home *** CD-ROM | disk | FTP | other *** search
/ CU Amiga Super CD-ROM 19 / CU Amiga Magazine's Super CD-ROM 19 (1998)(EMAP Images)(GB)[!][issue 1998-02].iso / CUCD / Online / RFCs / rfc / rfc1125.txt < prev    next >
Text File  |  1994-10-26  |  54KB  |  1,179 lines

  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7. Network Working Group                                          D. Estrin
  8. Request for Comments:  1125              USC Computer Science Department
  9.                                                            November 1989
  10.  
  11.  
  12.       POLICY REQUIREMENTS FOR INTER ADMINISTRATIVE DOMAIN ROUTING
  13.  
  14. 1  STATUS OF THIS MEMO
  15.  
  16.    The purpose of this memo is to focus discussion on particular
  17.    problems in the Internet and possible methods of solution.  No
  18.    proposed solutions in this document are intended as standards for the
  19.    Internet.  Rather, it is hoped that a general consensus will emerge
  20.    as to the appropriate solution to such problems, leading eventually
  21.    to the development and adoption of standards.  Distribution of this
  22.    memo is unlimited.
  23.  
  24. 2  ABSTRACT
  25.  
  26.    Efforts are now underway to develop a new generation of routing
  27.    protocol that will allow each Administrative Domain (AD) in the
  28.    growing Internet (and internets in general) to independently express
  29.    and enforce policies regarding the flow of packets to, from, and
  30.    through its resources. (FOOTNOTE 1: The material presented here
  31.    incorporates discussions held with members of the IAB Autonomous
  32.    Networks Research Group and the Open Routing Working Group.)  This
  33.    document articulates the requirements for policy based routing and
  34.    should be used as input to the functional specification and
  35.    evaluation of proposed protocols.
  36.  
  37.    Two critical assumptions will shape the type of routing mechanism
  38.    that is devised: (1) the topological organization of ADs, and (2) the
  39.    type and variability of policies expressed by ADs.  After justifying
  40.    our assumptions regarding AD topology we present a taxonomy, and
  41.    specific examples, of policies that must be supported by a PR
  42.    protocol.  We conclude with a brief discussion of policy routing
  43.    mechanisms proposed in previous RFCs (827, 1102, 1104, 1105).  Future
  44.    RFCs will elaborate on the architecture and protocols needed to
  45.    support the requirements presented here.
  46.  
  47. 3  BACKGROUND
  48.  
  49.    The Research Internet has evolved from a single backbone wide area
  50.    network with many connected campus networks, to an internet with
  51.    multiple cross-country backbones, regional access networks, and a
  52.    profusion of campus networks. (FOOTNOTE 2: The term Research Internet
  53.    refers to a collection of government, university, and some private
  54.    company, networks that are used by researchers to access shared
  55.  
  56.  
  57.  
  58. Estrin                                                          [Page 1]
  59.  
  60. RFC 1125                  Policy Requirements              November 1989
  61.  
  62.  
  63.    computing resources (e.g., supercomputers), and for research related
  64.    information exchange (e.g., distribution of software, technical
  65.    documents, and email). The networks that make up the Research
  66.    Internet run the DOD Internet Protocol [1].)  At times during its
  67.    development the Research Internet topology appeared somewhat chaotic.
  68.    Overlapping facilities and lateral (as opposed to hierarchical)
  69.    connections seemed to be the rule rather than the exception.  Today
  70.    the Research Internet topology is becoming more regular through
  71.    coordination of agency investment and adoption of a hierarchy similar
  72.    to that of the telephone networks'.  The result is several
  73.    overlapping wide area backbones connected to regional networks, which
  74.    in turn connect to campus networks at universities, research
  75.    laboratories, and private companies. However, the telephone network
  76.    has lateral connections only at the highest level, i.e., between long
  77.    haul carriers.  In the Research Internet there exist lateral
  78.    connections at each level of the hierarchy, i.e., between campus (and
  79.    regional) networks as well.
  80.  
  81.    Additional complexity is introduced in the Research Internet by
  82.    virtue of connections to private networks. Many private companies are
  83.    connected to the Research Internet for purposes of research or
  84.    support activities. These private companies connect in the same
  85.    manner as campuses, via a regional network or via lateral links to
  86.    other campuses. However, many companies have their own private wide
  87.    area networks which physically overlap with backbone and/or regional
  88.    networks in the research internet, i.e., private vertical bypass
  89.    links.
  90.  
  91.    Implicit in this complex topology are organizational boundaries.
  92.    These boundaries define Administrative Domains (ADs) which preclude
  93.    the imposition of a single, centralized set of policies on all
  94.    resources.  The subject of this paper is the policy requirements for
  95.    resource usage control in the Research Internet.
  96.  
  97.    In the remainder of this section we describe the policy routing
  98.    problem in very general terms. Section 4 examines the constraints and
  99.    requirements that makes the problem challenging, and leads us to
  100.    conclude that a new generation of routing and resource control
  101.    protocols are needed. Section 5 provides more detail on our
  102.    assumptions as to the future topology and configuration of
  103.    interconnected ADs. We return to the subject of policy requirements
  104.    in Section 7 and categorize the different types of policies that ADs
  105.    in the research internet may want to enforce.  Included in this
  106.    section are examples of FRICC policy statements.  (FOOTNOTE 3: The
  107.    Federal Research Internet Coordinating Committee (FRICC) is made up
  108.    of representatives of each of the major agencies that are involved in
  109.    networking. They have been very effective in coordinating their
  110.    efforts to eliminate inefficient redundancy and have proposed a plan
  111.  
  112.  
  113.  
  114. Estrin                                                          [Page 2]
  115.  
  116. RFC 1125                  Policy Requirements              November 1989
  117.  
  118.  
  119.    for the next 10 years of internetworking for the government,
  120.    scientific, and education community [2].)  Section 7 identifies types
  121.    of policy statements that are problematic to enforce due to their
  122.    dynamics, granularity, or performance implications. Several proposed
  123.    mechanisms for supporting PR (including RFCs 827, 1102, 1104, 1105)
  124.    are discussed briefly in Section 8. Future RFCs will elaborate on the
  125.    architecture and protocols needed to support the requirements
  126.    presented here.
  127.  
  128. 3.1  POLICY ROUTING
  129.  
