Network Working Group J. Jason
Request for Comments: 3585 Intel Corporation
Category: Standards Track L. Rafalow
IBM
E. Vyncke
Cisco Systems
August 2003
IPsec Configuration Policy Information Model
Status of this Memo
このメモの位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
この文書は、インターネットコミュニティのためのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD 1)の最新版を参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2003). All Rights Reserved.
著作権(C)インターネット協会(2003)。全著作権所有。
Abstract
抽象
This document presents an object-oriented information model of IP Security (IPsec) policy designed to facilitate agreement about the content and semantics of IPsec policy, and enable derivations of task-specific representations of IPsec policy such as storage schema, distribution representations, and policy specification languages used to configure IPsec-enabled endpoints. The information model described in this document models the configuration parameters defined by IPSec. The information model also covers the parameters found by the Internet Key Exchange protocol (IKE). Other key exchange protocols could easily be added to the information model by a simple extension. Further extensions can further be added easily due to the object-oriented nature of the model.
この文書は、IPsecポリシーの内容と意味論に関する合意を促進するように設計されたIPセキュリティ(IPSec)ポリシーのオブジェクト指向の情報モデルを提示し、そのようなストレージスキーマ、分布表現、およびポリシーなどのIPsecポリシーのタスク固有の表現の導出を可能に仕様記述言語は、IPsec対応のエンドポイントを設定するために使用します。情報モデルは、この文書モデルのIPsecによって定義された設定パラメータを記載しました。情報モデルは、インターネット鍵交換プロトコル(IKE)によって発見パラメータをカバーしています。その他の鍵交換プロトコルは、簡単な拡張により、情報モデルに追加することができます。さらなる拡張はさらにによるモデルのオブジェクト指向の性質のために容易に追加することができます。
This information model is based upon the core policy classes as defined in the Policy Core Information Model (PCIM) and in the Policy Core Information Model Extensions (PCIMe).
この情報モデルは方針コア情報モデル(PCIM)にし、政策コア情報モデルの拡張(PCIMe)で定義されているコアポリシークラスに基づいています。
Table of Contents
目次
1. Introduction.................................................. 3
2. UML Conventions............................................... 4
3. IPsec Policy Model Inheritance Hierarchy...................... 6
4. Policy Classes................................................ 11
4.1. The Class SARule........................................ 13
4.2. The Class IKERule....................................... 17
4.3. The Class IPsecRule..................................... 18
4.4. The Association Class IPsecPolicyForEndpoint............ 18
4.5. The Association Class IPsecPolicyForSystem.............. 19
4.6. The Aggregation Class SAConditionInRule................. 19
4.7. The Aggregation Class PolicyActionInSARule.............. 20
5. Condition and Filter Classes.................................. 22
5.1. The Class SACondition................................... 23
5.2. The Class IPHeadersFilter............................... 23
5.3. The Class CredentialFilterEntry......................... 23
5.4. The Class IPSOFilterEntry............................... 25
5.5. The Class PeerIDPayloadFilterEntry...................... 26
5.6. The Association Class FilterOfSACondition............... 28
5.7. The Association Class AcceptCredentialFrom.............. 29
6. Action Classes................................................ 30
6.1. The Class SAAction...................................... 32
6.2. The Class SAStaticAction................................ 33
6.3. The Class IPsecBypassAction............................. 34
6.4. The Class IPsecDiscardAction............................ 34
6.5. The Class IKERejectAction............................... 35
6.6. The Class PreconfiguredSAAction......................... 35
6.7. The Class PreconfiguredTransportAction.................. 36
6.8. The Class PreconfiguredTunnelAction..................... 37
6.9. The Class SANegotiationAction........................... 37
6.10. The Class IKENegotiationAction.......................... 38
6.11. The Class IPsecAction................................... 39
6.12. The Class IPsecTransportAction.......................... 41
6.13. The Class IPsecTunnelAction............................. 42
6.14. The Class IKEAction..................................... 42
6.15. The Class PeerGateway................................... 44
6.16. The Association Class PeerGatewayForTunnel.............. 45
6.17. The Aggregation Class ContainedProposal................. 46
6.18. The Association Class HostedPeerGatewayInformation...... 47
6.19. The Association Class TransformOfPreconfiguredAction.... 48
6.20 The Association Class PeerGatewayForPreconfiguredTunnel. 49
7. Proposal and Transform Classes................................ 50
7.1. The Abstract Class SAProposal........................... 50
7.2. The Class IKEProposal................................... 51
7.3. The Class IPsecProposal................................. 54
7.4. The Abstract Class SATransform.......................... 54
7.5. The Class AHTransform................................... 56
7.6. The Class ESPTransform.................................. 57
7.7. The Class IPCOMPTransform............................... 59
7.8. The Association Class SAProposalInSystem................ 60
7.9. The Aggregation Class ContainedTransform................ 60
7.10. The Association Class SATransformInSystem............... 62
8. IKE Service and Identity Classes.............................. 63
8.1. The Class IKEService.................................... 64
8.2. The Class PeerIdentityTable............................. 64
8.3. The Class PeerIdentityEntry............................. 65
8.4. The Class AutostartIKEConfiguration..................... 66
8.5. The Class AutostartIKESetting........................... 67
8.6. The Class IKEIdentity................................... 69
8.7. The Association Class HostedPeerIdentityTable........... 71
8.8. The Aggregation Class PeerIdentityMember................ 71
8.9. The Association Class IKEServicePeerGateway............. 72
8.10. The Association Class IKEServicePeerIdentityTable....... 73
8.11. The Association Class IKEAutostartSetting............... 73
8.12. The Aggregation Class AutostartIKESettingContext........ 74
8.13. The Association Class IKEServiceForEndpoint............. 75
8.14. The Association Class IKEAutostartConfiguration......... 76
8.15. The Association Class IKEUsesCredentialManagementService 77
8.16. The Association Class EndpointHasLocalIKEIdentity....... 77
8.17. The Association Class CollectionHasLocalIKEIdentity..... 78
8.18. The Association Class IKEIdentitysCredential............ 79
9. Implementation Requirements................................... 79
10. Security Considerations....................................... 84
11. Intellectual Property Statement............................... 84
12. References ................................................... 85
12.1. Normative References.................................... 85
12.2. Informative References.................................. 86
13. Disclaimer.................................................... 86
14. Acknowledgments............................................... 86
15. Authors' Addresses............................................ 87
16. Full Copyright Statement...................................... 88
IP security (IPsec) policy may assume a variety of forms as it travels from storage, to distribution, to decision points. At each step, it needs to be represented in a way that is convenient for the current task. For example, the policy could exist as, but is not limited to:
それは記憶装置から、分布、決定ポイントに移動するようにIPセキュリティ(IPsec)ポリシーは、様々な形態をとることができます。各ステップで、それが現在のタスクのための便利な方法で表現する必要があります。たとえば、ポリシーが存在するとして可能性があり、これらに限定されません。
o A Lightweight Directory Access Protocol (LDAP) [LDAP] schema in a directory.
O LDAP(Lightweight Directory Access Protocol)ディレクトリにある[LDAP]スキーマ。
o An on-the-wire representation over a transport protocol like the Common Object Policy Service (COPS) [COPS, COPSPR].
O共通オブジェクト・ポリシー・サービスのようなトランスポート・プロトコルを通じてオン・ワイヤー表現(COPS)COPS、COPSPR]。
o A text-based policy specification language suitable for editing by an administrator.
O管理者が編集に適したテキストベースのポリシー仕様言語。
o An Extensible Markup Language (XML) document.
拡張マークアップ言語(XML)文書、O。
Each of these task-specific representations should be derived from a canonical representation that precisely specifies the content and semantics of the IPsec policy. This document captures this concept and introduces a task-independent canonical representation for IPsec policies.
これらのタスク固有の表現のそれぞれは、正確にIPsecポリシーの内容とセマンティクスを指定する標準的な表現から導出されなければなりません。この文書では、この概念をキャプチャし、IPsecポリシーのためのタスク独立正規の表現を紹介します。
This document focuses mainly on the existing protocols [COMP, ESP, AH, DOI, IKE]. The model can easily be extended if needed due to its object-oriented nature.
この文書では、主に既存のプロトコル[COMP、ESP、AH、DOI、IKE]に焦点を当てています。 、そのオブジェクト指向の性質のために、必要に応じてモデルを容易に拡張することができます。
This document is organized as follows:
次のようにこの文書では、構成されています。
o Section 2 provides a quick introduction to the Unified Modeling Language (UML) graphical notation conventions used in this document.
O部2は、この文書で使用される統一モデリング言語(UML)のグラフィカル表記規則への迅速な導入を提供します。
o Section 3 provides the inheritance hierarchy that describes where the IPsec policy classes fit into the policy class hierarchy already defined by the Policy Core Information Model (PCIM) and Policy Core Information Model Extensions (PCIMe).
O第3節では、IPsecポリシーのクラスがすでにポリシーコア情報モデル(PCIM)と方針コア情報モデルの拡張(PCIMe)によって定義されたポリシーのクラス階層に収まる場所を記述し、継承階層を提供します。
o Sections 4 through 8 describe the classes that make up the IPsec policy model.
Oセクション4〜8は、IPsecポリシーモデルを構成するクラスを記述します。
o Section 9 presents the implementation requirements for the classes in the model (i.e., the MUST/MAY/SHOULD status).
O部9は、モデル内のクラス(すなわち、MUST / MAY / SHOULDステータス)のための実装要件を提示します。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [KEYWORDS].
キーワードは "MUST" は、 "MUST NOT"、 "REQUIRED" は、 "SHOULD" "ないもの" "ものと" べきではありません」、 "推奨"、 "MAY"、および "" OPTIONALこの文書に記載されているにしています[キーワード]に記載されているように解釈されます。
For this document, a UML static class diagram was chosen as the canonical representation for the IPsec policy model, because UML provides a graphical, task-independent way to model systems. A treatise on the graphical notation used in UML is beyond the scope of this paper. However, given the use of ASCII drawing for UML static class diagrams, a description of the notational conventions used in this document is in order: o Boxes represent classes, with class names in brackets ([]) representing an abstract class.
この文書のために、UML静的クラス図は、UMLは、システムをモデル化するグラフィカルな、タスクに依存しない方法を提供するので、IPsecポリシーモデルの正規表現として選択しました。 UMLで使用されるグラフィカル表記上の論文は、この論文の範囲を超えています。しかし、UML静的クラス図のASCII図面の使用を考えると、この文書で使用される表記法の説明は、オーダーである:ボックスは抽象クラスを表す括弧([])内のクラス名と、クラスを表すoを。
o A line that terminates with an arrow (<, >, ^, v) denotes inheritance. The arrow always points to the parent class. Inheritance can also be called generalization or specialization (depending upon the reference point). A base class is a generalization of a derived class, and a derived class is a specialization of a base class.
O矢印で終わる線は、(<、>、^、v)の継承を示しています。矢印は、常に親クラスを指します。継承はまた、一般化または特殊化(基準点に依存する)と呼ぶことができます。基本クラスは、派生クラスの一般化であり、派生クラスは、ベースクラスの特殊です。
o Associations are used to model a relationship between two classes. Classes that share an association are connected using a line. A special kind of association is also used: an aggregation. An aggregation models a whole-part relationship between two classes. Associations, and therefore aggregations, are also modeled as classes.
O団体は、2つのクラス間の関係をモデル化するために使用されています。アソシエーションを共有するクラスは、ラインを使用して接続されています。協会の特別な種類にも使用されている:凝集を。集約モデルの2クラス間の全体部分関係。団体、したがって集計は、またクラスとしてモデル化されています。
o A line that begins with an "o" denotes aggregation. Aggregation denotes containment in which the contained class and the containing class have independent lifetimes.
O「O」で始まる行は、凝集を示しています。集計には含まれているクラスと含むクラスは独立した寿命を持っている封じ込めを示しています。
o At each end of a line representing an association appears a cardinality (i.e., each association has 2 cardinalities). Cardinalities indicate the constraints on the number of object instances in a set of relationships. The cardinality on a given end of an association indicates the number of different object instances of that class that may be associated with a single object instance of the class on the other end of the association. The cardinality may be:
関連付けを表す線の各端部にoはカーディナリティ(すなわち、それぞれの関連付けが2つのカーディナリティを有する)が表示されます。カーディナリティは、関係のセット内のオブジェクトのインスタンスの数に制約を示しています。関連の所与の端部に基数は、関連の他端にクラスの単一のオブジェクトのインスタンスに関連付けることができる、そのクラスの異なるオブジェクト・インスタンスの数を示します。基数は次のようになります。
- a range in the form "lower bound..upper bound" indicating the minimum and maximum number of objects.
- 最小とオブジェクトの最大数を示す形「下限bound..upper」の範囲。
- a number that indicates the exact number of objects.
- オブジェクトの正確な数を示す数値。
- an asterisk indicating any number of objects, including zero. An asterisk is shorthand for 0..n.
- ゼロを含む任意の数のオブジェクトを示すアスタリスク。アスタリスクは0..Nの省略形です。
- the letter n indicating from 1 to many. The letter n is shorthand for 1..n.
- nは1から多数に示す文字。文字nは1..nのための省略形です。
o A class that has an association may have a "w" next to the line representing the association. This is called a weak association and is discussed in [PCIM].
Oアソシエーションを持つクラスは、「W」は、次の関連を表す線に有していてもよいです。これは、弱い関連付けと呼ばれ、[PCIM]で議論されています。
It should be noted that the UML static class diagram presented is a conceptual view of IPsec policy designed to aid in understanding. It does not necessarily get translated class for class into another representation. For example, an LDAP implementation may flatten out the representation to fewer classes (because of the inefficiency of following references).
提示UML静的クラス図は、理解を助けるために設計されたIPsecポリシーの概念図であることに留意すべきです。これは、必ずしも別の表現にクラスの翻訳クラスを取得しません。例えば、LDAP実装は(なぜなら、以下の参考文献の非効率性の)より少ないクラスに表現を平坦化することができます。
Like PCIM and PCIMe, the IPsec Configuration Policy Model derives from and uses classes defined in the DMTF [DMTF] Common Information Model (CIM). The following tree represents the inheritance hierarchy for the IPsec Policy Model classes and how they fit into PCIM, PCIMe and the other DMTF models (see Appendices for descriptions of classes that are not being introduced as part of IPsec model). CIM classes that are not used as a superclass to derive new classes, but are used only as references, are not included in this inheritance hierarchy, but can be found in the appropriate DMTF document: Core Model [CIMCORE], User Model [CIMUSER] or, Network Model [CIMNETWORK].
PCIMとPCIMeと同様に、IPsecの設定ポリシーモデルから派生し、DMTF [DMTF]共通情報モデル(CIM)で定義されたクラスを使用しています。以下のツリーは、IPsecポリシーのモデルクラスの継承階層を表し、彼らはPCIMに収まるか、PCIMeおよびその他のDMTFのモデルは、(IPsecのモデルの一部として導入されていないクラスの説明については、付録を参照してください)。新しいクラスを派生するためにスーパークラスとして使用されていないが、唯一の基準として使用されるCIMクラスは、この継承階層に含まれていませんが、適切なDMTFの文書に記載されています:コアモデル[CIMCORE]、ユーザーモデル[をCIMUser]または、ネットワークモデル[CIMNETWORK]。
ManagedElement (DMTF Core Model)
|
+--Collection (DMTF Core Model)
| |
| +--PeerIdentityTable
|
+--ManagedSystemElement (DMTF Core Model)
| |
| +--LogicalElement (DMTF Core Model)
| |
| +--FilterEntryBase (DMTF Network Model)
| | |
| | +--CredentialFilterEntry
| | |
| | +--IPHeadersFilter (PCIMe)
| | |
| | +--IPSOFilterEntry
| | |
| | +--PeerIDPayloadFilterEntry
| |
| +--PeerGateway
| |
| +--PeerIdentityEntry
| |
| +--Service (DMTF Core Model)
| |
| +--IKEService
|
+--OrganizationalEntity (DMTF User Model) | | | +--UserEntity (DMTF User Model) | | | +--UsersAccess (DMTF User Model) | | | +--IKEIdentity | +--Policy (PCIM) | | | +--PolicyAction (PCIM) | | | | | +--CompoundPolicyAction (PCIMe) | | | | | +--SAAction | | | | | +--SANegotiationAction | | | | | | | +--IKENegotiationAction | | | | | | | +--IKEAction | | | | | | | +--IPsecAction | | | | | | | +--IPsecTransportAction | | | | | | | +--IPsecTunnelAction | | | | | +--SAStaticAction | | | | | +--IKERejectAction | | | | | +--IPsecBypassAction | | | | | +--IPsecDiscardAction | | | | | +--PreconfiguredSAAction | | | | | +--PreconfiguredTransportAction | | | | | +--PreconfiguredTunnelAction | | | +--PolicyCondition (PCIM) | | | | | +--SACondition | | | +--PolicySet (PCIMe) | | |
+ - OrganizationalEntity(DMTFのユーザーモデル)| | | + - UserEntity(DMTFのユーザーモデル)| | | + - UsersAccess(DMTFのユーザーモデル)| | | + - IKEIdentity | + - ポリシー(PCIM)| | | + - PolicyAction(PCIM)| | | | | + - CompoundPolicyAction(PCIMe)| | | | | + - SAAction | | | | | + - SANegotiationAction | | | | | | | + - IKENegotiationAction | | | | | | | + - IKEAction | | | | | | | + - IPsecAction | | | | | | | + - IPsecTransportAction | | | | | | | + - IPsecTunnelAction | | | | | + - SAStaticAction | | | | | + - IKERejectAction | | | | | + - IPsecBypassAction | | | | | + - IPsecDiscardAction | | | | | + - PreconfiguredSAAction | | | | | + - PreconfiguredTransportAction | | | | | + - PreconfiguredTunnelAction | | | + - PolicyCondition(PCIM)| | | | | + - SACondition | | | + - POLICYSET(PCIMe)| | |
| | +--PolicyGroup (PCIM & PCIMe) | | | | | +--PolicyRule (PCIM & PCIMe) | | | | | +--SARule | | | | | +--IKERule | | | | | +--IPsecRule | | | +--SAProposal | | | | | +--IKEProposal | | | | | +--IPsecProposal | | | +--SATransform | | | +--AHTransform | | | +--ESPTransform | | | +--IPCOMPTransform | +--Setting (DMTF Core Model) | | | +--SystemSetting (DMTF Core Model) | | | +--AutostartIKESetting | +--SystemConfiguration (DMTF Core Model) | +--AutostartIKEConfiguration
| | + - のPolicyGroup(PCIM&PCIMe)| | | | | + - のPolicyRule(PCIM&PCIMe)| | | | | + - サルーレ| | | | | + - IKERule | | | | | + - IPsecRule | | | + - SAProposal | | | | | + - IKEProposal | | | | | + - IPsecProposal | | | + - SATransform | | | + - AHTransform | | | + - ESPTransform | | | + - IPCOMPTransform | + - の設定(DMTFコアモデル)| | | + - SystemSetting(DMTFコアモデル)| | | + - AutostartIKESetting | + - SystemConfiguration(DMTFコアモデル)| + - AutostartIKEConfiguration
The following tree represents the inheritance hierarchy of the IPsec policy model association classes and how they fit into PCIM and the other DMTF models (see Appendices for description of association classes that are not being introduced as part of IPsec model).
