[要約] RFC 8803は、0-RTT TCP Convert Protocolに関する標準化文書であり、TCP Fast Open(TFO)を使用してセキュアな0-RTTデータ転送を可能にすることを目的としています。このプロトコルは、TCP接続の確立を高速化し、ネットワークの効率性を向上させることを目的としています。
Internet Engineering Task Force (IETF) O. Bonaventure, Ed.
Request for Comments: 8803 Tessares
Category: Experimental M. Boucadair, Ed.
ISSN: 2070-1721 Orange
S. Gundavelli
Cisco
S. Seo
Korea Telecom
B. Hesmans
Tessares
July 2020
0-RTT TCP Convert Protocol
0-RTT TCP変換プロトコル
Abstract
概要
This document specifies an application proxy, called Transport Converter, to assist the deployment of TCP extensions such as Multipath TCP. A Transport Converter may provide conversion service for one or more TCP extensions. The conversion service is provided by means of the 0-RTT TCP Convert Protocol (Convert).
このドキュメントでは、Multipath TCPなどのTCP拡張機能の展開を支援するために、Transport Converterと呼ばれるアプリケーションプロキシを指定します。 Transport Converterは、1つ以上のTCP拡張機能の変換サービスを提供する場合があります。変換サービスは、0-RTT TCP変換プロトコル(変換)によって提供されます。
This protocol provides 0-RTT (Zero Round-Trip Time) conversion service since no extra delay is induced by the protocol compared to connections that are not proxied. Also, the Convert Protocol does not require any encapsulation (no tunnels whatsoever).
プロキシされていない接続と比較して、プロトコルによって余分な遅延が発生しないため、このプロトコルは0-RTT(ゼロラウンドトリップタイム)変換サービスを提供します。また、変換プロトコルはカプセル化を必要としません(トンネルはまったくありません)。
This specification assumes an explicit model, where the Transport Converter is explicitly configured on hosts. As a sample applicability use case, this document specifies how the Convert Protocol applies for Multipath TCP.
この仕様は、トランスポートコンバーターがホストで明示的に構成されている明示的なモデルを前提としています。このドキュメントでは、適用例として、マルチパスTCPに変換プロトコルを適用する方法を示します。
Status of This Memo
本文書の状態
This document is not an Internet Standards Track specification; it is published for examination, experimental implementation, and evaluation.
このドキュメントはInternet Standards Trackの仕様ではありません。試験、実験、評価のために公開されています。
This document defines an Experimental Protocol for the Internet community. This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are candidates for any level of Internet Standard; see Section 2 of RFC 7841.
このドキュメントでは、インターネットコミュニティの実験プロトコルを定義します。このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。これは公開レビューを受けており、Internet Engineering Steering Group(IESG)による公開が承認されています。 IESGによって承認されたすべてのドキュメントが、あらゆるレベルのインターネット標準の候補であるとは限りません。 RFC 7841のセクション2をご覧ください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc8803.
このドキュメントの現在のステータス、エラッタ、およびフィードバックの提供方法に関する情報は、https://www.rfc-editor.org/info/rfc8803で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2020 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(c)2020 IETFトラストおよびドキュメントの作成者として識別された人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書は、BCP 78およびIETF文書に関するIETFトラストの法的規定(https://trustee.ietf.org/license-info)の対象であり、この文書の発行日に有効です。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。
Table of Contents
目次
1. Introduction
1.1. The Problem
1.2. Network-Assisted Connections: The Rationale
1.3. Applicability Scope
2. Conventions and Definitions
3. Differences with SOCKSv5
4. Architecture and Behaviors
4.1. Functional Elements
4.2. Theory of Operation
4.3. Data Processing at the Transport Converter
4.4. Address Preservation vs. Address Sharing
4.4.1. Address Preservation
4.4.2. Address/Prefix Sharing
5. Sample Examples
5.1. Outgoing Converter-Assisted Multipath TCP Connections
5.2. Incoming Converter-Assisted Multipath TCP Connection
6. The Convert Protocol (Convert)
6.1. The Convert Fixed Header
6.2. Convert TLVs
6.2.1. Generic Convert TLV Format
6.2.2. Summary of Supported Convert TLVs
6.2.3. The Info TLV
6.2.4. Supported TCP Extensions TLV
6.2.5. Connect TLV
6.2.6. Extended TCP Header TLV
6.2.7. The Cookie TLV
6.2.8. Error TLV
7. Compatibility of Specific TCP Options with the Conversion
Service
7.1. Base TCP Options
7.2. Window Scale (WS)
7.3. Selective Acknowledgments
7.4. Timestamp
7.5. Multipath TCP
7.6. TCP Fast Open
7.7. TCP-AO
8. Interactions with Middleboxes
9. Security Considerations
9.1. Privacy & Ingress Filtering
9.2. Authentication and Authorization Considerations
9.3. Denial of Service
9.4. Traffic Theft
9.5. Logging
10. IANA Considerations
10.1. Convert Service Name
10.2. The Convert Protocol (Convert) Parameters
10.2.1. Convert Versions
10.2.2. Convert TLVs
10.2.3. Convert Error Messages
11. References
11.1. Normative References
11.2. Informative References
Appendix A. Example Socket API Changes to Support the 0-RTT TCP
Convert Protocol
A.1. Active Open (Client Side)
A.2. Passive Open (Converter Side)
Acknowledgments
Contributors
Authors' Addresses
Transport protocols like TCP evolve regularly [RFC7414]. TCP has been improved in different ways. Some improvements such as changing the initial window size [RFC6928] or modifying the congestion control scheme can be applied independently on Clients and Servers. Other improvements such as Selective Acknowledgments [RFC2018] or large windows [RFC7323] require a new TCP option or changing the semantics of some fields in the TCP header. These modifications must be deployed on both Clients and Servers to be actually used on the Internet. Experience with the latter class of TCP extensions reveals that their deployment can require many years. Fukuda reports in [Fukuda2011] results of a decade of measurements showing the deployment of Selective Acknowledgments, Window Scale, and TCP Timestamps. [ANRW17] describes measurements showing that TCP Fast Open (TFO) [RFC7413] is still not widely deployed.
TCPのようなトランスポートプロトコルは定期的に進化します[RFC7414]。 TCPはさまざまな方法で改善されています。初期ウィンドウサイズの変更[RFC6928]や輻輳制御方式の変更などのいくつかの改善は、クライアントとサーバーに個別に適用できます。選択的確認応答[RFC2018]や大きなウィンドウ[RFC7323]などのその他の改善には、新しいTCPオプションまたはTCPヘッダーの一部のフィールドのセマンティクスの変更が必要です。これらの変更は、インターネットで実際に使用するために、クライアントとサーバーの両方に展開する必要があります。後者のクラスのTCP拡張機能の経験から、その展開には何年もかかる可能性があることがわかります。 Fukudaは、[Fukuda2011]で、選択的確認応答、ウィンドウスケール、およびTCPタイムスタンプの展開を示す10年間の測定結果を報告しています。 [ANRW17]は、TCP Fast Open(TFO)[RFC7413]がまだ広く配備されていないことを示す測定について説明しています。
There are some situations where the transport stack used on Clients (or Servers) can be upgraded at a faster pace than the transport stack running on Servers (or Clients). In those situations, Clients (or Servers) would typically want to benefit from the features of an improved transport protocol even if the Servers (or Clients) have not yet been upgraded. Some assistance from the network to make use of these features is valuable. For example, Performance Enhancing Proxies [RFC3135] and other service functions have been deployed as solutions to improve TCP performance over links with specific characteristics.
クライアント(またはサーバー)で使用されるトランスポートスタックを、サーバー(またはクライアント)で実行されているトランスポートスタックよりも速いペースでアップグレードできる場合があります。このような状況では、サーバー(またはクライアント)がまだアップグレードされていなくても、クライアント(またはサーバー)は通常、改善されたトランスポートプロトコルの機能を利用したいと考えます。これらの機能を使用するためのネットワークからのいくつかの支援は貴重です。たとえば、パフォーマンス強化プロキシ[RFC3135]およびその他のサービス機能は、特定の特性を持つリンク上のTCPパフォーマンスを向上させるソリューションとして導入されています。
Recent examples of TCP extensions include Multipath TCP (MPTCP) [RFC8684] or tcpcrypt [RFC8548]. Those extensions provide features that are interesting for Clients such as wireless devices. With Multipath TCP, those devices could seamlessly use Wireless Local Area Network (WLAN) and cellular networks for bonding purposes, faster hand-overs, or better resiliency. Unfortunately, deploying those extensions on both a wide range of Clients and Servers remains difficult.
TCP拡張機能の最近の例には、マルチパスTCP(MPTCP)[RFC8684]またはtcpcrypt [RFC8548]が含まれます。これらの拡張機能は、ワイヤレスデバイスなどのクライアントにとって興味深い機能を提供します。マルチパスTCPを使用すると、これらのデバイスは、無線ローカルエリアネットワーク(WLAN)とセルラーネットワークをシームレスに使用して、結合、高速なハンドオーバー、またはより優れた復元力を実現できます。残念ながら、これらの拡張機能を幅広いクライアントとサーバーの両方に展開することは依然として困難です。
More recently, 5G bonding experimentation has been conducted into global range of the incumbent 4G (LTE) connectivity using newly devised Clients and a Multipath TCP proxy. Even if the 5G and 4G bonding (that relies upon Multipath TCP) increases the bandwidth, it is also crucial to minimize latency entirely between end hosts regardless of whether intermediate nodes are inside or outside of the mobile core. In order to handle Ultra-Reliable Low Latency Communication (URLLC) for the next-generation mobile network, Multipath TCP and its proxy mechanism such as the one used to provide Access Traffic Steering, Switching, and Splitting (ATSSS) must be optimized to reduce latency [TS23501].
最近では、新しく考案されたクライアントとマルチパスTCPプロキシを使用して、既存の4G(LTE)接続のグローバルな範囲で5Gボンディングの実験が行われました。 5Gおよび4Gボンディング(マルチパスTCPに依存)が帯域幅を増加させる場合でも、中間ノードがモバイルコアの内部または外部にあるかどうかに関係なく、エンドホスト間の遅延を完全に最小限に抑えることも重要です。次世代モバイルネットワークの超信頼性低遅延通信(URLLC)を処理するには、マルチパスTCPとそのプロキシメカニズム(アクセストラフィックのステアリング、スイッチング、スプリッティング(ATSSS)の提供に使用されるメカニズムなど)を最適化して、レイテンシ[TS23501]。
This document specifies an application proxy called Transport Converter. A Transport Converter is a function that is installed by a network operator to aid the deployment of TCP extensions and to provide the benefits of such extensions to Clients in particular. A Transport Converter may provide conversion service for one or more TCP extensions. Which TCP extensions are eligible for the conversion service is deployment specific. The conversion service is provided by means of the 0-RTT TCP Convert Protocol (Convert), which is an application-layer protocol that uses a specific TCP port number on the Converter.
このドキュメントでは、Transport Converterと呼ばれるアプリケーションプロキシを指定します。トランスポートコンバーターは、ネットワークオペレーターによってインストールされる機能で、TCP拡張機能の展開を支援し、特にそのような拡張機能の利点をクライアントに提供します。トランスポートコンバーターは、1つ以上のTCP拡張機能の変換サービスを提供します。どのTCP拡張機能が変換サービスに適格であるかは、デプロイメント固有です。変換サービスは、コンバーターの特定のTCPポート番号を使用するアプリケーション層プロトコルである0-RTT TCP変換プロトコル(変換)によって提供されます。
The Convert Protocol provides Zero Round-Trip Time (0-RTT) conversion service since no extra delay is induced by the protocol compared to connections that are not proxied. Particularly, the Convert Protocol does not require extra signaling setup delays before making use of the conversion service. The Convert Protocol does not require any encapsulation (no tunnels, whatsoever).
変換されたプロトコルは、プロキシされていない接続と比較して、プロトコルによって余分な遅延が発生しないため、ゼロラウンドトリップ時間(0-RTT)変換サービスを提供します。特に、変換プロトコルは、変換サービスを利用する前に、追加のシグナリング設定遅延を必要としません。変換プロトコルはカプセル化を必要としません(トンネルはありません)。
The Transport Converter adheres to the main steps drawn in Section 3 of [RFC1919]. In particular, a Transport Converter achieves the following:
トランスポートコンバーターは、[RFC1919]のセクション3に記載されている主な手順に従います。特に、トランスポートコンバーターは以下を実現します。
* Listening for Client sessions;
* クライアントセッションをリッスンしています。
* Receiving the address of the Server from the Client;
* クライアントからサーバーのアドレスを受け取る。
* Setting up a session to the Server;
* サーバーへのセッションのセットアップ。
* Relaying control messages and data between the Client and the Server;
* クライアントとサーバー間の制御メッセージとデータの中継。
* Performing access controls according to local policies.
* ローカルポリシーに従ってアクセス制御を実行する。
The main advantage of network-assisted conversion services is that they enable new TCP extensions to be used on a subset of the path between endpoints, which encourages the deployment of these extensions. Furthermore, the Transport Converter allows the Client and the Server to directly negotiate TCP extensions for the sake of native support along the full path.
ネットワーク支援変換サービスの主な利点は、エンドポイント間のパスのサブセットで新しいTCP拡張を使用できるようになることです。これにより、これらの拡張の展開が促進されます。さらに、トランスポートコンバーターにより、クライアントとサーバーはTCP拡張を直接ネゴシエートして、フルパスでネイティブサポートすることができます。
The Convert Protocol is a generic mechanism to provide 0-RTT conversion service. As a sample applicability use case, this document specifies how the Convert Protocol applies for Multipath TCP. It is out of scope of this document to provide a comprehensive list of all potential conversion services. Applicability documents may be defined in the future.
変換プロトコルは、0-RTT変換サービスを提供する一般的なメカニズムです。このドキュメントでは、適用例として、マルチパスTCPに変換プロトコルを適用する方法を示します。潜在的なすべての変換サービスの包括的なリストを提供することは、このドキュメントの範囲外です。適用性ドキュメントは将来定義される可能性があります。
This document does not assume that all the traffic is eligible for the network-assisted conversion service. Only a subset of the traffic will be forwarded to a Transport Converter according to a set of policies. These policies, and how they are communicated to endpoints, are out of scope. Furthermore, it is possible to bypass the Transport Converter to connect directly to the Servers that already support the required TCP extension(s).
このドキュメントでは、すべてのトラフィックがネットワーク支援型変換サービスの対象であるとは想定していません。一連のポリシーに従って、トラフィックのサブセットのみがトランスポートコンバーターに転送されます。これらのポリシー、およびそれらがエンドポイントに伝達される方法は範囲外です。さらに、トランスポートコンバーターをバイパスして、必要なTCP拡張機能を既にサポートしているサーバーに直接接続することもできます。
This document assumes an explicit model in which a Client is configured with one or a list of Transport Converters (statically or through protocols such as [DHC-CONVERTER]). Configuration means are outside the scope of this document.
このドキュメントは、クライアントがトランスポートコンバーターの1つまたはリストで(静的に、または[DHC-CONVERTER]などのプロトコルを介して)構成されている明示的なモデルを想定しています。構成手段は、このドキュメントの範囲外です。
The use of a Transport Converter means that there is no end-to-end transport connection between the Client and Server. This could potentially create problems in some scenarios such as those discussed in Section 4 of [RFC3135]. Some of these problems may not be applicable. For example, a Transport Converter can inform a Client by means of Network Failure (65) or Destination Unreachable (97) error messages (Section 6.2.8) that it encounters a failure problem; the Client can react accordingly. An endpoint, or its network administrator, can assess the benefit provided by the Transport Converter service versus the risk. This is one reason why the Transport Converter functionality has to be explicitly requested by an endpoint.
トランスポートコンバーターの使用は、クライアントとサーバーの間にエンドツーエンドのトランスポート接続がないことを意味します。これにより、[RFC3135]のセクション4で説明されているシナリオなど、一部のシナリオで問題が発生する可能性があります。これらの問題の一部は適用できない場合があります。たとえば、トランスポートコンバーターは、ネットワーク障害(65)または宛先到達不能(97)エラーメッセージ(セクション6.2.8)を介して、クライアントに障害の問題が発生したことを通知できます。クライアントはそれに応じて対応できます。エンドポイントまたはそのネットワーク管理者は、トランスポートコンバーターサービスによって提供されるメリットとリスクのメリットを評価できます。これが、トランスポートコンバーター機能をエンドポイントから明示的に要求する必要がある理由の1つです。
This document is organized as follows:
このドキュメントは次のように構成されています。
Section 3 provides a brief overview of the differences between the well-known SOCKS protocol and the 0-RTT TCP Convert Protocol.
セクション3では、よく知られたSOCKSプロトコルと0-RTT TCP変換プロトコルの違いの概要を説明します。
Section 4 provides a brief explanation of the operation of Transport Converters.
セクション4では、トランスポートコンバーターの操作について簡単に説明します。
Section 5 includes a set of sample examples to illustrate the overall behavior.
セクション5には、全体的な動作を説明するためのサンプル例のセットが含まれています。
Section 6 describes the Convert Protocol.
セクション6では、変換プロトコルについて説明します。
Section 7 discusses how Transport Converters can be used to support different TCP extensions.
セクション7では、トランスポートコンバーターを使用してさまざまなTCP拡張機能をサポートする方法について説明します。
Section 8 then discusses the interactions with middleboxes.
次に、セクション8でミドルボックスとの相互作用について説明します。
Section 9 focuses on security considerations.
セクション9は、セキュリティの考慮事項に焦点を当てています。
Appendix A describes how a TCP stack would need to support the protocol described in this document.
付録Aでは、TCPスタックがこのドキュメントで説明されているプロトコルをサポートする方法について説明します。
The 0-RTT TCP Convert Protocol specified in this document MUST be used in a single administrative domain deployment model. That is, the entity offering the connectivity service to a Client is also the entity that owns and operates the Transport Converter, with no transit over a third-party network.
このドキュメントで指定されている0-RTT TCP変換プロトコルは、単一の管理ドメイン展開モデルで使用する必要があります。つまり、クライアントに接続サービスを提供するエンティティは、トランスポートコンバーターを所有および操作するエンティティでもあり、サードパーティのネットワークを経由することはありません。
Future deployment of Transport Converters by third parties MUST adhere to the mutual authentication requirements in Section 9.2 to prevent illegitimate traffic interception (Section 9.4) in particular.
サードパーティによるトランスポートコンバーターの将来の展開は、特に不正なトラフィックの傍受(セクション9.4)を防ぐために、セクション9.2の相互認証要件に準拠する必要があります。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14 [RFC2119] [RFC8174] when, and only when, they appear in all capitals, as shown here.
この文書のキーワード "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", および "OPTIONAL" はBCP 14 [RFC2119] [RFC8174]で説明されているように、すべて大文字の場合にのみ解釈されます。
Several IETF protocols provide proxy services, the closest to the 0-RTT TCP Convert Protocol being the SOCKSv5 protocol [RFC1928]. This protocol is already used to deploy Multipath TCP in some cellular networks (Section 2.2 of [RFC8041]).
いくつかのIETFプロトコルはプロキシサービスを提供し、SOCKSv5プロトコルである0-RTT TCP変換プロトコルに最も近い[RFC1928]。このプロトコルは、一部のセルラーネットワークでマルチパスTCPをデプロイするためにすでに使用されています([RFC8041]のセクション2.2)。
A SOCKS Client creates a connection to a SOCKS Proxy, exchanges authentication information, and indicates the IP address and port number of the target Server. At this point, the SOCKS Proxy creates a connection towards the target Server and relays all data between the two proxied connections. The operation of an implementation based on SOCKSv5 (without authentication) is illustrated in Figure 1.
SOCKSクライアントは、SOCKSプロキシへの接続を作成し、認証情報を交換し、ターゲットサーバーのIPアドレスとポート番号を示します。この時点で、SOCKSプロキシはターゲットサーバーへの接続を作成し、2つのプロキシ接続間ですべてのデータを中継します。 SOCKSv5(認証なし)に基づく実装の動作を図1に示します。
Client SOCKS Proxy Server
| | |
| --------------------> | |
| SYN | |
| <-------------------- | |
| SYN+ACK | |
| --------------------> | |
| ACK | |
| | |
| --------------------> | |
|Version=5, Auth Methods| |
| <-------------------- | |
| Method | |
| --------------------> | |
|Auth Request (unless "No auth" method negotiated)
| <-------------------- | |
| Auth Response | |
| --------------------> | |
| Connect Server:Port | --------------------> |
| | SYN |
| | <-------------------- |
| | SYN+ACK |
| <-------------------- | |
| Succeeded | |
| --------------------> | |
| Data1 | |
| | --------------------> |
| | Data1 |
| | <-------------------- |
| | Data2 |
| <-------------------- | |
| Data2 | |
...
Figure 1: Establishment of a TCP Connection through a SOCKS Proxy without Authentication
図1:認証なしのSOCKSプロキシを介したTCP接続の確立
When SOCKS is used, an "end-to-end" connection between a Client and a Server becomes a sequence of two TCP connections that are glued together on the SOCKS Proxy. The SOCKS Client and Server exchange control information at the beginning of the bytestream on the Client-Proxy connection. The SOCKS Proxy then creates the connection with the target Server and then glues the two connections together so that all bytes sent by the application (Client) to the SOCKS Proxy are relayed to the Server and vice versa.
SOCKSを使用する場合、クライアントとサーバー間の「エンドツーエンド」接続は、SOCKSプロキシで結合された2つのTCP接続のシーケンスになります。 SOCKSクライアントとサーバーは、Client-Proxy接続のバイトストリームの先頭で制御情報を交換します。次に、SOCKSプロキシはターゲットサーバーとの接続を作成し、2つの接続を接着して、アプリケーション(クライアント)からSOCKSプロキシに送信されるすべてのバイトがサーバーに、またはその逆にリレーされるようにします。
The Convert Protocol is also used on TCP proxies that relay data between an upstream and a downstream connection, but there are important differences with SOCKSv5. A first difference is that the 0-RTT TCP Convert Protocol exchanges all the control information during the initial RTT. This reduces the connection establishment delay compared to SOCKS, which requires two or more round-trip times before the establishment of the downstream connection towards the final destination. In today's Internet, latency is an important metric, and various protocols have been tuned to reduce their latency [LOW-LATENCY]. A recently proposed extension to SOCKS leverages the TCP Fast Open (TFO) option [INTAREA-SOCKS] to reduce this delay.
