RFC3585 日本語訳
3585 IPsec Configuration Policy Information Model. J. Jason, L.Rafalow, E. Vyncke. August 2003. (Format: TXT=187308 bytes) (Status: PROPOSED STANDARD)
プログラムでの自動翻訳です。
英語原文
Network Working Group J. Jason
Request for Comments: 3585 Intel Corporation
Category: Standards Track L. Rafalow
IBM
E. Vyncke
Cisco Systems
August 2003
コメントを求めるワーキンググループJ.ジェイソン要求をネットワークでつないでください: 3585年のインテル社カテゴリ: 標準化過程L.Rafalow IBM E.Vynckeシスコシステムズ2003年8月
IPsec Configuration Policy Information Model
IPsec構成方針情報モデル
Status of this Memo
このMemoの状態
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティにインターネット標準化過程プロトコルを指定して、改良のために議論と提案を要求します。 このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD1)の現行版を参照してください。 このメモの分配は無制限です。
Copyright Notice
版権情報
Copyright (C) The Internet Society (2003). All Rights Reserved.
Copyright(C)インターネット協会(2003)。 All rights reserved。
Abstract
要約
This document presents an object-oriented information model of IP Security (IPsec) policy designed to facilitate agreement about the content and semantics of IPsec policy, and enable derivations of task-specific representations of IPsec policy such as storage schema, distribution representations, and policy specification languages used to configure IPsec-enabled endpoints. The information model described in this document models the configuration parameters defined by IPSec. The information model also covers the parameters found by the Internet Key Exchange protocol (IKE). Other key exchange protocols could easily be added to the information model by a simple extension. Further extensions can further be added easily due to the object-oriented nature of the model.
このドキュメントはIPsec方針の内容と意味論に関する協定を容易にして、IPsec方針のIPsecによって可能にされた終点を構成するのに使用されるストレージ図式や、分配表現や、方針仕様言語などのタスク特有の表現の派生を可能にするように設計されたIP Security(IPsec)方針のオブジェクト指向情報モデルを提示します。 情報モデルは本書では設定パラメータがIPSecで定義したモデルについて説明しました。 また、情報モデルはインターネット・キー・エクスチェンジプロトコル(IKE)によって見つけられたパラメタをカバーしています。 単純拡大で他の主要な交換プロトコルを容易に情報モデルに追加できるでしょう。 モデルのオブジェクト指向本質のためさらに容易にさらなる拡大を加えることができます。
This information model is based upon the core policy classes as defined in the Policy Core Information Model (PCIM) and in the Policy Core Information Model Extensions (PCIMe).
この情報モデルはPolicy Core情報Model(PCIM)とPolicy Core情報Model Extensions(PCIMe)で定義されるようにコア方針のクラスに基づいています。
Jason, et al. Standards Track [Page 1] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[1ページ]。
Table of Contents
目次
1. Introduction.................................................. 3
2. UML Conventions............................................... 4
3. IPsec Policy Model Inheritance Hierarchy...................... 6
4. Policy Classes................................................ 11
4.1. The Class SARule........................................ 13
4.2. The Class IKERule....................................... 17
4.3. The Class IPsecRule..................................... 18
4.4. The Association Class IPsecPolicyForEndpoint............ 18
4.5. The Association Class IPsecPolicyForSystem.............. 19
4.6. The Aggregation Class SAConditionInRule................. 19
4.7. The Aggregation Class PolicyActionInSARule.............. 20
5. Condition and Filter Classes.................................. 22
5.1. The Class SACondition................................... 23
5.2. The Class IPHeadersFilter............................... 23
5.3. The Class CredentialFilterEntry......................... 23
5.4. The Class IPSOFilterEntry............................... 25
5.5. The Class PeerIDPayloadFilterEntry...................... 26
5.6. The Association Class FilterOfSACondition............... 28
5.7. The Association Class AcceptCredentialFrom.............. 29
6. Action Classes................................................ 30
6.1. The Class SAAction...................................... 32
6.2. The Class SAStaticAction................................ 33
6.3. The Class IPsecBypassAction............................. 34
6.4. The Class IPsecDiscardAction............................ 34
6.5. The Class IKERejectAction............................... 35
6.6. The Class PreconfiguredSAAction......................... 35
6.7. The Class PreconfiguredTransportAction.................. 36
6.8. The Class PreconfiguredTunnelAction..................... 37
6.9. The Class SANegotiationAction........................... 37
6.10. The Class IKENegotiationAction.......................... 38
6.11. The Class IPsecAction................................... 39
6.12. The Class IPsecTransportAction.......................... 41
6.13. The Class IPsecTunnelAction............................. 42
6.14. The Class IKEAction..................................... 42
6.15. The Class PeerGateway................................... 44
6.16. The Association Class PeerGatewayForTunnel.............. 45
6.17. The Aggregation Class ContainedProposal................. 46
6.18. The Association Class HostedPeerGatewayInformation...... 47
6.19. The Association Class TransformOfPreconfiguredAction.... 48
6.20 The Association Class PeerGatewayForPreconfiguredTunnel. 49
7. Proposal and Transform Classes................................ 50
7.1. The Abstract Class SAProposal........................... 50
7.2. The Class IKEProposal................................... 51
7.3. The Class IPsecProposal................................. 54
7.4. The Abstract Class SATransform.......................... 54
7.5. The Class AHTransform................................... 56
1. 序論… 3 2. UMLコンベンション… 4 3. IPsec政策モデル継承階層構造… 6 4. 方針は属します… 11 4.1. クラスSARule… 13 4.2. クラスIKERule… 17 4.3. クラスIPsecRule… 18 4.4. 協会のクラスIPsecPolicyForEndpoint… 18 4.5. 協会のクラスIPsecPolicyForSystem… 19 4.6. 集合のクラスSAConditionInRule… 19 4.7. 集合のクラスPolicyActionInSARule… 20 5. クラスを条件として、フィルターにかけてください… 22 5.1. クラスSACondition… 23 5.2. クラスIPHeadersFilter… 23 5.3. クラスCredentialFilterEntry… 23 5.4. クラスIPSOFilterEntry… 25 5.5. クラスPeerIDPayloadFilterEntry… 26 5.6. 協会のクラスFilterOfSACondition… 28 5.7. 協会のクラスAcceptCredentialFrom… 29 6. 動作は属します… 30 6.1. クラスSAAction… 32 6.2. クラスSAStaticAction… 33 6.3. クラスIPsecBypassAction… 34 6.4. クラスIPsecDiscardAction… 34 6.5. クラスIKERejectAction… 35 6.6. クラスPreconfiguredSAAction… 35 6.7. クラスPreconfiguredTransportAction… 36 6.8. クラスPreconfiguredTunnelAction… 37 6.9. クラスSANegotiationAction… 37 6.10. クラスIKENegotiationAction… 38 6.11. クラスIPsecAction… 39 6.12. クラスIPsecTransportAction… 41 6.13. クラスIPsecTunnelAction… 42 6.14. クラスIKEAction… 42 6.15. クラスPeerGateway… 44 6.16. 協会のクラスPeerGatewayForTunnel… 45 6.17. 集合のクラスContainedProposal… 46 6.18. 協会のクラスHostedPeerGatewayInformation… 47 6.19. 協会のクラスTransformOfPreconfiguredAction… 48 6.20 協会のクラスPeerGatewayForPreconfiguredTunnel。 49 7. 提案と変換は属します… 50 7.1. 抽象クラスSAProposal… 50 7.2. クラスIKEProposal… 51 7.3. クラスIPsecProposal… 54 7.4. 抽象クラスSATransform… 54 7.5. クラスAHTransform… 56
Jason, et al. Standards Track [Page 2] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[2ページ]。
7.6. The Class ESPTransform.................................. 57
7.7. The Class IPCOMPTransform............................... 59
7.8. The Association Class SAProposalInSystem................ 60
7.9. The Aggregation Class ContainedTransform................ 60
7.10. The Association Class SATransformInSystem............... 62
8. IKE Service and Identity Classes.............................. 63
8.1. The Class IKEService.................................... 64
8.2. The Class PeerIdentityTable............................. 64
8.3. The Class PeerIdentityEntry............................. 65
8.4. The Class AutostartIKEConfiguration..................... 66
8.5. The Class AutostartIKESetting........................... 67
8.6. The Class IKEIdentity................................... 69
8.7. The Association Class HostedPeerIdentityTable........... 71
8.8. The Aggregation Class PeerIdentityMember................ 71
8.9. The Association Class IKEServicePeerGateway............. 72
8.10. The Association Class IKEServicePeerIdentityTable....... 73
8.11. The Association Class IKEAutostartSetting............... 73
8.12. The Aggregation Class AutostartIKESettingContext........ 74
8.13. The Association Class IKEServiceForEndpoint............. 75
8.14. The Association Class IKEAutostartConfiguration......... 76
8.15. The Association Class IKEUsesCredentialManagementService 77
8.16. The Association Class EndpointHasLocalIKEIdentity....... 77
8.17. The Association Class CollectionHasLocalIKEIdentity..... 78
8.18. The Association Class IKEIdentitysCredential............ 79
9. Implementation Requirements................................... 79
10. Security Considerations....................................... 84
11. Intellectual Property Statement............................... 84
12. References ................................................... 85
12.1. Normative References.................................... 85
12.2. Informative References.................................. 86
13. Disclaimer.................................................... 86
14. Acknowledgments............................................... 86
15. Authors' Addresses............................................ 87
16. Full Copyright Statement...................................... 88
7.6. クラスESPTransform… 57 7.7. クラスIPCOMPTransform… 59 7.8. 協会のクラスSAProposalInSystem… 60 7.9. 集合のクラスContainedTransform… 60 7.10. 協会のクラスSATransformInSystem… 62 8. IKEサービスとアイデンティティは属します… 63 8.1. クラスIKEService… 64 8.2. クラスPeerIdentityTable… 64 8.3. クラスPeerIdentityEntry… 65 8.4. クラスAutostartIKEConfiguration… 66 8.5. クラスAutostartIKESetting… 67 8.6. クラスIKEIdentity… 69 8.7. 協会のクラスHostedPeerIdentityTable… 71 8.8. 集合のクラスPeerIdentityMember… 71 8.9. 協会のクラスIKEServicePeerGateway… 72 8.10. 協会のクラスIKEServicePeerIdentityTable… 73 8.11. 協会のクラスIKEAutostartSetting… 73 8.12. 集合のクラスAutostartIKESettingContext… 74 8.13. 協会のクラスIKEServiceForEndpoint… 75 8.14. 協会のクラスIKEAutostartConfiguration… 76 8.15. 協会クラスIKEUsesCredentialManagementService77 8.16。 協会のクラスEndpointHasLocalIKEIdentity… 77 8.17. 協会のクラスCollectionHasLocalIKEIdentity… 78 8.18. 協会のクラスIKEIdentitysCredential… 79 9. 実装要件… 79 10. セキュリティ問題… 84 11. 知的所有権声明… 84 12. 参照… 85 12.1. 標準の参照… 85 12.2. 有益な参照… 86 13. 注意書き… 86 14. 承認… 86 15. 作者のアドレス… 87 16. 完全な著作権宣言文… 88
1. Introduction
1. 序論
IP security (IPsec) policy may assume a variety of forms as it travels from storage, to distribution, to decision points. At each step, it needs to be represented in a way that is convenient for the current task. For example, the policy could exist as, but is not limited to:
分配、決定ポイントにストレージから旅するとき、IPセキュリティ(IPsec)方針はさまざまなフォームを仮定するかもしれません。 各ステップでは、それは、現在のタスクが都合がよい方法で表される必要があります。 例えば、存在できましたが、方針は制限されません:
o A Lightweight Directory Access Protocol (LDAP) [LDAP] schema in a
directory.
o ディレクトリのライトウェイト・ディレクトリ・アクセス・プロトコル(LDAP)[LDAP]図式。
o An on-the-wire representation over a transport protocol like the
Common Object Policy Service (COPS) [COPS, COPSPR].
o Common Object Policy Service(COPS)[COPS、COPSPR]のようなトランスポート・プロトコルの上のワイヤにおける表現。
Jason, et al. Standards Track [Page 3] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[3ページ]。
o A text-based policy specification language suitable for editing by
an administrator.
o 管理者による編集に適したテキストベースの方針仕様言語。
o An Extensible Markup Language (XML) document.
o 拡張マークアップ言語(XML)ドキュメント。
Each of these task-specific representations should be derived from a canonical representation that precisely specifies the content and semantics of the IPsec policy. This document captures this concept and introduces a task-independent canonical representation for IPsec policies.
正確にIPsec方針の内容と意味論を指定する正準な表現からそれぞれのこれらのタスク特有の表現を得るべきです。 このドキュメントは、この概念を得て、IPsec方針のタスクから独立している正準な表現を紹介します。
This document focuses mainly on the existing protocols [COMP, ESP, AH, DOI, IKE]. The model can easily be extended if needed due to its object-oriented nature.
このドキュメントは主に既存のプロトコル[COMP、超能力、AH、DOI、IKE]に焦点を合わせます。 オブジェクト指向本質のため必要であるなら、容易にモデルを広げることができます。
This document is organized as follows:
このドキュメントは以下の通りまとめられます:
o Section 2 provides a quick introduction to the Unified Modeling
Language (UML) graphical notation conventions used in this
document.
o セクション2は本書では使用される統一モデリング言語(UML)のグラフィカルな記法コンベンションに迅速な序論を提供します。
o Section 3 provides the inheritance hierarchy that describes where
the IPsec policy classes fit into the policy class hierarchy
already defined by the Policy Core Information Model (PCIM) and
Policy Core Information Model Extensions (PCIMe).
o セクション3はIPsec方針のクラスがどこにPolicy Core情報Model(PCIM)とPolicy Core情報Model Extensions(PCIMe)によって既に定義された方針クラス階層構造に収まるかを説明する継承階層構造を提供します。
o Sections 4 through 8 describe the classes that make up the IPsec
policy model.
o セクション4〜8はIPsec政策モデルを作るクラスについて説明します。
o Section 9 presents the implementation requirements for the classes
in the model (i.e., the MUST/MAY/SHOULD status).
o すなわち、セクション9がモデルにクラスのための実装要件を示す、(/5月/SHOULD状態)でなければならない
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [KEYWORDS].
「キーワード“MUST"、「必須NOT」が「必要です」、“SHALL"、「」、“SHOULD"、中の解釈されて、説明されるとして」 「5月」、「推薦され」て、このドキュメントで「任意」があるNOT[キーワード]はそうするべきです。
2. UML Conventions
2. UMLコンベンション
For this document, a UML static class diagram was chosen as the canonical representation for the IPsec policy model, because UML provides a graphical, task-independent way to model systems. A treatise on the graphical notation used in UML is beyond the scope of this paper. However, given the use of ASCII drawing for UML static class diagrams, a description of the notational conventions used in this document is in order:
このドキュメントにおいて、UMLの静的なクラスダイヤグラムはIPsec政策モデルの正準な表現として選ばれました、UMLがシステムをモデル化するグラフィカルで、タスクから独立している方法を提供するので。UMLで使用されるグラフィカルな記法に関する論文はこの紙の範囲を超えています。 しかしながら、ASCII図面のUMLの静的なクラスダイヤグラムの使用を考えて、本書では使用される記号法のコンベンションの記述は整然としています:
Jason, et al. Standards Track [Page 4] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[4ページ]。
o Boxes represent classes, with class names in brackets ([])
representing an abstract class.
o 括弧([])のクラス名が抽象クラスを表していて、箱はクラスを表します。
o A line that terminates with an arrow (<, >, ^, v) denotes
inheritance. The arrow always points to the parent class.
Inheritance can also be called generalization or specialization
(depending upon the reference point). A base class is a
generalization of a derived class, and a derived class is a
specialization of a base class.
o 矢(<、>、^、v)で終わる系列は継承を指示します。 矢はいつも親のクラスを示します。 また、継承を一般化か専門化と呼ぶことができます(基準点によって)。 基底クラスは派生しているクラスの一般化です、そして、派生しているクラスは基底クラスの専門化です。
o Associations are used to model a relationship between two classes.
Classes that share an association are connected using a line. A
special kind of association is also used: an aggregation. An
aggregation models a whole-part relationship between two classes.
Associations, and therefore aggregations, are also modeled as
classes.
o 協会は、2つのクラスの間の関係をモデル化するのに使用されます。 協会を共有するクラスは、系列を使用することで関連しています。 また、特別な種類の協会は使用されます: 集合。 集合は2つのクラスの間の全体の部分関係をモデル化します。 また、協会、およびしたがって、集合はクラスとしてモデル化されます。
o A line that begins with an "o" denotes aggregation. Aggregation
denotes containment in which the contained class and the
containing class have independent lifetimes.
o 「o」で始まる系列は集合を指示します。 集合は含まれたクラスと含んでいるクラスが独立している生涯を持っている封じ込めを指示します。
o At each end of a line representing an association appears a
cardinality (i.e., each association has 2 cardinalities).
Cardinalities indicate the constraints on the number of object
instances in a set of relationships. The cardinality on a given
end of an association indicates the number of different object
instances of that class that may be associated with a single
object instance of the class on the other end of the association.
The cardinality may be:
o 各線の端に、協会を代表するのは基数に現れます(すなわち、各協会には、2つの基数があります)。 基数は関係のセットにおける、オブジェクトインスタンスの数で規制を示します。 協会の与えられた終わりの基数は協会のもう一方の端のクラスのただ一つのオブジェクトインスタンスに関連するかもしれないそのクラスの異なったオブジェクトインスタンスの数を示します。 基数は以下の通りです。
- a range in the form "lower bound..upper bound" indicating the
minimum and maximum number of objects.
- フォームの範囲は「バウンドを下ろします」。オブジェクトの最小の、そして、最大の数を示す「上限。」
- a number that indicates the exact number of objects.
- オブジェクトのはっきりした数を示す数。
- an asterisk indicating any number of objects, including zero.
An asterisk is shorthand for 0..n.
- ゼロを含むいろいろなオブジェクトを示すアスタリスク。 アスタリスクは0のための速記です。n。
- the letter n indicating from 1 to many. The letter n is
shorthand for 1..n.
- 1〜多くまでの手紙n表示。 文字nは1のための速記です。n。
o A class that has an association may have a "w" next to the line
representing the association. This is called a weak association
and is discussed in [PCIM].
o 協会を持っているクラスは協会を代表する系列の横で「w」を持っているかもしれません。 これについて、弱い協会と呼ばれて、[PCIM]で議論します。
It should be noted that the UML static class diagram presented is a conceptual view of IPsec policy designed to aid in understanding. It does not necessarily get translated class for class into another
静的なクラスダイヤグラムが寄贈したUMLが理解で支援するように設計されたIPsec方針の概念視点であることに注意されるべきです。 それはクラスのために必ず翻訳されたクラスを別のものに得るというわけではありません。
Jason, et al. Standards Track [Page 5] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[5ページ]。
representation. For example, an LDAP implementation may flatten out the representation to fewer classes (because of the inefficiency of following references).
表現。 例えば、LDAP実装は、より少ないクラス(次の参照の非能率による)に表現を平らにするかもしれません。
3. IPsec Policy Model Inheritance Hierarchy
3. IPsec政策モデル継承階層構造
Like PCIM and PCIMe, the IPsec Configuration Policy Model derives from and uses classes defined in the DMTF [DMTF] Common Information Model (CIM). The following tree represents the inheritance hierarchy for the IPsec Policy Model classes and how they fit into PCIM, PCIMe and the other DMTF models (see Appendices for descriptions of classes that are not being introduced as part of IPsec model). CIM classes that are not used as a superclass to derive new classes, but are used only as references, are not included in this inheritance hierarchy, but can be found in the appropriate DMTF document: Core Model [CIMCORE], User Model [CIMUSER] or, Network Model [CIMNETWORK].
同様のPCIMとPCIMe、IPsec Configuration Policy Modelを派生させる、そして、クラスがDMTF[DMTF]の一般的な情報Model(CIM)で定義した用途。 IPsec Policy ModelのクラスとそれらがどうPCIM、PCIMe、および他のDMTFモデルに収まる(IPsecモデルの一部として導入されていないクラスの記述に関してAppendicesを見る)ように、以下の木は継承階層構造を表すか。 新しいクラスを引き出すのに「スーパー-クラス」として使用されませんが、参照だけとして使用されるCIMのクラスは、この継承階層構造では含まれていませんが、適切なDMTFドキュメントで見つけることができます: または、コアModel[CIMCORE]、User Model[CIMUSER]、Network Model[CIMNETWORK]。
ManagedElement (DMTF Core Model)
|
+--Collection (DMTF Core Model)
| |
| +--PeerIdentityTable
|
+--ManagedSystemElement (DMTF Core Model)
| |
| +--LogicalElement (DMTF Core Model)
| |
| +--FilterEntryBase (DMTF Network Model)
| | |
| | +--CredentialFilterEntry
| | |
| | +--IPHeadersFilter (PCIMe)
| | |
| | +--IPSOFilterEntry
| | |
| | +--PeerIDPayloadFilterEntry
| |
| +--PeerGateway
| |
| +--PeerIdentityEntry
| |
| +--Service (DMTF Core Model)
| |
| +--IKEService
|
ManagedElement(DMTFコアモデル)| +--収集(DMTFコアモデル)| | | +--PeerIdentityTable| +--ManagedSystemElement(DMTFコアモデル)| | | +--LogicalElement(DMTFコアモデル)| | | +--FilterEntryBase(DMTFネットワークモデル)| | | | | +--CredentialFilterEntry| | | | | +--IPHeadersFilter(PCIMe)| | | | | +--IPSOFilterEntry| | | | | +--PeerIDPayloadFilterEntry| | | +--PeerGateway| | | +--PeerIdentityEntry| | | +--サービス(DMTFコアモデル)| | | +--IKEService|
Jason, et al. Standards Track [Page 6] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[6ページ]。
+--OrganizationalEntity (DMTF User Model)
| |
| +--UserEntity (DMTF User Model)
| |
| +--UsersAccess (DMTF User Model)
| |
| +--IKEIdentity
|
+--Policy (PCIM)
| |
| +--PolicyAction (PCIM)
| | |
| | +--CompoundPolicyAction (PCIMe)
| | |
| | +--SAAction
| | |
| | +--SANegotiationAction
| | | |
| | | +--IKENegotiationAction
| | | |
| | | +--IKEAction
| | | |
| | | +--IPsecAction
| | | |
| | | +--IPsecTransportAction
| | | |
| | | +--IPsecTunnelAction
| | |
| | +--SAStaticAction
| | |
| | +--IKERejectAction
| | |
| | +--IPsecBypassAction
| | |
| | +--IPsecDiscardAction
| | |
| | +--PreconfiguredSAAction
| | |
| | +--PreconfiguredTransportAction
| | |
| | +--PreconfiguredTunnelAction
| |
| +--PolicyCondition (PCIM)
| | |
| | +--SACondition
| |
| +--PolicySet (PCIMe)
| | |
+--OrganizationalEntity(DMTFユーザモデル)| | | +--UserEntity(DMTFユーザモデル)| | | +--UsersAccess(DMTFユーザモデル)| | | +--IKEIdentity| +--方針(PCIM)| | | +--PolicyAction(PCIM)| | | | | +--CompoundPolicyAction(PCIMe)| | | | | +--SAAction| | | | | +--SANegotiationAction| | | | | | | +--IKENegotiationAction| | | | | | | +--IKEAction| | | | | | | +--IPsecAction| | | | | | | +--IPsecTransportAction| | | | | | | +--IPsecTunnelAction| | | | | +--SAStaticAction| | | | | +--IKERejectAction| | | | | +--IPsecBypassAction| | | | | +--IPsecDiscardAction| | | | | +--PreconfiguredSAAction| | | | | +--PreconfiguredTransportAction| | | | | +--PreconfiguredTunnelAction| | | +--PolicyCondition(PCIM)| | | | | +--SACondition| | | +--PolicySet(PCIMe)| | |
Jason, et al. Standards Track [Page 7] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[7ページ]。
| | +--PolicyGroup (PCIM & PCIMe)
| | |
| | +--PolicyRule (PCIM & PCIMe)
| | |
| | +--SARule
| | |
| | +--IKERule
| | |
| | +--IPsecRule
| |
| +--SAProposal
| | |
| | +--IKEProposal
| | |
| | +--IPsecProposal
| |
| +--SATransform
| |
| +--AHTransform
| |
| +--ESPTransform
| |
| +--IPCOMPTransform
|
+--Setting (DMTF Core Model)
| |
| +--SystemSetting (DMTF Core Model)
| |
| +--AutostartIKESetting
|
+--SystemConfiguration (DMTF Core Model)
|
+--AutostartIKEConfiguration
| | +--PolicyGroup(PCIM&PCIMe)| | | | | +--PolicyRule(PCIM&PCIMe)| | | | | +--SARule| | | | | +--IKERule| | | | | +--IPsecRule| | | +--SAProposal| | | | | +--IKEProposal| | | | | +--IPsecProposal| | | +--SATransform| | | +--AHTransform| | | +--ESPTransform| | | +--IPCOMPTransform| +--(DMTFコアモデル)を設定すること。| | | +--SystemSetting(DMTFコアモデル)| | | +--AutostartIKESetting| +--SystemConfiguration(DMTFコアモデル)| +--AutostartIKEConfiguration
The following tree represents the inheritance hierarchy of the IPsec policy model association classes and how they fit into PCIM and the other DMTF models (see Appendices for description of association classes that are not being introduced as part of IPsec model).
以下の木はIPsec政策モデル協会のクラスとそれらがどうPCIMに収まるかに関する継承階層構造と他のDMTFモデルの代理をします(IPsecモデルの一部として導入されていない協会のクラスの記述に関してAppendicesを見てください)。
Dependency (DMTF Core Model)
|
+--AcceptCredentialsFrom
|
+--ElementAsUser (DMTF User Model)
| |
| +--EndpointHasLocalIKEIdentity
| |
| +--CollectionHasLocalIKEIdentity
依存(DMTFコアモデル)| +--AcceptCredentialsFrom| +--ElementAsUser(DMTFユーザモデル)| | | +--EndpointHasLocalIKEIdentity| | | +--CollectionHasLocalIKEIdentity
Jason, et al. Standards Track [Page 8] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[8ページ]。
|
+--FilterOfSACondition
|
+--HostedPeerGatewayInformation
|
+--HostedPeerIdentityTable
|
+--IKEAutostartConfiguration
|
+--IKEServiceForEndpoint
|
+--IKEServicePeerGateway
|
+--IKEServicePeerIdentityTable
|
+--IKEUsesCredentialManagementService
|
+--IPsecPolicyForEndpoint
|
+--IPsecPolicyForSystem
|
+--PeerGatewayForPreconfiguredTunnel
|
+--PeerGatewayForTunnel
|
+--PolicyInSystem (PCIM)
| |
| +--SAProposalInSystem
| |
| +--SATransformInSystem
|
+--TransformOfPreconfiguredAction
|
+--UsersCredential (DMTF User Model)
|
+--IKEIdentitysCredential
| +--FilterOfSACondition| +--HostedPeerGatewayInformation| +--HostedPeerIdentityTable| +--IKEAutostartConfiguration| +--IKEServiceForEndpoint| +--IKEServicePeerGateway| +--IKEServicePeerIdentityTable| +--IKEUsesCredentialManagementService| +--IPsecPolicyForEndpoint| +--IPsecPolicyForSystem| +--PeerGatewayForPreconfiguredTunnel| +--PeerGatewayForTunnel| +--PolicyInSystem(PCIM)| | | +--SAProposalInSystem| | | +--SATransformInSystem| +--TransformOfPreconfiguredAction| +--UsersCredential(DMTFユーザモデル)| +--IKEIdentitysCredential
ElementSetting (DMTF Core Model)
|
+--IKEAutostartSetting
ElementSetting(DMTFコアモデル)| +--IKEAutostartSetting
MemberOfCollection (DMTF Core Model)
|
+--PeerIdentityMember
MemberOfCollection(DMTFコアモデル)| +--PeerIdentityMember
PolicyComponent (PCIM)
|
PolicyComponent(PCIM)|
Jason, et al. Standards Track [Page 9] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[9ページ]。
+--ContainedProposal
|
+--ContainedTransform
|
+--PolicyActionStructure (PCIMe)
| |
| +--PolicyActionInPolicyRule (PCIM & PCIMe)
| |
| +--PolicyActionInSARule
|
+--PolicyConditionStructure (PCIMe)
| |
| +--PolicyConditionInPolicyRule (PCIM & PCIMe)
| |
| +--SAConditionInRule
|
+--PolicySetComponent (PCIMe)
+--ContainedProposal| +--ContainedTransform| +--PolicyActionStructure(PCIMe)| | | +--PolicyActionInPolicyRule(PCIM&PCIMe)| | | +--PolicyActionInSARule| +--PolicyConditionStructure(PCIMe)| | | +--PolicyConditionInPolicyRule(PCIM&PCIMe)| | | +--SAConditionInRule| +--PolicySetComponent(PCIMe)
SystemSettingContext (DMTF Core Model)
|
+--AutostartIKESettingContext
SystemSettingContext(DMTFコアモデル)| +--AutostartIKESettingContext
Jason, et al. Standards Track [Page 10] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[10ページ]。
4. Policy Classes
4. 方針のクラス
The IPsec policy classes represent the set of policies that are contained on a system.
IPsec方針のクラスはシステムの上に含まれている方針のセットを表します。
+--------------+
| [PolicySet] |*
| ([PCIME]) |o--+
+--------------+ |
^ *| |(a)
| +------+
+--------------------------+
| |
+-------------+ +--------------+
| PolicyGroup |0..1 | PolicyRule |*
| ([PCIM]) |-----+ | ([PCIM]) |o--+
+-------------+ | +--------------+ |(d)
0..1| | ^ |
|(b) | | |*
*| | | +---------------------------+
+--------------------+ |(c) | | PolicyTimePeriodCondition |
| IPProtocolEndpoint | | | | ([PCIM]) |
| ([CIMNETWORK]) | | | +---------------------------+
+--------------------+ | |
+------------+ | *+----------+*
| System |----+ +-o| SARule |o-------+
| ([CIMCORE])|* | +----------+ |(f)
+------------+ | ^ |
(e)| | |n
+-------------+n | | +--------------+
| SACondition |--------+ | |[PolicyAction]|
+-------------+ | | ([PCIM]) |
| +--------------+
| *| ^
| |(g) |
| | +-------+
| *o | |
| +----------------------+ |
| | CompoundPolicyAction | |
| | ([PCIME]) | |
| +----------------------+ |
| |
+---------+----+ +---------+
| | |
+---------+ +-----------+ +----------+
| IKERule | | IPsecRule | | SAAction |
+---------+ +-----------+ +----------+
+--------------+ | [PolicySet]|* | ([PCIME]) |o--+ +--------------+ | ^ *| |(a) | +------+ +--------------------------+ | | +-------------+ +--------------+ | PolicyGroup|0..1 | PolicyRule|* | ([PCIM]) |-----+ | ([PCIM]) |o--+ +-------------+ | +--------------+ |(d) 0..1| | ^ | |(b) | | |* *| | | +---------------------------+ +--------------------+ |(c) | | PolicyTimePeriodCondition| | IPProtocolEndpoint| | | | ([PCIM]) | | ([CIMNETWORK]) | | | +---------------------------+ +--------------------+ | | +------------+ | *+----------+* | システム|----+ +o| SARule|o-------+ | ([CIMCORE])|* | +----------+ |(f) +------------+ | ^ | (e)| | |n+-------------+ n| | +--------------+ | SACondition|--------+ | |[PolicyAction]| +-------------+ | | ([PCIM]) | | +--------------+ | *| ^ | |(g) | | | +-------+ | *o | | | +----------------------+ | | | CompoundPolicyAction| | | | ([PCIME]) | | | +----------------------+ | | | +---------+----+ +---------+ | | | +---------+ +-----------+ +----------+ | IKERule| | IPsecRule| | SAAction| +---------+ +-----------+ +----------+
Jason, et al. Standards Track [Page 11] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[11ページ]。
(a) PolicySetComponent ([PCIME])
(b) IPsecPolicyForEndpoint
(c) IPsecPolicyForSystem
(d) PolicyRuleValidityPeriod ([PCIM])
(e) SAConditionInRule
(f) PolicyActionInSARule
(g) PolicyActionInPolicyAction ([PCIME])
(a) PolicySetComponent([PCIME)(b)IPsecPolicyForEndpoint(c)IPsecPolicyForSystem(d)PolicyRuleValidityPeriod[PCIM])(e)SAConditionInRule(f)PolicyActionInSARule(g)PolicyActionInPolicyAction([PCIME])
A PolicyGroup represents the set of policies that are used on an interface. This PolicyGroup SHOULD be associated either directly with the IPProtocolEndpoint class instance that represents the interface (via the IPsecPolicyForEndpoint association) or indirectly (via the IPsecPolicyForSystem association) associated with the System that hosts the interface.
PolicyGroupはインタフェースで使用される方針のセットを表します。 このPolicyGroup SHOULDは直接インタフェース(IPsecPolicyForEndpoint協会を通した)を表すIPProtocolEndpointクラスインスタンスに関連しているか、または間接的に交際しました(IPsecPolicyForSystem協会を通して)。インタフェースを接待するSystemと共に。
The IKE and IPsec rules are used to build or to negotiate the IPsec Security Association Database (SADB). The IPsec rules represent the Security Policy Database. The SADB itself is not modeled by this document.
IKEとIPsec規則は、建てるか、またはIPsec Security Association Database(SADB)を交渉するのに使用されます。 IPsec規則はSecurity Policy Databaseを表します。 SADB自身はこのドキュメントによってモデル化されません。
The IKE and IPsec rules can be described as (also see section 6 about actions):
規則を記述できる(また、動作に関するセクション6を見ます)IKEとIPsec:
o An egress unprotected packet will first be checked against the
IPsec rules. If a match is found, the SADB will be checked. If
there is no corresponding IPsec SA in the SADB, and if IKE
negotiation is required by the IPsec rule, the corresponding IKE
rules will be used. The negotiated or preconfigured SA will then
be installed in the SADB.
o 出口の保護のないパケットは最初に、IPsec規則に対してチェックされるでしょう。 マッチが見つけられると、SADBはチェックされるでしょう。 どんな対応するIPsec SAもSADBになくて、IKE交渉がIPsec規則によって必要とされると、対応するIKE規則は使用されるでしょう。 そして、交渉されたかあらかじめ設定されたSAはSADBにインストールされるでしょう。
o An ingress unprotected packet will first be checked against the
IPsec rules. If a match is found, the SADB will be checked for a
corresponding IPsec SA. If there is no corresponding IPsec SA and
a preconfigured SA exists, this preconfigured SA will be installed
in the IPsec SADB. This behavior should only apply to bypass and
discard actions.
o イングレスの保護のないパケットは最初に、IPsec規則に対してチェックされるでしょう。 マッチが見つけられると、SADBは対応するIPsec SAがないかどうかチェックされるでしょう。 どんな対応するIPsec SAもなくて、あらかじめ設定されたSAが存在していると、このあらかじめ設定されたSAはIPsec SADBにインストールされるでしょう。 この振舞いは動作を迂回して、捨てるのに申し込むだけであるべきです。
o An ingress protected packet will first be checked against the
IPsec rules. If a match is found, the SADB will be checked for a
corresponding IPsec SA. If there is no corresponding IPsec SA and
a preconfigured SA exists, this preconfigured SA will be installed
in the IPsec SADB.
o イングレスの保護されたパケットは最初に、IPsec規則に対してチェックされるでしょう。 マッチが見つけられると、SADBは対応するIPsec SAがないかどうかチェックされるでしょう。 どんな対応するIPsec SAもなくて、あらかじめ設定されたSAが存在していると、このあらかじめ設定されたSAはIPsec SADBにインストールされるでしょう。
o An ingress IKE negotiation packet, which is not part of an
existing IKE SA, will be checked against the IKE rules. The
SACondition for the IKERule will usually be composed of a
PeerIDPayloadFilterEntry (typically for an aggressive mode IKE
o イングレスIKE交渉パケット(既存のIKE SAの一部でない)はIKE規則に対してチェックされるでしょう。 通常、IKERuleのためのSAConditionがPeerIDPayloadFilterEntryで構成される、(通常、攻撃的なモードIKE
Jason, et al. Standards Track [Page 12] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[12ページ]。
negotiation) or an IPHeadersFilter. The negotiated SA will then
be installed in the SADB.
交渉) または、IPHeadersFilter。 そして、交渉されたSAはSADBにインストールされるでしょう。
It is expected that when an IKE negotiation is required to be initiated by an IPsec rule, the set of IKE rules will be checked. The IKE rules check will be based on the outgoing IKE packet using IPHeadersFilter entries (typically using the HdrDstAddress property).