  130.    Previous protocols such as the Exterior Gateway Protocol (EGP)[3]
  131.    embodied a limited notion of policy and ADs. In particular,
  132.    autonomous system boundaries constrained the flow of routing database
  133.    information, and only indirectly affected the flow of packets
  134.    themselves.  We consider an Administrative Domain (AD) to be a set of
  135.    hosts and network resources (gateways, links, etc.) that is governed
  136.    by common policies.  In large internets that cross organization
  137.    boundaries, e.g., the Research Internet, inter-AD routes must be
  138.    selected according to policy-related parameters such as cost and
  139.    access rights, in addition to the traditional parameters of
  140.    connectivity and congestion. In other words, Policy Routing (PR) is
  141.    needed to navigate through the complex web of policy boundaries
  142.    created by numerous interconnected ADs. Moreover, each AD has its own
  143.    privileges and perspective and therefore must make its own evaluation
  144.    of legal and preferred routes.  Efforts are now underway to develop a
  145.    new generation of routing protocol that will allow each AD to
  146.    independently express and enforce policies regarding the flow of
  147.    packets to, from, and through its resources [4].  (FOOTNOTE 4:  These
  148.    issues are under investigation by the IAB Autonomous Networks
  149.    Research Group and the IAB Open Routing Working Group. For further
  150.    information contact the author.)
  151.  
  152.    The purpose of this paper is to articulate the requirements for such
  153.    policy based routing. Two critical assumptions will shape the type of
  154.    routing mechanism that is devised:
  155.  
  156.    * The topological organization of ADs, and
  157.    * The type and variability of policies expressed by ADs.
  158.  
  159.    We make use of the policies expressed by owners of current Research
  160.    Internet resources and private networks connected to the Research
  161.    Internet to generalize types of policies that must be supported. This
  162.    top down effort must be done with attention to the technical
  163.    implications of the policy statements if the result is to be useful
  164.    in guiding technical development. For example, some ADs express the
  165.    desire to enforce local constraints over how packets travel to their
  166.    destination. Other ADs are only concerned with preventing use of
  167.  
  168.  
  169.  
  170. Estrin                                                          [Page 3]
  171.  
  172. RFC 1125                  Policy Requirements              November 1989
  173.  
  174.  
  175.    their own network resources by restricting transit.  Still other ADs
  176.    are concerned primarily with recovering the expense of carrying
  177.    traffic and providing feedback to users so that users will limit
  178.    their own data flows; in other words they are concerned with
  179.    charging.  We refer to ADs whose primary concern is communication to
  180.    and from hosts within their AD as stub and to ADs whose primary
  181.    concern is carrying packets to and from other ADs as transit}.  If we
  182.    address control of transit alone, for example, the resulting
  183.    mechanisms will not necessarily allow an AD to control the flow of
  184.    its packets from source to destination, or to implement flexible
  185.    charging schemes.  (FOOTNOTE 5: Gene Tsudik uses the analogy of
  186.    international travel to express the need for source and transit
  187.    controls. Each country expresses its own policies about travel to and
  188.    through its land.  Travel through one country enroute to another is
  189.    analogous to transit traffic in the network world. A traveler
  190.    collects policy information from each of the countries of interest
  191.    and plans an itinerary that conforms to those policies as well as the
  192.    preferences of the traveler and his/her home nation.  Thus there is
  193.    both source and transit region control of routing.)  Our purpose is
  194.    to articulate a comprehensive set of requirements for PR as input to
  195.    the functional specification, and evaluation, of proposed protocols.
  196.  
  197. 4  WHY THE PROBLEM IS DIFFICULT
  198.  
  199.    Before proceeding with our description of topology and policy
  200.    requirements this section outlines several assumptions and
  201.    constraints, namely: the lack of global authority, the need to
  202.    support network resource sharing as well as network interconnection,
  203.    the complex and dynamic mapping of users to ADs and privileges, and
  204.    the need for accountability across ADs.  These assumptions limit the
  205.    solution space and raise challenging technical issues.
  206.  
  207.    The purpose of policy based routing is to allow ADs to interconnect
  208.    and share computer and network resources in a controlled manner.
  209.    Unlike many other problems of resource control, there is no global
  210.    authority. Each AD defines its own policies with respect to its own
  211.    traffic and resources. However, while we assume no global authority,
  212.    and no global policies, we recognize that complete autonomy implies
  213.    no dependence and therefore no communication.  The multi-organization
  214.    internets addressed here have inherent regions of autonomy, as well
  215.    as requirements for interdependence. Our mechanisms should allow ADs
  216.    to design their boundaries, instead of requiring that the boundaries
  217.    be either impenetrable or eliminated.
  218.  
  219.    One of the most problematic aspects of the policy routing
  220.    requirements identified here is the need to support both network
  221.    resource sharing and interconnection across ADs. An example of
  222.    resource sharing is two ADs (e.g., agencies, divisions, companies)
  223.  
  224.  
  225.  
  226. Estrin                                                          [Page 4]
  227.  
  228. RFC 1125                  Policy Requirements              November 1989
  229.  
  230.  
  231.    sharing network resources (e.g., links, or gateways and links) to
  232.    take advantage of economies of scale.  Providing transit services to
  233.    external ADs is another example of network resource sharing.
  234.    Interconnection is the more common example of ADs interconnecting
  235.    their independently used network resources to achieve connectivity
  236.    across the ADs, i.e., to allow a user in one AD to communicate with
  237.    users in another AD. In some respects, network resource control is
  238.    simpler than network interconnection control since the potential
  239.    dangers are fewer (i.e., denial of service and loss of revenue as
  240.    compared with a wide range of attacks on end systems through network
  241.    interconnection). However, controlled network resource sharing is
  242.    more difficult to support.  In an internet a packet may travel
  243.    through a number of transit ADs on its way to the destination.
  244.    Consequently, policies from all transit ADs must be considered when a
  245.    packet is being sent, whereas for stub-AD control only the policies
  246.    of the two end point ADs have to be considered. In other words,
  247.    controlled network resource sharing and transit require that policy
  248.    enforcement be integrated into the routing protocols themselves and
  249.    can not be left to network control mechanisms at the end points.
  250.    (FOOTNOTE 6&7: Another difference is that in the interconnect case,
  251.    traffic traveling over AD A's network resources always has a member
  252.    of AD A as its source or destination (or both).  Under resource
  253.    sharing arrangements members of both AD A and B are connected to the
  254.    same resources and consequently intra-AD traffic (i.e., packets
  255.    sourced and destined for members of the same AD) travels over the
  256.    resources. This distinction is relevant to the writing of policies in
  257.    terms of principal affiliation.  Economies of scale is one motivation
  258.    for resource sharing. For example, instead of interconnecting
  259.    separately to several independent agency networks, a campus network
  260.    may interconnect to a shared backbone facility.  Today,
  261.    interconnection is achieved through a combination of AD specific and
  262.    shared arrangements. We expect this mixed situation to persist for
  263.    "well-connected" campuses for reasons of politics, economics, and
  264.    functionality (e.g., different characteristics of the different
  265.    agency-networks). See Section 5 for more discussion.)
  266.  
  267.    Complications also result from the fact that legitimate users of an
  268.    AD's resources are not all located in that AD. Many users (and their
  269.    computers) who are funded by, or are affiliated with, a particular
  270.    agency's program reside within the AD of the user's university or
  271.    research laboratory.  They reside in a campus AD along with users who
  272.    are legitimate users of other AD resources.  Moreover, any one person
  273.    may be a legitimate user of multiple AR resources under varying
  274.    conditions and constraints (see examples in Section 6). In addition,
  275.    users can move from one AD to another. In other words, a user's
  276.    rights can not be determined solely based on the AD from which the
  277.    user's communications originate.  Consequently, PR must not only
  278.    identify resources, it must identify principals and associate
  279.  
