[要約] RFC 7157は、IPv6マルチホーミングにおいてネットワークアドレス変換を使用しない方法を提案している。その目的は、IPv6ネットワークでのマルチホーミングの実装を簡素化し、ネットワークのパフォーマンスとセキュリティを向上させることである。

Internet Engineering Task Force (IETF)                     O. Troan, Ed.
Request for Comments: 7157                                         Cisco
Category: Informational                                         D. Miles
ISSN: 2070-1721                                             Google Fiber
                                                           S. Matsushima
                                                        Softbank Telecom
                                                              T. Okimoto
                                                                NTT West
                                                                 D. Wing
                                                                   Cisco
                                                              March 2014
        

IPv6 Multihoming without Network Address Translation

ネットワークアドレス変換なしのIPv6マルチホーミング

Abstract

概要

Network Address and Port Translation (NAPT) works well for conserving global addresses and addressing multihoming requirements because an IPv4 NAPT router implements three functions: source address selection, next-hop resolution, and (optionally) DNS resolution. For IPv6 hosts, one approach could be the use of IPv6-to-IPv6 Network Prefix Translation (NPTv6). However, NAT and NPTv6 should be avoided, if at all possible, to permit transparent end-to-end connectivity. In this document, we analyze the use cases of multihoming. We also describe functional requirements and possible solutions for multihoming without the use of NAT in IPv6 for hosts and small IPv6 networks that would otherwise be unable to meet minimum IPv6-allocation criteria. We conclude that DHCPv6-based solutions are suitable to solve the multihoming issues described in this document, but NPTv6 may be required as an intermediate solution.

IPv4 NAPTルーターは、送信元アドレスの選択、ネクストホップの解決、および(オプションで)DNSの解決という3つの機能を実装しているため、ネットワークアドレスとポート変換(NAPT)は、グローバルアドレスの節約とマルチホーミング要件のアドレッシングに適しています。 IPv6ホストの場合、1つのアプローチはIPv6-to-IPv6ネットワークプレフィックス変換(NPTv6)の使用です。ただし、透過的なエンドツーエンド接続を可能にするために、NATおよびNPTv6は可能な限り回避する必要があります。このドキュメントでは、マルチホーミングのユースケースを分析します。また、ホストのIPv6でNATを使用しない場合のマルチホーミングの機能要件と可能な解決策、および最小のIPv6割り当て基準を満たせない小さなIPv6ネットワークについても説明します。 DHCPv6ベースのソリューションは、このドキュメントで説明されているマルチホーミングの問題を解決するのに適していると結論付けますが、中間ソリューションとしてNPTv6が必要になる場合があります。

Status of This Memo

本文書の状態

This document is not an Internet Standards Track specification; it is published for informational purposes.

このドキュメントはInternet Standards Trackの仕様ではありません。情報提供を目的として公開されています。

This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.

このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。 IESGによって承認されたすべてのドキュメントが、あらゆるレベルのインターネット標準の候補になるわけではありません。 RFC 5741のセクション2をご覧ください。

Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc7157.

このドキュメントの現在のステータス、エラッタ、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc7157で入手できます。

Copyright Notice

著作権表示

Copyright (c) 2014 IETF Trust and the persons identified as the document authors. All rights reserved.

Copyright(c)2014 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.

この文書は、BCP 78およびこの文書の発行日に有効なIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象となります。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。

Table of Contents

目次

   1.  Introduction  . . . . . . . . . . . . . . . . . . . . . . . .   3
   2.  Terminology . . . . . . . . . . . . . . . . . . . . . . . . .   5
   3.  IPv6 Multihomed Network Scenarios . . . . . . . . . . . . . .   6
     3.1.  Classification of Network Scenarios for Multihomed Host .   6
     3.2.  Multihomed Network Environment  . . . . . . . . . . . . .   8
     3.3.  Problem Statement . . . . . . . . . . . . . . . . . . . .   9
   4.  Requirements  . . . . . . . . . . . . . . . . . . . . . . . .  11
     4.1.  End-to-End Transparency . . . . . . . . . . . . . . . . .  11
     4.2.  Scalability . . . . . . . . . . . . . . . . . . . . . . .  11
   5.  Problem Analysis  . . . . . . . . . . . . . . . . . . . . . .  11
     5.1.  Source Address Selection  . . . . . . . . . . . . . . . .  11
     5.2.  Next Hop Selection  . . . . . . . . . . . . . . . . . . .  12
     5.3.  DNS Recursive Name Server Selection . . . . . . . . . . .  13
   6.  Implementation Approach . . . . . . . . . . . . . . . . . . .  13
     6.1.  Source Address Selection  . . . . . . . . . . . . . . . .  14
     6.2.  Next Hop Selection  . . . . . . . . . . . . . . . . . . .  14
     6.3.  DNS Recursive Name Server Selection . . . . . . . . . . .  15
     6.4.  Other Algorithms Available in RFCs  . . . . . . . . . . .  16
   7.  Considerations for MHMP Deployment  . . . . . . . . . . . . .  16
     7.1.  Non-MHMP Host Consideration . . . . . . . . . . . . . . .  16
     7.2.  Coexistence Considerations  . . . . . . . . . . . . . . .  17
     7.3.  Policy Collision Consideration  . . . . . . . . . . . . .  17
   8.  Security Considerations . . . . . . . . . . . . . . . . . . .  18
   9.  Contributors  . . . . . . . . . . . . . . . . . . . . . . . .  19
   10. References  . . . . . . . . . . . . . . . . . . . . . . . . .  20
     10.1.  Normative References . . . . . . . . . . . . . . . . . .  20
     10.2.  Informative References . . . . . . . . . . . . . . . . .  20
        
1. Introduction
1. はじめに

In this document, we analyze the use cases of multihoming, describe functional requirements, and describe the problems with IPv6 multihoming. There are two ways to avoid the problems of IPv6 multihoming:

このドキュメントでは、マルチホーミングの使用例を分析し、機能要件を説明し、IPv6マルチホーミングの問題について説明します。 IPv6マルチホーミングの問題を回避するには、2つの方法があります。

1. using IPv6-to-IPv6 network prefix translation (NPTv6) [RFC6296], or;

1. IPv6-to-IPv6ネットワークプレフィックス変換(NPTv6)[RFC6296]を使用する、または;

2. refining IPv6 specifications to resolve the problems with IPv6 multihoming.

2. IPv6マルチホーミングの問題を解決するためにIPv6仕様を改良する。

This document concerns itself with the latter and explores the solution space. We hope this will encourage the development of solutions to the problem so that, in the long run, NPTv6 can be avoided.

このドキュメントは後者に関係し、ソリューションスペースについて説明します。これが問題の解決策の開発を促進し、長期的にはNPTv6を回避できることを願っています。

IPv6 provides enough globally unique addresses to permit every conceivable host on the Internet to be uniquely addressed without the requirement for Network Address Port Translation (NAPT) [RFC3022], offering a renaissance in end-to-end transparent connectivity.

IPv6は十分にグローバルに一意のアドレスを提供し、インターネット上の考えられるすべてのホストがネットワークアドレスポート変換(NAPT)[RFC3022]を必要とせずに一意にアドレス指定できるようにし、エンドツーエンドの透過接続のルネッサンスを提供します。

Unfortunately, this may not be possible in every case, due to the possible necessity of NAT even in IPv6, because of multihoming. Though there are mechanisms to implement multihoming, such as BGP multihoming [RFC4116] at the network level and multihoming based on the Stream Control Transmission Protocol (SCTP) [RFC4960] in the transport layer, there is no mechanism in IPv6 that serves as a replacement for NAT-based multihoming in IPv4. In IPv4, for a host or a small network, NAT-based multihoming is easily deployable and is an already-deployed technique.

残念ながら、マルチホーミングのため、IPv6でもNATが必要になる可能性があるため、すべてのケースでこれが可能とは限りません。ネットワークレベルでのBGPマルチホーミング[RFC4116]やトランスポート層のストリーム制御伝送プロトコル(SCTP)[RFC4960]に基づくマルチホーミングなど、マルチホーミングを実装するメカニズムはありますが、IPv6には代替として機能するメカニズムがありませんIPv4でのNATベースのマルチホーミング用。 IPv4では、ホストまたは小規模ネットワークの場合、NATベースのマルチホーミングは簡単に展開でき、すでに展開されている手法です。

Whenever a host or small network (that does not meet minimum IPv6 allocation criteria) is connected to multiple upstream networks, an IPv6 address is assigned by each respective service provider resulting in hosts with multiple global scope IPv6 addresses with different prefixes. As each service provider is allocated a different address space from its Internet Registry, it, in turn, assigns a different address space to the end-user network or host. For example, a remote access user's host or router may use a VPN to simultaneously connect to a remote network and retain a default route to the Internet for other purposes.

