Network Working Group Y. El Mghazli, Ed.
Request for Comments: 4176 Alcatel
Category: Informational T. Nadeau
Cisco
M. Boucadair
France Telecom
K. Chan
Nortel
A. Gonguet
Alcatel
October 2005
Framework for Layer 3 Virtual Private Networks (L3VPN)
Operations and Management
Status of This Memo
このメモのステータス
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモはインターネットコミュニティのための情報を提供します。それはどんな種類のインターネット標準を指定しません。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2005).
著作権(C)インターネット協会(2005)。
Abstract
抽象
This document provides a framework for the operation and management of Layer 3 Virtual Private Networks (L3VPNs). This framework intends to produce a coherent description of the significant technical issues that are important in the design of L3VPN management solutions. The selection of specific approaches, and making choices among information models and protocols are outside the scope of this document.
この文書では、レイヤ3仮想プライベートネットワーク(L3VPNs)の操作と管理のためのフレームワークを提供します。このフレームワークは、L3VPN管理ソリューションの設計において重要である重要な技術的な問題のコヒーレントな説明を生産する予定。特定のアプローチの選択、情報モデルとプロトコルの間の選択を行うことは、この文書の範囲外です。
Table of Contents
目次
1. Introduction ................................................. 2
1.1. Terminology ............................................ 2
1.2. Management functions ................................... 4
1.3. Reference Models ....................................... 5
2. Customer Service Operations and Management ................... 7
2.1. Customer Service Management Information Model .......... 7
2.2. Customer Management Functions .......................... 8
2.2.1. Fault Management ............................... 8
2.2.2. Configuration Management ....................... 9
2.2.3. Accounting ..................................... 9
2.2.4. Performance Management ......................... 10
2.2.5. Security Management ............................ 10
2.3. Customer Management Functional Description ............. 11
2.3.1. L3VPN Service Offering Management .............. 11
2.3.2. L3VPN Service Order Management ................. 12
2.3.3. L3VPN Service Assurance ........................ 12
3. Provider Network Manager ..................................... 12
3.1. Provider Network Management Definition ................. 12
3.2. Network Management Functions ........................... 13
3.2.1. Fault Management ............................... 13
3.2.2. Configuration Management ....................... 14
3.2.3. Accounting ..................................... 17
3.2.4. Performance Management ......................... 17
3.2.5. Security Management ............................ 17
4. L3VPN Devices ................................................ 18
4.1. Information Model ...................................... 18
4.2. Communication .......................................... 18
5. Security Considerations ...................................... 19
6. Acknowledgements ............................................. 19
7. Normative References ......................................... 19
In this document, the following terms are used and defined as follows:
次のように本書では、以下の用語が使用され、定義されています。
VPN:
VPN:
Virtual Private Network. A set of transmission and switching resources that will be used over a shared infrastructure to process the (IP) traffic that characterizes communication services between the sites or premises interconnected via this VPN. See [RFC4026].
仮想プライベートネットワーク。共有インフラストラクチャ上で使用される伝送及びスイッチングリソースのセットは、このVPNを介して相互接続サイトまたは施設との間の通信サービスを特徴付ける(IP)トラフィックを処理します。 [RFC4026]を参照してください。
L3VPN:
L3VPN:
An L3VPN interconnects sets of hosts and routers based on Layer 3 addresses. See [RFC4026].
L3VPNは、レイヤ3つのアドレスに基づいてホストとルータのセットを相互接続します。 [RFC4026]を参照してください。
VPN Instance:
VPNインスタンス:
From a management standpoint, a VPN instance is the collection of configuration information associated with a specific VPN, residing on a PE router.
管理の観点からは、VPNインスタンスは、PEルータ上に存在する、特定のVPNに関連付けられたコンフィギュレーション情報の集合です。
VPN Site:
VPNサイト:
A VPN customer's location that is connected to the Service Provider network via a CE-PE link, which can access at least one VPN.
少なくとも一つのVPNにアクセスすることができるCE-PEリンクを介してサービスプロバイダーネットワークに接続されたVPN顧客の所在地。
VPN Service Provider (SP):
VPNサービスプロバイダ(SP):
A Service Provider that offers VPN-related services.
VPN関連サービスを提供していますサービスプロバイダー。
VPN Customer:
VPNのお客様:
Refers to a customer that bought VPNs from a VPN service provider.
VPNサービスプロバイダーからVPNを買った顧客を指します。
Customer Agent:
顧客エージェント:
Denotes the entity that is responsible for requesting VPN customer-specific information.
VPNの顧客固有の情報を要求する責任があるエンティティを示します。
Service Level Agreement(SLA):
サービスレベル契約(SLA):
Contractual agreement between the Service Provider and Customer, which includes qualitative and quantitative metrics that define service quality guarantees and retribution procedures when service levels are not being met.
サービスレベルが満たされていない場合に、サービスの品質保証と報復の手順を定義定性的および定量的な指標を含んでいるサービスプロバイダと顧客との間の契約上の合意。
Service Level Specifications (SLS):
サービスレベル仕様(SLS):
Internally-focused service performance specifications used by the Service Provider to manage customer service quality levels.
顧客サービスの品質レベルを管理するために、サービスプロバイダが使用するサービスの性能仕様を内部に焦点を当てました。
For any type of Layer-3 VPN (PE or CE-based VPNs), having a management platform where the VPN-related information could be collected and managed is recommended. The Service and Network Management System may centralize information related to instances of a VPN and allow users to configure and provision each instance from a central location.
VPN関連情報を収集し、管理することができる管理プラットフォームを有するレイヤ3 VPN(PEまたはCEベースのVPN)、任意のタイプのために推奨されています。サービスおよびネットワーク管理システムは、VPNのインスタンスに関する情報を集中管理し、ユーザが中央から各インスタンスを構成およびプロビジョニングすることを可能にします。
An SP must be able to manage the capabilities and characteristics of their VPN services. Customers should have means to ensure fulfillment of the VPN service to which they subscribed. To the extent possible, automated operations and interoperability with standard management protocols should be supported.
SPは、そのVPNサービスの機能や特性を管理することができなければなりません。お客様は、彼らが加入先のVPNサービスの履行を確保するための手段を持っている必要があります。可能な範囲内で、自動化された操作と標準管理プロトコルとの相互運用性をサポートする必要があります。
Two main management functions are identified:
二つの主要な管理機能が識別されます。
A customer service management function:
顧客サービス管理機能:
This function provides the means for a customer to query, configure, and receive (events/alarms) customer-specific VPN service information. Customer-specific information includes data related to contact, billing, site, access network, IP address, routing protocol parameters, etc. It may also include confidential data, such as encryption keys. Several solutions could be used:
この関数は、クエリの設定、および(イベント/アラーム)顧客固有のVPNサービス情報を受信するための顧客のための手段を提供します。顧客固有の情報は、それはまた、暗号化キーなどの機密データを含むことができる等の連絡に関連するデータ、課金、サイト、アクセスネットワーク、IPアドレス、ルーティングプロトコルパラメータを含んでいます。いくつかのソリューションを使用することができます。
* Proprietary network management system
*独自のネットワーク管理システム
* SNMP manager
* SNMPマネージャ
* PDP function
* PDP機能
* Directory service, etc.
*ディレクトリサービスなど
A provider network management function:
プロバイダのネットワーク管理機能:
This function is responsible for planning, building, provisioning, and maintaining network resources in order to meet the VPN service-level agreements outlined in the SLA offered to the customer. This mainly consists of (1) setup and configuration of physical links, (2) provisioning of logical VPN service configurations, and (3) life-cycle management of VPN service, including the addition, modification, and deletion of VPN configurations.