変換プロトコルは、アップストリーム接続とダウンストリーム接続の間でデータを中継するTCPプロキシでも使用されますが、SOCKSv5との重要な違いがあります。最初の違いは、0-RTT TCP変換プロトコルが初期RTT中にすべての制御情報を交換することです。これにより、最終的な宛先へのダウンストリーム接続を確立する前に2回以上のラウンドトリップ時間を必要とするSOCKSと比較して、接続確立の遅延が減少します。今日のインターネットでは、レイテンシは重要なメトリックであり、さまざまなプロトコルがレイテンシを削減するように調整されています[LOW-LATENCY]。最近提案されたSOCKSの拡張機能は、TCP Fast Open(TFO)オプション[INTAREA-SOCKS]を利用して、この遅延を減らします。
A second difference is that the Convert Protocol explicitly takes the TCP extensions into account. By using the Convert Protocol, the Client can learn whether a given TCP extension is supported by the destination Server. This enables the Client to bypass the Transport Converter when the Server supports the required TCP extension(s). Neither SOCKSv5 [RFC1928] nor the proposed SOCKSv6 [INTAREA-SOCKS] provide such a feature.
2番目の違いは、変換プロトコルが明示的にTCP拡張を考慮に入れることです。変換プロトコルを使用することにより、クライアントは、特定のTCP拡張が宛先サーバーでサポートされているかどうかを知ることができます。これにより、サーバーが必要なTCP拡張機能をサポートしている場合、クライアントはトランスポートコンバーターをバイパスできます。 SOCKSv5 [RFC1928]も提案されたSOCKSv6 [INTAREA-SOCKS]も、そのような機能を提供していません。
A third difference is that a Transport Converter will only confirm the establishment of the connection initiated by the Client provided that the downstream connection has already been accepted by the Server. If the Server refuses the connection establishment attempt from the Transport Converter, then the upstream connection from the Client is rejected as well. This feature is important for applications that check the availability of a Server or use the time to connect as a hint on the selection of a Server [RFC8305].
3番目の違いは、トランスポートコンバーターは、ダウンストリーム接続がサーバーによって既に受け入れられている場合にのみ、クライアントによって開始された接続の確立を確認することです。サーバーがトランスポートコンバーターからの接続確立の試行を拒否した場合、クライアントからのアップストリーム接続も拒否されます。この機能は、サーバーの可用性をチェックするアプリケーション、またはサーバーの選択に関するヒントとして接続時間を使用するアプリケーションにとって重要です[RFC8305]。
A fourth difference is that the 0-RTT TCP Convert Protocol only allows the Client to specify the IP address/port number of the destination Server and not a DNS name. We evaluated an alternate design that included the DNS name of the remote peer instead of its IP address as in SOCKS [RFC1928]. However, that design was not adopted because it induces both an extra load and increased delays on the Transport Converter to handle and manage DNS resolution requests. Note that the name resolution at the Converter may fail (e.g., private names discussed in Section 2.1 of [RFC6731]) or may not match the one that would be returned by a Client's resolution library (e.g., Section 2.2 of [RFC6731]).
4番目の違いは、0-RTT TCP変換プロトコルでは、クライアントは宛先サーバーのIPアドレス/ポート番号のみを指定でき、DNS名は指定できないことです。 SOCKS [RFC1928]のように、IPアドレスの代わりにリモートピアのDNS名を含む代替設計を評価しました。ただし、DNS解決要求を処理および管理するために、トランスポートコンバーターに余分な負荷と遅延の増加を引き起こすため、この設計は採用されませんでした。コンバーターでの名前解決が失敗する場合があります(たとえば、[RFC6731]のセクション2.1で説明されているプライベート名)、またはクライアントの解決ライブラリによって返される名前と一致しない場合があります(たとえば、[RFC6731]のセクション2.2)。
The Convert Protocol considers three functional elements:
変換プロトコルは、3つの機能要素を考慮します。
* Clients
* クライアント
* Transport Converters
* トランスポートコンバーター
* Servers
* サーバー
A Transport Converter is a network function that proxies all data exchanged over one upstream connection to one downstream connection and vice versa (Figure 2). Thus, the Transport Converter maintains state that associates one upstream connection to a corresponding downstream connection.
トランスポートコンバーターは、1つのアップストリーム接続を介して1つのダウンストリーム接続に、またはその逆に交換されるすべてのデータをプロキシするネットワーク機能です(図2)。したがって、トランスポートコンバーターは、1つのアップストリーム接続を対応するダウンストリーム接続に関連付ける状態を維持します。
A connection can be initiated from both sides of the Transport Converter (External realm, Internal realm).
接続は、トランスポートコンバータの両側から開始できます(外部レルム、内部レルム)。
|
:
|
+------------+
Client <- upstream ->| Transport |<- downstream -> Server
connection | Converter | connection
+------------+
|
Internal realm : External realm
|
Figure 2: A Transport Converter Proxies Data between Pairs of TCP Connections
図2:トランスポートコンバーターは、TCP接続のペア間のデータをプロキシします
"Client" refers to a software instance embedded on a host that can reach a Transport Converter in the internal realm. The "Client" can initiate connections via a Transport Converter (referred to as outgoing connections). Also, the "Client" can accept incoming connections via a Transport Converter (referred to as incoming connections).
「クライアント」とは、内部レルムのトランスポートコンバーターに到達できるホストに組み込まれたソフトウェアインスタンスを指します。 「クライアント」は、トランスポートコンバーターを介して接続を開始できます(送信接続と呼ばれます)。また、「クライアント」は、トランスポートコンバーターを介して着信接続(着信接続と呼ばれる)を受け入れることができます。
A Transport Converter can be embedded in a standalone device or be activated as a service on a router. How such a function is enabled is deployment specific.
トランスポートコンバーターは、スタンドアロンデバイスに埋め込むか、ルーターのサービスとしてアクティブ化できます。このような機能を有効にする方法は、デプロイメント固有です。
The architecture assumes that new software will be installed on the Client hosts to interact with one or more Transport Converters. Furthermore, the architecture allows for making use of new TCP extensions even if those are not supported by a given Server.
このアーキテクチャでは、1つ以上のトランスポートコンバーターと対話するために、クライアントホストに新しいソフトウェアがインストールされることを想定しています。さらに、このアーキテクチャでは、特定のサーバーでサポートされていない新しいTCP拡張機能を利用できます。
A Client is configured, through means that are outside the scope of this document, with the names and/or addresses of one or more Transport Converters and the TCP extensions that they support. The procedure for selecting a Transport Converter among a list of configured Transport Converters is outside the scope of this document.
クライアントは、このドキュメントの範囲外の方法で、1つ以上のトランスポートコンバーターの名前またはアドレス、あるいはそれらがサポートするTCP拡張機能で構成されます。構成済みのトランスポートコンバーターのリストからトランスポートコンバーターを選択する手順は、このドキュメントの範囲外です。
One of the benefits of this design is that different transport protocol extensions can be used on the upstream and the downstream connections. This encourages the deployment of new TCP extensions until they are widely supported, in particular, by Servers.
この設計の利点の1つは、アップストリーム接続とダウンストリーム接続で異なるトランスポートプロトコル拡張を使用できることです。これにより、特にサーバーによって広くサポートされるまで、新しいTCP拡張機能の展開が促進されます。
The architecture does not mandate anything on the Server side.
アーキテクチャはサーバー側で何も義務付けていません。
Similar to SOCKS, the architecture does not interfere with end-to-end TLS connections [RFC8446] between the Client and the Server (Figure 3). In other words, end-to-end TLS is supported in the presence of a Converter.
SOCKSと同様に、このアーキテクチャはクライアントとサーバー間のエンドツーエンドのTLS接続[RFC8446]に干渉しません(図3)。つまり、コンバーターが存在する場合は、エンドツーエンドのTLSがサポートされます。
Client Transport Server
| Converter |
| | |
/==========================================\
| End-to-end TLS |
\==========================================/
* TLS messages exchanged between the Client and the Server are not shown.
* クライアントとサーバー間で交換されるTLSメッセージは表示されません。
Figure 3: End-to-end TLS via a Transport Converter
図3:トランスポートコンバーターを介したエンドツーエンドのTLS
It is out of scope of this document to elaborate on specific considerations related to the use of TLS in the Client-Converter connection leg to exchange Convert messages (in addition to the end-to-end TLS connection). In particular, (1) assessment of whether 0-RTT data mode discussed in Section 2.3 of [RFC8446] is safe under replay and (2) specification of a profile for its use (Appendix E.5 of [RFC8446]) are out of scope.
(エンドツーエンドのTLS接続に加えて)変換メッセージを交換するためのクライアントコンバータ接続レッグでのTLSの使用に関連する特定の考慮事項について詳しく説明することは、このドキュメントの範囲外です。特に、(1)[RFC8446]のセクション2.3で説明されている0-RTTデータモードが再生時に安全であるかどうかの評価、および(2)その使用のためのプロファイルの仕様([RFC8446]の付録E.5)が適用されていない範囲。
At a high level, the objective of the Transport Converter is to allow the use a specific extension, e.g., Multipath TCP, on a subset of the path even if the peer does not support this extension. This is illustrated in Figure 4 where the Client initiates a Multipath TCP connection with the Transport Converter (packets belonging to the Multipath TCP connection are shown with "===") while the Transport Converter uses a TCP connection with the Server.
大まかに言うと、トランスポートコンバーターの目的は、ピアがこの拡張をサポートしていない場合でも、パスのサブセットで特定の拡張(マルチパスTCPなど)を使用できるようにすることです。これは図4に示されています。トランスポートコンバーターがサーバーとのTCP接続を使用している間、クライアントはトランスポートコンバーターとのマルチパスTCP接続を開始します(マルチパスTCP接続に属するパケットは「===」で示されます)。
Client Transport Server
| Converter |
| | |
|==================>|--------------------->|
| | |
|<==================|<---------------------|
| | |
Multipath TCP packets TCP packets
Figure 4: An Example of 0-RTT Network-Assisted Outgoing MPTCP Connection
図4:0-RTTネットワーク支援の発信MPTCP接続の例
The packets belonging to a connection established through a Transport Converter may follow a different path than the packets directly exchanged between the Client and the Server. Deployments should minimize the possible additional delay by carefully selecting the location of the Transport Converter used to reach a given destination.
トランスポートコンバータを介して確立された接続に属するパケットは、クライアントとサーバー間で直接交換されるパケットとは異なるパスをたどる場合があります。デプロイメントでは、特定の宛先に到達するために使用されるトランスポートコンバーターの場所を慎重に選択することにより、起こり得る追加の遅延を最小限に抑える必要があります。
When establishing a connection, the Client can, depending on local policies, either contact the Server directly (e.g., by sending a TCP SYN towards the Server) or create the connection via a Transport Converter. In the latter case (that is, the conversion service is used), the Client initiates a connection towards the Transport Converter and indicates the IP address and port number of the Server within the connection establishment packet. Doing so enables the Transport Converter to immediately initiate a connection towards that Server without experiencing an extra delay. The Transport Converter waits until the receipt of the confirmation that the Server agrees to establish the connection before confirming it to the Client.
接続を確立するとき、クライアントはローカルポリシーに応じて、直接サーバーに接続するか(たとえば、サーバーにTCP SYNを送信することにより)、またはトランスポートコンバーターを介して接続を作成できます。後者の場合(つまり、変換サービスが使用されます)、クライアントはトランスポートコンバーターへの接続を開始し、接続確立パケット内のサーバーのIPアドレスとポート番号を示します。これにより、トランスポートコンバーターは、余分な遅延を発生させることなく、そのサーバーへの接続をすぐに開始できます。トランスポートコンバーターは、サーバーが接続を確立することに同意するという確認の受信を待ってから、クライアントへの接続を確認します。
The Client places the destination address and port number of the Server in the payload of the SYN sent to the Transport Converter to minimize connection establishment delays. The Transport Converter maintains two connections that are combined together:
クライアントは、接続確立の遅延を最小限に抑えるために、トランスポートコンバーターに送信されるSYNのペイロードにサーバーの宛先アドレスとポート番号を配置します。トランスポートコンバーターは、結合された2つの接続を維持します。
* The upstream connection is the one between the Client and the Transport Converter.
* アップストリーム接続は、クライアントとトランスポートコンバーター間の接続です。
* The downstream connection is the one between the Transport Converter and the Server.
* ダウンストリーム接続は、トランスポートコンバーターとサーバー間の接続です。
Any user data received by the Transport Converter over the upstream (or downstream) connection is proxied over the downstream (or upstream) connection.
トランスポートコンバーターがアップストリーム(またはダウンストリーム)接続経由で受信したユーザーデータは、ダウンストリーム(またはアップストリーム)接続経由でプロキシされます。
Figure 5 illustrates the establishment of an outgoing TCP connection by a Client through a Transport Converter.
図5は、トランスポートコンバーターを介したクライアントによる発信TCP接続の確立を示しています。
| Note: The information shown between brackets in Figure 5 (and | other figures in the document) refers to Convert Protocol | messages described in Section 6.
|注:図5(および文書内の他の図)の括弧内に示されている情報は、変換プロトコル|を参照しています。セクション6で説明するメッセージ
Transport
Client Converter Server
| | |
|SYN [->Server:port]| SYN |
|------------------>|--------------------->|
|<------------------|<---------------------|
| SYN+ACK [ ] | SYN+ACK |
| ... | ... |
Figure 5: Establishment of an Outgoing TCP Connection through a Transport Converter
図5:トランスポートコンバーターを介した発信TCP接続の確立
The Client sends a SYN destined to the Transport Converter. The payload of this SYN contains the address and port number of the Server. The Transport Converter does not reply immediately to this SYN. It first tries to create a TCP connection towards the target Server. If this upstream connection succeeds, the Transport Converter confirms the establishment of the connection to the Client by returning a SYN+ACK and the first bytes of the bytestream contain information about the TCP options that were negotiated with the Server. Also, a state entry is instantiated for this connection. This state entry is used by the Converter to handle subsequent messages belonging to the connection.
クライアントは、トランスポートコンバータを宛先とするSYNを送信します。このSYNのペイロードには、サーバーのアドレスとポート番号が含まれています。トランスポートコンバーターは、このSYNにすぐに応答しません。まず、ターゲットサーバーへのTCP接続を作成しようとします。このアップストリーム接続が成功すると、トランスポートコンバーターはSYN + ACKを返すことでクライアントへの接続の確立を確認し、バイトストリームの最初のバイトにはサーバーとネゴシエートされたTCPオプションに関する情報が含まれます。また、この接続に対して状態エントリがインスタンス化されます。この状態エントリは、接続に属する後続のメッセージを処理するためにコンバータによって使用されます。
The connection can also be established from the Internet towards a Client via a Transport Converter (Figure 6). This is typically the case when the Client hosts an application Server that listens to a specific port number. When the Converter receives an incoming SYN from a remote host, it checks if it can provide the conversion service for the destination IP address and destination port number of that SYN. The Transport Converter receives this SYN because it is, for example, on the path between the remote host and the Client or it provides address-sharing service for the Client (Section 2 of [RFC6269]). If the check fails, the packet is silently ignored by the Converter. If the check is successful, the Converter tries to initiate a TCP connection towards the Client from its own address and using its configured TCP options. In the SYN that corresponds to this connection attempt, the Transport Convert inserts a TLV message that indicates the source address and port number of the remote host. A transport session entry is created by the Converter for this connection. SYN+ACK and ACK will then be exchanged between the Client, the Converter, and remote host to confirm the establishment of the connection. The Converter uses the transport session entry to proxy packets belonging to the connection.
接続は、トランスポートコンバーターを介してインターネットからクライアントに向けて確立することもできます(図6)。これは通常、クライアントが特定のポート番号をリッスンするアプリケーションサーバーをホストする場合に当てはまります。コンバーターは、リモートホストから着信SYNを受信すると、そのSYNの宛先IPアドレスと宛先ポート番号に変換サービスを提供できるかどうかを確認します。 Transport ConverterはこのSYNを受け取ります。これは、たとえば、リモートホストとクライアント間のパス上にあるか、クライアントにアドレス共有サービスを提供するためです([RFC6269]のセクション2)。チェックが失敗した場合、パケットはコンバータによって黙って無視されます。チェックが成功した場合、コンバーターは自身のアドレスから、構成されたTCPオプションを使用して、クライアントへのTCP接続を開始しようとします。この接続試行に対応するSYNで、Transport Convertは、リモートホストのソースアドレスとポート番号を示すTLVメッセージを挿入します。トランスポートセッションエントリは、この接続のコンバータによって作成されます。 SYN + ACKとACKは、クライアント、コンバーター、リモートホスト間で交換され、接続の確立を確認します。コンバータは、トランスポートセッションエントリを使用して、接続に属するパケットをプロキシします。
Transport Remote
Client Converter Host (RH)
| | |
|SYN [<-RH IP@:port]| SYN |
|<------------------|<---------------------|
|------------------>|--------------------->|
| SYN+ACK [ ] | SYN+ACK |
| ... | ... |
Figure 6: Establishment of an Incoming TCP Connection through a Transport Converter
図6:トランスポートコンバーターを介した着信TCP接続の確立
Standard TCP (Section 3.4 of [RFC0793]) allows a SYN packet to carry data inside its payload but forbids the receiver from delivering it to the application until completion of the three-way-handshake. To enable applications to exchange data in a TCP handshake, this specification follows an approach similar to TCP Fast Open [RFC7413] and thus, removes the constraint by allowing data in SYN packets to be delivered to the Transport Converter application.
標準TCP([RFC0793]のセクション3.4)により、SYNパケットはペイロード内でデータを伝送できますが、3方向ハンドシェイクが完了するまで、受信者がデータをアプリケーションに配信することはできません。アプリケーションがTCPハンドシェイクでデータを交換できるようにするために、この仕様はTCP Fast Open [RFC7413]と同様のアプローチに従い、SYNパケットのデータをTransport Converterアプリケーションに配信できるようにすることで制約を取り除きます。
As discussed in [RFC7413], such change to TCP semantics raises two issues. First, duplicate SYNs can cause problems for applications that rely on TCP; whether or not a given application is affected depends on the details of that application protocol. Second, TCP suffers from SYN flooding attacks [RFC4987]. TFO solves these two problems for applications that can tolerate replays by using the TCP Fast Open option that includes a cookie. However, the utilization of this option consumes space in the limited TCP header. Furthermore, there are situations, as noted in Section 7.3 of [RFC7413], where it is possible to accept the payload of SYN packets without creating additional security risks such as a network where addresses cannot be spoofed and the Transport Converter only serves a set of hosts that are identified by these addresses.
[RFC7413]で説明されているように、TCPセマンティクスへのこのような変更は2つの問題を引き起こします。まず、SYNが重複すると、TCPに依存するアプリケーションで問題が発生する可能性があります。特定のアプリケーションが影響を受けるかどうかは、そのアプリケーションプロトコルの詳細によって異なります。第二に、TCPはSYNフラッディング攻撃を受けます[RFC4987]。 TFOは、Cookieを含むTCP Fast Openオプションを使用して、リプレイを許容できるアプリケーションのこれら2つの問題を解決します。ただし、このオプションを使用すると、限られたTCPヘッダーのスペースが消費されます。さらに、[RFC7413]のセクション7.3に記載されているように、アドレスを偽装できず、トランスポートコンバーターが一連のサービスしか提供しないネットワークなどの追加のセキュリティリスクを発生させることなく、SYNパケットのペイロードを受け入れることができる状況があります。これらのアドレスで識別されるホスト。
For these reasons, this specification does not mandate the use of the TCP Fast Open option when the Client sends a connection establishment packet towards a Transport Converter. The Convert Protocol includes an optional Cookie TLV that provides similar protection as the TCP Fast Open option without consuming space in the TCP header. Furthermore, this design allows for the use of longer cookies than [RFC7413].
これらの理由により、この仕様では、クライアントがトランスポートコンバーターに向けて接続確立パケットを送信するときのTCP Fast Openオプションの使用を義務付けていません。変換プロトコルには、TCPヘッダーのスペースを消費せずにTCP Fast Openオプションと同様の保護を提供するオプションのCookie TLVが含まれています。さらに、この設計では[RFC7413]よりも長いCookieを使用できます。
If the downstream (or upstream) connection fails for some reason (excessive retransmissions, reception of an RST segment, etc.), then the Converter reacts by forcing the teardown of the upstream (or downstream) connection. In particular, if an ICMP error message that indicates a hard error is received on the downstream connection, the Converter echoes the Code field of that ICMP message in a Destination Unreachable Error TLV (see Section 6.2.8) that it transmits to the Client. Note that if an ICMP error message that indicates a soft error is received on the downstream connection, the Converter will retransmit the corresponding data until it is acknowledged or the connection times out. A classification of ICMP soft and hard errors is provided in Table 1 of [RFC5461].
ダウンストリーム(またはアップストリーム)接続が何らかの理由(過剰な再送信、RSTセグメントの受信など)で失敗した場合、コンバーターはアップストリーム(またはダウンストリーム)接続の強制終了によって強制的に反応します。特に、ハードエラーを示すICMPエラーメッセージがダウンストリーム接続で受信された場合、コンバータは、クライアントに送信する宛先到達不能エラーTLV(セクション6.2.8を参照)にそのICMPメッセージのコードフィールドをエコーします。ソフトエラーを示すICMPエラーメッセージがダウンストリーム接続で受信された場合、Converterは、確認されるか接続がタイムアウトするまで、対応するデータを再送信します。 ICMPソフトおよびハードエラーの分類は、[RFC5461]の表1に記載されています。
The same reasoning applies when the upstream connection ends with an exchange of FIN segments. In this case, the Converter will also terminate the downstream connection by using FIN segments. If the downstream connection terminates with the exchange of FIN segments, the Converter should initiate a graceful termination of the upstream connection.
同じ理由が、アップストリーム接続がFINセグメントの交換で終了する場合にも当てはまります。この場合、コンバーターはFINセグメントを使用してダウンストリーム接続も終了します。ダウンストリーム接続がFINセグメントの交換で終了する場合、コンバーターはアップストリーム接続の正常な終了を開始する必要があります。
As mentioned in Section 4.2, the Transport Converter acts as a TCP proxy between the upstream connection (i.e., between the Client and the Transport Converter) and the downstream connection (i.e., between the Transport Converter and the Server).