IKE交渉がIPsec規則で開始されるのに必要であるときに、IKE規則のセットがチェックされると予想されます。 IPHeadersFilterエントリーを使用することで(HdrDstAddressの特性を通常使用して)規則がチェックするIKEは出発しているIKEパケットに基づくでしょう。
4.1. The Class SARule
4.1. クラスSARule
The class SARule serves as a base class for IKERule and IPsecRule. Even though the class is concrete, it MUST not be instantiated. It defines a common connection point for associations to conditions and actions for both types of rules. Through its derivation from PolicyRule, an SARule (and therefore IKERule and IPsecRule) also has the PolicyRuleValidityPeriod association.
クラスSARuleはIKERuleとIPsecRuleのための基底クラスとして機能します。 クラスは具体的ですが、それを例示してはいけません。 それは協会のために両方のタイプの規則のための状態と動作と共通接続ポイントを定義します。 また、PolicyRuleからの派生で、SARule(そして、したがって、IKERuleとIPsecRule)には、PolicyRuleValidityPeriod協会があります。
Each SARule in a valid PolicyGroup MUST have a unique associated priority number in the PolicySetComponent.Priority. The class definition for SARule is as follows:
有効なPolicyGroupの各SARuleはPolicySetComponent.Priorityにユニークな関連優先順位番号を持たなければなりません。 SARuleのためのクラス定義は以下の通りです:
NAME SARule
DESCRIPTION A base class for IKERule and IPsecRule.
DERIVED FROM PolicyRule (see [PCIM] & [PCIME])
ABSTRACT FALSE
PROPERTIES PolicyRuleName (from PolicyRule)
Enabled (from PolicyRule)
ConditionListType (from PolicyRule)
RuleUsage (from PolicyRule)
Mandatory (from PolicyRule)
SequencedActions (from PolicyRule)
ExecutionStrategy (from PolicyRule)
PolicyRoles (from PolicySet)
PolicyDecisionStrategy (from PolicySet)
LimitNegotiation
IKERuleとIPsecRuleのためのNAME SARule記述A基底クラス。 PolicyRule([PCIM]&[PCIME]を見る)の抽象的な偽の特性のPolicyRuleName(PolicyRuleからの)の可能にされた(PolicyRuleからの)ConditionListType(PolicyRuleからの)RuleUsage(PolicyRuleからの)の義務的な(PolicyRuleからの)SequencedActions(PolicyRuleからの)ExecutionStrategy(PolicyRuleからの)PolicyRoles(PolicySetからの)PolicyDecisionStrategy(PolicySetからの)LimitNegotiationから、派生します。
4.1.1. The Properties PolicyRuleName, Enabled, ConditionListType,
RuleUsage, Mandatory, SequencedActions, PolicyRoles, and
PolicyDecisionStrategy
4.1.1. 特性のPolicyRuleNameであって、可能にされる、RuleUsageの、そして、義務的なConditionListType、SequencedActions、PolicyRoles、およびPolicyDecisionStrategy
For a description of these properties, see [PCIM] and [PCIME].
これらの特性の記述に関しては、[PCIM]と[PCIME]を見てください。
In SARule subclass instances:
SARuleサブクラス例で:
- if the property Mandatory exists, it MUST be set to "true".
- 特性のMandatoryが存在しているなら、「本当に」それを設定しなければなりません。
- if the property SequencedActions exists, it MUST be set to
"mandatory".
- 特性のSequencedActionsが存在しているなら、「義務的に」それを設定しなければなりません。
Jason, et al. Standards Track [Page 13] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[13ページ]。
- the property PolicyRoles is not used in the device-level model.
- 特性のPolicyRolesは装置レベルモデルで使用されません。
- if the property PolicyDecisionStrategy exists, it must be set to
"FirstMatching".
- 特性のPolicyDecisionStrategyが存在しているなら、"FirstMatching"にそれを設定しなければなりません。
4.1.2. The Property ExecutionStrategy
4.1.2. 特性のExecutionStrategy
The ExecutionStrategy properties in the PolicyRule subclasses (and in the CompoundPolicyAction class) determine the behavior of the contained actions. It defines the strategy to be used in executing the sequenced actions aggregated by a rule or a compound action. In the case of actions within a rule, the PolicyActionInSARule aggregation is used to collect the actions into an ordered set; in the case of a compound action, the PolicyActionInPolicyAction aggregation is used to collect the actions into an ordered subset.
PolicyRuleサブクラス(そしてCompoundPolicyActionのクラスで)におけるExecutionStrategyの特性は含まれた動作の振舞いを決定します。 それは、規則か合成動作で集められた配列された動作を実行する際に使用されるために戦略を定義します。 規則の中の動作の場合では、PolicyActionInSARule集合は動作を順序集合に集めるのに使用されます。 合成動作の場合では、PolicyActionInPolicyAction集合は、動作を規則正しい部分集合に集めるのに使用されます。
There are three execution strategies: do until success, do all, and do until failure.
3つの実行戦略があります: 成功まですべてをしてください、そして、失敗まで。
"Do Until Success" causes the execution of actions according to the ActionOrder property in the aggregation instances until a successful execution of a single action. These actions may be evaluated to determine if they are appropriate to execute rather than blindly trying each of the actions until one succeeds. For an initiator, they are tried in the ActionOrder until the list is exhausted or one completes successfully. For example, an IKE initiator may have several IKEActions for the same SACondition. The initiator will try all IKEActions in the order defined by ActionOrder. I.e., it will possibly try several phase 1 negotiations with different modes (main mode then aggressive mode) and/or with multiple IKE peers. For a responder, when there is more than one action in the rule with "do until success" condition clause, this provides alternative actions depending on the received proposals. For example, the same IKERule may be used to handle aggressive mode and main mode negotiations with different actions. The responder uses the first appropriate action in the list of actions.
ActionOrderの特性に従って、「Until Successをしてください」は集合例で動作の実行をただ一つの動作のうまくいっている実行まで引き起こします。 これらの動作は、それらは実行するのが1つが成功するまで盲目的にそれぞれの動作を試みるよりむしろ適切であるかどうか決定するために評価されるかもしれません。 創始者にとって、それらは消耗するリストか1時までのActionOrderが首尾よく完成する試験済みのコネです。 例えば、IKE創始者は同じSAConditionのための数個のIKEActionsを持っているかもしれません。 創始者はActionOrderによって定義されたオーダーにおけるすべてのIKEActionsを試みるでしょう。 すなわち、それはことによると異なったモード(主なモード当時の攻撃的なモード)複数のIKE同輩とのいくつかのフェーズ1交渉を試みるでしょう。 規則に1つ以上の動作が「成功までしてください」基本定款と共にあるとき、応答者には、これは容認された提案による代替の動作を提供します。 例えば、同じIKERuleは、異なった動作との攻撃的なモードと主なモード交渉を扱うのに使用されるかもしれません。 応答者は動作のリストにおける最初の適切な行動を使用します。
"Do All" causes the execution of all the actions in the aggregated set according to their defined order. The execution continues regardless of failures.
彼らの定義された注文に従って、「Allをしてください」は集められたセットにおける、すべての動作の実行を引き起こします。 実行は失敗にかかわらず続きます。
"Do Until Failure" causes the execution of all actions according to a predefined order until the first failure in execution of an action instance. Please note that if all actions are successful, then the aggregated result is a failure. This execution strategy is inherited from [PCIME] and is not expected to be of any use for IPsec configuration.
事前に定義された注文に従って、「Until Failureをしてください」はすべての動作の実行を動作例の実行における最初の失敗まで引き起こします。 すべての動作がうまくいくなら、集められた結果は失敗します。 この実行戦略は、[PCIME]から引き継がれて、IPsec構成の少しの使用もないと予想されます。
Jason, et al. Standards Track [Page 14] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[14ページ]。
For example, in a nested SAs case, the actions of an initiator's rule might be structured as:
例えば、入れ子にされたSAs場合では、創始者のやり方の動作は以下として構造化されるかもしれません。
IPsecRule.ExecutionStrategy='Do All'
|
+---1--- IPsecTunnelAction // set up SA from host to gateway
|
+---2--- IPsecTransportAction // set up SA from host through
// tunnel to remote host
IPsecRule.ExecutionStrategyは'すべてをしてください'と等しいです。| +---1--- IPsecTunnelAction//はホストからゲートウェイまでSAをセットアップしました。| +---2--- IPsecTransportAction//は、リモートホストにホストから/のSAに設定するか、またはトンネルを堀ります。
Another example, showing a rule with fallback actions might be structured as:
別の例であり後退動作で規則を示しているのは以下として構造化されるかもしれません。
IPsecRule.ExecutionStrategy='Do Until Success' | +---6--- IPsecTransportAction // negotiate SA with peer | +---9--- IPsecBypassAction // but if you must, allow in the clear
IPsecRule.ExecutionStrategyは'成功まで'と等しいです。| +---6--- IPsecTransportAction//は同輩とSAを交渉します。| +---9--- IPsecBypassAction//、そうしなければならないなら、中に明確を許容してください。
The CompoundPolicyAction class (See [PCIME]) may be used in constructing the actions of IKE and IPsec rules when those rules specify both multiple actions and fallback actions. The ExecutionStrategy property in CompoundPolicyAction is used in conjunction with that in the PolicyRule.
CompoundPolicyActionのクラス([PCIME]を見る)はそれらの規則が複数の動作と後退動作の両方を指定するときIKEとIPsec規則の動作を構成する際に使用されるかもしれません。 CompoundPolicyActionのExecutionStrategyの特性はPolicyRuleのそれに関連して使用されます。
For example, in nesting SAs with a fallback security gateway, the actions of a rule might be structured as:
例えば、後退セキュリティゲートウェイでSAsを入れ子にする際に、規則の動作は以下として構造化されるかもしれません。
IPsecRule.ExecutionStrategy='Do All'
|
+---1--- CompoundPolicyAction.ExecutionStrategy='Do Until Success'
| |
| +---1--- IPsecTunnelAction // set up SA from host to
| | // gateway1
| |
| +---2--- IPsecTunnelAction // or set up SA to gateway2
|
+---2--- IPsecTransportAction // then set up SA from host
// through tunnel to remote
// host
IPsecRule.ExecutionStrategyは'すべてをしてください'と等しいです。| +---1--- CompoundPolicyAction.ExecutionStrategyは'成功まで'と等しいです。| | | +---1--- セットがホストからのSAを上げるIPsecTunnelAction//| | //gateway1| | | +---2--- gateway2へのIPsecTunnelAction//かセットアップされたSA| +---2--- そして、IPsecTransportAction//はホスト//からトンネルまでリモート//ホストにSAをセットアップしました。
In the case of "Do All", a couple of actions can be executed successfully before a subsequent action fails. In this case, some IKE or IPsec actions may have resulted in SAs creation. Even if the net effect of the aggregated actions is failure, those created SAs MAY be kept or MAY be deleted.
「すべてをしてください」の場合では、その後の動作が失敗する前に首尾よく2、3の動作を実行できます。 この場合、いくらかのIKEかIPsec動作がSAs創造をもたらしたかもしれません。 集められた動作のネットの効果が失敗であっても、それらの作成されたSAsは保たれるか、または削除されるかもしれません。
Jason, et al. Standards Track [Page 15] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[15ページ]。
In the case of "Do All", the IPsec selectors to be used during IPsec SA negotiation are:
「すべてをしてください」の場合では、IPsec SA交渉の間に使用されるべきIPsecセレクタは以下の通りです。
- for the last IPsecAction of the aggregation (i.e., usually the
innermost IPsec SA): this is the combination of the
IPHeadersFilter class and of the Granularity property of the
IPsecAction.
- 集合(すなわち、通常最も奥深いIPsec SA)の最後のIPsecActionのために: これはIPHeadersFilterのクラスとIPsecActionのGranularityの特性の組み合わせです。
- for all other IPsecActions of the aggregation: the selector is the
source IP address which is the local IP address, and the
destination IP address is the PeerGateway IP address of the
following IPsecAction of the "Do All" aggregation. NB: the
granularity is IP address to IP address.
- 集合の他のすべてのIPsecActionsのために: セレクタはローカルアイピーアドレスであるソースIPアドレスです、そして、送付先IPアドレスは「すべてをしてください」という集合の以下のIPsecActionのPeerGateway IPアドレスです。 ネブラスカ: 粒状はIPアドレスへのIPアドレスです。
If the above behavior is not desirable, the alternative is to define several SARules, one for each IPsec SA to be built. This will allow the definition of specific IPsec selectors for all IPsecActions.
上の振舞いが望ましくないなら、代替手段は数個のSARules(各IPsec SAが造られる1つ)を定義することです。 これはすべてのIPsecActionsのための特定のIPsecセレクタの定義を許すでしょう。
4.1.3 The Property LimitNegotiation
4.1.3 特性のLimitNegotiation
The property LimitNegotiation is used as part of processing either an IKE or an IPsec rule.
特性のLimitNegotiationはIKEかIPsec規則のどちらかを処理する一部として使用されます。
Before proceeding with a phase 1 negotiation, this property is checked to determine whether the negotiation role of the rule matches that defined for the negotiation being undertaken (e.g., Initiator, Responder, or Both). If this check fails (e.g., the current role is IKE responder, while the rule specifies IKE initiator), then the IKE negotiation is stopped. Note that this only applies to new IKE phase 1 negotiations and has no effect on either renegotiation or refresh operations with peers for which an established SA already exists.
フェーズで1つの交渉を続かせる前に、この特性は、規則の交渉の役割が引き受けられる交渉(例えば、Initiator、Responder、またはBoth)のために定義されたそれに合っているかどうか決定するためにチェックされます。 このチェックが失敗するなら(例えば、現在の役割はIKE応答者です、規則がIKE創始者を指定しますが)、IKE交渉は止められます。 これは新しいIKEフェーズ1交渉に適用するだけであり、再交渉かリフレッシュ操作のどちらかのときに確立したSAが既に存在する同輩と共に効き目がないことに注意してください。
Before proceeding with a phase 2 negotiation, the LimitNegotiation property of the IPsecRule is first checked to determine if the negotiation role indicated for the rule matches that of the current negotiation (Initiator, Responder, or Either). Note that this limit applies only to new phase 2 negotiations. It is ignored when an attempt is made to refresh an expiring SA (either side can initiate a refresh operation). The IKE system can determine that the negotiation is a refresh operation by checking to see if the selector information matches that of an existing SA. If LimitNegotiation does not match and the selector corresponds to a new SA, the negotiation is stopped.
フェーズで2交渉を続かせる前に、IPsecRuleのLimitNegotiationの特性は、最初に、交渉の役割が規則マッチのために現在の交渉(創始者、Responder、またはEither)のものを示したかどうか決定するためにチェックされます。 この限界が新しいフェーズ2交渉だけに適用されることに注意してください。 期限が切れているSAをリフレッシュするのを試みをするとき(どちらの側もリフレッシュ操作を開始できます)、それを無視します。 IKEシステムは、交渉がセレクタ情報が既存のSAのものに合っているかどうか確認するためにチェックすることによってリフレッシュ操作であることを決定できます。 LimitNegotiationが合っていなくて、セレクタが新しいSAに対応しているなら、交渉は止められます。
Jason, et al. Standards Track [Page 16] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[16ページ]。
The property is defined as follows:
特性は以下の通り定義されます:
NAME LimitNegotiation
DESCRIPTION Limits the role to be undertaken during negotiation.
SYNTAX unsigned 16-bit integer
VALUE 1 - initiator-only
2 - responder-only
3 - both
NAME LimitNegotiation記述Limits、交渉の間に引き受けられるべき役割。 SYNTAXの無記名の16ビットの整数VALUE1--創始者だけ2--応答者だけ3--ともに
4.2. The Class IKERule
4.2. クラスIKERule
The class IKERule associates Conditions and Actions for IKE phase 1 negotiations. The class definition for IKERule is as follows:
クラスIKERuleはIKEフェーズ1交渉のためにConditionsとActionsを関連づけます。 IKERuleのためのクラス定義は以下の通りです:
NAME IKERule
DESCRIPTION Associates Conditions and Actions for IKE phase 1
negotiations.
DERIVED FROM SARule
ABSTRACT FALSE
PROPERTIES same as SARule, plus
IdentityContexts
IKEのためのNAME IKERule記述のAssociates ConditionsとActionsは1交渉の位相を合わせます。 SARule、およびIdentityContextsと同じDERIVED FROM SARule ABSTRACT FALSE PROPERTIES
4.2.1. The Property IdentityContexts
4.2.1. 特性のIdentityContexts
The IKE service of a security endpoint may have multiple identities for use in different situations. The combination of the interface (represented by the IPProtocolEndpoint or by a collection of IPProtocolEndpoints), the identity type (as specified in the IKEAction), and the IdentityContexts specifies a unique identity.
セキュリティ終点のIKEサービスには、異なった状況における使用のための複数のアイデンティティがあるかもしれません。 インタフェース(IPProtocolEndpointかIPProtocolEndpointsの収集で、表される)、アイデンティティタイプ(IKEActionで指定されるように)、およびIdentityContextsの組み合わせはユニークなアイデンティティを指定します。
The IdentityContexts property specifies the context to select the relevant IKE identity to be used during the further IKEAction. A context may be a VPN name or other identifier for selecting the appropriate identity for use on the protected IPProtocolEndpoint (or collection of IPProtocolEndpoints).
IdentityContextsの特性は、関連IKEのアイデンティティが一層のIKEActionの間、使用されるのを選択するために文脈を指定します。 文脈は、保護されたIPProtocolEndpoint(または、IPProtocolEndpointsの収集)における使用のために適切なアイデンティティを選択するためのVPN名か他の識別子であるかもしれません。
IdentityContexts is an array of strings. The multiple values in the array are logically ORed together in evaluating the IdentityContexts. Each value in the array may be the composition of multiple context names. So, a single value may be a single context name (e.g., "CompanyXVPN"), or it may be combination of contexts. When an array value is a composition, the individual values are logically ANDed together for evaluation purposes and the syntax is:
IdentityContextsはストリングのアレイです。 アレイの複数の値が論理的にそうです。一緒にIdentityContextsを評価することにおけるORed。 アレイの各値は複数の文脈名の構成であるかもしれません。 それで、ただ一つの値はただ一つの文脈名であるかもしれません(例えば、"CompanyXVPN")かそれが文脈の組み合わせであるかもしれません。 アレイ値が構成であるときに、個人価値は論理的に、評価目的と構文のための一緒にANDedがあるということです:
<ContextName>[&&<ContextName>]*
<ContextName>、[<ContextName>] *
where the individual context names appear in alphabetical order (according to the collating sequence for UCS-2). So, for example,
個々の文脈名がアルファベット順に(UCS-2のための照合順序によると)現れるところ。 そのように、そして、例えば
Jason, et al. Standards Track [Page 17] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[17ページ]。
the values "CompanyXVPN", "CompanyYVPN&&TopSecret", "CompanyZVPN&&Confidential" means that, for the appropriate IPProtocolEndpoint and IdentityType, the contexts are matched if the identity specifies "CompanyXVPN", "CompanyYVPN&&TopSecret", or "CompanyZVPN&&Confidential".
値"CompanyXVPN"、「CompanyYVPN、TopSecret、」、「CompanyZVPN、秘密である、」 アイデンティティが"CompanyXVPN"を指定するなら文脈が適切なIPProtocolEndpointとIdentityTypeに関して取り組んでいることを意味する、「CompanyYVPN、TopSecret、」、「CompanyZVPN、秘密である、」
The property is defined as follows:
特性は以下の通り定義されます:
NAME IdentityContexts
DESCRIPTION Specifies the context in which to select the IKE
identity.
SYNTAX string array
NAME IdentityContexts記述Specifies、IKEのアイデンティティを選択する文脈。 SYNTAX文字列配列
4.3. The Class IPsecRule
4.3. クラスIPsecRule
The class IPsecRule associates Conditions and Actions for IKE phase 2 negotiations for the IPsec DOI. The class definition for IPsecRule is as follows:
クラスIPsecRuleはIPsec DOIのためのIKEフェーズ2交渉のためにConditionsとActionsを関連づけます。 IPsecRuleのためのクラス定義は以下の通りです:
NAME IPsecRule
DESCRIPTION Associates Conditions and Actions for IKE phase 2
negotiations for the IPsec DOI.
DERIVED FROM SARule
ABSTRACT FALSE
PROPERTIES same as SARule
IKEのためのNAME IPsecRule記述のAssociates ConditionsとActionsはIPsec DOIのために2つの交渉の位相を合わせます。 SARuleと同じDERIVED FROM SARule ABSTRACT FALSE PROPERTIES
4.4. The Association Class IPsecPolicyForEndpoint
4.4. 協会のクラスIPsecPolicyForEndpoint
The class IPsecPolicyForEndpoint associates a PolicyGroup with a specific network interface. If an IPProtocolEndpoint of a system does not have an IPsecPolicyForEndpoint-associated PolicyGroup, then the IPsecPolicyForSystem associated PolicyGroup is used for that endpoint. The class definition for IPsecPolicyForEndpoint is as follows:
クラスIPsecPolicyForEndpointは特定のネットワーク・インターフェースにPolicyGroupを関連づけます。 システムのIPProtocolEndpointにIPsecPolicyForEndpointが関連しているPolicyGroupがないなら、IPsecPolicyForSystemの関連PolicyGroupはその終点に使用されます。 IPsecPolicyForEndpointのためのクラス定義は以下の通りです:
NAME IPsecPolicyForEndpoint
DESCRIPTION Associates a policy group to a network interface.
DERIVED FROM Dependency (see [CIMCORE])
ABSTRACT FALSE
PROPERTIES Antecedent[ref IPProtocolEndpoint[0..n]]
Dependent[ref PolicyGroup[0..1]]
方針が分類するNAME IPsecPolicyForEndpoint記述Associatesはネットワークに連結します。 依存から派生している([CIMCORE]を見る)抽象的な誤った特性の前例[審判IPProtocolEndpoint[0..n]]に依存しています。[審判PolicyGroup[0 .1]]
4.4.1. The Reference Antecedent
4.4.1. 参照前例
The property Antecedent is inherited from Dependency and is overridden to refer to an IPProtocolEndpoint instance. The [0..n] cardinality indicates that a PolicyGroup instance may be associated with zero or more IPProtocolEndpoint instances.
特性のAntecedentは、Dependencyから引き継がれて、IPProtocolEndpoint例を示すためにくつがえされます。 [0..n]基数は、PolicyGroup例がゼロか、より多くのIPProtocolEndpoint例に関連しているかもしれないのを示します。
Jason, et al. Standards Track [Page 18] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[18ページ]。
4.4.2. The Reference Dependent
4.4.2. 参照扶養家族
The property Dependent is inherited from Dependency and is overridden to refer to a PolicyGroup instance. The [0..1] cardinality indicates that an IPProtocolEndpoint instance may have an association to at most one PolicyGroup instance.
特性のDependentは、Dependencyから引き継がれて、PolicyGroup例を示すためにくつがえされます。 [0 .1]基数は、IPProtocolEndpoint例には協会が高々1つのPolicyGroup例まであるかもしれないのを示します。
4.5. The Association Class IPsecPolicyForSystem
4.5. 協会のクラスIPsecPolicyForSystem
The class IPsecPolicyForSystem associates a PolicyGroup with a specific system. If an IPProtocolEndpoint of a system does not have an IPsecPolicyForEndpoint-associated PolicyGroup, then the IPsecPolicyForSystem associated PolicyGroup is used for that endpoint. The class definition for IPsecPolicyForSystem is as follows:
クラスIPsecPolicyForSystemは特定のシステムにPolicyGroupを関連づけます。 システムのIPProtocolEndpointにIPsecPolicyForEndpointが関連しているPolicyGroupがないなら、IPsecPolicyForSystemの関連PolicyGroupはその終点に使用されます。 IPsecPolicyForSystemのためのクラス定義は以下の通りです:
NAME IPsecPolicyForSystem
DESCRIPTION Default policy group for a system.
DERIVED FROM Dependency (see [CIMCORE])
ABSTRACT FALSE
PROPERTIES Antecedent[ref System[0..n]]
Dependent[ref PolicyGroup[0..1]]
システムのためのNAME IPsecPolicyForSystem記述Default方針グループ。 依存から派生している([CIMCORE]を見る)抽象的な誤った特性の前例[審判システム[0..n]]に依存しています。[審判PolicyGroup[0 .1]]
4.5.1. The Reference Antecedent
4.5.1. 参照前例
The property Antecedent is inherited from Dependency and is overridden to refer to a System instance. The [0..n] cardinality indicates that a PolicyGroup instance may have an association to zero or more System instances.
特性のAntecedentは、Dependencyから引き継がれて、System例を示すためにくつがえされます。 [0..n]基数は、PolicyGroup例がゼロか、より多くのSystem例に協会を持っているかもしれないのを示します。
4.5.2. The Reference Dependent
4.5.2. 参照扶養家族
The property Dependent is inherited from Dependency and is overridden to refer to a PolicyGroup instance. The [0..1] cardinality indicates that a System instance may have an association to at most one PolicyGroup instance.
特性のDependentは、Dependencyから引き継がれて、PolicyGroup例を示すためにくつがえされます。 [0 .1]基数は、System例には協会が高々1つのPolicyGroup例まであるかもしれないのを示します。
4.6. The Aggregation Class SAConditionInRule
4.6. 集合のクラスSAConditionInRule
The class SAConditionInRule associates an SARule with the SACondition instance(s) that trigger(s) it. The class definition for SAConditionInRule is as follows:
クラスSAConditionInRuleは(s) それの引き金となるSACondition例にSARuleを関連づけます。 SAConditionInRuleのためのクラス定義は以下の通りです:
NAME SAConditionInRule
DESCRIPTION Associates an SARule with the SACondition instance(s)
that trigger(s) it.
DERIVED FROM PolicyConditionInPolicyRule (see [PCIM] & [PCIME])
ABSTRACT FALSE
NAME SAConditionInRule記述Associates、(s) それの引き金となるSACondition例があるSARule。 PolicyConditionInPolicyRule([PCIM]&[PCIME]を見る)要約から、虚偽で派生します。
Jason, et al. Standards Track [Page 19] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[19ページ]。
PROPERTIES GroupNumber (from PolicyConditionInPolicyRule)
ConditionNegated (from PolicyConditionInPolicyRule)
GroupComponent [ref SARule [0..n]]
PartComponent [ref SACondition [1..n]]
特性のGroupNumber(PolicyConditionInPolicyRuleからの)ConditionNegated(PolicyConditionInPolicyRuleからの)GroupComponent[審判SARule[0..n]]PartComponent[審判SACondition[1..n]]
4.6.1. The Properties GroupNumber and ConditionNegated
4.6.1. 特性のGroupNumberとConditionNegated
For a description of these properties, see [PCIM].
これらの特性の記述に関しては、[PCIM]を見てください。
4.6.2. The Reference GroupComponent
4.6.2. 参照GroupComponent
The property GroupComponent is inherited from PolicyConditionInPolicyRule and is overridden to refer to an SARule instance. The [0..n] cardinality indicates that an SACondition instance may be contained in zero or more SARule instances.
特性のGroupComponentは、PolicyConditionInPolicyRuleから引き継がれて、SARule例を示すためにくつがえされます。 [0..n]基数は、SACondition例がゼロか、より多くのSARule例に含まれるかもしれないのを示します。
4.6.3. The Reference PartComponent
4.6.3. 参照PartComponent
The property PartComponent is inherited from PolicyConditionInPolicyRule and is overridden to refer to an SACondition instance. The [1..n] cardinality indicates that an SARule instance MUST contain at least one SACondition instance.
特性のPartComponentは、PolicyConditionInPolicyRuleから引き継がれて、SACondition例を示すためにくつがえされます。 [1..n]基数は、SARule例が少なくとも1つのSACondition例を含まなければならないのを示します。
4.7. The Aggregation Class PolicyActionInSARule
4.7. 集合のクラスPolicyActionInSARule
The PolicyActionInSARule class associates an SARule with one or more PolicyAction instances. In all cases where an SARule is being used, the contained actions MUST be either subclasses of SAAction or instances of CompoundPolicyAction. For an IKERule, the contained actions MUST be related to phase 1 processing, i.e., IKEAction or IKERejectAction. Similarly, for an IPsecRule, contained actions MUST be related to phase 2 or preconfigured SA processing, e.g., IPsecTransportAction, IPsecBypassAction, etc. The class definition for PolicyActionInSARule is as follows:
PolicyActionInSARuleのクラスは1つ以上のPolicyAction例にSARuleを関連づけます。 SARuleが使用されているすべての場合では、含まれた動作は、SAActionのサブクラスかCompoundPolicyActionの例のどちらかであるに違いありません。 IKERuleに関しては、フェーズ1処理、すなわち、IKEActionまたはIKERejectActionに含まれた動作に関連しなければなりません。 同様に、IPsecRuleに関して、フェーズ2やあらかじめ設定されたSA処理、例えば、IPsecTransportAction、IPsecBypassActionなどに含まれた動作に関連しなければなりません。 PolicyActionInSARuleのためのクラス定義は以下の通りです:
NAME PolicyActionInSARule
DESCRIPTION Associates an SARule with its PolicyAction(s).
DERIVED FROM PolicyActionInPolicyRule (see [PCIM] & [PCIME])
ABSTRACT FALSE
PROPERTIES GroupComponent [ref SARule [0..n]]
PartComponent [ref PolicyAction [1..n]]
ActionOrder (from PolicyActionInPolicyRule)
NAME PolicyActionInSARule記述Associates、PolicyAction(s)とSARule。 PolicyActionInPolicyRule([PCIM]&[PCIME]を見る)の抽象的な偽の特性のGroupComponent[審判SARule[0..n]]PartComponent[審判PolicyAction[1..n]]ActionOrderから、派生します。(PolicyActionInPolicyRuleからの)
Jason, et al. Standards Track [Page 20] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[20ページ]。
4.7.1. The Reference GroupComponent
4.7.1. 参照GroupComponent
The property GroupComponent is inherited from PolicyActionInPolicyRule and is overridden to refer to an SARule instance. The [0..n] cardinality indicates that an SAAction instance may be contained in zero or more SARule instances.
特性のGroupComponentは、PolicyActionInPolicyRuleから引き継がれて、SARule例を示すためにくつがえされます。 [0..n]基数は、SAAction例がゼロか、より多くのSARule例に含まれるかもしれないのを示します。
4.7.2. The Reference PartComponent
4.7.2. 参照PartComponent
The property PartComponent is inherited from PolicyActionInPolicyRule and is overridden to refer to an SAAction or CompoundPolicyAction instance. The [1..n] cardinality indicates that an SARule instance MUST contain at least one SAAction or CompoundPolicyAction instance.
特性のPartComponentは、PolicyActionInPolicyRuleから引き継がれて、SAActionかCompoundPolicyAction例を示すためにくつがえされます。 [1..n]基数は、SARule例が少なくとも1つのSAActionかCompoundPolicyAction例を含まなければならないのを示します。
4.7.3. The Property ActionOrder
4.7.3. 特性のActionOrder
The property ActionOrder is inherited from the superclass PolicyActionInPolicyRule. It specifies the relative position of this PolicyAction in the sequence of actions associated with a PolicyRule. The ActionOrder MUST be unique so as to provide a deterministic order. In addition, the actions in an SARule are executed as follows. See section 4.2.2, ExecutionStrategy, for a discussion on the use of the ActionOrder property.
特性のActionOrderはsuperclass PolicyActionInPolicyRuleから引き継がれます。 それはPolicyRuleに関連している動作の系列でこのPolicyActionの相対的な位置を指定します。 ActionOrderは、決定論的なオーダーを提供するためにユニークでなければなりません。 さらに、SARuleでの動作は以下の通り実行されます。 ActionOrderの特性の使用についての議論に関してセクション4.2.2、ExecutionStrategyを見てください。
The property is defined as follows:
特性は以下の通り定義されます:
NAME ActionOrder
DESCRIPTION Specifies the order of actions.
SYNTAX unsigned 16-bit integer
VALUE Any value between 1 and 2^16-1 inclusive. Lower
values have higher precedence (i.e., 1 is the
highest precedence). The merging order of two
SAActions with the same precedence is undefined.
NAME ActionOrder記述Specifies、動作の注文。 SYNTAXの無記名の16ビットの整数VALUE Anyは16-1 包括的に1〜2^を評価します。 下側の値には、より高い先行があります(すなわち、1は最も高い先行です)。 同じ先行による2SAActionsの合併している注文は未定義です。
Jason, et al. Standards Track [Page 21] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[21ページ]。
5. Condition and Filter Classes
5. クラスを条件として、フィルターにかけてください。
The IPsec condition and filter classes are used to build the "if" part of the IKE and IPsec rules.
IPsec状態とフィルタのクラスは、IKEとIPsec規則の“if"部分を造るのに使用されます。
*+-------------+
+--------------------| SACondition |
| +-------------+
| * |
| |(a)
| 1 |
| +---------------+
| | FilterList |
| |([CIMNETWORK]) |
| +---------------+
| 1 o
|(b) |(c)
| * |
| +-----------------+
| | FilterEntryBase |
| | ([CIMNETWORK]) |
| +-----------------+
| ^
| |
| +-----------------+ | +-----------------------+
| | IPHeadersFilter |----+----| CredentialFilterEntry |
| | ([PCIME]) | | +-----------------------+
| +-----------------+ |
| |
| +-----------------+ | +--------------------------+
| | IPSOFilterEntry |----+----| PeerIDPayloadFilterEntry |
| +-----------------+ +--------------------------+
|
| *+-----------------------------+
+------------| CredentialManagementService |
| ([CIMUSER]) |
+-----------------------------+
*+-------------+ +--------------------| SACondition| | +-------------+ | * | | |(a) | 1 | | +---------------+ | | FilterList| | |([CIMNETWORK]) | | +---------------+ | 1 o|(b) |(c) | * | | +-----------------+ | | FilterEntryBase| | | ([CIMNETWORK]) | | +-----------------+ | ^ | | | +-----------------+ | +-----------------------+ | | IPHeadersFilter|----+----| CredentialFilterEntry| | | ([PCIME]) | | +-----------------------+ | +-----------------+ | | | | +-----------------+ | +--------------------------+ | | IPSOFilterEntry|----+----| PeerIDPayloadFilterEntry| | +-----------------+ +--------------------------+ | | *+-----------------------------+ +------------| CredentialManagementService| | ([CIMUSER]) | +-----------------------------+
(a) FilterOfSACondition
(b) AcceptCredentialsFrom
(c) EntriesInFilterList (see [CIMNETWORK])
(a) FilterOfSACondition(b)AcceptCredentialsFrom(c)EntriesInFilterList([CIMNETWORK]を見ます)
Jason, et al. Standards Track [Page 22] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[22ページ]。
5.1. The Class SACondition
5.1. クラスSACondition
The class SACondition defines the conditions of rules for IKE and IPsec negotiations. Conditions are associated with policy rules via the SAConditionInRule aggregation. It is used as an anchor point to associate various types of filters with policy rules via the FilterOfSACondition association. It also defines whether Credentials can be accepted for a particular policy rule via the AcceptCredentialsFrom association.
クラスSAConditionはIKEのための規則とIPsec交渉の状態を定義します。 状態はSAConditionInRule集合で政策ルールに関連しています。 それは、FilterOfSACondition協会を通して様々なタイプのフィルタを政策ルールに関連づけるのにアンカー・ポイントとして使用されます。 また、それは、特定の政策ルールのためにAcceptCredentialsFrom協会を通してCredentialsを受け入れることができるかどうかを定義します。
Associated objects represent components of the condition that may or may not apply at a given rule evaluation. For example, an AcceptCredentialsFrom evaluation is only performed when a credential is available to be evaluated against the list of trusted credential management services. Similarly, a PeerIDPayloadFilterEntry may only be evaluated when an IDPayload value is available to compare with the filter. Condition components that do not have corresponding values with which to evaluate are evaluated as TRUE unless the protocol has completed without providing the required information.
関連物は与えられた規則評価のときに適用されるかもしれない状態のコンポーネントを表します。 例えば信任状が利用可能であるAcceptCredentialsFrom評価は実行されるだけです。信じられた信任状経営指導のリストに対して評価されています。 IDPayload値がフィルタと比較するために利用可能であるときにだけ、同様に、PeerIDPayloadFilterEntryは評価されるかもしれません。 換算値を持っていないコンポーネントを条件とさせる、どれを評価するか、TRUEとして評価される、必須情報を提供しないで、プロトコルは完成しました。
The class definition for SACondition is as follows:
SAConditionのためのクラス定義は以下の通りです:
NAME SACondition
DESCRIPTION Defines the preconditions for IKE and IPsec
negotiations.