この機能は、計画、構築、プロビジョニング、およびSLAを顧客に提供して概説VPNサービスレベル契約を満たすために、ネットワークリソースを維持する責任があります。これは、主に(1)セットアップ及び物理リンクの構成、論理的なVPNサービス構成の(2)のプロビジョニング、およびVPN設定の追加、変更、削除など、VPNサービス、(3)ライフサイクル管理から成ります。
There may be relationships between the customer service and provider network management functions, as the provider network is managed to support/realize/provide the customer service. One example use of this relationship is to provide the VPN-SLS assurance for verifying the fulfillment of the subscribed VPN agreement.
プロバイダ・ネットワークは、/ /リアライズをサポートして顧客サービスを提供するために管理されているとして、顧客サービスとプロバイダのネットワーク管理機能間の関係があるかもしれません。この関係の一例としての使用は、加入VPN協定の履行を検証するためのVPN-SLSの保証を提供することです。
The ITU-T Telecommunications Management Network has the following generic requirements structure:
ITU-T電気通信管理ネットワークは、次の一般的な要件の構造を有します:
o Engineer, deploy and manage the switching, routing, and transmission resources supporting the service from a network perspective (network element management);
Oエンジニア、ネットワークの観点(ネットワーク要素管理)からのサービスをサポートするスイッチング、ルーティング、および送信リソースを展開し、管理します。
o Manage the VPNs deployed over these resources (network management);
Oこれらのリソース(ネットワーク管理)上に展開VPNを管理します。
o Manage the VPN service (service management);
O VPNサービス(サービス管理)を管理します。
- - - - - - - - - - - - - - - - - - - - - - - -:- - - - - - - - -
Service +-------------+ : +----------+
Management | Service |<------------------:----->| Customer |
Layer | Manager | : | Agent |
+-------------+ : +----------+
- - - - - - - - - - ^ - - - - - - - - - - - - -:- - - - - - - - -
Network | +------------+ :
Management | | Provider | :
Layer | | Network | Customer
+------>| Manager | Interface
+------------+ :
- - - - - - - - - - - - - - - - - ^ - - - - - -:- - - - - - - - -
Network Element | :
Management | +------+ : +------+
Layer | | | : | CE |
+->| PE | : |device|
|device| : | of |
| |--:--|VPN A|
+------+ : +------+
---------------------------------------------->:<----------------
SP network : Customer Network
Figure 1: Reference Model for PE-based L3VPN Management
図1:PEベースのL3VPN管理のための参照モデル
- - - - - - - - - - - - - - - - - - - - - - - -:- - - - - - - - -
Service +-------------+ : +----------+
Management | Service |<------------------:----->| Customer |
Layer | Manager | : | Agent |
+-------------+ : +----------+
- - - - - - - - - - ^ - - - - - - - - - - - - -:- - - - - - - - -
Network | +------------+ :
Management | | Provider | :
Layer | | Network | Customer
+------>| Manager | Interface
+------------+ :
- - - - - - - - - - - - - - - -^- - - -^- - - -:- - - - - - - - -
Network Element | +-------:---------------+
Management | +------+ : +------+ |
Layer | | | : | CE | |
+---->| PE | : |device|<----+
|device| : | of |
| |--:--|VPN A|
+------+ : +------+
---------------------------------------------->:<----------------
SP network : Customer Network
Figure 2: Reference Model for CE-based L3VPN Management
図2:CEベースのL3VPN管理のための参照モデル
Above, Figures 1 and 2 present the reference models for both PE and CE-based L3VPN management, according to the aforementioned generic structure.
上記、PEとCEベースL3VPN管理の両方のための参照モデルは、前述の一般的な構造によれば、1および2本を図。
In both models, the service manager administrates customer-specific attributes, such as customer Identifier (ID), personal information (e.g., name, address, phone number, credit card number, etc.), subscription services and parameters, access control policy information, billing and statistical information, etc.
両方のモデルでは、サービス管理者は、このような顧客識別子など、顧客固有の属性(ID)、個人情報(例えば、名前、住所、電話番号、クレジットカード番号など)、サブスクリプションサービスやパラメータ、アクセス制御ポリシー情報を管理します、課金や統計情報など
In the PE-based reference model, the provider network manager administrates device attributes and their relationships, covering PE devices and other devices that construct the corresponding PE-based VPN.
PEベースのリファレンスモデルでは、プロバイダ・ネットワーク・マネージャは、対応するPEベースのVPNを構築するPEデバイスおよび他のデバイスをカバーする、デバイス属性およびそれらの関係を管理します。
In the CE-based reference model, the provider network manager administrates device attributes and their relationships, covering PE and CE devices that construct the corresponding CE-based VPN.
CEベースのリファレンスモデルでは、プロバイダ・ネットワーク・マネージャは、対応するCEベースのVPNを構築するデバイス属性およびそれらの関係、PEを覆い、CE機器を管理します。
Network and customer service management systems that are responsible for managing VPN networks have several challenges, depending on the type of VPN network(s) they are required to manage.
VPNネットワークの管理を担当するネットワークと顧客サービス管理システムは、それらが管理するのに必要とされるVPNネットワーク(複数可)のタイプに応じて、いくつかの課題があります。
Services offered by providers can be viewed from the customer's or the provider's perspective. This section describes service management from the customer's perspective, focusing on the Customer Management function.
プロバイダが提供するサービスは、顧客のか、プロバイダの視点から見ることができます。このセクションでは、顧客管理機能に焦点を当て、顧客の視点からサービス管理について説明します。
The Customer Management function's goal is to manage the service-based operations like service ordering, service subscription, activation, etc.
顧客管理機能の目標は、サービス等の発注、サービス加入、活性化、などのサービスベースの操作を管理することです
The Customer Management function resides in the L3VPN service manager at the Service Management Layer (SML). It mainly consists of defining the L3VPN services offered by the SP, collecting and consolidating the customer L3VPN services requirements, as well as performing some reporting for the customer. This function is correlated with the Network Management function at the Network Management Layer (NML) for initiating the L3VPN services provisioning, and getting some service reporting.
顧客管理機能は、サービス管理層(SML)でL3VPNサービスマネージャに存在します。これは主に、SPが提供するL3VPNサービスを定義する顧客L3VPNサービスの要件を収集し、統合するだけでなく、顧客のためのいくつかの報告を行って構成されています。この機能は、L3VPNサービスのプロビジョニングを開始し、いくつかのサービスのレポートを取得するためのネットワーク管理レイヤ(NML)でのネットワーク管理機能と相関しています。
This section presents a framework that is used for L3VPN customer service management at the SML. The information framework represents the data that need to be managed, and the way they are represented. At the SML, the information framework that is foreseen is composed of Service Level Agreements (SLA) and Service Level Specifications (SLS).
このセクションでは、SMLでL3VPN顧客サービス管理のために使用されているフレームワークを提示します。情報の枠組みを管理する必要があるデータ、およびそれらが表現される方法を表しています。 SMLでは、予想された情報の枠組みは、サービスレベルアグリーメント(SLA)とサービスレベル仕様(SLS)で構成されています。
Services are described through Service Level Agreements (SLA), which are contractual documents between customers and service providers. The technical part of the service description is called the Service Level Specification (SLS). The SLS groups different kinds of parameters. Some are more related to the description of the transport of the packets, and some to the specification of the service itself.
