[要約] RFC 3460は、ポリシーコア情報モデル(PCIM)の拡張に関するものであり、ポリシーベースのネットワーキングにおける情報モデルの標準化を目的としています。
Network Working Group B. Moore, Ed.
Request for Comments: 3460 IBM
Updates: 3060 January 2003
Category: Standards Track
Policy Core Information Model (PCIM) Extensions
ポリシーコア情報モデル(PCIM)拡張機能
Status of this Memo
本文書の位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2003). All Rights Reserved.
Copyright(c)The Internet Society(2003)。無断転載を禁じます。
Abstract
概要
This document specifies a number of changes to the Policy Core Information Model (PCIM, RFC 3060). Two types of changes are included. First, several completely new elements are introduced, for example, classes for header filtering, that extend PCIM into areas that it did not previously cover. Second, there are cases where elements of PCIM (for example, policy rule priorities) are deprecated, and replacement elements are defined (in this case, priorities tied to associations that refer to policy rules). Both types of changes are done in such a way that, to the extent possible, interoperability with implementations of the original PCIM model is preserved. This document updates RFC 3060.
このドキュメントは、ポリシーコア情報モデル(PCIM、RFC 3060)の多くの変更を指定しています。2種類の変更が含まれています。まず、いくつかの完全に新しい要素が導入されています。たとえば、ヘッダーフィルタリング用のクラスは、以前はカバーしていなかった領域にPCIMを拡張します。第二に、PCIMの要素(たとえば、ポリシールールの優先順位)が非推奨で、交換要素が定義されている場合(この場合、ポリシールールを参照する関連付けに関連する優先順位)。両方のタイプの変更は、可能な限り、元のPCIMモデルの実装との相互運用性が保持されるように行われます。このドキュメントは、RFC 3060を更新します。
Table of Contents
目次
1. Introduction....................................................5
2. Changes since RFC 3060..........................................5
3. Overview of the Changes.........................................6
3.1. How to Change an Information Model.........................6
3.2. List of Changes to the Model...............................6
3.2.1. Changes to PolicyRepository.........................6
3.2.2. Additional Associations and Additional Reusable
Elements............................................7
3.2.3. Priorities and Decision Strategies..................7
3.2.4. Policy Roles........................................8
3.2.5. CompoundPolicyConditions and
CompoundPolicyActions...............................8
3.2.6. Variables and Values................................9
3.2.7. Domain-Level Packet Filtering.......................9
3.2.8. Device-Level Packet Filtering.......................9
4. The Updated Class and Association Class Hierarchies............10
5. Areas of Extension to PCIM.....................................13
5.1. Policy Scope..............................................13
5.1.1. Levels of Abstraction: Domain- and Device-Level
Policies...........................................13
5.1.2. Administrative and Functional Scopes...............14
5.2. Reusable Policy Elements..................................15
5.3. Policy Sets...............................................16
5.4. Nested Policy Rules.......................................16
5.4.1. Usage Rules for Nested Rules.......................17
5.4.2. Motivation.........................................17
5.5. Priorities and Decision Strategies........................18
5.5.1. Structuring Decision Strategies....................19
5.5.2. Side Effects.......................................21
5.5.3. Multiple PolicySet Trees For a Resource............21
5.5.4. Deterministic Decisions............................22
5.6. Policy Roles..............................................23
5.6.1. Comparison of Roles in PCIM with Roles in
snmpconf...........................................23
5.6.2. Addition of PolicyRoleCollection to PCIMe..........24
5.6.3. Roles for PolicyGroups.............................25
5.7. Compound Policy Conditions and Compound Policy Actions....27
5.7.1. Compound Policy Conditions.........................27
5.7.2. Compound Policy Actions............................27
5.8. Variables and Values......................................28
5.8.1. Simple Policy Conditions...........................29
5.8.2. Using Simple Policy Conditions.....................29
5.8.3. The Simple Condition Operator......................31
5.8.4. SimplePolicyActions................................33
5.8.5. Policy Variables...................................35
5.8.6. Explicitly Bound Policy Variables..................36
5.8.7. Implicitly Bound Policy Variables..................37
5.8.8. Structure and Usage of Pre-Defined Variables.......38
5.8.9. Rationale for Modeling Implicit Variables
as Classes.........................................39
5.8.10. Policy Values.....................................40
5.9. Packet Filtering..........................................41
5.9.1. Domain-Level Packet Filters........................41
5.9.2. Device-Level Packet Filters........................42
5.10. Conformance to PCIM and PCIMe............................43
6. Class Definitions..............................................44
6.1. The Abstract Class "PolicySet"............................44
6.2. Update PCIM's Class "PolicyGroup".........................45
6.3. Update PCIM's Class "PolicyRule"..........................45
6.4. The Class "SimplePolicyCondition".........................46
6.5. The Class "CompoundPolicyCondition".......................47
6.6. The Class "CompoundFilterCondition".......................47
6.7. The Class "SimplePolicyAction"............................48
6.8. The Class "CompoundPolicyAction"..........................48
6.9. The Abstract Class "PolicyVariable".......................50
6.10. The Class "PolicyExplicitVariable".......................50
6.10.1. The Single-Valued Property "ModelClass"...........51
6.10.2. The Single-Valued Property ModelProperty..........51
6.11. The Abstract Class "PolicyImplicitVariable"..............51
6.11.1. The Multi-Valued Property "ValueTypes"............52
6.12. Subclasses of "PolicyImplicitVariable" Specified
in PCIMe.................................................52
6.12.1. The Class "PolicySourceIPv4Variable"..............52
6.12.2. The Class "PolicySourceIPv6Variable"..............52
6.12.3. The Class "PolicyDestinationIPv4Variable".........53
6.12.4. The Class "PolicyDestinationIPv6Variable".........53
6.12.5. The Class "PolicySourcePortVariable"..............54
6.12.6. The Class "PolicyDestinationPortVariable".........54
6.12.7. The Class "PolicyIPProtocolVariable"..............54
6.12.8. The Class "PolicyIPVersionVariable"...............55
6.12.9. The Class "PolicyIPToSVariable"...................55
6.12.10. The Class "PolicyDSCPVariable"...................55
6.12.11. The Class "PolicyFlowIdVariable".................56
6.12.12. The Class "PolicySourceMACVariable"..............56
6.12.13. The Class "PolicyDestinationMACVariable".........56
6.12.14. The Class "PolicyVLANVariable"...................56
6.12.15. The Class "PolicyCoSVariable"....................57
6.12.16. The Class "PolicyEthertypeVariable"..............57
6.12.17. The Class "PolicySourceSAPVariable"..............57
6.12.18. The Class "PolicyDestinationSAPVariable".........58
6.12.19. The Class "PolicySNAPOUIVariable"................58
6.12.20. The Class "PolicySNAPTypeVariable"...............59
6.12.21. The Class "PolicyFlowDirectionVariable"..........59
6.13. The Abstract Class "PolicyValue".........................59
6.14. Subclasses of "PolicyValue" Specified in PCIMe...........60
6.14.1. The Class "PolicyIPv4AddrValue"...................60
6.14.2. The Class "PolicyIPv6AddrValue....................61
6.14.3. The Class "PolicyMACAddrValue"....................62
6.14.4. The Class "PolicyStringValue".....................63
6.14.5. The Class "PolicyBitStringValue"..................63
6.14.6. The Class "PolicyIntegerValue"....................64
6.14.7. The Class "PolicyBooleanValue"....................65
6.15. The Class "PolicyRoleCollection".........................65
6.15.1. The Single-Valued Property "PolicyRole"...........66
6.16. The Class "ReusablePolicyContainer".................66
6.17. Deprecate PCIM's Class "PolicyRepository"................66
6.18. The Abstract Class "FilterEntryBase".....................67
6.19. The Class "IpHeadersFilter"..............................67
6.19.1. The Property HdrIpVersion.........................68
6.19.2. The Property HdrSrcAddress........................68
6.19.3. The Property HdrSrcAddressEndOfRange..............68
6.19.4. The Property HdrSrcMask...........................69
6.19.5. The Property HdrDestAddress.......................69
6.19.6. The Property HdrDestAddressEndOfRange.............69
6.19.7. The Property HdrDestMask..........................70
6.19.8. The Property HdrProtocolID........................70
6.19.9. The Property HdrSrcPortStart......................70
6.19.10. The Property HdrSrcPortEnd.......................70
6.19.11. The Property HdrDestPortStart....................71
6.19.12. The Property HdrDestPortEnd......................71
6.19.13. The Property HdrDSCP.............................72
6.19.14. The Property HdrFlowLabel.................... ...72
6.20. The Class "8021Filter"...................................72
6.20.1. The Property 8021HdrSrcMACAddr....................73
6.20.2. The Property 8021HdrSrcMACMask....................73
6.20.3. The Property 8021HdrDestMACAddr...................73
6.20.4. The Property 8021HdrDestMACMask...................73
6.20.5. The Property 8021HdrProtocolID....................74
6.20.6. The Property 8021HdrPriorityValue.................74
6.20.7. The Property 8021HdrVLANID........................74
6.21. The Class FilterList.....................................74
6.21.1. The Property Direction............................75
7. Association and Aggregation Definitions........................75
7.1. The Aggregation "PolicySetComponent"......................75
7.2. Deprecate PCIM's Aggregation "PolicyGroupInPolicyGroup"...76
7.3. Deprecate PCIM's Aggregation "PolicyRuleInPolicyGroup"....76
7.4. The Abstract Association "PolicySetInSystem"..............77
7.5. Update PCIM's Weak Association "PolicyGroupInSystem"......77
7.6. Update PCIM's Weak Association "PolicyRuleInSystem".......78
7.7. The Abstract Aggregation "PolicyConditionStructure".......79
7.8. Update PCIM's Aggregation "PolicyConditionInPolicyRule"...79
7.9. The Aggregation "PolicyConditionInPolicyCondition"........79
7.10. The Abstract Aggregation "PolicyActionStructure".........80
7.11. Update PCIM's Aggregation "PolicyActionInPolicyRule".....80
7.12. The Aggregation "PolicyActionInPolicyAction".............80
7.13. The Aggregation "PolicyVariableInSimplePolicyCondition"..80
7.14. The Aggregation "PolicyValueInSimplePolicyCondition".....81
7.15. The Aggregation "PolicyVariableInSimplePolicyAction".....82
7.16. The Aggregation "PolicyValueInSimplePolicyAction"........83
7.17. The Association "ReusablePolicy".........................83
7.18. Deprecate PCIM's "PolicyConditionInPolicyRepository".....84
7.19. Deprecate PCIM's "PolicyActionInPolicyRepository"........84
7.20. The Association ExpectedPolicyValuesForVariable..........84
7.21. The Aggregation "ContainedDomain"........................85
7.22. Deprecate PCIM's "PolicyRepositoryInPolicyRepository"....86
7.23. The Aggregation "EntriesInFilterList"....................86
7.23.1. The Reference GroupComponent......................86
7.23.2. The Reference PartComponent.......................87
7.23.3. The Property EntrySequence........................87
7.24. The Aggregation "ElementInPolicyRoleCollection"..........87
7.25. The Weak Association "PolicyRoleCollectionInSystem"......87
8. Intellectual Property..........................................88
9. Acknowledgements..............................................89
10. Contributors..................................................89
11. Security Considerations.......................................91
12. Normative References..........................................91
13. Informative References........................................91
Author's Address..................................................92
Full Copyright Statement..........................................93
This document specifies a number of changes to the Policy Core Information Model (PCIM), RFC 3060 [1]. Two types of changes are included. First, several completely new elements are introduced, for example, classes for header filtering, that extend PCIM into areas that it did not previously cover. Second, there are cases where elements of PCIM (for example, policy rule priorities) are deprecated, and replacement elements are defined (in this case, priorities tied to associations that refer to policy rules). Both types of changes are done in such a way that, to the extent possible, interoperability with implementations of the original PCIM model is preserved.
このドキュメントは、ポリシーコア情報モデル(PCIM)、RFC 3060 [1]の多くの変更を指定しています。2種類の変更が含まれています。まず、いくつかの完全に新しい要素が導入されています。たとえば、ヘッダーフィルタリング用のクラスは、以前はカバーしていなかった領域にPCIMを拡張します。第二に、PCIMの要素(たとえば、ポリシールールの優先順位)が非推奨で、交換要素が定義されている場合(この場合、ポリシールールを参照する関連付けに関連する優先順位)。両方のタイプの変更は、可能な限り、元のPCIMモデルの実装との相互運用性が保持されるように行われます。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14, RFC 2119 [8].
「必須」、「そうしない」、「必須」、「必要」、「「しない」、「そうでない」、「そうではない」、「そうでない」、「推奨」、「5月」、および「オプション」は、BCP 14、RFC 2119 [8]に記載されているように解釈される。
Section 3.2 contains a short discussion of the changes that this document makes to the RFC 3060 information model. Here is a very brief list of the changes:
セクション3.2には、このドキュメントがRFC 3060情報モデルに加えた変更についての短い議論が含まれています。これが変更の非常に簡単なリストです:
1. Deprecate and replace PolicyRepository and its associations. 2. Clarify and expand the ways that PolicyRules and PolicyGroups are aggregated. 3. Change how prioritization for PolicyRules is represented, and introduce administrator-specified decision strategies for rule evaluation. 4. Expand the role of PolicyRoles, and introduce a means of associating a PolicyRole with a resource. 5. Introduce compound policy conditions and compound policy actions into the model.
1. PolicyRepositoryとその関連付けを非難し、交換します。2. PolicyrulesとPolicy -Groupが集約される方法を明確にし、拡張します。3. Policyrulesの優先順位付けがどのように表現されるかを変更し、ルール評価のために管理者指定の決定戦略を導入します。4. Policyroleの役割を拡大し、Policyroleをリソースに関連付ける手段を導入します。5.複合政策条件と複合政策措置をモデルに導入します。
6. Introduce variables and values into the model. 7. Introduce variable and value subclasses for packet-header filtering. 8. Introduce classes for device-level packet-header filtering.
6. 変数と値をモデルに紹介します。7.パケットヘッダーフィルタリングに変数と値のサブクラスを導入します。8.デバイスレベルのパケットヘッダーフィルタリングのクラスを紹介します。
The Policy Core Information Model is closely aligned with the DMTF's CIM Core Policy model. Since there is no separately documented set of rules for specifying IETF information models such as PCIM, it is reasonable to look to the CIM specifications for guidance on how to modify and extend the model. Among the CIM rules for changing an information model are the following. Note that everything said here about "classes" applies to association classes (including aggregations) as well as to non- association classes.
ポリシーコア情報モデルは、DMTFのCIMコアポリシーモデルと密接に整合しています。PCIMなどのIETF情報モデルを指定するための個別に文書化された一連のルールがないため、モデルの変更と拡張方法に関するガイダンスについては、CIM仕様に目を向けることが合理的です。情報モデルを変更するためのCIMルールの中には、以下があります。ここで「クラス」について言ったことは、協会のクラス(集約を含む)および非協会のクラスに適用されることに注意してください。
o Properties may be added to existing classes. o Classes, and individual properties, may be marked as DEPRECATED. If there is a replacement feature for the deprecated class or property, it is identified explicitly. Otherwise the notation "No value" is used. In this document, the notation "DEPRECATED FOR <feature-name>" is used to indicate that a feature has been deprecated, and to identify its replacement feature. o Classes may be inserted into the inheritance hierarchy above existing classes, and properties from the existing classes may then be "pulled up" into the new classes. The net effect is that the existing classes have exactly the same properties they had before, but the properties are inherited rather than defined explicitly in the classes. o New subclasses may be defined below existing classes.
o プロパティは既存のクラスに追加される場合があります。oクラス、および個々のプロパティは、非推奨としてマークされる場合があります。非推奨クラスまたは財産の交換機能がある場合、それは明示的に特定されます。それ以外の場合は、「値なし」という表記が使用されます。このドキュメントでは、表記「<feation-name>のために非推奨」を使用して、機能が非推奨であることを示し、その置換機能を識別します。oクラスは、既存のクラスの上の継承階層に挿入される場合があり、既存のクラスのプロパティは新しいクラスに「引き上げる」ことができます。最終的な効果は、既存のクラスが以前に持っていたまったく同じプロパティを持っていることですが、クラスで明示的に定義されるのではなく、プロパティが継承されています。o新しいサブクラスは、既存のクラスの下に定義できます。
The following subsections provide a very brief overview of the changes to PCIM defined in PCIMe. In several cases, the origin of the change is noted, as QPIM [11], ICPM [12], or QDDIM [15].
次のサブセクションは、PCIMEで定義されたPCIMの変更の非常に簡単な概要を提供します。いくつかのケースでは、QPIM [11]、ICPM [12]、またはQDDIM [15]として、変化の起源が認められています。
Because of the potential for confusion with the Policy Framework component Policy Repository (from the four-box picture: Policy Management Tool, Policy Repository, PDP, PEP), "PolicyRepository" is a bad name for the PCIM class representing a container of reusable policy elements. Thus the class PolicyRepository is being replaced with the class ReusablePolicyContainer. To accomplish this change, it is necessary to deprecate the PCIM class PolicyRepository and its three associations, and replace them with a new class ReusablePolicyContainer and new associations. As a separate change, the associations for ReusablePolicyContainer are being broadened, to allow a ReusablePolicyContainer to contain any reusable policy elements. In PCIM, the only associations defined for a PolicyRepository were for it to contain reusable policy conditions and policy actions.
ポリシーフレームワークコンポーネントポリシーリポジトリとの混乱の可能性があるため(ポリシー管理ツール、ポリシーリポジトリ、PDP、PEPから)、「PolicyRepository」は、再利用可能なポリシーのコンテナを表すPCIMクラスの悪い名前です要素。したがって、クラスのPolicyRepositoryは、クラスの再利用可能なポリクティナーに置き換えられています。この変更を達成するには、PCIMクラスのPolicyRepositoryとその3つの関連付けを非難し、それらを新しいクラスの再利用可能なポール継続者と新しい関連付けに置き換える必要があります。別の変更として、再利用可能なポリシー要素を封じ込めることができるように、再利用可能なポリシコンテイナーの協会は拡大されています。PCIMでは、PolicyRepositoryで定義された唯一の関連付けは、再利用可能な政策条件と政策訴訟を含めることでした。
The PolicyRuleInPolicyRule and PolicyGroupInPolicyRule aggregations have, in effect, been imported from QPIM. ("In effect" because these two aggregations, as well as PCIM's two aggregations PolicyGroupInPolicyGroup and PolicyRuleInPolicyGroup, are all being combined into a single aggregation PolicySetComponent.) These aggregations make it possible to define larger "chunks" of reusable policy to place in a ReusablePolicyContainer. These aggregations also introduce new semantics representing the contextual implications of having one PolicyRule executing within the scope of another PolicyRule.
PolicyruleinpolicyruleおよびPolicyGroupinpolicyruleの凝集は、実際にはQPIMからインポートされています。(これらの2つの集計とPCIMの2つの集約とPolicyruleinpolicygroupと同様に、これら2つの集約とPolyyruleinpolicygroupがすべて単一の集合体PolicySetComponentに結合されているため、「効果的」。)これらの集合体は、再利用可能なポリシーの再利用可能なポリシーのより大きな「チャンク」を定義できるようにすることができます。。また、これらの集計は、1つのPolicyruleが別のPolicyruleの範囲内で実行されることの文脈上の意味を表す新しいセマンティクスを導入します。
Drawing from both QPIM and ICPM, the Priority property has been deprecated in PolicyRule, and placed instead on the aggregation PolicySetComponent. The QPIM rules for resolving relative priorities across nested PolicyGroups and PolicyRules have been incorporated into PCIMe as well. With the removal of the Priority property from PolicyRule, a new modeling dependency is introduced. In order to prioritize a PolicyRule/PolicyGroup relative to other PolicyRules/PolicyGroups, the elements being prioritized must all reside in one of three places: in a common PolicyGroup, in a common PolicyRule, or in a common System.
QPIMとICPMの両方から引き出して、優先プロパティはPolicyruleで廃止され、代わりに集約PolicySetComponentに配置されています。ネストされたポリシーグループと政策全体で相対的な優先順位を解決するためのQPIMルールもPCIMEに組み込まれています。Policyruleから優先プロパティを削除すると、新しいモデリング依存関係が導入されます。他の政策/政策グループに比べてPolicyrule/PolicyGroupに優先順位を付けるために、優先順位付けされている要素はすべて、3つの場所のいずれかに存在する必要があります。
In the absence of any clear, general criterion for detecting policy conflicts, the PCIM restriction stating that priorities are relevant only in the case of conflicts is being removed. In its place, a PolicyDecisionStrategy property has been added to the PolicyGroup and PolicyRule classes. This property allows policy administrator to select one of two behaviors with respect to rule evaluation: either perform the actions for all PolicyRules whose conditions evaluate to TRUE, or perform the actions only for the highest-priority PolicyRule whose conditions evaluate to TRUE. (This is accomplished by placing the PolicyDecisionStrategy property in an abstract class PolicySet, from which PolicyGroup and PolicyRule are derived.) The QPIM rules for applying decision strategies to a nested set of PolicyGroups and PolicyRules have also been imported.
ポリシーの競合を検出するための明確で一般的な基準がない場合、PCIMの制限は、紛争の場合にのみ優先順位が削除されていると述べています。その代わりに、PolicyDecisionsTrategyプロパティがPolicyGroupおよびPolicyRuleクラスに追加されました。このプロパティにより、ポリシー管理者は、ルール評価に関して2つの動作のいずれかを選択できます。条件が真で評価されるすべての政策のアクションを実行するか、条件が真であると評価する最高型の政策乳のみに対してのみアクションを実行します。(これは、ポリシーグループとPolicyruleが導き出される抽象的なクラスのポリシーセットにPolicyDecisionsTrategyプロパティを配置することによって達成されます。)決定戦略をネストされたポリシーグループと政策線に適用するためのQPIMルールも輸入されています。
The concept of policy roles is added to PolicyGroups (being present already in the PolicyRule class). This is accomplished via a new superclass for both PolicyRules and PolicyGroups - PolicySet. For nested PolicyRules and PolicyGroups, any roles associated with the outer rule or group are automatically "inherited" by the nested one. Additional roles may be added at the level of a nested rule or group.
ポリシーの役割の概念は、ポリシーグループに追加されます(すでにPolicyruleクラスに存在しています)。これは、PolicyrulesとPolicy -Groups -Policysetの両方の新しいスーパークラスを介して達成されます。ネストされた政策と政策グループの場合、外側のルールまたはグループに関連する役割は、ネストされたものによって自動的に「継承」されます。ネストされたルールまたはグループのレベルで追加の役割を追加できます。
It was also observed that there is no mechanism in PCIM for assigning roles to resources. For example, while it is possible in PCIM to associate a PolicyRule with the role "FrameRelay&&WAN", there is no way to indicate which interfaces match this criterion. A new PolicyRoleCollection class has been defined in PCIMe, representing the collection of resources associated with a particular role. The linkage between a PolicyRule or PolicyGroup and a set of resources is then represented by an instance of PolicyRoleCollection. Equivalent values should be defined in the PolicyRoles property of PolicyRules and PolicyGroups, and in the PolicyRole property in PolicyRoleCollection.
また、リソースに役割を割り当てるためのPCIMにメカニズムがないことも観察されました。たとえば、PCIMではPolicyruleを「Framerelay && Wan」の役割に関連付けることができますが、どのインターフェイスがこの基準に一致するかを示す方法はありません。新しいPolicyroleCollectionクラスはPCIMEで定義されており、特定の役割に関連するリソースのコレクションを表しています。次に、PolicyruleまたはPolicyGroupと一連のリソースの間のリンクは、Policyrolecollectionのインスタンスで表されます。同等の値は、PolicyrulesおよびPolicy -GroupsのPolicyroles特性と、PolicyrololecollectionのPolicyroleプロパティで定義する必要があります。
The concept of a CompoundPolicyCondition has also been imported into PCIMe from QPIM, and broadened to include a parallel CompoundPolicyAction. In both cases the idea is to create reusable "chunks" of policy that can exist as named elements in a ReusablePolicyContainer. The "Compound" classes and their associations incorporate the condition and action semantics that PCIM defined at the PolicyRule level: DNF/CNF for conditions, and ordering for actions.
化合物の概念の概念は、QPIMからPCIMEにもインポートされており、並列化合物のポリシア症を含むように拡大されています。どちらの場合も、アイデアは、再利用可能な要素として存在する可能性のあるポリシーの再利用可能な「チャンク」を作成することです。「化合物」クラスとその関連付けには、PCIMがPolicyruleレベルで定義した条件とアクションセマンティクスが組み込まれています:条件のDNF/CNF、およびアクションの注文。
Compound conditions and actions are defined to work with any component conditions and actions. In other words, while the components may be instances, respectively, of SimplePolicyCondition and SimplePolicyAction (discussed immediately below), they need not be.
複合条件とアクションは、コンポーネントの条件とアクションで動作するように定義されます。言い換えれば、コンポーネントはそれぞれsimplepolicyconditionとsimplePolicyaction(すぐに説明します)のインスタンスである可能性がありますが、それらは必要ありません。
The SimplePolicyCondition / PolicyVariable / PolicyValue structure has been imported into PCIMe from QPIM. A list of PCIMe-level variables is defined, as well as a list of PCIMe-level values. Other variables and values may, if necessary, be defined in submodels of PCIMe. For example, QPIM defines a set of implicit variables corresponding to fields in RSVP flows.
SimplePolicyCondition / PolicyVariable / PolicyValue構造は、QPIMからPCIMEにインポートされています。PCIMEレベルの変数のリストと、PCIMEレベルの値のリストが定義されています。他の変数と値は、必要に応じて、PCIMEのサブモデルで定義される場合があります。たとえば、QPIMは、RSVPフローのフィールドに対応する一連の暗黙的変数を定義します。
A corresponding SimplePolicyAction / PolicyVariable / PolicyValue structure is also defined. While the semantics of a SimplePolicyCondition are "variable matches value", a SimplePolicyAction has the semantics "set variable to value".
対応するSimplePolicyaction / PolicyVariable / PolicyValue構造も定義されています。SimplePolicyconditionのセマンティクスは「変数マッチ値」ですが、SimplePolicyactionにはセマンティクスが「Valiableに変数を設定します」があります。
For packet filtering specified at the domain level, a set of PolicyVariables and PolicyValues are defined, corresponding to the fields in an IP packet header plus the most common Layer 2 frame header fields. It is expected that domain-level policy conditions that filter on these header fields will be expressed in terms of CompoundPolicyConditions built up from SimplePolicyConditions that use these variables and values. An additional PolicyVariable, PacketDirection, is also defined, to indicate whether a packet being filtered is traveling inbound or outbound on an interface.
ドメインレベルで指定されたパケットフィルタリングの場合、IPパケットヘッダーのフィールドと最も一般的なレイヤー2フレームヘッダーフィールドに対応するポリシーバリスブルとポリシーバリューのセットが定義されています。これらのヘッダーフィールドでフィルタリングするドメインレベルのポリシー条件は、これらの変数と値を使用するSimplePolicycoonditionから構築された化合物ポールコンディションの観点から表現されることが期待されています。追加のPolicyVariableであるPacketDirectionも定義されており、フィルタリングされているパケットがインバウンドまたはアウトバウンドを移動しているかどうかを示します。
For packet filtering expressed at the device level, including the packet classifier filters modeled in QDDIM, the variables and values discussed in Section 3.2.7 need not be used. Filter classes derived from the CIM FilterEntryBase class hierarchy are available for use in these contexts. These latter classes have two important differences from the domain-level classes:
QDDIMでモデル化されたパケット分類子フィルターを含むデバイスレベルで表されるパケットフィルタリングの場合、セクション3.2.7で説明されている変数と値を使用する必要はありません。CIM FilterentryBaseクラスの階層から派生したフィルタークラスは、これらのコンテキストで使用できます。これらの後者のクラスには、ドメインレベルのクラスと2つの重要な違いがあります。
o They support specification of filters for all of the fields in a particular protocol header in a single object instance. With the domain-level classes, separate instances are needed for each header field.
o これらは、単一のオブジェクトインスタンスの特定のプロトコルヘッダーのすべてのフィールドのフィルターの仕様をサポートしています。ドメインレベルのクラスを使用すると、各ヘッダーフィールドに個別のインスタンスが必要です。
o They provide native representations for the filter values, as opposed to the string representation used by the domain-level classes.
o ドメインレベルのクラスで使用される文字列表現とは対照的に、フィルター値のネイティブ表現を提供します。
Device-level filter classes for the IP-related headers (IP, UDP, and TCP) and the 802 MAC headers are defined, respectively, in Sections 6.19 and 6.20.
IP関連のヘッダー(IP、UDP、およびTCP)および802 Macヘッダーのデバイスレベルのフィルタークラスは、それぞれセクション6.19および6.20で定義されています。
The following figure shows the class inheritance hierarchy for PCIMe. Changes from the PCIM hierarchy are noted parenthetically.
次の図は、PCIMEのクラス継承階層を示しています。PCIM階層からの変更は、括弧で囲まれています。
ManagedElement (abstract)
|
+--Policy (abstract)
| |
| +---PolicySet (abstract -- new - 5.3)
| | |
| | +---PolicyGroup (moved - 5.3)
| | |
| | +---PolicyRule (moved - 5.3)
| |
| +---PolicyCondition (abstract)
| | |
| | +---PolicyTimePeriodCondition
| | |
| | +---VendorPolicyCondition
| | |
| | +---SimplePolicyCondition (new - 5.8.1)
| | |
| | +---CompoundPolicyCondition (new - 5.7.1)
| | |
| | +---CompoundFilterCondition (new - 5.9)
| |
| +---PolicyAction (abstract)
| | |
| | +---VendorPolicyAction
| | |
| | +---SimplePolicyAction (new - 5.8.4)
| | |
| | +---CompoundPolicyAction (new - 5.7.2)
| |
| +---PolicyVariable (abstract -- new - 5.8.5)
| | |
| | +---PolicyExplicitVariable (new - 5.8.6)
| | |
| | +---PolicyImplicitVariable (abstract -- new - 5.8.7)
| | |
| | +---(subtree of more specific classes -- new - 6.12)
| |
| +---PolicyValue (abstract -- new - 5.8.10)
| |
| +---(subtree of more specific classes -- new - 6.14)
|
+--Collection (abstract -- newly referenced)
| |
| +--PolicyRoleCollection (new - 5.6.2)
ManagedElement(abstract)
|
+--ManagedSystemElement (abstract)
|
+--LogicalElement (abstract)
|
+--System (abstract)
| |
| +--AdminDomain (abstract)
| |
| +---ReusablePolicyContainer (new - 5.2)
| |
| +---PolicyRepository (deprecated - 5.2)
|
+--FilterEntryBase (abstract -- new - 6.18)
| |
| +--IpHeadersFilter (new - 6.19)
| |
| +--8021Filter (new - 6.20)
|
+--FilterList (new - 6.21)
Figure 1. Class Inheritance Hierarchy for PCIMe The following figure shows the association class hierarchy for PCIMe. As before, changes from PCIM are noted parenthetically.
図1. PCIMEのクラス継承階層次の図は、PCIMEの関連クラス階層を示しています。前と同様に、PCIMからの変更は括弧で留められています。
[unrooted]
|
+---PolicyComponent (abstract)
| |
| +---PolicySetComponent (new - 5.3)
| |
| +---PolicyGroupInPolicyGroup (deprecated - 5.3)
| |
| +---PolicyRuleInPolicyGroup (deprecated - 5.3)
| |
| +---PolicyConditionStructure (abstract -- new - 5.7.1)
| | |
| | +---PolicyConditionInPolicyRule (moved - 5.7.1)
| | |
| | +---PolicyConditionInPolicyCondition (new - 5.7.1)
| |
| +---PolicyRuleValidityPeriod
| |
| +---PolicyActionStructure (abstract -- new - 5.7.2)
| | |
| | +---PolicyActionInPolicyRule (moved - 5.7.2)
| | |
| | +---PolicyActionInPolicyAction (new - 5.7.2)
| |
| +---PolicyVariableInSimplePolicyCondition (new - 5.8.2)
| |
| +---PolicyValueInSimplePolicyCondition (new - 5.8.2)
| |
| +---PolicyVariableInSimplePolicyAction (new - 5.8.4)
| |
| +---PolicyValueInSimplePolicyAction (new - 5.8.4)
[unrooted]
|
+---Dependency (abstract)
| |
| +---PolicyInSystem (abstract)
| | |
| | +---PolicySetInSystem (abstract, new - 5.3)
| | | |
| | | +---PolicyGroupInSystem
| | | |
| | | +---PolicyRuleInSystem
| | |
| | +---ReusablePolicy (new - 5.2)
| | |
| | +---PolicyConditionInPolicyRepository (deprecated - 5.2)
| | |
| | +---PolicyActionInPolicyRepository (deprecated - 5.2)
| |
| +---ExpectedPolicyValuesForVariable (new - 5.8)
| |
| +---PolicyRoleCollectionInSystem (new - 5.6.2)
|
+---Component (abstract)
| |
| +---SystemComponent
| | |
| | +---ContainedDomain (new - 5.2)
| | |
| | +---PolicyRepositoryInPolicyRepository (deprecated - 5.2)
| |
| +---EntriesInFilterList (new - 7.23)
|
+---MemberOfCollection (newly referenced)
|
+--- ElementInPolicyRoleCollection (new - 5.6.2)
Figure 2. Association Class Inheritance Hierarchy for PCIMe
図2. PCIMEのアソシエーションクラス継承階層
In addition to these changes that show up at the class and association class level, there are other changes from PCIM involving individual class properties. In some cases new properties are introduced into existing classes, and in other cases existing properties are deprecated (without deprecating the classes that contain them).
クラスおよびアソシエーションのクラスレベルで表示されるこれらの変更に加えて、個々のクラスプロパティを含むPCIMからの他の変更があります。場合によっては、新しいプロパティが既存のクラスに導入され、他の場合には既存のプロパティが非推奨されます(それらを含むクラスを非難することなく)。
The following subsections describe each of the areas for which PCIM extensions are being defined.
次のサブセクションでは、PCIM拡張機能が定義されている各領域を説明しています。
Policy scopes may be thought of in two dimensions: 1) the level of abstraction of the policy specification and 2) the applicability of policies to a set of managed resources.
ポリシースコープは、2つの次元で考えられる場合があります。1)ポリシー仕様の抽象化のレベルと2)マネージドリソースのセットへのポリシーの適用可能性。
Policies vary in level of abstraction, from the business-level expression of service level agreements (SLAs) to the specification of a set of rules that apply to devices in a network. Those latter policies can, themselves, be classified into at least two groups: those policies consumed by a Policy Decision Point (PDP) that specify the rules for an administrative and functional domain, and those policies consumed by a Policy Enforcement Point (PEP) that specify the device-specific rules for a functional domain. The higher-level rules consumed by a PDP, called domain-level policies, may have late binding variables unspecified, or specified by a classification, whereas the device-level rules are likely to have fewer unresolved bindings.
ポリシーは、サービスレベルの表現(SLA)のビジネスレベルの表現から、ネットワーク内のデバイスに適用される一連のルールの仕様まで、抽象化のレベルが異なります。これらの後者のポリシー自体は、少なくとも2つのグループに分類できます:行政ドメインおよび機能的ドメインの規則を指定するポリシー決定ポイント(PDP)、およびポリシー執行ポイント(PEP)によって消費されるポリシーは、ポリシー決定ポイント(PDP)によって消費されます。機能ドメインのデバイス固有のルールを指定します。ドメインレベルのポリシーと呼ばれるPDPによって消費される高レベルのルールは、デバイスレベルのルールが未解決のバインディングを少なくする可能性が高いのに対し、分類で指定されていない、または分類によって指定されていない拘束力のあるバインディング変数がある場合があります。
There is a relationship between these levels of policy specification that is out of scope for this standards effort, but that is necessary in the development and deployment of a usable policy-based configuration system. An SLA-level policy transformation to the domain-level policy may be thought of as analogous to a visual builder that takes human input and develops a programmatic rule specification. The relationship between the domain-level policy and the device-level policy may be thought of as analogous to that of a compiler and linkage editor that translates the rules into specific instructions that can be executed on a specific type of platform.