ホストまたは小規模なネットワーク(最小IPv6割り当て基準を満たさない)が複数のアップストリームネットワークに接続されている場合は常に、IPv6アドレスがそれぞれのサービスプロバイダーによって割り当てられ、その結果、ホストには複数のグローバルスコープIPv6アドレスがあり、プレフィックスが異なります。各サービスプロバイダーには、インターネットレジストリから異なるアドレススペースが割り当てられるため、エンドユーザーネットワークまたはホストに異なるアドレススペースを割り当てます。たとえば、リモートアクセスユーザーのホストまたはルーターは、VPNを使用してリモートネットワークに同時に接続し、他の目的のためにインターネットへのデフォルトルートを保持することができます。

In IPv4, a common solution to the multihoming problem is to employ NAPT on a border router and use private address space for individual host addressing. The use of NAPT allows hosts to have exactly one IP address visible on the public network, and the combination of NAPT with provider-specific outside addresses (one for each uplink) and destination-based routing insulates a host from the impacts of multiple upstream networks. The border router may also implement a DNS cache or DNS policy to resolve address queries from hosts.

IPv4では、マルチホーミング問題の一般的な解決策は、境界ルーターにNAPTを採用し、個別のホストアドレス指定にプライベートアドレス空間を使用することです。 NAPTを使用すると、ホストはパブリックネットワーク上でIPアドレスを1つだけ表示できるようになり、NAPTとプロバイダー固有の外部アドレス(アップリンクごとに1つ)と宛先ベースのルーティングの組み合わせにより、複数のアップストリームネットワークの影響からホストが隔離されます。 。境界ルーターは、ホストからのアドレスクエリを解決するためにDNSキャッシュまたはDNSポリシーを実装することもできます。

It is our goal to avoid the IPv6 equivalent of NAT. So, the goals for IPv6 multihoming defined in [RFC3582] do not match the goals of this document. Also, regardless of what the NPTv6 specification is, we are trying to avoid any form of network address translation technique that may not be visible to either of the end hosts. To reach this goal, several mechanisms are needed for end-user hosts to have multiple address assignments and resolve issues such as which address to use for sourcing traffic to which destination:

NATに相当するIPv6を回避することが私たちの目標です。したがって、[RFC3582]で定義されているIPv6マルチホーミングの目標は、このドキュメントの目標と一致しません。また、NPTv6仕様が何であるかに関係なく、どちらのエンドホストにも認識されない可能性のある形式のネットワークアドレス変換技術を回避しようとしています。この目標を達成するには、エンドユーザーホストが複数のアドレスを割り当て、どの宛先にトラフィックを送信するためにどのアドレスを使用するかなどの問題を解決するためのいくつかのメカニズムが必要です。

o If multiple routers exist on a single link, the host must select the appropriate next hop for each connected network. Each router is in turn connected to a different service provider network, which provides independent address assignment. Routing protocols that would normally be employed for router-to-router network advertisement seem inappropriate for use by individual hosts.

o 1つのリンク上に複数のルーターが存在する場合、ホストは、接続されているネットワークごとに適切なネクストホップを選択する必要があります。各ルーターは、個別のアドレス割り当てを提供する異なるサービスプロバイダーネットワークに接続されます。ルーター間ネットワークアドバタイズに通常使用されるルーティングプロトコルは、個々のホストでの使用には不適切のようです。

o Source address selection becomes difficult whenever a host has more than one address of the same address scope. Current address selection criteria may result in hosts using an arbitrary or random address when sourcing upstream traffic. Unfortunately, for the host, the appropriate source address is a function of the upstream network for which the packet is bound. If an upstream service provider uses IP anti-spoofing or ingress filtering, it is conceivable that the packets that have an inappropriate source address for the upstream network would never reach their destination.

o ホストに同じアドレススコープのアドレスが複数ある場合、送信元アドレスの選択は困難になります。現在のアドレス選択基準では、ホストがアップストリームトラフィックを送信するときに、任意またはランダムなアドレスを使用する可能性があります。残念ながら、ホストにとって適切な送信元アドレスは、パケットがバインドされている上流ネットワークの機能です。アップストリームサービスプロバイダーがIPスプーフィング防止または入力フィルタリングを使用している場合、アップストリームネットワークに不適切な送信元アドレスを持つパケットが宛先に到達しない可能性があります。

o In a multihomed environment, different DNS scopes or partitions may exist in each independent upstream network. A DNS query sent to an arbitrary upstream DNS recursive name server may result in incorrect or poisoned responses.

o マルチホーム環境では、独立したアップストリームネットワークごとに異なるDNSスコープまたはパーティションが存在する場合があります。任意の上流のDNS再帰ネームサーバーに送信されたDNSクエリは、誤った応答または有害な応答を引き起こす可能性があります。

In short, while IPv6 facilitates hosts having more than one address in the same address scope, the application of this causes significant issues for a host from routing, source address selection, and DNS resolution perspectives. A possible consequence of assigning a host multiple identically scoped addresses is severely impaired IP connectivity.

つまり、IPv6は同じアドレススコープに複数のアドレスを持つホストを容易にしますが、これを適用すると、ルーティング、送信元アドレスの選択、DNS解決の観点から、ホストに重大な問題が発生します。ホストに同じスコープのアドレスを複数割り当てると、IP接続が著しく損なわれる可能性があります。

If a host connects to a network behind an IPv4 NAPT, the host has one private address in the local network. There is no confusion. The NAT becomes the gateway of the host and forwards the packet to an appropriate network when it is multihomed. It also operates a DNS cache server or DNS proxy, which receives all DNS inquires, and gives a correct answer to the host.

ホストがIPv4 NAPTの背後にあるネットワークに接続する場合、ホストはローカルネットワークに1つのプライベートアドレスを持っています。混乱はありません。 NATはホストのゲートウェイになり、マルチホームの場合、パケットを適切なネットワークに転送します。また、すべてのDNS問い合わせを受信し、ホストに正しい回答を提供するDNSキャッシュサーバーまたはDNSプロキシを操作します。

2. Terminology
2. 用語

NPTv6 IPv6-to-IPv6 Network Prefix Translation as described in [RFC6296].

[RFC6296]で説明されているNPTv6 IPv6-to-IPv6ネットワークプレフィックス変換。

NAPT Network Address Port Translation as described in [RFC3022]. In other contexts, NAPT is often pronounced "NAT" or written as "NAT".

[RFC3022]で説明されているNAPTネットワークアドレスポート変換。他のコンテキストでは、NAPTはしばしば「NAT」と発音されるか、「NAT」と表記されます。

MHMP Multihomed with multi-prefix. A host implementation that supports the mechanisms described in this document; namely, source address selection policy, next hop selection, and DNS selection policy.

MHMPマルチホームとマルチプレフィックス。このドキュメントで説明されているメカニズムをサポートするホスト実装。つまり、送信元アドレス選択ポリシー、ネクストホップ選択、およびDNS選択ポリシーです。

3. IPv6 Multihomed Network Scenarios
3. IPv6マルチホームネットワークのシナリオ

In this section, we classify three scenarios of the multihoming environment.

このセクションでは、マルチホーミング環境の3つのシナリオを分類します。

3.1. Classification of Network Scenarios for Multihomed Host
3.1. マルチホームホストのネットワークシナリオの分類

Scenario 1:

シナリオ1:

In this scenario, two or more routers are present on a single link shared with the host(s). Each router is, in turn, connected to a different service provider network, which provides independent address assignment and DNS recursive name servers. A host in this environment would be offered multiple prefixes and DNS recursive name servers advertised from the two different routers.

このシナリオでは、ホストと共有される単一のリンク上に2つ以上のルーターが存在します。次に、各ルーターは異なるサービスプロバイダーネットワークに接続され、独立したアドレス割り当てとDNS再帰ネームサーバーを提供します。この環境のホストには、2つの異なるルーターからアドバタイズされる複数のプレフィックスとDNS再帰ネームサーバーが提供されます。

                                +------+       ___________
                                |      |      /           \
                            +---| rtr1 |=====/   network   \
                            |   |      |     \      1      /
               +------+     |   +------+      \___________/
               |      |     |
               | hosts|-----+
               |      |     |
               +------+     |   +------+       ___________
                            |   |      |      /           \
                            +---| rtr2 |=====/   network   \
                                |      |     \      2      /
                                +------+      \___________/
        

Figure 1: Single Uplink, Multiple Next Hop, Multiple Prefix (Scenario 1)

図1:単一のアップリンク、複数のネクストホップ、複数のプレフィックス(シナリオ1)

Figure 1 illustrates the host connecting to rtr1 and rtr2 via a shared link. Networks 1 and 2 are reachable via rtr1 and rtr2, respectively. When the host sends packets to network 1, the next hop to network 1 is rtr1. Similarly, rtr2 is the next hop to network 2.

図1は、共有リンクを介してrtr1およびrtr2に接続するホストを示しています。ネットワーク1と2は、それぞれrtr1とrtr2を介して到達可能です。ホストがネットワーク1にパケットを送信する場合、ネットワーク1へのネクストホップはrtr1です。同様に、rtr2はネットワーク2へのネクストホップです。

Example: multiple broadband service providers (Internet, VoIP, IPTV, etc.) Scenario 2:

例:複数のブロードバンドサービスプロバイダー(インターネット、VoIP、IPTVなど)シナリオ2:

In this scenario, a single gateway router connects the host to two or more upstream service provider networks. This gateway router would receive prefix delegations and a different set of DNS recursive name servers from each independent service provider network. The gateway, in turn, advertises the provider prefixes to the host, and for DNS, may either act as a lightweight DNS cache server or advertise the complete set of service provider DNS recursive name servers to the hosts.