サービスは、顧客とサービスプロバイダー間の契約文書であるサービスレベル契約(SLA)を介して説明されています。サービス記述の技術的な部分は、サービス・レベル仕様(SLS)と呼ばれています。 SLSグループパラメータの種類。いくつかは、パケットの輸送の説明に複数の関連しており、サービス自体の仕様にいくつか。
A Service Level Specification (SLS) may be defined per access network connection, per VPN, per VPN site, and/or per VPN route. The service provider may define objectives and the measurement intervals, for at least the SLS, using the following Service Level Objective (SLO) parameters:
サービスレベル仕様(SLS)VPNごとに、VPNサイトごとに、および/またはVPNルートごとに、アクセスネットワーク接続ごとに定義することができます。サービスプロバイダは、次のサービスレベル目標(SLO)パラメータを使用して、少なくともSLSのために、目標と測定間隔を定義することができます。
o QoS and traffic parameters
O QoSおよびトラフィックパラメータ
o Availability for the site, VPN, or access connection
Oサイトの入手可能性、VPN、またはアクセス接続
o Duration of outage intervals per site, route, or VPN o Service activation interval (e.g., time to turn up a new site)
サービスのアクティベーション間隔(新しいサイトを上げるために、例えば、時間)〇〇サイトあたりの停電区間の所要時間、ルート、またはVPN
o Trouble report response time interval
Oトラブルレポート応答時間間隔
o Time to repair interval
間隔を修復するには時間がO
o Total incoming/outgoing traffic from a site or a (VPN) route, or that has transited through the whole VPN
Oサイトまたは(VPN)経路からの総着信/発信トラフィック、またはその全体VPNを介して遷移しました
o Measurement of non-conforming incoming/outgoing traffic (compliance of traffic should deserve some elaboration because of many perspectives - security, QoS, routing, etc.) from a site or a (VPN) route, or that has transited through the whole VPN
O非準拠の発信/着信トラフィックの測定(交通のコンプライアンスがあるため、多くの視点のいくつかの精緻化に値する必要があります - セキュリティ、QoSの、ルーティングなど)サイトまたは(VPN)ルートから、またはそれは、全体のVPN経由遷移しました
The service provider and the customer may negotiate contractual penalties in the case(s) where the provider does not meet a (set of) SLS performance objective(s).
プロバイダはSLS性能目標(S)(のセット)を満たしていない場合、サービスプロバイダと顧客は、ケース(S)での契約上の罰則を交渉することができます。
Traffic parameters and actions should be defined for incoming and outgoing packets that go through the demarcation between the service provider premises and the customer's premises. For example, traffic policing functions may be activated at the ingress of the service provider's network, while traffic shaping capabilities could be activated at the egress of the service provider's network.
トラフィックパラメータとアクションは、サービスプロバイダの構内や顧客の構内の間の境界を通過し、着信と発信パケットのために定義する必要があります。トラフィックシェーピング機能は、サービスプロバイダのネットワークの出口で活性化することができながら、例えば、トラフィックポリシング機能は、サービスプロバイダのネットワークの入口で活性化させることができます。
This section presents detailed customer management functions in the traditional fault, configuration, accounting, performance, and security (FCAPS) management categories.
このセクションでは、伝統的な障害、設定、アカウンティング、パフォーマンス、およびセキュリティ(FCAPS)管理カテゴリに詳細な顧客管理機能を提供します。
The fault management function of the Customer Service Manager relies upon the manipulation of network layer failure information, and it reports incidents to the impacted customers. Such reports should be based upon and related to the VPN service offering to which the customer is subscribed. The Customer Management function support for fault management includes:
カスタマーサービスマネージャーの障害管理機能は、ネットワーク層の障害情報の操作に依存し、それが影響を受けた顧客にインシデントを報告します。このようなレポートは、に基づいて、顧客が購読しているVPNサービスの提供に関連する必要があります。障害管理のための顧客管理機能のサポートが含まれています:
o Indication of customer's services impacted by failure
O顧客サービスの表示は、障害によって影響を受け
o Incident recording or logs
Oインシデントの記録やログ
o Frequency of tests
テストのO頻度
o Ability to invoke probes from the customer and provider o Ability to uncover faults before the customer notices them
顧客がそれらに気づく前に障害を発見するために、O、顧客からのプローブを起動する機能と、プロバイダO能力
The configuration management function of the Customer Manager must be able to configure L3VPN service parameters with the level of detail that the customer is able to specify, according to service templates defined by the provider.
顧客マネージャの構成管理機能は、プロバイダによって定義されたサービステンプレートに基づいて、顧客が指定することが可能であることを詳細レベルでL3VPNサービスパラメータを設定することができなければなりません。
A service template contains fields which, when instantiated, yield a definite service requirement or policy. For example, a template for an IPsec tunnel [RFC2401] would contain fields such as tunnel end points, authentication modes, encryption and authentication algorithms, shared keys (if any), and traffic filters.
サービステンプレートは、インスタンス化する場合、明確なサービス要件や方針をもたらすのフィールドが含まれています。例えば、IPsecトンネル[RFC2401]のためのテンプレートは、トンネルエンドポイント、認証モード、暗号化および認証アルゴリズム、共有キー(もしあれば)、およびトラフィックフィルタなどのフィールドを含むであろう。
Other examples: a BGP/MPLS-based VPN service template would contain fields such as the customer premises that need to be interconnected via the VPN, and a QoS agreement template would contain fields such as one-way transit delay, inter-packet delay variation, throughput, and packet loss thresholds.
その他の例:BGP / MPLSベースのVPNサービステンプレートは、VPNを介して相互接続する必要がある顧客施設などのフィールドを含むことになり、およびQoS契約テンプレートは、このような一方向通過遅延、パケット間の遅延変動などのフィールドが含まれます、スループット、パケット損失のしきい値。
The accounting management function of the Customer Manager is provided with network layer measurements information and manages this information. The Customer Manager is responsible for the following accounting functions:
顧客マネージャの会計管理機能は、ネットワーク層の測定情報を提供し、この情報を管理しています。顧客マネージャは、次の会計機能を担当します。
o Retrieval of accounting information from the Provider Network Manager
プロバイダーネットワークマネージャから会計情報のO検索
o Analysis, storage, and administration of measurements
測定のO分析、保存、および投与
Some providers may require near-real time reporting of measurement information, and may offer this as part of a customer network management service.
一部のプロバイダは、測定情報のほぼリアルタイムのレポートを必要とするかもしれない、と顧客のネットワーク管理サービスの一部としてこれを提供することがあります。
If an SP supports "Dynamic Bandwidth Management" service, then the schedule and the amount of the bandwidth required to perform requested bandwidth allocation change(s) must be traceable for monitoring and accounting purposes.
SPは、「動的帯域幅管理」サービスをサポートしている場合は、スケジュールと要求された帯域幅の割り当て変更(複数可)を実行するために必要な帯域幅の量を監視し、会計の目的のためにトレーサブルでなければなりません。
Solutions should state compliance with accounting requirements, as described in section 1.7 of [RFC2975].
[RFC2975]のセクション1.7で説明したようにソリューションは、会計上の要件の遵守を明記してください。
From the Customer Manager's perspective, performance management includes functions involved in the determination of the conformance level with the Service Level Specifications, such as QoS and availability measurements. The objective is to correlate accounting information with performance and fault management information to produce billing that takes into account SLA provisions for periods of time where the service level objectives are not met.