以下のツリーは、IPsecポリシーモデルの関連クラスの継承階層を表し、彼らはPCIMと他のDMTFのモデルに適合する方法(IPsecのモデルの一部として導入されていない関連クラスの説明については、付録を参照してください)。
Dependency (DMTF Core Model)
|
+--AcceptCredentialsFrom
|
+--ElementAsUser (DMTF User Model)
| |
| +--EndpointHasLocalIKEIdentity
| |
| +--CollectionHasLocalIKEIdentity
| +--FilterOfSACondition | +--HostedPeerGatewayInformation | +--HostedPeerIdentityTable | +--IKEAutostartConfiguration | +--IKEServiceForEndpoint | +--IKEServicePeerGateway | +--IKEServicePeerIdentityTable | +--IKEUsesCredentialManagementService | +--IPsecPolicyForEndpoint | +--IPsecPolicyForSystem | +--PeerGatewayForPreconfiguredTunnel | +--PeerGatewayForTunnel | +--PolicyInSystem (PCIM) | | | +--SAProposalInSystem | | | +--SATransformInSystem | +--TransformOfPreconfiguredAction | +--UsersCredential (DMTF User Model) | +--IKEIdentitysCredential
| + - FilterOfSACondition | + - HostedPeerGatewayInformation | + - HostedPeerIdentityTable | + - IKEAutostartConfiguration | + - IKEServiceForEndpoint | + - IKEServicePeerGateway | + - IKEServicePeerIdentityTable | + - IKEUsesCredentialManagementService | + - IPsecPolicyForEndpoint | + - IPsecPolicyForSystem | + - PeerGatewayForPreconfiguredTunnel | + - PeerGatewayForTunnel | + - PolicyInSystem(PCIM)| | | + - SAProposalInSystem | | | + - SATransformInSystem | + - TransformOfPreconfiguredAction | + - UsersCredential(DMTFのユーザーモデル)| + - IKEIdentitysCredential
ElementSetting (DMTF Core Model) | +--IKEAutostartSetting
ElementSetting(DMTFコアモデル)| + - IKEAutostartSetting
MemberOfCollection (DMTF Core Model) | +--PeerIdentityMember
MemberOfCollection(DMTFコアモデル)| + - PeerIdentityMember
PolicyComponent (PCIM) |
PolicyComponent(PCIM)|
+--ContainedProposal | +--ContainedTransform | +--PolicyActionStructure (PCIMe) | | | +--PolicyActionInPolicyRule (PCIM & PCIMe) | | | +--PolicyActionInSARule | +--PolicyConditionStructure (PCIMe) | | | +--PolicyConditionInPolicyRule (PCIM & PCIMe) | | | +--SAConditionInRule | +--PolicySetComponent (PCIMe)
+ - ContainedProposal | + - ContainedTransform | + - PolicyActionStructure(PCIMe)| | | + - PolicyActionInPolicyRule(PCIM&PCIMe)| | | + - PolicyActionInSARule | + - PolicyConditionStructure(PCIMe)| | | + - PolicyConditionInPolicyRule(PCIM&PCIMe)| | | + - SAConditionInRule | + - PolicySetComponent(PCIMe)
SystemSettingContext (DMTF Core Model) | +--AutostartIKESettingContext
SystemSettingContext(DMTFコアモデル)| + - AutostartIKESettingContext
The IPsec policy classes represent the set of policies that are contained on a system.
IPsecポリシークラスは、システム上に含まれているポリシーのセットを表します。
+--------------+
| [PolicySet] |*
| ([PCIME]) |o--+
+--------------+ |
^ *| |(a)
| +------+
+--------------------------+
| |
+-------------+ +--------------+
| PolicyGroup |0..1 | PolicyRule |*
| ([PCIM]) |-----+ | ([PCIM]) |o--+
+-------------+ | +--------------+ |(d)
0..1| | ^ |
|(b) | | |*
*| | | +---------------------------+
+--------------------+ |(c) | | PolicyTimePeriodCondition |
| IPProtocolEndpoint | | | | ([PCIM]) |
| ([CIMNETWORK]) | | | +---------------------------+
+--------------------+ | |
+------------+ | *+----------+*
| System |----+ +-o| SARule |o-------+
| ([CIMCORE])|* | +----------+ |(f)
+------------+ | ^ |
(e)| | |n
+-------------+n | | +--------------+
| SACondition |--------+ | |[PolicyAction]|
+-------------+ | | ([PCIM]) |
| +--------------+
| *| ^
| |(g) |
| | +-------+
| *o | |
| +----------------------+ |
| | CompoundPolicyAction | |
| | ([PCIME]) | |
| +----------------------+ |
| |
+---------+----+ +---------+
| | |
+---------+ +-----------+ +----------+
| IKERule | | IPsecRule | | SAAction |
+---------+ +-----------+ +----------+
(a) PolicySetComponent ([PCIME]) (b) IPsecPolicyForEndpoint (c) IPsecPolicyForSystem (d) PolicyRuleValidityPeriod ([PCIM]) (e) SAConditionInRule (f) PolicyActionInSARule (g) PolicyActionInPolicyAction ([PCIME])
(A)PolicySetComponent([PCIME])(B)IPsecPolicyForEndpoint(C)IPsecPolicyForSystem(D)PolicyRuleValidityPeriod([PCIM])(E)SAConditionInRule(F)PolicyActionInSARule(G)PolicyActionInPolicyAction([PCIME])
A PolicyGroup represents the set of policies that are used on an interface. This PolicyGroup SHOULD be associated either directly with the IPProtocolEndpoint class instance that represents the interface (via the IPsecPolicyForEndpoint association) or indirectly (via the IPsecPolicyForSystem association) associated with the System that hosts the interface.
PolicyGroupインターフェイスで使用されるポリシーのセットを表します。これのPolicyGroupインターフェイスをホストするシステムに関連付けられた(IPsecPolicyForSystemアソシエーションを介して)直接(IPsecPolicyForEndpointアソシエーションを介して)インターフェースを表しIPProtocolEndpointクラスインスタンスにまたは間接的に関連されるべきです。
The IKE and IPsec rules are used to build or to negotiate the IPsec Security Association Database (SADB). The IPsec rules represent the Security Policy Database. The SADB itself is not modeled by this document.
IKEとIPsec規則は、構築することやIPsecセキュリティアソシエーションデータベース(SADB)を交渉するために使用されています。 IPsecのルールは、セキュリティポリシーデータベースを表します。 SADB自体は、この文書によってモデル化されていません。
The IKE and IPsec rules can be described as (also see section 6 about actions):
IKEとIPsec規則は(また、アクションに関するセクション6を参照)のように記述することができます。
o An egress unprotected packet will first be checked against the IPsec rules. If a match is found, the SADB will be checked. If there is no corresponding IPsec SA in the SADB, and if IKE negotiation is required by the IPsec rule, the corresponding IKE rules will be used. The negotiated or preconfigured SA will then be installed in the SADB.
O出力保護されていないパケットは、最初のIPsecルールに照らしてチェックされます。一致が見つかった場合、SADBがチェックされます。 SADBには対応のIPsec SAが存在しない場合、およびIKEネゴシエーションがIPsecの規則によって要求された場合、対応するIKEルールが使用されます。交渉したり事前に設定SAは、SADBにインストールされます。
o An ingress unprotected packet will first be checked against the IPsec rules. If a match is found, the SADB will be checked for a corresponding IPsec SA. If there is no corresponding IPsec SA and a preconfigured SA exists, this preconfigured SA will be installed in the IPsec SADB. This behavior should only apply to bypass and discard actions.
O進入保護されていないパケットは、最初のIPsecルールに照らしてチェックされます。一致が見つかった場合、SADBは、対応するIPsec SAのためにチェックされます。そこには、対応のIPsec SAがなく、事前に設定SAが存在する場合は、この事前設定されたSAは、IPsec SADBにインストールされます。この現象は回避し、アクションを破棄するように適用すべきです。
o An ingress protected packet will first be checked against the IPsec rules. If a match is found, the SADB will be checked for a corresponding IPsec SA. If there is no corresponding IPsec SA and a preconfigured SA exists, this preconfigured SA will be installed in the IPsec SADB.
O進入保護されたパケットは、最初のIPsecルールに照らしてチェックされます。一致が見つかった場合、SADBは、対応するIPsec SAのためにチェックされます。そこには、対応のIPsec SAがなく、事前に設定SAが存在する場合は、この事前設定されたSAは、IPsec SADBにインストールされます。
o An ingress IKE negotiation packet, which is not part of an existing IKE SA, will be checked against the IKE rules. The SACondition for the IKERule will usually be composed of a PeerIDPayloadFilterEntry (typically for an aggressive mode IKE negotiation) or an IPHeadersFilter. The negotiated SA will then be installed in the SADB.
既存のIKE SAの一部ではありません進入IKEネゴシエーションパケット、O、IKEルールと照合されます。 IKERuleためSAConditionは、通常、またはIPHeadersFilter(通常はアグレッシブモードIKEネゴシエーションのために)PeerIDPayloadFilterEntryで構成されます。交渉さSAは、SADBにインストールされます。
It is expected that when an IKE negotiation is required to be initiated by an IPsec rule, the set of IKE rules will be checked. The IKE rules check will be based on the outgoing IKE packet using IPHeadersFilter entries (typically using the HdrDstAddress property).
IKEネゴシエーションがIPsecのルールによって開始する必要があるとき、IKE規則のセットがチェックされることが期待されます。 IKEは、チェックがIPHeadersFilterエントリ(典型的にはHdrDstAddressプロパティを使用)を使用して発信IKEパケットに基づいて説明する規則。
The class SARule serves as a base class for IKERule and IPsecRule. Even though the class is concrete, it MUST not be instantiated. It defines a common connection point for associations to conditions and actions for both types of rules. Through its derivation from PolicyRule, an SARule (and therefore IKERule and IPsecRule) also has the PolicyRuleValidityPeriod association.
クラスサルーレはIKERuleとIPsecRuleの基本クラスとして機能します。クラスは、コンクリートであっても、それがインスタンス化してはいけません。これは、ルールの両方のタイプの条件およびアクションの関連付けのための共通接続点を定義します。 PolicyRuleの、サルーレ(したがってIKERuleとIPsecRule)からの派生を介してもPolicyRuleValidityPeriod関連を有します。
Each SARule in a valid PolicyGroup MUST have a unique associated priority number in the PolicySetComponent.Priority. The class definition for SARule is as follows:
有効なのPolicyGroup内の各サルーレはPolicySetComponent.Priority内で一意に関連する優先順位番号を持たなければなりません。次のようにサルーレのためのクラス定義は次のとおりです。
NAME SARule DESCRIPTION A base class for IKERule and IPsecRule. DERIVED FROM PolicyRule (see [PCIM] & [PCIME]) ABSTRACT FALSE PROPERTIES PolicyRuleName (from PolicyRule) Enabled (from PolicyRule) ConditionListType (from PolicyRule) RuleUsage (from PolicyRule) Mandatory (from PolicyRule) SequencedActions (from PolicyRule) ExecutionStrategy (from PolicyRule) PolicyRoles (from PolicySet) PolicyDecisionStrategy (from PolicySet) LimitNegotiation
IKERuleとIPsecRuleためサルーレDESCRIPTION基本クラスに名前を付けます。 PolicyRuleのからPolicyRuleの抽象FALSE PROPERTIES PolicyRuleName(のPolicyRuleからの)有効([PCIM]&[PCIME]を参照)(のPolicyRuleから)(のPolicyRuleから)ConditionListType(のPolicyRuleから)(のPolicyRuleから)RuleUsage必須(のPolicyRuleから)SequencedActions ExecutionStrategy(FROM由来POLICYSETから)PolicyRoles()POLICYSETからPolicyDecisionStrategy()LimitNegotiation
4.1.1. The Properties PolicyRuleName, Enabled, ConditionListType, RuleUsage, Mandatory, SequencedActions, PolicyRoles, and PolicyDecisionStrategy
4.1.1. プロパティPolicyRuleName、有効、ConditionListType、RuleUsage、必須、SequencedActions、PolicyRoles、およびPolicyDecisionStrategy
For a description of these properties, see [PCIM] and [PCIME].
これらのプロパティの説明については、[PCIM]及び[PCIME]を参照。
In SARule subclass instances:
猿のサブクラスのインスタンスで:
- if the property Mandatory exists, it MUST be set to "true".
- 必須プロパティが存在する場合、それが「真」に設定しなければなりません。
- if the property SequencedActions exists, it MUST be set to "mandatory".
- プロパティSequencedActionsが存在する場合、それは「必須」に設定しなければなりません。
- the property PolicyRoles is not used in the device-level model.
- プロパティPolicyRolesは、デバイス・レベル・モデルで使用されていません。
- if the property PolicyDecisionStrategy exists, it must be set to "FirstMatching".
- プロパティPolicyDecisionStrategyが存在する場合、それは「FirstMatching」に設定する必要があります。
The ExecutionStrategy properties in the PolicyRule subclasses (and in the CompoundPolicyAction class) determine the behavior of the contained actions. It defines the strategy to be used in executing the sequenced actions aggregated by a rule or a compound action. In the case of actions within a rule, the PolicyActionInSARule aggregation is used to collect the actions into an ordered set; in the case of a compound action, the PolicyActionInPolicyAction aggregation is used to collect the actions into an ordered subset.
ExecutionStrategyのPolicyRuleのサブクラスのプロパティ(およびCompoundPolicyActionクラスで)含まれるアクションの挙動を決定します。これは、ルールまたは化合物の作用により凝集配列決定されたアクションを実行する際に使用される戦略を定義します。ルール内のアクションの場合には、PolicyActionInSARule凝集は、順序付けられたセットにアクションを収集するために使用されます。化合物の作用の場合には、PolicyActionInPolicyAction凝集は、順序付けられたサブセットにアクションを収集するために使用されます。
There are three execution strategies: do until success, do all, and do until failure.
3つの実行方法があります:失敗するまで、成功するまで行うすべてを行う、および行います。
"Do Until Success" causes the execution of actions according to the ActionOrder property in the aggregation instances until a successful execution of a single action. These actions may be evaluated to determine if they are appropriate to execute rather than blindly trying each of the actions until one succeeds. For an initiator, they are tried in the ActionOrder until the list is exhausted or one completes successfully. For example, an IKE initiator may have several IKEActions for the same SACondition. The initiator will try all IKEActions in the order defined by ActionOrder. I.e., it will possibly try several phase 1 negotiations with different modes (main mode then aggressive mode) and/or with multiple IKE peers. For a responder, when there is more than one action in the rule with "do until success" condition clause, this provides alternative actions depending on the received proposals. For example, the same IKERule may be used to handle aggressive mode and main mode negotiations with different actions. The responder uses the first appropriate action in the list of actions.
「成功までですか」とは、単一のアクションの実行が成功するまでの集計インスタンスでActionOrder特性に応じたアクションを実行させます。これらのアクションは、彼らはむしろ1が成功するまで盲目的の各アクションを試みるよりも、実行するのが適切かどうかを決定するために評価することができます。リストが使い果たされる、または1つが正常に完了するまで、開始剤のために、彼らはActionOrderで試行されます。例えば、IKEイニシエータは同じSAConditionためのいくつかのIKEActionsを有していてもよいです。イニシエータはActionOrderによって定義された順序ですべてのIKEActionsをしようとします。すなわち、それはおそらく異なるモード(メインモードその後、アグレッシブモード)で1回の交渉および/または複数のIKEピアにはいくつかの段階をしようとします。 「やる成功するまで」条件節を持つルールに複数のアクションがあり、レスポンダについては、これは受け取った提案に応じて、代替アクションを提供します。例えば、同じIKERuleはアグレッシブモードと異なるアクションを持つメインモードネゴシエーションを処理するために使用することができます。応答者は、アクションのリストの最初の適切なアクションを使用しています。
"Do All" causes the execution of all the actions in the aggregated set according to their defined order. The execution continues regardless of failures.
「すべてを行う」彼らの定義された順序に従って集計セット内のすべてのアクションを実行させます。実行は関係なく、障害の続きます。
"Do Until Failure" causes the execution of all actions according to a predefined order until the first failure in execution of an action instance. Please note that if all actions are successful, then the aggregated result is a failure. This execution strategy is inherited from [PCIME] and is not expected to be of any use for IPsec configuration.
「破壊するまで行い、」アクション・インスタンスの実行中に最初の失敗まで事前に定義された順序に従って、すべてのアクションを実行させます。すべてのアクションが成功した場合、集計結果が失敗であることに注意してください。この実行戦略は[PCIME]から継承され、IPsec構成のための任意の使用であることが予想されません。
For example, in a nested SAs case, the actions of an initiator's rule might be structured as:
たとえば、ネストされたSAのケースでは、イニシエータのルールのアクションのように構成されることがあります。
IPsecRule.ExecutionStrategy='Do All'
|
+---1--- IPsecTunnelAction // set up SA from host to gateway
|
+---2--- IPsecTransportAction // set up SA from host through
// tunnel to remote host
Another example, showing a rule with fallback actions might be structured as:
フォールバックアクションを持つルールを示す別の例は、として構成されることがあります。
IPsecRule.ExecutionStrategy='Do Until Success'
|
+---6--- IPsecTransportAction // negotiate SA with peer
|
+---9--- IPsecBypassAction // but if you must, allow in the clear
The CompoundPolicyAction class (See [PCIME]) may be used in constructing the actions of IKE and IPsec rules when those rules specify both multiple actions and fallback actions. The ExecutionStrategy property in CompoundPolicyAction is used in conjunction with that in the PolicyRule.
CompoundPolicyActionクラス([PCIME]を参照)は、これらのルールは、複数のアクションとフォールバックアクションの両方を指定すると、IKEとIPsec規則のアクションを構築する際に使用することができます。 CompoundPolicyActionでExecutionStrategyプロパティはPolicyRuleの中にそれと一緒に使用されます。
For example, in nesting SAs with a fallback security gateway, the actions of a rule might be structured as:
例えば、フォールバックセキュリティゲートウェイとSAを入れ子にして、ルールのアクションのように構成されることがあります。
IPsecRule.ExecutionStrategy='Do All'
|
+---1--- CompoundPolicyAction.ExecutionStrategy='Do Until Success'
| |
| +---1--- IPsecTunnelAction // set up SA from host to
| | // gateway1
| |
| +---2--- IPsecTunnelAction // or set up SA to gateway2
|
+---2--- IPsecTransportAction // then set up SA from host
// through tunnel to remote
// host
In the case of "Do All", a couple of actions can be executed successfully before a subsequent action fails. In this case, some IKE or IPsec actions may have resulted in SAs creation. Even if the net effect of the aggregated actions is failure, those created SAs MAY be kept or MAY be deleted.
その後のアクションが失敗する前に、「ないすべて」の場合は、アクションのカップルが正常に実行することができます。この場合、いくつかのIKEまたはIPsecのアクションは、SAの作成をもたらしたことがあります。集約されたアクションの正味の効果が故障しても、SAを作成されたものが保つことができるか、削除されることがあります。
In the case of "Do All", the IPsec selectors to be used during IPsec SA negotiation are:
IPsec SAのネゴシエーション中に使用される、IPsecはセレクタ「すべてを行う」の場合には、次のとおりです。
- for the last IPsecAction of the aggregation (i.e., usually the innermost IPsec SA): this is the combination of the IPHeadersFilter class and of the Granularity property of the IPsecAction.
- 凝集の最後IPsecAction(すなわち、通常は最内のIPsec SA)の場合:これはIPHeadersFilterクラスのとIPsecActionの細分性の組み合わせです。
- for all other IPsecActions of the aggregation: the selector is the source IP address which is the local IP address, and the destination IP address is the PeerGateway IP address of the following IPsecAction of the "Do All" aggregation. NB: the granularity is IP address to IP address.
- 凝集の他のすべてのIPsecActionsのために:セレクタは、ローカルIPアドレスである送信元IPアドレスであり、宛先IPアドレスは、「すべてを行う」集合の次IPsecActionのPeerGateway IPアドレスです。 NB:粒度は、IPアドレスへのIPアドレスです。
If the above behavior is not desirable, the alternative is to define several SARules, one for each IPsec SA to be built. This will allow the definition of specific IPsec selectors for all IPsecActions.