このシナリオでは、単一のゲートウェイルーターがホストを2つ以上のアップストリームサービスプロバイダーネットワークに接続します。このゲートウェイルーターは、各独立したサービスプロバイダーネットワークからプレフィックス委任と異なるセットのDNS再帰ネームサーバーを受信します。次に、ゲートウェイはプロバイダープレフィックスをホストにアドバタイズし、DNSの場合、軽量DNSキャッシュサーバーとして機能するか、サービスプロバイダーのDNS再帰ネームサーバーの完全なセットをホストにアドバタイズします。

                                     +------+       ___________
                       +-----+       |      |      /           \
                       |     |=======| rtr1 |=====/   network   \
                       |     |port1  |      |     \      1      /
          +------+     |     |       +------+      \___________/
          |      |     |     |
          | hosts|-----| GW  |
          |      |     | rtr |
          +------+     |     |       +------+       ___________
                       |     |port2  |      |      /           \
                       |     |-------| rtr2 |=====/   network   \
                       +-----+       |      |     \      2      /
                                     +------+      \___________/
        

Figure 2: Single Uplink, Single Next Hop, Multiple Prefix (Scenario 2)

図2:単一のアップリンク、単一の次のホップ、複数のプレフィックス(シナリオ2)

Figure 2 illustrates the host connected to GW rtr. GW rtr connects to networks 1 and 2 via port1 and 2, respectively. As the figure shows a logical topology of the scenario, port1 could be a pseudo-interface for tunneling, which connects to network 1 through network 2 and vice versa. When the host sends packets to either network 1 or 2, the next hop is GW rtr. When the packets are sent to network 1 (network 2), GW rtr forwards the packets to port1 (port2).

図2は、GW rtrに接続されたホストを示しています。 GW rtrは、それぞれポート1および2を介してネットワーク1および2に接続します。図がシナリオの論理トポロジを示しているように、port1はトンネリング用の疑似インターフェースであり、ネットワーク2を介してネットワーク1に接続し、その逆も可能です。ホストがパケットをネットワーク1または2に送信する場合、ネクストホップはGW rtrです。パケットがネットワーク1(ネットワーク2)に送信されると、GW rtrはパケットをポート1(ポート2)に転送します。

Example: Internet + VPN / Application Service Provider (ASP) Scenario 3:

例:インターネット+ VPN /アプリケーションサービスプロバイダー(ASP)シナリオ3:

In this scenario, a host has more than one active interface that connects to different routers and service provider networks. Each router provides the host with a different address prefix and set of DNS recursive name servers, resulting in a host with a unique address per link/interface.

このシナリオでは、ホストに複数のアクティブなインターフェイスがあり、さまざまなルーターやサービスプロバイダーネットワークに接続しています。各ルーターは、ホストに異なるアドレスプレフィックスとDNS再帰ネームサーバーのセットを提供するため、リンク/インターフェイスごとに一意のアドレスを持つホストになります。

   +------+     +------+       ___________
   |      |     |      |      /           \
   |      |-----| rtr1 |=====/   network   \
   |      |     |      |     \      1      /
   |      |     +------+      \___________/
   |      |
   | host |
   |      |
   |      |     +------+       ___________
   |      |     |      |      /           \
   |      |=====| rtr2 |=====/   network   \
   |      |     |      |     \      2      /
   +------+     +------+      \___________/
        

Figure 3: Multiple Uplink, Multiple Next Hop, Multiple Prefix (Scenario 3)

図3:複数のアップリンク、複数のネクストホップ、複数のプレフィックス(シナリオ3)

Figure 3 illustrates the host connecting to rtr1 and rtr2 via a direct connection or a virtual link. When the host sends packets to network 1, the next hop to network 1 is rtr1. Similarly, rtr2 is the next hop to network 2.

図3は、直接接続または仮想リンクを介してrtr1およびrtr2に接続するホストを示しています。ホストがネットワーク1にパケットを送信する場合、ネットワーク1へのネクストホップはrtr1です。同様に、rtr2はネットワーク2へのネクストホップです。

   Example: Mobile Wifi + 3G, ISP A + ISP B
        
3.2. Multihomed Network Environment
3.2. マルチホームネットワーク環境

In an IPv6 multihomed network, a host is assigned two or more IPv6 addresses and DNS recursive name servers from independent service provider networks. When this multihomed host attempts to connect with other hosts, it may incorrectly resolve the next-hop router, use an inappropriate source address, or use a DNS response from an incorrect service provider that may result in impaired IP connectivity.

IPv6マルチホームネットワークでは、独立したサービスプロバイダーネットワークから、ホストに2つ以上のIPv6アドレスとDNS再帰ネームサーバーが割り当てられます。このマルチホームホストが他のホストに接続しようとすると、ネクストホップルーターが正しく解決されなかったり、不適切な送信元アドレスが使用されたり、不正なサービスプロバイダーからのDNS応答が使用されてIP接続が損なわれる可能性があります。

In many cases, multihomed networks in IPv4 have been implemented through the use of a gateway router with NAPT function (scenario 2 with NAPT). An analysis of the current IPv4 NAPT and DNS functions within the gateway router should provide a baseline set of requirements for IPv6 multihomed environments. A destination prefix/ route is often used on the gateway router to separate traffic between the networks.

多くの場合、IPv4のマルチホームネットワークは、NAPT機能を持つゲートウェイルーターを使用して実装されています(NAPTを使用するシナリオ2)。ゲートウェイルータ内の現在のIPv4 NAPTおよびDNS機能の分析により、IPv6マルチホーム環境の要件のベースラインセットが提供されます。宛先プレフィックス/ルートは、ネットワーク間のトラフィックを分離するためにゲートウェイルーターでよく使用されます。

                                     +------+       ___________
                                     |      |      /           \
                                 +---| rtr1 |=====/   network   \
                                 |   |      |     \      1      /
          +------+     +-----+   |   +------+      \___________/
          | IPv4 |     |     |   |
          | hosts|-----| GW  |---+
          |      |     | rtr |   |
          +------+     +-----+   |   +------+       ___________
                      (NAPT&DNS) |   |      |      /           \
          (private               +---| rtr2 |=====/   network   \
              address                |      |     \      2      /
                 space)              +------+      \___________/
        

Figure 4: IPv4 Multihomed Environment with Gateway Router Performing NAPT

図4:NAPTを実行するゲートウェイルーターを使用したIPv4マルチホーム環境

3.3. Problem Statement
3.3. 問題文

A multihomed IPv6 host has one or more assigned IPv6 addresses and DNS recursive name servers from each upstream service provider, resulting in the host having multiple valid IPv6 addresses and DNS recursive name servers. The host must be able to resolve the appropriate next hop, the correct source address, and the correct DNS recursive name server to use based on the destination prefix. To prevent IP spoofing, operators will often implement ingress filtering to discard traffic with an inappropriate source address, making it essential for the host to correctly resolve these three items before sourcing the first packet.

マルチホームIPv6ホストには、各アップストリームサービスプロバイダーから割り当てられた1つ以上のIPv6アドレスとDNS再帰ネームサーバーがあり、ホストには複数の有効なIPv6アドレスとDNS再帰ネームサーバーがあります。ホストは、宛先プレフィックスに基づいて使用する適切なネクストホップ、正しい送信元アドレス、および正しいDNS再帰ネームサーバーを解決できる必要があります。 IPスプーフィングを防止するために、オペレーターは多くの場合、不適切な送信元アドレスを持つトラフィックを破棄するために入力フィルタリングを実装するため、最初のパケットを送信する前にホストがこれら3つの項目を正しく解決することが不可欠です。

IPv6 has mechanisms for the provision of multiple routers on a single link and multiple address assignments to a single host. However, when these mechanisms are applied to the three scenarios described in Section 3.1, a number of connectivity issues are identified:

IPv6には、単一のリンク上に複数のルーターをプロビジョニングし、単一のホストに複数のアドレスを割り当てるためのメカニズムがあります。ただし、セクション3.1で説明した3つのシナリオにこれらのメカニズムを適用すると、接続に関する多くの問題が識別されます。

Scenario 1:

シナリオ1:

The host has been assigned an address from each router and recognizes both rtr1 and rtr2 as valid default routers (in the default routers list).

ホストには各ルーターからアドレスが割り当てられており、rtr1とrtr2の両方が有効なデフォルトルーターとして認識されます(デフォルトルーターリスト内)。

o The source address selection policy on the host does not deterministically resolve a source address. Ingress filtering or filter policies will discard traffic with source addresses that the operator did not assign.

o ホスト上のソースアドレス選択ポリシーは、ソースアドレスを確定的に解決しません。入力フィルタリングまたはフィルターポリシーは、オペレーターが割り当てなかった送信元アドレスを持つトラフィックを破棄します。

o The host will select one of the two routers as the active default router. No traffic is sent to the other router.

o ホストは、2つのルーターの1つをアクティブなデフォルトルーターとして選択します。トラフィックは他のルーターに送信されません。

Scenario 2:

シナリオ2:

The host has been assigned two different addresses from the single gateway router. The gateway router is the only default router on the link.

