IPv6フローラベル仕様

英文を機械翻訳で日本語訳としています。日本語訳が正しくないことが考えられますので原文をメインとし、参考程度にご利用ください。

日本語訳

Internet Engineering Task Force (IETF)                         S. Amante
Request for Comments: 6437                                       Level 3
Obsoletes: 3697                                             B. Carpenter
Updates: 2205, 2460                                    Univ. of Auckland
Category: Standards Track                                       S. Jiang
ISSN: 2070-1721                                                   Huawei
                                                            J. Rajahalme
                                                  Nokia Siemens Networks
                                                           November 2011


                     IPv6 Flow Label Specification

IPv6フローラベル仕様


Abstract

概要


   This document specifies the IPv6 Flow Label field and the minimum
   requirements for IPv6 nodes labeling flows, IPv6 nodes forwarding
   labeled packets, and flow state establishment methods.  Even when
   mentioned as examples of possible uses of the flow labeling, more
   detailed requirements for specific use cases are out of the scope for
   this document.

このドキュメントでは、IPv6フローラベルフィールドと、フローにラベルを付けるIPv6ノード、ラベル付きパケットを転送するIPv6ノード、およびフロー状態確立方法の最小要件を指定します。 フローラベリングの可能な使用例として言及されている場合でも、特定の使用例に関するより詳細な要件は、このドキュメントの範囲外です。


   The usage of the Flow Label field enables efficient IPv6 flow
   classification based only on IPv6 main header fields in fixed
   positions.

Flow Labelフィールドを使用すると、固定位置のIPv6メインヘッダーフィールドのみに基づいて、効率的なIPv6フロー分類が可能になります。


Status of This Memo

このメモのステータス


   This is an Internet Standards Track document.

これはInternet Standards Trackドキュメントです。


   This document is a product of the Internet Engineering Task Force
   (IETF).  It represents the consensus of the IETF community.  It has
   received public review and has been approved for publication by the
   Internet Engineering Steering Group (IESG).  Further information on
   Internet Standards is available in Section 2 of RFC 5741.

このドキュメントは、IETF(Internet Engineering Task Force)の製品です。 これは、IETFコミュニティのコンセンサスを表しています。 公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。 インターネット標準の詳細については、RFC 5741のセクション2を参照してください。


   Information about the current status of this document, any errata,
   and how to provide feedback on it may be obtained at
   http://www.rfc-editor.org/info/rfc6437.

このドキュメントの現在のステータス、正誤表、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc6437で入手できます。













Amante, et al.               Standards Track                    [Page 1]

RFC 6437              IPv6 Flow Label Specification        November 2011


Copyright Notice

著作権表示


   Copyright (c) 2011 IETF Trust and the persons identified as the
   document authors.  All rights reserved.

Copyright(c)2011 IETF Trustおよびドキュメントの作成者として識別された人物。 全著作権所有。


   This document is subject to BCP 78 and the IETF Trust's Legal
   Provisions Relating to IETF Documents
   (http://trustee.ietf.org/license-info) in effect on the date of
   publication of this document.  Please review these documents
   carefully, as they describe your rights and restrictions with respect
   to this document.  Code Components extracted from this document must
   include Simplified BSD License text as described in Section 4.e of
   the Trust Legal Provisions and are provided without warranty as
   described in the Simplified BSD License.

この文書は、BCP 78およびIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象であり、この文書の発行日に有効です。 これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。 このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。


   This document may contain material from IETF Documents or IETF
   Contributions published or made publicly available before November
   10, 2008.  The person(s) controlling the copyright in some of this
   material may not have granted the IETF Trust the right to allow
   modifications of such material outside the IETF Standards Process.
   Without obtaining an adequate license from the person(s) controlling
   the copyright in such materials, this document may not be modified
   outside the IETF Standards Process, and derivative works of it may
   not be created outside the IETF Standards Process, except to format
   it for publication as an RFC or to translate it into languages other
   than English.

このドキュメントには、2008年11月10日より前に公開または公開されたIETFドキュメントまたはIETFコントリビューションの資料が含まれている場合があります。 この資料の一部で著作権を管理している人が、IETFトラストに、IETF標準プロセスの範囲外でそのような資料の変更を許可する権利を付与していない可能性があります。 このような資料の著作権を管理する人から適切なライセンスを取得しないと、このドキュメントはIETF標準プロセス外で変更できず、その形式を除いて、IETF標準プロセス外でその派生物を作成できません。 RFCとして、またはそれを英語以外の言語に翻訳するための出版物。


Table of Contents

   1.  Introduction . . . . . . . . . . . . . . . . . . . . . . . . .  3
   2.  IPv6 Flow Label Specification  . . . . . . . . . . . . . . . .  4
   3.  Flow Labeling Requirements in the Stateless Scenario . . . . .  5
   4.  Flow State Establishment Requirements  . . . . . . . . . . . .  7
   5.  Essential Correction to RFC 2205 . . . . . . . . . . . . . . .  7
   6.  Security Considerations  . . . . . . . . . . . . . . . . . . .  7
     6.1.  Covert Channel Risk  . . . . . . . . . . . . . . . . . . .  8
     6.2.  Theft and Denial of Service  . . . . . . . . . . . . . . .  8
     6.3.  IPsec and Tunneling Interactions . . . . . . . . . . . . . 10
     6.4.  Security Filtering Interactions  . . . . . . . . . . . . . 11
   7.  Differences from RFC 3697  . . . . . . . . . . . . . . . . . . 11
   8.  Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . 11
   9.  References . . . . . . . . . . . . . . . . . . . . . . . . . . 12
     9.1.  Normative References . . . . . . . . . . . . . . . . . . . 12
     9.2.  Informative References . . . . . . . . . . . . . . . . . . 12
   Appendix A.  Example 20-Bit Hash Function  . . . . . . . . . . . . 14

   1.はじめに. . . . . . . . . . . . . . . . . . . . . . . . . 3
   2. IPv6フローラベル仕様. . . . . . . . . . . . . . . . 4
   3.ステートレスシナリオのフローラベル付け要件. . . . . 5
   4.フロー状態の確立要件. . . . . . . . . . . . 7
   5. RFC 2205に対する本質的な修正. . . . . . . . . . . . . . . 7
   6.セキュリティに関する考慮事項. . . . . . . . . . . . . . . . . . . 7
     6.1.コバートチャネルリスク. . . . . . . . . . . . . . . . . . . 8
     6.2.盗難とサービス拒否. . . . . . . . . . . . . . . 8
     6.3. IPsecおよびトンネリングインタラクション. . . . . . . . . . . . . 10
     6.4.セキュリティフィルタリング相互作用. . . . . . . . . . . . . 11
   7. RFC 3697との違い. . . . . . . . . . . . . . . . . . 11
   8.謝辞. . . . . . . . . . . . . . . . . . . . . . . 11
   9.参考資料. . . . . . . . . . . . . . . . . . . . . . . . . . 12
     9.1.規範的参照. . . . . . . . . . . . . . . . . . . 12
     9.2.有益な参照. . . . . . . . . . . . . . . . . . 12
   付録A. 20ビットハッシュ関数の例. . . . . . . . . . . 14





Amante, et al.               Standards Track                    [Page 2]

RFC 6437              IPv6 Flow Label Specification        November 2011


1.  Introduction

1.はじめに


   From the viewpoint of the network layer, a flow is a sequence of
   packets sent from a particular source to a particular unicast,
   anycast, or multicast destination that a node desires to label as a
   flow.  From an upper-layer viewpoint, a flow could consist of all
   packets in one direction of a specific transport connection or media
   stream.  However, a flow is not necessarily 1:1 mapped to a transport
   connection.