DERIVED FROM PolicyCondition (see [PCIM])
ABSTRACT FALSE
PROPERTIES PolicyConditionName (from PolicyCondition)
NAME SACondition記述Defines、IKEのための前提条件とIPsec交渉。 PolicyCondition([PCIM]を見る)の抽象的な偽の特性のPolicyConditionNameから、派生します。(PolicyConditionからの)
5.2. The Class IPHeadersFilter
5.2. クラスIPHeadersFilter
The class IPHeadersFilter is defined in [PCIME] with the following note:
クラスIPHeadersFilterは以下の注意で[PCIME]で定義されます:
1) to specify 5-tuple filters that are to apply symmetrically (i.e.,
matches traffic in both directions of the same flows which is
quite typical for SPD entries for ingress and egress traffic), the
Direction property of the FilterList SHOULD be set to "Mirrored".
1) 対称的に(すなわち、同じ流れの両方の方向へのイングレスのためのSPDエントリーと出口交通に、かなり典型的な交通を合わせる)適用されることになっている5-tupleフィルタ、FilterList SHOULDのDirectionの特性を指定するには、「映されること」に設定されてください。
5.3. The Class CredentialFilterEntry
5.3. クラスCredentialFilterEntry
The class CredentialFilterEntry defines an equivalence class that match credentials of IKE peers. Each CredentialFilterEntry includes a MatchFieldName that is interpreted according to the CredentialManagementService(s) associated with the SACondition (AcceptCredentialsFrom).
クラスCredentialFilterEntryはIKE同輩の信任状に合っている同値類を定義します。 各CredentialFilterEntryはSACondition(AcceptCredentialsFrom)に関連しているCredentialManagementService(s)によると、解釈されるMatchFieldNameを含んでいます。
Jason, et al. Standards Track [Page 23] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[23ページ]。
These credentials can be X.509 certificates, Kerberos tickets, or other types of credentials obtained during the Phase 1 exchange.
これらの資格証明書はX.509証明書、ケルベロスチケットであるかもしれませんか他のタイプの資格証明書がPhaseの間、1回の交換を得ました。
Note: this filter entry will probably be checked while the IKE negotiation takes place. If the check is a failure, then the IKE negotiation MUST be stopped, and the result of the IKEAction which triggered this negotiation is a failure.
以下に注意してください。 IKE交渉が行われている間、このフィルタエントリーはたぶんチェックされるでしょう。 チェックが失敗であるなら、IKE交渉を止めなければなりません、そして、この交渉の引き金となったIKEActionの結果は失敗です。
The class definition for CredentialFilterEntry is as follows:
CredentialFilterEntryのためのクラス定義は以下の通りです:
NAME CredentialFilterEntry
DESCRIPTION Specifies a match filter based on the IKE
credentials.
DERIVED FROM FilterEntryBase (see [CIMNETWORK])
ABSTRACT FALSE
PROPERTIES Name (from FilterEntryBase)
IsNegated (from FilterEntryBase)
MatchFieldName
MatchFieldValue
CredentialType
マッチフィルタがIKE資格証明書に基礎づけたNAME CredentialFilterEntry記述Specifies。 FilterEntryBase([CIMNETWORK]を見る)の抽象的な誤った特性の名(FilterEntryBaseからの)のIsNegated(FilterEntryBaseからの)MatchFieldName MatchFieldValue CredentialTypeから、派生します。
5.3.1. The Property MatchFieldName
5.3.1. 特性のMatchFieldName
The property MatchFieldName specifies the sub-part of the credential to match against MatchFieldValue. The property is defined as follows:
特性のMatchFieldNameは、MatchFieldValueに対して合うように資格証明書のサブ部分を指定します。 特性は以下の通り定義されます:
NAME MatchFieldName
DESCRIPTION Specifies which sub-part of the credential to match.
SYNTAX string
VALUE This is the string representation of a X.509
certificate attribute, e.g.:
- "serialNumber"
- "signatureAlgorithm"
- "issuerName"
- "subjectName"
- "subjectAltName"
- ...
合わせる資格証明書のどのサブ部分のNAME MatchFieldName記述Specifies。 SYNTAXストリングVALUE Thisは例えばX.509証明書属性のストリング表現です: - "serialNumber"--"signatureAlgorithm"--"issuerName"--"subjectName""subjectAltName"…
5.3.2. The Property MatchFieldValue
5.3.2. 特性のMatchFieldValue
The property MatchFieldValue specifies the value to compare with the MatchFieldName in a credential to determine if the credential matches this filter entry. The property is defined as follows:
特性のMatchFieldValueは、資格証明書がこのフィルタエントリーに合っているかどうか決定するために資格証明書でMatchFieldNameと比較するために値を指定します。 特性は以下の通り定義されます:
NAME MatchFieldValue
DESCRIPTION Specifies the value to be matched by the
MatchFieldName.
NAME MatchFieldValue記述Specifies、MatchFieldNameによって合わせられるべき値。
Jason, et al. Standards Track [Page 24] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[24ページ]。
SYNTAX string
VALUE NB: If the CredentialFilterEntry corresponds to a
DistinguishedName, this value in the CIM class is
represented by an ordinary string value. However, an
implementation must convert this string to a DER-
encoded string before matching against the values
extracted from credentials at runtime.
SYNTAXはVALUE NBを結びます: CredentialFilterEntryがDistinguishedNameに対応しているなら、CIMのクラスにおけるこの値は普通のストリング値によって表されます。 しかしながら、実装はランタイムのときに資格証明書から抽出された値に対して合う前に、DERのコード化されたストリングにこのストリングを変換しなければなりません。
A wildcard mechanism may be used for MatchFieldNames that contain character strings. The MatchFieldValue may contain a wildcard character, '*', in the pattern match specification. For example, if the MatchFieldName is "subjectName", then a MatchFieldValue of "cn=*,ou=engineering,o=foo,c=be" will successfully match a certificate whose subject attribute is "cn=Jane Doe,ou=engineering,o=foo,c=be". The wildcard character can be used to represent 0 or more characters as would be displayed to the user (i.e., a wildcard pattern match operates on displayable character boundaries).
ワイルドカードメカニズムは文字列を含むMatchFieldNamesに使用されるかもしれません。 MatchFieldValueはパターンマッチ仕様にワイルドカードキャラクタ、'*'を含むかもしれません。 例えば、次に、MatchFieldValue、MatchFieldNameが"subjectName"であるなら「cnは*と等しいです、ou=工学、o=foo、c、= 」 意志が首尾よく、対象の属性がある証明書に合っているということになってください、「cnがジェーン・ドウと等しいです、ou=工学、o=foo、c=、」 ユーザに表示するように0つ以上のキャラクタの代理をするのにワイルドカードキャラクタを使用できます(すなわち、ワイルドカードパターンマッチは「ディスプレイ-可能」文字境界を作動させます)。
5.3.3. The Property CredentialType
5.3.3. 特性のCredentialType
The property CredentialType specifies the particular type of credential that is being matched. The property is defined as follows:
特性のCredentialTypeは合わせられている特定のタイプの資格証明書を指定します。 特性は以下の通り定義されます:
NAME CredentialType
DESCRIPTION Defines the type of IKE credentials.
SYNTAX unsigned 16-bit integer
VALUE 1 - X.509 Certificate
2 - Kerberos Ticket
IKE資格証明書のタイプのNAME CredentialType記述Defines。 VALUE1--X.509 Certificate2--SYNTAXの未署名の16ビットの整数ケルベロスTicket
5.4. The Class IPSOFilterEntry
5.4. クラスIPSOFilterEntry
The class IPSOFilterEntry is used to match traffic based on the IP Security Options [IPSO] header values (ClassificationLevel and ProtectionAuthority) as defined in RFC 1108. This type of filter entry is used to adjust the IPsec encryption level according to the IPSO classification of the traffic (e.g., secret, confidential, restricted, etc.) The class definition for IPSOFilterEntry is as follows:
クラスIPSOFilterEntryは、RFC1108で定義されるようにIP Security Options[IPSO]ヘッダー値(ClassificationLevelとProtectionAuthority)に基づくトラフィックを合わせるのに使用されます。 このタイプのフィルタエントリーは、トラフィック(例えば、秘密の、そして、秘密の、そして、制限されたなど)のIPSO分類に応じてIPsec暗号化レベルを調整するのに使用されます。 IPSOFilterEntryのためのクラス定義は以下の通りです:
NAME IPSOFilterEntry
DESCRIPTION Specifies the a match filter based on IP Security
Options.
DERIVED FROM FilterEntryBase (see [CIMNETWORK])
ABSTRACT FALSE
aマッチフィルタがIP Security Optionsに基礎づけたNAME IPSOFilterEntry記述Specifies。 FilterEntryBase([CIMNETWORK]を見る)要約から、虚偽で派生します。
Jason, et al. Standards Track [Page 25] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[25ページ]。
PROPERTIES Name (from FilterEntryBase)
IsNegated (from FilterEntryBase)
MatchConditionType
MatchConditionValue
特性の名(FilterEntryBaseからの)のIsNegated(FilterEntryBaseからの)MatchConditionType MatchConditionValue
5.4.1. The Property MatchConditionType
5.4.1. 特性のMatchConditionType
The property MatchConditionType specifies the IPSO header field that will be matched (e.g., traffic classification level or protection authority). The property is defined as follows:
特性のMatchConditionTypeは合わせられるIPSOヘッダーフィールド(例えば、トラフィック分類レベルか保護権威)を指定します。 特性は以下の通り定義されます:
NAME MatchConditionType
DESCRIPTION Specifies the IPSO header field to be matched.
SYNTAX unsigned 16-bit integer
VALUE 1 - ClassificationLevel
2 - ProtectionAuthority
IPSOヘッダーのSpecifiesが合わせられるためにさばくNAME MatchConditionType記述。 VALUE1--ClassificationLevel2--SYNTAXの未署名の16ビットの整数ProtectionAuthority
5.4.2. The Property MatchConditionValue
5.4.2. 特性のMatchConditionValue
The property MatchConditionValue specifies the value of the IPSO header field to be matched against. The property is defined as follows:
特性のMatchConditionValueは合わせられるIPSOヘッダーフィールドの値を指定します。 特性は以下の通り定義されます:
NAME MatchConditionValue
DESCRIPTION Specifies the value of the IPSO header field to be
matched against.
SYNTAX unsigned 16-bit integer
VALUE The values MUST be one of values listed in RFC 1108
(or any further IANA Assigned Numbers document).
Some examples for ClassificationLevel are:
61 - TopSecret
90 - Secret
150 - Confidential
171 - Unclassified
For ProtectionAuthority, some examples are:
0 - GENSER
1 - SIOP-ESI
2 - SCI
3 - NSA
4 - DOE
IPSOヘッダーの値が合わせられるためにさばくNAME MatchConditionValue記述Specifies。 SYNTAXの未署名の16ビットの整数VALUE、値はRFC1108(または、どんなさらなるIANA Assigned民数記ドキュメントも)に記載された値の1つでなければなりません。 ClassificationLevelのためのいくつかの例は以下の通りです。 61--TopSecret90--秘密150--秘密の171--Unclassified For ProtectionAuthority、いくつかの例は以下の通りです。 0--GENSER1--SIOP-ESI2--SCI3--NSA4--ドウ
5.5. The Class PeerIDPayloadFilterEntry
5.5. クラスPeerIDPayloadFilterEntry
The class PeerIDPayloadFilterEntry defines filters used to match ID payload values from the IKE protocol exchange. PeerIDPayloadFilterEntry permits the specification of certain ID payload values such as "*@example.com" or "192.0.2.0/24".
クラスPeerIDPayloadFilterEntryはIKEプロトコル交換からIDペイロード値を合わせるのに使用されるフィルタを定義します。 または、PeerIDPayloadFilterEntryが" *@example.com "などのあるIDペイロード値の仕様を可能にする、「192.0 .2 .0/24インチ」
Jason, et al. Standards Track [Page 26] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[26ページ]。
Obviously this filter applies only to IKERules when acting as a responder. Moreover, this filter can be applied immediately in the case of aggressive mode but its application is to be delayed in the case of main mode. The class definition for PeerIDPayloadFilterEntry is as follows:
応答者として機能するとき、明らかに、このフィルタはIKERulesだけに適用されます。 そのうえ、すぐ攻撃的なモードの場合でこのフィルタを適用できますが、アプリケーションは主なモードの場合で遅らせられることです。 PeerIDPayloadFilterEntryのためのクラス定義は以下の通りです:
NAME PeerIDPayloadFilterEntry
DESCRIPTION Specifies a match filter based on IKE identity.
DERIVED FROM FilterEntryBase (see [CIMNETWORK])
ABSTRACT FALSE
PROPERTIES Name (from FilterEntryBase)
IsNegated (from FilterEntryBase)
MatchIdentityType
MatchIdentityValue
マッチフィルタがIKEのアイデンティティに基礎づけたNAME PeerIDPayloadFilterEntry記述Specifies。 FilterEntryBase([CIMNETWORK]を見る)の抽象的な誤った特性の名(FilterEntryBaseからの)のIsNegated(FilterEntryBaseからの)MatchIdentityType MatchIdentityValueから、派生します。
5.5.1. The Property MatchIdentityType
5.5.1. 特性のMatchIdentityType
The property MatchIdentityType specifies the type of identity provided by the peer in the ID payload. The property is defined as follows:
特性のMatchIdentityTypeは同輩によってIDペイロードに提供されたアイデンティティのタイプを指定します。 特性は以下の通り定義されます:
NAME MatchIdentityType
DESCRIPTION Specifies the ID payload type.
SYNTAX unsigned 16-bit integer
VALUE Consult [DOI] for valid values.
IDペイロードタイプのNAME MatchIdentityType記述Specifies。 有効値のためのSYNTAXの未署名の16ビットの整数VALUE Consult[DOI。]
5.5.2. The Property MatchIdentityValue
5.5.2. 特性のMatchIdentityValue
The property MatchIdentityValue specifies the filter value for comparison with the ID payload, e.g., "*@example.com". The property is defined as follows:
特性のMatchIdentityValueはIDペイロード、例えば、" *@example.com "との比較にフィルタ値を指定します。 特性は以下の通り定義されます:
NAME MatchIdentityValue
DESCRIPTION Specifies the ID payload value.
SYNTAX string
VALUE NB: The syntax may need to be converted for
comparison. If the PeerIDPayloadFilterEntry type is
a DistinguishedName, the name in the
MatchIdentityValue property is represented by an
ordinary string value, but this value must be
converted into a DER-encoded string before matching
against the values extracted from IKE ID payloads at
runtime. The same applies to IPv4 & IPv6 addresses.
IDペイロードが評価するNAME MatchIdentityValue記述Specifies。 SYNTAXはVALUE NBを結びます: 構文は、比較のために変換される必要があるかもしれません。 PeerIDPayloadFilterEntryタイプがDistinguishedNameであるなら、MatchIdentityValue所有地の名前は普通のストリング値によって表されますが、値に対して合っているのがIKE IDからランタイムにおけるペイロードを抽出する前にDERによってコード化されたストリングにこの値を変換しなければなりません。 同じくらいはIPv4&IPv6アドレスに適用されます。
Jason, et al. Standards Track [Page 27] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[27ページ]。
Different wildcard mechanisms can be used depending on the ID payload:
IDペイロードによって、異なったワイルドカードメカニズムを使用できます:
- a MatchIdentityValue of "*@example.com" will match a user FQDN ID
payload of "JDOE@EXAMPLE.COM".
- " *@example.com "のMatchIdentityValueは" JDOE@EXAMPLE.COM "のユーザFQDN IDペイロードに合うでしょう。
- a MatchIdentityValue of "*.example.com" will match a FQDN ID
payload of "WWW.EXAMPLE.COM".
- 「」 *.example.comのMatchIdentityValue」は"WWW.EXAMPLE.COM"のFQDN IDペイロードに合うでしょう。
- a MatchIdentityValue of "cn=*,ou=engineering,o=company,c=us" will
match a DER DN ID payload of "cn=John
Doe,ou=engineering,o=company,c=us".
- 「cnは*と等しく、ouは工学と等しく、oは会社と等しく、cは私たちと等しい」という意志のMatchIdentityValueが「cnがジョン・ドウと等しく、ouは工学と等しく、oは会社と等しく、cは私たちと等しいこと」のDER DN IDペイロードに合っています。
- a MatchIdentityValue of "193.190.125.0/24" will match an IPv4
address ID payload of 193.190.125.10.
- 193.190に、.125.0/24インチウィルは193.190のIPv4アドレスIDペイロードに合っています。MatchIdentityValue、「.125 .10インチ。
- a MatchIdentityValue of "193.190.125.*" will also match an IPv4
address ID payload of 193.190.125.10.
- また、「193.190.125*」のMatchIdentityValueは193.190のIPv4アドレスIDペイロードに.10に.125に合うでしょう。
The above wildcard mechanisms MUST be supported for all ID payloads supported by the local IKE entity. The character '*' replaces 0 or multiple instances of any character as restricted by the type specified by MatchIdentityType.
地方のIKE実体によって支えられたすべてのIDペイロードのために上のワイルドカードメカニズムをサポートしなければなりません。 MatchIdentityTypeによって指定されたタイプによって制限されるようにキャラクタ'*'はどんなキャラクタの0か複数のインスタンスも取り替えます。
5.6. The Association Class FilterOfSACondition
5.6. 協会のクラスFilterOfSACondition
The class FilterOfSACondition associates an SACondition with the filter specifications (FilterList) that make up the condition. The class definition for FilterOfSACondition is as follows:
クラスFilterOfSAConditionは状態を作るフィルタ仕様(FilterList)にSAConditionを関連づけます。 FilterOfSAConditionのためのクラス定義は以下の通りです:
NAME FilterOfSACondition
DESCRIPTION Associates a condition with the filter list that
makes up the individual condition elements.
DERIVED FROM Dependency (see [CIMCORE])
ABSTRACT FALSE
PROPERTIES Antecedent [ref FilterList[1..1]]
Dependent [ref SACondition[0..n]]
個々の状態要素を作るフィルタリストがあるNAME FilterOfSACondition記述Associates a状態。 依存から派生している([CIMCORE]を見る)抽象的な誤った特性の前例[審判FilterList[1 .1]]に依存しています。[審判SACondition[0..n]]
5.6.1. The Reference Antecedent
5.6.1. 参照前例
The property Antecedent is inherited from Dependency and is overridden to refer to a FilterList instance. The [1..1] cardinality indicates that an SACondition instance MUST be associated with one and only one FilterList instance.
特性のAntecedentは、Dependencyから引き継がれて、FilterListインスタンスについて言及するためにくつがえされます。 [1 .1]基数は、SAConditionインスタンスが1つの唯一無二のFilterListインスタンスに関連しているに違いないのを示します。
Jason, et al. Standards Track [Page 28] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[28ページ]。
5.6.2. The Reference Dependent
5.6.2. 参照扶養家族
The property Dependent is inherited from Dependency and is overridden to refer to an SACondition instance. The [0..n] cardinality indicates that a FilterList instance may be associated with zero or more SACondition instances.
特性のDependentは、Dependencyから引き継がれて、SAConditionインスタンスについて言及するためにくつがえされます。 [0..n]基数は、FilterListインスタンスがゼロか、より多くのSAConditionインスタンスに関連しているかもしれないのを示します。
5.7. The Association Class AcceptCredentialFrom
5.7. 協会のクラスAcceptCredentialFrom
The class AcceptCredentialFrom specifies which credential management services (e.g., a CertificateAuthority or a Kerberos service) are to be trusted to certify peer credentials. This is used to assure that the credential being matched in the CredentialFilterEntry is a valid credential that has been supplied by an approved CredentialManagementService. If a CredentialManagementService is specified and a corresponding CredentialFilterEntry is used, but the credential supplied by the peer is not certified by that CredentialManagementService (or one of the CredentialManagementServices in its trust hierarchy), the CredentialFilterEntry is deemed not to match. If a credential is certified by a CredentialManagementService in the AcceptCredentialsFrom list of services, but there is no CredentialFilterEntry, this is considered equivalent to a CredentialFilterEntry that matches all credentials from those services.
クラスAcceptCredentialFromは、同輩資格証明書を公認すると信じられるために資格証明経営指導(例えば、CertificateAuthorityかケルベロスサービス)がどれであるかを指定します。 これは、CredentialFilterEntryで合わせられている資格証明書が承認されたCredentialManagementServiceによって供給された有効な資格証明書であることを保証するのに使用されます。 CredentialManagementServiceが指定されて、対応するCredentialFilterEntryが使用されていますが、同輩によって供給された資格証明書がそのCredentialManagementServiceによって公認されないなら(または、信頼階層構造のCredentialManagementServicesの1つ)、CredentialFilterEntryが合っていないと考えられます。 資格証明書がサービスのAcceptCredentialsFromリストのCredentialManagementServiceによって公認されますが、CredentialFilterEntryが全くなければ、これはそれらのサービスからすべての資格証明書に合っているCredentialFilterEntryに同等であると考えられます。
The class definition for AcceptCredentialFrom is as follows:
AcceptCredentialFromのためのクラス定義は以下の通りです:
NAME AcceptCredentialFrom
DESCRIPTION Associates a condition with the credential management
services to be trusted.
DERIVED FROM Dependency (see [CIMCORE])
ABSTRACT FALSE
PROPERTIES Antecedent [ref CredentialManagementService[0..n]]
Dependent [ref SACondition[0..n]]
資格証明管理がある状態が信じられるために調整するNAME AcceptCredentialFrom記述Associates。 依存から派生している([CIMCORE]を見る)抽象的な誤った特性の前例[審判CredentialManagementService[0..n]]に依存しています。[審判SACondition[0..n]]
5.7.1. The Reference Antecedent
5.7.1. 参照前例
The property Antecedent is inherited from Dependency and is overridden to refer to a CredentialManagementService instance. The [0..n] cardinality indicates that an SACondition instance may be associated with zero or more CredentialManagementService instances.
特性のAntecedentは、Dependencyから引き継がれて、CredentialManagementServiceインスタンスについて言及するためにくつがえされます。 [0..n]基数は、SAConditionインスタンスがゼロか、より多くのCredentialManagementServiceインスタンスに関連しているかもしれないのを示します。
Jason, et al. Standards Track [Page 29] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[29ページ]。
5.7.2. The Reference Dependent
5.7.2. 参照扶養家族
The property Dependent is inherited from Dependency and is overridden to refer to a SACondition instance. The [0..n] cardinality indicates that a CredentialManagementService instance may be associated with zero or more SACondition instances.
特性のDependentは、Dependencyから引き継がれて、SAConditionインスタンスについて言及するためにくつがえされます。 [0..n]基数は、CredentialManagementServiceインスタンスがゼロか、より多くのSAConditionインスタンスに関連しているかもしれないのを示します。
6. Action Classes
6. 動作のクラス
The action classes are used to model the different actions an IPsec device may take when the evaluation of the associated condition results in a match.
関連症状の評価がマッチをもたらすとき、動作のクラスは、IPsecデバイスが取るかもしれない異なった行動をモデル化するのに使用されます。
Jason, et al. Standards Track [Page 30] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[30ページ]。
+----------+
| SAAction |
+----------+
^
|
+-----------+--------------+
| |
| +---------------------+
| | SaNegotiationAction |
| +---------------------+
| ^
| |
+----------------+ +----------------------+*
| SAStaticAction | | IKENegotiationAction |o----+
+----------------+ +----------------------+ |
^ ^ |
| | |
| +-----------+-------+ |
| | | |
+-------------------+ | +-------------+ +-----------+ |
| IPsecBypassAction |---+ | IPsecAction | | IKEAction | |
+-------------------+ | +-------------+ +-----------+ |
| ^ |
+--------------------+ | | +----------------------+ |
| IPsecDiscardAction |---+ +----| IPsecTransportAction | |
+--------------------+ | | +----------------------+ |
| | |
+-----------------+ | | +-------------------+ |
| IKERejectAction |---+ +----| IPsecTunnelAction | |
+-----------------+ | +-------------------+ |
| *| |
| +--------------+ |
| | |
+-----------------------+ | | +--------------+n |
| PreconfiguredSAAction |---+ |(a) | [SAProposal] |-------+
+-----------------------+ | +--------------+ (b)
*| ^ |
| | | *+-------------+
| | +-------| PeerGateway |
| | +-------------+
| | +-----------------------------+ |0..1 *w|
| +--| PreconfiguredTransportAction| | |(c)
| | +-----------------------------+ | 1|
| | | +--------------+
| | +---------------------------+ * | | System |
| +--| PreconfiguredTunnelAction |-----+ | ([CIMCORE]) |
| +---------------------------+ (e) +--------------+
|
+----------+ | SAAction| +----------+ ^ | +-----------+--------------+ | | | +---------------------+ | | SaNegotiationAction| | +---------------------+ | ^ | | +----------------+ +----------------------+* | SAStaticAction| | IKENegotiationAction|o----+ +----------------+ +----------------------+ | ^ ^ | | | | | +-----------+-------+ | | | | | +-------------------+ | +-------------+ +-----------+ | | IPsecBypassAction|---+ | IPsecAction| | IKEAction| | +-------------------+ | +-------------+ +-----------+ | | ^ | +--------------------+ | | +----------------------+ | | IPsecDiscardAction|---+ +----| IPsecTransportAction| | +--------------------+ | | +----------------------+ | | | | +-----------------+ | | +-------------------+ | | IKERejectAction|---+ +----| IPsecTunnelAction| | +-----------------+ | +-------------------+ | | *| | | +--------------+ | | | | +-----------------------+ | | +--------------+ n| | PreconfiguredSAAction|---+ |(a) | [SAProposal]|-------+ +-----------------------+ | +--------------+ (b)*| ^ | | | | *+-------------+ | | +-------| PeerGateway| | | +-------------+ | | +-----------------------------+ |0..1*w| | +--| PreconfiguredTransportAction| | |(c) | | +-----------------------------+ | 1| | | | +--------------+ | | +---------------------------+ * | | システム| | +--| PreconfiguredTunnelAction|-----+ | ([CIMCORE]) | | +---------------------------+ (e) +--------------+ |
Jason, et al. Standards Track [Page 31] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[31ページ]。
| 2..6+---------------+
+-------| [SATransform] |
(d) +---------------+
| 2..6+---------------+ +-------| [SATransform]| (d) +---------------+
(a) PeerGatewayForTunnel
(b) ContainedProposal
(c) HostedPeerGatewayInformation
(d) TransformOfPreconfiguredAction
(e) PeerGatewayForPreconfiguredTunnel
(a) PeerGatewayForTunnel(b)ContainedProposal(c)HostedPeerGatewayInformation(d)TransformOfPreconfiguredAction(e)PeerGatewayForPreconfiguredTunnel
6.1. The Class SAAction
6.1. クラスSAAction
The class SAAction is abstract and serves as the base class for IKE and IPsec actions. It is used for aggregating different types of actions to IKE and IPsec rules. The class definition for SAAction is as follows:
クラスSAActionは抽象的であり、IKEとIPsec動作のための基底クラスとして機能します。 それは、異なったタイプの動作に集めるのにIKEとIPsec規則に使用されます。 SAActionのためのクラス定義は以下の通りです:
NAME SAAction
DESCRIPTION The base class for IKE and IPsec actions.
DERIVED FROM PolicyAction (see [PCIM])
ABSTRACT TRUE
PROPERTIES PolicyActionName (from PolicyAction)
DoActionLogging
DoPacketLogging
NAME SAAction記述、IKEのための基底クラスとIPsec動作。 PolicyAction([PCIM]を見る)の抽象的な本当の特性のPolicyActionName(PolicyActionからの)DoActionLogging DoPacketLoggingから、派生します。
6.1.1. The Property DoActionLogging
6.1.1. 特性のDoActionLogging
The property DoActionLogging specifies whether a log message is to be generated when the action is performed. This applies for SANegotiationActions with the meaning of logging a message when the negotiation is attempted (with the success or failure result). This also applies for SAStaticAction only for PreconfiguredSAAction with the meaning of logging a message when the preconfigured SA is actually installed in the SADB. The property is defined as follows:
特性のDoActionLoggingは、ログメッセージが動作が実行されるとき、発生しているかどうかことであると指定します。 これは交渉が試みられるとき(成否結果がある)メッセージを登録する意味でSANegotiationActionsに申し込みます。 また、これはPreconfiguredSAActionのためだけにあらかじめ設定されたSAが実際にSADBにインストールされるときメッセージを登録する意味でSAStaticActionに申し込みます。 特性は以下の通り定義されます:
NAME DoActionLogging
DESCRIPTION Specifies the whether to log when the action is
performed.
SYNTAX boolean
VALUE true - a log message is to be generated when action
is performed.
false - no log message is to be generated when action
is performed.
NAME DoActionLogging記述Specifies、いつを登録するかために、動作は実行されるのであるかどうか 本当に、ログメッセージは動作が実行されるとき、発生していることです。SYNTAX論理演算子VALUE、どんなログメッセージも虚偽、動作が実行されるとき、発生していないことです。
Jason, et al. Standards Track [Page 32] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[32ページ]。
6.1.2. The Property DoPacketLogging
6.1.2. 特性のDoPacketLogging
The property DoPacketLogging specifies whether a log message is to be generated when the resulting security association is used to process the packet. If the SANegotiationAction successfully executes and results in the creation of one or several security associations, or if the PreconfiguredSAAction executes, the value of DoPacketLogging SHOULD be propagated to an optional field of SADB. This optional field should be used to decide whether a log message is to be generated when the SA is used to process a packet. For SAStaticActions, a log message is to be generated when the IPsecBypassAction, IPsecDiscardAction, or IKERejectAction are executed. The property is defined as follows:
特性のDoPacketLoggingは、ログメッセージが結果として起こるセキュリティ協会がパケットを処理するのに使用されるとき、発生しているかどうかことであると指定します。 SANegotiationActionが首尾よく1かいくつかのセキュリティ協会の創設を実行して、もたらすか、またはPreconfiguredSAActionである、実行、値、DoPacketLogging SHOULDでは、SADBの任意の分野に伝播されてください。 この任意の分野は、ログメッセージがSAがパケットを処理するのに使用されるとき、発生しているかどうかことであると決めるのに使用されるべきです。 SAStaticActionsに関しては、ログメッセージはIPsecBypassAction、IPsecDiscardAction、またはIKERejectActionが実行されるとき、発生していることです。 特性は以下の通り定義されます:
NAME DoPacketLogging
DESCRIPTION Specifies whether to log when the resulting
security association is used to process the packet.
SYNTAX boolean
VALUE true - a log message is to be generated when the
resulting security association is used to process the
packet.
false - no log message is to be generated.
NAME DoPacketLogging記述Specifies、いつを登録するかために、結果として起こるセキュリティ協会はパケットを処理するのにおいて使用されるのであるかどうか 本当に、ログメッセージは結果として起こるセキュリティ協会がパケットを処理するのに使用されるとき、発生していることです。SYNTAX論理演算子VALUE、どんなログメッセージも虚偽、発生していないことです。
6.2. The Class SAStaticAction
6.2. クラスSAStaticAction
The class SAStaticAction is abstract and serves as the base class for IKE and IPsec actions that do not require any negotiation. The class definition for SAStaticAction is as follows:
クラスSAStaticActionは抽象的であり、少しの交渉も必要としないIKEとIPsec動作のための基底クラスとして機能します。 SAStaticActionのためのクラス定義は以下の通りです:
NAME SAStaticAction
DESCRIPTION The base class for IKE and IPsec actions that do not
require any negotiation.
DERIVED FROM SAAction
ABSTRACT TRUE
PROPERTIES LifetimeSeconds
NAME SAStaticAction記述、IKEのための基底クラスと少しの交渉も必要としないIPsec動作。 SAActionの抽象的な本当の特性のLifetimeSecondsから、派生します。
6.2.1. The Property LifetimeSeconds
6.2.1. 特性のLifetimeSeconds
The property LifetimeSeconds specifies how long the security association derived from this action should be used. The property is defined as follows:
特性のLifetimeSecondsは、この動作から得られたセキュリティ協会がどれくらい長い間使用されるべきであるかを指定します。 特性は以下の通り定義されます:
NAME LifetimeSeconds
DESCRIPTION Specifies the amount of time (in seconds) that a
security association derived from this action should
be used.
SYNTAX unsigned 64-bit integer
セキュリティ協会がこの動作に由来していた時間(秒の)のNAME LifetimeSeconds記述Specifiesは使用されるべきです。 SYNTAXの未署名の64ビットの整数
Jason, et al. Standards Track [Page 33] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[33ページ]。
VALUE A value of zero indicates that there is not a
lifetime associated with this action (i.e., infinite
lifetime). A non-zero value is typically used in
conjunction with alternate SAActions performed when
there is a negotiation failure of some sort.
ゼロのVALUE A価値は、この動作(すなわち、無限の生涯)に関連している寿命がないのを示します。 非ゼロ値はある種の交渉失敗があるとき実行された代替のSAActionsに関連して通常使用されます。
Note: if the referenced SAStaticAction object is a PreconfiguredSAAction associated to several SATransforms, then the actual lifetime of the preconfigured SA will be the lesser of the value of this LifetimeSeconds property and of the value of the MaxLifetimeSeconds property of the associated SATransform. If the value of this LifetimeSeconds property is zero, then there will be no lifetime associated to this SA.
以下に注意してください。 参照をつけられたSAStaticActionオブジェクトが数個のSATransformsに関連づけられたPreconfiguredSAActionであるなら、あらかじめ設定されたSAの実際の寿命はこのLifetimeSeconds属性の価値と関連SATransformのMaxLifetimeSeconds属性の価値で、より少なくなるでしょう。 このLifetimeSeconds属性の価値がゼロであるなら、このSAに関連しているどんな寿命もないでしょう。
Note: while some SA negotiation protocols [IKE] can negotiate the lifetime as an arbitrary length field, the authors have assumed that a 64-bit integer will be sufficient.
以下に注意してください。 いくつかのSA交渉プロトコル[IKE]が任意の長さの分野として生涯を交渉できる間、作者は、64ビットの整数が十分であると仮定しています。
It is expected that most SAStaticAction instances will have their LifetimeSeconds properties set to zero (meaning no expiration of the resulting SA).
ほとんどのSAStaticActionインスタンスで彼らのLifetimeSecondsの特性をゼロに設定する(結果として起こるSAの満了を全く意味しないで)と予想されます。
6.3. The Class IPsecBypassAction
6.3. クラスIPsecBypassAction
The class IPsecBypassAction is used when packets are allowed to be processed without applying IPsec encapsulation to them. This is the same as stating that packets are allowed to flow in the clear. The class definition for IPsecBypassAction is as follows:
パケットがIPsecカプセル化をそれらに適用しないで処理できるとき、クラスIPsecBypassActionは使用されています。 これはパケットが明確を流れることができると述べるのと同じです。 IPsecBypassActionのためのクラス定義は以下の通りです:
NAME IPsecBypassAction
DESCRIPTION Specifies that packets are to be allowed to pass in
the clear.
DERIVED FROM SAStaticAction
ABSTRACT FALSE
パケットが明確を通ることになっていることができるNAME IPsecBypassAction記述Specifies。 SAStaticAction要約から、虚偽で派生します。
6.4. The Class IPsecDiscardAction
6.4. クラスIPsecDiscardAction
The class IPsecDiscardAction is used when packets are to be discarded. This is the same as stating that packets are to be denied. The class definition for IPsecDiscardAction is as follows:
パケットが捨てられることになっているとき、クラスIPsecDiscardActionは使用されています。 これはパケットが否定されることになっていると述べるのと同じです。 IPsecDiscardActionのためのクラス定義は以下の通りです:
NAME IPsecDiscardAction
DESCRIPTION Specifies that packets are to be discarded.
DERIVED FROM SAStaticAction
ABSTRACT FALSE
捨てられるためにパケットがあるNAME IPsecDiscardAction記述Specifies。 SAStaticAction要約から、虚偽で派生します。
Jason, et al. Standards Track [Page 34] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[34ページ]。
6.5. The Class IKERejectAction
6.5. クラスIKERejectAction
The class IKERejectAction is used to prevent attempting an IKE negotiation with the peer(s). The main use of this class is to prevent some denial of service attacks when acting as IKE responder. It goes beyond a plain discard of UDP/500 IKE packets because the SACondition can be based on specific PeerIDPayloadFilterEntry (when aggressive mode is used). The class definition for IKERejectAction is as follows:
クラスIKERejectActionは、同輩とのIKE交渉を試みるのを防ぐのに使用されます。 このクラスの主な使用はIKE応答者として機能するとき、いくつかのサービス不能攻撃を防ぐことです。 SAConditionが特定のPeerIDPayloadFilterEntryに基づくことができるので(攻撃的なモードが使用されているとき)、それはUDP/500 IKEパケットの明瞭な破棄を越えます。 IKERejectActionのためのクラス定義は以下の通りです:
NAME IKERejectAction
DESCRIPTION Specifies that an IKE negotiation should not even be
attempted or continued.
