Network Working Group B. Fox
Request for Comments: 2685 Lucent Technologies
Category: Standards Track B. Gleeson
Nortel Networks
September 1999
Virtual Private Networks Identifier
Status of this Memo
このメモの位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
この文書は、インターネットコミュニティのためのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD 1)の最新版を参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (1999). All Rights Reserved.
著作権(C)インターネット協会(1999)。全著作権所有。
Abstract
抽象
Virtual Private IP networks may span multiple Autonomous Systems or Service Providers. There is a requirement for the use of a globally unique VPN identifier in order to be able to refer to a particular VPN (see section 6.1.1 of [1]). This document proposes a format for a globally unique VPN identifier.
仮想プライベートIPネットワークは、複数の自律システムまたはサービスプロバイダにまたがることがあります。特定のVPNを参照できるようにするために、グローバルに一意なVPN識別子を使用するための要件は、([1]のセクション6.1.1を参照)があります。この文書では、グローバルに一意のVPN識別子の形式を提案しています。
As the Public Internet expands and extends its infrastructure globally, the determination to exploit this infrastructure has led to widespread interest in IP based Virtual Private Networks. A VPN emulates a private IP network over public or shared infrastructures. Virtual Private Networks provide advantages to both the Service Provider and its customers. For its customers, a VPN can extend the IP capabilities of a corporate site to remote offices and/or users with intranet, extranet, and dialup services. This connectivity should be achieved at a lower cost to the customer with savings in capital equipment, operations, and services. The Service Provider is able to make better use of its infrastructure and network administration expertise offering IP VPN connectivity and/or services to its customers.
公共のインターネットが拡大し、グローバルインフラストラクチャを拡張したように、このインフラを利用する決意は、IPベースのバーチャル・プライベート・ネットワークで広く関心につながっています。 VPNは公共または共有インフラストラクチャ上でプライベートIPネットワークをエミュレートします。バーチャル・プライベート・ネットワークは、サービスプロバイダと顧客の双方に利点を提供します。その顧客のために、VPNはリモートオフィスおよび/またはイントラネット、エクストラネット、およびダイヤルアップサービスをユーザに企業サイトのIPの機能を拡張することができます。この接続は、資本設備の節約、運用、およびサービスを顧客に低コストで実現する必要があります。サービスプロバイダは、顧客にIP VPN接続および/またはサービスを提供するインフラストラクチャおよびネットワーク管理の専門知識をより有効に活用することができます。
There are many ways in which IP VPN services may be implemented. The IP based VPN framework document [1] identifies four types of VPN to be supported: Virtual Leased Lines, Virtual Private Routed Networks,
IP VPNサービスを実施することができる多くの方法があります。 IPベースのVPNフレームワークドキュメント[1]は、サポートされるVPNの4種類の識別:仮想専用線、仮想プライベートルーティングされたネットワークを、
Virtual Private Dial Networks, and Virtual Private LAN Segments. In addition, numerous drafts and white papers outline methods to be used by Service Providers and/or Service Provider customers to enable this service. Solutions may be customer based or network based. Network based solutions may provide connectivity and services at layer 2 and/or layer 3. The devices involved in enabling the solution may be Customer Premises Equipment (CPE), Service Provider Edge equipment, Service Provider Core equipment, or some combination of these.
仮想プライベートダイヤルネットワーク、および仮想プライベートLANセグメント。また、数多くのドラフトおよびホワイトペーパーは、このサービスを有効にするには、サービスプロバイダおよび/またはサービスプロバイダの顧客が使用する方法を説明します。ソリューションは、顧客ベースまたはネットワークベースのかもしれません。ネットワークベースのソリューションは、レイヤ2および/または層3の顧客宅内機器(CPE)、サービスプロバイダーエッジ機器、サービスプロバイダーのコア機器、またはこれらの組み合わせであってもよいソリューションを可能に関わる機器を接続してサービスを提供することができます。
While the various methods of VPN service implementation are being discussed and debated, there are two points on which there is agreement:
VPNサービス実装の様々な方法が議論され、議論されている間、合意がされた2点があります。
Because a VPN is private, it may use a private address space which may overlap with the address space of another VPN or the Public Internet.
VPNはプライベートなので、それは別のVPNまたは公衆インターネットのアドレス空間と重複してプライベートアドレス空間を使用することができます。
A VPN may span multiple IP Autonomous Systems (AS) or Service Providers.
VPNは、複数のIP自律システム(AS)またはサービスプロバイダにまたがることがあります。
The first point indicates that an IP address only has meaning within the VPN in which it exists. For this reason, it is necessary to identify the VPN in which a particular IP address has meaning, the "scope" of the IP address.
最初のポイントは、IPアドレスだけで、それが存在するVPN内で意味を持っていることを示しています。このため、特定のIPアドレスが意味を持っているVPN、IPアドレスの「スコープ」を特定する必要があります。
The second point indicates that several methods of VPN service implementation may be used to provide connectivity and services to a single VPN. Different service providers may employ different strategies based on their infrastructure and expertise. It is desirable to be able to identify any particular VPN at any layer and at any location in which it exists using the same VPN identifier.
