[要約] RFC 7078は、DHCPv6を使用してアドレス選択ポリシーを配布するためのガイドラインです。その目的は、IPv6ネットワークでのアドレス選択ポリシーの一貫性と柔軟性を確保することです。
Internet Engineering Task Force (IETF) A. Matsumoto
Request for Comments: 7078 T. Fujisaki
Category: Standards Track NTT
ISSN: 2070-1721 T. Chown
University of Southampton
January 2014
Distributing Address Selection Policy Using DHCPv6
DHCPv6を使用したアドレス選択ポリシーの配布
Abstract
概要
RFC 6724 defines default address selection mechanisms for IPv6 that allow nodes to select an appropriate address when faced with multiple source and/or destination addresses to choose between. RFC 6724 allows for the future definition of methods to administratively configure the address selection policy information. This document defines a new DHCPv6 option for such configuration, allowing a site administrator to distribute address selection policy overriding the default address selection parameters and policy table, and thus allowing the administrator to control the address selection behavior of nodes in their site.
RFC 6724はIPv6のデフォルトのアドレス選択メカニズムを定義しており、ノードが複数の送信元アドレスや宛先アドレスに直面したときに適切なアドレスを選択できるようにします。 RFC 6724では、アドレス選択ポリシー情報を管理上構成するメソッドの将来の定義が可能です。このドキュメントでは、このような構成の新しいDHCPv6オプションを定義し、サイト管理者がデフォルトのアドレス選択パラメーターとポリシーテーブルを上書きしてアドレス選択ポリシーを配布できるようにし、管理者がサイト内のノードのアドレス選択動作を制御できるようにします。
Status of This Memo
本文書の状態
This is an Internet Standards Track document.
これはInternet Standards Trackドキュメントです。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 5741.
このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。インターネット標準の詳細については、RFC 5741のセクション2をご覧ください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc7078.
このドキュメントの現在のステータス、正誤表、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc7078で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2014 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2014 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書は、BCP 78およびこの文書の発行日に有効なIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象となります。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。
This document may contain material from IETF Documents or IETF Contributions published or made publicly available before November 10, 2008. The person(s) controlling the copyright in some of this material may not have granted the IETF Trust the right to allow modifications of such material outside the IETF Standards Process. Without obtaining an adequate license from the person(s) controlling the copyright in such materials, this document may not be modified outside the IETF Standards Process, and derivative works of it may not be created outside the IETF Standards Process, except to format it for publication as an RFC or to translate it into languages other than English.
このドキュメントには、2008年11月10日より前に公開または公開されたIETFドキュメントまたはIETFコントリビューションの素材が含まれている場合があります。 IETF標準プロセス外。このような資料の著作権を管理する人から適切なライセンスを取得せずに、このドキュメントをIETF標準プロセス外で変更したり、その派生物をIETF標準プロセス外で作成したりすることはできません。 RFCとして、またはそれを英語以外の言語に翻訳するための出版物。
[RFC6724] describes default algorithms for selecting an address when a node has multiple destination and/or source addresses to choose from by using an address selection policy. This specification defines a new DHCPv6 option for configuring the default policy table.
[RFC6724]は、ノードがアドレス選択ポリシーを使用して選択する複数の宛先アドレスまたは送信元アドレス、あるいはその両方を持っている場合にアドレスを選択するためのデフォルトのアルゴリズムを説明しています。この仕様は、デフォルトのポリシーテーブルを構成するための新しいDHCPv6オプションを定義します。
Some problems were identified with the default address selection policy as originally defined in [RFC3484]. As a result, RFC 3484 was updated and obsoleted by [RFC6724]. While this update corrected a number of issues identified from operational experience, it is unlikely that any default policy will suit all scenarios, and thus mechanisms to control the source address selection policy will be necessary. Requirements for those mechanisms are described in [RFC5221], while solutions are discussed in [ADDR-SEL]. Those documents have helped shape the improvements in the default address selection algorithm in [RFC6724] as well as the requirements for the DHCPv6 option defined in this specification.