DERIVED FROM SAStaticAction
ABSTRACT FALSE
試みられるか、または続けられていて、IKE交渉がそうさえするべきでないNAME IKERejectAction記述Specifies。 SAStaticAction要約から、虚偽で派生します。
6.6. The Class PreconfiguredSAAction
6.6. クラスPreconfiguredSAAction
The class PreconfiguredSAAction is used to create a security association using preconfigured, hard-wired algorithms and keys.
クラスPreconfiguredSAActionは、あらかじめ設定されて、配線されたアルゴリズムとキーを使用することでセキュリティ協会を創設するのに使用されます。
Notes:
注意:
- the SPI for a PreconfiguredSAAction is contained in the
association, TransformOfPreconfiguredAction;
- PreconfiguredSAActionのためのSPIは協会、TransformOfPreconfiguredActionに含まれています。
- the session key (if applicable) is contained in an instance of the
class SharedSecret (see [CIMUSER]). The session key is stored in
the property Secret, the property protocol contains either "ESP-
encrypt", "ESP-auth" or "AH", the property algorithm contains the
algorithm used to protect the secret (can be "PLAINTEXT" if the
IPsec entity has no secret storage), the value of property
RemoteID is the concatenation of the remote IPsec peer IP address
in dotted decimal, of the character "/", of "IN" (respectively
"OUT") for inbound SA (respectively outbound SA), of the character
"/", and of the hexadecimal representation of the SPI.
- 主要で(適切)のセッションはクラスSharedSecretのインスタンスに含まれています([CIMUSER]を見てください)。 セッションキーは特性のSecretに保存されて、特性のプロトコルは「超能力は暗号化する」どちらかを含んでいて、「超能力-auth」か「ああ」、特性のアルゴリズムが秘密(IPsec実体にどんな秘密のストレージもないなら、「平文」であることができる)を保護するのに使用されるアルゴリズムを含んでいます; 「」 キャラクタの本国行きのSA(それぞれ外国行きのSA)のための(それぞれ“OUT")」/における「特性のRemoteIDの値はIPがキャラクタのドット付き10進法で」 /を扱うリモートIPsec同輩の連結です」。」 SPIの16進表現について。
Although the class is concrete, it MUST not be instantiated. The class definition for PreconfiguredSAAction is as follows:
クラスは具体的ですが、それを例示してはいけません。 PreconfiguredSAActionのためのクラス定義は以下の通りです:
NAME PreconfiguredSAAction
DESCRIPTION Specifies preconfigured algorithm and keying
information for creation of a security association.
DERIVED FROM SAStaticAction
ABSTRACT TRUE
PROPERTIES LifetimeKilobytes
NAME PreconfiguredSAAction記述Specifiesはセキュリティ協会の創設のためのアルゴリズムと合わせる情報をあらかじめ設定しました。 SAStaticActionの抽象的な本当の特性のLifetimeKilobytesから、派生します。
Jason, et al. Standards Track [Page 35] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[35ページ]。
6.6.1. The Property LifetimeKilobytes
6.6.1. 特性のLifetimeKilobytes
The property LifetimeKilobytes specifies a traffic limit in kilobytes that can be consumed before the SA is deleted. The property is defined as follows:
特性のLifetimeKilobytesはSAが削除される前に消費できるキロバイトにおけるトラフィック限界を指定します。 特性は以下の通り定義されます:
NAME LifetimeKilobytes
DESCRIPTION Specifies the SA lifetime in kilobytes.
SYNTAX unsigned 64-bit integer
VALUE A value of zero indicates that there is not a
lifetime associated with this action (i.e., infinite
lifetime). A non-zero value is used to indicate that
after this number of kilobytes has been consumed the
SA must be deleted from the SADB.
NAME LifetimeKilobytes記述Specifies、キロバイトで表現されるSA生涯。 ゼロのSYNTAXの未署名の64ビットの整数VALUE A価値は、この動作(すなわち、無限の生涯)に関連している寿命がないのを示します。 非ゼロ値は、この数のキロバイトが消費された後にSADBからSAを削除しなければならないのを示すのに使用されます。
Note: the actual lifetime of the preconfigured SA will be the lesser of the value of this LifetimeKilobytes property and of the value of the MaxLifetimeSeconds property of the associated SATransform. If the value of this LifetimeKilobytes property is zero, then there will be no lifetime associated with this action.
以下に注意してください。 あらかじめ設定されたSAの実際の寿命はこのLifetimeKilobytes属性の価値と関連SATransformのMaxLifetimeSeconds属性の価値で、より少なくなるでしょう。 このLifetimeKilobytes属性の価値がゼロであるなら、この動作に関連しているどんな寿命もないでしょう。
Note: while some SA negotiation protocols [IKE] can negotiate the lifetime as an arbitrary length field, the authors have assumed that a 64-bit integer will be sufficient.
以下に注意してください。 いくつかのSA交渉プロトコル[IKE]が任意の長さの分野として生涯を交渉できる間、作者は、64ビットの整数が十分であると仮定しています。
It is expected that most PreconfiguredSAAction instances will have their LifetimeKilobyte properties set to zero (meaning no expiration of the resulting SA).
ほとんどのPreconfiguredSAActionインスタンスで彼らのLifetimeKilobyteの特性をゼロに設定する(結果として起こるSAの満了を全く意味しないで)と予想されます。
6.7. The Class PreconfiguredTransportAction
6.7. クラスPreconfiguredTransportAction
The class PreconfiguredTransportAction is used to create an IPsec transport-mode security association using preconfigured, hard-wired algorithms and keys. The class definition for PreconfiguredTransportAction is as follows:
クラスPreconfiguredTransportActionは、あらかじめ設定されて、配線されたアルゴリズムとキーを使用することでIPsec交通機関セキュリティ協会を創設するのに使用されます。 PreconfiguredTransportActionのためのクラス定義は以下の通りです:
NAME PreconfiguredTransportAction
DESCRIPTION Specifies preconfigured algorithm and keying
information for creation of an IPsec transport
security association.
DERIVED FROM PreconfiguredSAAction
ABSTRACT FALSE
NAME PreconfiguredTransportAction記述SpecifiesはIPsec輸送セキュリティ協会の創設のためのアルゴリズムと合わせる情報をあらかじめ設定しました。 PreconfiguredSAAction要約から、虚偽で派生します。
Jason, et al. Standards Track [Page 36] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[36ページ]。
6.8. The Class PreconfiguredTunnelAction
6.8. クラスPreconfiguredTunnelAction
The class PreconfiguredTunnelAction is used to create an IPsec tunnel-mode security association using preconfigured, hard-wired algorithms and keys. The class definition for PreconfiguredSAAction is as follows:
クラスPreconfiguredTunnelActionは、あらかじめ設定されて、配線されたアルゴリズムとキーを使用することでIPsecトンネルモードセキュリティ協会を創設するのに使用されます。 PreconfiguredSAActionのためのクラス定義は以下の通りです:
NAME PreconfiguredTunnelAction
DESCRIPTION Specifies preconfigured algorithm and keying
information for creation of an IPsec tunnel-mode
security association.
DERIVED FROM PreconfiguredSAAction
ABSTRACT FALSE
PROPERTIES DFHandling
NAME PreconfiguredTunnelAction記述SpecifiesはIPsecトンネルモードセキュリティ協会の創設のためのアルゴリズムと合わせる情報をあらかじめ設定しました。 PreconfiguredSAActionの抽象的な偽の特性のDFHandlingから、派生します。
6.8.1. The Property DFHandling
6.8.1. 特性のDFHandling
The property DFHandling specifies how the Don't Fragment (DF) bit of the internal IP header is to be handled during IPsec processing. The property is defined as follows:
特性のDFHandlingはどんなFragment(DF)も噛み付かなかった内部のIPヘッダーのドンがIPsec処理の間、扱われることになっている方法を指定します。 特性は以下の通り定義されます:
NAME DFHandling
DESCRIPTION Specifies the processing of the DF bit.
SYNTAX unsigned 16-bit integer
VALUE 1 - Copy the DF bit from the internal IP header to
the external IP header.
2 - Set the DF bit of the external IP header to 1.
3 - Clear the DF bit of the external IP header to 0.
DFの処理が噛み付いたNAME DFHandling記述Specifies。 SYNTAXの未署名の16ビットの整数VALUE1--内部のIPヘッダーから外部のIPヘッダーまでDFビットをコピーしてください。 2--外部のIPヘッダーのDFビットを1に設定してください。 3--外部のIPヘッダーをDFビットから0まで取り除いてください。
6.9. The Class SANegotiationAction
6.9. クラスSANegotiationAction
The class SANegotiationAction specifies an action requesting security policy negotiation.
クラスSANegotiationActionは安全保障政策交渉を要求する動作を指定します。
This is an abstract class. Currently, only one security policy negotiation protocol action is subclassed from SANegotiationAction: the IKENegotiationAction class. It is nevertheless expected that other security policy negotiation protocols will exist and the negotiation actions of those new protocols would be modeled as a subclass of SANegotiationAction.
これは抽象クラスです。 現在、1つの安全保障政策交渉プロトコル動作だけがSANegotiationActionから副分類されます: IKENegotiationActionのクラス。 それにもかかわらず、他の安全保障政策交渉プロトコルが存在すると予想されて、それらの新しいプロトコルの交渉動作はSANegotiationActionのサブクラスとしてモデル化されるでしょう。
NAME SANegotiationAction
DESCRIPTION Specifies a negotiation action.
DERIVED FROM SAAction
ABSTRACT TRUE
NAME SANegotiationAction記述Specifies a交渉動作。 SAAction要約から、本当に派生します。
Jason, et al. Standards Track [Page 37] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[37ページ]。
6.10. The Class IKENegotiationAction
6.10. クラスIKENegotiationAction
The class IKENegotiationAction is abstract and serves as the base class for IKE and IPsec actions that result in an IKE negotiation. The class definition for IKENegotiationAction is as follows:
クラスIKENegotiationActionは抽象的であり、IKE交渉をもたらすIKEとIPsec動作のための基底クラスとして機能します。 IKENegotiationActionのためのクラス定義は以下の通りです:
NAME IKENegotiationAction
DESCRIPTION A base class for IKE and IPsec actions that specifies
the parameters that are common for IKE phase 1 and
IKE phase 2 IPsec DOI negotiations.
DERIVED FROM SANegotiationAction
ABSTRACT TRUE
PROPERTIES MinLifetimeSeconds
MinLifetimeKilobytes
IdleDurationSeconds
IKEとIPsec動作のためのIKEフェーズ1とIKEフェーズ2IPsec DOI交渉に、一般的なパラメタを指定するNAME IKENegotiationAction記述A基底クラス。 SANegotiationActionの抽象的な本当の特性のMinLifetimeSeconds MinLifetimeKilobytes IdleDurationSecondsから、派生します。
6.10.1. The Property MinLifetimeSeconds
6.10.1. 特性のMinLifetimeSeconds
The property MinLifetimeSeconds specifies the minimum seconds in a lifetime that will be accepted from the peer. MinLifetimeSeconds is used to prevent certain denial of service attacks where the peer requests an arbitrarily low lifetime value, causing renegotiations with expensive Diffie-Hellman operations. The property is defined as follows:
特性のMinLifetimeSecondsは同輩から受け入れられる生涯、最小の秒を指定します。 MinLifetimeSecondsは同輩が任意に低生涯値を要求するところで、あるサービス不能攻撃を防ぐのに使用されます、高価なディフィー-ヘルマンの操作で再交渉を引き起こして。 特性は以下の通り定義されます:
NAME MinLifetimeSeconds
DESCRIPTION Specifies the minimum seconds acceptable in a
lifetime.
SYNTAX unsigned 64-bit integer
VALUE A value of zero indicates that there is no minimum
value. A non-zero value specifies the minimum
seconds lifetime.
NAME MinLifetimeSeconds記述Specifies、生涯許容できる最小の秒。 ゼロのSYNTAXの未署名の64ビットの整数VALUE A価値は、最小値が全くないのを示します。 非ゼロ値は最小の秒生涯を指定します。
Note: while IKE can negotiate the lifetime as an arbitrary length field, the authors have assumed that a 64-bit integer will be sufficient.
以下に注意してください。 IKEが任意の長さの分野として生涯を交渉できる間、作者は、64ビットの整数が十分であると仮定しています。
6.10.2. The Property MinLifetimeKilobytes
6.10.2. 特性のMinLifetimeKilobytes
The property MinLifetimeKilobytes specifies the minimum kilobytes of a lifetime that will be accepted from the peer. MinLifetimeKilobytes is used to prevent certain denial of service attacks, where the peer requests an arbitrarily low lifetime value, causing renegotiations with correspondingly expensive Diffie-Hellman operations. Note that there has been considerable debate regarding the usefulness of applying kilobyte lifetimes to IKE phase 1 security associations, so it is likely that this property will only apply to the sub-class IPsecAction. The property is defined as follows:
特性のMinLifetimeKilobytesは同輩から受け入れられる一生に一度の最小のキロバイトを指定します。 MinLifetimeKilobytesは、あるサービス不能攻撃が同輩が任意に低生涯値を要求するところで対応する高価なディフィー-ヘルマンの操作で再交渉を引き起こすのを防ぐのに使用されます。 適用キロバイトの有用性のかなりの討論があったことに注意してください。IKEフェーズ1セキュリティ協会への生涯、したがって、この特性はサブクラスIPsecActionに適用されるだけでありそうでしょう。 特性は以下の通り定義されます:
Jason, et al. Standards Track [Page 38] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[38ページ]。
NAME MinLifetimeKilobytes
DESCRIPTION Specifies the minimum kilobytes acceptable in a
lifetime.
SYNTAX unsigned 64-bit integer
VALUE A value of zero indicates that there is no minimum
value. A non-zero value specifies the minimum
kilobytes lifetime.
NAME MinLifetimeKilobytes記述Specifies、生涯許容できる最小のキロバイト。 ゼロのSYNTAXの未署名の64ビットの整数VALUE A価値は、最小値が全くないのを示します。 非ゼロ値は最小のキロバイト生涯を指定します。
Note: While IKE can negotiate the lifetime as an arbitrary length field, the authors have assumed that a 64-bit integer will be sufficient.
以下に注意してください。 IKEが任意の長さの分野として生涯を交渉できる間、作者は、64ビットの整数が十分であると仮定しています。
6.10.3. The Property IdleDurationSeconds
6.10.3. 特性のIdleDurationSeconds
The property IdleDurationSeconds specifies how many seconds a security association may remain idle (i.e., no traffic protected using the security association) before it is deleted. The property is defined as follows:
それが削除される前に特性のIdleDurationSecondsは、セキュリティ協会が何秒のままで残るかもしれないかを活動していない状態で(すなわち、セキュリティ協会を使用することで保護されなかったトラフィック全く)指定します。 特性は以下の通り定義されます:
NAME IdleDurationSeconds
DESCRIPTION Specifies how long, in seconds, a security
association may remain unused before it is deleted.
SYNTAX unsigned 64-bit integer
VALUE A value of zero indicates that idle detection should
not be used for the security association (only the
seconds and kilobyte lifetimes will be used). Any
non-zero value indicates the number of seconds the
security association may remain unused.
秒で長くて、セキュリティ協会がそれの前に未使用のままで残るかもしれないNAME IdleDurationSeconds記述Specifiesは削除されます。 ゼロのSYNTAXの未署名の64ビットの整数VALUE A価値は、無駄な検出がセキュリティ協会に使用されるべきでないのを示します(秒とキロバイト寿命だけが費やされるでしょう)。 どんな非ゼロ値も、セキュリティ協会がそうする秒の数が未使用のままで残っているのを示します。
6.11. The Class IPsecAction
6.11. クラスIPsecAction
The class IPsecAction serves as the base class for IPsec transport and tunnel actions. It specifies the parameters used for an IKE phase 2 IPsec DOI negotiation. The class definition for IPsecAction is as follows:
クラスIPsecActionはIPsec輸送とトンネル動作のための基底クラスとして機能します。 それはIKEフェーズ2IPsec DOI交渉に使用されるパラメタを指定します。 IPsecActionのためのクラス定義は以下の通りです:
NAME IPsecAction
DESCRIPTION A base class for IPsec transport and tunnel actions
that specifies the parameters for IKE phase 2 IPsec
DOI negotiations.
DERIVED FROM IKENegotiationAction
ABSTRACT TRUE
PROPERTIES UsePFS
UseIKEGroup
GroupId
Granularity
VendorID
IPsec輸送とトンネル動作のためのIKEフェーズ2IPsec DOI交渉のためのパラメタを指定するNAME IPsecAction記述A基底クラス。 IKENegotiationActionの抽象的な本当の特性のUsePFS UseIKEGroup GroupId粒状VendorIDから、派生します。
Jason, et al. Standards Track [Page 39] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[39ページ]。
6.11.1. The Property UsePFS
6.11.1. 特性のUsePFS
The property UsePFS specifies whether or not perfect forward secrecy should be used when refreshing keys. The property is defined as follows:
特性のUsePFSは、キーをリフレッシュするとき、完全な前進の秘密保持が使用されるべきであるかどうか指定します。 特性は以下の通り定義されます:
NAME UsePFS
DESCRIPTION Specifies the whether or not to use PFS when
refreshing keys.
SYNTAX boolean
VALUE A value of true indicates that PFS should be used. A
value of false indicates that PFS should not be used.
NAME UsePFS記述Specifies、キーをリフレッシュするとき、PFSを使用であるかどうか 当てはまることのSYNTAX論理演算子VALUE A価値は、PFSが使用されるべきであるのを示します。 誤ることの値は、PFSが使用されるべきでないのを示します。
6.11.2. The Property UseIKEGroup
6.11.2. 特性のUseIKEGroup
The property UseIKEGroup specifies whether or not phase 2 should use the same key exchange group as was used in phase 1. UseIKEGroup is ignored if UsePFS is false. The property is defined as follows:
特性のUseIKEGroupは、2が同じ主要な交換グループを使用するべきであるフェーズがフェーズ1に使用されたかどうか指定します。 UsePFSが偽であるなら、UseIKEGroupは無視されます。 特性は以下の通り定義されます:
NAME UseIKEGroup
DESCRIPTION Specifies whether or not to use the same GroupId for
phase 2 as was used in phase 1. If UsePFS is false,
then UseIKEGroup is ignored.
SYNTAX boolean
VALUE A value of true indicates that the phase 2 GroupId
should be the same as phase 1. A value of false
indicates that the property GroupId will contain the
key exchange group to use for phase 2.
NAME UseIKEGroup記述Specifies、フェーズ2にフェーズ1に使用されたように同じGroupIdを使用であるかどうか。 UsePFSが偽であるなら、UseIKEGroupは無視されます。 当てはまることのSYNTAX論理演算子VALUE A価値は、2GroupIdがそうするべきであるフェーズがフェーズ1と同じであることを示します。 誤ることの値は、特性のGroupIdがフェーズ2に使用する主要な交換グループを含むのを示します。
6.11.3. The Property GroupId
6.11.3. 特性のGroupId
The property GroupId specifies the key exchange group to use for phase 2. GroupId is ignored if (1) the property UsePFS is false, or (2) the property UsePFS is true and the property UseIKEGroup is true. If the GroupID number is from the vendor-specific range (32768- 65535), the property VendorID qualifies the group number. The property is defined as follows:
特性のGroupIdはフェーズ2に使用する主要な交換グループを指定します。 (1) 特性のUsePFSが偽である、特性のUsePFSが本当であり、または(2) 特性のUseIKEGroupが本当であるなら、GroupIdは無視されます。 GroupID番号がベンダー特有の範囲(32768- 65535)から来ているなら、特性のVendorIDはグループ番号に資格を与えます。 特性は以下の通り定義されます:
NAME GroupId
DESCRIPTION Specifies the key exchange group to use for phase 2
when the property UsePFS is true and the property
UseIKEGroup is false.
SYNTAX unsigned 16-bit integer
VALUE Consult [IKE] for valid values.
NAME GroupId記述Specifiesの特性のUsePFSが本当であるときにフェーズ2に使用する主要な交換グループと特性のUseIKEGroupは偽です。 有効値のためのSYNTAXの未署名の16ビットの整数VALUE Consult[IKE。]
Jason, et al. Standards Track [Page 40] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[40ページ]。
6.11.4. The Property Granularity
6.11.4. 特性の粒状
The property Granularity specifies how the selector for the security association should be derived from the traffic that triggered the negotiation. The property is defined as follows:
特性のGranularityは交渉の引き金となったトラフィックからセキュリティ協会のためのセレクタをどう得るべきであるかを指定します。 特性は以下の通り定義されます:
NAME Granularity
DESCRIPTION Specifies how the proposed selector for the
security association will be created.
SYNTAX unsigned 16-bit integer
VALUE 1 - subnet: the source and destination subnet masks
of the filter entry are used.
2 - address: only the source and destination IP
addresses of the triggering packet are used.
3 - protocol: the source and destination IP addresses
and the IP protocol of the triggering packet are
used.
4 - port: the source and destination IP addresses and
the IP protocol and the source and destination layer
4 ports of the triggering packet are used.
セキュリティ協会のための提案されたセレクタが作成されるNAME Granularity記述Specifies。 SYNTAXの未署名の16ビットの整数VALUE1--、サブネット: フィルタエントリーのソースと目的地サブネットマスクは使用されています。 2--アドレス: IPが演説する引き金となるパケットのソースと目的地だけが使用されています。 3--議定書を作ってください: 引き金となるパケットのソース、送付先IPアドレス、およびIPプロトコルは使用されています。 4--ポート: 引き金となるパケットのソース、送付先IPアドレス、IPプロトコル、ソース、および目的地層4のポートは使用されています。
6.11.5. The Property VendorID
6.11.5. 特性のVendorID
The property VendorID is used together with the property GroupID (when it is in the vendor-specific range) to identify the key exchange group. VendorID is ignored unless UsePFS is true and UseIKEGroup is false and GroupID is in the vendor-specific range (32768-65535). The property is defined as follows:
特性のVendorIDは、主要な交換グループを特定するのに特性のGroupID(それがベンダー特有の範囲にあるとき)と共に使用されます。 UsePFSが本当であり、UseIKEGroupが偽であり、GroupIDがベンダー特有の範囲(32768-65535)にない場合、VendorIDは無視されます。 特性は以下の通り定義されます:
NAME VendorID
DESCRIPTION Specifies the IKE Vendor ID.
SYNTAX string
名前VendorID記述はIKEベンダーIDを指定します。 SYNTAXストリング
6.12. The Class IPsecTransportAction
6.12. クラスIPsecTransportAction
The class IPsecTransportAction is a subclass of IPsecAction that is used to specify use of an IPsec transport-mode security association. The class definition for IPsecTransportAction is as follows:
クラスIPsecTransportActionはIPsec交通機関セキュリティ協会の使用を指定するのに使用されるIPsecActionのサブクラスです。 IPsecTransportActionのためのクラス定義は以下の通りです:
NAME IPsecTransportAction
DESCRIPTION Specifies that an IPsec transport-mode security
association should be negotiated.
DERIVED FROM IPsecAction
ABSTRACT FALSE
IPsec交通機関セキュリティ協会がそうであるべきであるNAME IPsecTransportAction記述Specifies、交渉されています。 IPsecAction要約から、虚偽で派生します。
Jason, et al. Standards Track [Page 41] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[41ページ]。
6.13. The Class IPsecTunnelAction
6.13. クラスIPsecTunnelAction
The class IPsecTunnelAction is a subclass of IPsecAction that is used to specify use of an IPsec tunnel-mode security association. The class definition for IPsecTunnelAction is as follows:
クラスIPsecTunnelActionはIPsecトンネルモードセキュリティ協会の使用を指定するのに使用されるIPsecActionのサブクラスです。 IPsecTunnelActionのためのクラス定義は以下の通りです:
NAME IPsecTunnelAction
DESCRIPTION Specifies that an IPsec tunnel-mode security
association should be negotiated.
DERIVED FROM IPsecAction
ABSTRACT FALSE
PROPERTIES DFHandling
IPsecトンネルモードセキュリティ協会がそうであるべきであるNAME IPsecTunnelAction記述Specifies、交渉されています。 IPsecActionの抽象的な偽の特性のDFHandlingから、派生します。
6.13.1. The Property DFHandling
6.13.1. 特性のDFHandling
The property DFHandling specifies how the tunnel should manage the Don't Fragment (DF) bit. The property is defined as follows:
特性のDFHandlingはトンネルがどう、どんなFragment(DF)も噛み付かなかったドンを管理するはずであるかを指定します。 特性は以下の通り定義されます:
NAME DFHandling
DESCRIPTION Specifies how to process the DF bit.
SYNTAX unsigned 16-bit integer
VALUE 1 - Copy the DF bit from the internal IP header to
the external IP header.
2 - Set the DF bit of the external IP header to 1.
3 - Clear the DF bit of the external IP header to 0.
処理するために、DFが噛み付いたNAME DFHandling記述Specifies。 SYNTAXの未署名の16ビットの整数VALUE1--内部のIPヘッダーから外部のIPヘッダーまでDFビットをコピーしてください。 2--外部のIPヘッダーのDFビットを1に設定してください。 3--外部のIPヘッダーをDFビットから0まで取り除いてください。
6.14. The Class IKEAction
6.14. クラスIKEAction
The class IKEAction specifies the parameters that are to be used for IKE phase 1 negotiation. The class definition for IKEAction is as follows:
クラスIKEActionはIKEフェーズ1交渉に使用されることになっているパラメタを指定します。 IKEActionのためのクラス定義は以下の通りです:
NAME IKEAction
DESCRIPTION Specifies the IKE phase 1 negotiation parameters.
DERIVED FROM IKENegotiationAction
ABSTRACT FALSE
PROPERTIES ExchangeMode
UseIKEIdentityType
VendorID
AggressiveModeGroupId
NAME IKEAction記述Specifies IKEは1交渉パラメタの位相を合わせます。 IKENegotiationActionの抽象的な偽の特性のExchangeMode UseIKEIdentityType VendorID AggressiveModeGroupIdから、派生します。
Jason, et al. Standards Track [Page 42] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[42ページ]。
6.14.1. The Property ExchangeMode
6.14.1. 特性のExchangeMode
The property ExchangeMode specifies which IKE mode should be used for IKE phase 1 negotiations. The property is defined as follows:
特性のExchangeModeは、どのIKEモードがIKEフェーズ1交渉に使用されるべきであるかを指定します。 特性は以下の通り定義されます:
NAME ExchangeMode
DESCRIPTION Specifies the IKE negotiation mode for phase 1.
SYNTAX unsigned 16-bit integer
VALUE 1 - base mode
2 - main mode
4 - aggressive mode
NAME ExchangeMode記述Specifiesはフェーズ1のためのIKE交渉モードです。 未署名のSYNTAXの16ビットの整数VALUE1(ベースモード2)主なモード4--攻撃的なモード
6.14.2. The Property UseIKEIdentityType
6.14.2. 特性のUseIKEIdentityType
The property UseIKEIdentityType specifies what IKE identity type should be used when negotiating with the peer. This information is used in conjunction with the IKE identities available on the system and the IdentityContexts of the matching IKERule. The property is defined as follows:
特性のUseIKEIdentityTypeは、同輩と交渉するとき、どんなIKEアイデンティティタイプが使用されるべきであるかを指定します。 この情報は合っているIKERuleのシステムとIdentityContextsで利用可能なIKEのアイデンティティに関連して使用されます。 特性は以下の通り定義されます:
NAME UseIKEIdentityType
DESCRIPTION Specifies the IKE identity to use during negotiation.
SYNTAX unsigned 16-bit integer
VALUE Consult [DOI] for valid values.
NAME UseIKEIdentityType記述Specifies、交渉の間に使用するIKEのアイデンティティ。 有効値のためのSYNTAXの未署名の16ビットの整数VALUE Consult[DOI。]
6.14.3. The Property VendorID
6.14.3. 特性のVendorID
The property VendorID specifies the value to be used in the Vendor ID payload. The property is defined as follows:
特性のVendorIDは、Vendor IDペイロードで使用されるために値を指定します。 特性は以下の通り定義されます:
NAME VendorID
DESCRIPTION Vendor ID Payload.
SYNTAX string
VALUE A value of NULL means that Vendor ID payload will be
neither generated nor accepted. A non-NULL value
means that a Vendor ID payload will be generated
(when acting as an initiator) or is expected (when
acting as a responder).
記述ベンダーID有効搭載量とVendorIDを命名してください。 NULLのSYNTAXストリングVALUE A価値は、Vendor IDペイロードが生成されないで、また受け入れられないことを意味します。 非NULL値は、Vendor IDペイロードが生成されるか(創始者として機能するとき)、または予想されることを意味します(応答者として機能するとき)。
6.14.4. The Property AggressiveModeGroupId
6.14.4. 特性のAggressiveModeGroupId
The property AggressiveModeGroupId specifies which group ID is to be used in the first packets of the phase 1 negotiation. This property is ignored unless the property ExchangeMode is set to 4 (aggressive mode). If the AggressiveModeGroupID number is from the vendor- specific range (32768-65535), the property VendorID qualifies the group number. The property is defined as follows:
特性のAggressiveModeGroupIdは、フェーズ1交渉の最初のパケットで使用されるためにグループIDがどれであるかを指定します。 特性のExchangeModeが4(攻撃的なモード)に用意ができていない場合、この特性は無視されます。 AggressiveModeGroupID番号がベンダーの特定の範囲(32768-65535)から来ているなら、特性のVendorIDはグループ番号に資格を与えます。 特性は以下の通り定義されます:
Jason, et al. Standards Track [Page 43] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[43ページ]。
NAME AggressiveModeGroupId
DESCRIPTION Specifies the group ID to be used for aggressive
mode.
SYNTAX unsigned 16-bit integer
攻撃的なモードに使用されるべきNAME AggressiveModeGroupId記述SpecifiesのグループID。 SYNTAXの未署名の16ビットの整数
6.15. The Class PeerGateway
6.15. クラスPeerGateway
The class PeerGateway specifies the security gateway with which the IKE services negotiates. The class definition for PeerGateway is as follows:
クラスPeerGatewayはIKEサービスが交渉されるセキュリティゲートウェイを指定します。 PeerGatewayのためのクラス定義は以下の通りです:
NAME PeerGateway
DESCRIPTION Specifies the security gateway with which to
negotiate.
DERIVED FROM LogicalElement (see [CIMCORE])
ABSTRACT FALSE
PROPERTIES Name
PeerIdentityType
PeerIdentity
NAME PeerGateway記述Specifies、交渉するセキュリティゲートウェイ。 LogicalElement([CIMCORE]を見ます)抽象的な偽の特性の名前PeerIdentityType PeerIdentityから、派生します。
Note: The class PeerIdentityEntry contains more information about the peer (namely its IP address).
以下に注意してください。 クラスPeerIdentityEntryは同輩(すなわち、IPアドレス)に関する詳しい情報を含んでいます。
6.15.1. The Property Name
6.15.1. 特性の名
The property Name specifies a user-friendly name for this security gateway. The property is defined as follows:
特性のNameはこのセキュリティゲートウェイにユーザフレンドリーな名前を指定します。 特性は以下の通り定義されます:
NAME Name
DESCRIPTION Specifies a user-friendly name for this security
gateway.
SYNTAX string
このセキュリティゲートウェイへのNAME Nameの記述のSpecifiesのaユーザフレンドリーな名。 SYNTAXストリング
6.15.2. The Property PeerIdentityType
6.15.2. 特性のPeerIdentityType
The property PeerIdentityType specifies the IKE identity type of the security gateway. The property is defined as follows:
特性のPeerIdentityTypeはセキュリティゲートウェイのIKEアイデンティティタイプを指定します。 特性は以下の通り定義されます:
NAME PeerIdentityType
DESCRIPTION Specifies the IKE identity type of the security
gateway.
SYNTAX unsigned 16-bit integer
VALUE Consult [DOI] for valid values.
セキュリティゲートウェイのIKEアイデンティティタイプのNAME PeerIdentityType記述Specifies。 有効値のためのSYNTAXの未署名の16ビットの整数VALUE Consult[DOI。]
Jason, et al. Standards Track [Page 44] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[44ページ]。
6.15.3. The Property PeerIdentity
6.15.3. 特性のPeerIdentity
The property PeerIdentity specifies the IKE identity value of the security gateway. Based upon the storage chosen for the task- specific mapping of the information model, a conversion may be needed from the stored representation of the PeerIdentity string to the real value used in the ID payload (e.g., IP address is to be converted from a dotted decimal string into 4 bytes). The property is defined as follows:
特性のPeerIdentityはセキュリティゲートウェイのIKEアイデンティティ価値を指定します。 情報モデルのタスクの特定のマッピングに選ばれたストレージに基づいて、変換がPeerIdentityストリングの保存された表現からIDペイロードで使用される実価まで必要であるかもしれません(例えば、IPアドレスはドット付き10進法ストリングから4バイトに変換されることです)。 特性は以下の通り定義されます:
NAME PeerIdentity
DESCRIPTION Specifies the IKE identity value of the security
gateway.
SYNTAX string
IKEのアイデンティティが評価するセキュリティゲートウェイのNAME PeerIdentity記述Specifies。 SYNTAXストリング
6.16. The Association Class PeerGatewayForTunnel
6.16. 協会のクラスPeerGatewayForTunnel
The class PeerGatewayForTunnel associates IPsecTunnelActions with an ordered list of PeerGateways. The class definition for PeerGatewayForTunnel is as follows:
クラスPeerGatewayForTunnelはPeerGatewaysの規則正しいリストにIPsecTunnelActionsを関連づけます。 PeerGatewayForTunnelのためのクラス定義は以下の通りです:
NAME PeerGatewayForTunnel
DESCRIPTION Associates IPsecTunnelActions with an ordered list of
PeerGateways.
DERIVED FROM Dependency (see [CIMCORE])
ABSTRACT FALSE
PROPERTIES Antecedent [ref PeerGateway[0..n]]
Dependent [ref IPsecTunnelAction[0..n]]
SequenceNumber
PeerGatewaysの規則正しいリストがあるNAME PeerGatewayForTunnel記述Associates IPsecTunnelActions。 [審判PeerGateway[0..n]]依存([CIMCORE]を見る)の抽象的な誤った特性の前例の依存する[審判IPsecTunnelAction[0..n]]SequenceNumberから、派生します。
6.16.1. The Reference Antecedent
6.16.1. 参照前例
The property Antecedent is inherited from Dependency and is overridden to refer to a PeerGateway instance. The [0..n] cardinality indicates that an IPsecTunnelAction instance may be associated with zero or more PeerGateway instances.
特性のAntecedentは、Dependencyから引き継がれて、PeerGatewayインスタンスについて言及するためにくつがえされます。 [0..n]基数は、IPsecTunnelActionインスタンスがゼロか、より多くのPeerGatewayインスタンスに関連しているかもしれないのを示します。
Note: The cardinality 0 has a specific meaning:
以下に注意してください。 基数0には、特定の意味があります:
- when the IKE service acts as a responder, this means that the IKE
service will accept phase 1 negotiation with any other security
gateway;
- IKEサービスが応答者として機能するとき、IKEサービスが受け入れるこの手段はいかなる他のセキュリティゲートウェイとの1つの交渉も位相を合わせます。
- when the IKE service acts as an initiator, this means that the IKE
service will use the destination IP address (of the IP packets
which triggered the SARule) as the IP address of the peer IKE
entity.
- IKEサービスが創始者として機能するとき、これは、IKEサービスが同輩IKE実体のIPアドレスとして送付先IPアドレス(SARuleの引き金となったIPパケットの)を使用することを意味します。
Jason, et al. Standards Track [Page 45] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[45ページ]。
6.16.2. The Reference Dependent
6.16.2. 参照扶養家族
The property Dependent is inherited from Dependency and is overridden to refer to an IPsecTunnelAction instance. The [0..n] cardinality indicates that a PeerGateway instance may be associated with zero or more IPsecTunnelAction instances.
