5. Traffic Filtering (トラフィックフィルタリング)
5. Traffic Filtering (トラフィックフィルタリング)
トラフィックフィルタリングポリシーは, 従来比較的静的なものと考えられてきました。これらの静的メカニズムの制限により, 3 つの新しいトラフィックフィルタリングアプリケーション向けにこの新しい動的メカニズムが設計されました:
-
トラフィックベースのサービス拒否 (DoS) 攻撃の防止
-
BGP/MPLS VPN サービスのコンテキストでのトラフィックフィルタリング
-
SDN/NFV ネットワークの集中型トラフィック制御
これらのアプリケーションには, サービスプロバイダ間の調整および/またはサービスプロバイダ内の AS 間の調整が必要です。
セクション 4 で定義された Flow Specification NLRI は, 破棄されるべき, または一連の事前定義された操作 (BGP Extended Communities で定義) によって指定された方法で処理されるべきトラフィックに関するトラフィックフィルタリングルールの情報を伝達します。このメカニズムは主に, 上流の自律システムが, 特定の下流 AS が破棄したいトラフィックに対してその入力ルータで受信フィルタリングを実行できるように設計されています。
この目標を達成するために, このドキュメントは, トラフィックフィルタと BGP Extended Communities 内の一連の操作エンコーディングを提供する 2 つのアプリケーション固有の NLRI 識別子を指定します。これらの 2 つのアプリケーション固有の NLRI 識別子は次のとおりです:
-
IPv4 Flow Specification 識別子 (AFI=1, SAFI=133) および IPv4 ルーティングの特定のセマンティックルール, および
-
VPNv4 Flow Specification 識別子 (AFI=1, SAFI=134) 値, これは BGP/MPLS VPN 環境でトラフィックフィルタリング情報を伝播するために使用できます。
NLRI のエンコーディングは, IPv4 Flow Specification についてはセクション 4 で, VPNv4 Flow Specification についてはセクション 8 で説明されています。フィルタリング操作はセクション 7 で説明されています。