[要約] RFC 5190は、ミドルボックス間の通信のための管理オブジェクトの定義に関するものであり、ミドルボックスの機能と状態を管理するための情報を提供します。目的は、ネットワーク管理者がミドルボックスを効果的に管理し、通信の品質とセキュリティを向上させることです。

Network Working Group                                         J. Quittek
Request for Comments: 5190                                M. Stiemerling
Category: Standards Track                                            NEC
                                                            P. Srisuresh
                                                          Kazeon Systems
                                                              March 2008
        

Definitions of Managed Objects for Middlebox Communication

ミドルボックス通信のための管理されたオブジェクトの定義

Status of This Memo

本文書の位置付け

This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.

このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。

Abstract

概要

This memo defines a portion of the Management Information Base (MIB) for use with network management protocols in the Internet community. In particular, it describes a set of managed objects that allow configuring middleboxes, such as firewalls and network address translators, in order to enable communication across these devices. The definitions of managed objects in this documents follow closely the MIDCOM semantics defined in RFC 5189.

このメモは、インターネットコミュニティのネットワーク管理プロトコルで使用するための管理情報ベース(MIB)の一部を定義します。特に、これらのデバイス間の通信を有効にするために、ファイアウォールやネットワークアドレス翻訳者などのミドルボックスを構成できるマネージドオブジェクトのセットを説明します。このドキュメントの管理されたオブジェクトの定義は、RFC 5189で定義されているMIDCOMセマンティクスに密接に続きます。

Table of Contents

目次

   1. Introduction ....................................................4
   2. The Internet-Standard Management Framework ......................4
   3. Overview ........................................................4
      3.1. Terminology ................................................5
   4. Realizing the MIDCOM Protocol with SNMP .........................6
      4.1. MIDCOM Sessions ............................................6
           4.1.1. Authentication and Authorization ....................6
      4.2. MIDCOM Transactions ........................................7
           4.2.1. Asynchronous Transactions ...........................7
           4.2.2. Configuration Transactions ..........................8
           4.2.3. Monitoring Transactions ............................11
           4.2.4. Atomicity of MIDCOM Transactions ...................12
                  4.2.4.1. Asynchronous MIDCOM Transactions ..........12
                  4.2.4.2. Session Establishment and
                           Termination Transactions ..................12
                  4.2.4.3. Monitoring Transactions ...................13
                  4.2.4.4. Lifetime Change Transactions ..............13
                  4.2.4.5. Transactions Establishing New
                           Policy Rules ..............................14
           4.2.5. Access Control .....................................14
      4.3. Access Control Policies ...................................14
   5. Structure of the MIB Module ....................................15
      5.1. Transaction Objects .......................................16
           5.1.1. midcomRuleTable ....................................17
           5.1.2. midcomGroupTable ...................................19
      5.2. Configuration Objects .....................................20
           5.2.1. Capabilities .......................................20
           5.2.2. midcomConfigFirewallTable ..........................21
      5.3. Monitoring Objects ........................................22
           5.3.1. midcomResourceTable ................................22
           5.3.2. midcomStatistics ...................................24
      5.4. Notifications .............................................25
   6. Recommendations for Configuration and Operation ................26
      6.1. Security Model Configuration ..............................26
      6.2. VACM Configuration ........................................27
      6.3. Notification Configuration ................................28
      6.4. Simultaneous Access .......................................28
      6.5. Avoiding Idempotency Problems .............................29
      6.6. Interface Indexing Problems ...............................29
      6.7. Applicability Restrictions ................................30
   7. Usage Examples for MIDCOM Transactions .........................30
      7.1. Session Establishment (SE) ................................31
      7.2. Session Termination (ST) ..................................31
      7.3. Policy Reserve Rule (PRR) .................................31
      7.4. Policy Enable Rule (PER) after PRR ........................33
      7.5. Policy Enable Rule (PER) without Previous PRR .............34
         7.6. Policy Rule Lifetime Change (RLC) .........................35
      7.7. Policy Rule List (PRL) ....................................35
      7.8. Policy Rule Status (PRS) ..................................35
      7.9. Asynchronous Policy Rule Event (ARE) ......................36
      7.10. Group Lifetime Change (GLC) ..............................36
      7.11. Group List (GL) ..........................................36
      7.12. Group Status (GS) ........................................37
   8. Usage Examples for Monitoring Objects ..........................37
      8.1. Monitoring NAT Resources ..................................37
      8.2. Monitoring Firewall Resources .............................38
   9. Definitions ....................................................38
   10. Security Considerations .......................................85
      10.1. General Security Issues ..................................85
      10.2. Unauthorized Middlebox Configuration .....................86
      10.3. Unauthorized Access to Middlebox Configuration ...........87
      10.4. Unauthorized Access to MIDCOM Service Configuration ......88
   11. Acknowledgements ..............................................88
   12. IANA Considerations ...........................................88
   13. Normative References ..........................................88
   14. Informative References ........................................90
        
1. Introduction
1. はじめに

This memo defines a portion of the Management Information Base (MIB) for use with network management protocols in the Internet community. In particular, it describes a set of managed objects that allow controlling middleboxes.

このメモは、インターネットコミュニティのネットワーク管理プロトコルで使用するための管理情報ベース(MIB)の一部を定義します。特に、ミドルボックスを制御できる一連の管理されたオブジェクトについて説明します。

The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [RFC2119].

この文書のキーワード "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", および "OPTIONAL" はRFC 2119 [RFC2119]で説明されているように解釈されます。

2. The Internet-Standard Management Framework
2. インターネット標準の管理フレームワーク

For a detailed overview of the documents that describe the current Internet-Standard Management Framework, please refer to section 7 of RFC 3410 [RFC3410].

現在のインターネット標準管理フレームワークを説明するドキュメントの詳細な概要については、RFC 3410 [RFC3410]のセクション7を参照してください。

Managed objects are accessed via a virtual information store, termed the Management Information Base or MIB. MIB objects are generally accessed through the Simple Network Management Protocol (SNMP). Objects in the MIB are defined using the mechanisms defined in the Structure of Management Information (SMI). This memo specifies a MIB module that is compliant to the SMIv2, which is described in STD 58, RFC 2578 [RFC2578], STD 58, RFC 2579 [RFC2579] and STD 58, RFC 2580 [RFC2580].

管理されたオブジェクトは、管理情報ベースまたはMIBと呼ばれる仮想情報ストアからアクセスされます。MIBオブジェクトは通常、単純なネットワーク管理プロトコル(SNMP)からアクセスされます。MIBのオブジェクトは、管理情報の構造(SMI)で定義されたメカニズムを使用して定義されます。このメモは、STD 58、RFC 2578 [RFC2578]、STD 58、RFC 2579 [RFC2579]およびSTD 58、RFC 2580 [RFC2580]に記載されているSMIV2に準拠したMIBモジュールを指定します。

3. Overview
3. 概要

The managed objects defined in this document serve for controlling firewalls and Network Address Translators (NATs). As defined in [RFC3234], firewalls and NATs belong to the group of middleboxes. A middlebox is a device on the datagram path between source and destination, which performs other functions than just IP routing. As outlined in [RFC3303], firewalls and NATs are potential obstacles to packet streams, for example, if dynamically negotiated UDP or TCP port numbers are used, as in many peer-to-peer communication applications.

このドキュメントで定義されている管理オブジェクトは、ファイアウォールとネットワークアドレス翻訳者(NAT)を制御するのに役立ちます。[RFC3234]で定義されているように、ファイアウォールとNATはミドルボックスのグループに属します。ミドルボックスは、ソースと宛先の間のデータグラムパス上のデバイスであり、単なるIPルーティング以外の機能を実行します。[RFC3303]で概説されているように、ファイアウォールとNATは、多くのピアツーピア通信アプリケーションのように、動的にネゴシエートされたUDPまたはTCPポート番号を使用する場合、パケットストリームに対する潜在的な障害です。

As one possible solution for this problem, the IETF MIDCOM working group defined a framework [RFC3303], requirements [RFC3304], and protocol semantics [RFC5189] for communication between applications and middleboxes acting as firewalls, NATs, or a combination of both. The MIDCOM architecture and framework define a model in which trusted third parties can be delegated to assist middleboxes in performing their operations, without requiring application intelligence being embedded in the middleboxes. This trusted third party is referred to as the MIDCOM agent. The MIDCOM protocol is defined between a MIDCOM agent and a middlebox.

この問題の可能な解決策の1つとして、IETF Midcomワーキンググループは、アプリケーションとミドルボックス間の通信のためのフレームワーク[RFC3303]、要件[RFC3304]、およびプロトコルセマンティクス[RFC5189]を定義しました。MIDCOMアーキテクチャとフレームワークは、信頼できるサードパーティを委任して、ミドルボックスに埋め込まれているアプリケーションインテリジェンスを要求することなく、ミドルボックスを操作の実行を支援できるモデルを定義します。この信頼できるサードパーティは、MIDCOMエージェントと呼ばれます。MIDCOMプロトコルは、MIDCOMエージェントとミドルボックスの間で定義されています。

The managed objects defined in this document can be used for dynamically configuring middleboxes on the datagram path to permit datagrams traversing the middleboxes. This way, applications can, for example, request pinholes at firewalls and address bindings at NATs.

このドキュメントで定義されている管理されたオブジェクトは、Datagramパスでミドルボックスを動的に構成して、ミドルボックスを通過するデータグラムを許可するために使用できます。これにより、たとえば、アプリケーションはファイアウォールでピンホールを要求し、NATでのバインディングに対処できます。

Besides managed objects for controlling the middlebox operation, this document also defines managed objects that provide information on middlebox resource usage (such as firewall pinholes, NAT bindings, NAT sessions, etc.) affected by requests.

ミドルボックス操作を制御するための管理されたオブジェクトに加えて、このドキュメントは、リクエストの影響を受けるミドルボックスリソースの使用(ファイアウォールピンホール、NATバインディング、NATセッションなど)に関する情報を提供する管理されたオブジェクトも定義します。

Since firewalls and NATs are critical devices concerning network security, security issues of middlebox communication need to be considered very carefully.

ファイアウォールとNATはネットワークセキュリティに関する重要なデバイスであるため、Middlebox通信のセキュリティ問題は非常に慎重に考慮する必要があります。

3.1. Terminology
3.1. 用語

The terminology used in this document is fully aligned with the terminology defined in [RFC5189] except for the term 'MIDCOM agent'. For this term, there is a conflict between the MIDCOM terminology and the SNMP terminology. The roles of entities participating in SNMP communication are called 'manager' and 'agent' with the agent acting as server for requests from the manager. This use of the term 'agent' is different from its use in the MIDCOM framework: The SNMP manager corresponds to the MIDCOM agent and the SNMP agent corresponds to the MIDCOM middlebox, also called MIDCOM server. In order to avoid confusion in this document specifying a MIB module, we replace the term 'MIDCOM agent' with 'MIDCOM client'. Whenever the term 'agent' is used in this document, it refers to the SNMP agent. Figure 1 sketches the entities of MIDCOM in relationship to SNMP manager and SNMP agent.

このドキュメントで使用される用語は、「Midcomエージェント」という用語を除き、[RFC5189]で定義された用語と完全に整合しています。この用語では、MIDCOMの用語とSNMP用語の間に矛盾があります。SNMP通信に参加するエンティティの役割は、「マネージャー」と「エージェント」と呼ばれ、エージェントはマネージャーからのリクエストのサーバーとして機能します。「エージェント」という用語の使用は、MIDCOMフレームワークでの使用とは異なります。SNMPマネージャーはMIDCOMエージェントに対応し、SNMPエージェントはMIDCOMミドルボックス(MIDCOMサーバーとも呼ばれます)に対応します。MIBモジュールを指定するこのドキュメントの混乱を避けるために、「Midcomエージェント」という用語を「Midcomクライアント」に置き換えます。このドキュメントで「エージェント」という用語が使用されるときはいつでも、SNMPエージェントを指します。図1は、SNMPマネージャーとSNMPエージェントとの関係でMidcomのエンティティをスケッチしています。

                  +---------+     MIDCOM      +-----------+
                  | MIDCOM  |<~ ~ ~ ~ ~ ~ ~ ~>|  MIDCOM   |
                  | Client  |   Transaction   | middlebox |
                  |         |                 | (server)  |
                  +---------+                 +-----------+
                       ^                            ^
                       |                            |
                       v                            v
                  +---------+                 +-----------+
                  |  SNMP   |      SNMP       |   SNMP    |
                  | Manager |<===============>|   Agent   |
                  +---------+    Protocol     +-----------+
        

Figure 1: Mapping of MIDCOM to SNMP

図1:MidcomのSNMPへのマッピング

4. Realizing the MIDCOM Protocol with SNMP
4. SNMPでMidcomプロトコルを実現します

In order to realize middlebox communication as described in [RFC5189], several aspects and properties of the MIDCOM protocol need to be mapped to SNMP capabilities and expressed in terms of the Structure of Management Information version 2 (SMIv2).

[RFC5189]で説明されているミドルボックス通信を実現するには、MIDCOMプロトコルのいくつかの側面とプロパティをSNMP機能にマッピングし、管理情報バージョン2(SMIV2)の構造で表現する必要があります。

Basic concepts to be mapped are MIDCOM sessions and MIDCOM transactions. For both, access control policies need to be supported.

マッピングすべき基本概念は、MidcomセッションとMidcomトランザクションです。両方について、アクセス制御ポリシーをサポートする必要があります。

4.1. MIDCOM Sessions
4.1. ミッドコムセッション

SNMP has no direct support for sessions. Therefore, they need to be modeled. A MIDCOM session is stateful and has a context that is valid for several transactions. For SNMP, a context is valid for a single transaction only, for example, covering just a single request/reply pair of messages.

SNMPはセッションを直接サポートしていません。したがって、それらをモデル化する必要があります。Midcomセッションはステートフルであり、いくつかのトランザクションに有効なコンテキストがあります。SNMPの場合、コンテキストは単一のトランザクションのみで有効です。たとえば、単一のリクエスト/返信ペアのメッセージのみをカバーします。

Properties of sessions that are utilized by the MIDCOM semantics and not available in SNMP need to be modeled. Particularly, the middlebox needs to be able to authenticate MIDCOM clients, authorize access to policy rules, and send notification messages concerning policy rules to MIDCOM clients participating in a session. In the MIDCOM-MIB module, authentication and access control are performed on a per-message basis using an SNMPv3 security model, such as the User-based Security Model (USM) [RFC3414], for authentication, and the View-based Access Control Model (VACM) [RFC3415] for access control. Sending notifications to MIDCOM clients is controlled by access control models such as VACM and a mostly static configuration of objects in the SNMP-TARGET-MIB [RFC3413] and the SNMP-NOTIFICATION-MIB [RFC3413].

MIDCOMセマンティクスによって利用され、SNMPで利用できないセッションのプロパティをモデル化する必要があります。特に、ミドルボックスは、Midcomクライアントを認証し、ポリシールールへのアクセスを許可し、セッションに参加するMidcomクライアントにポリシールールに関する通知メッセージを送信できる必要があります。MIDCOM-MIBモジュールでは、認証のために、ユーザーベースのセキュリティモデル(USM)[RFC3414]、およびビューベースのアクセス制御など、SNMPV3セキュリティモデルを使用して、認証とアクセス制御が1人あたりのベースで実行されます。アクセス制御用のモデル(VACM)[RFC3415]。MIDCOMクライアントに通知を送信することは、VACMなどのアクセス制御モデルと、SNMPターゲット-MIB [RFC3413]およびSNMP-Notification-MIB [RFC3413]のオブジェクトのほとんど静的構成によって制御されます。

This session model is static except that the MIDCOM client can switch on and off the generation of SNMP notifications that the middlebox sends. Recommended configurations of VACM and the SNMP-TARGET-MIB and the SNMP-NOTIFICATION-MIB that can serve for modeling a session are described in detail in section 6.

このセッションモデルは、MIDCOMクライアントがミドルボックスが送信するSNMP通知の生成をオンとオフにできることを除いて、静的です。SNMPターゲット-MIB、およびセッションのモデリングに役立つSNMP-Notification-MIBの推奨構成については、セクション6で詳しく説明します。

4.1.1. Authentication and Authorization
4.1.1. 認証と承認

MIDCOM sessions are required for providing authentication, authorization, and encryption for messages exchanged between a MIDCOM client and a middlebox. SNMPv3 provides these features on a per-message basis instead of a per-session basis applying a security model and an access control model, such as USM and VACM. Per-message security mechanisms can be considered as overhead compared to per-session security mechanisms, but it certainly satisfies the security requirements of middlebox communication.

MIDCOMセッションは、MIDCOMクライアントとミドルボックスの間で交換されるメッセージの認証、承認、暗号化を提供するために必要です。SNMPV3は、セキュリティモデルとUSMやVACMなどのアクセス制御モデルを適用するセッションごとのベースではなく、これらの機能を1セッションごとに提供します。セキュリティごとのセキュリティメカニズムは、セッションごとのセキュリティメカニズムと比較してオーバーヘッドと見なすことができますが、ミドルボックス通信のセキュリティ要件を確実に満たしています。

For each authenticated MIDCOM client, access to the MIDCOM-MIB, particularly to policy rules, should be configured as part of the VACM configuration of the SNMP agent.

認証されたMIDCOMクライアントごとに、MIDCOM-MIBへのアクセスは、特にポリシールールへのアクセスを、SNMPエージェントのVACM構成の一部として構成する必要があります。

4.2. MIDCOM Transactions
4.2. Midcomトランザクション

[RFC5189] defines the MIDCOM protocol semantics in terms of transactions and transaction parameters. Transactions are grouped into request-reply transactions and asynchronous transactions.

[RFC5189]は、トランザクションとトランザクションパラメーターの観点からMIDCOMプロトコルセマンティクスを定義します。トランザクションは、リクエスト対応トランザクションと非同期トランザクションにグループ化されます。

SNMP offers simple transactions that in general cannot be mapped one-to-one to MIDCOM transactions. This section describes how the MIDCOM-MIB module implements MIDCOM transactions using SNMP transactions. The concerned MIDCOM transactions are asynchronous transactions and request-reply transactions. Within the set of request-reply transactions, we distinguish configuration transactions and monitoring transactions, because they are implemented in slightly different ways by using SNMP transactions.

SNMPは、一般にミッドコムトランザクションに1対1にマッピングできない簡単なトランザクションを提供します。このセクションでは、Midcom-MIBモジュールがSNMPトランザクションを使用してMidcomトランザクションをどのように実装するかについて説明します。関係するMIDCOMトランザクションは、非同期トランザクションとリクエスト対応トランザクションです。リクエスト対応トランザクションのセット内で、SNMPトランザクションを使用してわずかに異なる方法で実装されるため、構成トランザクションと監視トランザクションを区別します。

The SNMP terminology as defined in [RFC3411] does not use the concept of transactions, but of SNMP operations. For the considerations in this section, we use the terms SNMP GET transaction and SNMP SET transaction. An SNMP GET transaction consists of an SNMP Read Class operation and an SNMP Response Class operation. An SNMP SET transaction consists of an SNMP Write Class operation and an SNMP Response Class operation.

[RFC3411]で定義されているSNMP用語は、トランザクションの概念ではなく、SNMP操作の概念を使用します。このセクションの考慮事項については、SNMP Get TransactionおよびSNMP Set Transactionという用語を使用します。SNMP GETトランザクションは、SNMP読み取りクラス操作とSNMP応答クラス操作で構成されます。SNMPセットトランザクションは、SNMP書き込みクラス操作とSNMP応答クラス操作で構成されます。

4.2.1. Asynchronous Transactions
4.2.1. 非同期トランザクション

Asynchronous transactions can easily be modeled by SNMP Notification Class operations. An asynchronous transaction contains a notification message with one to three parameters. The message can be realized as an SNMP Notification Class operation with the parameters implemented as managed objects contained in the notification.

非同期トランザクションは、SNMP通知クラス操作によって簡単にモデル化できます。非同期トランザクションには、1〜3つのパラメーターを含む通知メッセージが含まれています。メッセージは、通知に含まれる管理オブジェクトとして実装されたパラメーターを使用して、SNMP通知クラス操作として実現できます。

               +--------------+  notification +------------+
               | MIDCOM client|<--------------| middlebox  |
               +--------------+    message    +------------+
        

MIDCOM asynchronous transaction

Midcom非同期トランザクション

               +--------------+      SNMP     +------------+
               | SNMP manager |<--------------| SNMP agent |
               +--------------+  notification +------------+
        

Implementation of MIDCOM asynchronous transaction

Midcom非同期トランザクションの実装

Figure 2: MIDCOM asynchronous transaction mapped to SNMP Notification Class operation

図2:SNMP通知クラス操作にマッピングされたMidcom非同期トランザクション

One of the parameters is the transaction identifier that should be unique per middlebox. It does not have to be unique for all notifications sent by the particular SNMP agent, but for all sent notifications that are defined by the MIDCOM-MIB module.

パラメーターの1つは、ミドルボックスごとに一意である必要があるトランザクション識別子です。特定のSNMPエージェントから送信されたすべての通知に対して一意である必要はありませんが、Midcom-MIBモジュールによって定義されたすべての送信通知に対して。

Note that SNMP notifications are usually sent as unreliable UDP packets and may be dropped before they reach their destination. If a MIDCOM client is expecting an asynchronous notification on a specific transaction, it would be the job of the MIDCOM client to poll the middlebox periodically and monitor the transaction in case notifications are lost along the way.

SNMP通知は通常、信頼性の低いUDPパケットとして送信され、目的地に到達する前に削除される可能性があることに注意してください。MIDCOMクライアントが特定のトランザクションで非同期通知を期待している場合、MIDCOMクライアントは、ミドルボックスを定期的にポーリングし、通知が失われた場合にトランザクションを監視することになります。

4.2.2. Configuration Transactions
4.2.2. 構成トランザクション

All request-reply transactions contain a request message, a reply message, and potentially also a set of notifications. In general, they cannot be modeled by just having a single SNMP message per MIDCOM message, because some of the MIDCOM messages carry a large set of parameters that do not necessarily fit into an SNMP message consisting of a single UDP packet only.

すべてのリクエスト対応トランザクションには、リクエストメッセージ、返信メッセージ、および潜在的に一連の通知も含まれています。一般に、MIDCOMメッセージごとに単一のSNMPメッセージを使用するだけでモデル化することはできません。これは、MIDCOMメッセージの一部には、単一のUDPパケットのみで構成されるSNMPメッセージに必ずしも適合しないパラメーターの大きなセットがあるためです。

For configuration transactions, the MIDCOM request message can be modeled by one or more SNMP SET transactions. The action of sending the MIDCOM request to the middlebox is realized by writing the parameters contained in the message to managed objects at the SNMP agent. If necessary, the SNMP SET transaction includes creating these managed objects. If not all parameters of the MIDCOM request message can be set by a single SNMP SET transaction, then more than one SET transaction is used; see Figure 3. Completion of the last of the SNMP transactions indicates that all required parameters are set and that processing of the MIDCOM request message can start at the middlebox.

構成トランザクションの場合、MIDCOMリクエストメッセージは、1つ以上のSNMPセットトランザクションによってモデル化できます。MIDCOMリクエストをミドルボックスに送信するアクションは、SNMPエージェントの管理されたオブジェクトにメッセージに含まれるパラメーターを書き込むことで実現されます。必要に応じて、SNMPセットトランザクションには、これらの管理されたオブジェクトの作成が含まれます。MIDCOMリクエストメッセージのすべてのパラメーターが単一のSNMPセットトランザクションによって設定できない場合は、複数のセットトランザクションが使用されます。図3を参照してください。SNMPトランザクションの最後の完了は、必要なすべてのパラメーターが設定されており、MIDCOMリクエストメッセージの処理がミドルボックスで開始できることを示しています。

Please note that a single SNMP SET transaction consists of an SNMP SET request message and an SNMP SET reply message. Both are sent as unreliable UDP packets and may be dropped before they reach their destination. If the SNMP SET request message or the SNMP reply message is lost, then the SNMP manager (the MIDCOM client) needs to take action, for example, by just repeating the SET transaction or by first checking the success of the initial write transaction with an SNMP GET transaction and then only repeating the SNMP SET transaction if necessary.

単一のSNMPセットトランザクションは、SNMPセットリクエストメッセージとSNMPセットの返信メッセージで構成されていることに注意してください。どちらも信頼できないUDPパケットとして送信され、目的地に到達する前に削除される場合があります。SNMPセットリクエストメッセージまたはSNMP返信メッセージが失われた場合、SNMPマネージャー(MIDCOMクライアント)は、たとえば、セットトランザクションを繰り返すだけで、最初に最初の書き込みトランザクションの成功を確認してアクションを実行する必要があります。SNMPはトランザクションを取得し、必要に応じてSNMPセットトランザクションのみを繰り返します。

               +--------------+    request    +------------+
               | MIDCOM client|-------------->| middlebox  |
               +--------------+    message    +------------+
        

MIDCOM request message

Midcomリクエストメッセージ

               +--------------+               +------------+
               |              |    SNMP SET   |            |
               |              |-------------->|            |
               |              |    message    |            |
               |              |               |            |
               |              |    SNMP SET   |            |
               |              |<--------------|            |
               |              | reply message |            |
               | SNMP manager |               | SNMP agent |
               |              |    SNMP SET   |            |
               |              |- - - - - - - >|            |
               |              |    message    |            |
               |              |               |            |
               |              |    SNMP SET   |            |
               |              |< - - - - - - -|            |
               |              | reply message |            |
               |              |               |            |
               |              |  . . .        |            |
               +--------------+               +------------+
        

Implementation of MIDCOM request message by one or more SNMP SET transactions

1つ以上のSNMPセットトランザクションによるMIDCOMリクエストメッセージの実装

Figure 3: MIDCOM request message mapped to SNMP SET transactions

図3:SNMPセットトランザクションにマッピングされたMIDCOMリクエストメッセージ

The MIDCOM reply message can be modeled in two ways. The first way is an SNMP Notification Class operation optionally followed by one or more SNMP GET transactions as shown in Figure 4. The MIDCOM server informs the MIDCOM client about the end of processing the request by sending an SNMP notification. If possible, the SNMP notification carries all reply parameters. If this is not possible, then the SNMP manager has to perform additional SNMP GET transactions as long as necessary to receive all of the reply parameters.

Midcomの返信メッセージは、2つの方法でモデル化できます。最初の方法は、SNMP通知クラスの操作であり、その後に図4に示すように1つ以上のSNMP Getトランザクションが続きます。MIDCOMサーバーは、MIDCOMクライアントにSNMP通知を送信してリクエストの処理の終了について通知します。可能であれば、SNMP通知にはすべての返信パラメーターが含まれます。これが不可能な場合、SNMPマネージャーは、すべての返信パラメーターを受信するために必要な限り、追加のSNMP Getトランザクションを実行する必要があります。

               +--------------+     reply     +------------+
               | MIDCOM client|<--------------| middlebox  |
               +--------------+    message    +------------+
        

MIDCOM reply message

Midcomの返信メッセージ

               +--------------+               +------------+
               |              |     SNMP      |            |
               |              |<--------------|            |
               |              |  notification |            |
               |              |               |            |
               |              |    SNMP GET   |            |
               |              |-------------->|            |
               |              |    message    |            |
               | SNMP manager |               | SNMP agent |
               |              |    SNMP GET   |            |
               |              |<--------------|            |
               |              | reply message |            |
               |              |               |            |
               |              |    SNMP GET   |            |
               |              |- - - - - - - >|            |
               |              |    message    |            |
               |              |               |            |
               |              |    SNMP GET   |            |
               |              |< - - - - - - -|            |
               |              | reply message |            |
               |              |               |            |
               |              |  . . .        |            |
               +--------------+               +------------+
        

Implementation of MIDCOM reply message by an SNMP notification and one or more SNMP GET transactions

SNMP通知と1つ以上のSNMP Get TransactionsによるMidcom返信メッセージの実装

Figure 4: MIDCOM reply message mapped to SNMP notification and optional GET transactions

図4:SNMP通知にマッピングされたMidcom返信メッセージおよびオプションのGet Transactions

The second way replaces the SNMP Notification Class operation by a polling operation of the SNMP manager. The manager polls status information at the SNMP agent using SNMP GET transactions until it detects the end of the processing of the request. Then it uses one or more SNMP GET transactions to receive all of the reply parameters. Note that this second way requires more SNMP operations, but is more reliable than the first way using an SNMP Notification Class operation.

2番目の方法は、SNMPマネージャーのポーリング操作にSNMP通知クラス操作を置き換えます。マネージャーは、SNMPを使用してSNMPエージェントでステータス情報を投票し、リクエストの処理の終了を検出するまでトランザクションを取得します。次に、1つ以上のSNMP Getトランザクションを使用して、すべての返信パラメーターを受信します。この2番目の方法では、より多くのSNMP操作が必要ですが、SNMP通知クラス操作を使用した最初の方法よりも信頼性が高いことに注意してください。

4.2.3. Monitoring Transactions
4.2.3. トランザクションの監視

The realization of MIDCOM monitoring transactions in terms of SNMP transactions is simpler. The request message is very short and just specifies a piece of information that the MIDCOM client wants to retrieve.

SNMPトランザクションに関するMIDCOM監視トランザクションの実現はより簡単です。リクエストメッセージは非常に短く、MIDCOMクライアントが取得したい情報を指定するだけです。

               +--------------+    request    +------------+
               |              |-------------->|            |
               |              |    message    |            |
               | MIDCOM client|               | middlebox  |
               |              |     reply     |            |
               |              |<--------------|            |
               +--------------+    message    +------------+
        

MIDCOM monitoring transaction

Midcom監視トランザクション

               +--------------+               +------------+
               |              |    SNMP GET   |            |
               |              |-------------->|            |
               |              |    message    |            |
               |              |               |            |
               |              |    SNMP GET   |            |
               |              |<--------------|            |
               |              | reply message |            |
               | SNMP manager |               | SNMP agent |
               |              |    SNMP GET   |            |
               |              |- - - - - - - >|            |
               |              |    message    |            |
               |              |               |            |
               |              |    SNMP GET   |            |
               |              |< - - - - - - -|            |
               |              | reply message |            |
               |              |               |            |
               |              |  . . .        |            |
               +--------------+               +------------+
        

Implementation of MIDCOM monitoring transaction by one or more SNMP GET messages

1つ以上のSNMPによるMIDCOM監視トランザクションの実装GETメッセージ

Figure 5: MIDCOM monitoring transaction mapped to SNMP GET transactions

図5:SNMPにマッピングされたMIDCOMモニタリングトランザクション

Since monitoring is a strength of SNMP, there are sufficient means to realize MIDCOM monitoring transactions simpler than MIDCOM configuration transactions.

監視はSNMPの強度であるため、MIDCOM構成トランザクションよりも簡単なMIDCOMモニタリングトランザクションを実現するのに十分な手段があります。

All MIDCOM monitoring transactions can be realized as a sequence of SNMP GET transactions. The number of SNMP GET transactions required depends on the amount of information to be retrieved.

すべてのMIDCOMモニタリングトランザクションは、SNMP Getトランザクションのシーケンスとして実現できます。必要なSNMP取得トランザクションの数は、取得する情報の量によって異なります。

4.2.4. Atomicity of MIDCOM Transactions
4.2.4. Midcomトランザクションの原子性

Given the realizations of MIDCOM transactions by means of SNMP transactions, atomicity of the MIDCOM transactions is not fully guaranteed anymore. However, this section shows that atomicity provided by the MIB module specified in section 9 is still sufficient for meeting the MIDCOM requirements specified in [RFC3304].

SNMPトランザクションによるMIDCOMトランザクションの実現を考えると、MIDCOMトランザクションの原子性はもはや完全に保証されていません。ただし、このセクションでは、セクション9で指定されたMIBモジュールによって提供される原子性が、[RFC3304]で指定されたMIDCOM要件を満たすのに十分であることを示しています。

4.2.4.1. Asynchronous MIDCOM Transactions
4.2.4.1. 非同期MIDCOMトランザクション

There are two asynchronous MIDCOM transactions: Asynchronous Session Termination (AST) and Asynchronous Policy Rule Event (ARE). The very static realization of MIDCOM sessions in the MIDCOM-MIB, as described by section 4.1, does not anymore support the asynchronous termination of a session. Therefore, the AST transaction is not modeled. For the ARE, atomicity is maintained, because it is modeled by a single atomic SNMP notification transaction.

2つの非同期MIDCOMトランザクションがあります。非同期セッション終了(AST)と非同期ポリシールールイベント(ARE)です。セクション4.1で説明されているように、Midcom-MIBでのMidcomセッションの非常に静的な実現は、セッションの非同期終了をサポートしていません。したがって、ASTトランザクションはモデル化されていません。AREの場合、原子性は単一の原子SNMP通知トランザクションによってモデル化されるため、維持されます。

In addition, the MIDCOM-MIB supports an Asynchronous Group Event transaction, which is an aggregation of a set of ARE transactions. Also, this MIDCOM transaction is implemented by a single SNMP transaction.

さらに、MIDCOM-MIBは非同期グループイベントトランザクションをサポートします。これは、IRSトランザクションのセットの集約です。また、このMIDCOMトランザクションは、単一のSNMPトランザクションによって実装されます。

4.2.4.2. Session Establishment and Termination Transactions
4.2.4.2. セッションの確立および終了トランザクション

The MIDCOM-MIB models MIDCOM sessions in a very static way. The only dynamic actions within these transactions are enabling and disabling the generation of SNMP notifications at the SNMP agent.