セクション4.2で説明したように、トランスポートコンバーターは、アップストリーム接続(つまり、クライアントとトランスポートコンバーターの間)とダウンストリーム接続(つまり、トランスポートコンバーターとサーバーの間)の間のTCPプロキシとして機能します。
The control messages (i.e., the Convert messages discussed in Section 6) establish state (called transport session entry) in the Transport Converter that will enable it to proxy between the two TCP connections.
制御メッセージ(つまり、セクション6で説明した変換メッセージ)は、2つのTCP接続間でプロキシできるようにするトランスポートコンバーターの状態(トランスポートセッションエントリと呼ばれる)を確立します。
The Transport Converter uses the transport session entry to proxy packets belonging to the connection. An implementation example of a transport session entry for TCP connections is shown in Figure 7.
トランスポートコンバーターは、トランスポートセッションエントリを使用して、接続に属するパケットをプロキシします。 TCP接続のトランスポートセッションエントリの実装例を図7に示します。
(C,c) <--> (T,t), (S,s), Lifetime
Figure 7: An Example of Transport Session Entry
図7:トランスポートセッションエントリの例
Where:
どこ:
* C and c are the source IP address and source port number used by the Client for the upstream connection.
* Cとcは、クライアントがアップストリーム接続に使用するソースIPアドレスとソースポート番号です。
* S and s are the Server's IP address and port number.
* SとsはサーバーのIPアドレスとポート番号です。
* T and t are the source IP address and source port number used by the Transport Converter to proxy the connection.
* Tとtは、トランスポートコンバーターが接続をプロキシするために使用するソースIPアドレスとソースポート番号です。
* Lifetime is a timer that tracks the remaining lifetime of the entry as assigned by the Converter. When the timer expires, the entry is deleted.
* ライフタイムは、コンバータによって割り当てられたエントリの残りのライフタイムを追跡するタイマーです。タイマーが期限切れになると、エントリは削除されます。
Clients send packets bound to connections eligible for the conversion service to the provisioned Transport Converter and destination port number. This applies for both control messages and data. Additional information is supplied by Clients to the Transport Converter by means of Convert messages as detailed in Section 6. User data can be included in SYN or non-SYN messages. User data is unambiguously distinguished from Convert TLVs by a Transport Converter owing to the Convert Fixed Header in the Convert messages (Section 6.1). These Convert TLVs are destined to the Transport Convert and are, thus, removed by the Transport Converter when proxying between the two connections.
クライアントは、変換サービスに適格な接続にバインドされたパケットを、プロビジョニングされたトランスポートコンバーターと宛先ポート番号に送信します。これは、制御メッセージとデータの両方に適用されます。クライアントからトランスポートコンバーターに追加情報が提供されます(セクション6を参照)。ユーザーデータはSYNメッセージまたは非SYNメッセージに含めることができます。ユーザーデータは、Convertメッセージ(セクション6.1)のConvert Fixed Headerにより、Transport ConverterによってConvert TLVと明確に区別されます。これらのConvert TLVは、Transport Convertを宛先としているため、2つの接続間でプロキシするときにTransport Converterによって削除されます。
Upon receipt of a packet that belongs to an existing connection between a Client and the Transport Converter, the Converter proxies the user data to the Server using the information stored in the corresponding transport session entry. For example, in reference to Figure 7, the Transport Converter proxies the data received from (C,c) downstream using (T,t) as source transport address and (S,s) as destination transport address.
クライアントとトランスポートコンバーター間の既存の接続に属するパケットを受信すると、コンバーターは、対応するトランスポートセッションエントリに格納されている情報を使用して、ユーザーデータをサーバーにプロキシします。たとえば、図7を参照すると、トランスポートコンバーターは(C、c)ダウンストリームから受信したデータを(T、t)をソーストランスポートアドレスとして、(S、s)を宛先トランスポートアドレスとしてプロキシします。
A similar process happens for data sent from the Server. The Converter acts as a TCP proxy and sends the data to the Client relying upon the information stored in a transport session entry. The Converter associates a lifetime with state entries used to bind an upstream connection with its downstream connection.
サーバーから送信されたデータについても同様のプロセスが発生します。 ConverterはTCPプロキシとして機能し、トランスポートセッションエントリに保存されている情報に基づいてクライアントにデータを送信します。 Converterは、有効期間を、アップストリーム接続をダウンストリーム接続にバインドするために使用される状態エントリに関連付けます。
When Multipath TCP is used between the Client and the Transport Converter, the Converter maintains more state (e.g., information about the subflows) for each Multipath TCP connection. The procedure described above continues to apply except that the Converter needs to manage the establishment/termination of subflows and schedule packets among the established ones. These operations are part of the Multipath TCP implementation. They are independent of the Convert Protocol that only processes the Convert messages in the beginning of the bytestream.
クライアントとトランスポートコンバーターの間でマルチパスTCPが使用されている場合、コンバーターは各マルチパスTCP接続についてより多くの状態(サブフローに関する情報など)を維持します。上記の手順は、サブフローの確立/終了を管理し、確立されたサブフロー間でパケットをスケジュールする必要があることを除いて、引き続き適用されます。これらの操作は、マルチパスTCP実装の一部です。これらは、バイトストリームの先頭でのみ変換メッセージを処理する変換プロトコルから独立しています。
A Transport Converter may operate in address preservation mode (that is, the Converter does not rewrite the source IP address (i.e., C==T)) or address-sharing mode (that is, an address pool is shared among all Clients serviced by the Converter (i.e., C!=T)); refer to Section 4.4 for more details. Which behavior to use by a Transport Converter is deployment specific. If address-sharing mode is enabled, the Transport Converter MUST adhere to REQ-2 of [RFC6888], which implies a default "IP address pooling" behavior of "Paired" (as defined in Section 4.1 of [RFC4787]) MUST be supported. This behavior is meant to avoid breaking applications that depend on the source address remaining constant.
トランスポートコンバーターは、アドレス保存モード(つまり、コンバーターはソースIPアドレス(つまり、C == T)を書き換えない)またはアドレス共有モード(つまり、アドレスプールは、コンバーター(つまり、C!= T));詳細については、4.4項を参照してください。 Transport Converterで使用する動作は、デプロイメント固有です。アドレス共有モードが有効になっている場合、トランスポートコンバーターは[RFC6888]のREQ-2に準拠する必要があります。これは、「[ペア]」のデフォルトの「IPアドレスプーリング」動作([RFC4787]のセクション4.1で定義)をサポートする必要があることを意味します。この動作は、ソースアドレスが一定のままであることに依存するアプリケーションの破壊を回避するためのものです。
The Transport Converter is provided with instructions about the behavior to adopt with regard to the processing of source addresses of outgoing packets. The following subsections discuss two deployment models for illustration purposes. It is out of the scope of this document to make a recommendation.
トランスポートコンバーターには、発信パケットのソースアドレスの処理に関して採用する動作に関する指示が提供されています。次のサブセクションでは、説明のために2つの配置モデルについて説明します。推奨することは、このドキュメントの範囲外です。
In this model, the visible source IP address of a packet proxied by a Transport Converter to a Server is an IP address of the end host (Client). No dedicated IP address pool is provisioned to the Transport Converter, but the Transport Converter is located on the path between the Client and the Server.
このモデルでは、トランスポートコンバーターからサーバーにプロキシされるパケットの可視ソースIPアドレスは、エンドホスト(クライアント)のIPアドレスです。専用のIPアドレスプールはトランスポートコンバーターにプロビジョニングされていませんが、トランスポートコンバーターはクライアントとサーバー間のパス上にあります。
For Multipath TCP, the Transport Converter preserves the source IP address used by the Client when establishing the initial subflow. Data conveyed in secondary subflows will be proxied by the Transport Converter using the source IP address of the initial subflow. An example of a proxied Multipath TCP connection with address preservation is shown in Figure 8.
マルチパスTCPの場合、トランスポートコンバーターは、初期サブフローを確立するときにクライアントが使用するソースIPアドレスを保持します。セカンダリサブフローで伝達されるデータは、最初のサブフローのソースIPアドレスを使用して、トランスポートコンバーターによってプロキシされます。図8に、アドレス保持を備えたプロキシされたマルチパスTCP接続の例を示します。
Transport Client Converter Server
トランスポートクライアントコンバータサーバー
@:C1,C2 @:Tc @:S
|| | |
|src:C1 SYN dst:Tc|src:C1 dst:S|
|-------MPC [->S:port]------->|-------SYN------->|
|| | |
||dst:C1 src:Tc|dst:C1 src:S|
|<---------SYN/ACK------------|<-----SYN/ACK-----|
|| | |
|src:C1 dst:Tc|src:C1 dst:S|
|------------ACK------------->|-------ACK------->|
| | |
|src:C2 ... dst:Tc| ... |
||<-----Secondary Subflow---->|src:C1 dst:S|
|| |-------data------>|
| .. | ... |
Legend: Tc: IP address used by the Transport Converter on the internal realm.
凡例:Tc:内部レルムのトランスポートコンバーターによって使用されるIPアドレス。
Figure 8: Example of Address Preservation
図8:アドレス保存の例
The Transport Converter must be on the forwarding path of incoming traffic. Because the same (destination) IP address is used for both proxied and non-proxied connections, the Transport Converter should not drop incoming packets it intercepts if no matching entry is found for the packets. Unless explicitly configured otherwise, such packets are forwarded according to the instructions of a local forwarding table.
トランスポートコンバーターは、着信トラフィックの転送パス上にある必要があります。プロキシ接続と非プロキシ接続の両方に同じ(宛先)IPアドレスが使用されるため、トランスポートコンバーターは、パケットに一致するエントリが見つからない場合、インターセプトする着信パケットをドロップしてはなりません。特に明示的に設定されていない限り、そのようなパケットはローカル転送テーブルの指示に従って転送されます。
A pool of global IPv4 addresses is provisioned to the Transport Converter along with possible instructions about the address-sharing ratio to apply (see Appendix B of [RFC6269]). An address is thus shared among multiple Clients.
グローバルIPv4アドレスのプールが、適用するアドレス共有比率に関する可能な指示とともにトランスポートコンバーターにプロビジョニングされます([RFC6269]の付録Bを参照)。したがって、アドレスは複数のクライアント間で共有されます。
Likewise, rewriting the source IPv6 prefix [RFC6296] may be used to ease redirection of incoming IPv6 traffic towards the appropriate Transport Converter. A pool of IPv6 prefixes is then provisioned to the Transport Converter for this purpose.
同様に、ソースIPv6プレフィックス[RFC6296]の書き換えは、適切なトランスポートコンバーターへの着信IPv6トラフィックのリダイレクトを容易にするために使用できます。次に、IPv6プレフィックスのプールがこの目的でトランスポートコンバーターにプロビジョニングされます。
Adequate forwarding policies are enforced so that traffic destined to an address of such a pool is intercepted by the appropriate Transport Converter. Unlike Section 4.4.1, the Transport Converter drops incoming packets that do not match an active transport session entry.
適切な転送ポリシーが適用されるため、そのようなプールのアドレス宛てのトラフィックは、適切なトランスポートコンバーターによってインターセプトされます。セクション4.4.1とは異なり、Transport Converterはアクティブなトランスポートセッションエントリに一致しない着信パケットをドロップします。
An example is shown in Figure 9.
図9に例を示します。
Transport Client Converter Server
トランスポートクライアントコンバータサーバー
@:C @:Tc|Te @:S
| | |
|src:C dst:Tc|src:Te dst:S|
|-------SYN [->S:port]------->|-------SYN------->|
| | |
|dst:C src:Tc|dst:Te src:S|
|<---------SYN/ACK------------|<-----SYN/ACK-----|
| | |
|src:C dst:Tc|src:Te dst:S|
|------------ACK------------->|-------ACK------->|
| | |
| ... | ... |
Legend: Tc: IP address used by the Transport Converter on the internal realm. Te: IP address used by the Transport Converter on the external realm.
凡例:Tc:内部レルムのトランスポートコンバーターによって使用されるIPアドレス。 Te:外部レルムのTransport Converterが使用するIPアドレス。
Figure 9: Address Sharing
図9:アドレス共有
As an example, let us consider how the Convert Protocol can help the deployment of Multipath TCP. We assume that both the Client and the Transport Converter support Multipath TCP but consider two different cases depending on whether or not the Server supports Multipath TCP.
例として、変換プロトコルがマルチパスTCPの展開にどのように役立つかを考えてみましょう。クライアントとトランスポートコンバーターの両方がマルチパスTCPをサポートすると想定していますが、サーバーがマルチパスTCPをサポートしているかどうかに応じて、2つの異なるケースを検討します。
As a reminder, a Multipath TCP connection is created by placing the MP_CAPABLE (MPC) option in the SYN sent by the Client.
注意として、マルチパスTCP接続は、クライアントから送信されたSYNにMP_CAPABLE(MPC)オプションを配置することによって作成されます。
Figure 10 describes the operation of the Transport Converter if the Server does not support Multipath TCP.
図10は、サーバーがマルチパスTCPをサポートしていない場合のトランスポートコンバーターの動作を示しています。
Transport
Client Converter Server
|SYN, MPC | |
|[->Server:port] | SYN, MPC |
|------------------>|--------------------->|
|<------------------|<---------------------|
| SYN+ACK,MPC [.] | SYN+ACK |
|------------------>|--------------------->|
| ACK, MPC | ACK |
| ... | ... |
Figure 10: Establishment of a Multipath TCP Connection through a Transport Converter towards a Server That Does Not support Multipath TCP
図10:マルチパスTCPをサポートしないサーバーへのトランスポートコンバーターを介したマルチパスTCP接続の確立
The Client tries to initiate a Multipath TCP connection by sending a SYN with the MP_CAPABLE option (MPC in Figure 10). The SYN includes the address and port number of the target Server, that are extracted and used by the Transport Converter to initiate a Multipath TCP connection towards this Server. Since the Server does not support Multipath TCP, it replies with a SYN+ACK that does not contain the MP_CAPABLE option. The Transport Converter notes that the connection with the Server does not support Multipath TCP and returns the extended TCP header received from the Server to the Client.
クライアントは、MP_CAPABLEオプションを使用してSYNを送信することにより、マルチパスTCP接続を開始しようとします(図10のMPC)。 SYNには、ターゲットサーバーのアドレスとポート番号が含まれます。これらは、このサーバーへのマルチパスTCP接続を開始するためにトランスポートコンバーターによって抽出および使用されます。サーバーはマルチパスTCPをサポートしていないため、MP_CAPABLEオプションを含まないSYN + ACKで応答します。トランスポートコンバーターは、サーバーとの接続がマルチパスTCPをサポートしていないことを通知し、サーバーから受信した拡張TCPヘッダーをクライアントに返します。
Note that, if the TCP connection is reset for some reason, the Converter tears down the Multipath TCP connection by transmitting an MP_FASTCLOSE. Likewise, if the Multipath TCP connection ends with the transmission of DATA_FINs, the Converter terminates the TCP connection by using FIN segments. As a side note, given that with Multipath TCP, RST only has the scope of the subflow and will only close the concerned subflow but not affect the remaining subflows, the Converter does not terminate the downstream TCP connection upon receipt of an RST over a Multipath subflow.
何らかの理由でTCP接続がリセットされた場合、コンバータはMP_FASTCLOSEを送信してマルチパスTCP接続を切断することに注意してください。同様に、マルチパスTCP接続がDATA_FINの送信で終了する場合、コンバーターはFINセグメントを使用してTCP接続を終了します。補足として、マルチパスTCPの場合、RSTはサブフローのスコープしか持たず、関連するサブフローのみを閉じ、残りのサブフローには影響を与えないため、コンバータはマルチパスを介してRSTを受信してもダウンストリームTCP接続を終了しませんサブフロー。
Figure 11 considers a Server that supports Multipath TCP. In this case, it replies to the SYN sent by the Transport Converter with the MP_CAPABLE option. Upon reception of this SYN+ACK, the Transport Converter confirms the establishment of the connection to the Client and indicates to the Client that the Server supports Multipath TCP. With this information, the Client has discovered that the Server supports Multipath TCP. This will enable the Client to bypass the Transport Converter for the subsequent Multipath TCP connections that it will initiate towards this Server.
図11では、マルチパスTCPをサポートするサーバーを検討しています。この場合、MP_CAPABLEオプションを使用して、トランスポートコンバーターによって送信されたSYNに応答します。このSYN + ACKを受信すると、トランスポートコンバーターはクライアントへの接続の確立を確認し、サーバーがマルチパスTCPをサポートしていることをクライアントに示します。この情報により、クライアントはサーバーがマルチパスTCPをサポートすることを発見しました。これにより、クライアントは、このサーバーに向けて開始する後続のマルチパスTCP接続のトランスポートコンバーターをバイパスできます。
Transport
Client Converter Server
|SYN, MPC | |
|[->Server:port] | SYN, MPC |
|------------------>|--------------------->|
|<------------------|<---------------------|
|SYN+ACK, MPC | SYN+ACK, MPC |
|[MPC supported] | |
|------------------>|--------------------->|
| ACK, MPC | ACK, MPC |
| ... | ... |
Figure 11: Establishment of a Multipath TCP Connection through a Converter towards an MPTCP-Capable Server
図11:MPTCP対応サーバーへのコンバーターを介したマルチパスTCP接続の確立
An example of an incoming Converter-assisted Multipath TCP connection is depicted in Figure 12. In order to support incoming connections from remote hosts, the Client may use the Port Control Protocol (PCP) [RFC6887] to instruct the Transport Converter to create dynamic mappings. Those mappings will be used by the Transport Converter to intercept an incoming TCP connection destined to the Client and convert it into a Multipath TCP connection.
着信コンバーター支援マルチパスTCP接続の例を図12に示します。リモートホストからの着信接続をサポートするために、クライアントはポート制御プロトコル(PCP)[RFC6887]を使用して、トランスポートコンバーターに動的マッピングを作成するように指示できます。 。これらのマッピングは、クライアントに宛てられた着信TCP接続をインターセプトしてマルチパスTCP接続に変換するためにトランスポートコンバーターによって使用されます。
Typically, the Client sends a PCP request to the Converter asking to create an explicit TCP mapping for the internal IP address and internal port number. The Converter accepts the request by creating a TCP mapping for the internal IP address, internal port number, external IP address, and external port number. The external IP address, external port number, and assigned lifetime are returned back to the Client in the PCP response. The external IP address and external port number will then be advertised by the Client (or the user) using an out-of-band mechanism so that remote hosts can initiate TCP connections to the Client via the Converter. Note that the external and internal information may be the same.
通常、クライアントはPCP要求をコンバーターに送信して、内部IPアドレスと内部ポート番号の明示的なTCPマッピングを作成するように要求します。 Converterは、内部IPアドレス、内部ポート番号、外部IPアドレス、および外部ポート番号のTCPマッピングを作成することにより、要求を受け入れます。外部IPアドレス、外部ポート番号、および割り当てられた有効期間は、PCP応答でクライアントに返されます。外部IPアドレスと外部ポート番号は、アウトオブバンドメカニズムを使用してクライアント(またはユーザー)によって通知され、リモートホストがConverterを介してクライアントへのTCP接続を開始できるようになります。外部情報と内部情報が同じになる場合があることに注意してください。
Then, when the Converter receives an incoming SYN, it checks its mapping table to verify if there is an active mapping matching the destination IP address and destination port of that SYN. If no entry is found, the Converter silently ignores the message. If an entry is found, the Converter inserts an MP_CAPABLE option and Connect TLV in the SYN packet, and rewrites the source IP address to one of its IP addresses and, eventually, the destination IP address and port number in accordance with the information stored in the mapping. SYN+ACK and ACK will then be exchanged between the Client and the Converter to confirm the establishment of the initial subflow. The Client can add new subflows following normal Multipath TCP procedures.
次に、コンバーターは着信SYNを受信すると、そのマッピングテーブルをチェックして、そのSYNの宛先IPアドレスと宛先ポートに一致するアクティブなマッピングがあるかどうかを確認します。エントリが見つからない場合、コンバータはメッセージを無視します。エントリが見つかった場合、コンバーターはMP_CAPABLEオプションとConnect TLVをSYNパケットに挿入し、送信元IPアドレスをそのIPアドレスの1つに書き換え、最終的には、宛先IPアドレスとポート番号を、格納されている情報に従って書き換えますマッピング。次に、SYN + ACKおよびACKがクライアントとコンバーターの間で交換され、初期サブフローの確立が確認されます。クライアントは、通常のマルチパスTCP手順に従って、新しいサブフローを追加できます。
Transport Remote
Client Converter Host
| | |
|<--------------------|<-------------------|
|SYN, MPC | SYN |
|[Remote Host:port] | |
|-------------------->|------------------->|
| SYN+ACK, MPC | SYN+ACK |
|<--------------------|<-------------------|
| ACK, MPC | ACK |
| ... | ... |
Figure 12: Establishment of an Incoming Multipath TCP Connection through a Transport Converter
図12:トランスポートコンバーターを介した着信マルチパスTCP接続の確立
It is out of scope of this document to define specific Convert TLVs to manage incoming connections (that is, TLVs that mimic PCP messages). These TLVs can be defined in a separate document.
着信接続を管理するための特定の変換TLV(つまり、PCPメッセージを模倣するTLV)を定義することは、このドキュメントの範囲外です。これらのTLVは、別のドキュメントで定義できます。
This section defines the Convert Protocol (Convert, for short) messages that are exchanged between a Client and a Transport Converter.
このセクションでは、クライアントとトランスポートコンバーターの間で交換される変換プロトコル(略して、Convert)メッセージを定義します。
The Transport Converter listens on a specific TCP port number for Convert messages from Clients. That port number is configured by an administrator. Absent any policy, the Transport Converter SHOULD silently ignore SYNs with no Convert TLVs.
トランスポートコンバーターは、クライアントからの変換メッセージを特定のTCPポート番号でリッスンします。そのポート番号は管理者が設定します。ポリシーがない場合、トランスポートコンバーターは変換TLVのないSYNを黙って無視する必要があります(SHOULD)。
Convert messages may appear only in SYN, SYN+ACK, or ACK.
変換メッセージは、SYN、SYN + ACK、またはACKでのみ表示されます。
Convert messages MUST be included as the first bytes of the bytestream. All Convert messages start with a fixed header that is 32 bits long (Section 6.1) followed by one or more Convert TLVs (Type, Length, Value) (Section 6.2).