  280.  
  281.  
  282. Estrin                                                          [Page 5]
  283.  
  284. RFC 1125                  Policy Requirements              November 1989
  285.  
  286.  
  287.    different capabilities and rights with different principals.  (The
  288.    term principal is taken from the computer security community[7].)
  289.  
  290.    One way of reducing the compromise of autonomy associated with
  291.    interconnection is to implement mechanisms that assure
  292.    accountability} for resources used. Accountability may be enforced a
  293.    priori, e.g., access control mechanisms applied before resource usage
  294.    is permitted.  Alternatively, accountability may be enforced after
  295.    the fact, e.g., record keeping or metering that supports detection
  296.    and provides evidence to third parties (i.e., non-repudiation).
  297.    Accountability mechanisms can also be used to provide feedback to
  298.    users as to consumption of resources. Internally an AD often decides
  299.    to do away with such feedback under the premise that communication is
  300.    a global good and should not be inhibited. There is not necessarily a
  301.    "global good" across AD boundaries. Therefore, it becomes more
  302.    appropriate to have resource usage visible to users, whether or not
  303.    actual charging for usage takes place.  Another motivation that
  304.    drives the need for accountability across AD boundaries is the
  305.    greater variability in implementations. Different implementations of
  306.    a single network protocol can vary greatly as to their efficiency
  307.    [8].  We can not assume control over implementation across AD
  308.    boundaries.  Feedback mechanisms such as metering (and charging in
  309.    some cases) would introduce a concrete incentive for ADs to employ
  310.    efficient and correct implementations.  PR should allow an AD to
  311.    advertise and apply such accounting measures to inter-AD traffic.
  312.  
  313.    In summary, the lack of global authority, the need to support network
  314.    resource sharing as well as network interconnection, the complex and
  315.    dynamic mapping of users to ADs and rights, and the need for
  316.    accountability across ADs, are characteristics of inter-AD
  317.    communications which must be taken into account in the design of both
  318.    policies and supporting technical mechanisms.
  319.  
  320. 5  TOPOLOGY MODEL OF INTERNET
  321.  
  322.    Before discussing policies per se, we outline our model of inter-AD
  323.    topology and how it influences the type of policy support required.
  324.    Most members of the Internet community agree that the future Internet
  325.    will connect on the order of 150,000,000 termination points and
  326.    100,000 ADs. However, there are conflicting opinions as to the AD
  327.    topology for which we must design PR mechanisms.  The informal
  328.    argument is described here.
  329.  
  330.    SIMPLE AD TOPOLOGY AND POLICY MODEL Some members of the Internet
  331.    community believe that the current complex topology of interconnected
  332.    ADs is a transient artifact resulting from the evolutionary nature of
  333.    the Research Internet's history.  (FOOTNOTE 9: David Cheriton of
  334.    Stanford University articulated this side of the argument at an
  335.  
  336.  
  337.  
  338. Estrin                                                          [Page 6]
  339.  
  340. RFC 1125                  Policy Requirements              November 1989
  341.  
  342.  
  343.    Internet workshop in Santa Clara, January, 1989). The critical points
  344.    of this argument relate to topology and policy. They contend that in
  345.    the long term the following three conditions will prevail:
  346.  
  347.    * The public carriers will provide pervasive, competitively
  348.      priced, high speed data services.
  349.  
  350.    * The resulting topology of ADs will  be
  351.      stub (not transit) ADs connected to regional
  352.      backbones, which in turn interconnect via multiple,
  353.      overlapping long haul backbones, i.e., a  hierarchy with
  354.      no lateral connections between stub-ADs or regionals,
  355.      and no vertical bypass links.
  356.  
  357.    * The policy requirements of the backbone and stub-ADs
  358.      will be based only on charging for resource usage at the
  359.      stub-AD to backbone-AD boundary, and to settling accounts
  360.      between neighboring backbone providers (regional to long haul,
  361.      and long haul to long haul).
  362.  
  363.    Under these assumptions, the primary requirement for general AD
  364.    interconnect is a metering and charging protocol. The routing
  365.    decision can be modeled as a simple least cost path with the metric
  366.    in dollars and cents. In other words, restrictions on access to
  367.    transit services will be minimal and the functionality provided by
  368.    the routing protocol need not be changed significantly from current
  369.    day approaches.
  370.  
  371.    COMPLEX AD TOPOLOGY AND POLICY MODEL The counter argument is that a
  372.    more complex AD topology will persist. (FOOTNOTE 10:  Much of the
  373.    remainder of this paper attempts to justify and provide evidence for
  374.    this statement.) The different assumptions about AD topology lead to
  375.    the significantly different assumptions about AD policies.
  376.  
  377.    This model assumes that the topology of ADs will in many respects
  378.    agree with the previous model of increased commercial carrier
  379.    participation and resulting hierarchical structure. However, we
  380.    anticipate unavoidable and persistent exceptions to the hierarchy.
  381.    We assume that there will be a relatively small number of long haul
  382.    transit ADs (on the order of 100), but that there may be tens of
  383.    thousands of regional ADs and hundreds of thousands of stub ADs
  384.    (e.g., campuses, laboratories, and private companies).  The competing
  385.    long haul offerings will differ, both in the services provided and in
  386.    their packaging and pricing.  Regional networks will overlap less and
  387.    will connect campus and private company networks. However, many
  388.    stub-ADs will retain some private lateral links for political,
  389.    technical, and reliability reasons.  For example, political
  390.    incentives cause organizations to invest in bypass links that are not
  391.  
  392.  
  393.  
  394. Estrin                                                          [Page 7]
  395.  
  396. RFC 1125                  Policy Requirements              November 1989
  397.  
  398.  
  399.    always justifiable on a strict cost comparison basis; specialized
  400.    technical requirements cause organizations to invest in links that
  401.    have characteristics (e.g., data rate, delay, error, security) not
  402.    available from public carriers at a competitive rate; and critical
  403.    requirements cause organizations to invest in redundant back up links
  404.    for reliability reasons.  These exceptions to the otherwise regular
  405.    topology are not dispensible. They will persist and must be
  406.    accommodated, perhaps at the expense of optimality; see Section 5 for
  407.    more detail.  In addition, many private companies will retain their
  408.    own private long haul network facilities. (FOOTNOTE 11:  While
  409.    private voice networks also exist, private data networks are more
  410.    common.  Voice requirements are more standardized because voice
  411.    applications are more uniform than are data applications, and
  412.    therefore the commercial services more often have what the voice
  413.    customer wants at a price that is competitive with the private
  414.    network option. Data communication requirements are still more
  415.    specialized and dynamic.  Thus, there is less opportunity for economy
  416.    of scale in service offerings and it is harder to keep up to date
  417.    with customer demand. For this reason we expect private data networks
  418.    to persist for the near future. As the telephone companies begin to
  419.    introduce the next generation of high speed packet switched services,
  420.    the scenario should change. However, we maintain that the result will
  421.    be a predominance, but not complete dominance, of public carrier use
  422.    for long haul communication.  Therefore, private data networks will
  423.    persist and the routing architecture must accommodate controlled
  424.    interconnection.)  Critical differences between the two models follow
  425.    from the difference in assumptions regarding AD topology. In the
  426.    complex case, lateral connections must be supported, along with the
  427.    means to control the use of such connections in the routing
  428.    protocols.