これらのレベルのポリシー仕様の間には、この標準の取り組みの範囲外である関係がありますが、使用可能なポリシーベースの構成システムの開発と展開には必要です。ドメインレベルのポリシーへのSLAレベルのポリシー変換は、人間の入力を取り、プログラマティックルール仕様を開発する視覚ビルダーに類似していると考えられる場合があります。ドメインレベルのポリシーとデバイスレベルのポリシーとの関係は、特定のタイプのプラットフォームで実行できる特定の命令にルールを変換するコンパイラおよびリンケージエディターのそれに類似したものと考えられる場合があります。
PCIM and PCIMe may be used to specify rules at any and all of these levels of abstraction. However, at different levels of abstraction, different mechanisms may be more or less appropriate.
PCIMおよびPCIMEを使用して、これらの抽象化レベルのいずれかおよびすべてでルールを指定できます。ただし、さまざまなレベルの抽象化では、さまざまなメカニズムが多かれ少なかれ適切な場合があります。
Administrative scopes for policy are represented in PCIM and in these extensions to PCIM as System subclass instances. Typically, a domain-level policy would be scoped by an AdminDomain instance (or by a hierarchy of AdminDomain instances) whereas a device-level policy might be scoped by a System instance that represents the PEP (e.g., an instance of ComputerSystem, see CIM [2]). In addition to collecting policies into an administrative domain, these System classes may also aggregate the resources to which the policies apply.
ポリシーの管理スコープは、PCIMおよびこれらの拡張機能でPCIMへのシステムサブクラスインスタンスとして表されます。通常、ドメインレベルのポリシーは、AdmindoMainインスタンス(またはAmmindoMainインスタンスの階層)によってスコープされますが、デバイスレベルのポリシーは、PEPを表すシステムインスタンスによってスコープされる場合があります(たとえば、コンピューターシステムのインスタンス、CIMを参照してください。[2])。これらのシステムクラスは、ポリシーを管理ドメインに収集することに加えて、ポリシーが適用されるリソースを集約することもできます。
Functional scopes (sometimes referred to as functional domains) are generally defined by the submodels derived from PCIM and PCIMe, and correspond to the service or services to which the policies apply. So, for example, Quality of Service may be thought of as a functional scope, or Diffserv and Intserv may each be thought of as functional scopes. These scoping decisions are represented by the structure of the submodels derived from PCIM and PCIMe, and may be reflected in the number and types of PEP policy client(s), services, and the interaction between policies. Policies in different functional scopes are organized into disjoint sets of policy rules. Different functional domains may share some roles, some conditions, and even some actions. The rules from different functional domains may even be enforced at the same managed resource, but for the purposes of policy evaluation they are separate. See section 5.5.3 for more information.
機能的スコープ(機能ドメインと呼ばれることもあります)は、一般にPCIMとPCIMEに由来するサブモデルによって定義され、ポリシーが適用されるサービスまたはサービスに対応します。したがって、たとえば、サービスの品質は機能的な範囲と考えられるかもしれません。または、それぞれが機能的なスコープと考えられる可能性があります。これらのスコーピングの決定は、PCIMとPCIMEに由来するサブモデルの構造によって表され、PEPポリシークライアント、サービス、およびポリシー間の相互作用の数と種類に反映される場合があります。さまざまな機能スコープのポリシーは、ポリシールールのばらばらセットに編成されています。異なる機能ドメインは、いくつかの役割、いくつかの条件、さらにはいくつかのアクションを共有する場合があります。異なる機能ドメインからのルールは、同じ管理されたリソースで強制されることさえありますが、ポリシー評価の目的のために、それらは別々です。詳細については、セクション5.5.3を参照してください。
The functional scopes MAY be reflected in administrative scopes. That is, deployments of policy may have different administrative scopes for different functional scopes, but there is no requirement to do so.
機能的なスコープは、管理スコープに反映される場合があります。つまり、ポリシーの展開には、異なる機能スコープに対して異なる管理スコープがある場合がありますが、そうするための要件はありません。
In PCIM, a distinction was drawn between reusable PolicyConditions and PolicyActions and rule-specific ones. The PolicyRepository class was also defined, to serve as a container for these reusable elements. The name "PolicyRepository" has proven to be an unfortunate choice for the class that serves as a container for reusable policy elements. This term is already used in documents like the Policy Framework, to denote the location from which the PDP retrieves all policy specifications, and into which the Policy Management Tool places all policy specifications. Consequently, the PolicyRepository class is being deprecated, in favor of a new class ReusablePolicyContainer.
PCIMでは、再利用可能な政策と政策と規則固有のものとの区別が描かれました。これらの再利用可能な要素の容器として機能するために、PolicyRepositoryクラスも定義されました。「PolicyRepository」という名前は、再利用可能なポリシー要素のコンテナとして機能するクラスにとって不幸な選択であることが証明されています。この用語は、PDPがすべてのポリシー仕様を取得する場所と、ポリシー管理ツールがすべてのポリシー仕様を配置する場所を示すために、ポリシーフレームワークのようなドキュメントですでに使用されています。その結果、PolicyRepositoryクラスは、新しいクラスの再利用可能なポリクセイナーを支持して、廃止されています。
When a class is deprecated, any associations that refer to it must also be deprecated. So replacements are needed for the two associations PolicyConditionInPolicyRepository and PolicyActionInPolicyRepository, as well as for the aggregation PolicyRepositoryInPolicyRepository. In addition to renaming the PolicyRepository class to ReusablePolicyContainer, however, PCIMe is also broadening the types of policy elements that can be reusable. Consequently, rather than providing one-for-one replacements for the two associations, a single higher-level association ReusablePolicy is defined. This new association allows any policy element (that is, an instance of any subclass of the abstract class Policy) to be placed in a ReusablePolicyContainer.
クラスが非推奨される場合、それを参照する関連付けも非推奨する必要があります。したがって、PolicyConditionInPolicyrePositoryとPolicationInPolicyRepository、およびAggregation PolicyRepositoryInpolicyrePositoryには、2つの関連付けがポリシーインポリティラポジトリとポリシーアクションが必要です。ただし、PolicyRepositoryクラスの再利用可能なポリシコンテイナーに名前を変更することに加えて、PCIMEは再利用可能なポリシー要素の種類も拡大しています。したがって、2つの協会に1対1の代替品を提供するのではなく、単一の高レベルの関連付けの再利用可能なポリティが定義されています。この新しい協会により、ポリシー要素(つまり、抽象クラスポリシーのサブクラスのインスタンス)を再利用可能なポリシカンテナーに配置することができます。
Summarizing, the following changes in Sections 6 and 7 are the result of this item:
要約すると、セクション6および7の次の変更は、この項目の結果です。
o The class ReusablePolicyContainer is defined. o PCIM's PolicyRepository class is deprecated. o The association ReusablePolicy is defined. o PCIM's PolicyConditionInPolicyRepository association is deprecated. o PCIM's PolicyActionInPolicyRepository association is deprecated. o The aggregation ContainedDomain is defined. o PCIM's PolicyRepositoryInPolicyRepository aggregation is deprecated.
o クラスの再利用可能なPolicyContainerが定義されています。o PCIMのPolicyRepositoryクラスは非推奨です。o協会の再利用可能なポリティが定義されています。o PCIMのPolicyConditionInpolicyrepository Associationは非推奨です。o PCIMのPolicyActionInPolicyRepository Associationは非推奨です。o凝集が含まれているドメインが定義されています。o PCIMのPolicyRepositoryInpolicyrepositoryの凝集は非推奨です。
A "policy" can be thought of as a coherent set of rules to administer, manage, and control access to network resources ("Policy Terminology", reference [10]). The structuring of these coherent sets of rules into subsets is enhanced in this document. In Section 5.4, we discuss the new options for the nesting of policy rules.
「ポリシー」は、ネットワークリソースへのアクセスを管理、管理、および制御するための一貫した一連のルールと考えることができます(「ポリシー用語」、参照[10])。このドキュメントでは、これらのコヒーレントなルールセットのサブセットへの構造化が強化されています。セクション5.4では、政策規則のネストのための新しいオプションについて説明します。
A new abstract class, PolicySet, is introduced to provide an abstraction for a set of rules. It is derived from Policy, and it is inserted into the inheritance hierarchy above both PolicyGroup and PolicyRule. This reflects the additional structural flexibility and semantic capability of both subclasses.
新しい抽象クラスであるPolicysetが導入され、一連のルールの抽象化を提供します。これはポリシーから派生しており、PolicyGroupとPolicyruleの両方の上の継承階層に挿入されます。これは、両方のサブクラスの追加の構造的柔軟性とセマンティック機能を反映しています。
Two properties are defined in PolicySet: PolicyDecisionStrategy and PolicyRoles. The PolicyDecisionStrategy property is included in PolicySet to define the evaluation relationship among the rules in the policy set. See Section 5.5 for more information. The PolicyRoles property is included in PolicySet to characterize the resources to which the PolicySet applies. See Section 5.6 for more information.
PolicySetの2つのプロパティが定義されています:PolicyDecisionsTrategyとPolicyroles。PolicyDecisionsTrategyプロパティは、ポリシーセットのルール間の評価関係を定義するために、ポリシーセットに含まれています。詳細については、セクション5.5を参照してください。Policyrolsプロパティは、Policysetが適用されるリソースを特徴付けるために、Policysetに含まれています。詳細については、セクション5.6を参照してください。
Along with the definition of the PolicySet class, a new concrete aggregation class is defined that will also be discussed in the following sections. PolicySetComponent is defined as a subclass of PolicyComponent; it provides the containment relationship for a PolicySet in a PolicySet. PolicySetComponent replaces the two PCIM aggregations PolicyGroupInPolicyGroup and PolicyRuleInPolicyGroup, so these two aggregations are deprecated.
Policysetクラスの定義に加えて、新しいコンクリート集約クラスが定義されており、以下のセクションでも説明されます。PolicySetComponentは、PolicyComponentのサブクラスとして定義されます。これは、政策検察の封じ込め関係を提供します。PolicySetComponentは、2つのPCIM集約PolicyGroupInPolicyGroupとPolicyRuleinPolicyGroupを交換するため、これら2つの集計は非推奨です。
A PolicySet's relationship to an AdminDomain or other administrative scoping system (for example, a ComputerSystem) is represented by the PolicySetInSystem abstract association. This new association is derived from PolicyInSystem, and the PolicyGroupInSystem and PolicyRuleInSystem associations are now derived from PolicySetInSystem instead of directly from PolicyInSystem. The PolicySetInSystem.Priority property is discussed in Section 5.5.3.
Admindomainまたはその他の管理スコーピングシステム(たとえば、コンピューターシステム)との政策論的関係は、PolicySinsystem抽象関連によって表されます。この新しい関連付けは、PolicyInsystemから派生しており、Policy -GroupinsystemおよびPolicyruleinsystem Associationsは、PolicySystemからではなく、PolicySetinsystemから派生しています。Policytinsystem.priorityプロパティについては、セクション5.5.3で説明します。
As previously discussed, policy is described by a set of policy rules that may be grouped into subsets. In this section we introduce the notion of nested rules, or the ability to define rules within rules. Nested rules are also called sub-rules, and we use both terms in this document interchangeably. The aggregation PolicySetComponent is used to represent the nesting of a policy rule in another policy rule.
前述のように、ポリシーは、サブセットにグループ化される可能性のある一連のポリシールールによって説明されています。このセクションでは、ネストされたルールの概念、またはルール内でルールを定義する能力を紹介します。ネストされたルールはサブルールとも呼ばれ、このドキュメントでは両方の用語を同じ意味で使用します。集約PolicySetComponentは、別のポリシールールにおけるポリシールールのネストを表すために使用されます。
The relationship between rules and sub-rules is defined as follows:
ルールとサブレールの関係は、次のように定義されます。
o The parent rule's condition clause is a condition for evaluation of all nested rules; that is, the conditions of the parent are logically ANDed to the conditions of the sub-rules. If the parent rule's condition clause evaluates to FALSE, sub-rules MAY be skipped since they also evaluate to FALSE.
o 親ルールの条件条項は、すべてのネストされたルールを評価するための条件です。つまり、親の条件は論理的にサブレールの条件に対してandされています。親ルールの条件条項がfalseに評価された場合、falseにも評価されるため、サブルールがスキップされる場合があります。
o If the parent rule's condition evaluates to TRUE, the set of sub-rules SHALL BE evaluated according to the decision strategy and priorities as discussed in Section 5.5.
o 親ルールの条件がTrueに評価される場合、セクション5.5で説明したように、サブレールのセットは決定戦略と優先順位に従って評価されます。
o If the parent rule's condition evaluates to TRUE, the parent rule's set of actions is executed BEFORE execution of the sub-rules actions. The parent rule's actions are not to be confused with default actions. A default action is one that is to be executed only if none of the more specific sub-rules are executed. If a default action needs to be specified, it needs to be defined as an action that is part of a catchall sub-rule associated with the parent rule. The association linking the default action(s) in this special sub-rule should have the lowest priority relative to all other sub-rule associations:
o 親ルールの条件がtrueに評価された場合、サブレールアクションの実行前に親ルールのアクションセットが実行されます。親ルールのアクションは、デフォルトのアクションと混同されるべきではありません。デフォルトのアクションは、より具体的なサブリュールが実行されない場合にのみ実行されるものです。デフォルトのアクションを指定する必要がある場合、親ルールに関連付けられたキャッチオールサブルールの一部であるアクションとして定義する必要があります。この特別なサブルールのデフォルトのアクションをリンクする協会は、他のすべてのサブルール協会と比較して、最優先事項を持つ必要があります。
if parent-condition then parent rule's action if condA then actA if condB then ActB if True then default action
親条件の場合、親の条件の場合、condaがcondbの場合はcondbがtrueの場合はactaの場合、デフォルトのアクション
Such a default action functions as a default when FirstMatching decision strategies are in effect (see section 5.5). If AllMatching applies, the "default" action is always performed.
このようなデフォルトのアクションは、ファーストマッチング決定戦略が有効である場合、デフォルトとして機能します(セクション5.5を参照)。すべてのマッチングが適用される場合、「デフォルト」アクションが常に実行されます。
o Policy rules have a context in which they are executed. The rule engine evaluates and applies the policy rules in the context of the managed resource(s) that are identified by the policy roles (or by an explicit association). Submodels MAY add additional context to policy rules based on rule structure; any such additional context is defined by the semantics of the action classes of the submodel.
o ポリシールールには、それらが実行されるコンテキストがあります。ルールエンジンは、ポリシーの役割(または明示的な関連付け)によって識別される管理されたリソースのコンテキストで、ポリシールールを評価および適用します。サブモデルは、ルール構造に基づいてポリシールールにコンテキストを追加する場合があります。このような追加コンテキストは、サブモデルのアクションクラスのセマンティクスによって定義されます。
Rule nesting enhances Policy readability, expressiveness and reusability. The ability to nest policy rules and form sub-rules is important for manageability and scalability, as it enables complex policy rules to be constructed from multiple simpler policy rules.
ルールネスティングは、ポリシーの読みやすさ、表現力、再利用性を高めます。ポリシールールをネストし、サブリュールを形成する能力は、複雑なポリシールールを複数の単純なポリシールールから構築できるようにするため、管理性とスケーラビリティにとって重要です。
These enhancements ease the policy management tools' task, allowing policy rules to be expressed in a way closer to how humans think.
これらの機能強化により、ポリシー管理ツールのタスクが容易になり、ポリシールールを人間の考え方に近い方法で表現できます。
Although rule nesting can be used to suggest optimizations in the way policy rules are evaluated, as discussed in section 5.5.2 "Side Effects," nesting does not specify nor does it require any particular order of evaluation of conditions. Optimization of rule evaluation can be done in the PDP or in the PEP by dedicated code. This is similar to the relation between a high level programming language like C and machine code. An optimizer can create a more efficient machine code than any optimization done by the programmer within the source code. Nevertheless, if the PEP or PDP does not do optimization, the administrator writing the policy may be able to influence the evaluation of the policy rules for execution using rule nesting.
セクション5.5.2の「副作用」で説明したように、ルールネストを使用して、ポリシールールの評価方法の最適化を提案できますが、ネストは特定の条件の評価の順序を特定しておらず、条件の評価を必要としません。ルール評価の最適化は、専用コードによってPDPまたはPEPで行うことができます。これは、Cなどの高レベルプログラミング言語とマシンコードの関係に似ています。オプティマイザーは、ソースコード内のプログラマーが行った最適化よりも、より効率的なマシンコードを作成できます。それにもかかわらず、PEPまたはPDPが最適化を行わない場合、ポリシーを書く管理者は、ルールネスティングを使用して実行のポリシールールの評価に影響を与えることができる可能性があります。
Nested rules are not designed for policy repository retrieval optimization. It is assumed that all rules and groups that are assigned to a role are retrieved by the PDP or PEP from the policy repository and enforced. Optimizing the number of rules retrieved should be done by clever selection of roles.
ネストされたルールは、ポリシーリポジトリの取得最適化のために設計されていません。役割に割り当てられたすべてのルールとグループは、ポリシーリポジトリからPDPまたはPEPによって取得され、施行されていると想定されています。取得されたルールの数を最適化することは、役割の巧妙な選択によって行う必要があります。
A "decision strategy" is used to specify the evaluation method for the policies in a PolicySet. Two decision strategies are defined: "FirstMatching" and "AllMatching." The FirstMatching strategy is used to cause the evaluation of the rules in a set such that the only actions enforced on a given examination of the PolicySet are those for the first rule (that is, the rule with the highest priority) that has its conditions evaluate to TRUE. The AllMatching strategy is used to cause the evaluation of all rules in a set; for all of the rules whose conditions evaluate to TRUE, the actions are enforced. Implementations MUST support the FirstMatching decision strategy; implementations MAY support the AllMatching decision strategy.
「決定戦略」は、ポリシーのポリシーの評価方法を指定するために使用されます。2つの決定戦略が定義されています:「FirstMatching」と「AllMatching」。最初の配置戦略は、ポリシーの特定の調査で実施された唯一のアクションが、その条件を評価する条件を持つ最初のルール(つまり、最も優先度の高いルール)の唯一のアクションであるように、セット内のルールの評価を引き起こすために使用されます。本当です。すべてのマッチング戦略は、セット内のすべてのルールの評価を引き起こすために使用されます。条件が真であることを評価するすべてのルールのすべてについて、アクションは実施されます。実装は、最初の配置決定戦略をサポートする必要があります。実装は、全面的な決定戦略をサポートする場合があります。
As previously discussed, the PolicySet subclasses are PolicyGroup and PolicyRule: either subclass may contain PolicySets of either subclass. Loops, including the degenerate case of a PolicySet that contains itself, are not allowed when PolicySets contain other PolicySets. The containment relationship is specified using the PolicySetComponent aggregation.
前述のように、PolicysetサブクラスはポリシーグループとPolicyruleです。どちらのサブクラスにもいずれかのサブクラスのポリセットが含まれている場合があります。それ自体を含む政策セットの退化した症例を含むループは、他の政策を含む場合、政策は許可されていません。封じ込め関係は、PolicySetComponentの集約を使用して指定されます。
The relative priority within a PolicySet is established by the Priority property of the PolicySetComponent aggregation of the contained PolicyGroup and PolicyRule instances. The use of PCIM's PolicyRule.Priority property is deprecated in favor of this new property. The separation of the priority property from the rule has two advantages. First, it generalizes the concept of priority, so that it can be used for both groups and rules. Second, it places the priority on the relationship between the parent policy set and the subordinate policy group or rule. The assignment of a priority value then becomes much easier, in that the value is used only in relationship to other priorities in the same set.
ポリシセット内の相対的な優先事項は、含まれるポリシーグループおよびPolicyruleインスタンスのPolicySetComponent集計の優先財産によって確立されます。PCIMのPolicyrule.priorityプロパティの使用は、この新しいプロパティを支持して非推奨されています。優先プロパティのルールとの分離には、2つの利点があります。まず、優先度の概念を一般化して、グループとルールの両方に使用できるようにします。第二に、親ポリシーセットと下位ポリシーグループまたはルールの関係に優先順位を置きます。その後、値が同じセットの他の優先順位との関係でのみ使用されるという点で、優先値の割り当てがはるかに簡単になります。
Together, the PolicySet.PolicyDecisionStrategy and PolicySetComponent.Priority determine the processing for the rules contained in a PolicySet. As before, the larger priority value represents the higher priority. Unlike the earlier definition, PolicySetComponent.Priority MUST have a unique value when compared with others defined for the same aggregating PolicySet. Thus, the evaluation of rules within a set is deterministically specified.
PolicySet.PolicyDecisionsTrategyとPolicySetComponent.proirityは、PolicySetに含まれる規則の処理を決定します。前と同様に、優先度の値が大きいほど優先度が高いことがわかります。以前の定義とは異なり、PolicySetComponent.Priorityは、同じ集計ポリシーで定義された他のものと比較した場合、一意の値を持つ必要があります。したがって、セット内のルールの評価は決定論的に指定されます。
For a FirstMatching decision strategy, the first rule (that is, the one with the highest priority) in the set that evaluates to True, is the only rule whose actions are enforced for a particular evaluation pass through the PolicySet.
最初の配置決定戦略の場合、Trueを評価するセットの最初のルール(つまり、最優先事項)は、特定の評価がポリシーを通過するためにアクションが施行される唯一のルールです。
For an AllMatching decision strategy, all of the matching rules are enforced. The relative priority of the rules is used to determine the order in which the actions are to be executed by the enforcement point: the actions of the higher priority rules are executed first. Since the actions of higher priority rules are executed first, lower priority rules that also match may get the "last word," and thus produce a counter-intuitive result. So, for example, if two rules both evaluate to True, and the higher priority rule sets the DSCP to 3 and the lower priority rule sets the DSCP to 4, the action of the lower priority rule will be executed later and, therefore, will "win," in this example, setting the DSCP to 4. Thus, conflicts between rules are resolved by this execution order.
全面的な決定戦略の場合、すべてのマッチングルールが実施されます。ルールの相対的な優先度は、執行ポイントによってアクションが実行される順序を決定するために使用されます。最初に実行される優先ルールのアクションが実行されます。優先度の高いルールのアクションが最初に実行されるため、一致する優先度の低いルールは「最後の単語」を取得し、したがって直感に反する結果を生み出す可能性があります。したがって、たとえば、2つのルールがTrueに評価され、優先度ルールが高い場合、DSCPを3に設定し、優先度ルールが低い場合はDSCPを4に設定すると、より低い優先度ルールのアクションが後で実行されるため、この例では、「勝ち」、DSCPを4に設定します。したがって、ルール間の競合は、この実行命令によって解決されます。
An implementation of the rule engine need not provide the action sequencing but the actions MUST be sequenced by the PEP or PDP on its behalf. So, for example, the rule engine may provide an ordered list of actions to be executed by the PEP and any required serialization is then provided by the service configured by the rule engine. See Section 5.5.2 for a discussion of side effects.
ルールエンジンの実装では、アクションシーケンスを提供する必要はありませんが、アクションはPEPまたはPDPによってシーケンスする必要があります。したがって、たとえば、ルールエンジンは、PEPによって実行されるアクションの順序付けられたリストを提供する場合があり、必要なシリアル化はルールエンジンによって構成されたサービスによって提供されます。副作用の議論については、セクション5.5.2を参照してください。
As discussed in Sections 5.3 and 5.4, PolicySet instances may be nested arbitrarily. For a FirstMatching decision strategy on a PolicySet, any contained PolicySet that matches satisfies the termination criteria for the FirstMatching strategy. A PolicySet is considered to match if it is a PolicyRule and its conditions evaluate to True, or if the PolicySet is a PolicyGroup and at least one of its contained PolicyGroups or PolicyRules match. The priority associated with contained PolicySets, then, determines when to terminate rule evaluation in the structured set of rules.
セクション5.3および5.4で説明したように、ポリシセットインスタンスは任意にネストされる可能性があります。ポリシーに関する最初の配置決定戦略の場合、一致する封じ込められたポリシソットは、最初の配置戦略の終了基準を満たします。ポリシーは、それがPolicyruleであり、その条件がTrueに評価される場合、またはPolicysetがPolicyGroupであり、その含まれたポリシーグループまたはPolicyrulesの少なくとも1つが一致する場合に一致すると見なされます。封じ込められたポリシーに関連する優先度は、構造化されたルールセットでルール評価をいつ終了するかを決定します。
In the example shown in Figure 3, the relative priorities for the nested rules, high to low, are 1A, 1B1, 1X2, 1B3, 1C, 1C1, 1X2 and 1C3. (Note that PolicyRule 1X2 is included in both PolicyGroup 1B and PolicyRule 1C, but with different priorities.) Of course, which rules are enforced is also dependent on which rules, if any, match.
図3に示す例では、ネストされたルールの相対的な優先順位は、高から低いもので、1a、1b1、1x2、1b3、1c、1c1、1x2、および1c3です。(Policyrule 1x2は、PolicyGroup 1BとPolicyrule 1Cの両方に含まれていますが、優先順位が異なります。)もちろん、どのルールが強制されるかは、どのルールが一致するかにも依存します。
PolicyGroup 1: FirstMatching
|
+-- Pri=6 -- PolicyRule 1A
|
+-- Pri=5 -- PolicyGroup 1B: AllMatching
| |
| +-- Pri=5 -- PolicyGroup 1B1: AllMatching
| | |
| | +---- etc.
| |
| +-- Pri=4 -- PolicyRule 1X2
| |
| +-- Pri=3 -- PolicyRule 1B3: FirstMatching
| |
| +---- etc.
|
+-- Pri=4 -- PolicyRule 1C: FirstMatching
|
+-- Pri=4 -- PolicyRule 1C1
|
+-- Pri=3 -- PolicyRule 1X2
|
+-- Pri=2 -- PolicyRule 1C3
Figure 3. Nested PolicySets with Different Decision Strategies
図3.異なる決定戦略を備えたネストされたポリシー
o Because PolicyGroup 1 has a FirstMatching decision strategy, if the conditions of PolicyRule 1A match, its actions are enforced and the evaluation stops.
o PolicyGroup 1には、Policyrule 1Aの条件が一致する場合、そのアクションが実施され、評価が停止する場合、最初の配置決定戦略があるためです。
o If it does not match, PolicyGroup 1B is evaluated using an AllMatching strategy. Since PolicyGroup 1B1 also has an AllMatching strategy all of the rules and groups of rules contained in PolicyGroup 1B1 are evaluated and enforced as appropriate. PolicyRule 1X2 and PolicyRule 1B3 are also evaluated and enforced as appropriate. If any of the sub-rules in the subtrees of PolicyGroup 1B evaluate to True, then PolicyRule 1C is not evaluated because the FirstMatching strategy of PolicyGroup 1 has been satisfied.
o 一致しない場合、PolicyGroup 1Bはすべてのマッチング戦略を使用して評価されます。ポリシーグループ1B1には全面的な戦略があるため、ポリシーグループ1B1に含まれるすべてのルールとルールのグループは、必要に応じて評価および実施されます。Policyrule 1x2およびPolicyrule 1B3も評価および施行されています。ポリシーグループ1BのサブツリーのいずれかがTrueと評価する場合、Policy-group 1の最初の配置戦略が満たされているため、Policyrule 1Cは評価されません。
o If neither PolicyRule 1A nor PolicyGroup 1B yield a match, then PolicyRule 1C is evaluated. Since it is first matching, rules 1C1, 1X2, and 1C3 are evaluated until the first match, if any.
o Policyrule 1AもPolicyGroup 1Bも一致しない場合、Policyrule 1Cが評価されます。最初のマッチングであるため、ルール1C1、1x2、および1C3は、最初の一致まで評価されます。
Although evaluation of conditions is sometimes discussed as an ordered set of operations, the rule engine need not be implemented as a procedural language interpreter. Any side effects of condition evaluation or the execution of actions MUST NOT affect the result of the evaluation of other conditions evaluated by the rule engine in the same evaluation pass. That is, an implementation of a rule engine MAY evaluate all conditions in any order before applying the priority and determining which actions are to be executed.
条件の評価は、順序付けられた一連の操作セットとして議論されることがありますが、ルールエンジンを手続き言語インタープリターとして実装する必要はありません。条件評価またはアクションの実行の副作用は、同じ評価パスでルールエンジンによって評価された他の条件の評価の結果に影響してはなりません。つまり、ルールエンジンの実装は、優先順位を適用し、実行するアクションを決定する前に、すべての条件を任意の順序で評価する場合があります。
So, regardless of how a rule engine is implemented, it MUST NOT include any side effects of condition evaluation in the evaluation of conditions for either of the decision strategies. For both the AllMatching decision strategy and for the nesting of rules within rules (either directly or indirectly) where the actions of more than one rule may be enforced, any side effects of the enforcement of actions MUST NOT be included in condition evaluation on the same evaluation pass.
したがって、ルールエンジンの実装方法に関係なく、意思決定戦略のいずれかの条件の評価に条件評価の副作用を含めてはなりません。全面的な決定戦略と、複数のルールの行動が施行される可能性のあるルール内のルール内(直接的または間接的に)のネストの両方について、アクションの施行の副作用は、同じものの条件評価に含めてはなりません評価パス。
As shown in the example in Figure 3., PolicySet trees are defined by the PolicySet subclass instances and the PolicySetComponent aggregation instances between them. Each PolicySet tree has a defined set of decision strategies and evaluation priorities. In section 5.6 we discuss some improvements in the use of PolicyRoles that cause the parent PolicySet.PolicyRoles to be applied to all contained PolicySet instances. However, a given resource may still have multiple, disjoint PolicySet trees regardless of how they are collected. These top-level PolicySet instances are called "unrooted" relative to the given resource.
図3の例に示すように、ポリシセットツリーは、PolicySetサブクラスインスタンスとそれらの間のPolicySetComponent Aggregationインスタンスによって定義されます。各ポリシーツリーには、一連の決定戦略と評価の優先順位が定義されています。セクション5.6では、親PolicySet.PolicyrolosをすべてのPolicySetインスタンスに適用するようにするPolicyrololoの使用に関するいくつかの改善について説明します。ただし、特定のリソースには、それらがどのように収集されているかにかかわらず、複数のばらばらのポリシセットツリーがまだある場合があります。これらのトップレベルのポリシーインスタンスは、指定されたリソースに対して「ルートされていない」と呼ばれます。
So, a PolicySet instance is defined to be rooted or unrooted in the context of a particular managed element; the relationship to the managed element is usually established by the policy roles of the PolicySet instance and of the managed element (see 5.6 "Policy Roles"). A PolicySet instance is unrooted in that context if and only if there is no PolicySetComponent association to a parent PolicySet that is also related to the same managed element. These PolicySetComponent aggregations are traversed up the tree without regard to how a PolicySet instance came to be related with the ManagedElement. Figure 4. shows an example where instance A has role A, instance B has role B and so on. In this example, in the context of interface X, instances B, and C are unrooted and instances D, E, and F are all rooted. In the context of interface Y, instance A is unrooted and instances B, C, D, E and F are all rooted.
したがって、特定の管理された要素のコンテキストで、根付いているか、根付いていないポリシセットインスタンスが定義されます。管理された要素との関係は、通常、Policysetインスタンスと管理された要素のポリシーの役割によって確立されます(5.6 "ポリシーの役割を参照)。同じ管理された要素にも関連する親ポリシセットとのPolicySetComponent Associationがない場合にのみ、そのコンテキストでは、Policysetインスタンスが根付いていません。これらのPolicySetComponentの集約は、Policysetインスタンスがマネージメントリングとどのように関連するようになったかに関係なく、ツリーを通過します。図4.インスタンスAに役割A、インスタンスBに役割Bなどがある例を示します。この例では、インターフェイスxのコンテキストでは、インスタンスbとcはルートされておらず、インスタンスd、e、およびfはすべてルート化されています。インターフェイスyのコンテキストでは、インスタンスAはルートされておらず、インスタンスb、c、d、e、およびfはすべてルート化されています。
+---+ +-----------+ +-----------+
| A | | I/F X | | I/F Y |
+---+ | has roles | | has roles |
/ \ | B & C | | A & B |
/ \ +-----------+ +-----------+
+---+ +---+
| B | | C |
+---+ +---+
/ \ \
/ \ \
+---+ +---+ +---+
| D | | E | | F |
+---+ +---+ +---+
Figure 4. Unrooted PolicySet Instances
図4.根をかけていないポリシーインスタンス
For those cases where there are multiple unrooted PolicySet instances that apply to the same managed resource (i.e., not in a common PolicySetComponent tree), the decision strategy among these disjoint PolicySet instances is the FirstMatching strategy. The priority used with this FirstMatching strategy is defined in the PolicySetInSystem association. The PolicySetInSystem subclass instances are present for all PolicySet instances (it is a required association) but the priority is only used as a default for unrooted PolicySet instances in a given ManagedElement context.
同じ管理されたリソース(つまり、一般的なポリシーコンポーネントツリーではない)に適用される複数の非ルートポリシセットインスタンスがある場合、これらの馬鹿げたポリシセットインスタンスの間の決定戦略は、最初の配置戦略です。このファーストマッチング戦略で使用される優先順位は、PolicySetinsystem Associationで定義されています。PolicySetinsystemサブクラスインスタンスは、すべてのポリシセットインスタンス(必要な関連付けです)に存在しますが、優先度は、特定の管理コンテキストで根をかけられていないポリシセットインスタンスのデフォルトとしてのみ使用されます。
The FirstMatching strategy is used among all unrooted PolicySet instances that apply to a given resource for a given functional domain. So, for example, the PolicySet instances that are used for QoS policy and the instances that are used for IKE policy, although they are disjoint, are not joined in a FirstMatching decision strategy. Instead, they are evaluated independently of one another.
最初の配置戦略は、特定の機能ドメインに特定のリソースに適用されるすべての包装されていないポリシセットインスタンスの中で使用されます。したがって、たとえば、QoSポリシーに使用されるポリシセットインスタンスと、IKEポリシーに使用されるインスタンスは、それは見返りですが、最初の配置決定戦略には参加しません。代わりに、それらは互いに独立して評価されます。
As previously discussed, PolicySetComponent.Priority values MUST be unique within a containing PolicySet and PolicySetInSystem.Priority values MUST be unique for an associated System. Each PolicySet, then, has a deterministic behavior based upon the decision strategy and uniquely defined priority.
前述のように、PolicySetComponent.Priority値は、PolicySetおよびPolicySestystemを含む内部で一意でなければなりません。したがって、各ポリシーは、決定戦略と独自の定義された優先度に基づいた決定論的行動を持っています。
There are certainly cases where rules need not have a unique priority value (i.e., where evaluation and execution priority is not important). However, it is believed that the flexibility gained by this capability is not sufficiently beneficial to justify the possible variations in implementation behavior and the resulting confusion that might occur.
確かに、ルールには一意の優先順位値が必要な場合(つまり、評価と実行の優先度が重要ではない場合)。ただし、この機能によって得られる柔軟性は、実装動作の可能性のある変動と、発生する可能性のある混乱を正当化するのに十分な有益ではないと考えられています。
A policy role is defined in [10] as "an administratively specified characteristic of a managed element (for example, an interface). It is a selector for policy rules and PRovisioning Classes (PRCs), to determine the applicability of the rule/PRC to a particular managed element."