ネットワーク層の観点から見ると、フローは、特定のソースから特定のユニキャスト、エニーキャスト、またはマルチキャストの宛先に送信される一連のパケットであり、ノードはフローとしてラベル付けすることを望んでいます。 上位層の観点から見ると、特定のトランスポート接続またはメディアストリームの一方向のすべてのパケットでフローを構成できます。 ただし、フローは必ずしもトランスポート接続に1:1でマッピングされるわけではありません。


   Traditionally, flow classifiers have been based on the 5-tuple of the
   source address, destination address, source port, destination port,
   and the transport protocol type.  However, some of these fields may
   be unavailable due to either fragmentation or encryption, or locating
   them past a chain of IPv6 extension headers may be inefficient.
   Additionally, if classifiers depend only on IP-layer headers, later
   introduction of alternative transport-layer protocols will be easier.

従来、フロー分類子は、送信元アドレス、宛先アドレス、送信元ポート、宛先ポート、およびトランスポートプロトコルタイプの5タプルに基づいていました。 ただし、これらのフィールドの一部は、断片化または暗号化のために使用できない場合があります。または、IPv6拡張ヘッダーのチェーンを越えてそれらを見つけるのは効率的でない場合があります。 さらに、分類子がIPレイヤーヘッダーのみに依存している場合は、後で代替トランスポートレイヤープロトコルを導入する方が簡単です。


   The usage of the 3-tuple of the Flow Label, Source Address, and
   Destination Address fields enables efficient IPv6 flow
   classification, where only IPv6 main header fields in fixed positions
   are used.

フローラベル、送信元アドレス、および宛先アドレスのフィールドの3タプルを使用すると、IPv6フローを効率的に分類でき、固定位置のIPv6メインヘッダーフィールドのみが使用されます。


   The flow label could be used in both stateless and stateful
   scenarios.  A stateless scenario is one where any node that processes
   the flow label in any way does not need to store any information
   about a flow before or after a packet has been processed.  A stateful
   scenario is one where a node that processes the flow label value
   needs to store information about the flow, including the flow label
   value.  A stateful scenario might also require a signaling mechanism
   to inform downstream nodes that the flow label is being used in a
   certain way and to establish flow state in the network.  For example,
   RSVP [RFC2205] and General Internet Signaling Transport (GIST)
   [RFC5971] can signal flow label values.

フローラベルは、ステートレスシナリオとステートフルシナリオの両方で使用できます。 ステートレスシナリオは、フローラベルを何らかの方法で処理するノードが、パケットが処理される前または後にフローに関する情報を格納する必要がないシナリオです。 ステートフルシナリオは、フローラベル値を処理するノードが、フローラベル値を含むフローに関する情報を格納する必要があるシナリオです。 ステートフルシナリオでは、フローラベルが特定の方法で使用されていることをダウンストリームノードに通知し、ネットワークでフロー状態を確立するためのシグナリングメカニズムも必要になる場合があります。 たとえば、RSVP [RFC2205]およびGeneral Internet Signaling Transport(GIST)[RFC5971]は、フローラベル値を通知できます。


   The flow label can be used most simply in stateless scenarios.  This
   specification concentrates on the stateless model and how it can be
   used as a default mechanism.  Details of stateful models, signaling,
   specific flow state establishment methods, and their related service
   models are out of scope for this specification.  The basic
   requirement for stateful models is set forth in Section 4.

フローラベルは、ステートレスシナリオで最も簡単に使用できます。 この仕様は、ステートレスモデルと、それをデフォルトのメカニズムとして使用する方法に焦点を当てています。 ステートフルモデル、シグナリング、特定のフロー状態確立方法、およびそれらに関連するサービスモデルの詳細は、この仕様の範囲外です。 ステートフルモデルの基本的な要件は、セクション4で説明されています。


   The minimum level of IPv6 flow support consists of labeling the
   flows.  A specific goal is to enable and encourage the use of the
   flow label for various forms of stateless load distribution,
   especially across Equal Cost Multi-Path (ECMP) and/or Link
   Aggregation Group (LAG) paths.  ECMP and LAG are methods to bond
   together multiple physical links used to procure the required



Amante, et al.               Standards Track                    [Page 3]

RFC 6437              IPv6 Flow Label Specification        November 2011


   capacity necessary to carry an offered load greater than the
   bandwidth of an individual physical link.  Further details are in a
   separate document [RFC6438].  IPv6 source nodes SHOULD be able to
   label known flows (e.g., TCP connections and application streams),
   even if the node itself does not require any flow-specific treatment.
   Node requirements for stateless flow labeling are given in Section 3.

IPv6フローサポートの最小レベルは、フローのラベル付けで構成されます。 具体的な目標は、特に等コストマルチパス(ECMP)パスやリンク集約グループ(LAG)パス全体で、さまざまな形式のステートレス負荷分散にフローラベルの使用を有効にして推奨することです。 ECMPとLAGは、個々の物理リンクの帯域幅よりも大きい提供された負荷を運ぶのに必要な必要な容量を調達するために使用される複数の物理リンクを結合する方法です。 詳細は別のドキュメント[RFC6438]にあります。 IPv6ソースノードは、ノード自体がフロー固有の処理を必要としない場合でも、既知のフロー(TCP接続やアプリケーションストリームなど)にラベルを付けることができる必要があります(SHOULD)。 ステートレスフローラベリングのノード要件は、セクション3に記載されています。


   This document replaces [RFC3697] and Section 6 and Appendix A of
   [RFC2460].  A rationale for the changes made is documented in
   [RFC6436].  The present document also includes a correction to
   [RFC2205] concerning the flow label.

この文書は、[RFC3697]と、[RFC2460]のセクション6および付録Aに代わるものです。 行われた変更の根拠は[RFC6436]に文書化されています。 このドキュメントには、フローラベルに関する[RFC2205]の修正も含まれています。


   The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT",
   "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and
   "OPTIONAL" in this document are to be interpreted as described in
   [RFC2119].

キーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「NOT RECOMMENDED」、「MAY」、「OPTIONAL このドキュメントの "は、[RFC2119]で説明されているように解釈されます。


2.  IPv6 Flow Label Specification

2. IPv6フローラベル仕様


   The 20-bit Flow Label field in the IPv6 header [RFC2460] is used by a
   node to label packets of a flow.  A Flow Label of zero is used to
   indicate packets that have not been labeled.  Packet classifiers can
   use the triplet of Flow Label, Source Address, and Destination
   Address fields to identify the flow to which a particular packet
   belongs.  Packets are processed in a flow-specific manner by nodes
   that are able to do so in a stateless manner or that have been set up
   with flow-specific state.  The nature of the specific treatment and
   the methods for flow state establishment are out of scope for this
   specification.

