Internet Engineering Task Force (IETF) A. Kobayashi
Request for Comments: 6183 NTT
Updates: 5470 B. Claise
Category: Informational Cisco Systems, Inc.
ISSN: 2070-1721 G. Muenz
TU Muenchen
K. Ishibashi
NTT
April 2011
IP Flow Information Export (IPFIX) Mediation: Framework
Abstract
抽象
This document describes a framework for IP Flow Information Export (IPFIX) Mediation. This framework extends the IPFIX reference model specified in RFC 5470 by defining the IPFIX Mediator components.
この文書では、IPフロー情報のエクスポート(IPFIX)調停のためのフレームワークについて説明します。このフレームワークは、IPFIXメディエータ・コンポーネントを定義することによって、RFC 5470で指定されたIPFIX参照モデルを拡張します。
Status of This Memo
このメモのステータス
This document is not an Internet Standards Track specification; it is published for informational purposes.
このドキュメントはインターネット標準化過程仕様ではありません。それは、情報提供の目的のために公開されています。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.
このドキュメントはインターネットエンジニアリングタスクフォース(IETF)の製品です。これは、IETFコミュニティの総意を表しています。これは、公開レビューを受けており、インターネットエンジニアリング運営グループ(IESG)によって公表のために承認されています。 IESGによって承認されていないすべての文書がインターネットStandardのどんなレベルの候補です。 RFC 5741のセクション2を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc6183.
このドキュメントの現在の状態、任意の正誤表、そしてどのようにフィードバックを提供するための情報がhttp://www.rfc-editor.org/info/rfc6183で取得することができます。
Copyright Notice
著作権表示
Copyright (c) 2011 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(C)2011 IETF信託とドキュメントの作成者として特定の人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書では、BCP 78と、この文書の発行日に有効なIETFドキュメント(http://trustee.ietf.org/license-info)に関連IETFトラストの法律の規定に従うものとします。彼らは、この文書に関してあなたの権利と制限を説明するように、慎重にこれらの文書を確認してください。コードコンポーネントは、トラスト法規定のセクションで説明4.eおよび簡体BSDライセンスで説明したように、保証なしで提供されているよう簡体BSDライセンスのテキストを含める必要があり、この文書から抽出されました。
Table of Contents
目次
1. Introduction ....................................................3
2. Terminology and Definitions .....................................3
3. IPFIX/PSAMP Documents Overview ..................................6
3.1. IPFIX Documents Overview ...................................6
3.2. PSAMP Documents Overview ...................................6
4. IPFIX Mediation Reference Model .................................7
5. IPFIX Mediation Functional Blocks ..............................12
5.1. Collecting Process ........................................12
5.2. Exporting Process .........................................13
5.3. Intermediate Process ......................................13
5.3.1. Data Record Expiration .............................14
5.3.2. Specific Intermediate Processes ....................14
6. Component Combination ..........................................20
6.1. Data-Based Collector Selection ............................20
6.2. Flow Selection and Aggregation ............................21
6.3. IPFIX File Writer/Reader ..................................22
7. Encoding for IPFIX Message Header ..............................22
8. Information Model ..............................................24
9. Security Considerations ........................................24
9.1. Avoiding Security Level Downgrade .........................25
9.2. Avoiding Security Level Upgrade ...........................25
9.3. Approximating End-to-End Assertions for IPFIX Mediators ...26
9.4. Multiple Tenancy ..........................................26
10. References ....................................................27
10.1. Normative References .....................................27
10.2. Informative References ...................................27
11. Acknowledgements ..............................................29
The IP Flow Information Export (IPFIX) architectural components in [RFC5470] consist of IPFIX Devices and IPFIX Collectors communicating using the IPFIX protocol. Due to the sustained growth of IP traffic in heterogeneous network environments, this Exporter-Collector architecture may lead to scalability problems. In addition, it does not provide the flexibility required by a wide variety of measurement applications. A detailed descriptions of these problems is given in [RFC5982].
[RFC5470]でIPフロー情報エクスポート(IPFIX)アーキテクチャコンポーネントはIPFIXプロトコルを使用して通信IPFIXデバイスとIPFIXコレクターから成ります。異種ネットワーク環境におけるIPトラフィックの持続的な成長に、この輸出・コレクター・アーキテクチャは、スケーラビリティの問題につながる可能性があります。また、測定、多種多様なアプリケーションで必要な柔軟性を提供していません。これらの問題の詳細な説明は[RFC5982]に記載されています。
To fulfill application requirements with limited system resources, the IPFIX architecture needs to introduce an intermediate entity between Exporters and Collectors. From a data manipulation point of view, this intermediate entity may provide the aggregation, correlation, filtering, and modification of Flow Records and/or Packet Sampling (PSAMP) Packet Reports to save measurement system resources and to perform preprocessing tasks for the Collector. From a protocol conversion point of view, this intermediate entity may provide conversion into IPFIX, or conversion of IPFIX transport protocols (e.g., from UDP to the Stream Control Transmission Protocol (SCTP)) to improve the export reliability.
限られたシステムリソースとアプリケーション要件を満たすために、IPFIXアーキテクチャは、輸出とコレクターの間の中間エンティティを導入する必要があります。ビューのデータ操作の観点から、この中間エンティティは、測定システムリソースを節約するフローレコードおよび/またはパケットサンプリング(PSAMP)パケットレポートの集約、相関、フィルタリング、および修正を提供してもよいし、コレクタの前処理タスクを実行します。ビューのプロトコル変換点から、この中間エンティティは、エクスポート信頼性を向上させるためにIPFIXへの変換、またはIPFIXトランスポートプロトコル(例えば、UDPからストリーム制御伝送プロトコル(SCTP)へ)の変換を提供してもよいです。
This document introduces a generalized concept for such intermediate entities and describes the high-level architecture of IPFIX Mediation, key IPFIX Mediation architectural components, and characteristics of IPFIX Mediation.
この文書では、このような中間エンティティの一般的な概念を導入し、IPFIX仲介、キーIPFIX仲介アーキテクチャコンポーネントの高レベルのアーキテクチャを説明し、そしてIPFIX仲介の特性。
This document is structured as follows: Section 2 describes the terminology used in this document, Section 3 gives an IPFIX/PSAMP document overview, Section 4 describes a high-level reference model, Section 5 describes functional features related to IPFIX Mediation, Section 6 describes combinations of components along with some application examples, Section 7 describes consideration points of the encoding for IPFIX Message Headers, Section 8 describes the Information Elements used in an IPFIX Mediator, and Section 9 describes the security issues raised by IPFIX Mediation.
次のようにこのドキュメントが構成されている:第2節は、この文書で使用される用語を説明し、第3 IPFIX / PSAMP文書概要を示し、第4節では、高レベルの参照モデルを説明し、第5節は、IPFIX調停に関する機能的特徴を説明し、セクション6は、説明しますいくつかの適用例とともに成分の組み合わせ、セクション7は、セクション8はIPFIXメディエータで使用される情報要素について説明し、セクション9は、IPFIX仲介によって発生セキュリティ問題について説明し、IPFIXメッセージヘッダーの符号化の考慮点を記載しています。
The IPFIX-specific and PSAMP-specific terminology used in this document is defined in [RFC5101] and [RFC5476], respectively. The IPFIX-Mediation-specific terminology used in this document is defined in [RFC5982]. However, as reading the problem statements document is not a prerequisite to reading this framework document, the definitions have been reproduced here along with additional definitions. In this document, as in [RFC5101] and [RFC5476], the first letter of each IPFIX-specific and PSAMP-specific term is capitalized along with the IPFIX-Mediation-specific terms defined here. The use of the terms "must", "should", and "may" in this document is informational only.
この文書で使用IPFIX特異的およびPSAMP固有の用語は、それぞれ、[RFC5101]及び[RFC5476]で定義されています。この文書で使用IPFIX-仲介固有の用語は[RFC5982]で定義されています。問題文の文書を読むことは、このフレームワークの文書を読むための前提条件ではありませんしかし、定義が追加の定義と一緒にここに再現されています。この文書では、[RFC5101]及び[RFC5476]、各IPFIX特異的およびPSAMP固有の用語の最初の文字とは、ここで定義されたIPFIX-仲介固有の用語と一緒に大文字にされます。用語「必見」の使用は、「べき」、および本文書に情報提供のみである「こと」。
In this document, we use the term "record stream" to mean a stream of records carrying flow-based or packet-based information. The records may be encoded as IPFIX Data Records or in any other format.
この文書では、我々は、フローベースまたはパケットベースの情報を運ぶレコードのストリームを意味する用語「レコードストリーム」を使用します。レコードは、IPFIXデータレコードとして、または任意の他の形式でエンコードされてもよいです。
Transport Session Information
交通セッション情報
The Transport Session Information contains information that allows the identification of an individual Transport Session as defined in [RFC5101]. If SCTP is used as transport protocol, the Transport Session Information identifies the SCTP association. If TCP or UDP is used as transport protocol, the Transport Session Information corresponds to the 5-tuple {Exporter IP address, Collector IP address, Exporter transport port, Collector transport port, transport protocol}. The Transport Session Information may include further details about how Transport Layer Security (TLS) [RFC5246] or Datagram Transport Layer Security (DTLS) [RFC4347] is used for encryption and authentication.
トランスポートセッション情報は、[RFC5101]で定義されるように、個々のトランスポートセッションの識別を可能にする情報を含んでいます。 SCTPがトランスポートプロトコルとして使用されている場合は、交通セッション情報は、SCTPアソシエーションを識別します。 TCPまたはUDPをトランスポートプロトコルとして使用される場合、トランスポートセッション情報は、5タプル{輸出IPアドレス、コレクタIPアドレス、輸出輸送ポート、コレクタ搬送ポート、トランスポートプロトコル}に対応します。交通セッション情報は、トランスポート層セキュリティ(TLS)[RFC5246]またはデータグラムトランスポート層セキュリティ(DTLS)[RFC4347]は、暗号化と認証のために使用される方法についての詳細を含むことができます。
Original Exporter
オリジナル輸出業者
An Original Exporter is an IPFIX Device that hosts the Observation Points where the metered IP packets are observed.
オリジナル輸出業者は、計量されたIPパケットが観測される観測ポイントをホストするIPFIXデバイスです。
IPFIX Mediation
IPFIX調停
IPFIX Mediation is the manipulation and conversion of a record stream for subsequent export using the IPFIX protocol.
IPFIXメディエーションは、IPFIXプロトコルを使用して、後続のエクスポートのレコードストリームの操作および変換です。
The following terms are used in this document to describe the architectural entities used by IPFIX Mediation.
以下の用語は、IPFIXの仲介によって使用される建築エンティティを記述するために、このドキュメントで使用されています。
Intermediate Process
中級プロセス
An Intermediate Process takes a record stream as its input from Collecting Processes, Metering Processes, IPFIX File Readers, other Intermediate Processes, or other record sources; performs some transformations on this stream based upon the content of each record, states maintained across multiple records, or other data sources; and passes the transformed record stream as its output to Exporting Processes, IPFIX File Writers, or other Intermediate Processes in order to perform IPFIX Mediation. Typically, an Intermediate Process is hosted by an IPFIX Mediator. Alternatively, an Intermediate Process may be hosted by an Original Exporter.