ホストには、単一のゲートウェイルーターから2つの異なるアドレスが割り当てられています。ゲートウェイルーターは、リンク上の唯一のデフォルトルーターです。

o The source address selection policy on the host does not deterministically resolve a source address. Ingress filtering or filter policies will discard traffic with source addresses that the operator did not assign.

o ホスト上のソースアドレス選択ポリシーは、ソースアドレスを確定的に解決しません。入力フィルタリングまたはフィルターポリシーは、オペレーターが割り当てなかった送信元アドレスを持つトラフィックを破棄します。

o The gateway router does not have an autonomous mechanism for determining which traffic should be sent to which network. If the gateway router is implementing host functions (i.e., processing Router Advertisement (RA)), then two valid default routers may be recognized.

o ゲートウェイルーターには、どのトラフィックをどのネットワークに送信するかを決定するための自律メカニズムがありません。ゲートウェイルーターがホスト機能を実装している(つまり、ルーターアドバタイズ(RA)を処理している)場合、2つの有効なデフォルトルーターが認識される場合があります。

Scenario 3:

シナリオ3:

A host has two separate interfaces, and each interface has a different address assigned. Each link has its own router.

ホストには2つの別々のインターフェースがあり、各インターフェースには異なるアドレスが割り当てられています。各リンクには独自のルーターがあります。

o The host does not have enough information to determine which traffic should be sent to which upstream routers. The host will select one of the two routers as the active default router, and no traffic is sent to the other router. The default address selection rules select the address assigned to the outgoing interface as the source address. So, if a host has an appropriate routing table, an appropriate source address will be selected.

o ホストには、どのアップストリームルータにどのトラフィックを送信する必要があるかを決定するのに十分な情報がありません。ホストは2つのルーターの1つをアクティブなデフォルトルーターとして選択し、トラフィックは他のルーターに送信されません。デフォルトのアドレス選択ルールは、発信インターフェイスに割り当てられたアドレスを送信元アドレスとして選択します。したがって、ホストに適切なルーティングテーブルがある場合、適切な送信元アドレスが選択されます。

All scenarios:

すべてのシナリオ:

o In network deployments utilizing local namespaces, the host may choose to communicate with a "wrong" DNS recursive server unable to serve a local namespace.

o ローカル名前空間を利用するネットワーク配備では、ホストは、ローカル名前空間を処理できない「間違った」DNS再帰サーバーと通信することを選択する場合があります。

4. Requirements
4. 必要条件

This section describes requirements that any solution multi-address and multi-uplink architectures need to meet.

このセクションでは、すべてのソリューションのマルチアドレスおよびマルチアップリンクアーキテクチャが満たす必要のある要件について説明します。

4.1. End-to-End Transparency
4.1. エンドツーエンドの透明性

One of the major design goals for IPv6 is to restore the end-to-end transparency of the Internet. If NAT is applied to IP communication between hosts, NAT traversal mechanisms are required to establish bidirectional IP communication. In an environment with end-to-end transparency, a NAT traversal mechanism does not need to be implemented in an application (e.g., ICE [RFC5245]). Therefore, the IPv6 multihoming solution should strive to avoid NPTv6 to achieve end-to-end transparency.

IPv6の主要な設計目標の1つは、インターネットのエンドツーエンドの透過性を復元することです。ホスト間のIP通信にNATを適用する場合、双方向のIP通信を確立するには、NATトラバーサルメカニズムが必要です。エンドツーエンドの透過性がある環境では、NATトラバーサルメカニズムをアプリケーションに実装する必要はありません(例:ICE [RFC5245])。したがって、IPv6マルチホーミングソリューションは、NPTv6を回避してエンドツーエンドの透過性を実現するよう努めるべきです。

4.2. Scalability
4.2. スケーラビリティ

The solution will have to be able to manage a large number of sites/ nodes. In services for residential users, provider edge devices have to manage thousands of sites. In such environments, sending packets periodically to each site may affect edge system performance.

ソリューションは、多数のサイト/ノードを管理できる必要があります。住宅ユーザー向けのサービスでは、プロバイダーエッジデバイスが数千のサイトを管理する必要があります。このような環境では、各サイトに定期的にパケットを送信すると、エッジシステムのパフォーマンスに影響を与える可能性があります。

5. Problem Analysis
5. 問題分析

The problems described in Section 3 can be classified into these three types:

セクション3で説明する問題は、次の3つのタイプに分類できます。

o Wrong source address selection

o 間違った送信元アドレスの選択

o Wrong next hop selection

o ネクストホップの選択が間違っています

o Wrong DNS server selection

o 間違ったDNSサーバーの選択

This section reviews the problem statements presented above and the proposed functional requirements to resolve the issues.

このセクションでは、上記の問題ステートメントと、問題を解決するために提案された機能要件を確認します。

5.1. Source Address Selection
5.1. 送信元アドレスの選択

A multihomed IPv6 host will typically have different addresses assigned from each service provider on either the same link (scenarios 1 and 2) or different links (scenario 3). When the host wishes to send a packet to any given destination, the current source address selection rules [RFC6724] may not deterministically select the correct source address. [RFC7078] describes the use of the policy table (as discussed in [RFC6724]) to resolve this problem, using a DHCPv6 mechanism for host policy table management.

マルチホームIPv6ホストには、通常、同じリンク(シナリオ1および2)または異なるリンク(シナリオ3)の各サービスプロバイダーから割り当てられた異なるアドレスがあります。ホストが任意の宛先にパケットを送信したい場合、現在の送信元アドレス選択規則[RFC6724]は正しい送信元アドレスを確定的に選択しない場合があります。 [RFC7078]は、ポリシーテーブル([RFC6724]で説明)を使用して、ホストポリシーテーブル管理にDHCPv6メカニズムを使用し、この問題を解決する方法を説明しています。

Again, by employing DHCPv6, the server could restrict address assignment (of additional prefixes) only to hosts that support policy table management.

この場合も、DHCPv6を採用することで、サーバーは(追加のプレフィックスの)アドレス割り当てを、ポリシーテーブル管理をサポートするホストのみに制限できます。

Scenario 1: Host needs to support the solution for this problem.

シナリオ1:ホストは、この問題のソリューションをサポートする必要があります。

Scenario 2: Host needs to support the solution for this problem.

シナリオ2:ホストは、この問題のソリューションをサポートする必要があります。

Scenario 3: If Host supports the next hop selection solution, there is no need to support the address selection functionality on the host.

シナリオ3:ホストがネクストホップ選択ソリューションをサポートしている場合、ホストでアドレス選択機能をサポートする必要はありません。

It is noted that the network's DHCP server and DHCP-forwarding routers must also support the Address Selection option [RFC7078].

ネットワークのDHCPサーバーとDHCP転送ルーターもアドレス選択オプション[RFC7078]をサポートする必要があることに注意してください。

5.2. Next Hop Selection
5.2. ネクストホップの選択

A multihomed IPv6 host or gateway may have multiple uplinks to different service providers. Here, each router would use Router Advertisements [RFC4861] to distribute default route/next-hop information to the host or gateway router.

マルチホームIPv6ホストまたはゲートウェイには、異なるサービスプロバイダーへの複数のアップリンクがある場合があります。ここで、各ルーターはルーターアドバタイズメント[RFC4861]を使用して、デフォルトルート/ネクストホップ情報をホストまたはゲートウェイルーターに配信します。

In this case, the host or gateway router may select any valid default router from the default routers list, resulting in traffic being sent to the wrong router and discarded by the upstream service provider. Using the above scenarios as an example, whenever the host wishes to reach a destination in network 2 and there is no connectivity between networks 1 and 2 (as is the case for a walled-garden or closed service), the host or gateway router does not know whether to forward traffic to rtr1 or rtr2 to reach a destination in network 2. The host or gateway router may choose rtr1 as the default router, but traffic will fail to reach the destination server. The host or gateway router requires route information for each upstream service provider, but the use of a routing protocol between the gateway and the two routers causes both configuration and scaling issues. In IPv4, gateway routers are often pre-configured with static routes or use the Classless Static Route Options [RFC3442] for DHCPv4. An extension to Router Advertisements through Default Router Preference and More-Specific Routes [RFC4191] provides for link-specific preferences but does not address per-host configuration in a multi-access topology because of its reliance on Router Advertisements.