バイトストリームの最初のバイトとして変換メッセージを含める必要があります。すべての変換メッセージは、32ビット長の固定ヘッダー(セクション6.1)で始まり、その後に1つ以上の変換TLV(タイプ、長さ、値)(セクション6.2)が続きます。
If the initial SYN message contains user data in its payload (e.g., see [RFC7413]), that data MUST be placed right after the Convert TLVs when generating the SYN.
最初のSYNメッセージのペイロードにユーザーデータが含まれている場合(たとえば、[RFC7413]を参照)、そのデータは、SYNの生成時にConvert TLVの直後に配置する必要があります。
The protocol can be extended by defining new TLVs or bumping the version number if a different message format is needed. If a future version is defined but with a different message format, the version negotiation procedure defined in Section 6.2.8 (see "Unsupported Version") is meant to agree on a version that is supported by both peers.
新しいTLVを定義するか、別のメッセージ形式が必要な場合はバージョン番号を変更することで、プロトコルを拡張できます。将来のバージョンが定義されているが、メッセージ形式が異なる場合、6.2.8項(「サポートされていないバージョン」を参照)で定義されているバージョンネゴシエーション手順は、両方のピアでサポートされているバージョンに同意することを意図しています。
| Implementation note 1: Several implementers expressed concerns | about the use of TFO. As a reminder, the Fast Open Cookie | protects from some attack scenarios that affect open servers | like web servers. The Convert Protocol is different and, as | discussed in [RFC7413], there are different ways to protect | from such attacks. Instead of using a Fast Open Cookie inside | the TCP options, which consumes precious space in the extended | TCP header, the Convert Protocol supports the utilization of a | Cookie that is placed in the SYN payload. This provides the | same level of protection as a Fast Open Cookie in environments | were such protection is required. | | Implementation note 2: Error messages are not included in RST | but sent in the bytestream. Implementers have indicated that | processing RST on Clients was difficult on some platforms. | This design simplifies Client implementations.
|実装ノート1:いくつかの実装者が懸念を表明しました| TFOの使用について。注意として、Fast Open Cookie |は、開いているサーバーに影響を与えるいくつかの攻撃シナリオから保護します。 Webサーバーのように。変換プロトコルは異なります。 [RFC7413]で説明されているように、保護するにはさまざまな方法があります。そのような攻撃から。内部でFast Open Cookieを使用する代わりに|拡張で貴重なスペースを消費するTCPオプション| TCPヘッダー。変換プロトコルは、|の使用をサポートします。 SYNペイロードに配置されるCookie。これにより、|環境におけるFast Open Cookieと同じレベルの保護|そのような保護が必要な場合。 | |実装上の注意2:エラーメッセージはRSTに含まれません。バイトストリームで送信されます。実装者は次のことを示しています。一部のプラットフォームでは、クライアントでのRSTの処理が困難でした。 |この設計により、クライアントの実装が簡素化されます。
The Convert Protocol uses a fixed header that is 32 bits long sent by both the Client and the Transport Converter over each established connection. This header indicates both the version of the protocol used and the length of the Convert message.
変換プロトコルは、確立された各接続を介してクライアントとトランスポートコンバーターの両方から送信される32ビット長の固定ヘッダーを使用します。このヘッダーは、使用されるプロトコルのバージョンと変換メッセージの長さの両方を示します。
The Client and the Transport Converter MUST send the fixed-sized header, shown in Figure 13, as the first four bytes of the bytestream.
クライアントとトランスポートコンバーターは、バイトストリームの最初の4バイトとして、図13に示す固定サイズのヘッダーを送信する必要があります。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+---------------+---------------+-------------------------------+
| Version | Total Length | Magic Number |
+---------------+---------------+-------------------------------+
Figure 13: The Convert Fixed Header
図13:固定ヘッダーの変換
The version is encoded as an 8-bit unsigned integer value. This document specifies version 1. Version 0 is reserved by this document and MUST NOT be used.
バージョンは、8ビットの符号なし整数値としてエンコードされます。このドキュメントはバージョン1を指定します。バージョン0はこのドキュメントによって予約されており、使用してはなりません。
| Note: Early versions of this specification don't use a | dedicated port number but only rely upon the IP address of the | Converter. Having a bit set in the Version field together with | the Total Length field avoids misinterpreting data in a SYN as | Convert TLVs. Since the design was updated to use a specific | service port, that constraint was relaxed. Version 0 would | work, but given existing implementations already use Version 1, | the use of Version 0 is maintained as reserved.
|注:この仕様の初期のバージョンでは、|を使用していません。専用ポート番号ですが、|のIPアドレスのみに依存しますコンバータ。 |と一緒にVersionフィールドにビットを設定する全長フィールドは、SYN内のデータを誤って解釈することを回避します。 TLVを変換します。特定の|を使用するようにデザインが更新されたので、サービスポート、その制約は緩和されました。バージョン0は|機能しますが、既存の実装ではすでにバージョン1を使用しています。バージョン0の使用は予約済みとして維持されます。
The Total Length is the number of 32-bit words, including the header, of the bytestream that are consumed by the Convert messages. Since Total Length is also an 8-bit unsigned integer, those messages cannot consume more than 1020 bytes of data. This limits the number of bytes that a Transport Converter needs to process. A Total Length of zero is invalid and the connection MUST be reset upon reception of a header with such a total length.
Total Lengthは、Convertメッセージによって消費されるバイトストリームの32ビットワード(ヘッダーを含む)の数です。 Total Lengthも8ビットの符号なし整数であるため、これらのメッセージは1020バイトを超えるデータを消費できません。これにより、Transport Converterが処理する必要のあるバイト数が制限されます。ゼロの合計長は無効であり、そのような合計長のヘッダーを受信すると、接続をリセットする必要があります。
The Magic Number field MUST be set to 0x2263. This field is meant to further strengthen the protocol to unambiguously distinguish any data supplied by an application from Convert TLVs.
Magic Numberフィールドは0x2263に設定する必要があります。このフィールドは、プロトコルをさらに強化して、アプリケーションから提供されたデータをConvert TLVから明確に区別することを目的としています。
The Total Length field unambiguously marks the number of 32-bit words that carry Convert TLVs in the beginning of the bytestream.
Total Lengthフィールドは、バイトストリームの先頭でConvert TLVを伝送する32ビットワードの数を明確にマークします。
The Convert Protocol uses variable length messages that are encoded using the generic TLV format depicted in Figure 14.
変換プロトコルは、図14に示す汎用TLV形式を使用してエンコードされた可変長メッセージを使用します。
The length of all TLVs used by the Convert Protocol is always a multiple of four bytes. All TLVs are aligned on 32-bit boundaries. All TLV fields are encoded using the network byte order.
変換プロトコルで使用されるすべてのTLVの長さは、常に4バイトの倍数です。すべてのTLVは32ビット境界に配置されます。すべてのTLVフィールドは、ネットワークバイトオーダーを使用してエンコードされます。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+---------------+---------------+-------------------------------+
| Type | Length | Value ... |
+---------------+---------------+-------------------------------+
// ... (optional) Value //
+---------------------------------------------------------------+
Figure 14: Convert Generic TLV Format
図14:汎用TLV形式の変換
The Length field covers Type, Length, and Value fields. It is expressed in units of 32-bit words. If necessary, Value MUST be padded with zeroes so that the length of the TLV is a multiple of 32 bits.
長さフィールドは、タイプ、長さ、および値フィールドをカバーします。 32ビットワード単位で表されます。必要に応じて、TLVの長さが32ビットの倍数になるように、値にゼロを埋め込む必要があります。
A given TLV MUST only appear once on a connection. If a Client receives two or more instances of the same TLV over a Convert connection, it MUST reset the associated TCP connection. If a Converter receives two or more instances of the same TLV over a Convert connection, it MUST return a Malformed Message Error TLV and close the associated TCP connection.
特定のTLVは、接続で1回だけ出現する必要があります。クライアントが変換接続を介して同じTLVの2つ以上のインスタンスを受信する場合、関連するTCP接続をリセットする必要があります。コンバーターが、Convert接続を介して同じTLVの2つ以上のインスタンスを受信した場合、Malformed Message Error TLVを返し、関連するTCP接続を閉じる必要があります。
This document specifies the following Convert TLVs:
このドキュメントでは、次の変換TLVを指定しています。
+======+======+==========+==============================+
| Type | Hex | Length | Description |
+======+======+==========+==============================+
| 1 | 0x1 | 1 | Info TLV |
+------+------+----------+------------------------------+
| 10 | 0xA | Variable | Connect TLV |
+------+------+----------+------------------------------+
| 20 | 0x14 | Variable | Extended TCP Header TLV |
+------+------+----------+------------------------------+
| 21 | 0x15 | Variable | Supported TCP Extensions TLV |
+------+------+----------+------------------------------+
| 22 | 0x16 | Variable | Cookie TLV |
+------+------+----------+------------------------------+
| 30 | 0x1E | Variable | Error TLV |
+------+------+----------+------------------------------+
Table 1: The TLVs Used by the Convert Protocol
表1:変換プロトコルで使用されるTLV
Type 0x0 is a reserved value. If a Client receives a TLV of type 0x0, it MUST reset the associated TCP connection. If a Converter receives a TLV of type 0x0, it MUST return an Unsupported Message Error TLV and close the associated TCP connection.
タイプ0x0は予約済みの値です。クライアントがタイプ0x0のTLVを受信した場合、関連するTCP接続をリセットする必要があります。コンバーターがタイプ0x0のTLVを受信した場合、サポートされていないメッセージエラーTLVを返し、関連するTCP接続を閉じる必要があります。
The Client typically sends, in the first connection it established with a Transport Converter, the Info TLV (Section 6.2.3) to learn its capabilities. Assuming the Client is authorized to invoke the Transport Converter, the latter replies with the Supported TCP Extensions TLV (Section 6.2.4).
クライアントは通常、トランスポートコンバーターとの最初の接続で、その機能を学習するためにInfo TLV(セクション6.2.3)を送信します。クライアントがトランスポートコンバーターの呼び出しを許可されていると仮定すると、トランスポートコンバーターはサポートされるTCP拡張TLVで応答します(セクション6.2.4)。
The Client can request the establishment of connections to Servers by using the Connect TLV (Section 6.2.5). If the connection can be established with the final Server, the Transport Converter replies with the Extended TCP Header TLV (Section 6.2.6). If not, the Transport Converter MUST return an Error TLV (Section 6.2.8) and then close the connection. The Transport Converter MUST NOT send an RST immediately after the detection of an error to let the Error TLV reach the Client. As explained later, the Client will send an RST regardless upon reception of the Error TLV.
クライアントは、Connect TLVを使用してサーバーへの接続の確立を要求できます(セクション6.2.5)。最終サーバーとの接続を確立できる場合、トランスポートコンバーターは拡張TCPヘッダーTLVで応答します(セクション6.2.6)。そうでない場合、Transport ConverterはエラーTLV(セクション6.2.8)を返してから接続を閉じる必要があります。エラーを検出した直後にトランスポートコンバーターがRSTを送信して、エラーTLVがクライアントに到達しないようにする必要があります。後で説明するように、クライアントはエラーTLVの受信に関係なくRSTを送信します。
The Info TLV (Figure 15) is an optional TLV that can be sent by a Client to request the TCP extensions that are supported by a Transport Converter. It is typically sent on the first connection that a Client establishes with a Transport Converter to learn its capabilities. Assuming a Client is entitled to invoke the Transport Converter, the latter replies with the Supported TCP Extensions TLV described in Section 6.2.4.
Info TLV(図15)は、トランスポートコンバーターでサポートされているTCP拡張を要求するためにクライアントが送信できるオプションのTLVです。通常は、クライアントがその機能を学習するためにトランスポートコンバーターを使用して確立する最初の接続で送信されます。クライアントがトランスポートコンバーターを呼び出す資格があると仮定すると、後者はセクション6.2.4で説明されているサポートされるTCP拡張TLVで応答します。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+---------------+---------------+-------------------------------+
| Type=0x1 | Length | Zero |
+---------------+---------------+-------------------------------+
Figure 15: The Info TLV
図15:情報TLV
The Supported TCP Extensions TLV (Figure 16) is used by a Transport Converter to announce the TCP options for which it provides a conversion service. A Transport Converter SHOULD include in this list the TCP options that it supports in outgoing SYNs.
サポートされているTCP拡張TLV(図16)は、トランスポートコンバーターが変換サービスを提供するTCPオプションを通知するために使用されます。トランスポートコンバーターは、このリストに、発信SYNでサポートするTCPオプションを含める必要があります(SHOULD)。
Each supported TCP option is encoded with its TCP option Kind listed in the "Transmission Control Protocol (TCP) Parameters" registry maintained by IANA [IANA-CONVERT]. The Unassigned field MUST be set to zero by the Transport Converter and ignored by the Client.
サポートされている各TCPオプションは、IANA [IANA-CONVERT]によって管理されている「Transmission Control Protocol(TCP)Parameters」レジストリにリストされているTCPオプションKindでエンコードされています。未割り当てフィールドは、トランスポートコンバーターによってゼロに設定され、クライアントによって無視される必要があります。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+---------------+---------------+-------------------------------+
| Type=0x15 | Length | Unassigned |
+---------------+---------------+-------------------------------+
| Kind #1 | Kind #2 | ... |
+---------------+---------------+-------------------------------+
/ ... /
/ /
+---------------------------------------------------------------+
Figure 16: The Supported TCP Extensions TLV
図16:サポートされるTCP拡張TLV
TCP option Kinds 1 and 2 defined in [RFC0793] are supported by all TCP implementations and thus, MUST NOT appear in this list.
[RFC0793]で定義されているTCPオプションの種類1および2は、すべてのTCP実装でサポートされているため、このリストに表示してはなりません(MUST NOT)。
The list of Supported TCP Extensions is padded with 0 to end on a 32-bit boundary.
サポートされるTCP拡張機能のリストには、32ビット境界で終了するように0が埋め込まれます。
For example, if the Transport Converter supports Multipath TCP, Kind=30 will be present in the Supported TCP Extensions TLV that it returns in response to the Info TLV.
たとえば、トランスポートコンバーターがマルチパスTCPをサポートしている場合、サポートされているTCP拡張TLVにKind = 30が存在し、Info TLVに応答して返されます。
The Connect TLV (Figure 17) is used to request the establishment of a connection via a Transport Converter. This connection can be from or to a Client.
Connect TLV(図17)は、トランスポートコンバーターを介した接続の確立を要求するために使用されます。この接続は、クライアントとの間で行うことができます。
The Remote Peer Port and Remote Peer IP Address fields contain the destination port number and IP address of the Server, for outgoing connections. For incoming connections destined to a Client serviced via a Transport Converter, these fields convey the source port number and IP address of the SYN packet received by the Transport Converter from the Server.
[リモートピアポート]および[リモートピアIPアドレス]フィールドには、送信接続用のサーバーの宛先ポート番号とIPアドレスが含まれています。トランスポートコンバータを介して処理されるクライアント宛ての着信接続の場合、これらのフィールドは、トランスポートコンバータがサーバーから受信したSYNパケットの送信元ポート番号とIPアドレスを伝えます。
The Remote Peer IP Address MUST be encoded as an IPv6 address. IPv4 addresses MUST be encoded using the IPv4-mapped IPv6 address format defined in [RFC4291]. Further, the Remote Peer IP Address field MUST NOT include multicast, broadcast, or host loopback addresses [RFC6890]. If a Converter receives a Connect TLV with such invalid addresses, it MUST reply with a Malformed Message Error TLV and close the associated TCP connection.
リモートピアIPアドレスは、IPv6アドレスとしてエンコードする必要があります。 IPv4アドレスは、[RFC4291]で定義されているIPv4にマップされたIPv6アドレス形式を使用してエンコードする必要があります。さらに、リモートピアIPアドレスフィールドには、マルチキャスト、ブロードキャスト、またはホストループバックアドレスを含めることはできません[RFC6890]。コンバーターがこのような無効なアドレスを持つConnect TLVを受信した場合、Malformed Message Error TLVで応答し、関連するTCP接続を閉じる必要があります。
We distinguish two types of Connect TLV based on their length: (1) the Base Connect TLV has a length set to 5 (i.e., 20 bytes) and contains a remote address and a remote port (Figure 17), and (2) the Extended Connect TLV spans more than 20 bytes and also includes the optional TCP Options field (Figure 18). This field is used to request the advertisement of specific TCP options to the Server.
2つのタイプのConnect TLVを長さに基づいて区別します。(1)Base Connect TLVは長さが5(つまり20バイト)に設定され、リモートアドレスとリモートポートが含まれます(図17)、および(2) Extended Connect TLVは20バイトを超え、オプションのTCPオプションフィールドも含まれます(図18)。このフィールドは、特定のTCPオプションのアドバタイズをサーバーに要求するために使用されます。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+---------------+---------------+-------------------------------+
| Type=0xA | Length | Remote Peer Port |
+---------------+---------------+-------------------------------+
| |
| Remote Peer IP Address (128 bits) |
| |
| |
+---------------------------------------------------------------+
Figure 17: The Base Connect TLV
図17:基本接続TLV
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+---------------+---------------+-------------------------------+
| Type=0xA | Length | Remote Peer Port |
+---------------+---------------+-------------------------------+
| |
| Remote Peer IP Address (128 bits) |
| |
| |
+---------------------------------------------------------------+
/ TCP Options (Variable) /
/ ... /
+---------------------------------------------------------------+
Figure 18: The Extended Connect TLV
図18:拡張接続TLV
The TCP Options field is a variable length field that carries a list of TCP option fields (Figure 19). Each TCP option field is encoded as a block of 2+n bytes where the first byte is the TCP option Kind and the second byte is the length of the TCP option as specified in [RFC0793]. The minimum value for the TCP option Length is 2. The TCP options that do not include a length sub-field, i.e., option types 0 (EOL) and 1 (NOP) defined in [RFC0793] MUST NOT be placed inside the TCP options field of the Connect TLV. The optional Value field contains the variable-length part of the TCP option. A length of 2 indicates the absence of the Value field. The TCP options field always ends on a 32-bit boundary after being padded with zeros.
TCPオプションフィールドは、TCPオプションフィールドのリストを運ぶ可変長フィールドです(図19)。各TCPオプションフィールドは、2 + nバイトのブロックとしてエンコードされます。最初のバイトはTCPオプションの種類で、2番目のバイトは[RFC0793]で指定されているTCPオプションの長さです。 TCPオプション長の最小値は2です。長さサブフィールドを含まないTCPオプション、つまり、[RFC0793]で定義されているオプションタイプ0(EOL)および1(NOP)は、TCPオプション内に配置してはなりませんConnect TLVのフィールド。オプションのValueフィールドには、TCPオプションの可変長部分が含まれています。長さ2は、「値」フィールドがないことを示します。 TCPオプションフィールドは、ゼロが埋め込まれた後、常に32ビット境界で終了します。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+---------------+---------------+---------------+---------------+
| TCPOpt kind | TCPOpt Length | Value (opt) | .... |
+---------------+---------------+---------------+---------------+
| .... |
+---------------------------------------------------------------+
| ... |
+---------------------------------------------------------------+
Figure 19: The TCP Options Field
図19:TCPオプションフィールド
Upon reception of a Base Connect TLV, and absent any policy (e.g., rate-limit) or resource exhaustion conditions, a Transport Converter attempts to establish a connection to the address and port that it contains. The Transport Converter MUST use by default the TCP options that correspond to its local policy to establish this connection.
ベースコネクトTLVを受信し、ポリシー(レート制限など)またはリソース枯渇状態がない場合、トランスポートコンバーターは、含まれているアドレスとポートへの接続を確立しようとします。トランスポートコンバーターは、デフォルトで、この接続を確立するためにローカルポリシーに対応するTCPオプションを使用する必要があります。
Upon reception of an Extended Connect TLV, a Transport Converter first checks whether or not it supports the TCP Options listed in the TCP Options field. If not, it returns an error TLV set to "Unsupported TCP Option" (Section 6.2.8). If the above check succeeded, and absent any rate-limit policy or resource exhaustion conditions, a Transport Converter MUST attempt to establish a connection to the address and port that it contains. It MUST include in the SYN that it sends to the Server the options listed in the TCP Options subfield and the TCP options that it would have used according to its local policies. For the TCP options that are included in the TCP Options field without an optional value, the Transport Converter MUST generate its own value. For the TCP options that are included in the TCP Options field with an optional value, it MUST copy the entire option in the SYN sent to the remote Server. This procedure is designed with TFO in mind. Particularly, this procedure allows to successfully exchange a Fast Open Cookie between the Client and the Server. See Section 7 for a detailed discussion of the different types of TCP options.
Extended Connect TLVを受信すると、トランスポートコンバーターはまず、TCPオプションフィールドにリストされているTCPオプションをサポートしているかどうかをチェックします。そうでない場合は、「サポートされていないTCPオプション」に設定されたエラーTLVを返します(セクション6.2.8)。上記のチェックが成功し、レート制限ポリシーまたはリソース枯渇状態がない場合、トランスポートコンバーターは、含まれているアドレスとポートへの接続を確立しようとする必要があります。 SYNには、サーバーに送信するTCPオプションサブフィールドにリストされているオプションと、そのローカルポリシーに従って使用するTCPオプションを含める必要があります。オプション値なしでTCPオプションフィールドに含まれているTCPオプションの場合、トランスポートコンバーターは独自の値を生成する必要があります。 TCPオプションフィールドにオプションの値が含まれているTCPオプションの場合、リモートサーバーに送信されるSYNにオプション全体をコピーする必要があります。この手順はTFOを考慮して設計されています。特に、この手順により、クライアントとサーバー間でFast Open Cookieを正常に交換できます。さまざまなタイプのTCPオプションの詳細については、セクション7を参照してください。
The Transport Converter may refuse a Connect TLV request for various reasons (e.g., authorization failed, out of resources, invalid address type, or unsupported TCP option). An error message indicating the encountered error is returned to the requesting Client (Section 6.2.8). In order to prevent denial-of-service attacks, error messages sent to a Client SHOULD be rate-limited.
