[要約] RFC 8158は、NATイベントのログ記録のためのIPFIX情報要素についての規格です。その目的は、NATイベントの詳細な情報を収集し、ネットワーク管理者がネットワークのトラフィックとセキュリティを監視するための手段を提供することです。
Internet Engineering Task Force (IETF) S. Sivakumar Request for Comments: 8158 R. Penno Category: Standards Track Cisco Systems ISSN: 2070-1721 December 2017
IP Flow Information Export (IPFIX) Information Elements for Logging NAT Events
NATイベントをログに記録するためのIPフロー情報エクスポート(IPFIX)情報要素
Abstract
概要
Network operators require NAT devices to log events like creation and deletion of translations and information about the resources that the NAT device is managing. In many cases, the logs are essential to identify an attacker or a host that was used to launch malicious attacks and for various other purposes of accounting. Since there is no standard way of logging this information, different NAT devices use proprietary formats; hence, it is difficult to expect consistent behavior. This lack of standardization makes it difficult to write the Collector applications that would receive this data and process it to present useful information. This document describes the formats for logging NAT events.
ネットワークオペレーターは、NATデバイスが管理しているリソースに関する変換や情報の作成や削除などのイベントをログに記録する必要があります。多くの場合、ログは、悪意のある攻撃を開始するために使用された攻撃者またはホストを特定するため、およびその他のさまざまな会計目的のために不可欠です。この情報をログに記録する標準的な方法がないため、異なるNATデバイスは独自の形式を使用します。したがって、一貫した動作を期待することは困難です。この標準化の欠如により、このデータを受け取り、それを処理して有用な情報を提示するコレクターアプリケーションを作成することが難しくなっています。このドキュメントでは、NATイベントのログの形式について説明します。
Status of This Memo
本文書の状態
This is an Internet Standards Track document.
これはInternet Standards Trackドキュメントです。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 7841.
このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。インターネット標準の詳細については、RFC 7841のセクション2をご覧ください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc8158.
このドキュメントの現在のステータス、正誤表、およびフィードバックの提供方法に関する情報は、https://www.rfc-editor.org/info/rfc8158で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2017 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2017 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書は、BCP 78およびIETF文書に関するIETFトラストの法的規定(https://trustee.ietf.org/license-info)の対象であり、この文書の発行日に有効です。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . 4 1.1. Terminology . . . . . . . . . . . . . . . . . . . . . . . 4 1.2. Requirements Language . . . . . . . . . . . . . . . . . . 5 2. Scope . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 3. Deployment . . . . . . . . . . . . . . . . . . . . . . . . . 5 4. Event-Based Logging . . . . . . . . . . . . . . . . . . . . . 6 4.1. Logging Destination Information . . . . . . . . . . . . . 6 4.2. Information Elements . . . . . . . . . . . . . . . . . . 7 4.3. Definition of NAT Events . . . . . . . . . . . . . . . . 11 4.4. Quota Exceeded Event Types . . . . . . . . . . . . . . . 12 4.5. Threshold Reached Event Types . . . . . . . . . . . . . . 13 4.6. Templates for NAT Events . . . . . . . . . . . . . . . . 14 4.6.1. NAT44 Session Create and Delete Events . . . . . . . 14 4.6.2. NAT64 Session Create and Delete Events . . . . . . . 15 4.6.3. NAT44 BIB Create and Delete Events . . . . . . . . . 16 4.6.4. NAT64 BIB Create and Delete Events . . . . . . . . . 16 4.6.5. Addresses Exhausted Event . . . . . . . . . . . . . . 17 4.6.6. Ports Exhausted Event . . . . . . . . . . . . . . . . 17 4.6.7. Quota Exceeded Events . . . . . . . . . . . . . . . . 18 4.6.7.1. Maximum Session Entries Exceeded . . . . . . . . 18 4.6.7.2. Maximum BIB Entries Exceeded . . . . . . . . . . 18 4.6.7.3. Maximum Entries per User Exceeded . . . . . . . . 19 4.6.7.4. Maximum Active Hosts or Subscribers Exceeded . . 19 4.6.7.5. Maximum Fragments Pending Reassembly Exceeded . . 19 4.6.8. Threshold Reached Events . . . . . . . . . . . . . . 20 4.6.8.1. Address Pool High or Low Threshold Reached . . . 20 4.6.8.2. Address and Port Mapping High Threshold Reached . 21 4.6.8.3. Address and Port Mapping per User High Threshold Reached . . . . . . . . . . . . . . . . . . . . . 21 4.6.8.4. Global Address Mapping High Threshold Reached . . 22 4.6.9. Address Binding Create and Delete Events . . . . . . 22
4.6.10. Port Block Allocation and De-allocation . . . . . . . 22 5. Management Considerations . . . . . . . . . . . . . . . . . . 23 5.1. Ability to Collect Events from Multiple NAT Devices . . . 23 5.2. Ability to Suppress Events . . . . . . . . . . . . . . . 24 6. IANA Considerations . . . . . . . . . . . . . . . . . . . . . 24 6.1. Information Elements . . . . . . . . . . . . . . . . . . 24 6.1.1. natInstanceID . . . . . . . . . . . . . . . . . . . . 24 6.1.2. internalAddressRealm . . . . . . . . . . . . . . . . 24 6.1.3. externalAddressRealm . . . . . . . . . . . . . . . . 25 6.1.4. natQuotaExceededEvent . . . . . . . . . . . . . . . . 25 6.1.5. natThresholdEvent . . . . . . . . . . . . . . . . . . 26 6.1.6. natEvent . . . . . . . . . . . . . . . . . . . . . . 27 6.1.7. maxSessionEntries . . . . . . . . . . . . . . . . . . 27 6.1.8. maxBIBEntries . . . . . . . . . . . . . . . . . . . . 28 6.1.9. maxEntriesPerUser . . . . . . . . . . . . . . . . . . 28 6.1.10. maxSubscribers . . . . . . . . . . . . . . . . . . . 28 6.1.11. maxFragmentsPendingReassembly . . . . . . . . . . . . 29 6.1.12. addressPoolHighThreshold . . . . . . . . . . . . . . 29 6.1.13. addressPoolLowThreshold . . . . . . . . . . . . . . . 29 6.1.14. addressPortMappingHighThreshold . . . . . . . . . . . 30 6.1.15. addressPortMappingLowThreshold . . . . . . . . . . . 30 6.1.16. addressPortMappingPerUserHighThreshold . . . . . . . 30 6.1.17. globalAddressMappingHighThreshold . . . . . . . . . . 31 7. Security Considerations . . . . . . . . . . . . . . . . . . . 31 8. References . . . . . . . . . . . . . . . . . . . . . . . . . 32 8.1. Normative References . . . . . . . . . . . . . . . . . . 32 8.2. Informative References . . . . . . . . . . . . . . . . . 33 Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . . 34 Authors' Addresses . . . . . . . . . . . . . . . . . . . . . . . 34
The IP Flow Information Export (IPFIX) Protocol [RFC7011] defines a generic push mechanism for exporting information and events. The IPFIX Information Model [IPFIX-IANA] defines a set of standard Information Elements (IEs) that can be carried by the IPFIX protocol. This document details the IPFIX IEs that MUST be logged by a NAT device that supports NAT logging using IPFIX and all the optional fields. The fields specified in this document are gleaned from [RFC4787] and [RFC5382].
IPフロー情報エクスポート(IPFIX)プロトコル[RFC7011]は、情報とイベントをエクスポートするための一般的なプッシュメカニズムを定義します。 IPFIX情報モデル[IPFIX-IANA]は、IPFIXプロトコルで伝送できる一連の標準情報要素(IE)を定義します。このドキュメントでは、IPFIXとすべてのオプションフィールドを使用したNATログをサポートするNATデバイスによってログに記録される必要があるIPFIX IEについて詳しく説明します。このドキュメントで指定されているフィールドは、[RFC4787]と[RFC5382]から収集されます。
This document and [NAT-LOG] are written in order to standardize the events and parameters to be recorded using IPFIX [RFC7011] and SYSLOG [RFC5424], respectively. This document uses IPFIX as the encoding mechanism to describe the logging of NAT events. However, the information that is logged should be the same irrespective of what kind of encoding scheme is used. IPFIX is chosen because it is an IETF standard that meets all the needs for a reliable logging mechanism. IPFIX provides the flexibility to the logging device to define the datasets that it is logging. The IEs specified for logging must be the same irrespective of the encoding mechanism used.
このドキュメントと[NAT-LOG]は、それぞれIPFIX [RFC7011]とSYSLOG [RFC5424]を使用して記録されるイベントとパラメーターを標準化するために書かれています。このドキュメントでは、NATイベントのロギングを説明するためのエンコーディングメカニズムとしてIPFIXを使用しています。ただし、ログに記録される情報は、使用されるエンコード方式の種類に関係なく、同じである必要があります。 IPFIXは、信頼できるロギングメカニズムのすべてのニーズを満たすIETF標準であるため選択されました。 IPFIXは、ロギングするデータセットを定義するためにロギングデバイスに柔軟性を提供します。ロギングに指定されるIEは、使用されるエンコードメカニズムに関係なく同じでなければなりません。
The term "NAT device" in this document refers to any NAT44 or NAT64 device. The term "Collector" refers to any device that receives binary data from a NAT device and converts it into meaningful information. This document uses the term "session" as defined in [RFC2663], and the term "Binding Information Base" (BIB) as defined in [RFC6146]. The term "Information Element" or "IE" is defined in [RFC7011]. The term "Carrier-Grade NAT" refers to a large-scale NAT device as described in [RFC6888]
このドキュメントの「NATデバイス」という用語は、NAT44またはNAT64デバイスを指します。 「コレクター」という用語は、NATデバイスからバイナリデータを受信し、それを意味のある情報に変換するデバイスを指します。このドキュメントでは、[RFC2663]で定義されている「セッション」という用語と、[RFC6146]で定義されている「バインディング情報ベース」(BIB)という用語を使用しています。 「情報要素」または「IE」という用語は、[RFC7011]で定義されています。 「キャリアグレードNAT」という用語は、[RFC6888]で説明されている大規模NATデバイスを指します。
The IPFIX IEs that are NAT specific are created with NAT terminology. In order to avoid creating duplicates, IEs are reused if they convey the same meaning. This document uses the term "timestamp" for the IE, which defines the time when an event is logged; this is the same as the IPFIX term "observationTimeMilliseconds" as described in [IPFIX-IANA]. Since observationTimeMilliseconds is not self-explanatory for NAT implementors, the term "timeStamp" is used. Event templates, which refer to IPFIX Template Records, as well as log events, which refer to IPFIX Flow Records, are also used in this document.