この場合、ホストまたはゲートウェイルーターはデフォルトルーターリストから有効なデフォルトルーターを選択する可能性があり、その結果、トラフィックが間違ったルーターに送信され、上流のサービスプロバイダーによって破棄されます。上記のシナリオを例にとると、ホストがネットワーク2の宛先に到達することを望み、ネットワーク1と2の間に接続がない場合(壁に囲まれた庭や閉じたサービスの場合のように)、ホストまたはゲートウェイルーターはネットワーク2の宛先に到達するためにトラフィックをrtr1またはrtr2のどちらに転送するかがわかりません。ホストまたはゲートウェイルーターは、rtr1をデフォルトルーターとして選択できますが、トラフィックは宛先サーバーに到達できません。ホストまたはゲートウェイルーターには、アップストリームサービスプロバイダーごとにルート情報が必要ですが、ゲートウェイと2つのルーター間でルーティングプロトコルを使用すると、構成とスケーリングの両方の問題が発生します。 IPv4では、多くの場合、ゲートウェイルーターは静的ルートで事前構成されているか、DHCPv4のクラスレス静的ルートオプション[RFC3442]を使用します。デフォルトルータープリファレンスとより具体的なルートによるルーターアドバタイズメントの拡張[RFC4191]は、リンク固有のプリファレンスを提供しますが、ルーターアドバタイズメントに依存しているため、マルチアクセストポロジのホストごとの構成には対応していません。

Scenario 1: Host needs to support the solution for this problem.

シナリオ1:ホストは、この問題のソリューションをサポートする必要があります。

Scenario 2: GW rtr needs to support the solution for this problem.

シナリオ2:GW rtrは、この問題のソリューションをサポートする必要があります。

Scenario 3: Host needs to support the solution for this problem.

シナリオ3:ホストは、この問題のソリューションをサポートする必要があります。

5.3. DNS Recursive Name Server Selection
5.3. DNS再帰ネームサーバーの選択

A multihomed IPv6 host or gateway router may be provided multiple DNS recursive name servers through DHCPv6 [RFC3646] or RA [RFC6106]. When the host or gateway router sends a DNS query, it would normally choose one of the available DNS recursive name servers for the query.

マルチホームIPv6ホストまたはゲートウェイルーターは、DHCPv6 [RFC3646]またはRA [RFC6106]を介して複数のDNS再帰ネームサーバーを提供できます。ホストまたはゲートウェイルーターがDNSクエリを送信すると、通常、クエリに使用できるDNS再帰ネームサーバーの1つが選択されます。

In the IPv6 gateway router scenario, the Broadband Forum (BBF) [TR-124] requires that the query be sent to all DNS recursive name servers and that the gateway wait for the first reply. In IPv6, given our use of specific destination-based policy for both routing and source address selection, it is desirable to extend a policy-based concept to DNS recursive name server selection. Doing so can minimize DNS recursive name server load and avoid issues where DNS recursive name servers in different networks have connectivity issues, or the DNS recursive name servers are not publicly accessible. In the worst case, a DNS query for a name from a local namespace may not be resolved correctly if sent towards a DNS server not aware of said local namespace, resulting in a lack of connectivity.

IPv6ゲートウェイルーターのシナリオでは、ブロードバンドフォーラム(BBF)[TR-124]では、クエリをすべてのDNS再帰ネームサーバーに送信し、ゲートウェイが最初の応答を待つ必要があります。 IPv6では、ルーティングと送信元アドレスの両方の選択に特定の宛先ベースのポリシーを使用しているため、ポリシーベースの概念をDNS再帰的なネームサーバーの選択に拡張することが望ましいです。そうすることで、DNS再帰ネームサーバーの負荷を最小限に抑え、異なるネットワークのDNS再帰ネームサーバーに接続の問題がある、またはDNS再帰ネームサーバーがパブリックにアクセスできないという問題を回避できます。最悪の場合、ローカルネームスペースを認識しないDNSサーバーに送信されると、ローカルネームスペースからの名前に対するDNSクエリが正しく解決されず、接続が失われることがあります。

It is not an issue of the Domain Name System model itself, but an IPv6 multihomed host or gateway router should have the ability to select appropriate DNS recursive name servers for each service based on the domain space for the destination, and each service should provide rules specific to that network. [RFC6731] proposes a solution for distributing DNS server selection policy using a DHCPv6 option.

これはドメインネームシステムモデル自体の問題ではありませんが、IPv6マルチホームホストまたはゲートウェイルーターは、宛先のドメインスペースに基づいて各サービスに適切なDNS再帰ネームサーバーを選択でき、各サービスはルールを提供する必要がありますそのネットワークに固有です。 [RFC6731]は、DHCPv6オプションを使用してDNSサーバー選択ポリシーを配布するソリューションを提案しています。

Scenario 1: Host needs to support the solution for this problem.

シナリオ1:ホストは、この問題のソリューションをサポートする必要があります。

Scenario 2: GW rtr needs to support the solution for this problem.

シナリオ2:GW rtrは、この問題のソリューションをサポートする必要があります。

Scenario 3: Host needs to support the solution for this problem.

シナリオ3:ホストは、この問題のソリューションをサポートする必要があります。

It is noted that the network's DHCP server and DHCP-forwarding routers must also support the Address Selection option [RFC6731].

ネットワークのDHCPサーバーとDHCP転送ルーターもアドレス選択オプション[RFC6731]をサポートする必要があることに注意してください。

6. Implementation Approach
6. 実装アプローチ

As mentioned in Section 5, in the multi-prefix environment, we have three problems: source address selection, next hop selection, and DNS recursive name server selection. In this section, possible solutions for each problem are introduced and evaluated against the requirements in Section 4.

セクション5で述べたように、マルチプレフィックス環境では、送信元アドレスの選択、ネクストホップの選択、DNSの再帰的なネームサーバーの選択という3つの問題があります。このセクションでは、各問題の可能な解決策を紹介し、セクション4の要件に対して評価します。

6.1. Source Address Selection
6.1. 送信元アドレスの選択

The problems of address selection in multi-prefix environments are summarized in [RFC5220]. When solutions are examined against the requirements in Section 4, the proactive approaches, such as the policy table distribution mechanism and the routing hints mechanism, are more appropriate in that they can propagate the network administrator's policy directly. The policy distribution mechanism has an advantage with regard to the host's protocol stack impact and the static nature of the assumed target network environment.

マルチプレフィックス環境でのアドレス選択の問題は、[RFC5220]に要約されています。ソリューションをセクション4の要件に照らして検討する場合、ポリシーテーブル配布メカニズムやルーティングヒントメカニズムなどの予防的アプローチは、ネットワーク管理者のポリシーを直接伝達できるという点でより適切です。ポリシー配布メカニズムには、ホストのプロトコルスタックへの影響と、想定されるターゲットネットワーク環境の静的な性質に関して利点があります。

6.2. Next Hop Selection
6.2. ネクストホップの選択

As for the source address selection problem, both a policy-based approach and a non-policy-based approach are possible with regard to the next hop selection problem. Because of the same requirements, the policy propagation-based solution mechanism, whatever the policy, should be more appropriate.

送信元アドレスの選択の問題については、ネクストホップの選択の問題に関して、ポリシーベースのアプローチと非ポリシーベースのアプローチの両方が可能です。同じ要件のため、ポリシーの伝達に基づくソリューションメカニズムは、ポリシーが何であれ、より適切なはずです。

Routing information is a typical example of policy related to next hop selection. If we assume source-address-based routing at hosts or intermediate routers, pairs of source prefixes and next hops can be another example of next hop selection policy.

ルーティング情報は、ネクストホップの選択に関連するポリシーの典型的な例です。ホストまたは中間ルーターでの送信元アドレスベースのルーティングを想定している場合、送信元プレフィックスとネクストホップのペアは、ネクストホップ選択ポリシーのもう1つの例になります。

The routing-information-based approach has a clear advantage in implementation and is already commonly used.

ルーティング情報ベースのアプローチは、実装において明確な利点があり、すでに一般的に使用されています。

The existing proposed or standardized routing information distribution mechanisms are routing protocols (such as Routing Information Protocol Next Generation (RIPng) and OSPFv3), the RA extension option defined in [RFC4191], and the CPE WAN Management Protocol (CWMP) [TR069] standardized at BBF.

既存の提案または標準化されたルーティング情報配信メカニズムは、ルーティングプロトコル(Routing Information Protocol Next Generation(RIPng)やOSPFv3など)、[RFC4191]で定義されているRA拡張オプション、および標準化されたCPE WAN管理プロトコル(CWMP)です。 BBFで。

The RA-based mechanism doesn't handle distribution of per-host routing information easily. Dynamic routing protocols are not typically used between residential users and ISPs, because of their scalability and security implications. The DHCPv6 mechanism does not have these problems and has the advantage of relay functionality. It is commonly used and is thus easy to deploy.

RAベースのメカニズムは、ホストごとのルーティング情報の配布を簡単に処理できません。ダイナミックルーティングプロトコルは、スケーラビリティとセキュリティに影響を与えるため、通常、住宅ユーザーとISPの間では使用されません。 DHCPv6メカニズムにはこれらの問題はなく、リレー機能の利点があります。これは一般的に使用されているため、展開が簡単です。

[TR069], mentioned above, defines a possible solution mechanism for routing information distribution to customer premises equipment (CPE). It assumes, however, that IP reachability to the Auto Configuration Server (ACS) has been established. Therefore, if the CPE requires routing information to reach the ACS, CWMP [TR069] cannot be used to distribute this information.