Midcom-MIBモデルMIDCOMセッションは非常に静的な方法でモデルです。これらのトランザクション内の唯一の動的アクションは、SNMPエージェントでのSNMP通知の生成を可能にし、無効にすることです。

For the Session Establishment (SE) transaction, the MIDCOM client first reads the middlebox capabilities. It is not relevant whether or not this action is atomic because a dynamic change of the middlebox capabilities is not to be expected. Therefore, also non-atomic implementations of this action are acceptable.

セッション確立(SE)トランザクションの場合、MIDCOMクライアントは最初にミドルボックス機能を読み取ります。ミドルボックス機能の動的な変更は予想されないため、このアクションがアトミックであるかどうかは関係ありません。したがって、このアクションの非原子的実装も受け入れられます。

Then, the MIDCOM agent needs to enable the generation of SNMP notifications at the middlebox. This can be realized by writing to a single managed object in the SNMP-NOTIFICATION-MIB [RFC3413]. But even other implementations are acceptable, because atomicity is not required for this step.

次に、MIDCOMエージェントは、ミドルボックスでSNMP通知の生成を有効にする必要があります。これは、SNMP-notification-mib [RFC3413]の単一の管理されたオブジェクトに書き込むことで実現できます。しかし、このステップには原子性が必要ないため、他の実装でさえ受け入れられます。

For the Session Termination (ST) transaction, the only required action is disabling the generation of SNMP notifications at the middlebox. As for the SE transaction, this action can be realized atomically by using the SNMP-NOTIFICATION-MIB, but also other implementations are acceptable because atomicity is not required for this action.

セッション終了(ST)トランザクションの場合、必要な唯一のアクションは、ミドルボックスでのSNMP通知の生成を無効にすることです。SEトランザクションに関しては、このアクションはSNMP-Notification-MIBを使用することで原子的に実現できますが、このアクションには原子性が必要ないため、他の実装も受け入れられます。

4.2.4.3. Monitoring Transactions
4.2.4.3. トランザクションの監視

Potentially, the monitoring transactions Policy Rule List (PRL), Policy Rule Status (PRS), Group List (GL), and Group Status (GS) are not atomic, because these transactions may be implemented by more than one SNMP GET operation.

潜在的に、監視トランザクションポリシールールリスト(PRL)、ポリシールールステータス(PRS)、グループリスト(GL)、およびグループステータス(GS)は原子ではありません。これらのトランザクションは複数のSNMP Get操作によって実装される可能性があるためです。

The problem that might occur is that while the monitoring transaction is performed, the monitored items may change. For example, while reading a long list of policies, new policies may be added and already read policies may be deleted. This is not in line with the protocol semantics. However, it is not in direct conflict with the MIDCOM requirement requesting the middlebox state to be stable and known by the MIDCOM client, because the middlebox notifies the MIDCOM client on all changes to its state that are performed during the monitoring transaction by sending notifications.

発生する可能性のある問題は、監視トランザクションが実行されている間、監視されたアイテムが変更される可能性があることです。たとえば、ポリシーの長いリストを読んでいる間、新しいポリシーが追加され、すでに読み取られたポリシーが削除される場合があります。これは、プロトコルセマンティクスと一致していません。ただし、ミドルボックスのクライアントが安定して知っていることをミッドボックス状態に要求するMIDCOM要件と直接矛盾するわけではありません。ミドルボックスは、通知を送信して監視トランザクション中に実行されるすべての変更についてMIDCOMクライアントに通知するためです。

If the MIDCOM client receives such a notification while performing a monitoring transaction (or shortly after completing it), the MIDCOM client can then either repeat the monitoring transaction or integrate the result of the monitoring transaction with the information received via notifications during the transaction. In both cases, the MIDCOM client will know the state of the middlebox.

MIDCOMクライアントが監視トランザクションの実行中にそのような通知を受け取った場合(またはそれを完了した直後)、MIDCOMクライアントは監視トランザクションを繰り返すか、トランザクション中の通知を介して受信した情報と監視トランザクションの結果を統合することができます。どちらの場合も、MIDCOMクライアントはミドルボックスの状態を知っています。

4.2.4.4. Lifetime Change Transactions
4.2.4.4. ライフタイムチェンジトランザクション

For the policy Rule Lifetime Change (RLC) transaction and the Group Lifetime Change (GLC) transaction, atomicity is maintained. They both have very few parameters for the request message and the reply message. The request parameters can be transmitted by a single SNMP SET request message, and the reply parameters can be transmitted by a single SNMP notification message. In order to prevent idempotency problems by retransmitting an SNMP request after a lost SNMP reply, it is RECOMMENDED that either snmpSetSerialNo (see [RFC3418]) is included in the corresponding SNMP SET request or the value of the SNMP retransmission timer be lower than the smallest requested lifetime value. The same recommendation applies to the smallest requested value for the midcomRuleStorageTime. MIDCOM client implementations MAY completely avoid this problem by configuring their SNMP stack such that no retransmissions are sent.

ポリシールールライフタイムチェンジ(RLC)トランザクションとグループライフタイムチェンジ(GLC)トランザクションの場合、原子性が維持されます。どちらも、リクエストメッセージと返信メッセージのパラメーターがほとんどありません。要求パラメーターは、単一のSNMPセットリクエストメッセージで送信でき、応答パラメーターは単一のSNMP通知メッセージで送信できます。紛失したSNMP応答の後にSNMP要求を再送信することにより、IDEmpotencyの問題を防ぐために、SNMPSETSERIALNO([RFC3418]を参照)のいずれかが対応するSNMPセットリクエストまたはSNMP再送信タイマーの値が小さくなることをお勧めします要求された生涯価値。同じ推奨事項は、中mid -comrulestoragetimeの最小の要求値に適用されます。Midcomクライアントの実装は、再送信が送信されないようにSNMPスタックを構成することにより、この問題を完全に回避する場合があります。

4.2.4.5. Transactions Establishing New Policy Rules
4.2.4.5. 新しいポリシールールを確立するトランザクション

Analogous to the monitoring transactions, the atomicity may not be given for Policy Reserve Rule (PRR) and Policy Enable Rule (PER) transactions. Both transactions are potentially implemented using more than one SNMP SET operation and GET operation for obtaining transaction reply parameters. The solution for this loss of atomicity is the same as for the monitoring transactions.

監視トランザクションに類似して、ポリシーリザーブルール(PRR)およびポリシーを有効にするルール(PER)トランザクションには原子性が与えられない場合があります。両方のトランザクションは、複数のSNMPセット操作を使用して潜在的に実装され、トランザクション応答パラメーターを取得するための操作を取得します。この原子性の損失の解決策は、監視トランザクションの場合と同じです。

There is an additional atomicity problem for PRR and PER. If transferring request parameters requires more than a single SET operation, then there is the potential problem that multiple MIDCOM clients sharing the same permissions are able to access the same policy rule. In this case, a client could alter request parameters already set by another client before the first client could complete the request. However, this is acceptable since usually only one agent is creating a policy rule and filling it subsequently. It can also be assumed that in most cases where clients share permissions, they act in a more or less coordinated way avoiding such interferences.

PRRおよびPerには追加の原子性の問題があります。要求パラメーターを転送するには、単一のセット操作が必要な場合、同じ許可を共有する複数のMIDCOMクライアントが同じポリシールールにアクセスできる潜在的な問題があります。この場合、クライアントは、最初のクライアントがリクエストを完了する前に、別のクライアントによって既に設定された要求パラメーターを変更できます。ただし、通常は1人のエージェントのみがポリシールールを作成し、その後記入しているため、これは許容されます。また、クライアントが許可を共有するほとんどの場合、そのような干渉を避けるために多かれ少なかれ調整された方法で行動すると想定することもできます。

All atomicity problems caused by using multiple SNMP SET transactions for implementing the MIDCOM request message can be avoided by transferring all request parameters with a single SNMP SET transaction.

MIDCOMリクエストメッセージを実装するために複数のSNMPセットトランザクションを使用することによって引き起こされるすべての原子性の問題は、すべての要求パラメーターを単一のSNMPセットトランザクションで転送することで回避できます。

4.2.5. Access Control
4.2.5. アクセス制御

Since SNMP does not offer per-session authentication and authorization, authentication and authorization are performed per SNMP message sent from the MIDCOM client to the middlebox.

SNMPはセッションごとの認証と承認を提供していないため、MIDCOMクライアントからミドルボックスに送信されたSNMPメッセージごとに認証と承認が実行されます。

For each transaction, the MIDCOM client has to authenticate itself as an authenticated principal, such as a USM user. Then, the principal's access rights to all resources affected by the transaction are checked. Access right control is realized by configuring the access control mechanisms, such as VACM, at the SNMP agent.

トランザクションごとに、MIDCOMクライアントは、USMユーザーなどの認証されたプリンシパルとして認証する必要があります。次に、トランザクションの影響を受けるすべてのリソースに対するプリンシパルのアクセス権がチェックされます。Access Right Controlは、SNMPエージェントでVacmなどのアクセス制御メカニズムを構成することにより実現されます。

4.3. Access Control Policies
4.3. アクセス制御ポリシー

Potentially, a middlebox has to control access for a large set of MIDCOM clients and to a large set of policy rules configuring firewall pinholes and NAT bindings. Therefore, it can be beneficial to use access control policies for specifying access control rules. Generating, provisioning, and managing these policies are out of scope of this MIB module.

潜在的に、ミドルボックスは、Midcomクライアントの大規模なセットと、ファイアウォールのピンホールとNATバインディングを構成する大規模なポリシールールセットへのアクセスを制御する必要があります。したがって、アクセス制御ルールを指定するためにアクセス制御ポリシーを使用することが有益です。これらのポリシーの生成、プロビジョニング、および管理は、このMIBモジュールの範囲外です。

However, if such an access control policy system is used, then the SNMP agent acts as a policy enforcement point. An access control policy system must transform all active policies into configurations of, for example, the SNMP agent's View-based Access Control Model (VACM).

ただし、そのようなアクセス制御ポリシーシステムが使用されている場合、SNMPエージェントはポリシー執行ポイントとして機能します。アクセス制御ポリシーシステムは、すべてのアクティブポリシーを、たとえば、SNMPエージェントのビューベースのアクセス制御モデル(VACM)の構成に変換する必要があります。

The mechanisms of access control models, such as VACM, allow an access control policy system to enforce MIDCOM client authentication rules and general access control of MIDCOM clients to middlebox control.

VACMなどのアクセス制御モデルのメカニズムにより、アクセス制御ポリシーシステムがMIDCOMクライアント認証ルールとMIDCOMクライアントの一般的なアクセス制御をミドルボックスコントロールに実施できます。

The mechanisms of VACM can be used to enforce access control of authenticated clients to MIDCOM-MIB policy rules based on the concept of ownership. For example, an access control policy can specify that MIDCOM-MIB policy rules owned by user A cannot be accessed at all by user B, can be read by user C, and can be read and modified by user D.

VACMのメカニズムを使用して、所有権の概念に基づいて、認証されたクライアントのアクセス制御をMidcom-MIBポリシールールに強制することができます。たとえば、アクセス制御ポリシーでは、ユーザーAが所有するMidcom-MIBポリシールールにユーザーBがまったくアクセスできず、ユーザーCが読み取ることができ、ユーザーDによって読み取られて変更できます。

Further access control policies can control access to concrete middlebox resources. These are enforced, when a MIDCOM request is processed. For example, an authenticated MIDCOM client may be authorized to request new MIDCOM policies to be established, but only for certain IP address ranges. The enforcement of this kind of policies may not be realizable using available SNMP mechanisms, but needs to be performed by the individual MIB module implementation.

さらにアクセス制御ポリシーは、コンクリートのミドルボックスリソースへのアクセスを制御できます。MIDCOMリクエストが処理されると、これらは実施されます。たとえば、認証されたMIDCOMクライアントは、特定のIPアドレスの範囲でのみ、新しいMIDCOMポリシーの確立を要求することを許可される場合があります。この種のポリシーの施行は、利用可能なSNMPメカニズムを使用して実現できない場合がありますが、個々のMIBモジュールの実装によって実行する必要があります。

5. Structure of the MIB Module
5. MIBモジュールの構造

The MIB module defined in section 9 contains three kinds of managed objects:

セクション9で定義されているMIBモジュールには、3種類の管理されたオブジェクトが含まれています。

- Transaction objects Transaction objects are required for implementing the MIDCOM protocol requirements defined in [RFC3304] and the MIDCOM protocol semantics defined in [RFC5189].

- トランザクションオブジェクトトランザクションオブジェクトは、[RFC3304]で定義されたMIDCOMプロトコル要件と[RFC5189]で定義されているMIDCOMプロトコルセマンティクスを実装するために必要です。

- Configuration objects Configuration objects can be used for retrieving middlebox capability information (mandatory) and for setting parameters of the implementation of transaction objects (optional).

- 構成オブジェクト構成オブジェクトは、ミドルボックス機能情報の取得(必須)およびトランザクションオブジェクトの実装のパラメーターを設定するために使用できます(オプション)。

- Monitoring objects The optional monitoring objects provide information about used resources and about MIDCOM transaction statistics.

- 監視オブジェクトオプションの監視オブジェクトは、使用済みのリソースとMIDCOMトランザクション統計に関する情報を提供します。

The transaction objects are organized in two tables: the midcomRuleTable and the midcomGroupTable. Entity relationships of entries of these tables and the midcomResourceTable from the monitoring objects are illustrated by Figure 6.

トランザクションオブジェクトは、2つのテーブルに編成されています:ミッドコロレーターとミッドコムグラージュ。これらのテーブルのエントリと監視オブジェクトからのMidcomResourceableのエンティティ関係を図6に示します。

                            +--------------------+
                            |  midcomRuleEntry   |
                            |     indexed by     |
                            |  midcomRuleOwner   |
                            |  midcomGroupIndex  |
                            |  midcomRuleIndex   |
                            +--------------------+
                        1...n |                | 1
                              |                |
                            1 |                | 1
           +--------------------+            +---------------------+
           |  midcomGroupEntry  |            | midcomResourceEntry |
           |     indexed by     |            |     indexed by      |
           |  midcomRuleOwner   |            |  midcomRuleOwner    |
           |  midcomGroupIndex  |            |  midcomGroupIndex   |
           +--------------------+            |  midcomRuleIndex    |
                                             +---------------------+
                                               |        |        |
                                               |        |        |
                                               v        v        v
                                              NAT   Firewall   other
                                              MIB      MIB      MIB
        

Figure 6: Entity relationships of table entries

図6:テーブルエントリのエンティティ関係

A MIDCOM client can create and delete entries in the midcomRuleTable. Entries in the midcomGroupTable are generated automatically as soon as there is an entry in the midcomRuleTable using the midcomGroupIndex. The midcomGroupTable can be used as shortcut for accessing all member rules with a single transaction. MIDCOM clients can group policy rules for various purposes. For example, they can assign a unique value for the midcomGroupIndex to all rules belonging to a single application or an application session served by the MIDCOM agent.

Midcomクライアントは、MidcomRuletableでエントリを作成および削除できます。MidComgroupIndexを使用してMidcomRuletableにエントリが発生するとすぐに、MidComgroutableのエントリは自動的に生成されます。MidComgroutableは、単一のトランザクションですべてのメンバールールにアクセスするためのショートカットとして使用できます。Midcomクライアントは、さまざまな目的でポリシールールをグループ化できます。たとえば、MidComGroupIndexの一意の値を、Midcomエージェントが提供する単一のアプリケーションまたはアプリケーションセッションに属するすべてのルールに割り当てることができます。

The midcomResourceTable augments the midcomRuleTable by information on the relationship of entries of the midcomRuleTable to resources listed in other MIB modules, such as the NAT-MIB [RFC4008].

MidcomResourceTableは、NAT-MIB [RFC4008]などの他のMIBモジュールにリストされているリソースとのミッドコンパレーション可能なエントリの関係に関する情報によって、中程度の抑制可能なものを補強します。

5.1. Transaction Objects
5.1. トランザクションオブジェクト

The transaction objects are structured according to the MIDCOM semantics described in [RFC5189] into two subtrees, one for policy rule control and one for policy rule group control.

トランザクションオブジェクトは、[RFC5189]で説明されているMIDCOMセマンティクスに従って2つのサブツリーに構成されています。1つはポリシールールコントロール用、もう1つはポリシールールグループコントロール用です。

5.1.1. midcomRuleTable
5.1.1. ミッドコルレーテブル

The midcomRuleTable contains information about policy rules including policy rules to be established, policy rules for which establishing failed, established policy rules, and terminated policy rules.

Mid -Comruletableには、確立されるポリシールール、故障したポリシールール、失敗したポリシールール、確立されたポリシールール、および終了したポリシールールなどのポリシールールに関する情報が含まれています。

Entries in this table are indexed by the combination of midcomRuleOwner, midcomGroupIndex, and midcomRuleIndex. The midcomRuleOwner is the owner of the rule; the midcomGroupIndex is the index of the group of which the policy rule is a member.

この表のエントリは、MidComruleOwner、MidComgroupIndex、およびMidComruleIndexの組み合わせによってインデックス付けされています。MidComruleownerはルールの所有者です。MidComgroupIndexは、ポリシールールがメンバーであるグループのインデックスです。

midcomRuleOwner is of type SnmpAdminString, a textual convention that allows for use of the SNMPv3 View-based Access Control Model (VACM [RFC3415]) and allows a management application to identify its entries.

MidComrule Ownerは、SNMPV3ビューベースのアクセス制御モデル(Vacm [RFC3415])の使用を可能にするテキスト慣習であるSNMPADMINSTRINGタイプのものであり、管理アプリケーションがエントリを識別できるようにします。

Entries in this table are created by writing to midcomRuleRowStatus. Entries are removed when both their midcomRuleLifetime and midcomRuleStorageTime are timed out by counting down to 0. A MIDCOM client can explicitly remove an entry by setting midcomRuleLifetime and midcomRuleStorageTime to 0.

このテーブルのエントリは、MidcomrulerowStatusに書き込むことによって作成されます。ミッドコムリラフェティムとミッドコムリュレストラージタイムの両方が0にカウントダウンすることでタイムアウトされると、エントリが削除されます。ミッドコムクライアントは、MidComRulELIFETIMEおよびMIDCOMRULESTORAGETIMEを0に設定することにより、エントリを明示的に削除できます。

The table contains the following columnar objects:

テーブルには、次の柱状オブジェクトが含まれています。

o midcomRuleIndex The index of this entry must be unique in combination with the midcomRuleOwner and the midcomGroupIndex of the entry.

o MidComruleIndexこのエントリのインデックスは、MidComruleOwnerとエントリのMidComgroupIndexと組み合わせて一意でなければなりません。

o midcomRuleAdminStatus For establishing a new policy rule, a set of objects in this entry needs to be written first. These objects are the request parameters. Then, by writing either reserve(1) or enable(2) to this object, the MIDCOM-MIB implementation is triggered to start processing the parameters and tries to establish the specified policy rule.

o MidcomRuleadMintatus新しいポリシールールを確立するには、このエントリのオブジェクトのセットを最初に記述する必要があります。これらのオブジェクトは、要求パラメーターです。次に、このオブジェクトにリザーブ(1)または有効(2)のいずれかを書き込むことにより、Midcom-MIBの実装がトリガーされ、パラメーターの処理を開始し、指定されたポリシールールを確立しようとします。

o midcomRuleOperStatus This read-only object indicates the current status of the entry. The entry may have an initializing state, it may have a transient state while processing requests, it may have an error state after a request was rejected, it may have a state where a policy rule is established, or it may have a terminated state.

o midcomruleoperstatusこの読み取り専用オブジェクトは、エントリの現在のステータスを示します。エントリには初期化状態があり、リクエストの処理中に一時的な状態があり、要求が拒否された後にエラー状態がある場合があります。また、ポリシールールが確立される状態、または終了状態がある場合があります。

o midcomRuleStorageType This object indicates whether or not the policy rule is stored as volatile, non-volatile, or permanent. Depending on the MIDCOM-MIB implementation, this object may be writable.

o midcomRulestorageTypeこのオブジェクトは、ポリシールールが揮発性、不揮発性、または永続的であると保存されているかどうかを示します。Midcom-MIBの実装に応じて、このオブジェクトは書き込み可能です。

o midcomRuleStorageTime This object indicates how long the entry will still exist after entering an error state or a termination state.

o midcomRulestorageTimeこのオブジェクトは、エラー状態または終端状態を入力した後、エントリがまだ存在する期間を示します。

o midcomRuleError This object is a string indicating the reason for entering an error state.

o MidComruleErrorこのオブジェクトは、エラー状態を入力する理由を示す文字列です。

o midcomRuleInterface This object indicates the IP interface for which enforcement of a policy rule is requested or performed, respectively.

o MidComruleInterfaceこのオブジェクトは、ポリシールールの施行がそれぞれ要求または実行されるIPインターフェイスを示します。

o midcomRuleFlowDirection This object indicates a flow direction for which a policy enable rule was requested or established, respectively.

o MidComRuleFlowDirectionこのオブジェクトは、それぞれポリシーを有効にするルールがそれぞれ要求または確立されたフロー方向を示します。

o midcomRuleMaxIdleTime This object indicates the maximum idle time of the policy rule in seconds. If no packet to which the policy rule applies passes the middlebox for the time specified by midcomRuleMaxIdleTime, then the policy rule enters a termination state.

o MidcomRulemaxidletimeこのオブジェクトは、ポリシールールの最大アイドル時間を秒単位で示します。ポリシールールが適用されるパケットがMidComrulemaxidletimeで指定された時間のミドルボックスに合格しない場合、ポリシールールは終了状態に入ります。

o midcomRuleTransportProtocol This object indicates a transport protocol for which a policy reserve rule or policy enable rule was requested or established, respectively.

o MidComruleTransportProtoColこのオブジェクトは、それぞれポリシーリザーブルールまたはポリシーを有効にするルールがそれぞれ要求または確立された輸送プロトコルを示します。

o midcomRulePortRange This object indicates a port range for which a policy reserve rule or policy enable rule was requested or established, respectively.

o MidcomRulePortrangeこのオブジェクトは、ポリシーリザーブルールまたはポリシーを有効にするルールがそれぞれ要求または確立されたポート範囲を示しています。

o midcomRuleLifetime This object indicates the remaining lifetime of an established policy rule. The MIDCOM client can change the remaining lifetime by writing to it.

o MidcomRulelifetimeこのオブジェクトは、確立されたポリシールールの残りの寿命を示しています。Midcomクライアントは、それに書き込むことで残りの寿命を変えることができます。

Beyond the listed objects, the table contains 10 further objects describing address parameters. They include the IP version, IP address, prefix length and port number for the internal address (A0), inside address (A1), outside address (A2), and external address (A3). These objects serve as parameters specifying a request or an established policy, respectively.

リストされているオブジェクトを超えて、テーブルにはアドレスパラメーターを記述する10個のオブジェクトが含まれています。内部アドレス(A0)、内部アドレス(A1)、外部アドレス(A2)、および外部アドレス(A3)のIPバージョン、IPアドレス、プレフィックスの長さ、ポート番号が含まれます。これらのオブジェクトは、それぞれリクエストまたは確立されたポリシーを指定するパラメーターとして機能します。

A0, A1, A2, and A3 are address tuples defined according to the MIDCOM semantics [RFC5189]. Each of them identifies either a communication endpoint at an internal or external device or an allocated address at the middlebox.

A0、A1、A2、およびA3は、MIDCOMセマンティクス[RFC5189]に従って定義されたアドレスタプルです。それらのそれぞれは、内部または外部デバイスでの通信エンドポイントまたはミドルボックスで割り当てられたアドレスのいずれかを識別します。

         +----------+                                 +----------+
         | internal | A0    A1 +-----------+ A2    A3 | external |
         | endpoint +----------+ middlebox +----------+ endpoint |
         +----------+          +-----------+          +----------+
        

Figure 7: Address tuples A0 - A3

図7:アドレスタプルA0 -A3

- A0 - internal endpoint: Address tuple A0 specifies a communication endpoint of a device within the internal network, with respect to the middlebox.

- A0-内部エンドポイント:アドレスタプルA0ミドルボックスに関して、内部ネットワーク内のデバイスの通信エンドポイントを指定します。

- A1 - middlebox inside address: Address tuple A1 specifies a virtual communication endpoint at the middlebox within the internal network. A1 is the destination address for packets passing from the internal endpoint to the middlebox and is the source for packets passing from the middlebox to the internal endpoint.

- A1-ミドルボックス内部アドレス:アドレスタプルA1内部ネットワーク内のミドルボックスに仮想通信エンドポイントを指定します。A1は、内部エンドポイントからミドルボックスに通過するパケットの宛先アドレスであり、ミドルボックスから内部エンドポイントに通過するパケットのソースです。

- A2 - middlebox outside address: Address tuple A2 specifies a virtual communication endpoint at the middlebox within the external network. A2 is the destination address for packets passing from the external endpoint to the middlebox and is the source for packets passing from the middlebox to the external endpoint.

- A2-ミドルボックス外部アドレス:アドレスタプルA2外部ネットワーク内のミドルボックスに仮想通信エンドポイントを指定します。A2は、外部エンドポイントからミドルボックスに通過するパケットの宛先アドレスであり、ミドルボックスから外部エンドポイントに通過するパケットのソースです。

- A3 - external endpoint: Address tuple A3 specifies a communication endpoint of a device within the external network, with respect to the middlebox.

- A3-外部エンドポイント:アドレスタプルA3ミドルボックスに関して、外部ネットワーク内のデバイスの通信エンドポイントを指定します。

The MIDCOM-MIB requires the MIDCOM client to specify address tuples A0 and A3. This might be a problem for applications that are not designed in a firewall-friendly way. An example is an FTP application that uses the PORT command (instead of the recommended PASV command). The problem only occurs when the middlebox offers twice-NAT functionality, and it can be fixed following recommendations for firewall-friendly communication.

MIDCOM-MIBでは、MIDCOMクライアントがアドレスタプルA0およびA3を指定する必要があります。これは、ファイアウォールに優しい方法で設計されていないアプリケーションにとって問題かもしれません。例は、(推奨されるPASVコマンドの代わりに)ポートコマンドを使用するFTPアプリケーションです。問題は、ミドルボックスが2倍のNAT機能を提供する場合にのみ発生し、ファイアウォールに優しいコミュニケーションに関する推奨事項に従って修正できます。

5.1.2. midcomGroupTable
5.1.2. ミッドコムグラウプト可能

The midcomGroupTable has an entry per existing policy rule group. Entries in this table are created automatically when creating member entries in the midcomRuleTable. Entries are automatically removed from this table when the last member entry is removed from the midcomRuleTable. Entries cannot be created or removed explicitly by the MIDCOM client.

MidComgrouptableには、既存のポリシールールグループごとにエントリがあります。このテーブルのエントリは、MidcomRuletableでメンバーエントリを作成するときに自動的に作成されます。最後のメンバーエントリがMidcomRuleTableから削除されたときに、このテーブルからエントリが自動的に削除されます。Midcomクライアントがエントリを明示的に作成または削除することはできません。

Entries are indexed by the midcomRuleOwner of the rules that belong to the group and by a specific midcomGroupIndex. This allows each midcomRuleOwner to maintain its own independent group namespace.

エントリは、グループに属するルールのMidComruleownerと特定のMidComgroupIndexによってインデックス付けされます。これにより、各MidComruleownerが独自の独立したグループネームスペースを維持できます。

An entry of the table contains the following objects:

テーブルのエントリには、次のオブジェクトが含まれています。

o midcomGroupIndex The index of this entry must be unique in combination with the midcomRuleOwner of the entry.

o MidcomGroupIndexこのエントリのインデックスは、エントリのMidComruleOwnerと組み合わせて一意でなければなりません。

o midcomGroupLifetime This object indicates the maximum of the remaining lifetimes of all established policy rules that are members of the group. The MIDCOM client can change the remaining lifetime of all member policies by writing to this object.

o MidcomGrouplifetimeこのオブジェクトは、グループのメンバーであるすべての確立されたポリシールールの残りの寿命の最大値を示します。MIDCOMクライアントは、このオブジェクトに書き込むことにより、すべてのメンバーポリシーの残りの寿命を変更できます。

5.2. Configuration Objects
5.2. 構成オブジェクト

The configuration subtree contains middlebox capability and configuration information. Some of the contained objects are (optionally) writable and can also be used for configuring the middlebox service.

構成サブツリーには、ミドルボックス機能と構成情報が含まれています。含まれるオブジェクトの一部は(オプションで)書き込み可能であり、Middleboxサービスの構成にも使用できます。

The capabilities subtree contains some general capability information and detailed information per supported IP interface. The midcomConfigFirewallTable can be used to configure how the MIDCOM-MIB implementation creates firewall rules in its firewall modules.

機能サブツリーには、サポートされているIPインターフェイスごとに、いくつかの一般的な機能情報と詳細情報が含まれています。MidComConfigFireWallTableを使用して、Midcom-MIBの実装がファイアウォールモジュールにファイアウォールルールを作成する方法を構成できます。

Note that typically, configuration objects are not intended to be written by MIDCOM clients. In general, write access to these objects needs to be restricted more strictly than write access to transaction objects.

通常、構成オブジェクトはMidcomクライアントによって書かれることを意図していないことに注意してください。一般に、これらのオブジェクトへの書き込みアクセスは、トランザクションオブジェクトへの書き込みアクセスよりも厳密に制限される必要があります。

5.2.1. Capabilities
5.2.1. 機能

Information on middlebox capabilities, i.e., capabilities of the MIDCOM-MIB implementation, is provided by the midcomCapabilities subtree of managed objects. The following objects are defined:

ミドルボックス機能、つまりMidcom-MIB実装の機能に関する情報は、管理されたオブジェクトのMidComCapabilitiesサブツリーによって提供されます。次のオブジェクトが定義されています。

o midcomConfigMaxLifetime This object indicates the maximum lifetime that this middlebox allows policy rules to have.

o MidComConfigMaxlifetimeこのオブジェクトは、このミドルボックスがポリシールールを持つことを許可する最大寿命を示しています。

o midcomConfigPersistentRules This is a boolean object indicating whether or not the middlebox is capable of storing policy rules persistently.

o MidcomConfigpersistentrulesこれは、ミドルボックスがポリシールールを永続的に保存できるかどうかを示すブールオブジェクトです。

Further capabilities are provided by the midcomConfigIfTable per IP interface. This table contains just two objects. The first one is a BITS object called midcomConfigIfBits containing the following bit values:

IPインターフェイスごとにMidComConfigiftableが提供する機能がさらに提供されます。このテーブルには、2つのオブジェクトのみが含まれています。最初のものは、次のビット値を含むMidComConfigifbitsと呼ばれるビットオブジェクトです。

o ipv4 and ipv6 These two bit values provide information on which IP versions are supported by the middlebox at the indexed interface.

o IPv4とIPv6これらの2つのビット値は、インデックス付きインターフェイスのMiddleboxによってサポートされているIPバージョンに関する情報を提供します。

o addressWildcards and portWildcards These two bit values provide information on wildcarding supported by the middlebox at the indexed interface.

o AddressWildCardsとPortWildCardsこれらの2つのビット値は、インデックス付きインターフェイスでミドルボックスがサポートするワイルドカードに関する情報を提供します。

o firewall and nat These two bit values provide information on availability of firewall and NAT functionality at the indexed interface.

o ファイアウォールとNATこれらの2つのビット値は、インデックス付きインターフェイスでのファイアウォールとNAT機能の可用性に関する情報を提供します。

o portTranslation, protocolTranslation, and twiceNat These three bit values provide information on the kind of NAT functionality available at the indexed interface.

o これらの3つのビット値は、ポルトスロンスレーション、プロトコル翻訳、およびTwicenatを提供します。

o inside This bit indicates whether or not the indexed interface is an inside interface with respect to NAT functionality.

o このビット内では、インデックス付きインターフェイスがNAT機能に関する内部インターフェイスであるかどうかを示します。

The second object, called midcomConfigIfEnabled, indicates whether the middlebox capabilities described by midcomConfigIfBits are available or not available at the indexed IP interface.

MidComConfigifEnabledと呼ばれる2番目のオブジェクトは、MidComConconFigifbitsによって説明されているミドルボックス機能がインデックス付きIPインターフェイスで利用可能であるかどうかを示します。

The midcomConfigIfTable uses index 0 for indicating capabilities that are available for all interfaces.

MidComConfigiftableは、すべてのインターフェイスで使用可能な機能を示すためにインデックス0を使用します。

5.2.2. midcomConfigFirewallTable
5.2.2. MidcomConfigfirewalltable

The midcomConfigFirewallTable serves for configuring how policy rules created by MIDCOM clients are realized as firewall rules of a firewall implementation. Particularly, the priority used for MIDCOM-MIB policy rules can be configured. For a single firewall implementation at a particular IP interface, all MIDCOM-MIB policy rules are realized as firewall rules with the same priority. Also, a firewall rule group name can be configured. The table is indexed by the IP interface index.