上記の動作が望ましくない場合は、代替手段はいくつかのSARules、構築される各IPsec SAのための1つを定義することです。これは、すべてのIPsecActionsのための特定のIPsecセレクタの定義が可能になります。
The property LimitNegotiation is used as part of processing either an IKE or an IPsec rule.
プロパティLimitNegotiationは、処理の一部IKEまたはIPSecルールのいずれかとして使用されます。
Before proceeding with a phase 1 negotiation, this property is checked to determine whether the negotiation role of the rule matches that defined for the negotiation being undertaken (e.g., Initiator, Responder, or Both). If this check fails (e.g., the current role is IKE responder, while the rule specifies IKE initiator), then the IKE negotiation is stopped. Note that this only applies to new IKE phase 1 negotiations and has no effect on either renegotiation or refresh operations with peers for which an established SA already exists.
フェーズ1ネゴシエーションを開始する前に、このプロパティはルールの交渉の役割(例えば、イニシエータ、レスポンダー、またはその両方)行われて交渉用に定義されたものと一致するかどうかを決定するためにチェックされます。このチェックは(ルールがIKEイニシエータを指定しながら、例えば、現在の役割は、IKEの応答者である)失敗した場合は、IKEネゴシエーションが停止しています。これが唯一の新しいIKEフェーズ1回の交渉に適用され、確立されたSAがすでに存在している仲間とのいずれかの再交渉やリフレッシュ動作には影響しないことに注意してください。
Before proceeding with a phase 2 negotiation, the LimitNegotiation property of the IPsecRule is first checked to determine if the negotiation role indicated for the rule matches that of the current negotiation (Initiator, Responder, or Either). Note that this limit applies only to new phase 2 negotiations. It is ignored when an attempt is made to refresh an expiring SA (either side can initiate a refresh operation). The IKE system can determine that the negotiation is a refresh operation by checking to see if the selector information matches that of an existing SA. If LimitNegotiation does not match and the selector corresponds to a new SA, the negotiation is stopped.
フェーズ2ネゴシエーションを開始する前に、IPsecRuleのLimitNegotiationプロパティは、最初のルールは、現在のネゴシエーション(イニシエータ、レスポンダ、またはいずれか)のものと一致するための交渉の役割が示されているかどうかを決定するためにチェックされます。この制限は新しいフェーズ2つのネゴシエーションにのみ適用されることに注意してください。試みが期限切れSAを(どちらかの側がリフレッシュ動作を開始することができます)リフレッシュするためになされたときには無視されます。 IKEシステムは、ネゴシエーションがセレクタ情報は、既存のSAのものと一致するかどうかをチェックすることにより、リフレッシュ動作であると判断することができます。 LimitNegotiationが一致しないと、セレクタが新しいSAに該当する場合は、ネゴシエーションが停止しています。
The property is defined as follows:
次のようにプロパティが定義されています。
NAME LimitNegotiation DESCRIPTION Limits the role to be undertaken during negotiation. SYNTAX unsigned 16-bit integer VALUE 1 - initiator-only 2 - responder-only 3 - both
NAME LimitNegotiationの説明は、交渉中に着手する役割を制限します。 SYNTAX符号なし16ビット整数値1 - イニシエータ専用2 - 応答のみ3 - 両方
The class IKERule associates Conditions and Actions for IKE phase 1 negotiations. The class definition for IKERule is as follows:
クラスIKERule仲間条件とIKEフェーズ1回の交渉のためのアクション。次のようにIKERuleのためのクラス定義は次のとおりです。
NAME IKERule DESCRIPTION Associates Conditions and Actions for IKE phase 1 negotiations. DERIVED FROM SARule ABSTRACT FALSE PROPERTIES same as SARule, plus IdentityContexts
NAME IKERule DESCRIPTIONアソシエイツ条件とIKEフェーズ1回の交渉のためのアクション。サルーレと同じサルーレABSTRACT FALSE PROPERTIES由来プラスIdentityContexts
The IKE service of a security endpoint may have multiple identities for use in different situations. The combination of the interface (represented by the IPProtocolEndpoint or by a collection of IPProtocolEndpoints), the identity type (as specified in the IKEAction), and the IdentityContexts specifies a unique identity.
セキュリティエンドポイントのIKEサービスは、さまざまな状況での使用のために複数のIDを持つことができます。 (IPProtocolEndpointによって又はIPProtocolEndpointsの集合によって表される)インタフェース、同一のタイプ(IKEActionで指定されるように)、そしてIdentityContextsの組み合わせは、ユニークなIDを指定します。
The IdentityContexts property specifies the context to select the relevant IKE identity to be used during the further IKEAction. A context may be a VPN name or other identifier for selecting the appropriate identity for use on the protected IPProtocolEndpoint (or collection of IPProtocolEndpoints).
IdentityContextsプロパティは、さらにIKEAction中に使用される、関連するIKE IDを選択するためのコンテキストを指定します。コンテキストは、保護IPProtocolEndpoint(又はIPProtocolEndpointsのコレクション)に使用するための適切なアイデンティティを選択するためのVPNの名前または他の識別子であってもよいです。
IdentityContexts is an array of strings. The multiple values in the array are logically ORed together in evaluating the IdentityContexts. Each value in the array may be the composition of multiple context names. So, a single value may be a single context name (e.g., "CompanyXVPN"), or it may be combination of contexts. When an array value is a composition, the individual values are logically ANDed together for evaluation purposes and the syntax is:
IdentityContextsは、文字列の配列です。アレイ内の複数の値は論理的IdentityContextsを評価する際に一緒にORされます。アレイ内の各値は、複数のコンテキスト名の組成物であってもよいです。したがって、単一の値は、単一のコンテキスト名(例えば、「CompanyXVPN」)であってもよいし、コンテキストの組み合わせであってもよいです。配列値が組成物である場合、個々の値は、論理的に評価目的のために一緒にAND演算及び構文はれます。
<ContextName>[&&<ContextName>]*
<コンテキスト名> [&& <コンテキスト名>] *
where the individual context names appear in alphabetical order (according to the collating sequence for UCS-2). So, for example, the values "CompanyXVPN", "CompanyYVPN&&TopSecret", "CompanyZVPN&&Confidential" means that, for the appropriate IPProtocolEndpoint and IdentityType, the contexts are matched if the identity specifies "CompanyXVPN", "CompanyYVPN&&TopSecret", or "CompanyZVPN&&Confidential".
個々のコンテキスト名をアルファベット順に表示される場所(UCS-2の照合順序に従います)。そのため、たとえば、値 "CompanyXVPN"、 "CompanyYVPN && TopSecret" は、 "CompanyZVPN &&秘密は" アイデンティティ "はCompanyXVPN"、 "CompanyYVPN && TopSecret"、または "CompanyZVPN &&機密" を指定した場合、適切なIPProtocolEndpointとたIdentityTypeのために、コンテキストが一致している、ということを意味します。
The property is defined as follows:
次のようにプロパティが定義されています。
NAME IdentityContexts DESCRIPTION Specifies the context in which to select the IKE identity. SYNTAX string array
NAME IdentityContexts説明IKE IDを選択するコンテキストを指定します。構文文字列配列
The class IPsecRule associates Conditions and Actions for IKE phase 2 negotiations for the IPsec DOI. The class definition for IPsecRule is as follows:
IPsecのDOIのためのIKEフェーズ2つのネゴシエーションのためのクラスIPsecRule関連付け条件とアクション。次のようにIPsecRuleのためのクラス定義は次のとおりです。
NAME IPsecRule DESCRIPTION Associates Conditions and Actions for IKE phase 2 negotiations for the IPsec DOI. DERIVED FROM SARule ABSTRACT FALSE PROPERTIES same as SARule
NAME IPsecRule DESCRIPTIONアソシエイツ条件とIPsec DOIのためのIKEフェーズ2つのネゴシエーションのためのアクション。サルーレと同じサルーレABSTRACT FALSEの施設から派生
The class IPsecPolicyForEndpoint associates a PolicyGroup with a specific network interface. If an IPProtocolEndpoint of a system does not have an IPsecPolicyForEndpoint-associated PolicyGroup, then the IPsecPolicyForSystem associated PolicyGroup is used for that endpoint. The class definition for IPsecPolicyForEndpoint is as follows:
クラスIPsecPolicyForEndpointは、特定のネットワークインタフェースを持つのPolicyGroupを関連付けます。システムのIPProtocolEndpointがIPsecPolicyForEndpoint関連のPolicyGroupを持っていない場合は、IPsecPolicyForSystem関連するのPolicyGroupは、そのエンドポイントのために使用されています。次のようにIPsecPolicyForEndpointのためのクラス定義は次のとおりです。
NAME IPsecPolicyForEndpoint DESCRIPTION Associates a policy group to a network interface. DERIVED FROM Dependency (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent[ref IPProtocolEndpoint[0..n]] Dependent[ref PolicyGroup[0..1]]
NAME IPsecPolicyForEndpoint説明は、ネットワークインターフェースにポリシーグループを関連付け。依存(参照[CIMCORE])要旨FALSE PROPERTIES前例から、派生[REF IPProtocolEndpoint [0..N]従属[参考文献のPolicyGroup [0..1]
The property Antecedent is inherited from Dependency and is overridden to refer to an IPProtocolEndpoint instance. The [0..n] cardinality indicates that a PolicyGroup instance may be associated with zero or more IPProtocolEndpoint instances.
プロパティ前例が依存関係から継承されIPProtocolEndpointインスタンスを参照するように上書きされます。 [0..N]基数でのPolicyGroupインスタンスがゼロ以上IPProtocolEndpointインスタンスに関連付けることができることを示しています。
The property Dependent is inherited from Dependency and is overridden to refer to a PolicyGroup instance. The [0..1] cardinality indicates that an IPProtocolEndpoint instance may have an association to at most one PolicyGroup instance.
依存性は、依存関係から継承されたPolicyGroupのインスタンスを参照するためにオーバーライドされます。 [0..1]基数は、IPProtocolEndpointインスタンスが最大1つのPolicyGroupインスタンスに関連を有することができることを示しています。
The class IPsecPolicyForSystem associates a PolicyGroup with a specific system. If an IPProtocolEndpoint of a system does not have an IPsecPolicyForEndpoint-associated PolicyGroup, then the IPsecPolicyForSystem associated PolicyGroup is used for that endpoint. The class definition for IPsecPolicyForSystem is as follows:
クラスIPsecPolicyForSystemは、特定のシステムとのPolicyGroupを関連付けます。システムのIPProtocolEndpointがIPsecPolicyForEndpoint関連のPolicyGroupを持っていない場合は、IPsecPolicyForSystem関連するのPolicyGroupは、そのエンドポイントのために使用されています。次のようにIPsecPolicyForSystemのためのクラス定義は次のとおりです。
NAME IPsecPolicyForSystem DESCRIPTION Default policy group for a system. DERIVED FROM Dependency (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent[ref System[0..n]] Dependent[ref PolicyGroup[0..1]]
システムのためのNAME IPsecPolicyForSystem説明デフォルトポリシーグループ。依存関係から派生([CIMCORE]を参照)要旨FALSE PROPERTIES前例[REFシステム[0..N]依存性[参考文献のPolicyGroup [0..1]
The property Antecedent is inherited from Dependency and is overridden to refer to a System instance. The [0..n] cardinality indicates that a PolicyGroup instance may have an association to zero or more System instances.
プロパティ前例が依存関係から継承され、システムのインスタンスを参照するためにオーバーライドされます。 [0..N]基数でのPolicyGroupインスタンスがゼロ以上のシステムインスタンスに関連を有することができることを示しています。
The property Dependent is inherited from Dependency and is overridden to refer to a PolicyGroup instance. The [0..1] cardinality indicates that a System instance may have an association to at most one PolicyGroup instance.
依存性は、依存関係から継承されたPolicyGroupのインスタンスを参照するためにオーバーライドされます。 [0..1]基数は、システム・インスタンスは、多くても1つのPolicyGroupインスタンスに関連を有することができることを示しています。
The class SAConditionInRule associates an SARule with the SACondition instance(s) that trigger(s) it. The class definition for SAConditionInRule is as follows:
クラスSAConditionInRuleはSAConditionインスタンス(複数可)は、トリガー(S)それとサルーレを関連付けます。次のようにSAConditionInRuleのためのクラス定義は次のとおりです。
NAME SAConditionInRule DESCRIPTION Associates an SARule with the SACondition instance(s) that trigger(s) it. DERIVED FROM PolicyConditionInPolicyRule (see [PCIM] & [PCIME]) ABSTRACT FALSE
NAME SAConditionInRule説明はSAConditionインスタンス(複数可)は、トリガー(S)それとサルーレを関連付け。 PolicyConditionInPolicyRuleから、派生ABSTRACT FALSE([PCIM]&[PCIME]を参照)
PROPERTIES GroupNumber (from PolicyConditionInPolicyRule) ConditionNegated (from PolicyConditionInPolicyRule) GroupComponent [ref SARule [0..n]] PartComponent [ref SACondition [1..n]]
(PolicyConditionInPolicyRuleから)(PolicyConditionInPolicyRuleから)PROPERTIES GroupNumber ConditionNegated GroupComponent [REFサルーレ[0..N] PartComponent [SACondition [1..nの】参考文献]
For a description of these properties, see [PCIM].
これらのプロパティの説明については、[PCIM]を参照。
The property GroupComponent is inherited from PolicyConditionInPolicyRule and is overridden to refer to an SARule instance. The [0..n] cardinality indicates that an SACondition instance may be contained in zero or more SARule instances.
プロパティGroupComponentはPolicyConditionInPolicyRuleから継承されサルーレインスタンスを参照するためにオーバーライドされます。 [0..N]基数は、SAConditionインスタンスがゼロ以上サルーレインスタンスに含まれ得ることを示しています。
The property PartComponent is inherited from PolicyConditionInPolicyRule and is overridden to refer to an SACondition instance. The [1..n] cardinality indicates that an SARule instance MUST contain at least one SACondition instance.
プロパティPartComponentはPolicyConditionInPolicyRuleから継承されSAConditionインスタンスを参照するように上書きされます。 [1..nの]基数は、サルーレインスタンスが少なくとも一つSAConditionインスタンスを含まなければならないことを示しています。
The PolicyActionInSARule class associates an SARule with one or more PolicyAction instances. In all cases where an SARule is being used, the contained actions MUST be either subclasses of SAAction or instances of CompoundPolicyAction. For an IKERule, the contained actions MUST be related to phase 1 processing, i.e., IKEAction or IKERejectAction. Similarly, for an IPsecRule, contained actions MUST be related to phase 2 or preconfigured SA processing, e.g., IPsecTransportAction, IPsecBypassAction, etc. The class definition for PolicyActionInSARule is as follows:
PolicyActionInSARuleクラスは、一つ以上のPolicyActionインスタンスとサルーレを関連付けます。サルーレが使用されているすべての場合において、含まれるアクションのいずれかSAActionのサブクラス又はCompoundPolicyActionのインスタンスでなければなりません。 IKERuleため、含まれるアクションは、1つの処理、すなわち、IKEAction又はIKERejectAction相に関連していなければなりません。以下同様に、アクションが2または事前設定されたSA処理相に関連していなければならない含まIPsecRule、のために、例えば、等IPsecTransportAction、IPsecBypassAction、PolicyActionInSARuleのためのクラス定義は次のとおりです。
NAME PolicyActionInSARule DESCRIPTION Associates an SARule with its PolicyAction(s). DERIVED FROM PolicyActionInPolicyRule (see [PCIM] & [PCIME]) ABSTRACT FALSE PROPERTIES GroupComponent [ref SARule [0..n]] PartComponent [ref PolicyAction [1..n]] ActionOrder (from PolicyActionInPolicyRule)
NAME PolicyActionInSARule説明はPolicyAction(S)とサルーレを関連付け。 PolicyActionInPolicyRuleから、派生(参照[PCIM]&[PCIME])要旨FALSE PROPERTIES GroupComponent [REFサルーレ[0..N] PartComponent(PolicyActionInPolicyRuleから)ActionOrder [PolicyAction [1..nの】参考文献]
The property GroupComponent is inherited from PolicyActionInPolicyRule and is overridden to refer to an SARule instance. The [0..n] cardinality indicates that an SAAction instance may be contained in zero or more SARule instances.
プロパティGroupComponentはPolicyActionInPolicyRuleから継承されサルーレインスタンスを参照するためにオーバーライドされます。 [0..N]基数は、SAActionインスタンスがゼロ以上サルーレインスタンスに含まれ得ることを示しています。
The property PartComponent is inherited from PolicyActionInPolicyRule and is overridden to refer to an SAAction or CompoundPolicyAction instance. The [1..n] cardinality indicates that an SARule instance MUST contain at least one SAAction or CompoundPolicyAction instance.
プロパティPartComponentはPolicyActionInPolicyRuleから継承されSAAction又はCompoundPolicyActionインスタンスを参照するように上書きされます。 [1..nの]基数は、サルーレインスタンスが少なくとも一つSAAction又はCompoundPolicyActionインスタンスを含まなければならないことを示しています。
The property ActionOrder is inherited from the superclass PolicyActionInPolicyRule. It specifies the relative position of this PolicyAction in the sequence of actions associated with a PolicyRule. The ActionOrder MUST be unique so as to provide a deterministic order. In addition, the actions in an SARule are executed as follows. See section 4.2.2, ExecutionStrategy, for a discussion on the use of the ActionOrder property.
プロパティActionOrderはスーパーPolicyActionInPolicyRuleから継承されます。それはのPolicyRuleに関連した一連の動作で、このPolicyActionの相対位置を指定します。決定論的順序を提供するようにActionOrderは一意でなければなりません。次のように加えて、サルーレのアクションが実行されます。 ActionOrderプロパティの使用に関する議論については、セクション4.2.2、ExecutionStrategyを参照してください。
The property is defined as follows:
次のようにプロパティが定義されています。
NAME ActionOrder DESCRIPTION Specifies the order of actions. SYNTAX unsigned 16-bit integer VALUE Any value between 1 and 2^16-1 inclusive. Lower values have higher precedence (i.e., 1 is the highest precedence). The merging order of two SAActions with the same precedence is undefined.
NAME ActionOrderの説明は、アクションの順序を指定します。 SYNTAX符号なし16ビット整数値1と2 ^ 16-1までの間の任意の値。低い値(すなわち、1が最高の優先順位である)より高い優先順位を有しています。同じ優先順位を持つ2つのSAActionsのマージ順序は未定義です。
The IPsec condition and filter classes are used to build the "if" part of the IKE and IPsec rules.
IPsecの条件とフィルタのクラスは、IKEとIPsecルールの「IF」の部分を構築するために使用されています。
*+-------------+
+--------------------| SACondition |
| +-------------+
| * |
| |(a)
| 1 |
| +---------------+
| | FilterList |
| |([CIMNETWORK]) |
| +---------------+
| 1 o
|(b) |(c)
| * |
| +-----------------+
| | FilterEntryBase |
| | ([CIMNETWORK]) |
| +-----------------+
| ^
| |
| +-----------------+ | +-----------------------+
| | IPHeadersFilter |----+----| CredentialFilterEntry |
| | ([PCIME]) | | +-----------------------+
| +-----------------+ |
| |
| +-----------------+ | +--------------------------+
| | IPSOFilterEntry |----+----| PeerIDPayloadFilterEntry |
| +-----------------+ +--------------------------+
|
| *+-----------------------------+
+------------| CredentialManagementService |
| ([CIMUSER]) |
+-----------------------------+
(a) FilterOfSACondition (b) AcceptCredentialsFrom (c) EntriesInFilterList (see [CIMNETWORK])
(A)FilterOfSACondition(B)AcceptCredentialsFrom(C)EntriesInFilterList([CIMNETWORK]を参照)
The class SACondition defines the conditions of rules for IKE and IPsec negotiations. Conditions are associated with policy rules via the SAConditionInRule aggregation. It is used as an anchor point to associate various types of filters with policy rules via the FilterOfSACondition association. It also defines whether Credentials can be accepted for a particular policy rule via the AcceptCredentialsFrom association.