上記の[TR069]は、顧客宅内機器(CPE)に情報を配信するための可能なソリューションメカニズムを定義しています。ただし、自動構成サーバー(ACS)へのIP到達可能性が確立されていることを前提としています。したがって、CPEがACSに到達するためにルーティング情報を必要とする場合、CWMP [TR069]を使用してこの情報を配布することはできません。

6.3. DNS Recursive Name Server Selection
6.3. DNS再帰ネームサーバーの選択

Note: Split-horizon DNS is discussed in this section. Split-horizon DNS is known to cause problems with applications to allow information leakage. The discussion of split-horizon DNS is not condoning its use, but rather acknowledging that split-horizon DNS is used and that its use is another justification for network address translation. The goal of this document is to encourage building solutions that do not need network address translation. Two solutions appear possible: improve the function of split-horizon DNS (which is discussed below) or meet network administrators' requirements without split-horizon DNS (which is out of scope of this document).

注:このセクションでは、スプリットホライズンDNSについて説明します。スプリットホライズンDNSは、アプリケーションで問題を引き起こし、情報漏えいを引き起こすことが知られています。スプリットホライズンDNSの説明は、その使用を容認するものではなく、スプリットホライズンDNSが使用され、その使用がネットワークアドレス変換のもう1つの正当化であることを認めるものです。このドキュメントの目的は、ネットワークアドレス変換を必要としないソリューションの構築を促進することです。 2つの解決策が考えられます。スプリットホライズンDNS(以下で説明)の機能を改善するか、スプリットホライズンDNS(このドキュメントの範囲外)なしでネットワーク管理者の要件を満たします。

As in the above two problems, a policy-based approach and a non-policy-based approach are possible. In a non-policy-based approach, a host or a home gateway router is assumed to send DNS queries to several DNS recursive name servers at once or to select one of the available servers.

上記の2つの問題と同様に、ポリシーベースのアプローチと非ポリシーベースのアプローチが可能です。非ポリシーベースのアプローチでは、ホストまたはホームゲートウェイルーターは、DNSクエリを複数のDNS再帰ネームサーバーに一度に送信するか、使用可能なサーバーの1つを選択すると想定されます。

In the non-policy-based approach, by making a query to a DNS recursive name server in a different service provider to that which hosts the service, a user could be directed to an unexpected IP address or receive an invalid response, and thus it could not connect to the service provider's private and legitimate service. For example, some DNS recursive name servers reply with different answers depending on the source address of the DNS query, which is sometimes called "split-horizon". When the host mistakenly makes a query to a different provider's DNS recursive name server to resolve a Fully Qualified Domain Name (FQDN) of another provider's private service, and the DNS recursive name server adopts the split-horizon configuration, the queried server returns an IP address of the non-private side of the service. Another problem with this approach is that it causes unnecessary DNS traffic to the DNS recursive name servers that are visible to the users.

非ポリシーベースのアプローチでは、サービスをホストしているサービスプロバイダーとは異なるサービスプロバイダーのDNS再帰ネームサーバーにクエリを実行すると、ユーザーが予期しないIPアドレスにリダイレクトされたり、無効な応答を受け取ったりする可能性があります。サービスプロバイダーのプライベートおよび正当なサービスに接続できませんでした。たとえば、一部のDNS再帰ネームサーバーは、「split-horizo​​n」と呼ばれることもあるDNSクエリの送信元アドレスに応じて異なる応答を返します。ホストが別のプロバイダーのプライベートサービスの完全修飾ドメイン名(FQDN)を解決するために別のプロバイダーのDNS再帰ネームサーバーに誤ってクエリを実行し、DNS再帰ネームサーバーがスプリットホライズン構成を採用している場合、照会されたサーバーはIPを返しますサービスの非プライベート側のアドレス。このアプローチのもう1つの問題は、ユーザーに見えるDNS再帰ネームサーバーへの不要なDNSトラフィックが発生することです。

The alternative to a policy-based approach is documented in [RFC6731], where several pairs of DNS recursive name server addresses and DNS domain suffixes are defined as part of a policy and conveyed to hosts in a new DHCP option. In an environment where there is a home gateway router, that router can act as a DNS recursive name server, interpret this option, and distribute DNS queries to the appropriate DNS servers according to the policy.

ポリシーベースのアプローチの代替案は[RFC6731]に文書化されており、DNS再帰ネームサーバーアドレスとDNSドメインサフィックスのいくつかのペアがポリシーの一部として定義され、新しいDHCPオプションでホストに伝達されます。ホームゲートウェイルーターが存在する環境では、そのルーターはDNS再帰ネームサーバーとして機能し、このオプションを解釈して、ポリシーに従ってDNSクエリを適切なDNSサーバーに配布できます。

6.4. Other Algorithms Available in RFCs
6.4. RFCで利用可能なその他のアルゴリズム

The authors of this document are aware of a variety of other algorithms and architectures, such as Shim6 [RFC5533] and HIP [RFC5206], that may be useful in this environment. At the time of this writing, there is not enough operational experience on which to base a recommendation. Should such operational experience become available, this document may be updated in the future.

このドキュメントの作成者は、Shim6 [RFC5533]やHIP [RFC5206]など、この環境で役立つ可能性のある他のさまざまなアルゴリズムとアーキテクチャを認識しています。この記事の執筆時点では、推奨の基礎となる十分な運用経験はありません。そのような運用経験が利用可能になった場合、このドキュメントは将来更新される可能性があります。

7. Considerations for MHMP Deployment
7. MHMP展開に関する考慮事項

This section describes considerations to mitigate possible problems in a network that implements MHMP (described in Section 6).

このセクションでは、MHMP(セクション6で説明)を実装するネットワークで発生する可能性のある問題を軽減するための考慮事項について説明します。

7.1. Non-MHMP Host Consideration
7.1. 非MHMPホストの考慮事項

In a typical IPv4 multihomed network deployment, IPv4 NAPT is practically used and it can eventually avoid assigning multiple addresses to the hosts and solve the next hop selection problem. In a similar fashion, NPTv6 can be used as a last resort for IPv6 multihomed network deployments where one needs to assign a single IPv6 address to a non-MHMP host.

典型的なIPv4マルチホームネットワーク配置では、IPv4 NAPTが実際に使用され、最終的に複数のアドレスをホストに割り当てることを回避し、ネクストホップ選択の問題を解決できます。同様に、NPTv6は、単一のIPv6アドレスを非MHMPホストに割り当てる必要があるIPv6マルチホームネットワーク展開の最後の手段として使用できます。

                                                      __________
                                                     /          \
                                                +---/  Internet  \
                            gateway router      |   \            /
          +------+     +---------------------+  |    \__________/
          |      |     |   |        |  WAN1  +--+
          | host |-----|LAN| Router |--------|
          |      |     |   |        |NAT|WAN2+--+
          +------+     +---------------------+  |     __________
                                                |    /          \
                                                +---/    ASP     \
                                                    \            /
                                                     \__________/
        

Figure 5: Legacy Host

図5:レガシーホスト

The gateway router also has to support the two features, next hop selection and DNS server selection, shown in Section 6.

ゲートウェイルーターは、セクション6に示す2つの機能(ネクストホップの選択とDNSサーバーの選択)もサポートする必要があります。

The implementation and issues of NPTv6 are out of the scope of this document, but are discussed in Section 5 of [RFC6296].

NPTv6の実装と問題はこのドキュメントの範囲外ですが、[RFC6296]のセクション5で説明されています。

7.2. Coexistence Considerations
7.2. 共存に関する考慮事項

To allow the coexistence of non-MHMP hosts and MHMP hosts (i.e., hosts supporting multi-prefix with the enhancements for the source address selection), GW rtr may need to treat those hosts separately.

非MHMPホストとMHMPホスト(つまり、送信元アドレス選択の拡張機能を備えたマルチプレフィックスをサポートするホスト)の共存を可能にするために、GW rtrはこれらのホストを個別に処理する必要がある場合があります。

An idea for how to achieve this would be for GW rtr to identify the hosts, and then assign a single prefix to non-MHMP hosts and assign multiple prefixes to MHMP hosts. In this case, GW rtr can perform IPv6 NAT only for the traffic from non-MHMP hosts if its source address is not appropriate.

これを実現する方法のアイデアは、GW rtrがホストを識別し、単一のプレフィックスを非MHMPホストに割り当て、複数のプレフィックスをMHMPホストに割り当てることです。この場合、送信元アドレスが適切でない場合、GW rtrは非MHMPホストからのトラフィックに対してのみIPv6 NATを実行できます。

Another idea is that GW rtr could assign multiple prefixes to both hosts and perform IPv6 NAT for traffic from non-MHMP hosts if its source address is not appropriate.

別のアイデアは、GW rtrは、両方のホストに複数のプレフィックスを割り当て、ソースアドレスが適切でない場合、非MHMPホストからのトラフィックに対してIPv6 NATを実行できるというものです。

In scenarios 1 and 3, the non-MHMP hosts can be placed behind the NAT box. In this case, the non-MHMP host can access the service through the NAT box.

シナリオ1および3では、非MHMPホストをNATボックスの背後に配置できます。この場合、非MHMPホストは、NATボックスを介してサービスにアクセスできます。

The implementation of identifying non-MHMP hosts and NAT policy is outside the scope of this document.