特性のDependentは、Dependencyから引き継がれて、IPsecTunnelActionインスタンスについて言及するためにくつがえされます。 [0..n]基数は、PeerGatewayインスタンスがゼロか、より多くのIPsecTunnelActionインスタンスに関連しているかもしれないのを示します。
6.16.3. The Property SequenceNumber
6.16.3. 特性のSequenceNumber
The property SequenceNumber specifies the ordering to be used when evaluating PeerGateway instances for a given IPsecTunnelAction. The property is defined as follows:
特性のSequenceNumberは、与えられたIPsecTunnelActionのためにPeerGatewayインスタンスを評価するとき、使用されるために注文を指定します。 特性は以下の通り定義されます:
NAME SequenceNumber
DESCRIPTION Specifies the order of evaluation for PeerGateways.
SYNTAX unsigned 16-bit integer
VALUE Lower values are evaluated first.
NAME SequenceNumber記述Specifies、PeerGatewaysのための評価の注文。 SYNTAXの未署名の16ビットの整数VALUE Lower値は最初に、評価されます。
6.17. The Aggregation Class ContainedProposal
6.17. 集合のクラスContainedProposal
The class ContainedProposal associates an ordered list of SAProposals with the IKENegotiationAction that aggregates it. If the referenced IKENegotiationAction object is an IKEAction, then the referenced SAProposal object(s) must be IKEProposal(s). If the referenced IKENegotiationAction object is an IPsecTransportAction or an IPsecTunnelAction, then the referenced SAProposal object(s) must be IPsecProposal(s). The class definition for ContainedProposal is as follows:
クラスContainedProposalはSAProposalsの規則正しいリストをそれに集めるIKENegotiationActionに関連づけます。 参照をつけられたIKENegotiationActionオブジェクトがIKEActionであるなら、参照をつけられたSAProposalオブジェクトはIKEProposal(s)であるに違いありません。 参照をつけられたIKENegotiationActionオブジェクトがIPsecTransportActionかIPsecTunnelActionであるなら、参照をつけられたSAProposalオブジェクトはIPsecProposal(s)であるに違いありません。 ContainedProposalのためのクラス定義は以下の通りです:
NAME ContainedProposal
DESCRIPTION Associates an ordered list of SAProposals with an
IKENegotiationAction.
DERIVED FROM PolicyComponent (see [PCIM])
ABSTRACT FALSE
PROPERTIES GroupComponent[ref IKENegotiationAction[0..n]]
PartComponent[ref SAProposal[1..n]]
SequenceNumber
NAME ContainedProposal記述Associates、IKENegotiationActionとSAProposalsの規則正しいリスト。 PolicyComponent([PCIM]を見る)の抽象的な偽の特性のGroupComponent[審判IKENegotiationAction[0..n]]PartComponent[審判SAProposal[1..n]]SequenceNumberから、派生します。
6.17.1. The Reference GroupComponent
6.17.1. 参照GroupComponent
- The property GroupComponent is inherited from PolicyComponent and
is overridden to refer to an IKENegotiationAction instance. The
[0..n] cardinality indicates that an SAProposal instance may be
associated with zero or more IKENegotiationAction instances.
- 特性のGroupComponentは、PolicyComponentから引き継がれて、IKENegotiationActionインスタンスについて言及するためにくつがえされます。 [0..n]基数は、SAProposalインスタンスがゼロか、より多くのIKENegotiationActionインスタンスに関連しているかもしれないのを示します。
Jason, et al. Standards Track [Page 46] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[46ページ]。
6.17.2. The Reference PartComponent
6.17.2. 参照PartComponent
The property PartComponent is inherited from PolicyComponent and is overridden to refer to an SAProposal instance. The [1..n] cardinality indicates that an IKENegotiationAction instance MUST be associated with at least one SAProposal instance.
特性のPartComponentは、PolicyComponentから引き継がれて、SAProposalインスタンスについて言及するためにくつがえされます。 [1..n]基数は、IKENegotiationActionインスタンスが少なくとも1つのSAProposalインスタンスに関連しているに違いないのを示します。
6.17.3. The Property SequenceNumber
6.17.3. 特性のSequenceNumber
The property SequenceNumber specifies the order of preference for the SAProposals. The property is defined as follows:
特性のSequenceNumberはSAProposalsのためのよく使われる順を指定します。 特性は以下の通り定義されます:
NAME SequenceNumber
DESCRIPTION Specifies the preference order for the SAProposals.
SYNTAX unsigned 16-bit integer
VALUE Lower-valued proposals are preferred over proposals
with higher values. For ContainedProposals that
reference the same IKENegotiationAction,
SequenceNumber values must be unique.
好みがSAProposalsのために注文するNAME SequenceNumber記述Specifies。 SYNTAX未署名の16ビットの整数VALUE Lowerによって評価された提案は、より高い値がある提案より好まれます。 ContainedProposalsに関しては、同じその参照IKENegotiationActionであり、SequenceNumber値はユニークであるに違いありません。
6.18. The Association Class HostedPeerGatewayInformation
6.18. 協会のクラスHostedPeerGatewayInformation
The class HostedPeerGatewayInformation weakly associates a PeerGateway with a System. The class definition for HostedPeerGatewayInformation is as follows:
クラスHostedPeerGatewayInformationはPeerGatewayをSystemに弱々しく関連づけます。 HostedPeerGatewayInformationのためのクラス定義は以下の通りです:
NAME HostedPeerGatewayInformation
DESCRIPTION Weakly associates a PeerGateway with a System.
DERIVED FROM Dependency (see [CIMCORE])
ABSTRACT FALSE
PROPERTIES Antecedent [ref System[1..1]]
Dependent [ref PeerGateway[0..n] [weak]]
NAME HostedPeerGatewayInformation記述WeaklyはPeerGatewayをSystemに関連づけます。 依存から派生している([CIMCORE]を見る)抽象的な誤った特性の前例[審判システム[1 .1]]に依存しています。[審判PeerGateway[0..n][弱い]]
6.18.1. The Reference Antecedent
6.18.1. 参照前例
The property Antecedent is inherited from Dependency and is overridden to refer to a System instance. The [1..1] cardinality indicates that a PeerGateway instance MUST be associated with one and only one System instance.
特性のAntecedentは、Dependencyから引き継がれて、Systemインスタンスについて言及するためにくつがえされます。 [1 .1]基数は、PeerGatewayインスタンスが1つの唯一無二のSystemインスタンスに関連しているに違いないのを示します。
6.18.2. The Reference Dependent
6.18.2. 参照扶養家族
The property Dependent is inherited from Dependency and is overridden to refer to a PeerGateway instance. The [0..n] cardinality indicates that a System instance may be associated with zero or more PeerGateway instances.
特性のDependentは、Dependencyから引き継がれて、PeerGatewayインスタンスについて言及するためにくつがえされます。 [0..n]基数は、Systemインスタンスがゼロか、より多くのPeerGatewayインスタンスに関連しているかもしれないのを示します。
Jason, et al. Standards Track [Page 47] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[47ページ]。
6.19. The Association Class TransformOfPreconfiguredAction
6.19. 協会のクラスTransformOfPreconfiguredAction
The class TransformOfPreconfiguredAction associates a PreconfiguredSAAction with two, four or six SATransforms that will be applied to the inbound and outbound traffic. The order of application of the SATransforms is implicitly defined in [IPSEC]. The class definition for TransformOfPreconfiguredAction is as follows:
クラスTransformOfPreconfiguredActionは2、本国行きに適用される4か6SATransforms、およびアウトバウンドトラフィックにPreconfiguredSAActionを関連づけます。 SATransformsに関する適用の順序は[IPSEC]でそれとなく定義されます。 TransformOfPreconfiguredActionのためのクラス定義は以下の通りです:
NAME TransformOfPreconfiguredAction
DESCRIPTION Associates a PreconfiguredSAAction with from one to
three SATransforms.
DERIVED FROM Dependency (see [CIMCORE])
ABSTRACT FALSE
PROPERTIES Antecedent[ref SATransform[2..6]]
Dependent[ref PreconfiguredSAAction[0..n]]
SPI
Direction
NAME TransformOfPreconfiguredAction記述Associatesは[審判PreconfiguredSAAction[0..n]]1〜3SATransforms. DERIVED FROM Dependency([CIMCORE]を見る)の抽象的なFALSE PROPERTIES Antecedent[審判SATransform[2 .6]]に依存するSPI DirectionとPreconfiguredSAActionです。
6.19.1. The Reference Antecedent
6.19.1. 参照前例
The property Antecedent is inherited from Dependency and is overridden to refer to an SATransform instance. The [2..6] cardinality indicates that a PreconfiguredSAAction instance may be associated with two to six SATransform instances.
特性のAntecedentは、Dependencyから引き継がれて、SATransformインスタンスについて言及するためにくつがえされます。 [2 .6]基数は、PreconfiguredSAActionインスタンスが2〜6つのSATransformインスタンスに関連しているかもしれないのを示します。
6.19.2. The Reference Dependent
6.19.2. 参照扶養家族
The property Dependent is inherited from Dependency and is overridden to refer to a PreconfiguredSAAction instance. The [0..n] cardinality indicates that a SATransform instance may be associated with zero or more PreconfiguredSAAction instances.
特性のDependentは、Dependencyから引き継がれて、PreconfiguredSAActionインスタンスについて言及するためにくつがえされます。 [0..n]基数は、SATransformインスタンスがゼロか、より多くのPreconfiguredSAActionインスタンスに関連しているかもしれないのを示します。
6.19.3. The Property SPI
6.19.3. 特性のSPI
The property SPI specifies the SPI to be used by the pre-configured action for the associated transform. The property is defined as follows:
特性のSPIは、関連変換にあらかじめ設定された動作で使用されるためにSPIを指定します。 特性は以下の通り定義されます:
NAME SPI
DESCRIPTION Specifies the SPI to be used with the SATransform.
SYNTAX unsigned 32-bit integer
SATransformと共に使用されるべきNAME SPI DESCRIPTION SpecifiesのSPI。 SYNTAXの未署名の32ビットの整数
Jason, et al. Standards Track [Page 48] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[48ページ]。
6.19.4. The Property Direction
6.19.4. 特性の方向
The property Direction specifies whether the SPI property is for inbound or outbound traffic. The property is defined as follows:
特性のDirectionが、SPIの特性がそうかどうか指定する、本国行き、または、アウトバウンドトラフィック。 特性は以下の通り定義されます:
NAME Direction
DESCRIPTION Specifies whether the SA is for inbound or outbound
traffic.
SYNTAX unsigned 8-bit integer
VALUE 1 - this SA is for inbound traffic
2 - this SA is for outbound traffic
NAME Direction記述Specifies、SAがいる、本国行き、または、アウトバウンドトラフィック。 SYNTAXの未署名の8ビットの整数VALUE1--このSAはインバウンドトラフィック2のためのものです--このSAはアウトバウンドトラフィックのためのものです。
6.20 The Association Class PeerGatewayForPreconfiguredTunnel
6.20 協会のクラスPeerGatewayForPreconfiguredTunnel
The class PeerGatewayForPreconfiguredTunnel associates zero or one PeerGateways with multiple PreconfiguredTunnelActions. The class definition for PeerGatewayForPreconfiguredTunnel is as follows:
クラスPeerGatewayForPreconfiguredTunnelはゼロか1PeerGatewaysを複数のPreconfiguredTunnelActionsに関連づけます。 PeerGatewayForPreconfiguredTunnelのためのクラス定義は以下の通りです:
NAME PeerGatewayForPreconfiguredTunnel
DESCRIPTION Associates a PeerGateway with multiple
PreconfiguredTunnelActions.
DERIVED FROM Dependency (see [CIMCORE])
ABSTRACT FALSE
PROPERTIES Antecedent[ref PeerGateway[0..1]]
Dependent[ref PreconfiguredTunnelAction[0..n]]
複数のPreconfiguredTunnelActionsとNAME PeerGatewayForPreconfiguredTunnel記述Associates a PeerGateway。 依存から派生している([CIMCORE]を見る)抽象的な誤った特性の前例[審判PeerGateway[0 .1]]に依存しています。[審判PreconfiguredTunnelAction[0..n]]
6.20.1. The Reference Antecedent
6.20.1. 参照前例
The property Antecedent is inherited from Dependency and is overridden to refer to a PeerGateway instance. The [0..1] cardinality indicates that a PreconfiguredTunnelAction instance may be associated with one PeerGteway instance.
特性のAntecedentは、Dependencyから引き継がれて、PeerGatewayインスタンスについて言及するためにくつがえされます。 [0 .1]基数は、PreconfiguredTunnelActionインスタンスが1つのPeerGtewayインスタンスに関連しているかもしれないのを示します。
6.20.2. The Reference Dependent
6.20.2. 参照扶養家族
The property Dependent is inherited from Dependency and is overridden to refer to a PreconfiguredTunnelAction instance. The [0..n] cardinality indicates that a PeerGateway instance may be associated with zero or more PreconfiguredSAAction instances.
特性のDependentは、Dependencyから引き継がれて、PreconfiguredTunnelActionインスタンスについて言及するためにくつがえされます。 [0..n]基数は、PeerGatewayインスタンスがゼロか、より多くのPreconfiguredSAActionインスタンスに関連しているかもしれないのを示します。
Jason, et al. Standards Track [Page 49] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[49ページ]。
7. Proposal and Transform Classes
7. 提案と変換のクラス
The proposal and transform classes model the proposal settings an IPsec device will use during IKE phase 1 and 2 negotiations.
提案と変換のクラスはIPsecデバイスがIKEフェーズ1と2交渉の間に使用する提案設定をモデル化します。
+--------------+*w 1+--------------+
| [SAProposal] |--------| System |
+--------------+ (a) | ([CIMCORE]) |
^ +--------------+
| |1
+----------------------+ |
| | |
+-------------+ +---------------+ |
| IKEProposal | | IPsecProposal | |
+-------------+ +---------------+ |
*o |
|(b) |(c)
n| |
+---------------+*w |
| [SATransform] |----+
+---------------+
^
|
+--------------------+-----------+---------+
| | |
+-------------+ +--------------+ +----------------+
| AHTransform | | ESPTransform | |IPCOMPTransform |
+-------------+ +--------------+ +----------------+
+--------------+ *w1+--------------+ | [SAProposal]|--------| システム| +--------------+ (a)| ([CIMCORE]) | ^ +--------------+ | |1 +----------------------+ | | | | +-------------+ +---------------+ | | IKEProposal| | IPsecProposal| | +-------------+ +---------------+ | *o | |(b) |(c) n| | +---------------+ *w| | [SATransform]|----+ +---------------+ ^ | +--------------------+-----------+---------+ | | | +-------------+ +--------------+ +----------------+ | AHTransform| | ESPTransform| |IPCOMPTransform| +-------------+ +--------------+ +----------------+
(a) SAProposalInSystem
(b) ContainedTransform
(c) SATransformInSystem
(a) SAProposalInSystem(b)ContainedTransform(c)SATransformInSystem
7.1. The Abstract Class SAProposal
7.1. 抽象クラスSAProposal
The abstract class SAProposal serves as the base class for the IKE and IPsec proposal classes. It specifies the parameters that are common to the two proposal types. The class definition for SAProposal is as follows:
IKEとIPsec提案のための基底クラスが属するように抽象クラスSAProposalは役立ちます。 それは2つの提案タイプに、一般的なパラメタを指定します。 SAProposalのためのクラス定義は以下の通りです:
NAME SAProposal
DESCRIPTION Specifies the common proposal parameters for IKE and
IPsec security association negotiation.
DERIVED FROM Policy ([PCIM])
ABSTRACT TRUE
PROPERTIES Name
NAME SAProposal記述Specifies、IKEのための一般的な提案パラメタとIPsecセキュリティ協会交渉。 抽象的な本当の特性が命名する方針([PCIM])から、派生します。
Jason, et al. Standards Track [Page 50] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[50ページ]。
7.1.1. The Property Name
7.1.1. 特性の名
The property Name specifies a user-friendly name for the SAProposal. The property is defined as follows:
特性のNameはユーザフレンドリーな名前をSAProposalに指定します。 特性は以下の通り定義されます:
NAME Name
DESCRIPTION Specifies a user-friendly name for this proposal.
SYNTAX string
この提案のためのNAME Nameの記述のSpecifiesのaユーザフレンドリーな名。 SYNTAXストリング
7.2. The Class IKEProposal
7.2. クラスIKEProposal
The class IKEProposal specifies the proposal parameters necessary to drive an IKE security association negotiation. The class definition for IKEProposal is as follows:
クラスIKEProposalはIKEセキュリティ協会交渉を追い立てるのに必要な提案パラメタを指定します。 IKEProposalのためのクラス定義は以下の通りです:
NAME IKEProposal
DESCRIPTION Specifies the proposal parameters for IKE security
association negotiation.
DERIVED FROM SAProposal
ABSTRACT FALSE
PROPERTIES CipherAlgorithm
HashAlgorithm
PRFAlgorithm
GroupId
AuthenticationMethod
MaxLifetimeSeconds
MaxLifetimeKilobytes
VendorID
NAME IKEProposal記述Specifies、IKEセキュリティ協会交渉のための提案パラメタ。 SAProposalの抽象的な偽の特性のCipherAlgorithm HashAlgorithm PRFAlgorithm GroupId AuthenticationMethod MaxLifetimeSeconds MaxLifetimeKilobytes VendorIDから、派生します。
7.2.1. The Property CipherAlgorithm
7.2.1. 特性のCipherAlgorithm
The property CipherAlgorithm specifies the proposed phase 1 security association encryption algorithm. The property is defined as follows:
特性のCipherAlgorithmは提案されたフェーズ1セキュリティ協会暗号化アルゴリズムを指定します。 特性は以下の通り定義されます:
NAME CipherAlgorithm
DESCRIPTION Specifies the proposed encryption algorithm for the
phase 1 security association.
SYNTAX unsigned 16-bit integer
VALUE Consult [IKE] for valid values.
NAME CipherAlgorithm記述Specifies、フェーズ1セキュリティ協会のための提案された暗号化アルゴリズム。 有効値のためのSYNTAXの未署名の16ビットの整数VALUE Consult[IKE。]
Jason, et al. Standards Track [Page 51] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[51ページ]。
7.2.2. The Property HashAlgorithm
7.2.2. 特性のHashAlgorithm
The property HashAlgorithm specifies the proposed phase 1 security association hash algorithm. The property is defined as follows:
特性のHashAlgorithmは提案されたフェーズ1セキュリティ協会ハッシュアルゴリズムを指定します。 特性は以下の通り定義されます:
NAME HashAlgorithm
DESCRIPTION Specifies the proposed hash algorithm for the phase 1
security association.
SYNTAX unsigned 16-bit integer
VALUE Consult [IKE] for valid values.
NAME HashAlgorithm記述Specifies、フェーズ1セキュリティ協会のための提案されたハッシュアルゴリズム。 有効値のためのSYNTAXの未署名の16ビットの整数VALUE Consult[IKE。]
7.2.3. The Property PRFAlgorithm
7.2.3. 特性のPRFAlgorithm
The property PRFAlgorithm specifies the proposed phase 1 security association pseudo-random function. The property is defined as follows:
特性のPRFAlgorithmは提案されたフェーズ1セキュリティ協会擬似ランダム機能を指定します。 特性は以下の通り定義されます:
NAME PRFAlgorithm
DESCRIPTION Specifies the proposed pseudo-random function for the
phase 1 security association.
SYNTAX unsigned 16-bit integer
VALUE Currently none defined in [IKE], if [IKE, DOI] are
extended, then the values of [IKE, DOI] are to be
used for values of PRFAlgorithm.
NAME PRFAlgorithm記述Specifies、フェーズ1セキュリティ協会のための提案された擬似ランダム機能。 SYNTAXの未署名の16ビットの整数VALUE Currently、次に、[IKE、DOI]の[IKE]値で[IKE、DOI]が拡張されているなら定義されなかったなにもPRFAlgorithmの値に使用されることになっています。
7.2.4. The Property GroupId
7.2.4. 特性のGroupId
The property GroupId specifies the proposed phase 1 security association key exchange group. This property is ignored for all aggressive mode exchanges. If the GroupID number is from the vendor-specific range (32768-65535), the property VendorID qualifies the group number. The property is defined as follows:
特性のGroupIdは提案されたフェーズ1のセキュリティの協会の主要な交換グループを指定します。 この特性はすべての攻撃的なモード交換のために無視されます。 GroupID番号がベンダー特有の範囲(32768-65535)から来ているなら、特性のVendorIDはグループ番号に資格を与えます。 特性は以下の通り定義されます:
NAME GroupId
DESCRIPTION Specifies the proposed key exchange group for the
phase 1 security association.
SYNTAX unsigned 16-bit integer
VALUE Consult [IKE] for valid values.
提案されたキーが交換するNAME GroupId記述Specifiesはフェーズ1セキュリティ協会のために分類します。 有効値のためのSYNTAXの未署名の16ビットの整数VALUE Consult[IKE。]
Note: The value of this property is to be ignored in aggressive mode.
以下に注意してください。 この属性の価値は攻撃的なモードで無視されることです。
Jason, et al. Standards Track [Page 52] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[52ページ]。
7.2.5. The Property AuthenticationMethod
7.2.5. 特性のAuthenticationMethod
The property AuthenticationMethod specifies the proposed phase 1 authentication method. The property is defined as follows:
特性のAuthenticationMethodは提案されたフェーズ1認証方法を指定します。 特性は以下の通り定義されます:
NAME AuthenticationMethod
DESCRIPTION Specifies the proposed authentication method for the
phase 1 security association.
SYNTAX unsigned 16-bit integer
VALUE 0 - a special value that indicates that this
particular proposal should be repeated once for each
authentication method that corresponds to the
credentials installed on the machine. For example,
if the system has a pre-shared key and a certificate,
a proposal list could be constructed that includes a
proposal that specifies a pre-shared key and
proposals for any of the public-key authentication
methods. Consult [IKE] for valid values.
NAME AuthenticationMethod記述Specifies、フェーズ1セキュリティ協会のための提案された認証方法。 SYNTAXの未署名の16ビットの整数VALUE0--この特定の提案がマシンにインストールされた資格証明書に対応する各認証方法のために一度繰り返されるべきであるのを示す特別な値。 例えば、システムにあらかじめ共有されたキーと証明書があるなら、公開鍵認証方法のどれかのあらかじめ共有されたキーと提案を指定する提案を含んでいる提案リストは構成されるかもしれません。 有効値のために[IKE]に相談してください。
7.2.6. The Property MaxLifetimeSeconds
7.2.6. 特性のMaxLifetimeSeconds
The property MaxLifetimeSeconds specifies the proposed maximum time, in seconds, that a security association will remain valid after its creation. The property is defined as follows:
特性のMaxLifetimeSecondsは、秒の提案された最大の時にセキュリティ協会が作成の後に有効なままで残ると指定します。 特性は以下の通り定義されます:
NAME MaxLifetimeSeconds
DESCRIPTION Specifies the proposed maximum time that a
security association will remain valid.
SYNTAX unsigned 64-bit integer
VALUE A value of zero indicates that the default of 8
hours be used. A non-zero value indicates the
maximum seconds lifetime.
セキュリティ協会が有効なままで残る提案された最大の時間のNAME MaxLifetimeSeconds記述Specifies。 ゼロのSYNTAXの未署名の64ビットの整数VALUE A価値は、8時間のデフォルトが使用されるのを示します。 非ゼロ値は最大の秒生涯を示します。
Note: While IKE can negotiate the lifetime as an arbitrary length field, the authors have assumed that a 64-bit integer will be sufficient.
以下に注意してください。 IKEが任意の長さの分野として生涯を交渉できる間、作者は、64ビットの整数が十分であると仮定しています。
7.2.7. The Property MaxLifetimeKilobytes
7.2.7. 特性のMaxLifetimeKilobytes
The property MaxLifetimeKilobytes specifies the proposed maximum kilobyte lifetime that a security association will remain valid after its creation. The property is defined as follows:
特性のMaxLifetimeKilobytesはセキュリティ協会が作成の後に有効なままで残る生涯提案された最大のキロバイトを指定します。 特性は以下の通り定義されます:
NAME MaxLifetimeKilobytes
DESCRIPTION Specifies the proposed maximum kilobyte lifetime
that a security association will remain valid.
SYNTAX unsigned 64-bit integer
NAME MaxLifetimeKilobytes記述Specifies、セキュリティ協会が有効なままで残る生涯の間の提案された最大のキロバイト。 SYNTAXの未署名の64ビットの整数
Jason, et al. Standards Track [Page 53] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[53ページ]。
VALUE A value of zero indicates that there should be no
maximum kilobyte lifetime. A non-zero value
specifies the desired kilobyte lifetime.
ゼロのVALUE A価値はどんな最大のキロバイトも生涯でなかったならそこでそれを示します。 非ゼロ値は必要なキロバイトを指定します。生涯。
Note: While IKE can negotiate the lifetime as an arbitrary length field, the authors have assumed that a 64-bit integer will be sufficient.
以下に注意してください。 IKEが任意の長さの分野として生涯を交渉できる間、作者は、64ビットの整数が十分であると仮定しています。
7.2.8. The Property VendorID
7.2.8. 特性のVendorID
The property VendorID further qualifies the key exchange group. The property is ignored unless the exchange is not in aggressive mode and the property GroupID is in the vendor-specific range. The property is defined as follows:
特性のVendorIDはさらに主要な交換グループに資格を与えます。 交換が攻撃的なモードでなくて、また特性のGroupIDがベンダー特有の範囲にない場合、特性は無視されます。 特性は以下の通り定義されます:
NAME VendorID
DESCRIPTION Specifies the Vendor ID to further qualify the key
exchange group.
SYNTAX string
さらに主要な交換グループに資格を与えるNAME VendorID記述Specifies Vendor ID。 SYNTAXストリング
7.3. The Class IPsecProposal
7.3. クラスIPsecProposal
The class IPsecProposal adds no new properties, but inherits proposal properties from SAProposal, as well as aggregating the security association transforms necessary for building an IPsec proposal (see the aggregation class ContainedTransform). The class definition for IPsecProposal is as follows:
クラスIPsecProposalはIPsec提案を組み込むのに必要なセキュリティ協会変換に集めることと同様にSAProposalからどんな新しい特性も加えませんが、提案の特性を引き継ぎます(集合のクラスContainedTransformを見てください)。 IPsecProposalのためのクラス定義は以下の通りです:
NAME IPsecProposal
DESCRIPTION Specifies the proposal parameters for IPsec security
association negotiation.
DERIVED FROM SAProposal
ABSTRACT FALSE
NAME IPsecProposal記述Specifies、IPsecセキュリティ協会交渉のための提案パラメタ。 SAProposal要約から、虚偽で派生します。
7.4. The Abstract Class SATransform
7.4. 抽象クラスSATransform
The abstract class SATransform serves as the base class for the IPsec transforms that can be used to compose an IPsec proposal or to be used as a pre-configured action. The class definition for SATransform is as follows:
IPsecのための基底クラスがそれを変えるとき、IPsec提案を構成するか、またはあらかじめ設定された動作として使用されるのに抽象クラスSATransformサーブを使用できます。 SATransformのためのクラス定義は以下の通りです:
NAME SATransform
DESCRIPTION Base class for the different IPsec transforms.
ABSTRACT TRUE
PROPERTIES CommonName (from Policy)
VendorID
MaxLifetimeSeconds
MaxLifetimeKilobytes
異なったIPsecのためのNAME SATransform記述基地のクラスは. 抽象的なTRUE PROPERTIES CommonName(Policyからの)VendorID MaxLifetimeSeconds MaxLifetimeKilobytesを変えます。
Jason, et al. Standards Track [Page 54] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[54ページ]。
7.4.1. The Property CommonName
7.4.1. 特性のCommonName
The property CommonName is inherited from Policy [PCIM] and specifies a user-friendly name for the SATransform. The property is defined as follows:
特性のCommonNameはPolicy[PCIM]から受け継がれて、ユーザフレンドリーな名前をSATransformに指定します。 特性は以下の通り定義されます:
NAME CommonName
DESCRIPTION Specifies a user-friendly name for this Policy-
related object.
SYNTAX string
このPolicyのためのユーザフレンドリーな名前が関係づけたNAME CommonName記述Specifiesは反対します。 SYNTAXストリング
7.4.2. The Property VendorID
7.4.2. 特性のVendorID
The property VendorID specifies the vendor ID for vendor-defined transforms. The property is defined as follows:
特性のVendorIDはベンダーによって定義された変換にベンダーIDを指定します。特性は以下の通り定義されます:
NAME VendorID
DESCRIPTION Specifies the vendor ID for vendor-defined
transforms.
SYNTAX string
VALUE An empty VendorID string indicates that the transform
is a standard one.
ベンダーによって定義された変換VALUE Anの空のVendorIDが結ぶSYNTAXストリングのためのNAME VendorID記述SpecifiesベンダーIDは、変換が標準のものであることを示します。
7.4.3. The Property MaxLifetimeSeconds
7.4.3. 特性のMaxLifetimeSeconds
The property MaxLifetimeSeconds specifies the proposed maximum time, in seconds, that a security association will remain valid after its creation. The property is defined as follows:
特性のMaxLifetimeSecondsは、秒の提案された最大の時にセキュリティ協会が作成の後に有効なままで残ると指定します。 特性は以下の通り定義されます:
NAME MaxLifetimeSeconds
DESCRIPTION Specifies the proposed maximum time that a
security association will remain valid.
SYNTAX unsigned 64-bit integer
VALUE A value of zero indicates that the default of 8 hours
be used. A non-zero value indicates the maximum
seconds lifetime.
セキュリティ協会が有効なままで残る提案された最大の時間のNAME MaxLifetimeSeconds記述Specifies。 ゼロのSYNTAXの未署名の64ビットの整数VALUE A価値は、8時間のデフォルトが使用されるのを示します。 非ゼロ値は最大の秒生涯を示します。
Note: While IKE can negotiate the lifetime as an arbitrary length field, the authors have assumed that a 64-bit integer will be sufficient.
以下に注意してください。 IKEが任意の長さの分野として生涯を交渉できる間、作者は、64ビットの整数が十分であると仮定しています。
7.4.4. The Property MaxLifetimeKilobytes
7.4.4. 特性のMaxLifetimeKilobytes
The property MaxLifetimeKilobytes specifies the proposed maximum kilobyte lifetime that a security association will remain valid after its creation. The property is defined as follows:
特性のMaxLifetimeKilobytesはセキュリティ協会が作成の後に有効なままで残る生涯提案された最大のキロバイトを指定します。 特性は以下の通り定義されます:
Jason, et al. Standards Track [Page 55] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[55ページ]。
NAME MaxLifetimeKilobytes
DESCRIPTION Specifies the proposed maximum kilobyte lifetime
that a security association will remain valid.
SYNTAX unsigned 64-bit integer
VALUE A value of zero indicates that there should be no
maximum kilobyte lifetime. A non-zero value
specifies the desired kilobyte lifetime.
NAME MaxLifetimeKilobytes記述Specifies、セキュリティ協会が有効なままで残る生涯の間の提案された最大のキロバイト。 ゼロのVALUE A価値が示すあるべきであるSYNTAXの未署名の64ビットの整数、最大のキロバイトがない、生涯 非ゼロ値は必要なキロバイトを指定します。生涯。
Note: While IKE can negotiate the lifetime as an arbitrary length field, the authors have assumed that a 64-bit integer will be sufficient.
以下に注意してください。 IKEが任意の長さの分野として生涯を交渉できる間、作者は、64ビットの整数が十分であると仮定しています。
7.5. The Class AHTransform
7.5. クラスAHTransform
The class AHTransform specifies the AH algorithm to propose during IPsec security association negotiation. The class definition for AHTransform is as follows:
クラスAHTransformは、IPsecセキュリティ協会交渉の間、提案するためにAHアルゴリズムを指定します。 AHTransformのためのクラス定義は以下の通りです:
NAME AHTransform
DESCRIPTION Specifies the proposed AH algorithm.
ABSTRACT FALSE
PROPERTIES AHTransformId
UseReplayPrevention
ReplayPreventionWindowSize
NAME AHTransform記述Specifiesの提案されたAH、アルゴリズム。 抽象的な偽の特性のAHTransformId UseReplayPrevention ReplayPreventionWindowSize
7.5.1. The Property AHTransformId
7.5.1. 特性のAHTransformId
The property AHTransformId specifies the transform ID of the AH algorithm. The property is defined as follows:
特性のAHTransformIdはAHアルゴリズムの変換IDを指定します。 特性は以下の通り定義されます:
NAME AHTransformId
DESCRIPTION Specifies the transform ID of the AH algorithm.
SYNTAX unsigned 16-bit integer
VALUE Consult [DOI] for valid values.
AHアルゴリズムのNAME AHTransformId記述Specifies変換ID。 有効値のためのSYNTAXの未署名の16ビットの整数VALUE Consult[DOI。]
7.5.2. The Property UseReplayPrevention
7.5.2. 特性のUseReplayPrevention
The property UseReplayPrevention specifies whether replay prevention detection is to be used. The property is defined as follows:
特性のUseReplayPreventionは、再生防止検出が使用されているかどうかことであると指定します。 特性は以下の通り定義されます:
NAME UseReplayPrevention
DESCRIPTION Specifies whether to enable replay prevention
detection.
SYNTAX boolean
VALUE true - replay prevention detection is enabled.
false - replay prevention detection is disabled.
NAME UseReplayPrevention記述Specifies、再生防止検出を可能にであるかどうか 本当に、再生防止検出は可能にされます。SYNTAX論理演算子VALUE、再生防止検出は虚偽で、障害があります。
Jason, et al. Standards Track [Page 56] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[56ページ]。
7.5.3. The Property ReplayPreventionWindowSize
7.5.3. 特性のReplayPreventionWindowSize
The property ReplayPreventionWindowSize specifies, in bits, the length of the sliding window used by the replay prevention detection mechanism. The value of this property is meaningless if UseReplayPrevention is false. It is assumed that the window size will be power of 2. The property is defined as follows:
特性のReplayPreventionWindowSizeはビットで再生防止検出メカニズムによって使用される引窓の長さを指定します。 UseReplayPreventionが偽であるなら、この属性の価値は無意味です。 ウィンドウサイズが2のパワーになると思われます。 特性は以下の通り定義されます:
NAME ReplayPreventionWindowSize
DESCRIPTION Specifies the length of the window used by the replay
prevention detection mechanism.
SYNTAX unsigned 32-bit integer
再生防止検出メカニズムによって使用される窓の長さのNAME ReplayPreventionWindowSize記述Specifies。 SYNTAXの未署名の32ビットの整数
7.6. The Class ESPTransform
7.6. クラスESPTransform
The class ESPTransform specifies the ESP algorithms to propose during IPsec security association negotiation. The class definition for ESPTransform is as follows:
クラスESPTransformは、IPsecセキュリティ協会交渉の間、提案するために超能力アルゴリズムを指定します。 ESPTransformのためのクラス定義は以下の通りです:
NAME ESPTransform
DESCRIPTION Specifies the proposed ESP algorithms.
ABSTRACT FALSE
PROPERTIES IntegrityTransformId
CipherTransformId
CipherKeyLength
CipherKeyRounds
UseReplayPrevention
ReplayPreventionWindowSize
アルゴリズムNAME ESPTransform記述Specifiesの提案された超能力の抽象的なFALSE PROPERTIES IntegrityTransformId CipherTransformId CipherKeyLength CipherKeyRounds UseReplayPrevention ReplayPreventionWindowSize
7.6.1. The Property IntegrityTransformId
7.6.1. 特性のIntegrityTransformId
The property IntegrityTransformId specifies the transform ID of the ESP integrity algorithm. The property is defined as follows:
特性のIntegrityTransformIdは超能力保全アルゴリズムの変換IDを指定します。 特性は以下の通り定義されます:
NAME IntegrityTransformId
DESCRIPTION Specifies the transform ID of the ESP integrity
algorithm.
SYNTAX unsigned 16-bit integer
VALUE Consult [DOI] for valid values.
超能力保全アルゴリズムのNAME IntegrityTransformId記述Specifies変換ID。 有効値のためのSYNTAXの未署名の16ビットの整数VALUE Consult[DOI。]
Jason, et al. Standards Track [Page 57] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[57ページ]。
7.6.2. The Property CipherTransformId
7.6.2. 特性のCipherTransformId
The property CipherTransformId specifies the transform ID of the ESP encryption algorithm. The property is defined as follows:
特性のCipherTransformIdは超能力暗号化アルゴリズムの変換IDを指定します。 特性は以下の通り定義されます:
NAME CipherTransformId
DESCRIPTION Specifies the transform ID of the ESP encryption
algorithm.
SYNTAX unsigned 16-bit integer
VALUE Consult [DOI] for valid values.