クラスSAConditionはIKEとIPsec交渉のためのルールの条件を定義します。条件はSAConditionInRule凝集を介してポリシールールに関連付けられています。 FilterOfSAConditionアソシエーションを介してポリシー・ルールとフィルタの様々なタイプを関連付けるためにアンカーポイントとして使用されます。それはまた、資格がAcceptCredentialsFrom会合を介して特定のポリシールールに受け入れることができるかどうかを定義します。
Associated objects represent components of the condition that may or may not apply at a given rule evaluation. For example, an AcceptCredentialsFrom evaluation is only performed when a credential is available to be evaluated against the list of trusted credential management services. Similarly, a PeerIDPayloadFilterEntry may only be evaluated when an IDPayload value is available to compare with the filter. Condition components that do not have corresponding values with which to evaluate are evaluated as TRUE unless the protocol has completed without providing the required information.
関連するオブジェクトは、または特定のルールの評価に適用してもしなくてもよい状態のコンポーネントを表します。例えば、AcceptCredentialsFrom評価は資格が信頼できる資格情報管理サービスのリストに照らして評価されるために利用可能である場合にのみ実行されます。 IDPayload値がフィルタと比較するために利用可能である場合同様、PeerIDPayloadFilterEntryのみを評価することができます。プロトコルは、必要な情報を提供せずに完了していない限り、評価すると、対応する値を持っていない状態のコンポーネントがTRUEと評価されています。
The class definition for SACondition is as follows:
次のようにSAConditionのためのクラス定義は次のとおりです。
NAME SACondition DESCRIPTION Defines the preconditions for IKE and IPsec negotiations. DERIVED FROM PolicyCondition (see [PCIM]) ABSTRACT FALSE PROPERTIES PolicyConditionName (from PolicyCondition)
NAME SAConditionの説明は、IKEとIPsec交渉の前提条件を定義します。 (PolicyConditionから)PolicyCondition([PCIM]を参照)要旨FALSE PROPERTIES PolicyConditionNameから、派生
The class IPHeadersFilter is defined in [PCIME] with the following note:
クラスIPHeadersFilterは、以下の注意で[PCIME]で定義されます。
1) to specify 5-tuple filters that are to apply symmetrically (i.e., matches traffic in both directions of the same flows which is quite typical for SPD entries for ingress and egress traffic), the Direction property of the FilterList SHOULD be set to "Mirrored".
1)対称的に適用される5タプルのフィルタを指定する(すなわち、入口および出口トラフィックのSPDエントリ)のために非常に一般的であり、同じ流れの両方向のトラフィックと一致する、FilterListの方向性は、「に設定する必要がありますミラーリング」。
The class CredentialFilterEntry defines an equivalence class that match credentials of IKE peers. Each CredentialFilterEntry includes a MatchFieldName that is interpreted according to the CredentialManagementService(s) associated with the SACondition (AcceptCredentialsFrom).
クラスCredentialFilterEntryは、IKEピアの資格情報と一致等価クラスを定義します。各CredentialFilterEntryはSACondition(AcceptCredentialsFrom)に関連CredentialManagementService(S)に従って解釈されるMatchFieldNameを含みます。
These credentials can be X.509 certificates, Kerberos tickets, or other types of credentials obtained during the Phase 1 exchange.
これらの資格情報は、X.509証明書、Kerberosチケット、またはフェーズ1交換の際に取得した資格情報を他の種類のことができます。
Note: this filter entry will probably be checked while the IKE negotiation takes place. If the check is a failure, then the IKE negotiation MUST be stopped, and the result of the IKEAction which triggered this negotiation is a failure.
注:IKEネゴシエーションが行われている間、このフィルタのエントリは、おそらくチェックされます。チェックが失敗である場合には、IKEネゴシエーションが停止する必要があり、この交渉の引き金IKEActionの結果は失敗です。
The class definition for CredentialFilterEntry is as follows:
次のようにCredentialFilterEntryのためのクラス定義は次のとおりです。
NAME CredentialFilterEntry DESCRIPTION Specifies a match filter based on the IKE credentials. DERIVED FROM FilterEntryBase (see [CIMNETWORK]) ABSTRACT FALSE PROPERTIES Name (from FilterEntryBase) IsNegated (from FilterEntryBase) MatchFieldName MatchFieldValue CredentialType
NAME CredentialFilterEntry説明は、IKEの資格情報に基づいて整合フィルタを指定します。 FilterEntryBase([CIMNETWORK]参照)ABSTRACT FALSE PROPERTIES名(FilterEntryBaseから)(FilterEntryBaseから)IsNegated MatchFieldName MatchFieldValue CredentialTypeから、派生
The property MatchFieldName specifies the sub-part of the credential to match against MatchFieldValue. The property is defined as follows:
プロパティMatchFieldNameはMatchFieldValue照合する資格のサブ部分を指定します。次のようにプロパティが定義されています。
NAME MatchFieldName DESCRIPTION Specifies which sub-part of the credential to match. SYNTAX string VALUE This is the string representation of a X.509 certificate attribute, e.g.: - "serialNumber" - "signatureAlgorithm" - "issuerName" - "subjectName" - "subjectAltName" - ...
NAME MatchFieldName説明が一致する資格のどのサブ部分を指定します。 SYNTAX文字列値これは、X.509証明書の属性の文字列表現です、例えば: - 「のserialNumber」 - 「のsignatureAlgorithm」 - 「issuerName」 - 「サブジェクト名」 - 「のsubjectAltName」 - ...
The property MatchFieldValue specifies the value to compare with the MatchFieldName in a credential to determine if the credential matches this filter entry. The property is defined as follows:
プロパティMatchFieldValueは資格は、このフィルタエントリに一致するかどうかを判断するための資格でMatchFieldNameと比較する値を指定します。次のようにプロパティが定義されています。
NAME MatchFieldValue DESCRIPTION Specifies the value to be matched by the MatchFieldName.
NAME MatchFieldValue説明はMatchFieldNameで一致する値を指定します。
SYNTAX string VALUE NB: If the CredentialFilterEntry corresponds to a DistinguishedName, this value in the CIM class is represented by an ordinary string value. However, an implementation must convert this string to a DER-encoded string before matching against the values extracted from credentials at runtime.
構文文字列値NB:CredentialFilterEntryが識別名に対応する場合、CIMクラスのこの値は通常の文字列の値によって表されます。しかし、実装は、実行時に資格情報から抽出された値と照合する前にDERエンコードされた文字列には、この文字列を変換しなければなりません。
A wildcard mechanism may be used for MatchFieldNames that contain character strings. The MatchFieldValue may contain a wildcard character, '*', in the pattern match specification. For example, if the MatchFieldName is "subjectName", then a MatchFieldValue of "cn=*,ou=engineering,o=foo,c=be" will successfully match a certificate whose subject attribute is "cn=Jane Doe,ou=engineering,o=foo,c=be". The wildcard character can be used to represent 0 or more characters as would be displayed to the user (i.e., a wildcard pattern match operates on displayable character boundaries).
ワイルドカードメカニズムは、文字列が含まれているMatchFieldNamesするために使用することができます。 MatchFieldValueは、ワイルドカード文字が含まれていてもよい「*」、パターンマッチの仕様に。例えば、MatchFieldNameは「サブジェクト名」、その後のMatchFieldValue「CN = *、OU =エンジニアリング、O = FOO、C =も」成功した対象属性である証明書と一致します「CN =ジェーン・ドウ、OU =エンジニアリングであれば、O = FOO、C =」です。ワイルドカード文字は、ユーザ(すなわち、ワイルドカードパターンマッチが表示可能な文字の境界で動作する)に表示されるように0個以上の文字を表すために使用することができます。
The property CredentialType specifies the particular type of credential that is being matched. The property is defined as follows:
プロパティCredentialTypeが一致している資格情報の特定のタイプを指定します。次のようにプロパティが定義されています。
NAME CredentialType DESCRIPTION Defines the type of IKE credentials. SYNTAX unsigned 16-bit integer VALUE 1 - X.509 Certificate 2 - Kerberos Ticket
NAME CredentialType説明は、IKEの資格情報の種類を定義します。 SYNTAX符号なし16ビット整数値1 - X.509証明書2 - ケルベロスチケット
The class IPSOFilterEntry is used to match traffic based on the IP Security Options [IPSO] header values (ClassificationLevel and ProtectionAuthority) as defined in RFC 1108. This type of filter entry is used to adjust the IPsec encryption level according to the IPSO classification of the traffic (e.g., secret, confidential, restricted, etc.) The class definition for IPSOFilterEntry is as follows:
RFC 1108で定義されたクラスIPSOFilterEntryはIPセキュリティオプション[IPSO]ヘッダー値(ClassificationLevelとProtectionAuthority)に基づいてトラフィックを一致させるために使用されるフィルタエントリのこのタイプのIPSO分類に従ってIPsec暗号化レベルを調整するために使用されますトラフィック(例えば、秘密、機密、制限された、など)を次のようにIPSOFilterEntryのためのクラス定義は次のとおりです。
NAME IPSOFilterEntry DESCRIPTION Specifies the a match filter based on IP Security Options. DERIVED FROM FilterEntryBase (see [CIMNETWORK]) ABSTRACT FALSE
NAME IPSOFilterEntryの説明は、IPセキュリティオプションに基づいて整合フィルタを指定します。 FilterEntryBaseから、派生ABSTRACT FALSE([CIMNETWORK]を参照されたいです)
PROPERTIES Name (from FilterEntryBase) IsNegated (from FilterEntryBase) MatchConditionType MatchConditionValue
PROPERTIES(FilterEntryBaseから)名前(FilterEntryBaseから)IsNegated MatchConditionType MatchConditionValue
The property MatchConditionType specifies the IPSO header field that will be matched (e.g., traffic classification level or protection authority). The property is defined as follows:
プロパティMatchConditionTypeが一致するIPSOヘッダーフィールド(例えば、トラフィック分類レベルまたは保護権限)を指定します。次のようにプロパティが定義されています。
NAME MatchConditionType DESCRIPTION Specifies the IPSO header field to be matched. SYNTAX unsigned 16-bit integer VALUE 1 - ClassificationLevel 2 - ProtectionAuthority
NAME MatchConditionType説明を照合するIPSOヘッダーフィールドを指定します。 SYNTAX符号なし16ビット整数値1 - ClassificationLevel 2 - ProtectionAuthority
The property MatchConditionValue specifies the value of the IPSO header field to be matched against. The property is defined as follows:
プロパティMatchConditionValueを照合するIPSOヘッダーフィールドの値を指定します。次のようにプロパティが定義されています。
NAME MatchConditionValue DESCRIPTION Specifies the value of the IPSO header field to be matched against. SYNTAX unsigned 16-bit integer VALUE The values MUST be one of values listed in RFC 1108 (or any further IANA Assigned Numbers document). Some examples for ClassificationLevel are: 61 - TopSecret 90 - Secret 150 - Confidential 171 - Unclassified For ProtectionAuthority, some examples are: 0 - GENSER 1 - SIOP-ESI 2 - SCI 3 - NSA 4 - DOE
NAME MatchConditionValueの説明と照合されるIPSOヘッダーフィールドの値を指定します。 SYNTAX符号なし16ビット整数値の値は、RFC 1108に記載されている値のいずれか(または任意のさらなるIANA割り当て番号文書)でなければなりません。 ClassificationLevelためのいくつかの例は:61 - TopSecret 90 - 秘密150 - 秘密171 - ProtectionAuthorityについて未分類、いくつかの例である:0 - GENSER 1 - SIOP-ESI 2 - SCI 3 - NSA 4 - DOE
The class PeerIDPayloadFilterEntry defines filters used to match ID payload values from the IKE protocol exchange. PeerIDPayloadFilterEntry permits the specification of certain ID payload values such as "*@example.com" or "192.0.2.0/24".
クラスPeerIDPayloadFilterEntryは、IKEプロトコル交換からIDペイロード値を一致させるために使用されるフィルタを定義します。 PeerIDPayloadFilterEntryは、「*@example.com」又は「192.0.2.0/24」などの特定のIDペイロード値の指定を可能にします。
Obviously this filter applies only to IKERules when acting as a responder. Moreover, this filter can be applied immediately in the case of aggressive mode but its application is to be delayed in the case of main mode. The class definition for PeerIDPayloadFilterEntry is as follows:
応答者として動作する場合明らかに、このフィルタはIKERulesに適用されます。また、このフィルタは、アグレッシブモードの場合に直ちに適用することができるが、そのアプリケーションは、メインモードの場合に遅延されるべきです。次のようにPeerIDPayloadFilterEntryのためのクラス定義は次のとおりです。
NAME PeerIDPayloadFilterEntry DESCRIPTION Specifies a match filter based on IKE identity. DERIVED FROM FilterEntryBase (see [CIMNETWORK]) ABSTRACT FALSE PROPERTIES Name (from FilterEntryBase) IsNegated (from FilterEntryBase) MatchIdentityType MatchIdentityValue
NAME PeerIDPayloadFilterEntry説明は、IKEのアイデンティティに基づいて整合フィルタを指定します。 FilterEntryBase([CIMNETWORK]を参照)ABSTRACT FALSE PROPERTIES名(FilterEntryBaseから)(FilterEntryBaseから)IsNegated MatchIdentityType MatchIdentityValueから、派生
The property MatchIdentityType specifies the type of identity provided by the peer in the ID payload. The property is defined as follows:
プロパティMatchIdentityTypeは、IDペイロードにピアによって提供されたIDのタイプを指定します。次のようにプロパティが定義されています。
NAME MatchIdentityType DESCRIPTION Specifies the ID payload type. SYNTAX unsigned 16-bit integer VALUE Consult [DOI] for valid values.
NAME MatchIdentityTypeの説明IDペイロードタイプを指定します。 SYNTAX符号なし16ビット整数値は、有効な値の[DOI]を参照してください。
5.5.2. The Property MatchIdentityValue
5.5.2. プロパティMatchIdentityValue
The property MatchIdentityValue specifies the filter value for comparison with the ID payload, e.g., "*@example.com". The property is defined as follows:
プロパティMatchIdentityValueは、IDペイロード、例えば、「*@example.com」と比較するためのフィルタ値を指定します。次のようにプロパティが定義されています。
NAME MatchIdentityValue DESCRIPTION Specifies the ID payload value. SYNTAX string VALUE NB: The syntax may need to be converted for comparison. If the PeerIDPayloadFilterEntry type is a DistinguishedName, the name in the MatchIdentityValue property is represented by an ordinary string value, but this value must be converted into a DER-encoded string before matching against the values extracted from IKE ID payloads at runtime. The same applies to IPv4 & IPv6 addresses.
NAME MatchIdentityValueの説明IDペイロード値を指定します。 SYNTAX文字列値のNB:構文は、比較のために変換する必要があるかもしれません。 PeerIDPayloadFilterEntryタイプが識別名である場合、MatchIdentityValueプロパティ内の名前は、通常の文字列の値で表され、この値は、実行時にIKEのIDペイロードから抽出された値と照合する前にDERエンコードされた文字列に変換されなければなりません。同じは、IPv4&IPv6のアドレスに適用されます。
Different wildcard mechanisms can be used depending on the ID payload:
異なるワイルドカードメカニズムはIDペイロードに応じて使用することができます。
- a MatchIdentityValue of "*@example.com" will match a user FQDN ID payload of "JDOE@EXAMPLE.COM".
- 「*@example.com」「JDOE@EXAMPLE.COM」のユーザFQDN IDペイロードを一致するのMatchIdentityValue。
- a MatchIdentityValue of "*.example.com" will match a FQDN ID payload of "WWW.EXAMPLE.COM".
- "* .example.comと" のMatchIdentityValueは "WWW.EXAMPLE.COM" のFQDN IDペイロードを一致します。
- a MatchIdentityValue of "cn=*,ou=engineering,o=company,c=us" will match a DER DN ID payload of "cn=John Doe,ou=engineering,o=company,c=us".
- のMatchIdentityValue "CN = *、OU =エンジニアリング、O =会社、C = US" "CN =ジョン・ドウ、OU =エンジニアリング、O =会社、C = US" のDER DN IDペイロードを一致します。
- a MatchIdentityValue of "193.190.125.0/24" will match an IPv4 address ID payload of 193.190.125.10.
- 「193.190.125.0/24」のMatchIdentityValueは193.190.125.10のIPv4アドレスIDペイロードと一致します。
- a MatchIdentityValue of "193.190.125.*" will also match an IPv4 address ID payload of 193.190.125.10.
- のMatchIdentityValue「193.190.125。*」も193.190.125.10のIPv4アドレスのIDペイロードを一致します。
The above wildcard mechanisms MUST be supported for all ID payloads supported by the local IKE entity. The character '*' replaces 0 or multiple instances of any character as restricted by the type specified by MatchIdentityType.
上記ワイルドカードメカニズムは、ローカルIKEエンティティによってサポートされるすべてのIDペイロードのためにサポートしなければなりません。 MatchIdentityTypeによって指定された型によって制限として文字「*」は任意の文字の0または複数のインスタンスを置き換えます。
The class FilterOfSACondition associates an SACondition with the filter specifications (FilterList) that make up the condition. The class definition for FilterOfSACondition is as follows:
クラスFilterOfSAConditionは、条件を構成するフィルタ仕様(FilterList)とSAConditionを関連付けます。次のようにFilterOfSAConditionのためのクラス定義は次のとおりです。
NAME FilterOfSACondition DESCRIPTION Associates a condition with the filter list that makes up the individual condition elements. DERIVED FROM Dependency (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent [ref FilterList[1..1]] Dependent [ref SACondition[0..n]]
NAME FilterOfSAConditionの説明は、個々の条件要素を構成するフィルタリストで条件を関連付けます。依存(参照[CIMCORE])要旨FALSE PROPERTIES前例から、派生[REF FilterList [1..1]従属[REF SACondition [0..N]
The property Antecedent is inherited from Dependency and is overridden to refer to a FilterList instance. The [1..1] cardinality indicates that an SACondition instance MUST be associated with one and only one FilterList instance.
プロパティ前例が依存関係から継承されFilterListインスタンスを参照するように上書きされます。 [1..1]基数は、SAConditionインスタンスが、唯一のFilterListインスタンスに関連付けられなければならないことを示しています。
The property Dependent is inherited from Dependency and is overridden to refer to an SACondition instance. The [0..n] cardinality indicates that a FilterList instance may be associated with zero or more SACondition instances.
依存性は、依存関係から継承されSAConditionインスタンスを参照するように上書きされます。 [0..N]基数は、FilterListインスタンスがゼロ以上SAConditionインスタンスに関連付けることができることを示しています。
The class AcceptCredentialFrom specifies which credential management services (e.g., a CertificateAuthority or a Kerberos service) are to be trusted to certify peer credentials. This is used to assure that the credential being matched in the CredentialFilterEntry is a valid credential that has been supplied by an approved CredentialManagementService. If a CredentialManagementService is specified and a corresponding CredentialFilterEntry is used, but the credential supplied by the peer is not certified by that CredentialManagementService (or one of the CredentialManagementServices in its trust hierarchy), the CredentialFilterEntry is deemed not to match. If a credential is certified by a CredentialManagementService in the AcceptCredentialsFrom list of services, but there is no CredentialFilterEntry, this is considered equivalent to a CredentialFilterEntry that matches all credentials from those services.
