[要約] RFC 3585は、IPsecの設定ポリシー情報モデルに関する規格であり、IPsecの設定ポリシーの概念と要素を定義しています。その目的は、IPsecの設定ポリシーを一貫性のある方法で表現し、異なるIPsec実装間での相互運用性を向上させることです。
Network Working Group J. Jason Request for Comments: 3585 Intel Corporation Category: Standards Track L. Rafalow IBM E. Vyncke Cisco Systems August 2003
IPsec Configuration Policy Information Model
IPSEC構成ポリシー情報モデル
Status of this Memo
本文書の位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2003). All Rights Reserved.
Copyright(c)The Internet Society(2003)。無断転載を禁じます。
Abstract
概要
This document presents an object-oriented information model of IP Security (IPsec) policy designed to facilitate agreement about the content and semantics of IPsec policy, and enable derivations of task-specific representations of IPsec policy such as storage schema, distribution representations, and policy specification languages used to configure IPsec-enabled endpoints. The information model described in this document models the configuration parameters defined by IPSec. The information model also covers the parameters found by the Internet Key Exchange protocol (IKE). Other key exchange protocols could easily be added to the information model by a simple extension. Further extensions can further be added easily due to the object-oriented nature of the model.
このドキュメントは、IPSECポリシーのコンテンツとセマンティクスに関する一致を促進するように設計された、IPセキュリティ(IPSEC)ポリシーのオブジェクト指向情報モデルを提示し、ストレージスキーマ、配布表現、ポリシーなどのIPSECポリシーのタスク固有の表現の導出を可能にしますIPSEC対応エンドポイントの構成に使用される仕様言語。このドキュメントで説明されている情報モデルは、IPSECで定義された構成パラメーターをモデル化しています。情報モデルは、インターネットキーエクスチェンジプロトコル(IKE)によって見つかったパラメーターもカバーしています。他のキーエクスチェンジプロトコルは、単純な拡張機能によって情報モデルに簡単に追加できます。モデルのオブジェクト指向の性質により、さらに拡張機能をさらに簡単に追加できます。
This information model is based upon the core policy classes as defined in the Policy Core Information Model (PCIM) and in the Policy Core Information Model Extensions (PCIMe).
この情報モデルは、ポリシーコア情報モデル(PCIM)およびポリシーコア情報モデル拡張(PCIME)で定義されているコアポリシークラスに基づいています。
Table of Contents
目次
1. Introduction.................................................. 3 2. UML Conventions............................................... 4 3. IPsec Policy Model Inheritance Hierarchy...................... 6 4. Policy Classes................................................ 11 4.1. The Class SARule........................................ 13 4.2. The Class IKERule....................................... 17 4.3. The Class IPsecRule..................................... 18 4.4. The Association Class IPsecPolicyForEndpoint............ 18 4.5. The Association Class IPsecPolicyForSystem.............. 19 4.6. The Aggregation Class SAConditionInRule................. 19 4.7. The Aggregation Class PolicyActionInSARule.............. 20 5. Condition and Filter Classes.................................. 22 5.1. The Class SACondition................................... 23 5.2. The Class IPHeadersFilter............................... 23 5.3. The Class CredentialFilterEntry......................... 23 5.4. The Class IPSOFilterEntry............................... 25 5.5. The Class PeerIDPayloadFilterEntry...................... 26 5.6. The Association Class FilterOfSACondition............... 28 5.7. The Association Class AcceptCredentialFrom.............. 29 6. Action Classes................................................ 30 6.1. The Class SAAction...................................... 32 6.2. The Class SAStaticAction................................ 33 6.3. The Class IPsecBypassAction............................. 34 6.4. The Class IPsecDiscardAction............................ 34 6.5. The Class IKERejectAction............................... 35 6.6. The Class PreconfiguredSAAction......................... 35 6.7. The Class PreconfiguredTransportAction.................. 36 6.8. The Class PreconfiguredTunnelAction..................... 37 6.9. The Class SANegotiationAction........................... 37 6.10. The Class IKENegotiationAction.......................... 38 6.11. The Class IPsecAction................................... 39 6.12. The Class IPsecTransportAction.......................... 41 6.13. The Class IPsecTunnelAction............................. 42 6.14. The Class IKEAction..................................... 42 6.15. The Class PeerGateway................................... 44 6.16. The Association Class PeerGatewayForTunnel.............. 45 6.17. The Aggregation Class ContainedProposal................. 46 6.18. The Association Class HostedPeerGatewayInformation...... 47 6.19. The Association Class TransformOfPreconfiguredAction.... 48 6.20 The Association Class PeerGatewayForPreconfiguredTunnel. 49 7. Proposal and Transform Classes................................ 50 7.1. The Abstract Class SAProposal........................... 50 7.2. The Class IKEProposal................................... 51 7.3. The Class IPsecProposal................................. 54 7.4. The Abstract Class SATransform.......................... 54 7.5. The Class AHTransform................................... 56 7.6. The Class ESPTransform.................................. 57 7.7. The Class IPCOMPTransform............................... 59 7.8. The Association Class SAProposalInSystem................ 60 7.9. The Aggregation Class ContainedTransform................ 60 7.10. The Association Class SATransformInSystem............... 62 8. IKE Service and Identity Classes.............................. 63 8.1. The Class IKEService.................................... 64 8.2. The Class PeerIdentityTable............................. 64 8.3. The Class PeerIdentityEntry............................. 65 8.4. The Class AutostartIKEConfiguration..................... 66 8.5. The Class AutostartIKESetting........................... 67 8.6. The Class IKEIdentity................................... 69 8.7. The Association Class HostedPeerIdentityTable........... 71 8.8. The Aggregation Class PeerIdentityMember................ 71 8.9. The Association Class IKEServicePeerGateway............. 72 8.10. The Association Class IKEServicePeerIdentityTable....... 73 8.11. The Association Class IKEAutostartSetting............... 73 8.12. The Aggregation Class AutostartIKESettingContext........ 74 8.13. The Association Class IKEServiceForEndpoint............. 75 8.14. The Association Class IKEAutostartConfiguration......... 76 8.15. The Association Class IKEUsesCredentialManagementService 77 8.16. The Association Class EndpointHasLocalIKEIdentity....... 77 8.17. The Association Class CollectionHasLocalIKEIdentity..... 78 8.18. The Association Class IKEIdentitysCredential............ 79 9. Implementation Requirements................................... 79 10. Security Considerations....................................... 84 11. Intellectual Property Statement............................... 84 12. References ................................................... 85 12.1. Normative References.................................... 85 12.2. Informative References.................................. 86 13. Disclaimer.................................................... 86 14. Acknowledgments............................................... 86 15. Authors' Addresses............................................ 87 16. Full Copyright Statement...................................... 88
IP security (IPsec) policy may assume a variety of forms as it travels from storage, to distribution, to decision points. At each step, it needs to be represented in a way that is convenient for the current task. For example, the policy could exist as, but is not limited to:
IPセキュリティ(IPSEC)ポリシーは、ストレージから配布、意思決定ポイントに移行する際に、さまざまなフォームを想定する場合があります。各ステップで、現在のタスクに便利な方法で表現する必要があります。たとえば、ポリシーは次のように存在する可能性がありますが、これらに限定されません。
o A Lightweight Directory Access Protocol (LDAP) [LDAP] schema in a directory.
o ディレクトリ内の軽量ディレクトリアクセスプロトコル(LDAP)[LDAP]スキーマ。
o An on-the-wire representation over a transport protocol like the Common Object Policy Service (COPS) [COPS, COPSPR].
o Common Object Policy Service(COPS)[COPS、COPSPR]などの輸送プロトコルを介したワイヤ表現。
o A text-based policy specification language suitable for editing by an administrator.
o 管理者による編集に適したテキストベースのポリシー仕様言語。
o An Extensible Markup Language (XML) document.
o 拡張可能なマークアップ言語(XML)ドキュメント。
Each of these task-specific representations should be derived from a canonical representation that precisely specifies the content and semantics of the IPsec policy. This document captures this concept and introduces a task-independent canonical representation for IPsec policies.
これらの各タスク固有の表現は、IPSECポリシーのコンテンツとセマンティクスを正確に指定する標準表現から導き出される必要があります。このドキュメントは、この概念をキャプチャし、IPSECポリシーのタスクに依存しない標準表現を導入します。
This document focuses mainly on the existing protocols [COMP, ESP, AH, DOI, IKE]. The model can easily be extended if needed due to its object-oriented nature.
このドキュメントは、主に既存のプロトコル[comp、esp、ah、doi、ike]に焦点を当てています。オブジェクト指向の性質のため、必要に応じてモデルを簡単に拡張できます。
This document is organized as follows:
このドキュメントは次のように整理されています。
o Section 2 provides a quick introduction to the Unified Modeling Language (UML) graphical notation conventions used in this document.
o セクション2では、このドキュメントで使用されているUnified Modeling Language(UML)グラフィカル表記規則のすばやい紹介を提供します。
o Section 3 provides the inheritance hierarchy that describes where the IPsec policy classes fit into the policy class hierarchy already defined by the Policy Core Information Model (PCIM) and Policy Core Information Model Extensions (PCIMe).
o セクション3では、IPSECポリシークラスがポリシーコア情報モデル(PCIM)およびポリシーコア情報モデル拡張(PCIME)によって既に定義されているポリシークラスの階層に適合する場所を説明する継承階層を提供します。
o Sections 4 through 8 describe the classes that make up the IPsec policy model.
o セクション4〜8は、IPSECポリシーモデルを構成するクラスについて説明します。
o Section 9 presents the implementation requirements for the classes in the model (i.e., the MUST/MAY/SHOULD status).
o セクション9では、モデル内のクラスの実装要件を示します(つまり、マスト/5月/ステータス)。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [KEYWORDS].
「必須」、「そうしない」、「必須」、「「しなければ」、「そうしない」、「そうでない」、「そうではない」、「はらない」、「推奨」、「5月」、および「オプション」は、[キーワード]に記載されているように解釈されます。
For this document, a UML static class diagram was chosen as the canonical representation for the IPsec policy model, because UML provides a graphical, task-independent way to model systems. A treatise on the graphical notation used in UML is beyond the scope of this paper. However, given the use of ASCII drawing for UML static class diagrams, a description of the notational conventions used in this document is in order: o Boxes represent classes, with class names in brackets ([]) representing an abstract class.
このドキュメントでは、UMLがシステムをモデル化するグラフィカルなタスクに依存しない方法を提供するため、IPSECポリシーモデルの標準表現としてUML静的クラス図が選択されました。UMLで使用されているグラフィカル表記に関する論文は、このペーパーの範囲を超えています。ただし、UML静的クラス図にASCII図面を使用することを考えると、このドキュメントで使用される表記規則の説明は次のとおりです。Oボックスはクラスを表し、クラス名は括弧内のクラス([])を抽象クラスを表します。
o A line that terminates with an arrow (<, >, ^, v) denotes inheritance. The arrow always points to the parent class. Inheritance can also be called generalization or specialization (depending upon the reference point). A base class is a generalization of a derived class, and a derived class is a specialization of a base class.
o 矢印(<、>、 ^、v)で終了する線は、継承を示します。矢印は常に親クラスを指します。継承は、一般化または専門化とも呼ばれます(基準点に応じて)。基本クラスは派生クラスの一般化であり、派生クラスは基本クラスの専門化です。
o Associations are used to model a relationship between two classes. Classes that share an association are connected using a line. A special kind of association is also used: an aggregation. An aggregation models a whole-part relationship between two classes. Associations, and therefore aggregations, are also modeled as classes.
o アソシエーションは、2つのクラス間の関係をモデル化するために使用されます。関連性を共有するクラスは、行を使用して接続されています。特別な種類の関連も使用されます:集約。集約は、2つのクラス間の全体的な関係をモデル化します。関連性、したがって集約は、クラスとしてモデル化されています。
o A line that begins with an "o" denotes aggregation. Aggregation denotes containment in which the contained class and the containing class have independent lifetimes.
o 「O」で始まる線は、集約を意味します。集約は、含まれるクラスと含まれるクラスが独立した寿命を持っている封じ込めを示します。
o At each end of a line representing an association appears a cardinality (i.e., each association has 2 cardinalities). Cardinalities indicate the constraints on the number of object instances in a set of relationships. The cardinality on a given end of an association indicates the number of different object instances of that class that may be associated with a single object instance of the class on the other end of the association. The cardinality may be:
o 関連性を表す線の両端に、カーディナリティが表示されます(つまり、各協会には2つの枢機inalがあります)。枢機inalは、一連の関係のオブジェクトインスタンスの数に対する制約を示します。アソシエーションの特定の端の枢機inalは、アソシエーションの反対側のクラスの単一オブジェクトインスタンスに関連付けられる可能性のあるクラスの異なるオブジェクトインスタンスの数を示します。カーディナリティは次のとおりです。
- a range in the form "lower bound..upper bound" indicating the minimum and maximum number of objects.
- オブジェクトの最小値と最大数を示す「下限..upperバウンド」の形式の範囲。
- a number that indicates the exact number of objects.
- オブジェクトの正確な数を示す数。
- an asterisk indicating any number of objects, including zero. An asterisk is shorthand for 0..n.
- ゼロを含む任意の数のオブジェクトを示すアスタリスク。アスタリスクは0..nの速記です。
- the letter n indicating from 1 to many. The letter n is shorthand for 1..n.
- 1から多くを示す文字n。文字nは1..nの速記です。
o A class that has an association may have a "w" next to the line representing the association. This is called a weak association and is discussed in [PCIM].
o 協会を持つクラスには、協会を表す行の隣に「W」がある場合があります。これは弱い関連性と呼ばれ、[PCIM]で議論されています。
It should be noted that the UML static class diagram presented is a conceptual view of IPsec policy designed to aid in understanding. It does not necessarily get translated class for class into another representation. For example, an LDAP implementation may flatten out the representation to fewer classes (because of the inefficiency of following references).
提示されたUML静的クラス図は、理解に役立つように設計されたIPSECポリシーの概念的ビューであることに注意する必要があります。クラスの翻訳クラスを別の表現に必ずしも取得するわけではありません。たとえば、LDAPの実装は、表現をより少ないクラスに平坦化する可能性があります(参照の以下の非効率性のため)。
Like PCIM and PCIMe, the IPsec Configuration Policy Model derives from and uses classes defined in the DMTF [DMTF] Common Information Model (CIM). The following tree represents the inheritance hierarchy for the IPsec Policy Model classes and how they fit into PCIM, PCIMe and the other DMTF models (see Appendices for descriptions of classes that are not being introduced as part of IPsec model). CIM classes that are not used as a superclass to derive new classes, but are used only as references, are not included in this inheritance hierarchy, but can be found in the appropriate DMTF document: Core Model [CIMCORE], User Model [CIMUSER] or, Network Model [CIMNETWORK].
PCIMやPCIMEと同様に、IPSEC構成ポリシーモデルは、DMTF [DMTF]共通情報モデル(CIM)で定義されているクラスから派生および使用します。次のツリーは、IPSECポリシーモデルクラスの継承階層と、それらがPCIM、PCIME、その他のDMTFモデルにどのように適合するかを表しています(IPSECモデルの一部として導入されていないクラスの説明については、付録を参照)。新しいクラスを導出するためにスーパークラスとして使用されていないが、参照としてのみ使用されるCIMクラスは、この継承階層に含まれていませんが、適切なDMTFドキュメントにあります:Core Model [Cimcore]、ユーザーモデル[CIMUSER]または、ネットワークモデル[cimnetwork]。
ManagedElement (DMTF Core Model) | +--Collection (DMTF Core Model) | | | +--PeerIdentityTable | +--ManagedSystemElement (DMTF Core Model) | | | +--LogicalElement (DMTF Core Model) | | | +--FilterEntryBase (DMTF Network Model) | | | | | +--CredentialFilterEntry | | | | | +--IPHeadersFilter (PCIMe) | | | | | +--IPSOFilterEntry | | | | | +--PeerIDPayloadFilterEntry | | | +--PeerGateway | | | +--PeerIdentityEntry | | | +--Service (DMTF Core Model) | | | +--IKEService |
+--OrganizationalEntity (DMTF User Model) | | | +--UserEntity (DMTF User Model) | | | +--UsersAccess (DMTF User Model) | | | +--IKEIdentity | +--Policy (PCIM) | | | +--PolicyAction (PCIM) | | | | | +--CompoundPolicyAction (PCIMe) | | | | | +--SAAction | | | | | +--SANegotiationAction | | | | | | | +--IKENegotiationAction | | | | | | | +--IKEAction | | | | | | | +--IPsecAction | | | | | | | +--IPsecTransportAction | | | | | | | +--IPsecTunnelAction | | | | | +--SAStaticAction | | | | | +--IKERejectAction | | | | | +--IPsecBypassAction | | | | | +--IPsecDiscardAction | | | | | +--PreconfiguredSAAction | | | | | +--PreconfiguredTransportAction | | | | | +--PreconfiguredTunnelAction | | | +--PolicyCondition (PCIM) | | | | | +--SACondition | | | +--PolicySet (PCIMe) | | |
| | +--PolicyGroup (PCIM & PCIMe) | | | | | +--PolicyRule (PCIM & PCIMe) | | | | | +--SARule | | | | | +--IKERule | | | | | +--IPsecRule | | | +--SAProposal | | | | | +--IKEProposal | | | | | +--IPsecProposal | | | +--SATransform | | | +--AHTransform | | | +--ESPTransform | | | +--IPCOMPTransform | +--Setting (DMTF Core Model) | | | +--SystemSetting (DMTF Core Model) | | | +--AutostartIKESetting | +--SystemConfiguration (DMTF Core Model) | +--AutostartIKEConfiguration
The following tree represents the inheritance hierarchy of the IPsec policy model association classes and how they fit into PCIM and the other DMTF models (see Appendices for description of association classes that are not being introduced as part of IPsec model).
次のツリーは、IPSECポリシーモデルアソシエーションクラスの継承階層と、それらがPCIMおよび他のDMTFモデルにどのように適合するかを表しています(IPSECモデルの一部として導入されていない関連クラスの説明については、付録を参照してください)。
Dependency (DMTF Core Model) | +--AcceptCredentialsFrom | +--ElementAsUser (DMTF User Model) | | | +--EndpointHasLocalIKEIdentity | | | +--CollectionHasLocalIKEIdentity
| +--FilterOfSACondition | +--HostedPeerGatewayInformation | +--HostedPeerIdentityTable | +--IKEAutostartConfiguration | +--IKEServiceForEndpoint | +--IKEServicePeerGateway | +--IKEServicePeerIdentityTable | +--IKEUsesCredentialManagementService | +--IPsecPolicyForEndpoint | +--IPsecPolicyForSystem | +--PeerGatewayForPreconfiguredTunnel | +--PeerGatewayForTunnel | +--PolicyInSystem (PCIM) | | | +--SAProposalInSystem | | | +--SATransformInSystem | +--TransformOfPreconfiguredAction | +--UsersCredential (DMTF User Model) | +--IKEIdentitysCredential
ElementSetting (DMTF Core Model) | +--IKEAutostartSetting
MemberOfCollection (DMTF Core Model) | +--PeerIdentityMember
PolicyComponent (PCIM) |
PolicyComponent(PCIM)|
+--ContainedProposal | +--ContainedTransform | +--PolicyActionStructure (PCIMe) | | | +--PolicyActionInPolicyRule (PCIM & PCIMe) | | | +--PolicyActionInSARule | +--PolicyConditionStructure (PCIMe) | | | +--PolicyConditionInPolicyRule (PCIM & PCIMe) | | | +--SAConditionInRule | +--PolicySetComponent (PCIMe)
SystemSettingContext (DMTF Core Model) | +--AutostartIKESettingContext
The IPsec policy classes represent the set of policies that are contained on a system.
IPSECポリシークラスは、システムに含まれる一連のポリシーを表します。
+--------------+ | [PolicySet] |* | ([PCIME]) |o--+ +--------------+ | ^ *| |(a) | +------+ +--------------------------+ | | +-------------+ +--------------+ | PolicyGroup |0..1 | PolicyRule |* | ([PCIM]) |-----+ | ([PCIM]) |o--+ +-------------+ | +--------------+ |(d) 0..1| | ^ | |(b) | | |* *| | | +---------------------------+ +--------------------+ |(c) | | PolicyTimePeriodCondition | | IPProtocolEndpoint | | | | ([PCIM]) | | ([CIMNETWORK]) | | | +---------------------------+ +--------------------+ | | +------------+ | *+----------+* | System |----+ +-o| SARule |o-------+ | ([CIMCORE])|* | +----------+ |(f) +------------+ | ^ | (e)| | |n +-------------+n | | +--------------+ | SACondition |--------+ | |[PolicyAction]| +-------------+ | | ([PCIM]) | | +--------------+ | *| ^ | |(g) | | | +-------+ | *o | | | +----------------------+ | | | CompoundPolicyAction | | | | ([PCIME]) | | | +----------------------+ | | | +---------+----+ +---------+ | | | +---------+ +-----------+ +----------+ | IKERule | | IPsecRule | | SAAction | +---------+ +-----------+ +----------+
(a) PolicySetComponent ([PCIME]) (b) IPsecPolicyForEndpoint (c) IPsecPolicyForSystem (d) PolicyRuleValidityPeriod ([PCIM]) (e) SAConditionInRule (f) PolicyActionInSARule (g) PolicyActionInPolicyAction ([PCIME])
(a) PolicySetComponent([PCIME])(b)ipsecpolicyforendpoint(c)ipsecpolicyforsystem(d)Policyrulevalidityperiod([PCIM])(e)SaconditionInrule(F)PolicyactionInsarule(g)PolicationInpolicalaction([PCIME]))
A PolicyGroup represents the set of policies that are used on an interface. This PolicyGroup SHOULD be associated either directly with the IPProtocolEndpoint class instance that represents the interface (via the IPsecPolicyForEndpoint association) or indirectly (via the IPsecPolicyForSystem association) associated with the System that hosts the interface.
ポリシーグループは、インターフェイスで使用される一連のポリシーを表します。このポリシーグループは、インターフェイス(IPSeCpolicyForendPoint Associationを介して)を表すIpprotocolendPointクラスインスタンスに直接関連付けるか、インターフェイスをホストするシステムに関連する間接的に(IPSeCpolicyForsystem Associationを介して)関連する必要があります。
The IKE and IPsec rules are used to build or to negotiate the IPsec Security Association Database (SADB). The IPsec rules represent the Security Policy Database. The SADB itself is not modeled by this document.
IKEおよびIPSECルールは、IPSEC Security Association Database(SADB)の構築または交渉に使用されます。IPSECルールは、セキュリティポリシーデータベースを表しています。SADB自体は、このドキュメントでモデル化されていません。
The IKE and IPsec rules can be described as (also see section 6 about actions):
IKEおよびIPSECのルールは、次のように説明できます(アクションについてはセクション6も参照)。
o An egress unprotected packet will first be checked against the IPsec rules. If a match is found, the SADB will be checked. If there is no corresponding IPsec SA in the SADB, and if IKE negotiation is required by the IPsec rule, the corresponding IKE rules will be used. The negotiated or preconfigured SA will then be installed in the SADB.
o 出力されていない無保護パケットは、最初にIPSECルールに対してチェックされます。一致が見つかった場合、SADBがチェックされます。SADBに対応するIPSEC SAがない場合、およびIPSECルールでIKEの交渉が必要な場合、対応するIKEルールが使用されます。その後、ネゴシエートまたは事前に構成されたSAがSADBにインストールされます。
o An ingress unprotected packet will first be checked against the IPsec rules. If a match is found, the SADB will be checked for a corresponding IPsec SA. If there is no corresponding IPsec SA and a preconfigured SA exists, this preconfigured SA will be installed in the IPsec SADB. This behavior should only apply to bypass and discard actions.
o 保護されていない侵入パケットは、最初にIPSECルールに対してチェックされます。一致が見つかった場合、SADBには対応するIPSEC SAがチェックされます。対応するIPSEC SAと事前に構成されたSAが存在する場合、この事前に構成されたSAがIPSEC SADBにインストールされます。この動作は、アクションをバイパスして破棄することにのみ適用する必要があります。
o An ingress protected packet will first be checked against the IPsec rules. If a match is found, the SADB will be checked for a corresponding IPsec SA. If there is no corresponding IPsec SA and a preconfigured SA exists, this preconfigured SA will be installed in the IPsec SADB.
o Ingress保護されたパケットは、最初にIPSECルールに対してチェックされます。一致が見つかった場合、SADBには対応するIPSEC SAがチェックされます。対応するIPSEC SAと事前に構成されたSAが存在する場合、この事前に構成されたSAがIPSEC SADBにインストールされます。
o An ingress IKE negotiation packet, which is not part of an existing IKE SA, will be checked against the IKE rules. The SACondition for the IKERule will usually be composed of a PeerIDPayloadFilterEntry (typically for an aggressive mode IKE negotiation) or an IPHeadersFilter. The negotiated SA will then be installed in the SADB.
o 既存のIKE SAの一部ではないIngress IKEネゴシエーションパケットは、IKEルールに対してチェックされます。Ikeruleの聖条件は、通常、PeerIdPayloadFilterEntry(通常は積極的なモードIKE交渉用)またはiPheadersFilterで構成されます。その後、交渉されたSAはSADBにインストールされます。
It is expected that when an IKE negotiation is required to be initiated by an IPsec rule, the set of IKE rules will be checked. The IKE rules check will be based on the outgoing IKE packet using IPHeadersFilter entries (typically using the HdrDstAddress property).
IPSECルールによってIKEの交渉を開始する必要がある場合、IKEルールのセットがチェックされることが予想されます。IKEルールチェックは、iPheadersFilterエントリ(通常はHDRDStaddressプロパティを使用)を使用した発信IKEパケットに基づいています。
The class SARule serves as a base class for IKERule and IPsecRule. Even though the class is concrete, it MUST not be instantiated. It defines a common connection point for associations to conditions and actions for both types of rules. Through its derivation from PolicyRule, an SARule (and therefore IKERule and IPsecRule) also has the PolicyRuleValidityPeriod association.
クラスサルールは、Ikeruleとipsecruleの基本クラスとして機能します。クラスは具体的ですが、インスタンス化してはなりません。それは、両方のタイプのルールの条件とアクションとの関連付けの共通の接続ポイントを定義します。Policyruleからの派生を通じて、Sarule(したがってIkeruleとIpsecrule)もPolicyrulevalidityperiodの関連性を持っています。
Each SARule in a valid PolicyGroup MUST have a unique associated priority number in the PolicySetComponent.Priority. The class definition for SARule is as follows:
有効なポリシーグループ内の各サルールは、PolicySetComponent.Priorityに一意の関連する優先度番号を持たなければなりません。Saruleのクラス定義は次のとおりです。
NAME SARule DESCRIPTION A base class for IKERule and IPsecRule. DERIVED FROM PolicyRule (see [PCIM] & [PCIME]) ABSTRACT FALSE PROPERTIES PolicyRuleName (from PolicyRule) Enabled (from PolicyRule) ConditionListType (from PolicyRule) RuleUsage (from PolicyRule) Mandatory (from PolicyRule) SequencedActions (from PolicyRule) ExecutionStrategy (from PolicyRule) PolicyRoles (from PolicySet) PolicyDecisionStrategy (from PolicySet) LimitNegotiation
名前Saruleの説明Ikeruleとipsecruleの基本クラス。Policyrule([PCIM]&[PCIME]を参照)から導出された偽のプロパティabstract PolicyruleName(Policyruleから)有効(Policyruleから)(Policyruleから)ルールユーザー(Policyruleから)義務的な(Policyruleから)シーケンティング(Policyruleから)実行戦略(Policyruleuleから))PolicyROLES(PolicySetから)PolicyDecisionsTrategy(PolicySetから)LimiteNegotiation
4.1.1. The Properties PolicyRuleName, Enabled, ConditionListType, RuleUsage, Mandatory, SequencedActions, PolicyRoles, and PolicyDecisionStrategy
4.1.1. Properties PolicyRulename、有効化、条件リスト、ルールユーザージ、必須、シーケンティング、PolicyROLE、およびPolicyDecisionsTrategy
For a description of these properties, see [PCIM] and [PCIME].
これらのプロパティの説明については、[PCIM]および[PCIME]を参照してください。
In SARule subclass instances:
Saruleサブクラスインスタンスで:
- if the property Mandatory exists, it MUST be set to "true".
- 必須のプロパティが存在する場合、「真」に設定する必要があります。
- if the property SequencedActions exists, it MUST be set to "mandatory".
- プロパティシーケンスが存在する場合、「必須」に設定する必要があります。
- the property PolicyRoles is not used in the device-level model.
- プロパティPolicyrolesは、デバイスレベルモデルでは使用されていません。
- if the property PolicyDecisionStrategy exists, it must be set to "FirstMatching".