MidComConfigFireWallTableは、Midcomクライアントによって作成されたポリシールールがファイアウォールの実装のファイアウォールルールとしてどのように実現されるかを構成するために役立ちます。特に、Midcom-MIBポリシールールに使用される優先度を構成できます。特定のIPインターフェイスでの単一のファイアウォール実装の場合、すべてのMidcom-MIBポリシールールが同じ優先順位を持つファイアウォールルールとして実現されます。また、ファイアウォールルールグループ名を構成できます。テーブルは、IPインターフェイスインデックスによってインデックス付けされています。

An entry of the table contains the following objects:

テーブルのエントリには、次のオブジェクトが含まれています。

o midcomConfigFirewallGroupId This object indicates the firewall rule group to which all firewall rules of the MIDCOM server are assigned.

o MidComConfigFireWallGroupIDこのオブジェクトは、MIDCOMサーバーのすべてのファイアウォールルールが割り当てられているファイアウォールルールグループを示します。

o midcomConfigFirewallPriority This object indicates the priority assigned to all firewall rules of the MIDCOM server.

o MidcomConfigfirewallpriorityこのオブジェクトは、Midcomサーバーのすべてのファイアウォールルールに割り当てられた優先度を示します。

5.3. Monitoring Objects
5.3. オブジェクトの監視

The monitoring objects are structured into two subtrees: the resource subtree and the statistics subtree. The resource subtree provides information about which resources are used by which policy rule. The statistics subtree provides statistics about the usage of transaction objects.

監視オブジェクトは、リソースサブツリーと統計サブツリーの2つのサブツリーに構造化されています。リソースサブツリーは、どのポリシールールによって使用されるリソースに関する情報を提供します。統計サブツリーは、トランザクションオブジェクトの使用に関する統計を提供します。

5.3.1. midcomResourceTable
5.3.1. MidcomResourceTable

Information about resource usage per policy rule is provided by the midcomResourceTable. Each entry in the midcomResourceTable describes resource usage of exactly one policy rule.

ポリシールールごとのリソース使用に関する情報は、MidComResourceTableによって提供されます。MidcomResourceTableの各エントリは、1つのポリシールールの正確なリソース使用量について説明します。

Resources are NAT resources and firewall resources, depending on the type of middlebox. Used NAT resources include NAT bindings and NAT sessions. NAT address mappings are not covered. For firewalls, firewall filter rules are considered as resources.

リソースは、ミドルボックスのタイプに応じて、NATリソースとファイアウォールリソースです。使用済みのNATリソースには、NATバインディングとNATセッションが含まれます。NATアドレスマッピングはカバーされていません。ファイアウォールの場合、ファイアウォールフィルタールールはリソースと見なされます。

The values provided by the following objects on NAT binds and NAT sessions may refer to the detailed resource usage description in the NAT-MIB module [RFC4008].

NATバインドとNATセッションで次のオブジェクトによって提供される値は、NAT-MIBモジュール[RFC4008]の詳細なリソース使用状況の説明を指す場合があります。

The values provided by the following objects on firewall rules may refer to more detailed firewall resource usage descriptions in other MIB modules.

ファイアウォールルールで次のオブジェクトによって提供される値は、他のMIBモジュールでのより詳細なファイアウォールリソース使用の説明を指す場合があります。

Entries in the midcomResourceTable are only valid if the midcomRuleOperStatus object of the corresponding entry in the midcomRuleTable has a value of either reserved(7) or enabled(8).

MidcomResourceTableのエントリは、MidComRuletableの対応するエントリのMidComRuleOperStatusオブジェクトの値が予約済み(7)または有効化(8)の値を持っている場合にのみ有効です。

An entry of the table contains the following objects:

テーブルのエントリには、次のオブジェクトが含まれています。

o midcomRscNatInternalAddrBindMode This object indicates whether the binding of the internal address is an address NAT binding or an address-port NAT binding.

o midcomrscnatinternaladdrbindmodeこのオブジェクトは、内部アドレスのバインディングがアドレスNATバインディングまたはアドレスポートNATバインディングであるかどうかを示します。

o midcomRscNatInternalAddrBindId This object identifies the NAT binding for the internal address in the NAT engine.

o midcomrscnatinternaladdrbindidこのオブジェクトは、NATエンジンの内部アドレスのNAT結合を識別します。

o midcomRscNatExternalAddrBindMode This object indicates whether the binding of the external address is an address NAT binding or an address-port NAT binding.

o Midcomrscnatexternaladdrbindmodeこのオブジェクトは、外部アドレスのバインディングがアドレスNATバインディングまたはアドレスポートNATバインディングであるかどうかを示します。

o midcomRscNatExternalAddrBindId This object identifies the NAT binding for the external address in the NAT engine.

o Midcomrscnatexternaladdrbindidこのオブジェクトは、NATエンジンの外部アドレスのNAT結合を識別します。

o midcomRscNatSessionId1 This object links to the first NAT session associated with one of the above NAT bindings.

o midcomrscnatsessionId1このオブジェクトは、上記のNATバインディングの1つに関連付けられた最初のNATセッションにリンクします。

o midcomRscNatSessionId2 This object links to the optional second NAT session associated with one of the above NAT bindings.

o MidcomrscnatsessionId2このオブジェクトは、上記のNATバインディングの1つに関連付けられたオプションの2番目のNATセッションにリンクします。

o midcomRscFirewallRuleId This object indicates the firewall rule for this policy rule.

o midcomrscfirewallruleidこのオブジェクトは、このポリシールールのファイアウォールルールを示しています。

The MIDCOM-MIB module does not require a middlebox to implement further specific middlebox (NAT, firewall, etc.) MIB modules as, for example, the NAT-MIB module [RFC4008].

MIDCOM-MIBモジュールは、たとえばNAT-MIBモジュール[RFC4008]など、さらに特定のミドルボックス(NAT、ファイアウォールなど)MIBモジュールを実装するためにミドルボックスを必要としません。

The resource identifiers in the midcomResourceTable may be vendor proprietary in the cases where the middlebox does not implement the NAT-MIB [RFC4008] or a firewall MIB. The MIDCOM-MIB module affects NAT binding and sessions, as well as firewall pinholes. It is intentionally not specified in the MIDCOM-MIB module how these NAT and firewall resources are allocated and managed, since this depends on the MIDCOM-MIB implementation and middlebox's capabilities. However, the midcomResourceTable is useful for understanding which resources are affected by which MIDCOM-MIB transaction.

MidcomResourceTableのリソース識別子は、MidderboxがNAT-MIB [RFC4008]またはファイアウォールMIBを実装していない場合、ベンダー専有である場合があります。Midcom-MIBモジュールは、NATの結合とセッション、およびファイアウォールのピンホールに影響します。これは、Midcom-MIBの実装とMiddleboxの機能に依存するため、Midcom-MIBモジュールでは意図的に指定されていません。ただし、MidComResourceTableは、どのリソースがどのMidcom-MIBトランザクションに影響を受けるかを理解するのに役立ちます。

The midcomResourceTable is beneficial to the middlebox administrator in that the table lists all MIDCOM transactions and the middlebox specific resources to which these transactions refer. For instance, multiple MIDCOM clients might end up using the same NAT bind, yet each MIDCOM client might define a Lifetime parameter and directionality for the bind that is specific to the transaction. MIDCOM-MIB implementations are responsible for impacting underlying middlebox resources so as to satisfy the sometimes overlapping requirements on the same resource from multiple MIDCOM clients.

MidcomResourceTableは、Midcomのすべてのトランザクションと、これらのトランザクションが参照するすべてのMidcomトランザクションとミドルボックス固有のリソースをリストするという点で、Middlebox管理者にとって有益です。たとえば、複数のMIDCOMクライアントが同じNATバインドを使用することになる可能性がありますが、各MIDCOMクライアントは、トランザクションに固有のバインドの生涯パラメーターと方向性を定義する可能性があります。MIDCOM-MIBの実装は、複数のMIDCOMクライアントからの同じリソースで時々重複する要件を満たすために、基礎となるミドルボックスリソースに影響を与える責任があります。

Managing these resources is not a trivial task for MIDCOM-MIB implementers. It is possible that different MIDCOM-MIB policy rules owned by different MIDCOM clients share a NAT binding or a firewall rule. Then common properties, for example, the lifetime of the resource, need to be managed such that all clients are served well and changes to these resources need to be communicated to all affected clients. Also, dependencies between resources, for example, the precedence order of firewall rules, need to be considered carefully in order to avoid that different policy rules -- potentially owned by different clients -- influence each other.

これらのリソースを管理することは、Midcom-MIB実装者にとって些細なタスクではありません。さまざまなMidcomクライアントが所有するさまざまなMidcom-MIBポリシールールがNATバインディングまたはファイアウォールルールを共有している可能性があります。その後、一般的なプロパティは、たとえば、リソースの寿命を管理する必要があり、すべてのクライアントが適切に提供され、これらのリソースの変更を影響を受けるすべてのクライアントに伝える必要があります。また、たとえば、リソース間の依存関係は、ファイアウォールルールの優先順序を慎重に検討する必要があります。異なるポリシールール(異なるクライアントが所有する可能性がある)が互いに影響を与えることを回避する必要があります。

MIDCOM clients may use the midcomResourceTable of the MIDCOM-MIB module in conjunction with the NAT-MIB module [RFC4008] to determine which resources of the NAT are used for MIDCOM. The NAT-MIB module stores the configured NAT bindings and sessions, and MIDCOM clients can use the information of the midcomResourceTable to sort out those NAT resources that are used by the MIDCOM-MIB module.

MIDCOMクライアントは、MIDCOM-MIBモジュールのMIDCOMRESOURCETABLEをNAT-MIBモジュール[RFC4008]と組み合わせて使用して、MIDCOMに使用されるNATのリソースを決定できます。NAT-MIBモジュールは、構成されたNATバインディングとセッションを保存し、MidcomのクライアントはMidComResourceTableの情報を使用して、Midcom-MIBモジュールで使用されているNATリソースを整理できます。

5.3.2. midcomStatistics
5.3.2. 中comstatistics

The statistics subtree contains a set of non-columnar objects that provide 'MIDCOM protocol statistics', i.e., statistics about the usage of transaction objects.

統計サブツリーには、「MIDCOMプロトコル統計」を提供する非列オブジェクトのセット、つまりトランザクションオブジェクトの使用に関する統計が含まれています。

o midcomCurrentOwners This object indicates the number of different values for midcomRuleOwner for all current entries in the midcomRuleTable.

o MidComCurrentownersこのオブジェクトは、MidComRuleTableのすべての現在のエントリについて、MidComrule Ownerの異なる値の数を示しています。

o midcomOwnersTotal This object indicates the summarized number of all different values that occurred for midcomRuleOwner in the midcomRuleTable current and in the past.

o Midcomownorstotalこのオブジェクトは、中comuruletable電流および過去に中comprule所有者のために発生したすべての異なる値の要約数を示しています。

o midcomTotalRejectedRuleEntries This object indicates the total number of failed attempts to create an entry in the midcomRuleTable.

o midcomtotalrejectedRuleEntriesこのオブジェクトは、MidComRuleTableでエントリを作成するための失敗した試みの総数を示します。

o midcomCurrentRulesIncomplete This object indicates the total number of policy rules that have not been fully loaded into a table row of the midcomRuleTable.

o MidComCurrentrulesIncomleteこのオブジェクトは、MidComRuleTableのテーブル列に完全にロードされていないポリシールールの総数を示します。

o midcomTotalIncorrectReserveRules This object indicates the total number of policy reserve rules that were rejected because the request was incorrect.

o midcomtotalincorrectreserverulesこのオブジェクトは、要求が正しくなかったため拒否されたポリシーリザーブルールの総数を示します。

o midcomTotalRejectedReserveRules This object indicates the total number of policy reserve rules that were failed while being processed.

o midcomtotalrejectedReserverulesこのオブジェクトは、処理中に失敗したポリシーリザーブルールの総数を示します。

o midcomCurrentActiveReserveRules This object indicates the number of currently active policy reserve rules in the midcomRuleTable.

o MidComCurrentactiverEserverulesこのオブジェクトは、MidcomRuletableの現在のアクティブなポリシーリザーブルールの数を示しています。

o midcomTotalExpiredReserveRules This object indicates the total number of expired policy reserve rules.

o MidComTotAlExpiredReserverulesこのオブジェクトは、期限切れのポリシーリザーブルールの総数を示しています。

o midcomTotalTerminatedOnRqReserveRules This object indicates the total number of policy reserve rules that were terminated on request.

o midcomtotalterminatedonrqreserverulesこのオブジェクトは、要求に応じて終了したポリシーリザーブルールの総数を示します。

o midcomTotalTerminatedReserveRules This object indicates the total number of policy reserve rules that were terminated, but not on request.

o midcomtotalterminatedreserverulesこのオブジェクトは、終了したがリクエストされていないポリシーリザーブルールの総数を示しています。

o midcomTotalIncorrectEnableRules This object indicates the total number of policy enable rules that were rejected because the request was incorrect.

o midcomtotalincorrectenablerulesこのオブジェクトは、リクエストが間違っていたため拒否されたポリシーを有効にするルールの総数を示します。

o midcomTotalRejectedEnableRules This object indicates the total number of policy enable rules that were failed while being processed.

o MidComTotalrejectedEnablerulesこのオブジェクトは、処理中に失敗したポリシーを有効にするルールの総数を示します。

o midcomCurrentActiveEnableRules This object indicates the number of currently active policy enable rules in the midcomRuleTable.

o MidComCurreantActiveEnableresこのオブジェクトは、現在アクティブなポリシー有効化ルールの数をMidcomRuletableで示しています。

o midcomTotalExpiredEnableRules This object indicates the total number of expired policy enable rules.

o MidComTotalExpiredEnablerulesこのオブジェクトは、期限切れのポリシーを有効にするルールの総数を示します。

o midcomTotalTerminatedOnRqEnableRules This object indicates the total number of policy enable rules that were terminated on request.

o midcomtotalterminatedonrqenablerulesこのオブジェクトは、要求に応じて終了したポリシー有効化ルールの総数を示します。

o midcomTotalTerminatedEnableRules This object indicates the total number of policy enable rules that were terminated, but not on request.

o MidcomtotalterminatedEnablerulesこのオブジェクトは、要求に応じて終了したが、終了したものではありませんが、ポリシーを有効にするルールの総数を示します。

5.4. Notifications
5.4. 通知

For informing MIDCOM clients about state changes of MIDCOM-MIB implementations, three notifications can be used. They notify the MIDCOM client about state changes of individual policy rules or of groups of policy rules. Different notifications are used for different kinds of transactions.

MIDCOM-MIB実装の州の変更についてMIDCOMクライアントに通知するには、3つの通知を使用できます。彼らは、個々の政策規則または政策規則のグループの状態の変更についてMIDCOMクライアントに通知します。さまざまな通知がさまざまな種類のトランザクションに使用されます。

For asynchronous transactions, unsolicited notifications are used. The only asynchronous transaction that needs to be modeled by the MIDCOM-MIB is the Asynchronous Policy Rule Event (ARE). The ARE may be caused by the expiration of a policy rule lifetime, the expiration of the idle time, or an internal change in policy rule lifetime by the MIDCOM-MIB implementation for whatever reason.

非同期トランザクションの場合、未承諾通知が使用されます。Midcom-MIBでモデル化する必要がある非同期トランザクションは、非同期ポリシールールイベント(ARE)です。AREは、ポリシールールの寿命の有効期限、アイドル時間の有効期限、または何らかの理由でMIDCOM-MIB実装によるポリシールールの寿命の内部変更によって引き起こされる場合があります。

For configuration transactions, solicited notifications are used. This concerns the Policy Reserve Rule (PRR) transaction, the Policy Enable Rule (PER) transaction, the Policy Rule Lifetime Change (RLC) transaction, and the Group Lifetime Change (GLC) transaction.

構成トランザクションの場合、勧誘された通知が使用されます。これは、ポリシーリザーブルール(PRR)トランザクション、ポリシーを有効にするルール(PER)トランザクション、ポリシールールライフタイム変更(RLC)トランザクション、およびグループライフタイム変更(GLC)トランザクションに関係しています。

The separation between unsolicited and solicited notifications gives the implementer of a MIDCOM client some freedom to make design decisions on how to model the MIDCOM reply message as described at the end of section 4.2.2. Depending on the choice, processing of solicited notifications may not be required. In such a case, delivery of solicited notification may be disabled, for example, by an appropriate configuration of the snmpNotifyFilterTable such that solicited notifications are filtered differently to unsolicited notifications.

未承諾と勧誘された通知の分離により、MIDCOMクライアントの実装者は、セクション4.2.2の最後で説明されているように、MIDCOMの返信メッセージをモデル化する方法について設計上の決定を行う自由を与えることができます。選択に応じて、勧誘された通知の処理は必要ない場合があります。このような場合、勧誘された通知の配信は、たとえば、SNMPNOTIFYFILTERTABLEの適切な構成によって無効になる場合があります。

o midcomUnsolicitedRuleEvent This notification can be generated for indicating the change of a policy rule's state or lifetime. It is used for performing the ARE transaction.

o MidcomunsolicitedRuleeventこの通知は、ポリシールールの状態または生涯の変更を示すために生成できます。AREトランザクションの実行に使用されます。

o midcomSolicitedRuleEvent This notification can be generated for indicating the requested change of a policy rule's state or lifetime. It is used for performing PRR, PER, and RLC transactions.

o MidComSolicitedRuleEventこの通知は、ポリシールールの状態または生涯の要求された変更を示すために生成できます。PRR、PER、およびRLCトランザクションの実行に使用されます。

o midcomSolicitedGroupEvent This notification can be generated for indicating the requested change of a policy rule group's lifetime. It is used for performing the GLC transaction.

o MidComSolicitedGroupEventこの通知は、ポリシールールグループの生涯の要求された変更を示すために生成できます。GLCトランザクションの実行に使用されます。

6. Recommendations for Configuration and Operation
6.

Configuring MIDCOM-MIB security is highly sensitive for obvious reasons. This section gives recommendations for securely configuring the SNMP agent acting as MIDCOM server. In addition, recommendations for avoiding idempotency problems are given and restrictions of MIDCOM-MIB applicability to a special set of applications are discussed.

Midcom-MIBセキュリティの構成は、明らかな理由で非常に敏感です。このセクションでは、Midcomサーバーとして機能するSNMPエージェントを安全に構成するための推奨事項を示します。さらに、アイデル性の問題を回避するための推奨事項が与えられ、特別なアプリケーションセットに対するMidcom-MIBの適用性の制限について説明します。

6.1. Security Model Configuration
6.1. セキュリティモデルの構成

Since controlling firewalls and NATs is highly sensitive, it is RECOMMENDED that SNMP Command Responders implementing the MIDCOM-MIB module use the authPriv security level for all users that may access managed objects of the MIDCOM-MIB module.

ファイアウォールとNATを制御することは非常に敏感であるため、MIDCOM-MIBモジュールを実装するSNMPコマンドレスポンダーは、MIDCOM-MIBモジュールの管理されたオブジェクトにアクセスできるすべてのユーザーにAUTHPRIVセキュリティレベルを使用することをお勧めします。

6.2. VACM Configuration
6.2. vacm構成

Entries in the midcomRuleTable and the midcomGroupTable provide information about existing firewall pinholes and/or NAT sessions. They also could be used for manipulating firewall pinholes and/or NAT sessions. Therefore, access control to these objects is essential and should be restrictive.

MidcomRuleTableおよびMidComgroutableのエントリは、既存のファイアウォールのピンホールおよび/またはNATセッションに関する情報を提供します。また、ファイアウォールのピンホールやNATセッションの操作にも使用できます。したがって、これらのオブジェクトへのアクセス制御が不可欠であり、制限的である必要があります。

It is RECOMMENDED that SNMP Command Responders instantiating an implementation of the MIDCOM-MIB module use VACM for controlling access to managed objects in the midcomRuleTable and the midcomGroupTable.

Midcom-MIBモジュールの実装をインスタンス化するSNMPコマンドレスポンダーは、vacmを使用して、midcomRuletableおよびmidcomgruptableの管理されたオブジェクトへのアクセスを制御するためにvacmを使用することをお勧めします。

It is further RECOMMENDED that individual MIDCOM clients, acting as SNMP Command Generators, only have access to an entry in the midcomRuleTable, the midcomResourceTable, or the midcomGroupTable, if they created the entry directly in the midcomRuleTable or indirectly in the midcomGroupTable and midcomResourceTable. Exceptions to this recommendation are situations where access by multiple MIDCOM clients to managed objects is explicitly required. One example is fail-over for MIDCOM agents where the stand-by MIDCOM agent needs the same access rights to managed objects as the currently active MIDCOM agent. Another example is a supervisor MIDCOM agent that monitors activities of other MIDCOM agents and/or may be used by network management systems to modify entries in tables of the MIDCOM-MIB.

さらに、SNMPコマンドジェネレーターとして機能する個々のMIDCOMクライアントは、MidcomRuletableまたはMidcomRuletableまたは間接的にミッドコムグラージュおよびミッドコンプレッスルの入手可能で直接エントリを作成した場合、MidcomRuletable、MidcomResourcable、またはMidComgroutableのエントリのみにアクセスできることをさらにお勧めします。この推奨事項の例外は、複数のMIDCOMクライアントから管理されたオブジェクトへのアクセスが明示的に必要である状況です。1つの例は、スタンバイミッドコムエージェントが現在アクティブなMIDCOMエージェントと同じアクセス権を必要とするMIDCOMエージェントのフェールオーバーです。もう1つの例は、他のMIDCOMエージェントのアクティビティを監視するスーパーバイザーMIDCOMエージェントです。

For this reason, all three tables listed above have the midcomRuleOwner as initial index. It is RECOMMENDED that MIDCOM clients acting as SNMP Command Generator have access to the midcomRuleTable and the midcomGroupTable restricted to entries with the initial index matching either their SNMP securityName or their VACM groupName. It is RECOMMENDED that they do not have access to entries in these tables with initial indices other than their SNMP securityName or their VACM groupName. It is RECOMMENDED that this VACM configuration is applied to read access, write access, and notify access for all objects in the midcomRuleTable and the midcomGroupTable.

Note that less restrictive access rights MAY be granted to other users, for example, to a network management application, that monitors MIDCOM policy rules.

MIDCOMポリシールールを監視する、たとえば他のユーザー、たとえばネットワーク管理アプリケーションに他のユーザーに許可されることがないことに注意してください。

6.3. Notification Configuration
6.3. 通知設定

For each MIDCOM client that has access to the midcomRuleTable, a notification target SHOULD be configured at a Command Responder instantiating an implementation of the MIDCOM-MIB. It is RECOMMENDED that such a configuration be retrievable from the Command Responder via the SNMP-TARGET-MIB [RFC3413].

MidcomRuletableにアクセスできるMIDCOMクライアントごとに、Midcom-MIBの実装をインスタンス化するコマンドレスポンダーで通知ターゲットを構成する必要があります。このような構成は、SNMPターゲット-MIB [RFC3413]を介してコマンドレスポンダーから取得できることをお勧めします。

For each entry of the snmpTargetAddrTable that is related to a MIDCOM client, there SHOULD be an individual corresponding entry in the snmpTargetParamsTable.

MIDCOMクライアントに関連するSNMPTARGETADDRTABLEの各エントリについて、SNMPTARGETPARAMSTABLEには個別のエントリがあるはずです。

An implementation of the MIDCOM-MIB SHOULD also implement the SNMP-NOTIFICATION-MIB [RFC3413]. An instance of an implementation of the MIDCOM-MIB SHOULD have an individual entry in the snmpNotifyFilterProfileTable for each MIDCOM client that has access to the midcomRuleTable.

Midcom-MIBの実装は、SNMP-Notification-MIB [RFC3413]も実装する必要があります。MIDCOM-MIBの実装のインスタンスには、MidComComRuleTableにアクセスできるMIDCOMクライアントごとにSNMPNOTIFYFILTERPROFILETABLEに個別のエントリが必要です。

An instance of an implementation of the MIDCOM-MIB SHOULD allow MIDCOM clients to start and stop the generation of notifications targeted at themselves. This SHOULD be realized by giving the MIDCOM clients write access to the snmpNotifyFilterTable. If appropriate entries of the snmpNotifyFilterTable are established in advance, then this can be achieved by granting MIDCOM clients write access only to the columnar object snmpNotifyFilterType.

Midcom-MIBの実装のインスタンスにより、Midcomクライアントは自分自身を対象とした通知の生成を開始および停止できるようにする必要があります。これは、MIDCOMクライアントにSNMPNOTIFYFILTERTABLEへのアクセスを書き留めることで実現する必要があります。SNMPNOTIFYFILTERTABLEの適切なエントリが事前に確立されている場合、これはMIDCOMクライアントにColunarオブジェクトSNMPNOTIFYFILTERTYPEへのみアクセスを許可することで実現できます。

It is RECOMMENDED that VACM be configured such that each MIDCOM agent can only access entries in the snmpTargetAddrTable, the snmpTargetParamsTable, the snmpNotifyFilterProfileTable, and the snmpFilterTable that concern that particular MIDCOM agent. Typically, read access to the snmpTargetAddrTable, the snmpTargetParamsTable, and the snmpNotifyFilterProfileTable is sufficient. Write access may be required for objects of the snmpFilterTable.

各MIDCOMエージェントがSNMPTARGETADDRTABLE、SNMPTARGETPARMSTABLE、SNMPNOTIFYFILTERPROFILETABLE、および特定のMIDCOMエージェントに関するSNMPFilterTableのエントリのみにのみアクセスできるように、vacmを構成することをお勧めします。通常、SNMPTARGETADDRTABLE、SNMPTARGETGERAMSTABLE、およびSNMPNOTIFYFILTERPROFILETABLEへのアクセスを読み取ります。snmpfiltertableのオブジェクトには、書き込みアクセスが必要になる場合があります。

6.4. Simultaneous Access
6.4. 同時アクセス

Situations with two MIDCOM clients simultaneously modifying the same policy rule should be avoided. For each entry in the midcomRuleTable, there should be only one client at a time that modifies it. If two MIDCOM clients share the same midcomRuleOwner index of the midcomRuleTable, then conflicts can be avoided, for example, by

同じポリシールールを同時に変更する2つのMIDCOMクライアントとの状況は避ける必要があります。MidComRuleTableの各エントリについて、それを変更する一度に1つのクライアントのみがいるはずです。2人のMIDCOMクライアントがMidComRuleTableの同じMidComruleOwnerインデックスを共有している場合、たとえば、競合を回避できます。

- scheduling access times, as, for example, in the fail-over case; - using different midcomGroupIndex values per client; or - using non-overlapping intervals for values of the midcomRuleIndex per client.

- たとえば、フェールオーバーの場合のように、アクセス時間のスケジューリング。 - クライアントごとに異なるMidComgroupIndex値を使用します。または - クライアントごとのMidComruleIndexの値に対して、重複しない間隔を使用します。

6.5. Avoiding Idempotency Problems
6.5. idempotencyの問題を回避します

As already discussed in section 4.2.4.4, the following recommendation is given for avoiding idempotency problems.

セクション4.2.4.4で既に説明したように、等隊の問題を回避するために、次の推奨事項が提供されています。

In general, idempotency problems can be solved by including snmpSetSerialNo (see [RFC3418]) in SNMP SET requests.

一般に、SNMPセットリクエストにSNMPSETSERIALNO([RFC3418]を参照)を含めることにより、等隊の問題を解決できます。

In case this feature is not used, it is RECOMMENDED that the value of the SNMP retransmission timer of a MIDCOM client (acting as SNMP Command Generator) is lower than the smallest requested value for any rule lifetime or rule idle time in order to prevent idempotency problems with setting midcomRuleLifetime and midcomRuleMaxIdleTime when retransmitting an SNMP SET request after a lost SNMP reply.

この機能が使用されない場合、MIDCOMクライアントのSNMP再送信タイマー(SNMPコマンドジェネレーターとして機能する)の値は、等隊を防ぐために、ルールの生涯またはルールアイドル時間の最小要求値よりも低いことをお勧めします紛失したSNMP返信後にSNMPセットリクエストを再送信したときに、中comrulelifetimeおよびmidcomrulemaxidletimeの設定に関する問題。

MIDCOM client implementations MAY completely avoid this problem by configuring their SNMP stack such that no retransmissions are sent.

Midcomクライアントの実装は、再送信が送信されないようにSNMPスタックを構成することにより、この問題を完全に回避する場合があります。

Similar considerations apply to MIDCOM-MIB implementations acting as Notification Originator when sending a notification (midcomUnsolicitedRuleEvent, midcomSolicitedRuleEvent or midcomSolicitedGroupEvent) containing the remaining lifetime of a policy rule or a policy rule group, respectively.

それぞれ、ポリシールールまたはポリシールールグループの残りの寿命を含む通知(MidComunSolicitedRuleEvent、MidComunsolicitedRuleEvent、MidComunsolicitedRuleEvent、またはMidComSolicitedGroupEvent)をそれぞれ送信する際に、通知オリジネーターとして機能するMIDCOM-MIB実装に同様の考慮事項が適用されます。

6.6. Interface Indexing Problems
6.6. インターフェイスインデックス作成の問題

A well-known problem of MIB modules is indexing IP interfaces after a re-initialization of the managed device. The index for interfaces provided by the ifTable (see IF-MIB in [RFC2863]) may change during re-initialization, for example, when physical interfaces are added or removed.

MIBモジュールのよく知られている問題は、管理されたデバイスの再初期化後のIPインターフェイスのインデックス作成です。IFTableによって提供されるインターフェイスのインデックス([RFC2863]のif-mibを参照)は、たとえば物理インターフェイスが追加または削除された場合、再初期化中に変化する場合があります。

The MIDCOM-MIB module uses the interface index for indicating at which interface which policy rule is (or is to be) applied. Also, this index is used for indicating how policy rules are prioritized at certain interfaces. The MIDCOM-MIB module specification requires that information provided is always correct. This implies that after re-initialization, interface index values of policy rules or firewall configurations may have changed even though they still refer to the same interface as before the re-initialization.

MIDCOM-MIBモジュールは、インターフェイスインデックスを使用して、どのポリシールールが適用される(または適用される)インターフェイスを示すことを示します。また、このインデックスは、特定のインターフェイスでポリシールールがどのように優先されるかを示すために使用されます。MIDCOM-MIBモジュールの仕様では、提供される情報が常に正しいことが必要です。これは、再初期化後、ポリシールールまたはファイアウォールの構成のインターフェイスインデックス値が変更された場合でも変更された可能性があることを意味します。

MIDCOM client implementations need to be aware of this potential behavior. It is RECOMMENDED that before writing the value or using the value of indices that depend on the ifTable the MIDCOM client checks if the middlebox has been re-initialized recently.

MIDCOMクライアントの実装は、この潜在的な動作に注意する必要があります。値を書き込む前に、またはIFTableに依存するインデックスの値を使用する前に、Midcomクライアントが最近再開されたかどうかをチェックすることをお勧めします。

MIDCOM-MIB module implementations MUST track interface changes of IP interface indices in the ifTable. This implies that after a re-initialization of a middlebox, a MIDCOM-MIB implementation MUST make sure that each instance of an interface index in the MIDCOM-MIB tables still points to the same interface as before the re-initialization. For any instance for which this is not possible, all affected entries in tables of the MIDCOM-MIB module MUST be either terminated, disabled, or deleted, as specified in the DESCRIPTION clause of the respective object. This concerns all objects in the MIDCOM-MIB module that are of type InterfaceIndexOrZero.

MIDCOM-MIBモジュールの実装は、IFTableのIPインターフェイスインデックスのインターフェイスの変更を追跡する必要があります。これは、Midcom-MIBテーブルのインターフェイスインデックスの各インスタンスが再開向前と同じインターフェイスを指していることを確認する必要があることを意味します。これが不可能な場合、Midcom-MIBモジュールのテーブルのすべての影響を受けるエントリは、それぞれのオブジェクトの説明句で指定されているように、終了、無効、または削除する必要があります。これは、interfaceindexorzeroの型であるMidcom-mibモジュールのすべてのオブジェクトに関係しています。

6.7. Applicability Restrictions
6.7. 適用性の制限

As already discussed in section 5.1.1, the MIDCOM-MIB requires the MIDCOM client to specify address tuples A0 and A3. This can be a problem for applications that do not have this information available when they need to configure the middlebox. For some applications, there are usage scenarios where address information is only available for a single address realm, A0 and A1 in the private realm or A2 and A3 in the public realm. An example is an FTP application using the PORT command (instead of the PASV command). The problem occurs when the middlebox offers twice-NAT functionality.

セクション5.1.1ですでに説明したように、MIDCOM-MIBでは、MIDCOMクライアントがアドレスタプルA0およびA3を指定する必要があります。これは、ミドルボックスを構成する必要があるときにこの情報を利用できないアプリケーションの問題になる可能性があります。一部のアプリケーションでは、アドレス情報が単一のアドレス領域、プライベートレルムのA0、A1、または公共領域のA2とA3でのみ利用可能である使用シナリオがあります。例は、PORTコマンドを使用したFTPアプリケーション(PASVコマンドの代わりに)です。問題は、ミドルボックスが2倍の機能を提供するときに発生します。

7. Usage Examples for MIDCOM Transactions
7. Midcomトランザクションの使用例

This section presents some examples that explain how a MIDCOM client acting as SNMP manager can use the MIDCOM-MIB module defined in this memo. The purpose of these examples is to explain the steps that are required to perform MIDCOM transactions. For each MIDCOM transaction defined in the MIDCOM semantics [RFC5189], a sequence of SNMP operations that realizes the transaction is described.