顧客マネージャの視点から、パフォーマンス管理は、QoSや可用性の測定などのサービスレベルの仕様との適合レベルの決意に関わる機能を含んでいます。目的のアカウントにサービスレベル目標が満たされていない時間の期間のSLAの規定を取る課金を生成するために、パフォーマンスと障害管理情報とアカウンティング情報を相関させることです。
The performance information should reflect the quality of the subscribed VPN service as perceived by the customer. This information could be measured by the provider or controlled by a third party. The parameters that will be used to reflect the performance level could be negotiated and agreed upon between the service provider and the customer during the VPN service negotiation phase.
顧客によって知覚されるパフォーマンス情報は、加入VPNサービスの品質を反映する必要があります。この情報は、プロバイダによって測定された第三者によって制御することができました。パフォーマンスレベルを反映するために使用されるパラメータがネゴシエートおよびVPNサービスネゴシエーションフェーズ中に、サービスプロバイダと顧客との間で合意することができます。
Performance management should also support analysis of important aspects of an L3VPN, such as bandwidth utilization, response time, availability, QoS statistics, and trends based on collected data.
パフォーマンス管理はまた、収集されたデータに基づいて、このような帯域幅の使用率、応答時間、可用性、QoS統計、およびトレンドなどL3VPNの重要な側面の分析をサポートする必要があります。
From the Customer Manager's perspective, the security management function includes management features to guarantee the security of the VPN. This includes security of devices, configuration data, and access connections. Authentication and authorization (access control) also fall into this category.
顧客マネージャの観点から、セキュリティ管理機能は、VPNのセキュリティを保証するための管理機能が含まれています。これは、デバイス、構成データ、およびアクセス接続のセキュリティが含まれています。認証および承認(アクセス制御)もこのカテゴリーに分類されます。
Management access control determines the privileges that a user has for particular applications and parts of the network. Without such control, only the security of the data and control traffic is protected (leaving the devices providing the L3VPN network unprotected) among other equipment or resources. Access control capabilities protect these devices to ensure that users have access to only those resources and applications they are granted to use.
管理アクセス制御は、ユーザーが特定のアプリケーションやネットワークの部分のために持っている権限を決定します。このような制御がなければ、データおよび制御トラフィックの唯一のセキュリティは、他の機器やリソース間(デバイス保護されていないL3VPNネットワークを提供を残して)保護されています。アクセス制御機能は、ユーザーがそれらを使用することを許可されるのみリソースやアプリケーションへのアクセス権を持っていることを確認するために、これらのデバイスを保護します。
Authentication is the process of verifying the identity of a VPN user.
認証はVPNユーザの身元を確認するプロセスです。
This section provides a high-level example of an architecture for the L3VPN management framework, with regard to the SML layer. The goal is to map the customer management functions described in Section 2.2 to architectural yet functional blocks, and to describe the communication with the other L3VPN management functions.
このセクションでは、SMLの層に関して、L3VPN管理フレームワークのためのアーキテクチャの高レベルの例を提供します。目標は、建築まだ機能ブロックにセクション2.2に記載の顧客管理機能をマッピングするために、および他のL3VPN管理機能との通信を記述することです。
+ - - - - - - - - - - - - - - - - - - - - - - - - - +
| Service +----------------+ +----------------+ |
| Management | VPN Offering| | VPN Order | |
| | Management | | Management | |
| +----------------+ +----------------+ |
| +----------------+ +----------------+ |
| | VPN | | VPN-based | |
| | Assurance | | SLS Management | |
| +----------------+ +----------------+ |
+ - - - - - - - - - - - - - - - - - - - - - - - - - +
Figure 3: Overview of the Service Management
図3:サービス管理の概要
A customer must have a means to view the topology, operational state, order status, and other parameters associated with the VPN service offering that has been subscribed.
顧客は、トポロジ、動作状態、注文状況、およびサブスクライブされたVPNサービスの提供に関連する他のパラメータを表示する手段を持っている必要があります。
All aspects of management information about CE devices and customer attributes of an L3VPN, manageable by a SP, should be capable of being configured and maintained by an authenticated, authorized Service manager.
CEデバイスとL3VPNの顧客属性に関する管理情報のすべての側面は、SPで管理、認証され、認可サービスマネージャによって設定され、維持されることが可能でなければなりません。
A customer agent should be able to make dynamic requests for changing the parameters that describe a service. A customer should be able to receive responses from the SP network in response to these requests (modulo the existence of necessary agreements). Communication between customer Agents and (VPN) service providers will rely upon a query/response mechanism.
顧客エージェントは、サービスを記述するパラメータを変更するための動的な要求を行うことができるはずです。顧客は、これらの要求(必要に応じて契約の存在を法)に応じて、SPネットワークからの応答を受信することができるはずです。顧客のエージェントと(VPN)サービスプロバイダ間の通信は、クエリ/応答メカニズムに依存します。
A customer who may not be able to afford the resources to manage its CPEs should be able to outsource the management of the VPN to the service provider(s) supporting the network.
自らのCPEを管理するためのリソースを買う余裕することができないかもしれない顧客がネットワークをサポートするサービスプロバイダ(複数可)にVPNの管理を外部委託することができるはずです。
Hopefully, the deployment of a VPN addresses customers' requirements. Thus, the provider must have the means to advertise the VPN-based services it offers. Then, the potential customers could select the service to which they want to subscribe. Additional features could be associated to this subscription phase, such as the selection of a level of quality associated to the delivery of the VPN service, the level of management of the VPN service performed by the SP, security options, etc.
うまくいけば、VPNの展開は、顧客の要件に対応しています。したがって、プロバイダはそれが提供するVPNベースのサービスを宣伝するための手段を持っている必要があります。その後、潜在的な顧客は、彼らがサブスクライブしたいサービスを選択することができます。その他の機能は、このようなVPNサービス、SPによって実行されるVPNサービスの管理レベルの配信に関連する品質のレベルの選択として、このサブスクリプションのフェーズに関連付けることができ、セキュリティオプションなど
This operation aims at managing the requests initiated by the customers and tracks the status of the achievement of the related operations. The activation of the orders is conditioned by the availability of the resources that meet the customer's requirements with the agreed guarantees (note that it could be a result of a negotiation phase between the customer and the provider).
この操作は、顧客によって開始要求を管理することを目指しおよび関連事業の達成状況を追跡します。注文の活性化が合意された保証と顧客の要件を満たすリソースの可用性によって調整される(それが顧客とプロバイダとの間でネゴシエーションフェーズの結果である可能性があることに注意してください)。
The customer may require the means to evaluate the fulfillment of the contracted SLA with the provider. Thus, the provider should monitor, measure, and provide statistical information to the customer, assuming an agreement between both parties on the measurement methodology, as well as the specification of the corresponding (set of) quality of service indicators.
顧客は、プロバイダと契約SLAの達成を評価するための手段を必要とするかもしれません。したがって、プロバイダは、監視測定、および測定方法に関する両当事者間の合意、ならびに対応する(のセット)の仕様サービスインジケータの質を仮定して、顧客に統計情報を提供すべきです。
When implementing a VPN architecture within a domain (or a set of domains managed by a single SP), the SP must have a means to view the physical and logical topology of the VPN premises, the VPN operational status, the VPN service ordering status, the VPN service handling, the VPN service activation status, and other aspects associated with each customer's VPN.