IPv6ヘッダー[RFC2460]の20ビットのフローラベルフィールドは、ノードがフローのパケットにラベルを付けるために使用されます。 ゼロのフローラベルは、ラベル付けされていないパケットを示すために使用されます。 パケット分類子は、フローラベル、送信元アドレス、および宛先アドレスの3つのフィールドを使用して、特定のパケットが属するフローを識別できます。 パケットは、ステートレスな方法で処理できる、またはフロー固有の状態でセットアップされたノードによって、フロー固有の方法で処理されます。 特定の処理の性質とフロー状態を確立する方法は、この仕様の範囲外です。


   Flow label values should be chosen such that their bits exhibit a
   high degree of variability, making them suitable for use as part of
   the input to a hash function used in a load distribution scheme.  At
   the same time, third parties should be unlikely to be able to guess
   the next value that a source of flow labels will choose.

フローラベルの値は、ビットの変動性が高く、負荷分散方式で使用されるハッシュ関数への入力の一部として使用できるように選択する必要があります。 同時に、サードパーティがフローラベルのソースが選択する次の値を推測できないようにする必要があります。


   In statistics, a discrete uniform distribution is defined as a
   probability distribution in which each value in a given range of
   equally spaced values (such as a sequence of integers) is equally
   likely to be chosen as the next value.  The values in such a
   distribution exhibit both variability and unguessability.  Thus, as
   specified in Section 3, an approximation to a discrete uniform
   distribution is preferable as the source of flow label values.
   Intentionally, there are no precise mathematical requirements placed
   on the distribution or the method used to achieve such a
   distribution.

統計では、離散一様分布は、等間隔の値の所定の範囲(整数のシーケンスなど)の各値が次の値として等しく選択される確率分布として定義されます。 このような分布の値は、変動性と推測不可能性の両方を示します。 したがって、セクション3で指定されているように、フローラベル値のソースとして、離散一様分布への近似が望ましいです。 意図的に、分布またはそのような分布を達成するために使用される方法に課される正確な数学的要件はありません。






Amante, et al.               Standards Track                    [Page 4]

RFC 6437              IPv6 Flow Label Specification        November 2011


   Once set to a non-zero value, the Flow Label is expected to be
   delivered unchanged to the destination node(s).  A forwarding node
   MUST either leave a non-zero flow label value unchanged or change it
   only for compelling operational security reasons as described in
   Section 6.1.

ゼロ以外の値に設定すると、フローラベルは変更されずに宛先ノードに配信されます。 転送ノードは、非ゼロのフローラベル値を変更しないか、セクション6.1で説明されているように、説得力のある運用上のセキュリティ上の理由でのみ変更する必要があります。


   There is no way to verify whether a flow label has been modified en
   route or whether it belongs to a uniform distribution.  Therefore, no
   Internet-wide mechanism can depend mathematically on unmodified and
   uniformly distributed flow labels; they have a "best effort" quality.
   Implementers should be aware that the flow label is an unprotected
   field that could have been accidentally or intentionally changed en
   route (see Section 6).  This leads to the following formal rule:

フローラベルが途中で変更されたかどうか、または均一分布に属しているかどうかを確認する方法はありません。 したがって、インターネット全体のメカニズムは、数学的に変更されていない均一に分散されたフローラベルに数学的に依存することはできません。 彼らは「ベストエフォート」品質を持っています。 実装者は、フローラベルが途中で誤ってまたは意図的に変更された可能性がある保護されていないフィールドであることを認識する必要があります(セクション6を参照)。 これは、次の正式なルールにつながります。


   o  Forwarding nodes such as routers and load distributors MUST NOT
      depend only on Flow Label values being uniformly distributed.  In
      any usage such as a hash key for load distribution, the Flow Label
      bits MUST be combined at least with bits from other sources within
      the packet, so as to produce a constant hash value for each flow
      and a suitable distribution of hash values across flows.
      Typically, the other fields used will be some or all components of
      the usual 5-tuple.  In this way, load distribution will still
      occur even if the Flow Label values are poorly distributed.

ルーターやロードディストリビューターなどの転送ノードは、均一に分散されているフローラベル値のみに依存してはなりません。 負荷分散のハッシュキーなどの使用法では、フローラベルビットを少なくともパケット内の他のソースからのビットと組み合わせて、フローごとに一定のハッシュ値とフロー全体のハッシュ値の適切な分散を生成する必要があります 。 通常、使用される他のフィールドは、通常の5タプルの一部またはすべてのコンポーネントになります。 このようにして、フローラベルの値が適切に分散されていなくても、負荷分散が行われます。


   Although uniformly distributed flow label values are recommended
   below, and will always be helpful for load distribution, it is unsafe
   to assume their presence in the general case, and the use case needs
   to work even if the flow label value is zero.

以下に均一に分散されたフローラベル値をお勧めしますが、これは常に負荷分散に役立ちますが、一般的な場合にそれらの存在を想定するのは危険であり、フローラベル値がゼロであってもユースケースが機能する必要があります。


   As a general practice, packet flows should not be reordered, and the
   use of the Flow Label field does not affect this.  In particular, a
   Flow label value of zero does not imply that reordering is
   acceptable.

一般的な方法として、パケットフローの順序を変更しないでください。フローラベルフィールドを使用しても影響はありません。 特に、ゼロのフローラベル値は、並べ替えが許容されることを意味しません。


3.  Flow Labeling Requirements in the Stateless Scenario

3.ステートレスシナリオのフローラベル付け要件


   This section defines the minimum requirements for methods of setting
   the flow label value within the stateless scenario of flow label
   usage.

このセクションでは、フローラベル使用のステートレスシナリオ内でフローラベル値を設定する方法の最小要件を定義します。


   To enable Flow-Label-based classification, source nodes SHOULD assign
   each unrelated transport connection and application data stream to a
   new flow.  A typical definition of a flow for this purpose is any set
   of packets carrying the same 5-tuple {dest addr, source addr,
   protocol, dest port, source port}.  It should be noted that a source
   node always has convenient and efficient access to this 5-tuple,
   which is not always the case for nodes that subsequently forward the
   packet.

フローラベルベースの分類を有効にするには、ソースノードは、関係のない各トランスポート接続とアプリケーションデータストリームを新しいフローに割り当てる必要があります(SHOULD)。 この目的のためのフローの一般的な定義は、同じ5タプル{dest addr、source addr、protocol、dest port、source port}を運ぶパケットのセットです。 送信元ノードは常にこの5タプルへの便利で効率的なアクセス権を持っていることに注意してください。これは、その後パケットを転送するノードの場合は常にそうとは限りません。




Amante, et al.               Standards Track                    [Page 5]

RFC 6437              IPv6 Flow Label Specification        November 2011


   It is desirable that flow label values should be uniformly
   distributed to assist load distribution.  It is therefore RECOMMENDED
   that source hosts support the flow label by setting the flow label
   field for all packets of a given flow to the same value chosen from
   an approximation to a discrete uniform distribution.  Both stateful
   and stateless methods of assigning a value could be used, but it is
   outside the scope of this specification to mandate an algorithm.  The
   algorithm SHOULD ensure that the resulting flow label values are
   unique with high probability.  However, if two simultaneous flows are
   assigned the same flow label value by chance and have the same source
   and destination addresses, it simply means that they will receive the
   same flow label treatment throughout the network.  As long as this is
   a low-probability event, it will not significantly affect load
   distribution.

