1. Introduction (はじめに)
1. Introduction (はじめに)
このドキュメントは "Dissemination of Flow Specification Rules" [RFC5575] を廃止します (相違点については付録 B を参照)。このドキュメントは, セクション 7.4 で BGP Flow Specification Redirect Extended Community のエンコーディングを組み込んでいるため, "Clarification of the Flowspec Redirect Extended Community" [RFC7674] も廃止します。
最新の IP ルータは, トラフィックを転送し, 管理上定義されたポリシーに基づいてパケットを分類, 整形, レート制限, フィルタリング, またはリダイレクトする機能を備えています。これらのトラフィックポリシーメカニズムにより, オペレータはパケットヘッダーの複数のフィールドで動作する一致ルールを定義できます。上記で説明したようなアクションは, 各ルールに関連付けることができます。
一致基準で構成される n タプルは, 集約トラフィックフロー仕様 (Flow Specification) を定義します。一致基準には, 送信元および宛先アドレスプレフィックス, IP プロトコル, トランスポートプロトコルポート番号などの要素を含めることができます。
このドキュメントのセクション 4 は, 集約トラフィックフローの Flow Specifications をエンコードして BGP [RFC4271] NLRI として配布できるようにする一般的な手順を定義します。さらに, このドキュメントのセクション 7 は, DoS および DDoS 攻撃を軽減するために, BGP を使用してプロバイダ内およびプロバイダ間でトラフィックフィルタリングルールを配布する, 必要な Traffic Filtering Actions BGP Extended Communities とメカニズムを定義します。
Flow Specifications でルーティング情報を拡張することにより, ルーティングシステムはルータの転送パスの ACL (Access Control List) またはファイアウォール機能を活用できます。Flow Specifications は, ユニキャストプレフィックスへのより具体的なルーティングエントリと見なすことができ, 既存のユニキャストデータ情報に依存することが期待されます。
外部自律システムから受信した Flow Specification は, 受け入れられる前にユニキャストルーティングに対して検証される必要があります (セクション 6)。同じ自律システム [RFC4271] 内の内部 BGP ピアから受信した Flow Specification は, 自律システムの内部 BGP (iBGP) メッシュ内で送信される前に検証されていると想定されます。ユニキャスト宛先プレフィックスによって定義された集約トラフィックフローが特定の BGP ピアに転送される場合, ローカルシステムは, このシステムによって要求されたように, 異なる転送動作をもたらす可能性のある, より具体的な Flow Specifications をインストールできます。
運用の観点から, この情報のキャリアとして BGP を利用することで, ネットワークサービスプロバイダは内部ルート配布インフラストラクチャ (たとえば, ルートリフレクタまたはコンフェデレーション設計) と既存の外部関係 (たとえば, 顧客ネットワークへのドメイン間 BGP セッション) の両方を再利用できます。
他のメカニズムを使用してこの問題に対処することは確かに可能ですが, このソリューションは, すでに配備されたメカニズムへの段階的な追加であるという実質的な利点があるため, 配備で使用されています。
この拡張の可能なアプリケーションは次のとおりです: DoS および DDoS 攻撃を軽減するために必要な, トラフィックフィルタリングの自動化されたドメイン間調整, または BGP/MPLS VPN サービスのコンテキストでのトラフィックフィルタリング。他のアプリケーション (たとえば, Software-Defined Networking (SDN) または Network Function Virtualization (NFV) コンテキストでの集中型トラフィック制御) も可能です。
現在の配備では, この拡張によって配布される情報は手動でも自動でも開始され, 後者は悪意のあるトラフィックフローを検出できるシステムによって開始されます。自動化されたシステムを使用する場合は, 自動化されたシステムの正確性を確保するように注意する必要があります。これらの自動化された Flow Specifications を処理する必要がある受信システムの制限も考慮する必要があります (セクション 12 も参照)。
この仕様は, IPv4 ユニキャストおよび VPNv4 ユニキャストフィルタリングの最も一般的なアプリケーションに対処するために必要なプロトコル拡張を定義します。同じメカニズムを再利用でき, IPv6 ファミリ [RFC8956] などの他の BGP アドレスファミリの同様のフィルタリングニーズに対処するために新しい一致基準を追加できます。