ドメイン(またはシングルSPで管理されるドメインのセット)内のVPNアーキテクチャを実装する場合、SPはVPN構内の物理的および論理トポロジを表示する手段を持っている必要があり、VPNの動作状態、VPNサービスの注文状況、 VPNサービスの取り扱い、VPNサービスの起動状態、および各顧客のVPNに関連した他の側面。
From a provider's perspective, the management of a VPN service consists mainly of:
プロバイダの観点からは、VPNサービスの管理は、主にで構成されています。
o Managing the customers (the term "customer" denotes a role rather than the end user, thus an SP could be a customer) and end-users in terms of SLA
SLAの面で顧客(用語「顧客」はこれSPは顧客可能性があり、むしろ、エンドユーザーよりも役割を示す)とエンドユーザーを管理するO
o Managing the VPN premises (especially creating, modifying, and deleting operations, editing the related information to a specific link, or supervising the AAA [RFC2903] [RFC2906] operations)
VPN構内の管理O(特に、作成、変更、および動作を削除、特定のリンクに関連する情報を編集、またはAAA [RFC2903]、[RFC2906]の操作を監督)
o Managing the CE-PE links (particularly creating, modifying, and deleting links, editing the related information to a specific VPN)
CE-PEリンク(特に、作成、変更、リンクの削除、特定のVPNに関連した情報を編集)を管理O
o Managing the service ordering, such as Quality of Service, in terms of supported classes of service, traffic isolation, etc.
サービスのサポートされているクラス、トラフィックの分離、などの観点では、このようなサービス品質などのサービスの順序を、管理O
Currently, proprietary methods are often used to manage VPNs. The additional expense associated with operators having to use multiple, proprietary, configuration-related management methods (e.g., Command Line Interface (CLI) languages) to access such systems is not recommended, because it affects the overall cost of the service (including the exploitation costs), especially when multiple vendor technologies (hence multiple expertise) are used to support the VPN service offering. Therefore, devices should provide standards-based interfaces. From this perspective, additional requirements on possible interoperability issues and availability of such standardized management interfaces need to be investigated.
現在、独自の方法は、多くの場合、VPNを管理するために使用されています。それは搾取を含むサービスの全体的なコストを(影響するため、事業者は、複数の、独自の、構成関連の管理方法を使用することに関連する追加費用は(例えば、コマンドラインインタフェース(CLI)の言語)は、このようなシステムにアクセスするには、推奨されませんコスト)、特に複数のベンダーの技術(それゆえ、複数の専門知識は)VPNサービスの提供をサポートするために使用されています。したがって、デバイスは、標準ベースのインターフェースを提供すべきです。このような観点から、可能な相互運用性の問題と、そのような標準化された管理インタフェースの利用可能性に関する追加要件を調査する必要があります。
In addition, there can be internal service provided by the SP for satisfying the customer service requirements. Some of these may include the notion of dynamic deployment of resources for supporting the customer-visible services, high availability service for the customer that may be supported by automatic failure detection, and automatic switchover to back-up VPNs. These are accomplished by inter-working with the FCAPS capabilities of the Provider Network Manager.
加えて、顧客サービスの要件を満たすためのSPによって提供される内部サービスが存在することができます。これらのいくつかは、顧客から見えるサービス、バックアップするためにVPNを自動障害検出、自動切り替えによって支持することができる顧客のための高可用性サービスをサポートするためのリソースの動的な展開の概念を含んでいてもよいです。これらは、プロバイダーのネットワークマネージャのFCAPS機能を備えたインターワーキングによって達成されます。
The Provider Network Manager support for fault management includes:
障害管理のためのプロバイダーネットワークマネージャのサポートが含まれています:
o Fault detection (incidents reports, alarms, failure visualization)
O障害検出(インシデントレポート、アラーム、故障の可視化)
o Fault localization (analysis of alarms reports, diagnostics)
O障害のローカライズ(アラームレポートの分析、診断)
o Corrective actions (data path, routing, resource allocation)
O是正措置(データパス、ルーティング、リソース割り当て)
Since L3VPNs rely upon a common network infrastructure, the Provider Network Manager provides a means to inform the Service Manager about the VPN customers impacted by a failure in the infrastructure. The Provider Network Manager should provide pointers to the related customer configuration information to contribute to the procedures of fault isolation and the determination of corrective actions.
L3VPNsは、共通のネットワークインフラストラクチャに依存しているので、プロバイダーのネットワークマネージャは、インフラの障害の影響を受けVPN顧客に関するサービスマネージャに通知するための手段を提供します。プロバイダーのネットワークマネージャは、障害分離の手続きと対処の決意に貢献し、関連する顧客の設定情報へのポインタを提供する必要があります。
It is desirable to detect faults caused by configuration errors, because these may cause VPN service to fail, or not meet other requirements (e.g., traffic and routing isolation). One approach could be a protocol that systematically checks that all constraints have been taken into account, and that consistency checks have been enforced during the tunnel configuration process.
これらは、VPNサービスが失敗する原因、またはその他の要件(例えば、トラフィックルーティング分離)を満たしていなくてもよいので、設定エラーに起因する故障を検出することが望ましいです。一つのアプローチでは体系的にすべての制約が考慮されており、その整合性チェックは、トンネルの設定プロセス中に適用されていることを確認プロトコルであってもよいです。
A capability that aims at checking IP reachability within a VPN must be provided for diagnostic purposes.
VPN内のIP到達可能性をチェックすることを目指し機能は、診断目的のために提供されなければなりません。
A capability that aims at checking the configuration of a VPN device must be provided for diagnostic purposes.
VPN装置の構成を確認することを目的とする能力は、診断目的のために提供されなければなりません。
The Provider Network Manager must support configuration management capabilities in order to deploy VPNs. To do so, a Provider Network Manager must provide configuration management that provisions at least the following L3VPN components: PE, CE, hierarchical tunnels, access connections, routing, and QoS, as detailed in this section. If access to the Internet is provided, then this option must also be configurable.
プロバイダーネットワークマネージャは、VPNを展開するために、構成管理機能をサポートしている必要があります。そのためには、プロバイダーのネットワークマネージャは、構成管理を提供しなければならないという規定少なくとも次のL3VPNコンポーネント:PE、CE、階層的なトンネル、アクセス接続、ルーティング、およびQoS、このセクションで説明するように。インターネットへのアクセスが提供されている場合、このオプションも設定可能でなければなりません。
Provisioning for adding or removing VPN customer premises should be as automated as possible.
追加またはVPNの顧客宅内を除去するためのプロビジョニングを可能な限り自動化する必要があります。
Finally, the Provider Network Manager must ensure that these devices and protocols are provisioned consistently and correctly. The solution should provide a means for checking whether a service order is correctly provisioned. This would represent one method of diagnosing configuration errors. Configuration errors can arise due to a variety of reasons: manual configuration, intruder attacks, and conflicting service requirements.
最後に、プロバイダーのネットワークマネージャは、これらのデバイスとプロトコルは、一貫して正しくプロビジョニングされていることを確認する必要があります。ソリューションは、サービスの順序が正しくプロビジョニングされているかどうかをチェックするための手段を提供する必要があります。これは、構成エラーを診断する1つの方法を表すことになります。手動設定、侵入者の攻撃、および競合サービス要件:設定エラーは、様々な理由により発生する可能性があります。
Requirements for L3VPN configuration management are:
L3VPN構成管理のための要件は次のとおりです。
o The Provider Network Manager must support configuration of VPN membership.
Oプロバイダーネットワークマネージャは、VPNメンバーシップの設定をサポートしている必要があります。
o The Provider Network Manager should use identifiers for SPs, L3VPNs, PEs, CEs, hierarchical tunnels, and access connections.