[10]でポリシーの役割は、「管理された要素(たとえば、インターフェイス)の管理上指定された特性として定義されています。これは、ルール/PRCの適用可能性を決定するためのポリシールールとプロビジョニングクラス(PRC)のセレクターです。特定の管理された要素に。」
In PCIMe, PolicyRoles is defined as a property of PolicySet, which is inherited by both PolicyRules and PolicyGroups. In this document, we also add PolicyRole as the identifying name of a collection of resources (PolicyRoleCollection), where each element in the collection has the specified role characteristic.
PCIMEでは、PolicyrolesはPolicysetの特性として定義されており、これはPolicyrulesとPolicy -Groupsの両方で継承されています。このドキュメントでは、リソースのコレクション(PolicyroleCollection)の識別名としてPolicyroleを追加します。コレクション内の各要素には、指定された役割特性があります。
In the Configuration Management with SNMP (snmpconf) working group's Policy Based Management MIB [14], policy rules are of the form
SNMP(SNMPCONF)ワーキンググループのポリシーベースの管理MIB [14]を使用した構成管理では、ポリシールールは形式です
if <policyFilter> then <policyAction>
where <policyFilter> is a set of conditions that are used to determine whether or not the policy applies to an object instance. The policy filter can perform comparison operations on SNMP variables already defined in MIBS (e.g., "ifType == ethernet").
ここで、<policyFilter>は、ポリシーがオブジェクトインスタンスに適用されるかどうかを判断するために使用される一連の条件です。ポリシーフィルターは、MIBSで既に定義されているSNMP変数の比較操作を実行できます(例:「Iftype == Ethernet」)。
The policy management MIB defined in [14] defines a Role table that enables one to associate Roles with elements, where roles have the same semantics as in PCIM. Then, since the policyFilter in a policy allows one to define conditions based on the comparison of the values of SNMP variables, one can filter elements based on their roles as defined in the Role group.
[14]で定義されているポリシー管理MIBは、役割を要素に関連付けることができるロールテーブルを定義します。ここで、役割はPCIMと同じセマンティクスを持っています。次に、ポリシーのポリシーフィルターは、SNMP変数の値の比較に基づいて条件を定義できるため、ロールグループで定義されている役割に基づいて要素をフィルタリングできます。
This approach differs from that adopted in PCIM in the following ways. First, in PCIM, a set of role(s) is associated with a policy rule as the values of the PolicyRoles property of a policy rule. The semantics of role(s) are then expected to be implemented by the PDP (i.e., policies are applied to the elements with the appropriate roles). In [14], however, no special processing is required for realizing the semantics of roles; roles are treated just as any other SNMP variables and comparisons of role values can be included in the policy filter of a policy rule.
このアプローチは、以下の方法でPCIMで採用されているアプローチとは異なります。第一に、PCIMでは、一連の役割は、ポリシールールのPolicyrolesプロパティの値としてポリシールールに関連付けられています。役割のセマンティクスは、PDPによって実装されると予想されます(つまり、ポリシーは適切な役割を持つ要素に適用されます)。ただし、[14]では、役割のセマンティクスを実現するために特別な処理は必要ありません。ロールは、他のSNMP変数と同様に扱われ、役割値の比較をポリシールールのポリシーフィルターに含めることができます。
Secondly, in PCIM, there is no formally defined way of associating a role with an object instance, whereas in [14] this is done via the use of the Role tables (pmRoleESTable and pmRoleSETable). The Role tables associate Role values with elements.
第二に、PCIMでは、役割をオブジェクトインスタンスに関連付ける正式に定義された方法はありませんが、[14]では、これはロールテーブルの使用(PMRoleEstableおよびPMRoleSetable)を使用して行われます。ロールテーブルは、役割の値を要素に関連付けます。
In order to remedy the latter shortcoming in PCIM (the lack of a way of associating a role with an object instance), PCIMe has a new class PolicyRoleCollection derived from the CIM Collection class. Resources that share a common role are aggregated by a PolicyRoleCollection instance, via the ElementInPolicyRoleCollection aggregation. The role is specified in the PolicyRole property of the aggregating PolicyRoleCollection instance.
PCIMで後者の欠点を改善するために(役割をオブジェクトインスタンスに関連付ける方法の欠如)、PCIMEには、CIMコレクションクラスから派生した新しいクラスPolicyroleCollectionがあります。共通の役割を共有するリソースは、ElementInpolicyrolecollectionの集約を介して、PolicyroleCollectionインスタンスによって集約されます。この役割は、凝集するPolicyroleCollectionインスタンスのPolicyroleプロパティで指定されています。
A PolicyRoleCollection always exists in the context of a system. As was done in PCIM for PolicyRules and PolicyGroups, an association, PolicyRoleCollectionInSystem, captures this relationship. Remember that in CIM, System is a base class for describing network devices and administrative domains.
システムのコンテキストでは、常にPolicyrolecollectionが存在します。Pocim and Policy -Groups、Association、PolicyrolecollectioninsystemのPCIMで行われたように、この関係はこの関係を捉えています。CIMでは、システムはネットワークデバイスと管理ドメインを説明するための基本クラスであることを忘れないでください。
The association between a PolicyRoleCollection and a system should be consistent with the associations that scope the policy rules/groups that are applied to the resources in that collection. Specifically, a PolicyRoleCollection should be associated with the same System as the applicable PolicyRules and/or PolicyGroups, or to a System higher in the tree formed by the SystemComponent association. When a PEP belongs to multiple Systems (i.e., AdminDomains), and scoping by a single domain is impractical, two alternatives exist. One is to arbitrarily limit domain membership to one System/AdminDomain. The other option is to define a more global AdminDomain that simply includes the others, and/or that spans the business or enterprise.
Policyrolecollectionとシステムとの関連は、そのコレクションのリソースに適用されるポリシールール/グループを範囲の関連性と一致する必要があります。具体的には、PolicyroleCollectionは、該当するPolicyrulesおよび/またはPolicyGroupsと同じシステム、またはSystemComponent Associationによって形成されたツリーのシステムに関連付けられる必要があります。PEPが複数のシステム(つまり、アドマイン)に属し、単一のドメインによるスコーピングが非現実的である場合、2つの選択肢が存在します。1つは、ドメインメンバーシップを1つのシステム/admindomainに任意に制限することです。もう1つのオプションは、単に他のものを含む、および/またはビジネスまたは企業にまたがるよりグローバルなアドマインを定義することです。
As an example, suppose that there are 20 traffic trunks in a network, and that an administrator would like to assign three of them to provide "gold" service. Also, the administrator has defined several policy rules which specify how the "gold" service is delivered. For these rules, the PolicyRoles property (inherited from PolicySet) is set to "Gold Service".
例として、ネットワークに20のトラフィックトランクがあり、管理者が「ゴールド」サービスを提供するために3つを割り当てたいと考えています。また、管理者は、「ゴールド」サービスの提供方法を指定するいくつかのポリシールールを定義しています。これらの規則では、Policyrolesプロパティ(Policysetから継承)は「ゴールドサービス」に設定されています。
In order to associate three traffic trunks with "gold" service, an instance of the PolicyRoleCollection class is created and its PolicyRole property is also set to "Gold Service". Following this, the administrator associates three traffic trunks with the new instance of PolicyRoleCollection via the ElementInPolicyRoleCollection aggregation. This enables a PDP to determine that the "Gold Service" policy rules apply to the three aggregated traffic trunks.
3つの交通トランクを「ゴールド」サービスに関連付けるために、PolicyroleCollectionクラスのインスタンスが作成され、そのPolicyroleプロパティも「ゴールドサービス」に設定されています。これに続いて、管理者は3つのトラフィックトランクを、ElementInpolicyrolecollectionの集約を介してPolicyrolecollectionの新しいインスタンスに関連付けます。これにより、PDPは「ゴールドサービス」ポリシールールが3つの集約されたトラフィックトランクに適用されることを判断できます。
Note that roles are used to optimize policy retrieval. It is not mandatory to implement roles or, if they have been implemented, to group elements in a PolicyRoleCollection. However, if roles are used, then either the collection approach should be implemented, or elements should be capable of reporting their "pre-programmed" roles (as is done in COPS).
役割は、ポリシーの取得を最適化するために使用されることに注意してください。役割を実装したり、それらが実装されている場合、PolicyroleCollectionで要素をグループ化することは必須ではありません。ただし、役割を使用する場合、コレクションアプローチを実装するか、要素が「事前にプログラムされた」役割を報告できる必要があります(警官で行われます)。
In PCIM, role(s) are only associated with policy rules. However, it may be desirable to associate role(s) with groups of policy rules. For example, a network administrator may want to define a group of rules that apply only to Ethernet interfaces. A policy group can be defined with a role-combination="Ethernet", and all the relevant policy rules can be placed in this policy group. (Note that in PCIMe, role(s) are made available to PolicyGroups as well as to PolicyRules by moving PCIM's PolicyRoles property up from PolicyRule to the new abstract class PolicySet. The property is then inherited by both PolicyGroup and PolicyRule.) Then every policy rule in this policy group implicitly inherits this role-combination from the containing policy group. A similar implicit inheritance applies to nested policy groups.
PCIMでは、役割はポリシールールにのみ関連付けられています。ただし、役割をポリシールールのグループに関連付けることが望ましい場合があります。たとえば、ネットワーク管理者は、イーサネットインターフェイスにのみ適用されるルールのグループを定義したい場合があります。ポリシーグループは、ロールコンビネーション=「イーサネット」で定義でき、関連するすべてのポリシールールをこのポリシーグループに配置できます。(PCIMEでは、PCIMのPolicyROLEプロパティをPolicyruleから新しい抽象クラスのポリシーに移動することにより、ポリシーグループとPolicyrulesが役割を利用できるようになります。その後、プロパティはPolicyGroupとPolicyruleの両方で継承されます。)このポリシーグループのルールは、封じ込めポリシーグループからこの役割結合を暗黙的に継承します。同様の暗黙の継承は、ネストされた政策グループに適用されます。
There is no explicit copying of role(s) from container to contained entity. Obviously, this implicit inheritance of role(s) leads to the possibility of defining inconsistent role(s) (as explained in the example below); the handling of such inconsistencies is beyond the scope of PCIMe.
コンテナから含まれるエンティティへの役割の明示的なコピーはありません。明らかに、この暗黙の役割の継承は、一貫性のない役割を定義する可能性につながります(以下の例で説明するように)。このような矛盾の取り扱いは、PCIMEの範囲を超えています。
As an example, suppose that there is a PolicyGroup PG1 that contains three PolicyRules, PR1, PR2, and PR3. Assume that PG1 has the roles "Ethernet" and "Fast". Also, assume that the contained policy rules have the role(s) shown below:
例として、3つの政策、PR1、PR2、およびPR3を含むポリシーグループPG1があると仮定します。PG1には「イーサネット」と「高速」の役割があると仮定します。また、含まれるポリシールールには、以下に示す役割があると仮定します。
+------------------------------+
| PolicyGroup PG1 |
| PolicyRoles = Ethernet, Fast |
+------------------------------+
|
| +------------------------+
| | PolicyRule PR1 |
|--------| PolicyRoles = Ethernet |
| +------------------------+
|
| +--------------------------+
| | PolicyRule PR2 |
|--------| PolicyRoles = <undefined>|
| +--------------------------+
|
| +------------------------+
| | PolicyRule PR3 |
|--------| PolicyRoles = Slow |
+------------------------+
Figure 5. Inheritance of Roles
図5.役割の継承
In this example, the PolicyRoles property value for PR1 is consistent with the value in PG1, and in fact, did not need to be redefined. The value of PolicyRoles for PR2 is undefined. Its roles are implicitly inherited from PG1. Lastly, the value of PolicyRoles for PR3 is "Slow". This appears to be in conflict with the role, "Fast," defined in PG1. However, whether these roles are actually in conflict is not clear. In one scenario, the policy administrator may have wanted only "Fast"- "Ethernet" rules in the policy group. In another scenario, the administrator may be indicating that PR3 applies to all "Ethernet" interfaces regardless of whether they are "Fast" or "Slow." Only in the former scenario (only "Fast"- "Ethernet" rules in the policy group) is there a role conflict.
この例では、PR1のPolicyROLESプロパティ値はPG1の値と一致しており、実際には再定義する必要はありませんでした。PR2のPolicyRolesの値は未定義です。その役割は、PG1から暗黙的に継承されています。最後に、PR3のPolicyRolesの値は「遅い」です。これは、PG1で定義されている「Fast」という役割と矛盾しているようです。ただし、これらの役割が実際に対立しているかどうかは明らかではありません。あるシナリオでは、ポリシー管理者は、ポリシーグループの「高速」 - 「イーサネット」ルールのみを望んでいた場合があります。別のシナリオでは、管理者は、PR3が「高速」または「遅い」かどうかに関係なく、すべての「イーサネット」インターフェイスに適用されることを示している可能性があります。前のシナリオ(ポリシーグループの「高速」 - 「イーサネット」ルールのみ)でのみ、役割の競合があります。
Note that it is possible to override implicitly inherited roles via appropriate conditions on a PolicyRule. For example, suppose that PR3 above had defined the following conditions:
Policyrule上の適切な条件を介して、暗黙的に継承された役割をオーバーライドすることが可能であることに注意してください。たとえば、上記のPR3が次の条件を定義していたとします。
(interface is not "Fast") and (interface is "Slow")
(インターフェイスは「高速」ではありません)と(インターフェイスは「遅い」)
This results in unambiguous semantics for PR3.
これにより、PR3の明確なセマンティクスが生じます。
Compound policy conditions and compound policy actions are introduced to provide additional reusable "chunks" of policy.
複合政策条件と複合政策措置が導入され、追加の再利用可能な「チャンク」の政策が提供されます。
A CompoundPolicyCondition is a PolicyCondition representing a Boolean combination of simpler conditions. The conditions being combined may be SimplePolicyConditions (discussed below in Section 6.4), but the utility of reusable combinations of policy conditions is not necessarily limited to the case where the component conditions are simple ones.
化合物の環境は、より単純な条件のブールの組み合わせを表す政策条件です。組み合わされた条件は単純な条件付けである可能性があります(セクション6.4で以下で説明します)が、再利用可能な政策条件の組み合わせの有用性は、コンポーネント条件が単純な場合の場合に必ずしも限定されません。
The PCIM extensions to introduce compound policy conditions are relatively straightforward. Since the purpose of the extension is to apply the DNF / CNF logic from PCIM's PolicyConditionInPolicyRule aggregation to a compound condition that aggregates simpler conditions, the following changes are required:
複合政策条件を導入するためのPCIM拡張機能は比較的簡単です。拡張の目的は、DNF / CNFロジックをPCIMのPolicyConditionInpolicyrule凝集から単純な条件を集約する複合条件に適用することであるため、次の変更が必要です。
o Create a new aggregation PolicyConditionInPolicyCondition, with the same GroupNumber and ConditionNegated properties as PolicyConditionInPolicyRule. The cleanest way to do this is to move the properties up to a new abstract aggregation superclass PolicyConditionStructure, from which the existing aggregation PolicyConditionInPolicyRule and a new aggregation PolicyConditionInPolicyCondition are derived. For now there is no need to re-document the properties themselves, since they are already documented in PCIM as part of the definition of the PolicyConditionInPolicyRule aggregation.
o PolicyConditionInpolicyruleと同じグループ数と条件付きプロパティを使用して、新しい集約PolicyConditionInPolicyconditionを作成します。これを行う最もクリーンな方法は、プロパティを新しい抽象的な集約スーパークラスPolicyconditionStructureに移動することです。そこからは、既存の凝集がinpolicyruleと新しい凝集が導き出されます。今のところ、プロパティ自体を再文書化する必要はありません。なぜなら、PolicyConditionInpolicyruleの凝集の定義の一部としてPCIMですでに文書化されているからです。
o It is also necessary to define a concrete subclass CompoundPolicyCondition of PolicyCondition, to introduce the ConditionListType property. This property has the same function, and works in exactly the same way, as the corresponding property currently defined in PCIM for the PolicyRule class.
o また、Policyconditionのコンクリートサブクラス化合物のコンディショニングを定義して、ConditionListTypeプロパティを導入する必要があります。このプロパティは同じ機能を持ち、PolicyruleクラスのPCIMで現在定義されている対応するプロパティとまったく同じ方法で機能します。
The class and property definitions for representing compound policy conditions are below, in Section 6.
複合政策条件を表すためのクラスとプロパティの定義は、セクション6に以下にあります。
A compound action is a convenient construct to represent a sequence of actions to be applied as a single atomic action within a policy rule. In many cases, actions are related to each other and should be looked upon as sub-actions of one "logical" action. An example of such a logical action is "shape & mark" (i.e., shape a certain stream to a set of predefined bandwidth characteristics and then mark these packets with a certain DSCP value). This logical action is actually composed of two different QoS actions, which should be performed in a well-defined order and as a complete set.
複合作用は、ポリシールール内で単一の原子作用として適用される一連のアクションを表すための便利な構成です。多くの場合、アクションは互いに関連しており、1つの「論理的な」アクションのサブアクションと見なす必要があります。このような論理アクションの例は「Shape&Mark」です(つまり、特定のストリームを事前定義された帯域幅特性のセットに形作り、これらのパケットを特定のDSCP値でマークします)。この論理アクションは、実際には2つの異なるQoSアクションで構成されており、明確に定義された順序で完全なセットとして実行する必要があります。
The CompoundPolicyAction construct allows one to create a logical relationship between a number of actions, and to define the activation logic associated with this logical action.
化合物のパリカクションコンストラクトにより、多くのアクション間に論理的な関係を作成し、この論理アクションに関連付けられたアクティベーションロジックを定義できます。
The CompoundPolicyAction construct allows the reusability of these complex actions, by storing them in a ReusablePolicyContainer and reusing them in different policy rules. Note that a compound action may also be aggregated by another compound action.
化合物の構成により、これらの複雑なアクションの再利用性が可能になり、それらを再利用可能なポリシカンテナーに保存し、異なるポリシールールで再利用できます。複合作用は、別の複合作用によっても集約される場合があることに注意してください。
As was the case with CompoundPolicyCondition, the PCIM extensions to introduce compound policy actions are relatively straightforward. This time the goal is to apply the property ActionOrder from PCIM's PolicyActionInPolicyRule aggregation to a compound action that aggregates simpler actions. The following changes are required:
複合ポール環境の場合と同様に、複合政策アクションを導入するためのPCIM拡張機能は比較的簡単です。今回の目標は、PCIMのPolicyActionInPolicyrule集約から、より単純なアクションを集約する複合アクションにプロパティアクションオーダーを適用することです。次の変更が必要です。
o Create a new aggregation PolicyActionInPolicyAction, with the same ActionOrder property as PolicyActionInPolicyRule. The cleanest way to do this is to move the property up to a new abstract aggregation superclass PolicyActionStructure, from which the existing aggregation PolicyActionInPolicyRule and a new aggregation PolicyActionInPolicyAction are derived.
o PolicyActionInPolicyruleと同じActionOrderプロパティを使用して、新しい集約PolicyActionInPolicyActionを作成します。これを行う最もクリーンな方法は、プロパティを新しい抽象集約スーパークラスのポリシーコンテストに移動することです。そこから、既存の集約ポリシーインポリティルルールと新しい集約ポリシーインチングインポリティクションが導き出されます。
o It is also necessary to define a concrete subclass CompoundPolicyAction of PolicyAction, to introduce the SequencedActions property. This property has the same function, and works in exactly the same way, as the corresponding property currently defined in PCIM for the PolicyRule class.
o また、シーケンス式プロパティを導入するには、ポリシーの具体的なサブクラス化合物の化合物を定義する必要があります。このプロパティは同じ機能を持ち、PolicyruleクラスのPCIMで現在定義されている対応するプロパティとまったく同じ方法で機能します。
o Finally, a new property ExecutionStrategy is needed for both the PCIM class PolicyRule and the new class CompoundPolicyAction. This property allows the policy administrator to specify how the PEP should behave in the case where there are multiple actions aggregated by a PolicyRule or by a CompoundPolicyAction.
o 最後に、PCIMクラスのPolicyruleと新しいクラスの複合ポリティク症の両方に、新しいプロパティ実行戦略が必要です。このプロパティにより、ポリシー管理者は、PolicyruleまたはCompoundPolicyactionによって集約された複数のアクションがある場合に、PEPがどのように動作するかを指定できます。
The class and property definitions for representing compound policy actions are below, in Section 6.
複合ポリシーアクションを表すためのクラスおよびプロパティの定義は、セクション6に以下にあります。
The following subsections introduce several related concepts, including PolicyVariables and PolicyValues (and their numerous subclasses), SimplePolicyConditions, and SimplePolicyActions.
以下のサブセクションでは、PolicyVariablesとPolicyValues(およびその多数のサブクラス)、SimplePolicycondition、SimplePolicyacionsなど、いくつかの関連する概念を導入します。
The SimplePolicyCondition class models elementary Boolean expressions of the form: "(<variable> MATCH <value>)". The relationship 'MATCH', which is implicit in the model, is interpreted based on the variable and the value. Section 5.8.3 explains the semantics of the 'MATCH' operator. Arbitrarily complex Boolean expressions can be formed by chaining together any number of simple conditions using relational operators. Individual simple conditions can be negated as well. Arbitrarily complex Boolean expressions are modeled by the class CompoundPolicyCondition (described in Section 5.7.1).
SimplePolicyconditionクラスモデルフォームの基本的なブール式式: "(<variable> match <balue>)" "。モデルに暗黙的な関係「一致」は、変数と値に基づいて解釈されます。セクション5.8.3では、「一致」オペレーターのセマンティクスについて説明します。リレーショナル演算子を使用して、任意の数の単純な条件を連鎖させることにより、任意に複雑なブール式を形成できます。個々の単純な条件も無効にすることができます。任意の複雑なブール式は、クラスの複合式(セクション5.7.1で説明)によってモデル化されています。
For example, the expression "SourcePort == 80" can be modeled by a simple condition. In this example, 'SourcePort' is a variable, '==' is the relational operator denoting the equality relationship (which is generalized by PCIMe to a "MATCH" relationship), and '80' is an integer value. The complete interpretation of a simple condition depends on the binding of the variable. Section 5.8.5 describes variables and their binding rules.
たとえば、「SourcePort == 80」という式は、単純な条件でモデル化できます。この例では、「SourcePort」は変数であり、「==」は平等関係(PCIMEによって「一致」関係に一般化されている)を示すリレーショナル演算子であり、「80」は整数値です。単純な条件の完全な解釈は、変数の結合に依存します。セクション5.8.5では、変数とその結合ルールについて説明します。
The SimplePolicyCondition class refines the basic structure of the PolicyCondition class defined in PCIM by using the pair (<variable>, <value>) to form the condition. Note that the operator between the variable and the value is always implied in PCIMe: it is not a part of the formal notation.
SimplePolicyconditionクラスは、ペア(<変数>、<値>)を使用して条件を形成することにより、PCIMで定義されているポリシーコンディションクラスの基本構造を改良します。変数と値の間の演算子は、PCIMEで常に暗示されていることに注意してください。それは正式な表記の一部ではありません。
The variable specifies the attribute of an object that should be matched when evaluating the condition. For example, for a QoS model, this object could represent the flow that is being conditioned. A set of predefined variables that cover network attributes commonly used for filtering is introduced in PCIMe, to encourage interoperability. This list covers layer 3 IP attributes such as IP network addresses, protocols and ports, as well as a set of layer 2 attributes (e.g., MAC addresses).
変数は、条件を評価するときに一致する必要があるオブジェクトの属性を指定します。たとえば、QoSモデルの場合、このオブジェクトは条件付けられているフローを表すことができます。フィルタリングに一般的に使用されるネットワーク属性をカバーする定義された変数のセットは、相互運用性を促進するためにPCIMEで導入されます。このリストには、IPネットワークアドレス、プロトコル、ポートなどのレイヤー3つのIP属性、およびレイヤー2属性のセット(MACアドレスなど)のセットをカバーしています。
The bound variable is matched against a value to produce the Boolean result. For example, in the condition "The source IP address of the flow belongs to the 10.1.x.x subnet", a source IP address variable is matched against a 10.1.x.x subnet value.
バウンド変数は値と一致して、ブール結果を生成します。たとえば、「フローのソースIPアドレスは10.1.x.xサブネットに属する」条件では、ソースIPアドレス変数は10.1.x.xサブネット値と一致します。
Simple conditions can be used in policy rules directly, or as building blocks for creating compound policy conditions.
単純な条件は、ポリシールールで直接、または複合政策条件を作成するための構成要素として使用できます。
Simple condition composition MUST enforce the following data-type conformance rule: The ValueTypes property of the variable must be compatible with the type of the value class used. The simplest (and friendliest, from a user point-of-view) way to do this is to equate the type of the value class with the name of the class. By ensuring that the ValueTypes property of the variable matches the name of the value class used, we know that the variable and value instance values are compatible with each other.
単純な条件構成は、次のデータタイプの適合ルールを強制する必要があります。変数のValuETypesプロパティは、使用される値クラスのタイプと互換性がなければなりません。これを行うための最も単純な(そしてユーザーポイントオブビューから最もフレンドリーな)方法は、バリュークラスのタイプをクラスの名前と同一視することです。変数のValueTypesプロパティが使用される値クラスの名前と一致するようにすることにより、変数インスタンス値と値インスタンス値が互いに互換性があることがわかります。
Composing a simple condition requires that an instance of the class SimplePolicyCondition be created, and that instances of the variable and value classes that it uses also exist. Note that the variable and/or value instances may already exist as reusable objects in an appropriate ReusablePolicyContainer.
単純な条件を作成するには、クラスのsimplePolicyconditionのインスタンスを作成し、使用する変数クラスと値クラスのインスタンスを作成する必要があります。変数および/または値インスタンスは、適切な再利用可能なポリクセイナーの再利用可能なオブジェクトとして既に存在する可能性があることに注意してください。
Two aggregations are used in order to create the pair (<variable>, <value>). The aggregation PolicyVariableInSimplePolicyCondition relates a SimplePolicyCondition to a single variable instance. Similarly, the aggregation PolicyValueInSimplePolicyCondition relates a SimplePolicyCondition to a single value instance. Both aggregations are defined in this document.
ペア(<変数>、<値>)を作成するために、2つの集約が使用されます。集約PolicyVariaibleInsimplePolicyconditionは、単純なポールコンディションを単一の変数インスタンスに関連付けます。同様に、集計PolicyValueInsimplePolicycontitionは、単純なポールコンディションを単一の値インスタンスに関連付けます。両方の集約は、このドキュメントで定義されています。
Figure 6. depicts a SimplePolicyCondition with its associated variable and value. Also shown are two PolicyValue instances that identify the values that the variable can assume.
図6.は、それに関連する変数と値を備えた単純なポールコンディションを示しています。また、変数が想定できる値を識別する2つのPolicyValueインスタンスも示されています。
+-----------------------+
| SimplePolicyCondition |
+-----------------------+
* @
* @
+------------------+ * @ +---------------+
| (PolicyVariable) |*** @@@| (PolicyValue) |
+------------------+ +---------------+
# #
# ooo #
# #
+---------------+ +---------------+
| (PolicyValue) | ooo | (PolicyValue) |
+---------------+ +---------------+
Aggregation Legend:
**** PolicyVariableInSimplePolicyCondition
@@@@ PolicyValueInSimplePolicyCondition
#### ExpectedPolicyValuesForVariable
Figure 6. SimplePolicyCondition
図6. SimplePolicycondition
Note: The class names in parenthesis denote subclasses. The classes named in the figure are abstract, and thus cannot themselves be instantiated.
注:括弧内のクラス名は、サブクラスを示します。図に記載されているクラスは抽象的であるため、それ自体をインスタンス化することはできません。
A simple condition models an elementary Boolean expression of the form "variable MATCHes value". However, the formal notation of the SimplePolicyCondition, together with its associations, models only a pair, (<variable>, <value>). The 'MATCH' operator is not directly modeled -- it is implied. Furthermore, this implied 'MATCH' operator carries overloaded semantics.
単純な条件は、「変数一致値」という形式の基本的なブール式式をモデル化します。ただし、SimplePolicyconditionの正式な表記は、その関連付けとともに、ペアのみをモデル化します(<variable>、<value>)。「一致」オペレーターは直接モデル化されていません - 暗示されています。さらに、この暗黙の「一致」オペレーターには、過負荷のセマンティクスが含まれます。
For example, in the simple condition "DestinationPort MATCH '80'", the interpretation of the 'MATCH' operator is equality (the 'equal' operator). Clearly, a different interpretation is needed in the following cases:
たとえば、単純な条件「DestinationPort Match '80」」では、「一致」オペレーターの解釈は平等です(「等しい」演算子)。明らかに、次の場合には別の解釈が必要です。
o "DestinationPort MATCH {'80', '8080'}" -- operator is 'IS SET MEMBER'
o 「DestinationPort Match {'80'、 '8080'}」 - オペレーターは「設定されたメンバー」です
o "DestinationPort MATCH {'1 to 255'}" -- operator is 'IN INTEGER RANGE'
o 「DestinationPort Match {'1〜255'}」 - オペレーターは「整数範囲」です
o "SourceIPAddress MATCH 'MyCompany.com'" -- operator is 'IP ADDRESS AS RESOLVED BY DNS'
o 「soultsipaddressマッチ「mycompany.com」」 - オペレーターは「DNSによって解決されたIPアドレス」です
The examples above illustrate the implicit, context-dependent nature of the 'MATCH' operator. The interpretation depends on the actual variable and value instances in the simple condition. The interpretation is always derived from the bound variable and the value instance associated with the simple condition. Text accompanying the value class and implicit variable definition is used for interpreting the semantics of the 'MATCH' relationship. In the following list, we define generic (type-independent) matching.
上記の例は、「一致」演算子の暗黙のコンテキスト依存性の性質を示しています。解釈は、単純な条件の実際の変数と値のインスタンスに依存します。解釈は常に、単純な条件に関連付けられたバウンド変数と値インスタンスから導き出されます。値クラスと暗黙の変数定義に付随するテキストは、「一致」関係のセマンティクスを解釈するために使用されます。次のリストでは、汎用(タイプに依存しない)マッチングを定義します。
PolicyValues may be multi-fielded, where each field may contain a range of values. The same equally holds for PolicyVariables. Basically, we have to deal with single values (singleton), ranges ([lower bound .. upper bound]), and sets (a,b,c). So independent of the variable and value type, the following set of generic matching rules for the 'MATCH' operator are defined.
PolicyValuesは多目的である場合があり、各フィールドにはさまざまな値が含まれている場合があります。同じことがPolicyVariablesについても等しく保持しています。基本的に、単一の値(Singleton)、範囲([下限..上限])、およびセット(a、b、c)に対処する必要があります。したがって、変数と値の種類とは無関係に、「一致」演算子の次の汎用マッチングルールのセットが定義されています。
o singleton matches singleton -> the matching rule is defined in the type
o シングルトンはシングルトンと一致します - >マッチングルールはタイプで定義されています
o singleton matches range [lower bound .. upper bound] -> the matching evaluates to true, if the singleton matches the lower bound or the upper bound or a value in between
o シングルトンマッチ範囲[下限..上限] - >一致するものは、シングルトンが下限または上限またはその間の値を一致させる場合、trueに評価します
o singleton matches set -> the matching evaluates to true, if the value of the singleton matches one of the components in the set, where a component may be a singleton or range again
o Singleton Matches set->マッチングはTrueに評価されます。シングルトンの値がセットのコンポーネントの1つと一致し、コンポーネントがシングルトンになるか、再び範囲になる可能性があります。
o ranges [A..B] matches singleton -> is true if A matches B matches singleton
o ranges [a..b]はシングルトンと一致します - >は、一致Bがシングルトンに一致する場合に真です
o range [A..B] matches range [X..Y] -> the matching evaluates to true, if all values of the range [A..B] are also in the range [X..Y]. For instance, [3..5] match [1..6] evaluates to true, whereas [3..5] match [4..6] evaluates to false.
o 範囲[a..b]は範囲[x..y] - >一致する範囲と一致します。たとえば、[3..5]一致[1..6]はtrueに評価されますが、[3..5]一致[4..6]はfalseに評価されます。
o range [A..B] matches set (a,b,c, ...) -> the matching evaluates to true, if all values in the range [A..B] are part of the set. For instance, range [2..3] match set ([1..2],3) evaluates to true, as well as range [2..3] match set (2,3), and range [2..3] match set ([1..2],[3..5]).
o 範囲[a..b] set(a、b、c、...) - >範囲のすべての値[a..b]がセットの一部である場合、マッチングはtrueに評価されます。たとえば、範囲[2..3]一致セット([1..2]、3)はTrueに評価され、範囲[2..3]マッチセット(2,3)および範囲[2 ..3]一致セット([1..2]、[3..5])。
o set (a,b,c, ...) match singleton -> is true if a match b match c match ... match singleton
o セット(a、b、c、...)マッチシングルトン - >マッチBが一致する場合は真です。
o set match range -> the matching evaluates to true, if all values in the set are part of the range. For example, set (2,3) match range [1..4] evaluates to true.
o セットマッチ範囲 - >セット内のすべての値が範囲の一部である場合、マッチングはtrueに評価されます。たとえば、セット(2,3)マッチ範囲[1..4]はtrueに評価されます。
o set (a,b,c,...) match set (x,y,z,...) -> the matching evaluates to true, if all values in the set (a,b,c,...) are part of the set (x,y,z,...). For example, set (1,2,3) match set (1,2,3,4) evaluates to true. Set (1,2,3) match set (1,2) evaluates to false.
o set(a、b、c、...)一致セット(x、y、z、...) - >一致するものは、セットのすべての値(a、b、c、...)の場合、trueに評価します。セットの一部です(x、y、z、...)。たとえば、セット(1,2,3)一致セット(1,2,3,4)はtrueに評価されます。セット(1,2,3)一致セット(1,2)はfalseに評価されます。
Variables may contain various types (Section 6.11.1). When not stated otherwise, the type of the value bound to the variable at condition evaluation time and the value type of the PolicyValue instance need to be of the same type. If they differ, then the condition evaluates to FALSE.
変数にはさまざまなタイプが含まれる場合があります(セクション6.11.1)。特に記載されていない場合、条件評価時間で変数に結合した値のタイプと、ポリシーバリューインスタンスの値タイプは同じタイプである必要があります。それらが異なる場合、条件はfalseに評価されます。
The ExpectedPolicyValuesForVariable association specifies an expected set of values that can be matched with a variable within a simple condition. Using this association, a source or destination port can be limited to the range 0-200, a source or destination IP address can be limited to a specified list of IPv4 address values, etc.
予想されるPolicyValuesForVariable Associationは、単純な条件内で変数と一致させることができる予想される値のセットを指定します。この関連付けを使用すると、ソースまたは宛先ポートは0〜200の範囲に制限できます。ソースまたは宛先IPアドレスは、IPv4アドレス値の指定されたリストなどに制限できます。
+-----------------------+
| SimplePolicyCondition |
+-----------------------+
* @
* @
* @
+-----------------------------------+ +--------------------------+
| Name=SmallSourcePorts | | Name=Port300 |
| Class=PolicySourcePortVariable | | Class=PolicyIntegerValue |
| ValueTypes=[PolicyIntegerValue] | | IntegerList = [300] |
+-----------------------------------+ +--------------------------+
#
#
#
+-------------------------+
|Name=SmallPortsValues |
|Class=PolicyIntegerValue |
|IntegerList=[1..200] |
+-------------------------+
Aggregation Legend:
**** PolicyVariableInSimplePolicyCondition
@@@@ PolicyValueInSimplePolicyCondition
#### ExpectedPolicyValuesForVariable
Figure 7. An Invalid SimplePolicyCondition
図7.無効なSimplePolicycondition
The ability to express these limitations appears in the model to support validation of a SimplePolicyCondition prior to its deployment to an enforcement point. A Policy Management Tool, for example SHOULD NOT accept the SimplePolicyCondition shown in Figure 7. If, however, a policy rule containing this condition does appear at an enforcement point, the expected values play no role in the determination of whether the condition evaluates to True or False. Thus in this example, the SimplePolicyCondition evaluates to True if the source port for the packet under consideration is 300, and it evaluates to False otherwise.