NAT固有のIPFIX IEは、NAT用語で作成されます。重複の作成を回避するために、IEは同じ意味を伝える場合に再利用されます。このドキュメントでは、IEの「タイムスタンプ」という用語を使用します。これは、イベントがログに記録される時間を定義します。これは、[IPFIX-IANA]で説明されているIPFIX用語「observationTimeMilliseconds」と同じです。 ObservationTimeMillisecondsはNATの実装者にとって自明ではないため、「timeStamp」という用語が使用されます。このドキュメントでは、IPFIXテンプレートレコードを参照するイベントテンプレート、およびIPFIXフローレコードを参照するログイベントも使用されます。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14 [RFC2119] [RFC8174] when, and only when, they appear in all capitals, as shown here.
キーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「NOT RECOMMENDED」、「MAY」、「OPTIONALこのドキュメントの「」は、BCP 14 [RFC2119] [RFC8174]で説明されているように解釈されます。
This document provides the information model to be used for logging the NAT events, including Carrier-Grade NAT (CGN) events. [RFC7011] provides guidance on the choices of the transport protocols used for IPFIX and their effects. This document does not provide guidance on transport protocols like TCP, UDP, or Stream Control Transmission Protocol (SCTP), which are to be used to log NAT events. The logs SHOULD be reliably sent to the Collector to ensure that the log events are not lost. The choice of the actual transport protocol is beyond the scope of this document.
このドキュメントでは、キャリアグレードNAT(CGN)イベントを含むNATイベントのログに使用される情報モデルを提供します。 [RFC7011]は、IPFIXに使用されるトランスポートプロトコルの選択とその影響に関するガイダンスを提供します。このドキュメントでは、NATイベントのログに使用されるTCP、UDP、またはストリーム制御伝送プロトコル(SCTP)などのトランスポートプロトコルに関するガイダンスは提供していません。ログは確実にコレクタに送信して、ログイベントが失われないようにする必要があります。実際のトランスポートプロトコルの選択は、このドキュメントの範囲を超えています。
This document uses the allocated IPFIX IEs in the IANA "IPFIX Information Elements" registry [IPFIX-IANA] and registers some new ones.
このドキュメントでは、IANAの「IPFIX情報要素」レジストリ[IPFIX-IANA]で割り当てられたIPFIX IEを使用し、いくつかの新しいIPFIX IEを登録しています。
This document assumes that the NAT device will use the existing IPFIX framework to send the log events to the Collector. This would mean that the NAT device will specify the template that it is going to use for each of the events. The templates can be of varying length, and there could be multiple templates that a NAT device could use to log the events.
このドキュメントでは、NATデバイスが既存のIPFIXフレームワークを使用してログイベントをコレクターに送信することを想定しています。つまり、NATデバイスは、各イベントに使用するテンプレートを指定します。テンプレートの長さはさまざまで、NATデバイスがイベントのログに使用できるテンプレートが複数ある場合があります。
The implementation details of the Collector application are beyond the scope of this document.
Collectorアプリケーションの実装の詳細は、このドキュメントの範囲を超えています。
The optimization of logging the NAT events is left to the implementation and is beyond the scope of this document.
NATイベントのロギングの最適化は実装に委ねられており、このドキュメントの範囲を超えています。
NAT logging based on IPFIX uses binary encoding; hence, it is very efficient. IPFIX-based logging is recommended for environments where a high volume of logging is required, for example, where per-flow logging is needed or in case of Carrier-Grade NAT. However, IPFIX-based logging requires a Collector that processes the binary data and requires a network management application that converts this binary data to a human-readable format.
IPFIXに基づくNATロギングはバイナリエンコーディングを使用します。したがって、非常に効率的です。 IPFIXベースのロギングは、大量のロギングが必要な環境(フローごとのロギングが必要な場合や、キャリアグレードのNATの場合など)に推奨されます。ただし、IPFIXベースのロギングには、バイナリデータを処理するコレクターと、このバイナリデータを人間が読める形式に変換するネットワーク管理アプリケーションが必要です。
A Collector may receive NAT events from multiple CGN devices. The Collector distinguishes between the devices using the source IP address, source port, and Observation Domain ID in the IPFIX header. The Collector can decide to store the information based on the administrative policies that are in line with the operator and the local jurisdiction. The retention policy is not dictated by the Exporter and is left to the policies that are defined at the Collector.
コレクターは、複数のCGNデバイスからNATイベントを受信する場合があります。コレクターは、IPFIXヘッダーの送信元IPアドレス、送信元ポート、および監視ドメインIDを使用してデバイスを区別します。コレクターは、オペレーターおよびローカルの管轄区域に沿った管理ポリシーに基づいて情報を保管することを決定できます。保存ポリシーはエクスポーターによって指示されず、コレクターで定義されるポリシーに任されます。
A Collector may have scale issues if it is overloaded by a large number of simultaneous events. An appropriate throttling mechanism may be used to handle the oversubscription.
コレクターは、多数の同時イベントによって過負荷になると、スケールの問題が発生する可能性があります。オーバーサブスクリプションを処理するために、適切なスロットリングメカニズムを使用できます。
The logs that are exported can be used for a variety of reasons. An example use case is to do accounting based on when the users logged on and off. The translation will be installed when the user logs on and removed when the user logs off. These events create log records. Another use case is to identify an attacker or a host in a provider network. The network administrators can use these logs to identify the usage patterns, the need for additional IP addresses, and etc. The deployment of NAT logging is not limited to just these cases.
エクスポートされたログは、さまざまな理由で使用できます。使用例としては、ユーザーがいつログオンおよびログオフしたかに基づいてアカウンティングを行う場合があります。翻訳は、ユーザーがログオンするとインストールされ、ユーザーがログオフすると削除されます。これらのイベントはログレコードを作成します。別の使用例は、攻撃者またはプロバイダーネットワーク内のホストを識別することです。ネットワーク管理者は、これらのログを使用して、使用パターン、追加のIPアドレスの必要性などを識別できます。NATロギングの展開は、これらのケースに限定されません。
An event in a NAT device can be viewed as a state transition because it relates to the management of NAT resources. The creation and deletion of NAT sessions and bindings are examples of events, as they result in resources (addresses and ports) being allocated or freed. The events can happen through the processing of data packets flowing through the NAT device, through an external entity installing policies on the NAT router, or as a result of an asynchronous event like a timer. The list of events is provided in Table 2. Each of these events SHOULD be logged, unless this is administratively prohibited. A NAT device MAY log these events to multiple Collectors if redundancy is required. The network administrator will specify the Collectors to which the log records are to be sent. It is necessary to preserve the list of Collectors and its associated information like the IPv4/IPv6 address, port, and protocol across reboots so that the configuration information is not lost when the device is restarted. The NAT device implementing the IPFIX logging MUST follow the IPFIX specification in [RFC7011].
NATデバイスのイベントは、NATリソースの管理に関連しているため、状態遷移と見なすことができます。 NATセッションとバインディングの作成と削除は、リソース(アドレスとポート)が割り当てられたり解放されたりするため、イベントの例です。イベントは、NATデバイスを流れるデータパケットの処理、NATルーターにポリシーをインストールする外部エンティティ、またはタイマーなどの非同期イベントの結果として発生します。イベントのリストを表2に示します。これらのイベントは、管理上禁止されていない限り、ログに記録する必要があります(SHOULD)。冗長性が必要な場合、NATデバイスはこれらのイベントを複数のコレクタにログ記録できます。ネットワーク管理者は、ログレコードの送信先となるコレクタを指定します。デバイスの再起動時に構成情報が失われないように、コレクターのリストと、IPv4 / IPv6アドレス、ポート、プロトコルなどの関連情報を再起動後に保持する必要があります。 IPFIXロギングを実装するNATデバイスは、[RFC7011]のIPFIX仕様に従う必要があります。
Logging destination information in a NAT event is discussed in [RFC6302] and [RFC6888]. Logging destination information increases the size of each record and increases the need for storage considerably. It increases the number of log events generated because when the same user connects to a different destination, it results in a log record per destination address. Logging the source and destination addresses results in loss of privacy. Logging of destination addresses and ports, pre- or post-NAT, SHOULD NOT be done [RFC6888]. However, this document provides the necessary fields to log the destination information in cases where they must be logged.
NATイベントでの宛先情報のロギングについては、[RFC6302]と[RFC6888]で説明されています。宛先情報をログに記録すると、各レコードのサイズが増加し、ストレージの必要性が大幅に増加します。同じユーザーが別の宛先に接続すると、宛先アドレスごとにログレコードが生成されるため、生成されるログイベントの数が増加します。送信元アドレスと宛先アドレスをログに記録すると、プライバシーが失われます。 NATの前または後の宛先アドレスとポートのログ記録は行わないでください[RFC6888]。ただし、このドキュメントでは、ログに記録する必要がある場合に、宛先情報をログに記録するために必要なフィールドを提供します。
The templates could contain a subset of the IEs shown in Table 1, depending upon the event being logged. For example, a NAT44 session creation template record will contain:
テンプレートには、ログに記録されるイベントに応じて、表1に示すIEのサブセットを含めることができます。たとえば、NAT44セッション作成テンプレートレコードには次のものが含まれます。
{sourceIPv4Address, postNATSourceIPv4Address, destinationIPv4Address, postNATDestinationIPv4Address, sourceTransportPort, postNAPTSourceTransportPort, destinationTransportPort, postNAPTDestinationTransportPort, internalAddressRealm, natEvent, timeStamp}
{sourceIPv4Address、postNATSourceIPv4Address、destinationIPv4Address、postNATDestinationIPv4Address、sourceTransportPort、postNAPTSourceTransportPort、destinationTransportPort、postNAPTDestinationTransportPort、internalAddressRealm、natEvent、timeStamp}
An example of the actual event data record is shown below in a human-readable form:
実際のイベントデータレコードの例を、人が読める形式で以下に示します。
{192.0.2.1, 203.0.113.100, 192.0.2.104, 192.0.2.104, 14800, 1024, 80, 80, 0, 1, 09:20:10:789}
A single NAT device could be exporting multiple templates, and the Collector MUST support receiving multiple templates from the same source.