トランスポートコンバーターは、さまざまな理由(許可の失敗、リソース不足、無効なアドレスタイプ、サポートされていないTCPオプションなど)でConnect TLV要求を拒否する場合があります。発生したエラーを示すエラーメッセージが要求元クライアントに返されます(セクション6.2.8)。サービス拒否攻撃を防ぐために、クライアントに送信されるエラーメッセージはレート制限する必要があります。
The Extended TCP Header TLV (Figure 20) is used by the Transport Converter to return to the Client the TCP options that were returned by the Server in the SYN+ACK packet. A Transport Converter MUST return this TLV if the Client sent an Extended Connect TLV and the connection was accepted by the Server.
拡張TCPヘッダーTLV(図20)は、サーバーによってSYN + ACKパケットで返されたTCPオプションをクライアントに返すために、トランスポートコンバーターによって使用されます。クライアントが拡張接続TLVを送信し、サーバーによって接続が受け入れられた場合、トランスポートコンバーターはこのTLVを返す必要があります。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+---------------+---------------+-------------------------------+
| Type=0x14 | Length | Unassigned |
+---------------+---------------+-------------------------------+
/ Returned Extended TCP header /
/ ... /
+---------------------------------------------------------------+
Figure 20: The Extended TCP Header TLV
図20:拡張TCPヘッダーTLV
The Returned Extended TCP header field is a copy of the TCP Options that were included in the SYN+ACK received by the Transport Converter.
Returned Extended TCPヘッダーフィールドは、トランスポートコンバーターが受信したSYN + ACKに含まれていたTCPオプションのコピーです。
The Unassigned field MUST be set to zero by the sender and ignored by the receiver.
Unassignedフィールドは、送信者がゼロに設定し、受信者が無視する必要があります。
The Cookie TLV (Figure 21) is an optional TLV that is similar to the TCP Fast Open Cookie [RFC7413]. A Transport Converter may want to verify that a Client can receive the packets that it sends to prevent attacks from spoofed addresses. This verification can be done by using a Cookie that is bound to, for example, the IP address(es) of the Client. This Cookie can be configured on the Client by means that are outside of this document or provided by the Transport Converter.
Cookie TLV(図21)は、TCP Fast Open Cookie [RFC7413]に類似したオプションのTLVです。トランスポートコンバーターは、スプーフィングされたアドレスからの攻撃を防ぐために、クライアントが送信したパケットを受信できることを確認したい場合があります。この検証は、クライアントのIPアドレスなどにバインドされているCookieを使用して実行できます。このCookieは、このドキュメントの外部にあるか、トランスポートコンバーターによって提供される方法でクライアントで構成できます。
A Transport Converter that has been configured to use the optional Cookie TLV MUST verify the presence of this TLV in the payload of the received SYN. If this TLV is present, the Transport Converter MUST validate the Cookie by means similar to those in Section 4.1.2 of [RFC7413] (i.e., IsCookieValid). If the Cookie is valid, the connection establishment procedure can continue. Otherwise, the Transport Converter MUST return an Error TLV set to "Not Authorized" and close the connection.
オプションのCookie TLVを使用するように構成されているトランスポートコンバーターは、受信したSYNのペイロードにこのTLVが存在することを確認する必要があります。このTLVが存在する場合、トランスポートコンバーターは、[RFC7413]のセクション4.1.2と同様の方法でCookieを検証する必要があります(つまり、IsCookieValid)。 Cookieが有効な場合、接続確立手順を続行できます。それ以外の場合、トランスポートコンバーターは、 "Not Authorized"に設定されたエラーTLVを返して接続を閉じる必要があります。
If the received SYN did not contain a Cookie TLV, and cookie validation is required, the Transport Converter MAY compute a Cookie bound to this Client address. In such case, the Transport Converter MUST return an Error TLV set to "Missing Cookie" and the computed Cookie and close the connection. The Client will react to this error by first issuing a reset to terminate the connection. It also stores the received Cookie in its cache and attempts to reestablish a new connection to the Transport Converter that includes the Cookie TLV.
受信したSYNにCookie TLVが含まれておらず、Cookieの検証が必要な場合、トランスポートコンバーターはこのクライアントアドレスにバインドされたCookieを計算できます(MAY)。そのような場合、Transport Converterは、「Missing Cookie」に設定されたエラーTLVと計算されたCookieを返して、接続を閉じる必要があります。クライアントは、最初にリセットを発行して接続を終了することにより、このエラーに対応します。また、受信したCookieをキャッシュに保存し、Cookie TLVを含むトランスポートコンバーターへの新しい接続を再確立しようとします。
The format of the Cookie TLV is shown in Figure 21.
Cookie TLVのフォーマットを図21に示します。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+---------------+---------------+-------------------------------+
| Type=0x16 | Length | Zero |
+---------------+---------------+-------------------------------+
/ Opaque Cookie /
/ ... /
+---------------------------------------------------------------+
Figure 21: The Cookie TLV
図21:Cookie TLV
The Error TLV (Figure 22) is meant to provide information about some errors that occurred during the processing of a Convert message. This TLV has a variable length. Upon reception of an Error TLV, a Client MUST reset the associated connection.
エラーTLV(図22)は、変換メッセージの処理中に発生したいくつかのエラーに関する情報を提供することを目的としています。このTLVは可変長です。エラーTLVを受信すると、クライアントは関連する接続をリセットする必要があります。
An Error TLV can be included in the SYN+ACK or an ACK.
エラーTLVは、SYN + ACKまたはACKに含めることができます。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+---------------+---------------+----------------+--------------+
| Type=0x1E | Length | Error Code | Value |
+---------------+---------------+----------------+--------------+
// ... (optional) Value //
+---------------------------------------------------------------+
Figure 22: The Error TLV
図22:エラーTLV
Different types of errors can occur while processing Convert messages. Each error is identified by an Error Code represented as an unsigned integer. Four classes of error codes are defined:
Convertメッセージの処理中に、さまざまなタイプのエラーが発生する可能性があります。各エラーは、符号なし整数として表されるエラーコードによって識別されます。 4つのクラスのエラーコードが定義されています。
Message validation and processing errors (0-31 range): Returned upon reception of an invalid message (including valid messages but with invalid or unknown TLVs).
メッセージの検証および処理エラー(0〜31の範囲):無効なメッセージ(有効なメッセージを含みますが、TLVが無効または不明)を受信すると返されます。
Client-side errors (32-63 range): The Client sent a request that could not be accepted by the Transport Converter (e.g., unsupported operation).
クライアント側のエラー(32〜63の範囲):クライアントが、トランスポートコンバーターで受け入れられなかった要求(たとえば、サポートされていない操作)を送信しました。
Converter-side errors (64-95 range): Problems encountered on the Transport Converter (e.g., lack of resources) that prevent it from fulfilling the Client's request.
コンバーター側のエラー(64〜95の範囲):トランスポートコンバーターで発生した問題(リソースの不足など)により、クライアントの要求を実行できません。
Errors caused by the destination Server (96-127 range): The final destination could not be reached or it replied with a reset.
宛先サーバー(96〜127の範囲)が原因のエラー:最終宛先に到達できなかったか、リセットして応答しました。
The following error codes are defined in this document:
このドキュメントでは、次のエラーコードが定義されています。
Unsupported Version (0): The version number indicated in the fixed header of a message received from a peer is not supported.
サポートされていないバージョン(0):ピアから受信したメッセージの固定ヘッダーに示されているバージョン番号はサポートされていません。
This error code MUST be generated by a peer (e.g., Transport Converter) when it receives a request having a version number that it does not support.
このエラーコードは、ピア(トランスポートコンバーターなど)がサポートしていないバージョン番号のリクエストを受信したときに生成する必要があります。
The Value field MUST be set to the version supported by the peer. When multiple versions are supported by the peer, it includes the list of supported versions in the Value field; each version is encoded in 8 bits. The list of supported versions MUST be padded with zeros to end on a 32-bit boundary.
Valueフィールドは、ピアがサポートするバージョンに設定する必要があります。ピアが複数のバージョンをサポートしている場合、サポートされているバージョンのリストが[値]フィールドに含まれます。各バージョンは8ビットでエンコードされています。サポートされているバージョンのリストは、32ビット境界で終了するようにゼロを埋め込む必要があります。
Upon receipt of this error code, the remote peer (e.g., Client) checks whether it supports one of the versions returned by the peer. The highest commonly supported version number MUST be used by the remote peer in subsequent exchanges with the peer.
このエラーコードを受信すると、リモートピア(クライアントなど)は、ピアから返されたバージョンの1つをサポートしているかどうかを確認します。ピアとのその後の交換では、リモートピアが最も一般的にサポートされているバージョン番号を使用する必要があります。
Malformed Message (1): This error code is sent to indicate that a message received from a peer cannot be successfully parsed and validated.
不正なメッセージ(1):このエラーコードは、ピアから受信したメッセージを正常に解析および検証できないことを示すために送信されます。
Typically, this error code is sent by the Transport Converter if it receives a Connect TLV enclosing a multicast, broadcast, or loopback IP address.
通常、このエラーコードは、マルチキャスト、ブロードキャスト、またはループバックIPアドレスを含むConnect TLVを受信すると、トランスポートコンバーターによって送信されます。
To ease troubleshooting, the Value field MUST echo the received message using the format depicted in Figure 23. This format allows keeping the original alignment of the message that triggered the error.
トラブルシューティングを容易にするために、値フィールドは、図23に示されている形式を使用して、受信したメッセージをエコーする必要があります。この形式では、エラーをトリガーしたメッセージの元の配置を維持できます。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+---------------+---------------+----------------+--------------+
| Type=0x1E | Length | Error Code | Zeros |
+---------------+---------------+----------------+--------------+
// Echo the message that triggered the error //
+---------------------------------------------------------------+
Figure 23: Error TLV to Ease Message Correlation
図23:メッセージ相関を容易にするエラーTLV
Unsupported Message (2): This error code is sent to indicate that a message type received from a Client is not supported.
サポートされていないメッセージ(2):このエラーコードは、クライアントから受信したメッセージタイプがサポートされていないことを示すために送信されます。
To ease troubleshooting, the Value field MUST echo the received message using the format shown in Figure 23.
トラブルシューティングを容易にするために、値フィールドは、図23に示す形式を使用して、受信したメッセージをエコーする必要があります。
Missing Cookie (3): If a Transport Converter requires the utilization of Cookies to prevent spoofing attacks and a Cookie TLV was not included in the Convert message, the Transport Converter MUST return this error to the requesting Client only if it computes a cookie for this Client. The first byte of the Value field MUST be set to zero and the remaining bytes of the Error TLV contain the Cookie computed by the Transport Converter for this Client.
Missing Cookie(3):トランスポートコンバーターがスプーフィング攻撃を防止するためにCookieの使用を必要とし、Cookie TLVがConvertメッセージに含まれていない場合、トランスポートコンバーターは、このためのCookieを計算する場合にのみ、このエラーを要求元のクライアントに返す必要があります。クライアント。値フィールドの最初のバイトはゼロに設定する必要があり、エラーTLVの残りのバイトには、このクライアントのトランスポートコンバーターによって計算されたCookieが含まれています。
A Client that receives this error code SHOULD cache the received Cookie and include it in subsequent Convert messages sent to that Transport Converter.
このエラーコードを受信するクライアントは、受信したCookieをキャッシュして、そのトランスポートコンバーターに送信される後続の変換メッセージに含める必要があります(SHOULD)。
Not Authorized (32): This error code indicates that the Transport Converter refused to create a connection because of a lack of authorization (e.g., administratively prohibited, authorization failure, or invalid Cookie TLV). The Value field MUST be set to zero.
承認されていません(32):このエラーコードは、承認の欠如(管理上の禁止、承認の失敗、無効なCookie TLVなど)が原因で、トランスポートコンバーターが接続の作成を拒否したことを示します。値フィールドはゼロに設定する必要があります。
This error code MUST be sent by the Transport Converter when a request cannot be successfully processed because the authorization failed.
このエラーコードは、認証が失敗したために要求を正常に処理できない場合に、トランスポートコンバーターによって送信される必要があります。
Unsupported TCP Option (33): A TCP option that the Client requested to advertise to the final Server cannot be safely used.
サポートされていないTCPオプション(33):クライアントが最終サーバーへのアドバタイズを要求したTCPオプションは安全に使用できません。
The Value field is set to the type of the unsupported TCP option. If several unsupported TCP options were specified in the Connect TLV, then the list of unsupported TCP options is returned. The list of unsupported TCP options MUST be padded with zeros to end on a 32-bit boundary.
Valueフィールドは、サポートされていないTCPオプションのタイプに設定されます。 Connect TLVでサポートされていないTCPオプションがいくつか指定されている場合、サポートされていないTCPオプションのリストが返されます。サポートされていないTCPオプションのリストは、32ビット境界で終了するようにゼロを埋め込む必要があります。
Resource Exceeded (64): This error indicates that the Transport Converter does not have enough resources to perform the request.
リソース超過(64):このエラーは、トランスポートコンバーターに要求を実行するための十分なリソースがないことを示します。
This error MUST be sent by the Transport Converter when it does not have sufficient resources to handle a new connection. The Transport Converter may indicate in the Value field the suggested delay (in seconds) that the Client SHOULD wait before soliciting the Transport Converter for a new proxied connection. A Value of zero corresponds to a default delay of at least 30 seconds.
このエラーは、新しい接続を処理するための十分なリソースがない場合、トランスポートコンバーターによって送信される必要があります。トランスポートコンバーターは、新しいプロキシ接続のトランスポートコンバーターを要求する前にクライアントが待機する推奨の遅延(秒単位)を[値]フィールドに示す場合があります。ゼロの値は、少なくとも30秒のデフォルトの遅延に対応します。
Network Failure (65): This error indicates that the Transport Converter is experiencing a network failure to proxy the request.
ネットワーク障害(65):このエラーは、トランスポートコンバーターが要求をプロキシするネットワーク障害を経験していることを示します。
The Transport Converter MUST send this error code when it experiences forwarding issues to proxy a connection. The Transport Converter may indicate in the Value field the suggested delay (in seconds) that the Client SHOULD wait before soliciting the Transport Converter for a new proxied connection. A Value of zero corresponds to a default delay of at least 30 seconds.
トランスポートコンバーターは、接続をプロキシするための転送の問題が発生したときに、このエラーコードを送信する必要があります。トランスポートコンバーターは、新しいプロキシ接続のトランスポートコンバーターを要求する前にクライアントが待機する必要がある推奨遅延(秒単位)を[値]フィールドに示す場合があります。ゼロの値は、少なくとも30秒のデフォルトの遅延に対応します。
Connection Reset (96): This error indicates that the final destination responded with an RST segment. The Value field MUST be set to zero.
接続リセット(96):このエラーは、最終宛先がRSTセグメントで応答したことを示します。値フィールドはゼロに設定する必要があります。
Destination Unreachable (97): This error indicates that an ICMP message indicating a hard error (e.g., destination unreachable, port unreachable, or network unreachable) was received by the Transport Converter. The Value field MUST echo the Code field of the received ICMP message.
Destination Unreachable(97):このエラーは、ハードエラー(宛先に到達できない、ポートに到達できない、ネットワークに到達できないなど)を示すICMPメッセージがトランスポートコンバーターによって受信されたことを示します。値フィールドは、受信したICMPメッセージのコードフィールドをエコーする必要があります。
As a reminder, TCP implementations are supposed to act on an ICMP error message passed up from the IP layer, directing it to the connection that triggered the error using the demultiplexing information included in the payload of that ICMP message. Such a demultiplexing issue does not apply for handling the "Destination Unreachable" Error TLV because the error is sent in-band. For this reason, the payload of the ICMP message is not echoed in the Destination Unreachable Error TLV.
注意として、TCP実装は、IP層から渡されたICMPエラーメッセージに基づいて動作し、そのICMPメッセージのペイロードに含まれる逆多重化情報を使用して、エラーをトリガーした接続に送信することになっています。エラーはインバンドで送信されるため、このような逆多重化の問題は「宛先到達不能」エラーTLVの処理には適用されません。このため、ICMPメッセージのペイロードは、Destination Unreachable Error TLVにエコーされません。
Table 2 summarizes the different error codes.
表2は、さまざまなエラーコードをまとめたものです。
+=======+======+=========================+
| Error | Hex | Description |
+=======+======+=========================+
| 0 | 0x00 | Unsupported Version |
+-------+------+-------------------------+
| 1 | 0x01 | Malformed Message |
+-------+------+-------------------------+
| 2 | 0x02 | Unsupported Message |
+-------+------+-------------------------+
| 3 | 0x03 | Missing Cookie |
+-------+------+-------------------------+
| 32 | 0x20 | Not Authorized |
+-------+------+-------------------------+
| 33 | 0x21 | Unsupported TCP Option |
+-------+------+-------------------------+
| 64 | 0x40 | Resource Exceeded |
+-------+------+-------------------------+
| 65 | 0x41 | Network Failure |
+-------+------+-------------------------+
| 96 | 0x60 | Connection Reset |
+-------+------+-------------------------+
| 97 | 0x61 | Destination Unreachable |
+-------+------+-------------------------+
Table 2: Convert Error Values
表2:エラー値の変換
In this section, we discuss how several deployed Standards Track TCP options can be supported through the Convert Protocol. The other TCP options will be discussed in other documents.
このセクションでは、Convert Protocolを使用して、いくつかの展開されたStandards Track TCPオプションをサポートする方法について説明します。他のTCPオプションについては、他のドキュメントで説明します。
Three TCP options were initially defined in [RFC0793]: End-of-Option List (Kind=0), No-Operation (Kind=1), and Maximum Segment Size (Kind=2). The first two options are mainly used to pad the TCP header. There is no reason for a Client to request a Transport Converter to specifically send these options towards the final destination.
[RFC0793]で最初に定義された3つのTCPオプション:オプション終了リスト(Kind = 0)、操作なし(Kind = 1)、および最大セグメントサイズ(Kind = 2)。最初の2つのオプションは、主にTCPヘッダーを埋め込むために使用されます。クライアントがトランスポートコンバーターにこれらのオプションを具体的に最終的な宛先に送信するように要求する理由はありません。
The Maximum Segment Size option (Kind=2) is used by a host to indicate the largest segment that it can receive over each connection. This value is a function of the stack that terminates the TCP connection. There is no reason for a Client to request a Transport Converter to advertise a specific Maximum Segment Size (MSS) value to a remote Server.
ホストは、最大セグメントサイズオプション(Kind = 2)を使用して、各接続で受信できる最大のセグメントを示します。この値は、TCP接続を終了するスタックの機能です。クライアントが特定の最大セグメントサイズ(MSS)値をリモートサーバーに通知するようにトランスポートコンバーターに要求する理由はありません。
A Transport Converter MUST ignore options with Kind=0, 1, or 2 if they appear in a Connect TLV. It MUST NOT announce them in a Supported TCP Extensions TLV.
トランスポートコンバーターは、接続TLVに表示される場合、Kind = 0、1、または2のオプションを無視する必要があります。サポートされているTCP拡張TLVでそれらを通知してはなりません。
The Window Scale (WS) option (Kind=3) is defined in [RFC7323]. As for the MSS option, the window scale factor that is used for a connection strongly depends on the TCP stack that handles the connection. When a Transport Converter opens a TCP connection towards a remote Server on behalf of a Client, it SHOULD use a WS option with a scaling factor that corresponds to the configuration of its stack. A local configuration MAY allow for a WS option in the proxied message to be a function of the scaling factor of the incoming connection.
ウィンドウスケール(WS)オプション(Kind = 3)は[RFC7323]で定義されています。 MSSオプションに関しては、接続に使用されるウィンドウスケールファクターは、接続を処理するTCPスタックに強く依存します。トランスポートコンバーターがクライアントに代わってリモートサーバーへのTCP接続を開くとき、そのトランスポートコンバーターは、そのスタックの構成に対応するスケーリング係数を持つWSオプションを使用する必要があります。ローカル構成では、プロキシされたメッセージのWSオプションが着信接続のスケーリング係数の関数になることを許可する場合があります。
From a deployment viewpoint, there is no benefit in enabling a Client of a Transport Converter to specifically request the utilization of the WS option (Kind=3) with a specific scaling factor towards a remote Server. For this reason, a Transport Converter MUST ignore option Kind=3 if it appears in a Connect TLV. The Transport Converter MUST NOT announce a WS option (Kind=3) in a Supported TCP Extensions TLV.
デプロイメントの観点からは、トランスポートコンバーターのクライアントがリモートサーバーに対して特定のスケーリング係数を使用してWSオプション(Kind = 3)の使用を明確に要求できるようにすることには利点がありません。このため、トランスポートコンバーターは、Connect TLVに表示される場合、オプションKind = 3を無視する必要があります。 Transport Converterは、サポートされるTCP拡張TLVでWSオプション(Kind = 3)を通知してはなりません(MUST NOT)。
Two distinct TCP options were defined to support Selective Acknowledgment (SACK) in [RFC2018]. This first one, SACK-Permitted (Kind=4), is used to negotiate the utilization of Selective Acknowledgments during the three-way handshake. The second one, SACK (Kind=5), carries the Selective Acknowledgments inside regular segments.
[RFC2018]では、選択的確認応答(SACK)をサポートするために、2つの異なるTCPオプションが定義されました。この最初のSACK-Permitted(Kind = 4)は、3ウェイハンドシェイク中に選択的確認応答の使用をネゴシエートするために使用されます。 2番目のSACK(Kind = 5)は、通常のセグメント内に選択的確認応答を送信します。
The SACK-Permitted option (Kind=4) MAY be advertised by a Transport Converter in the Supported TCP Extensions TLV. Clients connected to this Transport Converter MAY include the SACK-Permitted option in the Connect TLV.
SACK-Permittedオプション(Kind = 4)は、サポートされるTCP拡張TLVのトランスポートコンバーターによって通知される場合があります。このトランスポートコンバーターに接続されているクライアントは、Connect TLVにSACK-Permittedオプションを含めることができます。
The SACK option (Kind=5) cannot be used during the three-way handshake. For this reason, a Transport Converter MUST ignore option Kind=5 if it appears in a Connect TLV. It MUST NOT announce it in a TCP Supported Extensions TLV.
SACKオプション(Kind = 5)は、3ウェイハンドシェイク中には使用できません。このため、トランスポートコンバーターは、接続TLVに表示される場合、オプションKind = 5を無視する必要があります。 TCPサポートされている拡張機能のTLVでそれを通知してはなりません。
The Timestamp option [RFC7323] can be used during the three-way handshake to negotiate the utilization of timestamps during the TCP connection. It is notably used to improve round-trip-time estimations and to provide Protection Against Wrapped Sequences (PAWS). As for the WS option, the timestamps are a property of a connection and there is limited benefit in enabling a Client to request a Transport Converter to use the timestamp option when establishing a connection to a remote Server. Furthermore, the timestamps that are used by TCP stacks are specific to each stack and there is no benefit in enabling a Client to specify the timestamp value that a Transport Converter could use to establish a connection to a remote Server.