  429.  
  430.    The different topologies imply different policy requirements.  The
  431.    first model assumes that all policies can be expressed and enforced
  432.    in terms of dollars and cents and distributed charging schemes. The
  433.    second model assumes that ADs want more varied control over their
  434.    resources, control that can not be captured in a dollars and cents
  435.    metric alone. We describe the types of policies to be supported and
  436.    provide examples in the following section, Section 6. In brief, given
  437.    private lateral links, ADs must be able to express access and
  438.    charging related restrictions and privileges that discriminate on an
  439.    AD basis.  These policies will be diverse, dynamic, and new
  440.    requirements will emerge over time, consequently support must be
  441.    extensible.  For example, the packaging and charging schemes of any
  442.    single long haul service will vary over time and may be relatively
  443.    elaborate (e.g., many tiers of service, special package deals, to
  444.    achieve price discrimination).
  445.  
  446.    Note that these assumptions about complexity do not preclude some
  447.  
  448.  
  449.  
  450. Estrin                                                          [Page 8]
  451.  
  452. RFC 1125                  Policy Requirements              November 1989
  453.  
  454.  
  455.    collection of ADs from "negotiating away" their policy differences,
  456.    i.e., forming a federation, and coordinating a simplified inter-AD
  457.    configuration in order to reduce the requirements for inter-AD
  458.    mechanisms.  However, we maintain that there will persist collections
  459.    of ADs that will not and can not behave as a single federation; both
  460.    in the research community and, even more predominantly, in the
  461.    broader commercial arena.  Moreover, when it comes to interconnecting
  462.    across these federations, non-negotiable differences will arise
  463.    eventually.  It is our goal to develop mechanisms that are applicable
  464.    in the broader arena.
  465.  
  466.    The Internet community developed its original protocol suite with
  467.    only minimal provision for resource control [9].  This was
  468.    appropriate at the time of development based on the assumed community
  469.    (i.e., researchers) and the ground breaking nature of the technology.
  470.    The next generation of network technology is now being designed to
  471.    take advantage of high speed media and to support high demand traffic
  472.    generated by more powerful computers and their applications [10].  As
  473.    with TCP/IP we hope that the technology being developed will find
  474.    itself applied outside of the research community. This time it would
  475.    be inexcusable to ignore resource control requirements and not to pay
  476.    careful attention to their specification.
  477.  
  478.    Finally, we look forward to the Internet structure taking advantage
  479.    of economies of scale offered by enhanced commercial services.
  480.    However, in many respects the problem that stub-ADs may thus avoid,
  481.    will be faced by the multiple regional and long haul carriers
  482.    providing the services. The carriers' charging and resource control
  483.    policies will be complex enough to require routing mechanisms similar
  484.    to ones being proposed for the complex AD topology case described
  485.    here.  Whether the network structure is based on private or
  486.    commercial services, the goal is to construct policy sensitive
  487.    mechanisms that will be transparent to end users (i.e., the
  488.    mechanisms are part of the routing infrastructure at the network
  489.    level, and not an end to end concern).
  490.  
  491. 6  POLICY TYPES
  492.  
  493.    This section outlines a taxonomy of internet policies for inter-AD
  494.    topologies that allow lateral and bypass links.  The taxonomy is
  495.    intended to cover a wide range of ADs and internets. Any particular
  496.    PR architecture we design should support a significant subset of
  497.    these policy types but may not support all of them due to technical
  498.    complexity and performance considerations.  The general taxonomy is
  499.    important input to a functional specification for PR. Moreover, it
  500.    can be used to evaluate and compare the suitability and completeness
  501.    of existing routing architectures and protocols for PR; see Section
  502.    8.
  503.  
  504.  
  505.  
  506. Estrin                                                          [Page 9]
  507.  
  508. RFC 1125                  Policy Requirements              November 1989
  509.  
  510.  
  511.    We provide examples from the Research Internet of the different
  512.    policy types in the form of resource usage policy statements. These
  513.    statements were collected through interviews with agency
  514.    representatives, but they do not represent official policy. These
  515.    sample policy statements should not} be interpreted as agency policy,
  516.    they are provided here only as examples.
  517.  
  518.    Internet policies fall into two classes, access and charging.  Access
  519.    policies specify who can use resources and under what conditions.
  520.    Charging policies specify the metering, accounting, and billing
  521.    implemented by a particular AD.
  522.  
  523. 6.1  TAXONOMY OF ACCESS POLICIES
  524.  
  525.    We have identified the following types of access policies that ADs
  526.    may wish to enforce. Charging policies are described in the
  527.    subsequent section. Section 6.3 provides more specific examples of
  528.    both access and charging policies using FRICC policy statements.
  529.  
  530.    Access policies typically are expressed in the form: principals of
  531.    type x can have access to resources of type y under the following
  532.    conditions, z. The policies are categorized below according to the
  533.    definition of y and z.  In any particular instance, each of the
  534.    policy types would be further qualified by definition of legitimate
  535.    principals, , x, i.e., what characteristics x must have in order to
  536.    access the resource in question.
  537.  
  538.    We refer to access policies described by stub and transit ADs.  The
  539.    two roles imply different motivations for resource control, however
  540.    the types of policies expressed are similar; we expect the supporting
  541.    mechanisms to be common as well.
  542.  
  543.    Stub and transit access policies may specify any of the following
  544.    parameters:
  545.  
  546.    * SOURCE/DESTINATION
  547.    Source/Destination policies prevent or restrict communication
  548.    originated by or destined for particular ADs (or hosts or user
  549.    classes within an AD).
  550.  
  551.    * PATH
  552.    Path sensitive policies specify which ADs may or may not be passed
  553.    through en route to a destination. The most general path sensitive
  554.    policies allow stub and transit ADs to express policies that depend
  555.    on any component in the AD path. In other words, a stub AD could
  556.    reject a route based on any AD (or combination of ADs) in the route.
  557.    Similarly, a transit AD could express a packet forwarding policy that
  558.    behaves differently depending upon which ADs a packet has passed
  559.  
  560.  
  561.  
  562. Estrin                                                         [Page 10]
  563.  
  564. RFC 1125                  Policy Requirements              November 1989
  565.  