負荷分散を支援するために、フローラベル値が均一に分散されることが望ましいです。 したがって、ソースホストは、特定のフローのすべてのパケットのフローラベルフィールドを、離散的な均一分布への近似から選択された同じ値に設定することにより、フローラベルをサポートすることをお勧めします。 値を割り当てるには、ステートフルとステートレスの両方の方法を使用できますが、アルゴリズムを義務付けることはこの仕様の範囲外です。 アルゴリズムは、結果のフローラベル値が高い確率で一意であることを保証する必要があります(SHOULD)。 ただし、2つの同時フローに偶然同じフローラベル値が割り当てられ、送信元アドレスと宛先アドレスが同じである場合、ネットワーク全体で同じフローラベルの扱いを受けることを意味します。 これが低確率のイベントである限り、負荷分散に大きな影響はありません。


   A possible stateless algorithm is to use a suitable 20-bit hash of
   values from the IP packet's 5-tuple.  A simple example hash function
   is described in Appendix A.

可能なステートレスアルゴリズムは、IPパケットの5タプルからの値の適切な20ビットハッシュを使用することです。 簡単なハッシュ関数の例を付録Aで説明します。


   An alternative approach is to use a pseudo-random number generator to
   assign a flow label value for a given transport session; such a
   method will require minimal local state to be kept at the source node
   by recording the flow label associated with each transport socket.

別の方法は、疑似乱数ジェネレータを使用して、特定のトランスポートセッションにフローラベル値を割り当てることです。 このような方法では、各トランスポートソケットに関連付けられたフローラベルを記録することにより、発信元ノードで最小限のローカル状態を維持する必要があります。


   Viewed externally, either of these approaches will produce values
   that appear to be uniformly distributed and pseudo-random.

外部から見ると、これらのアプローチのいずれかは、均一に分散され、疑似ランダムに見える値を生成します。


   An implementation in which flow labels are assigned sequentially is
   NOT RECOMMENDED, as it would then be simple for on-path observers to
   guess the next value.

フローラベルが順次割り当てられる実装は推奨されません。これは、パス上のオブザーバーが次の値を推測するのが簡単になるためです。


   A source node that does not otherwise set the flow label MUST set its
   value to zero.

フローラベルを設定しないソースノードは、その値をゼロに設定する必要があります。


   A node that forwards a flow whose flow label value in arriving
   packets is zero MAY change the flow label value.  In that case, it is
   RECOMMENDED that the forwarding node sets the flow label field for a
   flow to a uniformly distributed value as just described for source
   nodes.

到着パケットのフローラベル値がゼロであるフローを転送するノードは、フローラベル値を変更できます(MAY)。 その場合、転送元ノードがフローのフローラベルフィールドをソースノードについて説明したように均一に分散された値に設定することをお勧めします。


   o  The same considerations apply as to source hosts setting the flow
      label; in particular, the preferred case is that a flow is defined
      by the 5-tuple.  However, there are cases in which the complete
      5-tuple for all packets is not readily available to a forwarding
      node, in particular for fragmented packets.  In such cases, a flow
      can be defined by fewer IPv6 header fields, typically using only
      the 2-tuple {dest addr, source addr}.  There are alternative
      approaches that implementers could choose, such as:

フローラベルを設定するソースホストと同じ考慮事項が適用されます。 特に、好ましいケースは、フローが5タプルによって定義される場合です。 ただし、特にフラグメント化されたパケットの場合、すべてのパケットの完全な5タプルを転送ノードですぐに利用できない場合があります。 このような場合、通常は2タプル{dest addr、source addr}のみを使用して、より少ないIPv6ヘッダーフィールドでフローを定義できます。 実装者が選択できる代替アプローチは次のとおりです。




Amante, et al.               Standards Track                    [Page 6]

RFC 6437              IPv6 Flow Label Specification        November 2011


      *  A forwarding node might use the 5-tuple to define a flow
         whenever possible but use the 2-tuple when the complete 5-tuple
         is not available.  In this case, unfragmented and fragmented
         packets belonging to the same transport session would receive
         different flow label values, altering the effect of subsequent
         load distribution based on the flow label.

転送ノードは、可能な場合は常に5タプルを使用してフローを定義しますが、完全な5タプルが利用できない場合は2タプルを使用します。 この場合、同じトランスポートセッションに属するフラグメント化されていないパケットとフラグメント化されたパケットは、異なるフローラベル値を受け取り、フローラベルに基づいて後続の負荷分散の効果を変更します。


      *  A forwarding node might use the 2-tuple to define a flow in all
         cases.  In this case, subsequent load distribution would be
         based only on IP addresses.

転送ノードは、すべてのケースで2タプルを使用してフローを定義する場合があります。 この場合、後続の負荷分散はIPアドレスのみに基づいて行われます。


   o  The option to set the flow label in a forwarding node, if
      implemented, would presumably be of value in first-hop or ingress
      routers.  It might place a considerable per-packet processing load
      on them, even if they adopted a stateless method of flow
      identification and label assignment.  However, it will not
      interfere with host-to-router load sharing [RFC4311].  It needs to
      be under the control of network managers, to avoid unwanted
      processing load and any other undesirable effects.  For this
      reason, it MUST be a configurable option, disabled by default.

転送ノードにフローラベルを設定するオプションが実装されている場合、これはおそらく、ファーストホップまたは入力ルーターで価値があります。 フローの識別とラベルの割り当てにステートレスな方法を採用している場合でも、パケットごとにかなりの処理負荷がかかる可能性があります。 ただし、ホストからルーターへの負荷分散には影響しません[RFC4311]。 不要な処理負荷やその他の望ましくない影響を回避するために、ネットワーク管理者の管理下にある必要があります。 このため、デフォルトでは無効になっている構成可能なオプションである必要があります。


   The preceding rules taken together allow a given network to include
   routers that set flow labels on behalf of hosts that do not do so.
   The complications described explain why the principal recommendation
   is that the source hosts should set the label.

前述のルールをまとめると、特定のネットワークに、そうしないホストに代わってフローラベルを設定するルーターを含めることができます。 説明されている複雑さは、送信元ホストがラベルを設定するべきであるという主な推奨事項である理由を説明しています。


4.  Flow State Establishment Requirements

4.フロー状態の確立要件


   A node that sets the flow label MAY also take part in a flow state
   establishment method that results in assigning specific treatments to
   specific flows, possibly including signaling.  Any such method MUST
   NOT disturb nodes taking part in the stateless scenario just
   described.  Thus, any node that sets flow label values according to a
   stateful scheme MUST choose labels that conform to Section 3 of this
   specification.  Further details are not discussed in this document.