- Property PolicyDecisionsTrategyが存在する場合、「FirstMatching」に設定する必要があります。
The ExecutionStrategy properties in the PolicyRule subclasses (and in the CompoundPolicyAction class) determine the behavior of the contained actions. It defines the strategy to be used in executing the sequenced actions aggregated by a rule or a compound action. In the case of actions within a rule, the PolicyActionInSARule aggregation is used to collect the actions into an ordered set; in the case of a compound action, the PolicyActionInPolicyAction aggregation is used to collect the actions into an ordered subset.
PolicyRuleサブクラスの実行戦略のプロパティ(およびCompoundPolicyactionクラス)は、含まれるアクションの動作を決定します。ルールまたは複合アクションによって集約されたシーケンスされたアクションを実行する際に使用する戦略を定義します。ルール内のアクションの場合、PolicycationInsarule集約を使用して、アクションを順序付けられたセットに収集します。複合作用の場合、PolicyactionInpolicyactionの集約を使用して、順序付けられたサブセットにアクションを収集します。
There are three execution strategies: do until success, do all, and do until failure.
3つの実行戦略があります。成功するまで、すべてを行い、失敗するまで行います。
"Do Until Success" causes the execution of actions according to the ActionOrder property in the aggregation instances until a successful execution of a single action. These actions may be evaluated to determine if they are appropriate to execute rather than blindly trying each of the actions until one succeeds. For an initiator, they are tried in the ActionOrder until the list is exhausted or one completes successfully. For example, an IKE initiator may have several IKEActions for the same SACondition. The initiator will try all IKEActions in the order defined by ActionOrder. I.e., it will possibly try several phase 1 negotiations with different modes (main mode then aggressive mode) and/or with multiple IKE peers. For a responder, when there is more than one action in the rule with "do until success" condition clause, this provides alternative actions depending on the received proposals. For example, the same IKERule may be used to handle aggressive mode and main mode negotiations with different actions. The responder uses the first appropriate action in the list of actions.
「成功するまで」は、単一のアクションの実行が成功するまで、集約インスタンスのアクションオーダープロパティに従ってアクションの実行を引き起こします。これらのアクションは、成功するまで各アクションを盲目的に試すのではなく、実行するのに適しているかどうかを判断するために評価される場合があります。イニシエーターの場合、リストが使い果たされるか、正常に完了するまでアクションオーダーで試されます。たとえば、IKEイニシエーターには、同じサクディションに対していくつかの回答がある場合があります。イニシエーターは、ActionOrderで定義された順序ですべてのiKeactionを試みます。つまり、異なるモード(メインモード、アグレッシブモード)および/または複数のIKEピアでいくつかのフェーズ1交渉を試みます。レスポンダーの場合、「成功まで」という条件条項を使用してルールに複数のアクションがある場合、これは受け取った提案に応じて代替アクションを提供します。たとえば、同じIkeruleを使用して、異なるアクションで積極的なモードとメインモードのネゴシエーションを処理することができます。レスポンダーは、アクションのリストで最初の適切なアクションを使用します。
"Do All" causes the execution of all the actions in the aggregated set according to their defined order. The execution continues regardless of failures.
「すべて」は、定義された順序に従って集約されたセットのすべてのアクションの実行を引き起こします。障害に関係なく、実行は継続します。
"Do Until Failure" causes the execution of all actions according to a predefined order until the first failure in execution of an action instance. Please note that if all actions are successful, then the aggregated result is a failure. This execution strategy is inherited from [PCIME] and is not expected to be of any use for IPsec configuration.
「失敗するまで」は、アクションインスタンスの実行の最初の障害まで、事前定義された順序に従ってすべてのアクションの実行を引き起こします。すべてのアクションが成功した場合、集約された結果は失敗であることに注意してください。この実行戦略は[PCIME]から継承されており、IPSEC構成には使用することは期待されていません。
For example, in a nested SAs case, the actions of an initiator's rule might be structured as:
たとえば、ネストされたSASの場合、イニシエーターのルールの行動は次のように構成されている可能性があります。
IPsecRule.ExecutionStrategy='Do All' | +---1--- IPsecTunnelAction // set up SA from host to gateway | +---2--- IPsecTransportAction // set up SA from host through // tunnel to remote host
Another example, showing a rule with fallback actions might be structured as:
別の例は、フォールバックアクションを使用したルールを表示することは、次のように構成される場合があります。
IPsecRule.ExecutionStrategy='Do Until Success' | +---6--- IPsecTransportAction // negotiate SA with peer | +---9--- IPsecBypassAction // but if you must, allow in the clear
The CompoundPolicyAction class (See [PCIME]) may be used in constructing the actions of IKE and IPsec rules when those rules specify both multiple actions and fallback actions. The ExecutionStrategy property in CompoundPolicyAction is used in conjunction with that in the PolicyRule.
CompountPolicyActionクラス([PCIME]を参照)は、これらのルールが複数のアクションとフォールバックアクションの両方を指定する場合、IKEおよびIPSECルールのアクションの構築に使用できます。ComplearpolicyActionの実行戦略プロパティは、Policyruleのそれと併用して使用されます。
For example, in nesting SAs with a fallback security gateway, the actions of a rule might be structured as:
たとえば、フォールバックセキュリティゲートウェイでSASをネストする場合、ルールのアクションは次のように構成されている可能性があります。
IPsecRule.ExecutionStrategy='Do All' | +---1--- CompoundPolicyAction.ExecutionStrategy='Do Until Success' | | | +---1--- IPsecTunnelAction // set up SA from host to | | // gateway1 | | | +---2--- IPsecTunnelAction // or set up SA to gateway2 | +---2--- IPsecTransportAction // then set up SA from host // through tunnel to remote // host
In the case of "Do All", a couple of actions can be executed successfully before a subsequent action fails. In this case, some IKE or IPsec actions may have resulted in SAs creation. Even if the net effect of the aggregated actions is failure, those created SAs MAY be kept or MAY be deleted.
「すべて」の場合、その後のアクションが失敗する前に、いくつかのアクションを正常に実行できます。この場合、一部のIKEまたはIPSECアクションがSASの作成をもたらした可能性があります。集約されたアクションの正味の効果が障害であっても、作成されたSASが保持されるか、削除される場合があります。
In the case of "Do All", the IPsec selectors to be used during IPsec SA negotiation are:
「すべてを行う」の場合、IPSEC SAの交渉中に使用されるIPSECセレクターは次のとおりです。
- for the last IPsecAction of the aggregation (i.e., usually the innermost IPsec SA): this is the combination of the IPHeadersFilter class and of the Granularity property of the IPsecAction.
- 集約の最後のIPSECACTION(つまり、通常は最も内側のIPSEC SA):これは、iPheadersFilterクラスとIPSECACTIONの粒度特性の組み合わせです。
- for all other IPsecActions of the aggregation: the selector is the source IP address which is the local IP address, and the destination IP address is the PeerGateway IP address of the following IPsecAction of the "Do All" aggregation. NB: the granularity is IP address to IP address.
- 集約の他のすべてのIPSECACTIONについて:セレクターはローカルIPアドレスであるソースIPアドレスであり、宛先IPアドレスは、「すべての」集約の次のIPSECACTIONのPeergateway IPアドレスです。NB:GranularityはIPアドレスのIPアドレスです。
If the above behavior is not desirable, the alternative is to define several SARules, one for each IPsec SA to be built. This will allow the definition of specific IPsec selectors for all IPsecActions.
上記の動作が望ましくない場合、代替手段は、構築される各IPSEC SAの1つのサルルを定義することです。これにより、すべてのIPSECACTIONSの特定のIPSECセレクターの定義が可能になります。
The property LimitNegotiation is used as part of processing either an IKE or an IPsec rule.
プロパティLimiteNegoTiationは、IKEまたはIPSECルールのいずれかの処理の一部として使用されます。
Before proceeding with a phase 1 negotiation, this property is checked to determine whether the negotiation role of the rule matches that defined for the negotiation being undertaken (e.g., Initiator, Responder, or Both). If this check fails (e.g., the current role is IKE responder, while the rule specifies IKE initiator), then the IKE negotiation is stopped. Note that this only applies to new IKE phase 1 negotiations and has no effect on either renegotiation or refresh operations with peers for which an established SA already exists.
フェーズ1の交渉を進める前に、このプロパティをチェックして、ルールの交渉の役割が、行われている交渉のために定義されているもの(例:イニシエーター、レスポンダー、またはその両方)かどうかを判断します。このチェックが失敗した場合(たとえば、現在の役割はIKE Responderであり、ルールはIKEイニシエーターを指定します)、IKE交渉は停止します。これは、新しいIKEフェーズ1交渉にのみ適用され、確立されたSAがすでに存在するピアとの再交渉または更新操作には影響しないことに注意してください。
Before proceeding with a phase 2 negotiation, the LimitNegotiation property of the IPsecRule is first checked to determine if the negotiation role indicated for the rule matches that of the current negotiation (Initiator, Responder, or Either). Note that this limit applies only to new phase 2 negotiations. It is ignored when an attempt is made to refresh an expiring SA (either side can initiate a refresh operation). The IKE system can determine that the negotiation is a refresh operation by checking to see if the selector information matches that of an existing SA. If LimitNegotiation does not match and the selector corresponds to a new SA, the negotiation is stopped.
フェーズ2の交渉を進める前に、IPSeCRULEの制限否定財産を最初にチェックして、ルールに示されている交渉の役割が現在の交渉のそれと一致するかどうかを判断します(イニシエーター、レスポンダー、またはどちらか)。この制限は、新しいフェーズ2の交渉にのみ適用されることに注意してください。期限切れのSAを更新しようとする試みが行われたときに無視されます(どちらの側も更新操作を開始できます)。IKEシステムは、セレクター情報が既存のSAの情報と一致するかどうかを確認することにより、交渉が更新操作であると判断できます。LimiteNegotiationが一致しず、セレクターが新しいSAに対応する場合、交渉は停止します。
The property is defined as follows:
プロパティは次のように定義されています。
NAME LimitNegotiation DESCRIPTION Limits the role to be undertaken during negotiation. SYNTAX unsigned 16-bit integer VALUE 1 - initiator-only 2 - responder-only 3 - both
名前LimiteNegotiationの説明は、交渉中に行われる役割を制限します。構文符号なし16ビット整数値1-イニシエーターのみ2-レスポンダーのみ3-両方
The class IKERule associates Conditions and Actions for IKE phase 1 negotiations. The class definition for IKERule is as follows:
クラスIkeruleは、IKEフェーズ1交渉の条件と行動を関連付けます。Ikeruleのクラス定義は次のとおりです。
NAME IKERule DESCRIPTION Associates Conditions and Actions for IKE phase 1 negotiations. DERIVED FROM SARule ABSTRACT FALSE PROPERTIES same as SARule, plus IdentityContexts
名前IKERULE説明は、IKEフェーズ1交渉の条件とアクションを関連付けます。Saruleと同じSaruleと同じ誤った誤った特性から導出され、IdentityContexts
The IKE service of a security endpoint may have multiple identities for use in different situations. The combination of the interface (represented by the IPProtocolEndpoint or by a collection of IPProtocolEndpoints), the identity type (as specified in the IKEAction), and the IdentityContexts specifies a unique identity.
セキュリティエンドポイントのIKEサービスには、さまざまな状況で使用するための複数のアイデンティティがある場合があります。インターフェイスの組み合わせ(iPprotocolendpointまたはipprotocolendpointsのコレクションによって表される)、IDタイプ(iKeactionで指定)、およびIDontextsは一意のIDを指定します。
The IdentityContexts property specifies the context to select the relevant IKE identity to be used during the further IKEAction. A context may be a VPN name or other identifier for selecting the appropriate identity for use on the protected IPProtocolEndpoint (or collection of IPProtocolEndpoints).
IdentityContextsプロパティは、さらなるiKeactionで使用される関連するIKE IDを選択するコンテキストを指定します。コンテキストは、保護されたiPprotocolendPoint(またはiPprotocolendPointsのコレクション)で使用するための適切なIDを選択するためのVPN名またはその他の識別子である場合があります。
IdentityContexts is an array of strings. The multiple values in the array are logically ORed together in evaluating the IdentityContexts. Each value in the array may be the composition of multiple context names. So, a single value may be a single context name (e.g., "CompanyXVPN"), or it may be combination of contexts. When an array value is a composition, the individual values are logically ANDed together for evaluation purposes and the syntax is:
IdentityContextsは文字列の配列です。配列内の複数の値は、IdentityContextsの評価において論理的に編成されています。配列内の各値は、複数のコンテキスト名の構成である場合があります。したがって、単一の値は、単一のコンテキスト名(例: "CompanyXvpn")である場合もあれば、コンテキストの組み合わせである場合もあります。配列値が構成である場合、個々の値は評価のために論理的にandedであり、構文は次のとおりです。
<ContextName>[&&<ContextName>]*
where the individual context names appear in alphabetical order (according to the collating sequence for UCS-2). So, for example, the values "CompanyXVPN", "CompanyYVPN&&TopSecret", "CompanyZVPN&&Confidential" means that, for the appropriate IPProtocolEndpoint and IdentityType, the contexts are matched if the identity specifies "CompanyXVPN", "CompanyYVPN&&TopSecret", or "CompanyZVPN&&Confidential".
ここで、個々のコンテキスト名がアルファベット順に表示されます(UCS-2の照合シーケンスに従って)。したがって、たとえば、「companyxvpn」、「companyyvpn && topsecret」、「companyzvpn && confidential」の値は、適切なipprotocolendpointとitfentypeの場合、アイデンティティがcompanyxvpn "、" companyyvpn && topsretret "を指定した場合にコンテキストが一致することを意味します。
The property is defined as follows:
プロパティは次のように定義されています。
NAME IdentityContexts DESCRIPTION Specifies the context in which to select the IKE identity. SYNTAX string array
名前IDCONTEXTS説明IKE IDを選択するコンテキストを指定します。構文文字列アレイ
The class IPsecRule associates Conditions and Actions for IKE phase 2 negotiations for the IPsec DOI. The class definition for IPsecRule is as follows:
クラスIPSeCruleは、IPSEC DOIのIKEフェーズ2交渉の条件とアクションを関連付けます。IPSeCruleのクラス定義は次のとおりです。
NAME IPsecRule DESCRIPTION Associates Conditions and Actions for IKE phase 2 negotiations for the IPsec DOI. DERIVED FROM SARule ABSTRACT FALSE PROPERTIES same as SARule
IPSECDOIのIKEフェーズ2交渉の条件とアクションを関連付けます。サルール抽象的な偽特性から派生したサルールと同じ
The class IPsecPolicyForEndpoint associates a PolicyGroup with a specific network interface. If an IPProtocolEndpoint of a system does not have an IPsecPolicyForEndpoint-associated PolicyGroup, then the IPsecPolicyForSystem associated PolicyGroup is used for that endpoint. The class definition for IPsecPolicyForEndpoint is as follows:
クラスIpseCpolicyForendPointは、ポリシーグループを特定のネットワークインターフェイスに関連付けます。システムのipprotocolendpointにIpsecpolicyforedpoint関連のポリシーグループがない場合、ipsecpolicyforsystem Associated Policy-Groupがそのエンドポイントに使用されます。ipsecpolicyforendpointのクラス定義は次のとおりです。
NAME IPsecPolicyForEndpoint DESCRIPTION Associates a policy group to a network interface. DERIVED FROM Dependency (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent[ref IPProtocolEndpoint[0..n]] Dependent[ref PolicyGroup[0..1]]
名前ipsecpolicyforendpointの説明ポリシーグループをネットワークインターフェイスに関連付けます。依存関係から派生した([cimcore]を参照)抽象的な虚偽のプロパティアンティデント[ref ipprotocolendpoint [0..n]]依存[Ref PolicyGroup [0..1]]
The property Antecedent is inherited from Dependency and is overridden to refer to an IPProtocolEndpoint instance. The [0..n] cardinality indicates that a PolicyGroup instance may be associated with zero or more IPProtocolEndpoint instances.
プロパティの前件は依存関係から継承され、IpprotocolendPointインスタンスを参照するようにオーバーライドされています。[0..n]カーディナリティは、ポリシーグループインスタンスがゼロ以上のipprotocolendpointインスタンスに関連付けられている可能性があることを示しています。
The property Dependent is inherited from Dependency and is overridden to refer to a PolicyGroup instance. The [0..1] cardinality indicates that an IPProtocolEndpoint instance may have an association to at most one PolicyGroup instance.
プロパティ依存は依存関係から継承され、ポリシーグループインスタンスを参照するようにオーバーライドされます。[0..1] Cardinalityは、IpprotocolendPointインスタンスが最大1つのポリシーグループインスタンスとの関連を持つ可能性があることを示しています。
The class IPsecPolicyForSystem associates a PolicyGroup with a specific system. If an IPProtocolEndpoint of a system does not have an IPsecPolicyForEndpoint-associated PolicyGroup, then the IPsecPolicyForSystem associated PolicyGroup is used for that endpoint. The class definition for IPsecPolicyForSystem is as follows:
クラスIPSECPOLICYFORSYSTEMは、ポリシーグループを特定のシステムに関連付けています。システムのipprotocolendpointにIpsecpolicyforedpoint関連のポリシーグループがない場合、ipsecpolicyforsystem Associated Policy-Groupがそのエンドポイントに使用されます。IPSECPOLICYFORSYSTEMのクラス定義は次のとおりです。
NAME IPsecPolicyForSystem DESCRIPTION Default policy group for a system. DERIVED FROM Dependency (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent[ref System[0..n]] Dependent[ref PolicyGroup[0..1]]
名前ipsecpolicyforsystemの説明システムのデフォルトのポリシーグループ。依存関係から派生した([cimcore]を参照)抽象的な虚偽のプロパティアンティデント[ref system [0..n]]依存[Ref PolicyGroup [0..1]]
The property Antecedent is inherited from Dependency and is overridden to refer to a System instance. The [0..n] cardinality indicates that a PolicyGroup instance may have an association to zero or more System instances.
プロパティの前件は依存関係から継承され、システムインスタンスを参照するようにオーバーライドされます。[0..n]カーディナリティは、ポリシーグループインスタンスがゼロ以上のシステムインスタンスとの関連を持つ可能性があることを示しています。
The property Dependent is inherited from Dependency and is overridden to refer to a PolicyGroup instance. The [0..1] cardinality indicates that a System instance may have an association to at most one PolicyGroup instance.
プロパティ依存は依存関係から継承され、ポリシーグループインスタンスを参照するようにオーバーライドされます。[0..1]カーディナリティは、システムインスタンスがせいぜい1つのポリシーグループインスタンスとの関連性を持つ可能性があることを示しています。
The class SAConditionInRule associates an SARule with the SACondition instance(s) that trigger(s) it. The class definition for SAConditionInRule is as follows:
クラスのSaconditionInruleは、サルールをトリガーするサクコンディションインスタンスに関連付けます。saconditioninruleのクラス定義は次のとおりです。
NAME SAConditionInRule DESCRIPTION Associates an SARule with the SACondition instance(s) that trigger(s) it. DERIVED FROM PolicyConditionInPolicyRule (see [PCIM] & [PCIME]) ABSTRACT FALSE PROPERTIES GroupNumber (from PolicyConditionInPolicyRule) ConditionNegated (from PolicyConditionInPolicyRule) GroupComponent [ref SARule [0..n]] PartComponent [ref SACondition [1..n]]
名前SaconditionInrule説明は、サルールをトリガーするサクコンディションインスタンスと関連付けます。PolicyConditionInpolicyrule([PCIM]&[PCIME]を参照)を参照)抽象的な誤ったプロパティグループNumber(PolicyConditionInPolicyruleから)(PolicyConditionInpolicyruleから)グループコンポーネント[Ref Sarule [0..N]] PartComponent [Ref Sacomponition [1..N]]
For a description of these properties, see [PCIM].
これらのプロパティの説明については、[PCIM]を参照してください。
The property GroupComponent is inherited from PolicyConditionInPolicyRule and is overridden to refer to an SARule instance. The [0..n] cardinality indicates that an SACondition instance may be contained in zero or more SARule instances.
プロパティグループコンポーネントは、PolicyConditionInpolicyruleから継承されており、Saruleインスタンスを参照するようにオーバーライドされています。[0..n]カーディナリティは、聖条例がゼロ以上のサルールインスタンスに含まれる可能性があることを示しています。
The property PartComponent is inherited from PolicyConditionInPolicyRule and is overridden to refer to an SACondition instance. The [1..n] cardinality indicates that an SARule instance MUST contain at least one SACondition instance.
プロパティの部品コンポーネントは、policyconditioninpolicyruleから継承されており、聖派インスタンスを参照するようにオーバーライドされています。[1..n]カーディナリティは、Saruleインスタンスに少なくとも1つの聖条件インスタンスが含まれている必要があることを示しています。
The PolicyActionInSARule class associates an SARule with one or more PolicyAction instances. In all cases where an SARule is being used, the contained actions MUST be either subclasses of SAAction or instances of CompoundPolicyAction. For an IKERule, the contained actions MUST be related to phase 1 processing, i.e., IKEAction or IKERejectAction. Similarly, for an IPsecRule, contained actions MUST be related to phase 2 or preconfigured SA processing, e.g., IPsecTransportAction, IPsecBypassAction, etc. The class definition for PolicyActionInSARule is as follows:
PolicyactionInsaruleクラスは、Saruleに1つ以上のポリシーアクションインスタンスを関連付けています。Saruleが使用されているすべての場合において、含まれるアクションは、セーシャルのサブクラスまたは化合物のインスタンスのいずれかでなければなりません。iKeruleの場合、含まれるアクションは、フェーズ1処理、つまりikeActionまたはikerejectactionに関連している必要があります。同様に、IPSECRULEの場合、含まれるアクションは、フェーズ2または事前に構成されたSA処理、例えばIPSECTRANSPORTACTION、IPSECBYPASSACTIONなどに関連している必要があります。
NAME PolicyActionInSARule DESCRIPTION Associates an SARule with its PolicyAction(s). DERIVED FROM PolicyActionInPolicyRule (see [PCIM] & [PCIME]) ABSTRACT FALSE PROPERTIES GroupComponent [ref SARule [0..n]] PartComponent [ref PolicyAction [1..n]] ActionOrder (from PolicyActionInPolicyRule)
名前のpolicycractioninsaruleの説明は、サルールをそのポリシーアクションに関連付けます。PolicyactionInPolicyruleから派生した([PCIM]&[PCIME]を参照)Abstract False Properties GroupComponent [Ref Sarule [0..N]] PartComponent [Ref Policyaction [1..N]] ActionOrder(PolicyActionInPolicyruleから)
The property GroupComponent is inherited from PolicyActionInPolicyRule and is overridden to refer to an SARule instance. The [0..n] cardinality indicates that an SAAction instance may be contained in zero or more SARule instances.
プロパティグループコンポーネントは、policycactioninpolicyruleから継承されており、Saruleインスタンスを参照するようにオーバーライドされています。[0..n]カーディナリティは、セーションインスタンスがゼロ以上のサルールインスタンスに含まれる可能性があることを示しています。
The property PartComponent is inherited from PolicyActionInPolicyRule and is overridden to refer to an SAAction or CompoundPolicyAction instance. The [1..n] cardinality indicates that an SARule instance MUST contain at least one SAAction or CompoundPolicyAction instance.
プロパティパートコンポーネントは、PolicyactionInPolicyruleから継承されており、SACERTIONまたはCOMPUTIONPOLICACTIONインスタンスを参照するようにオーバーライドされています。[1..n]カーディナリティは、Saruleインスタンスに少なくとも1つのSAACTIONまたはCOMPUTIONPOLICACTIONインスタンスが含まれている必要があることを示しています。
The property ActionOrder is inherited from the superclass PolicyActionInPolicyRule. It specifies the relative position of this PolicyAction in the sequence of actions associated with a PolicyRule. The ActionOrder MUST be unique so as to provide a deterministic order. In addition, the actions in an SARule are executed as follows. See section 4.2.2, ExecutionStrategy, for a discussion on the use of the ActionOrder property.
プロパティアクションオーダーは、スーパークラスPolicyActionInPolicyruleから継承されます。このポリシールールに関連する一連のアクションにおけるこのポリシーアクションの相対的な位置を指定します。アクションオーダーは、決定論的な順序を提供するために一意でなければなりません。さらに、サルールのアクションは次のように実行されます。ActionOrderプロパティの使用に関する議論については、セクション4.2.2、ExectionsTrategyを参照してください。
The property is defined as follows:
プロパティは次のように定義されています。
NAME ActionOrder DESCRIPTION Specifies the order of actions. SYNTAX unsigned 16-bit integer VALUE Any value between 1 and 2^16-1 inclusive. Lower values have higher precedence (i.e., 1 is the highest precedence). The merging order of two SAActions with the same precedence is undefined.
名前アクションオーダーの説明アクションの順序を指定します。構文符号なしの16ビット整数値1〜2^16-1の値を含む値。低い値の優先順位が高くなります(つまり、1が最も優先されます)。同じ優先順位を持つ2つのSAACITIONのマージ順序は未定義です。
The IPsec condition and filter classes are used to build the "if" part of the IKE and IPsec rules.
IPSEC条件とフィルタークラスは、IKEおよびIPSECルールの「IF」の一部を構築するために使用されます。
*+-------------+ +--------------------| SACondition | | +-------------+ | * | | |(a) | 1 | | +---------------+ | | FilterList | | |([CIMNETWORK]) | | +---------------+ | 1 o |(b) |(c) | * | | +-----------------+ | | FilterEntryBase | | | ([CIMNETWORK]) | | +-----------------+ | ^ | | | +-----------------+ | +-----------------------+ | | IPHeadersFilter |----+----| CredentialFilterEntry | | | ([PCIME]) | | +-----------------------+ | +-----------------+ | | | | +-----------------+ | +--------------------------+ | | IPSOFilterEntry |----+----| PeerIDPayloadFilterEntry | | +-----------------+ +--------------------------+ | | *+-----------------------------+ +------------| CredentialManagementService | | ([CIMUSER]) | +-----------------------------+
(a) FilterOfSACondition (b) AcceptCredentialsFrom (c) EntriesInFilterList (see [CIMNETWORK])
(a) filterofsacondition(b)Acceptcredentialsfrom(c)entriesinfilterlist([cimnetwork]を参照)
The class SACondition defines the conditions of rules for IKE and IPsec negotiations. Conditions are associated with policy rules via the SAConditionInRule aggregation. It is used as an anchor point to associate various types of filters with policy rules via the FilterOfSACondition association. It also defines whether Credentials can be accepted for a particular policy rule via the AcceptCredentialsFrom association.
クラスのサコンディションは、IKEとIPSECの交渉の規則の条件を定義します。条件は、SaconditionInruleの凝集を介したポリシールールに関連付けられています。これは、さまざまなタイプのフィルターをFilterofSaconcontition Associationを介してポリシールールに関連付けるためのアンカーポイントとして使用されます。また、AcceptCredentialsfrom Associationを介して特定のポリシールールに対して資格情報を受け入れることができるかどうかを定義します。
Associated objects represent components of the condition that may or may not apply at a given rule evaluation. For example, an AcceptCredentialsFrom evaluation is only performed when a credential is available to be evaluated against the list of trusted credential management services. Similarly, a PeerIDPayloadFilterEntry may only be evaluated when an IDPayload value is available to compare with the filter. Condition components that do not have corresponding values with which to evaluate are evaluated as TRUE unless the protocol has completed without providing the required information.
関連するオブジェクトは、特定のルール評価で適用される場合と適用されない可能性のある条件のコンポーネントを表します。たとえば、評価からの受け入れられた関心は、信頼できる資格管理サービスのリストに対して資格情報を評価できる場合にのみ実行されます。同様に、PeerIdPayLoadFilterEntryは、IDPayLoad値がフィルターと比較できる場合にのみ評価できます。プロトコルが必要な情報を提供せずに完了していない限り、評価する対応する値を持たない対応する値を持たない条件コンポーネントは真実として評価されます。
The class definition for SACondition is as follows:
SACONDITIONのクラス定義は次のとおりです。
NAME SACondition DESCRIPTION Defines the preconditions for IKE and IPsec negotiations. DERIVED FROM PolicyCondition (see [PCIM]) ABSTRACT FALSE PROPERTIES PolicyConditionName (from PolicyCondition)
名前のサクリッション説明IKEおよびIPSEC交渉の前提条件を定義します。Policy -Condition([PCIM]を参照)から派生した虚偽のプロパティPolicyConditionName(PolicyConditionから)
The class IPHeadersFilter is defined in [PCIME] with the following note:
クラスipheadersFilterは[PCIME]で次のメモで定義されています。
1) to specify 5-tuple filters that are to apply symmetrically (i.e., matches traffic in both directions of the same flows which is quite typical for SPD entries for ingress and egress traffic), the Direction property of the FilterList SHOULD be set to "Mirrored".