クラスAcceptCredentialFromは、資格管理サービス(例えば、CertificateAuthorityまたはKerberosサービス)を指定したピアの資格を証明するために、信頼されることになります。これはCredentialFilterEntryで一致している資格が承認CredentialManagementServiceによって供給された有効な資格であることを確実にするために使用されます。 CredentialManagementServiceが指定され、対応するCredentialFilterEntryが使用されているが、ピアによって供給されたクレデンシャルがそのCredentialManagementService(又はその信頼階層におけるCredentialManagementServicesの1つ)によって認定されていない場合、CredentialFilterEntryは一致しないとみなされます。資格は、サービスのAcceptCredentialsFromリストでCredentialManagementServiceによって認定さが、ないCredentialFilterEntryが存在していない場合、これはそれらのサービスからのすべての資格情報と一致したCredentialFilterEntryと等価であると考えています。
The class definition for AcceptCredentialFrom is as follows:
次のようにAcceptCredentialFromのためのクラス定義は次のとおりです。
NAME AcceptCredentialFrom DESCRIPTION Associates a condition with the credential management services to be trusted. DERIVED FROM Dependency (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent [ref CredentialManagementService[0..n]] Dependent [ref SACondition[0..n]]
NAME AcceptCredentialFromの説明は、資格情報管理サービスとの条件が信頼されるように関連付けます。依存(参照[CIMCORE])要旨FALSE PROPERTIES前例から、派生[REF CredentialManagementService [0..N]従属[REF SACondition [0..N]
The property Antecedent is inherited from Dependency and is overridden to refer to a CredentialManagementService instance. The [0..n] cardinality indicates that an SACondition instance may be associated with zero or more CredentialManagementService instances.
プロパティ前例が依存関係から継承されCredentialManagementServiceインスタンスを参照するように上書きされます。 [0..N]基数は、SAConditionインスタンスがゼロ以上CredentialManagementServiceインスタンスに関連付けることができることを示しています。
The property Dependent is inherited from Dependency and is overridden to refer to a SACondition instance. The [0..n] cardinality indicates that a CredentialManagementService instance may be associated with zero or more SACondition instances.
依存性は、依存関係から継承されSAConditionインスタンスを参照するように上書きされます。 [0..N]基数は、CredentialManagementServiceインスタンスがゼロ以上SAConditionインスタンスに関連付けることができることを示しています。
The action classes are used to model the different actions an IPsec device may take when the evaluation of the associated condition results in a match.
アクションクラスはIPsecのデバイスが取り得る異なるアクションをモデル化するために使用されるとき、一致の関連する条件の結果の評価。
+----------+
| SAAction |
+----------+
^
|
+-----------+--------------+
| |
| +---------------------+
| | SaNegotiationAction |
| +---------------------+
| ^
| |
+----------------+ +----------------------+*
| SAStaticAction | | IKENegotiationAction |o----+
+----------------+ +----------------------+ |
^ ^ |
| | |
| +-----------+-------+ |
| | | |
+-------------------+ | +-------------+ +-----------+ |
| IPsecBypassAction |---+ | IPsecAction | | IKEAction | |
+-------------------+ | +-------------+ +-----------+ |
| ^ |
+--------------------+ | | +----------------------+ |
| IPsecDiscardAction |---+ +----| IPsecTransportAction | |
+--------------------+ | | +----------------------+ |
| | |
+-----------------+ | | +-------------------+ |
| IKERejectAction |---+ +----| IPsecTunnelAction | |
+-----------------+ | +-------------------+ |
| *| |
| +--------------+ |
| | |
+-----------------------+ | | +--------------+n |
| PreconfiguredSAAction |---+ |(a) | [SAProposal] |-------+
+-----------------------+ | +--------------+ (b)
*| ^ |
| | | *+-------------+
| | +-------| PeerGateway |
| | +-------------+
| | +-----------------------------+ |0..1 *w|
| +--| PreconfiguredTransportAction| | |(c)
| | +-----------------------------+ | 1|
| | | +--------------+
| | +---------------------------+ * | | System |
| +--| PreconfiguredTunnelAction |-----+ | ([CIMCORE]) |
| +---------------------------+ (e) +--------------+
|
| 2..6+---------------+
+-------| [SATransform] |
(d) +---------------+
(a) PeerGatewayForTunnel (b) ContainedProposal (c) HostedPeerGatewayInformation (d) TransformOfPreconfiguredAction (e) PeerGatewayForPreconfiguredTunnel
(B)perugativephortunnel(B)kantainedamproposal(C)hostadipirgatevayimphormasan(D)transapharmaprikanphigaredaksan(A)perugativephorprekamphiguredtunnel
The class SAAction is abstract and serves as the base class for IKE and IPsec actions. It is used for aggregating different types of actions to IKE and IPsec rules. The class definition for SAAction is as follows:
クラスSAActionは抽象的であり、IKEとIPsecアクションの基本クラスとして機能します。これは、IKEとIPsec規則にアクションの種類を集約するために使用されています。次のようにSAActionのためのクラス定義は次のとおりです。
NAME SAAction DESCRIPTION The base class for IKE and IPsec actions. DERIVED FROM PolicyAction (see [PCIM]) ABSTRACT TRUE PROPERTIES PolicyActionName (from PolicyAction) DoActionLogging DoPacketLogging
IKEとIPsecアクションのSAAction説明基底クラスに名前を付けます。 (PolicyActionから)PolicyAction([PCIM]を参照)ABSTRACT TRUE PROPERTIES PolicyActionName DoActionLogging DoPacketLoggingから、派生
The property DoActionLogging specifies whether a log message is to be generated when the action is performed. This applies for SANegotiationActions with the meaning of logging a message when the negotiation is attempted (with the success or failure result). This also applies for SAStaticAction only for PreconfiguredSAAction with the meaning of logging a message when the preconfigured SA is actually installed in the SADB. The property is defined as follows:
プロパティDoActionLoggingは、ログメッセージは、アクションが実行されたときに生成されるかどうかを指定します。これは交渉が(成功または失敗の結果で)しようとした場合のメッセージをログに記録するという意味でSANegotiationActionsに適用されます。これはまた、事前に設定SAが実際にSADBにインストールされているときに、メッセージをログに記録するという意味でのみPreconfiguredSAActionためSAStaticActionに適用されます。次のようにプロパティが定義されています。
NAME DoActionLogging DESCRIPTION Specifies the whether to log when the action is performed. SYNTAX boolean VALUE true - a log message is to be generated when action is performed. false - no log message is to be generated when action is performed.
NAME DoActionLoggingの説明は、アクションが実行されたときにログに記録するかどうかを指定します。真SYNTAXブール値 - ログメッセージは、アクションが実行されたときに生成されます。偽 - ログ・メッセージは、アクションが実行されるときに生成されるべきではありません。
The property DoPacketLogging specifies whether a log message is to be generated when the resulting security association is used to process the packet. If the SANegotiationAction successfully executes and results in the creation of one or several security associations, or if the PreconfiguredSAAction executes, the value of DoPacketLogging SHOULD be propagated to an optional field of SADB. This optional field should be used to decide whether a log message is to be generated when the SA is used to process a packet. For SAStaticActions, a log message is to be generated when the IPsecBypassAction, IPsecDiscardAction, or IKERejectAction are executed. The property is defined as follows:
プロパティDoPacketLoggingは、得られたセキュリティアソシエーションがパケットを処理するために使用される場合、ログメッセージが生成されるかどうかを指定します。 SANegotiationActionが正常に行われ、1つまたは複数のセキュリティアソシエーションの作成で結果場合PreconfiguredSAActionが実行された場合、または、DoPacketLoggingの値は、SADBの任意のフィールドに伝播されるべきである(SHOULD)。このオプションフィールドは、SAがパケットを処理するのに使用されている場合、ログメッセージが生成されるかどうかを決定するために使用されるべきです。 SAStaticActionsため、ログメッセージはIPsecBypassAction、IPsecDiscardAction、又はIKERejectActionが実行されるときに生成されます。次のようにプロパティが定義されています。
NAME DoPacketLogging DESCRIPTION Specifies whether to log when the resulting security association is used to process the packet. SYNTAX boolean VALUE true - a log message is to be generated when the resulting security association is used to process the packet. false - no log message is to be generated.
NAME DoPacketLogging説明は、得られたセキュリティアソシエーションがパケットを処理するために使用されるときにログに記録するかどうかを指定します。真SYNTAXブール値 - 結果として生じるセキュリティアソシエーションは、パケットを処理するために使用される場合、ログメッセージが生成されます。偽 - ログ・メッセージが生成されるべきではありません。
The class SAStaticAction is abstract and serves as the base class for IKE and IPsec actions that do not require any negotiation. The class definition for SAStaticAction is as follows:
クラスSAStaticActionは抽象的であり、任意の交渉を必要としないIKEとIPsecアクションの基本クラスとして機能します。次のようにSAStaticActionのためのクラス定義は次のとおりです。
NAME SAStaticAction DESCRIPTION The base class for IKE and IPsec actions that do not require any negotiation. DERIVED FROM SAAction ABSTRACT TRUE PROPERTIES LifetimeSeconds
任意の交渉を必要としないIKEとIPsecアクションのSAStaticAction説明基底クラスに名前を付けます。 SAAction ABSTRACT TRUE PROPERTIES LifetimeSecondsから、派生
The property LifetimeSeconds specifies how long the security association derived from this action should be used. The property is defined as follows:
プロパティLifetimeSecondsこのアクションから派生したセキュリティアソシエーションが使用されなければならない時間を指定します。次のようにプロパティが定義されています。
NAME LifetimeSeconds DESCRIPTION Specifies the amount of time (in seconds) that a security association derived from this action should be used. SYNTAX unsigned 64-bit integer
NAME LifetimeSeconds説明この作用に由来するセキュリティアソシエーションを使用することを時間(秒単位)を指定します。 SYNTAX符号なし64ビット整数
VALUE A value of zero indicates that there is not a lifetime associated with this action (i.e., infinite lifetime). A non-zero value is typically used in conjunction with alternate SAActions performed when there is a negotiation failure of some sort.
値はゼロの値は、このアクション(すなわち、無限の寿命)に関連付けられたライフタイムがないことを示しています。非ゼロ値は、典型的には、ある種のネゴシエーション障害がある場合に行わ代替SAActionsと組み合わせて使用されます。
Note: if the referenced SAStaticAction object is a PreconfiguredSAAction associated to several SATransforms, then the actual lifetime of the preconfigured SA will be the lesser of the value of this LifetimeSeconds property and of the value of the MaxLifetimeSeconds property of the associated SATransform. If the value of this LifetimeSeconds property is zero, then there will be no lifetime associated to this SA.
注:参照SAStaticActionオブジェクトはいくつかのSATransformsに関連PreconfiguredSAActionである場合、事前設定されたSAの実際の寿命は、この値より少ないプロパティをLifetimeSecondsおよび関連SATransformのMaxLifetimeSecondsプロパティの値であろう。このLifetimeSecondsプロパティの値がゼロである場合、このSAに関連付けられた寿命は存在しないであろう。
Note: while some SA negotiation protocols [IKE] can negotiate the lifetime as an arbitrary length field, the authors have assumed that a 64-bit integer will be sufficient.
注:一部のSAネゴシエーションプロトコル[IKE]は任意の長さのフィールドとして寿命を交渉することができるが、著者らは、64ビット整数が十分であると仮定しています。
It is expected that most SAStaticAction instances will have their LifetimeSeconds properties set to zero (meaning no expiration of the resulting SA).
(結果のSAの無期限を意味していない)最もSAStaticActionインスタンスがゼロに設定され、そのLifetimeSeconds特性を有することが期待されます。
The class IPsecBypassAction is used when packets are allowed to be processed without applying IPsec encapsulation to them. This is the same as stating that packets are allowed to flow in the clear. The class definition for IPsecBypassAction is as follows:
パケットが許可されているときに使用されるクラスIPsecBypassActionはそれらにIPsecのカプセル化を適用せずに処理されます。これは、パケットが明らかに流れることが許可されていることを示すと同じです。次のようにIPsecBypassActionのためのクラス定義は次のとおりです。
NAME IPsecBypassAction DESCRIPTION Specifies that packets are to be allowed to pass in the clear. DERIVED FROM SAStaticAction ABSTRACT FALSE
NAME IPsecBypassAction説明は、パケットが明確で通過を許可することを指定します。 SAStaticAction ABSTRACT falseから派生
The class IPsecDiscardAction is used when packets are to be discarded. This is the same as stating that packets are to be denied. The class definition for IPsecDiscardAction is as follows:
パケットが破棄されるときに、クラスのIPsecDiscardActionが使用されています。これは、パケットが拒否されるべきである旨のと同じです。次のようにIPsecDiscardActionのためのクラス定義は次のとおりです。
NAME IPsecDiscardAction DESCRIPTION Specifies that packets are to be discarded. DERIVED FROM SAStaticAction ABSTRACT FALSE
NAME IPsecDiscardAction説明は、パケットが破棄されることを指定します。 SAStaticAction ABSTRACT falseから派生
The class IKERejectAction is used to prevent attempting an IKE negotiation with the peer(s). The main use of this class is to prevent some denial of service attacks when acting as IKE responder. It goes beyond a plain discard of UDP/500 IKE packets because the SACondition can be based on specific PeerIDPayloadFilterEntry (when aggressive mode is used). The class definition for IKERejectAction is as follows:
クラスIKERejectActionは、ピア(単数または複数)とIKEネゴシエーションを試みる防止するために使用されます。このクラスの主な用途は、IKEの応答者として動作するときに、サービス攻撃のいくつかの拒否を防ぐためです。 SAConditionは(アグレッシブモードが使用されている)特定のPeerIDPayloadFilterEntryに基づくことができるので、それはUDP / 500 IKEパケットの平野廃棄超えています。次のようにIKERejectActionのためのクラス定義は次のとおりです。
NAME IKERejectAction DESCRIPTION Specifies that an IKE negotiation should not even be attempted or continued. DERIVED FROM SAStaticAction ABSTRACT FALSE
NAME IKERejectAction説明は、IKEネゴシエーションでもしようとしたり継続しないことを指定します。 SAStaticAction ABSTRACT falseから派生
The class PreconfiguredSAAction is used to create a security association using preconfigured, hard-wired algorithms and keys.
クラスPreconfiguredSAActionは事前設定された、ハードワイヤードアルゴリズムと鍵を使用してセキュリティアソシエーションを作成するために使用されます。
Notes:
ノート:
- the SPI for a PreconfiguredSAAction is contained in the association, TransformOfPreconfiguredAction;
- PreconfiguredSAActionためのSPIを関連付け、TransformOfPreconfiguredActionに含まれています。
- the session key (if applicable) is contained in an instance of the class SharedSecret (see [CIMUSER]). The session key is stored in the property Secret, the property protocol contains either "ESP-encrypt", "ESP-auth" or "AH", the property algorithm contains the algorithm used to protect the secret (can be "PLAINTEXT" if the IPsec entity has no secret storage), the value of property RemoteID is the concatenation of the remote IPsec peer IP address in dotted decimal, of the character "/", of "IN" (respectively "OUT") for inbound SA (respectively outbound SA), of the character "/", and of the hexadecimal representation of the SPI.
- セッションキーは(該当する場合)クラスしsharedsecretのインスタンスに含まれている(〔をCIMUser]参照)。セッション鍵は、プロパティの秘密に格納され、プロパティプロトコルはどちらか含まれている「ESP-暗号化」、「ESP-AUTH」または「AH」、プロパティのアルゴリズムは秘密を保護するために使用されるアルゴリズムが含まれている場合(「PLAINTEXT」することができインバウンドSA用のIPsec)は秘密のストレージを持っていないエンティティは、プロパティRemoteIDの値が「IN」(それぞれ「OUT」の文字「/」、の、ドット十進でのリモートIPSecピアのIPアドレスを連結したものです)(それぞれ、アウトバウンドSA)、「/」、およびSPIの16進数表記の文字の。
Although the class is concrete, it MUST not be instantiated. The class definition for PreconfiguredSAAction is as follows:
クラスは、コンクリートではあるが、それはインスタンス化してはいけません。次のようにPreconfiguredSAActionのためのクラス定義は次のとおりです。
NAME PreconfiguredSAAction DESCRIPTION Specifies preconfigured algorithm and keying information for creation of a security association. DERIVED FROM SAStaticAction ABSTRACT TRUE PROPERTIES LifetimeKilobytes
NAME PreconfiguredSAActionの説明は、事前に構成アルゴリズムとセキュリティアソシエーションを作成するための鍵情報を指定します。 SAStaticAction ABSTRACT TRUE PROPERTIES LifetimeKilobytesから、派生
The property LifetimeKilobytes specifies a traffic limit in kilobytes that can be consumed before the SA is deleted. The property is defined as follows:
プロパティLifetimeKilobytes SAが削除される前に消費することができキロバイト単位でトラフィックの制限を指定します。次のようにプロパティが定義されています。
NAME LifetimeKilobytes DESCRIPTION Specifies the SA lifetime in kilobytes. SYNTAX unsigned 64-bit integer VALUE A value of zero indicates that there is not a lifetime associated with this action (i.e., infinite lifetime). A non-zero value is used to indicate that after this number of kilobytes has been consumed the SA must be deleted from the SADB.
NAME LifetimeKilobytes DESCRIPTIONはキロバイト単位でSAのライフタイムを指定します。 SYNTAX符号なし64ビット整数値ゼロの値は、このアクション(すなわち、無限の寿命)に関連付けられたライフタイムがないことを示しています。非ゼロ値は、キロバイトのこの数は消費された後にSAはSADBから削除されなければならないことを示すために使用されます。
Note: the actual lifetime of the preconfigured SA will be the lesser of the value of this LifetimeKilobytes property and of the value of the MaxLifetimeSeconds property of the associated SATransform. If the value of this LifetimeKilobytes property is zero, then there will be no lifetime associated with this action.
注:事前設定されたSAの実際の寿命は、この値より少ないプロパティをLifetimeKilobytesおよび関連SATransformのMaxLifetimeSecondsプロパティの値であろう。このLifetimeKilobytesプロパティの値がゼロの場合、このアクションに関連付けられた寿命は存在しません。
Note: while some SA negotiation protocols [IKE] can negotiate the lifetime as an arbitrary length field, the authors have assumed that a 64-bit integer will be sufficient.
注:一部のSAネゴシエーションプロトコル[IKE]は任意の長さのフィールドとして寿命を交渉することができるが、著者らは、64ビット整数が十分であると仮定しています。
It is expected that most PreconfiguredSAAction instances will have their LifetimeKilobyte properties set to zero (meaning no expiration of the resulting SA).
ほとんどのPreconfiguredSAActionインスタンスが(結果のSAの無期限を意味していない)、そのLifetimeKilobyteプロパティがゼロに設定されていることが期待されます。
The class PreconfiguredTransportAction is used to create an IPsec transport-mode security association using preconfigured, hard-wired algorithms and keys. The class definition for PreconfiguredTransportAction is as follows:
クラスPreconfiguredTransportActionは事前設定された、ハードワイヤードアルゴリズム及びキーを使用したIPsecトランスポート・モードのセキュリティアソシエーションを作成するために使用されます。次のようにPreconfiguredTransportActionのためのクラス定義は次のとおりです。
NAME PreconfiguredTransportAction DESCRIPTION Specifies preconfigured algorithm and keying information for creation of an IPsec transport security association. DERIVED FROM PreconfiguredSAAction ABSTRACT FALSE
NAME PreconfiguredTransportActionの説明は、事前に構成アルゴリズムとIPsecのトランスポート・セキュリティ・アソシエーションを作成するための鍵情報を指定します。 PreconfiguredSAAction ABSTRACT falseから派生
The class PreconfiguredTunnelAction is used to create an IPsec tunnel-mode security association using preconfigured, hard-wired algorithms and keys. The class definition for PreconfiguredSAAction is as follows:
クラスPreconfiguredTunnelActionは事前設定された、ハードワイヤードアルゴリズム及びキーを使用したIPsecトンネルモードのセキュリティアソシエーションを作成するために使用されます。次のようにPreconfiguredSAActionのためのクラス定義は次のとおりです。
NAME PreconfiguredTunnelAction DESCRIPTION Specifies preconfigured algorithm and keying information for creation of an IPsec tunnel-mode security association. DERIVED FROM PreconfiguredSAAction ABSTRACT FALSE PROPERTIES DFHandling
NAME PreconfiguredTunnelAction説明は、事前設定されたアルゴリズムおよびIPsecトンネルモードのセキュリティアソシエーションを作成するためのキー情報を指定します。 PreconfiguredSAAction ABSTRACT FALSEの施設から派生DFHandling
The property DFHandling specifies how the Don't Fragment (DF) bit of the internal IP header is to be handled during IPsec processing. The property is defined as follows:
DFHandlingは、内部IPヘッダのないフラグメント(DF)ビットを行う方法を指定するプロパティは、IPsec処理中に処理すべきです。次のようにプロパティが定義されています。
NAME DFHandling DESCRIPTION Specifies the processing of the DF bit. SYNTAX unsigned 16-bit integer VALUE 1 - Copy the DF bit from the internal IP header to the external IP header. 2 - Set the DF bit of the external IP header to 1. 3 - Clear the DF bit of the external IP header to 0.