これらの制限を表現する能力は、施行ポイントへの展開前にsimplePolicyconcitionの検証をサポートするためにモデルに表示されます。たとえば、ポリシー管理ツールは、図7に示すシンプルポリク条件を受け入れないでください。ただし、この条件を含むポリシールールが執行ポイントに表示されている場合、条件が真の条件を評価するかどうかの決定に期待値が役割を果たしません。または偽。したがって、この例では、simplePolicyconditionは、検討中のパケットのソースポートが300である場合、trueを評価し、それ以外の場合はfalseと評価します。
The SimplePolicyAction class models the elementary set operation. "SET <variable> TO <value>". The set operator MUST overwrite an old value of the variable. In the case where the variable to be updated is multi- valued, the only update operation defined is a complete replacement of all previous values with a new set. In other words, there are no Add or Remove [to/from the set of values] operations defined for SimplePolicyActions.
SimplePolicyActionクラスは、初等セット操作をモデル化します。「<variable>から<value>を設定します」。セット演算子は、変数の古い値を上書きする必要があります。更新される変数が多額の場合、定義された唯一の更新操作は、以前のすべての値を新しいセットに完全に置き換えることです。言い換えれば、simplePolicyactionsのために定義された操作の追加または削除はありません。
For example, the action "set DSCP to EF" can be modeled by a simple action. In this example, 'DSCP' is an implicit variable referring to the IP packet header DSCP field. 'EF' is an integer or bit string value (6 bits). The complete interpretation of a simple action depends on the binding of the variable.
たとえば、アクション「DSCPをEFに設定」は、単純なアクションによってモデル化できます。この例では、「DSCP」はIPパケットヘッダーDSCPフィールドを参照する暗黙の変数です。「EF」は整数またはビット文字列値(6ビット)です。単純なアクションの完全な解釈は、変数の結合に依存します。
The SimplePolicyAction class refines the basic structure of the PolicyAction class defined in PCIM, by specifying the contents of the action using the (<variable>, <value>) pair to form the action. The variable specifies the attribute of an object. The value of this attribute is set to the value specified in <value>. Selection of the object is a function of the type of variable involved. See Sections 5.8.6 and 5.8.7, respectively, for details on object selection for explicitly bound and implicitly bound policy variables.
SimplePolicyActionクラスは、(<variable>、<value>)ペアを使用してアクションの内容を指定してアクションを形成することにより、PCIMで定義されたポリシーアクションクラスの基本構造を改良します。変数は、オブジェクトの属性を指定します。この属性の値は、<value>で指定された値に設定されます。オブジェクトの選択は、関与する変数のタイプの関数です。明示的にバインドされ、暗黙的にバインドされたポリシー変数のオブジェクト選択の詳細については、それぞれセクション5.8.6と5.8.7を参照してください。
SimplePolicyActions can be used in policy rules directly, or as building blocks for creating CompoundPolicyActions.
simplePolicyactionsは、ポリシールールで直接、または化合物ポリシオンを作成するためのビルディングブロックとして使用できます。
The set operation is only valid if the list of types of the variable (ValueTypes property of PolicyImplicitVariable) includes the specified type of the value. Conversion of values from one representation into another is not defined. For example, a variable of IPv4Address type may not be set to a string containing a DNS name. Conversions are part of an implementation-specific mapping of the model.
セット操作は、変数のタイプのリスト(PolicyImplicitVariableのValueTypesプロパティ)のリストが指定されたタイプの値を含む場合にのみ有効です。ある表現から別の表現への値の変換は定義されていません。たとえば、IPv4Addressタイプの変数は、DNS名を含む文字列に設定できない場合があります。変換は、モデルの実装固有のマッピングの一部です。
As was the case with SimplePolicyConditions, the role of expected values for the variables that appear in SimplePolicyActions is for validation, prior to the time when an action is executed. Expected values play no role in action execution.
SimplePolicyconditionsの場合と同様に、simplePolicyactionsに表示される変数の期待値の役割は、アクションが実行される前に検証用です。予想値は、アクション実行において役割を果たしません。
Composing a simple action requires that an instance of the class SimplePolicyAction be created, and that instances of the variable and value classes that it uses also exist. Note that the variable and/or value instances may already exist as reusable objects in an appropriate ReusablePolicyContainer.
単純なアクションを作成するには、クラスのシンプルポリティクションのインスタンスを作成し、使用する変数クラスと値クラスのインスタンスを作成する必要があります。変数および/または値インスタンスは、適切な再利用可能なポリクセイナーの再利用可能なオブジェクトとして既に存在する可能性があることに注意してください。
Two aggregations are used in order to create the pair (<variable>, <value>). The aggregation PolicyVariableInSimplePolicyAction relates a SimplePolicyAction to a single variable instance. Similarly, the aggregation PolicyValueInSimplePolicyAction relates a SimplePolicyAction to a single value instance. Both aggregations are defined in this document.
ペア(<変数>、<値>)を作成するために、2つの集約が使用されます。Aggregation PolicyVariableInsimplePolicyactionは、SimplePolicyactionを単一の変数インスタンスに関連付けます。同様に、集約PolicyValueInsimplePolicyactionは、SimplePolicyactionを単一の値インスタンスに関連付けます。両方の集約は、このドキュメントで定義されています。
Figure 8. depicts a SimplePolicyAction with its associated variable and value.
図8.は、それに関連する変数と値を持つSimplePolicyactionを示しています。
+-----------------------+
| SimplePolicyAction |
| |
+-----------------------+
* @
* @
+------------------+ * @ +---------------+
| (PolicyVariable) |*** @@@| (PolicyValue) |
+------------------+ +---------------+
# #
# ooo #
# #
+---------------+ +---------------+
| (PolicyValue) | ooo | (PolicyValue) |
+---------------+ +---------------+
Aggregation Legend:
**** PolicyVariableInSimplePolicyAction
@@@@ PolicyValueInSimplePolicyAction
#### ExpectedPolicyValuesForVariable
Figure 8. SimplePolicyAction
図8. SimplePolicyaction
A variable generically represents information that changes (or "varies"), and that is set or evaluated by software. In policy, conditions and actions can abstract information as "policy variables" to be evaluated in logical expressions, or set by actions.
変数は、一般的に変化する(または「変化する」)情報を表し、ソフトウェアによって設定または評価されます。ポリシーでは、条件とアクションは、論理式で評価される、またはアクションによって設定される「ポリシー変数」として情報を抽象化できます。
PCIMe defines two types of PolicyVariables, PolicyImplicitVariables and PolicyExplicitVariables. The semantic difference between these classes is based on modeling context. Explicit variables are bound to exact model constructs, while implicit variables are defined and evaluated outside of a model. For example, one can imagine a PolicyCondition testing whether a CIM ManagedSystemElement's Status property has the value "Error." The Status property is an explicitly defined PolicyVariable (i.e., it is defined in the context of the CIM Schema, and evaluated in the context of a specific instance). On the other hand, network packets are not explicitly modeled or instantiated, since there is no perceived value (at this time) in managing at the packet level. Therefore, a PolicyCondition can make no explicit reference to a model construct that represents a network packet's source address. In this case, an implicit PolicyVariable is defined, to allow evaluation or modification of a packet's source address.
PCIMEは、PolicyImplicitVariablesとPolicyExplicitVariablesの2種類のポリシーバリエブルを定義します。これらのクラス間のセマンティックな違いは、モデリングコンテキストに基づいています。明示的な変数は正確なモデルコンストラクトに結合され、暗黙的な変数はモデルの外で定義および評価されます。たとえば、CIM ManagedSystemElementのステータスプロパティに値「エラー」があるかどうかをPolicy -Conditionテストすることを想像できます。ステータスプロパティは、明示的に定義されたPolicyVariableです(つまり、CIMスキーマのコンテキストで定義され、特定のインスタンスのコンテキストで評価されます)。一方、ネットワークパケットは、パケットレベルでの管理に(現時点で)知覚される値がないため、明示的にモデル化またはインスタンス化されていません。したがって、Policyconditionは、ネットワークパケットのソースアドレスを表すモデル構成を明示的に参照することはできません。この場合、パケットのソースアドレスの評価または変更を可能にするために、暗黙的なポリシーヴァリ可能性が定義されています。
Explicitly bound policy variables indicate the class and property names of the model construct to be evaluated or set. The CIM Schema defines and constrains "appropriate" values for the variable (i.e., model property) using data types and other information such as class/property qualifiers.
明示的にバインドされたポリシー変数は、評価または設定されるモデル構成のクラスとプロパティ名を示します。CIMスキーマは、データ型やクラス/プロパティ予選などのその他の情報を使用して、変数(つまり、モデルプロパティ)の「適切な」値を定義および制約します。
A PolicyExplicitVariable is "explicit" because its model semantics are exactly defined. It is NOT explicit due to an exact binding to a particular object instance. If PolicyExplicitVariables were tied to instances (either via associations or by an object identification property in the class itself), then we would be forcing element-specific rules. On the other hand, if we only specify the object's model context (class and property name), but leave the binding to the policy framework (for example, using policy roles), then greater flexibility results for either general or element-specific rules.
PolicyExplicitVariableは、モデルセマンティクスが正確に定義されているため、「明示的」です。特定のオブジェクトインスタンスへの正確なバインディングのため、明示的ではありません。PolicyExplicitVariablesがインスタンスに関連付けられている場合(関連付けを介して、またはクラス自体のオブジェクト識別プロパティのいずれか)、要素固有のルールを強制します。一方、オブジェクトのモデルコンテキスト(クラスとプロパティ名)のみを指定するだけでなく、ポリシーフレームワーク(ポリシーの役割を使用するなど)への拘束力を残す場合、一般的または要素固有のルールの柔軟性が大きくなります。
For example, an element-specific rule is obtained by a condition ((<variable>, <value>) pair) that defines CIM LogicalDevice DeviceID="12345". Alternately, if a PolicyRule's PolicyRoles is "edge device" and the condition ((<variable>, <value>) pair) is Status="Error", then a general rule results for all edge devices in error.
たとえば、CIM LogicalDevice DeviceID = "12345"を定義する条件((<変数>、<値>)ペア)によって要素固有のルールが取得されます。あるいは、PolicyruleのPolicyRolesが「エッジデバイス」であり、条件((<variable>、<value>)ペア)がStatus = "エラー"である場合、すべてのエッジデバイスの一般的なルールの結果が誤りです。
Currently, the only binding for a PolicyExplicitVariable defined in PCIMe is to the instances selected by policy roles. For each such instance, a SimplePolicyCondition that aggregates the PolicyExplicitVariable evaluates to True if and only if ALL of the following are true:
現在、PCIMEで定義されているPolicyExplicitVariableの唯一のバインディングは、ポリシーの役割によって選択されたインスタンスです。そのようなインスタンスごとに、PolicyexplicitVariableを集約するSimplePolicyconditionは、以下のすべてが真である場合にのみTrueに評価します。
o The instance selected is of the class identified by the variable's ModelClass property, or of a subclass of this class. o The instance selected has the property identified by the variable's ModelProperty property. o The value of this property in the instance matches the value specified in the PolicyValue aggregated by the condition.
o 選択されたインスタンスは、変数のModelClassプロパティによって識別されたクラス、またはこのクラスのサブクラスのものです。o選択されたインスタンスには、変数のModelPropertyプロパティによって識別されたプロパティがあります。oインスタンスのこのプロパティの値は、条件によって集約されたポリシーバリューで指定された値と一致します。
In all other cases, the SimplePolicyCondition evaluates to False.
他のすべての場合、SimplePolicyconditionはfalseと評価されます。
For the case where a SimplePolicyAction aggregates a PolicyExplicitVariable, the indicated property in the selected instance is set to the value represented by the PolicyValue that the SimplePolicyAction also aggregates. However, if the selected instance is not of the class identified by the variable's ModelClass property, or of a subclass of this class, then the action is not performed. In this case the SimplePolicyAction is not treated either as a successfully executed action (for the execution strategy Do Until Success) or as a failed action (for the execution strategy Do Until Failure). Instead, the remaining actions for the policy rule, if any, are executed as if this SimplePolicyAction were not present at all in the list of actions aggregated by the rule.
SimplePolicyactionがPolicyExplicitVariableを集約する場合、選択されたインスタンスで示されたプロパティは、SimplePolicyactionが集約するというポリシーバリューによって表される値に設定されます。ただし、選択したインスタンスが、変数のModelClassプロパティによって識別されたクラスの場合、またはこのクラスのサブクラスの場合、アクションは実行されません。この場合、SimplePolicyactionは、実行された実行戦略の場合(成功まで実行される)、または失敗したアクションとして(実行戦略の場合は失敗まで行う)、simplePolicyactionは扱われません。代わりに、ポリシールールの残りのアクションは、もしあれば、このsimplePolicyactionがルールによって集約されたアクションのリストにまったく存在しないかのように実行されます。
Explicit variables would be more powerful if they could reach beyond the instances selected by policy roles, to related instances. However, to represent a policy rule involving such variables in any kind of general way requires something that starts to resemble very much a complete policy language. Clearly such a language is outside the scope of PCIMe, although it might be the subject of a future document.
明示的な変数は、ポリシーの役割によって選択されたインスタンスを超えて関連するインスタンスに到達できる場合、より強力になります。ただし、あらゆる種類の一般的な方法でそのような変数を含むポリシールールを表すには、非常に完全なポリシー言語に似ているものが必要です。明らかに、そのような言語はPCIMEの範囲外ですが、将来の文書の対象かもしれません。
By restricting much of the generality, it would be possible for explicit variables in PCIMe to reach slightly beyond a selected instance. For example, if a selected instance were related to exactly one instance of another class via a particular association class, and if the goal of the policy rule were both to test a property of this related instance and to set a property of that same instance, then it would be possible to represent the condition and action of the rule using PolicyExplicitVariables. Rather than handling this one specific case with explicit variables, though, it was decided to lump them with the more general case, and deal with them if and when a policy language is defined.
一般性の多くを制限することにより、PCIMEの明示的な変数が選択されたインスタンスをわずかに超えて到達することが可能です。たとえば、選択したインスタンスが特定のAssociationクラスを介して別のクラスの正確な1つのインスタンスに関連している場合、およびポリシールールの目標がこの関連インスタンスのプロパティをテストし、同じインスタンスのプロパティを設定することである場合、次に、PolicyExplicitVariablesを使用してルールの条件とアクションを表すことができます。ただし、この特定のケースを明示的な変数で処理するのではなく、より一般的なケースでそれらをまとめて、ポリシー言語が定義されている場合に対処することが決定されました。
Refer to Section 6.10 for the formal definition of the class PolicyExplicitVariable.
クラスPolicyExplicitVariableの正式な定義については、セクション6.10を参照してください。
Implicitly bound policy variables define the data type and semantics of a variable. This determines how the variable is bound to a value in a condition or an action. Further instructions are provided for specifying data type and/or value constraints for implicitly bound variables.
暗黙的にバインドされたポリシー変数は、変数のデータ型とセマンティクスを定義します。これにより、変数が条件またはアクションの値にどのように拘束されるかが決まります。暗黙的にバインドされた変数のデータ型および/または値の制約を指定するためのさらなる指示が提供されています。
PCIMe introduces an abstract class, PolicyImplicitVariable, to model implicitly bound variables. This class is derived from the abstract class PolicyVariable also defined in PCIMe. Each of the implicitly bound variables introduced by PCIMe (and those that are introduced by domain- specific sub-models) MUST be derived from the PolicyImplicitVariable class. The rationale for using this mechanism for modeling is explained below in Section 5.8.9.
PCIMEは、暗黙的にバインドされた変数をモデル化するために、抽象クラスのPolicyImplicitVariableを導入します。このクラスは、PCIMEで定義されている抽象クラスPolicyVariableから派生しています。PCIMEによって導入された暗黙的にバインドされた変数(およびドメイン固有のサブモデルによって導入された変数)は、PolicyImplicitVariableクラスから導出される必要があります。モデリングにこのメカニズムを使用するための理論的根拠を、セクション5.8.9で説明します。
A domain-specific policy information model that extends PCIMe may define additional implicitly bound variables either by deriving them directly from the class PolicyImplicitVariable, or by further refining an existing variable class such as SourcePort. When refining a class such as SourcePort, existing binding rules, type or value constraints may be narrowed.
PCIMEを拡張するドメイン固有のポリシー情報モデルは、クラスのポリシーインプリティバリブルから直接導出するか、ソースポートなどの既存の変数クラスをさらに改良することにより、追加の暗黙的にバインドされた変数を定義できます。SourcePortなどのクラスを洗練する場合、既存の拘束力のあるルール、タイプ、または値の制約が狭くなる場合があります。
A class derived from PolicyImplicitVariable to model a particular implicitly bound variable SHOULD be constructed so that its name depicts the meaning of the variable. For example, a class defined to model the source port of a TCP/UDP flow SHOULD have 'SourcePort' in its name.
特定の暗黙的にバインドされた変数をモデル化するためにPolicyImplicitVariableから派生したクラスは、その名前が変数の意味を描写するように構築する必要があります。たとえば、TCP/UDPフローのソースポートをモデル化するために定義されたクラスには、その名前に「ソースポート」が必要です。
PCIMe defines one association and one general-purpose mechanism that together characterize each of the implicitly bound variables that it introduces:
PCIMEは、1つの関連性と、導入する暗黙的にバインドされた変数のそれぞれを一緒に特徴付ける1つの汎用メカニズムを定義します。
1. The ExpectedPolicyValuesForVariable association defines the set of value classes that could be matched to this variable.
1. 予想されるPolicyValuesForVariable Associationは、この変数に一致させることができる値クラスのセットを定義します。
2. The list of constraints on the values that the PolicyVariable can hold (i.e., values that the variable must match) are defined by the appropriate properties of an associated PolicyValue class.
2. PolicyVariableが保持できる値(つまり、変数が一致する値)が、関連するPolicyValueクラスの適切なプロパティによって定義される値に対する制約のリスト。
In the example presented above, a PolicyImplicitVariable represents the SourcePort of incoming traffic. The ValueTypes property of an instance of this class will hold the class name PolicyIntegerValue. This by itself constrains the data type of the SourcePort instance to be an integer. However, we can further constrain the particular values that the SourcePort variable can hold by entering valid ranges in the IntegerList property of the PolicyIntegerValue instance (0 - 65535 in this document).
上記の例では、PolicyImplicitVariableは、入ってくるトラフィックのソースポートを表しています。このクラスのインスタンスのValuETypesプロパティは、クラス名PolicyIntEgerValueを保持します。これ自体は、SourcePortインスタンスのデータ型を整数に制限します。ただし、SourcePort変数が保持できる特定の値をさらに制約することができます。PolicyIntegerValueインスタンス(このドキュメントの0-65535)の整数プロパティに有効な範囲を入力することができます。
The combination of the VariableName and the ExpectedPolicyValuesForVariable association provide a consistent and extensible set of metadata that define the semantics of variables that are used to form policy conditions. Since the ExpectedPolicyValuesForVariable association points to a PolicyValue instance, any of the values expressible in the PolicyValue class can be used to constrain values that the PolicyImplicitVariable can hold. For example:
variablenameと予想されるpolicyvalues forvariable Associationの組み合わせは、ポリシー条件を形成するために使用される変数のセマンティクスを定義する一貫した拡張可能なメタデータのセットを提供します。予想されるPolicyValuesforVariable AssociationはPolicyValueインスタンスを指しているため、PolicyValueクラスで表現できる値のいずれかを使用して、PolicyImplicitVariableが保持できる値を制限することができます。例えば:
o The ValueTypes property can be used to ensure that only proper classes are used in the expression. For example, the SourcePort variable will not be allowed to ever be of type PolicyIPv4AddrValue, since source ports have different semantics than IP addresses and may not be matched. However, integer value types are allowed as the property ValueTypes holds the string "PolicyIntegerValue", which is the class name for integer values.
o ValuETypesプロパティを使用して、式で適切なクラスのみが使用されるようにすることができます。たとえば、ソースポートはIPアドレスとは異なるセマンティクスを持っており、一致しない可能性があるため、SourcePort変数はPolicyIPV4ADDRValueのタイプになることは許可されません。ただし、プロパティValueTypesが文字列「PolicyIntegerValue」を保持しているため、整数値タイプは許可されます。これは、整数値のクラス名です。
o The ExpectedPolicyValuesForVariable association also ensures that variable-specific semantics are enforced (e.g., the SourcePort variable may include a constraint association to a value object defining a specific integer range that should be matched).
o また、予想されるPolicValues ForVariable Associationは、可変固有のセマンティクスが施行されることも保証します(たとえば、SourcePort変数には、一致すべき特定の整数範囲を定義する値オブジェクトへの制約関連を含めることができます)。
An implicitly bound variable can be modeled in one of several ways, including a single class with an enumerator for each individual implicitly bound variable and an abstract class extended for each individual variable. The reasons for using a class inheritance mechanism for specifying individual implicitly bound variables are these:
暗黙的にバインドされた変数は、いくつかの方法のいずれかでモデル化できます。これには、個々の暗黙的にバウンド変数ごとに列挙された単一のクラスと、個々の変数ごとに拡張された抽象クラスが含まれます。個々の暗黙的にバインドされた変数を指定するためにクラス継承メカニズムを使用する理由は次のとおりです。
1. It is easy to extend. A domain-specific information model can easily extend the PolicyImplicitVariable class or its subclasses to define domain-specific and context-specific variables. For example, a domain-specific QoS policy information model may introduce an implicitly bound variable class to model applications by deriving a qosApplicationVariable class from the PolicyImplicitVariable abstract class.
1. 拡張は簡単です。ドメイン固有の情報モデルは、PolicyImplicitVariableクラスまたはそのサブクラスを簡単に拡張して、ドメイン固有およびコンテキスト固有の変数を定義できます。たとえば、ドメイン固有のQoSポリシー情報モデルは、PolicyImplicitVariable AbstractクラスからQoSApplicationVariableクラスを導き出すことにより、暗黙的にバインドされた変数クラスをモデル化するためにアプリケーションをモデル化する場合があります。
2. Introduction of a single structural class for implicitly bound variables would have to include an enumerator property that contains all possible individual implicitly bound variables. This means that a domain-specific information model wishing to introduce an implicitly bound variable must extend the enumerator itself. This results in multiple definitions of the same class, differing in the values available in the enumerator class. One definition, in this document, would include the common implicitly bound variables' names, while a second definition, in the domain-specific information model document, may include additional values ('qosApplicationVariable' in the example above). It wouldn't even be obvious to the application developer that multiple class definitions existed. It would be harder still for the application developer to actually find the correct class to use.
2. 暗黙的にバインドされた変数のための単一の構造クラスの導入には、可能なすべての個々の暗黙的にバインドされた変数を含む列挙者プロパティを含める必要があります。これは、暗黙的にバインドされた変数を導入したいドメイン固有の情報モデルが、列挙器自体を拡張する必要があることを意味します。これにより、同じクラスの複数の定義が発生し、列挙クラスで利用可能な値が異なります。このドキュメントの1つの定義には、共通の暗黙的にバインドされた変数の名前が含まれますが、ドメイン固有の情報モデルドキュメントには、2番目の定義には追加の値が含まれます(上記の例には「qosapplicationvariable」)。アプリケーション開発者にとって、複数のクラス定義が存在することは明らかではありません。アプリケーション開発者が実際に使用する正しいクラスを実際に見つけることはまだ難しいでしょう。
3. In addition, an enumerator-based definition would require each additional value to be registered with IANA to ascertain adherence to standards. This would make the process cumbersome.
3. さらに、列挙者ベースの定義では、標準の順守を確認するために、各追加値をIANAに登録する必要があります。これにより、プロセスが面倒になります。
4. A possible argument against the inheritance mechanism would cite the fact that this approach results in an explosion of class definitions compared to an enumerator class, which only introduces a single class. While, by itself, this is not a strike against the approach, it may be argued that data models derived from this information model may be more difficult to optimize for applications. This argument is rejected on the grounds that application optimization is of lesser value for an information model than clarity and ease of extension. In addition, it is hard to claim that the inheritance model places an absolute burden on the optimization. For example, a data model may still use enumeration to denote instances of pre-defined variables and claim PCIMe compliance, as long as the data model can be mapped correctly to the definitions specified in this document.
4. 継承メカニズムに対する可能な議論は、このアプローチが単一のクラスのみを導入する列挙クラスと比較して、クラス定義の爆発をもたらすという事実を引用します。それ自体では、これはアプローチに対するストライキではありませんが、この情報モデルから派生したデータモデルはアプリケーションの最適化がより困難である可能性があると主張されるかもしれません。この議論は、アプリケーションの最適化は、明確さや延長の容易さよりも情報モデルにとって価値が低いという理由で拒否されます。さらに、継承モデルが最適化に絶対的な負担をかけると主張することは困難です。たとえば、データモデルをこのドキュメントで指定された定義に正しくマッピングできる限り、データモデルは、事前定義された変数のインスタンスを示し、PCIMEコンプライアンスを請求する列挙を使用してもあります。
The abstract class PolicyValue is used for modeling values and constants used in policy conditions. Different value types are derived from this class, to represent the various attributes required. Extensions of the abstract class PolicyValue, defined in this document, provide a list of values for basic network attributes. Values can be used to represent constants as named values. Named values can be kept in a reusable policy container to be reused by multiple conditions. Examples of constants include well-known ports, well-known protocols, server addresses, and other similar concepts.
抽象クラスのポリシーバリューは、ポリシー条件で使用される値と定数のモデリングに使用されます。必要なさまざまな属性を表すために、このクラスからさまざまな値タイプが導出されます。このドキュメントで定義されている抽象クラスPolicyValueの拡張は、基本的なネットワーク属性の値のリストを提供します。値を使用して、指名された値として定数を表すことができます。名前付き値は、複数の条件で再利用するために再利用可能なポリシーコンテナに保持できます。定数の例には、よく知られているポート、よく知られているプロトコル、サーバーアドレス、およびその他の同様の概念が含まれます。
The PolicyValue subclasses define three basic types of values: scalars, ranges and sets. For example, a well-known port number could be defined using the PolicyIntegerValue class, defining a single value (80 for HTTP), a range (80-88), or a set (80, 82, 8080) of ports, respectively. For details, please see the class definition for each value type in Section 6.14 of this document.
PolicyValueサブクラスは、スカラー、範囲、セットの3つの基本的なタイプの値を定義します。たとえば、よく知られているポート番号は、PolicyIntegerValueクラスを使用して定義でき、それぞれポートの単一値(80)、範囲(80-88)、またはセット(80、82、8080)を定義できます。詳細については、このドキュメントのセクション6.14の各値タイプのクラス定義を参照してください。
PCIMe defines the following subclasses of the abstract class PolicyValue:
PCIMEは、抽象クラスのポリシーバリューの次のサブクラスを定義します。
Classes for general use:
一般的な使用のためのクラス:
- PolicyStringValue, - PolicyIntegerValue, - PolicyBitStringValue - PolicyBooleanValue.
- PolicyStringValue、 - PolicyIntegerValue、 - PolicyBitStringValue -PolicyBooleanValue。
Classes for layer 3 Network values:
レイヤー3ネットワーク値のクラス:
- PolicyIPv4AddrValue, - PolicyIPv6AddrValue.
- policyipv4addrvalue、-policyipv6addrvalue。
Classes for layer 2 Network values:
レイヤー2ネットワーク値のクラス:
- PolicyMACAddrValue.
- PolicyMacadDrValue。
For details, please see the class definition section of each class in Section 6.14 of this document.
詳細については、このドキュメントのセクション6.14の各クラスのクラス定義セクションを参照してください。
PCIMe contains two mechanisms for representing packet filters. The more general of these, termed here the domain-level model, expresses packet filters in terms of policy variables and policy values. The other mechanism, termed here the device-level model, expresses packet filters in a way that maps more directly to the packet fields to which the filters are being applied. While it is possible to map between these two representations of packet filters, no mapping is provided in PCIMe itself.
PCIMEには、パケットフィルターを表すための2つのメカニズムが含まれています。ここではドメインレベルのモデルと呼ばれるこれらのより一般的なことは、ポリシー変数とポリシー値の観点からパケットフィルターを表します。ここでは、デバイスレベルのモデルと呼ばれる他のメカニズムは、フィルターが適用されているパケットフィールドをより直接マッピングする方法でパケットフィルターを表現します。これら2つのパケットフィルターの表現の間にマッピングすることは可能ですが、PCIME自体にマッピングは提供されていません。
In addition to filling in the holes in the overall Policy infrastructure, PCIMe proposes a single mechanism for expressing domain-level packet filters in policy conditions. This is being done in response to concerns that even though the initial "wave" of submodels derived from PCIM were all filtering on IP packets, each was doing it in a slightly different way. PCIMe proposes a common way to express IP packet filters. The following figure illustrates how packet-filtering conditions are expressed in PCIMe.
PCIMEは、ポリシーインフラストラクチャ全体の穴を埋めることに加えて、ポリシー条件でドメインレベルのパケットフィルターを表現するための単一のメカニズムを提案しています。これは、PCIMから派生したサブモデルの最初の「波」がすべてIPパケットでフィルタリングしていたとしても、それぞれがわずかに異なる方法でそれを行っていたという懸念に応じて行われています。PCIMEは、IPパケットフィルターを表現する一般的な方法を提案しています。次の図は、PCIMEでパケットフィルタリング条件がどのように表現されるかを示しています。
+---------------------------------+
| CompoundFilterCondition |
| - IsMirrored boolean |
| - ConditionListType (DNF|CNF) |
+---------------------------------+
+ + +
+ + +
+ + +
SimplePC SimplePC SimplePC
* @ * @ * @
* @ * @ * @
* @ * @ * @
FlowDirection "In" SrcIP <addr1> DstIP <addr2>
Aggregation Legend:
++++ PolicyConditionInPolicyCondition
**** PolicyVariableInSimplePolicyCondition
@@@@ PolicyValueInSimplePolicyCondition
Figure 9. Packet Filtering in Policy Conditions
図9.ポリシー条件でのパケットフィルタリング
In Figure 9., each SimplePolicyCondition represents a single field to be filtered on: Source IP address, Destination IP address, Source port, etc. An additional SimplePolicyCondition indicates the direction that a packet is traveling on an interface: inbound or outbound. Because of the FlowDirection condition, care must be taken in aggregating a set of SimplePolicyConditions into a CompoundFilterCondition. Otherwise, the resulting CompoundPolicyCondition may match all inbound packets, or all outbound packets, when this is probably not what was intended.
図9.では、各simplePolicyconditionは、ソースIPアドレス、宛先IPアドレス、ソースポートなどでフィルタリングする単一のフィールドを表します。追加の単純なポールコンディションは、パケットがインターフェイスで移動している方向を示します:インバウンドまたはアウトバウンド。流れ方向の条件のため、一連の単純なポールコンディショニングを複合機能条件に集約することに注意する必要があります。それ以外の場合、結果のCommonePolicyConditionは、おそらく意図されたものではない場合、すべてのインバウンドパケットまたはすべてのアウトバウンドパケットに一致する場合があります。
Individual SimplePolicyConditions may be negated when they are aggregated by a CompoundFilterCondition.
個々のsimplePolicyconditionは、CompoundFilterConditionによって集約されると否定される場合があります。
CompoundFilterCondition is a subclass of CompoundPolicyCondition. It introduces one additional property, the Boolean property IsMirrored. The purpose of this property is to allow a single CompoundFilterCondition to match packets traveling in both directions on a higher-level connection such as a TCP session. When this property is TRUE, additional packets match a filter, beyond those that would ordinarily match it. An example will illustrate how this property works.
CompountFilterConditionは、CommonePolicyConditionのサブクラスです。1つの追加プロパティ、ブールプロパティISMIRROREDを導入します。このプロパティの目的は、単一の化合物フィルターコンディションが、TCPセッションなどの高レベルの接続で両方向に移動するパケットに一致するようにすることです。このプロパティがTrueの場合、追加のパケットは、通常、それと一致するものを超えてフィルターと一致します。例では、このプロパティの仕組みを示します。
Suppose we have a CompoundFilterCondition that aggregates the following three filters, which are ANDed together:
次の3つのフィルターを集約するCompountFilterConditionがあるとします。
o FlowDirection = "In" o Source IP = 9.1.1.1 o Source Port = 80
o flowdirection = "in" oソースIP = 9.1.1.1 oソースポート= 80
Regardless of whether IsMirrored is TRUE or FALSE, inbound packets will match this CompoundFilterCondition if their Source IP address = 9.1.1.1 and their Source port = 80. If IsMirrored is TRUE, however, an outbound packet will also match the CompoundFilterCondition if its Destination IP address = 9.1.1.1 and its Destination port = 80.
IsmirroredがTrueまたはFalseであるかどうかに関係なく、インバウンドパケットは、ソースIPアドレス= 9.1.1.1とソースポート= 80の場合、このCompleationFilterConditionと一致します。アドレス= 9.1.1.1およびその宛先ポート= 80。
IsMirrored "flips" the following Source/Destination packet header fields:
ismirrored次のソース/宛先パケットヘッダーフィールドを「フリップ」します。
o FlowDirection "In" / FlowDirection "Out" o Source IP address / Destination IP address o Source port / Destination port o Source MAC address / Destination MAC address o Source [layer-2] SAP / Destination [layer-2] SAP.
o FlowDirection " / flowdirection" out "oソースIPアドレス /宛先IPアドレスoソースポート /宛先ポートOソースMacアドレス /宛先Macアドレスoソース[レイヤー2] SAP /宛先[レイヤー2] SAP。
At the device level, packet header filters are represented by two subclasses of the abstract class FilterEntryBase: IpHeadersFilter and 8021Filter. Submodels of PCIMe may define other subclasses of FilterEntryBase in addition to these two; ICPM [12], for example, defines subclasses for IPsec-specific filters.
デバイスレベルでは、パケットヘッダーフィルターは、抽象クラスFilterentryBaseの2つのサブクラス(iPheadersFilterと8021Filter)で表されます。PCIMEのサブモデルは、これら2つに加えて、FilterEntryBaseの他のサブクラスを定義できます。たとえば、ICPM [12]は、IPSEC固有のフィルターのサブクラスを定義します。
Instances of the subclasses of FilterEntryBase are not used directly as filters. They are always aggregated into a FilterList, by the aggregation EntriesInFilterList. For PCIMe and its submodels, the EntrySequence property in this aggregation always takes its default value '0', indicating that the aggregated filter entries are ANDed together.
Filterentrybaseのサブクラスのインスタンスは、フィルターとして直接使用されません。それらは常に、集約entriesInfilterListによって、常にフィルターリストに集約されます。PCIMEとそのサブモデルの場合、この集約のエントリシーケンスプロパティは、常にデフォルト値「0」を取得し、集約されたフィルターエントリが一緒にAndEdであることを示します。
The FilterList class includes an enumeration property Direction, representing the direction of the traffic flow to which the FilterList is to be applied. The value Mirrored(4) for Direction represents exactly the same thing as the IsMirrored boolean does in CompoundFilterCondition. See Section 5.9.1 for details.