このセクションでは、SNMPマネージャーとして機能するMIDCOMクライアントが、このメモで定義されているMIDCOM-MIBモジュールをどのように使用できるかを説明するいくつかの例を示します。これらの例の目的は、Midcomトランザクションを実行するために必要な手順を説明することです。MIDCOMセマンティクス[RFC5189]で定義されているMIDCOMトランザクションごとに、トランザクションを実現するSNMP操作のシーケンス。

The examples described below are recommended procedures for MIDCOM clients. Clients may choose to operate differently.

以下に説明する例は、Midcomクライアントに推奨される手順です。クライアントは異なる動作を選択できます。

For example, they may choose not to receive solicited notifications on completion of a transaction, but to poll the MIDCOM-MIB instead until the transaction is completed. This can be achieved by performing step 2 of the SE transaction (see below) differently. The MIDCOM agent then creates an entry in the snmpNotifyFilterTable such that only the midcomUnsolicitedRuleEvent may pass the filter and is sent to the MIDCOM client. In this case, the PER, PRR, and RLC transactions require a polling loop wherever in the example below the MIDCOM client waits for a notification.

たとえば、トランザクションの完了時に勧誘された通知を受け取るのではなく、トランザクションが完了するまでMidcom-Mibを投票することを選択する場合があります。これは、SEトランザクション(以下を参照)のステップ2を異なる方法で実行することで実現できます。Midcomエージェントは、SnmpnotifyFilterTableにエントリを作成し、MidComunSolicitedRuleEventのみがフィルターを渡し、Midcomクライアントに送信されるようにします。この場合、PER、PRR、およびRLCトランザクションには、MIDCOMクライアントが通知を待っている場合はどこでも、ポーリングループが必要です。

7.1. Session Establishment (SE)
7.1. セッション設立(SE)

The MIDCOM-MIB realizes most properties of MIDCOM sessions in a very static way. Only the generation of notifications targeted at the MIDCOM client is enabled by the client for session establishment.

Midcom-Mibは、Midcomセッションのほとんどのプロパティを非常に静的な方法で実現します。MIDCOMクライアントを対象とした通知の生成のみが、セッションの確立のためにクライアントによって有効になります。

1. The MIDCOM client checks the middlebox capabilities by reading objects in the midcomCapabilitiesGroup.

1. MIDCOMクライアントは、MidComCapabilitiesGroupのオブジェクトを読み取ることにより、ミドルボックス機能をチェックします。

2. The MIDCOM client enables generation of notifications on events concerning the policy rules controlled by the client. If the SNMP-NOTIFICATION-MIB is supported as recommended by section 6.3 of this document, then the agent just has to change the value of a object snmpNotifyFilterType in the corresponding entry of the snmpNotifyFilterTable from included(1) to excluded(2).

2. MIDCOMクライアントは、クライアントが管理するポリシールールに関するイベントに関する通知の生成を可能にします。このドキュメントのセクション6.3で推奨されるようにSNMP-notification-mibがサポートされている場合、エージェントは、snmpnotifyfiltertableの対応するエントリ(1)から除外(2)に対応するオブジェクトsnmpnotifyfiltertypeの値を変更する必要があります。

7.2. Session Termination (ST)
7.2. セッション終了(ST)

For terminating a session, the MIDCOM client just disables the generation of notifications for this client.

セッションを終了するために、MIDCOMクライアントはこのクライアントの通知の生成を無効にします。

1. The MIDCOM client disables generation of notifications on events concerning the policy rules controlled by the client. If the SNMP-NOTIFICATION-MIB is supported as recommended by section 6.3 of this document, then the agent just has to change the value of a object snmpNotifyFilterType in the corresponding entry of the snmpNotifyFilterTable from included(1) to excluded(2).

1. MIDCOMクライアントは、クライアントが管理するポリシールールに関するイベントに関する通知の生成を無効にします。このドキュメントのセクション6.3で推奨されるようにSNMP-notification-mibがサポートされている場合、エージェントは、snmpnotifyfiltertableの対応するエントリ(1)から除外(2)に対応するオブジェクトsnmpnotifyfiltertypeの値を変更する必要があります。

7.3. Policy Reserve Rule (PRR)
7.3. 政策準備規則(PRR)

This example explains steps that may be performed by a MIDCOM client to establish a policy reserve rule.

この例では、Policy Reserveルールを確立するためにMIDCOMクライアントが実行できる手順を説明します。

1. The MIDCOM client creates a new entry in the midcomRuleTable by writing to midcomRuleRowStatus. The chosen value for index object midcomGroupIndex determines the group membership of the created rule. Note that choosing an unused value for midcomGroupIndex creates a new entry in the midcomGroupTable.

1. MIDCOMクライアントは、MidComRulerOwStatusに書き込むことにより、MidComRuletableに新しいエントリを作成します。インデックスオブジェクトMidcomGroupIndexの選択された値は、作成されたルールのグループメンバーシップを決定します。MidComgroupIndexの未使用の値を選択すると、MidComgroutableに新しいエントリが作成されることに注意してください。

2. The MIDCOM client sets the following objects in the new entry of the midcomRuleTable to specify all request parameters of the PRR transaction:

2. MIDCOMクライアントは、PRRトランザクションのすべての要求パラメーターを指定するために、Mid comRuletableの新しいエントリに次のオブジェクトを設定します。

- midcomRuleMaxIdleTime - midcomRuleInterface - midcomRuleTransportProtocol - midcomRulePortRange - midcomRuleInternalIpVersion

- Midcomrulemaxidletime -MidComruleInterface -MidComruleTransportProtocol -MidComrulePortrange -MidComruleinternalipversion

- midcomRuleExternalIpVersion - midcomRuleInternalIpAddr - midcomRuleInternalIpPrefixLength - midcomRuleInternalPort - midcomRuleLifetime

- MidcomRuleexternalipversion -midcomruleinternalipaddr -midcomruleinternalipprefixlength -midcomruleinternalport -midcomrulelifetime

Note that several of these parameters have default values that can be used.

これらのパラメーターのいくつかには、使用できるデフォルト値があることに注意してください。

3. The MIDCOM client sets the midcomRuleAdminStatus objects in the new row of the midcomRuleTable to reserve(1).

3. Midcomクライアントは、MidcomRuleadMinStatusオブジェクトを、予約可能なMidcomRuletableの新しい行に設定します(1)。

4. The MIDCOM client awaits a midcomSolicitedRuleEvent notification concerning the new policy rule in the midcomRuleTable. Waiting for the notification is timed out after a pre-selected maximum waiting time. In case of a timeout while waiting for the notification or if the client does not use notifications, the MIDCOM client retrieves the status of the midcomRuleEntry by one or more SNMP GET operations.

4. MIDCOMクライアントは、MidComRuleTableの新しいポリシールールに関するMidComsolItedRuleEvenventの通知を待っています。通知を待つことは、事前に選択された最大待機時間の後にタイムアウトされます。通知を待っている間にタイムアウトの場合、またはクライアントが通知を使用しない場合、MIDCOMクライアントは1つ以上のSNMPが操作を取得することによってMidComRuleEntryのステータスを取得します。

5. After receiving the midcomSolicitedRuleEvent notification, the MIDCOM client checks the lifetime value carried by the notification. If it is greater than 0, the MIDCOM client reads all positive reply parameters of the PRR transaction:

5. MidcomSolicitedRuleEventの通知を受け取った後、MIDCOMクライアントは通知によって運ばれる生涯価値をチェックします。0を超える場合、MIDCOMクライアントはPRRトランザクションのすべての肯定的な応答パラメーターを読み取ります。

- midcomRuleOutsideIpAddr - midcomRuleOutsidePort - midcomRuleMaxIdleTime - midcomRuleLifetime

- MidComruleoutSipaddr -MidComruleoutsideport -MidComrulemaxidletime -MidComrulelifetime

If the lifetime equals 0, then the MIDCOM client reads the midcomRuleOperStatus and the midcomRuleError in order to analyze the failure reason.

寿命が0に等しい場合、Midcomクライアントは、障害理由を分析するためにMidComruleoperstatusとMidcomruleerrorを読み取ります。

6. Optionally, after receiving the midcomSolicitedRuleEvent notification with a lifetime value greater than 0, the MIDCOM client may check the midcomResourceTable for the middlebox resources allocated for this policy reserve rule. Note that PRR does not necessarily allocate any middlebox resource visible in the NAT-MIB module or in a firewall MIB module, since it does a reservation only. If, however, the PRR overlaps with already existing PERs, then the PRR may be related to middlebox resources visible in other MIB modules.

6. オプションでは、0を超える生涯値でMidComSolicitedRuleEnveventの通知を受け取った後、MIDCOMクライアントは、このポリシーリザーブルールに割り当てられたミドルボックスリソースについてMIDCOMRESOURCETABLEをチェックすることができます。PRRは、予約のみを行うため、NAT-MIBモジュールまたはファイアウォールMIBモジュールに表示されるミドルボックスリソースを必ずしも割り当てるわけではないことに注意してください。ただし、PRRがすでに既存のPERSと重複している場合、PRRは他のMIBモジュールに見えるミドルボックスリソースに関連している可能性があります。

7.4. Policy Enable Rule (PER) after PRR
7.4. PRRの後のポリシーを有効にするルール(PER)

This example explains steps that may be performed by a MIDCOM client to establish a policy enable rule after a corresponding policy reserve rule was already established.

この例では、MIDCOMクライアントが実行するために実行される手順で、対応するポリシーリザーブルールがすでに確立された後にポリシーを有効にするルールを確立します。

1. The MIDCOM client sets the following objects in the row of the established PRR in the midcomRuleTable to specify all request parameters of the PER transaction:

1. MIDCOMクライアントは、PERトランザクションのすべての要求パラメーターを指定するために、Mid comRuletableの確立されたPRRの行に次のオブジェクトを設定します。

- midcomRuleMaxIdleTime - midcomRuleExternalIpAddr - midcomRuleExternalIpPrefixLength - midcomRuleExternalPort - midcomRuleFlowDirection

- Midcomrulemaxidletime -Midcomruleexternalipaddr -midcomruleexternalipprefixlength -midcomruleexternalport -midcomruleflowdirection

Note that several of these parameters have default values that can be used.

これらのパラメーターのいくつかには、使用できるデフォルト値があることに注意してください。

2. The MIDCOM client sets the midcomRuleAdminStatus objects in the row of the established PRR in the midcomRuleTable to enable(1).

2. MIDCOMクライアントは、MidComRuleAdminStatusオブジェクトを、Mid comRuletableの確立されたPRRの列に設定して有効にします(1)。

3. The MIDCOM client awaits a midcomSolicitedRuleEvent notification concerning the new row in the midcomRuleTable. Waiting for the notification is timed out after a pre-selected maximum waiting time. In case of a timeout while waiting for the notification or if the client does not use notifications, the MIDCOM client retrieves the status of the midcomRuleEntry by one or more SNMP GET operations.

3. MIDCOMクライアントは、MidComRuleTableの新しい行に関するMidComsolItedRuleEventの通知を待っています。通知を待つことは、事前に選択された最大待機時間の後にタイムアウトされます。通知を待っている間にタイムアウトの場合、またはクライアントが通知を使用しない場合、MIDCOMクライアントは1つ以上のSNMPが操作を取得することによってMidComRuleEntryのステータスを取得します。

4. After receiving the midcomSolicitedRuleEvent notification, the MIDCOM client checks the lifetime value carried by the notification. If it is greater than 0, the MIDCOM client reads all positive reply parameters of the PER transaction:

4. MidcomSolicitedRuleEventの通知を受け取った後、MIDCOMクライアントは通知によって運ばれる生涯価値をチェックします。0を超える場合、MIDCOMクライアントは、トランザクションごとのすべての肯定的な応答パラメーターを読み取ります。

- midcomRuleInsideIpAddr - midcomRuleInsidePort - midcomRuleMaxIdleTime

- Midcomruleinsideipaddr -Midcomruleinsideport -Midcomrulemaxidletime

If the lifetime equals 0, then the MIDCOM client reads the midcomRuleOperStatus and the midcomRuleError in order to analyze the failure reason.

寿命が0に等しい場合、Midcomクライアントは、障害理由を分析するためにMidComruleoperstatusとMidcomruleerrorを読み取ります。

5. Optionally, after receiving the midcomSolicitedRuleEvent notification with a lifetime value greater than 0, the MIDCOM client may check the midcomResourceTable for the allocated middlebox resources for this policy enable rule.

5. オプションでは、0を超える生涯値でMidComSolicitedRuleEnveventの通知を受け取った後、MIDCOMクライアントは、このポリシーを有効にするルールの割り当てられたMiddleboxリソースについてMidComResourceTableをチェックすることができます。

7.5. Policy Enable Rule (PER) without Previous PRR
7.5. 以前のPRRなしのポリシーを有効にするルール(PER)

This example explains steps that may be performed by a MIDCOM client to establish a policy enable rule for which no PRR transaction has been performed before.

この例では、MIDCOMクライアントが実行できる手順で、PRRトランザクションが以前に実行されていないポリシーを有効にするルールを確立します。

1. Identical to step 1 for PRR (section 7.3).

1. PRRのステップ1と同じ(セクション7.3)。

2. Identical to step 2 for PRR (section 7.3).

2. PRRのステップ2と同じ(セクション7.3)。

3. The MIDCOM client sets the following objects in the new row of the midcomRuleTable to specify all request parameters of the PER transaction:

3. MIDCOMクライアントは、次のオブジェクトをMIDComRuleTableの新しい行に設定して、トランザクションごとのすべての要求パラメーターを指定します。

- midcomRuleInterface - midcomRuleFlowDirection - midcomRuleTransportProtocol - midcomRulePortRange - midcomRuleInternalIpVersion - midcomRuleExternalIpVersion - midcomRuleInternalIpAddr - midcomRuleInternalIpPrefixLength - midcomRuleInternalPort - midcomRuleExternalIpAddr - midcomRuleExternalIpPrefixLength - midcomRuleExternalPort - midcomRuleLifetime

- MidComruleInterface -MidComRuleFlowDirection -MidComruleTransportProtocol -MidComrulePortrange -MidComruleinternalipversion -Midcomruleexternalipversion -Midcomruleinternalipaddr -Midcomruleinternalipfrefixled -compruleinternalterterterternalterternalterterporporter

Note that several of these parameters have default values that can be used.

これらのパラメーターのいくつかには、使用できるデフォルト値があることに注意してください。

4. The MIDCOM client sets the midcomRuleAdminStatus objects in the new row of the midcomRuleTable to enable(1).

4. MIDCOMクライアントは、MidComRuleTatusの新しい行にMidcomRuleAdminStatusオブジェクトを有効にするために設定します(1)。

5. Identical to step 4 for PRR (section 7.3).

5. PRRのステップ4と同じ(セクション7.3)。

6. After receiving the midcomSolicitedRuleEvent notification, the MIDCOM client checks the lifetime value carried by the notification. If it is greater than 0, the MIDCOM client reads all positive reply parameters of the PRR transaction:

6. MidcomSolicitedRuleEventの通知を受け取った後、MIDCOMクライアントは通知によって運ばれる生涯価値をチェックします。0を超える場合、MIDCOMクライアントはPRRトランザクションのすべての肯定的な応答パラメーターを読み取ります。

- midcomRuleInsideIpAddr - midcomRuleInsidePort - midcomRuleOutsideIpAddr - midcomRuleOutsidePort - midcomRuleMaxIdleTime

- Midcomruleinsideipaddr -midcomruleinsideport -midcomruleoutsipaddr -midcomruleoutsideport -midcomrulemaxidletime

If the lifetime equals 0, then the MIDCOM client reads the midcomRuleOperStatus and the midcomRuleError in order to analyze the failure reason.

寿命が0に等しい場合、Midcomクライアントは、障害理由を分析するためにMidComruleoperstatusとMidcomruleerrorを読み取ります。

7. Optionally, after receiving the midcomSolicitedRuleEvent notification with a lifetime value greater than 0, the MIDCOM client may check the midcomResourceTable for the allocated middlebox resources for this policy enable rule.

7. オプションでは、0を超える生涯値でMidComSolicitedRuleEnveventの通知を受け取った後、MIDCOMクライアントは、このポリシーを有効にするルールの割り当てられたMiddleboxリソースについてMidComResourceTableをチェックすることができます。

7.6. Policy Rule Lifetime Change (RLC)
7.6. ポリシールールライフタイム変更(RLC)

This example explains steps that may be performed by a MIDCOM client to change the lifetime of a policy rule. Changing the lifetime to 0 implies terminating the policy rule.

この例では、Policyルールの寿命を変更するためにMIDCOMクライアントが実行できる手順を説明します。寿命を0に変更すると、ポリシールールが終了することを意味します。

1. The MIDCOM client issues a SET request for writing the desired lifetime to the midcomRuleLifetime object in the corresponding row of the midcomRuleTable. This does not have any effect if the lifetime is already expired.

1. MIDCOMクライアントは、MidComRuleTableの対応する行で、目的の寿命をMidcomRulifetimeオブジェクトに書き込むためのセットリクエストを発行します。これは、寿命がすでに期限切れになっている場合、何の影響もありません。

2. The MIDCOM client awaits a midcomSolicitedRuleEvent notification concerning the corresponding row in the midcomRuleTable. Waiting for the notification is timed out after a pre-selected maximum waiting time. In case of a timeout while waiting for the notification or if the client does not use notifications, the MIDCOM client retrieves the status of the midcomRuleEntry by one or more SNMP GET operations.

2. MIDCOMクライアントは、MidComRuleTableの対応する行に関するMidComsolicitedRuleEnveventの通知を待っています。通知を待つことは、事前に選択された最大待機時間の後にタイムアウトされます。通知を待っている間にタイムアウトの場合、またはクライアントが通知を使用しない場合、MIDCOMクライアントは1つ以上のSNMPが操作を取得することによってMidComRuleEntryのステータスを取得します。

3. After receiving the midcomSolicitedRuleEvent notification MIDCOM client checks the lifetime value carried by the notification.

3. MidcomSolicitedRuleEvent通知のMidcomクライアントを受信した後、通知によって運ばれる生涯価値をチェックします。

7.7. Policy Rule List (PRL)
7.7. ポリシールールリスト(PRL)

The SNMP agent can browse the list of policy rules by browsing the midcomRuleTable. For each observed row in this table, the SNMP agent should check the midcomRuleOperStatus in order to find out if the row contains information about an established policy rule or of a rule that is under construction or already terminated.

SNMPエージェントは、MidcomRuletableを閲覧することにより、ポリシールールのリストを閲覧できます。この表で観察された各行について、SNMPエージェントは、行われたポリシールールに関する情報が含まれているか、建設中または既に終了したルールの情報が含まれているかどうかを調べるために、MidComruleoperstatusを確認する必要があります。

7.8. Policy Rule Status (PRS)
7.8. ポリシールールステータス(PRS)

The SNMP agent can retrieve all status information and properties of a policy rule by reading the managed objects in the corresponding row of the midcomRuleTable.

SNMPエージェントは、MidcomRuletableの対応する行で管理されたオブジェクトを読み取ることにより、ポリシールールのすべてのステータス情報とプロパティを取得できます。

7.9. Asynchronous Policy Rule Event (ARE)
7.9. 非同期ポリシールールイベント(are)

There are two different triggers for the ARE. It may be triggered by the expiration of a policy rule's lifetime or the expiration of the idle time. But beyond this, the MIDCOM-MIB implementation may terminate a policy rule at any time. In all cases, two steps are required for performing this transaction:

AREには2つの異なるトリガーがあります。ポリシールールの生涯の有効期限またはアイドル時間の有効期限によって引き起こされる場合があります。しかし、これを超えて、Midcom-MIBの実装はいつでもポリシールールを終了する可能性があります。すべての場合において、このトランザクションを実行するには2つのステップが必要です。

1. The MIDCOM-MIB implementation sends a midcomUnsolicitedRuleEvent notification containing a lifetime value of 0 to the MIDCOM client owning the rule.

1. MIDCOM-MIB実装は、ルールを所有するMIDCOMクライアントに0の生涯値を含むMIDCOMUNSOLITITEDRULEEVENTの通知を送信します。

2. If the midcomRuleStorageTime object in the corresponding row of the midcomRuleTable has a value of 0, then the MIDCOM-MIB implementation removes the row from the table. Otherwise, it sets in this row the midcomRuleLifetime object to 0 and changes the midcomRuleOperStatus object. If the event was triggered by policy lifetime expiration, then the midcomRuleOperStatus is set to timedOut(9); otherwise, it is set to terminated(11).

2. MidcomRuletableの対応する行のMidComRulestorageTimeオブジェクトの値は0の場合、Midcom-MIBの実装はテーブルから行を削除します。それ以外の場合は、この行に中midcomRulelifetimeオブジェクトを0に設定し、midcomruleoperstatusオブジェクトを変更します。イベントがポリシーの寿命の有効期限によってトリガーされた場合、MidComruleoperstatusはタイムドアウト(9)に設定されます。それ以外の場合は、終了するように設定されています(11)。

7.10. Group Lifetime Change (GLC)
7.10. グループライフタイムチェンジ(GLC)

This example explains steps that may be performed by a MIDCOM client to change the lifetime of a policy rule group. Changing the lifetime to 0 implies terminating all member policies of the group.

この例では、Policyルールグループの寿命を変更するためにMIDCOMクライアントが実行できる手順を説明します。寿命を0に変更することは、グループのすべてのメンバーポリシーを終了することを意味します。

1. The MIDCOM client issues a SET request for writing the desired lifetime to the midcomGroupLifetime object in the corresponding row of the midcomGroupTable.

1. MIDCOMクライアントは、MidComgroutableの対応する行で、目的の寿命をMidcomGrouplififetimeオブジェクトに書き込むためのセットリクエストを発行します。

2. The MIDCOM client waits for a midcomSolicitedGroupEvent notification concerning the corresponding row in the midcomGroupTable. Waiting for the notification is timed out after a pre-selected maximum waiting time. In case of a timeout while waiting for the notification or if the client does not use notifications, the MIDCOM client retrieves the status of the midcomGroupEntry by one or more SNMP GET operations.

2. MIDCOMクライアントは、MidComgrouptableの対応する行に関するMidComsolicitedGroupEventの通知を待ちます。通知を待つことは、事前に選択された最大待機時間の後にタイムアウトされます。通知を待っている間にタイムアウトの場合、またはクライアントが通知を使用しない場合、MIDCOMクライアントは1つ以上のSNMPが操作を取得することによってMidComgroupEntryのステータスを取得します。

3. After receiving the midcomSolicitedRuleEvent notification, the MIDCOM client checks the lifetime value carried by the notification.

3. MidcomSolicitedRuleEventの通知を受け取った後、MIDCOMクライアントは通知によって運ばれる生涯価値をチェックします。

7.11. Group List (GL)
7.11. グループリスト(GL)

The SNMP agent can browse the list of policy rule groups by browsing the midcomGroupTable. For each observed row in this table, the SNMP agent should check the midcomGroupLifetime in order to find out if the group does contain established policies.

SNMPエージェントは、MidComgroutableを閲覧することにより、ポリシールールグループのリストを閲覧できます。この表で観察された各行について、SNMPエージェントは、グループに確立されたポリシーが含まれているかどうかを調べるために、MidcomGrouplififetimeを確認する必要があります。

7.12. Group Status (GS)
7.12. グループステータス(GS)

The SNMP agent can retrieve all member policies of a group by browsing the midcomRuleTable using the midcomGroupIndex of the particular group. For retrieving the remaining lifetime of the group, the SNMP agent reads the midcomGroupLifetime object in the corresponding row of the midcomGroupTable.

SNMPエージェントは、特定のグループのMidComgroupIndexを使用してMidcomRuletableを閲覧することにより、グループのすべてのメンバーポリシーを取得できます。グループの残りの寿命を取得するために、SNMPエージェントは、MidComgroutableの対応する行でMidcomGrouplifetimeオブジェクトを読み取ります。

8. Usage Examples for Monitoring Objects
8. オブジェクトを監視するための使用例

This section presents some examples that explain how a MIDCOM client can use the midcomResourceTable to correlate policy rules with the used middlebox resources. One example is given for middleboxes implementing the NAT-MIB and another one is given for firewalls.

このセクションでは、MIDCOMクライアントがMidComResourceTableを使用して使用済みのMiddleboxリソースを相関させる方法を説明するいくつかの例を示します。NAT-MIBを実装するミドルボックスには1つの例が記載されており、別の例がファイアウォールに与えられます。

8.1. Monitoring NAT Resources
8.1. 天然資源の監視

When a rule in the midcomRuleTable is executed, it directly impacts the middlebox resources. The midcomResourceTable provides the information on the relationships between the MIDCOM-MIB policy rules and the middlebox resources used for enforcing these rules.

MidComRuletableのルールが実行されると、Middleboxリソースに直接影響します。MidcomResourceTableは、Midcom-MIBポリシールールとこれらのルールの実施に使用されるMiddleboxリソースとの関係に関する情報を提供します。

A MIDCOM-MIB policy rule will cause the creation or modification of up to two NAT bindings and up to two NAT sessions. Two NAT bindings are impacted in the case of a session being subject to twice-NAT. Two NAT bindings may also be impacted when midcomRulePortRange is set to pair(2) in the policy rule. In the majority of cases, where traditional NAT is implemented, only a single NAT binding may be adequate. Note, however, that this BindId is set to 0 if the middlebox is implementing symmetric NAT function. Two NAT sessions are created or modified only when the midcomRulePortRange is set to pair(2) in the policy rule.

Midcom-MIBポリシールールは、最大2つのNATバインディングと最大2つのNATセッションの作成または変更を引き起こします。セッションが2回NATの対象となる場合、2つのNATバインディングが影響を受けます。MidComrulePortrangeがポリシールールでペアリングされるように設定されている場合、2つのNATバインディングが影響を受ける可能性があります。ほとんどの場合、従来のNATが実装されている場合、単一のNAT結合のみが適切である可能性があります。ただし、ミドルボックスが対称NAT関数を実装している場合、このバインドは0に設定されていることに注意してください。2つのNATセッションは、MidComRulePortrangeがポリシールールのペア(2)に設定されている場合にのみ作成または変更されます。

When support for the NAT-MIB module is also available at the middlebox, the parameters in the combination of the midcomRuleTable and the midcomResourceTable for a given rule can be used to index the corresponding BIND and NAT session resources effected in the NAT-MIB. These parameters are valuable to monitor the impact on the NAT module, even when the NAT-MIB module is not implemented at the middlebox.

NAT-MIBモジュールのサポートがMiddleboxでも利用できる場合、MidcomRuletableと特定のルールのMidcomResourceTableの組み合わせのパラメーターを使用して、NAT-MIBで実行される対応するバインドおよびNATセッションリソースをインデックス化できます。これらのパラメーターは、NAT-MIBモジュールがミドルボックスに実装されていない場合でも、NATモジュールへの影響を監視するのに価値があります。

The impact of MIDCOM rules on the NAT resources is important because a MIDCOM rule not only can create BINDs and NAT sessions, but also is capable of modifying the NAT objects that already exist. For example, FlowDirection and MaxIdleTime parameters in a MIDCOM rule directly affect the TranslationEntity and MaxIdleTime of the associated NAT bind object. Likewise, MaxIdleTime in a MIDCOM rule has a direct impact on the MaxIdleTime of the associated NAT session object. The lifetime parameter in the MIDCOM rule directly impacts the lifetime of all the impacted NAT BIND and NAT session objects.

MIDCOMルールがバインドとNATセッションを作成できるだけでなく、すでに存在するNATオブジェクトを変更できるため、NATリソースに対するMIDCOMルールの影響は重要です。たとえば、MIDCOMルールのFlow -directionおよびMaxidletimeパラメーターは、関連するNATバインドオブジェクトの翻訳と最大型に直接影響します。同様に、MidcomルールのMaxidletimeは、関連するNATセッションオブジェクトのMaxidletimeに直接影響を与えます。MIDCOMルールの生涯パラメーターは、影響を受けたすべてのNATバインドおよびNATセッションオブジェクトの寿命に直接影響します。

8.2. Monitoring Firewall Resources
8.2. ファイアウォールリソースの監視

When a MIDCOM-MIB policy rule is established at a middlebox with firewall capabilities, this may lead to the creation of one or more new firewall rules. Note that in general a single firewall rule per MIDCOM-MIB policy rule will be sufficient. For each policy rule, a MIDCOM client can explore the corresponding firewall filter rule by reading the midcomResourceEntry in the midcomResourceTable that corresponds to the midcomRuleEntry describing the rule. The identification of the firewall filter rule is stored in object midcomRscFirewallRuleId. The value of midcomRscFirewallRuleId may correspond directly to any firewall filter rule number or to an entry in a locally available firewall MIB module.

Midcom-MIBポリシールールがファイアウォール機能を備えたミドルボックスで確立されると、これは1つ以上の新しいファイアウォールルールの作成につながる可能性があります。一般に、MIDCOM-MIBポリシールールごとに単一のファイアウォールルールで十分であることに注意してください。各ポリシールールについて、MIDCOMクライアントは、ルールを説明するMidComruleEntryに対応するMidComResourceTableのMidcomResourceEntryを読み取ることにより、対応するファイアウォールフィルタールールを探索できます。ファイアウォールフィルタールールの識別は、オブジェクトmidcomrscfirewallruleidに保存されます。MidcomRScFireWallRuleidの値は、ファイアウォールフィルタールール番号またはローカルで利用可能なファイアウォールMIBモジュールのエントリに直接対応できます。

9. Definitions
9. 定義

The following MIB module imports from [RFC2578], [RFC2579], [RFC2580], [RFC2863], [RFC3411], [RFC4001], and [RFC4008].

[RFC2578]、[RFC2579]、[RFC2580]、[RFC2863]、[RFC3411]、[RFC4001]、および[RFC4008]からの次のMIBモジュールのインポート。

   MIDCOM-MIB DEFINITIONS ::= BEGIN
        

IMPORTS MODULE-IDENTITY, OBJECT-TYPE, NOTIFICATION-TYPE, Unsigned32, Counter32, Gauge32, mib-2 FROM SNMPv2-SMI -- RFC 2578

インポートモジュール同一性、オブジェクトタイプ、通知タイプ、unsigned32、counter32、gauge32、mib-2 from snmpv2-smi-rfc 2578

TEXTUAL-CONVENTION, TruthValue, StorageType, RowStatus FROM SNMPv2-TC -- RFC 2579

Textual Convention、TruthValue、StorageType、Rowstatus from Snmpv2-Tc-RFC 2579

MODULE-COMPLIANCE, OBJECT-GROUP, NOTIFICATION-GROUP FROM SNMPv2-CONF -- RFC 2580

Module Compliance、Object-Group、Snmpv2-confからの通知グループ-RFC2580

SnmpAdminString FROM SNMP-FRAMEWORK-MIB -- RFC 3411

snmp-framework-mibからのsnmpadminstring-rfc 3411

InetAddressType, InetAddress, InetPortNumber, InetAddressPrefixLength FROM INET-ADDRESS-MIB -- RFC 4001

InetAddressType、inetAddress、inetportNumber、inetAddressPrefixLength from Inet-Address-Mib-RFC 4001

InterfaceIndexOrZero FROM IF-MIB -- RFC 2863

if-mibからのinterfaceindexorzero-rfc 2863

NatBindIdOrZero FROM NAT-MIB; -- RFC 4008

Nat-MibのNatbindidorzero;-RFC4008

midcomMIB MODULE-IDENTITY LAST-UPDATED "200708091011Z" -- August 09, 2007 ORGANIZATION "IETF Middlebox Communication Working Group" CONTACT-INFO "WG charter: http://www.ietf.org/html.charters/midcom-charter.html

MidCommibモジュールのアイデンティティ最終処分「200708091011Z」 - 2007年8月9日「IETF Middleboxコミュニケーションワーキンググループ」WGチャーター:http://www.ietf.org/html.charters/midcom-charter.html

           Mailing Lists:
             General Discussion: midcom@ietf.org
             To Subscribe: midcom-request@ietf.org
             In Body: subscribe your_email_address
        

Co-editor: Juergen Quittek NEC Europe Ltd. Kurfuersten-Anlage 36 69115 Heidelberg Germany Tel: +49 6221 4342-115 Email: quittek@nw.neclab.eu

共同編集者:Juergen Quittek Nec Europe Ltd. Kurfuersten-Anlage 36 69115 Heidelberg Germany Tel:49 6221 4342-115メール:quittek@nw.neclab.eu

Co-editor: Martin Stiemerling NEC Europe Ltd. Kurfuersten-Anlage 36 69115 Heidelberg Germany Tel: +49 6221 4342-113 Email: stiemerling@nw.neclab.eu

共同編集者:Martin Stiemerling Nec Europe Ltd. Kurfuersten-Anlage 36 69115 Heidelberg Germany Tel:49 6221 4342-113メール:stiemerling@nw.neclab.eu

Co-editor: Pyda Srisuresh Kazeon Systems, Inc. 1161 San Antonio Rd. Mountain View, CA 94043 U.S.A. Tel: +1 408 836-4773 Email: srisuresh@yahoo.com"

共同編集者:Pyda Srisuresh Kazeon Systems、Inc。1161 San Antonio Rd。Mountain View、CA 94043 U.S.A. Tel:1 408 836-4773メール:srisuresh@yahoo.com "

DESCRIPTION "This MIB module defines a set of basic objects for configuring middleboxes, such as firewalls and network address translators, in order to enable communication across these devices.