1) 対称的に適用する5タプルフィルターを指定する(つまり、イングレストラフィックと出口トラフィックのSPDエントリに非常に典型的な同じフローの両方向のトラフィックを一致させる)、フィルターリストの方向プロパティは「ミラーリング」に設定する必要があります。。
The class CredentialFilterEntry defines an equivalence class that match credentials of IKE peers. Each CredentialFilterEntry includes a MatchFieldName that is interpreted according to the CredentialManagementService(s) associated with the SACondition (AcceptCredentialsFrom).
クラスの資格情報filterentryは、IKEピアの資格情報に一致する等価クラスを定義します。各資格情報filterentryには、saconditionに関連付けられた資格managementserviceに従って解釈されるマッチフィールド名が含まれています。
These credentials can be X.509 certificates, Kerberos tickets, or other types of credentials obtained during the Phase 1 exchange.
これらの資格情報は、X.509証明書、Kerberosチケット、またはフェーズ1の交換中に取得した他のタイプの資格情報です。
Note: this filter entry will probably be checked while the IKE negotiation takes place. If the check is a failure, then the IKE negotiation MUST be stopped, and the result of the IKEAction which triggered this negotiation is a failure.
注:IKEの交渉が行われる間、このフィルターエントリはおそらくチェックされます。小切手が障害である場合、IKEの交渉を停止する必要があり、この交渉をトリガーしたikeActionの結果は失敗です。
The class definition for CredentialFilterEntry is as follows:
資格情報のクラス定義は次のとおりです。
NAME CredentialFilterEntry DESCRIPTION Specifies a match filter based on the IKE credentials. DERIVED FROM FilterEntryBase (see [CIMNETWORK]) ABSTRACT FALSE PROPERTIES Name (from FilterEntryBase) IsNegated (from FilterEntryBase) MatchFieldName MatchFieldValue CredentialType
名前資格情報filterentryの説明IKE資格情報に基づいた一致フィルターを指定します。filterentrybase([cimnetwork]を参照)から派生した誤ったプロパティ名(filterentrybaseから)isNegated(filterentrybaseから)matchfieldname matchfieldvalue credentientytype
The property MatchFieldName specifies the sub-part of the credential to match against MatchFieldValue. The property is defined as follows:
Property MatchFieldNameは、MatchFieldValueと一致する資格情報のサブパートを指定します。プロパティは次のように定義されています。
NAME MatchFieldName DESCRIPTION Specifies which sub-part of the credential to match. SYNTAX string VALUE This is the string representation of a X.509 certificate attribute, e.g.: - "serialNumber" - "signatureAlgorithm" - "issuerName" - "subjectName" - "subjectAltName" - ...
Name MatchFieldNameの説明一致する資格情報のサブパートを指定します。構文文字列値これは、x.509証明書属性の文字列表現です。
The property MatchFieldValue specifies the value to compare with the MatchFieldName in a credential to determine if the credential matches this filter entry. The property is defined as follows:
Property MatchFieldValueは、資格情報のMatchFieldNameと比較する値を指定し、資格情報がこのフィルターエントリと一致するかどうかを判断します。プロパティは次のように定義されています。
NAME MatchFieldValue DESCRIPTION Specifies the value to be matched by the MatchFieldName.
名前MatchFieldValue説明MatchFieldNameで一致する値を指定します。
SYNTAX string VALUE NB: If the CredentialFilterEntry corresponds to a DistinguishedName, this value in the CIM class is represented by an ordinary string value. However, an implementation must convert this string to a DER-encoded string before matching against the values extracted from credentials at runtime.
構文文字列値nb:redentialfilterentryがdistinguishednameに対応する場合、CIMクラスのこの値は通常の文字列値で表されます。ただし、実装では、実行時に資格情報から抽出された値と一致する前に、この文字列をderエンコード文字列に変換する必要があります。
A wildcard mechanism may be used for MatchFieldNames that contain character strings. The MatchFieldValue may contain a wildcard character, '*', in the pattern match specification. For example, if the MatchFieldName is "subjectName", then a MatchFieldValue of "cn=*,ou=engineering,o=foo,c=be" will successfully match a certificate whose subject attribute is "cn=Jane Doe,ou=engineering,o=foo,c=be". The wildcard character can be used to represent 0 or more characters as would be displayed to the user (i.e., a wildcard pattern match operates on displayable character boundaries).
ワイルドカードメカニズムは、文字文字列を含むMatchFieldNamesに使用できます。MatchFieldValueには、パターンマッチ仕様にワイルドカード文字「*」が含まれている場合があります。たとえば、MatchFieldNameが「件名」の場合、「CN =*、OU = Engineering、O = foo、c = be」のMatchFieldValueが「CN = Jane Doe、OU = Engineeringの証明書」と正常に一致します。、o = foo、c = be "。ワイルドカード文字は、ユーザーに表示されるように0以上の文字を表すために使用できます(つまり、ワイルドカードパターンマッチは、表示可能な文字境界で動作します)。
The property CredentialType specifies the particular type of credential that is being matched. The property is defined as follows:
Property credentienceTypeは、一致している特定のタイプの資格情報を指定します。プロパティは次のように定義されています。
NAME CredentialType DESCRIPTION Defines the type of IKE credentials. SYNTAX unsigned 16-bit integer VALUE 1 - X.509 Certificate 2 - Kerberos Ticket
名前認証タイプの説明IKE資格情報のタイプを定義します。構文符号なし16ビット整数値1 -X.509証明書2- Kerberosチケット
The class IPSOFilterEntry is used to match traffic based on the IP Security Options [IPSO] header values (ClassificationLevel and ProtectionAuthority) as defined in RFC 1108. This type of filter entry is used to adjust the IPsec encryption level according to the IPSO classification of the traffic (e.g., secret, confidential, restricted, etc.) The class definition for IPSOFilterEntry is as follows:
クラスIPSOFILTERENTRYは、RFC 1108で定義されているIPセキュリティオプション[IPSO]ヘッダー値(ClassificationLevelおよびProtectionAuthority)に基づいてトラフィックを一致させるために使用されます。このタイプのフィルターエントリは、IPSEC暗号化レベルを調整するために使用されます。トラフィック(秘密、機密、制限など)IPSOFILTERENTRYのクラス定義は次のとおりです。
NAME IPSOFilterEntry DESCRIPTION Specifies the a match filter based on IP Security Options. DERIVED FROM FilterEntryBase (see [CIMNETWORK]) ABSTRACT FALSE PROPERTIES Name (from FilterEntryBase) IsNegated (from FilterEntryBase) MatchConditionType MatchConditionValue
名前IPSOFILTERENTRYの説明IPセキュリティオプションに基づいて、A Mateフィルターを指定します。filterentrybase([cimnetwork]を参照)から派生した虚偽のプロパティ名(filterentrybaseから)isに照らされています
The property MatchConditionType specifies the IPSO header field that will be matched (e.g., traffic classification level or protection authority). The property is defined as follows:
プロパティMatchConditionTypeは、一致するIPSOヘッダーフィールド(たとえば、トラフィック分類レベルまたは保護機関)を指定します。プロパティは次のように定義されています。
NAME MatchConditionType DESCRIPTION Specifies the IPSO header field to be matched. SYNTAX unsigned 16-bit integer VALUE 1 - ClassificationLevel 2 - ProtectionAuthority
名前MatchConditionType説明一致するIPSOヘッダーフィールドを指定します。構文符号なし16ビット整数値1-分類レベル2 -ProtectionAuthority
The property MatchConditionValue specifies the value of the IPSO header field to be matched against. The property is defined as follows:
プロパティマッチコンディションバリューは、一致するIPSOヘッダーフィールドの値を指定します。プロパティは次のように定義されています。
NAME MatchConditionValue DESCRIPTION Specifies the value of the IPSO header field to be matched against. SYNTAX unsigned 16-bit integer VALUE The values MUST be one of values listed in RFC 1108 (or any further IANA Assigned Numbers document). Some examples for ClassificationLevel are: 61 - TopSecret 90 - Secret 150 - Confidential 171 - Unclassified For ProtectionAuthority, some examples are: 0 - GENSER 1 - SIOP-ESI 2 - SCI 3 - NSA 4 - DOE
名前MatchConditionValue説明と一致するIPSOヘッダーフィールドの値を指定します。構文符号なし16ビット整数値値は、RFC 1108にリストされている値の1つでなければなりません(またはIANAが割り当てられたドキュメント)。ClassificationLevelの例は次のとおりです。61 -Topsecret 90-シークレット150- Confidential 171-保護のために分類されていない場合、いくつかの例は次のとおりです。
The class PeerIDPayloadFilterEntry defines filters used to match ID payload values from the IKE protocol exchange. PeerIDPayloadFilterEntry permits the specification of certain ID payload values such as "*@example.com" or "192.0.2.0/24".
クラスPeerIdPayLoadFilterEntryは、IKEプロトコル交換のIDペイロード値を一致させるために使用されるフィルターを定義します。PeerIdPayLoadFilterEntryは、「*@example.com」や「192.0.2.0/24」などの特定のIDペイロード値の仕様を許可します。
Obviously this filter applies only to IKERules when acting as a responder. Moreover, this filter can be applied immediately in the case of aggressive mode but its application is to be delayed in the case of main mode. The class definition for PeerIDPayloadFilterEntry is as follows:
明らかに、このフィルターは、レスポンダーとして機能するときにIkerulesにのみ適用されます。さらに、このフィルターは積極的なモードの場合にすぐに適用できますが、メインモードの場合はそのアプリケーションを遅らせることになります。PeerIdPayLoadFilterEntryのクラス定義は次のとおりです。
NAME PeerIDPayloadFilterEntry DESCRIPTION Specifies a match filter based on IKE identity. DERIVED FROM FilterEntryBase (see [CIMNETWORK]) ABSTRACT FALSE PROPERTIES Name (from FilterEntryBase) IsNegated (from FilterEntryBase) MatchIdentityType MatchIdentityValue
名前peeridpayloadfilterentry説明IKE IDに基づいた一致フィルターを指定します。filterentrybase([cimnetwork]を参照)から派生した誤ったプロパティ名(filterentrybaseから)は(filterentrybaseから)matchedytytype matchidentityvalue(
The property MatchIdentityType specifies the type of identity provided by the peer in the ID payload. The property is defined as follows:
Property MatchIdentityTypeは、IDペイロードでピアが提供するIDのタイプを指定します。プロパティは次のように定義されています。
NAME MatchIdentityType DESCRIPTION Specifies the ID payload type. SYNTAX unsigned 16-bit integer VALUE Consult [DOI] for valid values.
名前MatchidentityType説明IDペイロードタイプを指定します。構文の符号なし16ビット整数値は、有効な値について[doi]に相談します。
5.5.2. The Property MatchIdentityValue
5.5.2. プロパティマッチアイデンティティバリュー
The property MatchIdentityValue specifies the filter value for comparison with the ID payload, e.g., "*@example.com". The property is defined as follows:
プロパティマッチアイデンティティバリューは、IDペイロードとの比較のためにフィルター値を指定します。たとえば、「*@example.com」。プロパティは次のように定義されています。
NAME MatchIdentityValue DESCRIPTION Specifies the ID payload value. SYNTAX string VALUE NB: The syntax may need to be converted for comparison. If the PeerIDPayloadFilterEntry type is a DistinguishedName, the name in the MatchIdentityValue property is represented by an ordinary string value, but this value must be converted into a DER-encoded string before matching against the values extracted from IKE ID payloads at runtime. The same applies to IPv4 & IPv6 addresses.
名前MatchidentityValue説明IDペイロード値を指定します。構文文字列値NB:比較のために構文を変換する必要がある場合があります。PeerIdPayLoadFilterEntryタイプが著名な名前である場合、MatchIdentityValueプロパティの名前は通常の文字列値で表されますが、この値は、実行時にIKE IDペイロードから抽出された値と一致する前に、derエンコード文字列に変換する必要があります。同じことがIPv4&IPv6アドレスにも当てはまります。
Different wildcard mechanisms can be used depending on the ID payload:
IDペイロードに応じて、さまざまなワイルドカードメカニズムを使用できます。
- a MatchIdentityValue of "*@example.com" will match a user FQDN ID payload of "JDOE@EXAMPLE.COM".
- 「*@example.com」のMatchIdentValueは、「jdoe@example.com」のユーザーFQDN IDペイロードと一致します。
- a MatchIdentityValue of "*.example.com" will match a FQDN ID payload of "WWW.EXAMPLE.COM".
- 「*.example.com」のMatchIdentValueは、「www.example.com」のFQDN IDペイロードと一致します。
- a MatchIdentityValue of "cn=*,ou=engineering,o=company,c=us" will match a DER DN ID payload of "cn=John Doe,ou=engineering,o=company,c=us".
- 「CN =*、OU = Engineering、O = Company、C = US」のMatchIdentValueは、「CN = John Doe、Ou = Engineering、O = Company、C = US」のdn dn idペイロードと一致します。
- a MatchIdentityValue of "193.190.125.0/24" will match an IPv4 address ID payload of 193.190.125.10.
- 「193.190.125.0/24」のMatchIdentValueは、193.190.125.10のIPv4アドレスIDペイロードと一致します。
- a MatchIdentityValue of "193.190.125.*" will also match an IPv4 address ID payload of 193.190.125.10.
- 「193.190.125。*」のMatchIdentityValueは、193.190.125.10のIPv4アドレスIDペイロードも一致します。
The above wildcard mechanisms MUST be supported for all ID payloads supported by the local IKE entity. The character '*' replaces 0 or multiple instances of any character as restricted by the type specified by MatchIdentityType.
上記のワイルドカードメカニズムは、ローカルIKEエンティティによってサポートされているすべてのIDペイロードに対してサポートする必要があります。文字 '*'は、MatchIdentityTypeで指定されたタイプに制限されている任意の文字の0または複数のインスタンスを置き換えます。
The class FilterOfSACondition associates an SACondition with the filter specifications (FilterList) that make up the condition. The class definition for FilterOfSACondition is as follows:
クラスFilterOfSaconditionは、条件を構成するフィルター仕様(FilterList)とのサコンディションを関連付けます。FilterOfSaconditionのクラス定義は次のとおりです。
NAME FilterOfSACondition DESCRIPTION Associates a condition with the filter list that makes up the individual condition elements. DERIVED FROM Dependency (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent [ref FilterList[1..1]] Dependent [ref SACondition[0..n]]
名前filterofsaconditionの説明は、個々の条件要素を構成するフィルターリストと条件を関連付けます。依存関係から派生した([cimcore]を参照)abstract falseプロパティアンティデント[ref filterlist [1..1]]依存[ref sacondition [0..n]]
The property Antecedent is inherited from Dependency and is overridden to refer to a FilterList instance. The [1..1] cardinality indicates that an SACondition instance MUST be associated with one and only one FilterList instance.
プロパティの前件は依存関係から継承され、フィルターリストインスタンスを参照するようにオーバーライドされています。[1..1]枢機inalは、聖派インスタンスが1つのフィルターリストインスタンスのみに関連付けられている必要があることを示しています。
The property Dependent is inherited from Dependency and is overridden to refer to an SACondition instance. The [0..n] cardinality indicates that a FilterList instance may be associated with zero or more SACondition instances.
プロパティ依存は依存関係から継承され、聖条件インスタンスを参照するようにオーバーライドされます。[0..n] Cardinalityは、フィルターリストインスタンスがゼロ以上のサコンディションインスタンスに関連付けられている可能性があることを示しています。
The class AcceptCredentialFrom specifies which credential management services (e.g., a CertificateAuthority or a Kerberos service) are to be trusted to certify peer credentials. This is used to assure that the credential being matched in the CredentialFilterEntry is a valid credential that has been supplied by an approved CredentialManagementService. If a CredentialManagementService is specified and a corresponding CredentialFilterEntry is used, but the credential supplied by the peer is not certified by that CredentialManagementService (or one of the CredentialManagementServices in its trust hierarchy), the CredentialFilterEntry is deemed not to match. If a credential is certified by a CredentialManagementService in the AcceptCredentialsFrom list of services, but there is no CredentialFilterEntry, this is considered equivalent to a CredentialFilterEntry that matches all credentials from those services.
クラスは、クレデンシャル管理サービス(たとえば、CertiveateAuthorityまたはKerberosサービス)がピア資格情報を証明するために信頼されるかを指定します。これは、資格情報が承認された資格managementserviceによって提供された有効な資格情報であることを保証するために使用されます。資格managementserviceが指定され、対応する資格情報が使用されますが、ピアが提供する資格情報は、その資格managementservice(または信頼階層の資格managementservicesのいずれか)によって認定されていない場合、資格情報は一致しないとみなされます。資格情報がサービスのリストからAcceptRedentialssientsの資格managementserviceによって認定されているが、資格情報はありません。これは、これらのサービスのすべての資格と一致する資格情報filterentryに相当すると考えられています。
The class definition for AcceptCredentialFrom is as follows:
AcceptCredentialfromのクラス定義は次のとおりです。
NAME AcceptCredentialFrom DESCRIPTION Associates a condition with the credential management services to be trusted. DERIVED FROM Dependency (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent [ref CredentialManagementService[0..n]] Dependent [ref SACondition[0..n]]
名前のAcceptcredentialfrom説明は、信頼できる資格管理サービスと条件を関連付けます。依存関係から導出された([cimcore]を参照)abstract falseプロパティアンティセント[Ref refersentivemanagementservice [0..n]]依存[ref saconondition [0..n]]
The property Antecedent is inherited from Dependency and is overridden to refer to a CredentialManagementService instance. The [0..n] cardinality indicates that an SACondition instance may be associated with zero or more CredentialManagementService instances.
プロパティの前件は依存関係から継承され、資格のManagementserviceインスタンスを参照するようにオーバーライドされています。[0..n]カーディナリティは、聖派インスタンスがゼロ以上の資格managementserviceインスタンスに関連付けられている可能性があることを示しています。
The property Dependent is inherited from Dependency and is overridden to refer to a SACondition instance. The [0..n] cardinality indicates that a CredentialManagementService instance may be associated with zero or more SACondition instances.
プロパティ依存は依存関係から継承され、聖条件インスタンスを参照するようにオーバーライドされます。[0..n] Cardinalityは、資格managementserviceインスタンスがゼロ以上のsaconditionインスタンスに関連付けられている可能性があることを示しています。
The action classes are used to model the different actions an IPsec device may take when the evaluation of the associated condition results in a match.
アクションクラスは、関連する条件の評価が一致するときにIPSECデバイスが取る可能性のあるさまざまなアクションをモデル化するために使用されます。
+----------+ | SAAction | +----------+ ^ | +-----------+--------------+ | | | +---------------------+ | | SaNegotiationAction | | +---------------------+ | ^ | | +----------------+ +----------------------+* | SAStaticAction | | IKENegotiationAction |o----+ +----------------+ +----------------------+ | ^ ^ | | | | | +-----------+-------+ | | | | | +-------------------+ | +-------------+ +-----------+ | | IPsecBypassAction |---+ | IPsecAction | | IKEAction | | +-------------------+ | +-------------+ +-----------+ | | ^ | +--------------------+ | | +----------------------+ | | IPsecDiscardAction |---+ +----| IPsecTransportAction | | +--------------------+ | | +----------------------+ | | | | +-----------------+ | | +-------------------+ | | IKERejectAction |---+ +----| IPsecTunnelAction | | +-----------------+ | +-------------------+ | | *| | | +--------------+ | | | | +-----------------------+ | | +--------------+n | | PreconfiguredSAAction |---+ |(a) | [SAProposal] |-------+ +-----------------------+ | +--------------+ (b) *| ^ | | | | *+-------------+ | | +-------| PeerGateway | | | +-------------+ | | +-----------------------------+ |0..1 *w| | +--| PreconfiguredTransportAction| | |(c) | | +-----------------------------+ | 1| | | | +--------------+ | | +---------------------------+ * | | System | | +--| PreconfiguredTunnelAction |-----+ | ([CIMCORE]) | | +---------------------------+ (e) +--------------+ |
| 2..6+---------------+ +-------| [SATransform] | (d) +---------------+
(a) PeerGatewayForTunnel (b) ContainedProposal (c) HostedPeerGatewayInformation (d) TransformOfPreconfiguredAction (e) PeerGatewayForPreconfiguredTunnel
The class SAAction is abstract and serves as the base class for IKE and IPsec actions. It is used for aggregating different types of actions to IKE and IPsec rules. The class definition for SAAction is as follows:
クラスのセーシャルは抽象的であり、IKEおよびIPSECアクションの基本クラスとして機能します。さまざまな種類のアクションをIKEおよびIPSECルールに集約するために使用されます。セーシャルのクラス定義は次のとおりです。
NAME SAAction DESCRIPTION The base class for IKE and IPsec actions. DERIVED FROM PolicyAction (see [PCIM]) ABSTRACT TRUE PROPERTIES PolicyActionName (from PolicyAction) DoActionLogging DoPacketLogging
名前のセーシャル説明IKEおよびIPSECアクションの基本クラス。ポリシー([PCIM]を参照)から派生したTrue Properties PolicyActionName(ポリシーから)DoActionLogging DopacketLogging
The property DoActionLogging specifies whether a log message is to be generated when the action is performed. This applies for SANegotiationActions with the meaning of logging a message when the negotiation is attempted (with the success or failure result). This also applies for SAStaticAction only for PreconfiguredSAAction with the meaning of logging a message when the preconfigured SA is actually installed in the SADB. The property is defined as follows:
プロパティDoActionLoggingは、アクションの実行時にログメッセージを生成するかどうかを指定します。これは、交渉が試みられたとき(成功または失敗の結果がある)ときにメッセージを記録するという意味を持つ官能化に適用されます。これは、事前に設定されたSAが実際にSADBにインストールされている場合にメッセージをログに記録するという意味を持つ、事前に設定されたsaactionのみにのみ適用されます。プロパティは次のように定義されています。
NAME DoActionLogging DESCRIPTION Specifies the whether to log when the action is performed. SYNTAX boolean VALUE true - a log message is to be generated when action is performed. false - no log message is to be generated when action is performed.
name doactionlogging説明アクションが実行されたときにログするかどうかを指定します。構文ブール値真 -アクションが実行されると、ログメッセージが生成されます。false-アクションが実行されるときにログメッセージは生成されません。
The property DoPacketLogging specifies whether a log message is to be generated when the resulting security association is used to process the packet. If the SANegotiationAction successfully executes and results in the creation of one or several security associations, or if the PreconfiguredSAAction executes, the value of DoPacketLogging SHOULD be propagated to an optional field of SADB. This optional field should be used to decide whether a log message is to be generated when the SA is used to process a packet. For SAStaticActions, a log message is to be generated when the IPsecBypassAction, IPsecDiscardAction, or IKERejectAction are executed. The property is defined as follows:
プロパティDOPACKETLOGGINGは、結果のセキュリティアソシエーションを使用してパケットを処理するときにログメッセージを生成するかどうかを指定します。Sanegotiationactionが1つまたは複数のセキュリティ協会の作成を成功裏に実行し、結果として生成する場合、または事前に設定されたセキュリティが実行される場合、DopacketLoggingの値はSADBのオプションの分野に伝播する必要があります。このオプションのフィールドは、SAがパケットの処理に使用されるときにログメッセージを生成するかどうかを決定するために使用する必要があります。宗教的な場合、IPSecbypassaction、iPsecdiscardaction、またはikerejectactionが実行されると、ログメッセージが生成されます。プロパティは次のように定義されています。
NAME DoPacketLogging DESCRIPTION Specifies whether to log when the resulting security association is used to process the packet. SYNTAX boolean VALUE true - a log message is to be generated when the resulting security association is used to process the packet. false - no log message is to be generated.
名前dopacketlogging説明結果のセキュリティ協会がパケットの処理に使用されるときにログインするかどうかを指定します。構文ブール値True-結果のセキュリティアソシエーションを使用してパケットの処理を使用すると、ログメッセージが生成されます。false-ログメッセージは生成されません。
The class SAStaticAction is abstract and serves as the base class for IKE and IPsec actions that do not require any negotiation. The class definition for SAStaticAction is as follows:
クラスの宗教は抽象的であり、交渉を必要としないIKEおよびIPSECアクションの基本クラスとして機能します。腐敗のクラス定義は次のとおりです。
NAME SAStaticAction DESCRIPTION The base class for IKE and IPsec actions that do not require any negotiation. DERIVED FROM SAAction ABSTRACT TRUE PROPERTIES LifetimeSeconds
名前の宗教説明説明は、交渉を必要としないIKEおよびIPSECアクションの基本クラス。SAACTIONから派生した抽象的な真のプロパティライフタイム2倍
The property LifetimeSeconds specifies how long the security association derived from this action should be used. The property is defined as follows:
プロパティライフタイムコンドは、このアクションから派生したセキュリティ協会を使用する期間を指定します。プロパティは次のように定義されています。
NAME LifetimeSeconds DESCRIPTION Specifies the amount of time (in seconds) that a security association derived from this action should be used. SYNTAX unsigned 64-bit integer VALUE A value of zero indicates that there is not a lifetime associated with this action (i.e., infinite lifetime). A non-zero value is typically used in conjunction with alternate SAActions performed when there is a negotiation failure of some sort.
LifeTimeseCondsの名前説明このアクションから派生したセキュリティ関連を使用する必要がある時間(秒単位)を指定します。ゼロの値は、ゼロの値を符号なし64ビット整数値は、このアクション(つまり、無限の寿命)に関連する寿命がないことを示します。通常、ゼロ以外の値は、何らかの交渉の失敗がある場合に実行される代替のサイアクションと組み合わせて使用されます。
Note: if the referenced SAStaticAction object is a PreconfiguredSAAction associated to several SATransforms, then the actual lifetime of the preconfigured SA will be the lesser of the value of this LifetimeSeconds property and of the value of the MaxLifetimeSeconds property of the associated SATransform. If the value of this LifetimeSeconds property is zero, then there will be no lifetime associated to this SA.
注:参照されたサタチックオブジェクトがいくつかのsatransformsに関連付けられた事前に構成されている場合、事前に設定されたSAの実際の寿命は、この寿命秒プロパティの価値と関連するSatransformの最大econdsプロパティの価値の低いものになります。このLifeTimeseCondsプロパティの値がゼロの場合、このSAに関連する寿命はありません。
Note: while some SA negotiation protocols [IKE] can negotiate the lifetime as an arbitrary length field, the authors have assumed that a 64-bit integer will be sufficient.
注:一部のSAネゴシエーションプロトコル[IKE]は、任意の長さのフィールドとして生涯を交渉することができますが、著者は64ビット整数で十分であると想定しています。
It is expected that most SAStaticAction instances will have their LifetimeSeconds properties set to zero (meaning no expiration of the resulting SA).
ほとんどのSathaticactionインスタンスは、ライフタイムセカンドのプロパティをゼロに設定することが予想されます(結果のSAの有効期限がないことを意味します)。
The class IPsecBypassAction is used when packets are allowed to be processed without applying IPsec encapsulation to them. This is the same as stating that packets are allowed to flow in the clear. The class definition for IPsecBypassAction is as follows:
クラスIPSecbypassactionは、IPSECカプセル化を適用せずにパケットを処理できる場合に使用されます。これは、パケットがクリアに流れることが許可されていることを述べるのと同じです。IPSECBYPASSACTIONのクラス定義は次のとおりです。
NAME IPsecBypassAction DESCRIPTION Specifies that packets are to be allowed to pass in the clear. DERIVED FROM SAStaticAction ABSTRACT FALSE
名前ipsecbypassactionの説明パケットをクリアに渡すことを許可することを指定します。Sastaticaction Abstract Falseから派生しました
The class IPsecDiscardAction is used when packets are to be discarded. This is the same as stating that packets are to be denied. The class definition for IPsecDiscardAction is as follows:
パケットを破棄する場合、クラスのipsecdiscardactionが使用されます。これは、パケットが拒否されるべきであると述べるのと同じです。IPSECDISCARDACTIONのクラス定義は次のとおりです。
NAME IPsecDiscardAction DESCRIPTION Specifies that packets are to be discarded. DERIVED FROM SAStaticAction ABSTRACT FALSE
名前ipsecdiscardactionの説明パケットを破棄することを指定します。Sastaticaction Abstract Falseから派生しました
The class IKERejectAction is used to prevent attempting an IKE negotiation with the peer(s). The main use of this class is to prevent some denial of service attacks when acting as IKE responder. It goes beyond a plain discard of UDP/500 IKE packets because the SACondition can be based on specific PeerIDPayloadFilterEntry (when aggressive mode is used). The class definition for IKERejectAction is as follows:
クラスIKEREJECTACTIONは、ピアとのIKE交渉の試みを防ぐために使用されます。このクラスの主な用途は、IKE Responderとして行動する際のサービス攻撃の拒否を防ぐことです。SACONDITIONは特定のPeerIDPayLoadFilterEntry(アグレッシブモードが使用されている場合)に基づいているため、UDP/500 IKEパケットの単純な破棄を超えています。Ikerejectactionのクラス定義は次のとおりです。
NAME IKERejectAction DESCRIPTION Specifies that an IKE negotiation should not even be attempted or continued. DERIVED FROM SAStaticAction ABSTRACT FALSE
名前ikerejectactionの説明IKEの交渉を試みたり継続したりすべきではないことを指定します。Sastaticaction Abstract Falseから派生しました
The class PreconfiguredSAAction is used to create a security association using preconfigured, hard-wired algorithms and keys.