単一のNATデバイスが複数のテンプレートをエクスポートする可能性があり、コレクターは同じソースからの複数のテンプレートの受信をサポートする必要があります。
The following table includes all the IEs that a NAT device would need to export the events. The formats of the IEs and the IPFIX IDs are listed. Detailed descriptions of the fields natInstanceID, internalAddressRealm, externalAddressRealm, natQuotaExceededEvent, and natThresholdEvent are included in the IANA Considerations section.
次の表には、NATデバイスがイベントをエクスポートするために必要なすべてのIEが含まれています。 IEの形式とIPFIX IDがリストされています。フィールドnatInstanceID、internalAddressRealm、externalAddressRealm、natQuotaExceededEvent、およびnatThresholdEventの詳細な説明は、IANAに関する考慮事項のセクションに含まれています。
+-----------------------------------+--------+-------+--------------+ | Field Name | Size | IANA | Description | | | (bits) | IPFIX | | | | | ID | | +-----------------------------------+--------+-------+--------------+ | timeStamp | 64 | 323 | System Time | | | | | when the | | | | | event | | | | | occurred | | | | | | | natInstanceID | 32 | 463 | NAT Instance | | | | | Identifier | | | | | | | vlanId | 16 | 58 | VLAN ID in | | | | | case of | | | | | overlapping | | | | | networks | | | | | | | ingressVRFID | 32 | 234 | VRF ID in | | | | | case of | | | | | overlapping | | | | | networks | | | | | | | sourceIPv4Address | 32 | 8 | Source IPv4 | | | | | Address | | | | | | | postNATSourceIPv4Address | 32 | 225 | Translated | | | | | Source IPv4 | | | | | Address | | | | | | | protocolIdentifier | 8 | 4 | Transport | | | | | protocol | | | | | | | sourceTransportPort | 16 | 7 | Source Port | | | | | | | postNAPTSourceTransportPort | 16 | 227 | Translated | | | | | Source port | | | | | | | destinationIPv4Address | 32 | 12 | Destination | | | | | IPv4 Address | | | | | |
| postNATDestinationIPv4Address | 32 | 226 | Translated | | | | | IPv4 | | | | | destination | | | | | address | | | | | | | destinationTransportPort | 16 | 11 | Destination | | | | | port | | | | | | | postNAPTDestinationTransportPort | 16 | 228 | Translated | | | | | Destination | | | | | port | | | | | | | sourceIPv6Address | 128 | 27 | Source IPv6 | | | | | address | | | | | | | destinationIPv6Address | 128 | 28 | Destination | | | | | IPv6 address | | | | | | | postNATSourceIPv6Address | 128 | 281 | Translated | | | | | source IPv6 | | | | | address | | | | | | | postNATDestinationIPv6Address | 128 | 282 | Translated | | | | | Destination | | | | | IPv6 address | | | | | | | internalAddressRealm | (*) | 464 | Source | | | | | Address | | | | | Realm | | | | | | | externalAddressRealm | (*) | 465 | Destination | | | | | Address | | | | | Realm | | | | | | | natEvent | 8 | 230 | Type of | | | | | Event | | | | | | | portRangeStart | 16 | 361 | Allocated | | | | | port block | | | | | start | | | | | | | portRangeEnd | 16 | 362 | Allocated | | | | | Port block | | | | | end | | | | | | | natPoolId | 32 | 283 | NAT pool | | | | | Identifier | | | | | |
| natQuotaExceededEvent | 32 | 466 | Limit event | | | | | identifier | | | | | | | natThresholdEvent | 32 | 467 | Threshold | | | | | event | | | | | identifier | | | | | | | maxSessionEntries | 32 | 471 | Maximum | | | | | session | | | | | entries | | | | | | | maxBIBEntries | 32 | 472 | Maximum bind | | | | | entries | | | | | | | maxEntriesPerUser | 32 | 473 | Maximum | | | | | entries per- | | | | | user | | | | | | | maxSubscribers | 32 | 474 | Maximum | | | | | subscribers | | | | | | | maxFragmentsPendingReassembly | 32 | 475 | Maximum | | | | | fragments | | | | | for | | | | | ressembly | | | | | | | addressPoolHighThreshold | 32 | 476 | High | | | | | threshold | | | | | for address | | | | | pool | | | | | | | addressPoolLowThreshold | 32 | 477 | Low | | | | | threshold | | | | | for address | | | | | pool | | | | | | | addressPortMappingHighThreshold | 32 | 478 | High | | | | | threshold | | | | | for | | | | | address/port | | | | | mapping | | | | | | | addressPortMappingLowThreshold | 32 | 479 | Low | | | | | threshold | | | | | for | | | | | address/port | | | | | mapping | | | | | |
| addressPortMappingPerUserHighThre | 32 | 480 | High | | shold | | | threshold | | | | | for per-user | | | | | address/port | | | | | mapping | | | | | | | globalAddressMappingHighThreshold | 32 | 481 | High | | | | | threshold | | | | | for global | | | | | address | | | | | mapping | +-----------------------------------+--------+-------+--------------+
Note: (*) indicates octetArray
注:(*)はoctetArrayを示します
Table 1: NAT IE List
表1:NAT IEリスト
The following is the complete list of NAT events and the proposed event type values. The natEvent IE is defined in the "IPFIX Information Elements" registry [IPFIX-IANA];. The list can be expanded in the future as necessary. The data record will have the corresponding natEvent value to indicate the event that is being logged.
以下は、NATイベントと提案されたイベントタイプの値の完全なリストです。 natEvent IEは、「IPFIX情報要素」レジストリ[IPFIX-IANA];で定義されています。リストは、必要に応じて将来拡張することができます。データレコードには、ログに記録されているイベントを示す対応するnatEvent値があります。
Note that the first two events are marked "Historic" and are listed here for the sole purpose of completeness. Any compliant implementation SHOULD NOT use the events that are marked "Historic". These values were defined prior to the existence of this document and outside the IETF. These events are not standalone and require more information to be conveyed to qualify the event. For example, the NAT translation create event does not specify if it is NAT44 or NAT64. As a result, the Behave working group decided to have an explicit definition for each one of the unique events.
最初の2つのイベントは「履歴」とマークされており、完全を期すためにここにリストされています。準拠している実装では、「歴史的」とマークされているイベントを使用してはなりません(SHOULD NOT)。これらの値は、このドキュメントが存在する前に、IETFの外部で定義されました。これらのイベントはスタンドアロンではなく、イベントを限定するには、より多くの情報を伝達する必要があります。たとえば、NAT変換作成イベントでは、NAT44かNAT64かは指定されません。その結果、Behaveワーキンググループは、一意のイベントのそれぞれに対して明確な定義を持つことを決定しました。
+-------+------------------------------------+ | Value | Event Name | +-------+------------------------------------+ | 0 | Reserved | | 1 | NAT translation create (Historic) | | 2 | NAT translation delete (Historic) | | 3 | NAT Addresses exhausted | | 4 | NAT44 session create | | 5 | NAT44 session delete | | 6 | NAT64 session create | | 7 | NAT64 session delete | | 8 | NAT44 BIB create | | 9 | NAT44 BIB delete | | 10 | NAT64 BIB create | | 11 | NAT64 BIB delete | | 12 | NAT ports exhausted | | 13 | Quota Exceeded | | 14 | Address binding create | | 15 | Address binding delete | | 16 | Port block allocation | | 17 | Port block de-allocation | | 18 | Threshold Reached | +-------+------------------------------------+
Table 2: NAT Event ID
表2:NATイベントID
The Quota Exceeded event is a natEvent IE described in Table 2. The Quota Exceeded events are generated when the hard limits set by the administrator have been reached or exceeded. The following table shows the sub-event types for the Quota Exceeded event. The events that can be reported are the maximum session entries limit reached, maximum BIB entries limit reached, maximum (session/BIB) entries per user limit reached, maximum active hosts or subscribers limit reached, and maximum Fragments pending reassembly limit reached.
Quota Exceededイベントは、表2で説明されているnatEvent IEです。QuotaExceededイベントは、管理者が設定したハード制限に達したか、超えたときに生成されます。次の表は、Quota Exceededイベントのサブイベントタイプを示しています。報告できるイベントは、最大セッションエントリ制限に達した、最大BIBエントリ制限に達した、ユーザー制限あたりの最大(セッション/ BIB)エントリ制限に達した、最大アクティブホストまたはサブスクライバー制限に達した、および再構築の保留中の最大フラグメント制限です。
+-------+---------------------------------------+ | Value | Quota Exceeded Event Name | +-------+---------------------------------------+ | 0 | Reserved | | 1 | Maximum session entries | | 2 | Maximum BIB entries | | 3 | Maximum entries per user | | 4 | Maximum active hosts or subscribers | | 5 | Maximum fragments pending reassembly | +-------+---------------------------------------+
Table 3: Quota Exceeded Event
表3:クォータ超過イベント
The following table shows the sub-event types for the Threshold Reached event. The administrator can configure the thresholds, and whenever the threshold is reached or exceeded, the corresponding events are generated. The main difference between the Quota Exceeded and Threshold Reached events is that, once the Quota Exceeded events are hit, the packets are dropped or mappings will not be created, whereas the Threshold Reached events will provide the operator a chance to take action before the traffic disruptions can happen. A NAT device can choose to implement one or the other, or both.
次の表は、しきい値到達イベントのサブイベントタイプを示しています。管理者はしきい値を構成でき、しきい値に達するか超えると、対応するイベントが生成されます。 Quota ExceededイベントとThreshold Reachedイベントの主な違いは、Quota Exceededイベントに到達すると、パケットがドロップされるか、マッピングが作成されないのに対して、Threshold Reachedイベントは、オペレーターがトラフィックの前にアクションを実行する機会を提供することです。混乱が発生する可能性があります。 NATデバイスは、どちらか一方、または両方を実装することを選択できます。
The address pool high threshold event will be reported when the address pool reaches a high-water mark as defined by the operator. This will serve as an indication that either the operator might have to add more addresses to the pool or the subsequent users may be denied NAT translation mappings.
