2. MUD模型和语义含义 (The MUD Model and Semantic Meaning)

MUD文件由以JSON格式序列化的YANG模型实例组成 [RFC7951]。对于MUD而言,可修改的节点是经本模型增强的访问控制列表。MUD文件限制为仅序列化以下YANG模式:

• ietf-access-control-list [RFC8519]
• ietf-mud (RFC 8520)
• ietf-acldns (RFC 8520)

扩展可用于添加额外的模式。这将在后文进一步描述。

为了提供最广泛的部署可能性,MUD文件的发布者应该利用本备忘录中的抽象,并避免使用IP地址。MUD管理器不应该自动实现任何包含IP地址的MUD文件,尤其是那些可能具有本地意义的IP地址。访问控制列表一侧的地址是隐式的,基于它是作为to-device-policy还是from-device-policy应用的。

除了ACL的"name"、"type"、访问控制条目 (ACE) 的"name"以及TCP和UDP源和目标端口信息之外,MUD文件的发布者应该将ACL模型叶节点的使用限制在本规范中找到的那些。在没有任何扩展的情况下,假定MUD文件仅实现以下ACL模型特性:

• match-on-ipv4, match-on-ipv6, match-on-tcp, match-on-udp, match-on-icmp

此外,应该仅包括"accept"或"drop"操作。MUD管理器可以选择将"reject"解释为"drop"。MUD管理器应该忽略所有其他操作。这是因为制造商在本地部署中没有足够的上下文来知道reject是否合适。这是应该留给网络管理员的决定。

鉴于MUD不处理接口,"ietf-interfaces"模块 [RFC8343] 的支持不是必需的。具体而言,不需要支持ACL YANG模块的接口相关特性和分支 (例如interface-attachment和interface-stats)。

实际上,MUD管理器可以忽略描述的任何特定组件,或者可以完全忽略该描述,并且它们应该仔细检查所有MUD描述。MUD文件的发布者不得包含除第3.9节中描述的其他节点。有关更多信息,请参见该节。