[RFC3484]で最初に定義されたデフォルトのアドレス選択ポリシーでいくつかの問題が確認されました。その結果、RFC 3484が更新され、[RFC6724]によって廃止されました。この更新により、運用経験から特定された多くの問題が修正されましたが、デフォルトポリシーがすべてのシナリオに適合する可能性は低いため、送信元アドレス選択ポリシーを制御するメカニズムが必要になります。これらのメカニズムの要件は[RFC5221]で説明されており、ソリューションは[ADDR-SEL]で説明されています。これらのドキュメントは、[RFC6724]のデフォルトアドレス選択アルゴリズムの改善と、この仕様で定義されているDHCPv6オプションの要件の形成に役立ちました。
This option's concept is to serve as a hint for a node about how to behave in the network. Ultimately, while the node's administrator can control how to deal with the received policy information, the implementation SHOULD follow the method described below uniformly to ease troubleshooting and to reduce operational costs.
このオプションの概念は、ネットワークでの動作方法に関するノードのヒントとして機能することです。最終的に、ノードの管理者は受信したポリシー情報の処理方法を制御できますが、実装は、トラブルシューティングを容易にし、運用コストを削減するために、以下に説明する方法に従う必要があります。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].
このドキュメントのキーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「MAY」、および「OPTIONAL」は、 [RFC2119]で説明されているように解釈されます。
This document uses the terminology defined in [RFC2460] and the DHCPv6 specification defined in [RFC3315]
このドキュメントでは、[RFC2460]で定義されている用語と[RFC3315]で定義されているDHCPv6仕様を使用しています。
The Address Selection option provides the address selection policy table and some other configuration parameters.
アドレス選択オプションは、アドレス選択ポリシーテーブルと他のいくつかの構成パラメーターを提供します。
An Address Selection option contains zero or more policy table options. Multiple policy table options in an Address Selection option constitute a single policy table. When an Address Selection option does not contain a policy table option, it may be used to just convey the A and P flags for Automatic Row Additions and Privacy Preference, respectively.
アドレス選択オプションには、0個以上のポリシーテーブルオプションが含まれています。アドレス選択オプションの複数のポリシーテーブルオプションは、1つのポリシーテーブルを構成します。アドレス選択オプションにポリシーテーブルオプションが含まれていない場合、それを使用して、自動行追加とプライバシー設定のそれぞれのAフラグとPフラグを伝えることができます。
The format of the Address Selection option is given below.
アドレス選択オプションのフォーマットを以下に示します。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| OPTION_ADDRSEL | option-len |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Reserved |A|P| |
+-+-+-+-+-+-+-+-+ POLICY TABLE OPTIONS |
| (variable length) |
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Figure 1: Address Selection Option Format
図1:アドレス選択オプションの形式
option-code: OPTION_ADDRSEL (84).
オプションコード:OPTION_ADDRSEL(84)。
option-len: The total length of the Reserved field, A and P flags, and POLICY TABLE OPTIONS in octets.
option-len:予約フィールド、AおよびPフラグ、およびオクテット単位のPOLICY TABLE OPTIONSの全長。
Reserved: Reserved field. The server MUST set this value to 0, and the client MUST ignore its content.
予約済み:予約済みフィールド。サーバーはこの値を0に設定する必要があり、クライアントはその内容を無視する必要があります。
A: Automatic Row Addition flag. This flag toggles the Automatic Row Addition flag at client hosts, which is described in Section 2.1 of [RFC6724]. If this flag is set to 1, it does not change client host behavior; that is, a client MAY automatically add additional site-specific rows to the policy table. If set to 0, the Automatic Row Addition flag is disabled, and a client SHOULD NOT automatically add rows to the policy table. If the option contains a POLICY TABLE option, this flag is meaningless, and automatic row addition SHOULD NOT be performed against the distributed policy table. This flag SHOULD be set to 0 only when the Automatic Row Addition at client hosts is harmful for site-specific reasons.