  566.  
  567.    through, and is going to pass through, en route to the destination.
  568.    Less ambitious (and perhaps more reasonable) path sensitive policies
  569.    might only discriminate according to the immediate neighbor ADs
  570.    through which the packet is traveling (i.e., a stub network could
  571.    reject a route based on the first transit AD in the route, and a
  572.    transit AD could express a packet forwarding policy that depends upon
  573.    the previous, and the subsequent, transit ADs in the route.)
  574.  
  575.    * QUALITY/TYPE OF SERVICE(QOS OR TOS)
  576.    This type of policy restricts access to special resources or
  577.    services.  For example, a special high throughput, low delay link may
  578.    be made available on a selective basis.
  579.  
  580.    * RESOURCE GUARANTEE
  581.    These policies provide a guaranteed percentage of a resource on a
  582.    selective, as needed basis.  In other words, the resource can be used
  583.    by others if the preferred-AD's offered load is below the guaranteed
  584.    level of service.  The guarantee may be to always carry intra-AD
  585.    traffic or to always carry inter-AD traffic for a specific AD.
  586.  
  587.    *  TEMPORAL
  588.    Temporal policies restrict usage based on the time of day or other
  589.    time related parameters.
  590.  
  591.    *  HIGH LEVEL PROTOCOL
  592.    Usage may be restricted to a specific high level protocol such as
  593.    mail or file transfer. (Alternatively, such policies can be
  594.    implemented as source/destination policies by configuring a host(s)
  595.    within an AD as an application relay and composing policy terms that
  596.    allow inter-AD access to only that host.)
  597.  
  598.    *  RESOURCE LIMIT
  599.    There may be a limit on the amount of traffic load a source may
  600.    generate during a particular time interval, e.g., so many packets in
  601.    a day, hour, or minute.
  602.  
  603.    *  AUTHENTICATION REQUIREMENTS
  604.    Conditions may be specified regarding the authenticability of
  605.    principal identifying information. Some ADs might require some form
  606.    of cryptographic proof as to the identity and affiliations of the
  607.    principal before providing access to critical resources.
  608.  
  609.    The above policy types usually exist in combination for a particular
  610.    AD, i.e., an AD's policies might express a combination of transit,
  611.    source/destination, and QOS restrictions. This taxonomy will evolve
  612.    as PR is applied to other domains.
  613.  
  614.    As will be seen in Section 6.3 an AD can express its charging and
  615.  
  616.  
  617.  
  618. Estrin                                                         [Page 11]
  619.  
  620. RFC 1125                  Policy Requirements              November 1989
  621.  
  622.  
  623.    access policies in a single syntax. Moreover, both stub and transit
  624.    policies can co-exist. This is important since some ADs operate as
  625.    both stub and transit facilities and require such hybrid control.
  626.  
  627. 6.2 TAXONOMY OF CHARGING POLICIES
  628.  
  629.    Stub and transit charging policies  may specify the following
  630.    parameters:
  631.  
  632.    *  UNIT OF ACCOUNTING (e.g., dollars or credits).
  633.    *  BASIS FOR CHARGING (e.g., per Kbyte or per Kpkt).
  634.    *  ACTUAL CHARGES (e.g., actual numbers such as $.50/Mbyte).
  635.    *  WHO IS CHARGED OR PAID (e.g., originator of packet,
  636.       immediate neighbor from whom packet was received, destination
  637.       of packet, a third party collection agent).
  638.    *  WHOSE PACKET COUNT is used (e.g., source, destination, the
  639.       transit AD's own count, the count of some upstream or
  640.       downstream AD).
  641.    *  BOUND ON CHARGES (e.g., to limit the  amount that a stub
  642.       AD is willing to spend, or the amount that a transit AD is
  643.       willing to carry.)
  644.  
  645.    The enforcement of these policies may be carried out during route
  646.    synthesis or route selection [4].
  647.  
  648. 6.3  EXAMPLE POLICY STATEMENTS
  649.  
  650.    The following policy statements were collected in the fall of 1988
  651.    through interviews with representatives of the federal agencies most
  652.    involved in supporting internetworking. Once again we emphasize that
  653.    these are not official policy statements. They are presented here to
  654.    provide concrete examples of the sort of policies that agencies would
  655.    like to enforce.
  656.  
  657.    Expressing policies as Policy Terms (PTs)
  658.  
  659.    Each policy is described in English and then expressed in a policy
  660.    term (PT) notation suggested by Dave Clark in [4].  Each PT
  661.    represents a distinct policy of the AD that synthesized it.  The
  662.    format of a PT is:
  663.  
  664.     [(H{src},AD{src},AD{ent}),(H{dst},AD{dst},AD{exit}),UCI, Cg,Cb]
  665.  
  666.    Hsrc stands for source host, ADsrc for source AD, ADent for entering
  667.    AD (i.e., neighboring AD from which traffic is arriving directly),
  668.    Hdst for destination host, ADdst for destination AD, ADexit for exit
  669.    AD (i.e.,neighboring AD to which traffic is going directly), UCI for
  670.    user class identifier, and Cg and Cb for global and bilateral
  671.  
  672.  
  673.  
  674. Estrin                                                         [Page 12]
  675.  
  676. RFC 1125                  Policy Requirements              November 1989
  677.  
  678.  
  679.    conditions, respectively. The purpose of a PT is to specify that
  680.    packets from some host, H{src}, (or a group of hosts) in a source AD,
  681.    AD{src}, are allowed to enter the AD in question via some directly
  682.    connected AD, AD{ent}, and exit through another directly connected
  683.    AD, AD{exit}, on its way to a host, H{dst}, (or a group of hosts) in
  684.    some destination AD, AD{dst}.  User Class Identifier (UCI) allows for
  685.    distinguishing between various user classes, e.g., Government,
  686.    Research, Commercial, Contract, etc.  Global Conditions (Cg)
  687.    represent billing and other variables.  Bilateral Conditions (Cb)
  688.    relate to agreements between neighboring ADs, e.g., related to
  689.    metering or charging.  In the example policy terms provided below we
  690.    make use of the following abbreviations: Fricc for
  691.    {DOE,NASA,DCA,NSF}, F for Federal Agency, Re for Regional, U for
  692.    University, Co for Commercial Corporation, and Cc for Commercial
  693.    Carrier. A hyphen, -, means no applicable matches.
  694.  
  695.    By examining a PT we can identify the type of policy represented, as
  696.    per the taxonomy presented earlier.
  697.  
  698.    *  If an AD specifies a policy term that has a null (-) entry for
  699.       the ADexit, then it is disallowing transit for some group of users,
  700.       and it is a transit policy.
  701.  
  702.    *  If an AD specifies a  policy term that lists itself
  703.       explicitly as ADsrc or ADdst, it is expressing restrictions on who
  704.       can access particular resources within its boundaries, or on who inside
  705.       can obtain external access. In other words the AD is expressing a
  706.       source/destination policy.