FilterListクラスには、フィルターリストが適用されるトラフィックフローの方向を表す列挙プロパティの方向が含まれています。方向の値(4)は、ISMirrored Booleanが複合機能条件で行うのとまったく同じことを表します。詳細については、セクション5.9.1を参照してください。
Because PCIM and PCIMe provide the core classes for modeling policies, they are not in general sufficient by themselves for representing actual policy rules. Submodels, such as QPIM and ICPM, provide the means for expressing policy rules, by defining subclasses of the classes defined in PCIM and PCIMe, and/or by indicating how the PolicyVariables and PolicyValues defined in PCIMe can be used to express conditions and actions applicable to the submodel.
PCIMとPCIMEは、ポリシーをモデリングするためのコアクラスを提供するため、実際のポリシールールを表すために一般的には十分ではありません。QPIMやICPMなどのサブモデルは、PCIMおよびPCIMEで定義されているクラスのサブクラスを定義し、PCIMEで定義されているポリシーバブルとポリシー値を使用して適用可能な条件とアクションを表現する方法を示すことにより、ポリシールールを表現する手段を提供します。サブモデルに。
A particular submodel will not, in general, need to use every element defined in PCIM and PCIMe. For the elements it does not use, a submodel SHOULD remain silent on whether its implementations must support the element, must not support the element, should support the element, etc. For the elements it does use, a submodel SHOULD indicate which elements its implementations must support, which elements they should support, and which elements they may support.
特定のサブモデルは、一般に、PCIMとPCIMEで定義されたすべての要素を使用する必要はありません。使用しない要素の場合、サブモデルは、その実装が要素をサポートする必要があるかどうか、要素をサポートしてはならないか、要素をサポートする必要があるかどうかについて沈黙する必要があります。サポートする必要がある要素と、どの要素がサポートできるかをサポートする必要があります。
PCIM and PCIMe themselves simply define elements that may be of use to submodels. These documents remain silent on whether implementations are required to support an element, should support it, etc.
PCIMとPCIME自体は、サブモデルに使用できる要素を定義するだけです。これらのドキュメントは、要素をサポートするために実装が必要かどうか、それをサポートする必要があるかどうかについて沈黙しています。
This model (and derived submodels) defines conditions and actions that are used by policy rules. While the conditions and actions defined herein are straightforward and may be presumed to be widely supported, as submodels are developed it is likely that situations will arise in which specific conditions or actions are not supported by some part of the policy execution system. Similarly, situations may also occur where rules contain syntactic or semantic errors.
このモデル(および派生サブモデル)は、ポリシールールで使用される条件とアクションを定義します。ここで定義されている条件と行動は簡単であり、広くサポートされていると推定されるかもしれませんが、サブモデルが開発されているため、ポリシー実行システムの一部によって特定の条件またはアクションがサポートされていない状況が発生する可能性があります。同様に、ルールに構文エラーまたはセマンティックエラーが含まれている場合にも状況が発生する可能性があります。
It should be understood that the behavior and effect of undefined or incorrectly defined conditions or actions is not prescribed by this information model. While it would be helpful if it were prescribed, the variations in implementation restrict the ability for this information model to control the effect. For example, if an implementation only detected that a PEP could not enforce a given action on that PEP, it would be very difficult to declare that such a failure should affect other PEPs, or the PDP process. On the other hand, if the PDP determines that it cannot properly evaluate a condition, that failure may well affect all applications of the containing rules.
未定義または誤って定義された条件またはアクションの行動と効果は、この情報モデルによって規定されていないことを理解する必要があります。規定されている場合は役立ちますが、実装の変動により、この情報モデルが効果を制御する能力が制限されます。たとえば、PEPがそのPEPの特定のアクションを強制できないことのみが実装で検出された場合、そのような障害は他のPEPまたはPDPプロセスに影響することを宣言することは非常に困難です。一方、PDPが条件を適切に評価できないと判断した場合、障害は含まれるルールのすべてのアプリケーションに大きく影響する可能性があります。
The following definitions supplement those in PCIM itself. PCIM definitions that are not DEPRECATED here are still current parts of the overall Policy Core Information Model.
次の定義は、PCIM自体の定義を補完します。ここで非推奨されていないPCIM定義は、全体的なポリシーコア情報モデルの現在の部分です。
PolicySet is an abstract class that may group policies into a structured set of policies.
Policysetは、構造化されたポリシーセットにポリシーをグループ化できる抽象クラスです。
NAME PolicySet DESCRIPTION An abstract class that represents a set of policies that form a coherent set. The set of contained policies has a common decision strategy and a common set of policy roles. Subclasses include PolicyGroup and PolicyRule. DERIVED FROM Policy ABSTRACT TRUE PROPERTIES PolicyDecisionStrategy PolicyRoles
名前ポリシー説明コヒーレントセットを形成する一連のポリシーを表す抽象クラス。含まれるポリシーのセットには、共通の決定戦略と共通のポリシー役割セットがあります。サブクラスには、PolicyGroupとPolicyruleが含まれます。ポリシーから派生した真のプロパティポリシーデシジョン戦略ポリシーロール
The PolicyDecisionStrategy property specifies the evaluation method for policy groups and rules contained within the policy set.
PolicyDecisionsTrategyプロパティは、ポリシーセットに含まれるポリシーグループと規則の評価方法を指定します。
NAME PolicyDecisionStrategy
DESCRIPTION The evaluation method used for policies contained in
the PolicySet. FirstMatching enforces the actions
of the first rule that evaluates to TRUE;
All Matching enforces the actions of all rules
that evaluate to TRUE.
SYNTAX uint16
VALUES 1 [FirstMatching], 2 [AllMatching]
DEFAULT VALUE 1 [FirstMatching]
The definition of PolicyRoles is unchanged from PCIM. It is, however, moved from the class Policy up to the superclass PolicySet.
PolicyRolesの定義は、PCIMから変更されていません。ただし、クラスポリシーからスーパークラスのポリシーに移動します。
The PolicyGroup class is moved, so that it is now derived from PolicySet.
PolicyGroupクラスは移動されているため、Policysetから派生しています。
NAME PolicyGroup DESCRIPTION A container for a set of related PolicyRules and PolicyGroups. DERIVED FROM PolicySet ABSTRACT FALSE PROPERTIES (none)
名前ポリシーグループの説明関連する政策とポリシーグループのセットのコンテナ。Policyset Abstract Falseプロパティから派生した(なし)
The PolicyRule class is moved, so that it is now derived from PolicySet. The Priority property is also deprecated in PolicyRule, and PolicyRoles is now inherited from the parent class PolicySet. Finally, a new property ExecutionStrategy is introduced, paralleling the property of the same name in the class CompoundPolicyAction.
Policyruleクラスは移動されるため、現在はPolicysetに由来しています。優先財産はPolicyruleでも非推奨であり、Policyrolesは現在、親クラスのPolicysetから継承されています。最後に、クラスの複合ポリティク症の同じ名前のプロパティに並行して、新しいプロパティexecutionsTrategyが導入されます。
NAME PolicyRule DESCRIPTION The central class for representing the "If Condition then Action" semantics associated with a policy rule. DERIVED FROM PolicySet ABSTRACT FALSE PROPERTIES Enabled ConditionListType RuleUsage Priority DEPRECATED FOR PolicySetComponent.Priority AND FOR PolicySetInSystem.Priority Mandatory SequencedActions ExecutionStrategy
名前policyrule説明「if条件then action」セマンティクスをポリシールールに関連付ける中央クラス。PolicySetから導出された誤ったプロパティは、PolicySetComponent.proirityおよびPolicySetinsystem.priorityの必須のシーケンス式のために除外された条件リストのRuleusage Ruleusageの優先度の優先度を有効にしました。
The property ExecutionStrategy defines the execution strategy to be used upon the sequenced actions aggregated by this PolicyRule. (An equivalent ExecutionStrategy property is also defined for the CompoundPolicyAction class, to provide the same indication for the sequenced actions aggregated by a CompoundPolicyAction.) This document defines three execution strategies:
プロパティ実行戦略は、このPolicyruleによって集約されたシーケンスされたアクションに使用される実行戦略を定義します。(CommonePolicyycationクラスでは、CommonePolicycactionによって同じ指示を提供するために、ComplementPolicyycactionクラスの同等の実行戦略プロパティも定義されています。)このドキュメントは、3つの実行戦略を定義します。
Do Until Success - execute actions according to predefined order, until successful execution of a single action. Do All - execute ALL actions which are part of the modeled set, according to their predefined order. Continue doing this, even if one or more of the actions fails.
成功まで行う - 単一のアクションの実行が成功するまで、事前定義された順序に従ってアクションを実行します。すべてを実行します - 事前定義された順序に従って、モデルされたセットの一部であるすべてのアクションを実行します。1つ以上のアクションが失敗したとしても、これを続けます。
Do Until Failure - execute actions according to predefined order, until the first failure in execution of a single sub-action.
障害まで行う - 単一のサブアクションの実行の最初の障害まで、事前定義された順序に従ってアクションを実行します。
The property definition is as follows:
プロパティ定義は次のとおりです。
NAME ExecutionStrategy
DESCRIPTION An enumeration indicating how to interpret the
action ordering for the actions aggregated by this
PolicyRule.
SYNTAX uint16 (ENUM, {1=Do Until Success, 2=Do All, 3=Do
Until Failure} )
DEFAULT VALUE Do All (2)
A simple policy condition is composed of an ordered triplet:
単純なポリシー条件は、順序付けられたトリプレットで構成されています。
<Variable> MATCH <Value>
No formal modeling of the MATCH operator is provided. The 'match' relationship is implied. Such simple conditions are evaluated by answering the question:
マッチオペレーターの正式なモデリングは提供されていません。「一致」の関係が暗示されています。このような単純な条件は、質問に答えることによって評価されます。
Does <variable> match <value>?
The 'match' relationship is to be interpreted by analyzing the variable and value instances associated with the simple condition.
「一致」関係は、単純な条件に関連する変数と値のインスタンスを分析することにより解釈されることになります。
Simple conditions are building blocks for more complex Boolean Conditions, modeled by the CompoundPolicyCondition class.
単純な条件は、CommonePolicyconditionクラスによってモデル化された、より複雑なブール条件の構成要素です。
The SimplePolicyCondition class is derived from the PolicyCondition class defined in PCIM.
SimplePolicyconditionクラスは、PCIMで定義されたPolicyConditionクラスから派生しています。
A variable and a value must be associated with a simple condition to make it a meaningful condition, using, respectively, the aggregations PolicyVariableInSimplePolicyCondition and PolicyValueInSimplePolicyCondition.
変数と値は、それをそれぞれPolicyVariaiveInsimplepolicyconditionとPolicyValueInsimplePolicyconditionを使用して、それを意味のある条件にするための単純な条件に関連付けられなければなりません。
The class definition is as follows:
クラスの定義は次のとおりです。
NAME SimplePolicyCondition DERIVED FROM PolicyCondition ABSTRACT False PROPERTIES (none)
名前のsimplePolicycondition Policycondition Abstract Falseプロパティから派生した(なし)
This class represents a compound policy condition, formed by aggregation of simpler policy conditions.
このクラスは、より単純な政策条件の集約によって形成される複合政策条件を表します。
NAME CompoundPolicyCondition DESCRIPTION A subclass of PolicyCondition that introduces the ConditionListType property, used for assigning DNF / CNF semantics to subordinate policy conditions. DERIVED FROM PolicyCondition ABSTRACT FALSE PROPERTIES ConditionListType
名前化CompountPolicyconditionの説明DNF / CNFセマンティクスを下位ポリシー条件に割り当てるために使用されるConditionListTypeプロパティを導入するPolicyConditionのサブクラス。Policycondition Abstract falseプロパティconditionListtypeから導出されました
The ConditionListType property is used to specify whether the list of policy conditions associated with this compound policy condition is in disjunctive normal form (DNF) or conjunctive normal form (CNF). If this property is not present, the list type defaults to DNF. The property definition is as follows:
ConditionListTypeプロパティは、この複合政策条件に関連するポリシー条件のリストが分離法の正常形態(DNF)または接続詞正常形式(CNF)であるかどうかを指定するために使用されます。このプロパティが存在しない場合、リストタイプはDNFにデフォルトです。プロパティ定義は次のとおりです。
NAME ConditionListType
DESCRIPTION Indicates whether the list of policy conditions
associated with this policy rule is in disjunctive
normal form (DNF) or conjunctive normal form (CNF).
SYNTAX uint16
VALUES DNF(1), CNF(2)
DEFAULT VALUE DNF(1)
This subclass of CompoundPolicyCondition introduces one additional property, the boolean IsMirrored. This property turns on or off the "flipping" of corresponding source and destination fields in a filter specification.
このCommutionPolicyconditionのこのサブクラスは、1つの追加のプロパティであるブールイスミルロードを導入します。このプロパティは、フィルター仕様の対応するソースフィールドと宛先フィールドの「フリッピング」をオンまたはオフにします。
NAME CompoundFilterCondition DESCRIPTION A subclass of CompoundPolicyCondition that introduces the IsMirrored property. DERIVED FROM CompoundPolicyCondition ABSTRACT FALSE PROPERTIES IsMirrored
名前化CompountFilterConditionの説明ISMIRROREDプロパティを導入するCommonePolicyConditionのサブクラス。化合物から派生した抽象的な偽のプロパティから派生した
The IsMirrored property indicates whether packets that "mirror" a
compound filter condition should be treated as matching the filter.
The property definition is as follows:
NAME IsMirrored
DESCRIPTION Indicates whether packets that mirror the specified
filter are to be treated as matching the filter.
SYNTAX boolean
DEFAULT VALUE FALSE
The SimplePolicyAction class models the elementary set operation. "SET <variable> TO <value>". The set operator MUST overwrite an old value of the variable.
SimplePolicyActionクラスは、初等セット操作をモデル化します。「<variable>から<value>を設定します」。セット演算子は、変数の古い値を上書きする必要があります。
Two aggregations are used in order to create the pair <variable> <value>. The aggregation PolicyVariableInSimplePolicyAction relates a SimplePolicyAction to a single variable instance. Similarly, the aggregation PolicyValueInSimplePolicyAction relates a SimplePolicyAction to a single value instance. Both aggregations are defined in this document.
ペア<variable> <value>を作成するために、2つの集約が使用されます。Aggregation PolicyVariableInsimplePolicyactionは、SimplePolicyactionを単一の変数インスタンスに関連付けます。同様に、集約PolicyValueInsimplePolicyactionは、SimplePolicyactionを単一の値インスタンスに関連付けます。両方の集約は、このドキュメントで定義されています。
NAME SimplePolicyAction DESCRIPTION A subclass of PolicyAction that introduces the notion of "SET variable TO value". DERIVED FROM PolicyAction ABSTRACT FALSE PROPERTIES (none)
名前SimplePolicyActionの説明「ValuaiableをValuaibleに設定する」という概念を導入するポリシーのサブクラス。Policyaction Abstract Falseプロパティから派生した(なし)
The CompoundPolicyAction class is used to represent an expression consisting of an ordered sequence of action terms. Each action term is represented as a subclass of the PolicyAction class, defined in [PCIM]. Compound actions are constructed by associating dependent action terms together using the PolicyActionInPolicyAction aggregation.
CompountPolicyActionクラスは、順序付けられた一連のアクション用語で構成される式を表すために使用されます。各アクション用語は、[PCIM]で定義されているポリシークラスのサブクラスとして表されます。複合動作は、PolicycactionInpolicyactionの集約を使用して、従属アクション用語を一緒に関連付けることによって構築されます。
The class definition is as follows:
クラスの定義は次のとおりです。
NAME CompoundPolicyAction DESCRIPTION A class for representing sequenced action terms. Each action term is defined to be a subclass of the PolicyAction class. DERIVED FROM PolicyAction ABSTRACT FALSE PROPERTIES SequencedActions ExecutionStrategy
名前化CompountPolicyAction説明シーケンスされたアクション用語を表すためのクラス。各アクション用語は、ポリシークラスのサブクラスであると定義されています。Policyactionから派生した誤った誤ったプロパティシーケンスされた実行戦略
This is a concrete class, and is therefore directly instantiable.
これは具体的なクラスであるため、直接瞬時にあります。
The Property SequencedActions is identical to the SequencedActions property defined in PCIM for the class PolicyRule.
プロパティシーケンス式は、クラスPolicyruleのPCIMで定義されているシーケンス型プロパティと同一です。
The property ExecutionStrategy defines the execution strategy to be used upon the sequenced actions associated with this compound action. (An equivalent ExecutionStrategy property is also defined for the PolicyRule class, to provide the same indication for the sequenced actions associated with a PolicyRule.) This document defines three execution strategies:
Property ExectionsTrategyは、この複合アクションに関連するシーケンスされたアクションに使用される実行戦略を定義します。(Policyruleクラスでは、同等の実行戦略プロパティも定義されており、Policyruleに関連付けられたシーケンスされたアクションに同じ表示を提供します。)このドキュメントは、3つの実行戦略を定義します。
Do Until Success - execute actions according to predefined order, until successful execution of a single sub-action. Do All - execute ALL actions which are part of the modeled set, according to their predefined order. Continue doing this, even if one or more of the sub-actions fails. Do Until Failure - execute actions according to predefined order, until the first failure in execution of a single sub-action.
成功まで行う - 単一のサブアクションの実行が成功するまで、事前定義された順序に従ってアクションを実行します。すべてを実行します - 事前定義された順序に従って、モデルされたセットの一部であるすべてのアクションを実行します。サブアクションの1つ以上が失敗したとしても、これを続けます。障害まで行う - 単一のサブアクションの実行の最初の障害まで、事前定義された順序に従ってアクションを実行します。
Since a CompoundPolicyAction may itself be aggregated either by a PolicyRule or by another CompoundPolicyAction, its success or failure will be an input to the aggregating entity's execution strategy. Consequently, the following rules are specified, for determining whether a CompoundPolicyAction succeeds or fails:
化合物のポリかり自体は、Policyruleまたは別の化合物のYactionによって集約される可能性があるため、その成功または失敗は、総合的なエンティティの実行戦略への入力となります。したがって、化合物のポリシア症が成功または失敗するかどうかを判断するために、次のルールが指定されています。
If the CompoundPolicyAction's ExecutionStrategy is Do Until Success, then:
CompleatePolicyactionの実行戦略が成功まで行われている場合、次のようになります。
o If one component action succeeds, then the CompoundPolicyAction succeeds. o If all component actions fail, then the CompoundPolicyAction fails.
o 1つのコンポーネントアクションが成功した場合、CompountPolicyactionは成功します。oすべてのコンポーネントアクションが失敗した場合、CommonePolicyactionは失敗します。
If the CompoundPolicyAction's ExecutionStrategy is Do All, then:
compleationPolicyactionのexecutionstrategyがすべてを実行している場合、次のとおりです。
o If all component actions succeed, then the CompoundPolicyAction succeeds. o If at least one component action fails, then the CompoundPolicyAction fails.
o すべてのコンポーネントアクションが成功した場合、CompountPolicyactionは成功します。o少なくとも1つのコンポーネントアクションが失敗した場合、CommonePolicyactionは失敗します。
If the CompoundPolicyAction's ExecutionStrategy is Do Until Failure, then:
ComplearPolicyActionのexecutionsTrategyが失敗するまで実行される場合、次のとおりです。
o If all component actions succeed, then the CompoundPolicyAction succeeds. o If at least one component action fails, then the CompoundPolicyAction fails.
o すべてのコンポーネントアクションが成功した場合、CompountPolicyactionは成功します。o少なくとも1つのコンポーネントアクションが失敗した場合、CommonePolicyactionは失敗します。
The definition of the ExecutionStrategy property is as follows:
execionstrategyプロパティの定義は次のとおりです。
NAME ExecutionStrategy
DESCRIPTION An enumeration indicating how to interpret the
action ordering for the actions aggregated by this
CompoundPolicyAction.
SYNTAX uint16 (ENUM, {1=Do Until Success, 2=Do All, 3=Do
Until Failure} )
DEFAULT VALUE Do All (2)
Variables are used for building individual conditions. The variable specifies the property of a flow or an event that should be matched when evaluating the condition. However, not every combination of a variable and a value creates a meaningful condition. For example, a source IP address variable can not be matched against a value that specifies a port number. A given variable selects the set of matchable value types.
変数は、個々の条件を構築するために使用されます。変数は、条件を評価するときに一致する必要があるフローまたはイベントの特性を指定します。ただし、変数と値のすべての組み合わせが意味のある条件を作成するわけではありません。たとえば、ソースIPアドレス変数は、ポート番号を指定する値と一致させることはできません。特定の変数は、一致可能な値タイプのセットを選択します。
A variable can have constraints that limit the set of values within a particular value type that can be matched against it in a condition. For example, a source-port variable limits the set of values to represent integers to the range of 0-65535. Integers outside this range cannot be matched to the source-port variable, even though they are of the correct data type. Constraints for a given variable are indicated through the ExpectedPolicyValuesForVariable association.
変数には、特定の値タイプ内の値のセットを条件で一致させることができる制約を持つことができます。たとえば、ソースポート変数は、値のセットを制限して、整数を0-65535の範囲に表します。この範囲外の整数は、正しいデータ型であるにしても、ソースポート変数と一致することはできません。特定の変数の制約は、予想されるpolicyvalues forvariable Associationを通じて示されます。
The PolicyVariable is an abstract class. Implicit and explicit context variable classes are defined as sub classes of the PolicyVariable class. A set of implicit variables is defined in this document as well.
PolicyVariableは抽象的なクラスです。暗黙的および明示的なコンテキスト変数クラスは、PolicyVariableクラスのサブクラスとして定義されます。このドキュメントでは、暗黙の変数のセットも定義されています。
The class definition is as follows:
クラスの定義は次のとおりです。
NAME PolicyVariable DERIVED FROM Policy ABSTRACT TRUE PROPERTIES (none)
ポリシーから派生した名前のpolicyvariable抽象的な真のプロパティ(なし)
Explicitly defined policy variables are evaluated within the context of the CIM Schema and its modeling constructs. The PolicyExplicitVariable class indicates the exact model property to be evaluated or manipulated. See Section 5.8.6 for a complete discussion of what happens when the values of the ModelClass and ModelProperty properties in an instance of this class do not correspond to the characteristics of the model construct being evaluated or updated.
明示的に定義されたポリシー変数は、CIMスキーマとそのモデリング構成のコンテキスト内で評価されます。PolicyExplicitVariableクラスは、評価または操作される正確なモデルプロパティを示します。このクラスの例のモデルクラスとモデルプロパティのプロパティの値が、評価または更新されるモデルコンストラクトの特性に対応しない場合、セクション5.8.6を参照してください。
The class definition is as follows:
クラスの定義は次のとおりです。
NAME PolicyExplicitVariable DERIVED FROM PolicyVariable ABSTRACT False PROPERTIES ModelClass, ModelProperty
名前PolicyExplicitVariaible PolicyVariable Abstract Falles Properties ModelClass、ModelPropertyから派生
This property is a string specifying the class name whose property is evaluated or set as a PolicyVariable.
このプロパティは、プロパティが評価されるか、PolicyVariableとして設定されたクラス名を指定する文字列です。
The property is defined as follows:
プロパティは次のように定義されています。
NAME ModelClass
SYNTAX String
This property is a string specifying the property name, within the ModelClass, which is evaluated or set as a PolicyVariable. The property is defined as follows:
このプロパティは、ModelClass内のプロパティ名を指定する文字列であり、PolicyVariableとして評価または設定されています。プロパティは次のように定義されています。
NAME ModelProperty
SYNTAX String
Implicitly defined policy variables are evaluated outside of the context of the CIM Schema and its modeling constructs. Subclasses specify the data type and semantics of the PolicyVariables.
暗黙的に定義されたポリシー変数は、CIMスキーマとそのモデリング構成のコンテキストの外で評価されます。サブクラスは、ポリシー変数のデータ型とセマンティクスを指定します。
Interpretation and evaluation of a PolicyImplicitVariable can vary, depending on the particular context in which it is used. For example, a "SourceIP" address may denote the source address field of an IP packet header, or the sender address delivered by an RSVP PATH message.
Policimplicitvariableの解釈と評価は、使用されている特定のコンテキストによって異なります。たとえば、「sourceip」アドレスは、IPパケットヘッダーのソースアドレスフィールド、またはRSVPパスメッセージによって配信される送信者アドレスを示す場合があります。
The class definition is as follows:
クラスの定義は次のとおりです。
NAME PolicyImplicitVariable DERIVED FROM PolicyVariable ABSTRACT True PROPERTIES ValueTypes[ ]
Policyvariable Abstract True Propertiesから派生した名前のpolicyimplicitvariable ValueTypes []
This property is a set of strings specifying an unordered list of possible value/data types that can be used in simple conditions and actions, with this variable. The value types are specified by their class names (subclasses of PolicyValue such as PolicyStringValue). The list of class names enables an application to search on a specific name, as well as to ensure that the data type of the variable is of the correct type.
このプロパティは、この変数を使用して、単純な条件とアクションで使用できる可能性のある値/データ型の順序付けられていないリストを指定する一連の文字列です。値タイプは、クラス名(PolicyStringValueなどのPolicyValueのサブクラス)によって指定されます。クラス名のリストを使用すると、アプリケーションが特定の名前で検索し、変数のデータ型が正しいタイプであることを確認することができます。
The list of default ValueTypes for each subclass of PolicyImplicitVariable is specified within that variable's definition.
PolicyImplicitVariableの各サブクラスのデフォルトのValueTypeのリストは、その変数の定義内で指定されています。
The property is defined as follows:
プロパティは次のように定義されています。
NAME ValueTypes
SYNTAX String
The following subclasses of PolicyImplicitVariable are defined in PCIMe.
次のPolicyImplicitVariableのサブクラスは、PCIMEで定義されています。
NAME PolicySourceIPv4Variable DESCRIPTION The source IPv4 address. of the outermost IP packet header. "Outermost" here refers to the IP packet as it flows on the wire, before any headers have been stripped from it.
名前policySourceipv4variable説明ソースIPv4アドレス。最も外側のIPパケットヘッダーの。ここの「外側」は、ヘッダーがそこから剥がれる前に、ワイヤー上に流れるときのIPパケットを指します。
ALLOWED VALUE TYPES: - PolicyIPv4AddrValue
許可された値タイプ:-PolicyIPV4ADDRValue
DERIVED FROM PolicyImplicitVariable ABSTRACT FALSE PROPERTIES (none)
policyimplicitvariaible抽象的な偽のプロパティから派生した(なし)
NAME PolicySourceIPv6Variable DESCRIPTION The source IPv6 address of the outermost IP packet header. "Outermost" here refers to the IP packet as it flows on the wire, before any headers have been stripped from it.
名前PolicySourceIPv6Variable説明最も外側のIPパケットヘッダーのソースIPv6アドレス。ここの「外側」は、ヘッダーがそこから剥がれる前に、ワイヤー上に流れるときのIPパケットを指します。
ALLOWED VALUE TYPES: - PolicyIPv6AddrValue
許可された値タイプ:-PolicyIPV6AddrValue
DERIVED FROM PolicyImplicitVariable ABSTRACT FALSE PROPERTIES (none)
policyimplicitvariaible抽象的な偽のプロパティから派生した(なし)
NAME PolicyDestinationIPv4Variable DESCRIPTION The destination IPv4 address of the outermost IP packet header. "Outermost" here refers to the IP packet as it flows on the wire, before any headers have been stripped from it.
名前policydestinationipv4variable説明最も外側のIPパケットヘッダーの宛先IPv4アドレス。ここの「外側」は、ヘッダーがそこから剥がれる前に、ワイヤー上に流れるときのIPパケットを指します。
ALLOWED VALUE TYPES: - PolicyIPv4AddrValue
許可された値タイプ:-PolicyIPV4ADDRValue
DERIVED FROM PolicyImplicitVariable ABSTRACT FALSE PROPERTIES (none)
policyimplicitvariaible抽象的な偽のプロパティから派生した(なし)
NAME PolicyDestinationIPv6Variable DESCRIPTION The destination IPv6 address of the outermost IP packet header. "Outermost" here refers to the IP packet as it flows on the wire, before any headers have been stripped from it.
名前policydestinationipv6variable説明最も外側のIPパケットヘッダーの宛先IPv6アドレス。ここの「外側」は、ヘッダーがそこから剥がれる前に、ワイヤー上に流れるときのIPパケットを指します。
ALLOWED VALUE TYPES: - PolicyIPv6AddrValue
許可された値タイプ:-PolicyIPV6AddrValue
DERIVED FROM PolicyImplicitVariable ABSTRACT FALSE PROPERTIES (none)
policyimplicitvariaible抽象的な偽のプロパティから派生した(なし)
NAME PolicySourcePortVariable DESCRIPTION Ports are defined as the abstraction that transport protocols use to distinguish among multiple destinations within a given host computer. For TCP and UDP flows, the PolicySourcePortVariable is logically bound to the source port field of the outermost UDP or TCP packet header. "Outermost" here refers to the IP packet as it flows on the wire, before any headers have been stripped from it. ALLOWED VALUE TYPES: - PolicyIntegerValue (0..65535)
名前PolicySourcePortVariable説明ポートは、特定のホストコンピューター内の複数の宛先を区別するために輸送プロトコルが使用する抽象化として定義されます。TCPおよびUDPフローの場合、PolicySourcePortVariableは、最も外側のUDPまたはTCPパケットヘッダーのソースポートフィールドに論理的に結合されます。ここの「外側」は、ヘッダーがそこから剥がれる前に、ワイヤー上に流れるときのIPパケットを指します。許可された値タイプ:-PolicyIntegerValue(0..65535)
DERIVED FROM PolicyImplicitVariable ABSTRACT FALSE PROPERTIES (none)
policyimplicitvariaible抽象的な偽のプロパティから派生した(なし)
NAME PolicyDestinationPortVariable DESCRIPTION Ports are defined as the abstraction that transport protocols use to distinguish among multiple destinations within a given host computer. For TCP and UDP flows, the PolicyDestinationPortVariable is logically bound to the destination port field of the outermost UDP or TCP packet header. "Outermost" here refers to the IP packet as it flows on the wire, before any headers have been stripped from it.
名前PolicyDestinationPortVariable説明ポートは、特定のホストコンピューター内の複数の宛先を区別するために輸送プロトコルが使用する抽象化として定義されます。TCPおよびUDPフローの場合、PolicyDestinationPortVariableは、最も外側のUDPまたはTCPパケットヘッダーの宛先ポートフィールドに論理的にバインドされています。ここの「外側」は、ヘッダーがそこから剥がれる前に、ワイヤー上に流れるときのIPパケットを指します。
ALLOWED VALUE TYPES: - PolicyIntegerValue (0..65535)
許可された値タイプ:-PolicyIntegerValue(0..65535)
DERIVED FROM PolicyImplicitVariable ABSTRACT FALSE PROPERTIES (none)
policyimplicitvariaible抽象的な偽のプロパティから派生した(なし)
NAME PolicyIPProtocolVariable DESCRIPTION The IP protocol number.
名前PolicyIpprotoColvariable説明IPプロトコル番号。
ALLOWED VALUE TYPES: - PolicyIntegerValue (0..255)
許可された値タイプ:-PolicyIntegerValue(0..255)
DERIVED FROM PolicyImplicitVariable ABSTRACT FALSE PROPERTIES (none)
policyimplicitvariaible抽象的な偽のプロパティから派生した(なし)
NAME PolicyIPVersionVariable DESCRIPTION The IP version number. The well-known values are 4 and 6.
名前PolicyIpversionVariable説明IPバージョン番号。よく知られている値は4と6です。
ALLOWED VALUE TYPES: - PolicyIntegerValue (0..15)
許可された値タイプ:-PolicyIntegerValue(0..15)
DERIVED FROM PolicyImplicitVariable ABSTRACT FALSE PROPERTIES (none)
policyimplicitvariaible抽象的な偽のプロパティから派生した(なし)
NAME PolicyIPToSVariable DESCRIPTION The IP TOS octet.
名前policyiptosvariable説明IP TOS Octet。
ALLOWED VALUE TYPES: - PolicyIntegerValue (0..255) - PolicyBitStringValue (8 bits)
許可された値タイプ:-PolicyIntegerValue(0..255)-PolicyBitStringValue(8ビット)
DERIVED FROM PolicyImplicitVariable ABSTRACT FALSE PROPERTIES (none)
policyimplicitvariaible抽象的な偽のプロパティから派生した(なし)
NAME PolicyDSCPVariable DESCRIPTION The 6 bit Differentiated Service Code Point.
名前policydscpvariable説明6ビット差別化されたサービスコードポイント。
ALLOWED VALUE TYPES: - PolicyIntegerValue (0..63) - PolicyBitStringValue (6 bits)
許可された値タイプ:-PolicyIntegerValue(0..63)-PolicyBitStringValue(6ビット)
DERIVED FROM PolicyImplicitVariable ABSTRACT FALSE PROPERTIES (none)
policyimplicitvariaible抽象的な偽のプロパティから派生した(なし)
NAME PolicyFlowIdVariable DESCRIPTION The flow identifier of the outermost IPv6 packet header. "Outermost" here refers to the IP packet as it flows on the wire, before any headers have been stripped from it.
名前PolicyFlowIdVariable説明最も外側のIPv6パケットヘッダーのフロー識別子。ここの「外側」は、ヘッダーがそこから剥がれる前に、ワイヤー上に流れるときのIPパケットを指します。
ALLOWED VALUE TYPES: - PolicyIntegerValue (0..1048575 - PolicyBitStringValue (20 bits)
許可された値タイプ:-PolicyIntegerValue(0..1048575 -PolicyBitstringValue(20ビット)
DERIVED FROM PolicyImplicitVariable ABSTRACT FALSE PROPERTIES (none)
policyimplicitvariaible抽象的な偽のプロパティから派生した(なし)
NAME PolicySourceMACVariable DESCRIPTION The source MAC address.
名前policySourcemacvariable説明ソースMacアドレス。
ALLOWED VALUE TYPES: - PolicyMACAddrValue
許可された値タイプ:-PolicyMacAdDrValue
DERIVED FROM PolicyImplicitVariable ABSTRACT FALSE PROPERTIES (none)
policyimplicitvariaible抽象的な偽のプロパティから派生した(なし)
NAME PolicyDestinationMACVariable DESCRIPTION The destination MAC address.
名前policydestinationmacvariable説明宛先Macアドレス。
ALLOWED VALUE TYPES: - PolicyMACAddrValue
許可された値タイプ:-PolicyMacAdDrValue
DERIVED FROM PolicyImplicitVariable ABSTRACT FALSE PROPERTIES (none)
policyimplicitvariaible抽象的な偽のプロパティから派生した(なし)
NAME PolicyVLANVariable DESCRIPTION The virtual Bridged Local Area Network Identifier, a 12-bit field as defined in the IEEE 802.1q standard.
名前PolicyVlanVariable説明IEEE 802.1Q標準で定義されている12ビットフィールドである仮想ブリッジ型ローカルエリアネットワーク識別子。
ALLOWED VALUE TYPES: - PolicyIntegerValue (0..4095) - PolicyBitStringValue (12 bits)
許可された値タイプ:-PolicyIntegerValue(0..4095)-PolicyBitStringValue(12ビット)
DERIVED FROM PolicyImplicitVariable ABSTRACT FALSE PROPERTIES (none)
policyimplicitvariaible抽象的な偽のプロパティから派生した(なし)
NAME PolicyCoSVariable DESCRIPTION Class of Service, a 3-bit field, used in the layer 2 header to select the forwarding treatment. Bound to the IEEE 802.1q user-priority field.