A:自動行追加フラグ。このフラグは、クライアントホストでの自動行追加フラグを切り替えます。これは、[RFC6724]のセクション2.1で説明されています。このフラグが1に設定されている場合、クライアントホストの動作は変更されません。つまり、クライアントは自動的に追加のサイト固有の行をポリシーテーブルに追加できます(MAY)。 0に設定すると、自動行追加フラグが無効になり、クライアントはポリシーテーブルに行を自動的に追加してはいけません(SHOULD NOT)。オプションにPOLICY TABLEオプションが含まれている場合、このフラグは意味がなく、分散ポリシーテーブルに対して自動行追加を実行してはなりません(SHOULD NOT)。このフラグは、クライアントホストでの自動行追加がサイト固有の理由で有害な場合にのみ0に設定する必要があります。
P: Privacy Preference flag. This flag toggles the Privacy Preference flag on client hosts, which is described in Section 5 of [RFC6724]. If this flag is set to 1, it does not change client host behavior; that is, a client will prefer temporary addresses [RFC4941]. If set to 0, the Privacy Preference flag is disabled, and a client will prefer public addresses. This flag SHOULD be set to 0 only when the temporary addresses should not be preferred for site-specific reasons.
P:プライバシー設定フラグ。このフラグは、[RFC6724]のセクション5で説明されている、クライアントホストのプライバシー設定フラグを切り替えます。このフラグが1に設定されている場合、クライアントホストの動作は変更されません。つまり、クライアントは一時アドレスを好むでしょう[RFC4941]。 0に設定すると、プライバシー設定フラグが無効になり、クライアントはパブリックアドレスを優先します。このフラグは、サイト固有の理由で一時アドレスを優先しない場合にのみ0に設定する必要があります(SHOULD)。
POLICY TABLE OPTIONS: Zero or more Address Selection Policy Table options, as described below. This option corresponds to a row in the policy table defined in Section 2.1 of [RFC6724].
ポリシーテーブルオプション:以下で説明するように、0個以上のアドレス選択ポリシーテーブルオプション。このオプションは、[RFC6724]のセクション2.1で定義されているポリシーテーブルの行に対応しています。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| OPTION_ADDRSEL_TABLE | option-len |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| label | precedence | prefix-len | |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |
| |
| prefix (variable length) |
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Figure 2: Address Selection Policy Table Option Format
図2:アドレス選択ポリシーテーブルオプションの形式
option-code: OPTION_ADDRSEL_TABLE (85).
オプションコード:OPTION_ADDRSEL_TABLE(85)。
option-len: The total length of the label field, precedence field, prefix-len field, and prefix field.
option-len:ラベルフィールド、優先フィールド、prefix-lenフィールド、およびprefixフィールドの全長。
label: An 8-bit unsigned integer; this value is for correlation of source address prefixes and destination address prefixes. This field is used to deliver a label value in the [RFC6724] policy table.
label:8ビットの符号なし整数。この値は、送信元アドレスプレフィックスと宛先アドレスプレフィックスの相関用です。このフィールドは、[RFC6724]ポリシーテーブルでラベル値を配信するために使用されます。
precedence: An 8-bit unsigned integer; this value is used for sorting destination addresses. This field is used to deliver a precedence value in the [RFC6724] policy table.
優先順位:8ビットの符号なし整数。この値は、宛先アドレスのソートに使用されます。このフィールドは、[RFC6724]ポリシーテーブルで優先値を提供するために使用されます。
prefix-len: An 8-bit unsigned integer; the number of leading bits in the prefix that are valid. The value ranges from 0 to 128. If an option with a prefix length greater than 128 is included, the whole Address Selection option MUST be ignored.
prefix-len:8ビットの符号なし整数。有効な接頭辞の先行ビットの数。値の範囲は0〜128です。128を超えるプレフィックス長のオプションが含まれる場合、アドレス選択オプション全体を無視する必要があります。
prefix: A variable-length field containing an IP address or the prefix of an IP address. An IPv4-mapped address [RFC4291] must be used to represent an IPv4 address as a prefix value.
prefix:IPアドレスまたはIPアドレスのプレフィックスを含む可変長フィールド。 IPv4マップアドレス[RFC4291]を使用して、IPv4アドレスをプレフィックス値として表す必要があります。
This field is padded with zeros up to the nearest octet boundary when prefix-len is not divisible by 8. This can be expressed using the following equation: (prefix-len + 7)/8
このフィールドは、prefix-lenが8で割り切れない場合、最も近いオクテット境界までゼロが埋め込まれます。これは、次の式を使用して表すことができます:(prefix-len + 7)/ 8
So, the length of this field should be between 0 and 16 bytes.