クラスPreconfiguredSaactionは、事前設定されたハードワイヤードアルゴリズムとキーを使用してセキュリティアソシエーションを作成するために使用されます。
Notes:
ノート:
- the SPI for a PreconfiguredSAAction is contained in the association, TransformOfPreconfiguredAction;
- 事前に設定されたspiのSPIは、関連付けに含まれています。
- the session key (if applicable) is contained in an instance of the class SharedSecret (see [CIMUSER]). The session key is stored in the property Secret, the property protocol contains either "ESP-encrypt", "ESP-auth" or "AH", the property algorithm contains the algorithm used to protect the secret (can be "PLAINTEXT" if the IPsec entity has no secret storage), the value of property RemoteID is the concatenation of the remote IPsec peer IP address in dotted decimal, of the character "/", of "IN" (respectively "OUT") for inbound SA (respectively outbound SA), of the character "/", and of the hexadecimal representation of the SPI.
- セッションキー(該当する場合)は、クラスSharedSecret([Cimuser]を参照)のインスタンスに含まれています。セッションキーはプロパティシークレットに保存されます。プロパティプロトコルには「esp-encrypt」、「esp-auth」または「ah」のいずれかが含まれています。プロパティアルゴリズムには、秘密を保護するために使用されるアルゴリズムが含まれています(「平文」になる可能性があります。IPSECエンティティには秘密のストレージがありません)、プロパティRemoteIDの値は、インバウンドSAの(それぞれ「アウト」(それぞれ」(それぞれ「アウト」)の文字「/」の点線の小数点以下のリモートIPSECピアIPアドレスの連結です(それぞれアウトバウンド)sa)、キャラクター「/」、およびSPIの六分位表現の。
Although the class is concrete, it MUST not be instantiated. The class definition for PreconfiguredSAAction is as follows:
クラスは具体的ですが、インスタンス化してはなりません。PreconfiguredSaactionのクラス定義は次のとおりです。
NAME PreconfiguredSAAction DESCRIPTION Specifies preconfigured algorithm and keying information for creation of a security association. DERIVED FROM SAStaticAction ABSTRACT TRUE PROPERTIES LifetimeKilobytes
名前PRECONFIGUREDSAACTIONの説明は、セキュリティ協会の作成のために、事前に設定されたアルゴリズムとキーイング情報を指定します。Sathaticaction Abstract True Properties LifetimeKilobytesから派生しました
The property LifetimeKilobytes specifies a traffic limit in kilobytes that can be consumed before the SA is deleted. The property is defined as follows:
プロパティライフタイムキロバイトは、SAが削除される前に消費できるキロバイトの交通制限を指定します。プロパティは次のように定義されています。
NAME LifetimeKilobytes DESCRIPTION Specifies the SA lifetime in kilobytes. SYNTAX unsigned 64-bit integer VALUE A value of zero indicates that there is not a lifetime associated with this action (i.e., infinite lifetime). A non-zero value is used to indicate that after this number of kilobytes has been consumed the SA must be deleted from the SADB.
名前lifetimekilobytes説明キロバイトのsa寿命を指定します。ゼロの値は、ゼロの値を符号なし64ビット整数値は、このアクション(つまり、無限の寿命)に関連する寿命がないことを示します。ゼロ以外の値は、この数のキロバイトが消費された後、SASBから削除する必要があることを示すために使用されます。
Note: the actual lifetime of the preconfigured SA will be the lesser of the value of this LifetimeKilobytes property and of the value of the MaxLifetimeSeconds property of the associated SATransform. If the value of this LifetimeKilobytes property is zero, then there will be no lifetime associated with this action.
注:事前に設定されたSAの実際の寿命は、この寿命のある寿命のプロパティの価値と、関連するsatransformのmaxlifetimesecondsプロパティの価値の少ないものになります。このLifetimeKilobytesプロパティの値がゼロの場合、このアクションに関連する寿命はありません。
Note: while some SA negotiation protocols [IKE] can negotiate the lifetime as an arbitrary length field, the authors have assumed that a 64-bit integer will be sufficient.
注:一部のSAネゴシエーションプロトコル[IKE]は、任意の長さのフィールドとして生涯を交渉することができますが、著者は64ビット整数で十分であると想定しています。
It is expected that most PreconfiguredSAAction instances will have their LifetimeKilobyte properties set to zero (meaning no expiration of the resulting SA).
ほとんどのPRECOUNFIGUREDSAACTIONインスタンスは、寿命の特性をゼロに設定することが予想されます(結果のSAの有効期限がないことを意味します)。
The class PreconfiguredTransportAction is used to create an IPsec transport-mode security association using preconfigured, hard-wired algorithms and keys. The class definition for PreconfiguredTransportAction is as follows:
クラスPRECONFIGUREDTRANSPORTACTIONは、事前設定されたハードワイヤードアルゴリズムとキーを使用して、IPSECトランスポートモードセキュリティアソシエーションを作成するために使用されます。PreconfiguredTransportactionのクラス定義は次のとおりです。
NAME PreconfiguredTransportAction DESCRIPTION Specifies preconfigured algorithm and keying information for creation of an IPsec transport security association. DERIVED FROM PreconfiguredSAAction ABSTRACT FALSE
名前PRECONFIGUREDTRANSPORTACTIONの説明IPSEC Transport Security Associationを作成するための事前に設定されたアルゴリズムとキーイング情報を指定します。PreconfiguredSaaction Abstract Falseから派生しました
The class PreconfiguredTunnelAction is used to create an IPsec tunnel-mode security association using preconfigured, hard-wired algorithms and keys. The class definition for PreconfiguredSAAction is as follows:
クラスPRECONFIGUREDTUNNELACTIONは、事前に設定されたハードワイヤードアルゴリズムとキーを使用して、IPSECトンネルモードセキュリティアソシエーションを作成するために使用されます。PreconfiguredSaactionのクラス定義は次のとおりです。
NAME PreconfiguredTunnelAction DESCRIPTION Specifies preconfigured algorithm and keying information for creation of an IPsec tunnel-mode security association. DERIVED FROM PreconfiguredSAAction ABSTRACT FALSE PROPERTIES DFHandling
名前preconfiguredTunnelActionの説明IPSECトンネルモードセキュリティ協会を作成するための事前に設定されたアルゴリズムとキーイング情報を指定します。PreconfiguredSaaction Abstract falseプロパティdfhandlingから派生しました
The property DFHandling specifies how the Don't Fragment (DF) bit of the internal IP header is to be handled during IPsec processing. The property is defined as follows:
プロパティdfhandlingは、内部IPヘッダーのDont Fragment(DF)ビットがIPSEC処理中に処理される方法を指定します。プロパティは次のように定義されています。
NAME DFHandling DESCRIPTION Specifies the processing of the DF bit. SYNTAX unsigned 16-bit integer VALUE 1 - Copy the DF bit from the internal IP header to the external IP header. 2 - Set the DF bit of the external IP header to 1. 3 - Clear the DF bit of the external IP header to 0.
名前dfhandling説明DFビットの処理を指定します。Syntax unting 16ビット整数値1-内部IPヘッダーから外部IPヘッダーにDFビットをコピーします。2-外部IPヘッダーのDFビットを1に設定します。3-外部IPヘッダーのDFビットを0にクリアします。
The class SANegotiationAction specifies an action requesting security policy negotiation.
クラスのSanegotiationactionは、セキュリティポリシーの交渉を要求するアクションを指定します。
This is an abstract class. Currently, only one security policy negotiation protocol action is subclassed from SANegotiationAction: the IKENegotiationAction class. It is nevertheless expected that other security policy negotiation protocols will exist and the negotiation actions of those new protocols would be modeled as a subclass of SANegotiationAction.
これは抽象的なクラスです。現在、SanegotiationActionの1つのセキュリティポリシー交渉プロトコルアクションのみがサブクラス化されています。それにもかかわらず、他のセキュリティポリシー交渉プロトコルが存在し、これらの新しいプロトコルの交渉措置が官能化のサブクラスとしてモデル化されることが予想されます。
NAME SANegotiationAction DESCRIPTION Specifies a negotiation action. DERIVED FROM SAAction ABSTRACT TRUE
名前のsanegotiationactionの説明交渉アクションを指定します。Saaction Abstract Trueから派生しました
The class IKENegotiationAction is abstract and serves as the base class for IKE and IPsec actions that result in an IKE negotiation. The class definition for IKENegotiationAction is as follows:
クラスのikenegotiationactionは抽象的であり、IKEおよびIKESの交渉をもたらすIKEおよびIPSECアクションの基本クラスとして機能します。ikenegotiationactionのクラス定義は次のとおりです。
NAME IKENegotiationAction DESCRIPTION A base class for IKE and IPsec actions that specifies the parameters that are common for IKE phase 1 and IKE phase 2 IPsec DOI negotiations. DERIVED FROM SANegotiationAction ABSTRACT TRUE PROPERTIES MinLifetimeSeconds MinLifetimeKilobytes IdleDurationSeconds
名前IKENEGOTIATIONACTION説明IKEフェーズ1およびIKEフェーズ2 IPSEC DOI交渉に共通するパラメーターを指定するIKEおよびIPSECアクションの基本クラス。sanegotiationactionactionの抽象的なプロパティから導出されたminlifetimeeconds minlifetimekilobytesアイドル測定秒
The property MinLifetimeSeconds specifies the minimum seconds in a lifetime that will be accepted from the peer. MinLifetimeSeconds is used to prevent certain denial of service attacks where the peer requests an arbitrarily low lifetime value, causing renegotiations with expensive Diffie-Hellman operations. The property is defined as follows:
プロパティMinlifetimeseCondsは、ピアから受け入れられる生涯の最低秒を指定します。Minlifetimesecondsは、ピアが任意の低い寿命の価値を要求する特定のサービス攻撃を防ぐために使用され、高価なDiffie-Hellman運用で再交渉を引き起こします。プロパティは次のように定義されています。
NAME MinLifetimeSeconds DESCRIPTION Specifies the minimum seconds acceptable in a lifetime. SYNTAX unsigned 64-bit integer VALUE A value of zero indicates that there is no minimum value. A non-zero value specifies the minimum seconds lifetime.
名前minlifetimeseconds説明生涯で許容できる最低秒を指定します。ゼロの値はゼロの値を符号なし64ビット整数値では、最小値がないことを示します。ゼロ以外の値は、最低秒寿命を指定します。
Note: while IKE can negotiate the lifetime as an arbitrary length field, the authors have assumed that a 64-bit integer will be sufficient.
注:Ikeは生涯を任意の長さフィールドとして交渉することができますが、著者は64ビットの整数で十分であると想定しています。
The property MinLifetimeKilobytes specifies the minimum kilobytes of a lifetime that will be accepted from the peer. MinLifetimeKilobytes is used to prevent certain denial of service attacks, where the peer requests an arbitrarily low lifetime value, causing renegotiations with correspondingly expensive Diffie-Hellman operations. Note that there has been considerable debate regarding the usefulness of applying kilobyte lifetimes to IKE phase 1 security associations, so it is likely that this property will only apply to the sub-class IPsecAction. The property is defined as follows:
プロパティMinlifetimeKilobytesは、ピアから受け入れられる生涯の最小キロバイトを指定します。MinlifetimeKilobytesは、特定のサービス拒否攻撃を防ぐために使用されます。ピアは、任意の低い寿命の価値を要求し、それに応じて高価なDiffie-Hellman操作で再交渉を引き起こします。キロバイトの寿命をIKEフェーズ1セキュリティ協会に適用することの有用性に関してかなりの議論があったことに注意してください。したがって、このプロパティはサブクラスのIPSECACTIONにのみ適用される可能性があります。プロパティは次のように定義されています。
NAME MinLifetimeKilobytes DESCRIPTION Specifies the minimum kilobytes acceptable in a lifetime. SYNTAX unsigned 64-bit integer VALUE A value of zero indicates that there is no minimum value. A non-zero value specifies the minimum kilobytes lifetime.
名前minlifetimekilobytes説明生涯で許容できる最小キロバイトを指定します。ゼロの値はゼロの値を符号なし64ビット整数値では、最小値がないことを示します。ゼロ以外の値は、最小キロバイトの寿命を指定します。
Note: While IKE can negotiate the lifetime as an arbitrary length field, the authors have assumed that a 64-bit integer will be sufficient.
注:Ikeは生涯を任意の長さフィールドとして交渉することができますが、著者は64ビットの整数で十分であると想定しています。
The property IdleDurationSeconds specifies how many seconds a security association may remain idle (i.e., no traffic protected using the security association) before it is deleted. The property is defined as follows:
プロパティのアイドル層は、セキュリティ協会が削除される前にアイドル状態のままである可能性がある(つまり、セキュリティ協会を使用してトラフィックが保護されていない)秒を指定します。プロパティは次のように定義されています。
NAME IdleDurationSeconds DESCRIPTION Specifies how long, in seconds, a security association may remain unused before it is deleted. SYNTAX unsigned 64-bit integer VALUE A value of zero indicates that idle detection should not be used for the security association (only the seconds and kilobyte lifetimes will be used). Any non-zero value indicates the number of seconds the security association may remain unused.
名前のidledurationsecondsの説明数秒で、セキュリティ協会が削除される前に未使用のままである可能性があることを指定します。構文の符号なし64ビット整数値ゼロの値は、セキュリティ協会にアイドル検出を使用しないことを示しています(秒のみとキロバイトの寿命が使用されます)。ゼロ以外の値は、セキュリティ協会が未使用のままである可能性がある秒数を示します。
The class IPsecAction serves as the base class for IPsec transport and tunnel actions. It specifies the parameters used for an IKE phase 2 IPsec DOI negotiation. The class definition for IPsecAction is as follows:
クラスのIPSECACTIONは、IPSECトランスポートおよびトンネルアクションの基本クラスとして機能します。IKEフェーズ2 IPSEC DOI交渉に使用されるパラメーターを指定します。IPSECACTIONのクラス定義は次のとおりです。
NAME IPsecAction DESCRIPTION A base class for IPsec transport and tunnel actions that specifies the parameters for IKE phase 2 IPsec DOI negotiations. DERIVED FROM IKENegotiationAction ABSTRACT TRUE PROPERTIES UsePFS UseIKEGroup GroupId Granularity VendorID
名前IPSECACTION説明IKEフェーズ2 IPSEC DOI交渉のパラメーターを指定するIPSECトランスポートおよびトンネルアクションの基本クラス。ikenegotiationactionの抽象的な真のプロパティUsepfs useikegroup groupid granularity vendoridから派生
The property UsePFS specifies whether or not perfect forward secrecy should be used when refreshing keys. The property is defined as follows:
プロパティUSEPFSは、キーを更新するときに完全なフォワードの秘密を使用するかどうかを指定します。プロパティは次のように定義されています。
NAME UsePFS DESCRIPTION Specifies the whether or not to use PFS when refreshing keys. SYNTAX boolean VALUE A value of true indicates that PFS should be used. A value of false indicates that PFS should not be used.
名前usepfs説明キーを更新するときにPFSを使用するかどうかを指定します。構文ブール値真の値は、PFSを使用する必要があることを示します。Falseの値は、PFを使用しないでください。
The property UseIKEGroup specifies whether or not phase 2 should use the same key exchange group as was used in phase 1. UseIKEGroup is ignored if UsePFS is false. The property is defined as follows:
Property useikegroupは、フェーズ2がフェーズ1で使用されたのと同じキーエクスチェンジグループを使用するかどうかを指定します。USEPFSがfalseの場合、useikegroupは無視されます。プロパティは次のように定義されています。
NAME UseIKEGroup DESCRIPTION Specifies whether or not to use the same GroupId for phase 2 as was used in phase 1. If UsePFS is false, then UseIKEGroup is ignored. SYNTAX boolean VALUE A value of true indicates that the phase 2 GroupId should be the same as phase 1. A value of false indicates that the property GroupId will contain the key exchange group to use for phase 2.
名前UseikeGroupの説明フェーズ1で使用されたのと同じGroupIDをフェーズ2に使用するかどうかを指定します。USEPFSがfalseの場合、UseikeGroupは無視されます。構文ブール値真の値は、フェーズ2 GroupIDがフェーズ1と同じであることを示しています。Falseの値は、Property GroupIDがフェーズ2に使用する主要な交換グループを含むことを示します。
The property GroupId specifies the key exchange group to use for phase 2. GroupId is ignored if (1) the property UsePFS is false, or (2) the property UsePFS is true and the property UseIKEGroup is true. If the GroupID number is from the vendor-specific range (32768- 65535), the property VendorID qualifies the group number. The property is defined as follows:
Property GroupIDは、フェーズ2に使用する主要な交換グループを指定します。GroupIDは、(1)プロパティUsePFSがfalsである場合、または(2)プロパティUsePFSが真であり、プロパティUseikeGroupが真である場合、GroupID番号がベンダー固有の範囲(32768-65535)からのものである場合、プロパティベンドリドはグループ番号を適格にします。プロパティは次のように定義されています。
NAME GroupId DESCRIPTION Specifies the key exchange group to use for phase 2 when the property UsePFS is true and the property UseIKEGroup is false. SYNTAX unsigned 16-bit integer VALUE Consult [IKE] for valid values.
NAME GroupID説明プロパティUSEPFSが真であり、プロパティUseIkeGroupが誤っている場合、フェーズ2に使用する主要な交換グループを指定します。構文の符号なし16ビット整数値は、有効な値について[IKE]を参照してください。
The property Granularity specifies how the selector for the security association should be derived from the traffic that triggered the negotiation. The property is defined as follows:
プロパティの粒度は、セキュリティ協会のセレクターが交渉を引き起こしたトラフィックからどのように導き出すべきかを指定します。プロパティは次のように定義されています。
NAME Granularity DESCRIPTION Specifies how the proposed selector for the security association will be created. SYNTAX unsigned 16-bit integer VALUE 1 - subnet: the source and destination subnet masks of the filter entry are used. 2 - address: only the source and destination IP addresses of the triggering packet are used. 3 - protocol: the source and destination IP addresses and the IP protocol of the triggering packet are used. 4 - port: the source and destination IP addresses and the IP protocol and the source and destination layer 4 ports of the triggering packet are used.
名前の粒度の説明セキュリティ協会の提案されたセレクターの作成方法を指定します。Syntax unting 16ビット整数値1-サブネット:フィルターエントリのソースおよび宛先サブネットマスクが使用されます。2-アドレス:トリガーパケットのソースおよび宛先IPアドレスのみが使用されます。3-プロトコル:ソースおよび宛先IPアドレスとトリガーパケットのIPプロトコルが使用されます。4-ポート:ソースおよび宛先IPアドレスとIPプロトコルと、トリガーパケットの4ポートのソースと宛先レイヤーが使用されます。
The property VendorID is used together with the property GroupID (when it is in the vendor-specific range) to identify the key exchange group. VendorID is ignored unless UsePFS is true and UseIKEGroup is false and GroupID is in the vendor-specific range (32768-65535). The property is defined as follows:
プロパティベンドリドは、プロパティグループ(ベンダー固有の範囲の場合)とともに使用され、主要な交換グループを特定します。usePFSが真であり、useikegroupがfalseであり、Groupidはベンダー固有の範囲(32768-65535)にない限り、Vendoridは無視されます。プロパティは次のように定義されています。
NAME VendorID DESCRIPTION Specifies the IKE Vendor ID. SYNTAX string
名前Vendorid説明IKEベンダーIDを指定します。構文文字列
The class IPsecTransportAction is a subclass of IPsecAction that is used to specify use of an IPsec transport-mode security association. The class definition for IPsecTransportAction is as follows:
クラスIPSECTRANSPORTACTIONは、IPSECトランスポートモードセキュリティ協会の使用を指定するために使用されるIPSECACTIONのサブクラスです。ipsectransportactionのクラス定義は次のとおりです。
NAME IPsecTransportAction DESCRIPTION Specifies that an IPsec transport-mode security association should be negotiated. DERIVED FROM IPsecAction ABSTRACT FALSE
名前ipsectransportactionの説明IPSEC Transport-Mode Security Associationを交渉する必要があることを指定します。IPSECACTION ABSTROCT FALSEから派生しました
The class IPsecTunnelAction is a subclass of IPsecAction that is used to specify use of an IPsec tunnel-mode security association. The class definition for IPsecTunnelAction is as follows:
クラスIpsectunnelNelactionは、IPSECトンネルモードセキュリティ協会の使用を指定するために使用されるIPSECACTIONのサブクラスです。IpsectunnelActionのクラス定義は次のとおりです。
NAME IPsecTunnelAction DESCRIPTION Specifies that an IPsec tunnel-mode security association should be negotiated. DERIVED FROM IPsecAction ABSTRACT FALSE PROPERTIES DFHandling
名前ipsectunnelactionの説明IPSECトンネルモードセキュリティ協会が交渉する必要があることを指定します。IPSECACTION抽象的な虚偽プロパティdfhandlingから導出されました
The property DFHandling specifies how the tunnel should manage the Don't Fragment (DF) bit. The property is defined as follows:
プロパティdfhandlingは、トンネルがdont fragment(df)ビットをどのように管理するかを指定します。プロパティは次のように定義されています。
NAME DFHandling DESCRIPTION Specifies how to process the DF bit. SYNTAX unsigned 16-bit integer VALUE 1 - Copy the DF bit from the internal IP header to the external IP header. 2 - Set the DF bit of the external IP header to 1. 3 - Clear the DF bit of the external IP header to 0.
名前dfhandling説明DFビットの処理方法を指定します。Syntax unting 16ビット整数値1-内部IPヘッダーから外部IPヘッダーにDFビットをコピーします。2-外部IPヘッダーのDFビットを1に設定します。3-外部IPヘッダーのDFビットを0にクリアします。
The class IKEAction specifies the parameters that are to be used for IKE phase 1 negotiation. The class definition for IKEAction is as follows:
クラスIKEACTIONは、IKEフェーズ1ネゴシエーションに使用されるパラメーターを指定します。ikeActionのクラス定義は次のとおりです。
NAME IKEAction DESCRIPTION Specifies the IKE phase 1 negotiation parameters. DERIVED FROM IKENegotiationAction ABSTRACT FALSE PROPERTIES ExchangeMode UseIKEIdentityType VendorID AggressiveModeGroupId
名前IKEACTION説明IKEフェーズ1ネゴシエーションパラメーターを指定します。ikenegotiationactionの抽出抽象化された偽のプロパティexchangemode useikeideidentitytype vendorid aggressivemodegroupid
The property ExchangeMode specifies which IKE mode should be used for IKE phase 1 negotiations. The property is defined as follows:
Property ExchangeModeは、IKEフェーズ1の交渉に使用するIKEモードを指定します。プロパティは次のように定義されています。
NAME ExchangeMode DESCRIPTION Specifies the IKE negotiation mode for phase 1. SYNTAX unsigned 16-bit integer VALUE 1 - base mode 2 - main mode 4 - aggressive mode
名前交換用モード説明フェーズ1のIKEネゴシエーションモードを指定します。SyntaxUnting 16ビット整数値1-ベースモード2-メインモード4-アグレッシブモード
The property UseIKEIdentityType specifies what IKE identity type should be used when negotiating with the peer. This information is used in conjunction with the IKE identities available on the system and the IdentityContexts of the matching IKERule. The property is defined as follows:
プロパティUseikeIdentityTypeは、ピアと交渉するときにIKE Identityタイプを使用するかを指定します。この情報は、システムで利用可能なIKEアイデンティティと、一致するIKERULEのIDコンテキストと組み合わせて使用されます。プロパティは次のように定義されています。
NAME UseIKEIdentityType DESCRIPTION Specifies the IKE identity to use during negotiation. SYNTAX unsigned 16-bit integer VALUE Consult [DOI] for valid values.
name useikeidentitytype説明交渉中に使用するIKE IDを指定します。構文の符号なし16ビット整数値は、有効な値について[doi]に相談します。
The property VendorID specifies the value to be used in the Vendor ID payload. The property is defined as follows:
プロパティベンドリドは、ベンダーIDペイロードで使用される値を指定します。プロパティは次のように定義されています。
NAME VendorID DESCRIPTION Vendor ID Payload. SYNTAX string VALUE A value of NULL means that Vendor ID payload will be neither generated nor accepted. A non-NULL value means that a Vendor ID payload will be generated (when acting as an initiator) or is expected (when acting as a responder).
名前ベンドリド説明ベンダーIDペイロード。構文文字列値nullの値は、ベンダーIDペイロードが生成も受け入れられないことを意味します。非ヌル値とは、ベンダーIDペイロードが生成されることを意味します(イニシエーターとして機能する場合)または予想される(レスポンダーとして機能する場合)。
The property AggressiveModeGroupId specifies which group ID is to be used in the first packets of the phase 1 negotiation. This property is ignored unless the property ExchangeMode is set to 4 (aggressive mode). If the AggressiveModeGroupID number is from the vendor-specific range (32768-65535), the property VendorID qualifies the group number. The property is defined as follows:
プロパティAggressiveModegroupidは、フェーズ1ネゴシエーションの最初のパケットで使用するグループIDを指定します。このプロパティは、プロパティの交換機関が4(積極的なモード)に設定されていない限り無視されます。AggressiveModegroupid番号がベンダー固有の範囲(32768-65535)からのものである場合、プロパティベンドリドはグループ番号を修飾します。プロパティは次のように定義されています。
NAME AggressiveModeGroupId DESCRIPTION Specifies the group ID to be used for aggressive mode. SYNTAX unsigned 16-bit integer
名前AggressiveModegroupid説明積極的なモードに使用するグループIDを指定します。構文符号なし16ビット整数
The class PeerGateway specifies the security gateway with which the IKE services negotiates. The class definition for PeerGateway is as follows:
クラスのPeergatewayは、IKEサービスが交渉するセキュリティゲートウェイを指定します。Peergatewayのクラス定義は次のとおりです。
NAME PeerGateway DESCRIPTION Specifies the security gateway with which to negotiate. DERIVED FROM LogicalElement (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Name PeerIdentityType PeerIdentity
名前Peergateway説明交渉するセキュリティゲートウェイを指定します。論理エレメントから派生([cimcore]を参照)抽象的な偽のプロパティ名peeridentitytype peeridentity
Note: The class PeerIdentityEntry contains more information about the peer (namely its IP address).
注:クラスのPeeridentityEntryには、ピアに関する詳細情報(つまりIPアドレス)が含まれています。
The property Name specifies a user-friendly name for this security gateway. The property is defined as follows:
プロパティ名は、このセキュリティゲートウェイのユーザーフレンドリーな名前を指定します。プロパティは次のように定義されています。
NAME Name DESCRIPTION Specifies a user-friendly name for this security gateway. SYNTAX string
名前名説明このセキュリティゲートウェイのユーザーフレンドリーな名前を指定します。構文文字列
The property PeerIdentityType specifies the IKE identity type of the security gateway. The property is defined as follows:
プロパティPeerIdentityTypeは、セキュリティゲートウェイのIKE ID型を指定します。プロパティは次のように定義されています。
NAME PeerIdentityType DESCRIPTION Specifies the IKE identity type of the security gateway. SYNTAX unsigned 16-bit integer VALUE Consult [DOI] for valid values.
名前peeridentitytype説明セキュリティゲートウェイのIKE IDタイプを指定します。構文の符号なし16ビット整数値は、有効な値について[doi]に相談します。
The property PeerIdentity specifies the IKE identity value of the security gateway. Based upon the storage chosen for the task-specific mapping of the information model, a conversion may be needed from the stored representation of the PeerIdentity string to the real value used in the ID payload (e.g., IP address is to be converted from a dotted decimal string into 4 bytes). The property is defined as follows:
プロパティのpeeridentityは、セキュリティゲートウェイのIKE ID値を指定します。情報モデルのタスク固有のマッピングに選択されたストレージに基づいて、PeerIdentity文字列の保存された表現からIDペイロードで使用される実際の値への変換が必要になる場合があります(例えば、IPアドレスは点線から変換されます小数文字列は4バイトになります)。プロパティは次のように定義されています。
NAME PeerIdentity DESCRIPTION Specifies the IKE identity value of the security gateway. SYNTAX string
名前Peeridentity説明セキュリティゲートウェイのIKE ID値を指定します。構文文字列
The class PeerGatewayForTunnel associates IPsecTunnelActions with an ordered list of PeerGateways. The class definition for PeerGatewayForTunnel is as follows:
クラスのPeergateway Forthnelnは、Ipsectunnelactionsを順序付けられたPeergatewaysのリストに関連付けます。Peergateway Forthnelのクラス定義は次のとおりです。
NAME PeerGatewayForTunnel DESCRIPTION Associates IPsecTunnelActions with an ordered list of PeerGateways. DERIVED FROM Dependency (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent [ref PeerGateway[0..n]] Dependent [ref IPsecTunnelAction[0..n]] SequenceNumber
名前Peergateway Forthnels説明Ipsectunnelactionsの関連付けと、Peergatewaysの順序付けられたリスト。依存関係から派生した([cimcore]を参照)抽象的な虚偽のプロパティアンティセント[ref peergateway [0..n]]依存[ref ipsectunnelclinecraction [0..n]] sequencenumber
The property Antecedent is inherited from Dependency and is overridden to refer to a PeerGateway instance. The [0..n] cardinality indicates that an IPsecTunnelAction instance may be associated with zero or more PeerGateway instances.