アドレスプールの高しきい値イベントは、アドレスプールがオペレーターによって定義された最高水準点に達したときに報告されます。これは、オペレーターがプールにアドレスを追加する必要があるか、後続のユーザーがNAT変換マッピングを拒否される可能性があることを示します。
The address pool low threshold event will be reported when the address pool reaches a low-water mark as defined by the operator. This will serve as an indication that the operator can reclaim some of the global IPv4 addresses in the pool.
オペレーターが定義した最低水準点にアドレスプールが到達すると、アドレスプール低しきい値イベントが報告されます。これは、オペレーターがプール内のグローバルIPv4アドレスの一部を取り戻すことができることを示します。
The address and port mapping high threshold event is generated when the number of ports in the configured address pool has reached a configured threshold.
構成済みアドレスプール内のポート数が構成済みしきい値に達したときに、アドレスおよびポートマッピングの高しきい値イベントが生成されます。
The per-user address and port mapping high threshold is generated when a single user utilizes more address and port mapping than a configured threshold. We don't track the low threshold for per-user address and port mappings because, as the ports are freed, the address will become available. The address pool low threshold event will then be triggered so that the global IPv4 address can be reclaimed.
ユーザーごとのアドレスとポートのマッピングの高しきい値は、1人のユーザーが構成済みのしきい値よりも多くのアドレスとポートのマッピングを使用する場合に生成されます。ユーザーごとのアドレスとポートのマッピングの低しきい値は追跡しません。これは、ポートが解放されると、アドレスが使用可能になるためです。次に、アドレスプールの低しきい値イベントがトリガーされ、グローバルIPv4アドレスを再利用できるようになります。
The global address mapping high threshold event is generated when the maximum number of mappings per user is reached for a NAT device doing paired-address pooling.
ペアアドレスプーリングを実行しているNATデバイスのユーザーあたりのマッピングの最大数に到達すると、グローバルアドレスマッピングの高しきい値イベントが生成されます。
+-------+---------------------------------------------------------+ | Value | Threshold Exceeded Event Name | +-------+---------------------------------------------------------+ | 0 | Reserved | | 1 | Address pool high threshold event | | 2 | Address pool low threshold event | | 3 | Address and port mapping high threshold event | | 4 | Address and port mapping per user high threshold event | | 5 | Global address mapping high threshold event | +-------+---------------------------------------------------------+
Table 4: Threshold Event
表4:しきい値イベント
The following is the template of events that will be logged. The events below are identified at the time of this writing, but the set of events is extensible. A NAT device that implements a given NAT event MUST support the mandatory IEs in the templates. Depending on the implementation and configuration, various IEs that are not mandatory can be included or ignored.
以下は、ログに記録されるイベントのテンプレートです。以下のイベントは、この記事の執筆時点で特定されていますが、一連のイベントは拡張可能です。特定のNATイベントを実装するNATデバイスは、テンプレートの必須IEをサポートする必要があります。実装と構成に応じて、必須ではないさまざまなIEを含めたり、無視したりできます。
These events will be generated when a NAT44 session is created or deleted. The template will be the same; the natEvent will indicate whether it is a create or a delete event. The following is a template of the event.
これらのイベントは、NAT44セッションが作成または削除されたときに生成されます。テンプレートは同じです。 natEventは、作成イベントか削除イベントかを示します。以下は、イベントのテンプレートです。
The destination address and port information is optional as required by [RFC6888]. However, when the destination information is suppressed, the session log event contains the same information as the BIB event. In such cases, the NAT device SHOULD NOT send both BIB and session events.
[RFC6888]で要求されているように、宛先アドレスとポート情報はオプションです。ただし、宛先情報が抑制されている場合、セッションログイベントにはBIBイベントと同じ情報が含まれます。このような場合、NATデバイスはBIBイベントとセッションイベントの両方を送信しないでください。
+----------------------------------+-------------+-----------+ | Field Name | Size (bits) | Mandatory | +----------------------------------+-------------+-----------+ | timeStamp | 64 | Yes | | natEvent | 8 | Yes | | sourceIPv4Address | 32 | Yes | | postNATSourceIPv4Address | 32 | Yes | | protocolIdentifier | 8 | Yes | | sourceTransportPort | 16 | Yes | | postNAPTSourceTransportPort | 16 | Yes | | destinationIPv4Address | 32 | No | | postNATDestinationIPv4Address | 32 | No | | destinationTransportPort | 16 | No | | postNAPTDestinationTransportPort | 16 | No | | natInstanceID | 32 | No | | vlanID/ingressVRFID | 16/32 | No | | internalAddressRealm | octetArray | No | | externalAddressRealm | octetArray | No | +----------------------------------+-------------+-----------+
Table 5: NAT44 Session Delete/Create Template
表5:NAT44セッションの削除/テンプレートの作成
These events will be generated when a NAT64 session is created or deleted. The following is a template of the event.
これらのイベントは、NAT64セッションが作成または削除されたときに生成されます。以下は、イベントのテンプレートです。
+----------------------------------+-------------+-----------+ | Field Name | Size (bits) | Mandatory | +----------------------------------+-------------+-----------+ | timeStamp | 64 | Yes | | natEvent | 8 | Yes | | sourceIPv6Address | 128 | Yes | | postNATSourceIPv4Address | 32 | Yes | | protocolIdentifier | 8 | Yes | | sourceTransportPort | 16 | Yes | | postNAPTSourceTransportPort | 16 | Yes | | destinationIPv6Address | 128 | No | | postNATDestinationIPv4Address | 32 | No | | destinationTransportPort | 16 | No | | postNAPTDestinationTransportPort | 16 | No | | natInstanceID | 32 | No | | vlanID/ingressVRFID | 16/32 | No | | internalAddressRealm | octetArray | No | | externalAddressRealm | octetArray | No | +----------------------------------+-------------+-----------+
Table 6: NAT64 Session Create/Delete Event Template
表6:NAT64セッションの作成/削除イベントテンプレート
These events will be generated when a NAT44 Bind entry is created or deleted. The following is a template of the event.
これらのイベントは、NAT44バインドエントリが作成または削除されたときに生成されます。以下は、イベントのテンプレートです。
+-----------------------------+-------------+-----------+ | Field Name | Size (bits) | Mandatory | +-----------------------------+-------------+-----------+ | timeStamp | 64 | Yes | | natEvent | 8 | Yes | | sourceIPv4Address | 32 | Yes | | postNATSourceIPv4Address | 32 | Yes | | protocolIdentifier | 8 | No | | sourceTransportPort | 16 | No | | postNAPTSourceTransportPort | 16 | No | | natInstanceID | 32 | No | | vlanID/ingressVRFID | 16/32 | No | | internalAddressRealm | octetArray | No | | externalAddressRealm | octetArray | No | +-----------------------------+-------------+-----------+
Table 7: NAT44 BIB Create/Delete Event Template
表7:NAT44 BIB作成/削除イベントテンプレート
These events will be generated when a NAT64 Bind entry is created or deleted. The following is a template of the event.
これらのイベントは、NAT64 Bindエントリが作成または削除されたときに生成されます。以下は、イベントのテンプレートです。
+-----------------------------+-------------+-----------+ | Field Name | Size (bits) | Mandatory | +-----------------------------+-------------+-----------+ | timeStamp | 64 | Yes | | natEvent | 8 | Yes | | sourceIPv6Address | 128 | Yes | | postNATSourceIPv4Address | 32 | Yes | | protocolIdentifier | 8 | No | | sourceTransportPort | 16 | No | | postNAPTSourceTransportPort | 16 | No | | natInstanceID | 32 | No | | vlanID/ingressVRFID | 16/32 | No | | internalAddressRealm | octetArray | No | | externalAddressRealm | octetArray | No | +-----------------------------+-------------+-----------+
Table 8: NAT64 BIB Create/Delete Event Template
表8:NAT64 BIB作成/削除イベントテンプレート
This event will be generated when a NAT device runs out of global IPv4 addresses in a given pool of addresses. Typically, this event would mean that the NAT device won't be able to create any new translations until some addresses/ports are freed. This event SHOULD be rate-limited, as many packets hitting the device at the same time will trigger a burst of addresses exhausted events.
このイベントは、NATデバイスが特定のアドレスプールのグローバルIPv4アドレスを使い果たすと生成されます。通常、このイベントは、一部のアドレス/ポートが解放されるまで、NATデバイスが新しい変換を作成できないことを意味します。同時にデバイスに到達する多くのパケットがアドレスの枯渇イベントのバーストをトリガーするため、このイベントはレート制限する必要があります(SHOULD)。
The following is a template of the event.
以下は、イベントのテンプレートです。
+---------------+-------------+-----------+ | Field Name | Size (bits) | Mandatory | +---------------+-------------+-----------+ | timeStamp | 64 | Yes | | natEvent | 8 | Yes | | natPoolID | 32 | Yes | | natInstanceID | 32 | No | +---------------+-------------+-----------+
Table 9: Addresses Exhausted Event Template
表9:枯渇したイベントテンプレートのアドレス
This event will be generated when a NAT device runs out of ports for a global IPv4 address. Port exhaustion shall be reported per protocol (UDP, TCP, etc.). This event SHOULD be rate-limited, as many packets hitting the device at the same time will trigger a burst of port exhausted events.
このイベントは、NATデバイスがグローバルIPv4アドレスのポートを使い果たすときに生成されます。ポートの枯渇は、プロトコル(UDP、TCPなど)ごとに報告されます。同時にデバイスに到達する多くのパケットがポートの枯渇イベントのバーストをトリガーするため、このイベントはレート制限する必要があります。
The following is a template of the event.
以下は、イベントのテンプレートです。
+--------------------------+-------------+-----------+ | Field Name | Size (bits) | Mandatory | +--------------------------+-------------+-----------+ | timeStamp | 64 | Yes | | natEvent | 8 | Yes | | postNATSourceIPv4Address | 32 | Yes | | protocolIdentifier | 8 | Yes | | natInstanceID | 32 | No | +--------------------------+-------------+-----------+
Table 10: Ports Exhausted Event Template
表10:ポート枯渇イベントテンプレート
This event will be generated when a NAT device cannot allocate resources as a result of an administratively defined policy. The Quota Exceeded event templates are described below.
このイベントは、管理上定義されたポリシーの結果として、NATデバイスがリソースを割り当てられない場合に生成されます。 Quota Exceededイベントテンプレートについては、以下で説明します。
The maximum session entries exceeded event is generated when the administratively configured NAT session limit is reached. The following is the template of the event.