したがって、このフィールドの長さは0〜16バイトでなければなりません。
For example, the prefix 2001:db8::/60 would be encoded with a prefix-len of 60; the prefix would be 8 octets and would contain octets 20 01 0d b8 00 00 00 00.
たとえば、プレフィックス2001:db8 :: / 60は、prefix-lenが60でエンコードされます。プレフィックスは8オクテットで、オクテット20 01 0d b8 00 00 00 00が含まれます。
This section describes how to process a received Address Selection option at the DHCPv6 client.
このセクションでは、DHCPv6クライアントで受信したアドレス選択オプションを処理する方法について説明します。
This option's concept is to serve as a hint for a node about how to behave in the network. Ultimately, while the node's administrator can control how to deal with the received policy information, the implementation SHOULD follow the method described below uniformly to ease troubleshooting and to reduce operational costs.
このオプションの概念は、ネットワークでの動作方法に関するノードのヒントとして機能することです。最終的に、ノードの管理者は受信したポリシー情報の処理方法を制御できますが、実装は、トラブルシューティングを容易にし、運用コストを削減するために、以下に説明する方法に従う必要があります。
[RFC6724] defines two flags (A and P) and the default policy table. Also, users are usually able to configure the flags and the policy table to satisfy their own requirements.
[RFC6724]は、2つのフラグ(AとP)とデフォルトのポリシーテーブルを定義しています。また、ユーザーは通常、フラグとポリシーテーブルを構成して、独自の要件を満たすことができます。
The client implementation SHOULD provide the following choices to the user.
クライアント実装は、ユーザーに次の選択肢を提供する必要があります(SHOULD)。
(a) replace the existing flags and active policy table with the DHCPv6 distributed flags and policy table.
(a)既存のフラグとアクティブなポリシーテーブルをDHCPv6分散フラグとポリシーテーブルに置き換えます。
(b) preserve the existing flags and active policy table, whether this be the default policy table or the user configured policy.
(b)既存のフラグとアクティブなポリシーテーブルを保持します。これがデフォルトのポリシーテーブルであるか、ユーザーが構成したポリシーであるかは関係ありません。
Choice (a) SHOULD be the default, i.e., that the policy table is not explicitly configured by the user.
選択肢(a)はデフォルトである必要があります。つまり、ポリシーテーブルはユーザーによって明示的に構成されません。
When the information from the DHCP server goes stale, the flags and the policy table received from the DHCP server SHOULD be deprecated. The local configuration SHOULD be restored when the DHCP-supplied configuration has been deprecated. In order to implement this, a host can retain the local configuration even after the flags and the policy table is updated by the distributed flags and policy table.
DHCPサーバーからの情報が古くなると、DHCPサーバーから受信したフラグとポリシーテーブルは非推奨になります(SHOULD)。 DHCP提供の構成が廃止された場合、ローカル構成を復元する必要があります(SHOULD)。これを実装するために、フラグとポリシーテーブルが分散されたフラグとポリシーテーブルによって更新された後でも、ホストはローカル構成を保持できます。
The received information can be considered stale in several cases, e.g., when the interface goes down, the DHCP server does not respond for a certain amount of time, or the Information Refresh Time has expired.
受信した情報は、インターフェースがダウンした場合、DHCPサーバーが一定時間応答しない場合、または情報更新時間の期限が切れた場合など、いくつかの場合に古くなっていると見なすことができます。
The policy table, and other parameters specified in this document, are node-global information by their nature. One reason being that the outbound interface is usually chosen after destination address selection. So a host cannot make use of multiple address selection policies even if they are stored per interface.
このドキュメントで指定されているポリシーテーブルとその他のパラメータは、その性質上、ノード全体の情報です。 1つの理由は、送信インターフェイスは通常、宛先アドレスの選択後に選択されるためです。したがって、ホストが複数のアドレス選択ポリシーをインターフェイスごとに保存されている場合でも、それらを利用することはできません。
The policy table is defined as a whole, so the slightest addition/ deletion from the policy table brings a change in the semantics of the policy.