プロパティの前件は依存関係から継承されており、ペーガテウェイインスタンスを参照するようにオーバーライドされています。[0..n]カーディナリティは、ipsectunnelactionインスタンスがゼロ以上のペーガテウェイインスタンスに関連付けられている可能性があることを示しています。
Note: The cardinality 0 has a specific meaning:
注:Cardinality 0には特定の意味があります。
- when the IKE service acts as a responder, this means that the IKE service will accept phase 1 negotiation with any other security gateway;
- IKEサービスが応答者として機能する場合、これはIKEサービスが他のセキュリティゲートウェイとのフェーズ1交渉を受け入れることを意味します。
- when the IKE service acts as an initiator, this means that the IKE service will use the destination IP address (of the IP packets which triggered the SARule) as the IP address of the peer IKE entity.
- IKEサービスがイニシエーターとして機能する場合、これはIKEサービスがPEER IKEエンティティのIPアドレスとして宛先IPアドレス(SARULEをトリガーしたIPパケットの)を使用することを意味します。
The property Dependent is inherited from Dependency and is overridden to refer to an IPsecTunnelAction instance. The [0..n] cardinality indicates that a PeerGateway instance may be associated with zero or more IPsecTunnelAction instances.
プロパティ依存は依存関係から継承され、Ipsectunnelactionインスタンスを参照するためにオーバーライドされます。[0..n]カーディナリティは、Peergatewayインスタンスがゼロ以上のIpsectunnelactionインスタンスに関連付けられている可能性があることを示しています。
The property SequenceNumber specifies the ordering to be used when evaluating PeerGateway instances for a given IPsecTunnelAction. The property is defined as follows:
プロパティシーケンセンサーは、特定のiPSectunnelActionのPeergatewayインスタンスを評価するときに使用する順序を指定します。プロパティは次のように定義されています。
NAME SequenceNumber DESCRIPTION Specifies the order of evaluation for PeerGateways. SYNTAX unsigned 16-bit integer VALUE Lower values are evaluated first.
名前シーケンスナンバー説明ペーガテウェイの評価の順序を指定します。構文の符号なし16ビット整数値低い値が最初に評価されます。
The class ContainedProposal associates an ordered list of SAProposals with the IKENegotiationAction that aggregates it. If the referenced IKENegotiationAction object is an IKEAction, then the referenced SAProposal object(s) must be IKEProposal(s). If the referenced IKENegotiationAction object is an IPsecTransportAction or an IPsecTunnelAction, then the referenced SAProposal object(s) must be IPsecProposal(s). The class definition for ContainedProposal is as follows:
このクラスには、プロポサルが統合された典型的なリストを結合して、それを集約するikenegotiationactionに関連付けます。参照されたikenegotiationactionオブジェクトがiKeactionである場合、参照される幹部オブジェクトはikeproposalでなければなりません。参照されたikenegotiationactionオブジェクトがipsectransportactionまたはipsectunnelactionである場合、参照された幹部オブジェクトはipsecproposalでなければなりません。ContedProposalのクラス定義は次のとおりです。
NAME ContainedProposal DESCRIPTION Associates an ordered list of SAProposals with an IKENegotiationAction. DERIVED FROM PolicyComponent (see [PCIM]) ABSTRACT FALSE PROPERTIES GroupComponent[ref IKENegotiationAction[0..n]] PartComponent[ref SAProposal[1..n]] SequenceNumber
名前が含まれているProposalの説明は、苗木の順序付けられたリストをikenegotiationactionに関連付けます。PolicyComponent([PCIM]を参照)から派生した誤ったプロパティグループコンポーネント[ref ikenegotiationaction [0..n]] partcomponent [ref saproposal [1..n]] sequencenumber
- The property GroupComponent is inherited from PolicyComponent and is overridden to refer to an IKENegotiationAction instance. The [0..n] cardinality indicates that an SAProposal instance may be associated with zero or more IKENegotiationAction instances.
- プロパティグループコンポーネントはPolicyComponentから継承されており、ikenegotiationactionインスタンスを参照するようにオーバーライドされています。[0..n]カーディナリティは、苗木インスタンスがゼロ以上のイケネゴチエーションインスタンスに関連付けられている可能性があることを示しています。
The property PartComponent is inherited from PolicyComponent and is overridden to refer to an SAProposal instance. The [1..n] cardinality indicates that an IKENegotiationAction instance MUST be associated with at least one SAProposal instance.
プロパティの部品コンポーネントはPolicyComponentから継承され、苗木インスタンスを参照するようにオーバーライドされています。[1..n]カーディナリティは、ikenegotiationactionインスタンスが少なくとも1つの苗木インスタンスに関連付けられている必要があることを示しています。
The property SequenceNumber specifies the order of preference for the SAProposals. The property is defined as follows:
プロパティシーケンセンサーは、苗木の優先順位を指定します。プロパティは次のように定義されています。
NAME SequenceNumber DESCRIPTION Specifies the preference order for the SAProposals. SYNTAX unsigned 16-bit integer VALUE Lower-valued proposals are preferred over proposals with higher values. For ContainedProposals that reference the same IKENegotiationAction, SequenceNumber values must be unique.
名前SequenCeNumber説明幹部の優先順序を指定します。Syntax Untinged 16ビット整数値低値の提案は、より高い値を持つ提案よりも好まれます。同じikenegotiationactionを参照するConted Proposalsの場合、シーケンセンサーの値は一意でなければなりません。
The class HostedPeerGatewayInformation weakly associates a PeerGateway with a System. The class definition for HostedPeerGatewayInformation is as follows:
クラスは、Peergatewayをシステムに弱く関連付けているクラスをホストしています。HostedPeergateWayInformationのクラス定義は次のとおりです。
NAME HostedPeerGatewayInformation DESCRIPTION Weakly associates a PeerGateway with a System. DERIVED FROM Dependency (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent [ref System[1..1]] Dependent [ref PeerGateway[0..n] [weak]]
名前HostedPeergateWayInformationの説明説明Peergatewayをシステムに弱く関連付けます。依存関係から派生した([cimcore]を参照)抽象的な誤ったプロパティアンティセント[ref system [1..1]]依存[ref peergateway [0..n] [weak]]
The property Antecedent is inherited from Dependency and is overridden to refer to a System instance. The [1..1] cardinality indicates that a PeerGateway instance MUST be associated with one and only one System instance.
プロパティの前件は依存関係から継承され、システムインスタンスを参照するようにオーバーライドされます。[1..1]カーディナリティは、Peergatewayインスタンスが1つのシステムインスタンスのみに関連付けられている必要があることを示しています。
The property Dependent is inherited from Dependency and is overridden to refer to a PeerGateway instance. The [0..n] cardinality indicates that a System instance may be associated with zero or more PeerGateway instances.
プロパティ依存は依存関係から継承され、ペーガテウェイインスタンスを参照するためにオーバーライドされます。[0..n]カーディナリティは、システムインスタンスがゼロ以上のペーガテウェイインスタンスに関連付けられている可能性があることを示しています。
The class TransformOfPreconfiguredAction associates a PreconfiguredSAAction with two, four or six SATransforms that will be applied to the inbound and outbound traffic. The order of application of the SATransforms is implicitly defined in [IPSEC]. The class definition for TransformOfPreconfiguredAction is as follows:
クラスTransformofPreconFiguredActionは、インバウンドトラフィックとアウトバウンドトラフィックに適用される2、4、または6つのSATRANSFORMSを使用した事前に設定されたものを結び付けます。satransformsの適用順序は、[IPSEC]で暗黙的に定義されています。transformofpreconfiguredactionのクラス定義は次のとおりです。
NAME TransformOfPreconfiguredAction DESCRIPTION Associates a PreconfiguredSAAction with from one to three SATransforms. DERIVED FROM Dependency (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent[ref SATransform[2..6]] Dependent[ref PreconfiguredSAAction[0..n]] SPI Direction
名前transformofppreconfiguredactionの説明は、1つから3つのsatransformsとの事前設定のsaactionを関連付けます。依存関係から派生した([cimcore]を参照)抽象的な虚偽のプロパティアンティデント[ref satransform [2..6]]依存[Ref preconfiguredsaaction [0..n]] spi方向
The property Antecedent is inherited from Dependency and is overridden to refer to an SATransform instance. The [2..6] cardinality indicates that a PreconfiguredSAAction instance may be associated with two to six SATransform instances.
プロパティの前件は依存関係から継承され、satransformインスタンスを参照するようにオーバーライドされています。[2..6]枢機inalは、事前に設定されたsaactionインスタンスが2〜6個のsatransformインスタンスに関連付けられている可能性があることを示しています。
The property Dependent is inherited from Dependency and is overridden to refer to a PreconfiguredSAAction instance. The [0..n] cardinality indicates that a SATransform instance may be associated with zero or more PreconfiguredSAAction instances.
プロパティ依存は依存関係から継承されており、事前に設定されたsaactionインスタンスを参照するようにオーバーライドされます。[0..n]カーディナリティは、satransformインスタンスがゼロ以上の事前設定サラクションインスタンスに関連付けられている可能性があることを示しています。
The property SPI specifies the SPI to be used by the pre-configured action for the associated transform. The property is defined as follows:
プロパティSPIは、関連する変換のために事前に構成されたアクションによって使用されるSPIを指定します。プロパティは次のように定義されています。
NAME SPI DESCRIPTION Specifies the SPI to be used with the SATransform. SYNTAX unsigned 32-bit integer
名前SPI説明satransformで使用するSPIを指定します。構文符号なし32ビット整数
The property Direction specifies whether the SPI property is for inbound or outbound traffic. The property is defined as follows:
プロパティの方向は、SPIプロパティがインバウンドトラフィックまたはアウトバウンドトラフィック用かを指定します。プロパティは次のように定義されています。
NAME Direction DESCRIPTION Specifies whether the SA is for inbound or outbound traffic. SYNTAX unsigned 8-bit integer VALUE 1 - this SA is for inbound traffic 2 - this SA is for outbound traffic
名前の方向説明SAがインバウンドトラフィックまたはアウトバウンドトラフィック用かを指定します。構文符号なし8ビット整数値1-このSAはインバウンドトラフィック用2-このSAはアウトバウンドトラフィック用です
The class PeerGatewayForPreconfiguredTunnel associates zero or one PeerGateways with multiple PreconfiguredTunnelActions. The class definition for PeerGatewayForPreconfiguredTunnel is as follows:
クラスPeergatewayforpreconfiguredTunnelは、ゼロまたは1つのペーガテウェイを複数のpreconfiguredtunnelactionsに関連付けます。Peergatewayforpreconfiguredtunnelのクラス定義は次のとおりです。
NAME PeerGatewayForPreconfiguredTunnel DESCRIPTION Associates a PeerGateway with multiple PreconfiguredTunnelActions. DERIVED FROM Dependency (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent[ref PeerGateway[0..1]] Dependent[ref PreconfiguredTunnelAction[0..n]]
名前Peergatewayforpreconfiguredtunnelの説明ペーガテウェイを複数のPreconfiguredTunnelactionsに関連付けます。依存関係から派生した([cimcore]を参照)抽象的な虚偽のプロパティアンティデント[ref peergateway [0..1]]依存[Ref PreconfiguredTunnelAction [0..N]]
The property Antecedent is inherited from Dependency and is overridden to refer to a PeerGateway instance. The [0..1] cardinality indicates that a PreconfiguredTunnelAction instance may be associated with one PeerGteway instance.
プロパティの前件は依存関係から継承されており、ペーガテウェイインスタンスを参照するようにオーバーライドされています。[0..1]カーディナリティは、プレカングレッドトゥンネルアクセスインスタンスが1つのPeergtewayインスタンスに関連付けられている可能性があることを示しています。
The property Dependent is inherited from Dependency and is overridden to refer to a PreconfiguredTunnelAction instance. The [0..n] cardinality indicates that a PeerGateway instance may be associated with zero or more PreconfiguredSAAction instances.
プロパティ依存は依存関係から継承されており、事前に構成されたundTunnelActionインスタンスを参照するようにオーバーライドされます。[0..n]カーディナリティは、Peergatewayインスタンスがゼロ以上の事前設定サラクションインスタンスに関連付けられている可能性があることを示しています。
The proposal and transform classes model the proposal settings an IPsec device will use during IKE phase 1 and 2 negotiations.
提案および変革クラスは、IKEフェーズ1および2の交渉中にIPSECデバイスが使用する提案設定をモデル化します。
+--------------+*w 1+--------------+ | [SAProposal] |--------| System | +--------------+ (a) | ([CIMCORE]) | ^ +--------------+ | |1 +----------------------+ | | | | +-------------+ +---------------+ | | IKEProposal | | IPsecProposal | | +-------------+ +---------------+ | *o | |(b) |(c) n| | +---------------+*w | | [SATransform] |----+ +---------------+ ^ | +--------------------+-----------+---------+ | | | +-------------+ +--------------+ +----------------+ | AHTransform | | ESPTransform | |IPCOMPTransform | +-------------+ +--------------+ +----------------+
(a) SAProposalInSystem (b) ContainedTransform (c) SATransformInSystem
(a) Saproposalinsystem(b)は、transform(c)satransforminsystemを含みます
The abstract class SAProposal serves as the base class for the IKE and IPsec proposal classes. It specifies the parameters that are common to the two proposal types. The class definition for SAProposal is as follows:
抽象クラスの苗木は、IKEおよびIPSEC提案クラスの基本クラスとして機能します。2つの提案タイプに共通のパラメーターを指定します。苗木のクラス定義は次のとおりです。
NAME SAProposal DESCRIPTION Specifies the common proposal parameters for IKE and IPsec security association negotiation. DERIVED FROM Policy ([PCIM]) ABSTRACT TRUE PROPERTIES Name
名前幹部説明IKEおよびIPSECセキュリティ協会の交渉の共通提案パラメーターを指定します。ポリシー([PCIM])抽象的な真のプロパティ名から派生
The property Name specifies a user-friendly name for the SAProposal. The property is defined as follows:
プロパティ名は、苗木のユーザーフレンドリーな名前を指定します。プロパティは次のように定義されています。
NAME Name DESCRIPTION Specifies a user-friendly name for this proposal. SYNTAX string
名前名説明この提案のユーザーフレンドリーな名前を指定します。構文文字列
The class IKEProposal specifies the proposal parameters necessary to drive an IKE security association negotiation. The class definition for IKEProposal is as follows:
クラスIKEProposalは、IKEセキュリティ協会の交渉を推進するために必要な提案パラメーターを指定します。IkeProposalのクラス定義は次のとおりです。
NAME IKEProposal DESCRIPTION Specifies the proposal parameters for IKE security association negotiation. DERIVED FROM SAProposal ABSTRACT FALSE PROPERTIES CipherAlgorithm HashAlgorithm PRFAlgorithm GroupId AuthenticationMethod MaxLifetimeSeconds MaxLifetimeKilobytes VendorID
名前ikeproposalの説明IKEセキュリティ協会の交渉の提案パラメーターを指定します。SAPROSAL ABSTROCTから派生した誤ったプロパティcipherAlgorithm Hashalgorithm PRFALGORITHM GROUPID AUTHONDICATIONMETHOD MAXLIFETIMESECONDS MAXLIFETIMEKILOBYTES VENDORID
The property CipherAlgorithm specifies the proposed phase 1 security association encryption algorithm. The property is defined as follows:
プロパティcipheralgorithmは、提案されたフェーズ1セキュリティ協会暗号化アルゴリズムを指定します。プロパティは次のように定義されています。
NAME CipherAlgorithm DESCRIPTION Specifies the proposed encryption algorithm for the phase 1 security association. SYNTAX unsigned 16-bit integer VALUE Consult [IKE] for valid values.
名前cipheralgorithm説明フェーズ1セキュリティ協会の提案された暗号化アルゴリズムを指定します。構文の符号なし16ビット整数値は、有効な値について[IKE]を参照してください。
The property HashAlgorithm specifies the proposed phase 1 security association hash algorithm. The property is defined as follows:
プロパティハスハルゴリズムは、提案されたフェーズ1セキュリティ協会のハッシュアルゴリズムを指定します。プロパティは次のように定義されています。
NAME HashAlgorithm DESCRIPTION Specifies the proposed hash algorithm for the phase 1 security association. SYNTAX unsigned 16-bit integer VALUE Consult [IKE] for valid values.
名前ハスハルゴリズムの説明フェーズ1セキュリティ協会の提案されたハッシュアルゴリズムを指定します。構文の符号なし16ビット整数値は、有効な値について[IKE]を参照してください。
The property PRFAlgorithm specifies the proposed phase 1 security association pseudo-random function. The property is defined as follows:
プロパティPRFALGORITHMは、提案されたフェーズ1セキュリティ協会の疑似ランダム機能を指定します。プロパティは次のように定義されています。
NAME PRFAlgorithm DESCRIPTION Specifies the proposed pseudo-random function for the phase 1 security association. SYNTAX unsigned 16-bit integer VALUE Currently none defined in [IKE], if [IKE, DOI] are extended, then the values of [IKE, DOI] are to be used for values of PRFAlgorithm.
名前PRFALGORITHM説明フェーズ1セキュリティ協会の提案された擬似ランダム関数を指定します。[IKE、DOI]が拡張されている場合、[IKE]で[IKE]で定義されていない構文の符号なしの16ビット整数値は、[IKE、DOI]の値をPRFALGORITHMの値に使用します。
The property GroupId specifies the proposed phase 1 security association key exchange group. This property is ignored for all aggressive mode exchanges. If the GroupID number is from the vendor-specific range (32768-65535), the property VendorID qualifies the group number. The property is defined as follows:
Property GroupIDは、提案されたフェーズ1セキュリティ協会のキー交換グループを指定します。このプロパティは、すべての積極的なモード交換で無視されます。GroupID番号がベンダー固有の範囲(32768-65535)からのものである場合、プロパティベンドリドはグループ番号を適格にします。プロパティは次のように定義されています。
NAME GroupId DESCRIPTION Specifies the proposed key exchange group for the phase 1 security association. SYNTAX unsigned 16-bit integer VALUE Consult [IKE] for valid values.
NAME GroupID説明フェーズ1セキュリティ協会の提案された主要な交換グループを指定します。構文の符号なし16ビット整数値は、有効な値について[IKE]を参照してください。
Note: The value of this property is to be ignored in aggressive mode.
注:このプロパティの値は、アグレッシブモードで無視されます。
The property AuthenticationMethod specifies the proposed phase 1 authentication method. The property is defined as follows:
Property AuthenticationMethodは、提案されたフェーズ1認証方法を指定します。プロパティは次のように定義されています。
NAME AuthenticationMethod DESCRIPTION Specifies the proposed authentication method for the phase 1 security association. SYNTAX unsigned 16-bit integer VALUE 0 - a special value that indicates that this particular proposal should be repeated once for each authentication method that corresponds to the credentials installed on the machine. For example, if the system has a pre-shared key and a certificate, a proposal list could be constructed that includes a proposal that specifies a pre-shared key and proposals for any of the public-key authentication methods. Consult [IKE] for valid values.
name authenticationmethod説明フェーズ1セキュリティ協会に提案された認証方法を指定します。Syntax untigned 16ビット整数値0-マシンにインストールされている資格情報に対応する各認証方法について、この特定の提案を1回繰り返す必要があることを示す特別な値。たとえば、システムに事前に共有キーと証明書がある場合、事前に共有キーとパブリックキー認証方法の提案を指定する提案を含む提案リストを構築できます。有効な値については[IKE]を参照してください。
The property MaxLifetimeSeconds specifies the proposed maximum time, in seconds, that a security association will remain valid after its creation. The property is defined as follows:
プロパティMaxlifetimesecondsは、セキュリティ協会が作成後も有効であることを秒単位で提案された最大時間を指定します。プロパティは次のように定義されています。
NAME MaxLifetimeSeconds DESCRIPTION Specifies the proposed maximum time that a security association will remain valid. SYNTAX unsigned 64-bit integer VALUE A value of zero indicates that the default of 8 hours be used. A non-zero value indicates the maximum seconds lifetime.
名前maxlifetimeseconds説明セキュリティ協会が有効なままにする提案された最大時間を指定します。ゼロの値は、ゼロの値が8時間のデフォルトを使用していることを示します。ゼロ以外の値は、最大秒寿命を示します。
Note: While IKE can negotiate the lifetime as an arbitrary length field, the authors have assumed that a 64-bit integer will be sufficient.
注:Ikeは生涯を任意の長さフィールドとして交渉することができますが、著者は64ビットの整数で十分であると想定しています。
The property MaxLifetimeKilobytes specifies the proposed maximum kilobyte lifetime that a security association will remain valid after its creation. The property is defined as follows:
プロパティMaxlifetimeKilobytesは、セキュリティ協会が作成後も有効であるという提案された最大キロバイト寿命を指定します。プロパティは次のように定義されています。
NAME MaxLifetimeKilobytes DESCRIPTION Specifies the proposed maximum kilobyte lifetime that a security association will remain valid. SYNTAX unsigned 64-bit integer VALUE A value of zero indicates that there should be no maximum kilobyte lifetime. A non-zero value specifies the desired kilobyte lifetime.
名前maxlifetimekilobytes説明セキュリティ協会が有効であり続ける提案されている最大キロバイト寿命を指定します。ゼロの値は、ゼロの値を非署名した64ビット整数値は、最大キロバイト寿命がないことを示しています。ゼロ以外の値は、目的のキロバイト寿命を指定します。
Note: While IKE can negotiate the lifetime as an arbitrary length field, the authors have assumed that a 64-bit integer will be sufficient.
注:Ikeは生涯を任意の長さフィールドとして交渉することができますが、著者は64ビットの整数で十分であると想定しています。
The property VendorID further qualifies the key exchange group. The property is ignored unless the exchange is not in aggressive mode and the property GroupID is in the vendor-specific range. The property is defined as follows:
Property Vendoridは、キーエクスチェンジグループをさらに資格があります。交換が積極的なモードではなく、プロパティGroupIDがベンダー固有の範囲にある場合を除き、プロパティは無視されます。プロパティは次のように定義されています。
NAME VendorID DESCRIPTION Specifies the Vendor ID to further qualify the key exchange group. SYNTAX string
名前Vendorid説明主要な交換グループをさらに資格を得るために、ベンダーIDを指定します。構文文字列
The class IPsecProposal adds no new properties, but inherits proposal properties from SAProposal, as well as aggregating the security association transforms necessary for building an IPsec proposal (see the aggregation class ContainedTransform). The class definition for IPsecProposal is as follows:
クラスIPSECProposalは新しいプロパティを追加しませんが、Saproposalからの提案プロパティを継承し、IPSEC提案の構築に必要なセキュリティ協会の変換を集約することを継承します(集約クラスを含むトランスフォームを参照)。IPSECProposalのクラス定義は次のとおりです。
NAME IPsecProposal DESCRIPTION Specifies the proposal parameters for IPsec security association negotiation. DERIVED FROM SAProposal ABSTRACT FALSE
名前ipsecproposalの説明IPSECセキュリティ協会の交渉の提案パラメーターを指定します。苗木抽象偽りから派生
The abstract class SATransform serves as the base class for the IPsec transforms that can be used to compose an IPsec proposal or to be used as a pre-configured action. The class definition for SATransform is as follows:
抽象クラスのsatransformは、IPSECの提案を作成したり、事前に構成されたアクションとして使用したりするために使用できるIPSEC変換の基本クラスとして機能します。satransformのクラス定義は次のとおりです。
NAME SATransform DESCRIPTION Base class for the different IPsec transforms. ABSTRACT TRUE PROPERTIES CommonName (from Policy) VendorID MaxLifetimeSeconds MaxLifetimeKilobytes
名前satransform説明さまざまなIPSEC変換のベースクラス。要約真のプロパティCommonName(ポリシーから)Vendorid Maxlifetimeseconds maxlifetimekilobytes
The property CommonName is inherited from Policy [PCIM] and specifies a user-friendly name for the SATransform. The property is defined as follows:
Property CommonNameはポリシー[PCIM]から継承され、satransformのユーザーフレンドリーな名前を指定します。プロパティは次のように定義されています。
NAME CommonName DESCRIPTION Specifies a user-friendly name for this Policy-related object. SYNTAX string
名前CommonName説明このポリシー関連オブジェクトのユーザーフレンドリーな名前を指定します。構文文字列
The property VendorID specifies the vendor ID for vendor-defined transforms. The property is defined as follows:
Property Vendoridは、ベンダー定義の変換用のベンダーIDを指定します。プロパティは次のように定義されています。
NAME VendorID DESCRIPTION Specifies the vendor ID for vendor-defined transforms. SYNTAX string VALUE An empty VendorID string indicates that the transform is a standard one.
名前Vendorid説明ベンダー定義の変換のベンダーIDを指定します。構文文字列値空のvendorid文字列は、変換が標準のものであることを示します。
The property MaxLifetimeSeconds specifies the proposed maximum time, in seconds, that a security association will remain valid after its creation. The property is defined as follows:
プロパティMaxlifetimesecondsは、セキュリティ協会が作成後も有効であることを秒単位で提案された最大時間を指定します。プロパティは次のように定義されています。
NAME MaxLifetimeSeconds DESCRIPTION Specifies the proposed maximum time that a security association will remain valid. SYNTAX unsigned 64-bit integer VALUE A value of zero indicates that the default of 8 hours be used. A non-zero value indicates the maximum seconds lifetime.
名前maxlifetimeseconds説明セキュリティ協会が有効なままにする提案された最大時間を指定します。ゼロの値は、ゼロの値が8時間のデフォルトを使用していることを示します。ゼロ以外の値は、最大秒寿命を示します。
Note: While IKE can negotiate the lifetime as an arbitrary length field, the authors have assumed that a 64-bit integer will be sufficient.
注:Ikeは生涯を任意の長さフィールドとして交渉することができますが、著者は64ビットの整数で十分であると想定しています。
The property MaxLifetimeKilobytes specifies the proposed maximum kilobyte lifetime that a security association will remain valid after its creation. The property is defined as follows:
プロパティMaxlifetimeKilobytesは、セキュリティ協会が作成後も有効であるという提案された最大キロバイト寿命を指定します。プロパティは次のように定義されています。
NAME MaxLifetimeKilobytes DESCRIPTION Specifies the proposed maximum kilobyte lifetime that a security association will remain valid. SYNTAX unsigned 64-bit integer VALUE A value of zero indicates that there should be no maximum kilobyte lifetime. A non-zero value specifies the desired kilobyte lifetime.
名前maxlifetimekilobytes説明セキュリティ協会が有効であり続ける提案されている最大キロバイト寿命を指定します。ゼロの値は、ゼロの値を非署名した64ビット整数値は、最大キロバイト寿命がないことを示しています。ゼロ以外の値は、目的のキロバイト寿命を指定します。
Note: While IKE can negotiate the lifetime as an arbitrary length field, the authors have assumed that a 64-bit integer will be sufficient.
注:Ikeは生涯を任意の長さフィールドとして交渉することができますが、著者は64ビットの整数で十分であると想定しています。
The class AHTransform specifies the AH algorithm to propose during IPsec security association negotiation. The class definition for AHTransform is as follows:
クラスAhtransformは、IPSECセキュリティ協会の交渉中に提案するAHアルゴリズムを指定します。Ahtransformのクラス定義は次のとおりです。
NAME AHTransform DESCRIPTION Specifies the proposed AH algorithm. ABSTRACT FALSE PROPERTIES AHTransformId UseReplayPrevention ReplayPreventionWindowSize
名前ahtransform説明提案されたAHアルゴリズムを指定します。抽象的な虚偽のプロパティahtransformid usereplayprevention ReplayPreventionWindowsize
The property AHTransformId specifies the transform ID of the AH algorithm. The property is defined as follows:
プロパティAhtransformidは、AHアルゴリズムの変換IDを指定します。プロパティは次のように定義されています。
NAME AHTransformId DESCRIPTION Specifies the transform ID of the AH algorithm. SYNTAX unsigned 16-bit integer VALUE Consult [DOI] for valid values.