第二点は、VPNサービスの実装のいくつかの方法は、単一のVPNへの接続やサービスを提供するために使用され得ることを示しています。異なるサービスプロバイダは、インフラストラクチャと専門知識に基づいて異なる戦略を採用することができます。任意の層において、それが同じVPN識別子を使用して、存在する任意の位置に任意の特定のVPNを識別できることが望ましいです。
The purpose of a VPN-ID is to identify a VPN. This identifier may be used in various ways depending on the method of VPN service implementation. For example, the VPN-ID may be included:
VPN-IDの目的は、VPNを識別することです。この識別子は、VPNサービスの実装方法に応じて様々な方法で使用することができます。例えば、VPN-IDが含まれていてもよいです。
- In a MIB to configure attributes to a VPN, or to assign a physical or logical access interface to a particular VPN.
- MIBでVPNに属性を設定する、または特定のVPNへの物理的または論理的アクセスインターフェースを割り当てます。
- In a control or data packet, to identify the "scope" of a private IP address and the VPN to which the data belongs.
- コントロールまたはデータパケットでは、プライベートIPアドレスとデータが属するVPNの「スコープ」を識別します。
It is necessary to be able to identify the VPN with which a data packet is associated. The VPN-ID may be used to make this association, either explicitly (e.g. through inclusion of the VPN-ID in an encapsulation header [2]) or implicitly (e.g. through inclusion
データパケットが関連付けられているVPNを識別できることが必要です。 VPN-IDは、明示的または暗黙的に(例えば含めることによって(例えば、カプセル化ヘッダ[2]でVPN-IDを含めることによって)、この関連付けを行うために使用することができます
of the VPN-ID in a ATM signalling exchange [3]). The appropriateness of using the VPN-ID in other contexts needs to be carefully evaluated.
ATMにおけるVPN-IDの交換をシグナリング[3])。他のコンテキストでVPN-IDを使用しての妥当性を慎重に評価する必要があります。
There is another very important function that may be served by the VPN identifier. The VPN identifier may be used to define the "VPN authority" who is responsible for coordinating the connectivity and services employed by that VPN. The VPN authority may be the Private Network administrator or the primary Service Provider. The VPN authority will administer and serve as the main point of contact for the VPN. The authority may outsource some functions and connectivity, set up contractual agreements with the different Service Providers involved, and coordinate configuration, performance, and fault management.
VPN識別子によって提供される別の非常に重要な機能があります。 VPN識別子は、そのVPNによって採用の接続やサービスを調整する責任を負う「VPN権限」を定義するために使用することができます。 VPN権限はプライベートネットワーク管理者またはプライマリサービスプロバイダかもしれません。 VPNの権限は管理およびVPNのための接触の主なポイントとして機能します。当局は、いくつかの機能と接続性を外注関わるさまざまなサービスプロバイダとの契約上の合意を設定し、構成、パフォーマンス、および障害管理を調整することができます。
These functions require a VPN that is global in scope and usable in various solutions. To be a truly global VPN identifier, the format cannot force assumptions about the shared network(s). Conversely, the format should not be defined in such a way as to prohibit use of features of the shared network. It is necessary to note that the same VPN may be identified at different layers of the same shared network, e.g. ATM and IP layers. The same VPN-ID format and value should apply at both layers.
これらの機能は、さまざまなソリューションの適用範囲のグローバルかつ使用可能であるVPNが必要です。真のグローバルVPN識別子であること、フォーマットは、共有ネットワーク(単数または複数)についての仮定を強制することはできません。逆に、フォーマットは、共有ネットワークの機能の使用を禁止するように定義されるべきではありません。例えば、同一のVPNが同じ共有ネットワークの異なる層で識別することができることに留意することが必要ですATMおよびIP層。同じVPN-IDのフォーマット及び値は、両方の層に適用されるべきです。
The methods of VPN-ID usage are beyond the scope of this memo.
VPN-IDの使用方法は、このメモの範囲を超えています。
The VPN Identifier format should meet the following requirements:
VPN識別子の形式は、次の要件を満たす必要があります。
- Provide a globally unique VPN Identifier usable across multiple Service Providers. - Enable support of a non-IP dependent VPN-ID for use in layer 2 VPNs. - Identify the VPN Authority within the VPN Identifier.
- 複数のサービスプロバイダ間で使用可能なグローバルに一意のVPN識別子を提供します。 - レイヤ2つのVPNで使用するための非IP依存VPN-IDのサポートを有効にします。 - VPN識別子内VPN局を識別する。
The global VPN Identifier format is:
グローバルVPN識別子の形式は次のとおりです。
3 octet VPN authority Organizationally Unique Identifier [4]
3オクテットVPN権限組織固有識別子[4]
followed by
に続く
4 octet VPN index identifying VPN according to OUI
OUIに係るVPNを識別する4オクテットVPNインデックス
0 1 2 3 4 5 6 7 8
+-+-+-+-+-+-+-+-+
| VPN OUI (MSB) |
+-+-+-+-+-+-+-+-+
| VPN OUI |
+-+-+-+-+-+-+-+-+
| VPN OUI (LSB) |
+-+-+-+-+-+-+-+-+
|VPN Index (MSB)|
+-+-+-+-+-+-+-+-+
| VPN Index |
+-+-+-+-+-+-+-+-+
| VPN Index |
+-+-+-+-+-+-+-+-+
|VPN Index (LSB)|
+-+-+-+-+-+-+-+-+
The VPN OUI (IEEE 802-1990 Organizationally Unique Identifier) [4] identifies the VPN authority. The VPN authority will serve as the primary VPN administrator. The VPN authority may be the company/organization to which the VPN belongs or a Service Provider that provides the underlying infrastructure using its own and/or other providers' shared networks. The 4 octet VPN Index identifies a particular VPN serviced by the VPN authority.