超能力暗号化アルゴリズムのNAME CipherTransformId記述Specifies変換ID。 有効値のためのSYNTAXの未署名の16ビットの整数VALUE Consult[DOI。]
7.6.3. The Property CipherKeyLength
7.6.3. 特性のCipherKeyLength
The property CipherKeyLength specifies, in bits, the key length for the ESP encryption algorithm. For encryption algorithms that use a fixed-length keys, this value is ignored. The property is defined as follows:
特性のCipherKeyLengthはビットで超能力暗号化アルゴリズムにキー長を指定します。 固定長を使用する暗号化アルゴリズムにおいて、キーであり、この値は無視されます。 特性は以下の通り定義されます:
NAME CipherKeyLength
DESCRIPTION Specifies the ESP encryption key length in bits.
SYNTAX unsigned 16-bit integer
NAME CipherKeyLength記述Specifies、ビットの超能力暗号化キー長。 SYNTAXの未署名の16ビットの整数
7.6.4. The Property CipherKeyRounds
7.6.4. 特性のCipherKeyRounds
The property CipherKeyRounds specifies the number of key rounds for the ESP encryption algorithm. For encryption algorithms that use fixed number of key rounds, this value is ignored. The property is defined as follows:
特性のCipherKeyRoundsは超能力暗号化アルゴリズムのための主要なラウンドの数を指定します。 主要なラウンドの定数を使用する暗号化アルゴリズムにおいて、この値は無視されます。 特性は以下の通り定義されます:
NAME CipherKeyRounds
DESCRIPTION Specifies the number of key rounds for the ESP
encryption algorithm.
SYNTAX unsigned 16-bit integer
VALUE Currently, key rounds are not defined for any ESP
encryption algorithms.
キーの数が超能力暗号化アルゴリズムのために一周させるNAME CipherKeyRounds記述Specifies。 SYNTAXの未署名の16ビットの整数VALUE Currently、主要なラウンドはどんな超能力暗号化アルゴリズムのためにも定義されません。
7.6.5. The Property UseReplayPrevention
7.6.5. 特性のUseReplayPrevention
The property UseReplayPrevention specifies whether replay prevention detection is to be used. The property is defined as follows:
特性のUseReplayPreventionは、再生防止検出が使用されているかどうかことであると指定します。 特性は以下の通り定義されます:
NAME UseReplayPrevention
DESCRIPTION Specifies whether to enable replay prevention
detection.
SYNTAX boolean
VALUE true - replay prevention detection is enabled.
false - replay prevention detection is disabled.
NAME UseReplayPrevention記述Specifies、再生防止検出を可能にであるかどうか 本当に、再生防止検出は可能にされます。SYNTAX論理演算子VALUE、再生防止検出は虚偽で、障害があります。
Jason, et al. Standards Track [Page 58] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[58ページ]。
7.6.6. The Property ReplayPreventionWindowSize
7.6.6. 特性のReplayPreventionWindowSize
The property ReplayPreventionWindowSize specifies, in bits, the length of the sliding window used by the replay prevention detection mechanism. The value of this property is meaningless if UseReplayPrevention is false. It is assumed that the window size will be power of 2. The property is defined as follows:
特性のReplayPreventionWindowSizeはビットで再生防止検出メカニズムによって使用される引窓の長さを指定します。 UseReplayPreventionが偽であるなら、この属性の価値は無意味です。 ウィンドウサイズが2のパワーになると思われます。 特性は以下の通り定義されます:
NAME ReplayPreventionWindowSize
DESCRIPTION Specifies the length of the window used by the replay
prevention detection mechanism.
SYNTAX unsigned 32-bit integer
再生防止検出メカニズムによって使用される窓の長さのNAME ReplayPreventionWindowSize記述Specifies。 SYNTAXの未署名の32ビットの整数
7.7. The Class IPCOMPTransform
7.7. クラスIPCOMPTransform
The class IPCOMPTransform specifies the IP compression (IPCOMP) algorithm to propose during IPsec security association negotiation. The class definition for IPCOMPTransform is as follows:
クラスIPCOMPTransformは、IPsecセキュリティ協会交渉の間、提案するためにIP圧縮(IPCOMP)アルゴリズムを指定します。 IPCOMPTransformのためのクラス定義は以下の通りです:
NAME IPCOMPTransform
DESCRIPTION Specifies the proposed IPCOMP algorithm.
ABSTRACT FALSE
PROPERTIES Algorithm
DictionarySize
PrivateAlgorithm
NAME IPCOMPTransform記述Specifiesの提案されたIPCOMP、アルゴリズム。 抽象的な偽の特性のアルゴリズムDictionarySize PrivateAlgorithm
7.7.1. The Property Algorithm
7.7.1. 特性のアルゴリズム
The property Algorithm specifies the transform ID of the IPCOMP compression algorithm. The property is defined as follows:
特性のAlgorithmはIPCOMP圧縮アルゴリズムの変換IDを指定します。 特性は以下の通り定義されます:
NAME Algorithm
DESCRIPTION Specifies the transform ID of the IPCOMP compression
algorithm.
SYNTAX unsigned 16-bit integer
VALUE 1 - OUI: a vendor specific algorithm is used and
specified in the property PrivateAlgorithm. Consult
[DOI] for other valid values.
IPCOMP圧縮アルゴリズムのNAME Algorithm記述Specifies変換ID。 SYNTAXの未署名の16ビットの整数VALUE1--、OUI: ベンダーの特定のアルゴリズムは、特性のPrivateAlgorithmで使用されて、指定されます。 他の有効値のために[DOI]に相談してください。
7.7.2. The Property DictionarySize
7.7.2. 特性のDictionarySize
The property DictionarySize specifies the log2 maximum size of the dictionary for the compression algorithm. For compression algorithms that have pre-defined dictionary sizes, this value is ignored. The property is defined as follows:
特性のDictionarySizeは辞書のlog2最大サイズを圧縮アルゴリズムに指定します。 辞書サイズを事前に定義した圧縮アルゴリズムにおいて、この値は無視されます。 特性は以下の通り定義されます:
Jason, et al. Standards Track [Page 59] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[59ページ]。
NAME DictionarySize
DESCRIPTION Specifies the log2 maximum size of the dictionary.
SYNTAX unsigned 16-bit integer
辞書のlog2最大サイズのNAME DictionarySize記述Specifies。 SYNTAXの未署名の16ビットの整数
7.7.3. The Property PrivateAlgorithm
7.7.3. 特性のPrivateAlgorithm
The property PrivateAlgorithm specifies a private vendor-specific compression algorithm. This value is only used when the property Algorithm is 1 (OUI). The property is defined as follows:
特性のPrivateAlgorithmは個人的なベンダー特有の圧縮アルゴリズムを指定します。 特性のAlgorithmが1歳(OUI)であるときにだけ、この値は使用されます。 特性は以下の通り定義されます:
NAME PrivateAlgorithm
DESCRIPTION Specifies a private vendor-specific compression
algorithm.
SYNTAX unsigned 32-bit integer
NAME PrivateAlgorithmのSpecifiesのa個人的なベンダー特有の圧縮記述アルゴリズム。 SYNTAXの未署名の32ビットの整数
7.8. The Association Class SAProposalInSystem
7.8. 協会のクラスSAProposalInSystem
The class SAProposalInSystem weakly associates SAProposals with a System. The class definition for SAProposalInSystem is as follows:
クラスSAProposalInSystemはSAProposalsをSystemに弱々しく関連づけます。 SAProposalInSystemのためのクラス定義は以下の通りです:
NAME SAProposalInSystem
DESCRIPTION Weakly associates SAProposals with a System.
DERIVED FROM PolicyInSystem (see [PCIM])
ABSTRACT FALSE
PROPERTIES Antecedent[ref System [1..1]]
Dependent[ref SAProposal[0..n] [weak]]
NAME SAProposalInSystem記述WeaklyはSAProposalsをSystemに関連づけます。 PolicyInSystemから派生している([PCIM]を見る)抽象的な誤った特性の前例[審判システム[1 .1]]に依存しています。[審判SAProposal[0..n][弱い]]
7.8.1. The Reference Antecedent
7.8.1. 参照前例
The property Antecedent is inherited from the PolicyInSystem and is overridden to refer to a System instance. The [1..1] cardinality indicates that an SAProposal instance MUST be associated with one and only one System instance.
特性のAntecedentは、PolicyInSystemから引き継がれて、Systemインスタンスについて言及するためにくつがえされます。 [1 .1]基数は、SAProposalインスタンスが1つの唯一無二のSystemインスタンスに関連しているに違いないのを示します。
7.8.2. The Reference Dependent
7.8.2. 参照扶養家族
The property Dependent is inherited from PolicyInSystem and is overridden to refer to an SAProposal instance. The [0..n] cardinality indicates that a System instance may be associated with zero or more SAProposal instances.
特性のDependentは、PolicyInSystemから引き継がれて、SAProposalインスタンスについて言及するためにくつがえされます。 [0..n]基数は、Systemインスタンスがゼロか、より多くのSAProposalインスタンスに関連しているかもしれないのを示します。
7.9. The Aggregation Class ContainedTransform
7.9. 集合のクラスContainedTransform
The class ContainedTransform associates an IPsecProposal with the set of SATransforms that make up the proposal. If multiple transforms of the same type are in a proposal, then they are to be logically ORed and the order of preference is dictated by the SequenceNumber property. Sets of transforms of different types are logically ANDed.
クラスContainedTransformは提案を作るSATransformsのセットにIPsecProposalを関連づけます。 同じタイプの複数の変換が提案であるなら、それらは論理的に、ORedとよく使われる順がSequenceNumberの特性によって書き取られるということであることになっています。 セットの異なったタイプの変換は論理的にそうです。ANDed。
Jason, et al. Standards Track [Page 60] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[60ページ]。
For example, if the ordered proposal list were
例えば、規則正しい提案であるなら、リストはそうでした。
ESP = { (HMAC-MD5, 3DES), (HMAC-MD5, DES) }
AH = { MD5, SHA-1 }
超能力が等しい、(HMAC-MD5、3DES)、(HMAC-MD5、デス)、ああ、等しさMD5、SHA-1
then the one sending the proposal would want the other side to pick one from the ESP transform (preferably (HMAC-MD5, 3DES)) list AND one from the AH transform list (preferably MD5).
そして、提案を送る人は、反対側にAH変換リスト(望ましくはMD5)から超能力変換(望ましくは(HMAC-MD5、3DES))リストAND1からの1つを選んで欲しいでしょう。
The class definition for ContainedTransform is as follows:
ContainedTransformのためのクラス定義は以下の通りです:
NAME ContainedTransform
DESCRIPTION Associates an IPsecProposal with the set of
SATransforms that make up the proposal.
DERIVED FROM PolicyComponent (see [PCIM])
ABSTRACT FALSE
PROPERTIES GroupComponent[ref IPsecProposal[0..n]]
PartComponent[ref SATransform[1..n]]
SequenceNumber
NAME ContainedTransform記述Associates、提案を作るSATransformsのセットがあるIPsecProposal。 PolicyComponent([PCIM]を見る)の抽象的な偽の特性のGroupComponent[審判IPsecProposal[0..n]]PartComponent[審判SATransform[1..n]]SequenceNumberから、派生します。
7.9.1. The Reference GroupComponent
7.9.1. 参照GroupComponent
The property GroupComponent is inherited from PolicyComponent and is overridden to refer to an IPsecProposal instance. The [0..n] cardinality indicates that an SATransform instance may be associated with zero or more IPsecProposal instances.
特性のGroupComponentは、PolicyComponentから引き継がれて、IPsecProposalインスタンスについて言及するためにくつがえされます。 [0..n]基数は、SATransformインスタンスがゼロか、より多くのIPsecProposalインスタンスに関連しているかもしれないのを示します。
7.9.2. The Reference PartComponent
7.9.2. 参照PartComponent
The property PartComponent is inherited from PolicyComponent and is overridden to refer to an SATransform instance. The [1..n] cardinality indicates that an IPsecProposal instance MUST be associated with at least one SATransform instance.
特性のPartComponentは、PolicyComponentから引き継がれて、SATransformインスタンスについて言及するためにくつがえされます。 [1..n]基数は、IPsecProposalインスタンスが少なくとも1つのSATransformインスタンスに関連しているに違いないのを示します。
7.9.3. The Property SequenceNumber
7.9.3. 特性のSequenceNumber
The property SequenceNumber specifies the order of preference for the SATransforms of the same type. The property is defined as follows:
特性のSequenceNumberは同じタイプのSATransformsのためのよく使われる順を指定します。 特性は以下の通り定義されます:
NAME SequenceNumber
DESCRIPTION Specifies the preference order for the SATransforms
of the same type.
SYNTAX unsigned 16-bit integer
VALUE Lower-valued transforms are preferred over transforms
of the same type with higher values. For
ContainedTransforms that reference the same
IPsecProposal, SequenceNumber values must be unique.
好みが同じタイプのSATransformsのために注文するNAME SequenceNumber記述Specifies。 SYNTAX未署名の16ビットの整数VALUE Lowerによって評価された変換は、より高い値がある同じタイプの変換より好まれます。 ContainedTransformsに関しては、同じその参照IPsecProposalであり、SequenceNumber値はユニークであるに違いありません。
Jason, et al. Standards Track [Page 61] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[61ページ]。
7.10. The Association Class SATransformInSystem
7.10. 協会のクラスSATransformInSystem
The class SATransformInSystem weakly associates SATransforms with a System. The class definition for SATransformInSystem System is as follows:
クラスSATransformInSystemはSATransformsをSystemに弱々しく関連づけます。 SATransformInSystem Systemのためのクラス定義は以下の通りです:
NAME SATransformInSystem
DESCRIPTION Weakly associates SATransforms with a System.
DERIVED FROM PolicyInSystem (see [PCIM])
ABSTRACT FALSE
PROPERTIES Antecedent[ref System[1..1]]
Dependent[ref SATransform[0..n] [weak]]
NAME SATransformInSystem記述WeaklyはSATransformsをSystemに関連づけます。 PolicyInSystemから派生している([PCIM]を見る)抽象的な誤った特性の前例[審判システム[1 .1]]に依存しています。[審判SATransform[0..n][弱い]]
7.10.1. The Reference Antecedent
7.10.1. 参照前例
The property Antecedent is inherited from PolicyInSystem and is overridden to refer to a System instance. The [1..1] cardinality indicates that an SATransform instance MUST be associated with one and only one System instance.
特性のAntecedentは、PolicyInSystemから引き継がれて、Systemインスタンスについて言及するためにくつがえされます。 [1 .1]基数は、SATransformインスタンスが1つの唯一無二のSystemインスタンスに関連しているに違いないのを示します。
7.10.2. The Reference Dependent
7.10.2. 参照扶養家族
The property Dependent is inherited from PolicyInSystem and is overridden to refer to an SATransform instance. The [0..n] cardinality indicates that a System instance may be associated with zero or more SATransform instances.
特性のDependentは、PolicyInSystemから引き継がれて、SATransformインスタンスについて言及するためにくつがえされます。 [0..n]基数は、Systemインスタンスがゼロか、より多くのSATransformインスタンスに関連しているかもしれないのを示します。
Jason, et al. Standards Track [Page 62] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[62ページ]。
8. IKE Service and Identity Classes
8. IKEサービスとアイデンティティのクラス
+--------------+ +-------------------+
| System | | PeerIdentityEntry |
| ([CIMCORE]) | +-------------------+
+--------------+ |*w
1| (a) (b) |
+---+ +------------+
| |
|*w 1 o
+-------------+ +-------------------+ +---------------------+
| PeerGateway | | PeerIdentityTable | | AutostartIKESetting |
+-------------+ +-------------------+ +---------------------+
*| *| *| *|
+----------------------+ |(d) +----------+ |
(c) *| *| *| (e) |
*+------------+* |(f)
+-----------------| IKEService |-----+ |
| (g) +------------+ |(h) |
0..1| *| *| *o
+--------------------+ | +---------------------------+
| IPProtocolEndpoint | | | AutostartIKEConfiguration |
| ([CIMNETWORK]) | (i)| +---------------------------+
+--------------------+ |
0..1| |
|(j) +----------------+
*| |*
+-------------+* (k) +------------+ +-----------------------------+
| IKEIdentity |-------| Collection | | CredentialManagementService |
+-------------+ 0..1| ([CIMCORE])| | ([CIMUSER]) |
*| +------------+ +-----------------------------+
|(l)
*|
+--------------+
| Credential |
| ([CIMUSER]) |
+--------------+
+--------------+ +-------------------+ | システム| | PeerIdentityEntry| | ([CIMCORE]) | +-------------------+ +--------------+ |*w1| (a) (b) | +---+ +------------+ | | |*w1o+-------------+ +-------------------+ +---------------------+ | PeerGateway| | PeerIdentityTable| | AutostartIKESetting| +-------------+ +-------------------+ +---------------------+ *| *| *| *| +----------------------+ |(d) +----------+ | (c) *| *| *| (e) | *+------------+* |(f) +-----------------| IKEService|-----+ | | (g) +------------+ |(h) | 0..1| *| *| *o +--------------------+ | +---------------------------+ | IPProtocolEndpoint| | | AutostartIKEConfiguration| | ([CIMNETWORK]) | (i)| +---------------------------+ +--------------------+ | 0..1| | |(j) +----------------+ *| |* +-------------+ *(k)+------------+ +-----------------------------+ | IKEIdentity|-------| 収集| | CredentialManagementService| +-------------+ 0..1| ([CIMCORE])| | ([CIMUSER]) | *| +------------+ +-----------------------------+ |(l) *| +--------------+ | 資格証明書| | ([CIMUSER]) | +--------------+
(a) HostedPeerIdentityTable
(b) PeerIdentityMember
(c) IKEServicePeerGateway
(d) IKEServicePeerIdentityTable
(e) IKEAutostartSetting
(f) AutostartIKESettingContext
(g) IKEServiceForEndpoint
(h) IKEAutostartConfiguration
(i) IKEUsesCredentialManagementService
(j) EndpointHasLocalIKEIdentity
(a) HostedPeerIdentityTable(b)PeerIdentityMember(c)IKEServicePeerGateway(d)IKEServicePeerIdentityTable(e)IKEAutostartSetting(f)AutostartIKESettingContext(g)IKEServiceForEndpoint(h)IKEAutostartConfiguration(i)IKEUsesCredentialManagementService(j)EndpointHasLocalIKEIdentity
Jason, et al. Standards Track [Page 63] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[63ページ]。
(k) CollectionHasLocalIKEIdentity
(l) IKEIdentitysCredential
(k) CollectionHasLocalIKEIdentity(l)IKEIdentitysCredential
This portion of the model contains additional information that is useful in applying the policy. The IKEService class MAY be used to represent the IKE negotiation function in a system. The IKEService uses the various tables that contain information about IKE peers as well as the configuration for specifying security associations that are started automatically. The information in the PeerGateway, PeerIdentityTable and related classes is necessary to completely specify the policies.
モデルのこの一部が方針を適用する際に役に立つ追加情報を含んでいます。 IKEServiceのクラスは、システムでのIKE交渉機能を表すのに使用されるかもしれません。 IKEServiceは自動的に始められるセキュリティ協会を指定するための構成と同様にIKE同輩の情報を含む様々なテーブルを使用します。 PeerGateway、PeerIdentityTable、および関連するクラスにおける情報が、方針を完全に指定するのに必要です。
An interface (represented by an IPProtocolEndpoint) has an IKEService that provides the negotiation services for that interface. That service MAY also have a list of security associations automatically started at the time the IKE service is initialized.
インタフェース(IPProtocolEndpointによって表される)には、そのインタフェースのための交渉サービスを提供するIKEServiceがあります。 また、そのサービスで、IKEサービスが初期化されるとき、自動的にセキュリティ協会のリストを始めるかもしれません。
The IKEService also has a set of identities that it may use in negotiations with its peers. Those identities are associated with the interfaces (or collections of interfaces).
また、IKEServiceには、それが同輩との交渉に使用するかもしれない1セットのアイデンティティがあります。 それらのアイデンティティはインタフェース(または、インタフェースの収集)に関連しています。
8.1. The Class IKEService
8.1. クラスIKEService
The class IKEService represents the IKE negotiation function. An instance of this service may provide that negotiation service for one or more interfaces (represented by the IPProtocolEndpoint class) of a System. There may be multiple instances of IKE services on a System but only one per interface. The class definition for IKEService is as follows:
クラスIKEServiceはIKE交渉機能を表します。 このサービスのインスタンスは、交渉が1以上のために、Systemのインタフェース(IPProtocolEndpointのクラスによって表される)を修理するのを前提とするかもしれません。 複数のIKEサービスのインスタンスがSystemにもかかわらず、1インタフェースあたり1つだけにあるかもしれません。 IKEServiceのためのクラス定義は以下の通りです:
NAME IKEService
DESCRIPTION IKEService is used to represent the IKE negotiation
function.
DERIVED FROM Service (see [CIMCORE])
ABSTRACT FALSE
NAME IKEService記述IKEServiceは、IKE交渉機能を表すのに使用されます。 サービス([CIMCORE]を見る)要約から、虚偽で派生します。
8.2. The Class PeerIdentityTable
8.2. クラスPeerIdentityTable
The class PeerIdentityTable aggregates the table entries that provide mappings between identities and their addresses. The class definition for PeerIdentityTable is as follows:
クラスPeerIdentityTableはアイデンティティとそれらのアドレスの間にマッピングを提供するテーブル項目に集めます。 PeerIdentityTableのためのクラス定義は以下の通りです:
NAME PeerIdentityTable
DESCRIPTION PeerIdentityTable aggregates PeerIdentityEntry
instances to provide a table of identity-address
mappings.
DERIVED FROM Collection (see [CIMCORE])
NAME PeerIdentityTable記述PeerIdentityTableは、アイデンティティアドレス・マッピングのテーブルを提供するためにPeerIdentityEntryインスタンスに集めます。 収集から、派生します。([CIMCORE]を見ます)
Jason, et al. Standards Track [Page 64] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[64ページ]。
ABSTRACT FALSE
PROPERTIES Name
抽象的な誤った特性の名
8.2.1. The Property Name
8.2.1. 特性の名
The property Name uniquely identifies the table. The property is defined as follows:
特性のNameは唯一テーブルを特定します。 特性は以下の通り定義されます:
NAME Name
DESCRIPTION Name uniquely identifies the table.
SYNTAX string
NAME Name記述Nameは唯一テーブルを特定します。 SYNTAXストリング
8.3. The Class PeerIdentityEntry
8.3. クラスPeerIdentityEntry
The class PeerIdentityEntry specifies the mapping between peer identity and their IP address. The class definition for PeerIdentityEntry is as follows:
クラスPeerIdentityEntryは同輩のアイデンティティとそれらのIPアドレスの間のマッピングを指定します。 PeerIdentityEntryのためのクラス定義は以下の通りです:
NAME PeerIdentityEntry
DESCRIPTION PeerIdentityEntry provides a mapping between a peer's
identity and address.
DERIVED FROM LogicalElement (see [CIMCORE])
ABSTRACT FALSE
PROPERTIES PeerIdentity
PeerIdentityType
PeerAddress
PeerAddressType
NAME PeerIdentityEntry記述PeerIdentityEntryは同輩のアイデンティティとアドレスの間にマッピングを提供します。 LogicalElement([CIMCORE]を見る)の抽象的な偽の特性のPeerIdentity PeerIdentityType PeerAddress PeerAddressTypeから、派生します。
The pre-shared key to be used with this peer (if applicable) is contained in an instance of the class SharedSecret (see [CIMUSER]). The pre-shared key is stored in the property Secret, the property protocol contains "IKE", the property algorithm contains the algorithm used to protect the secret (can be "PLAINTEXT" if the IPsec entity has no secret storage), the value of property RemoteID must match the PeerIdentity property of the PeerIdentityEntry instance describing the IKE peer.
中古、そして、この同輩と共に(適切)であるあらかじめ共有されたキーはクラスSharedSecretのインスタンスに含まれています([CIMUSER]を見てください)。 あらかじめ共有されたキーは特性のSecretに保存されて、特性のプロトコルは「イケ」を含んでいて、特性のアルゴリズムは秘密(IPsec実体にどんな秘密のストレージもないなら、「平文」であることができる)を保護するのに使用されるアルゴリズムを含んでいて、特性のRemoteIDの値はイケ同輩について説明するPeerIdentityEntryインスタンスのPeerIdentityの特性に合わなければなりません。
8.3.1. The Property PeerIdentity
8.3.1. 特性のPeerIdentity
The property PeerIdentity contains a string encoding of the Identity payload for the IKE peer. The property is defined as follows:
特性のPeerIdentityはIKE同輩のためにIdentityペイロードをコード化するストリングを含んでいます。 特性は以下の通り定義されます:
NAME PeerIdentity
DESCRIPTION The PeerIdentity is the ID payload of a peer.
SYNTAX string
NAME PeerIdentity記述、PeerIdentityは同輩のIDペイロードです。 SYNTAXストリング
Jason, et al. Standards Track [Page 65] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[65ページ]。
8.3.2. The Property PeerIdentityType
8.3.2. 特性のPeerIdentityType
The property PeerIdentityType is an enumeration that specifies the type of the PeerIdentity. The property is defined as follows:
特性のPeerIdentityTypeはPeerIdentityのタイプを指定する列挙です。 特性は以下の通り定義されます:
NAME PeerIdentityType
DESCRIPTION PeerIdentityType is the type of the ID payload of a
peer.
SYNTAX unsigned 16-bit integer
VALUE The enumeration values are specified in [DOI] section
4.6.2.1.
NAME PeerIdentityType記述PeerIdentityTypeは同輩のIDペイロードのタイプです。 SYNTAXの未署名の16ビットの整数VALUEは[DOI]セクション4.6.2で.1に指定されます列挙が、評価する。
8.3.3. The Property PeerAddress
8.3.3. 特性のPeerAddress
The property PeerAddress specifies the string representation of the IP address of the peer formatted according to the appropriate convention as defined in the PeerAddressType property (e.g., dotted decimal notation). The property is defined as follows:
特性のPeerAddressは適切なコンベンションによると、PeerAddressTypeの特性(例えば、ドット付き10進法)で定義されるようにフォーマットされた同輩のIPアドレスのストリング表現を指定します。 特性は以下の通り定義されます:
NAME PeerAddress
DESCRIPTION PeerAddress is the address of the peer with the ID
payload.
SYNTAX string
VALUE String representation of an IPv4 or IPv6 address.
NAME PeerAddress記述PeerAddressはIDペイロードをもっている同輩のアドレスです。 SYNTAXはIPv4かIPv6アドレスのVALUE String表現を結びます。
8.3.4. The Property PeerAddressType
8.3.4. 特性のPeerAddressType
The property PeerAddressType specifies the format of the PeerAddress property value. The property is defined as follows:
特性のPeerAddressTypeはPeerAddress資産価値の形式を指定します。 特性は以下の通り定義されます:
NAME PeerAddressType
DESCRIPTION PeerAddressType is the type of address in
PeerAddress.
SYNTAX unsigned 16-bit integer
VALUE 0 - Unknown
1 - IPv4
2 - IPv6
NAME PeerAddressType記述PeerAddressTypeはPeerAddressのアドレスのタイプです。 SYNTAXの未署名の16ビットの整数VALUE0--未知1--IPv4 2--IPv6
8.4. The Class AutostartIKEConfiguration
8.4. クラスAutostartIKEConfiguration
The class AutostartIKEConfiguration groups AutostartIKESetting instances into configuration sets. When applied, the settings cause an IKE service to automatically start (negotiate or statically set as appropriate) the Security Associations. The class definition for AutostartIKEConfiguration is as follows:
クラスAutostartIKEConfigurationはAutostartIKESettingインスタンスを構成セットに分類します。 適用されると、設定で、IKEサービスは自動的にSecurity Associationsを始動します(適宜交渉するか、または静的に設定します)。 AutostartIKEConfigurationのためのクラス定義は以下の通りです:
Jason, et al. Standards Track [Page 66] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[66ページ]。
NAME AutostartIKEConfiguration
DESCRIPTION A configuration set of AutostartIKESetting instances
to be automatically started by the IKE service.
DERIVED FROM SystemConfiguration (see [CIMCORE])
ABSTRACT FALSE
IKEサービスで自動的に始められるべきAutostartIKESettingインスタンスのNAME AutostartIKEConfiguration記述A構成セット。 SystemConfiguration([CIMCORE]を見る)要約から、虚偽で派生します。
8.5. The Class AutostartIKESetting
8.5. クラスAutostartIKESetting
The class AutostartIKESetting is used to automatically initiate IKE negotiations with peers (or statically create an SA) as specified in the AutostartIKESetting properties. Appropriate actions are initiated according to the policy that matches the setting parameters. The class definition for AutostartIKESetting is as follows:
クラスAutostartIKESettingは、AutostartIKESetting所有地で指定されているとして自動的に同輩(静的にSAを作成してください)とのIKE交渉を開始するのに使用されます。 設定パラメタに合っている方針によると、適切な行動は開始されます。 AutostartIKESettingのためのクラス定義は以下の通りです:
NAME AutostartIKESetting
DESCRIPTION AutostartIKESetting is used to automatically initiate
IKE negotiations with peers or statically create an
SA.
DERIVED FROM SystemSetting (see [CIMCORE])
ABSTRACT FALSE
PROPERTIES Phase1Only
AddressType
SourceAddress
SourcePort
DestinationAddress
DestinationPort
Protocol
NAME AutostartIKESetting記述AutostartIKESettingは、自動的に同輩とのIKE交渉を開始するか、または静的にSAを作成するのに使用されます。 SystemSetting([CIMCORE]を見る)の抽象的な誤った特性のPhase1Only AddressType SourceAddress SourcePort DestinationAddress DestinationPortプロトコルから、派生します。
8.5.1. The Property Phase1Only
8.5.1. 特性のPhase1Only
The property Phase1Only is used to limit the IKE negotiation to a phase 1 SA establishment only. When set to False, both phase 1 and phase 2 SAs are negotiated. The property is defined as follows:
特性のPhase1Onlyは、IKE交渉をフェーズの1SAの設立だけに制限するのに使用されます。 Falseに設定されると、フェーズ1とフェーズ2SAsの両方が交渉されます。 特性は以下の通り定義されます:
NAME Phase1Only
DESCRIPTION Used to indicate whether a phase 1 only or both phase
1 and phase 2 security associations should attempt
establishment.
SYNTAX boolean
VALUE true - attempt to establish a phase 1 security
association
false - attempt to establish phase 1 and phase 2
security associations
フェーズ1が単にかともに1の位相を合わせて、2つのセキュリティ協会の位相を合わせるかどうかを示すNAME Phase1Only記述Usedは設立を試みるはずです。 フェーズ1とフェーズ2セキュリティ協会を設立するSYNTAXの論理演算子のVALUEの本当(フェーズ1セキュリティ協会を虚偽で設立する試み)の試み
Jason, et al. Standards Track [Page 67] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[67ページ]。
8.5.2. The Property AddressType
8.5.2. 特性のAddressType
The property AddressType specifies a type of the addresses in the SourceAddress and DestinationAddress properties. The property is defined as follows:
特性のAddressTypeはSourceAddressとDestinationAddress所有地のアドレスのタイプを指定します。 特性は以下の通り定義されます:
NAME AddressType
DESCRIPTION AddressType is the type of address in SourceAddress
and DestinationAddress properties.
SYNTAX unsigned 16-bit integer
VALUE 0 - Unknown
1 - IPv4
2 - IPv6
NAME AddressType記述AddressTypeはSourceAddressとDestinationAddress所有地のアドレスのタイプです。 SYNTAXの未署名の16ビットの整数VALUE0--未知1--IPv4 2--IPv6
8.5.3. The Property SourceAddress
8.5.3. 特性のSourceAddress
The property SourceAddress specifies the dotted-decimal or colon- decimal formatted IP address used as the source address in comparing with policy filter entries and used in any phase 2 negotiations. The property is defined as follows:
特性のSourceAddressはソースアドレスとして方針フィルタエントリーと比較する際に使用されて、どんなフェーズ2交渉にも使用されるドット付き10進法かコロンの小数のフォーマットされたIPアドレスを指定します。 特性は以下の通り定義されます:
NAME SourceAddress
DESCRIPTION The source address to compare with the filters to
determine the appropriate policy rule.
SYNTAX string
VALUE dotted-decimal or colon-decimal formatted IP address
ソースが適切な政策ルールを決定するためにフィルタと比較するために扱うNAME SourceAddress記述。 SYNTAXストリングVALUEドット付き10進法かコロン小数がIPアドレスをフォーマットしました。
8.5.4. The Property SourcePort
8.5.4. 特性のSourcePort
The property SourcePort specifies the port number used as the source port in comparing policy filter entries and is used in any phase 2 negotiations. The property is defined as follows:
特性のSourcePortは方針フィルタエントリーを比較する際にソースポートとして使用されるポートナンバーを指定して、どんなフェーズ2交渉にも使用されます。 特性は以下の通り定義されます:
NAME SourcePort
DESCRIPTION The source port to compare with the filters to
determine the appropriate policy rule.
SYNTAX unsigned 16-bit integer
NAME SourcePort記述、適切な政策ルールを決定するためにフィルタと比較するソースポート。 SYNTAXの未署名の16ビットの整数
8.5.5. The Property DestinationAddress
8.5.5. 特性のDestinationAddress
The property DestinationAddress specifies the dotted-decimal or colon-decimal formatted IP address used as the destination address in comparing policy filter entries and is used in any phase 2 negotiations. The property is defined as follows:
特性のDestinationAddressがドット付き10進法を指定するか、コロン小数は、方針フィルタエントリーを比較する際に送付先アドレスとして使用されるIPアドレスをフォーマットして、どんなフェーズ2交渉にも使用されます。 特性は以下の通り定義されます:
NAME DestinationAddress
DESCRIPTION The destination address to compare with the filters
to determine the appropriate policy rule.
目的地が適切な政策ルールを決定するためにフィルタと比較するために扱うNAME DestinationAddress記述。
Jason, et al. Standards Track [Page 68] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[68ページ]。
SYNTAX string
VALUE dotted-decimal or colon-decimal formatted IP address
SYNTAXストリングVALUEドット付き10進法かコロン小数がIPアドレスをフォーマットしました。
8.5.6. The Property DestinationPort
8.5.6. 特性のDestinationPort
The property DestinationPort specifies the port number used as the destination port in comparing policy filter entries and is used in any phase 2 negotiations. The property is defined as follows:
特性のDestinationPortは方針フィルタエントリーを比較する際に仕向港として使用されるポートナンバーを指定して、どんなフェーズ2交渉にも使用されます。 特性は以下の通り定義されます:
NAME DestinationPort
DESCRIPTION The destination port to compare with the filters to
determine the appropriate policy rule.
SYNTAX unsigned 16-bit integer
目的地が適切な政策ルールを決定するためにフィルタと比較するために移植するNAME DestinationPort記述。 SYNTAXの未署名の16ビットの整数
8.5.7. The Property Protocol
8.5.7. 特性のプロトコル
The property Protocol specifies the protocol number used in comparing with policy filter entries and is used in any phase 2 negotiations. The property is defined as follows:
特性のプロトコルは、方針フィルタエントリーと比較する際に使用されるプロトコル番号を指定して、どんなフェーズ2交渉にも使用されます。 特性は以下の通り定義されます:
NAME Protocol
DESCRIPTION The protocol number used in comparing policy
filter entries.
SYNTAX unsigned 8-bit integer
プロトコル番号が方針フィルタエントリーを比較する際に使用したNAMEプロトコル記述。 SYNTAXの未署名の8ビットの整数
8.6. The Class IKEIdentity
8.6. クラスIKEIdentity
The class IKEIdentity is used to represent the identities that may be used for an IPProtocolEndpoint (or collection of IPProtocolEndpoints) to identify the IKE Service in IKE phase 1 negotiations. The policy IKEAction.UseIKEIdentityType specifies which type of the available identities to use in a negotiation exchange and the IKERule.IdentityContexts specifies the match values to be used, along with the local address, in selecting the appropriate identity for a negotiation. The ElementID property value (defined in the parent class, UsersAccess) should be that of either the IPProtocolEndpoint or Collection of endpoints as appropriate. The class definition for IKEIdentity is as follows:
クラスIKEIdentityは、IPProtocolEndpoint(または、IPProtocolEndpointsの収集)がIKEフェーズ1交渉でIKE Serviceを特定するのに使用されるかもしれないアイデンティティを表すのに使用されます。 方針IKEAction.UseIKEIdentityTypeは、交渉交換とIKERule.IdentityContextsで使用する利用可能なアイデンティティのどのタイプが使用されるためにマッチ値を指定するかを指定します、ローカルアドレスと共に、交渉のために適切なアイデンティティを選択する際に。 ElementID資産価値(親のクラス、UsersAccessでは、定義される)は適宜終点のIPProtocolEndpointかCollectionのどちらかのものであるべきです。 IKEIdentityのためのクラス定義は以下の通りです:
NAME IKEIdentity
DESCRIPTION IKEIdentity is used to represent the identities that
may be used for an IPProtocolEndpoint (or collection
of IPProtocolEndpoints) to identify the IKE Service
in IKE phase 1 negotiations.