最大セッションエントリ超過イベントは、管理上構成されたNATセッション制限に達したときに生成されます。以下はイベントのテンプレートです。
+-----------------------+-------------+-----------+ | Field Name | Size (bits) | Mandatory | +-----------------------+-------------+-----------+ | timeStamp | 64 | Yes | | natEvent | 8 | Yes | | natQuotaExceededEvent | 32 | Yes | | maxSessionEntries | 32 | Yes | | natInstanceID | 32 | No | +-----------------------+-------------+-----------+
Table 11: Session Entries Exceeded Event Template
表11:セッションエントリ超過イベントテンプレート
The maximum BIB entries exceeded event is generated when the administratively configured BIB entry limit is reached. The following is the template of the event.
最大BIBエントリ超過イベントは、管理上設定されたBIBエントリ制限に達すると生成されます。以下はイベントのテンプレートです。
+-----------------------+-------------+-----------+ | Field Name | Size (bits) | Mandatory | +-----------------------+-------------+-----------+ | timeStamp | 64 | Yes | | natEvent | 8 | Yes | | natQuotaExceededEvent | 32 | Yes | | maxBIBEntries | 32 | Yes | | natInstanceID | 32 | No | +-----------------------+-------------+-----------+
Table 12: BIB Entries Exceeded Event Template
表12:BIBエントリ超過イベントテンプレート
This event is generated when a single user reaches the administratively configured NAT translation limit. The following is the template of the event.
このイベントは、1人のユーザーが管理上構成されたNAT変換の制限に達したときに生成されます。以下はイベントのテンプレートです。
+-----------------------+-------------+---------------+ | Field Name | Size (bits) | Mandatory | +-----------------------+-------------+---------------+ | timeStamp | 64 | Yes | | natEvent | 8 | Yes | | natQuotaExceededEvent | 32 | Yes | | maxEntriesPerUser | 32 | Yes | | sourceIPv4Address | 32 | Yes for NAT44 | | sourceIPv6Address | 128 | Yes for NAT64 | | natInstanceID | 32 | No | | vlanID/ingressVRFID | 16/32 | No | +-----------------------+-------------+---------------+
Table 13: Per-User Entries Exceeded Event Template
表13:ユーザーごとのエントリ超過イベントテンプレート
This event is generated when the number of allowed hosts or subscribers reaches the administratively configured limit. The following is the template of the event.
このイベントは、許可されたホストまたはサブスクライバーの数が管理上構成された制限に達したときに生成されます。以下はイベントのテンプレートです。
+-----------------------+-------------+-----------+ | Field Name | Size (bits) | Mandatory | +-----------------------+-------------+-----------+ | timeStamp | 64 | Yes | | natEvent | 8 | Yes | | natQuotaExceededEvent | 32 | Yes | | maxSubscribers | 32 | Yes | | natInstanceID | 32 | No | +-----------------------+-------------+-----------+
Table 14: Maximum Hosts/Subscribers Exceeded Event Template
表14:最大ホスト/サブスクライバー超過イベントテンプレート
This event is generated when the number of fragments pending reassembly reaches the administratively configured limit. Note that in the case of NAT64, when this condition is detected in the IPv6-to-IPv4 direction, the IPv6 source address is mandatory in the template. Similarly, when this condition is detected in IPv4-to-IPv6 direction, the source IPv4 address is mandatory in the template below. The following is the template of the event.
このイベントは、再構成を保留しているフラグメントの数が管理上構成された制限に達すると生成されます。 NAT64の場合、この条件がIPv6-to-IPv4方向で検出されると、IPv6送信元アドレスがテンプレートで必須になることに注意してください。同様に、この状態がIPv4-to-IPv6方向で検出された場合、以下のテンプレートでは送信元IPv4アドレスが必須です。以下はイベントのテンプレートです。
+-------------------------------+-------------+----------------+ | Field Name | Size (bits) | Mandatory | +-------------------------------+-------------+----------------+ | timeStamp | 64 | Yes | | natEvent | 8 | Yes | | natQuotaExceededEvent | 32 | Yes | | maxFragmentsPendingReassembly | 32 | Yes | | sourceIPv4Address | 32 | Yes for NAT44 | | sourceIPv6Address | 128 | Yes for NAT64 | | natInstanceID | 32 | No | | vlanID/ingressVRFID | 16/32 | No | | internalAddressRealm | octetArray | No | +-------------------------------+-------------+----------------+
Table 15: Maximum Fragments Pending Reassembly Exceeded Event Template
表15:最大再構成保留中のフラグメントの超過イベントテンプレート
This event will be generated when a NAT device reaches an operator-configured threshold when allocating resources. The Threshold Reached events are described in the section above. The following is a template of the individual events.
このイベントは、リソースの割り当て時に、NATデバイスがオペレーター構成のしきい値に達したときに生成されます。しきい値到達イベントについては、上記のセクションで説明しています。以下は、個々のイベントのテンプレートです。
This event is generated when the high or low threshold is reached for the address pool. The template is the same for both high and low threshold events
このイベントは、アドレスプールの高しきい値または低しきい値に達したときに生成されます。テンプレートは、高しきい値イベントと低しきい値イベントの両方で同じです
+----------------------------------------------+--------+-----------+ | Field Name | Size | Mandatory | | | (bits) | | +----------------------------------------------+--------+-----------+ | timeStamp | 64 | Yes | | natEvent | 8 | Yes | | natThresholdEvent | 32 | Yes | | natPoolID | 32 | Yes | | addressPoolHighThreshold/ | 32 | Yes | | addressPoolLowThreshold | | | | natInstanceID | 32 | No | +----------------------------------------------+--------+-----------+
Table 16: Address Pool High/Low Threshold Reached Event Template
表16:アドレスプールの高/低しきい値到達イベントテンプレート
This event is generated when the high threshold is reached for the address pool and ports.
このイベントは、アドレスプールとポートの上限しきい値に達したときに生成されます。
+----------------------------------------------+--------+-----------+ | Field Name | Size | Mandatory | | | (bits) | | +----------------------------------------------+--------+-----------+ | timeStamp | 64 | Yes | | natEvent | 8 | Yes | | natThresholdEvent | 32 | Yes | | addressPortMappingHighThreshold/ | 32 | Yes | | addressPortMappingLowThreshold | | | | natInstanceID | 32 | No | +----------------------------------------------+--------+-----------+
Table 17: Address Port High Threshold Reached Event Template
表17:アドレスポートの高しきい値到達イベントテンプレート
This event is generated when the high threshold is reached for the per-user address pool and ports.
このイベントは、ユーザーごとのアドレスプールとポートが高しきい値に達したときに生成されます。
+----------------------------------------------+--------+-----------+ | Field Name | Size | Mandatory | | | (bits) | | +----------------------------------------------+--------+-----------+ | timeStamp | 64 | Yes | | natEvent | 8 | Yes | | natThresholdEvent | 32 | Yes | | addressPortMappingHighThreshold/ | 32 | Yes | | addressPortMappingLowThreshold | | | | sourceIPv4Address | 32 | Yes for | | | | NAT44 | | sourceIPv6Address | 128 | Yes for | | | | NAT64 | | natInstanceID | 32 | No | | vlanID/ingressVRFID | 16/32 | No | +----------------------------------------------+--------+-----------+
Table 18: Address and Port Mapping per User High Threshold Reached Event Template
表18:ユーザーごとのアドレスとポートのマッピングの高しきい値到達イベントテンプレート
This event is generated when the high threshold is reached for the per-user address pool and ports. This is generated only by NAT devices that use a paired-address-pooling behavior.
このイベントは、ユーザーごとのアドレスプールとポートが高しきい値に達したときに生成されます。これは、ペアアドレスプーリング動作を使用するNATデバイスによってのみ生成されます。
+-----------------------------------+-------------+-----------+ | Field Name | Size (bits) | Mandatory | +-----------------------------------+-------------+-----------+ | timeStamp | 64 | Yes | | natEvent | 8 | Yes | | natThresholdEvent | 32 | Yes | | globalAddressMappingHighThreshold | 32 | Yes | | natInstanceID | 32 | No | | vlanID/ingressVRFID | 16/32 | No | +-----------------------------------+-------------+-----------+
Table 19: Global Address Mapping High Threshold Reached Event Template
表19:グローバルアドレスマッピングの高しきい値到達イベントテンプレート
These events will be generated when a NAT device binds a local address with a global address and when the global address is freed. A NAT device will generate the binding events when it receives the first packet of the first flow from a host in the private realm.
これらのイベントは、NATデバイスがローカルアドレスをグローバルアドレスにバインドしたとき、およびグローバルアドレスが解放されたときに生成されます。 NATデバイスは、プライベートレルムのホストから最初のフローの最初のパケットを受信すると、バインディングイベントを生成します。
+--------------------------+-------------+---------------+ | Field Name | Size (bits) | Mandatory | +--------------------------+-------------+---------------+ | timeStamp | 64 | Yes | | natEvent | 8 | Yes | | sourceIPv4Address | 32 | Yes for NAT44 | | sourceIPv6Address | 128 | Yes for NAT64 | | postNATSourceIPv4Address | 32 | Yes | | natInstanceID | 32 | No | +--------------------------+-------------+---------------+
Table 20: NAT Address Binding Template
表20:NATアドレスバインディングテンプレート
This event will be generated when a NAT device allocates/de-allocates ports in a bulk fashion, as opposed to allocating a port on a per-flow basis.
このイベントは、フローごとにポートを割り当てるのではなく、NATデバイスがポートを一括で割り当て/割り当て解除するときに生成されます。
portRangeStart represents the starting value of the range.
portRangeStartは、範囲の開始値を表します。
portRangeEnd represents the ending value of the range.
portRangeEndは、範囲の終了値を表します。
NAT devices would do this in order to reduce logs and to potentially limit the number of connections a subscriber is allowed to use. In the following Port Block allocation template, the portRangeStart and portRangeEnd MUST be specified.
NATデバイスは、ログを削減し、サブスクライバーが使用を許可される接続の数を制限するためにこれを行います。次のポートブロック割り当てテンプレートでは、portRangeStartおよびportRangeEndを指定する必要があります。
It is up to the implementation to choose to consolidate log records in case two consecutive port ranges for the same user are allocated or freed.