説明 "このMIBモジュールは、これらのデバイス間の通信を有効にするために、ファイアウォールやネットワークアドレス翻訳者などのミドルボックスを構成するための一連の基本オブジェクトを定義します。

Managed objects defined in this MIB module are structured in three kinds of objects: - transaction objects required according to the MIDCOM protocol requirements defined in RFC 3304 and according to the MIDCOM protocol semantics defined in RFC 3989, - configuration objects that can be used for retrieving or setting parameters of the implementation of transaction objects, - optional monitoring objects that provide information about used resource and statistics

このMIBモジュールで定義されている管理されたオブジェクトは、3種類のオブジェクトで構成されています。 -RFC 3304で定義されたMIDCOMプロトコル要件に従って、およびRFC 3989で定義されたMIDCOMプロトコルセマンティクスに従って、 - 取得に使用できる構成オブジェクトに従って、または、トランザクションオブジェクトの実装のパラメーターを設定する - 使用済みのリソースと統計に関する情報を提供するオプションの監視オブジェクト

The transaction objects are organized in two subtrees: - objects modeling MIDCOM policy rules in the midcomRuleTable - objects modeling MIDCOM policy rule groups in the midcomGroupTable

トランザクションオブジェクトは、2つのサブツリーで編成されています。-オブジェクトMidcomRuleTableのMidcomポリシールールをモデリングします-MidcomGruptableのMidcomポリシールールグループのモデリング

Note that typically, configuration objects are not intended to be written by MIDCOM clients. In general, write access to these objects needs to be restricted more strictly than write access to objects in the transaction subtrees.

通常、構成オブジェクトはMidcomクライアントによって書かれることを意図していないことに注意してください。一般に、これらのオブジェクトへの書き込みアクセスは、トランザクションサブツリーのオブジェクトへのアクセスを書き込むよりも厳密に制限される必要があります。

Copyright (C) The Internet Society (2008). This version of this MIB module is part of RFC 5190; see the RFC itself for full legal notices."

Copyright(c)The Internet Society(2008)。このMIBモジュールのこのバージョンは、RFC 5190の一部です。完全な法的通知については、RFC自体を参照してください。」

       REVISION    "200708091011Z"  -- August 09, 2007
       DESCRIPTION "Initial version, published as RFC 5190."
       ::= { mib-2 171 }
        

-- -- main components of this MIB module --

---このMIBモジュールの主なコンポーネント -

   midcomNotifications   OBJECT IDENTIFIER ::= { midcomMIB 0 }
   midcomObjects         OBJECT IDENTIFIER ::= { midcomMIB 1 }
   midcomConformance     OBJECT IDENTIFIER ::= { midcomMIB 2 }
        
   --  Transaction objects required according to the MIDCOM
   --  protocol requirements defined in RFC 3304 and according to
   --  the MIDCOM protocol semantics defined in RFC 3989
   midcomTransaction     OBJECT IDENTIFIER ::= { midcomObjects 1 }
        
   --  Configuration objects that can be used for retrieving
   --  middlebox capability information (mandatory) and for
        
   --  setting parameters of the implementation of transaction
   --  objects (optional)
   midcomConfig   OBJECT IDENTIFIER ::= { midcomObjects 2 }
        
   --  Optional monitoring objects that provide information about
   --  used resource and statistics
   midcomMonitoring      OBJECT IDENTIFIER ::= { midcomObjects 3 }
        
   --
   -- Transaction Objects
   --
   -- Transaction objects are structured according to the MIDCOM
   -- protocol semantics into two groups:
   --   - objects modeling MIDCOM policy rules in the midcomRuleTable
   --   - objects modeling MIDCOM policy rule groups in the
   --     midcomGroupTable
        
   --
   -- Policy rule subtree
   --
   -- The midcomRuleTable lists policy rules
   -- including policy reserve rules and policy enable rules.
   --
        

midcomRuleTable OBJECT-TYPE SYNTAX SEQUENCE OF MidcomRuleEntry MAX-ACCESS not-accessible STATUS current DESCRIPTION "This table lists policy rules.

MidComRuleEntry Max-AccessのMidComRuleTableオブジェクトタイプの構文シーケンスはアクセス不可能な現在の説明 "このテーブルはポリシールールをリストしています。

It is indexed by the midcomRuleOwner, the midcomGroupIndex, and the midcomRuleIndex. This implies that a rule is a member of exactly one group and that group membership cannot be changed.

MidComrule Owner、MidComgroupIndex、およびMidComruleIndexによってインデックス付けされています。これは、ルールが1つのグループのメンバーであり、グループメンバーシップを変更できないことを意味します。

            Entries can be deleted by writing to
            midcomGroupLifetime or midcomRuleLifetime
            and potentially also to midcomRuleStorageTime."
       ::= { midcomTransaction 3 }
        

midcomRuleEntry OBJECT-TYPE SYNTAX MidcomRuleEntry MAX-ACCESS not-accessible STATUS current DESCRIPTION "An entry describing a particular MIDCOM policy rule."

MidcomRuleEntryオブジェクトタイプの構文MidComRuleEntry Max-Accessアクセス不可能なステータス現在の説明「特定のMidcomポリシールールを説明するエントリ」。

       INDEX { midcomRuleOwner, midcomGroupIndex, midcomRuleIndex }
       ::= { midcomRuleTable 1 }
        
   MidcomRuleEntry ::= SEQUENCE {
       midcomRuleOwner                   SnmpAdminString,
       midcomRuleIndex                   Unsigned32,
       midcomRuleAdminStatus             INTEGER,
       midcomRuleOperStatus              INTEGER,
       midcomRuleStorageType             StorageType,
       midcomRuleStorageTime             Unsigned32,
       midcomRuleError                   SnmpAdminString,
       midcomRuleInterface               InterfaceIndexOrZero,
       midcomRuleFlowDirection           INTEGER,
       midcomRuleMaxIdleTime             Unsigned32,
       midcomRuleTransportProtocol       Unsigned32,
       midcomRulePortRange               INTEGER,
       midcomRuleInternalIpVersion       InetAddressType,
       midcomRuleExternalIpVersion       InetAddressType,
       midcomRuleInternalIpAddr          InetAddress,
       midcomRuleInternalIpPrefixLength  InetAddressPrefixLength,
       midcomRuleInternalPort            InetPortNumber,
       midcomRuleExternalIpAddr          InetAddress,
       midcomRuleExternalIpPrefixLength  InetAddressPrefixLength,
       midcomRuleExternalPort            InetPortNumber,
       midcomRuleInsideIpAddr            InetAddress,
       midcomRuleInsidePort              InetPortNumber,
       midcomRuleOutsideIpAddr           InetAddress,
       midcomRuleOutsidePort             InetPortNumber,
       midcomRuleLifetime                Unsigned32,
       midcomRuleRowStatus               RowStatus
   }
        

midcomRuleOwner OBJECT-TYPE SYNTAX SnmpAdminString (SIZE (0..32)) MAX-ACCESS not-accessible STATUS current DESCRIPTION "The manager who owns this row in the midcomRuleTable.

MidComruleOwnerオブジェクトタイプの構文SNMPADMINSTRING(サイズ(0..32))最大アクセスはアクセス不可能なステータス現在の説明 "MidComRuleTableでこの行を所有するマネージャー。

            This object SHOULD uniquely identify an authenticated
            MIDCOM client.  This object is part of the table index to
            allow for the use of the SNMPv3 View-based Access Control
            Model (VACM, RFC 3415)."
       ::= { midcomRuleEntry 1 }
        
   midcomRuleIndex OBJECT-TYPE
       SYNTAX      Unsigned32 (1..4294967295)
       MAX-ACCESS  not-accessible
          STATUS      current
       DESCRIPTION
           "The value of this object must be unique in
            combination with the values of the objects
            midcomRuleOwner and midcomGroupIndex in this row."
       ::= { midcomRuleEntry 3 }
        
   midcomRuleAdminStatus OBJECT-TYPE
       SYNTAX      INTEGER {
                       reserve(1),
                       enable(2),
                       notSet(3)
                   }
       MAX-ACCESS  read-create
       STATUS      current
       DESCRIPTION
           "The value of this object indicates the desired status of
            the policy rule.  See the definition of midcomRuleOperStatus
            for a description of the values.
        

When a midcomRuleEntry is created without explicitly setting this object, its value will be notSet(3).

このオブジェクトを明示的に設定せずに中compruleEntryを作成すると、その値はセットされません(3)。

However, a SET request can only set this object to either reserve(1) or enable(2). Attempts to set this object to notSet(3) will always fail with an 'inconsistentValue' error. Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.

ただし、設定された要求は、このオブジェクトを(1)または有効にする(2)のいずれかにのみ設定できます。このオブジェクトをnotset(3)に設定しようとすると、「矛盾する値」エラーが常に失敗します。このエラーコードはSNMP固有であることに注意してください。MIBモジュールがSNMPよりも他のプロトコルで使用されている場合、それらのプロトコルに固有の同様のセマンティクスを持つエラーを返す必要があります。

When the midcomRuleAdminStatus object is set, then the MIDCOM-MIB implementation will try to read the respective relevant objects of the entry and try to achieve the corresponding midcomRuleOperStatus.

MidComRuleAdMinTatusオブジェクトが設定されると、Midcom-MIBの実装は、エントリのそれぞれの関連するオブジェクトを読み取り、対応するMidComuleperstatusを達成しようとします。

Setting midcomRuleAdminStatus to value reserve(1) when object midcomRuleOperStatus has a value of reserved(7) does not have any effect on the policy rule. Setting midcomRuleAdminStatus to value enable(2) when object midcomRuleOperStatus has a value of enabled(8) does not have any effect on the policy rule.

Midcomruleadmintatusを設定して、オブジェクトMidComruleoperstatusが予約済みの値を持っている場合(7)、ポリシールールに何の影響もありません。MidcomRuleadMintatusをbalue enable(2)Object Midcomruleoperstatusの有効値を持っている場合(8)は、ポリシールールに何の影響もありません。

Depending on whether the midcomRuleAdminStatus is set to reserve(1) or enable(2), several objects must be set in advance. They serve as parameters of the policy rule to be established.

MidcomRuleAdminStatusが予約するか有効になるか(2)に設定されているかどうかに応じて、いくつかのオブジェクトを事前に設定する必要があります。それらは、確立されるポリシールールのパラメーターとして機能します。

When object midcomRuleAdminStatus is set to reserve(1), then the following objects in the same entry are of relevance: - midcomRuleInterface - midcomRuleTransportProtocol - midcomRulePortRange - midcomRuleInternalIpVersion - midcomRuleExternalIpVersion - midcomRuleInternalIpAddr - midcomRuleInternalIpPrefixLength - midcomRuleInternalPort - midcomRuleLifetime

オブジェクトMidcomRuleadMintatusが予約するように設定されている場合(1)、同じエントリの次のオブジェクトが関連性があります。

MIDCOM-MIB implementation may also consider the value of object midcomRuleMaxIdleTime when establishing a reserve rule.

Midcom-MIBの実装は、予備規則を確立する際に、オブジェクトMidComrulemaxidletimeの価値を考慮することもできます。

When object midcomRuleAdminStatus is set to enable(2), then the following objects in the same entry are of relevance: - midcomRuleInterface - midcomRuleFlowDirection - midcomRuleMaxIdleTime - midcomRuleTransportProtocol - midcomRulePortRange - midcomRuleInternalIpVersion - midcomRuleExternalIpVersion - midcomRuleInternalIpAddr - midcomRuleInternalIpPrefixLength - midcomRuleInternalPort - midcomRuleExternalIpAddr - midcomRuleExternalIpPrefixLength - midcomRuleExternalPort - midcomRuleLifetime

Midcomrulelifetime

            When retrieved, the object returns the last set value.
            If no value has been set, it returns the default value
            notSet(3)."
       DEFVAL { notSet }
       ::= { midcomRuleEntry 4 }
        
   midcomRuleOperStatus OBJECT-TYPE
       SYNTAX      INTEGER {
                       newEntry(1),
                       setting(2),
                       checkingRequest(3),
                       incorrectRequest(4),
                       processingRequest(5),
                          requestRejected(6),
                       reserved(7),
                       enabled(8),
                       timedOut(9),
                       terminatedOnRequest(10),
                       terminated(11),
                       genericError(12)
                   }
       MAX-ACCESS  read-only
       STATUS      current
       DESCRIPTION
           "The actual status of the policy rule.  The
            midcomRuleOperStatus object may have the following values:
        

- newEntry(1) indicates that the entry in the midcomRuleTable was created, but not modified yet. Such an entry needs to be filled with values specifying a request first.

- NewEntry(1)は、MidComRuletableのエントリが作成されたが、まだ変更されていないことを示しています。このようなエントリは、最初にリクエストを指定する値で満たす必要があります。

- setting(2) indicates that the entry has been already modified after generating it, but no request was made yet.

- 設定(2)は、エントリが生成後にすでに変更されていることを示していますが、まだリクエストは行われていません。

- checkingRequest(3) indicates that midcomRuleAdminStatus has recently been set and that the MIDCOM-MIB implementation is currently checking the parameters of the request. This is a transient state. The value of this object will change to either incorrectRequest(4) or processingRequest(5) without any external interaction. A MIDCOM-MIB implementation MAY return this value while checking request parameters.

- CheckingRequest(3)は、MidComRuleAdMintatusが最近設定されており、Midcom-MIBの実装が現在リクエストのパラメーターをチェックしていることを示しています。これは一時的な状態です。このオブジェクトの値は、外部の相互作用なしに、不正なレクエスト(4)またはProcessRequest(5)に変更されます。Midcom-MIBの実装は、要求パラメーターをチェックしながらこの値を返す場合があります。

- incorrectRequest(4) indicates that checking a request resulted in detecting an incorrect value in one of the objects containing request parameters. The failure reason is indicated by the value of midcomRuleError.

- 不正なレクエスト(4)は、要求をチェックすると、要求パラメーターを含むオブジェクトのいずれかで誤った値を検出したことを示します。障害の理由は、MidComuleerrorの価値によって示されます。

- processingRequest(5) indicates that midcomRuleAdminStatus has recently been set and that the MIDCOM-MIB implementation is currently processing the request and trying to configure the middlebox accordingly. This is a transient state. The value of this object will change to either requestRejected(6), reserved(7), or enabled(8) without any external interaction. A MIDCOM-MIB implementation MAY return this value while processing a request.

- ProcesseRquest(5)は、MidComRuleAdMinTatusが最近設定されており、Midcom-MIBの実装が現在リクエストを処理しており、それに応じてMiddleboxを構成しようとしていることを示しています。これは一時的な状態です。このオブジェクトの値は、外部相互作用なしに、要求(6)、予約(7)、または有効(8)に変更されます。Midcom-MIBの実装は、リクエストの処理中にこの値を返す場合があります。

- requestRejected(6) indicates that a request to establish

- RequestRejed(6)は、確立するためのリクエストが

a policy rule specified by the entry was rejected. The reason for rejection is indicated by the value of midcomRuleError.

エントリによって指定されたポリシールールは拒否されました。拒絶の理由は、MidComuleerrorの価値によって示されます。

- reserved(7) indicates that the entry describes an established policy reserve rule. These values of MidcomRuleEntry are meaningful for a reserved policy rule: - midcomRuleMaxIdleTime - midcomRuleInterface - midcomRuleTransportProtocol - midcomRulePortRange - midcomRuleInternalIpVersion - midcomRuleExternalIpVersion - midcomRuleInternalIpAddr - midcomRuleInternalIpPrefixLength - midcomRuleInternalPort - midcomRuleOutsideIpAddr - midcomRuleOutsidePort - midcomRuleLifetime

- 予約済み(7)は、エントリが確立された政策準備規則を記述していることを示しています。これらのMidComRuleEntryの値は、予約されたポリシールールにとって意味があります。 -MidComrulemaxidletime -MidComruleInterface -MidComruletransportprotocol -MidComrulePortrange -Midcomruleinternalipversion -Midcomruleexerternalipversion -Midcomruleinternalipaddr -comprule -urfruler -urfruler -urfruler -crule -comprule -comprule -comprule -comprule -comprule -comprule -crule -urfrule comprule

- enabled(8) indicates that the entry describes an established policy enable rule. These values of MidcomRuleEntry are meaningful for an enabled policy rule:

- 有効(8)は、エントリが確立されたポリシーを有効にするルールを記述していることを示します。これらのMidComRuleEntryの値は、有効なポリシールールにとって意味があります。

- midcomRuleFlowDirection - midcomRuleInterface - midcomRuleMaxIdleTime - midcomRuleTransportProtocol - midcomRulePortRange - midcomRuleInternalIpVersion - midcomRuleExternalIpVersion - midcomRuleInternalIpAddr - midcomRuleInternalIpPrefixLength - midcomRuleInternalPort - midcomRuleExternalIpAddr - midcomRuleExternalIpPrefixLength - midcomRuleExternalPort - midcomRuleInsideIpAddr - midcomRuleInsidePort - midcomRuleOutsideIpAddr - midcomRuleOutsidePort - midcomRuleLifetime

-

- timedOut(9) indicates that the lifetime of a previously established policy rule has expired and that the policy rule is terminated for this reason.

- Timedout(9)は、以前に確立されたポリシールールの寿命が期限切れになっており、この理由でポリシールールが終了したことを示しています。

- terminatedOnRequest(10) indicates that a previously established policy rule was terminated by an SNMP manager setting the midcomRuleLifetime to 0 or setting midcomGroupLifetime to 0.

- TerminatedOnRequest(10)は、以前に確立されたポリシールールがSNMPマネージャーによって終了されたことを示しています。MidComrulelifetimeを0に設定するか、MidcomGruplififetimeを0に設定します。

- terminated(11) indicates that a previously established policy rule was terminated by the MIDCOM-MIB implementation for a reason other than lifetime expiration or an explicit request from a MIDCOM client.

- 終了(11)は、以前に確立されたポリシールールが、生涯の満了またはMIDCOMクライアントからの明示的な要求以外の理由でMidcom-MIB実装によって終了したことを示しています。

- genericError(12) indicates that the policy rule specified by the entry is not established due to an error condition not listed above.

- GenericError(12)は、上記のエラー条件のためにエントリによって指定されたポリシールールが確立されていないことを示しています。

The states timedOut(9), terminatedOnRequest(10), and terminated(11) are referred to as termination states.

状態は、タイムドアウト(9)、終了時(10)、および終端(11)は、終了状態と呼ばれます。

The states incorrectRequest(4), requestRejected(6), and genericError(12) are referred to as error states.

状態は、違法なこと(4)、要求要求(6)、およびgenericError(12)がエラー状態と呼ばれます。

            The checkingRequest(3) and processingRequest(5)
            states are transient states, which will lead to either
            one of the error states or the reserved(7) state or the
            enabled(8) state.  MIDCOM-MIB implementations MAY return
            these values when checking or processing requests."
       DEFVAL { newEntry }
       ::= { midcomRuleEntry 5 }
        

midcomRuleStorageType OBJECT-TYPE SYNTAX StorageType MAX-ACCESS read-create STATUS current DESCRIPTION "When retrieved, this object returns the storage type of the policy rule. Writing to this object can change the storage type of the particular row from volatile(2) to nonVolatile(3) or vice versa.

MidComRulestorAgeTypeオブジェクトタイプタイプSyntax StorageType Max-Access Read-Createステータス現在の説明 "取得すると、このオブジェクトはポリシールールのストレージタイプを返します。(3)またはその逆。

Attempts to set this object to permanent will always fail with an 'inconsistentValue' error. Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.

このオブジェクトを永久に設定しようとすると、「一貫性のない値」エラーで常に失敗します。このエラーコードはSNMP固有であることに注意してください。MIBモジュールがSNMPよりも他のプロトコルで使用されている場合、それらのプロトコルに固有の同様のセマンティクスを持つエラーを返す必要があります。

If midcomRuleStorageType has the value permanent(4), then all objects in this row whose MAX-ACCESS value is read-create must be read-only."

MidComrulestorageTypeに永続的な値がある場合(4)、この行のすべてのオブジェクトが最大アクセス値が読み取りのみである必要があります。」

       DEFVAL { volatile }
       ::= { midcomRuleEntry 6 }
        

midcomRuleStorageTime OBJECT-TYPE SYNTAX Unsigned32 UNITS "seconds" MAX-ACCESS read-create STATUS current DESCRIPTION "The value of this object specifies how long this row can exist in the midcomRuleTable after the midcomRuleOperStatus switched to a termination state or to an error state. This object returns the remaining time that the row may exist before it is aged out.

MidComRulestoragetime Object-Type Syntax untigned32ユニット "秒" Max-Access Read-Createステータス現在の説明 "このオブジェクトの値は、このオブジェクトの値を指定します。オブジェクトは、老化する前に行が存在する可能性がある残りの時間を返します。

After expiration or termination of the context, the value of this object ticks backwards. The entry in the midcomRuleTable is destroyed when the value reaches 0.

コンテキストの有効期限または終了後、このオブジェクトの値は後方にチェックします。MidComRuleTableのエントリは、値が0に達すると破壊されます。

The value of this object may be set in order to increase or reduce the remaining time that the row may exist. Setting the value to 0 will destroy this entry as soon as the midcomRuleOperStatus switched to a termination state or to an error state.

このオブジェクトの値は、行が存在する可能性のある残りの時間を増やすか短縮するために設定できます。値を0に設定すると、Midcomruleoperstatusが終端状態またはエラー状態に切り替わるとすぐに、このエントリが破壊されます。

Note that there is no guarantee that the row is stored as long as this object indicates. At any time, the MIDCOM-MIB implementation may decide to remove a row describing a terminated policy rule before the storage time of the corresponding row in the midcomRuleTable reaches the value of 0. In this case, the information stored in this row is not available anymore.

このオブジェクトが示す限り、行が保存されるという保証はないことに注意してください。MIDCOM-MIBの実装は、Midcom-MIBの実装では、Mid-ComRuletableの対応する行の保存時間が0の値に達する前に、終了したポリシールールを説明する行を削除することを決定する場合があります。この場合、この行に保存されている情報は利用できません。もう。

            If object midcomRuleStorageType indicates that the policy
            rule has the storage type permanent(4), then this object has
            a constant value of 4294967295."
       DEFVAL { 0 }
       ::= { midcomRuleEntry 7 }
        

midcomRuleError OBJECT-TYPE SYNTAX SnmpAdminString MAX-ACCESS read-only STATUS current DESCRIPTION "This object contains a descriptive error message if the transition into the operational status reserved(7) or enabled(8) failed. Implementations must reset the error message to a zero-length string when a new attempt to change the policy rule status to reserved(7) or enabled(8) is started.

MidComruleErrorオブジェクトタイプ構文SNMPADMINSTRING MAX-ACCESS READ-ACCESS READ-ONLYステータス現在-length文字列ポリシールールステータスを予約済み(7)または有効(8)に変更しようとする新しい試みが開始されたとき。

RECOMMENDED values to be returned in particular cases include - 'lack of IP addresses' - 'lack of port numbers' - 'lack of resources' - 'specified NAT interface does not exist' - 'specified NAT interface does not support NAT' - 'conflict with already existing policy rule' - 'no internal IP wildcarding allowed' - 'no external IP wildcarding allowed'

特定の場合に返される推奨値には、「IPアドレスの欠如」 - 「ポート番号の欠如」 - 「リソースの欠如」 - 「指定されたNATインターフェイスが存在しません」 - 「指定されたNATインターフェイスはNATをサポートしません」 - 'すでに既存のポリシールールとの対立」 - 「内部IPワイルドカードが許可されていない」 - 「外部IPワイルドカードが許可されていない」

            The semantics of these error messages and the corresponding
            behavior of the MIDCOM-MIB implementation are specified
            in sections 2.3.9 and 2.3.10 of RFC 3989."
       REFERENCE
           "RFC 3989, sections 2.3.9 and 2.3.10"
       DEFVAL { ''H }
       ::= { midcomRuleEntry 8 }
        

midcomRuleInterface OBJECT-TYPE SYNTAX InterfaceIndexOrZero MAX-ACCESS read-create STATUS current DESCRIPTION "This object indicates the IP interface for which enforcement of a policy rule is requested or performed, respectively.

MidComruleInterface Object-Type interfaceindexorzero max-access read-createステータス現在の説明 "このオブジェクトは、ポリシールールの施行がそれぞれ要求または実行されるIPインターフェイスを示します。

The interface is identified by its index in the ifTable (see IF-MIB in RFC 2863). If the object has a value of 0, then no particular interface is indicated.

インターフェイスは、IFTableのインデックスによって識別されます(RFC 2863のif-mibを参照)。オブジェクトの値は0の場合、特定のインターフェイスは示されていません。

This object is used as input to a request for establishing a policy rule as well as for indicating the properties of an established policy rule.

このオブジェクトは、ポリシールールを確立するためのリクエストへの入力として、および確立されたポリシールールのプロパティを示すための入力として使用されます。

If object midcomRuleOperStatus of the same entry has the value newEntry(1) or setting(2), then this object can be written by a manager in order to request its preference concerning the interface at which it requests NAT service. The default value of 0 indicates that the manager does not have a preferred interface or does not have sufficient topology information for specifying one. Writing to this object in any state other than newEntry(1) or setting(2) will always fail with an 'inconsistentValue' error.

同じエントリのObject MidComruleoperstatusに値が値(1)または設定(2)が値を持っている場合、このオブジェクトは、NATサービスを要求するインターフェイスに関する好みを要求するためにマネージャーが作成できます。0のデフォルト値は、マネージャーが優先されたインターフェイスを持っていないか、それを指定するための十分なトポロジ情報を持っていないことを示します。NewEntry(1)または設定(2)以外のどの状態でもこのオブジェクトに書き込み、「矛盾する値」エラーで常に失敗します。

Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.

このエラーコードはSNMP固有であることに注意してください。MIBモジュールがSNMPよりも他のプロトコルで使用されている場合、それらのプロトコルに固有の同様のセマンティクスを持つエラーを返す必要があります。

If object midcomRuleOperStatus of the same entry has the value reserved(7) or enabled(8), then this object indicates the interface at which NAT service for this rule is performed. If NAT service is not required for enforcing the policy rule, then the value of this object is 0. Also, if the MIDCOM-MIB implementation cannot indicate an interface, because it does not have this information or because NAT service is not offered at a particular single interface, then the value of the object is 0.

同じエントリのオブジェクトMidComruleoperstatusに値が予約されている(7)または有効(8)の場合、このオブジェクトは、このルールのNATサービスが実行されるインターフェイスを示します。NATサービスがポリシールールを施行するために必要でない場合、このオブジェクトの値は0です。また、MIDCOM-MIBの実装がインターフェイスを示すことができない場合、この情報がないか、NATサービスが提供されていないためです。特定の単一のインターフェイス、その後、オブジェクトの値は0です。

Note that the index of a particular interface in the ifTable may change after a re-initialization of the middlebox, for example, after adding another interface to it. In such a case, the value of this object may change, but the interface referred to by the MIDCOM-MIB MUST still be the same. If, after a re-initialization of the middlebox, the interface referred to before re-initialization cannot be uniquely mapped anymore to a particular entry in the ifTable, then the value of object midcomRuleOperStatus of the same entry MUST be changed to terminated(11).

IFTableの特定のインターフェイスのインデックスは、たとえば別のインターフェイスを追加した後、ミドルボックスの再開始後に変更される可能性があることに注意してください。そのような場合、このオブジェクトの値は変更される可能性がありますが、Midcom-MIBによって言及されているインターフェイスはまだ同じでなければなりません。ミドルボックスの再初期化の後、再発明の前に言及されたインターフェイスをIFTableの特定のエントリに一意にマッピングできなくなる場合、同じエントリのオブジェクトMidcomruleoperstatusの値を終了する必要があります(11)。

            If object midcomRuleOperStatus of the same entry has a
            value other than newEntry(1), setting(2), reserved(7), or
            enabled(8), then the value of this object is irrelevant."
       DEFVAL { 0 }
       ::= { midcomRuleEntry 9 }
        
   midcomRuleFlowDirection OBJECT-TYPE
       SYNTAX      INTEGER {
                       inbound(1),
                       outbound(2),
                       biDirectional(3)
                   }
       MAX-ACCESS  read-create
       STATUS      current
       DESCRIPTION
           "This parameter specifies the direction of enabled
            communication, either inbound(1), outbound(2), or
            biDirectional(3).
        

The semantics of this object depends on the protocol the rule relates to. If the rule is independent of the transport protocol (midcomRuleTransportProtocol has a value of 0) or if the transport protocol is UDP, then the value of midcomRuleFlowDirection indicates the direction of packets traversing the middlebox.

このオブジェクトのセマンティクスは、ルールが関連するプロトコルに依存します。ルールが輸送プロトコルに依存しない場合(MidComruleTransportprotocolの値は0です)、またはトランスポートプロトコルがUDPの場合、MidComRuleFlowDirectionの値はミドルボックスを通過するパケットの方向を示します。

In this case, value inbound(1) indicates that packets are traversing from outside to inside, value outbound(2) indicates that packets are traversing from inside to outside. For both values, inbound(1) and outbound(2) packets can traverse the middlebox only unidirectional. A bidirectional flow is indicated by value biDirectional(3).

この場合、値インバウンド(1)は、パケットが外側から内側に通過していることを示し、値はパケットが内側から外側に通過していることを示します。両方の値について、インバウンド(1)とアウトバウンド(2)パケットは、ミドルボックスを単方向のみを横断することができます。双方向の流れは、値の双方向によって示されます(3)。

If the transport protocol is TCP, the packet flow is always bidirectional, but the value of midcomRuleFlowDirection indicates that:

輸送プロトコルがTCPの場合、パケットフローは常に双方向ですが、MidComRuleFlowDirectionの値は次のことを示しています。

- inbound(1): bidirectional TCP packet flow. First packet, with TCP SYN flag set, must arrive at an outside interface of the middlebox.

- インバウンド(1):双方向TCPパケットフロー。TCP synフラグセットを備えた最初のパケットは、ミドルボックスの外部インターフェイスに到達する必要があります。

- outbound(2): bidirectional TCP packet flow. First packet, with TCP SYN flag set, must arrive at an inside interface of the middlebox.

- アウトバウンド(2):双方向TCPパケットフロー。TCP synフラグセットを備えた最初のパケットは、ミドルボックスの内部インターフェイスに到達する必要があります。

- biDirectional(3): bidirectional TCP packet flow. First packet, with TCP SYN flag set, may arrive at an inside or an outside interface of the middlebox.

- 双方向(3):双方向TCPパケットフロー。TCP synフラグセットを備えた最初のパケットは、ミドルボックスの内側または外部インターフェイスに到達する場合があります。

This object is used as input to a request for establishing a policy enable rule as well as for indicating the properties of an established policy rule.

このオブジェクトは、ポリシーを有効にするルールを確立するためのリクエストと、確立されたポリシールールのプロパティを示すための入力として使用されます。

If object midcomRuleOperStatus of the same entry has a value of either newEntry(1), setting(2), or reserved(7), then this object can be written by a manager in order to specify a requested direction to be enabled by a policy rule. Writing to this object in any state other than newEntry(1), setting(2), or reserved(7) will always fail with an 'inconsistentValue' error.

同じエントリのオブジェクトMidcomruleoperstatusにNewEntry(1)、設定(2)、または予約済み(7)の値がある場合、このオブジェクトは、ポリシーで有効になる要求された指示を指定するためにマネージャーが作成できます。ルール。NewEntry(1)、設定(2)、または予約済み(7)以外のどの状態でもこのオブジェクトに書き込み、「一貫性のない値」エラーで常に失敗します。

Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.

このエラーコードはSNMP固有であることに注意してください。MIBモジュールがSNMPよりも他のプロトコルで使用されている場合、それらのプロトコルに固有の同様のセマンティクスを持つエラーを返す必要があります。

If object midcomRuleOperStatus of the same entry has the value enabled(8), then this object indicates the enabled flow direction.

同じエントリのオブジェクトMidComruleoperstatusに値が有効になっている場合(8)、このオブジェクトは有効なフロー方向を示します。

            If object midcomRuleOperStatus of the same entry has a
            value other than newEntry(1), setting(2), reserved(7), or
            enabled(8), then the value of this object is irrelevant."
       DEFVAL { outbound }
       ::= { midcomRuleEntry 10 }
        

midcomRuleMaxIdleTime OBJECT-TYPE SYNTAX Unsigned32 UNITS "seconds" MAX-ACCESS read-create STATUS current DESCRIPTION "Maximum idle time of the policy rule in seconds.

MidComRuleMaxidletime Object-Type Syntax unsigned32ユニット「秒」最大アクセスRead-Createステータス現在の説明 "秒単位のポリシールールの最大アイドル時間。

If no packet to which the policy rule applies passes the middlebox for the specified midcomRuleMaxIdleTime, then the policy rule enters the termination state timedOut(9).

ポリシールールが適用されるパケットが指定されたMidcomrulemaxidletimeのミドルボックスを通過しない場合、ポリシールールは終端状態のタイムドアウト(9)に入ります。

A value of 0 indicates that the policy does not require an individual idle time and that instead, a default idle time chosen by the middlebox is used.