DERIVED FROM UsersAccess (see [CIMUSER])
ABSTRACT FALSE
NAME IKEIdentity記述IKEIdentityは、IPProtocolEndpoint(または、IPProtocolEndpointsの収集)がIKEフェーズ1交渉でIKE Serviceを特定するのに使用されるかもしれないアイデンティティを表すのに使用されます。 UsersAccess([CIMUSER]を見る)要約から、虚偽で派生します。
Jason, et al. Standards Track [Page 69] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[69ページ]。
PROPERTIES IdentityType
IdentityValue
IdentityContexts
特性のIdentityType IdentityValue IdentityContexts
8.6.1. The Property IdentityType
8.6.1. 特性のIdentityType
The property IdentityType is an enumeration that specifies the type of the IdentityValue. The property is defined as follows:
特性のIdentityTypeはIdentityValueのタイプを指定する列挙です。 特性は以下の通り定義されます:
NAME IdentityType
DESCRIPTION IdentityType is the type of the IdentityValue.
SYNTAX unsigned 16-bit integer
VALUE The enumeration values are specified in [DOI] section
4.6.2.1.
NAME IdentityType記述IdentityTypeはIdentityValueのタイプです。 SYNTAXの未署名の16ビットの整数VALUEは[DOI]セクション4.6.2で.1に指定されます列挙が、評価する。
8.6.2. The Property IdentityValue
8.6.2. 特性のIdentityValue
The property IdentityValue contains a string encoding of the Identity payload. For IKEIdentity instances that are address types (i.e., IPv4 or IPv6 addresses), the IdentityValue string value MAY be omitted; then the associated IPProtocolEndpoint (or appropriate member of the Collection of endpoints) is used as the identity value. The property is defined as follows:
特性のIdentityValueはIdentityペイロードをコード化するストリングを含んでいます。 アドレスタイプ(すなわち、IPv4かIPv6アドレス)であるIKEIdentityインスタンスにおいて、IdentityValueストリング価値は省略されるかもしれません。 そして、関連IPProtocolEndpoint(または、終点のCollectionの適切なメンバー)はアイデンティティ値として使用されます。 特性は以下の通り定義されます:
NAME IdentityValue
DESCRIPTION IdentityValue contains a string encoding of the
Identity payload.
SYNTAX string
NAME IdentityValue記述IdentityValueはIdentityペイロードをコード化するストリングを含んでいます。 SYNTAXストリング
8.6.3. The Property IdentityContexts
8.6.3. 特性のIdentityContexts
The IdentityContexts property is used to constrain the use of IKEIdentity instances to match that specified in the IKERule.IdentityContexts. The IdentityContexts are formatted as policy roles and role combinations [PCIM] & [PCIME]. Each value represents one context or context combination. Since this is a multi-valued property, more than one context or combination of contexts can be associated with a single IKEIdentity. Each value is a string of the form:
IdentityContextsの特性は、IKEIdentityインスタンスの使用がIKERule.IdentityContextsで指定されたそれに合っているのを抑制するのに使用されます。 IdentityContextsは方針の役割と役割の組み合わせ[PCIM]&[PCIME]としてフォーマットされます。 各値は1つの文脈か文脈組み合わせを表します。 これがマルチ評価された特性であるので、文脈の1つ以上の文脈か組み合わせを独身のIKEIdentityに関連づけることができます。 各値は形式のストリングです:
<ContextName>[&&<ContextName>]*
<ContextName>、[<ContextName>] *
where the individual context names appear in alphabetical order (according to the collating sequence for UCS-2). If one or more values in the IKERule.IdentityContexts array match one or more IKEIdentity.IdentityContexts, then the identity's context matches. (That is, each value of the IdentityContext array is an ORed condition.) In combination with the address of the
個々の文脈名がアルファベット順に(UCS-2のための照合順序によると)現れるところ。 IKERule.IdentityContexts配列における1つ以上の値が1IKEIdentity.IdentityContextsに合っているなら、アイデンティティの文脈は合っています。 (IdentityContext配列のすなわち各値はORed状態です。) アドレスと組み合わせて
Jason, et al. Standards Track [Page 70] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[70ページ]。
IPProtocolEndpoint and IKEAction.UseIKEIdentityType, there SHOULD be exactly one IKEIdentity. The property is defined as follows:
IPProtocolEndpointとIKEAction.UseIKEIdentityType、SHOULDはまさにそこでは、そうです。1IKEIdentity。 特性は以下の通り定義されます:
NAME IdentityContexts
DESCRIPTION The IKE service of a security endpoint may have
multiple identities for use in different situations.
The combination of the interface (represented by
the IPProtocolEndpoint), the identity type (as
specified in the IKEAction) and the IdentityContexts
selects a unique identity.
SYNTAX string array
VALUE string of the form <ContextName>[&&<ContextName>]*
IKEが修理するセキュリティ終点のNAME IdentityContexts記述は異なった状況における使用のための複数のアイデンティティを持っているかもしれません。 インタフェース(IPProtocolEndpointによって表される)、アイデンティティタイプ(IKEActionで指定されるように)、およびIdentityContextsの組み合わせはユニークなアイデンティティを選択します。 フォーム<ContextName>のSYNTAX文字列配列VALUEストリング、[<ContextName>] *
8.7. The Association Class HostedPeerIdentityTable
8.7. 協会のクラスHostedPeerIdentityTable
The class HostedPeerIdentityTable provides the name scoping relationship for PeerIdentityTable entries in a System. The PeerIdentityTable is weak to the System. The class definition for HostedPeerIdentityTable is as follows:
クラスHostedPeerIdentityTableはSystemのPeerIdentityTableエントリーのために見るという名前に関係を提供します。 PeerIdentityTableはSystemに弱いです。 HostedPeerIdentityTableのためのクラス定義は以下の通りです:
NAME HostedPeerIdentityTable
DESCRIPTION The PeerIdentityTable instances are weak (name scoped
by) the owning System.
DERIVED FROM Dependency (see [CIMCORE])
ABSTRACT FALSE
PROPERTIES Antecedent [ref System[1..1]]
Dependent [ref PeerIdentityTable[0..n] [weak]]
PeerIdentityTableが例証するNAME HostedPeerIdentityTable記述は弱いです。(見られた名前)所有しているSystem。 依存から派生している([CIMCORE]を見る)抽象的な誤った特性の前例[審判システム[1 .1]]に依存しています。[審判PeerIdentityTable[0..n][弱い]]
8.7.1. The Reference Antecedent
8.7.1. 参照前例
The property Antecedent is inherited from Dependency and is overridden to refer to a System instance. The [1..1] cardinality indicates that a PeerIdentityTable instance MUST be associated in a weak relationship with one and only one System instance.
特性のAntecedentは、Dependencyから引き継がれて、Systemインスタンスについて言及するためにくつがえされます。 [1 .1]基数は、PeerIdentityTableインスタンスが1つの唯一無二のSystemインスタンスとの弱い関係で関連しているに違いないのを示します。
8.7.2. The Reference Dependent
8.7.2. 参照扶養家族
The property Dependent is inherited from Dependency and is overridden to refer to a PeerIdentityTable instance. The [0..n] cardinality indicates that a System instance may be associated with zero or more PeerIdentityTable instances.
特性のDependentは、Dependencyから引き継がれて、PeerIdentityTableインスタンスについて言及するためにくつがえされます。 [0..n]基数は、Systemインスタンスがゼロか、より多くのPeerIdentityTableインスタンスに関連しているかもしれないのを示します。
8.8. The Aggregation Class PeerIdentityMember
8.8. 集合のクラスPeerIdentityMember
The class PeerIdentityMember aggregates PeerIdentityEntry instances into a PeerIdentityTable. This is a weak aggregation. The class definition for PeerIdentityMember is as follows:
クラスPeerIdentityMemberはPeerIdentityTableへのPeerIdentityEntryインスタンスに集めます。 これは弱い集合です。 PeerIdentityMemberのためのクラス定義は以下の通りです:
Jason, et al. Standards Track [Page 71] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[71ページ]。
NAME PeerIdentityMember
DESCRIPTION PeerIdentityMember aggregates PeerIdentityEntry
instances into a PeerIdentityTable.
DERIVED FROM MemberOfCollection (see [CIMCORE])
ABSTRACT FALSE
PROPERTIES Collection [ref PeerIdentityTable[1..1]]
Member [ref PeerIdentityEntry [0..n] [weak]]
NAME PeerIdentityMember記述PeerIdentityMemberはPeerIdentityTableへのPeerIdentityEntryインスタンスに集めます。 MemberOfCollection([CIMCORE]を見る)の抽象的な誤った特性の収集[審判PeerIdentityTable[1 .1]]メンバーから、派生します。[審判PeerIdentityEntry[0..n][弱い]]
8.8.1. The Reference Collection
8.8.1. 参照収集
The property Collection is inherited from MemberOfCollection and is overridden to refer to a PeerIdentityTable instance. The [1..1] cardinality indicates that a PeerIdentityEntry instance MUST be associated with one and only one PeerIdentityTable instance (i.e., PeerIdentityEntry instances are not shared across PeerIdentityTables).
特性のCollectionは、MemberOfCollectionから引き継がれて、PeerIdentityTableインスタンスについて言及するためにくつがえされます。 [1 .1]基数は、PeerIdentityEntryインスタンスが1つの唯一無二のPeerIdentityTableインスタンスに関連しているに違いないのを示します(すなわち、PeerIdentityEntryインスタンスはPeerIdentityTablesの向こう側に共有されません)。
8.8.2. The Reference Member
8.8.2. 参照メンバー
The property Member is inherited from MemberOfCollection and is overridden to refer to a PeerIdentityEntry instance. The [0..n] cardinality indicates that a PeerIdentityTable instance may be associated with zero or more PeerIdentityEntry instances.
特性のメンバーは、MemberOfCollectionから引き継がれて、PeerIdentityEntryインスタンスについて言及するためにくつがえされます。 [0..n]基数は、PeerIdentityTableインスタンスがゼロか、より多くのPeerIdentityEntryインスタンスに関連しているかもしれないのを示します。
8.9. The Association Class IKEServicePeerGateway
8.9. 協会のクラスIKEServicePeerGateway
The class IKEServicePeerGateway provides the association between an IKEService and the list of PeerGateway instances that it uses in negotiating with security gateways. The class definition for IKEServicePeerGateway is as follows:
クラスIKEServicePeerGatewayはそれがセキュリティゲートウェイと交渉する際に使用するPeerGatewayインスタンスのIKEServiceとリストとの協会を提供します。 IKEServicePeerGatewayのためのクラス定義は以下の通りです:
NAME IKEServicePeerGateway
DESCRIPTION Associates an IKEService and the list of PeerGateway
instances that it uses in negotiating with security
gateways.
DERIVED FROM Dependency (see [CIMCORE])
ABSTRACT FALSE
PROPERTIES Antecedent [ref PeerGateway[0..n]]
Dependent [ref IKEService[0..n]]
IKEServiceとPeerGatewayのリストが例証するそれがセキュリティゲートウェイと交渉する際に使用するNAME IKEServicePeerGateway記述Associates。 依存から派生している([CIMCORE]を見る)抽象的な誤った特性の前例[審判PeerGateway[0..n]]に依存しています。[審判IKEService[0..n]]
8.9.1. The Reference Antecedent
8.9.1. 参照前例
The property Antecedent is inherited from Dependency and is overridden to refer to a PeerGateway instance. The [0..n] cardinality indicates that an IKEService instance may be associated with zero or more PeerGateway instances.
特性のAntecedentは、Dependencyから引き継がれて、PeerGatewayインスタンスについて言及するためにくつがえされます。 [0..n]基数は、IKEServiceインスタンスがゼロか、より多くのPeerGatewayインスタンスに関連しているかもしれないのを示します。
Jason, et al. Standards Track [Page 72] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[72ページ]。
8.9.2. The Reference Dependent
8.9.2. 参照扶養家族
The property Dependent is inherited from Dependency and is overridden to refer to an IKEService instance. The [0..n] cardinality indicates that a PeerGateway instance may be associated with zero or more IKEService instances.
特性のDependentは、Dependencyから引き継がれて、IKEServiceインスタンスについて言及するためにくつがえされます。 [0..n]基数は、PeerGatewayインスタンスがゼロか、より多くのIKEServiceインスタンスに関連しているかもしれないのを示します。
8.10. The Association Class IKEServicePeerIdentityTable
8.10. 協会のクラスIKEServicePeerIdentityTable
The class IKEServicePeerIdentityTable provides the relationship between an IKEService and a PeerIdentityTable that it uses to map between addresses and identities as required. The class definition for IKEServicePeerIdentityTable is as follows:
クラスIKEServicePeerIdentityTableはそれが必要に応じてアドレスとアイデンティティの間の地図に使用するIKEServiceとPeerIdentityTableとの関係を提供します。 IKEServicePeerIdentityTableのためのクラス定義は以下の通りです:
NAME IKEServicePeerIdentityTable
DESCRIPTION IKEServicePeerIdentityTable provides the relationship
between an IKEService and a PeerIdentityTable that it
uses.
DERIVED FROM Dependency (see [CIMCORE])
ABSTRACT FALSE
PROPERTIES Antecedent [ref PeerIdentityTable[0..n]]
Dependent [ref IKEService[0..n]]
NAME IKEServicePeerIdentityTable記述IKEServicePeerIdentityTableはそれが使用するIKEServiceとPeerIdentityTableとの関係を提供します。 依存から派生している([CIMCORE]を見る)抽象的な誤った特性の前例[審判PeerIdentityTable[0..n]]に依存しています。[審判IKEService[0..n]]
8.10.1. The Reference Antecedent
8.10.1. 参照前例
The property Antecedent is inherited from Dependency and is overridden to refer to a PeerIdentityTable instance. The [0..n] cardinality indicates that an IKEService instance may be associated with zero or more PeerIdentityTable instances.
特性のAntecedentは、Dependencyから引き継がれて、PeerIdentityTableインスタンスについて言及するためにくつがえされます。 [0..n]基数は、IKEServiceインスタンスがゼロか、より多くのPeerIdentityTableインスタンスに関連しているかもしれないのを示します。
8.10.2. The Reference Dependent
8.10.2. 参照扶養家族
The property Dependent is inherited from Dependency and is overridden to refer to an IKEService instance. The [0..n] cardinality indicates that a PeerIdentityTable instance may be associated with zero or more IKEService instances.
特性のDependentは、Dependencyから引き継がれて、IKEServiceインスタンスについて言及するためにくつがえされます。 [0..n]基数は、PeerIdentityTableインスタンスがゼロか、より多くのIKEServiceインスタンスに関連しているかもしれないのを示します。
8.11. The Association Class IKEAutostartSetting
8.11. 協会のクラスIKEAutostartSetting
The class IKEAutostartSetting associates an AutostartIKESetting with an IKEService that may use it to automatically start an IKE negotiation or create a static SA. The class definition for IKEAutostartSetting is as follows:
クラスIKEAutostartSettingは自動的にIKE交渉を始めるか、または静的なSAを作成するのにそれを使用するかもしれないIKEServiceにAutostartIKESettingを関連づけます。 IKEAutostartSettingのためのクラス定義は以下の通りです:
NAME IKEAutostartSetting
DESCRIPTION Associates a AutostartIKESetting with an IKEService.
DERIVED FROM ElementSetting (see [CIMCORE])
ABSTRACT FALSE
名前IKEAutostartSetting記述はAutostartIKESettingをIKEServiceに関連づけます。 ElementSetting([CIMCORE]を見る)要約から、虚偽で派生します。
Jason, et al. Standards Track [Page 73] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[73ページ]。
PROPERTIES Element [ref IKEService[0..n]]
Setting [ref AutostartIKESetting[0..n]]
特性の要素[審判IKEService[0..n]]設定[審判AutostartIKESetting[0..n]]
8.11.1. The Reference Element
8.11.1. 参照要素
The property Element is inherited from ElementSetting and is overridden to refer to an IKEService instance. The [0..n] cardinality indicates an AutostartIKESetting instance may be associated with zero or more IKEService instances.
特性のElementは、ElementSettingから引き継がれて、IKEServiceインスタンスについて言及するためにくつがえされます。 [0..n]基数は、AutostartIKESettingインスタンスがゼロか、より多くのIKEServiceインスタンスに関連しているかもしれないのを示します。
8.11.2. The Reference Setting
8.11.2. 参照設定
The property Setting is inherited from ElementSetting and is overridden to refer to an AutostartIKESetting instance. The [0..n] cardinality indicates that an IKEService instance may be associated with zero or more AutostartIKESetting instances.
特性のSettingは、ElementSettingから引き継がれて、AutostartIKESettingインスタンスについて言及するためにくつがえされます。 [0..n]基数は、IKEServiceインスタンスがゼロか、より多くのAutostartIKESettingインスタンスに関連しているかもしれないのを示します。
8.12. The Aggregation Class AutostartIKESettingContext
8.12. 集合のクラスAutostartIKESettingContext
The class AutostartIKESettingContext aggregates the settings used to automatically start negotiations or create a static SA into a configuration set. The class definition for AutostartIKESettingContext is as follows:
クラスAutostartIKESettingContextは自動的に交渉に入るか、または静的なSAを作成するのに使用される設定を構成セットに集めます。 AutostartIKESettingContextのためのクラス定義は以下の通りです:
NAME AutostartIKESettingContext
DESCRIPTION AutostartIKESettingContext aggregates the
AutostartIKESetting instances into a configuration
set.
DERIVED FROM SystemSettingContext (see [CIMCORE])
ABSTRACT FALSE
PROPERTIES Context [ref AutostartIKEConfiguration [0..n]]
Setting [ref AutostartIKESetting [0..n]]
SequenceNumber
NAME AutostartIKESettingContext記述AutostartIKESettingContextは構成へのインスタンスが設定するAutostartIKESettingに集めます。 SystemSettingContext([CIMCORE]を見る)の抽象的な誤った特性の関係[審判AutostartIKEConfiguration[0..n]]設定[審判AutostartIKESetting[0..n]]SequenceNumberから、派生します。
8.12.1. The Reference Context
8.12.1. 参照文脈
The property Context is inherited from SystemSettingContext and is overridden to refer to an AutostartIKEConfiguration instance. The [0..n] cardinality indicates that an AutostartIKESetting instance may be associated with zero or more AutostartIKEConfiguration instances (i.e., a setting may be in multiple configuration sets).
特性のContextは、SystemSettingContextから引き継がれて、AutostartIKEConfigurationインスタンスについて言及するためにくつがえされます。 [0..n]基数は、AutostartIKESettingインスタンスがゼロか、より多くのAutostartIKEConfigurationインスタンスに関連しているかもしれないのを示します(複数の構成セットにすなわち、設定があるかもしれません)。
8.12.2. The Reference Setting
8.12.2. 参照設定
The property Setting is inherited from SystemSettingContext and is overridden to refer to an AutostartIKESetting instance. The [0..n] cardinality indicates that an AutostartIKEConfiguration instance may be associated with zero or more AutostartIKESetting instances.
特性のSettingは、SystemSettingContextから引き継がれて、AutostartIKESettingインスタンスについて言及するためにくつがえされます。 [0..n]基数は、AutostartIKEConfigurationインスタンスがゼロか、より多くのAutostartIKESettingインスタンスに関連しているかもしれないのを示します。
Jason, et al. Standards Track [Page 74] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[74ページ]。
8.12.3. The Property SequenceNumber
8.12.3. 特性のSequenceNumber
The property SequenceNumber specifies the ordering to be used when starting negotiations or creating a static SA. A zero value indicates that order is not significant and settings may be applied in parallel with other settings. All other settings in the configuration are executed in sequence from lower to higher values. Sequence numbers need not be unique in an AutostartIKEConfiguration and order is not significant for settings with the same sequence number. The property is defined as follows:
特性のSequenceNumberは、交渉に入るか、または静的なSAを作成するとき、使用されるために注文を指定します。 ゼロは、オーダーが重要でなく、設定が他の設定と平行して適用されるかもしれないのを示すのを評価します。 構成の他のすべての設定が連続して実行される、 より高い値に下ろしてください。 一連番号はAutostartIKEConfigurationでユニークである必要はありません、そして、設定には、オーダーは同じ一連番号のために重要ではありません。 特性は以下の通り定義されます:
NAME SequenceNumber
DESCRIPTION The sequence in which the settings are applied
within a configuration set.
SYNTAX unsigned 16-bit integer
NAME SequenceNumber記述、設定が適用されている系列は構成の中にセットしました。 SYNTAXの未署名の16ビットの整数
8.13. The Association Class IKEServiceForEndpoint
8.13. 協会のクラスIKEServiceForEndpoint
The class IKEServiceForEndpoint provides the association showing which IKE service, if any, provides IKE negotiation services for which network interfaces. The class definition for IKEServiceForEndpoint is as follows:
クラスIKEServiceForEndpointはもしあればどのIKEサービスがどのネットワーク・インターフェースのために交渉サービスをIKEに供給するかを示す協会を提供します。 IKEServiceForEndpointのためのクラス定義は以下の通りです:
NAME IKEServiceForEndpoint
DESCRIPTION Associates an IPProtocolEndpoint with an IKEService
that provides negotiation services for the endpoint.
DERIVED FROM Dependency (see [CIMCORE])
ABSTRACT FALSE
PROPERTIES Antecedent [ref IKEService[0..1]]
Dependent [ref IPProtocolEndpoint[0..n]]
NAME IKEServiceForEndpoint記述Associates、終点のための交渉サービスを提供するIKEServiceとIPProtocolEndpoint。 依存から派生している([CIMCORE]を見る)抽象的な誤った特性の前例[審判IKEService[0 .1]]に依存しています。[審判IPProtocolEndpoint[0..n]]
8.13.1. The Reference Antecedent
8.13.1. 参照前例
The property Antecedent is inherited from Dependency and is overridden to refer to an IKEService instance. The [0..1] cardinality indicates that an IPProtocolEndpoint instance MUST by associated with at most one IKEService instance.
特性のAntecedentは、Dependencyから引き継がれて、IKEServiceインスタンスについて言及するためにくつがえされます。 [0 .1]基数は、IPProtocolEndpointインスタンスが高々あるIKEServiceインスタンスに関連していた状態でそうしなければならないのを示します。
8.13.2. The Reference Dependent
8.13.2. 参照扶養家族
The property Dependent is inherited from Dependency and is overridden to refer to an IPProtocolEndpoint that is associated with at most one IKEService. The [0..n] cardinality indicates an IKEService instance may be associated with zero or more IPProtocolEndpoint instances.
特性のDependentは、Dependencyから引き継がれて、高々1IKEServiceしか関連していないIPProtocolEndpointについて言及するためにくつがえされます。 [0..n]基数は、IKEServiceインスタンスがゼロか、より多くのIPProtocolEndpointインスタンスに関連しているかもしれないのを示します。
Jason, et al. Standards Track [Page 75] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[75ページ]。
8.14. The Association Class IKEAutostartConfiguration
8.14. 協会のクラスIKEAutostartConfiguration
The class IKEAutostartConfiguration provides the relationship between an IKEService and a configuration set that it uses to automatically start a set of SAs. The class definition for IKEAutostartConfiguration is as follows:
クラスIKEAutostartConfigurationはそれが自動的にSAsの1セットを始動するのに使用するIKEServiceと構成セットとの関係を提供します。 IKEAutostartConfigurationのためのクラス定義は以下の通りです:
NAME IKEAutostartConfiguration
DESCRIPTION IKEAutostartConfiguration provides the relationship
between an IKEService and an
AutostartIKEConfiguration that it uses to
automatically start a set of SAs.
DERIVED FROM Dependency (see [CIMCORE])
ABSTRACT FALSE
PROPERTIES Antecedent [ref AutostartIKEConfiguration [0..n]]
Dependent [ref IKEService [0..n]]
Active
NAME IKEAutostartConfiguration記述IKEAutostartConfigurationはそれが自動的にSAsの1セットを始動するのに使用するIKEServiceとAutostartIKEConfigurationとの関係を提供します。 [審判AutostartIKEConfiguration[0..n]]扶養家族[審判IKEService[0..n]]依存([CIMCORE]を見る)の抽象的な誤った特性の前例からアクティブな状態で、引き出されます。
8.14.1. The Reference Antecedent
8.14.1. 参照前例
The property Antecedent is inherited from Dependency and is overridden to refer to an AutostartIKEConfiguration instance. The [0..n] cardinality indicates that an IKEService instance may be associated with zero or more AutostartIKEConfiguration instances.
特性のAntecedentは、Dependencyから引き継がれて、AutostartIKEConfigurationインスタンスについて言及するためにくつがえされます。 [0..n]基数は、IKEServiceインスタンスがゼロか、より多くのAutostartIKEConfigurationインスタンスに関連しているかもしれないのを示します。
8.14.2. The Reference Dependent
8.14.2. 参照扶養家族
The property Dependent is inherited from Dependency and is overridden to refer to an IKEService instance. The [0..n] cardinality indicates that an AutostartIKEConfiguration instance may be associated with zero or more IKEService instances.
特性のDependentは、Dependencyから引き継がれて、IKEServiceインスタンスについて言及するためにくつがえされます。 [0..n]基数は、AutostartIKEConfigurationインスタンスがゼロか、より多くのIKEServiceインスタンスに関連しているかもしれないのを示します。
8.14.3. The Property Active
8.14.3. 特性の能動態
The property Active indicates whether the AutostartIKEConfiguration set is currently active for the associated IKEService. That is, at boot time, the active configuration is used to automatically start IKE negotiations and create static SAs. The property is defined as follows:
特性のActiveは、関連IKEServiceに、AutostartIKEConfigurationセットが現在活動的であるかどうかを示します。 すなわち、ブート時間では、アクティブな構成は、自動的にIKE交渉を始めて、静的なSAsを作成するのに使用されます。 特性は以下の通り定義されます:
NAME Active
DESCRIPTION Active indicates whether the
AutostartIKEConfiguration set is currently active for
the associated IKEService.
SYNTAX boolean
NAME Active記述Activeは、関連IKEServiceに、AutostartIKEConfigurationセットが現在活動的であるかどうかを示します。 SYNTAX論理演算子
Jason, et al. Standards Track [Page 76] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[76ページ]。
VALUE true - AutostartIKEConfiguration is currently active
for associated IKEService.
false - AutostartIKEConfiguration is currently
inactive for associated IKEService.
本当に、関連IKEServiceには、AutostartIKEConfigurationは現在、アクティブです。VALUE、関連IKEServiceに、AutostartIKEConfigurationは現在、虚偽で、不活発です。
8.15. The Association Class IKEUsesCredentialManagementService
8.15. 協会のクラスIKEUsesCredentialManagementService
The class IKEUsesCredentialManagementService defines the set of CredentialManagementService(s) that are trusted sources of credentials for IKE phase 1 negotiations. The class definition for IKEUsesCredentialManagementService is as follows:
クラスIKEUsesCredentialManagementServiceはIKEフェーズ1交渉のために資格証明書の信頼できるソースであるCredentialManagementService(s)のセットを定義します。 IKEUsesCredentialManagementServiceのためのクラス定義は以下の通りです:
NAME IKEUsesCredentialManagementService
DESCRIPTION Associates the set of CredentialManagementService(s)
that are trusted by the IKEService as sources of
credentials used in IKE phase 1 negotiations.
DERIVED FROM Dependency (see [CIMCORE])
ABSTRACT FALSE
PROPERTIES Antecedent [ref CredentialManagementService [0..n]]
Dependent [ref IKEService [0..n]]
NAME IKEUsesCredentialManagementService記述Associates、資格証明書の源としてIKEServiceによって信じられるCredentialManagementService(s)のセットはIKEフェーズに1交渉を使用しました。 依存から派生している([CIMCORE]を見る)抽象的な誤った特性の前例[審判CredentialManagementService[0..n]]に依存しています。[審判IKEService[0..n]]
8.15.1. The Reference Antecedent
8.15.1. 参照前例
The property Antecedent is inherited from Dependency and is overridden to refer to a CredentialManagementService instance. The [0..n] cardinality indicates that an IKEService instance may be associated with zero or more CredentialManagementService instances.
特性のAntecedentは、Dependencyから引き継がれて、CredentialManagementServiceインスタンスについて言及するためにくつがえされます。 [0..n]基数は、IKEServiceインスタンスがゼロか、より多くのCredentialManagementServiceインスタンスに関連しているかもしれないのを示します。
8.15.2. The Reference Dependent
8.15.2. 参照扶養家族
The property Dependent is inherited from Dependency and is overridden to refer to an IKEService instance. The [0..n] cardinality indicates that a CredentialManagementService instance may be associated with zero or more IKEService instances.
特性のDependentは、Dependencyから引き継がれて、IKEServiceインスタンスについて言及するためにくつがえされます。 [0..n]基数は、CredentialManagementServiceインスタンスがゼロか、より多くのIKEServiceインスタンスに関連しているかもしれないのを示します。
8.16. The Association Class EndpointHasLocalIKEIdentity
8.16. 協会のクラスEndpointHasLocalIKEIdentity
The class EndpointHasLocalIKEIdentity associates an IPProtocolEndpoint with a set of IKEIdentity instances that may be used in negotiating security associations on the endpoint. An IKEIdentity MUST be associated with either an IPProtocolEndpoint using this association or with a collection of IKEIdentity instances using the CollectionHasLocalIKEIdentity association. The class definition for EndpointHasLocalIKEIdentity is as follows:
クラスEndpointHasLocalIKEIdentityは終点に関してセキュリティ協会を交渉する際に使用されるかもしれない1セットのIKEIdentityインスタンスにIPProtocolEndpointを関連づけます。 IKEIdentityはこの協会を使用するIPProtocolEndpointかCollectionHasLocalIKEIdentity協会を使用するIKEIdentityインスタンスの収集に関連しているに違いありません。 EndpointHasLocalIKEIdentityのためのクラス定義は以下の通りです:
Jason, et al. Standards Track [Page 77] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[77ページ]。
NAME EndpointHasLocalIKEIdentity
DESCRIPTION EndpointHasLocalIKEIdentity associates an
IPProtocolEndpoint with a set of IKEIdentity
instances.
DERIVED FROM ElementAsUser (see [CIMUSER])
ABSTRACT FALSE
PROPERTIES Antecedent [ref IPProtocolEndpoint [0..1]]
Dependent [ref IKEIdentity [0..n]]
NAME EndpointHasLocalIKEIdentity記述EndpointHasLocalIKEIdentityは1セットのIKEIdentityインスタンスにIPProtocolEndpointを関連づけます。 ElementAsUserから派生している([CIMUSER]を見る)抽象的な誤った特性の前例[審判IPProtocolEndpoint[0 .1]]に依存しています。[審判IKEIdentity[0..n]]
8.16.1. The Reference Antecedent
8.16.1. 参照前例
The property Antecedent is inherited from ElementAsUser and is overridden to refer to an IPProtocolEndpoint instance. The [0..1] cardinality indicates that an IKEIdentity instance MUST be associated with at most one IPProtocolEndpoint instance.
特性のAntecedentは、ElementAsUserから引き継がれて、IPProtocolEndpointインスタンスについて言及するためにくつがえされます。 [0 .1]基数は、IKEIdentityインスタンスが高々1つのIPProtocolEndpointインスタンスしか関連しているはずがないのを示します。
8.16.2. The Reference Dependent
8.16.2. 参照扶養家族
The property Dependent is inherited from ElementAsUser and is overridden to refer to an IKEIdentity instance. The [0..n] cardinality indicates that an IPProtocolEndpoint instance may be associated with zero or more IKEIdentity instances.
特性のDependentは、ElementAsUserから引き継がれて、IKEIdentityインスタンスについて言及するためにくつがえされます。 [0..n]基数は、IPProtocolEndpointインスタンスがゼロか、より多くのIKEIdentityインスタンスに関連しているかもしれないのを示します。
8.17. The Association Class CollectionHasLocalIKEIdentity
8.17. 協会のクラスCollectionHasLocalIKEIdentity
The class CollectionHasLocalIKEIdentity associates a Collection of IPProtocolEndpoint instances with a set of IKEIdentity instances that may be used in negotiating SAs for endpoints in the collection. An IKEIdentity MUST be associated with either an IPProtocolEndpoint using the EndpointHasLocalIKEIdentity association or with a collection of IKEIdentity instances using this association. The class definition for CollectionHasLocalIKEIdentity is as follows:
クラスCollectionHasLocalIKEIdentityは収集における終点とSAsを交渉する際に使用されるかもしれない1セットのIKEIdentityインスタンスにIPProtocolEndpointインスタンスのCollectionを関連づけます。 IKEIdentityはEndpointHasLocalIKEIdentity協会を使用するIPProtocolEndpointかこの協会を使用するIKEIdentityインスタンスの収集に関連しているに違いありません。 CollectionHasLocalIKEIdentityのためのクラス定義は以下の通りです:
NAME CollectionHasLocalIKEIdentity
DESCRIPTION CollectionHasLocalIKEIdentity associates a collection
of IPProtocolEndpoint instances with a set of
IKEIdentity instances.
DERIVED FROM ElementAsUser (see [CIMUSER])
ABSTRACT FALSE
PROPERTIES Antecedent [ref Collection [0..1]]
Dependent [ref IKEIdentity [0..n]]
NAME CollectionHasLocalIKEIdentity記述CollectionHasLocalIKEIdentityは1セットのIKEIdentityインスタンスがあるIPProtocolEndpointインスタンスの収集を関連づけます。 ElementAsUserから派生している([CIMUSER]を見る)抽象的な誤った特性の前例[審判収集[0 .1]]に依存しています。[審判IKEIdentity[0..n]]
8.17.1. The Reference Antecedent
8.17.1. 参照前例
The property Antecedent is inherited from ElementAsUser and is overridden to refer to a Collection instance. The [0..1] cardinality indicates that an IKEIdentity instance MUST be associated with at most one Collection instance.
特性のAntecedentは、ElementAsUserから引き継がれて、Collectionインスタンスについて言及するためにくつがえされます。 [0 .1]基数は、IKEIdentityインスタンスが高々1つのCollectionインスタンスしか関連しているはずがないのを示します。
Jason, et al. Standards Track [Page 78] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[78ページ]。
8.17.2. The Reference Dependent
8.17.2. 参照扶養家族
The property Dependent is inherited from ElementAsUser and is overridden to refer to an IKEIdentity instance. The [0..n] cardinality indicates that a Collection instance may be associated with zero or more IKEIdentity instances.
特性のDependentは、ElementAsUserから引き継がれて、IKEIdentityインスタンスについて言及するためにくつがえされます。 [0..n]基数は、Collectionインスタンスがゼロか、より多くのIKEIdentityインスタンスに関連しているかもしれないのを示します。
8.18. The Association Class IKEIdentitysCredential
8.18. 協会のクラスIKEIdentitysCredential
The class IKEIdentitysCredential is an association that relates a set of credentials to their corresponding local IKE Identities. The class definition for IKEIdentitysCredential is as follows:
クラスIKEIdentitysCredentialは対応する地元のIKE Identitiesに1セットの資格証明書に関連する協会です。 IKEIdentitysCredentialのためのクラス定義は以下の通りです:
NAME IKEIdentitysCredential
DESCRIPTION IKEIdentitysCredential associates a set of
credentials to their corresponding local IKEIdentity.
DERIVED FROM UsersCredential (see [CIMCORE])
ABSTRACT FALSE
PROPERTIES Antecedent [ref Credential [0..n]]
Dependent [ref IKEIdentity [0..n]]
NAME IKEIdentitysCredential記述IKEIdentitysCredentialは1セットの資格証明書を対応する地元のIKEIdentityに関連づけます。 UsersCredentialから派生している([CIMCORE]を見る)抽象的な誤った特性の前例[審判資格証明書[0..n]]に依存しています。[審判IKEIdentity[0..n]]
8.18.1. The Reference Antecedent
8.18.1. 参照前例
The property Antecedent is inherited from UsersCredential and is overridden to refer to a Credential instance. The [0..n] cardinality indicates that the IKEIdentity instance may be associated with zero or more Credential instances.