Oプロバイダーネットワークマネージャは、SPS、L3VPNs、のPE、CEの、階層的なトンネル、およびアクセス接続のための識別子を使用する必要があります。
o Tunnels must be configured between PE/CE devices. This requires coordination of tunnel identifiers, paths, VPNs, and any associated service information, for example, a QoS service.
Oトンネルは、PE / CEデバイス間で設定されなければなりません。これはトンネル識別子、経路、VPNの、および関連するサービス情報、例えば、QoSサービスの連携を必要とします。
o Routing protocols running between PE routers and CE devices must be configured. For multicast services, multicast routing protocols must also be configurable.
O PEルータとCEデバイス間で実行されているルーティングプロトコルを設定する必要があります。マルチキャストサービスの場合、マルチキャストルーティングプロトコルも設定する必要があります。
o Routing protocols running between PE routers, and between PE and P routers, must also be configured.
PEルータ間、およびPEとPルータ間で実行されているルーティングプロトコルO、さらに構成されなければなりません。
PE-based only:
PEベースのみ:
o Routing protocols running between PE routers and CE devices, if any, must be configured on a per-VPN basis. The Provider Network Manager must support configuration of a CE routing protocol for each access connection.
OルーティングがPEルータとCEデバイス間で実行されているプロトコル、もしあれば、当たり-VPNに基づいて構成されなければなりません。プロバイダーのネットワークマネージャは、各アクセス接続のためのCEルーティングプロトコルの設定をサポートしている必要があります。
o The configuration of a PE-based L3VPN should be coordinated with the configuration of the underlying infrastructure, including Layer 1 and 2 networks that interconnect components of an L3VPN.
O PEベースL3VPNの構成は、レイヤ1及び2つのネットワークL3VPNの相互接続コンポーネントを含む、基礎となるインフラストラクチャの構成に調整されるべきです。
If there is an IGP running within the L3VPN, the Provider Network Manager must provision the related parameters. This includes metrics, capacity, QoS capability, and restoration parameters.
L3VPN、プロバイダーネットワークマネージャの必須の提供に関連するパラメータの範囲内で実行されているIGPがある場合。これはメトリクス、容量、QoSの機能、および復元パラメータを含んでいます。
The Provider Network Manager must provision network access between SP-managed PE and CE equipment.
SP-管理PEおよびCE機器間のプロバイダーネットワークマネージャ必見提供ネットワークアクセス。
When a security service is requested, the Provider Network Manager must provision the entities and associated parameters involved in the provisioning of the service. For example, IPsec services, tunnels, options, keys, and other parameters should be provisioned at either the CE and/or the PE routers. In the case of an intrusion detection service, the filtering and detection rules should be provisioned on a VPN basis.
セキュリティサービスが要求され、プロバイダーのネットワークマネージャの必須の提供エンティティとサービスのプロビジョニングに関与関連するパラメータ。例えば、IPsecのサービス、トンネル、オプション、キー、および他のパラメータは、CE及び/又はPEルータのいずれかでプロビジョニングされるべきです。侵入検出サービスの場合には、フィルタリングおよび検出ルールは、VPNに基づいてプロビジョニングされるべきです。
A service provider should have a means to dynamically provision resources associated with VPN services. For example, in a PE-based service, the number and size of virtual switching and forwarding table instances should be provisioned.
サービスプロバイダは、動的にプロビジョニングリソースがVPNサービスに関連した手段を持っている必要があります。例えば、PEベースのサービスで、仮想スイッチングとフォワーディングテーブルインスタンスの数及び大きさは、プロビジョニングされるべきです。
If an SP supports a "Dynamic Bandwidth Management" service, then the dates, times, amounts, and intervals required to perform requested bandwidth allocation change(s) may be traceable for accounting purposes.
SPは、「動的帯域幅管理」サービスをサポートしている場合は、日付、時間、量、及び間隔は、会計目的のために追跡可能であり、要求帯域幅の割り当て変更(複数可)を実行するために必要。
If an SP supports a "Dynamic Bandwidth Management" service, then the provisioning system must be able to make requested changes within the ranges and bounds specified in the Service Level Specifications. Examples of QoS parameters are the response time and the probability of being able to service such a request.
SPは、「動的帯域幅管理」サービスをサポートしている場合は、プロビジョニングシステムは、サービスレベルの仕様で指定された範囲および範囲内で要求された変更を加えることができなければなりません。 QoSパラメータの例には、応答時間と、そのような要求をサービスすることができるという確率です。
Dynamic VPN resource allocation is crucial to cope with the frequent requests for changes that are expressed by customers (e.g., sites joining or leaving a VPN), as well as to achieve scalability. The PE routers should be able to dynamically assign the VPN resources. This capability is especially important for dial-up and wireless VPN services.
動的VPNリソース割り当ては、顧客(VPNに参加または離脱例えば、サイト)で表される変更の頻繁な要求に対応するため、ならびにスケーラビリティを達成するために重要です。 PEルータは、動的VPNリソースを割り当てることができなければなりません。この機能は、ダイヤルアップおよびワイヤレスVPNサービスのために特に重要です。
An L3VPN service provides controlled access between a set of sites over a common backbone. However, many service providers also offer a range of value-added services, for example: Internet access, firewall services, intrusion detection, IP telephony and IP Centrex, application hosting, backup, etc. It is outside the scope of this document to define if and how these different services interact with the VPN service offering. However, the VPN service should be able to provide access to these various types of value-added services.
L3VPNサービスは、共通のバックボーン上のサイトのセット間の制御されたアクセスを提供します。しかし、多くのサービスプロバイダーはまた、例えば、付加価値サービスの範囲を提供しています:等のインターネットアクセス、ファイアウォールサービス、侵入検知、IPテレフォニーとIPセントレックス、アプリケーションホスティング、バックアップを、それは定義するには、この文書の範囲外であります場合、どのようにこれらの異なるサービスは、VPNサービスの提供と対話します。しかし、VPNサービスは、付加価値サービスのこれらの様々なタイプへのアクセスを提供することができるはずです。
A VPN service should allow the SP to supply the customer with different kinds of well-known IP services (e.g., DNS, NTP, RADIUS, etc.) needed for ordinary network operation and management. The provider should be able to provide IP services to multiple customers from one or many servers.
VPNサービスは、SPは、通常のネットワーク運用管理に必要なよく知られたIPサービス(例えば、DNS、NTP、RADIUSなど)の異なる種類を顧客に供給することを可能にするべきです。プロバイダは、1または多数のサーバから複数の顧客にIPサービスを提供することができるはずです。
A firewall function may be required to restrict access to the L3VPN from the Internet [Y.1311].
ファイアウォール機能は、インターネット[Y.1311]からL3VPNへのアクセスを制限するために必要とされ得ます。
Managed firewalls may be supported on a per-VPN basis, although multiple VPNs will be supported by the same physical device. In such cases, managed firewalls should be provided at the access point(s) of the L3VPN. Such services may be embedded in the CE or PE devices, or implemented in stand-alone devices.
複数のVPNが同じ物理デバイスによってサポートされるが管理ファイアウォールは、毎VPNベースで支持されてもよいです。このような場合には、管理対象ファイアウォールはL3VPNのアクセスポイント(複数可)に提供されるべきです。そのようなサービスは、CEまたはPEデバイスに埋め込まれた、またはスタンドアロンデバイスに実装されてもよいです。
The Provider Network Manager should allow a customer to outsource the management of an IP service to the SP providing the VPN or to a third party.