NAME DFHandling説明は、DFビットの処理を指定します。 SYNTAX符号なし16ビット整数値1 - 外部IPヘッダに内部IPヘッダからDFビットをコピーします。 2 - 1. 3の外部IPヘッダのDFビットをセット0 - 外部IPヘッダのDFビットをクリア。
The class SANegotiationAction specifies an action requesting security policy negotiation.
クラスSANegotiationActionは、セキュリティポリシーの交渉を要求するアクションを指定します。
This is an abstract class. Currently, only one security policy negotiation protocol action is subclassed from SANegotiationAction: the IKENegotiationAction class. It is nevertheless expected that other security policy negotiation protocols will exist and the negotiation actions of those new protocols would be modeled as a subclass of SANegotiationAction.
これは抽象クラスです。現在、唯一のセキュリティポリシー交渉プロトコルアクションがSANegotiationActionからサブクラス化されます。IKENegotiationActionクラス。それにもかかわらず、他のセキュリティポリシー交渉プロトコルが存在することが予想され、それらの新しいプロトコルの交渉アクションはSANegotiationActionのサブクラスとしてモデル化されるだろう。
NAME SANegotiationAction DESCRIPTION Specifies a negotiation action. DERIVED FROM SAAction ABSTRACT TRUE
NAME SANegotiationAction説明は、交渉のアクションを指定します。 SAAction ABSTRACT trueから派生
The class IKENegotiationAction is abstract and serves as the base class for IKE and IPsec actions that result in an IKE negotiation. The class definition for IKENegotiationAction is as follows:
クラスIKENegotiationActionは抽象的であり、IKEネゴシエーションをもたらすIKEとIPsecアクションの基本クラスとして機能します。次のようにIKENegotiationActionのためのクラス定義は次のとおりです。
NAME IKENegotiationAction DESCRIPTION A base class for IKE and IPsec actions that specifies the parameters that are common for IKE phase 1 and IKE phase 2 IPsec DOI negotiations. DERIVED FROM SANegotiationAction ABSTRACT TRUE PROPERTIES MinLifetimeSeconds MinLifetimeKilobytes IdleDurationSeconds
IKENegotiationAction説明IKEフェーズ1とIKEフェーズ2回のIPsec DOI交渉に共通のパラメータを指定するIKEとIPsecアクションの基本クラスを指定。 SANegotiationAction ABSTRACT TRUE PROPERTIES MinLifetimeSeconds MinLifetimeKilobytes IdleDurationSecondsから、派生
The property MinLifetimeSeconds specifies the minimum seconds in a lifetime that will be accepted from the peer. MinLifetimeSeconds is used to prevent certain denial of service attacks where the peer requests an arbitrarily low lifetime value, causing renegotiations with expensive Diffie-Hellman operations. The property is defined as follows:
プロパティMinLifetimeSecondsピアから受け入れられる寿命の最小秒を指定します。 MinLifetimeSecondsピアは高価のDiffie-Hellman操作と再交渉を引き起こし、任意に低ライフタイム値を要求するサービス攻撃の特定の拒否を防止するために使用されます。次のようにプロパティが定義されています。
NAME MinLifetimeSeconds DESCRIPTION Specifies the minimum seconds acceptable in a lifetime. SYNTAX unsigned 64-bit integer VALUE A value of zero indicates that there is no minimum value. A non-zero value specifies the minimum seconds lifetime.
NAME MinLifetimeSeconds DESCRIPTIONは一生に許容可能な最小秒を指定します。 SYNTAX符号なし64ビット整数値は、ゼロの値は、最小値が存在しないことを示しています。非ゼロ値は最小秒の寿命を指定します。
Note: while IKE can negotiate the lifetime as an arbitrary length field, the authors have assumed that a 64-bit integer will be sufficient.
注:IKEは、任意の長さフィールドとして寿命を交渉することができるが、著者らは、64ビット整数が十分であると仮定しています。
The property MinLifetimeKilobytes specifies the minimum kilobytes of a lifetime that will be accepted from the peer. MinLifetimeKilobytes is used to prevent certain denial of service attacks, where the peer requests an arbitrarily low lifetime value, causing renegotiations with correspondingly expensive Diffie-Hellman operations. Note that there has been considerable debate regarding the usefulness of applying kilobyte lifetimes to IKE phase 1 security associations, so it is likely that this property will only apply to the sub-class IPsecAction. The property is defined as follows:
プロパティMinLifetimeKilobytesピアから受け入れられる寿命の最小キロバイトを指定します。 MinLifetimeKilobytesは、ピアが相応に高価なのDiffie-Hellman操作と再交渉を引き起こし、任意に低ライフタイム値を要請するサービス攻撃、特定の拒否を防ぐために使用されます。 IKEフェーズ1のセキュリティアソシエーションにキロバイト寿命の適用の有用性についてかなりの議論があったことに注意してくださいので、このプロパティは唯一のサブクラスIPsecActionに適用される可能性があります。次のようにプロパティが定義されています。
NAME MinLifetimeKilobytes DESCRIPTION Specifies the minimum kilobytes acceptable in a lifetime. SYNTAX unsigned 64-bit integer VALUE A value of zero indicates that there is no minimum value. A non-zero value specifies the minimum kilobytes lifetime.
NAME MinLifetimeKilobytes説明は、寿命の許容される最小キロバイトを指定します。 SYNTAX符号なし64ビット整数値は、ゼロの値は、最小値が存在しないことを示しています。非ゼロ値は、最小キロバイトの寿命を指定します。
Note: While IKE can negotiate the lifetime as an arbitrary length field, the authors have assumed that a 64-bit integer will be sufficient.
注:IKEは、任意の長さフィールドとして寿命を交渉することができるが、著者らは、64ビット整数が十分であると仮定しています。
The property IdleDurationSeconds specifies how many seconds a security association may remain idle (i.e., no traffic protected using the security association) before it is deleted. The property is defined as follows:
プロパティIdleDurationSecondsは、セキュリティアソシエーションがアイドル状態のままでも何秒を指定します(つまり、セキュリティアソシエーションを使用して保護されていないトラフィック)が削除される前に。次のようにプロパティが定義されています。
NAME IdleDurationSeconds DESCRIPTION Specifies how long, in seconds, a security association may remain unused before it is deleted. SYNTAX unsigned 64-bit integer VALUE A value of zero indicates that idle detection should not be used for the security association (only the seconds and kilobyte lifetimes will be used). Any non-zero value indicates the number of seconds the security association may remain unused.
NAME IdleDurationSeconds DESCRIPTIONは秒単位で、どのくらいの時間を指定し、それが削除される前に、セキュリティアソシエーションは未使用のままです。 SYNTAX符号なし64ビット整数値ゼロの値は、(わずか数秒とキロバイトの寿命が使用される)アイドル検出は、セキュリティアソシエーションのために使用すべきではないことを示しています。ゼロ以外の値は、セキュリティ・アソシエーションは、未使用のままである秒数を示しています。
The class IPsecAction serves as the base class for IPsec transport and tunnel actions. It specifies the parameters used for an IKE phase 2 IPsec DOI negotiation. The class definition for IPsecAction is as follows:
クラスIPsecActionは、IPsecトランスポートおよびトンネルアクションの基本クラスとして機能します。これは、IKEフェーズ2のIPSec DOIの交渉のために使用されるパラメータを指定します。次のようにIPsecActionのためのクラス定義は次のとおりです。
NAME IPsecAction DESCRIPTION A base class for IPsec transport and tunnel actions that specifies the parameters for IKE phase 2 IPsec DOI negotiations. DERIVED FROM IKENegotiationAction ABSTRACT TRUE PROPERTIES UsePFS UseIKEGroup GroupId Granularity VendorID
NAME IPsecAction説明IKEフェーズ2のIPsec DOI交渉のためのパラメータを指定するIPsecトランスポートおよびトンネルアクションの基本クラス。 IKENegotiationAction ABSTRACT TRUE PROPERTIES UsePFS UseIKEGroupグループID粒度ベンダーIDから派生して
The property UsePFS specifies whether or not perfect forward secrecy should be used when refreshing keys. The property is defined as follows:
プロパティUsePFSキーをリフレッシュする際に完全転送秘密を使用すべきかどうかを指定します。次のようにプロパティが定義されています。
NAME UsePFS DESCRIPTION Specifies the whether or not to use PFS when refreshing keys. SYNTAX boolean VALUE A value of true indicates that PFS should be used. A value of false indicates that PFS should not be used.
NAME UsePFS DESCRIPTIONは、キーをリフレッシュする際にPFSを使用するかどうかを指定します。 SYNTAXブール値は、真の値がPFSが使用されるべきであることを示しています。偽の値がPFSを使用すべきではないことを示しています。
The property UseIKEGroup specifies whether or not phase 2 should use the same key exchange group as was used in phase 1. UseIKEGroup is ignored if UsePFS is false. The property is defined as follows:
UsePFSがfalseの場合UseIKEGroupはフェーズ1 UseIKEGroupに使用されたように、位相2が同じ鍵交換基を使用する必要があるかどうかを指定するプロパティは無視されます。次のようにプロパティが定義されています。
NAME UseIKEGroup DESCRIPTION Specifies whether or not to use the same GroupId for phase 2 as was used in phase 1. If UsePFS is false, then UseIKEGroup is ignored. SYNTAX boolean VALUE A value of true indicates that the phase 2 GroupId should be the same as phase 1. A value of false indicates that the property GroupId will contain the key exchange group to use for phase 2.
NAME UseIKEGroup説明はUsePFSがfalseの場合、UseIKEGroupが無視されるフェーズ1で使用したように、位相2のために同じグループIDを使用するかどうかを指定します。 SYNTAXブール値は、真の値は、位相2グループIDが偽の値は、プロパティグループIDは、位相2のために使用するキー交換基を含有するであろうことを示しているフェーズ1と同じでなければならないことを示しています。
The property GroupId specifies the key exchange group to use for phase 2. GroupId is ignored if (1) the property UsePFS is false, or (2) the property UsePFS is true and the property UseIKEGroup is true. If the GroupID number is from the vendor-specific range (32768- 65535), the property VendorID qualifies the group number. The property is defined as follows:
(1)プロパティUsePFSがfalseであるか、または(2)プロパティUsePFSがtrueでプロパティUseIKEGroupが真である場合にグループIDがフェーズ2グループIDに使用するキー交換基を指定するプロパティは無視されます。グループID番号は、ベンダー固有の範囲(32768- 65535)からのものである場合、プロパティベンダーIDは、グループ番号を修飾します。次のようにプロパティが定義されています。
NAME GroupId DESCRIPTION Specifies the key exchange group to use for phase 2 when the property UsePFS is true and the property UseIKEGroup is false. SYNTAX unsigned 16-bit integer VALUE Consult [IKE] for valid values.
プロパティUsePFSがtrueで、プロパティUseIKEGroupがfalseの場合NAMEグループIDの説明は、フェーズ2に使用するキー交換グループを指定します。 SYNTAX符号なし16ビット整数値は、有効な値の[IKE]を参照してください。
The property Granularity specifies how the selector for the security association should be derived from the traffic that triggered the negotiation. The property is defined as follows:
プロパティの粒度は、セキュリティアソシエーションのためのセレクタがネゴシエーションをトリガしたトラフィックから派生する方法を指定します。次のようにプロパティが定義されています。
NAME Granularity DESCRIPTION Specifies how the proposed selector for the security association will be created. SYNTAX unsigned 16-bit integer VALUE 1 - subnet: the source and destination subnet masks of the filter entry are used. 2 - address: only the source and destination IP addresses of the triggering packet are used. 3 - protocol: the source and destination IP addresses and the IP protocol of the triggering packet are used. 4 - port: the source and destination IP addresses and the IP protocol and the source and destination layer 4 ports of the triggering packet are used.
NAME粒度の説明は、セキュリティアソシエーションのために提案されているセレクタが作成される方法を指定します。 SYNTAX符号なし16ビット整数値1 - サブネット:フィルタエントリの送信元および宛先サブネットマスクが使用されています。 2 - アドレス:のみトリガーパケットの送信元および宛先IPアドレスが使用されています。 3 - プロトコル:ソースおよび宛先IPアドレスとトリガーパケットのIPプロトコルが使用されています。 4 - ポート:送信元と宛先のIPアドレスおよびIPプロトコルとトリガーパケットの4つのポートが使用されるソースおよび宛先層。
The property VendorID is used together with the property GroupID (when it is in the vendor-specific range) to identify the key exchange group. VendorID is ignored unless UsePFS is true and UseIKEGroup is false and GroupID is in the vendor-specific range (32768-65535). The property is defined as follows:
プロパティのベンダーIDは、鍵交換グループを識別するためにプロパティグループID(それはベンダ固有の範囲である)と一緒に使用されます。 UsePFSが真であるとUseIKEGroupが偽であり、グループIDは、ベンダー固有の範囲(32768から65535)でない限り、ベンダーIDは無視されます。次のようにプロパティが定義されています。
NAME VendorID DESCRIPTION Specifies the IKE Vendor ID. SYNTAX string
NAMEベンダーIDの説明は、IKEのベンダーIDを指定します。 SYNTAX文字列
The class IPsecTransportAction is a subclass of IPsecAction that is used to specify use of an IPsec transport-mode security association. The class definition for IPsecTransportAction is as follows:
クラスIPsecTransportActionは、IPsecトランスポート・モードのセキュリティアソシエーションの使用を指定するために使用されるIPsecActionのサブクラスです。次のようにIPsecTransportActionのためのクラス定義は次のとおりです。
NAME IPsecTransportAction DESCRIPTION Specifies that an IPsec transport-mode security association should be negotiated. DERIVED FROM IPsecAction ABSTRACT FALSE
NAME IPsecTransportActionの説明は、IPsecトランスポートモードセキュリティアソシエーションがネゴシエートされなければならないことを指定します。 IPsecAction ABSTRACT falseから派生
The class IPsecTunnelAction is a subclass of IPsecAction that is used to specify use of an IPsec tunnel-mode security association. The class definition for IPsecTunnelAction is as follows:
クラスIPsecTunnelActionは、IPsecトンネルモードのセキュリティアソシエーションの使用を指定するために使用されるIPsecActionのサブクラスです。次のようにIPsecTunnelActionのためのクラス定義は次のとおりです。
NAME IPsecTunnelAction DESCRIPTION Specifies that an IPsec tunnel-mode security association should be negotiated. DERIVED FROM IPsecAction ABSTRACT FALSE PROPERTIES DFHandling
NAME IPsecTunnelAction説明は、IPsecトンネルモードのセキュリティアソシエーションをネゴシエートすることを指定します。 IPsecAction ABSTRACT FALSEの施設から派生DFHandling
The property DFHandling specifies how the tunnel should manage the Don't Fragment (DF) bit. The property is defined as follows:
プロパティDFHandlingはトンネルがDo not Fragment(DF)ビットを管理する方法を指定します。次のようにプロパティが定義されています。
NAME DFHandling DESCRIPTION Specifies how to process the DF bit. SYNTAX unsigned 16-bit integer VALUE 1 - Copy the DF bit from the internal IP header to the external IP header. 2 - Set the DF bit of the external IP header to 1. 3 - Clear the DF bit of the external IP header to 0.
NAME DFHandling説明はDFビットをどのように処理するかを指定します。 SYNTAX符号なし16ビット整数値1 - 外部IPヘッダに内部IPヘッダからDFビットをコピーします。 2 - 1. 3の外部IPヘッダのDFビットをセット0 - 外部IPヘッダのDFビットをクリア。
The class IKEAction specifies the parameters that are to be used for IKE phase 1 negotiation. The class definition for IKEAction is as follows:
クラスIKEActionは、IKEフェーズ1ネゴシエーションに使用されるパラメータを指定します。次のようにIKEActionのためのクラス定義は次のとおりです。
NAME IKEAction DESCRIPTION Specifies the IKE phase 1 negotiation parameters. DERIVED FROM IKENegotiationAction ABSTRACT FALSE PROPERTIES ExchangeMode UseIKEIdentityType VendorID AggressiveModeGroupId
NAME IKEActionの説明IKEフェーズ1ネゴシエーションパラメータを指定します。 ExchangeMode UseIKEIdentityTypeベンダーID AggressiveModeGroupId IKENegotiationAction ABSTRACT FALSEの施設から派生
The property ExchangeMode specifies which IKE mode should be used for IKE phase 1 negotiations. The property is defined as follows:
プロパティExchangeModeは、IKEモードがIKEフェーズ1つのネゴシエーションのために使用されるべきかを指定します。次のようにプロパティが定義されています。
NAME ExchangeMode DESCRIPTION Specifies the IKE negotiation mode for phase 1. SYNTAX unsigned 16-bit integer VALUE 1 - base mode 2 - main mode 4 - aggressive mode
ベースモード - 2 - メインモード4 - アグレッシブモードNAME ExchangeMode説明は、フェーズ1 SYNTAX符号なし16ビット整数値1のIKEネゴシエーションモードを指定します
The property UseIKEIdentityType specifies what IKE identity type should be used when negotiating with the peer. This information is used in conjunction with the IKE identities available on the system and the IdentityContexts of the matching IKERule. The property is defined as follows:
プロパティUseIKEIdentityTypeは、ピアとのネゴシエーション時のIKEアイデンティティタイプを使用すべきかを指定します。この情報は、システム上で利用可能なIKE IDとマッチングIKERuleのIdentityContextsと組み合わせて使用されます。次のようにプロパティが定義されています。
NAME UseIKEIdentityType DESCRIPTION Specifies the IKE identity to use during negotiation. SYNTAX unsigned 16-bit integer VALUE Consult [DOI] for valid values.
NAME UseIKEIdentityTypeの説明は、交渉中に使用するIKE IDを指定します。 SYNTAX符号なし16ビット整数値は、有効な値の[DOI]を参照してください。
The property VendorID specifies the value to be used in the Vendor ID payload. The property is defined as follows:
プロパティベンダーIDはベンダーIDペイロードに使用する値を指定します。次のようにプロパティが定義されています。
NAME VendorID DESCRIPTION Vendor ID Payload. SYNTAX string VALUE A value of NULL means that Vendor ID payload will be neither generated nor accepted. A non-NULL value means that a Vendor ID payload will be generated (when acting as an initiator) or is expected (when acting as a responder).