ポリシーテーブルは全体として定義されるため、ポリシーテーブルへのわずかな追加/削除により、ポリシーのセマンティクスが変更されます。
It also should be noted that the absence of a DHCP-distributed policy from a certain network interface should not infer that the network administrator does not care about address selection policy at all, because it may mean there is a preference to use the default address selection policy. So, it should be safe to assume that the default address selection policy should be used where no overriding policy is provided.
また、特定のネットワークインターフェイスからのDHCP分散ポリシーがない場合でも、ネットワーク管理者がアドレス選択ポリシーをまったく気にしないとは思わないことにも注意してください。これは、デフォルトのアドレス選択を使用する設定があるためです。ポリシー。したがって、オーバーライドポリシーが提供されていない場合は、デフォルトのアドレス選択ポリシーを使用する必要があると想定しても安全です。
Under the above assumptions, we can specify how to handle received policy as follows.
上記の仮定の下で、受け取ったポリシーの処理方法を次のように指定できます。
In the absence of distributed policy for a certain network interface, the default address selection policy SHOULD be used. A node should use Address Selection options by default in any of the following two cases:
特定のネットワークインターフェイスに分散ポリシーがない場合は、デフォルトのアドレス選択ポリシーを使用する必要があります(SHOULD)。次の2つの場合のいずれかで、ノードはデフォルトでアドレス選択オプションを使用する必要があります。
1: A single-homed host SHOULD use default address selection options, where the host belongs exclusively to one administrative network domain, usually through one active network interface.
1:シングルホームホストは、デフォルトのアドレス選択オプションを使用する必要があります(SHOULD)。ホストは、通常1つのアクティブなネットワークインターフェイスを通じて、1つの管理ネットワークドメインに排他的に属しています。
2: Hosts that use advanced heuristics to deal with multiple received policies that are defined outside the scope of this document SHOULD use Address Selection options.
2:高度なヒューリスティックを使用して、このドキュメントの範囲外で定義された複数の受信ポリシーを処理するホストは、アドレス選択オプションを使用する必要があります。
Implementations MAY provide configuration options to enable this protocol on a per-interface basis.
実装は、このプロトコルをインターフェイスごとに有効にする構成オプションを提供する場合があります。
Implementations MAY store distributed address selection policies per interface. They can be used effectively on implementations that adopt per-application interface selection.
実装は、インターフェイスごとに分散アドレス選択ポリシーを格納できます(MAY)。これらは、アプリケーションごとのインターフェイス選択を採用する実装で効果的に使用できます。
o The value 'label' is passed as an unsigned integer, but there is no special meaning for the value; that is, whether it is a large or small number. It is used to select a preferred source address prefix corresponding to a destination address prefix by matching the same label value within the DHCP message. DHCPv6 clients SHOULD convert this label to a representation appropriate for the local implementation (e.g., string).
o 値 'label'は符号なし整数として渡されますが、値に特別な意味はありません。つまり、それが大きいか小さいかに関係なく。 DHCPメッセージ内の同じラベル値を照合することにより、宛先アドレスプレフィックスに対応する優先送信元アドレスプレフィックスを選択するために使用されます。 DHCPv6クライアントは、このラベルをローカル実装に適した表現(文字列など)に変換する必要があります(SHOULD)。
o The maximum number of address selection rules that may be conveyed in one DHCPv6 message depends on the prefix length of each rule and the maximum DHCPv6 message size defined in [RFC3315]. It is possible to carry over 3,000 rules in one DHCPv6 message (maximum UDP message size). However, it should not be expected that DHCP clients, servers, and relay agents can handle UDP fragmentation. Network administrators SHOULD consider local limitations to the maximum DHCPv6 message size that can be reliably transported via their specific local infrastructure to end nodes; therefore, they SHOULD consider the number of options, the total size of the options, and the resulting DHCPv6 message size when defining their policy table.