名前を選択するためにレイヤー2ヘッダーで使用される3ビットフィールドであるサービスのクラスクラスサービスクラス。IEEE 802.1Qユーザー優先度フィールドにバインドされています。
ALLOWED VALUE TYPES: - PolicyIntegerValue (0..7) - PolicyBitStringValue (3 bits)
許可された値タイプ:-PolicyIntegerValue(0..7) - PolicyBitStringValue(3ビット)
DERIVED FROM PolicyImplicitVariable ABSTRACT FALSE PROPERTIES (none)
policyimplicitvariaible抽象的な偽のプロパティから派生した(なし)
NAME PolicyEthertypeVariable DESCRIPTION The Ethertype protocol number of Ethernet frames.
名前PolicyetherTypevariable説明EtherTypeプロトコル数イーサネットフレーム。
ALLOWED VALUE TYPES: - PolicyIntegerValue (0..65535) - PolicyBitStringValue (16 bits)
許可された値タイプ:-PolicyIntegerValue(0..65535)-PolicyBitStringValue(16ビット)
DERIVED FROM PolicyImplicitVariable ABSTRACT FALSE PROPERTIES (none)
policyimplicitvariaible抽象的な偽のプロパティから派生した(なし)
NAME PolicySourceSAPVariable DESCRIPTION The Source Service Access Point (SAP) number of the IEEE 802.2 LLC header.
名前PolicySourcesApvariable説明IEEE 802.2 LLCヘッダーのソースサービスアクセスポイント(SAP)番号。
ALLOWED VALUE TYPES: - PolicyIntegerValue (0..255) - PolicyBitStringValue (8 bits)
許可された値タイプ:-PolicyIntegerValue(0..255)-PolicyBitStringValue(8ビット)
DERIVED FROM PolicyImplicitVariable ABSTRACT FALSE PROPERTIES (none)
policyimplicitvariaible抽象的な偽のプロパティから派生した(なし)
NAME PolicyDestinationSAPVariable DESCRIPTION The Destination Service Access Point (SAP) number of the IEEE 802.2 LLC header.
名前PolicyDestinationSapVariable説明IEEE 802.2 LLCヘッダーの宛先サービスアクセスポイント(SAP)番号。
ALLOWED VALUE TYPES: - PolicyIntegerValue (0..255) - PolicyBitStringValue (8 bits)
許可された値タイプ:-PolicyIntegerValue(0..255)-PolicyBitStringValue(8ビット)
DERIVED FROM PolicyImplicitVariable ABSTRACT FALSE PROPERTIES (none)
policyimplicitvariaible抽象的な偽のプロパティから派生した(なし)
NAME PolicySNAPOUIVariable DESCRIPTION The value of the first three octets of the Sub-Network Access Protocol (SNAP) Protocol Identifier field for 802.2 SNAP encapsulation, containing an Organizationally Unique Identifier (OUI). The value 00-00-00 indicates the encapsulation of Ethernet frames (RFC 1042). OUI value 00-00-F8 indicates the special encapsulation of Ethernet frames by certain types of bridges (IEEE 802.1H). Other values are supported, but are not further defined here. These OUI values are to be interpreted according to the endian-notation conventions of IEEE 802. For either of the two Ethernet encapsulations, the remainder of the Protocol Identifier field is represented by the PolicySNAPTypeVariable.
名前PolicySnapouivariable説明サブネットワークアクセスプロトコル(SNAP)プロトコル識別子フィールドの最初の3オクテットの値は、組織的に一意の識別子(OUI)を含むSNAPカプセル化のためのフィールドです。値00-00-00は、イーサネットフレーム(RFC 1042)のカプセル化を示します。OUI値00-00-F8は、特定の種類のブリッジによるイーサネットフレームの特別なカプセル化を示します(IEEE 802.1H)。他の値はサポートされていますが、ここではこれ以上定義されていません。これらのOUI値は、IEEE 802の末端通知条約に従って解釈されます。2つのイーサネットカプセルのいずれかについて、プロトコル識別子フィールドの残りの部分はPolicySnapTypevariableで表されます。
ALLOWED VALUE TYPES: - PolicyIntegerValue (0..16777215) - PolicyBitStringValue (24 bits)
許可値タイプ:-PolicyIntegerValue(0..16777215)-PolicyBitStringValue(24ビット)
DERIVED FROM PolicyImplicitVariable ABSTRACT FALSE PROPERTIES (none)
policyimplicitvariaible抽象的な偽のプロパティから派生した(なし)
NAME PolicySNAPTypeVariable DESCRIPTION The value of the 4th and 5th octets of the Sub-Network Access Protocol (SNAP) Protocol Identifier field for IEEE 802 SNAP encapsulation when the PolicySNAPOUIVariable indicates one of the two Encapsulated Ethernet frame formats. This value is undefined for other values of PolicySNAPOUIVariable.
名前PolicySnapTypevariable説明Sub-Network Access Protocol(SNAP)プロトコル識別子識別子識別子識別子フィールドの4番目と5番目のオクテットの値は、PolicySnapouivariableが2つのカプセル化されたイーサネットフレーム形式のいずれかを示している場合です。この値は、PolicySnapouivariableの他の値に対して未定義です。
ALLOWED VALUE TYPES: - PolicyIntegerValue (0..65535) - PolicyBitStringValue (16 bits)
許可された値タイプ:-PolicyIntegerValue(0..65535)-PolicyBitStringValue(16ビット)
DERIVED FROM PolicyImplicitVariable ABSTRACT FALSE PROPERTIES (none)
policyimplicitvariaible抽象的な偽のプロパティから派生した(なし)
NAME PolicyFlowDirectionVariable DESCRIPTION The direction of a flow relative to a network element. Direction may be "IN" and/or "OUT".
名前PolicyFlowDirectionVariable説明ネットワーク要素に対するフローの方向。方向は「in」および/または「out」である場合があります。
ALLOWED VALUE TYPES: - PolicyStringValue ('IN", "OUT")
許可された値タイプ:-PolicyStringValue( 'in "、" out ")
DERIVED FROM PolicyImplicitVariable ABSTRACT FALSE PROPERTIES (none)
policyimplicitvariaible抽象的な偽のプロパティから派生した(なし)
To match on both inbound and outbound flows, the associated PolicyStringValue object has two entries in its StringList property: "IN" and "OUT".
インバウンドフローとアウトバウンドフローの両方に一致させるために、関連するPolicyStringValueオブジェクトには、StringListプロパティの2つのエントリがあります:「In」と「Out」。
This is an abstract class that serves as the base class for all subclasses that are used to define value objects in the PCIMe. It is used for defining values and constants used in policy conditions. The class definition is as follows:
これは、PCIME内の値オブジェクトを定義するために使用されるすべてのサブクラスのベースクラスとして機能する抽象クラスです。これは、ポリシー条件で使用される値と定数を定義するために使用されます。クラスの定義は次のとおりです。
NAME PolicyValue DERIVED FROM Policy ABSTRACT True PROPERTIES (none)
ポリシーから派生した名前のpolicyValue抽象的な真のプロパティ(なし)
The following subsections contain the PolicyValue subclasses defined in PCIMe. Additional subclasses may be defined in models derived from PCIMe.
次のサブセクションには、PCIMEで定義されているポリシーバリューサブクラスが含まれています。追加のサブクラスは、PCIMEから派生したモデルで定義できます。
This class is used to provide a list of IPv4Addresses, hostnames and address range values to be matched against in a policy condition. The class definition is as follows:
このクラスは、ポリシー条件で一致するIPv4Addresses、ホスト名、およびアドレス範囲値のリストを提供するために使用されます。クラスの定義は次のとおりです。
NAME PolicyIPv4AddrValue DERIVED FROM PolicyValue ABSTRACT False PROPERTIES IPv4AddrList[ ]
名前policyipv4addrvalueポリシーバリューから派生した抽象的な虚偽プロパティipv4addrlist []
The IPv4AddrList property provides an unordered list of strings, each specifying a single IPv4 address, a hostname, or a range of IPv4 addresses, according to the ABNF definition [6] of an IPv4 address, as specified below:
IPV4ADDRLISTプロパティは、以下に指定されているIPv4アドレスのABNF定義[6]に従って、それぞれが単一のIPv4アドレス、ホスト名、またはIPv4アドレスの範囲を指定する文字列の非注文リストを提供します。
IPv4address = 1*3DIGIT "." 1*3DIGIT "." 1*3DIGIT "." 1*3DIGIT
IPv4prefix = IPv4address "/" 1*2DIGIT
IPv4range = IPv4address"-"IPv4address
IPv4maskedaddress = IPv4address","IPv4address
Hostname (as defined in [4])
In the above definition, each string entry is either:
上記の定義では、各文字列エントリは次のとおりです。
1. A single IPv4address in dot notation, as defined above. Example: 121.1.1.2
1. 上記で定義されているように、ドット表記の単一のIPv4Address。例:121.1.1.2
2. An IPv4prefix address range, as defined above, specified by an address and a prefix length, separated by "/". Example: 2.3.128.0/15
2. 上記で定義されているIPv4Prefixアドレス範囲は、アドレスと接頭辞の長さで指定され、「/」で区切られています。例:2.3.128.0/15
3. An IPv4range address range defined above, specified by a starting address in dot notation and an ending address in dot notation, separated by "-". The range includes all addresses between the range's starting and ending addresses, including these two addresses. Example: 1.1.22.1-1.1.22.5
3. 上記で定義されたIPv4rangeアドレス範囲。ドット表記の開始アドレスとドット表記のエンディングアドレスで指定され、「 - 」で区切られています。範囲には、これらの2つのアドレスを含む、範囲の開始アドレスと終了アドレス間のすべてのアドレスが含まれます。例:1.1.22.1-1.1.1.22.5
4. An IPv4maskedaddress address range, as defined above, specified by an address and mask. The address and mask are represented in dot notation, separated by a comma ",". The masked address appears before the comma, and the mask appears after the comma. Example: 2.3.128.0,255.255.248.0.
4. 上記で定義されているIPv4MaskedAddressアドレス範囲は、アドレスとマスクで指定されています。アドレスとマスクは、コンマで区切られたドット表記で表されます。マスクされたアドレスはコンマの前に表示され、マスクはコンマの後に表示されます。例:2.3.128.0,255.255.248.0。
5. A single Hostname. The Hostname format follows the guidelines and restrictions specified in [4]. Example: www.bigcompany.com.
5. 単一のホスト名。ホスト名形式は、[4]で指定されているガイドラインと制限に従います。例:www.bigcompany.com。
Conditions matching IPv4AddrValues evaluate to true according to the generic matching rules. Additionally, a hostname is matched against another valid IPv4address representation by resolving the hostname into an IPv4 address first, and then comparing the addresses afterwards. Matching hostnames against each other is done using a string comparison of the two names.
IPv4Addrvaluesを一致させる条件は、汎用マッチングルールに従ってTrueを評価します。さらに、ホスト名は、最初にホスト名をIPv4アドレスに解決し、その後アドレスを比較することにより、別の有効なIPv4Address表現と一致します。ホスト名を互いに一致させることは、2つの名前の文字列比較を使用して行われます。
The property definition is as follows:
プロパティ定義は次のとおりです。
NAME IPv4AddrList
SYNTAX String
FORMAT IPv4address | IPv4prefix | IPv4range |
IPv4maskedaddress | hostname
This class is used to define a list of IPv6 addresses, hostnames, and address range values. The class definition is as follows:
このクラスは、IPv6アドレス、ホスト名、およびアドレス範囲値のリストを定義するために使用されます。クラスの定義は次のとおりです。
NAME PolicyIPv6AddrValue DERIVED FROM PolicyValue ABSTRACT False PROPERTIES IPv6AddrList[ ]
名前PolicyIPv6AddrValue PolicyValueから派生した抽象的な偽のプロパティipv6addrlist []
The property IPv6AddrList provides an unordered list of strings, each specifying an IPv6 address, a hostname, or a range of IPv6 addresses. IPv6 address format definition uses the standard address format defined in [7]. The ABNF definition [6] as specified in [7] is:
プロパティIPv6ADDRLISTは、それぞれIPv6アドレス、ホスト名、またはIPv6アドレスの範囲を指定する文字列の順序付けられていないリストを提供します。IPv6アドレス形式定義は、[7]で定義されている標準アドレス形式を使用します。[7]で指定されているABNF定義[6]は次のとおりです。
IPv6address = hexpart [ ":" IPv4address ]
IPv4address = 1*3DIGIT "." 1*3DIGIT "." 1*3DIGIT "." 1*3DIGIT
IPv6prefix = hexpart "/" 1*2DIGIT
hexpart = hexseq | hexseq "::" [ hexseq ] | "::" [ hexseq ]
hexseq = hex4 *( ":" hex4)
hex4 = 1*4HEXDIG
IPv6range = IPv6address"-"IPv6address
IPv6maskedaddress = IPv6address","IPv6address
Hostname (as defines in [NAMES])
Each string entry is either:
各文字列エントリは次のとおりです。
1. A single IPv6address as defined above.
1. 上記で定義されている単一のIPv6Address。
2. A single Hostname. Hostname format follows guidelines and restrictions specified in [4].
2. 単一のホスト名。ホスト名形式は、[4]で指定されたガイドラインと制限に従います。
3. An IPv6range address range, specified by a starting address in dot notation and an ending address in dot notation, separated by "-". The range includes all addresses between the range's starting and ending addresses, including these two addresses.
3. DOT表記の開始アドレスで指定されたIPv6rangeアドレス範囲と、「 - 」で区切られたドット表記のエンディングアドレスで指定されています。範囲には、これらの2つのアドレスを含む、範囲の開始アドレスと終了アドレス間のすべてのアドレスが含まれます。
4. An IPv4maskedaddress address range defined above specified by an address and mask. The address and mask are represented in dot notation separated by a comma ",".
4. アドレスとマスクで指定された上記で定義されたIPv4MaskedAddressアドレス範囲。アドレスとマスクは、コンマで区切られたドット表記で表されます。
5. A single IPv6prefix as defined above.
5. 上記で定義されている単一のIPv6Prefix。
Conditions matching IPv6AddrValues evaluate to true according to the generic matching rules. Additionally, a hostname is matched against another valid IPv6address representation by resolving the hostname into an IPv6 address first, and then comparing the addresses afterwards. Matching hostnames against each other is done using a string comparison of the two names.
IPv6Addrvaluesを一致させる条件は、汎用マッチングルールに従ってTrueを評価します。さらに、ホスト名は、最初にホスト名をIPv6アドレスに解決し、その後アドレスを比較することにより、別の有効なIPv6Address表現と一致します。ホスト名を互いに一致させることは、2つの名前の文字列比較を使用して行われます。
This class is used to define a list of MAC addresses and MAC address range values. The class definition is as follows:
このクラスは、MACアドレスとMACアドレス範囲値のリストを定義するために使用されます。クラスの定義は次のとおりです。
NAME PolicyMACAddrValue DERIVED FROM PolicyValue ABSTRACT False PROPERTIES MACAddrList[ ]
PolicyValueから派生したPolicymacaddrvalue抽象的な虚偽プロパティmacaddrlist []
The property MACAddrList provides an unordered list of strings, each specifying a MAC address or a range of MAC addresses. The 802 MAC address canonical format is used. The ABNF definition [6] is:
Property MacAddrlistは、それぞれがMACアドレスまたはMACアドレスの範囲を指定する文字列の順序付けられていないリストを提供します。802 MACアドレスの正規形式が使用されます。ABNF定義[6]は次のとおりです。
MACaddress = 1*4HEXDIG ":" 1*4HEXDIG ":" 1*4HEXDIG
MACmaskedaddress = MACaddress","MACaddress
Each string entry is either:
各文字列エントリは次のとおりです。
1. A single MAC address. Example: 0000:00A5:0000
1. 単一のMACアドレス。例:0000:00A5:0000
2. A MACmaskedaddress address range defined specified by an address and mask. The mask specifies the relevant bits in the address. Example: 0000:00A5:0000,FFFF:FFFF:0000 defines a range of MAC addresses in which the first four octets are equal to 0000:00A5.
2. アドレスとマスクで指定されたMacMaskedAddressアドレス範囲。マスクは、アドレス内の関連するビットを指定します。例:0000:00A5:0000、FFFF:FFFF:0000は、最初の4オクテットが0000:00A5に等しいMACアドレスの範囲を定義します。
The property definition is as follows:
プロパティ定義は次のとおりです。
NAME MACAddrList
SYNTAX String
FORMAT MACaddress | MACmaskedaddress
This class is used to represent a single string value, or a set of string values. Each value can have wildcards. The class definition is as follows:
このクラスは、単一の文字列値、または文字列値のセットを表すために使用されます。各値にはワイルドカードがあります。クラスの定義は次のとおりです。
NAME PolicyStringValue DERIVED FROM PolicyValue ABSTRACT False PROPERTIES StringList[ ]
PolicyValueから派生した名前のpolicyStringValue抽象的なfalseプロパティstringlist []
The property StringList provides an unordered list of strings, each representing a single string with wildcards. The asterisk character "*" is used as a wildcard, and represents an arbitrary substring replacement. For example, the value "abc*def" matches the string "abcxyzdef", and the value "abc*def*" matches the string "abcxxxdefyyyzzz". The syntax definition is identical to the substring assertion syntax defined in [5]. If the asterisk character is required as part of the string value itself, it MUST be quoted as described in Section 4.3 of [5].
プロパティStringListは、それぞれがワイルドカードを持つ単一の文字列を表す文字列の順序付けられていないリストを提供します。アスタリスク文字「*」はワイルドカードとして使用され、任意のサブストリングの置き換えを表します。たとえば、値「abc*def」は文字列「abcxyzdef」と一致し、値「abc*def*」は文字列「abcxxxdefyyzz」と一致します。構文定義は、[5]で定義されているサブストリングアサーション構文と同一です。ストリング値自体の一部としてアスタリスク文字が必要な場合、[5]のセクション4.3で説明されているように引用する必要があります。
The property definition is as follows:
プロパティ定義は次のとおりです。
NAME StringList
SYNTAX String
This class is used to represent a single bit string value, or a set of bit string values. The class definition is as follows:
このクラスは、単一のビット文字列値、またはビット文字列値のセットを表すために使用されます。クラスの定義は次のとおりです。
NAME PolicyBitStringValue DERIVED FROM PolicyValue ABSTRACT False PROPERTIES BitStringList[ ]
名前PolicyBitStringValue PolicyValueから派生した抽象的な偽のプロパティBitStringList []
The property BitStringList provides an unordered list of strings, each representing a single bit string or a set of bit strings. The number of bits specified SHOULD equal the number of bits of the expected variable. For example, for a one-octet variable, 8 bits should be specified. If the variable does not have a fixed length, the bit string should be matched against the variable's most significant bit string. The formal definition of a bit string is:
プロパティBitStringListは、それぞれが単一のビット文字列またはビット文字列のセットを表す文字列の順序付けられていないリストを提供します。指定されたビットの数は、予想される変数のビット数に等しい必要があります。たとえば、One-OCTET変数の場合、8ビットを指定する必要があります。変数に固定長がない場合、ビット文字列は変数の最も重要なビット文字列と一致する必要があります。少し文字列の正式な定義は次のとおりです。
binary-digit = "0" / "1"
bitString = 1*binary-digit
maskedBitString = bitString","bitString
Each string entry is either:
各文字列エントリは次のとおりです。
1. A single bit string. Example: 00111010
1. 単一のビット文字列。例:00111010
2. A range of bit strings specified using a bit string and a bit mask. The bit string and mask fields have the same number of bits specified. The mask bit string specifies the significant bits in the bit string value. For example, 110110, 100110 and 110111 would match the maskedBitString 100110,101110 but 100100 would not.
2. ビットストリングとビットマスクを使用して指定された一連のビット文字列。ビット文字列とマスクフィールドには、同じ数のビットが指定されています。マスクビット文字列は、ビット文字列値の重要なビットを指定します。たとえば、110110、100110、および110111はMaskedbitstring 100110,101110と一致しますが、100100はそうではありません。
The property definition is as follows:
プロパティ定義は次のとおりです。
NAME BitStringList
SYNTAX String
FORMAT bitString | maskedBitString
This class provides a list of integer and integer range values. Integers of arbitrary sizes can be represented. The class definition is as follows:
このクラスは、整数と整数の範囲値のリストを提供します。任意のサイズの整数を表すことができます。クラスの定義は次のとおりです。
NAME PolicyIntegerValue DERIVED FROM PolicyValue ABSTRACT False PROPERTIES IntegerList[ ]
PolicyValueから派生した名前のpolicyIntegerValue抽象的な虚偽プロパティintegerList []
The property IntegerList provides an unordered list of integers and integer range values, represented as strings. The format of this property takes one of the following forms:
プロパティ整数は、文字列として表される整数と整数範囲値の順序付けられていないリストを提供します。このプロパティの形式は、次の形式のいずれかを取ります。
1. An integer value.
1. 整数値。
2. A range of integers. The range is specified by a starting integer and an ending integer, separated by '..'. The starting integer MUST be less than or equal to the ending integer. The range includes all integers between the starting and ending integers, including these two integers.
2. 整数の範囲。範囲は、「..」で区切られた開始整数と終了整数によって指定されます。開始整数は、終了整数以下でなければなりません。範囲には、これら2つの整数を含む、開始整数と終了整数の間のすべての整数が含まれます。
To represent a range of integers that is not bounded, the reserved words -INFINITY and/or INFINITY can be used in place of the starting and ending integers. In addition to ordinary integer matches, INFINITY matches INFINITY and -INFINITY matches -INFINITY.
制限されていない整数の範囲を表すために、予約された単語 - インフィニティおよび/または無限を開始および終了整数の代わりに使用できます。通常の整数の一致に加えて、InfinityはInfinityとInfinity Matches -Infinityを一致させます。
The ABNF definition [6] is:
ABNF定義[6]は次のとおりです。
integer = [-]1*DIGIT | "INFINITY" | "-INFINITY"
integerrange = integer".."integer
Using ranges, the operators greater-than, greater-than-or-equal-to, less- than, and less-than-or-equal-to can be expressed. For example, "X is- greater-than 5" (where X is an integer) can be translated to "X matches 6-INFINITY". This enables the match condition semantics of the operator for the SimplePolicyCondition class to be kept simple (i.e., just the value "match").
範囲を使用して、演算子はより大きく、より大きく、またはより少ない、より少ない、より少ない、またはより少ないものを表すことができます。たとえば、「x is-greater-than 5」(xは整数です)は、「x x 6-infinity」に翻訳できます。これにより、SimplePolicyconditionクラスのオペレーターの一致条件セマンティクスを単純に保つことができます(つまり、値「一致」のみ)。
The property definition is as follows:
プロパティ定義は次のとおりです。
NAME IntegerList
SYNTAX String
FORMAT integer | integerrange
This class is used to represent a Boolean (TRUE/FALSE) value. The class definition is as follows:
このクラスは、ブール(真/偽)値を表すために使用されます。クラスの定義は次のとおりです。
NAME PolicyBooleanValue DERIVED FROM PolicyValue ABSTRACT False PROPERTIES BooleanValue
PolicyValueから派生した名前のpolicybooleanValue抽象的なfalseプロパティBooleanValue
The property definition is as follows:
プロパティ定義は次のとおりです。
NAME BooleanValue
SYNTAX boolean
This class represents a collection of managed elements that share a common role. The PolicyRoleCollection always exists in the context of a system, specified using the PolicyRoleCollectionInSystem association. The value of the PolicyRole property in this class specifies the role, and can be matched with the value(s) in the PolicyRoles array in PolicyRules and PolicyGroups. ManagedElements that share the role defined in this collection are aggregated into the collection via the association ElementInPolicyRoleCollection.
このクラスは、共通の役割を共有する管理された要素のコレクションを表しています。PolicyroleCollectionは、常にPolicyroleCollectionInsystem Associationを使用して指定されたシステムのコンテキストで常に存在します。このクラスのPolicyroleプロパティの値は、役割を指定し、PolicyrulesおよびPolicy -GroupsのPolicyrolesアレイの値と一致させることができます。このコレクションで定義されている役割を共有するマネージデリメントは、Association ElementInpolicyrolecollectionを介してコレクションに集約されます。
NAME PolicyRoleCollection DESCRIPTION A subclass of the CIM Collection class used to group together managed elements that share a role. DERIVED FROM Collection ABSTRACT FALSE
名前PolicyroleCollection説明説明役割を共有する管理された要素をグループ化するために使用されるCIMコレクションクラスのサブクラス。コレクション抽象偽りから派生
PROPERTIES PolicyRole
プロパティPolicyrole
This property represents the role associated with a PolicyRoleCollection. The property definition is as follows:
このプロパティは、Policyrolecollectionに関連する役割を表しています。プロパティ定義は次のとおりです。
NAME PolicyRole
DESCRIPTION A string representing the role associated with a
PolicyRoleCollection.
SYNTAX string
The new class ReusablePolicyContainer is defined as follows:
新しいクラスのreusablePolicycontainerは、次のように定義されています。
NAME ReusablePolicyContainer DESCRIPTION A class representing an administratively defined container for reusable policy-related information. This class does not introduce any additional properties beyond those in its superclass AdminDomain. It does, however, participate in a number of unique associations. DERIVED FROM AdminDomain ABSTRACT FALSE PROPERTIES (none)
名前reusablePolicycontainer説明再利用可能なポリシー関連情報の管理上定義されたコンテナを表すクラス。このクラスでは、スーパークラスのアドマイン型の特性を超えて追加の特性を導入していません。ただし、多くのユニークな協会に参加しています。admindomain抽象的な偽特性から派生した(なし)
The class definition of PolicyRepository (from PCIM) is updated as follows, with an indication that the class has been deprecated. Note that when an element of the model is deprecated, its replacement element is identified explicitly.
PolicyRepository(PCIMから)のクラス定義は、クラスが非推奨されていることを示しているため、次のように更新されます。モデルの要素が非推奨される場合、その置換要素は明示的に識別されることに注意してください。
NAME PolicyRepository DEPRECATED FOR ReusablePolicyContainer DESCRIPTION A class representing an administratively defined container for reusable policy-related information. This class does not introduce any additional properties beyond those in its superclass AdminDomain. It does, however, participate in a number of unique associations.
再利用可能なポリシー関連情報のための管理上定義されたコンテナを表すクラスのために、再利用可能なポリシコンテイナーのために廃止された名前のpolicyrepository。このクラスでは、スーパークラスのアドマイン型の特性を超えて追加の特性を導入していません。ただし、多くのユニークな協会に参加しています。
DERIVED FROM AdminDomain ABSTRACT FALSE PROPERTIES (none)
admindomain抽象的な偽特性から派生した(なし)
FilterEntryBase is the abstract base class from which all filter entry classes are derived. It serves as the endpoint for the EntriesInFilterList aggregation, which groups filter entries into filter lists. Its properties include CIM naming attributes and an IsNegated boolean property (to easily "NOT" the match information specified in an instance of one of its subclasses).
filterentrybaseは、すべてのフィルターエントリクラスが導出される抽象的なベースクラスです。これは、エントリフィルターリスト集約のエンドポイントとして機能し、エントリをフィルターリストにグループ化します。そのプロパティには、CIMネーミング属性とISが接続されたブールプロパティ(サブクラスの1つのインスタンスで指定された一致情報を簡単に「ゼロではない」)が含まれます。
The class definition is as follows:
クラスの定義は次のとおりです。
NAME FilterEntryBase
DESCRIPTION An abstract class representing a single
filter that is aggregated into a
FilterList via the aggregation
EntriesInFilterList.
DERIVED FROM LogicalElement
TYPE Abstract
PROPERTIES IsNegated
This concrete class contains the most commonly required properties for performing filtering on IP, TCP or UDP headers. Properties not present in an instance of IPHeadersFilter are treated as 'all values'. A property HdrIpVersion identifies whether the IP addresses in an instance are IPv4 or IPv6 addresses. Since the source and destination IP addresses come from the same packet header, they will always be of the same type.
このコンクリートクラスには、IP、TCP、またはUDPヘッダーでフィルタリングを実行するために最も一般的に必要なプロパティが含まれています。iPheadersFilterの例に存在しないプロパティは、「すべての値」として扱われます。プロパティhdripversionは、インスタンスのIPアドレスがIPv4アドレスまたはIPv6アドレスであるかどうかを識別します。ソースおよび宛先IPアドレスは同じパケットヘッダーから来ているため、常に同じタイプになります。
The class definition is as follows:
クラスの定義は次のとおりです。
NAME IpHeadersFilter
DESCRIPTION A class representing an entire IP
header filter, or any subset of one.
DERIVED FROM FilterEntryBase
TYPE Concrete
PROPERTIES HdrIpVersion, HdrSrcAddress,
HdrSrcAddressEndOfRange, HdrSrcMask,
HdrDestAddress, HdrDestAddressEndOfRange,
HdrDestMask, HdrProtocolID,
HdrSrcPortStart, HdrSrcPortEnd,
HdrDestPortStart, HdrDestPortEnd, HdrDSCP[ ],
HdrFlowLabel
This property is an 8-bit unsigned integer, identifying the version of the IP addresses to be filtered on. IP versions are identified as they are in the Version field of the IP packet header - IPv4 = 4, IPv6 = 6. These two values are the only ones defined for this property.
このプロパティは、フィルタリングされるIPアドレスのバージョンを識別する8ビットの署名のない整数です。IPバージョンは、IPパケットヘッダー-IPv4 = 4、IPv6 = 6のバージョンフィールドにあるときに識別されます。これらの2つの値は、このプロパティで定義されている唯一の値です。
The value of this property determines the sizes of the OctetStrings in the six properties HdrSrcAddress, HdrSrcAddressEndOfRange, HdrSrcMask, HdrDestAddress, HdrDestAddressEndOfRange, and HdrDestMask, as follows:
このプロパティの値は、6つのプロパティHDRSRCADDRESS、HDRSRCADDRESSENDOFRANGE、HDRSRCMASK、HDRDESTADDRESS、HDRDESTADDRESSENDOFRANGE、およびHDRDESTMASKの6つのプロパティのオクテットストリングのサイズを決定します。
o IPv4: OctetString(SIZE (4))
o IPv4:OctetString(サイズ(4))
o IPv6: OctetString(SIZE (16|20)), depending on whether a scope identifier is present
o IPv6:スコープ識別子が存在するかどうかに応じて、OctetString(サイズ(16 | 20))
If a value for this property is not provided, then the filter does not consider IP version in selecting matching packets, i.e., IP version matches for all values. In this case, the HdrSrcAddress, HdrSrcAddressEndOfRange, HdrSrcMask, HdrDestAddress, HdrDestAddressEndOfRange, and HdrDestMask must also not be present.
このプロパティの値が提供されていない場合、フィルターは一致パケットを選択する際にIPバージョン、つまりすべての値に一致するIPバージョンを考慮しません。この場合、HDRSRCADDRESS、HDRSRCADDRESSENDOFRANGE、HDRSRCMASK、HDRDESTADDRESS、HDRDESTADDRESSENDOFRANGE、およびHDRDESTMASKも存在しないでください。
This property is an OctetString, of a size determined by the value of the HdrIpVersion property, representing a source IP address. When there is no HdrSrcAddressEndOfRange value, this value is compared to the source address in the IP header, subject to the mask represented in the HdrSrcMask property. (Note that the mask is ANDed with the address.) When there is a HdrSrcAddressEndOfRange value, this value is the start of the specified range (i.e., the HdrSrcAddress is lower than the HdrSrcAddressEndOfRange) that is compared to the source address in the IP header and matches on any value in the range.
このプロパティは、ソースIPアドレスを表すHdripversionプロパティの値によって決定されるサイズのオクテットストリングです。HDRSRCADDRESSENDENDOFRANGE値がない場合、この値は、HDRSRCMASKプロパティに表されるマスクを条件として、IPヘッダーのソースアドレスと比較されます。(マスクにはアドレスが付いていることに注意してください。)HDRSRCADDRESSENDENDOFRANGE値がある場合、この値は指定された範囲の開始です(つまり、HDRSRCADDRESSはHDRSRCADDRESSENDENDOFRANGEよりも低いです)。範囲内の任意の値に一致します。
If a value for this property is not provided, then the filter does not consider HdrSrcAddress in selecting matching packets, i.e., HdrSrcAddress matches for all values.
このプロパティの値が提供されていない場合、フィルターは一致するパケットの選択にhdrsrcaddressを考慮しません。つまり、すべての値に対してHDRSRCADDRESS一致します。
This property is an OctetString, of a size determined by the value of the HdrIpVersion property, representing the end of a range of source IP addresses (inclusive), where the start of the range is the HdrSrcAddress property value.
このプロパティは、hdripversionプロパティの値によって決定されるサイズのオクテットストリングであり、ソースIPアドレスの範囲(包括的)の終わりを表します。範囲の開始はHDRSRCADDRESSプロパティ値です。
If a value for HdrSrcAddress is not provided, then this property also MUST NOT be provided. If a value for this property is provided, then HdrSrcMask MUST NOT be provided.
HDRSRCADDRESSの値が提供されていない場合、このプロパティも提供してはなりません。このプロパティの値が提供されている場合、HDRSRCMASKを提供してはなりません。
This property is an OctetString, of a size determined by the value of the HdrIpVersion property, representing a mask to be used in comparing the source address in the IP header with the value represented in the HdrSrcAddress property.
このプロパティは、HDripversionプロパティの値によって決定されるサイズのオクテットストリングであり、IPヘッダーのソースアドレスをHDRSRCADDRESSプロパティで表される値と比較する際に使用するマスクを表します。
If a value for this property is not provided, then the filter does not consider HdrSrcMask in selecting matching packets, i.e., the value of HdrSrcAddress or the source address range must match the source address in the packet exactly. If a value for this property is provided, then HdrSrcAddressEndOfRange MUST NOT be provided.
このプロパティの値が提供されていない場合、フィルターは一致するパケットの選択にHDRSRCMASKを考慮しません。つまり、HDRSRCADDRESSまたはソースアドレス範囲の値は、パケットのソースアドレスと正確に一致する必要があります。このプロパティの値が提供されている場合、HDRSRCADDRESSENDOFRANGEを提供してはなりません。
This property is an OctetString, of a size determined by the value of the HdrIpVersion property, representing a destination IP address. When there is no HdrDestAddressEndOfRange value, this value is compared to the destination address in the IP header, subject to the mask represented in the HdrDestMask property. (Note that the mask is ANDed with the address.) When there is a HdrDestAddressEndOfRange value, this value is the start of the specified range (i.e., the HdrDestAddress is lower than the HdrDestAddressEndOfRange) that is compared to the destination address in the IP header and matches on any value in the range.
このプロパティは、宛先IPアドレスを表すHdripversionプロパティの値によって決定されるサイズのオクテットストリングです。HDRDESTADDRESSENDOFRANGE値がない場合、この値は、HDRDESTMASKプロパティに表されるマスクの対象となるIPヘッダーの宛先アドレスと比較されます。(マスクにはアドレスが付いていることに注意してください。)HDRDESTADDRESSENDOFRANGE値がある場合、この値は指定された範囲の開始です(つまり、HDRDESTADDRESSはHDRDESTADDRESSENDOFRANGEよりも低いです)。範囲内の任意の値に一致します。
If a value for this property is not provided, then the filter does not consider HdrDestAddress in selecting matching packets, i.e., HdrDestAddress matches for all values.
このプロパティの値が提供されていない場合、フィルターは一致するパケットの選択にhdrdestAddressを考慮しません。
This property is an OctetString, of a size determined by the value of the HdrIpVersion property, representing the end of a range of destination IP addresses (inclusive), where the start of the range is the HdrDestAddress property value.