同じユーザーの2つの連続するポート範囲が割り当てられるか解放される場合に備えて、ログレコードを統合するかどうかは、実装次第です。
+--------------------------+-------------+---------------+ | Field Name | Size (bits) | Mandatory | +--------------------------+-------------+---------------+ | timeStamp | 64 | Yes | | natEvent | 8 | Yes | | sourceIPv4Address | 32 | Yes for NAT44 | | sourceIPv6Address | 128 | Yes for NAT64 | | postNATSourceIPv4Address | 32 | Yes | | portRangeStart | 16 | Yes | | portRangeEnd | 16 | No | | natInstanceID | 32 | No | +--------------------------+-------------+---------------+
Table 21: NAT Port Block Allocation Event Template
表21:NATポートブロック割り当てイベントテンプレート
This section considers requirements for management of the log system to support logging of the events described above. It first covers requirements applicable to log management in general. Any additional standardization required to fulfill these requirements is out of scope of the present document. Some management considerations are covered in [NAT-LOG]. This document covers the additional considerations.
このセクションでは、上記のイベントのロギングをサポートするためのログシステムの管理の要件について検討します。最初に、一般的なログ管理に適用される要件について説明します。これらの要件を満たすために必要な追加の標準化は、このドキュメントの範囲外です。 [NAT-LOG]には管理上の考慮事項が含まれています。このドキュメントでは、追加の考慮事項について説明します。
An IPFIX Collector MUST be able to collect events from multiple NAT devices and decipher events based on the Observation Domain ID in the IPFIX header.
IPFIXコレクターは、複数のNATデバイスからイベントを収集し、IPFIXヘッダーの監視ドメインIDに基づいてイベントを解読できる必要があります。
The exhaustion events can be overwhelming during traffic bursts; hence, they SHOULD be handled by the NAT devices to rate-limit them before sending them to the Collectors. For example, when the port exhaustion happens during bursty conditions, instead of sending a port exhaustion event for every packet, the exhaustion events SHOULD be rate-limited by the NAT device.
トラフィックのバースト中に、枯渇イベントが圧倒される可能性があります。したがって、それらはコレクタに送信する前に、NATデバイスによってレート制限されるように処理される必要があります。たとえば、バースト状態の間にポートの枯渇が発生すると、すべてのパケットに対してポートの枯渇イベントを送信する代わりに、枯渇イベントはNATデバイスによってレート制限される必要があります(SHOULD)。
IANA has registered the following IEs in the "IPFIX Information Elements" registry at [IPFIX-IANA].
IANAは、[IPFIX-IANA]の「IPFIX Information Elements」レジストリに次のIEを登録しています。
ElementID: 463
ElementID:463
Name: natInstanceID
名前:natInstanceID
Description: This Information Element uniquely identifies an Instance of the NAT that runs on a NAT middlebox function after the packet passes the Observation Point. natInstanceID is defined in [RFC7659].
説明:この情報要素は、パケットが観測ポイントを通過した後にNATミドルボックス機能で実行されるNATのインスタンスを一意に識別します。 natInstanceIDは[RFC7659]で定義されています。
Abstract Data Type: unsigned32
抽象データ型:unsigned32
Data Type Semantics: identifier
データ型セマンティクス:識別子
Reference: See [RFC791] for the definition of the IPv4 source address field. See [RFC3022] for the definition of NAT. See [RFC3234] for the definition of middleboxes.
参照:IPv4送信元アドレスフィールドの定義については、[RFC791]を参照してください。 NATの定義については[RFC3022]を参照してください。ミドルボックスの定義については、[RFC3234]を参照してください。
ElementID: 464
ElementID:464
Name: internalAddressRealm
名前:internalAddressRealm
Description: This Information Element represents the internal address realm where the packet is originated from or destined to. By definition, a NAT mapping can be created from two address realms, one from internal and one from external. Realms are implementation dependent and can represent a Virtual Routing and Forwarding (VRF) ID, a VLAN ID, or some unique identifier. Realms are optional and, when left unspecified, would mean that the external and internal realms are the same.
説明:この情報要素は、パケットの発信元または宛先である内部アドレスレルムを表します。定義により、NATマッピングは2つのアドレスレルムから作成できます。1つは内部から、もう1つは外部からです。レルムは実装に依存し、仮想ルーティングおよび転送(VRF)ID、VLAN ID、またはいくつかの一意の識別子を表すことができます。レルムはオプションであり、指定しない場合、外部レルムと内部レルムが同じであることを意味します。
Abstract Data Type: octetArray
抽象データ型:octetArray
Data Type Semantics: identifier
データ型セマンティクス:識別子
Reference: See [RFC791] for the definition of the IPv4 source address field. See [RFC3022] for the definition of NAT. See [RFC3234] for the definition of middleboxes.
参照:IPv4送信元アドレスフィールドの定義については、[RFC791]を参照してください。 NATの定義については[RFC3022]を参照してください。ミドルボックスの定義については、[RFC3234]を参照してください。
ElementID: 465
ElementID:465
Name: externalAddressRealm
名前:externalAddressRealm
Description: This Information Element represents the external address realm where the packet is originated from or destined to. The detailed definition is in the internal address realm as specified above.
説明:この情報要素は、パケットの発信元または宛先である外部アドレスレルムを表します。詳細な定義は、上で指定した内部アドレスレルムにあります。
Abstract Data Type: octetArray
抽象データ型:octetArray
Data Type Semantics: identifier
データ型セマンティクス:識別子
Reference: See [RFC791] for the definition of the IPv4 source address field. See [RFC3022] for the definition of NAT. See [RFC3234] for the definition of middleboxes.
参照:IPv4送信元アドレスフィールドの定義については、[RFC791]を参照してください。 NATの定義については[RFC3022]を参照してください。ミドルボックスの定義については、[RFC3234]を参照してください。
ElementID: 466
ElementID:466
Name: natQuotaExceededEvent
名前:natQuotaExceededEvent
Description: This Information Element identifies the type of a NAT Quota Exceeded event. Values for this Information Element are listed in the "NAT Quota Exceeded Event Type" registry, see [IPFIX-IANA]. Initial values in the registry are defined by the table below. New assignments of values will be administered by IANA and are subject to Expert Review [RFC8126]. Experts need to check definitions of new values for completeness, accuracy, and redundancy.
説明:この情報要素は、NAT割り当て超過イベントのタイプを識別します。この情報要素の値は、「NATクォータ超過イベントタイプ」レジストリにリストされています。[IPFIX-IANA]を参照してください。レジストリの初期値は、以下の表で定義されています。値の新しい割り当てはIANAによって管理され、エキスパートレビュー[RFC8126]の対象となります。専門家は、完全性、正確性、冗長性について、新しい値の定義を確認する必要があります。
+--------+---------------------------------------+ | Value | Quota Exceeded Event Name | +--------+---------------------------------------+ | 0 | Reserved | | 1 | Maximum session entries | | 2 | Maximum BIB entries | | 3 | Maximum entries per user | | 4 | Maximum active hosts or subscribers | | 5 | Maximum fragments pending reassembly | +--------+---------------------------------------+
Note: This is the same as Table 3.
注:これは表3と同じです。
Abstract Data Type: unsigned32
抽象データ型:unsigned32
Data Type Semantics: identifier
データ型セマンティクス:識別子
Reference: See [RFC791] for the definition of the IPv4 source address field. See [RFC3022] for the definition of NAT. See [RFC3234] for the definition of middleboxes.
参照:IPv4送信元アドレスフィールドの定義については、[RFC791]を参照してください。 NATの定義については[RFC3022]を参照してください。ミドルボックスの定義については、[RFC3234]を参照してください。
ElementID: 467
ElementID:467
Name: natThresholdEvent
名前:natThresholdEvent
Description: This Information Element identifies a type of a NAT Threshold event. Values for this Information Element are listed in the "NAT Threshold Event Type" registry, see [IPFIX-IANA]. Initial values in the registry are defined by the table below. New assignments of values will be administered by IANA and are subject to Expert Review [RFC8126]. Experts need to check definitions of new values for completeness, accuracy, and redundancy.
説明:この情報要素は、NATしきい値イベントのタイプを識別します。この情報要素の値は、「NATしきい値イベントタイプ」レジストリにリストされています。[IPFIX-IANA]を参照してください。レジストリの初期値は、以下の表で定義されています。値の新しい割り当てはIANAによって管理され、エキスパートレビュー[RFC8126]の対象となります。専門家は、完全性、正確性、冗長性について、新しい値の定義を確認する必要があります。
+--------+---------------------------------------------------------+ | Value | Threshold Exceeded Event Name | +--------+---------------------------------------------------------+ | 0 | Reserved | | 1 | Address pool high threshold event | | 2 | Address pool low threshold event | | 3 | Address and port mapping high threshold event | | 4 | Address and port mapping per user high threshold event | | 5 | Global address mapping high threshold event | +--------+---------------------------------------------------------+
Note: This is the same as Table 4.
注:これは表4と同じです。
Abstract Data Type: unsigned32
抽象データ型:unsigned32
Data Type Semantics: identifier
データ型セマンティクス:識別子
Reference: See [RFC791] for the definition of the IPv4 source address field. See [RFC3022] for the definition of NAT. See [RFC3234] for the definition of middleboxes.
参照:IPv4送信元アドレスフィールドの定義については、[RFC791]を参照してください。 NATの定義については[RFC3022]を参照してください。ミドルボックスの定義については、[RFC3234]を参照してください。
The original definition of this Information Element specified only three values: 1, 2, and 3. This definition has been replaced by a registry, to which new values can be added. The semantics of the three originally defined values remain unchanged. IANA maintains the "NAT Event Type (Value 230)" registry for values of this Information Element at [IPFIX-IANA].
この情報要素の元の定義では、1、2、3の3つの値しか指定されていませんでした。この定義は、新しい値を追加できるレジストリに置き換えられました。最初に定義された3つの値のセマンティクスは変更されません。 IANAは、[IPFIX-IANA]でこの情報要素の値の「NATイベントタイプ(値230)」レジストリを維持しています。
ElementID: 230
ElementID:230
Name: natEvent
名前:natEvent
Description: This Information Element identifies a NAT event. This IE identifies the type of a NAT event. Examples of NAT events include, but are not limited to, NAT translation create, NAT translation delete, Threshold Reached, or Threshold Exceeded, etc. Values for this Information Element are listed in the "NAT Event Type" registry, see [IPFIX-IANA]. The NAT event values in the registry are defined by Table 2 in Section 4.3. New assignments of values will be administered by IANA and are subject to Expert Review [RFC8126]. Experts need to check definitions of new values for completeness, accuracy, and redundancy.