中間処理は、収集プロセス、計量プロセス、IPFIXファイルリーダー、他の中間プロセス、または他のレコードソースからの入力として記録ストリームを取ります。各レコードの内容に基づいて、このストリームに何らかの変換を行う、複数のレコード、またはその他のデータソースにわたって維持状態。そしてIPFIX調停を行うためにエクスポートプロセス、IPFIXファイル作家、又は他の中間プロセスにその出力として形質レコードストリームを渡します。典型的には、中間処理は、IPFIXメディエータによってホストされています。代替的に、中間処理は、元の輸出業者によってホストされてもよいです。
Specific Intermediate Processes are described below. However, this is not an exhaustive list.
具体的な中間プロセスは、以下に記載されています。しかし、これは完全なリストではありません。
Intermediate Conversion Process
中級変換プロセス
An Intermediate Conversion Process is an Intermediate Process that transforms non-IPFIX into IPFIX or manages the relation among Templates and states of incoming/outgoing transport sessions in the case of transport protocol conversion (e.g., from UDP to SCTP).
中間変換プロセスはIPFIXに非IPFIXを変換またはトランスポートプロトコル変換(例えば、UDPからSCTPまで)の場合はテンプレートと着信/発信トランスポートセッションの状態間の関係を管理する中間処理です。
Intermediate Aggregation Process
中間集計プロセス
An Intermediate Aggregation Process is an Intermediate Process that aggregates records based upon a set of Flow Keys or functions applied to fields from the record (e.g., data binning and subnet aggregation).
中間凝集プロセスは、レコード(例えば、データビニングおよびサブネット凝集)からフィールドに適用フローキーまたは機能のセットに基づいてレコードを集約する中間処理です。
Intermediate Correlation Process
中級相関処理
An Intermediate Correlation Process is an Intermediate Process that adds information to records, noting correlations among them, or generates new records with correlated data from multiple records (e.g., the production of bidirectional flow records from unidirectional flow records).
中間相関プロセスは、それらの間の相関に注目し、レコードに情報を追加し、または複数のレコードからの相関データを使用して新しいレコードを生成する中間処理(例えば、一方向のフローレコードからの双方向フローレコードの生産)。
Intermediate Selection Process
中級選択プロセス
An Intermediate Selection Process is an Intermediate Process that selects records from a sequence based upon criteria-evaluated record values and passes only those records that match the criteria (e.g., filtering only records from a given network to a given Collector).
中間選択プロセスは、基準、評価レコードの値に基づいて配列からレコードを選択し、条件に一致するレコードのみを通過させる中間処理(例えば、所与のコレクタに与えられたネットワークからのレコードのみをフィルタリング)。
Intermediate Anonymization Process
中級匿名化プロセス
An Intermediate Anonymization Process is an Intermediate Process that transforms records in order to anonymize them, to protect the identity of the entities described by the records (e.g., by applying prefix-preserving pseudonymization of IP addresses).
中間匿名化プロセスは、(IPアドレスのプレフィックス保存仮名化を適用することで、例えば)レコードで記述エンティティのアイデンティティを保護するために、それらを匿名化するために、レコードを変換中間プロセスです。
IPFIX Mediator
IPFIXのメディエータ
An IPFIX Mediator is an IPFIX Device that provides IPFIX Mediation by receiving a record stream from some data sources, hosting one or more Intermediate Processes to transform that stream, and exporting the transformed record stream into IPFIX Messages via an Exporting Process. In the common case, an IPFIX Mediator receives a record stream from a Collecting Process, but it could also receive a record stream from data sources not encoded using IPFIX, e.g., in the case of conversion from the NetFlow V9 protocol [RFC3954] to the IPFIX protocol.
IPFIXメディエータは、いくつかのデータソースからレコード・ストリームを受信し、そのストリームを変換するために、1つの以上の中間プロセスをホストし、エクスポートプロセスを介して、IPFIXメッセージに変換レコード・ストリームをエクスポートすることによってIPFIXメディエーションを提供IPFIXデバイスです。一般的なケースでは、IPFIXメディエータは、収集プロセスからレコード・ストリームを受信し、それはまたへのNetFlow V9プロトコル[RFC3954]からの変換の場合には、符号化された例えばIPFIXを使用していないデータソースからレコード・ストリームを受信することができますIPFIXプロトコル。
Note that the IPFIX Mediator is a generalization of the concentrator and proxy elements envisioned in the IPFIX requirements [RFC3917]. IPFIX Mediators running appropriate Intermediate Processes provide the functionality specified therein.
IPFIXメディエータはIPFIX要件[RFC3917]に想定コンセントレータとプロキシ要素の一般化であることに留意されたいです。適切な中間プロセスを実行IPFIXメディエーターは、その中に指定された機能を提供します。
IPFIX Mediation can be applied to flow-based or packet-based information. The flow-based information is encoded as IPFIX Flow Records by the IPFIX protocol, and the packet-based information is extracted by some packet selection techniques and then encoded as PSAMP Packet Reports by the PSAMP protocol. Thus, this section describes relevant documents for both protocols.
IPFIXメディエーションは、フローベースまたはパケットベースの情報に適用することができます。フローベースの情報は、IPFIXプロトコルによってIPFIXフローレコードとしてエンコードされ、そしてパケットベースの情報は、いくつかのパケットの選択技術によって抽出し、PSAMPパケットはPSAMPプロトコルによってレポートとして符号化されます。したがって、このセクションでは、両方のプロトコルに関連する文書を記述しています。
The IPFIX protocol [RFC5101] provides network administrators with access to IP Flow information. The architecture for the export of measured IP Flow information from an IPFIX Exporting Process to a Collecting Process is defined in [RFC5470], per the requirements defined in [RFC3917]. The IPFIX protocol [RFC5101] specifies how IPFIX Data Records and Templates are carried via a number of transport protocols from IPFIX Exporting Processes to IPFIX Collecting Processes. IPFIX has a formal description of IPFIX Information Elements, their names, types, and additional semantic information, as specified in [RFC5102]. The IPFIX Management Information Base is defined in [RFC5815]. Finally, [RFC5472] describes what types of applications can use the IPFIX protocol and how they can use the information provided. Furthermore, it shows how the IPFIX framework relates to other architectures and frameworks. The storage of IPFIX Messages in a file is specified in [RFC5655].
IPFIXプロトコル[RFC5101]はIPフロー情報へのアクセスをネットワーク管理者に提供します。収集プロセスにIPFIXエクスポートプロセスからの測定されたIPフロー情報のエクスポートのためのアーキテクチャは、[RFC3917]で定義された要件に従って、[RFC5470]で定義されています。 IPFIXプロトコル[RFC5101]はどのIPFIXデータレコードとテンプレートがIPFIX収集プロセスにIPFIXエクスポートプロセスからのトランスポート・プロトコルの数を介して運ばれる指定します。 IPFIXはIPFIX情報要素、それらの名前、種類、および[RFC5102]で指定したように、追加の意味情報の形式的な記述があります。 IPFIX管理情報ベースは、[RFC5815]で定義されています。最後に、[RFC5472]はアプリケーションの種類は、IPFIXプロトコルを使用することができるものと、彼らが提供された情報を使用する方法について説明します。また、IPFIXフレームワークが他のアーキテクチャおよびフレームワークの関係を示します。ファイル内のIPFIXメッセージの記憶は、[RFC5655]で指定されています。
The framework for packet selection and reporting [RFC5474] enables network elements to select subsets of packets by statistical and other methods and to export a stream of reports on the selected packets to a Collector. The set of packet selection techniques (Sampling and Filtering) standardized by PSAMP is described in [RFC5475]. The PSAMP protocol [RFC5476] specifies the export of packet information from a PSAMP Exporting Process to a Collector. Like IPFIX, PSAMP has a formal description of its Information
パケット選択及び報告[RFC5474]のためのフレームワークは、統計および他の方法でパケットのサブセットを選択し、コレクタに選択されたパケットのレポートのストリームをエクスポートするネットワーク要素を可能にします。 PSAMPによって標準化パケット選択技術(サンプリング及びフィルタリング)のセットは、[RFC5475]に記載されています。 PSAMPプロトコル[RFC5476]はコレクタにPSAMPエクスポートプロセスからパケット情報のエクスポートを指定します。 IPFIXのように、PSAMPは、その情報の形式的な記述があります
Elements, their names, types, and additional semantic information. The PSAMP information model is defined in [RFC5477]. The PSAMP Management Information Base is described in [PSAMP-MIB].
要素、それらの名前、種類、および追加の意味情報。 PSAMP情報モデルは、[RFC5477]で定義されています。 PSAMP管理情報ベースは、[PSAMP-MIB]に記載されています。
Figure A shows the high-level IPFIX Mediation reference model as an extension of the IPFIX reference model presented in [RFC5470]. This figure covers the various possible scenarios that can exist in an IPFIX measurement system.
図Aは、[RFC5470]に提示IPFIX参照モデルの拡張として高レベルIPFIX仲介参照モデルを示しています。この図は、IPFIX測定システムに存在することができる種々の可能なシナリオをカバーします。
+----------------+ +---------------+ +---------------+
| Collector 1 | | Collector 2 | | Collector N |
|[Collecting | |[Collecting | |[Collecting |
| Process(es)] | | Process(es)] |... | Process(es)] |
+----^-----------+ +---^--------^--+ +--------^------+
| / \ |
| / \ |
Flow Records Flow Records Flow Records Flow Records
| / \ |
+------+-------------+------+ +------+-----------+--------+
|IPFIX Mediator N+1 | |IPFIX Mediator Z |
|[Exporting Process(es)] | |[Exporting Process(es)] |
|[Intermediate Process(es)] | |[Intermediate Process(es)] |
|[Collecting Process(es)] |... |[Collecting Process(es)] |
+----^----------------^-----+ +------^----------------^---+
| | | |
Flow Records Flow Records Packet Reports record stream
| | | |
+------+------+ +------+-------+ +------+-------+ +-----+-----+
|IPFIX | |IPFIX Original| |PSAMP Original| |Other |
| Mediator 1 | | Exporter 1 | | Exporter 1 | | Source 1 |
|+-------------+ |+--------------+ |+--------------+ |+-----------+
+|IPFIX | +|IPFIX Original| +|PSAMP Original| +|Other |
| Mediator N | | Exporter N | | Exporter N | | Source N |
|[Exporting | |[Exporting | |[Exporting | | |
| Process(es)]| | Process(es)]| | Process(es)]| | |
|[Intermediate| |[Metering | |[Metering | | |
| Process(es)]| | Process(es)]| | Process(es)]| | |
|[Collecting | |[Observation | |[Observation | | |
| Process(es)]| | Point(s)]| | Point(s)]| | |
+------^------+ +-----^-^------+ +-----^-^------+ +-----------+
| | | | |
Flow Records Packets coming Packets coming
into Observation into Observation
Points Points
Figure A: IPFIX Mediation Reference Model Overview
図A:IPFIX調停リファレンスモデルの概要
The functional components within each entity are indicated within brackets []. An IPFIX Mediator receives IPFIX Flow Records or PSAMP Packet Reports from other IPFIX Mediators, IPFIX Flow Records from IPFIX Original Exporters, PSAMP Packet Reports from PSAMP Original Exporters, and/or a record stream from other sources. The IPFIX Mediator then exports IPFIX Flow Records and/or PSAMP Packet Reports to one or multiple Collectors and/or other IPFIX Mediators.