非MHMPホストとNATポリシーの識別の実装は、このドキュメントの範囲外です。

7.3. Policy Collision Consideration
7.3. ポリシーの衝突に関する考慮事項

When multiple policy distributors exist, a policy receiver may not follow each of the received policies. In particular, when a policy conflicts with another policy, a policy receiver cannot implement both of the policies. To solve or mitigate this issue, a prioritization rule is required to align the policies with the preferences of a trusted interface. Another solution is to preclude the functionality of the acceptance of multiple policies at the receiver side. In this case, a policy distributor should cooperate with other policy distributors, and a single representative provider should distribute a merged policy.

複数のポリシーディストリビューターが存在する場合、ポリシーレシーバーは受信したポリシーのそれぞれに従うことができません。特に、ポリシーが別のポリシーと競合する場合、ポリシーレシーバーは両方のポリシーを実装できません。この問題を解決または軽減するには、ポリシーを信頼できるインターフェイスの設定に合わせるための優先順位付けルールが必要です。別の解決策は、受信側で複数のポリシーを受け入れる機能を排除することです。この場合、ポリシーディストリビューターは他のポリシーディストリビューターと協力し、単一の代表プロバイダーがマージされたポリシーを配布する必要があります。

This document does not presume specific recommendations for resolving policy collision. It is expected that the implementation will decide how to resolve the conflicts. If they are not resolved consistently by different implementations, that could affect interoperability and security trust boundaries. Future work is expected to address the need for consistent policy resolution to avoid interoperability and security trust boundary issues.

このドキュメントは、ポリシーの衝突を解決するための特定の推奨事項を前提とはしていません。実装は、競合を解決する方法を決定することが期待されます。それらが異なる実装によって一貫して解決されない場合、相互運用性とセキュリティの信頼境界に影響を与える可能性があります。今後の作業では、相互運用性とセキュリティの信頼境界の問題を回避するための一貫したポリシー解決の必要性に対処することが期待されます。

8. Security Considerations
8. セキュリティに関する考慮事項

In today's multihomed IPv4 networks, it is difficult to resolve or coordinate conflicts between the two upstream networks. This problem persists with IPv6, no matter if the hosts use IPv6 provider-dependent or provider-independent addresses.

今日のマルチホームIPv4ネットワークでは、2つの上流ネットワーク間の競合を解決または調整することは困難です。この問題は、ホストがIPv6のプロバイダーに依存するアドレスまたはプロバイダーに依存しないアドレスのどちらを使用しているかに関係なく、IPv6でも持続します。

This document requires that MHMP solutions have functions that provide policy controls. New security threats can be introduced depending on the kind and form of the policy. The threats can be categorized in two parts: the policy receiver side and the policy distributor side.

このドキュメントでは、MHMPソリューションにポリシー制御を提供する機能が必要です。ポリシーの種類と形式に応じて、新しいセキュリティの脅威が発生する可能性があります。脅威は、ポリシー受信側とポリシー配信側の2つの部分に分類できます。

A policy receiver may receive an evil policy from a policy distributor. A policy distributor should expect that some hosts in its network will not follow the distributed policy. At the time of this writing, there are no known methods to resolve conflicts between the host's own policy (policy receiver) and the policies of upstream providers (policy provider). As this document is analyzing the problem space, rather than proposing a solution, we note the following problems:

ポリシーレシーバーは、ポリシーディストリビューターから悪質なポリシーを受け取ることがあります。ポリシーディストリビューターは、ネットワーク内の一部のホストが分散ポリシーに従っていないことを期待する必要があります。この記事の執筆時点では、ホスト自身のポリシー(ポリシーレシーバー)と上流プロバイダー(ポリシープロバイダー)のポリシー間の競合を解決する既知の方法はありません。このドキュメントはソリューションを提案するのではなく、問題の領域を分析しているため、次の問題に注意します。

Threats related to the policy distributor side:

ポリシーディストリビューター側に関連する脅威:

The service provider should expect the existence of hosts that will not obey the received policy. A possible solution is to ingress-filter those packets that do not match the distributed policy and drop them. For route selection, packet forwarding or redirection can be another possible solution. For source address selection, IPv6 NAT can be another possible solution.

サービスプロバイダーは、受信したポリシーに準拠しないホストの存在を予期する必要があります。可能な解決策は、分散ポリシーに一致しないパケットを入力フィルタリングし、それらをドロップすることです。ルートの選択では、パケットの転送またはリダイレクトが別の可能なソリューションになる可能性があります。送信元アドレスの選択では、IPv6 NATが別の可能なソリューションになる可能性があります。

In a multihomed multiple-provider network, nodes in the network may be administered by different organizations. Administrators might need to control policies (and a node's behavior) independently of other administrators. Access control policies need to be in place to restrict the administrator's access to only the nodes it is authorized to control.

マルチホームのマルチプロバイダーネットワークでは、ネットワーク内のノードはさまざまな組織によって管理される場合があります。管理者は、他の管理者から独立してポリシー(およびノー​​ドの動作)を制御する必要がある場合があります。管理者のアクセスを、制御を許可されているノードのみに制限するには、アクセス制御ポリシーを設定する必要があります。

Threats related to the policy receiver side:

ポリシー受信側に関連する脅威:

For the policy receiver side, who should be trusted to accept policies is a fundamental issue. How is the trust established? How can the network element be assured that it can establish that trust before the network is fully configured? If a policy receiver trusts an untrusted network, it will cause the distributing of the unwanted and unauthorized policy that is described below.

ポリシーの受信者側にとって、ポリシーを受け入れることを誰に信頼すべきかは基本的な問題です。信頼はどのように確立されますか?ネットワークが完全に構成される前に信頼を確立できることをネットワーク要素にどのように保証できますか?ポリシーレシーバーが信頼されていないネットワークを信頼している場合は、以下に説明する不要で無許可のポリシーが配布されます。

A policy receiver is exposed to the threats of unauthorized policy, which can lead to session hijack, falsification, DoS, wiretapping, and phishing. Unauthorized policy here means a policy distributed from an entity that does not have rights to do so. Usually, only a site administrator and a network service provider have rights to distribute these policies in addition to IP address assignment and DNS server address notification. Regarding source address selection, unauthorized policy can expose an IP address that will not usually be exposed to an external server, which can be a privacy problem. To solve or mitigate the problem of unauthorized policy, one approach is to limit the use of these policy distribution mechanisms, as described in the Section 4.4 of [RFC6731]. For example, a policy should be preferred or accepted if delivered over a secure, trusted channel such as a cellular data connection. The proposed solutions are based on DHCP, so the limitation of local site communication, which is often used in WiFi access services, should be another solution or mitigation for this problem. For the DNS server selection issue, DNS Security (DNSSEC) can be another solution. For source address selection, the ingress filter at the network service provider router can be a solution.

ポリシーレシーバーは、セッションのハイジャック、改ざん、DoS、盗聴、フィッシングにつながる可能性のある不正なポリシーの脅威にさらされています。ここでの無許可ポリシーとは、それを行う権限のないエンティティーから配布されたポリシーを意味します。通常、サイト管理者とネットワークサービスプロバイダーだけが、IPアドレスの割り当てとDNSサーバーアドレスの通知に加えて、これらのポリシーを配布する権利を持っています。送信元アドレスの選択に関して、無許可のポリシーは、通常は外部サーバーに公開されないIPアドレスを公開する可能性があり、プライバシーの問題になる可能性があります。 [RFC6731]のセクション4.4で説明されているように、不正なポリシーの問題を解決または軽減するための1つのアプローチは、これらのポリシー配布メカニズムの使用を制限することです。たとえば、セルラーデータ接続などのセキュリティで保護された信頼できるチャネルを介して配信される場合、ポリシーを優先または受け入れる必要があります。提案されたソリューションはDHCPに基づいているため、WiFiアクセスサービスでよく使用されるローカルサイト通信の制限は、この問題の別のソリューションまたは緩和策である必要があります。 DNSサーバーの選択の問題では、DNSセキュリティ(DNSSEC)が別の解決策になる可能性があります。送信元アドレスを選択する場合、ネットワークサービスプロバイダーのルーターの入力フィルターがソリューションになります。

Another threat is the leakage of the policy and privacy issues resulting from that. Especially when clients receive different policies from the network service provider, that difference provides hints about the host itself and can be useful to uniquely identify the host. Encryption of the communication channel and separation of the communication channel per host can be solutions for this problem.

もう1つの脅威は、ポリシーの漏洩とそれに起因するプライバシーの問題です。特に、クライアントがネットワークサービスプロバイダーから異なるポリシーを受け取った場合、その違いはホスト自体に関するヒントを提供し、ホストを一意に識別するのに役立ちます。通信チャネルの暗号化とホストごとの通信チャネルの分離は、この問題の解決策となります。

The security threats related to IPv6 multihoming are described in [RFC4218].