名前Ahtransformid説明AHアルゴリズムの変換IDを指定します。構文の符号なし16ビット整数値は、有効な値について[doi]に相談します。
The property UseReplayPrevention specifies whether replay prevention detection is to be used. The property is defined as follows:
プロパティUserePlayPreventionは、リプレイ予防検出を使用するかどうかを指定します。プロパティは次のように定義されています。
NAME UseReplayPrevention DESCRIPTION Specifies whether to enable replay prevention detection. SYNTAX boolean VALUE true - replay prevention detection is enabled. false - replay prevention detection is disabled.
名前usereplayprevention説明リプレイ予防検出を有効にするかどうかを指定します。構文ブール値真 -リプレイ予防検出が有効になっています。false-リプレイ予防検出は無効になっています。
The property ReplayPreventionWindowSize specifies, in bits, the length of the sliding window used by the replay prevention detection mechanism. The value of this property is meaningless if UseReplayPrevention is false. It is assumed that the window size will be power of 2. The property is defined as follows:
プロパティReplayPreventionWindowsizeは、ビットで、リプレイ予防検出メカニズムで使用されるスライドウィンドウの長さを指定します。このプロパティの価値は、usereplaypreventionが虚偽である場合、意味がありません。ウィンドウサイズは2の電力になると想定されています。プロパティは次のように定義されています。
NAME ReplayPreventionWindowSize DESCRIPTION Specifies the length of the window used by the replay prevention detection mechanism. SYNTAX unsigned 32-bit integer
名前ReplayPreventionWindowsize説明リプレイ予防検出メカニズムで使用されるウィンドウの長さを指定します。構文符号なし32ビット整数
The class ESPTransform specifies the ESP algorithms to propose during IPsec security association negotiation. The class definition for ESPTransform is as follows:
クラスのESPトランスフォームは、IPSECセキュリティ協会の交渉中に提案するESPアルゴリズムを指定します。ESPTransformのクラス定義は次のとおりです。
NAME ESPTransform DESCRIPTION Specifies the proposed ESP algorithms. ABSTRACT FALSE PROPERTIES IntegrityTransformId CipherTransformId CipherKeyLength CipherKeyRounds UseReplayPrevention ReplayPreventionWindowSize
名前esptransform説明提案されているESPアルゴリズムを指定します。抽象的なプロパティ整合性トランスフォーミドciphertransformid cipherkeylength cipherkeyrounds usereplayprevention repraypreventionwindowsize
The property IntegrityTransformId specifies the transform ID of the ESP integrity algorithm. The property is defined as follows:
Property IntegrityTransformidは、ESP Intitualityアルゴリズムの変換IDを指定します。プロパティは次のように定義されています。
NAME IntegrityTransformId DESCRIPTION Specifies the transform ID of the ESP integrity algorithm. SYNTAX unsigned 16-bit integer VALUE Consult [DOI] for valid values.
名前IntegrityTransformid説明ESP Intitualityアルゴリズムの変換IDを指定します。構文の符号なし16ビット整数値は、有効な値について[doi]に相談します。
The property CipherTransformId specifies the transform ID of the ESP encryption algorithm. The property is defined as follows:
プロパティCipherTransformidは、ESP暗号化アルゴリズムの変換IDを指定します。プロパティは次のように定義されています。
NAME CipherTransformId DESCRIPTION Specifies the transform ID of the ESP encryption algorithm. SYNTAX unsigned 16-bit integer VALUE Consult [DOI] for valid values.
名前CipherTransformid説明ESP暗号化アルゴリズムの変換IDを指定します。構文の符号なし16ビット整数値は、有効な値について[doi]に相談します。
The property CipherKeyLength specifies, in bits, the key length for the ESP encryption algorithm. For encryption algorithms that use a fixed-length keys, this value is ignored. The property is defined as follows:
プロパティCipherKeyLengthは、ESP暗号化アルゴリズムのキー長をビットで指定します。固定長キーを使用する暗号化アルゴリズムの場合、この値は無視されます。プロパティは次のように定義されています。
NAME CipherKeyLength DESCRIPTION Specifies the ESP encryption key length in bits. SYNTAX unsigned 16-bit integer
名前cipherkeylengthの説明ビットのESP暗号化キーの長さを指定します。構文符号なし16ビット整数
The property CipherKeyRounds specifies the number of key rounds for the ESP encryption algorithm. For encryption algorithms that use fixed number of key rounds, this value is ignored. The property is defined as follows:
プロパティCipherkeyroundsは、ESP暗号化アルゴリズムのキーラウンドの数を指定します。固定数のキーラウンドを使用する暗号化アルゴリズムの場合、この値は無視されます。プロパティは次のように定義されています。
NAME CipherKeyRounds DESCRIPTION Specifies the number of key rounds for the ESP encryption algorithm. SYNTAX unsigned 16-bit integer VALUE Currently, key rounds are not defined for any ESP encryption algorithms.
名前Cipherkeyrounds説明ESP暗号化アルゴリズムのキーラウンドの数を指定します。現在、ESP暗号化アルゴリズムでは、符号なしの16ビット整数値があります。キーラウンドは定義されていません。
The property UseReplayPrevention specifies whether replay prevention detection is to be used. The property is defined as follows:
プロパティUserePlayPreventionは、リプレイ予防検出を使用するかどうかを指定します。プロパティは次のように定義されています。
NAME UseReplayPrevention DESCRIPTION Specifies whether to enable replay prevention detection. SYNTAX boolean VALUE true - replay prevention detection is enabled. false - replay prevention detection is disabled.
名前usereplayprevention説明リプレイ予防検出を有効にするかどうかを指定します。構文ブール値真 -リプレイ予防検出が有効になっています。false-リプレイ予防検出は無効になっています。
The property ReplayPreventionWindowSize specifies, in bits, the length of the sliding window used by the replay prevention detection mechanism. The value of this property is meaningless if UseReplayPrevention is false. It is assumed that the window size will be power of 2. The property is defined as follows:
プロパティReplayPreventionWindowsizeは、ビットで、リプレイ予防検出メカニズムで使用されるスライドウィンドウの長さを指定します。このプロパティの価値は、usereplaypreventionが虚偽である場合、意味がありません。ウィンドウサイズは2の電力になると想定されています。プロパティは次のように定義されています。
NAME ReplayPreventionWindowSize DESCRIPTION Specifies the length of the window used by the replay prevention detection mechanism. SYNTAX unsigned 32-bit integer
名前ReplayPreventionWindowsize説明リプレイ予防検出メカニズムで使用されるウィンドウの長さを指定します。構文符号なし32ビット整数
The class IPCOMPTransform specifies the IP compression (IPCOMP) algorithm to propose during IPsec security association negotiation. The class definition for IPCOMPTransform is as follows:
クラスIPCompTransformは、IPSECセキュリティ協会の交渉中に提案するIP圧縮(IPComp)アルゴリズムを指定します。IPCompTransformのクラス定義は次のとおりです。
NAME IPCOMPTransform DESCRIPTION Specifies the proposed IPCOMP algorithm. ABSTRACT FALSE PROPERTIES Algorithm DictionarySize PrivateAlgorithm
名前ipcomptransform説明提案されているipcompアルゴリズムを指定します。抽象的なfalseプロパティアルゴリズム辞書dictionarysize privatealgorithm
The property Algorithm specifies the transform ID of the IPCOMP compression algorithm. The property is defined as follows:
プロパティアルゴリズムは、IPComp圧縮アルゴリズムの変換IDを指定します。プロパティは次のように定義されています。
NAME Algorithm DESCRIPTION Specifies the transform ID of the IPCOMP compression algorithm. SYNTAX unsigned 16-bit integer VALUE 1 - OUI: a vendor specific algorithm is used and specified in the property PrivateAlgorithm. Consult [DOI] for other valid values.
名前アルゴリズムの説明IPComp圧縮アルゴリズムの変換IDを指定します。構文符号なし16ビット整数値1 -OUI:ベンダー固有のアルゴリズムが使用され、プロパティPrivatealGorithmで指定されています。他の有効な値については[doi]を参照してください。
The property DictionarySize specifies the log2 maximum size of the dictionary for the compression algorithm. For compression algorithms that have pre-defined dictionary sizes, this value is ignored. The property is defined as follows:
プロパティ辞書は、圧縮アルゴリズムの辞書のlog2最大サイズを指定します。事前に定義された辞書サイズを持つ圧縮アルゴリズムの場合、この値は無視されます。プロパティは次のように定義されています。
NAME DictionarySize DESCRIPTION Specifies the log2 maximum size of the dictionary. SYNTAX unsigned 16-bit integer
名前辞書の説明説明辞書のlog2最大サイズを指定します。構文符号なし16ビット整数
The property PrivateAlgorithm specifies a private vendor-specific compression algorithm. This value is only used when the property Algorithm is 1 (OUI). The property is defined as follows:
プロパティprivatealgorithmは、プライベートベンダー固有の圧縮アルゴリズムを指定します。この値は、プロパティアルゴリズムが1(OUI)の場合にのみ使用されます。プロパティは次のように定義されています。
NAME PrivateAlgorithm DESCRIPTION Specifies a private vendor-specific compression algorithm. SYNTAX unsigned 32-bit integer
名前privatealgorithm説明プライベートベンダー固有の圧縮アルゴリズムを指定します。構文符号なし32ビット整数
The class SAProposalInSystem weakly associates SAProposals with a System. The class definition for SAProposalInSystem is as follows:
クラスの腐生菌システムは、苗木をシステムに弱く関連付けます。Saproposalinsystemのクラス定義は次のとおりです。
NAME SAProposalInSystem DESCRIPTION Weakly associates SAProposals with a System. DERIVED FROM PolicyInSystem (see [PCIM]) ABSTRACT FALSE PROPERTIES Antecedent[ref System [1..1]] Dependent[ref SAProposal[0..n] [weak]]
名前幹嚢胞子系の説明幹部をシステムに弱く関連付けます。PolicyInsystem([PCIM]を参照)から派生した誤ったプロパティAntecedent [Ref System [1..1]]依存[Ref saproposal [0..n] [weak]]
The property Antecedent is inherited from the PolicyInSystem and is overridden to refer to a System instance. The [1..1] cardinality indicates that an SAProposal instance MUST be associated with one and only one System instance.
プロパティの前件は、PolicyInsystemから継承されており、システムインスタンスを参照するようにオーバーライドされています。[1..1]カーディナリティは、苗木インスタンスが1つのシステムインスタンスのみに関連付けられている必要があることを示しています。
The property Dependent is inherited from PolicyInSystem and is overridden to refer to an SAProposal instance. The [0..n] cardinality indicates that a System instance may be associated with zero or more SAProposal instances.
プロパティ依存はPolicyInsystemから継承されており、苗木インスタンスを参照するようにオーバーライドされています。[0..n]カーディナリティは、システムインスタンスがゼロ以上の腐食インスタンスに関連付けられている可能性があることを示しています。
The class ContainedTransform associates an IPsecProposal with the set of SATransforms that make up the proposal. If multiple transforms of the same type are in a proposal, then they are to be logically ORed and the order of preference is dictated by the SequenceNumber property. Sets of transforms of different types are logically ANDed.
クラスには、Ipsecproposalを提案を構成するSatransformsのセットに関連付けられています。同じタイプの複数の変換が提案にある場合、それらは論理的にオレッドであり、優先順位はSequenCenumberプロパティによって決定されます。さまざまなタイプの変換のセットは、論理的にandedです。
For example, if the ordered proposal list were
たとえば、順序付けられた提案リストがあった場合
ESP = { (HMAC-MD5, 3DES), (HMAC-MD5, DES) } AH = { MD5, SHA-1 }
then the one sending the proposal would want the other side to pick one from the ESP transform (preferably (HMAC-MD5, 3DES)) list AND one from the AH transform list (preferably MD5).
その後、提案を送信する人は、反対側がESP変換(できれば(HMAC-MD5、3DES))から1つを選択し、AH変換リスト(できればMD5)から1つを選択することを望みます。
The class definition for ContainedTransform is as follows:
conted transformのクラス定義は次のとおりです。
NAME ContainedTransform DESCRIPTION Associates an IPsecProposal with the set of SATransforms that make up the proposal. DERIVED FROM PolicyComponent (see [PCIM]) ABSTRACT FALSE PROPERTIES GroupComponent[ref IPsecProposal[0..n]] PartComponent[ref SATransform[1..n]] SequenceNumber
名前を含むトランスフォームの説明は、提案を構成するsatransformsのセットとIpsecproposalを関連付けます。PolicyComponent([PCIM]を参照)から派生した誤ったプロパティグループコンポーネント[Ref ipsecProposal [0..n]] partcomponent [ref satransform [1..n]] sequencenumber
The property GroupComponent is inherited from PolicyComponent and is overridden to refer to an IPsecProposal instance. The [0..n] cardinality indicates that an SATransform instance may be associated with zero or more IPsecProposal instances.
プロパティグループコンポーネントはPolicyComponentから継承されており、IPSecProposalインスタンスを参照するようにオーバーライドされています。[0..n]カーディナリティは、satransformインスタンスがゼロ以上のIpsecproposalインスタンスに関連付けられている可能性があることを示しています。
The property PartComponent is inherited from PolicyComponent and is overridden to refer to an SATransform instance. The [1..n] cardinality indicates that an IPsecProposal instance MUST be associated with at least one SATransform instance.
プロパティパートコンポーネントはPolicyComponentから継承されており、satransformインスタンスを参照するようにオーバーライドされています。[1..n]カーディナリティは、Ipsecproposalインスタンスが少なくとも1つのsatransformインスタンスに関連付けられている必要があることを示しています。
The property SequenceNumber specifies the order of preference for the SATransforms of the same type. The property is defined as follows:
プロパティシーケンセンサーは、同じタイプのsatransformsの優先順序を指定します。プロパティは次のように定義されています。
NAME SequenceNumber DESCRIPTION Specifies the preference order for the SATransforms of the same type. SYNTAX unsigned 16-bit integer VALUE Lower-valued transforms are preferred over transforms of the same type with higher values. For ContainedTransforms that reference the same IPsecProposal, SequenceNumber values must be unique.
名前SequenCeNumber説明同じタイプのSATRANSFORMSの優先順序を指定します。構文の符号なし16ビット整数値低値変換は、同じタイプの変換よりも高い値を優先します。同じIPSecProposalを参照するConted Transformsの場合、シーケンスの値は一意でなければなりません。
The class SATransformInSystem weakly associates SATransforms with a System. The class definition for SATransformInSystem System is as follows:
クラスのsatransforminsystemは、satransformをシステムに弱く関連付けます。satransforminsystemシステムのクラス定義は次のとおりです。
NAME SATransformInSystem DESCRIPTION Weakly associates SATransforms with a System. DERIVED FROM PolicyInSystem (see [PCIM]) ABSTRACT FALSE PROPERTIES Antecedent[ref System[1..1]] Dependent[ref SATransform[0..n] [weak]]
名前satransforminsystemの説明satransformsをシステムに弱く関連付けます。PolicyInsystem([PCIM]を参照)から派生した誤ったプロパティAntecedent [Ref System [1..1]]依存[Ref satransform [0..n] [weak]]
The property Antecedent is inherited from PolicyInSystem and is overridden to refer to a System instance. The [1..1] cardinality indicates that an SATransform instance MUST be associated with one and only one System instance.
プロパティの先行施設は、PolicyInsystemから継承されており、システムインスタンスを参照するようにオーバーライドされています。[1..1]カーディナリティは、satransformインスタンスが1つのシステムインスタンスのみに関連付けられている必要があることを示しています。
The property Dependent is inherited from PolicyInSystem and is overridden to refer to an SATransform instance. The [0..n] cardinality indicates that a System instance may be associated with zero or more SATransform instances.
プロパティ依存はPolicyInsystemから継承されており、satransformインスタンスを参照するようにオーバーライドされています。[0..n]カーディナリティは、システムインスタンスがゼロ以上のsatransformインスタンスに関連付けられている可能性があることを示しています。
+--------------+ +-------------------+ | System | | PeerIdentityEntry | | ([CIMCORE]) | +-------------------+ +--------------+ |*w 1| (a) (b) | +---+ +------------+ | | |*w 1 o +-------------+ +-------------------+ +---------------------+ | PeerGateway | | PeerIdentityTable | | AutostartIKESetting | +-------------+ +-------------------+ +---------------------+ *| *| *| *| +----------------------+ |(d) +----------+ | (c) *| *| *| (e) | *+------------+* |(f) +-----------------| IKEService |-----+ | | (g) +------------+ |(h) | 0..1| *| *| *o +--------------------+ | +---------------------------+ | IPProtocolEndpoint | | | AutostartIKEConfiguration | | ([CIMNETWORK]) | (i)| +---------------------------+ +--------------------+ | 0..1| | |(j) +----------------+ *| |* +-------------+* (k) +------------+ +-----------------------------+ | IKEIdentity |-------| Collection | | CredentialManagementService | +-------------+ 0..1| ([CIMCORE])| | ([CIMUSER]) | *| +------------+ +-----------------------------+ |(l) *| +--------------+ | Credential | | ([CIMUSER]) | +--------------+
(a) HostedPeerIdentityTable (b) PeerIdentityMember (c) IKEServicePeerGateway (d) IKEServicePeerIdentityTable (e) IKEAutostartSetting (f) AutostartIKESettingContext (g) IKEServiceForEndpoint (h) IKEAutostartConfiguration (i) IKEUsesCredentialManagementService (j) EndpointHasLocalIKEIdentity (k) CollectionHasLocalIKEIdentity (l) IKEIdentitysCredential
(a) HostedPeerIdentityTable (b) PeerIdentityMember (c) IKEServicePeerGateway (d) IKEServicePeerIdentityTable (e) IKEAutostartSetting (f) AutostartIKESettingContext (g) IKEServiceForEndpoint (h) IKEAutostartConfiguration (i) IKEUsesCredentialManagementService (j) EndpointHasLocalIKEIdentity (k) CollectionHasLocalIKEIdentity (l) IKEIdentitysCredential
This portion of the model contains additional information that is useful in applying the policy. The IKEService class MAY be used to represent the IKE negotiation function in a system. The IKEService uses the various tables that contain information about IKE peers as well as the configuration for specifying security associations that are started automatically. The information in the PeerGateway, PeerIdentityTable and related classes is necessary to completely specify the policies.
モデルのこの部分には、ポリシーの適用に役立つ追加情報が含まれています。ikeserviceクラスは、システム内のIKE交渉機能を表すために使用できます。ikeserviceは、IKEピアに関する情報を含むさまざまなテーブルと、自動的に開始されるセキュリティ関連を指定するための構成を使用します。ポリシーを完全に指定するには、Peergateway、PeeridentityTable、および関連クラスの情報が必要です。
An interface (represented by an IPProtocolEndpoint) has an IKEService that provides the negotiation services for that interface. That service MAY also have a list of security associations automatically started at the time the IKE service is initialized.
インターフェイス(IpprotocolendPointで表される)には、そのインターフェイスのネゴシエーションサービスを提供するikeserviceがあります。そのサービスには、IKEサービスが初期化された時点で、セキュリティ協会のリストが自動的に開始される場合があります。
The IKEService also has a set of identities that it may use in negotiations with its peers. Those identities are associated with the interfaces (or collections of interfaces).
ikeserviceには、同僚との交渉で使用できるアイデンティティのセットもあります。これらのアイデンティティは、インターフェイス(またはインターフェイスのコレクション)に関連付けられています。
The class IKEService represents the IKE negotiation function. An instance of this service may provide that negotiation service for one or more interfaces (represented by the IPProtocolEndpoint class) of a System. There may be multiple instances of IKE services on a System but only one per interface. The class definition for IKEService is as follows:
クラスikeserviceは、IKE交渉機能を表します。このサービスのインスタンスは、システムの1つまたは複数のインターフェイス(iPprotocolendPointクラスで表される)の交渉サービスを提供する場合があります。システム上にはIKEサービスの複数のインスタンスがある場合がありますが、インターフェイスごとに1つだけです。ikeserviceのクラス定義は次のとおりです。
NAME IKEService DESCRIPTION IKEService is used to represent the IKE negotiation function. DERIVED FROM Service (see [CIMCORE]) ABSTRACT FALSE
名前ikeservice説明ikeserviceは、ike交渉機能を表すために使用されます。サービスから派生した([cimcore]を参照)要約false
The class PeerIdentityTable aggregates the table entries that provide mappings between identities and their addresses. The class definition for PeerIdentityTable is as follows:
クラスPeerIdentityTableは、アイデンティティとそのアドレスの間のマッピングを提供するテーブルエントリを集約します。PeerIdentityTableのクラス定義は次のとおりです。
NAME PeerIdentityTable DESCRIPTION PeerIdentityTable aggregates PeerIdentityEntry instances to provide a table of identity-address mappings. DERIVED FROM Collection (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Name
名前PeeridentityTable説明PeerIdentityTable Aggregates PeerIdentityEntryインスタンスインスタンスインスタンスIDアドレスマッピングの表を提供します。コレクションから派生した([cimcore]を参照)抽象的な虚偽のプロパティ名
The property Name uniquely identifies the table. The property is defined as follows:
プロパティ名はテーブルを一意に識別します。プロパティは次のように定義されています。
NAME Name DESCRIPTION Name uniquely identifies the table. SYNTAX string
名前名説明名テーブルを一意に識別します。構文文字列
The class PeerIdentityEntry specifies the mapping between peer identity and their IP address. The class definition for PeerIdentityEntry is as follows:
クラスPeerIdentityEntryは、ピアアイデンティティとそのIPアドレスの間のマッピングを指定します。PeeridentityEntryのクラス定義は次のとおりです。
NAME PeerIdentityEntry DESCRIPTION PeerIdentityEntry provides a mapping between a peer's identity and address. DERIVED FROM LogicalElement (see [CIMCORE]) ABSTRACT FALSE PROPERTIES PeerIdentity PeerIdentityType PeerAddress PeerAddressType
名前PeeridentityEntryの説明PeeridentityEntryは、ピアの身元と住所の間のマッピングを提供します。論理エレメントから派生([cimcore]を参照)抽象的なプロパティpeeridentity peeridentitytype peeraddress peeraddresstype
The pre-shared key to be used with this peer (if applicable) is contained in an instance of the class SharedSecret (see [CIMUSER]). The pre-shared key is stored in the property Secret, the property protocol contains "IKE", the property algorithm contains the algorithm used to protect the secret (can be "PLAINTEXT" if the IPsec entity has no secret storage), the value of property RemoteID must match the PeerIdentity property of the PeerIdentityEntry instance describing the IKE peer.
このピア(該当する場合)で使用する事前に共有キーは、クラスの共有秘密のインスタンスに含まれています([Cimuser]を参照)。事前共有キーはプロパティシークレットに保存されます。プロパティプロトコルには「IKE」が含まれています。プロパティアルゴリズムには、秘密を保護するために使用されるアルゴリズムが含まれています(IPSECエンティティに秘密のストレージがない場合は「プレーンテキスト」になります)。Property RemoteIDは、IKEピアを説明するPeerIdentityEntryインスタンスのPeerIdentityプロパティと一致する必要があります。
The property PeerIdentity contains a string encoding of the Identity payload for the IKE peer. The property is defined as follows:
プロパティピアアイデンティには、IKEピアのIDペイロードの文字列エンコードが含まれています。プロパティは次のように定義されています。
NAME PeerIdentity DESCRIPTION The PeerIdentity is the ID payload of a peer. SYNTAX string
名前peeridentity説明peeridentityは、ピアのIDペイロードです。構文文字列
The property PeerIdentityType is an enumeration that specifies the type of the PeerIdentity. The property is defined as follows:
プロパティPeerIdentityTypeは、peeridentityのタイプを指定する列挙です。プロパティは次のように定義されています。
NAME PeerIdentityType DESCRIPTION PeerIdentityType is the type of the ID payload of a peer. SYNTAX unsigned 16-bit integer VALUE The enumeration values are specified in [DOI] section 4.6.2.1.
名前PeerIdentityType説明peeridentityTypeは、ピアのIDペイロードのタイプです。構文符号なし16ビット整数値列挙値は、[doi]セクション4.6.2.1で指定されています。
The property PeerAddress specifies the string representation of the IP address of the peer formatted according to the appropriate convention as defined in the PeerAddressType property (e.g., dotted decimal notation). The property is defined as follows:
プロパティPeerAddressは、PeerAddressTypeプロパティ(例えば、点線の小数表記)で定義されている適切な条約に従ってフォーマットされたピアのIPアドレスの文字列表現を指定します。プロパティは次のように定義されています。
NAME PeerAddress DESCRIPTION PeerAddress is the address of the peer with the ID payload. SYNTAX string VALUE String representation of an IPv4 or IPv6 address.
名前PeerAddressの説明PeerAddressは、IDペイロードを備えたピアのアドレスです。IPv4またはIPv6アドレスの構文文字列値文字列表現。
The property PeerAddressType specifies the format of the PeerAddress property value. The property is defined as follows:
プロパティPeerAddressTypeは、PeerAddressプロパティ値の形式を指定します。プロパティは次のように定義されています。
NAME PeerAddressType DESCRIPTION PeerAddressType is the type of address in PeerAddress. SYNTAX unsigned 16-bit integer VALUE 0 - Unknown 1 - IPv4 2 - IPv6
名前PeerAddressType説明PeerAddressTypeは、PeerAddressのアドレスのタイプです。構文符号なし16ビット整数値0-不明1 -IPv42 -IPv6
The class AutostartIKEConfiguration groups AutostartIKESetting instances into configuration sets. When applied, the settings cause an IKE service to automatically start (negotiate or statically set as appropriate) the Security Associations. The class definition for AutostartIKEConfiguration is as follows:
クラスAutoStartikeConfigurationは、インスタンスを構成セットにAutoStartiKesEettingグループにグループ化します。適用されると、設定により、IKEサービスがセキュリティ協会を自動的に開始します(必要に応じて交渉または静的に設定します)。AutoStartikeConfigurationのクラス定義は次のとおりです。
NAME AutostartIKEConfiguration DESCRIPTION A configuration set of AutostartIKESetting instances to be automatically started by the IKE service. DERIVED FROM SystemConfiguration (see [CIMCORE]) ABSTRACT FALSE
名前AutoStartikeConfigurationの説明IKEサービスによって自動的に開始される自動化されたAutoStartiKesTingインスタンスの構成セット。SystemConfiguration([cimcore]を参照)から派生したabstract false
The class AutostartIKESetting is used to automatically initiate IKE negotiations with peers (or statically create an SA) as specified in the AutostartIKESetting properties. Appropriate actions are initiated according to the policy that matches the setting parameters. The class definition for AutostartIKESetting is as follows:
クラスのAutoStartikesEttingは、AutoStartikesettingプロパティで指定されているように、ピア(または静的にSAを作成する)とのIKE交渉を自動的に開始するために使用されます。設定パラメーターに一致するポリシーに従って適切なアクションが開始されます。AutoStartikesEttingのクラス定義は次のとおりです。
NAME AutostartIKESetting DESCRIPTION AutostartIKESetting is used to automatically initiate IKE negotiations with peers or statically create an SA. DERIVED FROM SystemSetting (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Phase1Only AddressType SourceAddress SourcePort DestinationAddress DestinationPort Protocol
名前AutoStartikesEtting説明AutoStartikesEttingは、ピアとのIKE交渉を自動的に開始するか、SAを静的に作成するために使用されます。SystemSetting([cimcore]を参照)から派生した誤ったプロパティphase1onlyアドレスタイプSourceaddress sourceportddestivesAddress DestinationPortプロトコル
The property Phase1Only is used to limit the IKE negotiation to a phase 1 SA establishment only. When set to False, both phase 1 and phase 2 SAs are negotiated. The property is defined as follows:
プロパティフェーズ1onlyは、IKEの交渉をフェーズ1 SAの確立のみに限定するために使用されます。FALSEに設定すると、フェーズ1とフェーズ2のSASの両方が交渉されます。プロパティは次のように定義されています。
NAME Phase1Only DESCRIPTION Used to indicate whether a phase 1 only or both phase 1 and phase 2 security associations should attempt establishment. SYNTAX boolean VALUE true - attempt to establish a phase 1 security association false - attempt to establish phase 1 and phase 2 security associations
フェーズ1のみまたは両方のフェーズ1とフェーズ2のセキュリティ協会が確立を試みるべきかを示すために使用される名前のフェーズ1only説明。構文ブール値True-フェーズ1セキュリティアソシエーションの確立を試みるFalse-フェーズ1およびフェーズ2セキュリティ協会の確立を試みる
The property AddressType specifies a type of the addresses in the SourceAddress and DestinationAddress properties. The property is defined as follows:
プロパティアドレスタイプは、SourceaddressおよびDestevestingAddressプロパティのアドレスのタイプを指定します。プロパティは次のように定義されています。
NAME AddressType DESCRIPTION AddressType is the type of address in SourceAddress and DestinationAddress properties. SYNTAX unsigned 16-bit integer VALUE 0 - Unknown 1 - IPv4 2 - IPv6
名前addressType説明addressTypeは、SourceaddressおよびDestevestingAddressプロパティのアドレスのタイプです。構文符号なし16ビット整数値0-不明1 -IPv42 -IPv6
The property SourceAddress specifies the dotted-decimal or colon-decimal formatted IP address used as the source address in comparing with policy filter entries and used in any phase 2 negotiations. The property is defined as follows:
プロパティSourceaddressは、ポリシーフィルターエントリと比較してソースアドレスとして使用され、フェーズ2のネゴシエーションで使用される点線またはコロンデシマル形式のIPアドレスを指定します。プロパティは次のように定義されています。
NAME SourceAddress DESCRIPTION The source address to compare with the filters to determine the appropriate policy rule. SYNTAX string VALUE dotted-decimal or colon-decimal formatted IP address
名前Sourceaddressの説明フィルターと比較するためのソースアドレスは、適切なポリシールールを決定します。構文文字列値の点線または結腸由来のフォーマットIPアドレス
The property SourcePort specifies the port number used as the source port in comparing policy filter entries and is used in any phase 2 negotiations. The property is defined as follows:
プロパティソースポートは、ポリシーフィルターエントリを比較する際にソースポートとして使用されるポート番号を指定し、フェーズ2の交渉で使用されます。プロパティは次のように定義されています。
NAME SourcePort DESCRIPTION The source port to compare with the filters to determine the appropriate policy rule. SYNTAX unsigned 16-bit integer
名前のソースポートの説明フィルターと比較するソースポートは、適切なポリシールールを決定します。構文符号なし16ビット整数
The property DestinationAddress specifies the dotted-decimal or colon-decimal formatted IP address used as the destination address in comparing policy filter entries and is used in any phase 2 negotiations. The property is defined as follows:
Property DestindainADDRESSは、ポリシーフィルターエントリの比較で宛先アドレスとして使用され、フェーズ2の交渉で使用される点線またはコロンデシマル形式のIPアドレスを指定します。プロパティは次のように定義されています。
NAME DestinationAddress DESCRIPTION The destination address to compare with the filters to determine the appropriate policy rule.