0の値は、ポリシーが個々のアイドル時間を必要とせず、代わりにミドルボックスによって選択されたデフォルトのアイドル時間が使用されていることを示します。

A value of 4294967295 ( = 2^32 - 1 ) indicates that the policy does not time out if it is idle.

4294967295(= 2^32-1)の値は、ポリシーがアイドル状態である場合にタイムアウトしないことを示します。

This object is used as input to a request for establishing a policy enable rule as well as for indicating the properties of an established policy rule.

このオブジェクトは、ポリシーを有効にするルールを確立するためのリクエストと、確立されたポリシールールのプロパティを示すための入力として使用されます。

If object midcomRuleOperStatus of the same entry has a value of either newEntry(1), setting(2), or reserved(7), then this object can be written by a manager in order to specify a maximum idle time for the policy rule to be requested. Writing to this object in any state others than newEntry(1), setting(2), or reserved(7) will always fail with an 'inconsistentValue' error.

同じエントリのオブジェクトMidComruleoperstatusがNewEntry(1)、設定(2)、または予約済み(7)の値を持っている場合、このオブジェクトは、ポリシールールの最大アイドル時間を指定するためにマネージャーが作成できます。要求されます。NewEntry(1)、設定(2)、または予約済み(7)以外の他の州でこのオブジェクトに書き込み、「一貫性のない値」エラーで常に失敗します。

Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.

このエラーコードはSNMP固有であることに注意してください。MIBモジュールがSNMPよりも他のプロトコルで使用されている場合、それらのプロトコルに固有の同様のセマンティクスを持つエラーを返す必要があります。

If object midcomRuleOperStatus of the same entry has the value enabled(8), then this object indicates the maximum idle time of the policy rule. Note that even if a maximum idle time greater than zero was requested, the middlebox may not be able to support maximum idle times and set the value of this object to zero when entering state enabled(8).

同じエントリのオブジェクトMidComruleoperstatusに値が有効になっている場合(8)、このオブジェクトはポリシールールの最大アイドル時間を示します。ゼロを超える最大アイドル時間が要求されたとしても、ミドルボックスは最大アイドル時間をサポートできず、状態の有効化を入力するとこのオブジェクトの値をゼロに設定できない場合があることに注意してください(8)。

            If object midcomRuleOperStatus of the same entry has a
            value other than newEntry(1), setting(2), reserved(7), or
            enabled(8), then the value of this object is irrelevant."
       DEFVAL { 0 }
       ::= { midcomRuleEntry 11 }
        

midcomRuleTransportProtocol OBJECT-TYPE SYNTAX Unsigned32 (0..255) MAX-ACCESS read-create STATUS current DESCRIPTION "The transport protocol.

MidComruleTransportProtoCol Object-Type Syntax unsigned32(0..255)max-access read-createステータス現在の説明 "トランスポートプロトコル。

Valid values for midcomRuleTransportProtocol other than zero are defined at: http://www.iana.org/assignments/protocol-numbers

ゼロ以外のmidcomruletransportprotocolの有効な値は、http://www.iana.org/assignments/protocol-numbersで定義されています。

This object is used as input to a request for establishing a policy rule as well as for indicating the properties of an established policy rule.

このオブジェクトは、ポリシールールを確立するためのリクエストへの入力として、および確立されたポリシールールのプロパティを示すための入力として使用されます。

If object midcomRuleOperStatus of the same entry has a value of either newEntry(1) or setting(2), then this object can be written by a manager in order to specify a requested transport protocol. If translation of an IP address only is requested, then this object must have the default value 0. Writing to this object in any state other than newEntry(1) or setting(2) will always fail with an 'inconsistentValue' error.

同じエントリのオブジェクトMidComruleoperstatusがNewEntry(1)または設定(2)の値を持っている場合、このオブジェクトは、要求された輸送プロトコルを指定するためにマネージャーが作成できます。IPアドレスの翻訳のみが要求されている場合、このオブジェクトにはデフォルト値0が必要です。NewEntry(1)または設定(2)以外の状態でこのオブジェクトに書き込みます。

Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.

このエラーコードはSNMP固有であることに注意してください。MIBモジュールがSNMPよりも他のプロトコルで使用されている場合、それらのプロトコルに固有の同様のセマンティクスを持つエラーを返す必要があります。

If object midcomRuleOperStatus of the same entry has the value reserved(7) or enabled(8), then this object indicates which transport protocol is enforced by this policy rule. A value of 0 indicates a rule acting on IP addresses only.

同じエントリのオブジェクトMidComruleoperstatusに値が予約されている(7)または有効(8)の場合、このオブジェクトは、このポリシールールによってどの輸送プロトコルが施行されているかを示します。0の値は、IPアドレスのみに作用するルールを示します。

If object midcomRuleOperStatus of the same entry has a value other than newEntry(1), setting(2), reserved(7), or enabled(8), then the value of this object is irrelevant."

同じエントリのオブジェクトMidComruleoperstatusに、NewEntry(1)、設定(2)、予約(7)、または有効(8)以外の値がある場合、このオブジェクトの値は無関係です。」

       DEFVAL { 0 }
       ::= { midcomRuleEntry 12 }
        
   midcomRulePortRange OBJECT-TYPE
       SYNTAX      INTEGER {
                       single(1),
                       pair(2)
                   }
       MAX-ACCESS  read-create
       STATUS      current
       DESCRIPTION
           "The range of port numbers.
        

This object is used as input to a request for establishing a policy rule as well as for indicating the properties of an established policy rule. It is relevant to the operation of the MIDCOM-MIB implementation only if the value of object midcomTransportProtocol in the same entry has a value other than 0.

このオブジェクトは、ポリシールールを確立するためのリクエストへの入力として、および確立されたポリシールールのプロパティを示すための入力として使用されます。同じエントリのオブジェクトMidComTransportprotocolの値に0以外の値がある場合にのみ、Midcom-MIB実装の操作に関連します。

If object midcomRuleOperStatus of the same entry has the value newEntry(1) or setting(2), then this object can be written by a manager in order to specify the requested size of the port range. With single(1) just a single port number is requested, with pair(2) a consecutive pair of port numbers is requested with the lower number being even. Requesting a consecutive pair of port numbers may be used by RTP [RFC3550] and may even be required to support older RTP applications.

同じエントリのオブジェクトMidComululeoperstatusに値が値(1)または設定(2)が値を持っている場合、このオブジェクトは、ポート範囲の要求されたサイズを指定するためにマネージャーが記述できます。単一(1)では、単一のポート番号のみが要求され、ペア(2)では、より低い数字が偶数であるというポート番号の連続したペアが要求されます。連続したポート番号を要求することは、RTP [RFC3550]で使用される場合があり、古いRTPアプリケーションをサポートするためにも必要とされる場合があります。

Writing to this object in any state other than newEntry(1), setting(2) or reserved(7) will always fail with an 'inconsistentValue' error.

NewEntry(1)、設定(2)、または予約済み(7)以外のどの状態でもこのオブジェクトに書き込み、「一貫性のない値」エラーで常に失敗します。

Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.

このエラーコードはSNMP固有であることに注意してください。MIBモジュールがSNMPよりも他のプロトコルで使用されている場合、それらのプロトコルに固有の同様のセマンティクスを持つエラーを返す必要があります。

If object midcomRuleOperStatus of the same entry has a value of either reserved(7) or enabled(8), then this object will have the value that it had before the transition to this state.

同じエントリのObject MidComruleoperstatusの値が予約済み(7)または有効(8)のいずれかの値を持っている場合、このオブジェクトは、この状態への移行前に持っていた値を持ちます。

            If object midcomRuleOperStatus of the same entry has a
            value other than newEntry(1), setting(2), reserved(7), or
            enabled(8), then the value of this object is irrelevant."
       DEFVAL { single }
        
       ::= { midcomRuleEntry 13}
        

midcomRuleInternalIpVersion OBJECT-TYPE SYNTAX InetAddressType MAX-ACCESS read-create STATUS current DESCRIPTION "IP version of the internal address (A0) and the inside address (A1). Allowed values are ipv4(1), ipv6(2), ipv4z(3), and ipv6z(4).

Midcomruleinternalipversionオブジェクトタイプ構文InetaddressType max-access read-createステータス現在の説明 "内部アドレスのIPバージョン(A0)および内部アドレス(A1)。許可値はIPv4(1)、IPv6(2)、IPv4z(3)です、およびIPv6z(4)。

This object is used as input to a request for establishing a policy rule as well as for indicating the properties of an established policy rule.

このオブジェクトは、ポリシールールを確立するためのリクエストへの入力として、および確立されたポリシールールのプロパティを示すための入力として使用されます。

If object midcomRuleOperStatus of the same entry has the value newEntry(1) or setting(2), then this object can be written by a manager in order to specify the IP version required at the inside of the middlebox. Writing to this object in any state other than newEntry(1) or setting(2) will always fail with an 'inconsistentValue' error.

同じエントリのオブジェクトMidComruleoperstatusに値が値(1)または設定(2)が値を持っている場合、このオブジェクトは、ミドルボックスの内側で必要なIPバージョンを指定するためにマネージャーが作成できます。NewEntry(1)または設定(2)以外のどの状態でもこのオブジェクトに書き込み、「矛盾する値」エラーで常に失敗します。

Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.

このエラーコードはSNMP固有であることに注意してください。MIBモジュールがSNMPよりも他のプロトコルで使用されている場合、それらのプロトコルに固有の同様のセマンティクスを持つエラーを返す必要があります。

If object midcomRuleOperStatus of the same entry has the value reserved(7) or enabled(8), then this object indicates the internal/inside IP version.

同じエントリのオブジェクトMidComruleoperstatusに値が予約されている(7)または有効(8)がある場合、このオブジェクトは内部/内部IPバージョンを示します。

            If object midcomRuleOperStatus of the same entry has a
            value other than newEntry(1), setting(2), reserved(7), or
            enabled(8), then the value of this object is irrelevant."
       DEFVAL { ipv4 }
       ::= { midcomRuleEntry 14 }
        

midcomRuleExternalIpVersion OBJECT-TYPE SYNTAX InetAddressType MAX-ACCESS read-create STATUS current DESCRIPTION "IP version of the external address (A3) and the outside address (A2). Allowed values are ipv4(1) and ipv6(2).

MidcomRuleExternAlipversionオブジェクトタイプの構文InetAddressType Max-Createステータス現在の説明 "外部アドレス(A3)および外部アドレス(A2)のIPバージョン。許容値はIPv4(1)およびIPv6(2)です。

This object is used as input to a request for establishing a policy rule as well as for indicating the properties of an established policy rule.

このオブジェクトは、ポリシールールを確立するためのリクエストへの入力として、および確立されたポリシールールのプロパティを示すための入力として使用されます。

If object midcomRuleOperStatus of the same entry has the value newEntry(1) or setting(2), then this object can be written by a manager in order to specify the IP version required at the outside of the middlebox. Writing to this object in any state other than newEntry(1) or setting(2) will always fail with an 'inconsistentValue' error. Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.

同じエントリのObject MidComruleoperstatusにValue NewEntry(1)または設定(2)がある場合、このオブジェクトは、ミドルボックスの外側で必要なIPバージョンを指定するためにマネージャーが作成できます。NewEntry(1)または設定(2)以外のどの状態でもこのオブジェクトに書き込み、「矛盾する値」エラーで常に失敗します。このエラーコードはSNMP固有であることに注意してください。MIBモジュールがSNMPよりも他のプロトコルで使用されている場合、それらのプロトコルに固有の同様のセマンティクスを持つエラーを返す必要があります。

If object midcomRuleOperStatus of the same entry has the value reserved(7) or enabled(8), then this object indicates the external/outside IP version.

同じエントリのオブジェクトMidComruleoperstatusに値が予約されている(7)または有効(8)がある場合、このオブジェクトは外部/外部IPバージョンを示します。

            If object midcomRuleOperStatus of the same entry has a
            value other than newEntry(1), setting(2), reserved(7) or
            enabled(8), then the value of this object is irrelevant."
       DEFVAL { ipv4 }
       ::= { midcomRuleEntry 15 }
        

midcomRuleInternalIpAddr OBJECT-TYPE SYNTAX InetAddress MAX-ACCESS read-create STATUS current DESCRIPTION "The internal IP address (A0).

MidComruleinternalipaddrオブジェクトタイプ構文inetAddress max-access read-createステータス現在の説明 "内部IPアドレス(A0)。

This object is used as input to a request for establishing a policy rule as well as for indicating the properties of an established policy rule.

このオブジェクトは、ポリシールールを確立するためのリクエストへの入力として、および確立されたポリシールールのプロパティを示すための入力として使用されます。

If object midcomRuleOperStatus of the same entry has the value newEntry(1) or setting(2), then this object can be written by a manager in order to specify the internal IP address for which a reserve policy rule or a enable policy rule is requested to be established. Writing to this object in any state other than newEntry(1) or setting(2) will always fail with an 'inconsistentValue' error. Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.

同じエントリのオブジェクトMidComruleoperstatusに値が値(1)または設定(2)が値を持っている場合、このオブジェクトは、予備ポリシールールまたは有効なポリシールールが要求される内部IPアドレスを指定するために、マネージャーが作成できます。確立される。NewEntry(1)または設定(2)以外のどの状態でもこのオブジェクトに書き込み、「矛盾する値」エラーで常に失敗します。このエラーコードはSNMP固有であることに注意してください。MIBモジュールがSNMPよりも他のプロトコルで使用されている場合、それらのプロトコルに固有の同様のセマンティクスを持つエラーを返す必要があります。

If object midcomRuleOperStatus of the same entry has the value reserved(7) or enabled(8), then this object will have the value which it had before the transition to this state.

同じエントリのオブジェクトMidComruleoperstatusに値が予約されている(7)または有効になっている場合(8)、このオブジェクトはこの状態への移行の前に持っていた値を持っています。

            If object midcomRuleOperStatus of the same entry has a
            value other than newEntry(1), setting(2), reserved(7) or
            enabled(8), then the value of this object is irrelevant."
       ::= { midcomRuleEntry 16 }
        

midcomRuleInternalIpPrefixLength OBJECT-TYPE SYNTAX InetAddressPrefixLength MAX-ACCESS read-create STATUS current DESCRIPTION "The prefix length of the internal IP address used for wildcarding. A value of 0 indicates a full wildcard; in this case, the value of midcomRuleInternalIpAddr is irrelevant. If midcomRuleInternalIpVersion has a value of ipv4(1), then a value > 31 indicates no wildcarding at all. If midcomRuleInternalIpVersion has a value of ipv4(2), then a value > 127 indicates no wildcarding at all. A MIDCOM-MIB implementation that does not support IP address wildcarding MUST implement this object as read-only with a value of 128. A MIDCOM that does not support wildcarding based on prefix length MAY restrict allowed values for this object to 0 and 128.

MidComruleInternalipprefixl Length Object-Type構文Inetaddressprefixl Length-access read-create create current current current "ワイルドカードに使用される内部IPアドレスのプレフィックス長。IPv4(1)の値があり、次に値> 31はワイルドカードがまったくないことを示します。MidComruleinternalipversionにIPv4(2)の値がある場合、値> 127はワイルドカードがまったくないことを示します。サポートIPアドレスワイルドカードは、このオブジェクトを128の値で読み取り専用として実装する必要があります。プレフィックスの長さに基づいてワイルドカードをサポートしていないMIDCOMは、このオブジェクトの許容値を0および128に制限する場合があります。

This object is used as input to a request for establishing a policy rule as well as for indicating the properties of an established policy rule.

このオブジェクトは、ポリシールールを確立するためのリクエストへの入力として、および確立されたポリシールールのプロパティを示すための入力として使用されます。

If object midcomRuleOperStatus of the same entry has the value newEntry(1) or setting(2), then this object can be written by a manager in order to specify the prefix length of the internal IP address for which a reserve policy rule or an enable policy rule is requested to be established. Writing to this object in any state other than newEntry(1) or setting(2) will always fail with an 'inconsistentValue' error.

同じエントリのオブジェクトMidComruleoperstatusに値が値(1)または設定(2)が値を持っている場合、このオブジェクトは、予備ポリシールールまたは有効化を有効にする内部IPアドレスのプレフィックス長を指定するために、マネージャーが作成できます。ポリシールールが確立されるように要求されます。NewEntry(1)または設定(2)以外のどの状態でもこのオブジェクトに書き込み、「矛盾する値」エラーで常に失敗します。

Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.

このエラーコードはSNMP固有であることに注意してください。MIBモジュールがSNMPよりも他のプロトコルで使用されている場合、それらのプロトコルに固有の同様のセマンティクスを持つエラーを返す必要があります。

If object midcomRuleOperStatus of the same entry has the value reserved(7) or enabled(8), then this object will have the value which it had before the transition to this state.

同じエントリのオブジェクトMidComruleoperstatusに値が予約されている(7)または有効になっている場合(8)、このオブジェクトはこの状態への移行の前に持っていた値を持っています。

            If object midcomRuleOperStatus of the same entry has a
            value other than newEntry(1), setting(2), reserved(7), or
            enabled(8), then the value of this object is irrelevant."
       DEFVAL { 128 }
       ::= { midcomRuleEntry 17 }
        

midcomRuleInternalPort OBJECT-TYPE SYNTAX InetPortNumber MAX-ACCESS read-create STATUS current DESCRIPTION "The internal port number. A value of 0 is a wildcard.

MidComruleInternalportオブジェクトタイプの構文inetportnumber max-access read-createステータス現在の説明 "内部ポート番号。値0はワイルドカードです。

This object is used as input to a request for establishing a policy rule as well as for indicating the properties of an established policy rule. It is relevant to the operation of the MIDCOM-MIB implementation only if the value of object midcomTransportProtocol in the same entry has a value other than 0.

このオブジェクトは、ポリシールールを確立するためのリクエストへの入力として、および確立されたポリシールールのプロパティを示すための入力として使用されます。同じエントリのオブジェクトMidComTransportprotocolの値に0以外の値がある場合にのみ、Midcom-MIB実装の操作に関連します。

If object midcomRuleOperStatus of the same entry has the value newEntry(1) or setting(2), then this object can be written by a manager in order to specify the internal port number for which a reserve policy rule or an enable policy rule is requested to be established. Writing to this object in any state other than newEntry(1) or setting(2) will always fail with an 'inconsistentValue' error.

同じエントリのオブジェクトMidComruleoperstatusに値が値(1)または設定(2)が値を持っている場合、このオブジェクトは、予備ポリシールールまたは有効なポリシールールが要求される内部ポート番号を指定するために、マネージャーが作成できます。確立される。NewEntry(1)または設定(2)以外のどの状態でもこのオブジェクトに書き込み、「矛盾する値」エラーで常に失敗します。

Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.

このエラーコードはSNMP固有であることに注意してください。MIBモジュールがSNMPよりも他のプロトコルで使用されている場合、それらのプロトコルに固有の同様のセマンティクスを持つエラーを返す必要があります。

If object midcomRuleOperStatus of the same entry has the value reserved(7) or enabled(8), then this object will have the value that it had before the transition to this state.

同じエントリのオブジェクトMidComruleoperstatusに値が予約されている(7)または有効(8)の場合、このオブジェクトは、この状態への移行前に持っていた値を持っています。

            If object midcomRuleOperStatus of the same entry has a
            value other than newEntry(1), setting(2), reserved(7), or
            enabled(8), then the value of this object is irrelevant."
       DEFVAL { 0 }
       ::= { midcomRuleEntry 18 }
        

midcomRuleExternalIpAddr OBJECT-TYPE SYNTAX InetAddress MAX-ACCESS read-create STATUS current DESCRIPTION "The external IP address (A3).

MidcomRuleExternalipaddrオブジェクトタイプ構文inetAddress max-access read-createステータス現在の説明 "外部IPアドレス(A3)。

This object is used as input to a request for establishing a policy rule as well as for indicating the properties of an established policy rule.

このオブジェクトは、ポリシールールを確立するためのリクエストへの入力として、および確立されたポリシールールのプロパティを示すための入力として使用されます。

If object midcomRuleOperStatus of the same entry has the value newEntry(1), setting(2), or reserved(7), then this object can be written by a manager in order to specify the external IP address for which an enable policy rule is requested to be established. Writing to this object in any state other than newEntry(1), setting(2), or reserved(7) will always fail with an 'inconsistentValue' error.

同じエントリのオブジェクトMidComruleOperstatusに値(1)、設定(2)、または予約(7)が値を持っている場合、このオブジェクトは、有効なポリシールールが有効な外部IPアドレスを指定するためにマネージャーが作成できます。確立するように要求されました。NewEntry(1)、設定(2)、または予約済み(7)以外のどの状態でもこのオブジェクトに書き込み、「一貫性のない値」エラーで常に失敗します。

Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.

このエラーコードはSNMP固有であることに注意してください。MIBモジュールがSNMPよりも他のプロトコルで使用されている場合、それらのプロトコルに固有の同様のセマンティクスを持つエラーを返す必要があります。

If object midcomRuleOperStatus of the same entry has the value enabled(8), then this object will have the value that it had before the transition to this state.

同じエントリのObject MidComruleoperstatusに値が有効になっている場合(8)、このオブジェクトはこの状態への移行前に持っていた値を持ちます。

            If object midcomRuleOperStatus of the same entry has a
            value other than newEntry(1), setting(2), reserved(7), or
            enabled(8), then the value of this object is irrelevant."
       ::= { midcomRuleEntry 19 }
        

midcomRuleExternalIpPrefixLength OBJECT-TYPE SYNTAX InetAddressPrefixLength MAX-ACCESS read-create STATUS current DESCRIPTION "The prefix length of the external IP address used for wildcarding. A value of 0 indicates a full wildcard; in this case, the value of midcomRuleExternalIpAddr is irrelevant. If midcomRuleExternalIpVersion has a value of ipv4(1), then a value > 31 indicates no wildcarding at all. If midcomRuleExternalIpVersion has a value of ipv4(2), then a value > 127 indicates no wildcarding at all. A MIDCOM-MIB implementation that does not support IP address wildcarding MUST implement this object as read-only with a value of 128. A MIDCOM that does not support wildcarding based on prefix length MAY restrict allowed values for this object to 0 and 128.

Midcomruleexternalipprefixlength object-type構文inetaddressprefixlength read-access read-create status current current current "ワイルドカードに使用される外部IPアドレスのプレフィックス長。IPv4(1)の値があり、次に値> 31はワイルドカードがまったくないことを示します。MidComruleExternAlipversionがIPv4(2)の値を持っている場合、値> 127はワイルドカードがまったくないことを示します。サポートIPアドレスワイルドカードは、このオブジェクトを128の値で読み取り専用として実装する必要があります。プレフィックスの長さに基づいてワイルドカードをサポートしていないMIDCOMは、このオブジェクトの許容値を0および128に制限する場合があります。

This object is used as input to a request for establishing a policy rule as well as for indicating the properties of an established policy rule.

このオブジェクトは、ポリシールールを確立するためのリクエストへの入力として、および確立されたポリシールールのプロパティを示すための入力として使用されます。

If object midcomRuleOperStatus of the same entry has the value newEntry(1), setting(2), or reserved(7), then this object can be written by a manager in order to specify the prefix length of the external IP address for which an enable policy rule is requested to be established. Writing to this object in any state other than newEntry(1), setting(2), or reserved(7) will always fail with an 'inconsistentValue' error.

同じエントリのオブジェクトMidcomruleoperstatusにnewEntry(1)、設定(2)、または予約(7)が値がある場合、このオブジェクトは、外部IPアドレスのプレフィックス長を指定するためにマネージャーが作成できます。有効なポリシールールが確立されるように要求されます。NewEntry(1)、設定(2)、または予約済み(7)以外のどの状態でもこのオブジェクトに書き込み、「一貫性のない値」エラーで常に失敗します。

Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.

このエラーコードはSNMP固有であることに注意してください。MIBモジュールがSNMPよりも他のプロトコルで使用されている場合、それらのプロトコルに固有の同様のセマンティクスを持つエラーを返す必要があります。

If object midcomRuleOperStatus of the same entry has the value enabled(8), then this object will have the value that it had before the transition to this state.

同じエントリのObject MidComruleoperstatusに値が有効になっている場合(8)、このオブジェクトはこの状態への移行前に持っていた値を持ちます。

            If object midcomRuleOperStatus of the same entry has a
            value other than newEntry(1), setting(2), reserved(7), or
            enabled(8), then the value of this object is irrelevant."
       DEFVAL { 128 }
       ::= { midcomRuleEntry 20 }
        

midcomRuleExternalPort OBJECT-TYPE SYNTAX InetPortNumber MAX-ACCESS read-create STATUS current DESCRIPTION "The external port number. A value of 0 is a wildcard.

MidComRuleExternalportオブジェクトタイプの構文inetportnumber max-access read-createステータス現在の説明 "外部ポート番号。値0はワイルドカードです。

This object is used as input to a request for establishing a policy rule as well as for indicating the properties of an established policy rule. It is relevant to the operation of the MIDCOM-MIB implementation only if the value of object midcomTransportProtocol in the same entry has a value other than 0.

このオブジェクトは、ポリシールールを確立するためのリクエストへの入力として、および確立されたポリシールールのプロパティを示すための入力として使用されます。同じエントリのオブジェクトMidComTransportprotocolの値に0以外の値がある場合にのみ、Midcom-MIB実装の操作に関連します。

If object midcomRuleOperStatus of the same entry has the value newEntry(1), setting(2) or reserved(7), then this object can be written by a manager in order to specify the external port number for which an enable policy rule is requested to be established. Writing to this object in any state other than newEntry(1), setting(2) or reserved(7) will always fail with an 'inconsistentValue' error.

同じエントリのオブジェクトMidComruleoperstatusにnewEntry(1)、設定(2)、または予約(7)が値がある場合、このオブジェクトは、有効なポリシールールが要求される外部ポート番号を指定するためにマネージャーが作成できます。確立される。NewEntry(1)、設定(2)、または予約済み(7)以外のどの状態でもこのオブジェクトに書き込み、「一貫性のない値」エラーで常に失敗します。

Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.

このエラーコードはSNMP固有であることに注意してください。MIBモジュールがSNMPよりも他のプロトコルで使用されている場合、それらのプロトコルに固有の同様のセマンティクスを持つエラーを返す必要があります。

If object midcomRuleOperStatus of the same entry has the value enabled(8), then this object will have the value which it had before the transition to this state.

同じエントリのオブジェクトMidComruleoperstatusに値が有効になっている場合(8)、このオブジェクトはこの状態への移行前に持っていた値を持ちます。

            If object midcomRuleOperStatus of the same entry has a
            value other than newEntry(1), setting(2), reserved(7) or
            enabled(8), then the value of this object is irrelevant."
       DEFVAL { 0 }
       ::= { midcomRuleEntry 21 }
        

midcomRuleInsideIpAddr OBJECT-TYPE SYNTAX InetAddress MAX-ACCESS read-only STATUS current DESCRIPTION "The inside IP address at the middlebox (A1).

Midcomruleinsideipaddrオブジェクトタイプの構文inetAddress max-access読み取り専用ステータス現在の説明 "Middleboxの内部IPアドレス(A1)。

            The value of this object is relevant only if
            object midcomRuleOperStatus of the same entry has
            a value of either reserved(7) or enabled(8)."
       ::= { midcomRuleEntry 22 }
        

midcomRuleInsidePort OBJECT-TYPE SYNTAX InetPortNumber MAX-ACCESS read-only STATUS current DESCRIPTION "The inside port number at the middlebox. A value of 0 is a wildcard.

MidComruleinsidePortオブジェクトタイプの構文inetportnumber max-access読み取り専用ステータス現在の説明 "ミドルボックスの内部ポート番号。値0はワイルドカードです。

            The value of this object is relevant only if
            object midcomRuleOperStatus of the same entry has
            a value of either reserved(7) or enabled(8)."
       ::= { midcomRuleEntry 23 }
        

midcomRuleOutsideIpAddr OBJECT-TYPE SYNTAX InetAddress MAX-ACCESS read-only STATUS current DESCRIPTION "The outside IP address at the middlebox (A2).

MidComRuleOutSidiPADDRオブジェクトタイプの構文INETADDRESS MAX-ACCESS読み取り専用ステータス現在の説明 "Middleboxの外部IPアドレス(A2)。

            The value of this object is relevant only if
                   object midcomRuleOperStatus of the same entry has
            a value of either reserved(7) or enabled(8)."
       ::= { midcomRuleEntry 24 }
        

midcomRuleOutsidePort OBJECT-TYPE SYNTAX InetPortNumber MAX-ACCESS read-only STATUS current DESCRIPTION "The outside port number at the middlebox. A value of 0 is a wildcard.

MidComRuleOutSidePortオブジェクトタイプの構文InetPortNumber Max-Access読み取り専用ステータス現在の説明 "ミドルボックスの外部ポート番号。値0はワイルドカードです。

            The value of this object is relevant only if
            object midcomRuleOperStatus of the same entry has
            a value of either reserved(7) or enabled(8)."
       ::= { midcomRuleEntry 25 }
        

midcomRuleLifetime OBJECT-TYPE SYNTAX Unsigned32 UNITS "seconds" MAX-ACCESS read-create STATUS current DESCRIPTION "The remaining lifetime in seconds of this policy rule.

MidComRulELIFETIMEオブジェクトタイプの構文unsigned32ユニット「秒」最大アクセス読み取りステータス現在の説明 "このポリシールールの秒単位の残りの寿命。

Lifetime of a policy rule starts when object midcomRuleOperStatus in the same entry enters either state reserved(7) or state enabled(8).

ポリシールールの寿命は、同じエントリのオブジェクトMidComululeoperstatusが州の予約された状態(7)または状態対応(8)に入ると開始されます。

This object is used as input to a request for establishing a policy rule as well as for indicating the properties of an established policy rule.

このオブジェクトは、ポリシールールを確立するためのリクエストへの入力として、および確立されたポリシールールのプロパティを示すための入力として使用されます。

If object midcomRuleOperStatus of the same entry has a value of either newEntry(1) or setting(2), then this object can be written by a manager in order to specify the requested lifetime of a policy rule to be established.

同じエントリのObject MidComululeoperstatusにNewEntry(1)または設定(2)の値がある場合、このオブジェクトは、確立されるポリシールールの要求された寿命を指定するためにマネージャーが作成できます。

If object midcomRuleOperStatus of the same entry has a value of either reserved(7) or enabled(8), then this object indicates the (continuously decreasing) remaining lifetime of the established policy rule. Note that when entering state reserved(7) or enabled(8), the MIDCOM-MIB implementation can choose a lifetime shorter than the one requested.

同じエントリのオブジェクトMidComruleoperstatusの値が予約済み(7)または有効(8)のいずれかの値を持っている場合、このオブジェクトは、確立されたポリシールールの(連続的に減少する)残りの寿命を示します。州の予約(7)または有効化(8)を入力すると、Midcom-MIBの実装は、要求されたものよりも短い寿命を選択できることに注意してください。

Unlike other parameters of the policy rule, this parameter can still be written in state reserved(7) and enabled(8).

ポリシールールの他のパラメーターとは異なり、このパラメーターはまだ州の予約済み(7)および有効(8)で記述できます。

Writing to this object is processed by the MIDCOM-MIB implementation by choosing a lifetime value that is greater than 0 and less than or equal to the minimum of the requested value and the value specified by object midcomConfigMaxLifetime:

このオブジェクトへの書き込みは、要求された値の最小値とオブジェクトMidcomConfigmaxlifetimeで指定された値の最小値以下の生涯値を選択することにより、MIDCOM-MIB実装によって処理されます。

             0 <= lt_granted <= MINIMUM(lt_requested, lt_maximum)
        

where: - lt_granted is the actually granted lifetime by the MIDCOM-MIB implementation - lt_requested is the requested lifetime of the MIDCOM client - lt_maximum is the value of object midcomConfigMaxLifetime

場所:-LT_GRANTEDは、MIDCOM -MIB実装によって実際に付与された生涯です-LT_REQUESTEDはMIDCOMクライアントの要求された寿命です-LT_MAXIMUMはオブジェクトMidComConfigmaxlifetimeの値です

SNMP SET requests to this object may be rejected or the value of the object after an accepted SET operation may be less than the value that was contained in the SNMP SET request.

このオブジェクトへのSNMPセットリクエストは、受け入れられたセット操作がSNMPセットリクエストに含まれている値よりも少ない後、オブジェクトの値を拒否される場合があります。

Successfully writing a value of 0 terminates the policy rule. Note that after a policy rule is terminated, still the entry will exist as long as indicated by the value of midcomRuleStorageTime.

0の値を正常に書き込むと、ポリシールールが終了します。ポリシールールが終了した後、中mid -comrulestoragetimeの価値で示される限り、エントリは存在することに注意してください。

Writing to this object in any state other than newEntry(1), setting(2), reserved(7), or enabled(7) will always fail with an 'inconsistentValue' error.

NewEntry(1)、設定(2)、予約(7)、または有効な(7)以外のどの状態でもこのオブジェクトに書き込み、「一貫性のない値」エラーで常に失敗します。

Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.

このエラーコードはSNMP固有であることに注意してください。MIBモジュールがSNMPよりも他のプロトコルで使用されている場合、それらのプロトコルに固有の同様のセマンティクスを持つエラーを返す必要があります。

            If object midcomRuleOperStatus of the same entry has a
            value other than newEntry(1), setting(2), reserved(7), or
            enabled(8), then the value of this object is irrelevant."
       DEFVAL { 180 }
       ::= { midcomRuleEntry 26 }
        

midcomRuleRowStatus OBJECT-TYPE SYNTAX RowStatus MAX-ACCESS read-create STATUS current DESCRIPTION "A control that allows entries to be added and removed from this table.