各エンティティ内の機能成分は、[]括弧内に示されています。 IPFIXのメディエータは、IPFIXフローレコードを受信するか、またはPSAMPパケットが他のIPFIXメディエーター、IPFIXオリジナル輸出業者からIPFIXフローレコード、PSAMPパケットはPSAMPオリジナル輸出業者からの報告、および/または他のソースからレコードストリームから報告します。 IPFIXのメディエータは、IPFIXフローレコードをエクスポートおよび/またはPSAMPパケットは、一つまたは複数のコレクターおよび/またはその他のIPFIXメディエーターに報告します。
Figure B shows the basic IPFIX Mediator component model. An IPFIX Mediator contains one or more Intermediate Processes and one or more Exporting Processes. Typically, it also contains a Collecting Process but might contain several Collecting Processes, as described in Figure B.
図Bは、基本的なIPFIXメディエータ・コンポーネント・モデルを示しています。 IPFIXのメディエータは、1つまたは複数の中間プロセスと1つ以上のエクスポート・プロセスが含まれています。典型的には、それはまた、収集プロセスを含むが、図Bに記載されているように、いくつかの収集プロセスが含まれているかもしれません
IPFIX (Data Records)
^
^ |
+------------------------|-|---------------------+
| IPFIX Mediator | | |
| | | |
| .---------------------|-+-------------------. |
| .----------------------+--------------------.| |
| | Exporting Process(es) |' |
| '----------------------^--------------------' |
| | | |
| .---------------------|-+-------------------. |
| .----------------------+--------------------.| |
| | Intermediate Process(es) |' |
| '----------------------^--------------------' |
| | | |
| .---------------------|-+-------------------. |
| .----------------------+--------------------.| |
| | Collecting Process(es) |' |
| '----------------------^--------------------' |
+------------------------|-|---------------------+
|
IPFIX (Data Records)
Figure B: Basic IPFIX Mediator Component Model
図B:基本IPFIX Mediatorのコンポーネントモデル
However, other data sources are also possible: an IPFIX Mediator can receive a record stream from non-IPFIX protocols such as NetFlow [RFC3954] exporter(s). This document does not make any particular assumption on how a record stream is transferred to an IPFIX Mediator. Figure C shows the IPFIX Mediator component model in the case of IPFIX protocol conversion from non-IPFIX exporters.
しかしながら、他のデータ・ソースも可能である:IPFIXメディエータは、NetFlowの[RFC3954]輸出(S)などの非IPFIXプロトコルからレコード・ストリームを受信することができます。この文書では、記録ストリームがIPFIXのメディエータに転送する方法上の任意の特定の仮定をしません。図Cは、非IPFIX輸出からIPFIXプロトコル変換の場合にIPFIXメディエータ・コンポーネント・モデルを示しています。
IPFIX (Data Records)
^
^ |
+------------------------|-|---------------------+
| IPFIX Mediator | | |
| .---------------------|-+-------------------. |
| .----------------------+--------------------.| |
| | Exporting Process(es) |' |
| '----------------------^--------------------' |
| .---------------------|-+-------------------. |
| .----------------------+--------------------.| |
| | Intermediate Process(es) |' |
| '----------------------^--------------------' |
+------------------------|-----------------------+
| record stream
+------------------------|-----------------------+
| Non-IPFIX exporter | |
| +-------------+----------+ |
| | | |
+----------|------------------------|------------+
| |
Packets coming into observation points
Figure C: IPFIX Mediator Component Model in IPFIX Protocol Conversion
図C:IPFIXプロトコル変換でIPFIXメディエータコンポーネントモデル
Alternatively, an Original Exporter may provide IPFIX Mediation by hosting one or more Intermediate Processes. The component model in Figure D adds Intermediate Process(es) to the IPFIX Device model illustrated in [RFC5470]. In comparison with Figures 1 or 2 in [RFC5470], the Intermediate Process is located between Exporting Process(es) and IPFIX or PSAMP Metering Process(es).
また、元の輸出業者は、1つまたは複数の中間プロセスをホスティングすることにより、IPFIXの仲介を提供することができます。図Dにおけるコンポーネントモデルは、[RFC5470]に示すIPFIXデバイスモデルに中間処理(複数可)を追加します。 [RFC5470]で図1又は2に比べて、中間処理は、エクスポートプロセス(ES)とIPFIXまたはPSAMP計量プロセス(複数可)との間に配置されます。
IPFIX (Data Records)
^ ^
+---------------------------|-|------------------------+
| Original Exporter | | |
| | | |
| .---------------------|-+-------------------. |
| .----------------------+--------------------.| |
| | Exporting Process(es) |' |
| '----------------------^--------------------' |
| | | |
| .---------------------|-+-------------------. |
| .----------------------+--------------------.| |
| | Intermediate Process(es) |' |
| '---------^-----------------------^---------' |
| | Data Records | |
| .----------+---------. .---------+----------. |
| | Metering Process 1 |...| Metering Process N | |
| '----------^---------' '---------^----------' |
| | | |
| .-----------+---------. .---------+-----------. |
| | Observation Point 1 |...| Observation Point N | |
| '-----------^---------' '---------^-----------' |
+--------------|-----------------------|---------------+
| |
Packets coming into Observation Points
Figure D: IPFIX Mediation Component Model at Original Exporter
図D:オリジナル輸出でIPFIX調停コンポーネントモデル
In addition, an Intermediate Process may be collocated with an IPFIX File Reader and/or Writer. Figure E shows an IPFIX Mediation component model with an IPFIX File Writer and/or Reader.
また、中間処理は、IPFIXのファイルリーダ及び/又はライタと一緒に配置することができます。図Eは、IPFIXファイルライターおよび/またはReaderでIPFIXメディエーション・コンポーネント・モデルを示しています。
IPFIX (Data Records)
^
^ |
.----------------------|-+--------------------.
.-----------------------+---------------------.|
| IPFIX File Writer |'
'-----------------------^---------------------'
| |
.----------------------|-+--------------------.
.-----------------------+---------------------.|
| Intermediate Process(es) |'
'-----------------------^---------------------'
| |
.----------------------|-+--------------------.
.-----------------------+---------------------.|
| IPFIX File Reader |'
'-----------------------^---------------------'
|
IPFIX (Data Records)
Figure E: IPFIX Mediation Component Model Collocated with IPFIX File Writer/Reader
図E:IPFIXファイルライター/リーダーとIPFIXの仲介コンポーネントモデル併置
Figure F shows a functional block diagram example in an IPFIX Mediator that has different Intermediate Process types.
図Fは、異なる中間処理タイプを有するIPFIXメディエータにおける機能ブロック図の一例を示しています。
IPFIX IPFIX IPFIX
^ ^ ^
| | |
.------------. .-----+-------. .-----+-------. .------+------.
| IPFIX File | | Exporting | | Exporting | | Exporting |
| Writer | | Process 1 | | Process 2 |....| Process N |
'-----^-^----' '-----^-------' '-----^-------' '------^------'
| | | | |
| +-------------+ | |
: Flow Records / Packet Reports :
.------+-------. .-----+--------. .----+---------. .--------------.
| Intermediate | | Intermediate | | Intermediate | | Intermediate |
| Anonymization| | Correlation | | Aggregation | | Selection |
| Process N | | Process N | | Process N | | Process N |
'------|-------' '------|-------' '-----|-|------' '-------|------'
| +---------------+ | |
: : : :
.------+-------. .------+-------. .-------+------. .-------+------.
| Intermediate | | Intermediate | | Intermediate | | Intermediate |
| Selection | | Selection | | Selection | | Selection |
| Process 1 | | Process 2 | | Process 3 | | Process 4 |
'------|-|-----' '------|-------' '-----|--------' '-------|------'
| +--------------+ | +----------------+
| | | | |
: Flow Records / Packet Reports :
.------+------. .-------+-----. .-----+-+-----. .-----+------.
| Collecting | | Collecting | | Collecting | | IPFIX File |
| Process 1 | | Process 2 |...| Process N | | Reader |
'------^------' '------^------' '------^------' '------------'
| | |
Flow Records Flow Records Flow Records
Figure F: IPFIX Mediation Functional Block Diagram
図F:IPFIX調停機能ブロック図
A Collecting Process in an IPFIX Mediator is not different from the Collecting Process described in [RFC5101]. Additional functions in an IPFIX Mediator include transmitting the set of Data Records and Control Information to one or more components, i.e., Intermediate Processes and other applications. In other words, a Collecting Process may duplicate the set and transmit it to one or more components in sequence or in parallel. In the case of an IPFIX
IPFIXメディエータで収集プロセスは、[RFC5101]に記載の収集プロセスと変わりません。 IPFIXメディエータにおける追加機能は、一の以上の構成要素、すなわち、中間プロセスおよび他のアプリケーションへのデータレコードおよび制御情報のセットを送信することが挙げられます。換言すれば、収集プロセスは、セットを複製することができ、シーケンスまたは並列の1つ以上の構成要素に送信します。 IPFIXの場合
Mediator, the Control Information described in [RFC5470] includes IPFIX Message Header information and Transport Session Information along with information about the Metering Process and the Exporting Process in an Original Exporter, e.g., Sampling parameters.
メディエーター、制御情報は、[RFC5470]に記載されたパラメータをサンプリング、例えば、計量プロセスに関する情報とオリジナル輸出におけるエクスポートプロセスと共にIPFIXメッセージヘッダー情報及びトランスポートセッション情報を含みます。
An Exporting Process in an IPFIX Mediator is not different from the Exporting Process described in [RFC5101]. Additional functions in an IPFIX Mediator may include the following:
IPFIXメディエータでエクスポートプロセスは、[RFC5101]に記載のエクスポートプロセスと変わりません。 IPFIXのメディエータでの追加機能は、以下を含むことができます。
o Receiving the trigger to transmit the Template Withdrawal Messages from Intermediate Process(es) when relevant Templates become invalid due to, for example, incoming session failure.
関連するテンプレートにより、例えば、着信セッション失敗に無効になる中間処理(ES)からテンプレート離脱メッセージを送信するようにトリガを受信O。
o Transmitting the origin (e.g., Observation Point, Observation Domain ID, Original Exporter IP address, etc.) of the data in additional Data Record fields or additional Data Records. The parameters that represent the origin should be configurable.
起源を送信O(例えば、観察ポイント、観測ドメインID、オリジナル輸出IPアドレスなど)の追加データレコードのフィールドまたは追加のデータレコード内のデータの。起源を表すパラメータは、設定する必要があります。
An Intermediate Process is a key functional block for IPFIX Mediation. Its typical functions include the following:
中間処理は、IPFIX調停するためのキー機能ブロックです。その代表的な機能は次のとおりです。
o Generating a new record stream from an input record stream including context information (e.g., Observation Domain ID and Transport Session Information) and transmitting it to other components.