特性のAntecedentは、UsersCredentialから引き継がれて、Credentialインスタンスについて言及するためにくつがえされます。 [0..n]基数は、IKEIdentityインスタンスがゼロか、より多くのCredentialインスタンスに関連しているかもしれないのを示します。
8.18.2. The Reference Dependent
8.18.2. 参照扶養家族
The property Dependent is inherited from UsersCredential and is overridden to refer to an IKEIdentity instance. The [0..n] cardinality indicates that a Credential instance may be associated with zero or more IKEIdentity instances.
特性のDependentは、UsersCredentialから引き継がれて、IKEIdentityインスタンスについて言及するためにくつがえされます。 [0..n]基数は、Credentialインスタンスがゼロか、より多くのIKEIdentityインスタンスに関連しているかもしれないのを示します。
9. Implementation Requirements
9. 実装要件
The following table specifies which classes, properties, associations and aggregations MUST or SHOULD or MAY be implemented.
以下のテーブルは、クラス、特性、協会、および集合がそうしなければならないものかSHOULDを指定するか、または実装されるかもしれません。
4. Policy Classes 4.1. The Class SARule..........................................MUST 4.1.1. The Property PolicyRuleName..............................MAY 4.1.1. The Property Enabled....................................MUST 4.1.1. The Property ConditionListType..........................MUST 4.1.1. The Property RuleUsage...................................MAY 4.1.1. The Property Mandatory...................................MAY 4.1.1. The Property SequencedActions...........................MUST
4. 方針のクラス4.1。 クラスSARule…必須4.1.1。 特性のPolicyRuleName…4.1にそうするかもしれません。.1。 可能にされた特性…必須4.1.1。 特性のConditionListType…必須4.1.1。 特性のRuleUsage…4.1にそうするかもしれません。.1。 特性の義務的…4.1にそうするかもしれません。.1。 特性のSequencedActions…必須
Jason, et al. Standards Track [Page 79] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[79ページ]。
4.1.1. The Property PolicyRoles.................................MAY 4.1.1. The Property PolicyDecisionStrategy......................MAY 4.1.2 The Property ExecutionStrategy..........................MUST 4.1.3 The Property LimitNegotiation............................MAY 4.2. The Class IKERule.........................................MUST 4.2.1. The Property IdentityContexts............................MAY 4.3. The Class IPsecRule.......................................MUST 4.4. The Association Class IPsecPolicyForEndpoint...............MAY 4.4.1. The Reference Antecedent................................MUST 4.4.2. The Reference Dependent.................................MUST 4.5. The Association Class IPsecPolicyForSystem.................MAY 4.5.1. The Reference Antecedent................................MUST 4.5.2. The Reference Dependent.................................MUST 4.6. The Aggregation Class SAConditionInRule...................MUST 4.6.1. The Property GroupNumber..............................SHOULD 4.6.1. The Property ConditionNegated.........................SHOULD 4.6.2. The Reference GroupComponent............................MUST 4.6.3. The Reference PartComponent.............................MUST 4.7. The Aggregation Class PolicyActionInSARule................MUST 4.7.1. The Reference GroupComponent............................MUST 4.7.2. The Reference PartComponent.............................MUST 4.7.3. The Property ActionOrder..............................SHOULD 5. Condition and Filter Classes 5.1. The Class SACondition.....................................MUST 5.2. The Class IPHeadersFilter...............................SHOULD 5.3. The Class CredentialFilterEntry............................MAY 5.3.1. The Property MatchFieldName.............................MUST 5.3.2. The Property MatchFieldValue............................MUST 5.3.3. The Property CredentialType.............................MUST 5.4. The Class IPSOFilterEntry..................................MAY 5.4.1. The Property MatchConditionType.........................MUST 5.4.2. The Property MatchConditionValue........................MUST 5.5. The Class PeerIDPayloadFilterEntry.........................MAY 5.5.1. The Property MatchIdentityType..........................MUST 5.5.2. The Property MatchIdentityValue.........................MUST 5.6. The Association Class FilterOfSACondition...............SHOULD 5.6.1. The Reference Antecedent................................MUST 5.6.2. The Reference Dependent.................................MUST 5.7. The Association Class AcceptCredentialFrom.................MAY 5.7.1. The Reference Antecedent................................MUST 5.7.2. The Reference Dependent.................................MUST 6. Action Classes 6.1. The Class SAAction........................................MUST 6.1.1. The Property DoActionLogging.............................MAY 6.1.2. The Property DoPacketLogging.............................MAY 6.2. The Class SAStaticAction..................................MUST 6.2.1. The Property LifetimeSeconds............................MUST 6.3. The Class IPsecBypassAction.............................SHOULD
4.1.1. 特性のPolicyRoles…4.1にそうするかもしれません。.1。 特性のPolicyDecisionStrategy…4.1 .2 特性のExecutionStrategy…であるかもしれない4.1 .3 特性のLimitNegotiation…でなければならない4.2はそうするかもしれません。 クラスIKERule…必須4.2.1。 特性のIdentityContexts…4.3はそうするかもしれません。 クラスIPsecRule…4.4にそうしなければなりません。 協会のクラスIPsecPolicyForEndpoint…4.4にそうするかもしれません。.1。 参照前例…必須4.4.2。 参照扶養家族…4.5にそうしなければなりません。 協会のクラスIPsecPolicyForSystem…4.5にそうするかもしれません。.1。 参照前例…必須4.5.2。 参照扶養家族…4.6にそうしなければなりません。 集合のクラスSAConditionInRule…必須4.6.1。 特性のGroupNumber…4.6にそうするべきです。.1。 特性のConditionNegated…4.6にそうするべきです。.2。 参照GroupComponent…必須4.6.3。 参照PartComponent…4.7にそうしなければなりません。 集合のクラスPolicyActionInSARule…必須4.7.1。 参照GroupComponent…必須4.7.2。 参照PartComponent…必須4.7.3。 特性のActionOrder…5はそうするべきです。 クラス5.1を条件として、フィルターにかけてください。 クラスSACondition…5.2にそうしなければなりません。 クラスIPHeadersFilter…5.3はそうするべきです。 クラスCredentialFilterEntry…5.3にそうするかもしれません。.1。 特性のMatchFieldName…必須5.3.2。 特性のMatchFieldValue…必須5.3.3。 特性のCredentialType…5.4にそうしなければなりません。 クラスIPSOFilterEntry…5.4にそうするかもしれません。.1。 特性のMatchConditionType…必須5.4.2。 特性のMatchConditionValue…5.5にそうしなければなりません。 クラスPeerIDPayloadFilterEntry…5.5にそうするかもしれません。.1。 特性のMatchIdentityType…必須5.5.2。 特性のMatchIdentityValue…5.6にそうしなければなりません。 協会のクラスFilterOfSACondition…5.6にそうするべきです。.1。 参照前例…必須5.6.2。 参照扶養家族…5.7にそうしなければなりません。 協会のクラスAcceptCredentialFrom…5.7にそうするかもしれません。.1。 参照前例…必須5.7.2。 参照扶養家族…6にそうしなければなりません。 動作は6.1を分類します。 クラスSAAction…必須6.1.1。 特性のDoActionLogging…6.1にそうするかもしれません。.2。 特性のDoPacketLogging…6.2はそうするかもしれません。 クラスSAStaticAction…必須6.2.1。 特性のLifetimeSeconds…6.3にそうしなければなりません。 クラスIPsecBypassAction…should
Jason, et al. Standards Track [Page 80] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[80ページ]。
6.4. The Class IPsecDiscardAction............................SHOULD 6.5. The Class IKERejectAction..................................MAY 6.6. The Class PreconfiguredSAAction...........................MUST 6.6.1. The Property LifetimeKilobytes..........................MUST 6.7. The Class PreconfiguredTransportAction....................MUST 6.8. The Class PreconfiguredTunnelAction.......................MUST 6.8.1. The Property DFHandling.................................MUST 6.9. The Class SANegotiationAction.............................MUST 6.10. The Class IKENegotiationAction...........................MUST 6.10.1. The Property MinLifetimeSeconds.........................MAY 6.10.2. The Property MinLifetimeKilobytes.......................MAY 6.10.3. The Property IdleDurationSeconds........................MAY 6.11. The Class IPsecAction....................................MUST 6.11.1. The Property UsePFS....................................MUST 6.11.2. The Property UseIKEGroup................................MAY 6.11.3. The Property GroupId...................................MUST 6.11.4. The Property Granularity.............................SHOULD 6.11.5. The Property VendorID...................................MAY 6.12. The Class IPsecTransportAction...........................MUST 6.13. The Class IPsecTunnelAction..............................MUST 6.13.1. The Property DFHandling................................MUST 6.14. The Class IKEAction......................................MUST 6.14.1. The Property ExchangeMode ............................MUST 6.14.2. The Property UseIKEIdentityType........................MUST 6.14.3. The Property VendorID...................................MAY 6.14.4. The Property AggressiveModeGroupId......................MAY 6.15. The Class PeerGateway....................................MUST 6.15.1. The Property Name....................................SHOULD 6.15.2. The Property PeerIdentityType..........................MUST 6.15.3. The Property PeerIdentity..............................MUST 6.16. The Association Class PeerGatewayForTunnel...............MUST 6.16.1. The Reference Antecedent...............................MUST 6.16.2. The Reference Dependent................................MUST 6.16.3. The Property SequenceNumber..........................SHOULD 6.17. The Aggregation Class ContainedProposal..................MUST 6.17.1. The Reference GroupComponent...........................MUST 6.17.2. The Reference PartComponent............................MUST 6.17.3. The Property SequenceNumber............................MUST 6.18. The Association Class HostedPeerGatewayInformation........MAY 6.18.1. The Reference Antecedent...............................MUST 6.18.2. The Reference Dependent................................MUST 6.19. The Association Class TransformOfPreconfiguredAction.....MUST 6.19.1. The Reference Antecedent...............................MUST 6.19.2. The Reference Dependent................................MUST 6.19.3. The Property SPI.......................................MUST 6.19.4. The Property Direction.................................MUST 6.20. The Association Class PeerGatewayForPreconfiguredTunnel..MUST 6.20.1. The Reference Antecedent...............................MUST
6.4. クラスIPsecDiscardAction…6.5はそうするべきです。 クラスIKERejectAction…6.6はそうするかもしれません。 クラスPreconfiguredSAAction…必須6.6.1。 特性のLifetimeKilobytes…6.7にそうしなければなりません。 クラスPreconfiguredTransportAction…6.8にそうしなければなりません。 クラスPreconfiguredTunnelAction…必須6.8.1。 特性のDFHandling…6.9にそうしなければなりません。 クラスSANegotiationAction…6.10にそうしなければなりません。 クラスIKENegotiationAction…必須6.10.1。 特性のMinLifetimeSeconds…6.10にそうするかもしれません。.2。 特性のMinLifetimeKilobytes…6.10にそうするかもしれません。.3。 特性のIdleDurationSeconds…6.11はそうするかもしれません。 クラスIPsecAction…必須6.11.1。 特性のUsePFS…必須6.11.2。 特性のUseIKEGroup…6.11にそうするかもしれません。.3。 特性のGroupId…必須6.11.4。 特性の粒状…6.11にそうするべきです。.5。 特性のVendorID…6.12はそうするかもしれません。 クラスIPsecTransportAction…6.13にそうしなければなりません。 クラスIPsecTunnelAction…必須6.13.1。 特性のDFHandling…6.14にそうしなければなりません。 クラスIKEAction…必須6.14.1。 特性のExchangeMode…必須6.14.2。 特性のUseIKEIdentityType…必須6.14.3。 特性のVendorID…6.14にそうするかもしれません。.4。 特性のAggressiveModeGroupId…6.15はそうするかもしれません。 クラスPeerGateway…必須6.15.1。 特性の名…6.15にそうするべきです。.2。 特性のPeerIdentityType…必須6.15.3。 特性のPeerIdentity…6.16にそうしなければなりません。 協会のクラスPeerGatewayForTunnel…必須6.16.1。 参照前例…必須6.16.2。 参照扶養家族…必須6.16.3。 特性のSequenceNumber…6.17はそうするべきです。 集合のクラスContainedProposal…必須6.17.1。 参照GroupComponent…必須6.17.2。 参照PartComponent…必須6.17.3。 特性のSequenceNumber…6.18にそうしなければなりません。 協会のクラスHostedPeerGatewayInformation…6.18にそうするかもしれません。.1。 参照前例…必須6.18.2。 参照扶養家族…6.19にそうしなければなりません。 協会のクラスTransformOfPreconfiguredAction…必須6.19.1。 参照前例…必須6.19.2。 参照扶養家族…必須6.19.3。 特性のSPI…必須6.19.4。 特性の方向…6.20にそうしなければなりません。 協会のクラスPeerGatewayForPreconfiguredTunnel。必須6.20.1。 参照前例…必須
Jason, et al. Standards Track [Page 81] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[81ページ]。
6.20.2. The Reference Dependent................................MUST 7. Proposal and Transform Classes 7.1. The Abstract Class SAProposal.............................MUST 7.1.1. The Property Name.....................................SHOULD 7.2 The Class IKEProposal......................................MUST 7.2.1. The Property CipherAlgorithm............................MUST 7.2.2. The Property HashAlgorithm..............................MUST 7.2.3. The Property PRFAlgorithm................................MAY 7.2.4. The Property GroupId....................................MUST 7.2.5. The Property AuthenticationMethod.......................MUST 7.2.6. The Property MaxLifetimeSeconds.........................MUST 7.2.7. The Property MaxLifetimeKilobytes.......................MUST 7.2.8. The Property VendorID....................................MAY 7.3. The Class IPsecProposal...................................MUST 7.4. The Abstract Class SATransform............................MUST 7.4.1. The Property TransformName............................SHOULD 7.4.2. The Property VendorID....................................MAY 7.4.3. The Property MaxLifetimeSeconds.........................MUST 7.4.4. The Property MaxLifetimeKilobytes.......................MUST 7.5. The Class AHTransform.....................................MUST 7.5.1. The Property AHTransformId..............................MUST 7.5.2. The Property UseReplayPrevention.........................MAY 7.5.3. The Property ReplayPreventionWindowSize..................MAY 7.6. The Class ESPTransform....................................MUST 7.6.1. The Property IntegrityTransformId.......................MUST 7.6.2. The Property CipherTransformId..........................MUST 7.6.3. The Property CipherKeyLength.............................MAY 7.6.4. The Property CipherKeyRounds.............................MAY 7.6.5. The Property UseReplayPrevention.........................MAY 7.6.6. The Property ReplayPreventionWindowSize..................MAY 7.7. The Class IPCOMPTransform..................................MAY 7.7.1. The Property Algorithm..................................MUST 7.7.2. The Property DictionarySize..............................MAY 7.7.3. The Property PrivateAlgorithm............................MAY 7.8. The Association Class SAProposalInSystem...................MAY 7.8.1. The Reference Antecedent................................MUST 7.8.2. The Reference Dependent.................................MUST 7.9. The Aggregation Class ContainedTransform..................MUST 7.9.1. The Reference GroupComponent............................MUST 7.9.2. The Reference PartComponent.............................MUST 7.9.3. The Property SequenceNumber.............................MUST 7.10. The Association Class SATransformInSystem.................MAY 7.10.1. The Reference Antecedent...............................MUST 7.10.2. The Reference Dependent................................MUST 8. IKE Service and Identity Classes 8.1. The Class IKEService.......................................MAY 8.2. The Class PeerIdentityTable................................MAY 8.3.1. The Property Name.....................................SHOULD
6.20.2. 参照扶養家族…7にそうしなければなりません。 提案と変換は7.1を分類します。 抽象クラスSAProposal…必須7.1.1。 特性の名…7.2 クラスIKEProposal…であるべきです必須7.2.1。 特性のCipherAlgorithm…必須7.2.2。 特性のHashAlgorithm…必須7.2.3。 特性のPRFAlgorithm…7.2にそうするかもしれません。.4。 特性のGroupId…必須7.2.5。 特性のAuthenticationMethod…必須7.2.6。 特性のMaxLifetimeSeconds…必須7.2.7。 特性のMaxLifetimeKilobytes…必須7.2.8。 特性のVendorID…7.3はそうするかもしれません。 クラスIPsecProposal…7.4にそうしなければなりません。 抽象クラスSATransform…必須7.4.1。 特性のTransformName…7.4にそうするべきです。.2。 特性のVendorID…7.4にそうするかもしれません。.3。 特性のMaxLifetimeSeconds…必須7.4.4。 特性のMaxLifetimeKilobytes…7.5にそうしなければなりません。 クラスAHTransform…必須7.5.1。 特性のAHTransformId…必須7.5.2。 特性のUseReplayPrevention…7.5にそうするかもしれません。.3。 特性のReplayPreventionWindowSize…7.6はそうするかもしれません。 クラスESPTransform…必須7.6.1。 特性のIntegrityTransformId…必須7.6.2。 特性のCipherTransformId…必須7.6.3。 特性のCipherKeyLength…7.6にそうするかもしれません。.4。 特性のCipherKeyRounds…7.6にそうするかもしれません。.5。 特性のUseReplayPrevention…7.6にそうするかもしれません。.6。 特性のReplayPreventionWindowSize…7.7はそうするかもしれません。 クラスIPCOMPTransform…7.7にそうするかもしれません。.1。 特性のアルゴリズム…必須7.7.2。 特性のDictionarySize…7.7にそうするかもしれません。.3。 特性のPrivateAlgorithm…7.8はそうするかもしれません。 協会のクラスSAProposalInSystem…7.8にそうするかもしれません。.1。 参照前例…必須7.8.2。 参照扶養家族…7.9にそうしなければなりません。 集合のクラスContainedTransform…必須7.9.1。 参照GroupComponent…必須7.9.2。 参照PartComponent…必須7.9.3。 特性のSequenceNumber…7.10にそうしなければなりません。 協会のクラスSATransformInSystem…7.10にそうするかもしれません。.1。 参照前例…必須7.10.2。 参照扶養家族…8にそうしなければなりません。 IKEサービスとアイデンティティは8.1を分類します。 クラスIKEService…8.2はそうするかもしれません。 クラスPeerIdentityTable…8.3にそうするかもしれません。.1。 特性の名…should
Jason, et al. Standards Track [Page 82] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[82ページ]。
8.3. The Class PeerIdentityEntry................................MAY 8.3.1. The Property PeerIdentity.............................SHOULD 8.3.2. The Property PeerIdentityType.........................SHOULD 8.3.3. The Property PeerAddress..............................SHOULD 8.3.4. The Property PeerAddressType..........................SHOULD 8.4. The Class AutostartIKEConfiguration........................MAY 8.5. The Class AutostartIKESetting..............................MAY 8.5.1. The Property Phase1Only..................................MAY 8.5.2. The Property AddressType..............................SHOULD 8.5.3. The Property SourceAddress..............................MUST 8.5.4. The Property SourcePort.................................MUST 8.5.5. The Property DestinationAddress.........................MUST 8.5.6. The Property DestinationPort............................MUST 8.5.7. The Property Protocol...................................MUST 8.6. The Class IKEIdentity......................................MAY 8.6.1. The Property IdentityType...............................MUST 8.6.2. The Property IdentityValue..............................MUST 8.6.3. The Property IdentityContexts............................MAY 8.7. The Association Class HostedPeerIdentityTable..............MAY 8.7.1. The Reference Antecedent................................MUST 8.7.2. The Reference Dependent.................................MUST 8.8. The Aggregation Class PeerIdentityMember...................MAY 8.8.1. The Reference Collection................................MUST 8.8.2. The Reference Member....................................MUST 8.9. The Association Class IKEServicePeerGateway................MAY 8.9.1. The Reference Antecedent................................MUST 8.9.2. The Reference Dependent.................................MUST 8.10. The Association Class IKEServicePeerIdentityTable.........MAY 8.10.1. The Reference Antecedent...............................MUST 8.10.2. The Reference Dependent................................MUST 8.11. The Association Class IKEAutostartSetting.................MAY 8.11.1. The Reference Element..................................MUST 8.11.2. The Reference Setting..................................MUST 8.12. The Aggregation Class AutostartIKESettingContext..........MAY 8.12.1. The Reference Context..................................MUST 8.12.2. The Reference Setting..................................MUST 8.12.3. The Property SequenceNumber..........................SHOULD 8.13. The Association Class IKEServiceForEndpoint...............MAY 8.13.1. The Reference Antecedent...............................MUST 8.13.2. The Reference Dependent................................MUST 8.14. The Association Class IKEAutostartConfiguration...........MAY 8.14.1. The Reference Antecedent...............................MUST 8.14.2. The Reference Dependent................................MUST 8.14.3. The Property Active..................................SHOULD 8.15. The Association Class IKEUsesCredentialManagementService..MAY 8.15.1. The Reference Antecedent...............................MUST 8.15.2. The Reference Dependent................................MUST 8.16. The Association Class EndpointHasLocalIKEIdentity.........MAY
8.3. クラスPeerIdentityEntry…8.3にそうするかもしれません。.1。 特性のPeerIdentity…8.3にそうするべきです。.2。 特性のPeerIdentityType…8.3にそうするべきです。.3。 特性のPeerAddress…8.3にそうするべきです。.4。 特性のPeerAddressType…8.4はそうするべきです。 クラスAutostartIKEConfiguration…8.5はそうするかもしれません。 クラスAutostartIKESetting…8.5にそうするかもしれません。.1。 特性のPhase1専用…8.5にそうするかもしれません。.2。 特性のAddressType…8.5にそうするべきです。.3。 特性のSourceAddress…必須8.5.4。 特性のSourcePort…必須8.5.5。 特性のDestinationAddress…必須8.5.6。 特性のDestinationPort…必須8.5.7。 特性のプロトコル…8.6にそうしなければなりません。 クラスIKEIdentity…8.6にそうするかもしれません。.1。 特性のIdentityType…必須8.6.2。 特性のIdentityValue…必須8.6.3。 特性のIdentityContexts…8.7はそうするかもしれません。 協会のクラスHostedPeerIdentityTable…8.7にそうするかもしれません。.1。 参照前例…必須8.7.2。 参照扶養家族…8.8にそうしなければなりません。 集合のクラスPeerIdentityMember…8.8にそうするかもしれません。.1。 参照収集…必須8.8.2。 参照メンバー…8.9にそうしなければなりません。 協会のクラスIKEServicePeerGateway…8.9にそうするかもしれません。.1。 参照前例…必須8.9.2。 参照扶養家族…8.10にそうしなければなりません。 協会のクラスIKEServicePeerIdentityTable…8.10にそうするかもしれません。.1。 参照前例…必須8.10.2。 参照扶養家族…8.11にそうしなければなりません。 協会のクラスIKEAutostartSetting…8.11にそうするかもしれません。.1。 参照要素…必須8.11.2。 参照設定…8.12にそうしなければなりません。 集合のクラスAutostartIKESettingContext…8.12にそうするかもしれません。.1。 参照文脈…必須8.12.2。 参照設定…必須8.12.3。 特性のSequenceNumber…8.13はそうするべきです。 協会のクラスIKEServiceForEndpoint…8.13にそうするかもしれません。.1。 参照前例…必須8.13.2。 参照扶養家族…8.14にそうしなければなりません。 協会のクラスIKEAutostartConfiguration…8.14にそうするかもしれません。.1。 参照前例…必須8.14.2。 参照扶養家族…必須8.14.3。 特性の能動態…8.15はそうするべきです。 協会のクラスIKEUsesCredentialManagementService。8.15にそうするかもしれません。.1。 参照前例…必須8.15.2。 参照扶養家族…8.16にそうしなければなりません。 協会のクラスEndpointHasLocalIKEIdentity…5月
Jason, et al. Standards Track [Page 83] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[83ページ]。
8.16.1. The Reference Antecedent...............................MUST 8.16.2. The Reference Dependent................................MUST 8.17. The Association Class CollectionHasLocalIKEIdentity.......MAY 8.17.1. The Reference Antecedent...............................MUST 8.17.2. The Reference Dependent................................MUST 8.18. The Association Class IKEIdentitysCredential..............MAY 8.18.1. The Reference Antecedent...............................MUST 8.18.2. The Reference Dependent................................MUST
8.16.1. 参照前例…必須8.16.2。 参照扶養家族…8.17にそうしなければなりません。 協会のクラスCollectionHasLocalIKEIdentity…8.17にそうするかもしれません。.1。 参照前例…必須8.17.2。 参照扶養家族…8.18にそうしなければなりません。 協会のクラスIKEIdentitysCredential…8.18にそうするかもしれません。.1。 参照前例…必須8.18.2。 参照扶養家族…必須
10. Security Considerations
10. セキュリティ問題
This document only describes an information model for IPsec policy. It does not detail security requirements for storage or delivery of said information.
このドキュメントはIPsec方針のために情報モデルについて説明するだけです。 それは前述の情報のストレージか配送のためのセキュリティ要件を詳しく述べません。
Physical models derived from this information model MUST implement the relevant security for storage and delivery. Most of the classes (e.g., IpHeadersFilter, SAAction,...) MUST at least provided the integrity service; other pieces of information MUST also receive the confidentiality service (e.g., SharedSecret as described in the classes PeerIdentityEntry and PreconfiguredSAAction).
この情報モデルから得られた物理的なモデルはストレージと配送のために関連セキュリティを実装しなければなりません。 クラス(例えば、IpHeadersFilter、SAAction)の大部分 保全サービスであるなら少なくともそうしなければなりません。 また、他の情報は秘密性サービス(例えばクラスのPeerIdentityEntryとPreconfiguredSAActionで説明されるSharedSecret)を受けなければなりません。
11. Intellectual Property Statement
11. 知的所有権声明
The IETF takes no position regarding the validity or scope of any intellectual property or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; neither does it represent that it has made any effort to identify any such rights. Information on the IETF's procedures with respect to rights in standards-track and standards-related documentation can be found in BCP-11.
IETFはどんな知的所有権の正当性か範囲、実装に関係すると主張されるかもしれない他の権利、本書では説明された技術の使用またはそのような権利の下におけるどんなライセンスも利用可能であるかもしれない、または利用可能でないかもしれない範囲に関しても立場を全く取りません。 どちらも、それはそれを表しません。どんなそのような権利も特定するためにいずれも取り組みにしました。 BCP-11で標準化過程の権利と規格関連のドキュメンテーションに関するIETFの手順に関する情報を見つけることができます。
Copies of claims of rights made available for publication and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF Secretariat.
権利のクレームのコピーで利用可能に作られるべきライセンスの保証、または一般的なライセンスか許可がimplementersによるそのような所有権の使用に得させられた試みの結果が公表といずれにも利用可能になったか、またはIETF事務局からこの仕様のユーザを得ることができます。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights which may cover technology that may be required to practice this standard. Please address the information to the IETF Executive Director.
IETFはこの規格を練習するのに必要であるかもしれない技術をカバーするかもしれないどんな著作権もその注目していただくどんな利害関係者、特許、特許出願、または他の所有権も招待します。 IETF専務に情報を扱ってください。
Jason, et al. Standards Track [Page 84] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[84ページ]。
12. References
12. 参照
12.1. Normative References
12.1. 引用規格
[COMP] Shacham, A., Monsour, B., Pereira, R. and M. Thomas, "IP
Payload Compression Protocol (IPComp)", RFC 3173,
September 2001.
[コンピュータ]ShachamとA.とMonsourとB.とペレイラとR.とM.トーマス、「IP有効搭載量圧縮プロトコル(IPComp)」、RFC3173 2001年9月。
[ESP] Kent, S. and R. Atkinson, "IP Encapsulating Security
Payload (ESP)", RFC 2406, November 1998.
[超能力] ケントとS.とR.アトキンソン、「セキュリティが有効搭載量(超能力)であるとカプセル化するIP」、RFC2406、1998年11月。
[AH] Kent, S. and R. Atkinson, "IP Authentication Header",
RFC 2402, November 1998.
[ああ] ケントとS.とR.アトキンソン、「IP認証ヘッダー」、RFC2402、1998年11月。
[DOI] Piper, D., "The Internet IP Security Domain of
Interpretation for ISAKMP", RFC 2407, November 1998.
[DOI]パイパー、D.、「ISAKMPのための解釈のインターネットIPセキュリティー領域」、RFC2407、1998年11月。
[IKE] Harkins, D. and D. Carrel, "The Internet Key Exchange
(IKE)", RFC 2409, November 1998.
[IKE]ハーキンとD.とD.個人閲覧室、「インターネット・キー・エクスチェンジ(IKE)」、RFC2409 1998年11月。
[PCIM] Moore, B., Ellesson, E., Strassner, J. and A.
Westerinen, "Policy Core Information Model -- Version 1
Specification", RFC 3060, February 2001.
[PCIM] ムーア、B.、Ellesson、E.、Strassner、J.、およびA.Westerinen、「方針コア情報はモデル化されます--バージョン1仕様」、RFC3060、2001年2月。
[PCIME] Moore, B., Editor, "Policy Core Information Model (PCIM)
Extensions", RFC 3460, January 2003.
[PCIME] ムーア、B.、エディタ、「方針コア情報モデル(PCIM)拡大」、RFC3460、2003年1月。
[KEYWORDS] Bradner, S., "Key words for use in RFCs to Indicate
Requirement Levels", BCP 14, RFC 2119, March 1997.
[KEYWORDS]ブラドナー、S.、「Indicate Requirement LevelsへのRFCsにおける使用のためのキーワード」、BCP14、RFC2119、1997年3月。
[CIMCORE] DMTF Common Information Model - Core Model v2.5 which
can be found at
http://www.dmtf.org/standards/CIM_Schema25/
CIM_Core25.mof
[CIMCORE]DMTF Common情報Model-- http://www.dmtf.org/standards/CIM_Schema25/ CIM_Core25.mofで見つけることができるコアModel v2.5
[CIMUSER] DMTF Common Information Model - User-Security Model v2.5
which can be found at
http://www.dmtf.org/standards/CIM_Schema25/
CIM_User25.mof
[CIMUSER]DMTF Common情報Model-- http://www.dmtf.org/standards/CIM_Schema25/ CIM_User25.mofで見つけることができるユーザセキュリティModel v2.5
[CIMNETWORK] DMTF Common Information Model - Network Model v2.5
which can be found at
http://www.dmtf.org/standards/CIM_Schema25/
CIM_Network25.mof
[CIMNETWORK]DMTF Common情報Model-- http://www.dmtf.org/standards/CIM_Schema25/ CIM_Network25.mofで見つけることができるネットワークModel v2.5
[IPSO] Kent, S., "U.S. Department of Defense Security Options
for the Internet Protocol", RFC 1108, November 1991.
[IPSO] ケント、S.、「インターネットプロトコルのための米国国防総省のセキュリティオプション」、RFC1108、1991年11月。
Jason, et al. Standards Track [Page 85] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[85ページ]。
[IPSEC] Kent, S. and R. Atkinson, "Security Architecture for the
Internet Protocol", RFC 2401, November 1998.
[IPSEC] ケントとS.とR.アトキンソン、「インターネットプロトコルのためのセキュリティー体系」、RFC2401、1998年11月。
12.2. Informative References
12.2. 有益な参照
[LDAP] Wahl, M., Howes, T. and S. Kille, "Lightweight Directory
Access Protocol (v3)", RFC 2251, December 1997.
[LDAP]ウォールとM.とハウズとT.とS.Kille、「ライトウェイト・ディレクトリ・アクセス・プロトコル(v3)」、RFC2251 1997年12月。
[COPS] Durham, D., Ed., Boyle, J., Cohen, R., Herzog, S.,
Rajan, R. and A. Sastry, "The COPS (Common Open Policy
Service) Protocol", RFC 2748, January 2000.
[巡査] ダラム、D.(エド)、ボイル、J.、コーエン、R.、ハーツォグ、S.、Rajan、R.、およびA.Sastry、「巡査(一般的なオープンポリシーサービス)は議定書を作ります」、RFC2748、2000年1月。
[COPSPR] Chan, K., Seligson, J., Durham, D., Gai, S., McCloghrie,
K., Herzog, S., Reichmeyer, R., Yavatkar, R. and A.
Smith, "COPS Usage for Policy Provisioning (COPS-PR)",
RFC 3084, March 2001.
[COPSPR]チェン(K.、Seligson、J.、ダラム、D.、ガイ、S.、McCloghrie、K.、ハーツォグ、S.、Reichmeyer、R.、Yavatkar、R.、およびA.スミス)は、「方針の食糧を供給する(PRを獲得している)用法を獲得します」、RFC3084、2001年3月。
[DMTF] Distributed Management Task Force, http://www.dmtf.org/
[DMTF] 分散管理特別委員会、 http://www.dmtf.org/
13. Disclaimer
13. 注意書き
The views and specification herein are those of the authors and are not necessarily those of their employer. The authors and their employer specifically disclaim responsibility for any problems arising from correct or incorrect implementation or use of this specification.
視点と仕様は、ここに作者のものであり、必ず彼らの雇い主のものであるというわけではありません。 作者と彼らの雇い主はこの仕様の正しいか不正確な実装か使用から起こることにおけるどんな問題によっても明確に責任を拒否します。
14. Acknowledgments
14. 承認
The authors would like to thank Mike Jeronimo, Ylian Saint-Hilaire, Vic Lortz, William Dixon, Man Li, Wes Hardaker and Ricky Charlet for their contributions to this IPsec policy model.
作者はこのIPsec政策モデルへの彼らの貢献についてマイクJeronimo、Ylianセイント-ヒレア、ヴィク・ロルツ、ウィリアム・ディクソン、Man李、ウェスHardaker、およびリッキー・シャルレに感謝したがっています。
Additionally, this document would not have been possible without the preceding IPsec schema documents. For that, thanks go out to Rob Adams, Partha Bhattacharya, William Dixon, Roy Pereira, and Raju Rajan.
さらに、このドキュメントは前のIPsec図式ドキュメントなしで可能でなかったでしょう。 それに関しては、感謝はロブ・アダムス、Parthaバッタチャリヤ、ウィリアム・ディクソン、ロイ・ペレイラ、およびラジュRajanに出かけます。
Jason, et al. Standards Track [Page 86] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[86ページ]。
15. Authors' Addresses
15. 作者のアドレス
Jamie Jason Intel Corporation MS JF3-206 2111 NE 25th Ave. Hillsboro, OR 97124
ジェイミージェイソンインテル社MS JF3-206 2111のNeの第25Ave。 ヒルズバロ、または97124
EMail: jamie.jason@intel.com
メール: jamie.jason@intel.com
Lee Rafalow IBM Corporation, BRQA/502 4205 So. Miami Blvd. Research Triangle Park, NC 27709
リーRafalow IBM社、BRQA/502 4205、そのように。 マイアミBlvd. NC リサーチトライアングル公園、27709
EMail: rafalow@watson.ibm.com
メール: rafalow@watson.ibm.com
Eric Vyncke Cisco Systems 7 De Kleetlaan B-1831 Diegem Belgium
エリックVynckeシスコシステムズ7De Kleetlaan B-1831 Diegemベルギー
EMail: evyncke@cisco.com
メール: evyncke@cisco.com
Jason, et al. Standards Track [Page 87] RFC 3585 IPsec Configuration Policy Model August 2003
ジェイソン、他 規格はIPsec構成政策モデル2003年8月にRFC3585を追跡します[87ページ]。
16. Full Copyright Statement
16. 完全な著作権宣言文
Copyright (C) The Internet Society (2003). All Rights Reserved.
Copyright(C)インターネット協会(2003)。 All rights reserved。
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
それに関するこのドキュメントと翻訳は、コピーして、それが批評するか、またはそうでなければわかる他のもの、および派生している作品に提供するか、または準備されているかもしれなくて、コピーされて、発行されて、全体か一部分配された実装を助けるかもしれません、どんな種類の制限なしでも、上の版権情報とこのパラグラフがそのようなすべてのコピーと派生している作品の上に含まれていれば。 しかしながら、このドキュメント自体は何らかの方法で変更されないかもしれません、インターネット協会か他のインターネット組織の版権情報か参照を取り除くのなどように、それを英語以外の言語に翻訳するのが著作権のための手順がインターネットStandardsプロセスで定義したどのケースに従わなければならないか、必要に応じてさもなければ、インターネット標準を開発する目的に必要であるのを除いて。
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assignees.
上に承諾された限られた許容は、永久であり、そのインターネット協会、後継者または指定代理人によって取り消されないでしょう。
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとそして、「そのままで」という基礎とインターネットの振興発展を目的とする組織に、インターネット・エンジニアリング・タスク・フォースが速達の、または、暗示しているすべての保証を放棄するかどうかというここにことであり、他を含んでいて、含まれて、情報の使用がここに侵害しないどんな保証も少しもまっすぐになるという情報か市場性か特定目的への適合性のどんな黙示的な保証。
Acknowledgement
承認
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。
Jason, et al. Standards Track [Page 88]
ジェイソン、他 標準化過程[88ページ]
一覧
スポンサーリンク