MidComRulerOwStatus Object-Type Syntax RowStatus Max-Access Read-Createステータス現在の説明 "エントリをこのテーブルから追加および削除できるコントロール。

Entries can also be removed from this table by setting objects midcomRuleLifetime and midcomRuleStorageTime of an entry to 0.

エントリは、0のエントリのミッドコムリラフェティムおよびミッドコムリストラージタイムを設定することにより、このテーブルから削除することもできます。

Attempts to set a row notInService(2) where the value of the midcomRuleStorageType object is permanent(4) or readOnly(5) will result in an 'notWritable' error.

MidcomRulestorageTypeオブジェクトの値が永続(4)またはreadonly(5)が「書き込みではない」エラーが発生する場合、notinservice(2)を設定しようとする試み。

Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.

このエラーコードはSNMP固有であることに注意してください。MIBモジュールがSNMPよりも他のプロトコルで使用されている場合、それらのプロトコルに固有の同様のセマンティクスを持つエラーを返す必要があります。

            The value of this object has no effect on whether other
            objects in this conceptual row can be modified."
       ::= { midcomRuleEntry 27 }
        
   --
   -- Policy rule group subtree
   --
   -- The midcomGroupTable lists all current policy rule groups.
   --
        

midcomGroupTable OBJECT-TYPE SYNTAX SEQUENCE OF MidcomGroupEntry MAX-ACCESS not-accessible STATUS current DESCRIPTION "This table lists all current policy rule groups.

MidComgroupEntry Max-AccessのMidComgroutableオブジェクトタイプの構文シーケンスはアクセス不可能なステータス現在の説明 "このテーブルは現在のすべてのポリシールールグループをリストしています。

Entries in this table are created or removed implicitly when entries in the midcomRuleTable are created or removed, respectively. A group entry in this table only exists as long as there are member rules of this group in the midcomRuleTable.

この表のエントリは、それぞれ中mid comRuletableのエントリが作成または削除された場合に暗黙的に作成または削除されます。この表のグループエントリは、Mid -ComRuletableにこのグループのメンバールールがある限りのみ存在します。

The table serves for listing the existing groups and their remaining lifetimes and for changing lifetimes of groups and implicitly of all group members. Groups and all their member policy rules can only be deleted by deleting all member policies in the midcomRuleTable.

このテーブルは、既存のグループとその残りの寿命をリストアップし、グループの寿命を変え、暗黙的にすべてのグループメンバーの変化に役立ちます。グループおよびそのすべてのメンバーポリシールールは、MidcomRuletableのすべてのメンバーポリシーを削除することによってのみ削除できます。

            Setting midcomGroupLifetime will result in setting
            the lifetime of all policy members to the same value."
       ::= { midcomTransaction 4 }
        

midcomGroupEntry OBJECT-TYPE

MidComgroupEntryオブジェクトタイプ

       SYNTAX      MidcomGroupEntry
       MAX-ACCESS  not-accessible
       STATUS      current
       DESCRIPTION
           "An entry describing properties of a particular
            MIDCOM policy rule group."
       INDEX { midcomRuleOwner, midcomGroupIndex }
       ::= { midcomGroupTable 1 }
        
   MidcomGroupEntry ::= SEQUENCE {
       midcomGroupIndex      Unsigned32,
       midcomGroupLifetime   Unsigned32
   }
        

midcomGroupIndex OBJECT-TYPE SYNTAX Unsigned32 (1..4294967295) MAX-ACCESS not-accessible STATUS current DESCRIPTION "The index of this group for the midcomRuleOwner. A group is identified by the combination of midcomRuleOwner and midcomGroupIndex.

MidcomGroupIndexオブジェクトタイプの構文Unsigned32(1..4294967295)最大アクセスアクセス不可能なステータス現在の説明 "Midcomruleownerのこのグループのインデックス。グループは、MidcomruleownerとMidcomgroupindexの組み合わせによって識別されます。

            The value of this index must be unique per
            midcomRuleOwner."
       ::= { midcomGroupEntry 2 }
        

midcomGroupLifetime OBJECT-TYPE SYNTAX Unsigned32 UNITS "seconds" MAX-ACCESS read-write STATUS current DESCRIPTION "When retrieved, this object delivers the maximum lifetime in seconds of all member rules of this group, i.e., of all rows in the midcomRuleTable that have the same values for midcomRuleOwner and midcomGroupIndex.

MidcomGrouplififetime Object-Type Syntax unting32ユニット「秒」Max-Access Read-Writeステータス現在の説明 "取得すると、このオブジェクトは、このグループのすべてのメンバールールの数秒で最大寿命を届けます。MidComrule OwnerとMidComgroupIndexについて同じ値。

Successfully writing to this object modifies the lifetime of all member policies. Successfully writing a value of 0 terminates all member policies and implicitly deletes the group as soon as all member entries are removed from the midcomRuleTable.

このオブジェクトに正常に書き込むことは、すべてのメンバーポリシーの寿命を変更します。0の値を正常に書くことは、すべてのメンバーポリシーを終了し、すべてのメンバーエントリがMidcomRuleTableから削除されるとすぐにグループを暗黙的に削除します。

Note that after a group's lifetime is expired or is set to 0, still the corresponding entry in the midcomGroupTable will exist as long as terminated member policy rules are stored as entries in the midcomRuleTable.

グループの寿命が切れるか0に設定された後、終了したメンバーポリシールールがMidcomRuletableのエントリとして保存されている限り、MidComgroutableの対応するエントリは存在することに注意してください。

Writing to this object is processed by the MIDCOM-MIB implementation by choosing a lifetime value that is greater than 0 and less than or equal to the minimum of the requested value and the value specified by object midcomConfigMaxLifetime:

このオブジェクトへの書き込みは、要求された値の最小値とオブジェクトMidcomConfigmaxlifetimeで指定された値の最小値以下の生涯値を選択することにより、MIDCOM-MIB実装によって処理されます。

             0 <= lt_granted <= MINIMUM(lt_requested, lt_maximum)
        

where: - lt_granted is the actually granted lifetime by the MIDCOM-MIB implementation - lt_requested is the requested lifetime of the MIDCOM client - lt_maximum is the value of object midcomConfigMaxLifetime

場所:-LT_GRANTEDは、MIDCOM -MIB実装によって実際に付与された生涯です-LT_REQUESTEDはMIDCOMクライアントの要求された寿命です-LT_MAXIMUMはオブジェクトMidComConfigmaxlifetimeの値です

            SNMP SET requests to this object may be rejected or the
            value of the object after an accepted SET operation may be
            less than the value that was contained in the SNMP SET
            request."
       ::= { midcomGroupEntry 3 }
        
   --
   -- Configuration Objects
   --
   --  Configuration objects that can be used for retrieving
   --  middlebox capability information (mandatory) and for
   --  setting parameters of the implementation of transaction
   --  objects (optional).
   --
   --  Note that typically configuration objects are not intended
   --  to be written by MIDCOM clients.  In general, write access
   --  to these objects needs to be restricted more strictly than
   --  write access to transaction objects.
   --
        
   --
   -- Capabilities subtree
   --
   -- This subtree contains objects to which MIDCOM clients should
   -- have read access.
   --
        
   midcomConfigMaxLifetime OBJECT-TYPE
       SYNTAX      Unsigned32
       UNITS       "seconds"
          MAX-ACCESS  read-write
       STATUS      current
       DESCRIPTION
           "When retrieved, this object returns the maximum lifetime,
            in seconds, that this middlebox allows policy rules to
            have."
       ::= { midcomConfig 1 }
        

midcomConfigPersistentRules OBJECT-TYPE SYNTAX TruthValue MAX-ACCESS read-write STATUS current DESCRIPTION "When retrieved, this object returns true(1) if the MIDCOM-MIB implementation can store policy rules persistently. Otherwise, it returns false(2).

MidcomConfigperSistentrules Object-Type Syntax TruthValue Max-Access read-writeステータス現在の説明 "取得すると、このオブジェクトはtrue(1)midcom-mib実装がポリシールールを永続的に保存できる場合にtrue(1)を返します。

            A value of true(1) indicates that there may be
            entries in the midcomRuleTable with object
            midcomRuleStorageType set to value nonVolatile(3)."
       ::= { midcomConfig 2 }
        

midcomConfigIfTable OBJECT-TYPE SYNTAX SEQUENCE OF MidcomConfigIfEntry MAX-ACCESS not-accessible STATUS current DESCRIPTION "This table indicates capabilities of the MIDCOM-MIB implementation per IP interface.

MidComConconFigiftableオブジェクトタイプの構文シーケンスMidcomConfigifentry Max-Accessアクセス不可能なステータス現在の説明 "このテーブルは、IPインターフェイスごとのMidcom-MIB実装の機能を示しています。

The table is indexed by the object midcomConfigIfIndex.

テーブルは、オブジェクトMidcomConfigifindexによってインデックス付けされています。

            For indexing a single interface, this object contains
            the value of the ifIndex object that is associated
            with the interface.  If an entry with
            midcomConfigIfIndex = 0 occurs, then bits set in
            objects of this entry apply to all interfaces for which
            there is no entry in this table with the interface's
            index."
       ::= { midcomConfig 3 }
        

midcomConfigIfEntry OBJECT-TYPE SYNTAX MidcomConfigIfEntry MAX-ACCESS not-accessible STATUS current DESCRIPTION "An entry describing the capabilities of a middlebox with respect to the indexed IP interface."

MidcomConfigifentryオブジェクトタイプの構文MidcomConfigifentry Max-Access Not-Accessable Current説明「インデックス付きIPインターフェイスに関するミドルボックスの機能を説明するエントリ」

       INDEX { midcomConfigIfIndex }
       ::= { midcomConfigIfTable 1 }
        
   MidcomConfigIfEntry ::= SEQUENCE {
       midcomConfigIfIndex          InterfaceIndexOrZero,
       midcomConfigIfBits           BITS,
       midcomConfigIfEnabled        TruthValue
   }
        

midcomConfigIfIndex OBJECT-TYPE SYNTAX InterfaceIndexOrZero MAX-ACCESS not-accessible STATUS current DESCRIPTION "The index of an entry in the midcomConfigIfTable.

MidcomConfigifindexオブジェクトタイプの構文interfaceindexorzero max-accessアクセス不可能なステータス現在の説明 "MidcomConfigiftableのエントリのインデックス。

For values different from zero, this object identifies an IP interface by containing the same value as the ifIndex object associated with the interface.

ゼロとは異なる値の場合、このオブジェクトは、インターフェイスに関連付けられたifindexオブジェクトと同じ値を含めることにより、IPインターフェイスを識別します。

Note that the index of a particular interface in the ifTable may change after a re-initialization of the middlebox, for example, after adding another interface to it. In such a case, the value of this object may change, but the interface referred to by the MIDCOM-MIB MUST still be the same. If, after a re-initialization of the middlebox, the interface referred to before re-initialization cannot be uniquely mapped anymore to a particular entry in the ifTable, then the value of object midcomConfigIfEnabled of the same entry MUST be changed to false(2).

IFTableの特定のインターフェイスのインデックスは、たとえば別のインターフェイスを追加した後、ミドルボックスの再開始後に変更される可能性があることに注意してください。そのような場合、このオブジェクトの値は変更される可能性がありますが、Midcom-MIBによって言及されているインターフェイスはまだ同じでなければなりません。ミドルボックスの再初期化の後、再開始の前に参照されるインターフェイスをIFTableの特定のエントリに一意にマッピングできなくなった場合、同じエントリのオブジェクトMidcomConfigifenabledの値をFalse(2)に変更する必要があります。。

            If the object has a value of 0, then values
            specified by further objects of the same entry
            apply to all interfaces for which there is no
            explicit entry in the midcomConfigIfTable."
       ::= { midcomConfigIfEntry 1 }
        
   midcomConfigIfBits OBJECT-TYPE
       SYNTAX      BITS {
                       ipv4(0),
                       ipv6(1),
                       addressWildcards(2),
                       portWildcards(3),
                       firewall(4),
                       nat(5),
                       portTranslation(6),
                          protocolTranslation(7),
                       twiceNat(8),
                       inside(9)
                   }
       MAX-ACCESS  read-only
       STATUS      current
       DESCRIPTION
           "When retrieved, this object returns a set of bits
            indicating the capabilities (or configuration) of
            the middlebox with respect to the referenced IP interface.
            If the index equals 0, then all set bits apply to all
            interfaces.
        

If the ipv4(0) bit is set, then the middlebox supports IPv4 at the indexed IP interface.

IPv4(0)ビットが設定されている場合、ミドルボックスはインデックス付きIPインターフェイスでIPv4をサポートします。

If the ipv6(1) bit is set, then the middlebox supports IPv6 at the indexed IP interface.

IPv6(1)ビットが設定されている場合、ミドルボックスはインデックス付きIPインターフェイスでIPv6をサポートします。

If the addressWildcards(2) bit is set, then the middlebox supports IP address wildcarding at the indexed IP interface.

AddressWildCards(2)ビットが設定されている場合、MiddleBoxはインデックス付きIPインターフェイスでのIPアドレスのワイルドカードをサポートします。

If the portWildcards(3) bit is set, then the middlebox supports port wildcarding at the indexed IP interface.

PortWildCards(3)ビットが設定されている場合、MiddleBoxはインデックス付きIPインターフェイスでポートワイルドカードをサポートします。

If the firewall(4) bit is set, then the middlebox offers firewall functionality at the indexed interface.

ファイアウォール(4)ビットが設定されている場合、ミドルボックスはインデックス付きインターフェイスでファイアウォール機能を提供します。

If the nat(5) bit is set, then the middlebox offers network address translation service at the indexed interface.

NAT(5)ビットが設定されている場合、MiddleBoxはインデックスインターフェイスでネットワークアドレス変換サービスを提供します。

If the portTranslation(6) bit is set, then the middlebox offers port translation service at the indexed interface. This bit is only relevant if nat(5) is set.

Porttranslation(6)ビットが設定されている場合、Middleboxはインデックス付きインターフェイスでポート翻訳サービスを提供します。このビットは、NAT(5)が設定されている場合にのみ関連します。

If the protocolTranslation(7) bit is set, then the middlebox offers protocol translation service between IPv4 and IPv6 at the indexed interface. This bit is only relevant if nat(5) is set.

プロトコル翻訳(7)ビットが設定されている場合、MiddleBoxはインデックス付きインターフェイスでIPv4とIPv6の間のプロトコル翻訳サービスを提供します。このビットは、NAT(5)が設定されている場合にのみ関連します。

If the twiceNat(8) bit is set, then the middlebox offers twice network address translation service at the indexed interface. This bit is only relevant if nat(5) is set.

Twicenat(8)ビットが設定されている場合、Middleboxはインデックスインターフェイスで2回のネットワークアドレス変換サービスを提供します。このビットは、NAT(5)が設定されている場合にのみ関連します。

            If the inside(9) bit is set, then the indexed interface is
                   an inside interface with respect to NAT functionality.
            Otherwise, it is an outside interface.  This bit is only
            relevant if nat(5) is set.  An SNMP agent supporting both
            the MIDCOM-MIB module and the NAT-MIB module SHOULD ensure
            that the value of this object is consistent with the values
            of corresponding objects in the NAT-MIB module."
       ::= { midcomConfigIfEntry 2 }
        

midcomConfigIfEnabled OBJECT-TYPE SYNTAX TruthValue MAX-ACCESS read-write STATUS current DESCRIPTION "The value of this object indicates the availability of the middlebox service described by midcomConfigIfBits at the indexed IP interface.

MidComConfigifEnabled Object-Type StruthValue Max-Access Read-Writeステータス現在の説明 "このオブジェクトの値は、インデックス付きIPインターフェイスでMidComConfigifbitsによって記述されたミドルボックスサービスの可用性を示します。

            By writing to this object, the MIDCOM support for the
            entire IP interface can be switched on or off.  Setting
            this object to false(2) immediately stops middlebox
            support at the indexed IP interface.  This implies that
            all policy rules that use NAT or firewall resources at
            the indexed IP interface are terminated immediately.
            In this case, the MIDCOM agent MUST send
            midcomUnsolicitedRuleEvent to all MIDCOM clients that
            have access to one of the terminated rules."
       DEFVAL { true }
       ::= { midcomConfigIfEntry 3 }
        
   --
   -- Firewall subtree
   --
   -- This subtree contains the firewall configuration table
   --
        

midcomConfigFirewallTable OBJECT-TYPE SYNTAX SEQUENCE OF MidcomConfigFirewallEntry MAX-ACCESS not-accessible STATUS current DESCRIPTION "This table lists the firewall configuration per IP interface.

MidcomConfigfirewalltableオブジェクトタイプの構文シーケンスMidcomConfigfigfirewallentry max-accessアクセス不可能なステータス現在の説明 "このテーブルは、IPインターフェイスごとのファイアウォール構成をリストします。

It can be used for configuring how policy rules created by MIDCOM clients are realized as firewall rules of a firewall implementation. Particularly, the priority used for MIDCOM policy rules can be configured. For a single firewall implementation at a particular IP interface, all MIDCOM policy rules are realized as firewall rules with the same priority. Also, a firewall rule group name can be configured.

Midcomクライアントによって作成されたポリシールールが、ファイアウォールの実装のファイアウォールルールとして実現される方法を構成するために使用できます。特に、MIDCOMポリシールールに使用される優先度を構成できます。特定のIPインターフェイスでの単一のファイアウォール実装の場合、すべてのMIDCOMポリシールールが同じ優先事項を持つファイアウォールルールとして実現されます。また、ファイアウォールルールグループ名を構成できます。

           The table is indexed by the object midcomConfigFirewallIndex.
           For indexing a single interface, this object contains the
           value of the ifIndex object that is associated with the
           interface.  If an entry with midcomConfigFirewallIndex = 0
           occurs, then bits set in objects of this entry apply to all
           interfaces for which there is no entry in this table for the
           interface's index."
       ::= { midcomConfig 4 }
        
   midcomConfigFirewallEntry OBJECT-TYPE
       SYNTAX      MidcomConfigFirewallEntry
       MAX-ACCESS  not-accessible
       STATUS      current
       DESCRIPTION
          "An entry describing a particular set of
           firewall resources."
       INDEX { midcomConfigFirewallIndex }
       ::= { midcomConfigFirewallTable 1 }
        
   MidcomConfigFirewallEntry ::= SEQUENCE {
       midcomConfigFirewallIndex      InterfaceIndexOrZero,
       midcomConfigFirewallGroupId    SnmpAdminString,
       midcomConfigFirewallPriority   Unsigned32
   }
        

midcomConfigFirewallIndex OBJECT-TYPE SYNTAX InterfaceIndexOrZero MAX-ACCESS not-accessible STATUS current DESCRIPTION "The index of an entry in the midcomConfigFirewallTable.

MidcomConfigfirewallindexオブジェクトタイプの構文interfaceindexorzero max-access accessable current current current "midcomconfigfirewalltableのエントリのインデックス。

For values different from 0, this object identifies an IP interface by containing the same value as the ifIndex object associated with the interface.

0とは異なる値の場合、このオブジェクトは、インターフェイスに関連付けられたifindexオブジェクトと同じ値を含めることにより、IPインターフェイスを識別します。

Note that the index of a particular interface in the ifTable may change after a re-initialization of the middlebox, for example, after adding another interface to it. In such a case, the value of this object may change, but the interface referred to by the MIDCOM-MIB MUST still be the same. If, after a re-initialization of the middlebox, the interface referred to before re-initialization cannot be uniquely mapped anymore to a particular entry in the ifTable, then the entry in the midcomConfigFirewallTable MUST be deleted.

IFTableの特定のインターフェイスのインデックスは、たとえば別のインターフェイスを追加した後、ミドルボックスの再開始後に変更される可能性があることに注意してください。そのような場合、このオブジェクトの値は変更される可能性がありますが、Midcom-MIBによって言及されているインターフェイスはまだ同じでなければなりません。ミドルボックスの再初期化の後、再発明の前に言及されたインターフェイスをIFTableの特定のエントリに独自にマッピングできなくなることができない場合、MidComConfigfireWalltableのエントリを削除する必要があります。

            If the object has a value of 0, then values specified by
            further objects of the same entry apply to all interfaces
            for which there is no explicit entry in the
            midcomConfigFirewallTable."
       ::= { midcomConfigFirewallEntry 1 }
        
   midcomConfigFirewallGroupId OBJECT-TYPE
       SYNTAX      SnmpAdminString
       MAX-ACCESS  read-write
       STATUS      current
       DESCRIPTION
          "The firewall rule group to which all firewall rules are
           assigned that the MIDCOM server creates for the interface
           indicated by object midcomConfigFirewallIndex.  If the
           value of object midcomConfigFirewallIndex is 0, then all
           firewall rules of the MIDCOM server that are created for
           interfaces with no specific entry in the
           midcomConfigFirewallTable are assigned to the firewall
           rule group indicated by the value of this object."
       ::= { midcomConfigFirewallEntry 2 }
        
   midcomConfigFirewallPriority OBJECT-TYPE
       SYNTAX      Unsigned32
       MAX-ACCESS  read-write
       STATUS      current
       DESCRIPTION
          "The priority assigned to all firewall rules that the
           MIDCOM server creates for the interface indicated by
           object midcomConfigFirewallIndex.  If the value of object
           midcomConfigFirewallIndex is 0, then this priority is
           assigned to all firewall rules of the MIDCOM server that
           are created for interfaces for which there is no specific
           entry in the midcomConfigFirewallTable."
       ::= { midcomConfigFirewallEntry 3 }
        
   --
   -- Monitoring Objects
   --
   -- Monitoring objects are structured into two groups,
   -- the midcomResourceGroup providing information about used
   -- resources and the midcomStatisticsGroup providing information
   -- about MIDCOM transaction statistics.
        

-- -- Resources subtree --

---リソースサブツリー -

   -- The MIDCOM resources subtree contains a set of managed
   -- objects describing the currently used resources of NAT
   -- and firewall implementations.
   --
        

-- -- Textual conventions for objects of the resource subtree --

---リソースサブツリーのオブジェクトのテキストコンベンション -

   MidcomNatBindMode ::= TEXTUAL-CONVENTION
       STATUS      current
       DESCRIPTION
          "An indicator of the kind of NAT resources used by a policy
           rule.  This definition corresponds to the definition of
           NatBindMode in the NAT-MIB (RFC 4008).  Value none(3) can
           be used to indicate that the policy rule does not use
           any NAT binding.
           "
       SYNTAX      INTEGER {
                       addressBind(1),
                       addressPortBind(2),
                       none(3)
                   }
        
   MidcomNatSessionIdOrZero ::= TEXTUAL-CONVENTION
       DISPLAY-HINT "d"
       STATUS      current
       DESCRIPTION
          "A unique ID that is assigned to each NAT session by
           a NAT implementation.  This definition corresponds to
           the definition of NatSessionId in the NAT-MIB (RFC 4008).
           Value 0 can be used to indicate that the policy rule does
           not use any NAT binding."
       SYNTAX      Unsigned32
        

-- -- The MIDCOM resource table --

---ミッドコムリソーステーブル -

midcomResourceTable OBJECT-TYPE SYNTAX SEQUENCE OF MidcomResourceEntry MAX-ACCESS not-accessible STATUS current DESCRIPTION "This table lists all used middlebox resources per MIDCOM policy rule.

MidComResourceTableオブジェクトタイプの構文シーケンスMidcomResourceEntry Max-Accessはアクセス不可能なステータス現在の説明 "このテーブルは、Midcomポリシールールごとに使用されるすべてのミドルボックスリソースをリストします。

           The midcomResourceTable augments the
                  midcomRuleTable."
       ::= { midcomMonitoring 1 }
        
   midcomResourceEntry OBJECT-TYPE
       SYNTAX      MidcomResourceEntry
       MAX-ACCESS  not-accessible
       STATUS      current
       DESCRIPTION
          "An entry describing a particular set of middlebox
           resources."
       AUGMENTS { midcomRuleEntry }
       ::= { midcomResourceTable 1 }
        
   MidcomResourceEntry ::= SEQUENCE {
       midcomRscNatInternalAddrBindMode   MidcomNatBindMode,
       midcomRscNatInternalAddrBindId     NatBindIdOrZero,
       midcomRscNatInsideAddrBindMode     MidcomNatBindMode,
       midcomRscNatInsideAddrBindId       NatBindIdOrZero,
       midcomRscNatSessionId1             MidcomNatSessionIdOrZero,
       midcomRscNatSessionId2             MidcomNatSessionIdOrZero,
       midcomRscFirewallRuleId            Unsigned32
   }
        

midcomRscNatInternalAddrBindMode OBJECT-TYPE SYNTAX MidcomNatBindMode MAX-ACCESS read-only STATUS current DESCRIPTION "An indication of whether this policy rule uses an address NAT bind or an address-port NAT bind for binding the internal address.

midcomrscnatinternaladdrbindmodeオブジェクトタイプ構文midcomnatbindmode max-access read-onlyステータス現在の説明 "このポリシールールがアドレスを使用しているかどうかを示すものです。

           If the MIDCOM-MIB module is operated together with
           the NAT-MIB module (RFC 4008) then object
           midcomRscNatInternalAddrBindMode contains the same
           value as the corresponding object
           natSessionPrivateSrcEPBindMode of the NAT-MIB module."
       ::= { midcomResourceEntry 4 }
        

midcomRscNatInternalAddrBindId OBJECT-TYPE SYNTAX NatBindIdOrZero MAX-ACCESS read-only STATUS current DESCRIPTION "This object references to the allocated internal NAT bind that is used by this policy rule. A NAT bind describes the mapping of internal addresses to outside addresses. MIDCOM-MIB implementations can read this object to learn the corresponding NAT bind resource for this particular policy rule.

Midcomrscnatinternaladdrbindidオブジェクトタイプ構文natbindidorzero read-access read-ccess read-access current current current "このオブジェクトは、このポリシールールで使用される割り当てられた内部NATバインドを参照します。このオブジェクトを読み取って、この特定のポリシールールの対応するNATバインドリソースを学習できます。

           If the MIDCOM-MIB module is operated together with
           the NAT-MIB module (RFC 4008) then object
           midcomRscNatInternalAddrBindId contains the same
           value as the corresponding object
           natSessionPrivateSrcEPBindId of the NAT-MIB module."
       ::= { midcomResourceEntry 5 }
        

midcomRscNatInsideAddrBindMode OBJECT-TYPE SYNTAX MidcomNatBindMode MAX-ACCESS read-only STATUS current DESCRIPTION "An indication of whether this policy rule uses an address NAT bind or an address-port NAT bind for binding the external address.

midcomrscnatinsideaddrbindmodeオブジェクトタイプの構文midcomnatbindmode max-access read-onlyステータス現在の説明 "このポリシールールがNATバインドまたはアドレスポートNATを使用して外部アドレスをバインドするためにアドレスポートNATを使用するかどうかを示す。

           If the MIDCOM-MIB module is operated together with
           the NAT-MIB module (RFC 4008), then object
           midcomRscNatInsideAddrBindMode contains the same
           value as the corresponding object
           natSessionPrivateDstEPBindMode of the NAT-MIB module."
       ::= { midcomResourceEntry 6 }
        

midcomRscNatInsideAddrBindId OBJECT-TYPE SYNTAX NatBindIdOrZero MAX-ACCESS read-only STATUS current DESCRIPTION "This object refers to the allocated external NAT bind that is used by this policy rule. A NAT bind describes the mapping of external addresses to inside addresses. MIDCOM-MIB implementations can read this object to learn the corresponding NAT bind resource for this particular policy rule.

midcomrscnatinsideaddrbindid object-type構文natbindidorzero max-access読み取り専用ステータス現在の説明 "このオブジェクトは、このポリシールールで使用される割り当てられた外部NATバインドを指します。このオブジェクトを読み取って、この特定のポリシールールの対応するNATバインドリソースを学習できます。

           If the MIDCOM-MIB module is operated together with the
           NAT-MIB module (RFC 4008), then object
           midcomRscNatInsideAddrBindId contains the same
           value as the corresponding object
           natSessionPrivateDstEPBindId of the NAT-MIB module."
       ::= { midcomResourceEntry 7 }
        
   midcomRscNatSessionId1 OBJECT-TYPE
       SYNTAX      MidcomNatSessionIdOrZero
       MAX-ACCESS  read-only
          STATUS      current
       DESCRIPTION
          "This object refers to the first allocated NAT session for
           this policy rule.  MIDCOM-MIB implementations can read this
           object to learn whether or not a NAT session for a
           particular policy rule is used.  A value of 0 means that no
           NAT session is allocated for this policy rule.  A value
           other than 0 refers to the NAT session."
      ::= { midcomResourceEntry 8 }
        
   midcomRscNatSessionId2 OBJECT-TYPE
       SYNTAX      MidcomNatSessionIdOrZero
       MAX-ACCESS  read-only
       STATUS      current
       DESCRIPTION
          "This object refers to the second allocated NAT session for
           this policy rule.  MIDCOM-MIB implementations can read this
           object to learn whether or not a NAT session for a
           particular policy rule is used.  A value of 0 means that no
           NAT session is allocated for this policy rule.  A value
           other than 0 refers to the NAT session."
       ::= { midcomResourceEntry 9 }
        
   midcomRscFirewallRuleId OBJECT-TYPE
       SYNTAX      Unsigned32
       MAX-ACCESS  read-only
       STATUS      current
       DESCRIPTION
          "This object refers to the allocated firewall
           rule in the firewall engine for this policy rule.
           MIDCOM-MIB implementations can read this value to
           learn whether a firewall rule for this particular
           policy rule is used or not.  A value of 0 means that
           no firewall rule is allocated for this policy rule.
           A value other than 0 refers to the firewall rule
           number within the firewall engine."
       ::= { midcomResourceEntry 10 }
        
   --
   -- Statistics subtree
   --
   -- The MIDCOM statistics subtree contains a set of managed
   -- objects providing statistics about the usage of transaction
   -- objects.
   --
        
   midcomStatistics      OBJECT IDENTIFIER ::= { midcomMonitoring 2 }
      midcomCurrentOwners OBJECT-TYPE
       SYNTAX      Gauge32
       MAX-ACCESS  read-only
       STATUS      current
       DESCRIPTION
          "The number of different values for midcomRuleOwner
           for all current entries in the midcomRuleTable."
       ::= { midcomStatistics 1 }
        
   midcomTotalRejectedRuleEntries OBJECT-TYPE
       SYNTAX      Counter32
       MAX-ACCESS  read-only
       STATUS      current
       DESCRIPTION
          "The total number of failed attempts to create an entry
           in the midcomRuleTable."
       ::= { midcomStatistics 2 }
        

midcomCurrentRulesIncomplete OBJECT-TYPE SYNTAX Gauge32 MAX-ACCESS read-only STATUS current DESCRIPTION "The current number of policy rules that are incomplete.