説明:この情報要素は、NATイベントを識別します。このIEは、NATイベントのタイプを識別します。 NATイベントの例には、NAT変換の作成、NAT変換の削除、しきい値到達、またはしきい値超過などが含まれますが、これらに限定されません。この情報要素の値は、「NATイベントタイプ」レジストリに一覧表示されます。[IPFIX-IANA ]。レジストリのNATイベント値は、セクション4.3の表2で定義されています。値の新しい割り当てはIANAによって管理され、エキスパートレビュー[RFC8126]の対象となります。専門家は、完全性、正確性、冗長性について、新しい値の定義を確認する必要があります。
Abstract Data Type: unsigned8
抽象データ型:unsigned8
Data Type Semantics: identifier
データ型セマンティクス:識別子
Reference: See [RFC3022] for the definition of NAT. See [RFC3234] for the definition of middleboxes. See RFC 8158 for the definitions of values 4-16.
参照:NATの定義については、[RFC3022]を参照してください。ミドルボックスの定義については、[RFC3234]を参照してください。値4〜16の定義については、RFC 8158を参照してください。
ElementID: 471
ElementID:471
Name: maxSessionEntries
名前:maxSessionEntries
Description: This element represents the maximum session entries that can be created by the NAT device.
説明:この要素は、NATデバイスで作成できる最大セッションエントリを表します。
Abstract Data Type: unsigned32
抽象データ型:unsigned32
Data Type Semantics: identifier
データ型セマンティクス:識別子
Reference: See [RFC3022] for the definition of NAT. See [RFC3234] for the definition of middleboxes.
参照:NATの定義については、[RFC3022]を参照してください。ミドルボックスの定義については、[RFC3234]を参照してください。
ElementID: 472
ElementID:472
Name: maxBIBEntries
名前:maxBIBEntries
Description: This element represents the maximum BIB entries that can be created by the NAT device.
説明:このエレメントは、NATデバイスで作成できる最大のBIBエントリーを表します。
Abstract Data Type: unsigned32
抽象データ型:unsigned32
Data Type Semantics: identifier
データ型セマンティクス:識別子
Reference: See [RFC3022] for the definition of NAT. See [RFC3234] for the definition of middleboxes.
参照:NATの定義については、[RFC3022]を参照してください。ミドルボックスの定義については、[RFC3234]を参照してください。
ElementID: 473
ElementID:473
Name: maxEntriesPerUser
名前:maxEntriesPerUser
Description: This element represents the maximum NAT entries that can be created per user by the NAT device.
説明:この要素は、NATデバイスがユーザーごとに作成できる最大NATエントリを表します。
Abstract Data Type: unsigned32
抽象データ型:unsigned32
Data Type Semantics: identifier
データ型セマンティクス:識別子
Reference: See [RFC3022] for the definition of NAT. See [RFC3234] for the definition of middleboxes.
参照:NATの定義については、[RFC3022]を参照してください。ミドルボックスの定義については、[RFC3234]を参照してください。
ElementID: 474
ElementID:474
Name: maxSubscribers
名前:maxSubscribers
Description: This element represents the maximum subscribers or maximum hosts that are allowed by the NAT device.
説明:この要素は、NATデバイスによって許可される最大サブスクライバーまたは最大ホストを表します。
Abstract Data Type: unsigned32
抽象データ型:unsigned32
Data Type Semantics: identifier
データ型セマンティクス:識別子
Reference: See [RFC3022] for the definition of NAT. See [RFC3234] for the definition of middleboxes.
参照:NATの定義については、[RFC3022]を参照してください。ミドルボックスの定義については、[RFC3234]を参照してください。
ElementID: 475
ElementID:475
Name: maxFragmentsPendingReassembly
名前:maxFragmentsPendingReassembly
Description: This element represents the maximum fragments that the NAT device can store for reassembling the packet.
説明:このエレメントは、NATデバイスがパケットを再構成するために保管できる最大フラグメントを表します。
Abstract Data Type: unsigned32
抽象データ型:unsigned32
Data Type Semantics: identifier
データ型セマンティクス:識別子
Reference: See [RFC3022] for the definition of NAT. See [RFC3234] for the definition of middleboxes.
参照:NATの定義については、[RFC3022]を参照してください。ミドルボックスの定義については、[RFC3234]を参照してください。
ElementID: 476
ElementID:476
Name: addressPoolHighThreshold
名前:addressPoolHighThreshold
Description: This element represents the high threshold value of the number of public IP addresses in the address pool.
説明:この要素は、アドレスプール内のパブリックIPアドレス数の上限しきい値を表します。
Abstract Data Type: unsigned32
抽象データ型:unsigned32
Data Type Semantics: identifier
データ型セマンティクス:識別子
Reference: See [RFC3022] for the definition of NAT. See [RFC3234] for the definition of middleboxes.
参照:NATの定義については、[RFC3022]を参照してください。ミドルボックスの定義については、[RFC3234]を参照してください。
ElementID: 477
ElementID:477
Name: addressPoolLowThreshold
名前:addressPoolLowThreshold
Description: This element represents the low threshold value of the number of public IP addresses in the address pool.
説明:この要素は、アドレスプール内のパブリックIPアドレス数の下限しきい値を表します。
Abstract Data Type: unsigned32
抽象データ型:unsigned32
Data Type Semantics: identifier
データ型セマンティクス:識別子
Reference: See [RFC3022] for the definition of NAT. See [RFC3234] for the definition of middleboxes.
参照:NATの定義については、[RFC3022]を参照してください。ミドルボックスの定義については、[RFC3234]を参照してください。
ElementID: 478
ElementID:478
Name: addressPortMappingHighThreshold
名前:addressPortMappingHighThreshold
Description: This element represents the high threshold value of the number of address and port mappings.
説明:このエレメントは、アドレスおよびポートのマッピング数の高しきい値を表します。
Abstract Data Type: unsigned32
抽象データ型:unsigned32
Data Type Semantics: identifier
データ型セマンティクス:識別子
Reference: See [RFC3022] for the definition of NAT. See [RFC3234] for the definition of middleboxes.
参照:NATの定義については、[RFC3022]を参照してください。ミドルボックスの定義については、[RFC3234]を参照してください。
ElementID: 479
ElementID:479
Name: addressPortMappingLowThreshold
名前:addressPortMappingLowThreshold
Description: This element represents the low threshold value of the number of address and port mappings.
説明:このエレメントは、アドレスおよびポートのマッピング数の低しきい値を表します。
Abstract Data Type: unsigned32
抽象データ型:unsigned32
Data Type Semantics: identifier
データ型セマンティクス:識別子
Reference: See [RFC3022] for the definition of NAT. See [RFC3234] for the definition of middleboxes.
参照:NATの定義については、[RFC3022]を参照してください。ミドルボックスの定義については、[RFC3234]を参照してください。
ElementID: 480
ElementID:480
Name: addressPortMappingPerUserHighThreshold
Description: This element represents the high threshold value of the number of address and port mappings that a single user is allowed to create on a NAT device.
説明:この要素は、1人のユーザーがNATデバイス上で作成できるアドレスとポートのマッピング数の上限しきい値を表します。
Abstract Data Type: unsigned32
抽象データ型:unsigned32
Data Type Semantics: identifier
データ型セマンティクス:識別子
Reference: See [RFC3022] for the definition of NAT. See [RFC3234] for the definition of middleboxes.
参照:NATの定義については、[RFC3022]を参照してください。ミドルボックスの定義については、[RFC3234]を参照してください。
ElementID: 481
ElementID:481
Name: globalAddressMappingHighThreshold
Description: This element represents the high threshold value of the number of address and port mappings that a single user is allowed to create on a NAT device in a paired address pooling behavior.
説明:この要素は、ペアのアドレスプーリング動作で、1人のユーザーがNATデバイス上で作成できるアドレスおよびポートマッピングの数の高しきい値を表します。
Abstract Data Type: unsigned32
抽象データ型:unsigned32
Data Type Semantics: identifier
データ型セマンティクス:識別子
Reference: See [RFC3022] for the definition of NAT. See [RFC3234] for the definition of middleboxes. See [RFC4787] for the definition of paired address pooling behavior.
参照:NATの定義については、[RFC3022]を参照してください。ミドルボックスの定義については、[RFC3234]を参照してください。ペアのアドレスプーリング動作の定義については、[RFC4787]を参照してください。
The security considerations listed in detail for IPFIX in [RFC7011] apply to this document as well. As described in [RFC7011], the messages exchanged between the NAT device and the Collector MUST be protected to provide confidentiality, integrity, and authenticity. Without those characteristics, the messages are subject to various kinds of attacks. These attacks are described in great detail in [RFC7011].
[RFC7011]のIPFIXに詳細に記載されているセキュリティの考慮事項は、このドキュメントにも適用されます。 [RFC7011]で説明されているように、NATデバイスとコレクタの間で交換されるメッセージは、機密性、完全性、および信頼性を提供するために保護されなければなりません(MUST)。これらの特性がないと、メッセージはさまざまな種類の攻撃の対象になります。これらの攻撃は、[RFC7011]で詳細に説明されています。
This document re-emphasizes the use of Transport Layer Security (TLS) or Datagram Transport Layer Security (DTLS) for exchanging the log messages between the NAT device and the Collector. The log events sent in cleartext can result in confidential data being exposed to attackers, who could then spoof log events based on the information in cleartext messages. Hence, the log events SHOULD NOT be sent in cleartext.
このドキュメントでは、NATデバイスとコレクタの間でログメッセージを交換するためのトランスポート層セキュリティ(TLS)またはデータグラムトランスポート層セキュリティ(DTLS)の使用を再度強調しています。クリアテキストで送信されたログイベントにより、機密データが攻撃者に公開される可能性があります。攻撃者は、クリアテキストメッセージの情報に基づいてログイベントを偽装する可能性があります。したがって、ログイベントはクリアテキストで送信してはなりません(SHOULD NOT)。
The logging of NAT events can result in privacy concerns as a result of exporting information such as the source address and port information. The logging of destination information can also cause privacy concerns, but it has been well documented in [RFC6888]. A NAT device can choose to operate in various logging modes if it wants to avoid logging of private information. The Collector that receives the information can also choose to mask the private information but generate reports based on abstract data. It is outside the scope of this document to address the implementation of logging modes for privacy considerations.