フローラベルを設定するノードは、特定の処理を特定のフローに割り当てることになるフロー状態確立メソッドにも参加する場合があります(シグナリングなど)。 このようなメソッドは、上記のステートレスシナリオに参加しているノードを妨害してはなりません。 したがって、ステートフルスキームに従ってフローラベル値を設定するノードは、この仕様のセクション3に準拠するラベルを選択する必要があります。 詳細については、このドキュメントでは説明しません。


5.  Essential Correction to RFC 2205

5. RFC 2205に対する本質的な修正


   [RFC2460] reduced the size of the flow label field from 24 to 20
   bits.  The references to a 24-bit flow label field in Section A.9 of
   [RFC2205] are updated accordingly.

[RFC2460]フローラベルフィールドのサイズを24ビットから20ビットに削減しました。 [RFC2205]のセクションA.9の24ビットフローラベルフィールドへの参照は、それに応じて更新されます。


6.  Security Considerations

6.セキュリティに関する考慮事項


   This section considers security issues raised by the use of the Flow
   Label, including the potential for denial-of-service attacks and the
   related potential for theft of service by unauthorized traffic
   (Section 6.2).  Section 6.3 addresses the use of the Flow Label in



Amante, et al.               Standards Track                    [Page 7]

RFC 6437              IPv6 Flow Label Specification        November 2011


   the presence of IPsec, including its interaction with IPsec tunnel
   mode and other tunneling protocols.  We also note that inspection of
   unencrypted Flow Labels may allow some forms of traffic analysis by
   revealing some structure of the underlying communications.  Even if
   the flow label was encrypted, its presence as a constant value in a
   fixed position might assist traffic analysis and cryptoanalysis.

このセクションでは、サービス拒否攻撃の可能性や、許可されていないトラフィックによるサービスの盗用の可能性など、フローラベルの使用によって引き起こされるセキュリティの問題について検討します(セクション6.2)。 セクション6.3では、IPsecが存在する場合のフローラベルの使用について、IPsecトンネルモードや他のトンネリングプロトコルとの相互作用を含めて扱います。 また、暗号化されていないフローラベルを検査すると、基礎となる通信の構造を明らかにすることにより、ある種の形式のトラフィック分析が可能になる場合があります。 フローラベルが暗号化されている場合でも、固定位置の定数値としての存在は、トラフィック分析および暗号分析に役立つ場合があります。


   The flow label is not protected in any way, even if IPsec
   authentication [RFC4302] is in use, so it can be forged by an on-path
   attacker.  Implementers are advised that any en-route change to the
   flow label value is undetectable.  On the other hand, a uniformly
   distributed pseudo-random flow label cannot be readily guessed by an
   attacker; see [LABEL-SEC] for further discussion.  If a hash
   algorithm is used, as suggested in Section 3, it SHOULD include a
   step that makes the flow label value significantly difficult to
   predict [RFC4086], even with knowledge of the algorithm being used.

IPsec認証[RFC4302]が使用されている場合でも、フローラベルはいかなる方法でも保護されないため、パス上の攻撃者によって偽造される可能性があります。 フローラベル値への途中の変更は検出されないことを実装者に通知します。 一方、均一に分散された疑似ランダムフローラベルは、攻撃者が簡単に推測することはできません。 詳細については、[LABEL-SEC]を参照してください。 セクション3で提案されているように、ハッシュアルゴリズムが使用される場合、使用されているアルゴリズムの知識があっても、フローラベル値を予測することを著しく困難にするステップを含める必要があります[RFC4086]。


6.1.  Covert Channel Risk

6.1。 隠れチャネルリスク


   The flow label could be used as a covert data channel, since
   apparently pseudo-random flow label values could, in fact, consist of
   covert data [NSA].  This could, for example, be achieved using a
   series of otherwise innocuous UDP packets whose flow label values
   constitute a covert message, or by co-opting a TCP session to carry a
   covert message in the flow labels of successive packets.  Both of
   these could be recognized as suspicious -- the first because isolated
   UDP packets would not normally be expected to have non-zero flow
   labels, and the second because the flow label values in a given TCP
   session should all be equal.  However, other methods, such as co-
   opting the flow labels of occasional packets, might be rather hard to
   detect.

明らかに疑似ランダムフローラベル値が実際には秘密データ[NSA]で構成されている可能性があるため、フローラベルは秘密データチャネルとして使用できます。 これは、たとえば、フローラベル値が秘密メッセージを構成する一連のその他の無害なUDPパケットを使用して、または連続したパケットのフローラベルで秘密メッセージを運ぶようにTCPセッションを共同で選択することによって実現できます。 これらは両方とも疑わしいものとして認識される可能性があります-1つ目は分離されたUDPパケットが通常ゼロ以外のフローラベルを持つとは予想されないため、2つ目は特定のTCPセッションのフローラベル値がすべて等しいはずであるためです。 ただし、不定期のパケットのフローラベルをcoopするなどの他の方法は、検出がかなり難しい場合があります。


   In situations where the covert channel risk is considered
   significant, the only certain defense is for a firewall to rewrite
   non-zero flow labels.  This would be an exceptional violation of the
   rule that the flow label, once set to a non-zero value, must not be
   changed.  To preserve load distribution capability, such a firewall
   SHOULD rewrite labels by following the method described for a
   forwarding node (see Section 3), as if the incoming label value were
   zero, and MUST NOT set non-zero flow labels to zero.  This behavior
   is nevertheless undesirable, since (as discussed in Section 3) only
   source nodes have straightforward access to the complete 5-tuple.

隠れチャネルリスクが重要であると考えられる状況では、唯一の防御策は、ファイアウォールがゼロ以外のフローラベルを書き換えることです。 これは、フローラベルをゼロ以外の値に設定した後は変更してはならないという規則の例外的な違反です。 負荷分散機能を維持するために、このようなファイアウォールは、着信ノードの値がゼロであるかのように、転送ノードについて説明した方法(セクション3を参照)に従ってラベルを書き換える必要があり(SHOULD)、ゼロ以外のフローラベルをゼロに設定してはなりません(MUST NOT)。 それでも(セクション3で説明したように)送信元ノードのみが完全な5タプルに直接アクセスできるため、この動作は望ましくありません。


6.2.  Theft and Denial of Service

6.2。 盗難とサービス拒否


   Since the mapping of network traffic to flow-specific treatment is
   triggered by the IP addresses and Flow Label value of the IPv6
   header, an adversary may be able to obtain a class of service that



Amante, et al.               Standards Track                    [Page 8]

RFC 6437              IPv6 Flow Label Specification        November 2011


   the network did not intend to provide by modifying the IPv6 header or
   by injecting packets with false addresses and/or labels.  A concrete
   analysis of this threat is only possible for specific stateful
   methods of signaling and using the flow label, which are out of scope
   for this document.  Clearly, a full analysis will be required when
   any such method is specified, but in general, networks SHOULD NOT
   make resource allocation decisions based on flow labels without some
   external means of assurance.