名前のdestinationAddress説明宛先アドレスは、フィルターと比較して適切なポリシールールを決定します。
SYNTAX string VALUE dotted-decimal or colon-decimal formatted IP address
構文文字列値の点線または結腸由来のフォーマットIPアドレス
The property DestinationPort specifies the port number used as the destination port in comparing policy filter entries and is used in any phase 2 negotiations. The property is defined as follows:
Property DestinationPortは、ポリシーフィルターエントリを比較する際に宛先ポートとして使用されるポート番号を指定し、フェーズ2の交渉で使用されます。プロパティは次のように定義されています。
NAME DestinationPort DESCRIPTION The destination port to compare with the filters to determine the appropriate policy rule. SYNTAX unsigned 16-bit integer
destinationport説明適切なポリシールールを決定するために、フィルターと比較する宛先ポート。構文符号なし16ビット整数
The property Protocol specifies the protocol number used in comparing with policy filter entries and is used in any phase 2 negotiations. The property is defined as follows:
プロパティプロトコルは、ポリシーフィルターエントリと比較する際に使用されるプロトコル番号を指定し、フェーズ2の交渉で使用されます。プロパティは次のように定義されています。
NAME Protocol DESCRIPTION The protocol number used in comparing policy filter entries. SYNTAX unsigned 8-bit integer
名前プロトコル説明ポリシーフィルターエントリの比較に使用されるプロトコル番号。構文符号なし8ビット整数
The class IKEIdentity is used to represent the identities that may be used for an IPProtocolEndpoint (or collection of IPProtocolEndpoints) to identify the IKE Service in IKE phase 1 negotiations. The policy IKEAction.UseIKEIdentityType specifies which type of the available identities to use in a negotiation exchange and the IKERule.IdentityContexts specifies the match values to be used, along with the local address, in selecting the appropriate identity for a negotiation. The ElementID property value (defined in the parent class, UsersAccess) should be that of either the IPProtocolEndpoint or Collection of endpoints as appropriate. The class definition for IKEIdentity is as follows:
クラスIKEIDEDITYは、IKEProtocolendPoint(またはIPProtocolendPointsのコレクション)に使用される可能性のあるアイデンティティを表すために使用され、IKEフェーズ1の交渉でIKEサービスを特定します。ポリシーiKeaction.UseikeIdentityType交渉交換とiKerule.IdentityContextsで使用する利用可能なアイデンティティのタイプを指定します。ElementIDプロパティ値(親クラスで定義されている、ユーザーアクセス)は、必要に応じてIPProToColendPointまたはエンドポイントのコレクションのいずれかのものでなければなりません。ikeidentityのクラス定義は次のとおりです。
NAME IKEIdentity DESCRIPTION IKEIdentity is used to represent the identities that may be used for an IPProtocolEndpoint (or collection of IPProtocolEndpoints) to identify the IKE Service in IKE phase 1 negotiations. DERIVED FROM UsersAccess (see [CIMUSER]) ABSTRACT FALSE PROPERTIES IdentityType IdentityValue IdentityContexts
名前ikeidentityの説明ikeidentityは、IKEProtocolendpoint(またはipprotocolendpointsのコレクション)に使用される可能性のあるアイデンティティを表すために使用され、IKEフェーズ1交渉でIKEサービスを特定します。usersAccess([cimuser]を参照)から派生した誤ったプロパティIDTYPE IDVALUE IDCONTEXTS
The property IdentityType is an enumeration that specifies the type of the IdentityValue. The property is defined as follows:
プロパティIdentityTypeは、IDValueのタイプを指定する列挙です。プロパティは次のように定義されています。
NAME IdentityType DESCRIPTION IdentityType is the type of the IdentityValue. SYNTAX unsigned 16-bit integer VALUE The enumeration values are specified in [DOI] section 4.6.2.1.
name IdentityType説明IdentityTypeは、IDVALUEのタイプです。構文符号なし16ビット整数値列挙値は、[doi]セクション4.6.2.1で指定されています。
The property IdentityValue contains a string encoding of the Identity payload. For IKEIdentity instances that are address types (i.e., IPv4 or IPv6 addresses), the IdentityValue string value MAY be omitted; then the associated IPProtocolEndpoint (or appropriate member of the Collection of endpoints) is used as the identity value. The property is defined as follows:
プロパティIDVALUEには、IDペイロードの文字列エンコードが含まれています。アドレスタイプ(つまり、IPv4またはIPv6アドレス)であるIKEIDEDITYインスタンスの場合、IDVALUEの文字列値は省略できます。次に、関連するIpprotocolendPoint(またはエンドポイントのコレクションの適切なメンバー)がID値として使用されます。プロパティは次のように定義されています。
NAME IdentityValue DESCRIPTION IdentityValue contains a string encoding of the Identity payload. SYNTAX string
名前IDVALUE説明説明IDVALUEには、IDペイロードの文字列エンコードが含まれています。構文文字列
The IdentityContexts property is used to constrain the use of IKEIdentity instances to match that specified in the IKERule.IdentityContexts. The IdentityContexts are formatted as policy roles and role combinations [PCIM] & [PCIME]. Each value represents one context or context combination. Since this is a multi-valued property, more than one context or combination of contexts can be associated with a single IKEIdentity. Each value is a string of the form:
IdentyContextsプロパティは、iKerule.identityContextsで指定されているものと一致するようにikeidentityインスタンスの使用を制約するために使用されます。IdentityContextsは、ポリシーの役割と役割の組み合わせ[PCIM]&[PCIME]としてフォーマットされます。各値は、1つのコンテキストまたはコンテキストの組み合わせを表します。これは多値のプロパティであるため、複数のコンテキストまたはコンテキストの組み合わせは、単一のikeidentityに関連付けられます。各値は、フォームの文字列です。
<ContextName>[&&<ContextName>]*
where the individual context names appear in alphabetical order (according to the collating sequence for UCS-2). If one or more values in the IKERule.IdentityContexts array match one or more IKEIdentity.IdentityContexts, then the identity's context matches. (That is, each value of the IdentityContext array is an ORed condition.) In combination with the address of the IPProtocolEndpoint and IKEAction.UseIKEIdentityType, there SHOULD be exactly one IKEIdentity. The property is defined as follows:
ここで、個々のコンテキスト名がアルファベット順に表示されます(UCS-2の照合シーケンスに従って)。ikerule.identitycontexts配列の1つ以上の値が1つ以上のikeidentity.identitycontextsを一致させる場合、IDのコンテキストが一致します。(つまり、IdentyContextアレイの各値はered条件です。)ipprotocolendpointおよびikeaction.usikeidentitytypeのアドレスと組み合わせて、正確に1つのikeidentityが必要です。プロパティは次のように定義されています。
NAME IdentityContexts DESCRIPTION The IKE service of a security endpoint may have multiple identities for use in different situations. The combination of the interface (represented by the IPProtocolEndpoint), the identity type (as specified in the IKEAction) and the IdentityContexts selects a unique identity. SYNTAX string array VALUE string of the form <ContextName>[&&<ContextName>]*
名前IdentityContexts説明セキュリティエンドポイントのIKEサービスには、さまざまな状況で使用する複数のアイデンティティがある場合があります。インターフェイス(iPprotocolendPointで表される)、IDタイプ(iKeactionで指定)、IDContextsの組み合わせは、一意のIDを選択します。構文文字列配列値フォームの文字列<contextname> [&& <contextname>]*
The class HostedPeerIdentityTable provides the name scoping relationship for PeerIdentityTable entries in a System. The PeerIdentityTable is weak to the System. The class definition for HostedPeerIdentityTable is as follows:
Class HostedPeerIdentityTableは、システム内のPeerIdentityTableエントリの名前のスコーピング関係を提供します。PeeridentityTableはシステムにとって弱いです。HostedPeerIdentityTableのクラス定義は次のとおりです。
NAME HostedPeerIdentityTable DESCRIPTION The PeerIdentityTable instances are weak (name scoped by) the owning System. DERIVED FROM Dependency (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent [ref System[1..1]] Dependent [ref PeerIdentityTable[0..n] [weak]]
名前hostedpeeridentitytable説明peeridentitytableインスタンスは所有システムが弱い(名前がscoped)。依存関係から派生した([cimcore]を参照)abstract falseプロパティアンティデント[ref system [1..1]]依存[ref peeridentitytable [0..n] [weak]]
The property Antecedent is inherited from Dependency and is overridden to refer to a System instance. The [1..1] cardinality indicates that a PeerIdentityTable instance MUST be associated in a weak relationship with one and only one System instance.
プロパティの前件は依存関係から継承され、システムインスタンスを参照するようにオーバーライドされます。[1..1]カーディナリティは、PeeridentityTableインスタンスが1つのシステムインスタンスとのみの弱い関係で関連付けられている必要があることを示しています。
The property Dependent is inherited from Dependency and is overridden to refer to a PeerIdentityTable instance. The [0..n] cardinality indicates that a System instance may be associated with zero or more PeerIdentityTable instances.
プロパティ依存は依存関係から継承され、PeerIdentityTableインスタンスを参照するためにオーバーライドされます。[0..n]カーディナリティは、システムインスタンスがゼロ以上のpeeridentitytableインスタンスに関連付けられている可能性があることを示しています。
The class PeerIdentityMember aggregates PeerIdentityEntry instances into a PeerIdentityTable. This is a weak aggregation. The class definition for PeerIdentityMember is as follows:
クラスPeerIdentityMemberは、PeerIdentityEntryインスタンスをPeerIdentityTableに集約します。これは弱い集計です。PeerIdentityMemberのクラス定義は次のとおりです。
NAME PeerIdentityMember DESCRIPTION PeerIdentityMember aggregates PeerIdentityEntry instances into a PeerIdentityTable. DERIVED FROM MemberOfCollection (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Collection [ref PeerIdentityTable[1..1]] Member [ref PeerIdentityEntry [0..n] [weak]]
名前peeridentitymemberの説明peeridentitymemberは、peeridentityentryインスタンスをpeeridentitytableに集約します。メンバーオフコレクション([cimcore]を参照)から派生した誤ったプロパティコレクション[ref peeridentitytable [1..1]]メンバー[ref peeridentityentry [0..n] [weak]]
The property Collection is inherited from MemberOfCollection and is overridden to refer to a PeerIdentityTable instance. The [1..1] cardinality indicates that a PeerIdentityEntry instance MUST be associated with one and only one PeerIdentityTable instance (i.e., PeerIdentityEntry instances are not shared across PeerIdentityTables).
プロパティコレクションは、メンバーオフコレクションから継承され、PeerIdentityTableインスタンスを参照するようにオーバーライドされています。[1..1]カーディナリティは、PeeridentityEntryインスタンスが1つのPeeridentityTableインスタンスのみに関連付けられている必要があることを示しています(つまり、PeerIdentityEntryインスタンスはPeeridentityTables全体で共有されていません)。
The property Member is inherited from MemberOfCollection and is overridden to refer to a PeerIdentityEntry instance. The [0..n] cardinality indicates that a PeerIdentityTable instance may be associated with zero or more PeerIdentityEntry instances.
プロパティメンバーは、メンバーオフコレクションから継承され、PeerIdentityEntryインスタンスを参照するようにオーバーライドされています。[0..n]カーディナリティは、peeridentitytableインスタンスがゼロ以上のpeeridentityentryインスタンスに関連付けられている可能性があることを示しています。
The class IKEServicePeerGateway provides the association between an IKEService and the list of PeerGateway instances that it uses in negotiating with security gateways. The class definition for IKEServicePeerGateway is as follows:
クラスIkeservicePeergatewayは、Ikeserviceとセキュリティゲートウェイとの交渉で使用するPeergatewayインスタンスのリストとの関連を提供します。ikeservicepeergatewayのクラス定義は次のとおりです。
NAME IKEServicePeerGateway DESCRIPTION Associates an IKEService and the list of PeerGateway instances that it uses in negotiating with security gateways. DERIVED FROM Dependency (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent [ref PeerGateway[0..n]] Dependent [ref IKEService[0..n]]
名前ikeservicepeergatewayの説明Ikeserviceと、セキュリティゲートウェイとの交渉で使用するPeergatewayインスタンスのリストを関連付けます。依存関係から導出された([cimcore]を参照)抽象的な偽のプロパティアンティデント[ref peergateway [0..n]]依存[ref ikeservice [0..n]]
The property Antecedent is inherited from Dependency and is overridden to refer to a PeerGateway instance. The [0..n] cardinality indicates that an IKEService instance may be associated with zero or more PeerGateway instances.
プロパティの前件は依存関係から継承されており、ペーガテウェイインスタンスを参照するようにオーバーライドされています。[0..n]カーディナリティは、ikeserviceインスタンスがゼロ以上のペーガテウェイインスタンスに関連付けられている可能性があることを示しています。
The property Dependent is inherited from Dependency and is overridden to refer to an IKEService instance. The [0..n] cardinality indicates that a PeerGateway instance may be associated with zero or more IKEService instances.
プロパティ依存は依存関係から継承され、ikeserviceインスタンスを参照するためにオーバーライドされます。[0..n]カーディナリティは、Peergatewayインスタンスがゼロ以上のikeserviceインスタンスに関連付けられている可能性があることを示しています。
The class IKEServicePeerIdentityTable provides the relationship between an IKEService and a PeerIdentityTable that it uses to map between addresses and identities as required. The class definition for IKEServicePeerIdentityTable is as follows:
クラスikeservicepeeridentitytableは、必要に応じて住所とアイデンティティの間でマッピングするために使用するikeserviceとpeeridentitytableとの関係を提供します。ikeservicepeeridentitytableのクラス定義は次のとおりです。
NAME IKEServicePeerIdentityTable DESCRIPTION IKEServicePeerIdentityTable provides the relationship between an IKEService and a PeerIdentityTable that it uses. DERIVED FROM Dependency (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent [ref PeerIdentityTable[0..n]] Dependent [ref IKEService[0..n]]
名前ikeservicepeeridentitytable説明ikeservicepeeridentitytableは、使用するikeserviceとpeeridentitytableの関係を提供します。依存関係から派生した([cimcore]を参照)抽象的な誤ったプロパティアンティデント[ref peeridentitytable [0..n]]依存[ref ikeservice [0..n]]
The property Antecedent is inherited from Dependency and is overridden to refer to a PeerIdentityTable instance. The [0..n] cardinality indicates that an IKEService instance may be associated with zero or more PeerIdentityTable instances.
プロパティの前件は依存関係から継承され、PeerIdentityTableインスタンスを参照するようにオーバーライドされています。[0..n]カーディナリティは、ikeserviceインスタンスがゼロ以上のpeeridentitytableインスタンスに関連付けられている可能性があることを示しています。
The property Dependent is inherited from Dependency and is overridden to refer to an IKEService instance. The [0..n] cardinality indicates that a PeerIdentityTable instance may be associated with zero or more IKEService instances.
プロパティ依存は依存関係から継承され、ikeserviceインスタンスを参照するためにオーバーライドされます。[0..n]カーディナリティは、peeridentitytableインスタンスがゼロ以上のikeserviceインスタンスに関連付けられている可能性があることを示しています。
The class IKEAutostartSetting associates an AutostartIKESetting with an IKEService that may use it to automatically start an IKE negotiation or create a static SA. The class definition for IKEAutostartSetting is as follows:
クラスIkeautostArtStatingは、AutoStartikesEttingを使用して、IKEのネゴシエーションを自動的に開始したり、静的SAを作成したりする可能性のあるikeserviceを使用しています。IkeautostartSettingのクラス定義は次のとおりです。
NAME IKEAutostartSetting DESCRIPTION Associates a AutostartIKESetting with an IKEService. DERIVED FROM ElementSetting (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Element [ref IKEService[0..n]] Setting [ref AutostartIKESetting[0..n]]
名前ikeautostartStating説明Associates autoStartikesettingをikeserviceと関連付けます。Elementsetting([cimcore]を参照)から派生した誤ったプロパティ要素[ref ikeservice [0..n]]設定[ref autostartikesetting [0..n]]
The property Element is inherited from ElementSetting and is overridden to refer to an IKEService instance. The [0..n] cardinality indicates an AutostartIKESetting instance may be associated with zero or more IKEService instances.
プロパティ要素はElementsettingから継承され、ikeserviceインスタンスを参照するようにオーバーライドされます。[0..n] Cardinalityは、autostartikesettingインスタンスがゼロ以上のikeserviceインスタンスに関連付けられている可能性があることを示しています。
The property Setting is inherited from ElementSetting and is overridden to refer to an AutostartIKESetting instance. The [0..n] cardinality indicates that an IKEService instance may be associated with zero or more AutostartIKESetting instances.
プロパティ設定はElementsettingから継承され、AutoStartikesettingインスタンスを参照するようにオーバーライドされます。[0..n]カーディナリティは、ikeserviceインスタンスがゼロ以上のオートステイクセットインスタンスに関連付けられている可能性があることを示しています。
The class AutostartIKESettingContext aggregates the settings used to automatically start negotiations or create a static SA into a configuration set. The class definition for AutostartIKESettingContext is as follows:
クラスAutoStartikesEttingContextは、自動的に交渉を開始するか、静的SAを構成セットに作成するために使用される設定を集約します。AutoStartikesettingContextのクラス定義は次のとおりです。
NAME AutostartIKESettingContext DESCRIPTION AutostartIKESettingContext aggregates the AutostartIKESetting instances into a configuration set. DERIVED FROM SystemSettingContext (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Context [ref AutostartIKEConfiguration [0..n]] Setting [ref AutostartIKESetting [0..n]] SequenceNumber
名前autostartikesettingContextの説明AutoStartikesettingContext AutoStartikesEttingインスタンスを構成セットに集約します。SystemSettingContext([cimcore]を参照)から派生した誤ったプロパティコンテキスト[ref autostartikeconfiguration [0..n]]設定
The property Context is inherited from SystemSettingContext and is overridden to refer to an AutostartIKEConfiguration instance. The [0..n] cardinality indicates that an AutostartIKESetting instance may be associated with zero or more AutostartIKEConfiguration instances (i.e., a setting may be in multiple configuration sets).
プロパティコンテキストは、SystemSettingContextから継承され、AutoStartikeConfigurationインスタンスを参照するようにオーバーライドされています。[0..n]カーディナリティは、自動標準装置インスタンスがゼロ以上のオートステークコンスミュレーションインスタンスに関連付けられている可能性があることを示しています(つまり、設定は複数の構成セットにある場合があります)。
The property Setting is inherited from SystemSettingContext and is overridden to refer to an AutostartIKESetting instance. The [0..n] cardinality indicates that an AutostartIKEConfiguration instance may be associated with zero or more AutostartIKESetting instances.
プロパティ設定は、SystemSettingContextから継承されており、AutoStartiKesTingインスタンスを参照するようにオーバーライドされています。[0..n]カーディナリティは、autostartikeconfigurationインスタンスがゼロ以上のオートステイクセットインスタンスに関連付けられている可能性があることを示しています。
The property SequenceNumber specifies the ordering to be used when starting negotiations or creating a static SA. A zero value indicates that order is not significant and settings may be applied in parallel with other settings. All other settings in the configuration are executed in sequence from lower to higher values. Sequence numbers need not be unique in an AutostartIKEConfiguration and order is not significant for settings with the same sequence number. The property is defined as follows:
プロパティシーケンセンサーは、交渉を開始したり、静的SAを作成したりするときに使用する順序を指定します。ゼロ値は、順序が重要ではなく、設定が他の設定と並行して適用される可能性があることを示します。構成内の他のすべての設定は、より低い値からより高い値まで順番に実行されます。シーケンス番号は、AutoStartikeConfigurationで一意である必要はなく、同じシーケンス番号を持つ設定では順序は重要ではありません。プロパティは次のように定義されています。
NAME SequenceNumber DESCRIPTION The sequence in which the settings are applied within a configuration set. SYNTAX unsigned 16-bit integer
名前シーケンスナンバー説明設定が設定セット内で適用されるシーケンス。構文符号なし16ビット整数
The class IKEServiceForEndpoint provides the association showing which IKE service, if any, provides IKE negotiation services for which network interfaces. The class definition for IKEServiceForEndpoint is as follows:
Class IkeserviceForendPointは、どのIKEサービスがネットワークインターフェイスのIKEネゴシエーションサービスを提供するかを示す協会を提供します。ikeserviceforendpointのクラス定義は次のとおりです。
NAME IKEServiceForEndpoint DESCRIPTION Associates an IPProtocolEndpoint with an IKEService that provides negotiation services for the endpoint. DERIVED FROM Dependency (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent [ref IKEService[0..1]] Dependent [ref IPProtocolEndpoint[0..n]]
名前ikeserviceforendpointの説明Ipprotocolendpointをエンドポイントにネゴシエーションサービスを提供するikeserviceに関連付けます。依存関係から派生した([cimcore]を参照)abstract falseプロパティアンティデント[ref ikeservice [0..1]]依存[ref ipprotocolendpoint [0..n]]
The property Antecedent is inherited from Dependency and is overridden to refer to an IKEService instance. The [0..1] cardinality indicates that an IPProtocolEndpoint instance MUST by associated with at most one IKEService instance.
プロパティの前件は依存関係から継承され、ikeserviceインスタンスを参照するようにオーバーライドされています。[0..1] Cardinalityは、IpprotocolendPointインスタンスが最大1つのikeserviceインスタンスに関連付けられている必要があることを示しています。
The property Dependent is inherited from Dependency and is overridden to refer to an IPProtocolEndpoint that is associated with at most one IKEService. The [0..n] cardinality indicates an IKEService instance may be associated with zero or more IPProtocolEndpoint instances.
プロパティ依存は依存関係から継承され、最大1つのikeserviceに関連付けられているipprotocolendpointを参照するようにオーバーライドされます。[0..n]カーディナリティは、ikeserviceインスタンスがゼロ以上のipprotocolendpointインスタンスに関連付けられている可能性があることを示しています。
The class IKEAutostartConfiguration provides the relationship between an IKEService and a configuration set that it uses to automatically start a set of SAs. The class definition for IKEAutostartConfiguration is as follows:
クラスIkeautostArtArtConfigurationは、IkeserviceとSASのセットを自動的に開始するために使用する構成セットとの関係を提供します。ikeautostArtConfigurationのクラス定義は次のとおりです。
NAME IKEAutostartConfiguration DESCRIPTION IKEAutostartConfiguration provides the relationship between an IKEService and an AutostartIKEConfiguration that it uses to automatically start a set of SAs. DERIVED FROM Dependency (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent [ref AutostartIKEConfiguration [0..n]] Dependent [ref IKEService [0..n]] Active
名前ikeautostArtConfigurationの説明ikeautostArtArtConfigurationは、SASのセットを自動的に開始するために使用するikeserviceとAutostartikeconfigurationとの関係を提供します。依存関係から導出された([cimcore]を参照)抽象的な虚偽のプロパティアンティデント[ref autostartikeconfiguration [0..n]]依存[ref ikeservice [0..n]] active
The property Antecedent is inherited from Dependency and is overridden to refer to an AutostartIKEConfiguration instance. The [0..n] cardinality indicates that an IKEService instance may be associated with zero or more AutostartIKEConfiguration instances.
プロパティの前件は依存関係から継承され、自動症状インスタンスを参照するようにオーバーライドされています。[0..n]カーディナリティは、ikeserviceインスタンスがゼロ以上のAutoStartikeconfigurationインスタンスに関連付けられている可能性があることを示しています。
The property Dependent is inherited from Dependency and is overridden to refer to an IKEService instance. The [0..n] cardinality indicates that an AutostartIKEConfiguration instance may be associated with zero or more IKEService instances.
プロパティ依存は依存関係から継承され、ikeserviceインスタンスを参照するためにオーバーライドされます。[0..n]カーディナリティは、autostartikeconfigurationインスタンスがゼロ以上のikeserviceインスタンスに関連付けられている可能性があることを示しています。
The property Active indicates whether the AutostartIKEConfiguration set is currently active for the associated IKEService. That is, at boot time, the active configuration is used to automatically start IKE negotiations and create static SAs. The property is defined as follows:
Active Activeは、AutostartikeConfigurationセットが現在関連するikeserviceに対してアクティブであるかどうかを示します。つまり、起動時に、アクティブな構成を使用して、IKEの交渉を自動的に開始し、静的SASを作成します。プロパティは次のように定義されています。
NAME Active DESCRIPTION Active indicates whether the AutostartIKEConfiguration set is currently active for the associated IKEService. SYNTAX boolean VALUE true - AutostartIKEConfiguration is currently active for associated IKEService. false - AutostartIKEConfiguration is currently inactive for associated IKEService.
名前アクティブ説明Active AutostartikeConfigurationセットが現在関連するikeserviceに対してアクティブであるかどうかを示します。構文ブール値真 -AutoStartikeConfigurationは現在、関連するikeserviceに対してアクティブです。false -autostartikeconfigurationは現在、関連するikeserviceに対して非アクティブです。
The class IKEUsesCredentialManagementService defines the set of CredentialManagementService(s) that are trusted sources of credentials for IKE phase 1 negotiations. The class definition for IKEUsesCredentialManagementService is as follows:
クラスIKEUSESSCREDENITIALMANAGEMENTSERTIVICEは、IKEフェーズ1交渉の信頼できる資格情報源である資格managementserviceのセットを定義します。IkeuseScredentialManagementserviceのクラス定義は次のとおりです。
NAME IKEUsesCredentialManagementService DESCRIPTION Associates the set of CredentialManagementService(s) that are trusted by the IKEService as sources of credentials used in IKE phase 1 negotiations. DERIVED FROM Dependency (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent [ref CredentialManagementService [0..n]] Dependent [ref IKEService [0..n]]
名前ikeuseScredentialmanagementservice説明IKESERVICEがIKEフェーズ1交渉で使用される資格情報のソースとして信頼されている資格managementserviceのセットを関連付けます。依存関係から派生した([cimcore]を参照)abstract falseプロパティアンティセント[ref refcentientmanagementservice [0..n]]依存[ref ikeservice [0..n]]
The property Antecedent is inherited from Dependency and is overridden to refer to a CredentialManagementService instance. The [0..n] cardinality indicates that an IKEService instance may be associated with zero or more CredentialManagementService instances.
プロパティの前件は依存関係から継承され、資格のManagementserviceインスタンスを参照するようにオーバーライドされています。[0..n] Cardinalityは、ikeserviceインスタンスがゼロ以上の資格managementserviceインスタンスに関連付けられている可能性があることを示しています。
The property Dependent is inherited from Dependency and is overridden to refer to an IKEService instance. The [0..n] cardinality indicates that a CredentialManagementService instance may be associated with zero or more IKEService instances.