ストリームコンテキスト情報(例えば、観測ドメインIDとトランスポートセッション情報)を含むと他のコンポーネントに送信する入力レコードから新たなレコードのストリームを生成するO。
o Reporting statistics and interpretations for IPFIX Metering Processes, PSAMP Metering Processes, and Exporting Processes from an Original Exporter. See Section 4 of [RFC5101] and Section 6 of [RFC5476] for relevant statistics data structures and interpretations, respectively. Activation of this function should be configurable.
O IPFIX計量プロセス、PSAMP計量プロセスの統計や解釈を報告し、オリジナル輸出業者からのプロセスをエクスポートします。それぞれ、関連する統計データ構造と解釈のために[RFC5101]のセクション4と[RFC5476]のセクション6を参照してください。この機能の活性化は、設定する必要があります。
o Maintaining the configurable relation between Collecting Process(es)/Metering Process(es) and Exporting Process(es)/other Intermediate Process(es).
プロセス(ES)/計量プロセス(ES)とエクスポートプロセス(ES)/他の中間処理(複数可)の収集の間の設定関係を維持O。
o Maintaining database(s) of Data Records in the case of an Intermediate Aggregation Process and an Intermediate Correlation Process. The function has the Data Record expiration rules described in the next subsection.
中間凝集プロセスの場合と中間相関処理にデータレコードのデータベースを維持するO。機能は次のサブセクションで説明したデータレコードの有効期限ルールを持っています。
o Maintaining statistics on the Intermediate Process itself, such as the number of input/output Data Records, etc.
等、そのような入力/出力データレコードの数として、中間処理自体に関する統計を維持O
o Maintaining additional information about output record streams, which includes information related to the Original Exporters, Observation Domain, and administrative domain as well as some configuration parameters related to each function.
オリジナル輸出、観測ドメイン、および管理ドメイン、並びに各機能に関連するいくつかの設定パラメータに関連する情報を含む出力レコード・ストリームに関する追加情報を、保守O。
In the case of an Intermediate Aggregation Process, Intermediate Anonymization Process, and Intermediate Correlation Process, the value of the "flowKeyIndicator" needs to be modified when modifying the data structure defined by an original Template.
中間凝集プロセスの場合、中間匿名化処理、中間相関処理では、「flowKeyIndicator」の値は、元のテンプレートによって定義されるデータ構造を変更するときに変更する必要があります。
For example, an Intermediate Aggregation Process aggregating incoming Flow Records composed of the sourceIPv4Address and destinationIPv4Address Flow Keys into outgoing Flow Records with the destinationIPv4Address Flow Key must modify the incoming flowKeyIndicator to contain only the destinationIPv4Address.
例えば、destinationIPv4Addressフローキーでの発信フローレコードにsourceIPv4AddressとdestinationIPv4Addressフローキーの構成、着信フローレコードを集約する中間集約プロセスはdestinationIPv4Addressを含むように入ってくるflowKeyIndicatorを変更する必要があります。
An Intermediate Aggregation Process and Intermediate Correlation Process need to have expiration conditions to export cached Data Records. In the case of the Metering Process in an Original Exporter, these conditions are described in [RFC5470]. In the case of the Intermediate Process, these conditions are as follows:
中間集計プロセスと中間相関処理は、キャッシュされたデータレコードをエクスポートするには有効期限の条件を持っている必要があります。オリジナル輸出における計量プロセスの場合には、これらの条件は、[RFC5470]に記載されています。次のように中間処理の場合には、これらの条件は、次のとおり
o If there are no input Data Records belonging to a cached Flow for a certain time period, aggregated Flow Records will expire. This time period should be configurable at the Intermediate Process.
データレコードは、一定の期間のためにキャッシュフローに属する入力が存在しない場合は、O、集約フローレコードが期限切れになります。この期間は、中間プロセスで設定可能でなければなりません。
o If the Intermediate Process experiences resource constraints (e.g., lack of memory to store Flow Records), aggregated Flow Records may prematurely expire.
中間プロセスがリソースの制約が発生した場合、O、集約フローレコードが途中で期限が切れることがあり(例えば、メモリの不足は、フローレコードを格納します)。
o For long-running Flows, the Intermediate Process should cause the Flow to expire on a regular basis or on the basis of an expiration policy. This periodicity or expiration policy should be configurable at the Intermediate Process.
O長時間実行フローについては、中間プロセスフローは、定期的にまたは有効期限ポリシーに基づいて期限切れにするようになります。この周期性や有効期限ポリシーは、中間プロセスで設定可能でなければなりません。
In the case of an Intermediate Correlation Process, a cached Data Record may be prematurely expired (and discarded) when no correlation can be computed with newly received Data Records. For example, an Intermediate Correlation Process computing one-way delay may discard the cached Packet Report when no other matching Packet Report are observed within a certain time period.
中間相関処理の場合には、キャッシュされたデータレコードは、早期相関が新たに受信されたデータレコードを用いて計算することができない場合に期限切れ(および廃棄)されてもよいです。他の一致パケット報告を一定期間内に観察されない場合、例えば、中間相関処理演算一方向遅延は、キャッシュされたパケットの報告を破棄してもよいです。
This section describes the functional blocks of specific Intermediate Processes.
このセクションでは、特定の中間プロセスの機能ブロックを説明しています。
When receiving a non-IPFIX record stream, the Intermediate Conversion Process covers the following functions:
非IPFIXレコードストリームを受信した場合、中間変換プロセスは、以下の機能について説明します。
o Determining the IPFIX Information Element identifiers that correspond to the fields of the non-IPFIX records (e.g., converting the NetFlow V9 protocol [RFC3954] to the IPFIX Information Model [RFC5102]).
非IPFIXレコードのフィールドに対応IPFIX情報要素識別子を決定O(例えば、IPFIX情報モデルへのNetFlow V9プロトコル[RFC3954]を変換[RFC5102])。
o Transforming the non-IPFIX records into Data Records, (Options) Template Records, and/or Data Records defined by Options Templates.
データレコード、(オプション)テンプレートレコード、および/またはオプションのテンプレートで定義されたデータレコードに非IPFIXレコードを変換するO。
o Converting additional information (e.g., sampling rate, sampling algorithm, and observation information) into appropriate fields in the existing Data Records or into Data Records defined by new Options Templates.
付加的な情報を変換O(例えば、速度、サンプリングアルゴリズム、及び観測情報をサンプリング)は、既存のデータレコードまたは新しいオプションテンプレートによって定義されたデータレコードに適切なフィールドに。
IPFIX transport protocol conversion can be used to enhance the export reliability, for example, for data retention and accounting. In this case, the Intermediate Conversion Process covers the following functions:
IPFIXトランスポートプロトコル変換は、例えば、データ保持及び会計のため、輸出の信頼性を向上させるために使用することができます。この場合、中間変換プロセスは、以下の機能について説明します。
o Relaying Data Records, (Options) Template Records, and Data Records defined by Options Templates.
Oデータ中継レコード、(オプション)テンプレートレコード、およびオプションのテンプレートで定義されたデータレコード。
o Setting the trigger for the Exporting Process in order to export IPFIX Template Withdrawal Messages relevant to the Templates when Templates becomes invalid due to, for example, incoming session failure. This case applies to SCTP and TCP Transport Sessions on the outgoing side only.
テンプレートは、例えば、着信セッションの失敗のために、起因して無効となるテンプレートに関連するIPFIXテンプレート離脱メッセージをエクスポートするために、エクスポートプロセスのトリガを設定O。この場合は、発信側のSCTPとTCPトランスポート・セッションに適用されます。
o Maintaining the mapping information about Transport Sessions, Observation Domain IDs, and Template IDs on the incoming and outgoing sides in order to ensure the consistency of scope field values of incoming and outgoing Data Records defined by Options Templates and of Template IDs of incoming and outgoing IPFIX Template Withdrawal Messages.
オプションテンプレートによって定義された着信および発信データレコードの範囲フィールド値の一貫性を確保するために、着信および発信側のトランスポートセッション、観測ドメインID、テンプレートIDのマッピング情報を維持するOおよび着信および発信のテンプレートIDのIPFIXテンプレート脱退メッセージ。
An Intermediate Selection Process has analogous functions to the PSAMP Selection Process described in [RFC5475]. The difference is that the Intermediate Selection Process takes a record stream, e.g., Flow Records or Packet Reports, instead of observed packets as its input.
中間選択プロセスは[RFC5475]で説明PSAMP選択プロセスと類似の機能を有します。違いは、中間選択プロセスではなく、その入力として観察パケットの、例えば、フローレコード又はパケットレポート、レコード・ストリームを取ることです。
The typical function is property match filtering that retrieves a record stream of interest. The function selects a Data Record if the value of a specific field in the Data Record equals a configured value or falls within a configured range.
典型的な機能は、興味の記録ストリームを取得するプロパティマッチフィルタリングです。データレコード内の特定のフィールドの値が設定値に等しいか、設定された範囲内に入る場合、関数はデータレコードを選択します。
An Intermediate Aggregation Process covers the following functions:
中間集約プロセスは、以下の機能について説明します。
o Merging a set of Data Records within a certain time period into one Flow Record by summing up the counters where appropriate.
適切な場合には、カウンタを合計して1フローレコードへの一定の期間内にデータレコードのセットをマージO。
o Maintaining statistics and additional information about aggregated Flow Records.
集約されたフローレコードに関する統計やその他の情報を維持し、O。
The statistics for an aggregated Flow Record may include the number of original Data Records and the maximum and minimum values of per-flow counters. Additional information may include an aggregation time period, a new set of Flow Keys, and observation location information involved in the Flow aggregation. Observation location information can be tuples of (Observation Point, Observation Domain ID, Original Exporter IP address) or another identifier indicating the location where the measured traffic has been observed.
集約フローレコードの統計情報は、元のデータ・レコードの数及び最大とフローごとのカウンタの最小値を含むことができます。追加情報は、集計期間、フロー集約に関与新しいフローキーのセット、および観察位置情報を含むことができます。観察位置情報は、測定されたトラフィックが観察されている場所を示す(観察ポイント、観測ドメインID、オリジナル輸出IPアドレス)または別の識別子の組とすることができます。
o Aggregation of Data Records, which can be done in the following ways:
以下の方法で行うことができるデータレコードの集約O:
* Spatial composition
*空間構成
With spatial composition, Data Records sharing common properties are merged into one Flow Record within a certain time period. One typical aggregation can be based on a new set of Flow Keys. Generally, a set of common properties smaller than an original set of Flow Keys results in a higher level of aggregation. Another aggregation can be based on a set of Observation Points within an Observation Domain, on a set of Observation Domains within an Exporter, or on a set of Exporters.
空間構成では、共通の特性を共有するデータレコードは、一定の期間内に1フローレコードにマージされます。一つの典型的な集計は、フローキーの新しいセットに基づくことができます。一般に、凝集のより高いレベルのフローキー結果の元のセットよりも小さい共通プロパティのセット。別の凝集が輸出内の観測ドメインのセットに、観測ドメイン内の観測点のセットに基づいて、または輸出のセットにすることができます。
If some fields do not serve as Flow Keys or per-Flow counters, their values may change from Data Records to Data Records within an aggregated Flow Record. The Intermediate Aggregation Process determines their values by the first Data Record received, a specific Exporter IP address, or other appropriate decisions.