ネットワークトラフィックのフロー固有の処理へのマッピングは、IPv6ヘッダーのIPアドレスとフローラベル値によってトリガーされるため、攻撃者はIPv6ヘッダーを変更することにより、ネットワークが提供するつもりのなかったサービスクラスを取得できる可能性があります。 または、偽のアドレスやラベルを持つパケットを注入することによって。 この脅威の具体的な分析は、シグナリングの特定のステートフルな方法とフローラベルの使用でのみ可能であり、このドキュメントの範囲外です。 明らかに、そのような方法が指定されている場合は完全な分析が必要になりますが、一般に、ネットワークは外部の保証手段なしにフローラベルに基づいてリソース割り当ての決定を行うべきではありません。


   A denial-of-service attack [RFC4732] becomes possible in the
   stateless model when the modified or injected traffic depletes the
   resources available to forward it and other traffic streams.  If a
   denial-of-service attack were undertaken against a given Flow Label
   (or set of Flow Labels), then traffic containing an affected Flow
   Label might well experience worse-than-best-effort network
   performance.

サービス拒否攻撃[RFC4732]は、変更または注入されたトラフィックが、それと他のトラフィックストリームを転送するために利用可能なリソースを使い果たすと、ステートレスモデルで可能になります。 特定のフローラベル(または一連のフローラベル)に対してサービス拒否攻撃が行われた場合、影響を受けるフローラベルを含むトラフィックで、ベストエフォートよりも悪いネットワークパフォーマンスが発生する可能性があります。


   Note that since the treatment of IP headers by nodes is typically
   unverified, there is no guarantee that flow labels sent by a node are
   set according to the recommendations in this document.  A man-in-the-
   middle or injected-traffic denial-of-service attack specifically
   directed at flow label handling would involve setting unusual flow
   labels.  For example, an attacker could set all flow labels reaching
   a given router to the same arbitrary non-zero value or could perform
   rapid cycling of flow label values such that the packets of a given
   flow will each have a different value.  Either of these attacks would
   cause a stateless load distribution algorithm to perform badly and
   would cause a stateful classifier to behave incorrectly.  For this
   reason, stateless classifiers should not use the flow label alone to
   control load distribution, and stateful classifiers should include
   explicit methods to detect and ignore suspect flow label values.

ノードによるIPヘッダーの処理は通常検証されていないため、ノードによって送信されたフローラベルがこのドキュメントの推奨事項に従って設定されている保証はありません。 特にフローラベルの処理に向けられた中間者攻撃またはトラフィックの注入によるサービス拒否攻撃には、異常なフローラベルの設定が含まれます。 たとえば、攻撃者は、特定のルーターに到達するすべてのフローラベルをゼロ以外の同じ任意の値に設定したり、特定のフローのパケットがそれぞれ異なる値を持つようにフローラベル値の迅速な循環を実行したりできます。 これらの攻撃のいずれかにより、ステートレスな負荷分散アルゴリズムのパフォーマンスが低下し、ステートフルな分類器が正しく動作しなくなります。 このため、ステートレス分類子はフローラベルのみを使用して負荷分散を制御するべきではなく、ステートフル分類子は、疑わしいフローラベル値を検出して無視する明示的なメソッドを含める必要があります。


   Since flows are identified by the 3-tuple of the Flow Label and the
   Source and Destination Address, the risk of denial of service
   introduced by the Flow Label is closely related to the risk of denial
   of service by address spoofing.  An adversary who is in a position to
   forge an address is also likely to be able to forge a label, and vice
   versa.

フローは、フローラベルの3タプルと送信元および宛先アドレスによって識別されるため、フローラベルによって導入されるサービス拒否のリスクは、アドレススプーフィングによるサービス拒否のリスクと密接に関連しています。 アドレスを偽造する立場にある敵対者も、ラベルを偽造できる可能性が高く、その逆も同様です。


   There are two issues with different properties: spoofing of the Flow
   Label only and spoofing of the whole 3-tuple, including Source and
   Destination Address.

異なるプロパティには2つの問題があります。フローラベルのみのスプーフィングと、送信元アドレスと宛先アドレスを含む3タプル全体のスプーフィングです。


   The former can be done inside a node that is using or transmitting
   the correct source address.  The ability to spoof a Flow Label
   typically implies being in a position to also forge an address, but





Amante, et al.               Standards Track                    [Page 9]

RFC 6437              IPv6 Flow Label Specification        November 2011


   in many cases, spoofing an address may not be interesting to the
   spoofer, especially if the spoofer's goal is theft of service rather
   than denial of service.

前者は、正しい送信元アドレスを使用または送信しているノード内で実行できます。 フローラベルを偽装する機能は、通常、アドレスを偽造する立場にあることを意味しますが、多くの場合、アドレスの偽装は、特にスプーファーの目的がサービス拒否ではなくサービスの盗難である場合、スプーファーにとって興味深いものではない可能性があります。


   The latter can be done by a host that is not subject to ingress
   filtering [RFC2827] or by an intermediate router.  Due to its
   properties, this is typically useful only for denial of service.  In
   the absence of ingress filtering, almost any third party could
   instigate such an attack.

後者は、イングレスフィルタリングの対象ではないホスト[RFC2827]または中間ルーターによって実行できます。 その特性により、これは通常、サービス拒否の場合にのみ役立ちます。 入力フィルタリングがない場合、ほとんどすべてのサードパーティがこのような攻撃を仕掛けることができます。


   In the presence of ingress filtering, forging a non-zero Flow Label
   on packets that originated with a zero label, or modifying or
   clearing a label, could only occur if an intermediate system such as
   a router was compromised, or through some other form of man-in-the-
   middle attack.

イングレスフィルタリングが存在する場合、ゼロラベルで発信されたパケットにゼロ以外のフローラベルを偽造するか、ラベルを変更またはクリアすることは、ルーターなどの中間システムが侵害された場合、または他の何らかの形で発生した場合にのみ発生します 中間者攻撃。


6.3.  IPsec and Tunneling Interactions

6.3。 IPsecとトンネリングの相互作用


   The IPsec protocol, as defined in [RFC4301], [RFC4302], and
   [RFC4303], does not include the IPv6 header's Flow Label in any of
   its cryptographic calculations (in the case of tunnel mode, it is the
   outer IPv6 header's Flow Label that is not included).  Hence,
   modification of the Flow Label by a network node has no effect on
   IPsec end-to-end security, because it cannot cause any IPsec
   integrity check to fail.  As a consequence, IPsec does not provide
   any defense against an adversary's modification of the Flow Label
   (i.e., a man-in-the-middle attack).

[RFC4301]、[RFC4302]、および[RFC4303]で定義されているIPsecプロトコルは、暗号化計算のいずれにもIPv6ヘッダーのフローラベルを含みません(トンネルモードの場合、これは外部IPv6ヘッダーのフローラベルです) それは含まれていません)。 したがって、ネットワークノードによるフローラベルの変更は、IPsec整合性チェックが失敗することはないため、IPsecエンドツーエンドのセキュリティには影響しません。 結果として、IPsecは、攻撃者によるフローラベルの変更(つまり、中間者攻撃)に対する防御を提供しません。


   IPsec tunnel mode provides security for the encapsulated IP header's
   Flow Label.  A tunnel mode IPsec packet contains two IP headers: an
   outer header supplied by the tunnel ingress node and an encapsulated
   inner header supplied by the original source of the packet.  When an
   IPsec tunnel is passing through nodes performing flow classification,
   the intermediate network nodes operate on the Flow Label in the outer
   header.  At the tunnel egress node, IPsec processing includes
   removing the outer header and forwarding the packet (if required)
   using the inner header.  The IPsec protocol requires that the inner
   header's Flow Label not be changed by this decapsulation processing
   to ensure that modifications to the label cannot be used to launch
   theft- or denial-of-service attacks across an IPsec tunnel endpoint.
   This document makes no change to that requirement; indeed, it forbids
   changes to the Flow Label.