VPN OUI(IEEE 802から1990組織固有識別子)[4] VPN権限を識別する。 VPNの権限は、プライマリVPNの管理者として機能します。 VPN機関はVPNが所属する会社/団体または独自のおよび/または他のプロバイダの共有ネットワークを使用して基本的なインフラストラクチャを提供し、サービスプロバイダかもしれません。 4オクテットVPNインデックスは、VPN機関がサービスを提供する特定のVPNを識別します。
This document defines the format of the global VPN identifier without specifying usage. However, the association of particular characteristics and capabilities with a VPN identifier necessitates use of standard security procedures with any specified usage. Misconfiguration or deliberate forging of VPN identifier may result different breaches in security including the interconnection of different VPNs.
この文書は、使用を指定せずに、グローバルVPN識別子のフォーマットを定義します。しかし、VPN識別子を有する特定の特性及び機能の関連付けは、任意の指定された用途に標準的なセキュリティ手順の使用を必要とします。 VPN識別子の設定ミスや故意鍛造は異なるVPNの相互接続を含むセキュリティで異なる侵害をもたらすことができます。
[1] Gleeson, Heinanen, Lin, Armitage, Malis, "A Framework for IP Based Virtual Private Networks", Work in Progress.
[1]グリーソン、Heinanen、林、アーミテージ、Malis、「IPベースの仮想プライベートネットワークのための枠組み」は進行中で働いています。
[2] Grossman, D. and J. Heinanen, "Multiprotocol Encapsulation over ATM Adaptation Layer 5", RFC 2684, September 1999.
[2]グロスマン、D.およびJ. Heinanen、RFC 2684、1999年9月 "ATMアダプテーションレイヤ5の上にマルチプロトコルカプセル化"。
[3] "MPOA v1.1 Addendum on VPN Support", ATM Forum, af-mpoa-0129.000, August, 1999, Bernhard Petri, editor, final ballot document.
[3] "VPNサポートのMPOA v1.1の補遺"、ATMフォーラム、AF-MPOA-0129.000、1999年8月、ベルンハルト・ペトリ、エディタ、最終投票文書。
[4] http://standards.ieee.org/regauth/oui/index.html
「4」 hっtp://sたんだrds。いえええ。おrg/れがうth/おうい/いんでx。html
Barbara A. Fox Lucent Technologies 300 Baker Ave, Suite 100 Concord, MA 01742-2168
バーバラ・A.フォックスルーセント・テクノロジーズ300ベーカーアベニュー、スイート100コンコード、マサチューセッツ州01742から2168
Phone: +1-978-287-2843 EMail: barbarafox@lucent.com
電話:+ 1-978-287-2843 Eメール:barbarafox@lucent.com
Bryan Gleeson Nortel Networks 4500 Great America Parkway, Santa Clara, CA 95054
ブライアン・グリーソンNortel Networksの4500グレートアメリカパークウェイ、サンタクララ、カリフォルニア州95054
Phone: +1-408-855-3711 EMail: bgleeson@shastanets.com
電話:+ 1-408-855-3711 Eメール:bgleeson@shastanets.com
Copyright (C) The Internet Society (1999). All Rights Reserved.
著作権(C)インターネット協会(1999)。全著作権所有。
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
この文書とその翻訳は、コピーして他の人に提供し、それ以外についてはコメントまたは派生物は、いかなる種類の制限もなく、全体的にまたは部分的に、準備コピーし、公表して配布することができることを説明したり、その実装を支援することができます、上記の著作権表示とこの段落は、すべてのそのようなコピーや派生物に含まれていることを条件とします。しかし、この文書自体は著作権のための手順はで定義されている場合には、インターネット標準を開発するために必要なものを除き、インターネットソサエティもしくは他のインターネット関連団体に著作権情報や参照を取り除くなど、どのような方法で変更されないかもしれませんインターネット標準化プロセスが続く、または英語以外の言語に翻訳するために、必要に応じなければなりません。
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.
上記の制限は永久で、インターネット学会やその後継者や譲渡者によって取り消されることはありません。
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれている情報は、基礎とインターネットソサエティおよびインターネットエンジニアリングタスクフォースはすべての保証を否認し、明示または黙示、その情報の利用がない任意の保証を含むがこれらに限定されない「として、」上に設けられています特定の目的への権利または商品性または適合性の黙示の保証を侵害します。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。