いくつかのフィールドがフローキーまたはフローごとのカウンタとして機能していない場合は、それらの値は、データレコードから集約されたフローレコード内のデータレコードに変更されることがあります。中間凝集プロセスは、最初のデータレコードがそれらの値を決定し、特定の輸出業者のIPアドレス、または他の適切な決定を受けました。
Furthermore, a new identifier indicating a group of observation locations can be introduced, for example, to indicate PoPs (Points of Presence) in a large network, or a logical interface composed of physical interfaces with link aggregation.
また、観察位置のグループを示す新たな識別子が大規模なネットワーク、またはリンクアグリゲーションと物理インターフェイスからなる論理インタフェースでのPoP(存在点)を示すために、例えば、導入することができます。
* Temporal composition
*一時的な構図
With temporal composition, multiple Flow Records with identical Flow Key values are merged into a single Flow Record of longer Flow duration if they arrive within a certain time interval. The main difference to spatial composition is that Flow Records are only merged if they originate from the same Observation Point and if the Flow Key values are identical. For example, multiple Flow Records with a Flow duration of less than one minute can be merged into a single Flow Record with more than ten minutes Flow duration.
彼らは一定の時間間隔内に到着した場合、時間的組成物を用いて、同じフローキー値を持つ複数のフローレコードは、長いフロー期間の単一フローレコードにマージされています。空間構成との主な違いは、フローキーの値が同一であれば、彼らは同じ観測点から発生した場合にフローレコードのみがマージされていることです。例えば、1分未満のフロー期間を持つ複数のフローレコードは10分以上のフローの期間で、単一のフローレコードにマージすることができます。
In addition, the Intermediate Aggregation Process with temporal composition produces aggregated counters while reducing the number of Flow Records on a Collector. Some specific non-key fields, such as the minimumIpTotalLength/maximumIpTotalLength or minimumTTL/maximumTTL, will contain the minimum and maximum values for the new aggregated Flow.
集電体上にフローレコードの数を削減しながら加えて、一時的な組成を有する中間凝集プロセスは、集約カウンタを生成します。このようminimumIpTotalLength / maximumIpTotalLengthまたはminimumTTL / maximumTTLのようないくつかの特定の非キーフィールドは、新しい集約フローの最小値と最大値が含まれます。
Spatial and temporal composition can be combined in a single Intermediate Aggregation Process. The Intermediate Aggregation Process can be combined with the Intermediate Selection Process in order to aggregate only a subset of the original Flow Records, for example, Flow Records with small numbers of packets as described in Section 6.2.
空間的および時間的組成物は、単一の中間凝集プロセスで組み合わせることができます。セクション6.2で説明したように中間凝集プロセスは、パケットの小さな番号を持つ例えば、フローレコード、元のフローレコードのサブセットのみを集約するために、中間選択プロセスと組み合わせることができます。
An Intermediate Anonymization Process covers the following typical functions:
中間匿名化プロセスは、以下の代表的な機能について説明します。
o Deleting specified fields
指定されたフィールドを削除するO
The function deletes existing fields in accordance with some instruction rules. Examples include hiding network topology information and private information. In the case of feeding Data Records to end customers, disclosing vulnerabilities is avoided by deleting fields, e.g., "ipNextHopIP{v4|v6}Address", "bgpNextHopIP{v4|v6}Address", "bgp{Next|Prev}AdjacentAsNumber", and "mplsLabelStackSection", as described in [RFC5102].
この関数は、いくつかの命令規則に従って既存のフィールドを削除します。例としては、隠れネットワークトポロジ情報や個人情報が含まれます。顧客を終了するデータレコードを供給する場合には、開示の脆弱性は、フィールドを削除することによって回避され、例えば、「ipNextHopIP {V4 | V6}住所」、「bgpNextHopIP {V4 | V6}住所」、「BGP {次|前} AdjacentAsNumber」 [RFC5102]に記載されているように、そして "mplsLabelStackSection"。
o Anonymizing values of specified fields
指定したフィールドの匿名化値O
The function modifies the values of specified fields. Examples include anonymizing customers' private information, such as IP address and port number, in accordance with a privacy protection policy. The Intermediate Anonymization Process may also report anonymized fields and the anonymization method as additional information.
関数は、指定したフィールドの値を変更します。例としては、プライバシー保護ポリシーに従って、IPアドレスやポート番号など、お客様の個人情報を匿名化含まれています。中間匿名化プロセスは、付加情報として匿名化フィールドと匿名メソッドを報告することができます。
An Intermediate Correlation Process can be viewed as a special case of the Intermediate Aggregation Process, covering the following typical functions:
中間相関プロセスは、以下の代表的な機能をカバーし、中間凝集プロセスの特別な場合とみなすことができます。
o Producing new information including metrics, counters, attributes, or packet property parameters by evaluating the correlation among sets of Data Records or among Data Records and other meta data after gathering sets of Data Records within a certain time period.
データレコードのセット間またはデータレコードと一定時間内にデータレコードのセットを収集した後、他のメタデータ間の相関関係を評価することにより、メトリック、カウンター、属性、またはパケット特性パラメータを含む新しい情報を生産、O。
o Adding new fields into a Data Record or creating a new Data Record.
Oデータレコードに新しいフィールドを追加したり、新しいデータレコードを作成します。
A correlation of Data Records can be done in the following ways, which can be implemented individually or in combinations.
データレコードの相関は、個別にまたは組み合わせて実装することができ、以下の方法で行うことができます。
o One-to-one correlation between Data Records, with the following examples:
次の例でデータレコード間の1対1の相関関係、○:
* One-way delay, Packet delay variation in [RFC5481] The metrics come from the correlation of the timestamp value on a pair of Packet Reports indicating an identical packet at different Observation Points in the network.
*一方向遅延、[RFC5481]でのパケット遅延変動メトリックは、ネットワーク内の異なる観測点で同一のパケットを示すパケットレポートの一対のタイムスタンプ値の相関関係から来ます。
* Packet inter-arrival time The metrics come from the correlation of the timestamp value on consecutive Packet Reports from a single Exporter.
*パケット到着間隔時間メトリックは、単一の輸出業者からの連続したパケットのレポートのタイムスタンプ値の相関関係から来ます。
* Rate-limiting ratio, compression ratio, optimization ratio, etc. The data values come from the correlation of Data Records indicating an identical Flow observed on the incoming/outgoing points of a WAN interface.
等*レート制限比、圧縮比、最適化率、データ値は、WANインターフェイスの着信/発信点で観察同じフローを示すデータレコードの相関から来ます。
o Correlation amongst Data Records, with the following examples:
次の例でデータレコードの中のOの相関、:
* Bidirectional Flow composition The method of exporting and representing a Bidirectional Flow (Biflow) is described in [RFC5103]. The Bidirectional Flow composition is a special case of Flow Key aggregation. The Flow Records are merged into one Flow Record as Biflow if Non-directional Key Fields match and the Directional Key Fields match their reverse direction counterparts. The direction assignment method to assign the Biflow Source and Destination as additional information may be reported. In the case of an Intermediate Aggregation Process, the direction may be assigned arbitrarily (see [RFC5103], Section 5.3).
*双方向フロー組成エクスポートおよび双方向フロー(バイフロー)を表す方法は、[RFC5103]に記載されています。双方向フロー組成物は、フローキー凝集の特殊なケースです。無指向キーフィールドの一致と方向キーのフィールドは、その逆方向の対応と一致した場合にフローレコードはバイフローとして1フローレコードにマージされます。追加情報が報告されることができるようにバイフロー送信元と宛先を割り当てる方向割り当て方法。中間凝集プロセスの場合には、方向は、([RFC5103]、セクション5.3を参照されたい)任意に割り当てることができます。
* Average/maximum/minimum for packets, bytes, one-way delay, packet loss, etc. The data values come from the correlation of multiple Data Records gathered in a certain time interval.
等*平均/パケットの最大/最小値、バイト、一方向遅延、パケット損失、データ値は、一定の時間間隔で収集した複数のデータレコードの相関から来ます。
o Correlation between Data Record and other meta data
データレコードやその他のメタデータ間の相関O
Typical examples are derived packet property parameters described in [RFC5102]. The parameters are retrieved based on the value of the specified field in an input Data Record, compensating for traditional exporting devices or probes that are unable to add packet property parameters. Typical derived packet property parameters are as follows:
典型的な例は、[RFC5102]に記載のパケット特性パラメータが導出されます。パラメータは、パケットの特性パラメータを追加することができない従来のエクスポートデバイスまたはプローブを補償する、入力データレコード内の指定されたフィールドの値に基づいて検索されます。次のように典型的な派生パケット特性パラメータは以下のとおりです。
* "bgpNextHop{IPv4|IPv6}Address" described in [RFC5102] This value indicates the egress router of a network domain. It is useful for making a traffic matrix that covers the whole network domain.
* | [RFC5102]に記載された「bgpNextHop {IPv4からIPv6}アドレス」この値は、ネットワークドメインの出口ルータを示しています。これは、ネットワーク全体のドメインをカバーしてトラフィックマトリクスを製造するのに有用です。
* BGP community attributes This attribute indicates tagging for routes of geographical and topological information and source types (e.g., transit, peer, or customer) as described in [RFC4384]. Therefore, network administrators can monitor the geographically-based or source-type-based traffic volume by correlating the attribute.
* BGPコミュニティは、この属性は、[RFC4384]に記載されているように、地理的及びトポロジカル情報ソースの種類(例えば、トランジット、ピア、または顧客)のルートにタグ付けを示している属性。したがって、ネットワーク管理者が属性を相関させることによって、地理的ベースまたはソース型ベースのトラフィック量を監視することができます。
* "mplsVpnRouteDistinguisher" described in [RFC5102] This value indicates the VPN customer's identification, which cannot be extracted from the core router in MPLS networks. Thanks to this correlation, network administrators can monitor the customer-based traffic volume even on core routers.
* [RFC5102]に記載の「mplsVpnRouteDistinguisher」この値は、MPLSネットワークのコアルータから抽出することができないVPN顧客の識別を示します。この相関関係のおかげで、ネットワーク管理者は、さらにコアルータに顧客ベースのトラフィック量を監視することができます。
An IPFIX Mediator may be able to simultaneously support more than one Intermediate Process. Multiple Intermediate Processes generally are configured in the following ways.
IPFIXメディエータは、同時に複数の中間処理をサポートすることができるかもしれません。複数の中間のプロセスは、一般的に以下の方法で構成されています。
o Parallel Intermediate Processes
パラレル中級プロセスO
A record stream is processed by multiple Intermediate Processes in parallel to fulfill the requirements of different applications. In this setup, every Intermediate Process receives a copy of the entire record stream as its input.
レコードストリームは、異なるアプリケーションの要件を満たすために、並列に複数の中間プロセスによって処理されます。この設定では、すべての中間プロセスは、その入力としてレコード全体ストリームのコピーを受け取ります。
o Serial Intermediate Processes
シリアル中級プロセスO
To execute flexible manipulation of a record stream, the Intermediate Processes are connected serially. In that case, an output record stream from one Intermediate Process forms an input record stream for a succeeding Intermediate Process.