Timestampオプション[RFC7323]は、3ウェイハンドシェイク中に使用して、TCP接続中のタイムスタンプの使用状況をネゴシエートできます。特に、往復時間の推定を改善し、ラップされたシーケンスに対する保護(PAWS)を提供するために使用されます。 WSオプションと同様に、タイムスタンプは接続のプロパティであり、リモートサーバーへの接続を確立するときに、クライアントがトランスポートコンバーターにタイムスタンプオプションの使用を要求できるようにすることには限られた利点があります。さらに、TCPスタックで使用されるタイムスタンプは各スタックに固有であり、トランスポートコンバーターがリモートサーバーへの接続を確立するために使用できるタイムスタンプ値をクライアントが指定できるようにすることには利点がありません。
A Transport Converter MAY advertise the Timestamp option (Kind=8) in the TCP Supported Extensions TLV. The Clients connected to this Transport Converter MAY include the Timestamp option in the Connect TLV but without any timestamp.
トランスポートコンバーターは、TCPサポートされている拡張機能のTLVでタイムスタンプオプション(Kind = 8)を通知する場合があります。このトランスポートコンバーターに接続されているクライアントは、Connect TLVにタイムスタンプオプションを含めることができますが、タイムスタンプはありません。
The Multipath TCP options are defined in [RFC8684], which defines one variable length TCP option (Kind=30) that includes a sub-type field to support several Multipath TCP options. There are several operational use cases where Clients would like to use Multipath TCP through a Transport Converter [IETFJ16]. However, none of these use cases require the Client to specify the content of the Multipath TCP option that the Transport Converter should send to a remote Server.
マルチパスTCPオプションは[RFC8684]で定義されています。これは、複数のマルチパスTCPオプションをサポートするサブタイプフィールドを含む1つの可変長TCPオプション(Kind = 30)を定義します。クライアントがトランスポートコンバーター[IETFJ16]を介してマルチパスTCPを使用したい運用上のユースケースがいくつかあります。ただし、これらの使用例では、クライアントがトランスポートコンバーターがリモートサーバーに送信するマルチパスTCPオプションのコンテンツを指定する必要はありません。
A Transport Converter that supports Multipath TCP conversion service MUST advertise the Multipath TCP option (Kind=30) in the Supported TCP Extensions TLV. Clients serviced by this Transport Converter may include the Multipath TCP option in the Connect TLV but without any content.
マルチパスTCP変換サービスをサポートするトランスポートコンバーターは、サポートされるTCP拡張TLVでマルチパスTCPオプション(Kind = 30)を通知する必要があります。このトランスポートコンバーターによってサービスが提供されるクライアントには、Connect TLVにマルチパスTCPオプションが含まれる場合がありますが、コンテンツは含まれません。
The TCP Fast Open Cookie option (Kind=34) is defined in [RFC7413]. There are two different usages of this option that need to be supported by Transport Converters. The first utilization of the TCP Fast Open Cookie option is to request a cookie from the Server. In this case, the option is sent with an empty cookie by the Client, and the Server returns the cookie. The second utilization of the TCP Fast Open Cookie option is to send a cookie to the Server. In this case, the option contains a cookie.
TCP Fast Open Cookieオプション(Kind = 34)は[RFC7413]で定義されています。このオプションには、トランスポートコンバーターでサポートする必要のある2つの異なる使用法があります。 TCP Fast Open Cookieオプションの最初の利用は、サーバーにCookieを要求することです。この場合、オプションはクライアントによって空のCookieとともに送信され、サーバーはCookieを返します。 TCP Fast Open Cookieオプションの2番目の利用方法は、Cookieをサーバーに送信することです。この場合、オプションにはCookieが含まれています。
A Transport Converter MAY advertise the TCP Fast Open Cookie option (Kind=34) in the Supported TCP Extensions TLV. If a Transport Converter has advertised the support for TCP Fast Open in its Supported TCP Extensions TLV, it needs to be able to process two types of Connect TLV.
トランスポートコンバーターは、サポートされるTCP拡張TLVでTCP Fast Open Cookieオプション(Kind = 34)を通知する場合があります。トランスポートコンバーターが、サポートされているTCP拡張TLVでTCP Fast Openのサポートを通知している場合、2種類の接続TLVを処理できる必要があります。
If such a Transport Converter receives a Connect TLV with the TCP Fast Open Cookie option that does not contain a cookie, it MUST add an empty TCP Fast Open Cookie option in the SYN sent to the remote Server. If the remote Server supports TFO, it responds with a SYN-ACK according to the procedure in Section 4.1.2 of [RFC7413]. This SYN-ACK may contain a Fast Open option with a cookie. Upon receipt of the SYN-ACK by the Converter, it relays the Fast Open option with the cookie to the Client.
そのようなTransport Converterが、Cookieを含まないTCP Fast Open Cookieオプションを使用してConnect TLVを受信した場合、リモートサーバーに送信されるSYNに空のTCP Fast Open Cookieオプションを追加する必要があります。リモートサーバーがTFOをサポートしている場合、[RFC7413]のセクション4.1.2の手順に従ってSYN-ACKで応答します。このSYN-ACKには、Cookieを使用したFast Openオプションが含まれている場合があります。コンバーターがSYN-ACKを受信すると、高速オープンオプションとCookieをクライアントに中継します。
If such a Transport Converter receives a Connect TLV with the TCP Fast Open Cookie option that contains a cookie, it MUST copy the TCP Fast Open Cookie option in the SYN sent to the remote Server.
そのようなトランスポートコンバーターが、Cookieを含むTCP Fast Open Cookieオプションを使用してConnect TLVを受信する場合、リモートサーバーに送信されるSYNのTCP Fast Open Cookieオプションをコピーする必要があります。
The TCP Authentication Option (TCP-AO) [RFC5925] provides a technique to authenticate all the packets exchanged over a TCP connection. Given the nature of this extension, it is unlikely that the applications that require their packets to be authenticated end to end would want their connections to pass through a converter. For this reason, we do not recommend the support of the TCP-AO by Transport Converters. The only use cases where it could make sense to combine TCP-AO and the solution in this document are those where the TCP-AO-NAT extension [RFC6978] is in use.
TCP認証オプション(TCP-AO)[RFC5925]は、TCP接続を介して交換されるすべてのパケットを認証する技術を提供します。この拡張の性質を考えると、エンドツーエンドでパケットの認証を必要とするアプリケーションが、接続がコンバーターを通過することを望んでいることはほとんどありません。このため、トランスポートコンバーターによるTCP-AOのサポートはお勧めしません。このドキュメントのTCP-AOとソリューションを組み合わせることが理にかなっている唯一の使用例は、TCP-AO-NAT拡張[RFC6978]が使用されている場合です。
A Transport Converter MUST NOT advertise the TCP-AO (Kind=29) in the Supported TCP Extensions TLV. If a Transport Converter receives a Connect TLV that contains the TCP-AO, it MUST reject the establishment of the connection with error code set to "Unsupported TCP Option", except if the TCP-AO-NAT option is used. Nevertheless, given that TCP-AO-NAT is Experimental, its usage is not currently defined and must be specified by some other document before it can be used.
トランスポートコンバーターは、サポートされるTCP拡張TLVでTCP-AO(種類= 29)をアドバタイズしてはなりません(MUST NOT)。トランスポートコンバーターがTCP-AOを含む接続TLVを受信した場合、TCP-AO-NATオプションが使用されている場合を除き、エラーコードが「サポートされていないTCPオプション」に設定された接続の確立を拒否する必要があります。それにもかかわらず、TCP-AO-NATは実験的であるため、その使用法は現在定義されておらず、使用する前に他のドキュメントで指定する必要があります。
The Convert Protocol is designed to be used in networks that do not contain middleboxes that interfere with TCP. Under such conditions, it is assumed that the network provider ensures that all involved on-path nodes are not breaking TCP signals (e.g., strip TCP options, discard some SYNs, etc.).
変換プロトコルは、TCPに干渉するミドルボックスを含まないネットワークで使用するように設計されています。このような状況では、ネットワークプロバイダーは、関係するすべてのパス上のノードがTCP信号を壊していないことを保証していると想定されています(たとえば、TCPオプションの除去、一部のSYNの破棄など)。
Nevertheless, and in order to allow for a robust service, this section describes how a Client can detect middlebox interference and stop using the Transport Converter affected by this interference.
それでも、堅牢なサービスを可能にするために、このセクションでは、クライアントがミドルボックスの干渉を検出し、この干渉の影響を受けるトランスポートコンバーターの使用を停止する方法について説明します。
Internet measurements [IMC11] have shown that middleboxes can affect the deployment of TCP extensions. In this section, we focus the middleboxes that modify the payload since the Convert Protocol places its messages at the beginning of the bytestream.
インターネット測定[IMC11]は、ミドルボックスがTCP拡張機能の展開に影響を与える可能性があることを示しています。このセクションでは、変換プロトコルがメッセージをバイトストリームの先頭に配置するため、ペイロードを変更するミドルボックスに焦点を当てます。
Consider a middlebox that removes the SYN payload. The Client can detect this problem by looking at the acknowledgment number field of the SYN+ACK if returned by the Transport Converter. The Client MUST stop to use this Transport Converter given the middlebox interference.
SYNペイロードを削除するミドルボックスを検討してください。クライアントは、トランスポートコンバータによって返された場合、SYN + ACKの確認番号フィールドを確認することでこの問題を検出できます。ミドルボックス干渉がある場合、クライアントはこのトランスポートコンバーターの使用を停止する必要があります。
Consider now a middlebox that drops SYN/ACKs with a payload. The Client won't be able to establish a connection via the Transport Converter. The case of a middlebox that removes the payload of SYN+ACKs or from the packet that follows the SYN+ACK (but not the payload of SYN) can be detected by a Client. This is hinted by the absence of a valid Convert message in the response.
ペイロードを含むSYN / ACKをドロップするミドルボックスを考えてみます。クライアントは、トランスポートコンバーターを介して接続を確立できません。 SYN + ACKのペイロードを削除する、またはSYN + ACKに続く(SYNのペイロードではない)パケットからミドルボックスを削除するケースは、クライアントによって検出できます。これは、応答に有効なConvertメッセージがないことから示唆されます。
As explained in [RFC7413], some Carrier Grade NATs (CGNs) can affect the operation of TFO if they assign different IP addresses to the same end host. Such CGNs could affect the operation of the cookie validation used by the Convert Protocol. As a reminder, CGNs that are enabled on the path between a Client and a Transport Converter must adhere to the address preservation defined in [RFC6888]. See also the discussion in Section 7.1 of [RFC7413].
[RFC7413]で説明されているように、一部のキャリアグレードNAT(CGN)は、同じエンドホストに異なるIPアドレスを割り当てる場合、TFOの動作に影響を与える可能性があります。このようなCGNは、変換プロトコルで使用されるCookie検証の動作に影響を与える可能性があります。注意として、クライアントとトランスポートコンバーターの間のパスで有効になっているCGNは、[RFC6888]で定義されているアドレス保持に従う必要があります。 [RFC7413]のセクション7.1の説明もご覧ください。
An implementation MUST check that the Convert TLVs are properly framed within the boundary indicated by the Total Length in the fixed header (Section 6.1).
実装は、Convert TLVが、固定ヘッダー(セクション6.1)のTotal Lengthで示される境界内で適切にフレーム化されていることを確認する必要があります。
Additional security considerations are discussed in the following subsections.
セキュリティに関するその他の考慮事項については、以下のサブセクションで説明します。
The Transport Converter may have access to privacy-related information (e.g., subscriber credentials). The Transport Converter is designed to not leak such sensitive information outside a local domain.
トランスポートコンバーターは、プライバシー関連の情報(サブスクライバー資格情報など)にアクセスできます。 Transport Converterは、このような機密情報をローカルドメインの外に漏らさないように設計されています。
Given its function and location in the network, a Transport Converter is in a position to observe all packets that it processes, to include payloads and metadata, and has the ability to profile and conduct some traffic analysis of user behavior. The Transport Converter MUST be as protected as a core IP router (e.g., Section 10 of [RFC1812]).
トランスポートコンバーターは、その機能とネットワーク内の場所を考慮して、処理するすべてのパケットを監視し、ペイロードとメタデータを含め、ユーザーの行動のトラフィック分析をプロファイリングおよび実行する機能を備えています。トランスポートコンバーターは、コアIPルーターと同じように保護する必要があります(たとえば、[RFC1812]のセクション10)。
Furthermore, ingress filtering policies MUST be enforced at the network boundaries [RFC2827].
さらに、イングレスフィルタリングポリシーはネットワーク境界で実施する必要があります[RFC2827]。
This document assumes that all network attachments are managed by the same administrative entity. Therefore, enforcing anti-spoofing filters at these networks is a guard that hosts are not sending traffic with spoofed source IP addresses.
このドキュメントでは、すべてのネットワークアタッチメントが同じ管理エンティティによって管理されていることを前提としています。したがって、これらのネットワークでスプーフィング対策フィルターを強制することは、ホストがスプーフィングされたソースIPアドレスでトラフィックを送信しないようにするためのガードです。
The Convert Protocol is RECOMMENDED for use in a managed network where end hosts can be securely identified by their IP address. If such control is not exerted and there is a more open network environment, a strong mutual authentication scheme MUST be defined to use the Convert Protocol.
変換プロトコルは、エンドホストをIPアドレスで安全に識別できる管理対象ネットワークで使用することをお勧めします。このような制御が行われず、よりオープンなネットワーク環境がある場合、変換プロトコルを使用するために、強力な相互認証スキームを定義する必要があります。
One possibility for mutual authentication is to use TLS to perform mutual authentication between the Client and the Converter. That is, use TLS when a Client retrieves a Cookie from the Converter and rely on certificate-based, pre-shared key-based [RFC4279], or raw public key-based Client authentication [RFC7250] to secure this connection. If the authentication succeeds, the Converter returns a cookie to the Client. Subsequent Connect messages will be authorized as a function of the content of the Cookie TLV. An attacker from within the network between a Client and a Transport Converter may intercept the Cookie and use it to be granted access to the conversion service. Such an attack is only possible if the attacker spoofs the IP address of the Client and the network does not filter packets with source-spoofed IP addresses.
相互認証の1つの可能性は、TLSを使用してクライアントとコンバーター間の相互認証を実行することです。つまり、クライアントがコンバーターからCookieを取得するときにTLSを使用し、証明書ベースの事前共有キーベース[RFC4279]または生の公開キーベースのクライアント認証[RFC7250]に依存して、この接続を保護します。認証が成功すると、コンバータはクライアントにCookieを返します。後続のConnectメッセージは、Cookie TLVの内容に応じて承認されます。クライアントとトランスポートコンバーター間のネットワーク内からの攻撃者は、Cookieを傍受し、それを使用して変換サービスへのアクセスを許可される可能性があります。このような攻撃は、攻撃者がクライアントのIPアドレスをスプーフィングし、ネットワークが送信元になりすましたIPアドレスのパケットをフィルタリングしない場合にのみ可能です。
The operator that manages the various network attachments (including the Transport Converters) has various options for enforcing authentication and authorization policies. For example, a non-exhaustive list of methods to achieve authorization is provided hereafter:
さまざまなネットワークアタッチメント(トランスポートコンバーターを含む)を管理するオペレーターには、認証および承認ポリシーを適用するためのさまざまなオプションがあります。たとえば、承認を達成するための方法の完全ではないリストを以下に示します。
* The network provider may enforce a policy based on the International Mobile Subscriber Identity (IMSI) to verify that a user is allowed to benefit from the TCP converter service. If that authorization fails, the Packet Data Protocol (PDP) context/ bearer will not be mounted. This method does not require any interaction with the Transport Converter for authorization matters.
* ネットワークプロバイダーは、国際モバイルサブスクライバーアイデンティティ(IMSI)に基づくポリシーを適用して、ユーザーがTCPコンバーターサービスのメリットを享受できることを確認できます。その認証が失敗した場合、パケットデータプロトコル(PDP)コンテキスト/ベアラーはマウントされません。この方法では、承認に関するトランスポートコンバータとの対話は必要ありません。
* The network provider may enforce a policy based upon Access Control Lists (ACLs), e.g., at a Broadband Network Gateway (BNG) to control the hosts that are authorized to communicate with a Transport Converter. These ACLs may be installed as a result of RADIUS exchanges, e.g., [TCPM-CONVERTER]. This method does not require any interaction with the Transport Converter for authorization matters.
* ネットワークプロバイダーは、たとえばブロードバンドネットワークゲートウェイ(BNG)のアクセス制御リスト(ACL)に基づいてポリシーを適用し、トランスポートコンバーターとの通信を許可されているホストを制御できます。これらのACLは、[TCPM-CONVERTER]などのRADIUS交換の結果としてインストールされる場合があります。この方法では、承認に関するトランスポートコンバータとの対話は必要ありません。
* A device that embeds a Transport Converter may also host a RADIUS Client that will solicit a AAA Server to check whether or not connections received from a given source IP address are authorized [TCPM-CONVERTER].
* トランスポートコンバーターを組み込んだデバイスは、AAAサーバーに特定の送信元IPアドレスから受信した接続が承認されているかどうかを確認するように要求するRADIUSクライアントをホストすることもできます[TCPM-CONVERTER]。
A first safeguard against the misuse of Transport Converter resources by illegitimate users (e.g., users with access networks that are not managed by the same provider that operates the Transport Converter) is the Transport Converter to reject Convert connections received in the external realm. Only Convert connections received in the internal realm of a Transport Converter will be accepted.
不正なユーザー(たとえば、トランスポートコンバーターを操作するプロバイダーと同じプロバイダーによって管理されていないアクセスネットワークを持つユーザー)によるトランスポートコンバーターリソースの誤用に対する最初の保護策は、外部レルムで受信したConvert接続を拒否するトランスポートコンバーターです。トランスポートコンバーターの内部レルムで受信された変換接続のみが受け入れられます。
In deployments where network-assisted connections are not allowed between hosts of a domain (i.e., hairpinning), the Converter may be instructed to discard such connections. Hairpinned connections are thus rejected by the Transport Converter by returning an Error TLV set to "Not Authorized". Otherwise, absent explicit configuration, hairpinning is enabled by the Converter (see Figure 24).
ドメインのホスト間でネットワーク経由の接続が許可されていない展開(ヘアピニングなど)では、コンバーターにそのような接続を破棄するように指示することがあります。したがって、ヘアピン接続は、「許可されていない」に設定されたエラーTLVを返すことにより、トランスポートコンバーターによって拒否されます。それ以外の場合、明示的な設定がない場合、ヘアピニングはコンバーターによって有効になります(図24を参照)。
<===Network Provider===>
+----+ from X1:x1 to X2':x2' +-----+ X1':x1'
| C1 |>>>>>>>>>>>>>>>>>>>>>>>>>>>>>--+---
+----+ | v |
| v |
| v |
| v |
+----+ from X1':x1' to X2:x2 | v | X2':x2'
| C2 |<<<<<<<<<<<<<<<<<<<<<<<<<<<<<--+---
+----+ +-----+
Converter
Note: X2':x2' may be equal to X2:x2
注:X2 ':x2'はX2:x2と等しい場合があります
Figure 24: Hairpinning Example
図24:ヘアピニングの例
Another possible risk is amplification attacks, since a Transport Converter sends a SYN towards a remote Server upon reception of a SYN from a Client. This could lead to amplification attacks if the SYN sent by the Transport Converter were larger than the SYN received from the Client, or if the Transport Converter retransmits the SYN. To mitigate such attacks, the Transport Converter SHOULD rate-limit the number of pending requests for a given Client. It SHOULD also avoid sending SYNs that are significantly longer than the SYN received from the Client, to remote Servers. Finally, the Transport Converter SHOULD only retransmit a SYN to a Server after having received a retransmitted SYN from the corresponding Client. Means to protect against SYN flooding attacks should also be enabled (e.g., Section 3 of [RFC4987]).
トランスポートコンバーターはクライアントからのSYNの受信時にリモートサーバーに向けてSYNを送信するため、別の考えられるリスクは増幅攻撃です。これは、トランスポートコンバーターによって送信されたSYNがクライアントから受信したSYNより大きい場合、またはトランスポートコンバーターがSYNを再送信する場合に、増幅攻撃につながる可能性があります。このような攻撃を軽減するために、トランスポートコンバーターは、特定のクライアントに対する保留中の要求の数をレート制限する必要があります(SHOULD)。また、クライアントから受信したSYNより大幅に長いSYNをリモートサーバーに送信しないようにする必要があります(SHOULD)。最後に、トランスポートコンバータは、対応するクライアントから再送信されたSYNを受信した後にのみ、サーバーにSYNを再送信する必要があります(SHOULD)。 SYNフラッディング攻撃から保護する手段も有効にする必要があります(たとえば、[RFC4987]のセクション3)。
Attacks from within the network between a Client and a Transport Converter (including attacks that change the protocol version) are yet another threat. Means to ensure that illegitimate nodes cannot connect to a network should be implemented.
クライアントとトランスポートコンバーター間のネットワーク内からの攻撃(プロトコルのバージョンを変更する攻撃を含む)もまた別の脅威です。不正なノードがネットワークに接続できないようにする手段を実装する必要があります。
Traffic theft is a risk if an illegitimate Converter is inserted in the path. Indeed, inserting an illegitimate Converter in the forwarding path allows traffic interception and can therefore provide access to sensitive data issued by or destined to a host. Converter discovery and configuration are out of scope of this document.
パスに不正なコンバーターが挿入されている場合、トラフィックの盗難は危険です。実際、転送パスに不正なコンバーターを挿入すると、トラフィックを傍受できるため、ホストが発行した、またはホスト宛の機密データにアクセスできます。コンバーターの検出と構成は、このドキュメントの範囲外です。
If the Converter is configured to behave in the address-sharing mode (Section 4.4.2), the logging recommendations discussed in Section 4 of [RFC6888] need to be considered. Security-related issues encountered in address-sharing environments are documented in Section 13 of [RFC6269].