o 1つのDHCPv6メッセージで伝達できるアドレス選択ルールの最大数は、各ルールのプレフィックス長と[RFC3315]で定義されている最大DHCPv6メッセージサイズによって異なります。 1つのDHCPv6メッセージで3,000を超えるルールを実行することが可能です(最大UDPメッセージサイズ)。ただし、DHCPクライアント、サーバー、およびリレーエージェントがUDPフラグメンテーションを処理できることは期待できません。ネットワーク管理者は、特定のローカルインフラストラクチャを介してエンドノードに確実に転送できる最大DHCPv6メッセージサイズのローカル制限を考慮する必要があります。したがって、ポリシーテーブルを定義するときに、オプションの数、オプションの合計サイズ、および結果のDHCPv6メッセージサイズを考慮する必要があります。
A rogue DHCPv6 server could issue bogus address selection policies to a client. This might lead to incorrect address selection by the client, and the affected packets might be blocked at an outgoing ISP because of ingress filtering, incur additional network charges, or be misdirected to an attacker's machine. Alternatively, an IPv6 transition mechanism might be preferred over native IPv6, even if it is available. To guard against such attacks, a legitimate DHCPv6 server should communicate through a secure, trusted channel, such as a channel protected by IPsec, Secure Neighbor Discovery (SEND), and DHCP authentication, as described in Section 21 of [RFC3315]. A commonly used alternative mitigation is to employ DHCP snooping at Layer 2.
不正なDHCPv6サーバーがクライアントに偽のアドレス選択ポリシーを発行する可能性があります。これは、クライアントによる誤ったアドレス選択につながる可能性があり、影響を受けるパケットは、入力フィルタリングのために発信ISPでブロックされるか、追加のネットワーク料金が発生するか、攻撃者のマシンに誤って転送される可能性があります。または、IPv6移行メカニズムが利用可能であっても、ネイティブIPv6よりも優先される場合があります。このような攻撃を防ぐには、[RFC3315]のセクション21で説明されているように、正当なDHCPv6サーバーが、IPsec、Secure Neighbor Discovery(SEND)、DHCP認証で保護されたチャネルなどの安全で信頼できるチャネルを介して通信する必要があります。一般的に使用される代替の緩和策は、レイヤー2でDHCPスヌーピングを採用することです。
Another threat surrounds the potential privacy concern as described in the security considerations section of [RFC6724], whereby an attacker can send packets with different source addresses to a destination to solicit different source addresses in the responses from that destination. This issue will not be modified by the introduction of this option, regardless of whether or not the host is multihomed.
[RFC6724]のセキュリティに関する考慮事項のセクションで説明されているように、潜在的なプライバシーの懸念を取り巻く別の脅威により、攻撃者は異なる送信元アドレスを持つパケットを宛先に送信し、その宛先からの応答で異なる送信元アドレスを要求することができます。この問題は、ホストがマルチホームであるかどうかに関係なく、このオプションの導入によって変更されることはありません。
IANA has assigned option codes to OPTION_ADDRSEL (84) and OPTION_ADDRSEL_TABLE (85) from the "DHCP Option Codes" registry (http://www.iana.org/assignments/dhcpv6-parameters/).
IANAは、「DHCPオプションコード」レジストリ(http://www.iana.org/assignments/dhcpv6-parameters/)からOPTION_ADDRSEL(84)およびOPTION_ADDRSEL_TABLE(85)にオプションコードを割り当てました。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、1997年3月。
[RFC3315] Droms, R., Bound, J., Volz, B., Lemon, T., Perkins, C., and M. Carney, "Dynamic Host Configuration Protocol for IPv6 (DHCPv6)", RFC 3315, July 2003.
[RFC3315] Droms、R.、Bound、J.、Volz、B.、Lemon、T.、Perkins、C.、and M. Carney、 "Dynamic Host Configuration Protocol for IPv6(DHCPv6)"、RFC 3315、July 2003 。
[RFC6724] Thaler, D., Draves, R., Matsumoto, A., and T. Chown, "Default Address Selection for Internet Protocol Version 6 (IPv6)", RFC 6724, September 2012.
[RFC6724] Thaler、D.、Draves、R.、Matsumoto、A。、およびT. Chown、「インターネットプロトコルバージョン6(IPv6)のデフォルトアドレス選択」、RFC 6724、2012年9月。
[ADDR-SEL] Chown, T., Ed., and A. Matsumoto, Ed., "Considerations for IPv6 Address Selection Policy Changes", Work in Progress, April 2013.