IPsecトンネルモードは、カプセル化されたIPヘッダーのフローラベルにセキュリティを提供します。 トンネルモードのIPsecパケットには2つのIPヘッダーが含まれています。トンネル入力ノードによって提供される外部ヘッダーと、パケットの元のソースによって提供されるカプセル化された内部ヘッダーです。 IPsecトンネルがフロー分類を実行するノードを通過するとき、中間ネットワークノードは外部ヘッダーのフローラベルで動作します。 トンネル出口ノードでのIPsec処理には、外部ヘッダーの削除と、内部ヘッダーを使用したパケット(必要な場合)の転送が含まれます。 IPsecプロトコルでは、このカプセル化解除処理によって内部ヘッダーのフローラベルが変更されないようにし、ラベルの変更を使用してIPsecトンネルエンドポイント全体でサービス盗難またはサービス拒否攻撃を開始できないようにする必要があります。 このドキュメントはその要件に変更を加えません。 実際、フローラベルの変更は禁止されています。


   When IPsec tunnel egress decapsulation processing includes a
   sufficiently strong cryptographic integrity check of the encapsulated
   packet (where sufficiency is determined by local security policy),
   the tunnel egress node can safely assume that the Flow Label in the
   inner header has the same value it had at the tunnel ingress node.

IPsecトンネルの出力カプセル化解除処理に、カプセル化されたパケットの十分な強度の暗号整合性チェックが含まれている場合(十分性はローカルセキュリティポリシーによって決定されます)、トンネル出力ノードは、内部ヘッダーのフローラベルが同じ値であると安全に想定できます。 トンネル入口ノード。




Amante, et al.               Standards Track                   [Page 10]

RFC 6437              IPv6 Flow Label Specification        November 2011


   This analysis and its implications apply to any tunneling protocol
   that performs integrity checks.  Of course, any Flow Label set in an
   encapsulating IPv6 header is subject to the risks described in the
   previous section.

この分析とその影響は、整合性チェックを実行するすべてのトンネリングプロトコルに適用されます。 もちろん、カプセル化IPv6ヘッダーに設定されたフローラベルには、前のセクションで説明したリスクが伴います。


6.4.  Security Filtering Interactions

6.4。 セキュリティフィルタリングの相互作用


   The Flow Label does nothing to eliminate the need for packet
   filtering based on headers past the IP header if such filtering is
   deemed necessary for security reasons on nodes such as firewalls or
   filtering routers.

ファイアウォールやフィルタリングルーターなどのノードのセキュリティ上の理由から、そのようなフィルタリングが必要であると見なされた場合、フローラベルは、IPヘッダーを過ぎたヘッダーに基づくパケットフィルタリングの必要性をなくすことはできません。


7.  Differences from RFC 3697

7. RFC 3697との違い


   The main differences between this specification and its predecessor
   [RFC3697] are as follows:

この仕様とその前身である[RFC3697]の主な違いは次のとおりです。


   o  This specification encourages non-zero flow label values to be
      used and clearly defines how to set a non-zero value.

この仕様は、ゼロ以外のフローラベル値の使用を奨励し、ゼロ以外の値を設定する方法を明確に定義しています。


   o  This specification encourages a stateless model with uniformly
      distributed flow label values.

この仕様は、均一に分散されたフローラベル値を持つステートレスモデルを推奨します。


   o  This specification does not specify any details of a stateful
      model.

この仕様では、ステートフルモデルの詳細は指定されていません。


   o  This specification retains the rule that the flow label must not
      be changed en route but allows routers to set the label on behalf
      of hosts that do not do so.

この仕様は、フローラベルを途中で変更してはならないというルールを維持していますが、そうしないホストに代わってルーターがラベルを設定できるようにしています。


   o  This specification discusses the covert channel risk and its
      consequences for firewalls.

この仕様では、隠れチャネルリスクとそのファイアウォールへの影響について説明します。


   For further details, see [RFC6436].

詳細については、[RFC6436]を参照してください。


8.  Acknowledgements

8.謝辞


   Valuable comments and contributions were made by Jari Arkko, Ran
   Atkinson, Fred Baker, Richard Barnes, Steve Blake, Tassos
   Chatzithomaoglou, Remi Despres, Alan Ford, Fernando Gont, Brian
   Haberman, Tony Hain, Joel Halpern, Qinwen Hu, Chris Morrow, Thomas
   Narten, Mark Smith, Pascal Thubert, Iljitsch van Beijnum, and other
   participants in the 6man working group.

貴重なコメントと寄稿は、Jari Arkko、Ran Atkinson、Fred Baker、Richard Barnes、Steve Blake、Tassos Chatzithomaoglou、Remi Despres、Alan Ford、Fernando Gont、Brian Haberman、Tony Hain、Joel Halpern、Qinwen Hu、Chris Morrow、Thomas Narten、Mark Smith、Pascal Thubert、Iljitsch van Beijnum、および6manワーキンググループの他の参加者。


   Cristian Calude suggested the von Neumann algorithm in Appendix A.
   David Malone and Donald Eastlake gave additional input about hash
   algorithms.

Cristian Caludeは付録Aでフォンノイマンアルゴリズムを提案しました。 David MaloneとDonald Eastlakeがハッシュアルゴリズムに関する追加の情報を提供しました。





Amante, et al.               Standards Track                   [Page 11]

RFC 6437              IPv6 Flow Label Specification        November 2011


   Steve Deering and Alex Conta were co-authors of RFC 3697, on which
   this document is based.

Steve DeeringとAlex Contaは、このドキュメントのベースとなっているRFC 3697の共著者です。


   Contributors to the original development of RFC 3697 included Ran
   Atkinson, Steve Blake, Jim Bound, Francis Dupont, Robert Elz, Tony
   Hain, Robert Hancock, Bob Hinden, Christian Huitema, Frank
   Kastenholz, Thomas Narten, Charles Perkins, Pekka Savola, Hesham
   Soliman, Michael Thomas, Margaret Wasserman, and Alex Zinin.

RFC 3697の最初の開発への貢献者には、Ran Atkinson、Steve Blake、Jim Bound、Francis Dupont、Robert Elz、Tony Hain、Robert Hancock、Bob Hinden、Christian Huitema、Frank Kastenholz、Thomas Narten、Charles Perkins、Pekka Savola、Hesham Solimanが含まれます 、マイケル・トーマス、マーガレット・ワッサーマン、アレックス・ジニン。


9.  References

9.リファレンス


9.1.  Normative References

9.1。 規範的な参考文献


   [RFC2119]    Bradner, S., "Key words for use in RFCs to Indicate
                Requirement Levels", BCP 14, RFC 2119, March 1997.