NATイベントのロギングは、送信元アドレスやポート情報などの情報をエクスポートする結果、プライバシーの問題を引き起こす可能性があります。宛先情報のロギングもプライバシーの問題を引き起こす可能性がありますが、[RFC6888]で十分に文書化されています。 NATデバイスは、プライベート情報のロギングを回避したい場合、さまざまなロギングモードでの動作を選択できます。情報を受け取るコレクターは、個人情報をマスクすることも選択できますが、抽象的なデータに基づいてレポートを生成します。プライバシーを考慮してロギングモードの実装に対処することは、このドキュメントの範囲外です。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, <https://www.rfc-editor.org/info/rfc2119>.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、DOI 10.17487 / RFC2119、1997年3月、<https://www.rfc-editor.org/info/ rfc2119>。
[RFC4787] Audet, F., Ed. and C. Jennings, "Network Address Translation (NAT) Behavioral Requirements for Unicast UDP", BCP 127, RFC 4787, DOI 10.17487/RFC4787, January 2007, <https://www.rfc-editor.org/info/rfc4787>.
[RFC4787]オーデ、F、エド。およびC.ジェニングス、「ユニキャストUDPのネットワークアドレス変換(NAT)動作要件」、BCP 127、RFC 4787、DOI 10.17487 / RFC4787、2007年1月、<https://www.rfc-editor.org/info/rfc4787> 。
[RFC5382] Guha, S., Ed., Biswas, K., Ford, B., Sivakumar, S., and P. Srisuresh, "NAT Behavioral Requirements for TCP", BCP 142, RFC 5382, DOI 10.17487/RFC5382, October 2008, <https://www.rfc-editor.org/info/rfc5382>.
[RFC5382] Guha、S。、編、Biswas、K.、Ford、B.、Sivakumar、S。、およびP. Srisuresh、「TCPのNAT動作要件」、BCP 142、RFC 5382、DOI 10.17487 / RFC5382、 2008年10月、<https://www.rfc-editor.org/info/rfc5382>。
[RFC6146] Bagnulo, M., Matthews, P., and I. van Beijnum, "Stateful NAT64: Network Address and Protocol Translation from IPv6 Clients to IPv4 Servers", RFC 6146, DOI 10.17487/RFC6146, April 2011, <https://www.rfc-editor.org/info/rfc6146>.
[RFC6146] Bagnulo、M.、Matthews、P。、およびI. van Beijnum、「ステートフルNAT64:IPv6クライアントからIPv4サーバーへのネットワークアドレスおよびプロトコル変換」、RFC 6146、DOI 10.17487 / RFC6146、2011年4月、<https: //www.rfc-editor.org/info/rfc6146>。
[RFC6302] Durand, A., Gashinsky, I., Lee, D., and S. Sheppard, "Logging Recommendations for Internet-Facing Servers", BCP 162, RFC 6302, DOI 10.17487/RFC6302, June 2011, <https://www.rfc-editor.org/info/rfc6302>.
[RFC6302] Durand、A.、Gashinsky、I.、Lee、D。、およびS. Sheppard、「インターネットに面したサーバーのロギングに関する推奨事項」、BCP 162、RFC 6302、DOI 10.17487 / RFC6302、2011年6月、<https: //www.rfc-editor.org/info/rfc6302>。
[RFC6888] Perreault, S., Ed., Yamagata, I., Miyakawa, S., Nakagawa, A., and H. Ashida, "Common Requirements for Carrier-Grade NATs (CGNs)", BCP 127, RFC 6888, DOI 10.17487/RFC6888, April 2013, <https://www.rfc-editor.org/info/rfc6888>.
[RFC6888] Perreault、S.、Ed。、Yamagata、I.、Miyakawa、S.、Nakagawa、A.、and H. Ashida、 "Common Requirements for Carrier-Grade NATs(CGNs)"、BCP 127、RFC 6888、 DOI 10.17487 / RFC6888、2013年4月、<https://www.rfc-editor.org/info/rfc6888>。
[RFC7011] Claise, B., Ed., Trammell, B., Ed., and P. Aitken, "Specification of the IP Flow Information Export (IPFIX) Protocol for the Exchange of Flow Information", STD 77, RFC 7011, DOI 10.17487/RFC7011, September 2013, <https://www.rfc-editor.org/info/rfc7011>.
[RFC7011] Claise、B。、編、Trammell、B。、編、およびP. Aitken、「フロー情報の交換のためのIPフロー情報エクスポート(IPFIX)プロトコルの仕様」、STD 77、RFC 7011、 DOI 10.17487 / RFC7011、2013年9月、<https://www.rfc-editor.org/info/rfc7011>。
[RFC7659] Perreault, S., Tsou, T., Sivakumar, S., and T. Taylor, "Definitions of Managed Objects for Network Address Translators (NATs)", RFC 7659, DOI 10.17487/RFC7659, October 2015, <https://www.rfc-editor.org/info/rfc7659>.
[RFC7659] Perreault、S.、Tsou、T.、Sivakumar、S。、およびT. Taylor、「Definions of Managed Objects for Network Address Translators(NATs)」、RFC 7659、DOI 10.17487 / RFC7659、2015年10月、<https ://www.rfc-editor.org/info/rfc7659>。
[RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC 2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174, May 2017, <https://www.rfc-editor.org/info/rfc8174>.
[RFC8174] Leiba、B。、「RFC 2119キーワードの大文字と小文字のあいまいさ」、BCP 14、RFC 8174、DOI 10.17487 / RFC8174、2017年5月、<https://www.rfc-editor.org/info/ rfc8174>。
[IPFIX-IANA] IANA, "IPFIX Information Elements", <http://www.iana.org/assignments/ipfix>.
[IPFIX-IANA] IANA、「IPFIX情報要素」、<http://www.iana.org/assignments/ipfix>。
[NAT-LOG] Chen, Z., Zhou, C., Tsou, T., and T. Taylor, Ed., "Syslog Format for NAT Logging", Work in Progress, draft-ietf-behave-syslog-nat-logging-06, January 2014.
[NAT-LOG] Chen、Z.、Zhou、C.、Tsou、T。、およびT. Taylor、編、「NATログのSyslog形式」、Work in Progress、draft-ietf-behave-syslog-nat- logging-06、2014年1月。
[RFC791] Postel, J., "Internet Protocol", STD 5, RFC 791, DOI 10.17487/RFC0791, September 1981, <https://www.rfc-editor.org/info/rfc791>.
[RFC791] Postel、J。、「インターネットプロトコル」、STD 5、RFC 791、DOI 10.17487 / RFC0791、1981年9月、<https://www.rfc-editor.org/info/rfc791>。
[RFC2663] Srisuresh, P. and M. Holdrege, "IP Network Address Translator (NAT) Terminology and Considerations", RFC 2663, DOI 10.17487/RFC2663, August 1999, <https://www.rfc-editor.org/info/rfc2663>.
[RFC2663] Srisuresh、P。およびM. Holdrege、「IPネットワークアドレス変換(NAT)の用語と考慮事項」、RFC 2663、DOI 10.17487 / RFC2663、1999年8月、<https://www.rfc-editor.org/info / rfc2663>。
[RFC3022] Srisuresh, P. and K. Egevang, "Traditional IP Network Address Translator (Traditional NAT)", RFC 3022, DOI 10.17487/RFC3022, January 2001, <https://www.rfc-editor.org/info/rfc3022>.
[RFC3022] Srisuresh、P。およびK. Egevang、「Traditional IP Network Address Translator(Traditional NAT)」、RFC 3022、DOI 10.17487 / RFC3022、2001年1月、<https://www.rfc-editor.org/info/ rfc3022>。
[RFC3234] Carpenter, B. and S. Brim, "Middleboxes: Taxonomy and Issues", RFC 3234, DOI 10.17487/RFC3234, February 2002, <https://www.rfc-editor.org/info/rfc3234>.
[RFC3234] Carpenter、B。およびS. Brim、「Middleboxes:Taxonomy and Issues」、RFC 3234、DOI 10.17487 / RFC3234、2002年2月、<https://www.rfc-editor.org/info/rfc3234>。
[RFC5424] Gerhards, R., "The Syslog Protocol", RFC 5424, DOI 10.17487/RFC5424, March 2009, <https://www.rfc-editor.org/info/rfc5424>.
[RFC5424] Gerhards, R., "The Syslog Protocol", RFC 5424, DOI 10.17487/RFC5424, March 2009, <https://www.rfc-editor.org/info/rfc5424>.
[RFC8126] Cotton, M., Leiba, B., and T. Narten, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 8126, DOI 10.17487/RFC8126, June 2017, <https://www.rfc-editor.org/info/rfc8126>.
[RFC8126]コットン、M。、レイバ、B。、およびT.ナルテン、「RFCでIANAの考慮事項セクションを作成するためのガイドライン」、BCP 26、RFC 8126、DOI 10.17487 / RFC8126、2017年6月、<https:// www .rfc-editor.org / info / rfc8126>。
Acknowledgements
謝辞
Thanks to Dan Wing, Selvi Shanmugam, Mohamed Boucadir, Jacni Qin, Ramji Vaithianathan, Simon Perreault, Jean-Francois Tremblay, Paul Aitken, Julia Renouard, Spencer Dawkins, and Brian Trammell for their review and comments.
彼らのレビューとコメントをしてくれたDan Wing、Selvi Shanmugam、Mohamed Boucadir、Jacni Qin、Ramji Vaithianathan、Simon Perreault、Jean-Francois Tremblay、Paul Aitken、Julia Renouard、Spencer Dawkins、Brian Trammellに感謝します。
Authors' Addresses
著者のアドレス
Senthil Sivakumar Cisco Systems 7100-8 Kit Creek Road Research Triangle Park, NC 27709 United States of America
Senthil Sivakumar Cisco Systems 7100-8 Kit Creek Road Research Triangle Park、NC 27709アメリカ合衆国
Phone: +1 919 392 5158 Email: ssenthil@cisco.com
Reinaldo Penno Cisco Systems 170 W Tasman Drive San Jose, CA 95035 United States of America
Reinaldo Penno Cisco Systems 170 W Tasman Drive San Jose、CA 95035アメリカ合衆国
Email: repenno@cisco.com