NAMEベンダーID DESCRIPTIONベンダーIDペイロード。構文文字列の値は、NULLの値はベンダーIDペイロードが発生することも、受理されるどちらことを意味します。非NULL値(開始剤として作用する場合)または(レスポンダとして機能する場合)期待されているベンダーIDペイロードが生成されることを意味します。
The property AggressiveModeGroupId specifies which group ID is to be used in the first packets of the phase 1 negotiation. This property is ignored unless the property ExchangeMode is set to 4 (aggressive mode). If the AggressiveModeGroupID number is from the vendor-specific range (32768-65535), the property VendorID qualifies the group number. The property is defined as follows:
プロパティAggressiveModeGroupIdは、フェーズ1ネゴシエーションの最初のパケットで使用されるべきグループIDを指定します。プロパティExchangeModeが4(アグレッシブモード)に設定されていない限り、このプロパティは無視されます。 AggressiveModeGroupID番号はベンダー固有の範囲(32768から65535)からのものである場合、プロパティベンダーIDは、グループ番号を修飾します。次のようにプロパティが定義されています。
NAME AggressiveModeGroupId DESCRIPTION Specifies the group ID to be used for aggressive mode. SYNTAX unsigned 16-bit integer
NAME AggressiveModeGroupId説明はアグレッシブモードで使用するグループIDを指定します。 SYNTAX符号なし16ビット整数
The class PeerGateway specifies the security gateway with which the IKE services negotiates. The class definition for PeerGateway is as follows:
クラスPeerGatewayは、IKEサービスが交渉していると、セキュリティゲートウェイを指定します。次のようにPeerGatewayのためのクラス定義は次のとおりです。
NAME PeerGateway DESCRIPTION Specifies the security gateway with which to negotiate. DERIVED FROM LogicalElement (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Name PeerIdentityType PeerIdentity
NAME PeerGateway説明は、交渉すると、セキュリティゲートウェイを指定します。 LogicalElementから、派生(参照[CIMCORE])要旨FALSEプロパティ名前PeerIdentityType PeerIdentity
Note: The class PeerIdentityEntry contains more information about the peer (namely its IP address).
注意:クラスPeerIdentityEntryは、ピア(すなわち、そのIPアドレス)についての詳細情報が含まれています。
The property Name specifies a user-friendly name for this security gateway. The property is defined as follows:
プロパティ名は、このセキュリティゲートウェイのわかりやすい名前を指定します。次のようにプロパティが定義されています。
NAME Name DESCRIPTION Specifies a user-friendly name for this security gateway. SYNTAX string
NAME名説明は、このセキュリティゲートウェイのユーザーフレンドリーな名前を指定します。 SYNTAX文字列
The property PeerIdentityType specifies the IKE identity type of the security gateway. The property is defined as follows:
プロパティPeerIdentityTypeは、セキュリティゲートウェイのIKEアイデンティティタイプを指定します。次のようにプロパティが定義されています。
NAME PeerIdentityType DESCRIPTION Specifies the IKE identity type of the security gateway. SYNTAX unsigned 16-bit integer VALUE Consult [DOI] for valid values.
NAME PeerIdentityType説明は、セキュリティゲートウェイのIKEアイデンティティタイプを指定します。 SYNTAX符号なし16ビット整数値は、有効な値の[DOI]を参照してください。
The property PeerIdentity specifies the IKE identity value of the security gateway. Based upon the storage chosen for the task-specific mapping of the information model, a conversion may be needed from the stored representation of the PeerIdentity string to the real value used in the ID payload (e.g., IP address is to be converted from a dotted decimal string into 4 bytes). The property is defined as follows:
プロパティPeerIdentityは、セキュリティゲートウェイのIKEのID値を指定します。情報モデルのタスク固有のマッピングのために選択されたストレージに基づいて、変換がIDペイロードに使用される実際の値にPeerIdentity列の保存された表現から必要とされてもよい(例えば、IPアドレスはドットから変換されます4バイトに十進数)。次のようにプロパティが定義されています。
NAME PeerIdentity DESCRIPTION Specifies the IKE identity value of the security gateway. SYNTAX string
NAME PeerIdentity説明は、セキュリティゲートウェイのIKEのID値を指定します。 SYNTAX文字列
The class PeerGatewayForTunnel associates IPsecTunnelActions with an ordered list of PeerGateways. The class definition for PeerGatewayForTunnel is as follows:
クラスPeerGatewayForTunnelはPeerGatewaysの順序付きリストでIPsecTunnelActionsを関連付けます。次のようにPeerGatewayForTunnelのためのクラス定義は次のとおりです。
NAME PeerGatewayForTunnel DESCRIPTION Associates IPsecTunnelActions with an ordered list of PeerGateways. DERIVED FROM Dependency (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent [ref PeerGateway[0..n]] Dependent [ref IPsecTunnelAction[0..n]] SequenceNumber
PeerGatewaysの順序付きリストでPeerGatewayForTunnel DESCRIPTIONアソシエイツIPsecTunnelActions名前を付けます。依存(参照[CIMCORE])要旨FALSE PROPERTIES前例から、派生[REF PeerGateway [0..N]従属[REF IPsecTunnelAction [0..N] SequenceNumberは
The property Antecedent is inherited from Dependency and is overridden to refer to a PeerGateway instance. The [0..n] cardinality indicates that an IPsecTunnelAction instance may be associated with zero or more PeerGateway instances.
プロパティ前例が依存関係から継承されPeerGatewayインスタンスを参照するように上書きされます。 [0..N]基数は、IPsecTunnelActionインスタンスがゼロ以上PeerGatewayインスタンスに関連付けることができることを示しています。
Note: The cardinality 0 has a specific meaning:
注意:カーディナリティ0は、特定の意味を持っています:
- when the IKE service acts as a responder, this means that the IKE service will accept phase 1 negotiation with any other security gateway;
- IKEサービスがレスポンダとして機能する場合、これは、IKEサービスは、他のセキュリティゲートウェイとのフェーズ1ネゴシエーションを受け入れることを意味します。
- when the IKE service acts as an initiator, this means that the IKE service will use the destination IP address (of the IP packets which triggered the SARule) as the IP address of the peer IKE entity.
- IKEサービスが開始剤として作用したとき、これは、IKEサービスは、ピアIKEエンティティのIPアドレスとして(サルーレをトリガし、IPパケットの)宛先IPアドレスを使用することを意味します。
The property Dependent is inherited from Dependency and is overridden to refer to an IPsecTunnelAction instance. The [0..n] cardinality indicates that a PeerGateway instance may be associated with zero or more IPsecTunnelAction instances.
依存性は、依存関係から継承されIPsecTunnelActionインスタンスを参照するように上書きされます。 [0..N]基数は、PeerGatewayインスタンスがゼロ以上IPsecTunnelActionインスタンスに関連付けることができることを示しています。
The property SequenceNumber specifies the ordering to be used when evaluating PeerGateway instances for a given IPsecTunnelAction. The property is defined as follows:
プロパティSequenceNumberは、与えられたIPsecTunnelActionためPeerGatewayインスタンスを評価するときに使用する順序を指定します。次のようにプロパティが定義されています。
NAME SequenceNumber DESCRIPTION Specifies the order of evaluation for PeerGateways. SYNTAX unsigned 16-bit integer VALUE Lower values are evaluated first.
NAME SequenceNumberは説明がPeerGatewaysの評価順序を指定します。 SYNTAX符号なし16ビット整数値が低い値が最初に評価されます。
The class ContainedProposal associates an ordered list of SAProposals with the IKENegotiationAction that aggregates it. If the referenced IKENegotiationAction object is an IKEAction, then the referenced SAProposal object(s) must be IKEProposal(s). If the referenced IKENegotiationAction object is an IPsecTransportAction or an IPsecTunnelAction, then the referenced SAProposal object(s) must be IPsecProposal(s). The class definition for ContainedProposal is as follows:
クラスContainedProposalは、それを集約IKENegotiationActionとSAProposalsの順序付きリストを関連付けます。参照IKENegotiationActionオブジェクトがIKEActionある場合、参照SAProposalオブジェクト(複数可)IKEProposal(S)でなければなりません。参照IKENegotiationActionオブジェクトがIPsecTransportAction又はIPsecTunnelActionある場合、参照SAProposalオブジェクト(複数可)IPsecProposal(S)でなければなりません。次のようにContainedProposalのためのクラス定義は次のとおりです。
NAME ContainedProposal
DESCRIPTION Associates an ordered list of SAProposals with an
IKENegotiationAction.
DERIVED FROM PolicyComponent (see [PCIM])
ABSTRACT FALSE
PROPERTIES GroupComponent[ref IKENegotiationAction[0..n]]
PartComponent[ref SAProposal[1..n]]
SequenceNumber
- The property GroupComponent is inherited from PolicyComponent and is overridden to refer to an IKENegotiationAction instance. The [0..n] cardinality indicates that an SAProposal instance may be associated with zero or more IKENegotiationAction instances.
- プロパティGroupComponentはPolicyComponentから継承されIKENegotiationActionインスタンスを参照するように上書きされます。 [0..N]基数は、SAProposalインスタンスがゼロ以上IKENegotiationActionインスタンスに関連付けることができることを示しています。
The property PartComponent is inherited from PolicyComponent and is overridden to refer to an SAProposal instance. The [1..n] cardinality indicates that an IKENegotiationAction instance MUST be associated with at least one SAProposal instance.
プロパティPartComponentはPolicyComponentから継承されSAProposalインスタンスを参照するためにオーバーライドされます。 [1..nの]基数は、IKENegotiationActionインスタンスが少なくとも一つSAProposalインスタンスに関連付けられなければならないことを示しています。
The property SequenceNumber specifies the order of preference for the SAProposals. The property is defined as follows:
プロパティSequenceNumberははSAProposalsの優先順位を指定します。次のようにプロパティが定義されています。
NAME SequenceNumber DESCRIPTION Specifies the preference order for the SAProposals. SYNTAX unsigned 16-bit integer VALUE Lower-valued proposals are preferred over proposals with higher values. For ContainedProposals that reference the same IKENegotiationAction, SequenceNumber values must be unique.
NAME SequenceNumberは説明がSAProposalsの優先順位を指定します。 SYNTAX符号なし16ビット整数値が低い値の提案は、より高い値を持つ提案よりも好ましいです。同じIKENegotiationActionを参照ContainedProposalsために、SequenceNumberは値が一意である必要があります。
The class HostedPeerGatewayInformation weakly associates a PeerGateway with a System. The class definition for HostedPeerGatewayInformation is as follows:
クラスHostedPeerGatewayInformationは弱いシステムとPeerGatewayを関連付けます。次のようにHostedPeerGatewayInformationのためのクラス定義は次のとおりです。
NAME HostedPeerGatewayInformation DESCRIPTION Weakly associates a PeerGateway with a System. DERIVED FROM Dependency (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent [ref System[1..1]] Dependent [ref PeerGateway[0..n] [weak]]
NAMEのHostedPeerGatewayInformation説明は弱くシステムでPeerGatewayを関連付けます。依存(参照[CIMCORE])要旨FALSE PROPERTIES前例から、派生[REFシステム[1..1]依存性[REF PeerGateway [0..N] [弱]
The property Antecedent is inherited from Dependency and is overridden to refer to a System instance. The [1..1] cardinality indicates that a PeerGateway instance MUST be associated with one and only one System instance.
プロパティ前例が依存関係から継承され、システムのインスタンスを参照するためにオーバーライドされます。 [1..1]基数は、PeerGatewayインスタンスが唯一つのシステムインスタンスに関連付けられなければならないことを示しています。
The property Dependent is inherited from Dependency and is overridden to refer to a PeerGateway instance. The [0..n] cardinality indicates that a System instance may be associated with zero or more PeerGateway instances.
依存性は、依存関係から継承されPeerGatewayインスタンスを参照するように上書きされます。 [0..N]基数は、システム・インスタンスは、ゼロ以上PeerGatewayインスタンスに関連付けることができることを示しています。
The class TransformOfPreconfiguredAction associates a PreconfiguredSAAction with two, four or six SATransforms that will be applied to the inbound and outbound traffic. The order of application of the SATransforms is implicitly defined in [IPSEC]. The class definition for TransformOfPreconfiguredAction is as follows:
クラスTransformOfPreconfiguredActionは、インバウンドとアウトバウンドのトラフィックに適用される2つ、4つまたは6つSATransformsとPreconfiguredSAActionを関連付けます。 SATransformsの適用の順序は、暗黙的に[IPSEC]で定義されています。次のようにTransformOfPreconfiguredActionのためのクラス定義は次のとおりです。
NAME TransformOfPreconfiguredAction DESCRIPTION Associates a PreconfiguredSAAction with from one to three SATransforms. DERIVED FROM Dependency (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent[ref SATransform[2..6]] Dependent[ref PreconfiguredSAAction[0..n]] SPI Direction
NAME TransformOfPreconfiguredAction説明は一から三SATransformsとPreconfiguredSAActionを関連付け。依存(参照[CIMCORE])要旨FALSE PROPERTIES前例から、派生[REF SATransform [2..6]従属[REF PreconfiguredSAAction [0..N] SPI方向
The property Antecedent is inherited from Dependency and is overridden to refer to an SATransform instance. The [2..6] cardinality indicates that a PreconfiguredSAAction instance may be associated with two to six SATransform instances.
プロパティ前例が依存関係から継承されSATransformインスタンスを参照するように上書きされます。 [2..6]基数は、PreconfiguredSAActionインスタンスが2〜6 SATransformインスタンスに関連付けることができることを示しています。
The property Dependent is inherited from Dependency and is overridden to refer to a PreconfiguredSAAction instance. The [0..n] cardinality indicates that a SATransform instance may be associated with zero or more PreconfiguredSAAction instances.
依存性は、依存関係から継承されPreconfiguredSAActionインスタンスを参照するように上書きされます。 [0..N]基数は、SATransformインスタンスがゼロ以上PreconfiguredSAActionインスタンスに関連付けることができることを示しています。
The property SPI specifies the SPI to be used by the pre-configured action for the associated transform. The property is defined as follows:
プロパティSPIは、関連付けられた変換のための事前設定されたアクションが使用するSPIを指定します。次のようにプロパティが定義されています。
NAME SPI DESCRIPTION Specifies the SPI to be used with the SATransform. SYNTAX unsigned 32-bit integer
NAME SPIの説明SATransformで使用するSPIを指定します。 SYNTAX符号なし32ビット整数
The property Direction specifies whether the SPI property is for inbound or outbound traffic. The property is defined as follows:
プロパティの方向は、SPIプロパティは、インバウンドまたはアウトバウンドトラフィックのためにあるかどうかを指定します。次のようにプロパティが定義されています。
NAME Direction DESCRIPTION Specifies whether the SA is for inbound or outbound traffic. SYNTAX unsigned 8-bit integer VALUE 1 - this SA is for inbound traffic 2 - this SA is for outbound traffic
NAME方向説明はSAがインバウンドまたはアウトバウンドトラフィックのためにあるかどうかを指定します。 SYNTAX符号なし8ビット整数値1 - このSAは、インバウンドトラフィック2のためのものである - このSAは、アウトバウンドトラフィックのためのものです
The class PeerGatewayForPreconfiguredTunnel associates zero or one PeerGateways with multiple PreconfiguredTunnelActions. The class definition for PeerGatewayForPreconfiguredTunnel is as follows:
クラスPeerGatewayForPreconfiguredTunnelは、複数のPreconfiguredTunnelActionsゼロまたは1 PeerGatewaysを関連付けます。次のようにPeerGatewayForPreconfiguredTunnelのためのクラス定義は次のとおりです。
NAME PeerGatewayForPreconfiguredTunnel DESCRIPTION Associates a PeerGateway with multiple PreconfiguredTunnelActions. DERIVED FROM Dependency (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent[ref PeerGateway[0..1]] Dependent[ref PreconfiguredTunnelAction[0..n]]
NAME PeerGatewayForPreconfiguredTunnel説明は、複数PreconfiguredTunnelActionsとPeerGatewayを関連付け。依存(参照[CIMCORE])要旨FALSE PROPERTIES前例から、派生[REF PeerGateway [0..1]従属[REF PreconfiguredTunnelAction [0..N]
The property Antecedent is inherited from Dependency and is overridden to refer to a PeerGateway instance. The [0..1] cardinality indicates that a PreconfiguredTunnelAction instance may be associated with one PeerGteway instance.
プロパティ前例が依存関係から継承されPeerGatewayインスタンスを参照するように上書きされます。 [0..1]基数は、PreconfiguredTunnelActionインスタンスは、1つのPeerGtewayインスタンスに関連付けられてもよいことを示しています。
The property Dependent is inherited from Dependency and is overridden to refer to a PreconfiguredTunnelAction instance. The [0..n] cardinality indicates that a PeerGateway instance may be associated with zero or more PreconfiguredSAAction instances.
依存性は、依存関係から継承されPreconfiguredTunnelActionインスタンスを参照するように上書きされます。 [0..N]基数は、PeerGatewayインスタンスがゼロ以上PreconfiguredSAActionインスタンスに関連付けることができることを示しています。
The proposal and transform classes model the proposal settings an IPsec device will use during IKE phase 1 and 2 negotiations.
提案とクラスを変換するモデルが提案は、IPsecデバイスは、IKEフェーズ1と2の交渉の際に使用する設定します。
+--------------+*w 1+--------------+
| [SAProposal] |--------| System |
+--------------+ (a) | ([CIMCORE]) |
^ +--------------+
| |1
+----------------------+ |
| | |
+-------------+ +---------------+ |
| IKEProposal | | IPsecProposal | |
+-------------+ +---------------+ |
*o |
|(b) |(c)
n| |
+---------------+*w |
| [SATransform] |----+
+---------------+
^
|
+--------------------+-----------+---------+
| | |
+-------------+ +--------------+ +----------------+
| AHTransform | | ESPTransform | |IPCOMPTransform |
+-------------+ +--------------+ +----------------+
(a) SAProposalInSystem (b) ContainedTransform (c) SATransformInSystem
(A)SAProposalInSystem(B)ContainedTransform(C)SATransformInSystem
The abstract class SAProposal serves as the base class for the IKE and IPsec proposal classes. It specifies the parameters that are common to the two proposal types. The class definition for SAProposal is as follows:
抽象クラスSAProposalは、IKEおよびIPsec提案クラスの基本クラスとして機能します。これは、2つの提案の種類に共通するパラメータを指定します。次のようにSAProposalのためのクラス定義は次のとおりです。
NAME SAProposal DESCRIPTION Specifies the common proposal parameters for IKE and IPsec security association negotiation. DERIVED FROM Policy ([PCIM]) ABSTRACT TRUE PROPERTIES Name
NAME SAProposalの説明は、IKEとIPsecセキュリティアソシエーションのネゴシエーションのための共通の提案のパラメータを指定します。ポリシー([PCIM])ABSTRACT TRUE PROPERTIES名から派生
The property Name specifies a user-friendly name for the SAProposal. The property is defined as follows:
プロパティName SAProposalのためのユーザーフレンドリーな名前を指定します。次のようにプロパティが定義されています。
NAME Name DESCRIPTION Specifies a user-friendly name for this proposal. SYNTAX string
NAME名説明はこの提案のためのユーザーフレンドリーな名前を指定します。 SYNTAX文字列
The class IKEProposal specifies the proposal parameters necessary to drive an IKE security association negotiation. The class definition for IKEProposal is as follows:
クラスIKEProposalは、IKEセキュリティアソシエーションのネゴシエーションを駆動するのに必要な提案パラメータを指定します。次のようにIKEProposalのためのクラス定義は次のとおりです。
NAME IKEProposal DESCRIPTION Specifies the proposal parameters for IKE security association negotiation. DERIVED FROM SAProposal ABSTRACT FALSE PROPERTIES CipherAlgorithm HashAlgorithm PRFAlgorithm GroupId AuthenticationMethod MaxLifetimeSeconds MaxLifetimeKilobytes VendorID
NAME IKEProposalの説明は、IKEセキュリティアソシエーションのネゴシエーションのための提案のパラメータを指定します。 CipherAlgorithm HashAlgorithm PRFAlgorithmグループIDはAuthenticationMethod MaxLifetimeSeconds MaxLifetimeKilobytesベンダーID SAProposal ABSTRACT FALSEの施設から派生
The property CipherAlgorithm specifies the proposed phase 1 security association encryption algorithm. The property is defined as follows:
プロパティCipherAlgorithmは、提案されたフェーズ1つのセキュリティアソシエーションの暗号化アルゴリズムを指定します。次のようにプロパティが定義されています。
NAME CipherAlgorithm DESCRIPTION Specifies the proposed encryption algorithm for the phase 1 security association. SYNTAX unsigned 16-bit integer VALUE Consult [IKE] for valid values.