このプロパティは、hdripversionプロパティの値によって決定されるサイズのオクテットストリングであり、範囲の開始はHDRDESTADDRESSプロパティ値です。
If a value for HdrDestAddress is not provided, then this property also MUST NOT be provided. If a value for this property is provided, then HdrDestMask MUST NOT be provided.
hdrdestAddressの値が提供されていない場合、このプロパティも提供してはなりません。このプロパティの値が提供されている場合、HDRDESTMASKを提供してはなりません。
This property is an OctetString, of a size determined by the value of the HdrIpVersion property, representing a mask to be used in comparing the destination address in the IP header with the value represented in the HdrDestAddress property.
このプロパティは、HDripversionプロパティの値によって決定されるサイズのオクテットストリングであり、IPヘッダーの宛先アドレスをHDRDESTADDRESSプロパティで表される値と比較する際に使用するマスクを表しています。
If a value for this property is not provided, then the filter does not consider HdrDestMask in selecting matching packets, i.e., the value of HdrDestAddress or the destination address range must match the destination address in the packet exactly. If a value for this property is provided, then HdrDestAddressEndOfRange MUST NOT be provided.
このプロパティの値が提供されていない場合、フィルターは一致するパケットを選択する際にHDRDESTMASKを考慮しません。つまり、HDRDESTADDRESSまたは宛先アドレス範囲の値は、パケットの宛先アドレスと正確に一致する必要があります。このプロパティの値が提供されている場合、hdrdestaddressendofrangeを提供してはなりません。
This property is an 8-bit unsigned integer, representing an IP protocol type. This value is compared to the Protocol field in the IP header.
このプロパティは、IPプロトコルタイプを表す8ビットの署名のない整数です。この値は、IPヘッダーのプロトコルフィールドと比較されます。
If a value for this property is not provided, then the filter does not consider HdrProtocolID in selecting matching packets, i.e., HdrProtocolID matches for all values.
このプロパティの値が提供されていない場合、フィルターは、一致するパケット、つまりすべての値に対してHDRProtocolid一致を選択する際にHDRProtocolidを考慮しません。
This property is a 16-bit unsigned integer, representing the lower end of a range of UDP or TCP source ports. The upper end of the range is represented by the HdrSrcPortEnd property. The value of HdrSrcPortStart MUST be no greater than the value of HdrSrcPortEnd. A single port is indicated by equal values for HdrSrcPortStart and HdrSrcPortEnd.
このプロパティは、UDPまたはTCPソースポートの範囲の下端を表す16ビットの署名のない整数です。範囲の上端は、HDRSRCPORTENDプロパティで表されます。hdrsrcportstartの値は、hdrsrcportendの値よりも大きくなければなりません。単一のポートは、HDRSRCPORTSTARTおよびHDRSRCPORTENDの等しい値で示されます。
A source port filter is evaluated by testing whether the source port identified in the IP header falls within the range of values between HdrSrcPortStart and HdrSrcPortEnd, including these two end points.
ソースポートフィルターは、IPヘッダーで識別されたソースポートが、これら2つのエンドポイントを含むHDRSRCPORTSTARTとHDRSRCPORTENDの間の値の範囲内にあるかどうかをテストすることにより評価されます。
If a value for this property is not provided, then the filter does not consider HdrSrcPortStart in selecting matching packets, i.e., there is no lower bound in matching source port values.
このプロパティの値が提供されていない場合、フィルターは一致するパケットを選択する際にHDRSRCPORTSTARTを考慮しません。つまり、一致するソースポート値に下限はありません。
This property is a 16-bit unsigned integer, representing the upper end of a range of UDP or TCP source ports. The lower end of the range is represented by the HdrSrcPortStart property. The value of HdrSrcPortEnd MUST be no less than the value of HdrSrcPortStart. A single port is indicated by equal values for HdrSrcPortStart and HdrSrcPortEnd.
このプロパティは、UDPまたはTCPソースポートの範囲の上端を表す16ビットの署名のない整数です。範囲の下端は、HDRSRCPORTSTARTプロパティで表されます。hdrsrcportendの値は、hdrsrcportstartの値以上でなければなりません。単一のポートは、HDRSRCPORTSTARTおよびHDRSRCPORTENDの等しい値で示されます。
A source port filter is evaluated by testing whether the source port identified in the IP header falls within the range of values between HdrSrcPortStart and HdrSrcPortEnd, including these two end points.
ソースポートフィルターは、IPヘッダーで識別されたソースポートが、これら2つのエンドポイントを含むHDRSRCPORTSTARTとHDRSRCPORTENDの間の値の範囲内にあるかどうかをテストすることにより評価されます。
If a value for this property is not provided, then the filter does not consider HdrSrcPortEnd in selecting matching packets, i.e., there is no upper bound in matching source port values.
このプロパティの値が提供されていない場合、フィルターは一致するパケットを選択する際にhdrsrcportendを考慮しません。つまり、ソースポート値の一致に上限はありません。
This property is a 16-bit unsigned integer, representing the lower end of a range of UDP or TCP destination ports. The upper end of the range is represented by the HdrDestPortEnd property. The value of HdrDestPortStart MUST be no greater than the value of HdrDestPortEnd. A single port is indicated by equal values for HdrDestPortStart and HdrDestPortEnd.
このプロパティは、UDPまたはTCP宛先ポートの範囲の下端を表す16ビットの署名のない整数です。範囲の上端は、HDRDESTPORTENDプロパティで表されます。hdrdestportstartの値は、hdrdestportendの値よりも大きくなければなりません。単一のポートは、HDRDESTPORTSTARTおよびHDRDESTPORTENDの等しい値で示されます。
A destination port filter is evaluated by testing whether the destination port identified in the IP header falls within the range of values between HdrDestPortStart and HdrDestPortEnd, including these two end points.
宛先ポートフィルターは、IPヘッダーで識別された宛先ポートが、これら2つのエンドポイントを含むHDRDestportstartとHDRDestportendの間の値の範囲内にあるかどうかをテストすることにより評価されます。
If a value for this property is not provided, then the filter does not consider HdrDestPortStart in selecting matching packets, i.e., there is no lower bound in matching destination port values.
このプロパティの値が提供されていない場合、フィルターは一致するパケットを選択する際にHDRDESTPORTSTARTを考慮しません。つまり、一致する宛先ポート値に下限はありません。
This property is a 16-bit unsigned integer, representing the upper end of a range of UDP or TCP destination ports. The lower end of the range is represented by the HdrDestPortStart property. The value of HdrDestPortEnd MUST be no less than the value of HdrDestPortStart. A single port is indicated by equal values for HdrDestPortStart and HdrDestPortEnd.
このプロパティは、UDPまたはTCP宛先ポートの範囲の上端を表す16ビットの署名のない整数です。範囲の下端は、HDRDESTPORTSTARTプロパティで表されます。hdrdestportendの値は、hdrdestportstartの値に加えている必要があります。単一のポートは、HDRDESTPORTSTARTおよびHDRDESTPORTENDの等しい値で示されます。
A destination port filter is evaluated by testing whether the destination port identified in the IP header falls within the range of values between HdrDestPortStart and HdrDestPortEnd, including these two end points.
宛先ポートフィルターは、IPヘッダーで識別された宛先ポートが、これら2つのエンドポイントを含むHDRDestportstartとHDRDestportendの間の値の範囲内にあるかどうかをテストすることにより評価されます。
If a value for this property is not provided, then the filter does not consider HdrDestPortEnd in selecting matching packets, i.e., there is no upper bound in matching destination port values.
このプロパティの値が提供されていない場合、フィルターは一致するパケットを選択する際にhdrdestportendを考慮しません。つまり、一致する宛先ポート値に上限はありません。
The property HdrDSCP is defined as an array of uint8's, restricted to the range 0..63. Since DSCPs are defined as discrete code points, with no inherent structure, there is no semantically significant relationship between different DSCPs. Consequently, there is no provision for specifying a range of DSCPs in this property. However, a list of individual DSCPs, which are ORed together to form a filter, is supported by the array syntax.
プロパティHDRDSCPは、範囲0..63に制限されたUINT8の配列として定義されます。DSCPは、固有の構造がない離散コードポイントとして定義されるため、異なるDSCP間に意味的に有意な関係はありません。その結果、このプロパティに一連のDSCPを指定するための規定はありません。ただし、フィルターを形成するために組み合わせた個々のDSCPのリストは、配列構文によってサポートされています。
If a value for this property is not provided, then the filter does not consider HdrDSCP in selecting matching packets, i.e., HdrDSCP matches for all values.
このプロパティの値が提供されていない場合、フィルターは一致するパケット、つまりすべての値に対してHDRDSCP一致を選択する際にHDRDSCPを考慮しません。
The 20-bit Flow Label field in the IPv6 header may be used by a source to label sequences of packets for which it requests special handling by IPv6 devices, such as non-default quality of service or 'real-time' service. This property is an octet string of size 3 (that is, 24 bits), in which the 20-bit Flow Label appears in the rightmost 20 bits, padded on the left with b'0000'.
IPv6ヘッダーの20ビットフローラベルフィールドは、ソースによって使用されて、非デフォルトサービスのサービスや「リアルタイム」サービスなど、IPv6デバイスによる特別な処理を要求するパケットのシーケンスをラベル付けできます。このプロパティは、サイズ3(つまり24ビット)のオクテット文字列で、20ビットのフローラベルが右端の20ビットに表示され、左にB'0000 'でパッドが表示されます。
If a value for this property is not provided, then the filter does not consider HdrFlowLabel in selecting matching packets, i.e., HdrFlowLabel matches for all values.
このプロパティの値が提供されていない場合、フィルターは、一致するパケット、つまりすべての値に対してHDRFlowlabelマッチを選択する際にHDRFlowlabelを考慮しません。
This concrete class allows 802.1.source and destination MAC addresses, as well as the 802.1 protocol ID, priority, and VLAN identifier fields, to be expressed in a single object
このコンクリートクラスでは、802.1.Sourceおよび宛先Macアドレス、および802.1プロトコルID、優先度、およびVLAN識別子フィールドを単一のオブジェクトで表現できます。
The class definition is as follows:
クラスの定義は次のとおりです。
NAME 8021Filter
DESCRIPTION A class that allows 802.1 source
and destination MAC address and
protocol ID, priority, and VLAN
identifier filters to be
expressed in a single object.
DERIVED FROM FilterEntryBase
TYPE Concrete
PROPERTIES 8021HdrSrcMACAddr, 8021HdrSrcMACMask,
8021HdrDestMACAddr, 8021HdrDestMACMask,
8021HdrProtocolID, 8021HdrPriorityValue,
8021HDRVLANID
This property is an OctetString of size 6, representing a 48-bit source MAC address in canonical format. This value is compared to the SourceAddress field in the MAC header, subject to the mask represented in the 8021HdrSrcMACMask property.
このプロパティは、サイズ6のオクテットストリングで、標準形式の48ビットソースMACアドレスを表しています。この値は、MacヘッダーのSourceaddressフィールドと比較され、8021HDRSRCMACMASKプロパティに表されるマスクを条件としています。
If a value for this property is not provided, then the filter does not consider 8021HdrSrcMACAddr in selecting matching packets, i.e., 8021HdrSrcMACAddr matches for all values.
このプロパティの値が提供されていない場合、フィルターは一致するパケットの選択に8021HDRSRCMACADDRを考慮しません。つまり、すべての値に対して8021HDRSRCMACADDR一致します。
This property is an OctetString of size 6, representing a 48-bit mask to be used in comparing the SourceAddress field in the MAC header with the value represented in the 8021HdrSrcMACAddr property.
このプロパティは、MacヘッダーのSourceaddressフィールドを8021HDRSRCMACADDRプロパティに表す値と比較する際に使用される48ビットマスクを表すサイズ6のオクテットストリングです。
If a value for this property is not provided, then the filter does not consider 8021HdrSrcMACMask in selecting matching packets, i.e., the value of 8021HdrSrcMACAddr must match the source MAC address in the packet exactly.
このプロパティの値が提供されていない場合、フィルターはマッチングパケットを選択する際に8021HDRSRCMACMASKを考慮しません。つまり、8021HDRSRCMACADDRの値は、パケットのソースMACアドレスと正確に一致する必要があります。
This property is an OctetString of size 6, representing a 48-bit destination MAC address in canonical format. This value is compared to the DestinationAddress field in the MAC header, subject to the mask represented in the 8021HdrDestMACMask property.
このプロパティは、サイズ6のオクテットストリングで、標準形式の48ビットの宛先MACアドレスを表しています。この値は、8021HDRDESTMACMASKプロパティに表されるマスクを条件として、MACヘッダーのDestateNageAddressフィールドと比較されます。
If a value for this property is not provided, then the filter does not consider 8021HdrDestMACAddr in selecting matching packets, i.e., 8021HdrDestMACAddr matches for all values.
このプロパティの値が提供されていない場合、フィルターは一致パケットの選択で8021HDRDESTMACADDRを考慮しません。
This property is an OctetString of size 6, representing a 48-bit mask to be used in comparing the DestinationAddress field in the MAC header with the value represented in the 8021HdrDestMACAddr property.
このプロパティは、MACヘッダーのDestivinationAddressフィールドと8021HDRDESTMACADDRプロパティで表される値と比較する際に使用される48ビットマスクを表すサイズ6のオクテットストリングです。
If a value for this property is not provided, then the filter does not consider 8021HdrDestMACMask in selecting matching packets, i.e., the value of 8021HdrDestMACAddr must match the destination MAC address in the packet exactly.
このプロパティの値が提供されていない場合、フィルターは一致するパケットを選択する際に8021HDRDESTMACMASKを考慮しません。つまり、8021HDRDESTMACADDRの値は、パケットの宛先MACアドレスと正確に一致する必要があります。
This property is a 16-bit unsigned integer, representing an Ethernet protocol type. This value is compared to the Ethernet Type field in the 802.3 MAC header.
このプロパティは、イーサネットプロトコルタイプを表す16ビットの署名の整数です。この値は、802.3 Macヘッダーのイーサネット型フィールドと比較されます。
If a value for this property is not provided, then the filter does not consider 8021HdrProtocolID in selecting matching packets, i.e., 8021HdrProtocolID matches for all values.
このプロパティの値が提供されていない場合、フィルターは一致するパケットの選択に8021HDRProtocolid、つまりすべての値の8021HDRProtocolid一致を考慮しません。
This property is an 8-bit unsigned integer, representing an 802.1Q priority. This value is compared to the Priority field in the 802.1Q header. Since the 802.1Q Priority field consists of 3 bits, the values for this property are limited to the range 0..7.
このプロパティは、80ビットの署名された整数であり、802.1Qの優先度を表しています。この値は、802.1Qヘッダーの優先度フィールドと比較されます。802.1Q優先度フィールドは3ビットで構成されているため、このプロパティの値は範囲0..7に制限されています。
If a value for this property is not provided, then the filter does not consider 8021HdrPriorityValue in selecting matching packets, i.e., 8021HdrPriorityValue matches for all values.
このプロパティの値が提供されていない場合、フィルターは一致パケットの選択で8021HDRPRIORITYVALUE、つまりすべての値の8021HDRPRIORITYVALUEマッチを考慮しません。
This property is a 32-bit unsigned integer, representing an 802.1Q VLAN Identifier. This value is compared to the VLAN ID field in the 802.1Q header. Since the 802.1Q VLAN ID field consists of 12 bits, the values for this property are limited to the range 0..4095.
このプロパティは、802.1Q VLAN識別子を表す32ビットの非署名整数です。この値は、802.1QヘッダーのVLAN IDフィールドと比較されます。802.1Q VLAN IDフィールドは12ビットで構成されているため、このプロパティの値は0..4095の範囲に制限されています。
If a value for this property is not provided, then the filter does not consider 8021HdrVLANID in selecting matching packets, i.e., 8021HdrVLANID matches for all values.
このプロパティの値が提供されていない場合、フィルターは一致するパケットを選択する際に8021HDRVLANID、つまりすべての値に対して8021HDRVLANID一致を考慮しません。
This is a concrete class that aggregates instances of (subclasses of) FilterEntryBase via the aggregation EntriesInFilterList. It is possible to aggregate different types of filters into a single FilterList - for example, packet header filters (represented by the IpHeadersFilter class) and security filters (represented by subclasses of FilterEntryBase defined by IPsec).
これは、Aggregation entriesInfilterListを介して(サブクラスの)filterentrybaseのインスタンスを集約する具体的なクラスです。さまざまなタイプのフィルターを単一のフィルターリストに集約することができます - たとえば、パケットヘッダーフィルター(iPheadersFilterクラスで表される)とセキュリティフィルター(IPSECで定義されたFilterEntryBaseのサブクラスで表されます)。
The aggregation property EntriesInFilterList.EntrySequence is always set to 0, to indicate that the aggregated filter entries are ANDed together to form a selector for a class of traffic.
Aggregation Property entriesInFilterList.EntrySequenceは常に0に設定されており、集約されたフィルターエントリが一緒にAndedであり、トラフィックのクラスのセレクターを形成します。
The class definition is as follows:
クラスの定義は次のとおりです。
NAME FilterList
DESCRIPTION A concrete class representing
the aggregation of multiple filters.
DERIVED FROM LogicalElement
TYPE Concrete
PROPERTIES Direction
This property is a 16-bit unsigned integer enumeration, representing the direction of the traffic flow to which the FilterList is to be applied. Defined enumeration values are
このプロパティは、フィルターリストを適用するトラフィックフローの方向を表す16ビットの署名のない整数列挙です。定義された列挙値は次のとおりです
o NotApplicable(0) o Input(1) o Output(2) o Both(3) - This value is used to indicate that the direction is immaterial, e.g., to filter on a source subnet regardless of whether the flow is inbound or outbound o Mirrored(4) - This value is also applicable to both inbound and outbound flow processing, but it indicates that the filter criteria are applied asymmetrically to traffic in both directions and, thus, specifies the reversal of source and destination criteria (as opposed to the equality of these criteria as indicated by "Both"). The match conditions in the aggregated FilterEntryBase subclass instances are defined from the perspective of outbound flows and applied to inbound flows as well by reversing the source and destination criteria. So, for example, consider a FilterList with 3 filter entries indicating destination port = 80, and source and destination addresses of a and b, respectively. Then, for the outbound direction, the filter entries match as specified and the 'mirror' (for the inbound direction) matches on source port = 80 and source and destination addresses of b and a, respectively.
o 適用可能(0)o入力(1)o出力(2)o両方(3) - この値は、方向が重要ではないことを示すために使用されます。ミラー(4) - この値は、インバウンドフロー処理とアウトバウンドフロー処理の両方にも適用できますが、フィルター基準が両方向のトラフィックに非対称的に適用されることを示しているため、ソースおよび宛先基準の反転を指定します(「両方」で示されるこれらの基準の平等)。集約されたFilterentryBaseサブクラスインスタンスの一致条件は、アウトバウンドフローの観点から定義され、ソースと宛先の基準を逆にすることにより、インバウンドフローにも適用されます。したがって、たとえば、宛先ポート= 80を示す3つのフィルターエントリと、それぞれAとBのソースと宛先アドレスを示すフィルターリストを検討してください。次に、アウトバウンド方向の場合、指定されたフィルターエントリが一致し、「ミラー」(インバウンド方向の場合)は、ソースポート= 80とBおよびAのソースと宛先アドレスのそれぞれ一致します。
The following definitions supplement those in PCIM itself. PCIM definitions that are not DEPRECATED here are still current parts of the overall Policy Core Information Model.
次の定義は、PCIM自体の定義を補完します。ここで非推奨されていないPCIM定義は、全体的なポリシーコア情報モデルの現在の部分です。
PolicySetComponent is a new aggregation class that collects instances of PolicySet subclasses (PolicyGroups and PolicyRules) into coherent sets of policies.
PolicySetComponentは、PolicySetサブクラス(ポリシーグループとPolicyrules)のインスタンスをコヒーレントなポリシーセットに収集する新しい集約クラスです。
NAME PolicySetComponent DESCRIPTION A concrete class representing the components of a policy set that have the same decision strategy, and are prioritized within the set. DERIVED FROM PolicyComponent ABSTRACT FALSE PROPERTIES GroupComponent[ref PolicySet[0..n]] PartComponent[ref PolicySet[0..n]] Priority
名前PolicySetComponentの説明同じ決定戦略を持ち、セット内で優先順位を付けるポリシーセットのコンポーネントを表す具体的なクラス。PolicyComponentから派生誤った偽のプロパティグループコンポーネント[Ref PolicySet [0..N]] PartComponent [Ref PolicySet [0..N]]優先順位
The definition of the Priority property is unchanged from its previous definition in [PCIM].
優先プロパティの定義は、[PCIM]の以前の定義から変更されていません。
NAME Priority
DESCRIPTION A non-negative integer for prioritizing this
PolicySet component relative to other components of
the same PolicySet. A larger value indicates a
higher priority.
SYNTAX uint16
DEFAULT VALUE 0
The new aggregation PolicySetComponent is used directly to represent aggregation of PolicyGroups by a higher-level PolicyGroup. Thus the aggregation PolicyGroupInPolicyGroup is no longer needed, and can be deprecated.
新しい集約PolicySetComponentは、高レベルのポリシーグループによるポリシーグループの集合を表すために直接使用されます。したがって、集約PolicyGroupinPolicyGroupはもはや必要なく、非推奨になります。
NAME PolicyGroupInPolicyGroup DEPRECATED FOR PolicySetComponent DESCRIPTION A class representing the aggregation of PolicyGroups by a higher-level PolicyGroup. DERIVED FROM PolicyComponent ABSTRACT FALSE PROPERTIES GroupComponent[ref PolicyGroup[0..n]] PartComponent[ref PolicyGroup[0..n]]
PolicySetComponentのためにPolicyGroupinPolicyGroupが非推奨されています。PolicyComponent Abstract False Properties GroupComponent [Ref PolicyGroup [0..N]] PartComponent [Ref PolicyGroup [0..N]]から派生
The new aggregation PolicySetComponent is used directly to represent aggregation of PolicyRules by a PolicyGroup. Thus the aggregation PolicyRuleInPolicyGroup is no longer needed, and can be deprecated.
新しい集約PolicySetComponentは、政策グループによる政策の集合を表すために直接使用されます。したがって、凝集PolicyruleinPolicyGroupはもはや必要なく、非推奨になります。
NAME PolicyRuleInPolicyGroup DEPRECATED FOR PolicySetComponent DESCRIPTION A class representing the aggregation of PolicyRules by a PolicyGroup. DERIVED FROM PolicyComponent ABSTRACT FALSE PROPERTIES GroupComponent[ref PolicyGroup[0..n]] PartComponent[ref PolicyRule[0..n]]
PolicySetComponentのために廃止された名前のpolicyruleinpolicygroupの説明Policygroupによる政策の集約を表すクラス。PolicyComponent Abstract False Properties GroupComponent [Ref PolicyGroup [0..N]] PartComponent [Ref Policyrule [0..N]]から派生
PolicySetInSystem is a new association that defines a relationship between a System and a PolicySet used in the administrative scope of that system (e.g., AdminDomain, ComputerSystem). The Priority property is used to assign a relative priority to a PolicySet within the administrative scope in contexts where it is not a component of another PolicySet.
PolicySetinsystemは、システムとそのシステムの管理範囲(例:Admindomain、Computersystem)で使用される政策セットとの関係を定義する新しい関連付けです。優先プロパティは、別のポリシーのコンポーネントではないコンテキストで、管理範囲内の政策セットに相対的な優先度を割り当てるために使用されます。
NAME PolicySetInSystem DESCRIPTION An abstract class representing the relationship between a System and a PolicySet that is used in the administrative scope of the System. DERIVED FROM PolicyInSystem ABSTRACT TRUE PROPERTIES Antecedent[ref System[0..1]] Dependent [ref PolicySet[0..n]] Priority
名前PolicySetinsystemの説明システムとシステムの管理範囲で使用される政策との関係を表す抽象クラス。Policyinsystem Abstract True Properties Antecedent [Ref System [0..1]]依存[Ref PolicySet [0..N]]優先事項から派生
The Priority property is used to specify the relative priority of the referenced PolicySet when there are more than one PolicySet instances applied to a managed resource that are not PolicySetComponents and, therefore, have no other relative priority defined.
優先プロパティは、参照されるポリシーの相対的な優先度を指定するために使用されます。
NAME Priority
DESCRIPTION A non-negative integer for prioritizing the
referenced PolicySet among other PolicySet
instances that are not components of a common
PolicySet. A larger value indicates a higher
priority.
SYNTAX uint16
DEFAULT VALUE 0
Regardless of whether it a component of another PolicySet, a PolicyGroup is itself defined within the scope of a System. This association links a PolicyGroup to the System in whose scope the PolicyGroup is defined. It is a subclass of the abstract PolicySetInSystem association. The class definition for the association is as follows: NAME PolicyGroupInSystem DESCRIPTION A class representing the fact that a PolicyGroup is defined within the scope of a System. DERIVED FROM PolicySetInSystem ABSTRACT FALSE PROPERTIES Antecedent[ref System[1..1]] Dependent [ref PolicyGroup[weak]]
別のポリシーのコンポーネントであるかどうかにかかわらず、ポリシーグループはそれ自体がシステムの範囲内で定義されます。この協会は、ポリシーグループをポリシーグループが定義されているシステムにリンクしています。これは、抽象的なPolicytinsystem Associationのサブクラスです。協会のクラス定義は次のとおりです。名前PolicyGroupInsystemの説明説明ポリシーグループがシステムの範囲内で定義されているという事実を表すクラス。PolicySetinsystemから派生抽象的な偽のプロパティAntecedent [Ref System [1..1]]依存[Ref PolicyGroup [weak]]
The Reference "Antecedent" is inherited from PolicySetInSystem, and overridden to restrict its cardinality to [1..1]. It serves as an object reference to a System that provides a scope for one or more PolicyGroups. Since this is a weak association, the cardinality for this object reference is always 1, that is, a PolicyGroup is always defined within the scope of exactly one System.
参照「前件」は、政策組織システムから継承され、そのカーディナリティを[1..1]に制限するためにオーバーライドされています。これは、1つ以上のポリシーグループの範囲を提供するシステムへのオブジェクト参照として機能します。これは弱い関連であるため、このオブジェクト参照のカーディナリティは常に1です。つまり、ポリシーグループは常に1つのシステムの範囲内で定義されます。
The Reference "Dependent" is inherited from PolicySetInSystem, and overridden to become an object reference to a PolicyGroup defined within the scope of a System. Note that for any single instance of the association class PolicyGroupInSystem, this property (like all reference properties) is single-valued. The [0..n] cardinality indicates that a given System may have 0, 1, or more than one PolicyGroups defined within its scope.
参照「依存」は、PolicySetinsystemから継承され、システムの範囲内で定義されたポリシーグループへのオブジェクト参照になるように無効にされます。Association Class PolicyGroupInsystemの単一のインスタンスでは、このプロパティ(すべての参照プロパティと同様)が単一値であることに注意してください。[0..n]カーディナリティは、特定のシステムに、その範囲内で定義されている0、1、または複数のポリシーグループがあることを示しています。
Regardless of whether it a component of another PolicySet, a PolicyRule is itself defined within the scope of a System. This association links a PolicyRule to the System in whose scope the PolicyRule is defined. It is a subclass of the abstract PolicySetInSystem association. The class definition for the association is as follows:
それが別の政策セットのコンポーネントであるかどうかにかかわらず、Policyruleはそれ自体がシステムの範囲内で定義されています。この関連付けは、Policyruleをシステムにリンクしており、その範囲がPolicyruleが定義されています。これは、抽象的なPolicytinsystem Associationのサブクラスです。協会のクラス定義は次のとおりです。
NAME PolicyRuleInSystem DESCRIPTION A class representing the fact that a PolicyRule is defined within the scope of a System. DERIVED FROM PolicySetInSystem ABSTRACT FALSE PROPERTIES Antecedent[ref System[1..1]] Dependent[ref PolicyRule[weak]]
名前PolicyRuleInsystemの説明システムの範囲内でPolicyruleが定義されているという事実を表すクラス。PolicySetinsystemから導出されたAbstract False Properties Antecedent [Ref System [1..1]]依存[Ref Policyrule [弱い]]
The Reference "Antecedent" is inherited from PolicySetInSystem, and overridden to restrict its cardinality to [1..1]. It serves as an object reference to a System that provides a scope for one or more PolicyRules. Since this is a weak association, the cardinality for this object reference is always 1, that is, a PolicyRule is always defined within the scope of exactly one System.
参照「前件」は、政策組織システムから継承され、そのカーディナリティを[1..1]に制限するためにオーバーライドされています。これは、1つ以上の政策の範囲を提供するシステムへのオブジェクト参照として機能します。これは弱い関連であるため、このオブジェクト参照のカーディナリティは常に1です。つまり、Policyruleは常に1つのシステムの範囲内で定義されます。
The Reference "Dependent" is inherited from PolicySetInSystem, and overridden to become an object reference to a PolicyRule defined within the scope of a System. Note that for any single instance of the association class PolicyRuleInSystem, this property (like all Reference properties) is single-valued. The [0..n] cardinality indicates that a given System may have 0, 1, or more than one PolicyRules defined within its scope.
参照「依存」は、PolicySetinsystemから継承され、システムの範囲内で定義されたPolicyruleへのオブジェクト参照になるようにオーバーライドされます。Association Class PolicyruleInsystemの単一のインスタンスでは、このプロパティ(すべての参照プロパティと同様)が単一値であることに注意してください。[0..n]カーディナリティは、特定のシステムがその範囲内で定義されている0、1、または複数の政策を持っていることを示しています。
NAME PolicyConditionStructure DESCRIPTION A class representing the aggregation of PolicyConditions by an aggregating instance. DERIVED FROM PolicyComponent ABSTRACT TRUE PROPERTIES PartComponent[ref PolicyCondition[0..n]] GroupNumber ConditionNegated 7.8. Update PCIM's Aggregation "PolicyConditionInPolicyRule"
名前PolicyConditionStructure説明集約インスタンスによるPolicyConditionsの集約を表すクラス。PolicyComponent Abstract True Properties PartComponent [Ref PolicyCondition [0..N]]から導出されたGroupNumber条件7.8。PCIMの集約「PolicyConditionInpolicyrule」を更新する
The PCIM aggregation "PolicyConditionInPolicyRule" is updated, to make it a subclass of the new abstract aggregation PolicyConditionStructure. The properties GroupNumber and ConditionNegated are now inherited, rather than specified explicitly as they were in PCIM.
PCIM集約「PolicyConditionInpolicyrule」が更新され、新しい抽象集計PolicyConditionStructureのサブクラスになります。PCIMにあるように明示的に指定されているのではなく、グループ数と条件付きプロパティが継承されました。
NAME PolicyConditionInPolicyRule DESCRIPTION A class representing the aggregation of PolicyConditions by a PolicyRule. DERIVED FROM PolicyConditionStructure ABSTRACT FALSE PROPERTIES GroupComponent[ref PolicyRule[0..n]]
名前policyconditioninpolicyrule説明Policyruleによる政策条件の集合を表すクラス。PolicyConditionStructure Abstract False Propertiesグループコンポーネント[Ref Policyrule [0..N]]から派生
A second subclass of PolicyConditionStructure is defined, representing the compounding of policy conditions into a higher-level policy condition.
PolicyConditionStructureの2番目のサブクラスが定義されており、ポリシー条件の高レベルのポリシー条件への複利を表しています。
NAME PolicyConditionInPolicyCondition DESCRIPTION A class representing the aggregation of PolicyConditions by another PolicyCondition. DERIVED FROM PolicyConditionStructure ABSTRACT FALSE PROPERTIES GroupComponent[ref CompoundPolicyCondition[0..n]]
名前PolicyConditionInPolicycondition説明別のPolicyconditionによる政策条件の集約を表すクラス。PolicyConditionStructure Abstract False Properties GroupComponent [Ref computionPolicycontition [0..N]]から導出されました。
NAME PolicyActionStructure DESCRIPTION A class representing the aggregation of PolicyActions by an aggregating instance. DERIVED FROM PolicyComponent ABSTRACT TRUE PROPERTIES PartComponent[ref PolicyAction[0..n]] ActionOrder
名前policyctionsTructure説明集約インスタンスによるポリシーの集約を表すクラス。PolicyComponent Abstract True Properties PartComponent [Ref Policyaction [0..N]] ActionOrderから派生
The definition of the ActionOrder property appears in Section 7.8.3 of PCIM [1].
アクションオーダープロパティの定義は、PCIM [1]のセクション7.8.3に表示されます。
The PCIM aggregation "PolicyActionInPolicyRule" is updated, to make it a subclass of the new abstract aggregation PolicyActionStructure. The property ActionOrder is now inherited, rather than specified explicitly as it was in PCIM.
PCIMの集約「PolicyactionInPolicyrule」が更新され、新しい抽象集約PolicationTructureのサブクラスになります。プロパティアクションオーダーは、PCIMのように明示的に指定されるのではなく、継承されます。
NAME PolicyActionInPolicyRule DESCRIPTION A class representing the aggregation of PolicyActions by a PolicyRule. DERIVED FROM PolicyActionStructure ABSTRACT FALSE PROPERTIES GroupComponent[ref PolicyRule[0..n]]
名前PolicycractionInPolicyrule説明Policyruleによる政策の集約を表すクラス。PolicyctionsTructure Abstract False Properties GroupComponent [Ref Policyrule [0..N]]から派生
A second subclass of PolicyActionStructure is defined, representing the compounding of policy actions into a higher-level policy action.
PolicycationStructureの2番目のサブクラスが定義されており、ポリシーアクションの高レベルのポリシーアクションへの複利を表しています。
NAME PolicyActionInPolicyAction DESCRIPTION A class representing the aggregation of PolicyActions by another PolicyAction. DERIVED FROM PolicyActionStructure ABSTRACT FALSE PROPERTIES GroupComponent[ref CompoundPolicyAction[0..n]]
名前policycactionInPolicyAction説明別のポリシーによるポリシーの集約を表すクラス。PolicyctionsTructure Abstract False Properties GroupComponent [Ref computionPolicyaction [0..N]]から派生
A simple policy condition is represented as an ordered triplet {variable, operator, value}. This aggregation provides the linkage between a SimplePolicyCondition instance and a single PolicyVariable. The aggregation PolicyValueInSimplePolicyCondition links the SimplePolicyCondition to a single PolicyValue. The Operator property of SimplePolicyCondition represents the third element of the triplet, the operator.
単純なポリシー条件は、順序付けられたトリプレット{変数、演算子、値}として表されます。この集約は、SimplePolicyconditionインスタンスと単一のPolicyVariableとの間のリンクを提供します。集約PolicyValueInsimplePolicyconditionは、SimplePolicyconditionを単一のポリシーバリューにリンクします。SimplePolicyconditionのオペレータープロパティは、トリプレットの3番目の要素であるオペレーターを表します。
The class definition for this aggregation is as follows:
この集約のクラス定義は次のとおりです。
NAME PolicyVariableInSimplePolicyCondition DERIVED FROM PolicyComponent ABSTRACT False PROPERTIES GroupComponent[ref SimplePolicyCondition[0..n]] PartComponent[ref PolicyVariable[1..1] ]
POLICALVARIALIABLE INSIMPLEPOLICYCONDITION POLICYComponent Abstract False Propertiesグループコンポーネント[Ref SimplePolicyCondition [0..N]] PartComponent [Ref PolicyVariable [1..1]]
The reference property "GroupComponent" is inherited from PolicyComponent, and overridden to become an object reference to a SimplePolicyCondition that contains exactly one PolicyVariable. Note that for any single instance of the aggregation class PolicyVariableInSimplePolicyCondition, this property is single-valued. The [0..n] cardinality indicates that there may be 0, 1, or more SimplePolicyCondition objects that contain any given policy variable object.