レコード・ストリームの柔軟な操作を実行するために、中間のプロセスが直列接続されています。その場合、一つの中間プロセスからの出力レコードストリームは後続中間処理のための入力レコードストリームを形成します。
In addition to the combination of Intermediate Processes, the combination of some components (Exporting Process, Collecting Process, IPFIX File Writer and Reader) can be applied to provide various data reduction techniques. This section shows some combinations along with examples.
中間プロセスの組合せに加えて、いくつかのコンポーネント(収集処理、プロセスのエクスポート、IPFIXファイルライターおよびReader)の組み合わせは、様々なデータ削減技術を提供するために適用することができます。このセクションでは、実施例に沿っていくつかの組み合わせを示しています。
The combination of one or more Intermediate Selection Processes and Exporting Processes can determine to which Collector input Data Records are exported. Applicable examples include exporting Data Records to a dedicated Collector on the basis of a customer or an organization. For example, an Intermediate Selection Process selects Data Records from a record stream on the basis of the peering autonomous system number, and an Exporting Process sends them to a dedicated Collector, as shown in the Figure G.
一つ以上の中間選択プロセスとエクスポートプロセスの組み合わせは、コレクタ入力データレコードがエクスポートされるかを決定することができます。適用例は、顧客または組織に基づいて、専用のコレクターにデータレコードをエクスポートなどがあります。例えば、中間選択プロセスは、ピアリング自律システム番号に基づいて、記録ストリームからデータレコードを選択し、図Gに示すように、エクスポートプロセスは、専用のコレクタに送ります
.----------------------. .------------.
| Intermediate | | Exporting |
| Selection Process 1 | | Process 1 |
+--+--- Peering AS #10 ---+-->| +--> Collector 1
| '----------------------' '------------'
| .----------------------. .------------.
record | | Intermediate | | Exporting |
stream | | Selection Process 2 | | Process 2 |
-------+--+--- Peering AS #20 ---+-->| +--> Collector 2
| '----------------------' '------------'
| .----------------------. .------------.
| | Intermediate | | Exporting |
| | Selection Process 3 | | Process 3 |
+--+--- Peering AS #30 ---+-->| +--> Collector 3
'----------------------' '------------'
Figure G: Data-Based Collector Selection
図G:データベースコレクターセレクション
The combination of one or more Intermediate Selection Processes and Intermediate Aggregation Processes can efficiently reduce the amount of Flow Records. The combination structure is similar to the concept of the Composite Selector described in [RFC5474]. For example, an Intermediate Selection Process selects Flows consisting of a small number of packets and then transmits them to an Intermediate Aggregation Process. Another Intermediate Selection Process selects other Flow Records and then transmits them to an Exporting Process, as shown in Figure H. This results in aggregation on the basis of the distribution of the number of packets per Flow.
一つ以上の中間選択プロセスおよび中間凝集プロセスの組み合わせは、効率的にフローレコードの量を減らすことができます。結合構造体は、[RFC5474]に記載の複合セレクタの概念に類似しています。例えば、中間選択プロセスは、パケットの数が少ないからなるフローを選択した後、中間凝集プロセスに送信します。これは、フローごとのパケット数の分布に基づいて凝集をもたらす。図Hに示すように、別の中間選択プロセスは、他のフローレコードを選択し、エクスポートプロセスに送信します。
.------------------. .--------------. .------------.
| Intermediate | | Intermediate | | Exporting |
| Selection | | Aggregation | | Process |
| Process 1 | | Process | | |
+-+ packetDeltaCount +->| +->| |
| | <= 5 | | | | |
record | '------------------' '--------------' | |
stream | .------------------. | |
-------+ | Intermediate | | |
| | Selection | | |
| | Process 2 | | |
+-+ packetDeltaCount +------------------->| |
| > 5 | | |
'------------------' '------------'
Figure H: Flow Selection and Aggregation Example
図H:フローの選択と集約の例
An IPFIX File Writer [RFC5655] stores Data Records in a file system. When Data Records include problematic Information Elements, an Intermediate Anonymization Process can delete these fields before the IPFIX File Writer handles them, as shown in Figure I.
IPFIXファイルライター[RFC5655]は、ファイルシステム内のデータレコードを格納します。データレコードは、問題のある情報要素が含まれている場合IPFIXファイルライターがそれらを処理する前に、図Iに示すように、中間匿名化プロセスは、これらのフィールドを削除することができます
.---------------. .---------------. .-------------.
| Collecting | | Intermediate | | IPFIX |
IPFIX | Process | | Anonymization | | File |
----->| +->| Process +->| Writer |
'---------------' '---------------' '-------------'
Figure I: IPFIX Mediation Example with IPFIX File Writer
IPFIXファイルライターとIPFIX調停例:図I
In contrast, an IPFIX File Reader [RFC5655] retrieves stored Data Records when administrators want to retrieve past Data Records from a given time period. If the data structure of the Data Records from the IPFIX File Reader is different from what administrators want, an Intermediate Anonymization Process and Intermediate Correlation Process can modify the data structure, as shown in Figure J.
管理者は、特定の期間からデータレコードを超えて取得したいときは対照的に、リーダー[RFC5655]が取得IPFIXファイルは、データレコードを保存します。 IPFIXファイルリーダーからのデータレコードのデータ構造は、管理者が望むものと異なる場合は、図J.に示すように、中間匿名化プロセスおよび中間相関処理は、データ構造を変更することができます
.-------------. .---------------. .---------------. .-----------.
| IPFIX | | Intermediate | | Intermediate | | Exporting |
| File | | Anonymization | | Correlation | | Process |
| Reader +->| Process +->| Process +->| |
'-------------' '---------------' '---------------' '-----------'
Figure J: IPFIX Mediation Example with IPFIX File Reader
図J:IPFIXファイルリーダーとIPFIX調停例
In the case where distributed IPFIX Mediators enable on-demand export of Data Records that have been previously stored by a File Writer, a collecting infrastructure with huge storage capacity for data retention can be set up.
分散IPFIXメディエーターは、以前にファイルライターによって格納されたデータレコードのオンデマンド輸出を可能にする場合には、データ保持のための巨大なストレージ容量を持つ収集インフラストラクチャを設定することができます。
The IPFIX Message Header [RFC5101] includes Export Time, Sequence Number, and Observation Domain ID fields. This section describes some consideration points for the IPFIX Message Header encoding in the context of IPFIX Mediation.
IPFIXメッセージヘッダー[RFC5101]はエクスポート時刻、シーケンス番号、及び観測ドメインIDフィールドを含みます。このセクションでは、IPFIX調停の文脈におけるIPFIXメッセージヘッダー符号化のためのいくつかの考慮点を記載しています。
Export Time
エクスポート時間
An IPFIX Mediator can set the Export Time in two ways.
IPFIXのメディエータは、2つの方法でエクスポート時間を設定することができます。
* Case 1: keeping the field value of incoming Transport Sessions
*ケース1:受信トランスポートセッションのフィールドの値を保ちます
* Case 2: setting the time at which an IPFIX Message leaves the IPFIX Mediator
*ケース2:IPFIXメッセージがIPFIXのメディエータを離れる時刻を設定します
Case 1 can be applied when an IPFIX Mediator operates as a proxy at the IPFIX Message level rather than the Data Record level. In case 2, the IPFIX Mediator needs to handle any delta timestamp fields described in [RFC5102], such as "flowStartDeltaMicroseconds" and "flowEndDeltaMicroseconds".
IPFIXメディエータはIPFIXメッセージのレベルではなくデータレコードレベルのプロキシとして動作する場合ケース1を適用することができます。ケース2では、IPFIXメディエータは、「flowStartDeltaMicroseconds」および「flowEndDeltaMicroseconds」として[RFC5102]に記載されたデルタタイムスタンプフィールドを処理する必要があります。
Sequence Number
シーケンス番号
In the case where an IPFIX Mediator relays IPFIX Messages from one Transport Session to another Transport Session, the IPFIX Mediator needs to handle the Sequence Number properly. In particular, the Sequence Number in the outgoing session is not allowed to be re-initialized, even when the incoming session shuts down and restarts.
IPFIXのメディエータは別の交通セッションに1交通のセッションからIPFIXメッセージを中継する場合には、IPFIXのメディエータは、適切にシーケンス番号を処理する必要があります。具体的には、送信セッション内のシーケンス番号は、着信セッションがシャットダウンして再起動した場合でも、再初期化することが許可されていません。
Observation Domain ID
観測ドメインID
According to [RFC5101], the Observation Domain ID in the IPFIX Message Header is locally unique per Exporting Process. In contrast to the Observation Domain ID used by an Original Exporter, the Observation Domain ID used by an IPFIX Mediator does not necessarily represent a set of Observation Points located at the IPFIX Mediator itself.
[RFC5101]によれば、IPFIXメッセージヘッダーで観測ドメインIDは、処理をエクスポート当たりローカルで一意です。オリジナルエクスポータにより使用観測ドメインIDとは対照的に、IPFIXメディエータで使用観測ドメインIDは、必ずしもIPFIXメディエータ自体に位置する観測点の集合を表していません。
An IPFIX Mediator may act as a proxy by relaying entire IPFIX Messages. In this case, it may report information about the Original Exporters by using the Observation Domain ID of the outgoing Messages as the scope field in an Options Template Record.
IPFIXのメディエータは、全体IPFIXメッセージを中継することによって、プロキシとして動作することができます。この場合、オプションテンプレートレコード内のスコープフィールドとして、発信メッセージの観測ドメインIDを使用してオリジナルの輸出についての情報を報告することがあります。
Otherwise, the IPFIX Mediator should have a function to export the observation location information regarding the Original Exporter. The information contains the IP addresses and Observation Domain IDs used by the Original Exporters and some information about the Transport Session, for example, the source port number, so that different Exporting Processes on the same Original Exporter can be identified. As far as privacy policy permits, an IPFIX Mediator reports the information to an IPFIX Collector.
それ以外の場合は、IPFIXのメディエータは、オリジナルの輸出に関する観測位置情報をエクスポートする機能を持っている必要があります。情報は、例えば、送信元ポート番号は、同じオリジナル輸出業者の異なるエクスポート・プロセスを識別できるように、オリジナル輸出と交通セッションに関するいくつかの情報が使用するIPアドレスと観測ドメインIDが含まれています。限り、プライバシーポリシーの許す限り、IPFIXのメディエータは、IPFIXコレクターに情報を報告します。
If information about a set of Original Exporters needs to be reported, it can be useful to export it as Common Properties as specified in [RFC5473]. The commonPropertiesID may then serve as a scope for the set of Original Exporters. The Common Properties
オリジナル輸出のセットに関する情報を報告する必要がある場合は、[RFC5473]で指定されている共通プロパティとしてエクスポートするために役立ちます。 commonPropertiesIDは、オリジナル輸出のセットのスコープとして機能することができます。共通プロパティ
Withdrawal Message [RFC5473] can be used to indicate that an incoming Transport Session from one of the Original Exporters was closed.