[ADDR-SEL] Chown、T.、Ed。およびA. Matsumoto、Ed。、「Considerations for IPv6 Address Selection Policy Changes」、Work in Progress、2013年4月。
[RFC2460] Deering, S. and R. Hinden, "Internet Protocol, Version 6 (IPv6) Specification", RFC 2460, December 1998.
[RFC2460] Deering、S。およびR. Hinden、「インターネットプロトコル、バージョン6(IPv6)仕様」、RFC 2460、1998年12月。
[RFC3484] Draves, R., "Default Address Selection for Internet Protocol version 6 (IPv6)", RFC 3484, February 2003.
[RFC3484] Draves、R。、「インターネットプロトコルバージョン6(IPv6)のデフォルトアドレス選択」、RFC 3484、2003年2月。
[RFC4291] Hinden, R. and S. Deering, "IP Version 6 Addressing Architecture", RFC 4291, February 2006.
[RFC4291] Hinden、R。およびS. Deering、「IPバージョン6アドレッシングアーキテクチャ」、RFC 4291、2006年2月。
[RFC4941] Narten, T., Draves, R., and S. Krishnan, "Privacy Extensions for Stateless Address Autoconfiguration in IPv6", RFC 4941, September 2007.
[RFC4941] Narten、T.、Draves、R。、およびS. Krishnan、「IPv6におけるステートレスアドレス自動構成のプライバシー拡張」、RFC 4941、2007年9月。
[RFC5220] Matsumoto, A., Fujisaki, T., Hiromi, R., and K. Kanayama, "Problem Statement for Default Address Selection in Multi-Prefix Environments: Operational Issues of RFC 3484 Default Rules", RFC 5220, July 2008.
[RFC5220]マツモトA.、藤崎T.、ヒロミR.、およびカナヤマK.「マルチプレフィックス環境におけるデフォルトアドレス選択の問題ステートメント:RFC 3484デフォルトルールの運用上の問題」、RFC 5220、2008年7月。
[RFC5221] Matsumoto, A., Fujisaki, T., Hiromi, R., and K. Kanayama, "Requirements for Address Selection Mechanisms", RFC 5221, July 2008.
[RFC5221]松本明朗、藤崎武治、広見裕治、および金山和也、「アドレス選択メカニズムの要件」、RFC 5221、2008年7月。
The authors would like to thank to Dave Thaler, Pekka Savola, Remi Denis-Courmont, Francois-Xavier Le Bail, Ole Troan, Bob Hinden, Dmitry Anipko, Ray Hunter, Rui Paulo, Brian E. Carpenter, Tom Petch, and the members of 6man's address selection design team for their invaluable contributions to this document.
著者は、Dave Thaler、Pekka Savola、Remi Denis-Courmont、Francois-Xavier Le Bail、Ole Troan、Bob Hinden、Dmitry Anipko、Ray Hunter、Rui Paulo、Brian E. Carpenter、Tom Petch、およびメンバーに感謝します。 6manのアドレス選択設計チームのこのドキュメントへの貴重な貢献に感謝します。
[RFC5220] gives several cases where address selection problems happen. This section contains some examples for solving those cases by using the DHCP option defined in this text to update the hosts' policy table in a network, accordingly. There is also some discussion of example policy tables in Sections 10.3 to 10.7 of RFC 6724.
[RFC5220]は、アドレス選択の問題が発生するいくつかのケースを示しています。このセクションでは、このテキストで定義されているDHCPオプションを使用して、ネットワークのホストのポリシーテーブルを適宜更新することにより、これらのケースを解決するためのいくつかの例を示します。 RFC 6724のセクション10.3から10.7にも、ポリシーテーブルの例に関するいくつかの議論があります。
In the case described in Section 2.1.2 of [RFC5220], the following policy table should be distributed when the Router performs static routing and directs the default route to ISP1 as per Figure 2. By putting the same label value to all IPv6 addresses (::/0) and the local subnet (2001:db8:1000:1::/64), a host picks a source address in this subnet to send a packet via the default route.