プロバイダーネットワークマネージャは、顧客がVPNを提供するSPまたは第三者にIPサービスの管理を外部委託できるようにする必要があります。
The management system should support the collection of information necessary for optimal allocation of IP services in response to customers' orders, in correlation with provider-provisioned resources supporting the service.
管理システムは、サービスをサポートしているプロバイダプロビジョニングされたリソースとの相関では、顧客の注文に応じて、IPサービスの最適配分のために必要な情報の収集をサポートする必要があります。
If Internet access is provided, reachability to and from the Internet from/to sites within a VPN should be configurable by an SP. Configuring routing policy to control distribution of VPN routes advertised to the Internet may realize this.
インターネット・アクセスが提供されている場合、VPN内のサイトへ/からインターネットへとから到達可能性は、SPによって設定する必要があります。インターネットにアドバタイズVPNルートの分布を制御するためのルーティングポリシーを設定すると、これを実現してもよいです。
Configuration of interworking L3VPN solutions should also be supported, taking security and end-to-end QoS issues into account.
L3VPNソリューションをインターワーキングの設定も考慮にセキュリティとエンドツーエンドのQoSの問題を取って、サポートされる必要があります。
The Provider Network Manager is responsible for the measurements of resource utilization.
プロバイダーのネットワークマネージャは、リソース使用率の測定を担当しています。
From the Provider Network Manager's perspective, performance management includes functions involved in monitoring and collecting performance data regarding devices, facilities, and services.
プロバイダーネットワークマネージャの観点から、パフォーマンス管理は、監視に関わる機能を備えており、機器、設備、サービスに関するパフォーマンス・データを収集します。
The Provider Network Manager must monitor the devices' behavior to evaluate performance metrics associated with an SLS. Different measurement techniques may be necessary, depending on the service for which an SLA is provided. Example services are QoS, security, multicast, and temporary access. These techniques may be either intrusive or non-intrusive, depending on the parameters being monitored.
プロバイダーネットワークマネージャは、SLSに関連したパフォーマンスメトリックを評価するために、デバイスの動作を監視しなければなりません。異なる測定技術は、SLAが提供されるサービスに応じて、必要であってもよいです。例サービスは、QoS、セキュリティ、マルチキャスト、および一時的にアクセスされています。これらの技術は、監視されるパラメータに応じて、侵入または非侵入いずれであってもよいです。
The Provider Network Manager must also monitor aspects of the VPN that are not directly associated with an SLS, such as resource utilization, status of devices and transmission facilities, as well as control of monitoring resources, such as probes and remote agents at network access points used by customers and mobile users.
プロバイダネットワークマネージャはまた、リソース使用率、装置及び伝送設備の状態、ならびにそのようなネットワークアクセスポイントにプローブとリモートエージェントなどの監視リソースの制御として直接SLSに関連付けられていないVPNの側面を監視しなければなりません顧客やモバイルユーザーによって使用されます。
Devices supporting L3VPN whose level of quality is defined by SLSes should have real-time performance measurements that have indicators and threshold crossing alerts. Such thresholds should be configurable.
レベルの品質のSLSesによって定義される指標やしきい値超過アラートを持っているリアルタイムのパフォーマンス測定を持っている必要がありL3VPNをサポートするデバイス。このようなしきい値は、設定する必要があります。
From the Provider Network Manager's perspective, the security management function of the Provider Network Manager must include management features to guarantee the preservation of the confidentiality of customers' traffic and control data, as described in [RFC3809].
プロバイダーネットワークマネージャの観点からは、プロバイダーのネットワークマネージャのセキュリティ管理機能は、[RFC3809]で説明したように、顧客のトラフィックおよび制御データの機密保持を保証するために管理機能を含める必要があります。
The Provider Network Manager must support standard methods for authenticating users attempting to access VPN services.
プロバイダーのネットワークマネージャは、VPNサービスにアクセスしようとしているユーザを認証するための標準的な方法をサポートしている必要があります。
Scalability is critical, as the number of nomadic/mobile clients is increasing rapidly. The authentication scheme implemented for such deployments must be manageable for large numbers of users and VPN access points.
遊牧/モバイルクライアントの数が急速に増加しているようスケーラビリティは、非常に重要です。このような展開のために実装された認証スキームは、ユーザーやVPNの多数のアクセスポイントのために管理しなければなりません。
Support for strong authentication schemes needs to be supported to ensure the security of both VPN access point-to-VPN access point (PE to PE) and client-to-VPN Access point (CE-to-PE) communications. This is particularly important to prevent VPN access point (VPN AP) spoofing. VPN Access Point Spoofing is the situation where an attacker tries to convince a PE or a CE that the attacker is the VPN Access Point. If an attacker succeeds, then the device will send VPN traffic to the attacker (who could forward it on to the actual (and granted) access point after compromising confidentiality and/or integrity).
強力な認証方式のサポートは、両方のVPNアクセスポイントツーVPNアクセスポイント(PEへPE)とクライアントとVPNアクセスポイント(CEツーPE)通信のセキュリティを確保するためにサポートされる必要があります。これは、VPNアクセスポイント(AP VPN)スプーフィングを防止することが特に重要です。 VPNアクセスポイントスプーフィング攻撃者がPEまたは攻撃者がVPNアクセスポイントであるCEを説得しようとする状況です。攻撃が成功した場合、デバイスは(機密性および/または完全性を損なう後)は、実際の(と許可されたアクセスポイントにそれを転送することができ)、攻撃者にVPNトラフィックを送信します。
In other words, a non-authenticated VPN AP can be spoofed with a man-in-the-middle attack, because the endpoints rarely verify each other. A weakly authenticated VPN AP may be subject to such an attack. However, strongly authenticated VPN APs are not subject to such attacks, because the man-in-the-middle cannot authenticate as the real AP, due to the strong authentication algorithms.
エンドポイントはほとんどお互いを確認していないため、他の言葉では、非認証VPN APは、man-in-the-middle攻撃を詐称することができます。弱い認証VPN APは、そのような攻撃を受ける可能性があります。しかし、強力なman-in-the-middleが強い認証アルゴリズムに、実際のAPとして認証することはできませんので、VPN APは、このような攻撃の対象にはなりません認証されました。
Each L3VPN solution must specify the management information (MIBs, PIBs, XML schemas, etc.) for network elements involved in L3VPN services. This is an essential requirement in network provisioning. The approach should identify any L3VPN-specific information not contained in a standards track MIB module.
各L3VPNソリューションは、L3VPNサービスに関与するネットワーク要素のための管理情報(MIBの、のPIB、XMLスキーマなど)を指定する必要があります。これは、ネットワーク・プロビジョニングでは必須の要件です。アプローチは、標準トラックMIBモジュールに含まれていない任意L3VPN固有の情報を識別すべきです。
The deployment of a VPN may span a wide range of network equipment, potentially including equipment from multiple vendors. Therefore, the provisioning of a unified network management view of the VPN shall be simplified by means of standard management interfaces and models. This will also facilitate customer self-managed (monitored) network devices or systems.
VPNの展開は、潜在的に複数のベンダからの装置を含む、ネットワーク機器の広い範囲に及ぶことができます。したがって、VPNの統合ネットワーク管理ビューのプロビジョニングは、標準的な管理インタフェース及びモデルによって簡略化されなければなりません。これは、顧客の自己管理(監視対象)ネットワーク機器やシステムを容易にするであろう。
In cases where significant configuration is required whenever a new service is to be provisioned, it is important, for scalability reasons, that the NMS provides a largely automated mechanism for the relevant configuration operations. Manual configuration of VPN services (i.e., new sites, or re-provisioning existing ones) could lead to scalability issues, and should be avoided. It is thus important for network operators to maintain visibility of the complete picture of the VPN through the NMS system. This should be achieved by using standards track protocols such as SNMP. Use of proprietary command-line interfaces is not recommended.