プロパティ依存は依存関係から継承され、ikeserviceインスタンスを参照するためにオーバーライドされます。[0..n] Cardinalityは、資格managementserviceインスタンスがゼロ以上のikeserviceインスタンスに関連付けられている可能性があることを示しています。
The class EndpointHasLocalIKEIdentity associates an IPProtocolEndpoint with a set of IKEIdentity instances that may be used in negotiating security associations on the endpoint. An IKEIdentity MUST be associated with either an IPProtocolEndpoint using this association or with a collection of IKEIdentity instances using the CollectionHasLocalIKEIdentity association. The class definition for EndpointHasLocalIKEIdentity is as follows:
クラスのEndpointhaslocalikeIdentityは、エンドポイントのセキュリティ協会の交渉に使用される可能性のある一連のikeidentityインスタンスとIpprotocolendpointを関連付けます。ikeidentityは、この協会を使用したIpprotocolendpointのいずれかに、またはCollectionhaslocalikeIdentity Associationを使用したikeidentityインスタンスのコレクションに関連付けられている必要があります。EndpointhaslocalikeIdentityのクラス定義は次のとおりです。
NAME EndpointHasLocalIKEIdentity DESCRIPTION EndpointHasLocalIKEIdentity associates an IPProtocolEndpoint with a set of IKEIdentity instances. DERIVED FROM ElementAsUser (see [CIMUSER]) ABSTRACT FALSE PROPERTIES Antecedent [ref IPProtocolEndpoint [0..1]] Dependent [ref IKEIdentity [0..n]]
名前EndpointhaslocalikeIdentityの説明endpointhaslocalikeIdentityは、ipprotocolendpointを一連のikeidentityインスタンスに関連付けます。ElementAsuser([Cimuser]を参照)から派生した誤ったプロパティAntecedent [ref ipprotocolendpoint [0..1]]依存[ref ikeidentity [0..n]]
The property Antecedent is inherited from ElementAsUser and is overridden to refer to an IPProtocolEndpoint instance. The [0..1] cardinality indicates that an IKEIdentity instance MUST be associated with at most one IPProtocolEndpoint instance.
プロパティの前件はElementAsuserから継承されており、IpprotocolendPointインスタンスを参照するようにオーバーライドされています。[0..1]カーディナリティは、ikeidentityインスタンスが最大1つのipprotocolendpointインスタンスに関連付けられている必要があることを示しています。
The property Dependent is inherited from ElementAsUser and is overridden to refer to an IKEIdentity instance. The [0..n] cardinality indicates that an IPProtocolEndpoint instance may be associated with zero or more IKEIdentity instances.
プロパティ依存はElementAsuserから継承されており、IkeIdentityインスタンスを参照するようにオーバーライドされています。[0..n]カーディナリティは、ipprotocolendpointインスタンスがゼロ以上のikeidentityインスタンスに関連付けられている可能性があることを示しています。
The class CollectionHasLocalIKEIdentity associates a Collection of IPProtocolEndpoint instances with a set of IKEIdentity instances that may be used in negotiating SAs for endpoints in the collection. An IKEIdentity MUST be associated with either an IPProtocolEndpoint using the EndpointHasLocalIKEIdentity association or with a collection of IKEIdentity instances using this association. The class definition for CollectionHasLocalIKEIdentity is as follows:
クラスCollectionHaslocalikeIdentityは、IpprotocolendPointインスタンスのコレクションを、コレクションのエンドポイントのSASの交渉に使用できるIKEIDEDITYインスタンスのセットと関連付けます。ikeidentityは、EndpointhaslocalikeIdentity Associationを使用したIpprotocolendpointのいずれかに、またはこの協会を使用したikeidentityインスタンスのコレクションに関連付ける必要があります。CollectionHaslocalikeIdentityのクラス定義は次のとおりです。
NAME CollectionHasLocalIKEIdentity DESCRIPTION CollectionHasLocalIKEIdentity associates a collection of IPProtocolEndpoint instances with a set of IKEIdentity instances. DERIVED FROM ElementAsUser (see [CIMUSER]) ABSTRACT FALSE PROPERTIES Antecedent [ref Collection [0..1]] Dependent [ref IKEIdentity [0..n]]
名前CollectionHaslocalikeIdentity説明CollectionHaslocalikeIdentity Associates Ipprotocolendpointインスタンスのコレクションは、Ikeidentityインスタンスのセットを使用します。ElementAsuser([cimuser]を参照)から派生した虚偽のプロパティアンティセント[ref collection [0..1]]依存[ref ikeidentity [0..n]]
The property Antecedent is inherited from ElementAsUser and is overridden to refer to a Collection instance. The [0..1] cardinality indicates that an IKEIdentity instance MUST be associated with at most one Collection instance.
プロパティの前件はElementAsuserから継承されており、コレクションインスタンスを参照するようにオーバーライドされています。[0..1]カーディナリティは、ikeidentityインスタンスが最大1つのコレクションインスタンスに関連付けられている必要があることを示しています。
The property Dependent is inherited from ElementAsUser and is overridden to refer to an IKEIdentity instance. The [0..n] cardinality indicates that a Collection instance may be associated with zero or more IKEIdentity instances.
プロパティ依存はElementAsuserから継承されており、IkeIdentityインスタンスを参照するようにオーバーライドされています。[0..n]カーディナリティは、コレクションインスタンスがゼロ以上のikeidentityインスタンスに関連付けられている可能性があることを示しています。
The class IKEIdentitysCredential is an association that relates a set of credentials to their corresponding local IKE Identities. The class definition for IKEIdentitysCredential is as follows:
クラスIKEIDEDITYSCREDENTIALは、資格情報のセットを対応するローカルIKEアイデンティティに関連付ける協会です。IkeIdentityScreDentialのクラス定義は次のとおりです。
NAME IKEIdentitysCredential DESCRIPTION IKEIdentitysCredential associates a set of credentials to their corresponding local IKEIdentity. DERIVED FROM UsersCredential (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent [ref Credential [0..n]] Dependent [ref IKEIdentity [0..n]]
名前ikeidentityscredential説明ikeidentityscredentialは、対応するローカルikeidentityの資格情報のセットを結び付けます。userscredential([cimcore]を参照)から派生した虚偽のプロパティアンティデント[ref recidential [0..n]]依存[ref ikeidentity [0..n]]
The property Antecedent is inherited from UsersCredential and is overridden to refer to a Credential instance. The [0..n] cardinality indicates that the IKEIdentity instance may be associated with zero or more Credential instances.
プロパティの先行施設は、userscredentialから継承され、資格情報のインスタンスを参照するようにオーバーライドされています。[0..n]カーディナリティは、ikeidentityインスタンスがゼロ以上の資格情報インスタンスに関連付けられている可能性があることを示しています。
The property Dependent is inherited from UsersCredential and is overridden to refer to an IKEIdentity instance. The [0..n] cardinality indicates that a Credential instance may be associated with zero or more IKEIdentity instances.
プロパティ依存は、userscredentialから継承され、ikeidentityインスタンスを参照するようにオーバーライドされています。[0..n]カーディナリティは、資格情報インスタンスがゼロ以上のikeidentityインスタンスに関連付けられている可能性があることを示しています。
The following table specifies which classes, properties, associations and aggregations MUST or SHOULD or MAY be implemented.
次の表には、どのクラス、プロパティ、関連性、および集約が実装されている、または実装されるか、または実装される必要があるか、あるか、指定されています。
4. Policy Classes 4.1. The Class SARule..........................................MUST 4.1.1. The Property PolicyRuleName..............................MAY 4.1.1. The Property Enabled....................................MUST 4.1.1. The Property ConditionListType..........................MUST 4.1.1. The Property RuleUsage...................................MAY 4.1.1. The Property Mandatory...................................MAY 4.1.1. The Property SequencedActions...........................MUST 4.1.1. The Property PolicyRoles.................................MAY 4.1.1. The Property PolicyDecisionStrategy......................MAY 4.1.2 The Property ExecutionStrategy..........................MUST 4.1.3 The Property LimitNegotiation............................MAY 4.2. The Class IKERule.........................................MUST 4.2.1. The Property IdentityContexts............................MAY 4.3. The Class IPsecRule.......................................MUST 4.4. The Association Class IPsecPolicyForEndpoint...............MAY 4.4.1. The Reference Antecedent................................MUST 4.4.2. The Reference Dependent.................................MUST 4.5. The Association Class IPsecPolicyForSystem.................MAY 4.5.1. The Reference Antecedent................................MUST 4.5.2. The Reference Dependent.................................MUST 4.6. The Aggregation Class SAConditionInRule...................MUST 4.6.1. The Property GroupNumber..............................SHOULD 4.6.1. The Property ConditionNegated.........................SHOULD 4.6.2. The Reference GroupComponent............................MUST 4.6.3. The Reference PartComponent.............................MUST 4.7. The Aggregation Class PolicyActionInSARule................MUST 4.7.1. The Reference GroupComponent............................MUST 4.7.2. The Reference PartComponent.............................MUST 4.7.3. The Property ActionOrder..............................SHOULD 5. Condition and Filter Classes 5.1. The Class SACondition.....................................MUST 5.2. The Class IPHeadersFilter...............................SHOULD 5.3. The Class CredentialFilterEntry............................MAY 5.3.1. The Property MatchFieldName.............................MUST 5.3.2. The Property MatchFieldValue............................MUST 5.3.3. The Property CredentialType.............................MUST 5.4. The Class IPSOFilterEntry..................................MAY 5.4.1. The Property MatchConditionType.........................MUST 5.4.2. The Property MatchConditionValue........................MUST 5.5. The Class PeerIDPayloadFilterEntry.........................MAY 5.5.1. The Property MatchIdentityType..........................MUST 5.5.2. The Property MatchIdentityValue.........................MUST 5.6. The Association Class FilterOfSACondition...............SHOULD 5.6.1. The Reference Antecedent................................MUST 5.6.2. The Reference Dependent.................................MUST 5.7. The Association Class AcceptCredentialFrom.................MAY 5.7.1. The Reference Antecedent................................MUST 5.7.2. The Reference Dependent.................................MUST 6. Action Classes 6.1. The Class SAAction........................................MUST 6.1.1. The Property DoActionLogging.............................MAY 6.1.2. The Property DoPacketLogging.............................MAY 6.2. The Class SAStaticAction..................................MUST 6.2.1. The Property LifetimeSeconds............................MUST 6.3. The Class IPsecBypassAction.............................SHOULD 6.4. The Class IPsecDiscardAction............................SHOULD 6.5. The Class IKERejectAction..................................MAY 6.6. The Class PreconfiguredSAAction...........................MUST 6.6.1. The Property LifetimeKilobytes..........................MUST 6.7. The Class PreconfiguredTransportAction....................MUST 6.8. The Class PreconfiguredTunnelAction.......................MUST 6.8.1. The Property DFHandling.................................MUST 6.9. The Class SANegotiationAction.............................MUST 6.10. The Class IKENegotiationAction...........................MUST 6.10.1. The Property MinLifetimeSeconds.........................MAY 6.10.2. The Property MinLifetimeKilobytes.......................MAY 6.10.3. The Property IdleDurationSeconds........................MAY 6.11. The Class IPsecAction....................................MUST 6.11.1. The Property UsePFS....................................MUST 6.11.2. The Property UseIKEGroup................................MAY 6.11.3. The Property GroupId...................................MUST 6.11.4. The Property Granularity.............................SHOULD 6.11.5. The Property VendorID...................................MAY 6.12. The Class IPsecTransportAction...........................MUST 6.13. The Class IPsecTunnelAction..............................MUST 6.13.1. The Property DFHandling................................MUST 6.14. The Class IKEAction......................................MUST 6.14.1. The Property ExchangeMode ............................MUST 6.14.2. The Property UseIKEIdentityType........................MUST 6.14.3. The Property VendorID...................................MAY 6.14.4. The Property AggressiveModeGroupId......................MAY 6.15. The Class PeerGateway....................................MUST 6.15.1. The Property Name....................................SHOULD 6.15.2. The Property PeerIdentityType..........................MUST 6.15.3. The Property PeerIdentity..............................MUST 6.16. The Association Class PeerGatewayForTunnel...............MUST 6.16.1. The Reference Antecedent...............................MUST 6.16.2. The Reference Dependent................................MUST 6.16.3. The Property SequenceNumber..........................SHOULD 6.17. The Aggregation Class ContainedProposal..................MUST 6.17.1. The Reference GroupComponent...........................MUST 6.17.2. The Reference PartComponent............................MUST 6.17.3. The Property SequenceNumber............................MUST 6.18. The Association Class HostedPeerGatewayInformation........MAY 6.18.1. The Reference Antecedent...............................MUST 6.18.2. The Reference Dependent................................MUST 6.19. The Association Class TransformOfPreconfiguredAction.....MUST 6.19.1. The Reference Antecedent...............................MUST 6.19.2. The Reference Dependent................................MUST 6.19.3. The Property SPI.......................................MUST 6.19.4. The Property Direction.................................MUST 6.20. The Association Class PeerGatewayForPreconfiguredTunnel..MUST 6.20.1. The Reference Antecedent...............................MUST 6.20.2. The Reference Dependent................................MUST 7. Proposal and Transform Classes 7.1. The Abstract Class SAProposal.............................MUST 7.1.1. The Property Name.....................................SHOULD 7.2 The Class IKEProposal......................................MUST 7.2.1. The Property CipherAlgorithm............................MUST 7.2.2. The Property HashAlgorithm..............................MUST 7.2.3. The Property PRFAlgorithm................................MAY 7.2.4. The Property GroupId....................................MUST 7.2.5. The Property AuthenticationMethod.......................MUST 7.2.6. The Property MaxLifetimeSeconds.........................MUST 7.2.7. The Property MaxLifetimeKilobytes.......................MUST 7.2.8. The Property VendorID....................................MAY 7.3. The Class IPsecProposal...................................MUST 7.4. The Abstract Class SATransform............................MUST 7.4.1. The Property TransformName............................SHOULD 7.4.2. The Property VendorID....................................MAY 7.4.3. The Property MaxLifetimeSeconds.........................MUST 7.4.4. The Property MaxLifetimeKilobytes.......................MUST 7.5. The Class AHTransform.....................................MUST 7.5.1. The Property AHTransformId..............................MUST 7.5.2. The Property UseReplayPrevention.........................MAY 7.5.3. The Property ReplayPreventionWindowSize..................MAY 7.6. The Class ESPTransform....................................MUST 7.6.1. The Property IntegrityTransformId.......................MUST 7.6.2. The Property CipherTransformId..........................MUST 7.6.3. The Property CipherKeyLength.............................MAY 7.6.4. The Property CipherKeyRounds.............................MAY 7.6.5. The Property UseReplayPrevention.........................MAY 7.6.6. The Property ReplayPreventionWindowSize..................MAY 7.7. The Class IPCOMPTransform..................................MAY 7.7.1. The Property Algorithm..................................MUST 7.7.2. The Property DictionarySize..............................MAY 7.7.3. The Property PrivateAlgorithm............................MAY 7.8. The Association Class SAProposalInSystem...................MAY 7.8.1. The Reference Antecedent................................MUST 7.8.2. The Reference Dependent.................................MUST 7.9. The Aggregation Class ContainedTransform..................MUST 7.9.1. The Reference GroupComponent............................MUST 7.9.2. The Reference PartComponent.............................MUST 7.9.3. The Property SequenceNumber.............................MUST 7.10. The Association Class SATransformInSystem.................MAY 7.10.1. The Reference Antecedent...............................MUST 7.10.2. The Reference Dependent................................MUST 8. IKE Service and Identity Classes 8.1. The Class IKEService.......................................MAY 8.2. The Class PeerIdentityTable................................MAY 8.3.1. The Property Name.....................................SHOULD 8.3. The Class PeerIdentityEntry................................MAY 8.3.1. The Property PeerIdentity.............................SHOULD 8.3.2. The Property PeerIdentityType.........................SHOULD 8.3.3. The Property PeerAddress..............................SHOULD 8.3.4. The Property PeerAddressType..........................SHOULD 8.4. The Class AutostartIKEConfiguration........................MAY 8.5. The Class AutostartIKESetting..............................MAY 8.5.1. The Property Phase1Only..................................MAY 8.5.2. The Property AddressType..............................SHOULD 8.5.3. The Property SourceAddress..............................MUST 8.5.4. The Property SourcePort.................................MUST 8.5.5. The Property DestinationAddress.........................MUST 8.5.6. The Property DestinationPort............................MUST 8.5.7. The Property Protocol...................................MUST 8.6. The Class IKEIdentity......................................MAY 8.6.1. The Property IdentityType...............................MUST 8.6.2. The Property IdentityValue..............................MUST 8.6.3. The Property IdentityContexts............................MAY 8.7. The Association Class HostedPeerIdentityTable..............MAY 8.7.1. The Reference Antecedent................................MUST 8.7.2. The Reference Dependent.................................MUST 8.8. The Aggregation Class PeerIdentityMember...................MAY 8.8.1. The Reference Collection................................MUST 8.8.2. The Reference Member....................................MUST 8.9. The Association Class IKEServicePeerGateway................MAY 8.9.1. The Reference Antecedent................................MUST 8.9.2. The Reference Dependent.................................MUST 8.10. The Association Class IKEServicePeerIdentityTable.........MAY 8.10.1. The Reference Antecedent...............................MUST 8.10.2. The Reference Dependent................................MUST 8.11. The Association Class IKEAutostartSetting.................MAY 8.11.1. The Reference Element..................................MUST 8.11.2. The Reference Setting..................................MUST 8.12. The Aggregation Class AutostartIKESettingContext..........MAY 8.12.1. The Reference Context..................................MUST 8.12.2. The Reference Setting..................................MUST 8.12.3. The Property SequenceNumber..........................SHOULD 8.13. The Association Class IKEServiceForEndpoint...............MAY 8.13.1. The Reference Antecedent...............................MUST 8.13.2. The Reference Dependent................................MUST 8.14. The Association Class IKEAutostartConfiguration...........MAY 8.14.1. The Reference Antecedent...............................MUST 8.14.2. The Reference Dependent................................MUST 8.14.3. The Property Active..................................SHOULD 8.15. The Association Class IKEUsesCredentialManagementService..MAY 8.15.1. The Reference Antecedent...............................MUST 8.15.2. The Reference Dependent................................MUST 8.16. The Association Class EndpointHasLocalIKEIdentity.........MAY 8.16.1. The Reference Antecedent...............................MUST 8.16.2. The Reference Dependent................................MUST 8.17. The Association Class CollectionHasLocalIKEIdentity.......MAY 8.17.1. The Reference Antecedent...............................MUST 8.17.2. The Reference Dependent................................MUST 8.18. The Association Class IKEIdentitysCredential..............MAY 8.18.1. The Reference Antecedent...............................MUST 8.18.2. The Reference Dependent................................MUST
This document only describes an information model for IPsec policy. It does not detail security requirements for storage or delivery of said information.
このドキュメントは、IPSECポリシーの情報モデルのみを説明しています。当該情報の保存または配信に関するセキュリティ要件の詳細はありません。
Physical models derived from this information model MUST implement the relevant security for storage and delivery. Most of the classes (e.g., IpHeadersFilter, SAAction,...) MUST at least provided the integrity service; other pieces of information MUST also receive the confidentiality service (e.g., SharedSecret as described in the classes PeerIdentityEntry and PreconfiguredSAAction).
この情報モデルから派生した物理モデルは、保管と配信に関連するセキュリティを実装する必要があります。ほとんどのクラス(たとえば、ipheadersfilter、saaction、...)は、少なくとも整合性サービスを提供する必要があります。他の情報も、機密保持サービスを受け取る必要があります(たとえば、Classe PeeridentityEntryおよびPreconfiguredSaactionで説明されているように共有秘密)。
The IETF takes no position regarding the validity or scope of any intellectual property or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; neither does it represent that it has made any effort to identify any such rights. Information on the IETF's procedures with respect to rights in standards-track and standards-related documentation can be found in BCP-11.
IETFは、知的財産またはその他の権利の有効性または範囲に関して、この文書に記載されているテクノロジーの実装または使用に関連すると主張される可能性のある他の権利、またはそのような権利に基づくライセンスがどの程度であるかについての程度に関連する可能性があるという立場はありません。利用可能;また、そのような権利を特定するために努力したことも表明していません。標準トラックおよび標準関連のドキュメントの権利に関するIETFの手順に関する情報は、BCP-11に記載されています。
Copies of claims of rights made available for publication and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF Secretariat.
出版のために利用可能にされた権利の請求のコピーと、利用可能になるライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得するための試みの結果を取得できますIETF事務局から。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights which may cover technology that may be required to practice this standard. Please address the information to the IETF Executive Director.
IETFは、関心のある当事者に、この基準を実践するために必要な技術をカバーする可能性のある著作権、特許、または特許出願、またはその他の独自の権利を注意深く招待するよう招待しています。情報をIETFエグゼクティブディレクターに宛ててください。
[COMP] Shacham, A., Monsour, B., Pereira, R. and M. Thomas, "IP Payload Compression Protocol (IPComp)", RFC 3173, September 2001.
[Comp] Shacham、A.、Monsour、B.、Pereira、R。、およびM. Thomas、「IPペイロード圧縮プロトコル(IPComp)」、RFC 3173、2001年9月。
[ESP] Kent, S. and R. Atkinson, "IP Encapsulating Security Payload (ESP)", RFC 2406, November 1998.
[ESP] Kent、S。およびR. Atkinson、「IPカプセル化セキュリティペイロード(ESP)」、RFC 2406、1998年11月。
[AH] Kent, S. and R. Atkinson, "IP Authentication Header", RFC 2402, November 1998.
[AH] Kent、S。およびR. Atkinson、「IP認証ヘッダー」、RFC 2402、1998年11月。
[DOI] Piper, D., "The Internet IP Security Domain of Interpretation for ISAKMP", RFC 2407, November 1998.
[doi] Piper、D。、「ISAKMPの解釈のインターネットIPセキュリティドメイン」、RFC 2407、1998年11月。
[IKE] Harkins, D. and D. Carrel, "The Internet Key Exchange (IKE)", RFC 2409, November 1998.
[Ike] Harkins、D。およびD. Carrel、「The Internet Key Exchange(IKE)」、RFC 2409、1998年11月。
[PCIM] Moore, B., Ellesson, E., Strassner, J. and A. Westerinen, "Policy Core Information Model -- Version 1 Specification", RFC 3060, February 2001.
[PCIM] Moore、B.、Ellesson、E.、Strassner、J。、およびA. Westerinen、「ポリシーコア情報モデル - バージョン1仕様」、RFC 3060、2001年2月。
[PCIME] Moore, B., Editor, "Policy Core Information Model (PCIM) Extensions", RFC 3460, January 2003.
[PCIME]ムーア、B。、編集者、「ポリシーコア情報モデル(PCIM)拡張機能」、RFC 3460、2003年1月。
[KEYWORDS] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[キーワード] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。
[CIMCORE] DMTF Common Information Model - Core Model v2.5 which can be found at http://www.dmtf.org/standards/CIM_Schema25/ CIM_Core25.mof
[cimcore] dmtf共通情報モデル - http://www.dmtf.org/standards/cim_schema25/ cim_core25.mofにあるコアモデルV2.5
[CIMUSER] DMTF Common Information Model - User-Security Model v2.5 which can be found at http://www.dmtf.org/standards/CIM_Schema25/ CIM_User25.mof
[cimuser] dmtf共通情報モデル - http://www.dmtf.org/standards/cim_schema25/ cim_user25.mofで見つけることができます。
[CIMNETWORK] DMTF Common Information Model - Network Model v2.5 which can be found at http://www.dmtf.org/standards/CIM_Schema25/ CIM_Network25.mof
[cimnetwork] dmtf共通情報モデル - ネットワークモデルV2.5はhttp://www.dmtf.org/standards/cim_schema25/ cim_network25.mofにあります。
[IPSO] Kent, S., "U.S. Department of Defense Security Options for the Internet Protocol", RFC 1108, November 1991.
[IPSO] Kent、S。、「インターネットプロトコルの米国国防総省セキュリティオプション」、RFC 1108、1991年11月。
[IPSEC] Kent, S. and R. Atkinson, "Security Architecture for the Internet Protocol", RFC 2401, November 1998.
[IPSEC] Kent、S。およびR. Atkinson、「インターネットプロトコルのセキュリティアーキテクチャ」、RFC 2401、1998年11月。
[LDAP] Wahl, M., Howes, T. and S. Kille, "Lightweight Directory Access Protocol (v3)", RFC 2251, December 1997.
[LDAP] Wahl、M.、Howes、T。およびS. Killee、「Lightweight Directory Access Protocol(V3)」、RFC 2251、1997年12月。
[COPS] Durham, D., Ed., Boyle, J., Cohen, R., Herzog, S., Rajan, R. and A. Sastry, "The COPS (Common Open Policy Service) Protocol", RFC 2748, January 2000.
[Cops] Durham、D.、ed。、Boyle、J.、Cohen、R.、Herzog、S.、Rajan、R。and A. Sastry、「The Cops(Common Open Policy Service)Protocol」、RFC 2748、2000年1月。
[COPSPR] Chan, K., Seligson, J., Durham, D., Gai, S., McCloghrie, K., Herzog, S., Reichmeyer, R., Yavatkar, R. and A. Smith, "COPS Usage for Policy Provisioning (COPS-PR)", RFC 3084, March 2001.
[Copspr] Chan、K.、Seligson、J.、Durham、D.、Gai、S.、McCloghrie、K.、Herzog、S.、Reichmeyer、R.、Yavatkar、R。and A. Smith、「Copsの使用」ポリシープロビジョニング(COPS-PR) "、RFC 3084、2001年3月。
[DMTF] Distributed Management Task Force, http://www.dmtf.org/
[DMTF]分散管理タスクフォース、http://www.dmtf.org/
The views and specification herein are those of the authors and are not necessarily those of their employer. The authors and their employer specifically disclaim responsibility for any problems arising from correct or incorrect implementation or use of this specification.
ここの見解と仕様は著者の見解であり、必ずしも彼らの雇用主の見解ではありません。著者とその雇用主は、この仕様の正しいまたは誤った実装または使用から生じる問題に対する責任を明確に否定します。
The authors would like to thank Mike Jeronimo, Ylian Saint-Hilaire, Vic Lortz, William Dixon, Man Li, Wes Hardaker and Ricky Charlet for their contributions to this IPsec policy model.
著者は、このIPSEC政策モデルへの貢献について、マイク・ジェロニモ、イリアン・サン・ヘイレール、ヴィック・ロルツ、ウィリアム・ディクソン、マン・リー、ウェス・ハーデイカー、リッキー・チャレットに感謝したいと思います。
Additionally, this document would not have been possible without the preceding IPsec schema documents. For that, thanks go out to Rob Adams, Partha Bhattacharya, William Dixon, Roy Pereira, and Raju Rajan.
さらに、このドキュメントは、前のIPSECスキーマドキュメントなしでは不可能でした。そのために、ロブ・アダムス、パルタ・バタチャリヤ、ウィリアム・ディクソン、ロイ・ペレイラ、ラジュ・ラジャンに感謝します。
Jamie Jason Intel Corporation MS JF3-206 2111 NE 25th Ave. Hillsboro, OR 97124
Jamie Jason Intel Corporation MS JF3-206 2111 NE 25th Ave. Hillsboro、または97124
EMail: jamie.jason@intel.com
Lee Rafalow IBM Corporation, BRQA/502 4205 So. Miami Blvd. Research Triangle Park, NC 27709
Lee Rafalow IBM Corporation、BRQA/502 4205マイアミブルバード研究トライアングルパーク、ノースカロライナ州27709
EMail: rafalow@watson.ibm.com
Eric Vyncke Cisco Systems 7 De Kleetlaan B-1831 Diegem Belgium
Eric Vyncke Cisco Systems 7 de Kleetlaan B-1831 Diegem Belgium
EMail: evyncke@cisco.com
Copyright (C) The Internet Society (2003). All Rights Reserved.
Copyright(c)The Internet Society(2003)。無断転載を禁じます。
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
このドキュメントと翻訳は他の人にコピーされて提供される場合があります。また、それについてコメントまたは説明する派生作品、またはその実装を支援することは、いかなる種類の制限なしに、準備、コピー、公開、および部分的に配布される場合があります。、上記の著作権通知とこの段落がそのようなすべてのコピーとデリバティブ作品に含まれている場合。ただし、このドキュメント自体は、インターネット協会や他のインターネット組織への著作権通知や参照を削除するなど、いかなる方法でも変更できない場合があります。インターネット標準プロセスに従うか、英語以外の言語に翻訳するために必要な場合に従う必要があります。
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assignees.
上記の限られた許可は永続的であり、インターネット社会やその後継者または譲受人によって取り消されることはありません。
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントと本書に含まれる情報は、「現状」に基づいて提供されており、インターネット社会とインターネットエンジニアリングタスクフォースは、ここにある情報の使用が行われないという保証を含むがこれらに限定されないすべての保証を否認します。特定の目的に対する商品性または適合性の権利または黙示的な保証を侵害します。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFCエディター機能の資金は現在、インターネット協会によって提供されています。