Converterがアドレス共有モードで動作するように構成されている場合(セクション4.4.2)、[RFC6888]のセクション4で説明されているログの推奨事項を考慮する必要があります。アドレス共有環境で発生したセキュリティ関連の問題は、[RFC6269]のセクション13に記載されています。
IANA has assigned a service name for the Convert Protocol from the "Service Name and Transport Protocol Port Number Registry" available at <https://www.iana.org/assignments/service-names-port-numbers>.
IANAは、<https://www.iana.org/assignments/service-names-port-numbers>にある「サービス名とトランスポートプロトコルのポート番号レジストリ」から変換プロトコルのサービス名を割り当てました。
Service Name: convert
Port Number: N/A
Transport Protocol(s): TCP
Description: 0-RTT TCP Convert Protocol
Assignee: IESG <iesg@ietf.org>
Contact: IETF Chair <chair@ietf.org>
Reference: RFC 8803
Clients may use this service name to feed the procedure defined in [RFC2782] to discover the IP address(es) and the port number used by the Transport Converters of a domain.
クライアントはこのサービス名を使用して、[RFC2782]で定義された手順をフィードし、ドメインのトランスポートコンバーターによって使用されるIPアドレスとポート番号を検出できます。
IANA has created a new "TCP Convert Protocol (Convert) Parameters" registry.
IANAは、新しい「TCP変換プロトコル(変換)パラメータ」レジストリを作成しました。
The following subsections detail new registries within the "Convert Protocol (Convert) Parameters" registry.
次のサブセクションでは、「変換プロトコル(変換)パラメータ」レジストリ内の新しいレジストリについて詳しく説明します。
The designated expert is expected to ascertain the existence of suitable documentation as described in Section 4.6 of [RFC8126] and to verify that the document is permanently and publicly available. The designated expert is also expected to check the clarity of purpose and use of the requested code points.
指定された専門家は、[RFC8126]のセクション4.6に記載されている適切なドキュメントの存在を確認し、ドキュメントが永続的かつ一般に入手可能であることを確認することが求められます。指定された専門家は、目的の明確さと要求されたコードポイントの使用を確認することも期待されています。
Also, criteria that should be applied by the designated experts includes determining whether the proposed registration duplicates existing functionality, whether it is likely to be of general applicability or useful only for private use, and whether the registration description is clear. All requests should be directed to the review mailing list. For both the "Convert TLVs" and "Convert Errors" subregistries, IANA must only accept registry updates in the 128-191 range from the designated experts. It is suggested that multiple designated experts be appointed. In cases where a registration decision could be perceived as creating a conflict of interest for a particular expert, that expert should defer to the judgment of the other experts.
また、指定された専門家が適用する必要のある基準には、提案された登録が既存の機能を複製するかどうか、一般的に適用できるか、または私的使用にのみ役立つかどうか、および登録の説明が明確かどうかの決定が含まれます。すべてのリクエストは、レビューメーリングリストに送信する必要があります。 「Convert TLVs」と「Convert Errors」の両方のサブレジストリについて、IANAは指定された専門家からの128〜191の範囲のレジストリ更新のみを受け入れる必要があります。複数の指定された専門家を任命することをお勧めします。登録の決定が特定の専門家の利益相反を生み出すものとして認識される可能性がある場合、その専門家は他の専門家の判断に委ねるべきです。
IANA has created the "Convert Versions" subregistry. New values are assigned via IETF Review (Section 4.8 of [RFC8126]).
IANAは「バージョンの変換」サブレジストリを作成しました。 IETFレビューを介して新しい値が割り当てられます([RFC8126]のセクション4.8)。
The initial values of the registry are as follows:
レジストリの初期値は次のとおりです。
+=========+=============+===========+
| Version | Description | Reference |
+=========+=============+===========+
| 0 | Reserved | RFC 8803 |
+---------+-------------+-----------+
| 1 | Assigned | RFC 8803 |
+---------+-------------+-----------+
Table 3: Current Convert Versions
表3:現在の変換バージョン
IANA has created the "Convert TLVs" subregistry. The procedures for assigning values from this registry are as follows:
IANAは「Convert TLVs」サブレジストリを作成しました。このレジストリから値を割り当てる手順は次のとおりです。
1-127: IETF Review
1-127:IETFレビュー
128-191: Specification Required
128-191:仕様が必要です
192-255: Private Use
192-255:私的使用
The initial values of the registry are as follows:
レジストリの初期値は次のとおりです。
+======+=============================+===========+
| Code | Name | Reference |
+======+=============================+===========+
| 0 | Reserved | RFC 8803 |
+------+-----------------------------+-----------+
| 1 | Info TLV | RFC 8803 |
+------+-----------------------------+-----------+
| 10 | Connect TLV | RFC 8803 |
+------+-----------------------------+-----------+
| 20 | Extended TCP Header TLV | RFC 8803 |
+------+-----------------------------+-----------+
| 21 | Supported TCP Extension TLV | RFC 8803 |
+------+-----------------------------+-----------+
| 22 | Cookie TLV | RFC 8803 |
+------+-----------------------------+-----------+
| 30 | Error TLV | RFC 8803 |
+------+-----------------------------+-----------+
Table 4: Initial Convert TLVs
表4:初期変換TLV
IANA has created the "Convert Errors" subregistry. Codes in this registry are assigned as a function of the error type. Four types are defined; the following ranges are reserved for each of these types:
IANAは「Convert Errors」サブレジストリを作成しました。このレジストリのコードは、エラータイプの関数として割り当てられます。 4つのタイプが定義されています。次の範囲は、これらのタイプごとに予約されています。
0-31: Message validation and processing errors
0-31:メッセージ検証および処理エラー
32-63: Client-side errors
32-63:クライアント側エラー
64-95: Transport Converter-side errors
64-95:Transport Converter側のエラー
96-127: Errors caused by destination Server
96-127:宛先サーバーが原因のエラー
The procedures for assigning values from this subregistry are as follows:
このサブレジストリから値を割り当てる手順は次のとおりです。
0-127: IETF Review
0-127:IETFレビュー
128-191: Specification Required
128-191:仕様が必要です
192-255: Private Use
192-255:私的使用
The initial values of the registry are as follows:
レジストリの初期値は次のとおりです。
+=======+=========================+===========+
| Error | Description | Reference |
+=======+=========================+===========+
| 0 | Unsupported Version | RFC 8803 |
+-------+-------------------------+-----------+
| 1 | Malformed Message | RFC 8803 |
+-------+-------------------------+-----------+
| 2 | Unsupported Message | RFC 8803 |
+-------+-------------------------+-----------+
| 3 | Missing Cookie | RFC 8803 |
+-------+-------------------------+-----------+
| 32 | Not Authorized | RFC 8803 |
+-------+-------------------------+-----------+
| 33 | Unsupported TCP Option | RFC 8803 |
+-------+-------------------------+-----------+
| 64 | Resource Exceeded | RFC 8803 |
+-------+-------------------------+-----------+
| 65 | Network Failure | RFC 8803 |
+-------+-------------------------+-----------+
| 96 | Connection Reset | RFC 8803 |
+-------+-------------------------+-----------+
| 97 | Destination Unreachable | RFC 8803 |
+-------+-------------------------+-----------+
Table 5: Initial Convert Error Codes
表5:最初の変換エラーコード
[RFC0793] Postel, J., "Transmission Control Protocol", STD 7, RFC 793, DOI 10.17487/RFC0793, September 1981, <https://www.rfc-editor.org/info/rfc793>.
[RFC0793] Postel、J。、「Transmission Control Protocol」、STD 7、RFC 793、DOI 10.17487 / RFC0793、1981年9月、<https://www.rfc-editor.org/info/rfc793>。
[RFC2018] Mathis, M., Mahdavi, J., Floyd, S., and A. Romanow, "TCP Selective Acknowledgment Options", RFC 2018, DOI 10.17487/RFC2018, October 1996, <https://www.rfc-editor.org/info/rfc2018>.
[RFC2018] Mathis、M.、Madhavi、J.、Floyd、S。、およびA. Romanow、「TCP選択的確認応答オプション」、RFC 2018、DOI 10.17487 / RFC2018、1996年10月、<https://www.rfc- editor.org/info/rfc2018>。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, <https://www.rfc-editor.org/info/rfc2119>.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、DOI 10.17487 / RFC2119、1997年3月、<https://www.rfc-editor.org/info/ rfc2119>。
[RFC2827] Ferguson, P. and D. Senie, "Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing", BCP 38, RFC 2827, DOI 10.17487/RFC2827, May 2000, <https://www.rfc-editor.org/info/rfc2827>.
[RFC2827]ファーガソン、P。およびD.セニー、「ネットワーク入力フィルタリング:IP送信元アドレスのスプーフィングを使用するサービス拒否攻撃の阻止」、BCP 38、RFC 2827、DOI 10.17487 / RFC2827、2000年5月、<https:// www .rfc-editor.org / info / rfc2827>。
[RFC4291] Hinden, R. and S. Deering, "IP Version 6 Addressing Architecture", RFC 4291, DOI 10.17487/RFC4291, February 2006, <https://www.rfc-editor.org/info/rfc4291>.
[RFC4291] Hinden、R。およびS. Deering、「IPバージョン6アドレッシングアーキテクチャ」、RFC 4291、DOI 10.17487 / RFC4291、2006年2月、<https://www.rfc-editor.org/info/rfc4291>。
[RFC4787] Audet, F., Ed. and C. Jennings, "Network Address Translation (NAT) Behavioral Requirements for Unicast UDP", BCP 127, RFC 4787, DOI 10.17487/RFC4787, January 2007, <https://www.rfc-editor.org/info/rfc4787>.
[RFC4787]オーデ、F、エド。およびC.ジェニングス、「ユニキャストUDPのネットワークアドレス変換(NAT)動作要件」、BCP 127、RFC 4787、DOI 10.17487 / RFC4787、2007年1月、<https://www.rfc-editor.org/info/rfc4787> 。
[RFC4987] Eddy, W., "TCP SYN Flooding Attacks and Common Mitigations", RFC 4987, DOI 10.17487/RFC4987, August 2007, <https://www.rfc-editor.org/info/rfc4987>.
[RFC4987] Eddy、W。、「TCP SYN Flooding Attacks and Common Mitigations」、RFC 4987、DOI 10.17487 / RFC4987、2007年8月、<https://www.rfc-editor.org/info/rfc4987>。
[RFC5925] Touch, J., Mankin, A., and R. Bonica, "The TCP Authentication Option", RFC 5925, DOI 10.17487/RFC5925, June 2010, <https://www.rfc-editor.org/info/rfc5925>.
[RFC5925] Touch、J.、Mankin、A。、およびR. Bonica、「The TCP Authentication Option」、RFC 5925、DOI 10.17487 / RFC5925、2010年6月、<https://www.rfc-editor.org/info / rfc5925>。
[RFC6888] Perreault, S., Ed., Yamagata, I., Miyakawa, S., Nakagawa, A., and H. Ashida, "Common Requirements for Carrier-Grade NATs (CGNs)", BCP 127, RFC 6888, DOI 10.17487/RFC6888, April 2013, <https://www.rfc-editor.org/info/rfc6888>.
[RFC6888] Perreault、S.、Ed。、Yamagata、I.、Miyakawa、S.、Nakagawa、A.、and H. Ashida、 "Common Requirements for Carrier-Grade NATs(CGNs)"、BCP 127、RFC 6888、 DOI 10.17487 / RFC6888、2013年4月、<https://www.rfc-editor.org/info/rfc6888>。
[RFC6890] Cotton, M., Vegoda, L., Bonica, R., Ed., and B. Haberman, "Special-Purpose IP Address Registries", BCP 153, RFC 6890, DOI 10.17487/RFC6890, April 2013, <https://www.rfc-editor.org/info/rfc6890>.
[RFC6890]綿、M。、ベゴダ、L。、ボニカ、R。、エド、およびB.ハーバーマン、「特別な目的のIPアドレスレジストリ」、BCP 153、RFC 6890、DOI 10.17487 / RFC6890、2013年4月、< https://www.rfc-editor.org/info/rfc6890>。
[RFC7323] Borman, D., Braden, B., Jacobson, V., and R. Scheffenegger, Ed., "TCP Extensions for High Performance", RFC 7323, DOI 10.17487/RFC7323, September 2014, <https://www.rfc-editor.org/info/rfc7323>.
[RFC7323] Borman、D.、Braden、B.、Jacobson、V。、およびR. Scheffenegger、編、「高性能のTCP拡張機能」、RFC 7323、DOI 10.17487 / RFC7323、2014年9月、<https:// www.rfc-editor.org/info/rfc7323>。
[RFC7413] Cheng, Y., Chu, J., Radhakrishnan, S., and A. Jain, "TCP Fast Open", RFC 7413, DOI 10.17487/RFC7413, December 2014, <https://www.rfc-editor.org/info/rfc7413>.
[RFC7413] Cheng、Y.、Chu、J.、Radhakrishnan、S。、およびA. Jain、「TCP Fast Open」、RFC 7413、DOI 10.17487 / RFC7413、2014年12月、<https://www.rfc-editor .org / info / rfc7413>。
[RFC8126] Cotton, M., Leiba, B., and T. Narten, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 8126, DOI 10.17487/RFC8126, June 2017, <https://www.rfc-editor.org/info/rfc8126>.
[RFC8126]コットン、M。、レイバ、B。、およびT.ナルテン、「RFCでIANAの考慮事項セクションを作成するためのガイドライン」、BCP 26、RFC 8126、DOI 10.17487 / RFC8126、2017年6月、<https:// www .rfc-editor.org / info / rfc8126>。
[RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC 2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174, May 2017, <https://www.rfc-editor.org/info/rfc8174>.
[RFC8174] Leiba、B。、「RFC 2119キーワードの大文字と小文字のあいまいさ」、BCP 14、RFC 8174、DOI 10.17487 / RFC8174、2017年5月、<https://www.rfc-editor.org/info/ rfc8174>。
[RFC8684] Ford, A., Raiciu, C., Handley, M., Bonaventure, O., and C. Paasch, "TCP Extensions for Multipath Operation with Multiple Addresses", RFC 8684, DOI 10.17487/RFC8684, March 2020, <https://www.rfc-editor.org/info/rfc8684>.
[RFC8684] Ford、A.、Raiciu、C.、Handley、M.、Bonaventure、O。、およびC. Paasch、「複数のアドレスを使用したマルチパス操作のためのTCP拡張機能」、RFC 8684、DOI 10.17487 / RFC8684、2020年3月、 <https://www.rfc-editor.org/info/rfc8684>。
[ANRW17] Trammell, B., Kuehlewind, M., De Vaere, P., Learmonth, I., and G. Fairhurst, "Tracking transport-layer evolution with PATHspider", Applied Networking Research Workshop 2017 (ANRW17), July 2017.
[ANRW17] Trammell、B.、Kuehlewwind、M.、De Vaere、P.、Learmonth、I。、およびG. Fairhurst、「Trackspiderによるトランスポート層の進化の追跡」、Applied Networking Research Workshop 2017(ANRW17)、2017年7月。
[DHC-CONVERTER] Boucadair, M., Jacquenet, C., and T. Reddy.K, "DHCP Options for 0-RTT TCP Converters", Work in Progress, Internet-Draft, draft-boucadair-tcpm-dhc-converter-03, 7 October 2019, <https://tools.ietf.org/html/draft-boucadair-tcpm-dhc-converter-03>.
[DHC-CONVERTER] Boucadair、M.、Jacquenet、C。、およびT. Reddy.K、「0-RTT TCPコンバーターのDHCPオプション」、作業中、Internet-Draft、draft-boucadair-tcpm-dhc-converter -03、2019年10月7日、<https://tools.ietf.org/html/draft-boucadair-tcpm-dhc-converter-03>。
[Fukuda2011] Fukuda, K., "An Analysis of Longitudinal TCP Passive Measurements (Short Paper)", Traffic Monitoring and Analysis, TMA 2011, Lecture Notes in Computer Science, vol. 6613, 2011.
[Fukuda2011] Fukuda、K.、 "An Analysis of Longitudinal TCP Passive Measurements(Short Paper)"、Traffic Monitoring and Analysis、TMA 2011、Lecture Notes in Computer Science、vol。 6613、2011。
[HOT-MIDDLEBOX13] Detal, G., Paasch, C., and O. Bonaventure, "Multipath in the Middle(Box)", HotMiddlebox'13, DOI 10.1145/2535828.2535829, December 2013, <https://inl.info.ucl.ac.be/publications/multipath-middlebox>.
[HOT-MIDDLEBOX13] Detal、G.、Paasch、C。、およびO. Bonaventure、「Multipath in the Middle(Box)」、HotMiddlebox'13、DOI 10.1145 / 2535828.2535829、2013年12月、<https://inl.info .ucl.ac.be / publications / multipath-middlebox>。
[IANA-CONVERT] IANA, "TCP Convert Protocol (Convert) Parameters", <https://www.iana.org/assignments/tcp-convert-protocol-parameters>.
[IANA-CONVERT] IANA、「TCP変換プロトコル(変換)パラメータ」、<https://www.iana.org/assignments/tcp-convert-protocol-parameters>。
[IETFJ16] Bonaventure, O. and S. Seo, "Multipath TCP Deployments", IETF Journal, Vol. 12, Issue 2, November 2016.
[IETFJ16] Bonaventure、O。およびS. Seo、「Multipath TCP Deployments」、IETF Journal、Vol。 12、問題2、2016年11月。
[IMC11] Honda, K., Nishida, Y., Raiciu, C., Greenhalgh, A., Handley, M., and T. Hideyuki, "Is it still possible to extend TCP?", Proceedings of the 2011 ACM SIGCOMM conference on Internet measurement conference, DOI 10.1145/2068816.2068834, November 2011, <https://doi.org/10.1145/2068816.2068834>.
[IMC11]本田健一、西田由紀、ライチウC、グリーンハル、A。、ハンドラリー、M。、秀行T.「まだTCPを拡張することはできますか?」、2011 ACM SIGCOMMインターネット測定会議に関する会議、DOI 10.1145 / 2068816.2068834、2011年11月、<https://doi.org/10.1145/2068816.2068834>。
[INTAREA-SOCKS] Olteanu, V. and D. Niculescu, "SOCKS Protocol Version 6", Work in Progress, Internet-Draft, draft-olteanu-intarea-socks-6-10, 13 July 2020, <https://tools.ietf.org/html/ draft-olteanu-intarea-socks-6-10>.
[INTAREA-SOCKS] Olteanu、V。およびD. Niculescu、「SOCKSプロトコルバージョン6」、作業中、インターネットドラフト、draft-olteanu-intarea-socks-6-10、2020年7月13日、<https:// tools.ietf.org/html/draft-olteanu-intarea-socks-6-10>。
[LOW-LATENCY] Arkko, J. and J. Tantsura, "Low Latency Applications and the Internet Architecture", Work in Progress, Internet-Draft, draft-arkko-arch-low-latency-02, 30 October 2017, <https://tools.ietf.org/html/draft-arkko-arch-low-latency-02>.
[低遅延] Arkko、J。およびJ. Tantsura、「低遅延アプリケーションとインターネットアーキテクチャ」、進行中の作業、インターネットドラフト、draft-arkko-arch-low-latency-02、2017年10月30日、<https ://tools.ietf.org/html/draft-arkko-arch-low-latency-02>。
[MPTCP-PLAIN] Boucadair, M., Jacquenet, C., Bonaventure, O., Behaghel, D., Secci, S., Henderickx, W., Skog, R., Vinapamula, S., Seo, S., Cloetens, W., Meyer, U., Contreras, L., and B. Peirens, "Extensions for Network-Assisted MPTCP Deployment Models", Work in Progress, Internet-Draft, draft-boucadair-mptcp-plain-mode-10, March 2017, <https://tools.ietf.org/html/draft-boucadair-mptcp-plain-mode-10>.
[MPTCP-PLAIN] Boucadair、M.、Jacquenet、C.、Bonaventure、O.、Behaghel、D.、Secci、S.、Henderickx、W.、Skog、R.、Vinapamula、S.、Seo、S。、 Cloetens、W.、Meyer、U.、Contreras、L.、and B. Peirens、 "Extensions for Network-Assisted MPTCP Deployment Models"、Work in Progress、Internet-Draft、draft-boucadair-mptcp-plain-mode-10 、2017年3月、<https://tools.ietf.org/html/draft-boucadair-mptcp-plain-mode-10>。
[MPTCP-TRANSPARENT] Peirens, B., Detal, G., Barre, S., and O. Bonaventure, "Link bonding with transparent Multipath TCP", Work in Progress, Internet-Draft, draft-peirens-mptcp-transparent-00, 8 July 2016, <https://tools.ietf.org/html/draft-peirens-mptcp-transparent-00>.
[MPTCP-TRANSPARENT] Peirens、B.、Detal、G.、Barre、S。、およびO. Bonaventure、「トランスペアレントマルチパスTCPとのリンクボンディング」、進行中の作業、インターネットドラフト、draft-peirens-mptcp-transparent- 00、2016年7月8日、<https://tools.ietf.org/html/draft-peirens-mptcp-transparent-00>。
[RFC1812] Baker, F., Ed., "Requirements for IP Version 4 Routers", RFC 1812, DOI 10.17487/RFC1812, June 1995, <https://www.rfc-editor.org/info/rfc1812>.
[RFC1812] Baker、F。、編、「IPバージョン4ルーターの要件」、RFC 1812、DOI 10.17487 / RFC1812、1995年6月、<https://www.rfc-editor.org/info/rfc1812>。
[RFC1919] Chatel, M., "Classical versus Transparent IP Proxies", RFC 1919, DOI 10.17487/RFC1919, March 1996, <https://www.rfc-editor.org/info/rfc1919>.
[RFC1919] Chatel、M。、「Classical vs Transparent IP Proxies」、RFC 1919、DOI 10.17487 / RFC1919、1996年3月、<https://www.rfc-editor.org/info/rfc1919>。
[RFC1928] Leech, M., Ganis, M., Lee, Y., Kuris, R., Koblas, D., and L. Jones, "SOCKS Protocol Version 5", RFC 1928, DOI 10.17487/RFC1928, March 1996, <https://www.rfc-editor.org/info/rfc1928>.