MidComCurrErtruleSincomplete Object-Type Syntax Gauge32 Max-Access読み取り専用ステータス現在の説明 "不完全なポリシールールの現在の数。

           Policy rules are loaded via row entries in the
           midcomRuleTable.  This object counts policy rules that are
           loaded but not fully specified, i.e., they are in state
           newEntry(1) or setting(2)."
       ::= { midcomStatistics 3 }
        
   midcomTotalIncorrectReserveRules OBJECT-TYPE
       SYNTAX      Counter32
       MAX-ACCESS  read-only
       STATUS      current
       DESCRIPTION
          "The total number of policy reserve rules that failed
           parameter check and entered state incorrectRequest(4)."
       ::= { midcomStatistics 4 }
        
   midcomTotalRejectedReserveRules OBJECT-TYPE
       SYNTAX      Counter32
       MAX-ACCESS  read-only
       STATUS      current
       DESCRIPTION
          "The total number of policy reserve rules that failed
           while being processed and entered state requestRejected(6)."
       ::= { midcomStatistics 5 }
        
   midcomCurrentActiveReserveRules OBJECT-TYPE
       SYNTAX      Gauge32
       MAX-ACCESS  read-only
       STATUS      current
       DESCRIPTION
          "The number of currently active policy reserve rules."
       ::= { midcomStatistics 6 }
        
   midcomTotalExpiredReserveRules OBJECT-TYPE
       SYNTAX      Counter32
       MAX-ACCESS  read-only
       STATUS      current
       DESCRIPTION
          "The total number of expired policy reserve rules
           (entered termination state timedOut(9))."
       ::= { midcomStatistics 7 }
        
   midcomTotalTerminatedOnRqReserveRules OBJECT-TYPE
       SYNTAX      Counter32
       MAX-ACCESS  read-only
       STATUS      current
       DESCRIPTION
          "The total number of policy reserve rules that were
           terminated on request (entered termination state
           terminatedOnRequest(10))."
       ::= { midcomStatistics 8 }
        
   midcomTotalTerminatedReserveRules OBJECT-TYPE
       SYNTAX      Counter32
       MAX-ACCESS  read-only
       STATUS      current
       DESCRIPTION
          "The total number of policy reserve rules that were
           terminated, but not on request (entered termination state
           terminated(11))."
       ::= { midcomStatistics 9 }
        
   midcomTotalIncorrectEnableRules OBJECT-TYPE
       SYNTAX      Counter32
       MAX-ACCESS  read-only
       STATUS      current
       DESCRIPTION
          "The total number of policy enable rules that failed
           parameter check and entered state incorrectRequest(4)."
       ::= { midcomStatistics 10 }
        
   midcomTotalRejectedEnableRules OBJECT-TYPE
       SYNTAX      Counter32
          MAX-ACCESS  read-only
       STATUS      current
       DESCRIPTION
          "The total number of policy enable rules that failed
           while being processed and entered state requestRejected(6)."
       ::= { midcomStatistics 11 }
   midcomCurrentActiveEnableRules OBJECT-TYPE
       SYNTAX      Gauge32
       MAX-ACCESS  read-only
       STATUS      current
       DESCRIPTION
          "The number of currently active policy enable rules."
       ::= { midcomStatistics 12 }
        
   midcomTotalExpiredEnableRules OBJECT-TYPE
       SYNTAX      Counter32
       MAX-ACCESS  read-only
       STATUS      current
       DESCRIPTION
          "The total number of expired policy enable rules
           (entered termination state timedOut(9))."
       ::= { midcomStatistics 13 }
        
   midcomTotalTerminatedOnRqEnableRules OBJECT-TYPE
       SYNTAX      Counter32
       MAX-ACCESS  read-only
       STATUS      current
       DESCRIPTION
          "The total number of policy enable rules that were
           terminated on request (entered termination state
           terminatedOnRequest(10))."
       ::= { midcomStatistics 14 }
        
   midcomTotalTerminatedEnableRules OBJECT-TYPE
       SYNTAX      Counter32
       MAX-ACCESS  read-only
       STATUS      current
       DESCRIPTION
          "The total number of policy enable rules that were
           terminated, but not on request (entered termination state
           terminated(11))."
       ::= { midcomStatistics 15 }
        

-- -- Notifications. --

---通知。 -

midcomUnsolicitedRuleEvent NOTIFICATION-TYPE

MidcomunsolicitedRuleevent Notification-Type

       OBJECTS     { midcomRuleOperStatus, midcomRuleLifetime }
       STATUS      current
       DESCRIPTION
           "This notification is generated whenever the value of
            midcomRuleOperStatus enters any error state or any
            termination state without an explicit trigger by a
            MIDCOM client."
       ::= { midcomNotifications 1 }
        
   midcomSolicitedRuleEvent NOTIFICATION-TYPE
       OBJECTS     { midcomRuleOperStatus, midcomRuleLifetime }
       STATUS      current
       DESCRIPTION
           "This notification is generated whenever the value
            of midcomRuleOperStatus enters one of the states
            {reserved, enabled, any error state, any termination state}
            as a result of a MIDCOM agent writing successfully to
            object midcomRuleAdminStatus.
        
            In addition, it is generated when the lifetime of
            a rule was changed by successfully writing to object
            midcomRuleLifetime."
       ::= { midcomNotifications 2 }
        

midcomSolicitedGroupEvent NOTIFICATION-TYPE OBJECTS { midcomGroupLifetime } STATUS current DESCRIPTION "This notification is generated for indicating that the lifetime of all member rules of the group was changed by successfully writing to object midcomGroupLifetime.

            Note that this notification is only sent if the lifetime
            of a group was changed by successfully writing to object
            midcomGroupLifetime.  No notification is sent
              - if a group's lifetime is changed by writing to object
                midcomRuleLifetime of any of its member policies,
              - if a group's lifetime expires (in this case,
                notifications are sent for all member policies), or
              - if the group is terminated by terminating the last
                of its member policies without writing to object
                midcomGroupLifetime."
       ::= { midcomNotifications 3 }
        
   --
   -- Conformance information
   --
      midcomCompliances OBJECT IDENTIFIER ::= { midcomConformance 1 }
   midcomGroups      OBJECT IDENTIFIER ::= { midcomConformance 2 }
        

-- -- compliance statements --

---コンプライアンスステートメント -

-- This is the MIDCOM compliance definition ...

- これはMidcomコンプライアンスの定義です...

--

-

midcomCompliance MODULE-COMPLIANCE STATUS current DESCRIPTION "The compliance statement for implementations of the MIDCOM-MIB module.

MidComplianceモジュールコンプライアンスステータス現在の説明 "Midcom-MIBモジュールの実装に関するコンプライアンスステートメント。

            Note that compliance with this compliance
            statement requires compliance with the
            ifCompliance3 MODULE-COMPLIANCE statement of the
            IF-MIB [RFC2863]."
       MODULE      -- this module
       MANDATORY-GROUPS {
               midcomRuleGroup,
               midcomNotificationsGroup,
               midcomCapabilitiesGroup,
               midcomStatisticsGroup
       }
       GROUP   midcomConfigFirewallGroup
       DESCRIPTION
          "A compliant implementation does not have to implement
           the midcomConfigFirewallGroup."
       GROUP   midcomResourceGroup
       DESCRIPTION
          "A compliant implementation does not have to implement
           the midcomResourceGroup."
       OBJECT midcomRuleInternalIpPrefixLength
       MIN-ACCESS  read-only
       DESCRIPTION
          "Write access is not required.  When write access is
           not supported, return 128 as the value of this object.
           A value of 128 means that the function represented by
           this option is not supported."
       OBJECT midcomRuleExternalIpPrefixLength
       MIN-ACCESS  read-only
       DESCRIPTION
          "Write access is not required.  When write access is
           not supported, return 128 as the value of this object.
        
           A value of 128 means that the function represented by
           this option is not supported."
       OBJECT midcomRuleMaxIdleTime
       MIN-ACCESS  read-only
       DESCRIPTION
          "Write access is not required.  When write access is
           not supported, return 0 as the value of this object.
           A value of 0 means that the function represented by
           this option is not supported."
       OBJECT midcomRuleInterface
       MIN-ACCESS  read-only
       DESCRIPTION
          "Write access is not required."
       OBJECT midcomConfigMaxLifetime
       MIN-ACCESS  read-only
       DESCRIPTION
          "Write access is not required."
       OBJECT midcomConfigPersistentRules
       MIN-ACCESS  read-only
       DESCRIPTION
          "Write access is not required."
       OBJECT midcomConfigIfEnabled
       MIN-ACCESS  read-only
       DESCRIPTION
          "Write access is not required."
       OBJECT midcomConfigFirewallGroupId
       MIN-ACCESS  read-only
       DESCRIPTION
          "Write access is not required."
       OBJECT midcomConfigFirewallPriority
       MIN-ACCESS  read-only
       DESCRIPTION
          "Write access is not required."
       ::= { midcomCompliances 1 }
        
   midcomRuleGroup OBJECT-GROUP
       OBJECTS {
           midcomRuleAdminStatus,
           midcomRuleOperStatus,
           midcomRuleStorageType,
           midcomRuleStorageTime,
           midcomRuleError,
           midcomRuleInterface,
           midcomRuleFlowDirection,
           midcomRuleMaxIdleTime,
           midcomRuleTransportProtocol,
           midcomRulePortRange,
           midcomRuleInternalIpVersion,
              midcomRuleExternalIpVersion,
           midcomRuleInternalIpAddr,
           midcomRuleInternalIpPrefixLength,
           midcomRuleInternalPort,
           midcomRuleExternalIpAddr,
           midcomRuleExternalIpPrefixLength,
           midcomRuleExternalPort,
           midcomRuleInsideIpAddr,
           midcomRuleInsidePort,
           midcomRuleOutsideIpAddr,
           midcomRuleOutsidePort,
           midcomRuleLifetime,
           midcomRuleRowStatus,
           midcomGroupLifetime
       }
       STATUS      current
       DESCRIPTION
           "A collection of objects providing information about
            policy rules and policy rule groups."
       ::= { midcomGroups 1 }
        
   midcomCapabilitiesGroup OBJECT-GROUP
       OBJECTS {
           midcomConfigMaxLifetime,
           midcomConfigPersistentRules,
           midcomConfigIfBits,
           midcomConfigIfEnabled
       }
       STATUS      current
       DESCRIPTION
           "A collection of objects providing information about
            the capabilities of a middlebox."
       ::= { midcomGroups 2 }
        
   midcomConfigFirewallGroup OBJECT-GROUP
       OBJECTS {
           midcomConfigFirewallGroupId,
           midcomConfigFirewallPriority
       }
       STATUS      current
       DESCRIPTION
           "A collection of objects providing information about
            the firewall rule group and firewall rule priority to
            be used by firewalls loaded through MIDCOM."
       ::= { midcomGroups 3 }
        

midcomResourceGroup OBJECT-GROUP OBJECTS {

MidcomResourceGroupオブジェクトグループオブジェクト{

           midcomRscNatInternalAddrBindMode,
           midcomRscNatInternalAddrBindId,
           midcomRscNatInsideAddrBindMode,
           midcomRscNatInsideAddrBindId,
           midcomRscNatSessionId1,
           midcomRscNatSessionId2,
           midcomRscFirewallRuleId
       }
       STATUS      current
       DESCRIPTION
           "A collection of objects providing information about
            the used NAT and firewall resources."
       ::= { midcomGroups 4 }
        
   midcomStatisticsGroup OBJECT-GROUP
       OBJECTS {
           midcomCurrentOwners,
           midcomTotalRejectedRuleEntries,
           midcomCurrentRulesIncomplete,
           midcomTotalIncorrectReserveRules,
           midcomTotalRejectedReserveRules,
           midcomCurrentActiveReserveRules,
           midcomTotalExpiredReserveRules,
           midcomTotalTerminatedOnRqReserveRules,
           midcomTotalTerminatedReserveRules,
           midcomTotalIncorrectEnableRules,
           midcomTotalRejectedEnableRules,
           midcomCurrentActiveEnableRules,
           midcomTotalExpiredEnableRules,
           midcomTotalTerminatedOnRqEnableRules,
           midcomTotalTerminatedEnableRules
       }
       STATUS      current
       DESCRIPTION
           "A collection of objects providing statistical
            information about the MIDCOM server."
       ::= { midcomGroups 5 }
        
   midcomNotificationsGroup NOTIFICATION-GROUP
        NOTIFICATIONS {
            midcomUnsolicitedRuleEvent,
            midcomSolicitedRuleEvent,
            midcomSolicitedGroupEvent
        }
        STATUS    current
        DESCRIPTION
            "The notifications emitted by the midcomMIB."
        ::= { midcomGroups 6 }
        

END

終わり

10. Security Considerations
10. セキュリティに関する考慮事項

Obviously, securing access to firewall and NAT configuration is extremely important for maintaining network security. This section first describes general security issues of the MIDCOM-MIB module and then discusses three concrete security threats: unauthorized middlebox configuration, unauthorized access to middlebox configuration information, and unauthorized access to the MIDCOM service configuration.

明らかに、ファイアウォールとNAT構成へのアクセスを保護することは、ネットワークセキュリティを維持するために非常に重要です。このセクションでは、最初にMIDCOM-MIBモジュールの一般的なセキュリティの問題について説明し、次に3つの具体的なセキュリティの脅威について説明します。不正なミドルボックス構成、ミドルボックス構成情報への不正アクセス、およびMIDCOMサービス構成への不正アクセスについて説明します。

10.1. General Security Issues
10.1. 一般的なセキュリティの問題

There are a number of management objects defined in this MIB module with a MAX-ACCESS clause of read-write and/or read-create. Such objects may be considered sensitive or vulnerable in some network environments. But also access to managed objects with a MAX-ACCESS clause of read-only may be considered sensitive or vulnerable. The support for SET and GET operations in a non-secure environment without proper protection can have a negative effect on network operations.

このMIBモジュールには、読み取りワイトおよび/またはread-Createの最大アクセス句を備えた管理オブジェクトが多数あります。このようなオブジェクトは、一部のネットワーク環境で敏感または脆弱と見なされる場合があります。しかし、読み取り専用の最大アクセス条項を持つマネージドオブジェクトへのアクセスも、敏感または脆弱であると見なされる場合があります。適切な保護なしに非セキュアー環境でのセットと取得のサポートは、ネットワーク操作に悪影響を与える可能性があります。

SNMP versions prior to SNMPv3 did not include adequate security. Even if the network itself is secure (for example by using IPsec), even then, there is no control as to who on the secure network is allowed to access and GET/SET (read/change/create/delete) the objects in this MIB module.

SNMPV3以前のSNMPバージョンには、適切なセキュリティは含まれていませんでした。ネットワーク自体が(たとえばIPSECを使用して)安全である場合でも、それでもセキュアネットワーク上の誰がアクセス/セット/セット(読み取り/変更/作成/削除/削除)を制御することはできません。MIBモジュール。

Deployment of SNMP versions prior to SNMPv3 is NOT RECOMMENDED.

SNMPV3の前のSNMPバージョンの展開は推奨されません。

Compliant MIDCOM-MIB implementations MUST support SNMPv3 security services including data integrity, identity authentication, data confidentiality, and replay protection.

準拠したMIDCOM-MIB実装は、データの整合性、ID認証、データの機密性、リプレイ保護など、SNMPV3セキュリティサービスをサポートする必要があります。

It is REQUIRED that the implementations support the security features as provided by the SNMPv3 framework. Specifically, the use of the User-based Security Model RFC 3414 [RFC3414] and the View-based Access Control Model RFC 3415 [RFC3415] is RECOMMENDED.

実装は、SNMPV3フレームワークで提供されるセキュリティ機能をサポートする必要があります。具体的には、ユーザーベースのセキュリティモデルRFC 3414 [RFC3414]およびビューベースのアクセス制御モデルRFC 3415 [RFC3415]の使用をお勧めします。

It is then a customer/operator responsibility to ensure that the SNMP entity giving access to an instance of this MIB is properly configured to give access to the objects only to those principals (users) that have legitimate rights to indeed GET or SET (change/create/delete) them.

その場合、このMIBのインスタンスへのアクセスを提供するSNMPエンティティが、実際に取得または設定する正当な権利を持つプリンシパル(ユーザー)にのみオブジェクトにアクセスできるように適切に構成されていることを保証するのは、顧客/オペレーターの責任です(変更/変更/それらを作成/削除)それら。

To facilitate the provisioning of access control by a security administrator using the View-based Access Control Model (VACM) defined in RFC 3415 [RFC3415] for tables in which multiple users may need to independently create or modify entries, the initial index is used as an "owner index". This is supported by the midcomRuleTable and the midcomGroupTable. Each of them uses midcomRuleOwner as the initial index. midcomRuleOwner has the syntax of SnmpAdminString, and can thus be trivially mapped to an SNMP securityName or a groupName as defined in VACM, in accordance with a security policy.

複数のユーザーがエントリを独立して作成または変更する必要があるテーブルのRFC 3415 [RFC3415]で定義されたビューベースのアクセス制御モデル(VACM)を使用して、セキュリティ管理者によるアクセス制御のプロビジョニングを容易にするために、初期インデックスはとして使用されます。「所有者インデックス」。これは、MidComRuletableとMidComgruptableによってサポートされています。それらのそれぞれは、初期インデックスとしてMidComruleOwnerを使用します。MidComruleownerは、SNMPADMINSTRINGの構文を持っているため、セキュリティポリシーに従って、VACMで定義されているSNMP SecurityNameまたはGroupNameに簡単にマッピングできます。

All entries in the two mentioned tables belonging to a particular user will have the same value for this initial index. For a given user's entries in a particular table, the object identifiers for the information in these entries will have the same subidentifiers (except for the "column" subidentifier) up to the end of the encoded owner index. To configure VACM to permit access to this portion of the table, one would create vacmViewTreeFamilyTable entries with the value of vacmViewTreeFamilySubtree including the owner index portion, and vacmViewTreeFamilyMask "wildcarding" the column subidentifier. More elaborate configurations are possible.

特定のユーザーに属する2つのテーブルのすべてのエントリは、この初期インデックスに対して同じ値を持ちます。特定のテーブルにある特定のユーザーのエントリの場合、これらのエントリの情報のオブジェクト識別子は、エンコードされた所有者インデックスの最後まで同じサブ条約者(「列」のサブアイデンティファイアを除く)を持っています。テーブルのこの部分へのアクセスを許可するためにVacmを構成するために、所有者インデックス部分を含むvacmviewTreefamilySubtreeの値とvacmviewTreefamilymaskのcolumn subidentifierを含むvacmviewtreefamilysubtreeのvacmviewtreefamilytableエントリを作成します。より精巧な構成が可能です。

10.2. Unauthorized Middlebox Configuration
10.2. 不正なミドルボックス構成

The most dangerous threat to network security related to the MIDCOM-MIB module is unauthorized access to facilities for establishing policy rules. In such a case, unauthorized principals would write to the midcomRuleTable for opening firewall pinholes and/or for creating NAT maps, bindings, and/or sessions. Establishing policies can be used to gain access to networks and systems that are protected by firewalls and/or NATs.

Midcom-MIBモジュールに関連するネットワークセキュリティに対する最も危険な脅威は、ポリシールールを確立するための施設への不正アクセスです。そのような場合、許可されていない校長は、ファイアウォールのピンホールを開き、および/またはNATマップ、バインディング、および/またはセッションを作成するために、中程度の複雑なものに手紙を書きます。ポリシーの確立は、ファイアウォールやNATによって保護されているネットワークとシステムへのアクセスを得るために使用できます。

If this protection is removed by unauthorized access to MIDCOM-MIB policies, then the resulting degradation of network security can be severe. Confidential information protected by a firewall might become accessible to unauthorized principals, attacks exploiting security leaks of systems in the protected network might become possible from external networks, and it might be possible to stop firewalls blocking denial-of-service attacks.

この保護がMidcom-MIBポリシーへの不正アクセスによって削除された場合、結果として生じるネットワークセキュリティの劣化は深刻になる可能性があります。ファイアウォールによって保護されている機密情報は、無許可のプリンシパルがアクセスできるようになる可能性があり、保護されたネットワーク内のシステムのセキュリティリークを利用する攻撃は、外部ネットワークから可能になる可能性があり、サービス拒否攻撃をブロックするファイアウォールを停止することが可能かもしれません。

MIDCOM-MIB implementations MUST provide means for strict authentication, message integrity check, and write access control to managed objects that can be used for establishing policy rules. These are objects in the midcomRuleTable and midcomGroupTable with a MAX-ACCESS clause of read-write and/or read-create.

Midcom-MIBの実装は、ポリシールールの確立に使用できる管理されたオブジェクトへの厳格な認証、メッセージの整合性チェック、および書き込みアクセス制御の手段を提供する必要があります。これらは、read-writeおよび/またはread-createの最大アクセス条項を備えた、中程度のcomuletableのオブジェクトです。

Particularly sensitive is write access to the managed object midcomRuleAdminStatus, because writing it causes policy rules to be established.

特に敏感なのは、管理されたオブジェクトMidComRuleAdmintatusへの書き込みアクセスです。これを書くことでポリシールールが確立されるためです。

Also, writing to other managed objects in the two tables can make security vulnerable if it interferes with the authorized establishment of a policy rule, for example, by wildcarding a policy rule after the corresponding entry in the midcomRuleTable is created, but before the authorized owner establishes the rule by writing to midcomRuleAdminStatus.

また、2つのテーブルで他の管理されたオブジェクトに書き込むことは、政策ルールの承認された確立を妨げる場合、たとえば、Mid -Comruletableの対応するエントリが作成された後、承認された所有者の前にポリシールールをワイルドカードすることにより、セキュリティを脆弱にすることができます。Midcomruleadmintatusに書くことにより、ルールを確立します。

Not only unauthorized establishment, but also unauthorized lifetime extension of an existing policy rule may be considered sensitive or vulnerable in some network environments. Therefore, means for strict authentication, message integrity check, and write access control to managed object midcomGroupLifetime MUST be provided by MIDCOM-MIB implementations.

不正な施設だけでなく、既存のポリシールールの無許可の生涯拡張も、一部のネットワーク環境で敏感または脆弱であると見なされる場合があります。したがって、厳格な認証、メッセージの整合性チェック、およびマネージドオブジェクトへの書き込みアクセス制御の手段Midcom-MIBの実装によって提供される必要があります。

10.3. Unauthorized Access to Middlebox Configuration
10.3. ミドルボックス構成への不正アクセス

Another threat to network security is unauthorized access to entries in the midcomRuleTable. The entries contain information about existing pinholes in the firewall and/or about the current NAT configuration. This information can be used for attacking the internal network from outside. Therefore, a MIDCOM-MIB implementation MUST also provide means for read access control to the midcomRuleTable.

ネットワークセキュリティに対するもう1つの脅威は、MidcomRuletableのエントリへの不正アクセスです。エントリには、ファイアウォール内および/または現在のNAT構成に関する既存のピンホールに関する情報が含まれています。この情報は、外部から内部ネットワークを攻撃するために使用できます。したがって、MIDCOM-MIBの実装は、MidComRuleTableへの読み取りアクセス制御の手段も提供する必要があります。

Also, a MIDCOM-MIB implementation SHOULD provide means for protecting different authenticated MIDCOM agents from each other, such that, for example, an authenticated user can only read entries in the midcomRuleTable for which the initial index midcomRuleOwner matches the client's SNMP securityName or VACM groupName.

また、MIDCOM-MIBの実装は、異なる認証されたMIDCOMエージェントを互いに保護する手段を提供する必要があります。たとえば、認証されたユーザーは、初期インデックスMidComRuleOwnerがクライアントのSNMPセキュリティ名またはVacm GroupNameと一致するMidcomRuleTableのエントリのみを読み取ることができます。。

10.4. Unauthorized Access to MIDCOM Service Configuration
10.4. Midcomサービス構成への不正アクセス

There are three objects with a MAX-ACCESS clause of read-write that configure the MIDCOM service: midcomConfigIfEnabled, midcomFirewallGroupId, and midcomFirewallPriority.

Midcomサービスを構成するRead-Wallteの最大アクセス句を持つ3つのオブジェクトがあります:MidComConfigifenabled、MidComfireWallGroupID、およびMidComfireWallpriority。

Unauthorized writing to object midcomConfigIfEnabled can cause serious interruptions of network service.

Object MidComConfigifenabledへの不正なライティングは、ネットワークサービスの深刻な中断を引き起こす可能性があります。

Writing to midcomFirewallGroupId and/or midcomFirewallPriority can be used to increase or reduce the priority of firewall rules that are generated when a policy rule is established in the midcomRuleTable. Increasing the priority might permit firewall rules generated via the MIDCOM-MIB module to overrule basic security rules at the firewall that should have higher priority than the ones generated via the MIDCOM-MIB module.

Midcomfirewallgroupidおよび/またはMidcomfirewallpriorityへの書き込みを使用して、MidcomRuletableでポリシールールが確立されたときに生成されるファイアウォールルールの優先度を増やすか減少させることができます。優先順位を上げると、Midcom-MIBモジュールを介して生成されたファイアウォールルールが、ファイアウォールの基本的なセキュリティルールを覆すことができます。これは、Midcom-MIBモジュールを介して生成されたものよりも優先度が高いはずです。

Therefore, also for these objects, means for strict control of write access MUST be provided by a MIDCOM-MIB implementation.

したがって、これらのオブジェクトについては、Midcom-MIB実装によって、書き込みアクセスの厳密な制御の手段を提供する必要があります。

11. Acknowledgements
11. 謝辞

This memo is based on a long history of discussion within the MIDCOM MIB design team. Many thanks to Mary Barnes, Jeff Case, Wes Hardaker, David Harrington, and Tom Taylor for fruitful comments and recommendations and to Juergen Schoenwaelder acting as a very constructive MIB doctor.

このメモは、Midcom MIBデザインチーム内の議論の長い歴史に基づいています。メアリー・バーンズ、ジェフ・ケース、ウェス・ハーダーカー、デビッド・ハリントン、トム・テイラーが実り多いコメントと推奨事項と、非常に建設的なMIBドクターとして機能しているジュエルゲン・シェーンワエルダーに感謝します。

12. IANA Considerations
12. IANAの考慮事項

IANA has assigned an OID for the MIB module in this document:

IANAは、このドキュメントでMIBモジュールにOIDを割り当てました。

               Descriptor        OBJECT IDENTIFIER value
               ----------        -----------------------
               midcomMIB         { mib-2 171 }
        
13. Normative References
13. 引用文献

[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.

[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。

[RFC5189] Stiemerling, M., Quittek, J., and T. Taylor, "Middlebox Communication (MIDCOM) Protocol Semantics", RFC 5189, March 2008.

[RFC5189] Stiemerling、M.、Quittek、J。、およびT. Taylor、「Middlebox Communication(Midcom)プロトコルセマンティクス」、RFC 5189、2008年3月。

[RFC2578] McCloghrie, K., Perkins, D., Schoenwaelder, J., Case, J., Rose, M. and S. Waldbusser, "Structure of Management Information Version 2 (SMIv2)", STD 58, RFC 2578, April 1999.

[RFC2578] McCloghrie、K.、Perkins、D.、Schoenwaelder、J.、Case、J.、Rose、M。and S. Waldbusser、「管理情報の構造バージョン2(SMIV2)、STD 58、RFC 2578、1999年4月。

[RFC2579] McCloghrie, K., Perkins, D., Schoenwaelder, J., Case, J., Rose, M. and S. Waldbusser, "Textual Conventions for SMIv2", STD 58, RFC 2579, April 1999.

[RFC2579] McCloghrie、K.、Perkins、D.、Schoenwaelder、J.、Case、J.、Rose、M。、およびS. Waldbusser、「SMIV2のテキストコンベンション」、STD 58、RFC 2579、1999年4月。

[RFC2580] McCloghrie, K., Perkins, D., Schoenwaelder, J., Case, J., Rose, M. and S. Waldbusser, "Conformance Statements for SMIv2", STD 58, RFC 2580, April 1999.

[RFC2580] McCloghrie、K.、Perkins、D.、Schoenwaelder、J.、Case、J.、Rose、M。、およびS. Waldbusser、「Smiv2の適合ステートメント」、STD 58、RFC 2580、1999年4月。

[RFC2863] McCloghrie, K. and F. Kastenholz, "The Interfaces Group MIB", RFC 2863, June 2000.

[RFC2863] McCloghrie、K。およびF. Kastenholz、「The Interfaces Group MIB」、RFC 2863、2000年6月。

[RFC3411] Harrington, D., Presuhn, R. and B. Wijnen, "An Architecture for Describing Simple Network Management Protocol (SNMP) Management Frameworks", STD 62, RFC 3411, December 2002.

[RFC3411] Harrington、D.、Presuhn、R。、およびB. Wijnen、「単純なネットワーク管理プロトコル(SNMP)管理フレームワークを説明するためのアーキテクチャ」、STD 62、RFC 3411、2002年12月。

[RFC3413] Levi, D., Meyer, P., and B. Stewart, "Simple Network Management Protocol Applications", STD 62, RFC 3413, December 2002.

[RFC3413] Levi、D.、Meyer、P。、およびB. Stewart、「Simple Network Management Protocol Applications」、STD 62、RFC 3413、2002年12月。

[RFC3414] Blumenthal, U. and B. Wijnen, "User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3)", STD 62, RFC 3414, December 2002.

[RFC3414] Blumenthal、U.およびB. Wijnen、「単純なネットワーク管理プロトコル(SNMPV3)のバージョン3のユーザーベースのセキュリティモデル(USM)」、STD 62、RFC 3414、2002年12月。

[RFC3418] Presuhn, R., Ed., "Management Information Base (MIB) for the Simple Network Management Protocol (SNMP)", STD 62, RFC 3418, December 2002.

[RFC3418] Presuhn、R.、ed。、「Simple Network Management Protocol(SNMP)の管理情報ベース(MIB)」、STD 62、RFC 3418、2002年12月。

[RFC3550] Schulzrinne, H., Casner, S., Frederick, R., and V. Jacobson, "RTP: A Transport Protocol for Real-Time Applications", STD 64, RFC 3550, July 2003.

[RFC3550] Schulzrinne、H.、Casner、S.、Frederick、R。、およびV. Jacobson、「RTP:リアルタイムアプリケーション用の輸送プロトコル」、STD 64、RFC 3550、2003年7月。

[RFC4001] Daniele, M., Haberman, B., Routhier, S., and J. Schoenwaelder, "Textual Conventions for Internet Network Addresses", RFC 4001, February 2005.

[RFC4001] Daniele、M.、Haberman、B.、Routhier、S。、およびJ. Schoenwaelder、「インターネットネットワークアドレスのテキストコンベンション」、RFC 4001、2005年2月。

[RFC4008] Rohit, R., Srisuresh, P., Raghunarayan, R., Pai, N., and C. Wang, "Definitions of Managed Objects for Network Address Translators (NAT)", RFC 4008, March 2005.

[RFC4008] Rohit、R.、Srisuresh、P.、Raghunarayan、R.、Pai、N。、およびC. Wang、「ネットワークアドレス翻訳者の管理オブジェクトの定義(NAT)、RFC 4008、2005年3月。

14. Informative References
14. 参考引用

[RFC3410] Case, J., Mundy, R., Partain, D. and B. Stewart, "Introduction and Applicability Statements for Internet-Standard Management Framework", RFC 3410, December 2002.

[RFC3410] Case、J.、Mundy、R.、Partain、D。およびB. Stewart、「インターネット標準管理フレームワークの紹介と適用声明」、RFC 3410、2002年12月。

[RFC3234] Carpenter, B. and S. Brim, "Middleboxes: Taxonomy and Issues", RFC 3234, February 2002.

[RFC3234]大工、B。およびS.ブリム、「ミドルボックス:分類法と問題」、RFC 3234、2002年2月。

[RFC3303] Srisuresh, P., Kuthan, J., Rosenberg, J., Molitor, A., and A. Rayhan, "Middlebox communication architecture and framework", RFC 3303, August 2002.

[RFC3303] Srisuresh、P.、Kuthan、J.、Rosenberg、J.、Molitor、A。、およびA. Rayhan、「Middlebox Communication Architecture and Framework」、RFC 3303、2002年8月。

[RFC3304] Swale, R., Mart, P., Sijben, P., Brim, S., and M. Shore, "Middlebox Communications (midcom) Protocol Requirements", RFC 3304, August 2002.

[RFC3304] Swale、R.、Mart、P.、Sijben、P.、Brim、S.、およびM. Shore、「Middlebox Communications(Midcom)プロトコル要件」、RFC 3304、2002年8月。

[RFC3415] Wijnen, B., Presuhn, R., and K. McCloghrie, "View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP)", STD 62, RFC 3415, December 2002.

[RFC3415] Wijnen、B.、Presuhn、R。、およびK. McCloghrie、「シンプルネットワーク管理プロトコル(SNMP)のビューベースのアクセス制御モデル(VACM)」、2002年12月、RFC 3415、RFC 3415。

Authors' Addresses

著者のアドレス

Juergen Quittek NEC Europe Ltd. Kurfuersten-Anlage 36 69115 Heidelberg Germany

Juergen Quittek Nec Europe Ltd. Kurfuersten-Anlage 36 69115ハイデルベルクドイツ

   Phone: +49 6221 4342-115
   EMail: quittek@nw.neclab.eu
        

Martin Stiemerling NEC Europe Ltd. Kurfuersten-Anlage 36 69115 Heidelberg Germany

Martin Stiemerling Nec Europe Ltd. Kurfuersten-Anlage 36 69115ハイデルベルクドイツ

   Phone: +49 6221 4342-113
   EMail: stiemerling@nw.neclab.eu
        

Pyda Srisuresh Kazeon Systems, Inc. 1161 San Antonio Rd. Mountain View, CA 94043 U.S.A.

Pyda Srisuresh Kazeon Systems、Inc。1161 San Antonio Rd。マウンテンビュー、CA 94043 U.S.A.

   Phone: +1 408 836 4773
   EMail: srisuresh@yahoo.com
        

Full Copyright Statement

完全な著作権声明

Copyright (C) The IETF Trust (2008).

著作権(c)The IETF Trust(2008)。

This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.

この文書は、BCP 78に含まれる権利、ライセンス、および制限の対象となり、そこに記載されている場合を除き、著者はすべての権利を保持しています。

This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

このドキュメントとここに含まれる情報は、「現状のまま」に基づいて提供され、貢献者、彼/彼女が代表する組織(もしあれば)、インターネット協会、IETFトラスト、インターネットエンジニアリングタスクフォースがすべてを否認します。明示的または黙示的な保証。ここでの情報の使用は、特定の目的に対する商品性または適合性の権利または暗黙の保証を侵害しないという保証を含むがこれらに限定されない。

Intellectual Property

知的財産

The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.

IETFは、知的財産権またはその他の権利の有効性または範囲に関して、本書に記載されている技術の実装または使用、またはそのような権利に基づくライセンスに基づくライセンスの範囲に関連すると主張される可能性のある他の権利に関しては、立場を取得しません。利用可能になります。また、そのような権利を特定するために独立した努力をしたことも表明していません。RFCドキュメントの権利に関する手順に関する情報は、BCP 78およびBCP 79に記載されています。

Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.

IETF事務局に行われたIPR開示のコピーと、利用可能にするライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得しようとする試みの結果を取得できます。http://www.ietf.org/iprのIETFオンラインIPRリポジトリから。

The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.

IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実装するために必要な技術をカバーする可能性のあるその他の独自の権利を注意深く招待するよう招待しています。ietf-ipr@ietf.orgのIETFへの情報をお問い合わせください。