重要な構成は、新しいサービスをプロビジョニングするときはいつでも必要とされる場合には、NMSは、関連する設定操作のための大部分が自動化されたメカニズムを提供することを、スケーラビリティの理由のために、重要です。 VPNサービス(すなわち、新しいサイト、または再プロビジョニング既存のもの)の手動設定は、スケーラビリティの問題につながる可能性があり、避けるべきです。ネットワークオペレータはNMSシステムを通じてVPNの全体像の可視性を維持することがことが重要です。これは、SNMPなどの標準トラックプロトコルを使用することによって達成されなければなりません。独自のコマンドライン・インタフェースの使用は推奨されません。
This document describes a framework for L3VPN Operations and Management. Although this document discusses and addresses some security concerns in Section 2.2.5 and Section 3.2.5 above, it does not introduce any new security concerns.
この文書では、L3VPN運用と管理のためのフレームワークについて説明します。この文書は説明し、2.2.5項および上記セクション3.2.5でいくつかのセキュリティ問題に対処しますが、それはどんな新しいセキュリティ上の懸念を導入していません。
Special Thanks to Nathalie Charton, Alban Couturier, Christian Jacquenet, and Harmen Van Der Linde for their review of the document and their valuable suggestions.
ドキュメントの彼らのレビューと貴重な提案のためナタリーCharton、アルバン・クチュリエ、クリスチャンJacquenet、およびハーメンファンデルリンデに感謝します。
[RFC2975] Aboba, B., Arkko, J., and D. Harrington, "Introduction to Accounting Management", RFC 2975, October 2000.
[RFC2975] Aboba、B.、Arkko、J.、およびD.ハリントン、 "会計管理の概要"、RFC 2975、2000年10月。
[RFC2401] Kent, S. and R. Atkinson, "Security Architecture for the Internet Protocol", RFC 2401, November 1998.
[RFC2401]ケント、S.とR.アトキンソン、 "インターネットプロトコルのためのセキュリティー体系"、RFC 2401、1998年11月。
[RFC2903] de Laat, C., Gross, G., Gommans, L., Vollbrecht, J., and D. Spence, "Generic AAA Architecture", RFC 2903, August 2000.
[RFC2903]デLAAT、C.、グロス、G.、Gommans、L.、Vollbrecht、J.、およびD.スペンス、 "汎用AAAアーキテクチャ"、RFC 2903、2000年8月。
[RFC2906] Farrell, S., Vollbrecht, J., Calhoun, P., Gommans, L., Gross, G., de Bruijn, B., de Laat, C., Holdrege, M., and D. Spence, "AAA Authorization Requirements", RFC 2906, August 2000.
[RFC2906]ファレル、S.、Vollbrecht、J.、カルフーン、P.、Gommans、L.グロス、G.、Bruijnグラフ、B.、デLAAT、C.、ホールドレッジ、M.、およびD.スペンスデ"AAA許可の要件"、RFC 2906、2000年8月。
[RFC3809] Nagarajan, A., "Generic Requirements for Provider Provisioned Virtual Private Networks (PPVPN)", RFC 3809, June 2004.
[RFC3809] Nagarajan、A.、 "プロバイダプロビジョニングされた仮想プライベートネットワーク(PPVPN)のための一般的要件"、RFC 3809、2004年6月。
[RFC4026] Andersson, L. and T. Madsen, "Provider Provisioned Virtual Private Network (VPN) Terminology", RFC 4026, March 2005.
[RFC4026]アンデションとL.とT.マドセン、 "プロバイダーのプロビジョニングされた仮想プライベートネットワーク(VPN)用語"、RFC 4026、2005月。
[Y.1311] ITU, "Network-based IP VPN over MPLS architecture", ITU-T Y.1311.1, 2001.
[Y.1311] ITU、 "ネットワークベースのIP VPN MPLSアーキテクチャ上"、ITU-T Y.1311.1、2001。
Authors' Addresses
著者のアドレス
Yacine El Mghazli (Editor) Alcatel Route de Nozay Marcoussis 91460 France
エルYacine Mghazli(編集)アルカテルルートドゥNozay 91460 Marcoussisフランス
EMail: yacine.el_mghazli@alcatel.fr
メールアドレス:yacine.el_mghazli@alcatel.fr
Thomas D. Nadeau Cisco Systems, Inc. 300 Beaver Brook Road Boxborough, MA 01719
トーマスD.ナドー、シスコシステムズ、株式会社300ビーバーブルック・ロードボックスボロー、MA 01719
Phone: +1-978-936-1470 EMail: tnadeau@cisco.com
電話:+ 1-978-936-1470 Eメール:tnadeau@cisco.com
Mohamed Boucadair France Telecom 42, rue des Coutures Caen 14066 France
モハメド・Boucadairフランステレコム42、RUE DES Coutures 14066カーンフランス
EMail: mohamed.boucadair@francetelecom.com
メールアドレス:mohamed.boucadair@francetelecom.com
Kwok Ho Chan Nortel Networks 600 Technology Park Drive Billerica, MA 01821 USA
クォックホーチャンNortel Networksの600テクノロジーパークドライブビレリカ、MA 01821 USA
EMail: khchan@nortel.com
メールアドレス:khchan@nortel.com
Arnaud Gonguet Alcatel Route de Nozay Marcoussis 91460 France
アルノーGonguetアルカテルルートドゥNozay 91460 Marcoussisフランス
EMail: arnaud.gonguet@alcatel.fr
メールアドレス:arnaud.gonguet@alcatel.fr
Full Copyright Statement
完全な著作権声明
Copyright (C) The Internet Society (2005).
著作権(C)インターネット協会(2005)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書では、BCP 78に含まれる権利と許可と制限の適用を受けており、その中の記載を除いて、作者は彼らのすべての権利を保有します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれている情報は、基礎とCONTRIBUTOR「そのまま」、ORGANIZATION HE / SHEが表すまたはインターネットソサエティおよびインターネット・エンジニアリング・タスク・フォース放棄すべての保証、明示または、(もしあれば)後援ISに設けられています。黙示、情報の利用は、特定の目的に対する権利または商品性または適合性の黙示の保証を侵害しない任意の保証含むがこれらに限定されません。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、本書またはそのような権限下で、ライセンスがたりないかもしれない程度に記載された技術の実装や使用に関係すると主張される可能性があります任意の知的財産権やその他の権利の有効性または範囲に関していかなる位置を取りません利用可能です。またそれは、それがどのような権利を確認する独自の取り組みを行ったことを示すものでもありません。 RFC文書の権利に関する手続きの情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IPRの開示のコピーが利用できるようにIETF事務局とライセンスの保証に行われた、または本仕様の実装者または利用者がそのような所有権の使用のための一般的なライセンスまたは許可を取得するために作られた試みの結果を得ることができますhttp://www.ietf.org/iprのIETFのオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、その注意にこの標準を実装するために必要とされる技術をカバーすることができる任意の著作権、特許または特許出願、またはその他の所有権を持ってすべての利害関係者を招待します。 ietf-ipr@ietf.orgのIETFに情報を記述してください。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。