[RFC1928] Leech、M.、Ganis、M.、Lee、Y.、Kuris、R.、Koblas、D。、およびL. Jones、「SOCKS Protocol Version 5」、RFC 1928、DOI 10.17487 / RFC1928、1996年3月、<https://www.rfc-editor.org/info/rfc1928>。
[RFC2782] Gulbrandsen, A., Vixie, P., and L. Esibov, "A DNS RR for specifying the location of services (DNS SRV)", RFC 2782, DOI 10.17487/RFC2782, February 2000, <https://www.rfc-editor.org/info/rfc2782>.
[RFC2782] Gulbrandsen、A.、Vixie、P。、およびL. Esibov、「サービスの場所を指定するためのDNS RR(DNS SRV)」、RFC 2782、DOI 10.17487 / RFC2782、2000年2月、<https:// www.rfc-editor.org/info/rfc2782>。
[RFC3135] Border, J., Kojo, M., Griner, J., Montenegro, G., and Z. Shelby, "Performance Enhancing Proxies Intended to Mitigate Link-Related Degradations", RFC 3135, DOI 10.17487/RFC3135, June 2001, <https://www.rfc-editor.org/info/rfc3135>.
[RFC3135] Border、J.、Kojo、M.、Griner、J。、モンテネグロ、G。、およびZ. Shelby、「リンク関連の劣化を軽減するためのパフォーマンス強化プロキシ」、RFC 3135、DOI 10.17487 / RFC3135、6月2001、<https://www.rfc-editor.org/info/rfc3135>。
[RFC4279] Eronen, P., Ed. and H. Tschofenig, Ed., "Pre-Shared Key Ciphersuites for Transport Layer Security (TLS)", RFC 4279, DOI 10.17487/RFC4279, December 2005, <https://www.rfc-editor.org/info/rfc4279>.
[RFC4279] Eronen、P.、Ed。およびH. Tschofenig編、「トランスポート層セキュリティ(TLS)の事前共有鍵暗号スイート」、RFC 4279、DOI 10.17487 / RFC4279、2005年12月、<https://www.rfc-editor.org/info/rfc4279 >。
[RFC5461] Gont, F., "TCP's Reaction to Soft Errors", RFC 5461, DOI 10.17487/RFC5461, February 2009, <https://www.rfc-editor.org/info/rfc5461>.
[RFC5461] Gont、F。、「ソフトエラーに対するTCPの反応」、RFC 5461、DOI 10.17487 / RFC5461、2009年2月、<https://www.rfc-editor.org/info/rfc5461>。
[RFC6269] Ford, M., Ed., Boucadair, M., Durand, A., Levis, P., and P. Roberts, "Issues with IP Address Sharing", RFC 6269, DOI 10.17487/RFC6269, June 2011, <https://www.rfc-editor.org/info/rfc6269>.
[RFC6269]フォード、M。、エド、ブーカデア、M。、デュランド、A。、リーバイス、P。、およびP.ロバーツ、「IPアドレス共有の問題」、RFC 6269、DOI 10.17487 / RFC6269、2011年6月、 <https://www.rfc-editor.org/info/rfc6269>。
[RFC6296] Wasserman, M. and F. Baker, "IPv6-to-IPv6 Network Prefix Translation", RFC 6296, DOI 10.17487/RFC6296, June 2011, <https://www.rfc-editor.org/info/rfc6296>.
[RFC6296] Wasserman、M。およびF. Baker、「IPv6-to-IPv6 Network Prefix Translation」、RFC 6296、DOI 10.17487 / RFC6296、2011年6月、<https://www.rfc-editor.org/info/rfc6296 >。
[RFC6731] Savolainen, T., Kato, J., and T. Lemon, "Improved Recursive DNS Server Selection for Multi-Interfaced Nodes", RFC 6731, DOI 10.17487/RFC6731, December 2012, <https://www.rfc-editor.org/info/rfc6731>.
[RFC6731] Savolainen、T.、Kato、J。、およびT. Lemon、「Improved Recursive DNS Server Selection for Multi-Interfaced Nodes」、RFC 6731、DOI 10.17487 / RFC6731、2012年12月、<https://www.rfc -editor.org/info/rfc6731>。
[RFC6887] Wing, D., Ed., Cheshire, S., Boucadair, M., Penno, R., and P. Selkirk, "Port Control Protocol (PCP)", RFC 6887, DOI 10.17487/RFC6887, April 2013, <https://www.rfc-editor.org/info/rfc6887>.
[RFC6887] Wing、D.、Ed。、Cheshire、S.、Boucadair、M.、Penno、R.、and P. Selkirk、 "Port Control Protocol(PCP)"、RFC 6887、DOI 10.17487 / RFC6887、April 2013 、<https://www.rfc-editor.org/info/rfc6887>。
[RFC6928] Chu, J., Dukkipati, N., Cheng, Y., and M. Mathis, "Increasing TCP's Initial Window", RFC 6928, DOI 10.17487/RFC6928, April 2013, <https://www.rfc-editor.org/info/rfc6928>.
[RFC6928] Chu、J.、Dukkipati、N.、Cheng、Y。、およびM. Mathis、「TCPの初期ウィンドウの増加」、RFC 6928、DOI 10.17487 / RFC6928、2013年4月、<https://www.rfc- editor.org/info/rfc6928>。
[RFC6978] Touch, J., "A TCP Authentication Option Extension for NAT Traversal", RFC 6978, DOI 10.17487/RFC6978, July 2013, <https://www.rfc-editor.org/info/rfc6978>.
[RFC6978] Touch、J。、「A NATトラバーサルのTCP認証オプション拡張」、RFC 6978、DOI 10.17487 / RFC6978、2013年7月、<https://www.rfc-editor.org/info/rfc6978>。
[RFC7250] Wouters, P., Ed., Tschofenig, H., Ed., Gilmore, J., Weiler, S., and T. Kivinen, "Using Raw Public Keys in Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS)", RFC 7250, DOI 10.17487/RFC7250, June 2014, <https://www.rfc-editor.org/info/rfc7250>.
[RFC7250] Wouters、P.、Ed。、Tschofenig、H.、Ed。、Gilmore、J.、Weiler、S.、and T. Kivinen、 "Using Raw Public Keys in Transport Layer Security(TLS)and Datagram Transport Layerセキュリティ(DTLS)」、RFC 7250、DOI 10.17487 / RFC7250、2014年6月、<https://www.rfc-editor.org/info/rfc7250>。
[RFC7414] Duke, M., Braden, R., Eddy, W., Blanton, E., and A. Zimmermann, "A Roadmap for Transmission Control Protocol (TCP) Specification Documents", RFC 7414, DOI 10.17487/RFC7414, February 2015, <https://www.rfc-editor.org/info/rfc7414>.
[RFC7414]デューク、M。、ブレーデン、R。、エディ、W。、ブラントン、E。、およびA.ジマーマン、「A Transmission map for Transmission Control Protocol(TCP)Specification Documents」、RFC 7414、DOI 10.17487 / RFC7414、 2015年2月、<https://www.rfc-editor.org/info/rfc7414>。
[RFC8041] Bonaventure, O., Paasch, C., and G. Detal, "Use Cases and Operational Experience with Multipath TCP", RFC 8041, DOI 10.17487/RFC8041, January 2017, <https://www.rfc-editor.org/info/rfc8041>.
[RFC8041] Bonaventure、O.、Paasch、C。、およびG. Detal、「マルチパスTCPの使用例と運用経験」、RFC 8041、DOI 10.17487 / RFC8041、2017年1月、<https://www.rfc-editor .org / info / rfc8041>。
[RFC8305] Schinazi, D. and T. Pauly, "Happy Eyeballs Version 2: Better Connectivity Using Concurrency", RFC 8305, DOI 10.17487/RFC8305, December 2017, <https://www.rfc-editor.org/info/rfc8305>.
[RFC8305] Schinazi、D.、T。Pauly、「Happy Eyeballs Version 2:Better Connectivity Using Concurrency」、RFC 8305、DOI 10.17487 / RFC8305、2017年12月、<https://www.rfc-editor.org/info/ rfc8305>。
[RFC8446] Rescorla, E., "The Transport Layer Security (TLS) Protocol Version 1.3", RFC 8446, DOI 10.17487/RFC8446, August 2018, <https://www.rfc-editor.org/info/rfc8446>.
[RFC8446] Rescorla、E。、「The Transport Layer Security(TLS)Protocol Version 1.3」、RFC 8446、DOI 10.17487 / RFC8446、2018年8月、<https://www.rfc-editor.org/info/rfc8446>。
[RFC8548] Bittau, A., Giffin, D., Handley, M., Mazieres, D., Slack, Q., and E. Smith, "Cryptographic Protection of TCP Streams (tcpcrypt)", RFC 8548, DOI 10.17487/RFC8548, May 2019, <https://www.rfc-editor.org/info/rfc8548>.
[RFC8548] Bittau、A.、Gifin、D.、Handley、M.、Mazieres、D.、Slack、Q。、およびE. Smith、「TCPストリームの暗号化保護(tcpcrypt)」、RFC 8548、DOI 10.17487 / RFC8548、2019年5月、<https://www.rfc-editor.org/info/rfc8548>。
[TCPM-CONVERTER] Boucadair, M. and C. Jacquenet, "RADIUS Extensions for 0-RTT TCP Converters", Work in Progress, Internet-Draft, draft-boucadair-opsawg-tcpm-converter-01, 28 February 2020, <https://tools.ietf.org/html/draft-boucadair-opsawg-tcpm-converter-01>.
[TCPM-CONVERTER] Boucadair、M.、C。Jacquenet、「RADIUS Extensions for 0-RTT TCP Converters」、Work in Progress、Internet-Draft、draft-boucadair-opsawg-tcpm-converter-01、2020年2月28日、< https://tools.ietf.org/html/draft-boucadair-opsawg-tcpm-converter-01>。
[TS23501] 3GPP (3rd Generation Partnership Project), "Technical Specification Group Services and System Aspects; System architecture for the 5G System; Stage 2 (Release 16)", 2019, <https://www.3gpp.org/ftp/Specs/ archive/23_series/23.501/>.
[TS23501] 3GPP(3rd Generation Partnership Project)、「技術仕様グループサービスとシステムの側面、5Gシステムのシステムアーキテクチャ、ステージ2(リリース16)」、2019、<https://www.3gpp.org/ftp/ Specs / archive / 23_series / 23.501 />。
Appendix A. Example Socket API Changes to Support the 0-RTT TCP Convert Protocol
付録A. 0-RTT TCP変換プロトコルをサポートするためのソケットAPIの変更例
On the Client side, the support of the 0-RTT Converter protocol does not require any other changes than those identified in Appendix A of [RFC7413]. Those modifications are already supported by multiple TCP stacks.
クライアント側では、0-RTTコンバータープロトコルのサポートには、[RFC7413]の付録Aで特定されている変更以外の変更は必要ありません。これらの変更は、すでに複数のTCPスタックでサポートされています。
As an example, on Linux, a Client can send the 0-RTT Convert message inside a SYN by using sendto with the MSG_FASTOPEN flag as shown in the example below:
例として、Linuxでは、クライアントは以下の例に示すようにMSG_FASTOPENフラグを指定してsendtoを使用することにより、SYN内で0-RTT変換メッセージを送信できます。
s = socket(AF_INET, SOCK_STREAM, 0);
sendto(s, buffer, buffer_len, MSG_FASTOPEN,
(struct sockaddr *) &server_addr, addr_len);
The Client side of the Linux TFO can be used in two different modes depending on the host configuration (sysctl tcp_fastopen variable):
Linux TFOのクライアント側は、ホスト構成(sysctl tcp_fastopen変数)に応じて、2つの異なるモードで使用できます。
0x1: (client) enables sending data in the opening SYN on the Client.
0x1:(クライアント)は、クライアントの最初のSYNでデータを送信できるようにします。
0x4: (client) enables sending data in the opening SYN regardless of cookie availability and without a cookie option.
0x4:(クライアント)は、Cookieの可用性に関係なく、Cookieオプションなしで、開始SYNでデータを送信できるようにします。
By setting this configuration variable to 0x5, a Linux Client using the above code would send data inside the SYN without using a TFO option.
この構成変数を0x5に設定すると、上記のコードを使用するLinuxクライアントは、TFOオプションを使用せずにSYN内にデータを送信します。
The Converter needs to enable the reception of data inside the SYN independently of the utilization of the TFO option. This implies that the Transport Converter application cannot rely on the Fast Open Cookies to validate the reachability of the IP address that sent the SYN. It must rely on other techniques, such as the Cookie TLV described in this document, to verify this reachability.
コンバーターは、TFOオプションの使用とは関係なく、SYN内のデータの受信を有効にする必要があります。これは、Transport ConverterアプリケーションがSYNを送信したIPアドレスの到達可能性を検証するためにFast Open Cookieに依存できないことを意味します。この到達可能性を確認するには、このドキュメントで説明されているCookie TLVなどの他の手法に依存する必要があります。
[RFC7413] suggested the utilization of a TCP_FASTOPEN socket option to enable the reception of SYNs containing data. Later, Appendix A of [RFC7413] mentioned:
[RFC7413]は、データを含むSYNの受信を可能にするTCP_FASTOPENソケットオプションの利用を提案しました。その後、[RFC7413]の付録Aで次のように述べられています。
| Traditionally, accept() returns only after a socket is connected. | But, for a Fast Open connection, accept() returns upon receiving a | SYN with a valid Fast Open cookie and data, and the data is | available to be read through, e.g., recvmsg(), read().
|従来、accept()は、ソケットが接続された後にのみ戻ります。 |ただし、Fast Open接続の場合、accept()は|を受信すると戻ります。有効なFast Open Cookieとデータを含むSYN。データは|たとえば、recvmsg()、read()などを介して読み取ることができます。
To support the 0-RTT TCP Convert Protocol, this behavior should be modified as follows:
0-RTT TCP変換プロトコルをサポートするには、この動作を次のように変更する必要があります。
| Traditionally, accept() returns only after a socket is connected. | But, for a Fast Open connection, accept() returns upon receiving a | SYN with data, and the data is available to be read through, e.g., | recvmsg(), read(). The application that receives such SYNs with | data must be able to validate the reachability of the source of | the SYN and also deal with replayed SYNs.
|従来、accept()は、ソケットが接続された後にのみ戻ります。 |ただし、Fast Open接続の場合、accept()は|を受信すると戻ります。データを含むSYN。データを読み取ることができます。 recvmsg()、read()。 |でSYNを受信するアプリケーションデータは、ソースの到達可能性を検証できる必要があります。 SYNおよび再生されたSYNも扱います。
The Linux Server side can be configured with the following sysctls:
Linuxサーバー側は、次のsysctlで構成できます。
0x2: (server) enables the Server support, i.e., allowing data in a SYN packet to be accepted and passed to the application before a 3-way handshake finishes.
0x2:(サーバー)はサーバーサポートを有効にします。つまり、3ウェイハンドシェイクが完了する前に、SYNパケットのデータを受け入れてアプリケーションに渡すことができます。
0x200: (server) accepts data-in-SYN w/o any cookie option present.
0x200:(サーバー)は、存在するCookieオプションのないdata-in-SYNを受け入れます。
However, this configuration is system wide. This is convenient for typical Transport Converter deployments where no other applications relying on TFO are collocated on the same device.
ただし、この構成はシステム全体に適用されます。これは、TFOに依存する他のアプリケーションが同じデバイス上に配置されていない、典型的なTransport Converterデプロイメントに便利です。
Recently, the TCP_FASTOPEN_NO_COOKIE socket option has been added to provide the same behavior on a per-socket basis. This enables a single host to support both Servers that require the Fast Open Cookie and Servers that do not use it.
最近、TCP_FASTOPEN_NO_COOKIEソケットオプションが追加され、ソケットごとに同じ動作を提供します。これにより、単一のホストが、Fast Open Cookieを必要とするサーバーとそれを使用しないサーバーの両方をサポートできるようになります。
Acknowledgments
謝辞
Although they could disagree with the contents of the document, we would like to thank Joe Touch and Juliusz Chroboczek, whose comments on the MPTCP mailing list have forced us to reconsider the design of the solution several times.
彼らは文書の内容に同意できないかもしれませんが、MPTCPメーリングリストへのコメントによってソリューションの設計を何度か再考するように強いられたJoe TouchとJuliusz Chroboczekに感謝します。
We would like to thank Raphael Bauduin, Stefano Secci, Anandatirtha Nandugudi, and Gregory Vander Schueren for their help in preparing this document. Nandini Ganesh provided valuable feedback about the handling of TFO and the error codes. Yuchung Cheng and Praveen Balasubramanian helped to clarify the discussion on supplying data in SYNs. Phil Eardley and Michael Scharf helped to clarify different parts of the text. Thanks to Éric Vyncke, Roman Danyliw, Benjamin Kaduk, and Alexey Melnikov for the IESG review, and Christian Huitema for the Security Directorate review.
このドキュメントの準備にご協力いただいたRaphael Bauduin、Stefano Secci、Anandatirtha Nandugudi、Gregory Vander Schuerenに感謝いたします。 Nandini Ganeshは、TFOとエラーコードの処理に関する貴重なフィードバックを提供しました。 Yuchung ChengとPraveen Balasubramanianは、SYNでのデータ提供に関する議論を明確にするのに役立ちました。 Phil EardleyとMichael Scharfは、テキストの異なる部分を明確にするのを助けました。 IESGのレビューについてはÉricVyncke、Roman Danyliw、Benjamin Kaduk、Alexey Melnikovに、セキュリティ総局のレビューについてはChristian Huitemaに感謝します。
Many thanks to Mirja Kühlewind for the detailed AD review.
詳細なADレビューをしてくれたMirjaKühlewindに感謝します。
This document builds upon earlier documents that proposed various forms of Multipath TCP proxies: [MPTCP-PLAIN], [MPTCP-TRANSPARENT], and [HOT-MIDDLEBOX13].
このドキュメントは、[MPTCP-PLAIN]、[MPTCP-TRANSPARENT]、および[HOT-MIDDLEBOX13]のさまざまな形式のマルチパスTCPプロキシを提案した以前のドキュメントに基づいています。
From [MPTCP-PLAIN]:
[MPTCP-PLAIN]から:
Many thanks to Chi Dung Phung, Mingui Zhang, Rao Shoaib, Yoshifumi Nishida, and Christoph Paasch for their valuable comments.
貴重なコメントを寄せてくれたChi Dung Phung、Mingui Zhang、Rao Shoaib、Yoshifumi Nishida、Christoph Paaschに感謝します。
Thanks to Ian Farrer, Mikael Abrahamsson, Alan Ford, Dan Wing, and Sri Gundavelli for the fruitful discussions at IETF 95 (Buenos Aires).
IETF 95(ブエノスアイレス)での実りある議論について、イアンファラー、ミカエルアブラハムソン、アランフォード、ダンウィング、およびスリガンダベリに感謝します。
Special thanks to Pierrick Seite, Yannick Le Goff, Fred Klamm, and Xavier Grall for their input.
Pierrick Seite、Yannick Le Goff、Fred Klamm、およびXavier Grallの協力に特に感謝します。
Thanks also to Olaf Schleusing, Martin Gysi, Thomas Zasowski, Andreas Burkhard, Silka Simmen, Sandro Berger, Michael Melloul, Jean-Yves Flahaut, Adrien Desportes, Gregory Detal, Benjamin David, Arun Srinivasan, and Raghavendra Mallya for their input.
また、Olaf Schleusing、Martin Gysi、Thomas Zasowski、Andreas Burkhard、Silka Simmen、Sandro Berger、Michael Melloul、Jean-Yves Flahaut、Adrien Desportes、Gregory Detal、Benjamin David、Arun Srinivasan、Raghavendra Mallyaにも感謝します。
Contributors
貢献者
Bart Peirens contributed to an early draft version of this document.
Bart Peirensがこのドキュメントの初期ドラフトバージョンに貢献しました。
As noted above, this document builds on two previous documents.
上記のように、このドキュメントは2つの以前のドキュメントに基づいています。
The authors of [MPTCP-PLAIN] were:
[MPTCP-PLAIN]の作者は次のとおりです。
* Mohamed Boucadair
* モハメドバスディール
* Christian Jacquenet
* クリスチャン・ジャケネット
* Olivier Bonaventure
* オリビエ・ボナベンチャー
* Denis Behaghel
* デニス・ベハーゲル
* Stefano Secci
* ステファノセッチ
* Wim Henderickx
* Wim Henderickx
* Robert Skog
* ロバート・スコッグ
* Suresh Vinapamula
* Suresh Vinapamula
* SungHoon Seo
* ソ・ソンフン
* Wouter Cloetens
* Wouter Cloetens
* Ullrich Meyer
* ウルリッヒマイヤー
* Luis M. Contreras
* ルイス・M・コントレラス
* Bart Peirens
* バート・パイレンス
The authors of [MPTCP-TRANSPARENT] were:
[MPTCP-TRANSPARENT]の作者は次のとおりです。
* Bart Peirens
* バート・パイレンス
* Gregory Detal
* グレゴリー詳細
* Sebastien Barre
* セバスチャン・バレ
* Olivier Bonaventure
* オリビエボナベンチャー
Authors' Addresses
著者のアドレス
Olivier Bonaventure (editor) Tessares Avenue Jean Monnet 1 B-1348 Louvain-la-Neuve Belgium
Olivier Ponaventore(編集者)Four Avenues Jan Monnet 1 B-1348 Louvain-la-Neuveベルギー
Email: Olivier.Bonaventure@tessares.net
Mohamed Boucadair (editor) Orange Clos Courtel 35000 Rennes France
Mohamed Boucadair(編集者)Orange Clos Courtel 35000レンヌフランス
Email: mohamed.boucadair@orange.com
Sri Gundavelli Cisco 170 West Tasman Drive San Jose, CA 95134 United States of America
Sri Gundavelli Cisco 170 West Tasman Drive San Jose、CA 95134アメリカ合衆国
Email: sgundave@cisco.com
SungHoon Seo Korea Telecom 151 Taebong-ro Seocho-gu, Seoul, 06763 Republic of Korea
SungHoon Seo Korea Telecom 151 Taebong-ro Seocho-gu、Seoul、06763 Republic of Korea
Email: sh.seo@kt.com
Benjamin Hesmans Tessares Avenue Jean Monnet 1 B-1348 Louvain-la-Neuve Belgium
Benjamin Hesmans Tessares Avenue Jean Monnet 1 B-1348 Louvain-la-Neuveベルギー
Email: Benjamin.Hesmans@tessares.net