  707.  
  708.    *  If ADexit or ADentr is specified then the policy expressed is an
  709.       exit/entrance path policy.
  710.  
  711.    *  If the global conditions include charging, QOS, resource
  712.       guarantee,  time of day, higher level application, resource limit, or
  713.       authentication related information it is obviously a charging, QOS,
  714.       resource guarantee, temporal, higher level application, resource
  715.       limit, or authentication policy, respectively.
  716.  
  717.    As seen below, any one PT typically incorporates a combination of
  718.    policy types.
  719.  
  720. 6.3.1  THE FRICC
  721.  
  722.    In the following examples all policies (and PTs) are symmetrical
  723.    under the assumption that communication is symmetrical.
  724.  
  725.  
  726.  
  727.  
  728.  
  729.  
  730. Estrin                                                         [Page 13]
  731.  
  732. RFC 1125                  Policy Requirements              November 1989
  733.  
  734.  
  735. NATIONAL SCIENCE FOUNDATION (NSF)
  736.  
  737.    1.  NSF will carry traffic for any host connected to a F/Re network
  738.    talking to any other host connected to a F/Re via any F/Re entry and
  739.    exit network, so long as there is it is being used for research or
  740.    support. There is no authentication of the UCI and no per packet
  741.    charging.  NSFnet is a backbone and so does not connect directly to
  742.    universities or companies...thus the indication of {F/Re} instead of
  743.    {F/Re/U/Co} as ADent and ADexit.
  744.  
  745.    [NSF1:  (*, {F/Re}, {F/Re})(*, {F/Re}, {F/Re}){research,support}
  746.    {unauthenticated UCI,no-per-pkt charge}{}]
  747.  
  748.    2.  NSF will carry traffic to user and expert services hosts in NSF
  749.    AD to/from any F/Re AD, via any F/Re AD. These are the only things
  750.    that directly connect to NSFnet.
  751.  
  752.    [NSF2: ({User svcs, Expert Svcs},{NSF},{F/Re})(*,{F/Re},{-}){}{}{}]
  753.  
  754. DEPARTMENT OF ENERGY (DOE)
  755.  
  756.    1.  DOE will carry traffic to and from any host directly connected to
  757.    DOE so long as it is used for research or support. There is no
  758.    authentication of the UCI and no per packet charging.
  759.  
  760.    [DOE1: (*,DOE,-)(*,*,*){research,support}
  761.    {unauthenticated UCI,no-per-packet charge}{}]
  762.  
  763.    2.  DOE will carry traffic for any host connected to a F/Re network
  764.    talking to any other host connected to a F/Re via any F/Re entry and
  765.    exit network without regard to the UCI. There is no authentication of
  766.    the UCI and no per packet charging. (in other words DOE is more
  767.    restrictive with its own traffic than with traffic it is carrying as
  768.    part of a resource sharing arrangement.)
  769.  
  770.    [DOE2: (*,{F/Re},{F/Re})(*,{F/Re},{F/Re}){}
  771.    {unauthenticated UCI, no-per-pkt charge}{}]
  772.  
  773. NATIONAL AERONAUTICS AND SPACE ADMINISTRATION (NASA)
  774.  
  775.    1.  Nasa will accept any traffic to/from members of the Nasa AD. But
  776.    no transit. No UCI authentication and no per packet charge.
  777.  
  778.    [NASA1: (*,*,*)(*,Nasa,-){Nasa-research, support}
  779.    {unauthenticated UCI,no-per-packet-charge}{}]
  780.  
  781.    2.  Nasa will carry transit traffic to/from other federal agency
  782.    networks if it is in support of research, and if the total use of
  783.  
  784.  
  785.  
  786. Estrin                                                         [Page 14]
  787.  
  788. RFC 1125                  Policy Requirements              November 1989
  789.  
  790.  
  791.    available BW by non-nasa Federal agencies is below n%. NOTE THAT this
  792.    non-interference policy type needs some more work in terms of
  793.    integrating it into the routing algorithms. See Section 7.
  794.  
  795.    [NASA2: (*,{F},*)(*,{F},*){research,support}
  796.    {per-packet accounting, limited to n% of available BW}{}]
  797.  
  798.    3.  NASA will carry commercial traffic to federal and regional and
  799.    university ADs for nasa research or support. But it will not allow
  800.    transit. The particular entry AD is not important.
  801.  
  802.    [NASA3: (*,{Co},*} (*,{F/R/U},*) {NASA research,support}
  803.     {unauthenticated UCI, no per packet charge}{}]
  804.  
  805.    4.  On a case by case basis NASA may provide access to its resources
  806.    on a cost reimbursed basis. Transit traffic will not be carried on
  807.    this basis.
  808.  
  809.     [NASA4: (*,*,-)(*,*,-){}
  810.     {per-packet-charge, limited to n% of available BW} {}]
  811.  
  812. DEFENSE ADVANCED RESEARCH PROJECTS AGENCY (DARPA)
  813.  
  814.    1.  DARPA will carry traffic to/from any host in DARPA AD from any
  815.    external host that can get it there so long as UCI is research or
  816.    support. No UCI authentication or per packet charge.
  817.  
  818.    [DARPA1: (*,*,*)(*,DARPA,-){research,support}
  819.    {unauthenticated-UCI, no per packet charge}{}]
  820.  
  821.    2.  DARPA will carry traffic for any host connected to a F/Re/U/Co
  822.    network talking to any other host connected to a F/Re/U/Co via any
  823.    F/Re/U/Co entry and exit network, so long as there is it is being
  824.    used for research or support, and the network is not heavily
  825.    congested!!.  There is no authentication of the UCI and no per packet
  826.    charging.  NOTE: Darpa would like to say something about the need to
  827.    enter the Darpa AD at the point closest to the destination...but i
  828.    don't know how to express this...
  829.  
  830.    DARPA2: (*,{F/R/U/Co},{F/R/U/Co})(*,{F/R/U/Co},{F/R/U/Co})
  831.    {research,support}{unauthenticated-UCI,no per packet charge,
  832.    non-interference basis}{}]
  833.  
  834. DEFENSE COMMUNICATIONS AGENCY (DCA)
  835.  
  836.    1.  DCA will not carry any transit traffic. It will only accept and
  837.    send traffic to and from its mailbridge(s) and only from and to hosts
  838.    on other F/Re nets. All packets are marked and charged for by the
  839.  
  840.  
  841.  
  842. Estrin                                                         [Page 15]
  843.  
  844. RFC 1125                  Policy Requirements              November 1989
  845.  
  846.  
  847.    kilopacket.
  848.  
  849.    [DCA1:(mailbridge,DCA,-)(*,{F/Re},{F/Re}){research,support}
  850.    {unauthenticated UCI, all incoming packets marked, per-kilopacket
  851.    charge}{}]
  852.  
  853. 6.3.2 THE REGIONALS
  854.  