IPv6マルチホーミングに関連するセキュリティの脅威は、[RFC4218]で説明されています。

9. Contributors
9. 貢献者

The following people contributed to this document: Akiko Hattori, Arifumi Matsumoto, Frank Brockners, Fred Baker, Tomohiro Fujisaki, Jun-ya Kato, Shigeru Akiyama, Seiichi Morikawa, Mark Townsley, Wojciech Dec, Yasuo Kashimura, and Yuji Yamazaki. This document has greatly benefited from inputs by Randy Bush, Brian Carpenter, and Teemu Savolainen.

The following people contributed to this document: Akiko Hattori, Arifumi Matsumoto, Frank Brockners, Fred Baker, Tomohiro Fujisaki, Jun-ya Kato, Shigeru Akiyama, Seiichi Morikawa, Mark Townsley, Wojciech Dec, Yasuo Kashimura, and Yuji Yamazaki. This document has greatly benefited from inputs by Randy Bush, Brian Carpenter, and Teemu Savolainen.

10. References
10. 参考文献
10.1. Normative References
10.1. 引用文献

[RFC4191] Draves, R. and D. Thaler, "Default Router Preferences and More-Specific Routes", RFC 4191, November 2005.

[RFC4191] Draves、R。およびD. Thaler、「デフォルトのルーター設定とより具体的なルート」、RFC 4191、2005年11月。

[RFC4861] Narten, T., Nordmark, E., Simpson, W., and H. Soliman, "Neighbor Discovery for IP version 6 (IPv6)", RFC 4861, September 2007.

[RFC4861] Narten、T.、Nordmark、E.、Simpson、W。、およびH. Soliman、「Neighbor Discovery for IP version 6(IPv6)」、RFC 4861、2007年9月。

[RFC6296] Wasserman, M. and F. Baker, "IPv6-to-IPv6 Network Prefix Translation", RFC 6296, June 2011.

[RFC6296] Wasserman、M。およびF. Baker、「IPv6-to-IPv6 Network Prefix Translation」、RFC 6296、2011年6月。

[RFC6724] Thaler, D., Draves, R., Matsumoto, A., and T. Chown, "Default Address Selection for Internet Protocol Version 6 (IPv6)", RFC 6724, September 2012.

[RFC6724] Thaler、D.、Draves、R.、Matsumoto、A。、およびT. Chown、「インターネットプロトコルバージョン6(IPv6)のデフォルトアドレス選択」、RFC 6724、2012年9月。

[RFC6731] Savolainen, T., Kato, J., and T. Lemon, "Improved Recursive DNS Server Selection for Multi-Interfaced Nodes", RFC 6731, December 2012.

[RFC6731] Savolainen、T.、Kato、J。、およびT. Lemon、「Improved Recursive DNS Server Selection for Multi-Interfaced Nodes」、RFC 6731、2012年12月。

[RFC7078] Matsumoto, A., Fujisaki, T., and T. Chown, "Distributing Address Selection Policy Using DHCPv6", RFC 7078, January 2014.

[RFC7078]マツモトA.、藤崎T.、およびT. Chown、「DHCPv6を使用したアドレス選択ポリシーの配布」、RFC 7078、2014年1月。

10.2. Informative References
10.2. 参考引用

[RFC3022] Srisuresh, P. and K. Egevang, "Traditional IP Network Address Translator (Traditional NAT)", RFC 3022, January 2001.

[RFC3022] Srisuresh、P。およびK. Egevang、「Traditional IP Network Address Translator(Traditional NAT)」、RFC 3022、2001年1月。

[RFC3442] Lemon, T., Cheshire, S., and B. Volz, "The Classless Static Route Option for Dynamic Host Configuration Protocol (DHCP) version 4", RFC 3442, December 2002.

[RFC3442]レモン、T。、チェシャー、S。、およびB.ヴォルツ、「動的ホスト構成プロトコル(DHCP)バージョン4のクラスレス静的ルートオプション」、RFC 3442、2002年12月。

[RFC3582] Abley, J., Black, B., and V. Gill, "Goals for IPv6 Site-Multihoming Architectures", RFC 3582, August 2003.

[RFC3582] Abley、J.、Black、B。、およびV. Gill、「Goals for IPv6 Site-Multihoming Architectures」、RFC 3582、2003年8月。

[RFC3646] Droms, R., "DNS Configuration options for Dynamic Host Configuration Protocol for IPv6 (DHCPv6)", RFC 3646, December 2003.

[RFC3646] Droms、R。、「IPv6の動的ホスト構成プロトコル(DHCPv6)のDNS構成オプション」、RFC 3646、2003年12月。

[RFC4116] Abley, J., Lindqvist, K., Davies, E., Black, B., and V. Gill, "IPv4 Multihoming Practices and Limitations", RFC 4116, July 2005.

[RFC4116] Abley、J.、Lindqvist、K.、Davies、E.、Black、B。、およびV. Gill、「IPv4マルチホーミングの実践と制限」、RFC 4116、2005年7月。

[RFC4218] Nordmark, E. and T. Li, "Threats Relating to IPv6 Multihoming Solutions", RFC 4218, October 2005.

[RFC4218] Nordmark、E。およびT. Li、「IPv6マルチホーミングソリューションに関連する脅威」、RFC 4218、2005年10月。

[RFC4960] Stewart, R., "Stream Control Transmission Protocol", RFC 4960, September 2007.

[RFC4960] Stewart、R。、「Stream Control Transmission Protocol」、RFC 4960、2007年9月。

[RFC5206] Nikander, P., Henderson, T., Vogt, C., and J. Arkko, "End-Host Mobility and Multihoming with the Host Identity Protocol", RFC 5206, April 2008.

[RFC5206] Nikander、P.、Henderson、T.、Vogt、C。、およびJ. Arkko、「End-Host Mobility and Multihoming with the Host Identity Protocol」、RFC 5206、2008年4月。

[RFC5220] Matsumoto, A., Fujisaki, T., Hiromi, R., and K. Kanayama, "Problem Statement for Default Address Selection in Multi-Prefix Environments: Operational Issues of RFC 3484 Default Rules", RFC 5220, July 2008.

[RFC5220]マツモトA.、藤崎T.、ヒロミR.、およびカナヤマK.「マルチプレフィックス環境におけるデフォルトアドレス選択の問題ステートメント:RFC 3484デフォルトルールの運用上の問題」、RFC 5220、2008年7月。

[RFC5245] Rosenberg, J., "Interactive Connectivity Establishment (ICE): A Protocol for Network Address Translator (NAT) Traversal for Offer/Answer Protocols", RFC 5245, April 2010.

[RFC5245] Rosenberg、J。、「Interactive Connectivity Establishment(ICE):A Protocol for Network Address Translator(NAT)Traversal for Offer / Answer Protocols」、RFC 5245、2010年4月。

[RFC5533] Nordmark, E. and M. Bagnulo, "Shim6: Level 3 Multihoming Shim Protocol for IPv6", RFC 5533, June 2009.

[RFC5533] Nordmark、E.およびM. Bagnulo、「Shim6:Level 3 Multihoming Shim Protocol for IPv6」、RFC 5533、2009年6月。

[RFC6106] Jeong, J., Park, S., Beloeil, L., and S. Madanapalli, "IPv6 Router Advertisement Options for DNS Configuration", RFC 6106, November 2010.

[RFC6106] Jeong、J.、Park、S.、Beloeil、L。、およびS. Madanapalli、「DNS構成のIPv6ルーターアドバタイズメントオプション」、RFC 6106、2010年11月。

[TR-124] The Broadband Forum, "TR-124, Functional Requirements for Broadband Residential Gateway Devices", Issue: 2, May 2010, <http://www.broadband-forum.org/technical/download/ TR-124_Issue-2.pdf>.

[TR-124]ブロードバンドフォーラム、「TR-124、ブロードバンドレジデンシャルゲートウェイデバイスの機能要件」、問題:2010年5月2日、<http://www.broadband-forum.org/technical/download/ TR-124_Issue -2.pdf>。

[TR069] The Broadband Forum, "TR-069, CPE WAN Management Protocol v1.1", Version: Issue 1 Amendment 2, December 2007, <http://www.broadband-forum.org/technical/download/ TR-069_Amendment-2.pdf>.

[TR069]ブロードバンドフォーラム、「TR-069、CPE WAN管理プロトコルv1.1」、バージョン:第1号改訂2、2007年12月、<http://www.broadband-forum.org/technical/download/ TR- 069_Amendment-2.pdf>。

Authors' Addresses

著者のアドレス

Ole Troan (editor) Cisco Oslo Norway

Ole Troan(編集者)Cisco Osloノルウェー

   EMail: ot@cisco.com
        

David Miles Google Fiber Mountain View, CA USA

デビッドマイルグーグルファイバーマウンテンビュー

   EMail: davidmiles@google.com
        

Satoru Matsushima Softbank Telecom Tokyo Japan

さとる まつしま そftばんk てぇこm ときょ じゃぱん

   EMail: satoru.matsushima@g.softbank.co.jp
        

Tadahisa Okimoto NTT West Osaka Japan

ただひさ おきもと んっt うぇst おさか じゃぱん

   EMail: t.okimoto@west.ntt.co.jp
        

Dan Wing Cisco 170 West Tasman Drive San Jose USA

Dan Wing Cisco 170 West Tasman Drive San Jose USA

   EMail: dwing@cisco.com