for IP Flow Information Export", RFC 5102, January 2008.

[RFC5102] Quittek、J.、Bryant、S.、Claise、B.、Aitken、P。、およびJ. Meyer、「IPフロー情報エクスポートの情報モデル」、RFC 5102、2008年1月。

[RFC5103] Trammell, B. and E. Boschi, "Bidirectional Flow Export Using IP Flow Information Export (IPFIX)", RFC 5103, January 2008.

[RFC5103] Trammell、B。およびE. Boschi、「IPフロー情報エクスポート(IPFIX)を使用した双方向フローエクスポート」、RFC 5103、2008年1月。

[RFC5246] Dierks, T. and E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.2", RFC 5246, August 2008.

[RFC5246] Dierks、T。およびE. Rescorla、「The Transport Layer Security(TLS)プロトコルバージョン1.2」、RFC 5246、2008年8月。

[RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., and W. Polk, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 5280, May 2008.

[RFC5280] Cooper、D.、Santesson、S.、Farrell、S.、Boeyen、S.、Housley、R.、およびW. Polk、 "Internet X.509公開キーインフラストラクチャ証明書および証明書失効リスト(CRL)プロファイル"、RFC 5280、2008年5月。

[RFC5472] Zseby, T., Boschi, E., Brownlee, N., and B. Claise, "IP Flow Information Export (IPFIX) Applicability", RFC 5472, March 2009.

[RFC5472] Zseby、T.、Boschi、E.、Brownlee、N。、およびB. Claise、「IP Flow Information Export(IPFIX)Applicability」、RFC 5472、2009年3月。

[RFC5473] Boschi, E., Mark, L., and B. Claise, "Reducing Redundancy in IP Flow Information Export (IPFIX) and Packet Sampling (PSAMP) Reports", RFC 5473, March 2009.

[RFC5473] Boschi、E.、Mark、L。、およびB. Claise、「IPフロー情報エクスポート(IPFIX)およびパケットサンプリング(PSAMP)レポートの冗長性の削減」、RFC 5473、2009年3月。

[RFC5474] Duffield, N., Ed., Chiou, D., Claise, B., Greenberg, A., Grossglauser, M., and J. Rexford, "A Framework for Packet Selection and Reporting", RFC 5474, March 2009.

[RFC5474] Duffield、N.、Ed。、Chiou、D.、Claise、B.、Greenberg、A.、Grossglauser、M。、およびJ. Rexford、「パケット選択とレポートのフレームワーク」、RFC 5474、3月2009年。

[RFC5475] Zseby, T., Molina, M., Duffield, N., Niccolini, S., and F. Raspall, "Sampling and Filtering Techniques for IP Packet Selection", RFC 5475, March 2009.

[RFC5475] Zseby、T.、Molina、M.、Duffield、N.、Niccolini、S。、およびF. Raspall、「IPパケット選択のためのサンプリングとフィルタリング技術」、RFC 5475、2009年3月。

[RFC5477] Dietz, T., Claise, B., Aitken, P., Dressler, F., and G. Carle, "Information Model for Packet Sampling Exports", RFC 5477, March 2009.

[RFC5477] Dietz、T.、Claise、B.、Aitken、P.、Dressler、F.、およびG. Carle、「パケットサンプリングエクスポートの情報モデル」、RFC 5477、2009年3月。

[RFC5481] Morton, A. and B. Claise, "Packet Delay Variation Applicability Statement", RFC 5481, March 2009.

[RFC5481] Morton、A。およびB. Claise、「パケット遅延変動適用ステートメント」、RFC 5481、2009年3月。

[RFC5815] Dietz, T., Ed., Kobayashi, A., Claise, B., and G. Muenz, "Definitions of Managed Objects for IP Flow Information Export", RFC 5815, April 2010.

[RFC5815] Dietz、T.、Ed。、ed。、Kobayashi、A.、Claise、B。、およびG. Muenz、「IPフロー情報エクスポートの管理オブジェクトの定義」、RFC 5815、2010年4月。

[RFC5982] Kobayashi, A., Ed., and B. Claise, Ed., "IP Flow Information Export (IPFIX) Mediation: Problem Statement", RFC 5982, August 2010.

[RFC5982] Kobayashi、A.、ed。、およびB. Claise、ed。、「IP Flow Information Export(IPFIX)調停:問題声明」、RFC 5982、2010年8月。

11. Acknowledgements
11. 謝辞

We would like to thank the following persons: Brian Trammell for his contribution regarding the improvement of the terminology section and the security considerations section; Daisuke Matsubara, Tsuyoshi Kondoh, Hiroshi Kurakami, and Haruhiko Nishida for their contribution during the initial phases of the document; Nevil Brownlee and Juergen Quittek for their technical reviews and feedback.

次の人に感謝します。BrianTrammellは、用語セクションの改善とセキュリティに関する考慮事項セクションに関する彼の貢献について。Daisuke Matsubara、Tsuyoshi Kondoh、Kurakami hiroshi、および西田裕子は、文書の初期段階での貢献をしました。Nevil BrownleeとJuergen Quittekは、技術的なレビューとフィードバックについて。

Authors' Addresses

著者のアドレス

Atsushi Kobayashi Nippon Telegraph and Telephone East Corporation 26F 3-20-2, Nishi-shinjuku 3-chome Shinjuku, Tokyo 163-8019 Japan Phone: +81-3-5353-3636 EMail: akoba@orange.plala.or.jp

アトシュシシウ島日本間電信と電話イーストコーポレーション26F 3-20-2、西shinjuku 3-Chome Shinjuku、東京163-8019日本電話:81-3-5353-3636メール:akoba@orange.plala.or.or.jp

Benoit Claise Cisco Systems, Inc. De Kleetlaan 6a b1 Diegem 1831 Belgium Phone: +32 2 704 5622 EMail: bclaise@cisco.com

Benoit Claise Cisco Systems、Inc。De Kleetlaan 6a B1 Diegem 1831 Belgium電話:32 2 704 5622メール:bclaise@cisco.com

Gerhard Muenz Technische Universitaet Muenchen Boltzmannstr. 3 Garching 85748 Germany EMail: muenz@net.in.tum.de URI: http://www.net.in.tum.de/~muenz

Gerhard Muenz Technische Universitaet Muenchen Boltzmannstr。3 Garching 85748ドイツメール:muenz@net.in.tum.de uri:http://www.net.in.tum.de/~muenz

Keisuke Ishibashi NTT Service Integration Platform Laboratories 3-9-11 Midori-cho Musashino-shi 180-8585 Japan Phone: +81-422-59-3407 EMail: ishibashi.keisuke@lab.ntt.co.jp

keisuke ntt ntt service統合プラットフォーム研究所3-9-11 midori-cho musashino-shi 180-8585日本電話:81-422-59-3407電子メール:ishibashi.keisuke@lab.ntt.co.jp