[RFC5220]のセクション2.1.2で説明されているケースでは、図2のようにルーターが静的ルーティングを実行し、デフォルトルートをISP1に転送するときに、次のポリシーテーブルを配布する必要があります。 :: / 0)とローカルサブネット(2001:db8:1000:1 :: / 64)の場合、ホストはこのサブネットの送信元アドレスを選択して、デフォルトルート経由でパケットを送信します。
Prefix Precedence Label
::1/128 50 0
::/0 40 1
2001:db8:1000:1::/64 45 1
2001:db8:8000:1::/64 45 14
::ffff:0:0/96 35 4
2002::/16 30 2
2001::/32 5 5
fc00::/7 3 13
::/96 1 3
fec0::/10 1 11
3ffe::/16 1 12
In the case described in Section 2.1.3 of [RFC5220], the following policy table should be distributed. By splitting the closed network prefix (2001:db8:8000::/36) from all IPv6 addresses (::/0) and giving different labels, the closed network prefix will only be used when packets are destined for the closed network.
[RFC5220]のセクション2.1.3で説明されているケースでは、次のポリシーテーブルを配布する必要があります。すべてのIPv6アドレス(:: / 0)からクローズドネットワークプレフィックス(2001:db8:8000 :: / 36)を分割し、異なるラベルを付けることにより、クローズドネットワークプレフィックスは、パケットがクローズドネットワーク宛ての場合にのみ使用されます。
Prefix Precedence Label
::1/128 50 0
::/0 40 1
2001:db8:8000::/36 45 14
::ffff:0:0/96 35 4
2002::/16 30 2
2001::/32 5 5
fc00::/7 3 13
::/96 1 3
fec0::/10 1 11
3ffe::/16 1 12
In the case described in Section 2.2.1 of [RFC5220], the following policy table should be distributed to prioritize IPv6. This case is also described in [RFC6724].
[RFC5220]のセクション2.2.1で説明されているケースでは、次のポリシーテーブルを配布してIPv6を優先する必要があります。このケースは[RFC6724]でも説明されています。
Prefix Precedence Label
::1/128 50 0
::/0 40 1
::ffff:0:0/96 100 4
2002::/16 30 2
2001::/32 5 5
fc00::/7 3 13
::/96 1 3
fec0::/10 1 11
3ffe::/16 1 12
In the case described in Section 2.2.3 of [RFC5220], the following policy table should be distributed, or the Automatic Row Addition flag should be set to 1. By splitting the Unique Local Address (ULA) in this site (fc12:3456:789a::/48) from all IPv6 addresses (::/0) and giving it higher precedence, the ULA will be used to connect to servers in the same site.
[RFC5220]のセクション2.2.3で説明されているケースでは、次のポリシーテーブルを配布するか、自動行追加フラグを1に設定する必要があります。このサイトで一意のローカルアドレス(ULA)を分割する(fc12:3456) :789a :: / 48)すべてのIPv6アドレス(:: / 0)から取得し、優先順位を高くすると、ULAは同じサイト内のサーバーへの接続に使用されます。
Prefix Precedence Label
::1/128 50 0
fc12:3456:789a::/48 45 14
::/0 40 1
::ffff:0:0/96 35 4
2002::/16 30 2
2001::/32 5 5
fc00::/7 3 13
::/96 1 3
fec0::/10 1 11
3ffe::/16 1 12
Authors' Addresses
著者のアドレス
Arifumi Matsumoto NTT NT Lab 3-9-11 Midori-Cho Musashino-shi, Tokyo 180-8585 Japan
ありふみ まつもと んっt んT ぁb 3ー9ー11 みどりーちょ むさしのーし、 ときょ 180ー8585 じゃぱん
Phone: +81 422 59 3334
EMail: arifumi@nttv6.net
Tomohiro Fujisaki NTT NT Lab 3-9-11 Midori-Cho Musashino-shi, Tokyo 180-8585 Japan
ともひろ ふじさき んっt んT ぁb 3ー9ー11 みどりーちょ むさしのーし、 ときょ 180ー8585 じゃぱん
Phone: +81 422 59 7351
EMail: fujisaki@nttv6.net
Tim Chown University of Southampton Southampton, Hampshire SO17 1BJ United Kingdom
Tim Chownサウサンプトン大学サウサンプトン、ハンプシャーSO17 1BJイギリス
EMail: tjc@ecs.soton.ac.uk