参照プロパティ「グループコンポーネント」はPolicyComponentから継承され、無効にされ、PolicyVariableと正確に1つのPolicyPolicycoonditionのオブジェクト参照になります。集約クラスPolicyVariaibleInsimplePolicycoonditionの単一のインスタンスでは、このプロパティは単一値であることに注意してください。[0..n]カーディナリティは、特定のポリシー変数オブジェクトを含む0、1、またはより単純なパリココンディションオブジェクトが存在する可能性があることを示しています。
The reference property "PartComponent" is inherited from PolicyComponent, and overridden to become an object reference to a PolicyVariable that is defined within the scope of a SimplePolicyCondition. Note that for any single instance of the association class PolicyVariableInSimplePolicyCondition, this property (like all reference properties) is single-valued. The [1..1] cardinality indicates that a SimplePolicyCondition must have exactly one policy variable defined within its scope in order to be meaningful.
参照プロパティ「PartComponent」はPolicyComponentから継承され、無効にされて、単純なポリシコ条件の範囲内で定義されるPolicyVariableへのオブジェクト参照になります。Association Class PolicyVariaibleInsimplePolicycoonditionの単一のインスタンスでは、このプロパティ(すべての参照プロパティと同様)が単一値であることに注意してください。[1..1] Cardinalityは、シンプルポールコンディショニングに、意味があるためにその範囲内で定義されたポリシー変数が正確に1つあることを示しています。
A simple policy condition is represented as an ordered triplet {variable, operator, value}. This aggregation provides the linkage between a SimplePolicyCondition instance and a single PolicyValue. The aggregation PolicyVariableInSimplePolicyCondition links the SimplePolicyCondition to a single PolicyVariable. The Operator property of SimplePolicyCondition represents the third element of the triplet, the operator.
単純なポリシー条件は、順序付けられたトリプレット{変数、演算子、値}として表されます。この集約は、SimplePolicyconditionインスタンスと単一のポリシーバリューとの間のリンクを提供します。集約PolicyVariaibleInsimplePolicyconditionは、SimplePolicyconditionを単一のPolicyVariableにリンクします。SimplePolicyconditionのオペレータープロパティは、トリプレットの3番目の要素であるオペレーターを表します。
The class definition for this aggregation is as follows:
この集約のクラス定義は次のとおりです。
NAME PolicyValueInSimplePolicyCondition DERIVED FROM PolicyComponent ABSTRACT False PROPERTIES GroupComponent[ref SimplePolicyCondition[0..n]] PartComponent[ref PolicyValue[1..1] ]
PolicyValueInsimplePolicycondition PolicyComponent Abstract False Propertiesグループコンポーネント[Ref SimplePolicyCondition [0..N]] PartComponent [Ref PolicyValue [1..1]]]
The reference property "GroupComponent" is inherited from PolicyComponent, and overridden to become an object reference to a SimplePolicyCondition that contains exactly one PolicyValue. Note that for any single instance of the aggregation class PolicyValueInSimplePolicyCondition, this property is single-valued. The [0..n] cardinality indicates that there may be 0, 1, or more SimplePolicyCondition objects that contain any given policy value object.
参照プロパティ「グループコンポーネント」はPolicyComponentから継承され、1つのポリシーバリューを含むSimplePolicycoonditionのオブジェクト参照になります。集約クラスPolicyInsimplePolicycoonditionの単一のインスタンスでは、このプロパティは単一値であることに注意してください。[0..n]カーディナリティは、特定のポリシー値オブジェクトを含む0、1、またはより単純なパリココンディションオブジェクトがある可能性があることを示しています。
The reference property "PartComponent" is inherited from PolicyComponent, and overridden to become an object reference to a PolicyValue that is defined within the scope of a SimplePolicyCondition. Note that for any single instance of the association class PolicyValueInSimplePolicyCondition, this property (like all reference properties) is single-valued. The [1..1] cardinality indicates that a SimplePolicyCondition must have exactly one policy value defined within its scope in order to be meaningful.
参照プロパティ「partcomponent」はPolicycomponentから継承され、無効にされ、単純なポリシコ条件の範囲内で定義されているポリシーバリューへのオブジェクト参照になります。Association Class PolicyInsimplePolicycoonditionの単一のインスタンスでは、このプロパティ(すべての参照プロパティと同様)が単一値であることに注意してください。[1..1]枢機inalは、意味のあるものになるためには、単純なポリシー値がその範囲内で定義されたポリシー値を正確に1つ持っている必要があることを示しています。
A simple policy action is represented as a pair {variable, value}. This aggregation provides the linkage between a SimplePolicyAction instance and a single PolicyVariable. The aggregation PolicyValueInSimplePolicyAction links the SimplePolicyAction to a single PolicyValue.
単純なポリシーアクションは、ペア{変数、値}として表されます。この集約は、SimplePolicyactionインスタンスと単一のPolicyVariableとの間のリンクを提供します。集約PolicyValueInsimplePolicyactionは、SimplePolicyactionを単一のポリシーバリューにリンクします。
The class definition for this aggregation is as follows:
この集約のクラス定義は次のとおりです。
NAME PolicyVariableInSimplePolicyAction DERIVED FROM PolicyComponent ABSTRACT False PROPERTIES GroupComponent[ref SimplePolicyAction[0..n]] PartComponent[ref PolicyVariable[1..1] ]
PolicyCompontentから派生したPolicyVariaiveIninsimplePolicyaction Abstract false Propertiesグループコンポーネント[Ref SimplePolicyAction [0..N]] PartComponent [Ref PolicyVariable [1..1]]
The reference property "GroupComponent" is inherited from PolicyComponent, and overridden to become an object reference to a SimplePolicyAction that contains exactly one PolicyVariable. Note that for any single instance of the aggregation class PolicyVariableInSimplePolicyAction, this property is single-valued. The [0..n] cardinality indicates that there may be 0, 1, or more SimplePolicyAction objects that contain any given policy variable object.
参照プロパティ「グループコンポーネント」はPolicyComponentから継承され、無効にされ、1つのPolicyVariableを含むSimplePolicyactionのオブジェクト参照になります。集約クラスPolicyVariaibleInsimplePolicyyactionの単一のインスタンスでは、このプロパティは単一値であることに注意してください。[0..n]カーディナリティは、特定のポリシー変数オブジェクトを含む0、1、またはより単純なポリティクションオブジェクトが存在する可能性があることを示しています。
The reference property "PartComponent" is inherited from PolicyComponent, and overridden to become an object reference to a PolicyVariable that is defined within the scope of a SimplePolicyAction. Note that for any single instance of the association class PolicyVariableInSimplePolicyAction, this property (like all reference properties) is single-valued. The [1..1] cardinality indicates that a SimplePolicyAction must have exactly one policy variable defined within its scope in order to be meaningful.
参照プロパティ「PartComponent」はPolicyComponentから継承され、単純なポリヤク症の範囲内で定義されるPolicyVariableへのオブジェクト参照になるようにオーバーライドされます。Association Class PolicyVariaibleInsimplePolicycactionの単一のインスタンスでは、このプロパティ(すべての参照プロパティと同様)が単一値であることに注意してください。[1..1]カーディナリティは、シンプルポリティクションには、意味があるためにその範囲内で定義されたポリシー変数が正確に1つあることを示しています。
A simple policy action is represented as a pair {variable, value}. This aggregation provides the linkage between a SimplePolicyAction instance and a single PolicyValue. The aggregation PolicyVariableInSimplePolicyAction links the SimplePolicyAction to a single PolicyVariable.
単純なポリシーアクションは、ペア{変数、値}として表されます。この集約は、SimplePolicyactionインスタンスと単一のポリシーバリューとの間のリンクを提供します。集約PolicyVariaibleInsimplePolicyactionは、SimplePolicyactionを単一のPolicyVariableにリンクします。
The class definition for this aggregation is as follows:
この集約のクラス定義は次のとおりです。
NAME PolicyValueInSimplePolicyAction DERIVED FROM PolicyComponent ABSTRACT False PROPERTIES GroupComponent[ref SimplePolicyAction[0..n]] PartComponent[ref PolicyValue[1..1] ]
PolicyCompontentから派生したfalsevalueinsimplepolicyaction abstract falseプロパティグループコンポーネント[Ref SimplePolicyAction [0..N]] PartComponent [Ref PolicyValue [1..1]]]
The reference property "GroupComponent" is inherited from PolicyComponent, and overridden to become an object reference to a SimplePolicyAction that contains exactly one PolicyValue. Note that for any single instance of the aggregation class PolicyValueInSimplePolicyAction, this property is single-valued. The [0..n] cardinality indicates that there may be 0, 1, or more SimplePolicyAction objects that contain any given policy value object.
参照プロパティ「グループコンポーネント」はPolicyComponentから継承され、1つのポリシーバリューを含むsimplePolicyactionへのオブジェクト参照になります。集約クラスPolicyInsimplePolicyActionの単一のインスタンスでは、このプロパティは単一値であることに注意してください。[0..n]カーディナリティは、特定のポリシー値オブジェクトを含む0、1、またはより単純なポリティクションオブジェクトが存在する可能性があることを示しています。
The reference property "PartComponent" is inherited from PolicyComponent, and overridden to become an object reference to a PolicyValue that is defined within the scope of a SimplePolicyAction. Note that for any single instance of the association class PolicyValueInSimplePolicyAction, this property (like all reference properties) is single-valued. The [1..1] cardinality indicates that a SimplePolicyAction must have exactly one policy value defined within its scope in order to be meaningful.
参照プロパティ「PartComponent」はPolicyComponentから継承され、無効にされ、SimplePolicyactionの範囲内で定義されているPolicyValueへのオブジェクト参照になります。Association Class PolicyInsimplepolicyactionの任意の単一のインスタンスでは、このプロパティ(すべての参照プロパティと同様)が単一値であることに注意してください。[1..1]カーディナリティは、シンプルポリティクションには、意味があるためにその範囲内で定義されたポリシー値が正確に1つあることを示しています。
The association ReusablePolicy makes it possible to include any subclass of the abstract class "Policy" in a ReusablePolicyContainer.
協会の再利用可能なポリティにより、抽象クラスの「ポリシー」のサブクラスを再利用可能なポリシコンテイナーに含めることができます。
NAME ReusablePolicy DESCRIPTION A class representing the inclusion of a reusable policy element in a ReusablePolicyContainer. Reusable elements may be PolicyGroups, PolicyRules, PolicyConditions, PolicyActions, PolicyVariables, PolicyValues, or instances of any other subclasses of the abstract class Policy.
名前再利用可能なポリティ説明再利用可能なポリシー要素を再利用できるポリシー要素を含むクラス。再利用可能な要素は、抽象クラスポリシーの他のサブクラスのポリシーグループ、政策条件、政策条件、政策条件、ポリシーバブル、ポリシー値、またはインスタンスです。
DERIVED FROM PolicyInSystem ABSTRACT FALSE PROPERTIES Antecedent[ref ReusablePolicyContainer[0..1]]
PolicyInsystemから派生した抽象的な虚偽のプロパティアンティデント[Ref ReusablePolicyContainer [0..1]]
NAME PolicyConditionInPolicyRepository DEPRECATED FOR ReusablePolicy DESCRIPTION A class representing the inclusion of a reusable PolicyCondition in a PolicyRepository. DERIVED FROM PolicyInSystem ABSTRACT FALSE PROPERTIES Antecedent[ref PolicyRepository[0..1]] Dependent[ref PolicyCondition[0..n]]
名前PolicyConditionInpolicyrepositoryは、再利用可能な記述のために非推奨されています。PolicyInsystemから派生した誤った誤ったプロパティアンティデント[Ref PolicyRepository [0..1]]依存[Ref Policycondition [0..N]]
NAME PolicyActionInPolicyRepository DEPRECATED FOR ReusablePolicy DESCRIPTION A class representing the inclusion of a reusable PolicyAction in a PolicyRepository. DERIVED FROM PolicyInSystem ABSTRACT FALSE PROPERTIES Antecedent[ref PolicyRepository[0..1]] Dependent[ref PolicyAction[0..n]]
名前のpolicycractioninpolicyrepositoryは、再利用可能なポリティの説明のために非推奨されています。PolicyInsystemから派生した誤った誤ったプロパティアンティデント[Ref PolicyRepository [0..1]]依存[Ref Policycaction [0..N]]
This association links a PolicyValue object to a PolicyVariable object, modeling the set of expected values for that PolicyVariable. Using this association, a variable (instance) may be constrained to be bound- to/assigned only a set of allowed values. For example, modeling an enumerated source port variable, one creates an instance of the PolicySourcePortVariable class and associates with it the set of values (integers) representing the allowed enumeration, using appropriate number of instances of the ExpectedPolicyValuesForVariable association.
この関連付けは、PolicyValueオブジェクトをPolicyVariableオブジェクトにリンクし、そのPolicyVariableの期待値のセットをモデル化します。この関連付けを使用して、変数(インスタンス)は、許可された値のセットのみに拘束/割り当てられるように制約される場合があります。たとえば、列挙されたソースポート変数をモデル化すると、PolicySourcePortVariableクラスのインスタンスを作成し、許可された列挙を表す値(整数)のセット(予想されるPolicyValuesの適切な数のインスタンス)を使用して関連付けます。
Note that a single variable instance may be constrained by any number of values, and a single value may be used to constrain any number of variables. These relationships are manifested by the n-to-m cardinality of the association.
単一の変数インスタンスは、任意の数の値によって制約される場合があり、単一の値を使用して任意の数の変数を制約することができることに注意してください。これらの関係は、協会のN-T-M-M Cardinalityによって明らかにされています。
The purpose of this association is to support validation of simple policy conditions and simple policy actions, prior to their deployment to an enforcement point. This association, and the PolicyValue object that it refers to, plays no role when a PDP or a PEP is evaluating a simple policy condition, or executing a simple policy action. See Section 5.8.3 for more details on this point.
この協会の目的は、執行ポイントへの展開の前に、単純なポリシー条件と単純なポリシーアクションの検証をサポートすることです。この関連性、およびそれが言及するポリシーバリューオブジェクトは、PDPまたはPEPが単純なポリシー条件を評価したり、単純なポリシーアクションを実行したりしても役割を果たしません。この点の詳細については、セクション5.8.3を参照してください。
The class definition for the association is as follows:
協会のクラス定義は次のとおりです。
NAME ExpectedPolicyValuesForVariable DESCRIPTION A class representing the association of a set of expected values to a variable object. DERIVED FROM Dependency ABSTRACT FALSE PROPERTIES Antecedent [ref PolicyVariable[0..n]] Dependent [ref PolicyValue [0..n]]
name equictespolicyvalues forvariable説明は、期待値のセットと変数オブジェクトへの関連性を表すクラス。依存関係から導出された抽象的な誤ったプロパティアンティセント[Ref PolicyVariable [0..N]]依存[Ref PolicyValue [0..N]]
The reference property Antecedent is inherited from Dependency. Its type and cardinality are overridden to provide the semantics of a variable optionally having value constraints. The [0..n] cardinality indicates that any number of variables may be constrained by a given value.
参照プロパティの前件は、依存関係から継承されます。そのタイプとカーディナリティは、オプションで値の制約を持つ変数のセマンティクスを提供するためにオーバーライドされています。[0..n]カーディナリティは、特定の値によって任意の数の変数が制約される可能性があることを示しています。
The reference property "Dependent" is inherited from Dependency, and overridden to become an object reference to a PolicyValue representing the values that a particular PolicyVariable can have. The [0..n] cardinality indicates that a given policy variable may have 0, 1 or more than one PolicyValues defined to model the set(s) of values that the policy variable can take.
参照プロパティ「依存」は依存関係から継承され、特定のPolicyVariableが持つことができる値を表すポリシーバリューへのオブジェクト参照になります。[0..n] Cardinalityは、特定のポリシー変数が、ポリシー変数が取ることができる値のセットをモデル化するために定義された0、1、または複数のポリシー値を持っていることを示しています。
The aggregation ContainedDomain provides a means of nesting of one ReusablePolicyContainer inside another one. The aggregation is defined at the level of ReusablePolicyContainer's superclass, AdminDomain, to give it applicability to areas other than Core Policy.
集合体が含まれているドメインは、別のものの中にある再利用可能なポリシカンテナーをネストする手段を提供します。集約は、コアポリシー以外の領域に適用可能性を与えるために、再利用可能なポリクティナーのスーパークラスであるアドマインのレベルで定義されます。
NAME ContainedDomain DESCRIPTION A class representing the aggregation of lower level administrative domains by a higher-level AdminDomain. DERIVED FROM SystemComponent ABSTRACT FALSE PROPERTIES GroupComponent[ref AdminDomain [0..n]] PartComponent[ref AdminDomain [0..n]]
名前が含まれています。SystemComponent Abstract False Properties GroupComponent [Ref Admindomain [0..N]] PartComponent [Ref Admindomain [0..N]]から派生
NAME PolicyRepositoryInPolicyRepository DEPRECATED FOR ContainedDomain DESCRIPTION A class representing the aggregation of PolicyRepositories by a higher-level PolicyRepository. DERIVED FROM SystemComponent ABSTRACT FALSE PROPERTIES GroupComponent[ref PolicyRepository[0..n]] PartComponent[ref PolicyRepository[0..n]]
名前のPolicyyrepositoryinpolicyrepositoryが含まれているために廃止されました。SystemComponent Abstractから導出されたFalse Propertiesグループコンポーネント[Ref PolicyRepository [0..N]] PartComponent [Ref PolicyRepository [0..N]]
This aggregation is a specialization of the Component aggregation; it is used to define a set of filter entries (subclasses of FilterEntryBase) that are aggregated by a FilterList.
この集約は、コンポーネント集約の専門化です。これは、フィルターリストによって集約されているフィルターエントリのセット(FilterEntryBaseのサブクラス)を定義するために使用されます。
The cardinalities of the aggregation itself are 0..1 on the FilterList end, and 0..n on the FilterEntryBase end. Thus in the general case, a filter entry can exist without being aggregated into any FilterList. However, the only way a filter entry can figure in the PCIMe model is by being aggregated into a FilterList by this aggregation.
集約自体の基本は、フィルターリストの端で0..1、filterentrybase endで0..nです。したがって、一般的な場合、フィルターリストに集約することなくフィルターエントリが存在する可能性があります。ただし、PCIMEモデルでフィルターエントリが把握できる唯一の方法は、この集約によりフィルターリストに集約されることです。
The class definition for the aggregation is as follows:
集約のクラス定義は次のとおりです。
NAME EntriesInFilterList
DESCRIPTION An aggregation used to define a set of
filter entries (subclasses of
FilterEntryBase) that are aggregated by
a particular FilterList.
DERIVED FROM Component
ABSTRACT False
PROPERTIES GroupComponent[ref
FilterList[0..1]],
PartComponent[ref
FilterEntryBase[0..n],
EntrySequence
This property is overridden in this aggregation to represent an object reference to a FilterList object (instead of to the more generic ManagedSystemElement object defined in its superclass). It also restricts the cardinality of the aggregate to 0..1 (instead of the more generic 0-or-more), representing the fact that a filter entry always exists within the context of at most one FilterList.
このプロパティは、この集約では、スーパークラスで定義されているより一般的なmanagedsystemementオブジェクトの代わりに、フィルターリストオブジェクトへのオブジェクト参照を表すためにオーバーライドされます。また、集合体のカーディナリティを0..1に制限します(より一般的な0またはモアの代わりに)。これは、最大1つのフィルターリストのコンテキスト内にフィルターエントリが常に存在するという事実を表しています。
This property is overridden in this aggregation to represent an object reference to a FilterEntryBase object (instead of to the more generic ManagedSystemElement object defined in its superclass). This object represents a single filter entry, which may be aggregated with other filter entries to form the FilterList.
このプロパティは、この集合体でオーバーライドされ、SuperClassで定義されているより一般的なManageDsystemElementオブジェクトの代わりに、FilterEntryBaseオブジェクトへのオブジェクト参照を表します。このオブジェクトは、単一のフィルターエントリを表し、他のフィルターエントリと集約してフィルターリストを形成できます。
An unsigned 16-bit integer indicating the order of the filter entry relative to all others in the FilterList. The default value '0' indicates that order is not significant, because the entries in this FilterList are ANDed together.
フィルターリスト内の他のすべてのものと比較してフィルターエントリの順序を示す署名されていない16ビット整数。デフォルト値「0」は、このフィルターリストのエントリが一緒になっているため、注文が重要ではないことを示します。
The following aggregation is used to associate ManagedElements with a PolicyRoleCollection object that represents a role played by these ManagedElements.
次の集約は、これらのマネージデリメントが果たす役割を表すPolicyroleCollectionオブジェクトにマネージデリメントを関連付けるために使用されます。
NAME ElementInPolicyRoleCollection DESCRIPTION A class representing the inclusion of a ManagedElement in a collection, specified as having a given role. All the managed elements in the collection share the same role. DERIVED FROM MemberOfCollection ABSTRACT FALSE PROPERTIES Collection[ref PolicyRoleCollection [0..n]] Member[ref ManagedElement [0..n]]
名前elementInpolicyroleCollection説明特定の役割を持つものとして指定されたコレクションにマネージデリメントを含めることを表すクラス。コレクションのすべての管理された要素は同じ役割を共有しています。MemberOfCollection Abstract False Properties Collection [Ref PolicyroleCollection [0..N]]メンバー[Ref ManageDelement [0..N]]から派生
A PolicyRoleCollection is defined within the scope of a System. This association links a PolicyRoleCollection to the System in whose scope it is defined.
PolicyroleCollectionは、システムの範囲内で定義されます。この関連付けは、範囲が定義されているシステムにPolicyrolecollectionをリンクします。
When associating a PolicyRoleCollection with a System, this should be done consistently with the system that scopes the policy rules/groups that are applied to the resources in that collection. A PolicyRoleCollection is associated with the same system as the applicable PolicyRules and/or PolicyGroups, or to a System higher in the tree formed by the SystemComponent association.
Policyrolecollectionをシステムと関連付ける場合、これは、そのコレクションのリソースに適用されるポリシールール/グループを範囲するシステムと一貫して行う必要があります。PolicyroleCollectionは、該当するPolicyrulesおよび/またはPolicyGroupsと同じシステム、またはSystemComponent Associationによって形成されたツリーのより高いシステムに関連付けられています。
The class definition for the association is as follows: NAME PolicyRoleCollectionInSystem DESCRIPTION A class representing the fact that a PolicyRoleCollection is defined within the scope of a System. DERIVED FROM Dependency ABSTRACT FALSE PROPERTIES Antecedent[ref System[1..1]] Dependent[ref PolicyRoleCollection[weak]]
協会のクラス定義は次のとおりです。名前PolicyroleCollectionInsystemの説明説明PolicyroleCollectionがシステムの範囲内で定義されているという事実を表すクラス。依存関係から導出された抽象的な偽のプロパティアンティデント[Ref System [1..1]]依存[Ref PolicyroleCollection [weak]]
The reference property Antecedent is inherited from Dependency, and overridden to become an object reference to a System, and to restrict its cardinality to [1..1]. It serves as an object reference to a System that provides a scope for one or more PolicyRoleCollections. Since this is a weak association, the cardinality for this object reference is always 1, that is, a PolicyRoleCollection is always defined within the scope of exactly one System.
参照プロパティの前件は、依存関係から継承され、システムへのオブジェクト参照になり、そのカーディナリティを[1..1]に制限するためにオーバーライドされます。これは、1つ以上のPolicyrolecollectionsの範囲を提供するシステムへのオブジェクト参照として機能します。これは弱い関連であるため、このオブジェクト参照のカーディナリティは常に1です。つまり、ポリシーロールコンレクションは常に1つのシステムの範囲内で定義されます。
The reference property Dependent is inherited from Dependency, and overridden to become an object reference to a PolicyRoleCollection defined within the scope of a System. Note that for any single instance of the association class PolicyRoleCollectionInSystem, this property (like all Reference properties) is single-valued. The [0..n] cardinality indicates that a given System may have 0, 1, or more than one PolicyRoleCollections defined within its scope.
参照プロパティの依存は依存関係から継承され、システムの範囲内で定義されたポリシー溶解へのオブジェクト参照になるようにオーバーライドされます。Association Class PolicyroleCollectionInsystemの単一のインスタンスでは、このプロパティ(すべての参照プロパティと同様)は単一値であることに注意してください。[0..n]カーディナリティは、特定のシステムに、その範囲内で定義されている0、1、または複数のポリシーロールコレクションがあることを示しています。
The IETF takes no position regarding the validity or scope of any intellectual property or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; neither does it represent that it has made any effort to identify any such rights. Information on the IETF's procedures with respect to rights in standards-track and standards-related documentation can be found in BCP-11.
IETFは、知的財産またはその他の権利の有効性または範囲に関して、この文書に記載されているテクノロジーの実装または使用に関連すると主張される可能性のある他の権利、またはそのような権利に基づくライセンスに基づく免許にある範囲に関連する可能性があるという立場はありません。利用可能;また、そのような権利を特定するために努力したことも表明していません。標準トラックおよび標準関連のドキュメントの権利に関するIETFの手順に関する情報は、BCP-11に記載されています。
Copies of claims of rights made available for publication and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF Secretariat.
出版のために利用可能にされた権利の請求のコピーと、利用可能になるライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得するための試みの結果を取得できますIETF事務局から。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights which may cover technology that may be required to practice this standard. Please address the information to the IETF Executive Director.
IETFは、関心のある当事者に、この基準を実践するために必要な技術をカバーする可能性のある著作権、特許、または特許出願、またはその他の独自の権利を注意深く招待するよう招待しています。情報をIETFエグゼクティブディレクターに宛ててください。
The starting point for this document was PCIM itself [1], and the first three submodels derived from it [11], [12], [13]. The authors of these documents created the extensions to PCIM, and asked the questions about PCIM, that are reflected in PCIMe.
このドキュメントの出発点はPCIM自体[1]であり、最初の3つのサブモデルは[11]、[12]、[13]から派生しました。これらのドキュメントの著者は、PCIMへの拡張機能を作成し、PCIMEに反映されるPCIMについて質問しました。
This document includes text written by a number of authors (including the editor), that was subsequently merged by the editor. The following people contributed text to this document:
このドキュメントには、多くの著者(編集者を含む)によって書かれたテキストが含まれており、その後編集者によって統合されました。次の人々がこのドキュメントにテキストを提供しました:
Lee Rafalow IBM Corporation, BRQA/501 4205 S. Miami Blvd. Research Triangle Park, NC 27709
Lee Rafalow IBM Corporation、BRQA/501 4205 S. Miami Blvd.研究トライアングルパーク、ノースカロライナ州27709
Phone: +1 919-254-4455
Fax: +1 919-254-6243
EMail: rafalow@us.ibm.com
Yoram Ramberg Cisco Systems 4 Maskit Street Herzliya Pituach, Israel 46766
Yoram Ramberg Cisco Systems 4 Maskit Street Herzliya Pituach、イスラエル46766
Phone: +972-9-970-0081
Fax: +972-9-970-0219
EMail: yramberg@cisco.com
Yoram Snir Cisco Systems 4 Maskit Street Herzliya Pituach, Israel 46766
Yoram Snir Cisco Systems 4 Maskit Street Herzliya Pituach、イスラエル46766
Phone: +972-9-970-0085 Fax: +972-9-970-0366 EMail: ysnir@cisco.com Andrea Westerinen Cisco Systems Building 20 725 Alder Drive Milpitas, CA 95035
電話:972-9-970-0085ファックス:972-9-970-0366メール:ysnir@cisco.comアンドレアウェスターリネンシスコシステムビルディング20 725 Alder Drive Milpitas、CA 95035
Phone: +1-408-853-8294
Fax: +1-408-527-6351
EMail: andreaw@cisco.com
Ritu Chadha Telcordia Technologies MCC 1J-218R 445 South Street Morristown NJ 07960.
Ritu Chadha Telcordia Technologies MCC 1J-218R 445 South Street Morristown NJ 07960。
Phone: +1-973-829-4869
Fax: +1-973-829-5889
EMail: chadha@research.telcordia.com
Marcus Brunner NEC Europe Ltd. C&C Research Laboratories Adenauerplatz 6 D-69115 Heidelberg, Germany
Marcus Brunner NEC Europe Ltd. C&C Research Laboratories Adenauerplatz 6 D-69115ハイデルベルク、ドイツ
Phone: +49 (0)6221 9051129
Fax: +49 (0)6221 9051155
EMail: brunner@ccrle.nec.de
Ron Cohen Ntear LLC
Ron Cohen Ntear LLC
EMail: ronc@ntear.com
John Strassner INTELLIDEN, Inc. 90 South Cascade Avenue Colorado Springs, CO 80903
John Strassner Intelliden、Inc。90 South Cascade Avenue Colorado Springs、Co 80903
Phone: +1-719-785-0648
EMail: john.strassner@intelliden.com
The Policy Core Information Model (PCIM) [1] describes the general security considerations related to the general core policy model. The extensions defined in this document do not introduce any additional considerations related to security.
ポリシーコア情報モデル(PCIM)[1]は、一般的なコアポリシーモデルに関連する一般的なセキュリティ上の考慮事項について説明しています。このドキュメントで定義されている拡張機能は、セキュリティに関連する追加の考慮事項を導入しません。
[1] Moore, B., Ellesson, E., Strassner, J. and A. Westerinen, "Policy Core Information Model -- Version 1 Specification", RFC 3060, February 2001.
[1] Moore、B.、Ellesson、E.、Strassner、J。およびA. Westerinen、「ポリシーコア情報モデル - バージョン1仕様」、RFC 3060、2001年2月。
[2] Distributed Management Task Force, Inc., "DMTF Technologies: CIM Standards CIM Schema: Version 2.5", available at http://www.dmtf.org/standards/cim_schema_v25.php.
[2] 分散管理タスクフォース、「DMTFテクノロジー:CIM標準CIMスキーマ:バージョン2.5」、http://www.dmtf.org/standards/cim_schema_v25.phpで入手可能。
[3] Distributed Management Task Force, Inc., "Common Information Model (CIM) Specification: Version 2.2", June 14, 1999, available at http://www.dmtf.org/standards/documents/CIM/DSP0004.pdf.
[3] 分散管理タスクフォース、Inc。、「Common Information Model(CIM)仕様:バージョン2.2」、1999年6月14日、http://www.dmtf.org/standards/documents/cim/dsp0004.pdfで入手可能。
[4] Mockapetris, P., "Domain Names - implementation and specification", STD 13, RFC 1035, November 1987.
[4] Mockapetris、P。、「ドメイン名 - 実装と仕様」、STD 13、RFC 1035、1987年11月。
[5] Wahl, M., Coulbeck, A., Howes, T. and S. Kille, "Lightweight Directory Access Protocol (v3): Attribute Syntax Definitions", RFC 2252, December 1997.
[5] Wahl、M.、Coulbeck、A.、Howes、T。およびS. Killee、「Lightweight Directory Access Protocol(V3):属性構文定義」、RFC 2252、1997年12月。
[6] Crocker, D. and P. Overell, "Augmented BNF for Syntax Specifications: ABNF", RFC 2234, November 1997.
[6] Crocker、D。およびP. Overell、「構文仕様のためのBNFの増強:ABNF」、RFC 2234、1997年11月。
[7] Hinden, R. and S. Deering, "IP Version 6 Addressing Architecture", RFC 2373, July 1998.
[7] Hinden、R。and S. Deering、「IPバージョン6アドレス指定アーキテクチャ」、RFC 2373、1998年7月。
[8] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[8] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。
[9] Hovey, R. and S. Bradner, "The Organizations Involved in the IETF Standards Process", BCP 11, RFC 2028, October 1996.
[9] Hovey、R。およびS. Bradner、「IETF標準プロセスに関与する組織」、BCP 11、RFC 2028、1996年10月。
[10] Westerinen, A., Schnizlein, J., Strassner, J., Scherling, M., Quinn, B., Herzog, S., Huynh, A., Carlson, M., Perry, J. and Waldbusser, "Terminology for Policy-Based Management", RFC 3198, November 2001.
[10] Westerinen、A.、Schnizlein、J.、Strassner、J.、Scherling、M.、Quinn、B.、Herzog、S.、Huynh、A.、Carlson、M.、Perry、J。、およびWaldbusser」ポリシーベースの管理」、RFC 3198、2001年11月。
[11] Snir, Y., and Y. Ramberg, J. Strassner, R. Cohen, "Policy QoS Information Model", Work in Progress.
[11] Snir、Y。、およびY. Ramberg、J。Strassner、R。Cohen、「ポリシーQoS情報モデル」、進行中の作業。
[12] Jason, J., and L. Rafalow, E. Vyncke, "IPsec Configuration Policy Model", Work in Progress.
[12] Jason、J。、およびL. Rafalow、E。Vyncke、「IPSEC構成ポリシーモデル」、作業進行中。
[13] Chadha, R., and M. Brunner, M. Yoshida, J. Quittek, G. Mykoniatis, A. Poylisher, R. Vaidyanathan, A. Kind, F. Reichmeyer, "Policy Framework MPLS Information Model for QoS and TE", Work in Progress.
[13] チャダ、R。、およびM.ブルナー、M。ヨシダ、J。キッテク、G。ミコニアティス、A。ポイリッシュ、R。ヴァイディアナタン、A。進行中の作業。
[14] S. Waldbusser, and J. Saperia, T. Hongal, "Policy Based Management MIB", Work in Progress.
[14] S. Waldbusser、およびJ. Saperia、T。Hongal、「政策ベースの管理MIB」は、進行中の作業。
[15] B. Moore, and D. Durham, J. Halpern, J. Strassner, A. Westerinen, W. Weiss, "Information Model for Describing Network Device QoS Datapath Mechanisms", Work in Progress.
[15] B.ムーア、およびD.ダーラム、J。ハルパーン、J。ストラスナー、A。ウェスターリネン、W。ワイス、「ネットワークデバイスQoSデータパスメカニズムを説明するための情報モデル」、進行中の作業。
Author's Address
著者の連絡先
Bob Moore IBM Corporation, BRQA/501 4205 S. Miami Blvd. Research Triangle Park, NC 27709
Bob Moore IBM Corporation、BRQA/501 4205 S. Miami Blvd.研究トライアングルパーク、ノースカロライナ州27709
Phone: +1 919-254-4436
Fax: +1 919-254-6243
EMail: remoore@us.ibm.com
Full Copyright Statement
完全な著作権声明
Copyright (C) The Internet Society (2003). All Rights Reserved.
Copyright(c)The Internet Society(2003)。無断転載を禁じます。
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
このドキュメントと翻訳は他の人にコピーされて提供される場合があります。また、それについてコメントまたは説明する派生作品、またはその実装を支援することは、いかなる種類の制限なしに、準備、コピー、公開、および部分的に配布される場合があります。、上記の著作権通知とこの段落がそのようなすべてのコピーとデリバティブ作品に含まれている場合。ただし、このドキュメント自体は、インターネット協会や他のインターネット組織への著作権通知や参照を削除するなど、いかなる方法でも変更できない場合があります。インターネット標準プロセスに従うか、英語以外の言語に翻訳するために必要な場合に従う必要があります。
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.
上記の限られた許可は永続的であり、インターネット社会またはその後継者または譲受人によって取り消されることはありません。
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントと本書に含まれる情報は、「現状」に基づいて提供されており、インターネット社会とインターネットエンジニアリングタスクフォースは、ここにある情報の使用が行われないという保証を含むがこれらに限定されないすべての保証を否認します。特定の目的に対する商品性または適合性の権利または黙示的な保証を侵害します。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFCエディター機能の資金は現在、インターネット協会によって提供されています。