脱退メッセージ[RFC5473]はオリジナルの輸出業者の1からの着信トランスポートセッションが閉じられたことを示すために使用することができます。
IPFIX Mediation reuses the general information models from [RFC5102] and [RFC5477], and, depending on the Intermediate Processes type, potentially Information Elements such as:
:IPFIX調停のような情報要素の潜在的に、[RFC5102]及び[RFC5477]からの一般的な情報モデルを再利用し、そして、中間プロセスのタイプに応じて
o Original Exporter IP address, Observation Domain ID, and source port number about the Transport Session at the Original Exporter, in the case where an IPFIX Mediator reports original observation location information in Section 7. The Information Elements contained in the Export Session Details Options Template in [RFC5655] may be utilized for this purpose.
IPFIXのメディエータは、エクスポートセッションの詳細オプションテンプレートに含まれている7節情報要素の元の観察位置情報を報告する際にオリジナル輸出業者で交通セッションについてのOオリジナル輸出IPアドレス、観測ドメインID、および送信元ポート番号、 [RFC5655]でこの目的のために利用することができます。
o Report on the applied IPFIX Mediation functions as described in Section 6.7. in [RFC5982].
6.7節で説明したように適用されたIPFIX仲介機能のレポートは、O。 [RFC5982]インチ
o Certificate of an Original Exporter in Section 9. The Information Element exporterCertificate in [RFC5655] may be utilized for this purpose.
O第9節でオリジナル輸出業者の証明書[RFC5655]の情報要素exporterCertificateは、この目的のために利用することができます。
As Mediators act as both IPFIX Collecting Processes and Exporting Processes, the Security Considerations for IPFIX [RFC5101] also apply to Mediators. The Security Considerations for IPFIX Files [RFC5655] also apply to IPFIX Mediators that write IPFIX Files or use them for internal storage. In addition, there are a few specific considerations that IPFIX Mediator implementations must take into account.
メディエーターは、プロセスの収集とプロセスのエクスポートの両方IPFIXとして機能として、IPFIX [RFC5101]のセキュリティに関する注意点もメディエーターに適用されます。 IPFIXファイル[RFC5655]のセキュリティに関する注意点もIPFIXファイルを書いたり、内部ストレージのためにそれらを使用IPFIXメディエーターに適用されます。また、IPFIXのメディエータの実装を考慮に入れる必要があり、いくつかの具体的な考慮事項があります。
By design, IPFIX Mediators are "men-in-the-middle": they intercede in the communication between an Original Exporter (or another upstream Mediator) and a downstream Collecting Process. TLS provides no way to connect the session between the Mediator and the Original Exporter to the session between the Mediator and the downstream Collecting Process; indeed, this is by design. This has important implications for the level of confidentiality provided across an IPFIX Mediator and the ability to protect data integrity and Original Exporter authenticity across a Mediator. In general, a Mediator should maintain the same level of integrity and confidentiality protection on both sides of the mediation operation, except in situations where the Mediator is explicitly deployed as a gateway between trusted and untrusted networks.
設計によって、IPFIXメディエータ「は男性で、中間」である:それらはオリジナル輸出(または他の上流のメディエータ)と下流収集プロセスの間の通信に仲裁します。 TLSは、メディエータとメディエータと下流収集プロセスの間のセッションのオリジナル輸出業者との間のセッションを接続する方法を提供しません。確かに、これは仕様です。これは、IPFIXのメディエータとメディエータ間でデータの整合性とオリジナル輸出の信憑性を保護する能力を越えて機密性のレベルのために重要な意味を持ちます。一般に、メディエータは、メディエータが明示的に信頼できると信頼できないネットワークの間のゲートウェイとして展開されている場合を除き、調停動作の両側の完全性と機密性保護の同じレベルを維持しなければなりません。
Subsequent subsections deal with specific security issues raised by IPFIX Mediation.
以降のサブセクションでは、IPFIXの仲介によって提起特定のセキュリティ問題に対処します。
An IPFIX Mediator that accepts IPFIX Messages over a Transport Session protected by TLS [RFC5246] or DTLS [RFC4347] and that then exports IPFIX Messages derived therefrom in cleartext is a potentially serious vulnerability in an IPFIX infrastructure. The concern here is that confidentiality protection may be lost across a Mediator.
TLS [RFC5246]またはDTLS [RFC4347]で保護した後、クリアテキストでそれに由来するIPFIXメッセージをエクスポートすること交通セッションでIPFIXメッセージを受け入れるIPFIXメディエータはIPFIXインフラストラクチャ内の潜在的に深刻な脆弱性です。ここでの関心は、機密保護がメディエータ間で失われる可能性があるということです。
Therefore, an IPFIX Mediator that receives IPFIX Messages from an upstream Exporting Process protected using TLS or DTLS must provide for sending of IPFIX Messages resulting from the operation of the Intermediate Process(es) to a downstream Collecting Process using TLS or DTLS by default. It may be configurable to export records derived from protected records in cleartext but only when application requirements allow.
したがって、上流のエクスポートプロセスからIPFIXメッセージを受信IPFIXメディエータは、TLSまたはDTLSを使用して保護デフォルトでTLSまたはDTLSを使用して、下流収集プロセスに中間処理(複数可)の動作に起因IPFIXメッセージの送信のために提供しなければなりません。それは平文で保護されたレコードから派生輸出レコードに設定可能であるが、アプリケーションの要求を許可する場合にのみ。
There are two common use cases for this. First, a Mediator performing a transformation that leads to a reduction in the required level of security (e.g., by removing all information requiring confidentiality from the output records) may export records downstream without confidentiality protection. Second, a mediator that acts as a proxy between an external (untrusted) network and an internal (trusted) network may export records without TLS when the additional overhead of TLS is unnecessary (e.g., on a physically protected network in the same locked equipment rack).
このための2つの一般的な使用例があります。まず、(例えば、出力レコードから機密性を必要とするすべての情報を除去することによって)セキュリティの必要なレベルの減少をもたらす変換を行うメディエータ下流機密性保護のないレコードをエクスポートすることができます。第二に、TLSの追加のオーバーヘッドは、例えば(不要である場合、同じロック装置ラックに物理的に保護されたネットワーク上で、TLSなしにレコードをエクスポートすることができる外部(信頼できない)ネットワークと内部(信頼できる)ネットワークとの間のプロキシとして機能メディエーター)。
There is a similar problem in the opposite direction: as an IPFIX Mediator's signature on a TLS session to a downstream Collecting Process acts as an implicit assertion of the trustworthiness of the data within the session, a poorly deployed IPFIX Mediator could be used to "legitimize" records derived from untrusted sources. Unprotected sessions from the Original Exporter are generally untrusted, because they could have been tampered with or forged by an unauthorized third party. The concern here is that a Mediator could be used to add inappropriate trust to external information whose integrity cannot be guaranteed.
反対方向に同様の問題がある:下流収集プロセスにTLSセッションにIPFIXメディエータの署名は、セッション内のデータの信頼性の暗黙的なアサーションとして作用するように、乏しい展開IPFIXメディエータ「は正当化するために使用することができます信頼できないソースから得られる "記録。彼らは改ざんや不正な第三者によって偽造されている可能性があるため、オリジナル輸出業者から保護されていないセッションは、一般的に信頼できないです。ここでの関心は、メディエータは、その整合性を保証できません外部情報への不適切な信頼を追加するために使用することができることです。
When specific deployment requirements allow, an IPFIX Mediator may export signed IPFIX Messages containing records derived from records received without integrity protection via TLS. One such deployment consideration would be the reverse of the second case above: when the Mediator acts as a proxy between an internal (trusted) and an external (untrusted) network and when the path from the Original Exporter is protected using some other method and the overhead of a TLS session is unnecessary.
特定の展開要件が許す場合には、IPFIXのメディエータは、TLSを介した完全性保護なしで受け取ったレコードから派生したレコードを含む署名IPFIXメッセージをエクスポートすることがあります。そのような展開の考慮事項は、上記第二の場合の逆であろう:メディエータは、内部(信頼できる)と外部(信頼できない)ネットワークとオリジナル輸出からのパスが保護されている場合、いくつかの他の方法を使用して間のプロキシとして動作する場合TLSセッションのオーバーヘッドは不要です。
In such cases, the IPFIX Mediator should notify the downstream Collector about the missing protection of all or part of the original record stream as part of the Transport Session Information.
このような場合には、IPFIXのメディエータは、交通セッション情報の一部として、元のレコード・ストリームの全部または一部の欠落保護に関する下流Collectorを通知しなければなりません。
Because the Transport Session between an IPFIX Mediator and an Original Exporter is independent from the Transport Session between the Mediator and the downstream Collecting Process, there is no existing method via TLS to assert the identity of the original Exporting Process downstream. However, an IPFIX Mediator, which modifies the stream of IPFIX Messages sent to it, is by definition a trusted entity in the infrastructure. Therefore, the IPFIX Mediator's signature on an outgoing Transport Session can be treated as an implicit assertion that the Original Exporter was positively identified by the Mediator and that the source information it received was trustworthy. However, as noted in the previous section, IPFIX Mediators must in this circumstance take care not to provide an inappropriate upgrade of trust.
IPFIXメディエータとオリジナル輸出業者との間のトランスポートセッションメディエータおよび下流収集プロセスの間のトランスポートセッションから独立しているので、下流元のエクスポートプロセスのアイデンティティを主張するTLSを介して既存の方法は存在しません。しかし、それに送られたIPFIXメッセージのストリームを変更するIPFIXメディエーターは、インフラストラクチャに定義によって信頼できるエンティティです。したがって、発信トランスポートセッションでIPFIXメディエータの署名オリジナル輸出を積極メディエータによって、それが受信したソース情報が信頼できるあったことが確認された暗黙的なアサーションとして扱うことができます。しかし、前節で述べたように、IPFIXメディエーターは、この状況で信頼の不適切なアップグレードを提供しないように注意する必要があります。
If the X.509 certificates [RFC5280] used to protect a Transport Session between an Original Exporter and an IPFIX Mediator are required downstream, an IPFIX Mediator may export Transport Session Information, including the exporterCertificate and the collectorCertificate Information Elements, with the Export Session Details Options Template defined in Section 8.1.3 of [RFC5655] or the Message Details Options Template defined in Section 8.1.4 of [RFC5655] in order to export this information downstream. However, in this case, the IPFIX Mediator is making an implicit assertion that the upstream session was properly protected and therefore trustworthy or that the Mediator has otherwise been configured to trust the information from the Original Exporter and, as such, must protect the Transport Session to the downstream Collector using TLS or DTLS as well.