  855.    Interviews with regional network administrations are now underway. In
  856.    general their policies are still in formation due to the relatively
  857.    recent formation of these regional networks. However, for the sake of
  858.    illustration we provide an example of a hypothetical regional's
  859.    network policies.
  860.  
  861. REGIONAL A
  862.  
  863.    1.  Regional A will carry traffic from/to any directly connected
  864.    F/Re/U network to any F/Re/U network via NSF if it is for a research
  865.    or support UCI. (NSF requires that all Regional networks only pass it
  866.    traffic that complies with its, NSF's, policies!)
  867.  
  868.    [Regional A:(*,{F/Re/U},{F/Re/U})(*,{F/Re/U},NSF){research,support}
  869.    {unauthenticated UCI, no-per-packet charge}{}]
  870.  
  871. REGIONAL B
  872.  
  873.    1.  Regional B will carry traffic from/to any directly connected
  874.    F/Re/U network to any F/Re/U network via a commercial carrier
  875.    regardless of its UCI. In this case the packets are charged for since
  876.    the commercial carrier charges per kilopacket.
  877.  
  878.    [Regional B:(*,{F/Re/U},{F/Re/U})(*,{F/Re/U},Cc){}
  879.    {unauthenticated UCI, per-kilopacket charge}{}]
  880.  
  881. 6.3.3 CAMPUS AND PRIVATE NETWORKS
  882.  
  883.    Similar interviews should be conducted with administrators of campus
  884.    and private networks. However, many aspects of their policies are
  885.    contingent on the still unresolved policies of the regionals and
  886.    federal agencies.  In any event, transit policies will be critical
  887.    for campus and private networks to flexibly control access to lateral
  888.    links and private wide area networks, respectively. For example, a
  889.    small set of university and private laboratories may provide access
  890.    to special gigabit links for particular classes of researchers.  On
  891.    the other hand, source/destination policies should not be used in
  892.    place of network level access controls for these end ADs.
  893.  
  894.  
  895.  
  896.  
  897.  
  898. Estrin                                                         [Page 16]
  899.  
  900. RFC 1125                  Policy Requirements              November 1989
  901.  
  902.  
  903. 6.3.4  COMMERCIAL SERVICES
  904.  
  905.    Currently commercial communication services play a low level role in
  906.    most parts of today's Research Internet; they provide the
  907.    transmission media, i.e.,leased lines. In the future we expect
  908.    commercial carriers to provide increasingly higher level and enhanced
  909.    services such as high speed packet switched backbone services.
  910.    Because such services are not yet part of the Research Internet
  911.    infrastructure there exist no policy statements.
  912.  
  913.    Charging and accounting are certain to be an important policy type in
  914.    this context.  Moreover, we anticipate the long haul services market
  915.    to be highly competitive. This implies that competing service
  916.    providers will engage in significant gaming in terms of packaging and
  917.    pricing of services. Consequently, the ability to express varied and
  918.    dynamic charging policies will be critical for these ADs.
  919.  
  920. 7  PROBLEMATIC REQUIREMENTS
  921.  
  922.    Most of this paper has lobbied for articulation of relatively
  923.    detailed policy statements in order to help define the technical
  924.    mechanisms needed for enforcement.  We promoted a top down design
  925.    process beginning with articulation of desired policies.  Now we feel
  926.    compelled to mention requirements that are clearly problematic from
  927.    the bottom up perspective of technical feasibility.
  928.  
  929.    *  Non-interference policies are of the form "I will provide
  930.       access for principals x to resources y so long as it does not
  931.       interfere with my internal usage." The problem with such policies
  932.       is that access to an AD at any point in time is contingent upon a
  933.       local, highly dynamic, parameter that is not globally available.
  934.       Therefore such a policy term could well result in looping,
  935.       oscillations, and excessive route (re)computation overhead,
  936.       both unacceptable. Consequently, this is one type of policy that
  937.       routing experts suggest would be difficult to support in a very
  938.       large decentralized internetwork.
  939.  
  940.    *  Granularity can also be problematic, but not as devistating as
  941.       highly dynamic PR contingencies. Here the caution is less specific.
  942.       Very fine grain policies, which restrict access to particular
  943.       hosts, or are contingent upon very fine grain user class
  944.       identification, may be achieved more efficiently with network
  945.       level access control [11] or end system controls instead of
  946.       burdening the inter-AD routing mechanism.
  947.  
  948.    *  Security  is expensive, as always. Routing protocols are subject
  949.       to fraud through impersonation, data substitution, and denial of
  950.       service. Some of the proposed mechanisms provide some means for
  951.  
  952.  
  953.  
  954. Estrin                                                         [Page 17]
  955.  
  956. RFC 1125                  Policy Requirements              November 1989
  957.  
  958.  
  959.       detection and non-repudiation. However, to achieve a priori
  960.       prevention of resource misuse is expensive in terms of per
  961.       connection or per packet cryptographic overhead. For some
  962.       environments we firmly believe that this will be necessary and
  963.       we would prefer an architecture that would accommodate such
  964.       variability [12].
  965.  
  966.    In general, it is difficult to predict the impact of any particular
  967.    policy term. Tools will be needed to assist people in writing and
  968.    validating policy terms.
  969.  
  970. 8  PROPOSED MECHANISMS
  971.  
  972.    Previous routing protocols have addressed a narrower definition of
  973.    PR, as appropriate for the internets of their day. In particular, EGP
  974.    [3], DGP[13], and BGP[6] incorporate a notion of policy restrictions
  975.    as to where routing database information travels. None are intended
  976.    to support policy based routing of packets as described here.  More
  977.    recent routing proposals such as Landmark [14] and Cartesian [15]
  978.    could be used to restrict packet forwarding but are not suited to
  979.    source/destination, and some of the condition-oriented, policies. We
  980.    feel these policy types are critical to support. We note that for
  981.    environments (e.g., within an AD substructure) in which the simple-
  982.    AD-topology conjecture holds true, these alternatives may be
  983.    suitable.
  984.  
  985.    RFC 1104 [5] provides a good description of shorter term policy
  986.    routing requirements. Braun classifies three types of mechanisms,
  987.    policy based distribution of route information, policy based packet
  988.    forwarding, and policy based dynamic allocation of network resources.
  989.    The second class is characterized by Dave Clark's PR architecture,
  990.    RFC 1102 [4]. With respect to the longer term requirements laid out
  991.    in this document, only this second class is expressive and flexible
  992.    enough to support the multiplicity of stub and transit policies. In
  993.    other words, the power of the PR approach (e.g., RFC1102) is not just
  994.    in the added granularity of control pointed out by Braun, i.e., the
  995.    ability to specify particular hosts and user classes. Its power is in
  996.    the ability to express and enforce many types of stub and transit
  997.    policies and apply them on a discriminatory basis to different ADs.