   [RFC2205]    Braden, B., Zhang, L., Berson, S., Herzog, S., and S.
                Jamin, "Resource ReSerVation Protocol (RSVP) -- Version
                1 Functional Specification", RFC 2205, September 1997.

   [RFC2460]    Deering, S. and R. Hinden, "Internet Protocol, Version 6
                (IPv6) Specification", RFC 2460, December 1998.

   [RFC4086]    Eastlake, D., Schiller, J., and S. Crocker, "Randomness
                Requirements for Security", BCP 106, RFC 4086,
                June 2005.

9.2.  Informative References

9.2。 参考情報


   [LABEL-SEC]  Gont, F., "Security Assessment of the IPv6 Flow Label",
                Work in Progress, November 2010.

   [NSA]        Potyraj, C., "Firewall Design Considerations for IPv6",
                National Security Agency I733-041R-2007, 2007,
                <http://www.nsa.gov/ia/_files/ipv6/I733-041R-2007.pdf>.

   [RFC2827]    Ferguson, P. and D. Senie, "Network Ingress Filtering:
                Defeating Denial of Service Attacks which employ IP
                Source Address Spoofing", BCP 38, RFC 2827, May 2000.

   [RFC3697]    Rajahalme, J., Conta, A., Carpenter, B., and S. Deering,
                "IPv6 Flow Label Specification", RFC 3697, March 2004.

   [RFC4301]    Kent, S. and K. Seo, "Security Architecture for the
                Internet Protocol", RFC 4301, December 2005.

   [RFC4302]    Kent, S., "IP Authentication Header", RFC 4302,
                December 2005.



Amante, et al.               Standards Track                   [Page 12]

RFC 6437              IPv6 Flow Label Specification        November 2011


   [RFC4303]    Kent, S., "IP Encapsulating Security Payload (ESP)",
                RFC 4303, December 2005.

   [RFC4311]    Hinden, R. and D. Thaler, "IPv6 Host-to-Router Load
                Sharing", RFC 4311, November 2005.

   [RFC4732]    Handley, M., Rescorla, E., and IAB, "Internet Denial-of-
                Service Considerations", RFC 4732, December 2006.

   [RFC5971]    Schulzrinne, H. and R. Hancock, "GIST: General Internet
                Signalling Transport", RFC 5971, October 2010.

   [RFC6436]    Amante, S., Carpenter, B., and S. Jiang, "Rationale for
                Update to the IPv6 Flow Label Specification", RFC 6436,
                November 2011.

   [RFC6438]    Carpenter, B. and S. Amante, "Using the IPv6 Flow Label
                for Equal Cost Multipath Routing and Link Aggregation in
                Tunnels", RFC 6438, November 2011.

   [vonNeumann] von Neumann, J., "Various techniques used in connection
                with random digits", National Bureau of Standards
                Applied Math Series 12, 36-38, 1951.




























Amante, et al.               Standards Track                   [Page 13]

RFC 6437              IPv6 Flow Label Specification        November 2011


Appendix A.  Example 20-Bit Hash Function

付録A. 20ビットハッシュ関数の例


   As mentioned in Section 3, a stateless hash function may be used to
   generate a flow label value from an IPv6 packet's 5-tuple.  It is not
   trivial to choose a suitable hash function, and it is expected that
   extensive practical experience will be required to identify the best
   choices.  An example function, based on an algorithm by von Neumann
   known to produce an approximately uniform distribution [vonNeumann],
   follows.  For each packet for which a flow label must be generated,
   execute the following steps:

セクション3で述べたように、ステートレスハッシュ関数を使用して、IPv6パケットの5タプルからフローラベル値を生成できます。 適切なハッシュ関数を選択することは簡単ではありません。最良の選択を識別するには、広範な実務経験が必要になることが予想されます。 ほぼ均一な分布を生成することが知られているフォンノイマンのアルゴリズムに基づく関数の例を次に示します[vonNeumann]。 フローラベルを生成する必要があるパケットごとに、次の手順を実行します。


   1.  Split the destination and source addresses into two 64-bit values
       each, thus transforming the 5-tuple into a 7-tuple.

1.宛先アドレスと送信元アドレスをそれぞれ2つの64ビット値に分割し、5タプルを7タプルに変換します。


   2.  Add the following five components together using unsigned 64-bit
       arithmetic, discarding any carry bits: both parts of the source
       address, both parts of the destination address, and the protocol
       number.

2.符号なし64ビット演算を使用して、キャリービットを破棄する次の5つのコンポーネントを追加します。送信元アドレスの両方の部分、宛先アドレスの両方の部分、およびプロトコル番号。


   3.  Apply the von Neumann algorithm to the resulting string of 64
       bits:

3.フォンノイマンアルゴリズムを64ビットの結果の文字列に適用します。


       1.  Starting at the least significant end, select two bits.

1.最下位から始めて、2ビットを選択します。


       2.  If the two bits are 00 or 11, discard them.

2. 2ビットが00または11の場合、それらを破棄します。


       3.  If the two bits are 01, output a 0 bit.

3. 2ビットが01の場合、0ビットを出力します。


       4.  If the two bits are 10, output a 1 bit.

4. 2ビットが10の場合、1ビットを出力します。


       5.  Repeat with the next two bits in the input 64-bit string.

5.入力64ビット文字列の次の2ビットで繰り返します。


       6.  Stop when 16 bits have been output (or when the 64-bit string
           is exhausted).

6. 16ビットが出力されたとき(または64ビット文字列がなくなったとき)に停止します。


   4.  Add the two port numbers to the resulting 16-bit number.

4.結果の16ビット番号に2つのポート番号を追加します。


   5.  Shift the resulting value 4 bits left, and mask with 0xfffff.

5.結果の値を4ビット左にシフトし、0xfffffでマスクします。


   6.  In the highly unlikely event that the result is exactly zero, set
       the flow label arbitrarily to the value 1.

6.結果が正確にゼロになる可能性が非常に低いイベントでは、フローラベルを任意に値1に設定します。


   Note that this simple example does not include a step to prevent
   predictability, as recommended in Section 6.

セクション6で推奨されているように、この単純な例には予測可能性を防ぐためのステップが含まれていないことに注意してください。








Amante, et al.               Standards Track                   [Page 14]

RFC 6437              IPv6 Flow Label Specification        November 2011


Authors' Addresses

   Shane Amante
   Level 3 Communications, LLC
   1025 Eldorado Blvd
   Broomfield, CO  80021
   USA

   EMail: shane@level3.net


   Brian Carpenter
   Department of Computer Science
   University of Auckland
   PB 92019
   Auckland  1142
   New Zealand

   EMail: brian.e.carpenter@gmail.com


   Sheng Jiang
   Huawei Technologies Co., Ltd
   Q14, Huawei Campus
   No.156 Beiqing Road
   Hai-Dian District, Beijing  100095
   P.R. China

   EMail: jiangsheng@huawei.com


   Jarno Rajahalme
   Nokia Siemens Networks
   Linnoitustie 6
   02600  Espoo
   Finland

   EMail: jarno.rajahalme@nsn.com













Amante, et al.               Standards Track                   [Page 15]