【3】階層化管理とドメイン・レベル
IEEE 802.1agの最大の特徴は、L2(レイヤ2)網の保守管理に、SONETライクな階層化管理の概念を導入したことである。図2に、保守ドメイン(保守領域)・レベルの概念を示す。
図2 IEEE 802.1agの保守ドメインとドメイン・レベル (クリックで拡大)
IEEE 802.1agでは、到達性などを保守管理する網範囲を「保守ドメイン(Maintenance Domain)」と呼ぶ。保守ドメインは、複数の階層で構成される。具体的には、図2に示すように、広域網を跨(また)いだユーザー拠点間のエンド・ツー・エンドの保守管理範囲が最上レベルの保守ドメイン(ユーザー・ドメイン)であり、その下位に通信事業者網全体を跨ぐ保守ドメイン(事業者網ドメイン)があり、さらにその下位に個々の通信事業者網の保守ドメイン(事業者ドメイン)が存在する。
IEEE 802.1agでは、この保守ドメインの階層を「保守ドメイン・レベル(Maintenance Domain Level、またはMD Level)」と呼ぶ(用語解説)。保守ドメイン・レベル(MD Level)は、先ほどの図2のOAMフレーム・フォーマットにおいて、3ビット(23=8)の値で表現される0から7の値で、0が一番低く、7が一番高いレベルを表す。IEEE 802.1agでは、参考情報として、表2のような保守ドメイン・レベルの割り当てを明示している。
表2 IEEE 802.1agの保守ドメイン・レベル割り当て(参考情報) (クリックで拡大)
IEEE 802.1agでは、このように保守ドメイン・レベルの概念を導入することによって、階層ごとに独立した保守管理を実現可能としている。ユーザーは、広域網を跨いだユーザー拠点間の保守管理が可能であるが、ユーザー・レベルの保守ドメインでやりとりされる保守フレームは、下位の事業者網全体や事業者レベルの保守ドメインにおいては単なるユーザー・フレームの一つであり、これらの保守フレームが下位ドメインの保守機能に影響を与えることはない。
一方、下位の通信事業者網の保守ドメインでやりとりされる保守フレームが所属する保守ドメインを越えて外部に中継されたり、外部から内部に対して中継されることはできないようになっている。
すなわち、ユーザーが通信事業者の保守ドメイン・レベルの保守フレームを通信事業者網に対して送信して、通信事業者の保守管理に影響を与えるようなことはできないようになっているのである。
これは、フラットな保守ドメインを構成するインターネットとは異なるアプローチといえる。インターネットにおいては、ユーザーもサービス・プロバイダも同一の保守ドメインに属し、例えばユーザーがサービス・プロバイダの中継装置に対してping(ICMP Echo Request、用語解説)を打って、疎通性や中継経路を管理することが可能となっている。
これによって、場合によっては悪意のあるユーザーがICMP Echo Requestを連続して送りつけて、コア網の中継装置のCPU負荷を上昇させる”ping attack”のような脆弱性も生み出している。
SONETやATMと言った通信事業者網向けの保守管理方式に起源するIEEE 802.1ag保守管理方式では、保守ドメインの階層を分けることにより、このような脆弱性を避け、より高信頼な保守管理を実現しようとしている。
用語解説
GCM-AES-128:
NIST〔The National Institute of Standards and Technology、米国標準技術局)が規定するAES(Advanced Encryption Standard、高度暗号標準)の1動作モード(128は鍵の長さが128ビットという意味)で、ハードウェア化に適しており、高速化な暗号化が可能な方式。GCMは「Galois/Counter Mode of Operation(ガロア/計数モード)」の略。
SONET(Synchronous Optical Network):
SONETは、同期光ネットワークの意味で、米国のBellcore(現Telcordia Technologies)が提唱した光インタフェースの通信速度標準の仕様である。これとほぼ同義語のSDH(Synchronous Digital Hierarchy)は、同期デジタル・ハイアラーキの意味で、ITU-Tにおいて標準化され、国際的に統一された速度標準である。
ATM:
ATM(Asynchronous Transfer Mode)は、非同期転送モードの意味である。ATMでは、すべてのデータは53バイトのセルと呼ばれる単位で転送される(イーサネットは基本的に1500バイトのフレームを使用)。
MD Level:
Y.1731では、「MEGレベル(Maintenance Entity Group Level)」と呼ぶ。
ping(ICMP Echo Request):
pingは、IP(Internet Protocol)においてホスト間の疎通性を確認するための基本的なコマンド。送信元のホストは、ネットワーク層レベルにおける通信の確認を行うためにICMP(Internet Control Message Protocol、インターネット制御メッセージ・プロトコル)を使用し、ICMP Echo Request(ICMPエコー要求)というパケットを送出する。ICMP Echo Requestを受信したホストは、送信元のホストに対しICMP Echo Reply(ICMPエコー応答)パケットを送り返す。
参考文献
(1)"Specification for the Advanced Encryption Standard (AES)", The National Institute of Standards and Technology, 2001/11/26
(2)"The Galois/Counter Mode of Operation (GCM)", David A. McGrew & John Viega, 2005/5/31
(3)"Cryptec Report 2005", 独立行政法人情報通信研究機構/情報処理推進機構 , 2006/3
(4) 「フィールドトライアル版次世代ネットワークインタフェース資料 - 次世代イーサユーザ・網インタフェース(UNI)- 本編」 , 2006/7/21
(5)"Draft Standard for Local and Metropolitan Area Networks - Virtual Bridged Local Area Networks - Amendment 5: Connectivity Fault Management (IEEE P802.1ag/D7)", 2006/8/22