  998.    In addition, this approach provides explicit support for stub ADs to
  999.    control routes via the use of source routing.  (FOOTNOTE 12:
  1000.    Moreover, the source routing approach loosens the requirements for
  1001.    every AD to share a complete view of the entire internet by allowing
  1002.    the source to detect routing loops.)  (FOOTNOTE 13:  The match
  1003.    between RFC1102 and the requirements specified in this document is
  1004.    hardly a coincidence since Clark's paper and discussions with him
  1005.    contributed to the requirements formulation presented here. His work
  1006.    is currently being evaluated and refined by the ANRG and ORWG.)
  1007.  
  1008.  
  1009.  
  1010. Estrin                                                         [Page 18]
  1011.  
  1012. RFC 1125                  Policy Requirements              November 1989
  1013.  
  1014.  
  1015. 9  SUMMARY
  1016.  
  1017.    Along with the emergence of very high speed applications and media,
  1018.    resource management has become a critical issue in the Research
  1019.    Internet and internets in general. A fundamental characteristic of
  1020.    the resource management problem is allowing administratively ADs to
  1021.    interconnect while retaining control over resource usage. However, we
  1022.    have lacked a careful articulation of the types of resource
  1023.    management policies that need to be supported.  This paper addresses
  1024.    policy requirements for the Research Internet.  After justifying our
  1025.    assumptions regarding AD topology we presented a taxonomy and
  1026.    examples of policies that must be supported by a PR protocol.
  1027.  
  1028. 10  ACKNOWLEDGMENTS
  1029.  
  1030.    Members of the Autonomous Networks Research Group and Open Routing
  1031.    Working Group have contributed significantly to the ideas presented
  1032.    here, in particular, Guy Almes, Lee Breslau, Scott Brim, Dave Clark,
  1033.    Marianne Lepp, and Gene Tsudik. In addition, Lee Breslau and Gene
  1034.    Tsudik provided detailed comments on a previous draft. David Cheriton
  1035.    inadvertently caused me to write this document.  Sharon Anderson's
  1036.    contributions deserve special recognition.  The author is supported
  1037.    by research grants from National Science Foundation, AT&T, and GTE.
  1038.  
  1039. 11   REFERENCES
  1040.  
  1041.    [1] J. Postel, Internet Protocol,  Network Information Center, RFC
  1042.        791, September 1981.
  1043.  
  1044.    [2] G. Vaudreuil, The Federal Research Internet Coordinating
  1045.        Committee and National Research Network, ACM SIG Computer
  1046.        Communications Review,April 1988.
  1047.  
  1048.    [3] E. Rosen, Exterior Gateway Protocol (EGP), Network Information
  1049.        Center, RFC 827, October 1982.
  1050.  
  1051.    [4] D. Clark, Policy Routing in Internet Protocols, Network
  1052.        Information Center, RFC 1102, May 1989.
  1053.  
  1054.    [5] H.W.Braun, Models of Policy Based Routing, Network Information
  1055.        Center, RFC 1104, June 1989.
  1056.  
  1057.    [6] K. Lougheed, Y. Rekhter, A Border Gateway Protocol, Network
  1058.        Information Center, RFC 1105, June 1989.
  1059.  
  1060.    [7] J. Saltzer, M. Schroeder, The Protection of Information in
  1061.        Computer Systems, Proceedings of the IEEE, 63, 9 September 1975.
  1062.  
  1063.  
  1064.  
  1065.  
  1066. Estrin                                                         [Page 19]
  1067.  
  1068. RFC 1125                  Policy Requirements              November 1989
  1069.  
  1070.  
  1071.    [8] V. Jacobson, Congestion Avoidance and Control.  Proceedings of
  1072.        ACM Sigcomm, pp. 106-114, August 1988, Palo Alto, CA.
  1073.  
  1074.    [9] David Clark, Design Philosophy of the DARPA Internet Protocols,
  1075.        Proceedings of ACM Sigcomm, pp. 106-114, August 1988, Palo Alto,
  1076.        CA.
  1077.  
  1078.   [10] Gigabit Networking Group, B. Leiner, Editor. Critical Issues in
  1079.        High Bandwidth Networking, Network Information Center, RFC 1077,
  1080.        November 1988.
  1081.  
  1082.   [11] D. Estrin, J. Mogul and G. Tsudik, Visa Protocols for Controlling
  1083.        Inter-Organizational Datagram Flow, To appear in IEEE Journal on
  1084.        Selected Areas in Communications, Spring 1989.
  1085.  
  1086.   [12] D. Estrin and G. Tsudik, Security Issues in Policy Routing, IEEE
  1087.        Symposium on Research in Security and Privacy, Oakland, CA.  May
  1088.        1-3 1989.
  1089.  
  1090.   [13]  M. Little, The Dissimilar Gateway Protocol,  Technical report
  1091.  
  1092.   [14] P. Tsuchiya, The Landmark Hierarchy: A new hierarchy for routing
  1093.        in very large networks, IEEE SIGCOMM 88, Palo Alto, CA. September
  1094.        1988.
  1095.  
  1096.   [15] G. Finn, Reducing the Vulnerability of Dynamic Computer Networks
  1097.        USC/Information Sciences Institute, Technical Report, ISI/RR-88-
  1098.        201 July 1988.
  1099.  
  1100.   [16] A. Nakassis Routing Algorithm for Open Routing, Unpublished
  1101.        paper, Available from the author at the National Institute of
  1102.        Standards and Technology (formerly NBS), Washington D.C.
  1103.  
  1104. 11  SECURITY CONSIDERATIONS
  1105.  
  1106.        This memo does not address the security aspects of the issues
  1107.        discussed.
  1108.  
  1109. AUTHOR'S ADDRESS:
  1110.  
  1111.        Deborah Estrin
  1112.        University of Southern California
  1113.        Computer Science Department
  1114.        Los Angeles, CA 90089-0782
  1115.  
  1116.        Phone: (213) 743-7842
  1117.  
  1118.        EMail: Estrin@OBERON.USC.EDU
  1119.  
  1120.  
  1121.  
  1122. Estrin                                                         [Page 20]
  1123.  
  1124. RFC 1125                  Policy Requirements              November 1989
  1125.  
  1126.  
  1127.  
  1128.  
  1129.  
  1130.  
  1131.  
  1132.  
  1133.  
  1134.  
  1135.  
  1136.  
  1137.  
  1138.  
  1139.  
  1140.  
  1141.  
  1142.  
  1143.  
  1144.  
  1145.  
  1146.  
  1147.  
  1148.  
  1149.  
  1150.  
  1151.  
  1152.  
  1153.  
  1154.  
  1155.  
  1156.  
  1157.  
  1158.  
  1159.  
  1160.  
  1161.  
  1162.  
  1163.  
  1164.  
  1165.  
  1166.  
  1167.  
  1168.  
  1169.  
  1170.  
  1171.  
  1172.  
  1173.  
  1174.  
  1175.  
  1176.  
  1177.  
  1178. Estrin                                                         [Page 21]
  1179.