X.509証明書[RFC5280]はオリジナル輸出業者とIPFIXのメディエータ間の交通セッションを保護するために使用する場合はIPFIXのメディエータは、エクスポートセッションの詳細と、exporterCertificateとcollectorCertificate情報要素を含め、交通セッション情報をエクスポートして、下流必要とされています[RFC5655]または下流この情報をエクスポートするために、[RFC5655]のセクション8.1.4で定義されたメッセージの詳細オプションテンプレートのセクション8.1.3で定義されたオプションのテンプレート。しかし、この場合には、IPFIXのメディエータは、上流のセッションが適切に保護され、したがって、信頼できるまたはメディエータは、そうでない場合はオリジナル輸出業者からの情報を信頼するように設定されていると、など、交通セッションを保護しなければならないということであったという暗黙の主張をしています同様TLSまたはDTLSを使用して下流のコレクターに。
Information from multiple sources may only be combined within a Mediator when that Mediator is applied for that specific purpose (e.g., spatial aggregation or concentration of records). In all other cases, an IPFIX Mediator must provide for keeping traffic data from multiple sources separate. Though the details of this are application-specific, this generally entails separating Transport
そのメディエータは、その特定の目的(例えば、空間的凝集またはレコードの濃度)に適用されたときに、複数のソースからの情報は、メディエータ内で組み合わせることができます。他のすべての場合において、IPFIXメディエータは、別個の複数のソースからのトラフィック・データを維持するために提供しなければなりません。この詳細は、アプリケーション固有のものですが、これは一般的に交通を分離することを伴います
Sessions within the Mediator and associating them with information related to the source or purpose, e.g., network or hardware address range, virtual LAN tag, interface identifiers, and so on.
メディエータ内セッションなどのソースまたは目的、例えば、ネットワークまたはハードウェア・アドレス範囲、仮想LANタグ、インタフェース識別子とに関連する情報に関連付けます。
[RFC5101] Claise, B., Ed., "Specification of the IP Flow Information Export (IPFIX) Protocol for the Exchange of IP Traffic Flow Information", RFC 5101, January 2008.
[RFC5101] Claise、B.、エド。、RFC 5101、2008年1月 "IPトラフィックフロー情報を交換するためのIPフロー情報のエクスポート(IPFIX)プロトコルの仕様"。
[RFC5470] Sadasivan, G., Brownlee, N., Claise, B., and J. Quittek, "Architecture for IP Flow Information Export", RFC 5470, March 2009.
[RFC5470] Sadasivan、G.、ブラウンリー、N.、Claise、B.、およびJ. Quittek、RFC 5470、2009年3月 "IPフロー情報のエクスポートのためのアーキテクチャ"。
[RFC5476] Claise, B., Ed., Johnson, A., and J. Quittek, "Packet Sampling (PSAMP) Protocol Specifications", RFC 5476, March 2009.
[RFC5476] Claise、B.、編。、ジョンソン、A.、およびJ. Quittek、 "パケットサンプリング(PSAMP)プロトコル仕様"、RFC 5476、2009年3月。
[RFC5655] Trammell, B., Boschi, E., Mark, L., Zseby, T., and A. Wagner, "Specification of the IP Flow Information Export (IPFIX) File Format", RFC 5655, October 2009.
[RFC5655]トラメル、B.、ボスキ、E.、マーク、L.、Zseby、T.、およびA.ワグナー、 "IPフロー情報のエクスポート(IPFIX)ファイルフォーマットの仕様"、RFC 5655、2009年10月。
[PSAMP-MIB] Dietz, T., Claise, B., and J. Quittek, "Definitions of Managed Objects for Packet Sampling", Work in Progress, March 2011.
[PSAMP-MIB]ディーツ、T.、Claise、B.、およびJ. Quittek、 "パケットサンプリングのための管理オブジェクトの定義"、進歩、2011年3月に働いています。
[RFC3917] Quittek, J., Zseby, T., Claise, B., and S. Zander, "Requirements for IP Flow Information Export (IPFIX)", RFC 3917, October 2004.
[RFC3917] Quittek、J.、Zseby、T.、Claise、B.、およびS.ザンダー、 "IPフロー情報エクスポート(IPFIX)のための要件"、RFC 3917、2004年10月。
[RFC3954] Claise, B., Ed., "Cisco Systems NetFlow Services Export Version 9", RFC 3954, October 2004.
[RFC3954] Claise、B.、エド。、 "シスコシステムズのNetFlowサービスエクスポートバージョン9"、RFC 3954、2004年10月。
[RFC4347] Rescorla, E. and N. Modadugu, "Datagram Transport Layer Security", RFC 4347, April 2006.
[RFC4347]レスコラ、E.およびN. Modadugu、 "データグラムトランスポート層セキュリティ"、RFC 4347、2006年4月。
[RFC4384] Meyer, D., "BGP Communities for Data Collection", BCP 114, RFC 4384, February 2006.
[RFC4384]マイヤー、D.、 "データ収集のためのBGPコミュニティ"、BCP 114、RFC 4384、2006年2月。
[RFC5102] Quittek, J., Bryant, S., Claise, B., Aitken, P., and J. Meyer, "Information Model for IP Flow Information Export", RFC 5102, January 2008.
[RFC5102] Quittek、J.、ブライアント、S.、Claise、B.、エイトケン、P.、およびJ.マイヤー、 "IPフロー情報のエクスポートのための情報モデル"、RFC 5102、2008年1月。
[RFC5103] Trammell, B. and E. Boschi, "Bidirectional Flow Export Using IP Flow Information Export (IPFIX)", RFC 5103, January 2008.
[RFC5103]トラメル、B.およびE.ボスキ、 "IPフロー情報のエクスポートを使用した双方向フローのエクスポート(IPFIX)"、RFC 5103、2008年1月。
[RFC5246] Dierks, T. and E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.2", RFC 5246, August 2008.
[RFC5246]ダークス、T.およびE.レスコラ、 "トランスポート層セキュリティ(TLS)プロトコルバージョン1.2"、RFC 5246、2008年8月。
[RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., and W. Polk, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 5280, May 2008.
[RFC5280]クーパー、D.、Santesson、S.、ファレル、S.、Boeyen、S.、Housley氏、R.、およびW.ポーク、「インターネットX.509公開鍵暗号基盤証明書と証明書失効リスト(CRL)のプロフィール」、RFC 5280、2008年5月。
[RFC5472] Zseby, T., Boschi, E., Brownlee, N., and B. Claise, "IP Flow Information Export (IPFIX) Applicability", RFC 5472, March 2009.
[RFC5472] Zseby、T.、ボスキ、E.、ブラウンリー、N.、およびB. Claise、 "IPフロー情報のエクスポート(IPFIX)の適用"、RFC 5472、2009年3月。
[RFC5473] Boschi, E., Mark, L., and B. Claise, "Reducing Redundancy in IP Flow Information Export (IPFIX) and Packet Sampling (PSAMP) Reports", RFC 5473, March 2009.
[RFC5473]ボスキ、E.、マーク、L.、およびB. Claise、RFC 5473、2009年3月 "IPフロー情報のエクスポート(IPFIX)とパケットサンプリング(PSAMP)レポートで冗長性を削減します"。
[RFC5474] Duffield, N., Ed., Chiou, D., Claise, B., Greenberg, A., Grossglauser, M., and J. Rexford, "A Framework for Packet Selection and Reporting", RFC 5474, March 2009.
[RFC5474]ダフィールド、N.編、Chiou、D.、Claise、B.、グリーンバーグ、A.、Grossglauser、M.、およびJ. Rexfordの、 "パケット選択及び報告のための枠組み"、RFC 5474年3月2009。
[RFC5475] Zseby, T., Molina, M., Duffield, N., Niccolini, S., and F. Raspall, "Sampling and Filtering Techniques for IP Packet Selection", RFC 5475, March 2009.
[RFC5475] Zseby、T.、モリーナ、M.、ダッフィールド、N.、ニッコリーニ、S.、およびF. Raspall、 "IPパケットの選択のためのサンプリングとフィルタリング技術"、RFC 5475、2009年3月。
[RFC5477] Dietz, T., Claise, B., Aitken, P., Dressler, F., and G. Carle, "Information Model for Packet Sampling Exports", RFC 5477, March 2009.
[RFC5477]ディーツ、T.、Claise、B.、エイトケン、P.、ドレスラー、F.、およびG.カール、RFC 5477 "情報モデルパケットサンプリングの輸出について"、2009年3月。
[RFC5481] Morton, A. and B. Claise, "Packet Delay Variation Applicability Statement", RFC 5481, March 2009.
[RFC5481]モートン、A.およびB. Claise、 "パケット遅延変動の適用に関する声明"、RFC 5481、2009年3月。
[RFC5815] Dietz, T., Ed., Kobayashi, A., Claise, B., and G. Muenz, "Definitions of Managed Objects for IP Flow Information Export", RFC 5815, April 2010.
[RFC5815]ディーツ、T.、エド。、小林、A.、Claise、B.、およびG. Muenz、RFC 5815 "IPフロー情報のエクスポートのための管理オブジェクトの定義"、2010年4月。
[RFC5982] Kobayashi, A., Ed., and B. Claise, Ed., "IP Flow Information Export (IPFIX) Mediation: Problem Statement", RFC 5982, August 2010.
。。[RFC5982]小林、A.、エド、およびB. Claise、エド、 "IPフロー情報のエクスポート(IPFIX)調停:問題文"、RFC 5982、2010年8月。
We would like to thank the following persons: Brian Trammell for his contribution regarding the improvement of the terminology section and the security considerations section; Daisuke Matsubara, Tsuyoshi Kondoh, Hiroshi Kurakami, and Haruhiko Nishida for their contribution during the initial phases of the document; Nevil Brownlee and Juergen Quittek for their technical reviews and feedback.
我々は、次の人に感謝したいと思います:ブライアン・トラメルを専門用語セクションおよびセキュリティ上の考慮事項セクションの改善に関する彼の貢献のために。大輔松原剛近藤宏Kurakami、および晴彦西田文書の初期段階での貢献のために、彼らの技術的なレビューとフィードバックのためのNevilブラウンリーとユルゲンQuittek。
Authors' Addresses
著者のアドレス
Atsushi Kobayashi Nippon Telegraph and Telephone East Corporation 26F 3-20-2, Nishi-shinjuku 3-chome Shinjuku, Tokyo 163-8019 Japan Phone: +81-3-5353-3636 EMail: akoba@orange.plala.or.jp
Atsushi Kobayashi Nippon Telegraph and Telephone East Corporation 26F 3-20-2, Nishi-shinjuku 3-chome Shinjuku, Tokyo 163-8019 Japan Phone: +81-3-5353-3636 EMail: akoba@orange.plala.or.jp
Benoit Claise Cisco Systems, Inc. De Kleetlaan 6a b1 Diegem 1831 Belgium Phone: +32 2 704 5622 EMail: bclaise@cisco.com
ブノワClaiseシスコシステムズ、株式会社デKleetlaan 6aはB1のディーゲム1831ベルギー電話:+32 2 704 5622 Eメール:bclaise@cisco.com
Gerhard Muenz Technische Universitaet Muenchen Boltzmannstr. 3 Garching 85748 Germany EMail: muenz@net.in.tum.de URI: http://www.net.in.tum.de/~muenz
ゲルハルトMuenz TECHNISCHE UniversitaetミュンヘンBoltzmannstr。 3ガルヒング85748ドイツEメール:muenz@net.in.tum.de URI:http://www.net.in.tum.de/~muenz
Keisuke Ishibashi NTT Service Integration Platform Laboratories 3-9-11 Midori-cho Musashino-shi 180-8585 Japan Phone: +81-422-59-3407 EMail: ishibashi.keisuke@lab.ntt.co.jp
Keisuke Ishibashi NTT Service Integration Platform Laboratories 3-9-11 Midori-cho Musashino-shi 180-8585 Japan Phone: +81-422-59-3407 EMail: ishibashi.keisuke@lab.ntt.co.jp