NAME CipherAlgorithm説明はフェーズ1のセキュリティアソシエーションのために提案された暗号化アルゴリズムを指定します。 SYNTAX符号なし16ビット整数値は、有効な値の[IKE]を参照してください。
The property HashAlgorithm specifies the proposed phase 1 security association hash algorithm. The property is defined as follows:
プロパティHashAlgorithmは、提案されたフェーズ1セキュリティアソシエーションのハッシュアルゴリズムを指定します。次のようにプロパティが定義されています。
NAME HashAlgorithm DESCRIPTION Specifies the proposed hash algorithm for the phase 1 security association. SYNTAX unsigned 16-bit integer VALUE Consult [IKE] for valid values.
NAME HashAlgorithm説明はフェーズ1のセキュリティアソシエーションのために提案されたハッシュアルゴリズムを指定します。 SYNTAX符号なし16ビット整数値は、有効な値の[IKE]を参照してください。
The property PRFAlgorithm specifies the proposed phase 1 security association pseudo-random function. The property is defined as follows:
プロパティPRFAlgorithmは、提案されたフェーズ1セキュリティアソシエーションの擬似ランダム関数を指定します。次のようにプロパティが定義されています。
NAME PRFAlgorithm DESCRIPTION Specifies the proposed pseudo-random function for the phase 1 security association. SYNTAX unsigned 16-bit integer VALUE Currently none defined in [IKE], if [IKE, DOI] are extended, then the values of [IKE, DOI] are to be used for values of PRFAlgorithm.
NAME PRFAlgorithm説明は、フェーズ1のセキュリティアソシエーションのために提案された擬似ランダム関数を指定します。 [IKE、DOI]が拡張される場合SYNTAX符号なし16ビット整数値は、現在[IKE]で定義なし、次いで[IKE、DOI]の値がPRFAlgorithmの値に使用されます。
The property GroupId specifies the proposed phase 1 security association key exchange group. This property is ignored for all aggressive mode exchanges. If the GroupID number is from the vendor-specific range (32768-65535), the property VendorID qualifies the group number. The property is defined as follows:
プロパティグループIDは、提案されたフェーズ1セキュリティアソシエーション鍵交換グループを指定します。このプロパティは、すべてのアグレッシブモードの交換のために無視されます。グループID番号は、ベンダー固有の範囲(32768から65535)からのものである場合、プロパティベンダーIDは、グループ番号を修飾します。次のようにプロパティが定義されています。
NAME GroupId DESCRIPTION Specifies the proposed key exchange group for the phase 1 security association. SYNTAX unsigned 16-bit integer VALUE Consult [IKE] for valid values.
NAMEグループIDの説明は、フェーズ1のセキュリティアソシエーションのために提案された鍵交換グループを指定します。 SYNTAX符号なし16ビット整数値は、有効な値の[IKE]を参照してください。
Note: The value of this property is to be ignored in aggressive mode.
注:このプロパティの値がアグレッシブモードでは無視されます。
The property AuthenticationMethod specifies the proposed phase 1 authentication method. The property is defined as follows:
プロパティAuthenticationMethodが提案フェーズ1認証方法を指定します。次のようにプロパティが定義されています。
NAME AuthenticationMethod DESCRIPTION Specifies the proposed authentication method for the phase 1 security association. SYNTAX unsigned 16-bit integer VALUE 0 - a special value that indicates that this particular proposal should be repeated once for each authentication method that corresponds to the credentials installed on the machine. For example, if the system has a pre-shared key and a certificate, a proposal list could be constructed that includes a proposal that specifies a pre-shared key and proposals for any of the public-key authentication methods. Consult [IKE] for valid values.
NAMEはAuthenticationMethod説明フェーズ1のセキュリティアソシエーションのために提案された認証方法を指定します。 SYNTAX符号なし16ビット整数値0 - この特定の提案がマシンにインストールされた資格情報に対応する各認証方式のために一度繰り返されるべきであることを示す特別な値。システムは、事前共有鍵と証明書を持っている場合たとえば、提案リストには、事前共有鍵と公開鍵認証方式のいずれかの提案を指定する案が含まれていることを構成することができます。有効な値については、[IKE]を参照してください。
The property MaxLifetimeSeconds specifies the proposed maximum time, in seconds, that a security association will remain valid after its creation. The property is defined as follows:
プロパティMaxLifetimeSecondsセキュリティアソシエーションは、その作成後に有効に残ることを、秒単位で、提案されている最大時間を指定します。次のようにプロパティが定義されています。
NAME MaxLifetimeSeconds DESCRIPTION Specifies the proposed maximum time that a security association will remain valid. SYNTAX unsigned 64-bit integer VALUE A value of zero indicates that the default of 8 hours be used. A non-zero value indicates the maximum seconds lifetime.
NAME MaxLifetimeSeconds説明セキュリティアソシエーションが有効であり続けることを提案した最大時間を指定します。 SYNTAX符号なし64ビット整数値は、ゼロの値は、8時間のデフォルトを使用することを示しています。非ゼロ値は、最大秒の寿命を示します。
Note: While IKE can negotiate the lifetime as an arbitrary length field, the authors have assumed that a 64-bit integer will be sufficient.
注:IKEは、任意の長さフィールドとして寿命を交渉することができるが、著者らは、64ビット整数が十分であると仮定しています。
The property MaxLifetimeKilobytes specifies the proposed maximum kilobyte lifetime that a security association will remain valid after its creation. The property is defined as follows:
プロパティMaxLifetimeKilobytesセキュリティアソシエーションは、その作成後に有効に残ることを提案した最大キロバイトの寿命を指定します。次のようにプロパティが定義されています。
NAME MaxLifetimeKilobytes DESCRIPTION Specifies the proposed maximum kilobyte lifetime that a security association will remain valid. SYNTAX unsigned 64-bit integer
NAME MaxLifetimeKilobytes説明セキュリティアソシエーションが有効であり続けることを提案した最大キロバイトの寿命を指定します。 SYNTAX符号なし64ビット整数
VALUE A value of zero indicates that there should be no maximum kilobyte lifetime. A non-zero value specifies the desired kilobyte lifetime.
値はゼロという値は最大キロバイト寿命があってはならないことを示しています。非ゼロ値は、所望のキロバイトの寿命を指定します。
Note: While IKE can negotiate the lifetime as an arbitrary length field, the authors have assumed that a 64-bit integer will be sufficient.
注:IKEは、任意の長さフィールドとして寿命を交渉することができるが、著者らは、64ビット整数が十分であると仮定しています。
The property VendorID further qualifies the key exchange group. The property is ignored unless the exchange is not in aggressive mode and the property GroupID is in the vendor-specific range. The property is defined as follows:
プロパティベンダーIDは、さらに、キー交換基を修飾します。交換がアグレッシブモードとグループIDは、ベンダー固有の範囲内にあるプロパティではありませんしない限り、プロパティは無視されます。次のようにプロパティが定義されています。
NAME VendorID DESCRIPTION Specifies the Vendor ID to further qualify the key exchange group. SYNTAX string
NAMEベンダーIDの説明は、さらに、キー交換基を修飾するベンダーIDを指定します。 SYNTAX文字列
The class IPsecProposal adds no new properties, but inherits proposal properties from SAProposal, as well as aggregating the security association transforms necessary for building an IPsec proposal (see the aggregation class ContainedTransform). The class definition for IPsecProposal is as follows:
クラスIPsecProposalは(集約クラスContainedTransformを参照)は、新しいプロパティを追加していないが、SAProposalから提案プロパティを継承し、ならびにセキュリティアソシエーションがIPSec提案を構築するために必要な変換集約します。次のようにIPsecProposalのためのクラス定義は次のとおりです。
NAME IPsecProposal DESCRIPTION Specifies the proposal parameters for IPsec security association negotiation. DERIVED FROM SAProposal ABSTRACT FALSE
NAME IPsecProposalの説明は、IPsecセキュリティアソシエーションのネゴシエーションのための提案のパラメータを指定します。 SAProposal ABSTRACT falseから派生
The abstract class SATransform serves as the base class for the IPsec transforms that can be used to compose an IPsec proposal or to be used as a pre-configured action. The class definition for SATransform is as follows:
IPsecの基本クラスは、それがIPsecの提案を構成するために使用することができるか、または事前設定されたアクションとして使用する変換として抽象クラスSATransformが働きます。次のようにSATransformのためのクラス定義は次のとおりです。
NAME SATransform DESCRIPTION Base class for the different IPsec transforms. ABSTRACT TRUE PROPERTIES CommonName (from Policy) VendorID MaxLifetimeSeconds MaxLifetimeKilobytes
異なるIPsecのNAME SATransform DESCRIPTION基本クラスは、変換します。 (ポリシーから)ABSTRACT TRUE PROPERTIESのCommonNameベンダーID MaxLifetimeSeconds MaxLifetimeKilobytes
The property CommonName is inherited from Policy [PCIM] and specifies a user-friendly name for the SATransform. The property is defined as follows:
プロパティのCommonNameはポリシー[PCIM]から継承されたとSATransformのためのユーザーフレンドリー名を指定しています。次のようにプロパティが定義されています。
NAME CommonName DESCRIPTION Specifies a user-friendly name for this Policy-related object. SYNTAX string
NAMEのCommonNameの説明は、このポリシーに関連するオブジェクトのためのユーザーフレンドリーな名前を指定します。 SYNTAX文字列
The property VendorID specifies the vendor ID for vendor-defined transforms. The property is defined as follows:
プロパティのベンダーIDはベンダー定義の変換のためのベンダーIDを指定します。次のようにプロパティが定義されています。
NAME VendorID DESCRIPTION Specifies the vendor ID for vendor-defined transforms. SYNTAX string VALUE An empty VendorID string indicates that the transform is a standard one.
NAMEベンダーIDの説明は、ベンダー定義の変換のためのベンダーIDを指定します。 SYNTAX文字列値空のベンダーID文字列は、変換が標準のものであることを示しています。
The property MaxLifetimeSeconds specifies the proposed maximum time, in seconds, that a security association will remain valid after its creation. The property is defined as follows:
プロパティMaxLifetimeSecondsセキュリティアソシエーションは、その作成後に有効に残ることを、秒単位で、提案されている最大時間を指定します。次のようにプロパティが定義されています。
NAME MaxLifetimeSeconds DESCRIPTION Specifies the proposed maximum time that a security association will remain valid. SYNTAX unsigned 64-bit integer VALUE A value of zero indicates that the default of 8 hours be used. A non-zero value indicates the maximum seconds lifetime.
NAME MaxLifetimeSeconds説明セキュリティアソシエーションが有効であり続けることを提案した最大時間を指定します。 SYNTAX符号なし64ビット整数値は、ゼロの値は、8時間のデフォルトを使用することを示しています。非ゼロ値は、最大秒の寿命を示します。
Note: While IKE can negotiate the lifetime as an arbitrary length field, the authors have assumed that a 64-bit integer will be sufficient.
注:IKEは、任意の長さフィールドとして寿命を交渉することができるが、著者らは、64ビット整数が十分であると仮定しています。
The property MaxLifetimeKilobytes specifies the proposed maximum kilobyte lifetime that a security association will remain valid after its creation. The property is defined as follows:
プロパティMaxLifetimeKilobytesセキュリティアソシエーションは、その作成後に有効に残ることを提案した最大キロバイトの寿命を指定します。次のようにプロパティが定義されています。
NAME MaxLifetimeKilobytes DESCRIPTION Specifies the proposed maximum kilobyte lifetime that a security association will remain valid. SYNTAX unsigned 64-bit integer VALUE A value of zero indicates that there should be no maximum kilobyte lifetime. A non-zero value specifies the desired kilobyte lifetime.
NAME MaxLifetimeKilobytes説明セキュリティアソシエーションが有効であり続けることを提案した最大キロバイトの寿命を指定します。 SYNTAX符号なし64ビット整数値ゼロという値は最大キロバイト寿命があってはならないことを示しています。非ゼロ値は、所望のキロバイトの寿命を指定します。
Note: While IKE can negotiate the lifetime as an arbitrary length field, the authors have assumed that a 64-bit integer will be sufficient.
注:IKEは、任意の長さフィールドとして寿命を交渉することができるが、著者らは、64ビット整数が十分であると仮定しています。
The class AHTransform specifies the AH algorithm to propose during IPsec security association negotiation. The class definition for AHTransform is as follows:
クラスAHTransformは、IPsecセキュリティアソシエーションのネゴシエーション中に提案するAHアルゴリズムを指定します。次のようにAHTransformのためのクラス定義は次のとおりです。
NAME AHTransform DESCRIPTION Specifies the proposed AH algorithm. ABSTRACT FALSE PROPERTIES AHTransformId UseReplayPrevention ReplayPreventionWindowSize
NAME AHTransformの説明は、提案されたAHのアルゴリズムを指定します。 ABSTRACT FALSE PROPERTIES AHTransformId UseReplayPrevention ReplayPreventionWindowSize
The property AHTransformId specifies the transform ID of the AH algorithm. The property is defined as follows:
プロパティAHTransformIdはAHアルゴリズムの変換IDを指定します。次のようにプロパティが定義されています。
NAME AHTransformId DESCRIPTION Specifies the transform ID of the AH algorithm. SYNTAX unsigned 16-bit integer VALUE Consult [DOI] for valid values.
NAME AHTransformId説明はAHアルゴリズムの変換IDを指定します。 SYNTAX符号なし16ビット整数値は、有効な値の[DOI]を参照してください。
The property UseReplayPrevention specifies whether replay prevention detection is to be used. The property is defined as follows:
プロパティUseReplayPreventionはリプレイ防止検出を使用するかどうかを指定します。次のようにプロパティが定義されています。
NAME UseReplayPrevention DESCRIPTION Specifies whether to enable replay prevention detection. SYNTAX boolean VALUE true - replay prevention detection is enabled. false - replay prevention detection is disabled.
NAME UseReplayPreventionの説明は、リプレイ防止検出を有効にするかどうかを指定します。 SYNTAXブール値真 - リプレイ防止検出が有効になっています。偽 - リプレイ防止検出が無効になっています。
The property ReplayPreventionWindowSize specifies, in bits, the length of the sliding window used by the replay prevention detection mechanism. The value of this property is meaningless if UseReplayPrevention is false. It is assumed that the window size will be power of 2. The property is defined as follows:
プロパティReplayPreventionWindowSizeは、ビットで、リプレイ防止検出機構によって使用されるスライディングウィンドウの長さを指定します。 UseReplayPreventionがfalseの場合、このプロパティの値は無意味です。次のようにウィンドウサイズが2のべき乗プロパティが定義されているであろうことが想定されます。
NAME ReplayPreventionWindowSize DESCRIPTION Specifies the length of the window used by the replay prevention detection mechanism. SYNTAX unsigned 32-bit integer
NAME ReplayPreventionWindowSize説明はリプレイ防止検出機構によって使用されるウィンドウの長さを指定します。 SYNTAX符号なし32ビット整数
The class ESPTransform specifies the ESP algorithms to propose during IPsec security association negotiation. The class definition for ESPTransform is as follows:
クラスESPTransformは、IPsecセキュリティアソシエーションのネゴシエーション中に提案するESPアルゴリズムを指定します。次のようにESPTransformのためのクラス定義は次のとおりです。
NAME ESPTransform DESCRIPTION Specifies the proposed ESP algorithms. ABSTRACT FALSE PROPERTIES IntegrityTransformId CipherTransformId CipherKeyLength CipherKeyRounds UseReplayPrevention ReplayPreventionWindowSize
NAME ESPTransformの説明は、提案されたESPアルゴリズムを指定します。 ABSTRACT FALSE PROPERTIES IntegrityTransformId CipherTransformId CipherKeyLength CipherKeyRounds UseReplayPrevention ReplayPreventionWindowSize
The property IntegrityTransformId specifies the transform ID of the ESP integrity algorithm. The property is defined as follows:
プロパティIntegrityTransformIdは、ESP整合性アルゴリズムの変換IDを指定します。次のようにプロパティが定義されています。
NAME IntegrityTransformId DESCRIPTION Specifies the transform ID of the ESP integrity algorithm. SYNTAX unsigned 16-bit integer VALUE Consult [DOI] for valid values.
NAME IntegrityTransformId説明は、ESP整合性アルゴリズムの変換IDを指定します。 SYNTAX符号なし16ビット整数値は、有効な値の[DOI]を参照してください。
The property CipherTransformId specifies the transform ID of the ESP encryption algorithm. The property is defined as follows:
プロパティCipherTransformIdは、ESP暗号化アルゴリズムの変換IDを指定します。次のようにプロパティが定義されています。
NAME CipherTransformId DESCRIPTION Specifies the transform ID of the ESP encryption algorithm. SYNTAX unsigned 16-bit integer VALUE Consult [DOI] for valid values.
NAME CipherTransformId説明は、ESP暗号化アルゴリズムの変換IDを指定します。 SYNTAX符号なし16ビット整数値は、有効な値の[DOI]を参照してください。
The property CipherKeyLength specifies, in bits, the key length for the ESP encryption algorithm. For encryption algorithms that use a fixed-length keys, this value is ignored. The property is defined as follows:
プロパティCipherKeyLengthは、ビットで、ESP暗号化アルゴリズムのための鍵の長さを指定します。固定長キーを使用する暗号化アルゴリズムでは、この値は無視されます。次のようにプロパティが定義されています。
NAME CipherKeyLength DESCRIPTION Specifies the ESP encryption key length in bits. SYNTAX unsigned 16-bit integer
NAME CipherKeyLength説明は、ビット単位でESP暗号化キーの長さを指定します。 SYNTAX符号なし16ビット整数
The property CipherKeyRounds specifies the number of key rounds for the ESP encryption algorithm. For encryption algorithms that use fixed number of key rounds, this value is ignored. The property is defined as follows:
プロパティCipherKeyRounds ESP暗号化アルゴリズムのための鍵ラウンド数を指定します。キーラウンドの固定番号を使用する暗号化アルゴリズムでは、この値は無視されます。次のようにプロパティが定義されています。
NAME CipherKeyRounds DESCRIPTION Specifies the number of key rounds for the ESP encryption algorithm. SYNTAX unsigned 16-bit integer VALUE Currently, key rounds are not defined for any ESP encryption algorithms.
NAME CipherKeyRounds説明ESP暗号化アルゴリズムのための鍵ラウンド数を指定します。 SYNTAX符号なし16ビット整数値は現在、キーラウンドは任意のESP暗号化アルゴリズムのために定義されていません。
The property UseReplayPrevention specifies whether replay prevention detection is to be used. The property is defined as follows:
プロパティUseReplayPreventionはリプレイ防止検出を使用するかどうかを指定します。次のようにプロパティが定義されています。
NAME UseReplayPrevention DESCRIPTION Specifies whether to enable replay prevention detection. SYNTAX boolean VALUE true - replay prevention detection is enabled. false - replay prevention detection is disabled.
NAME UseReplayPreventionの説明は、リプレイ防止検出を有効にするかどうかを指定します。 SYNTAXブール値真 - リプレイ防止検出が有効になっています。偽 - リプレイ防止検出が無効になっています。
The property ReplayPreventionWindowSize specifies, in bits, the length of the sliding window used by the replay prevention detection mechanism. The value of this property is meaningless if UseReplayPrevention is false. It is assumed that the window size will be power of 2. The property is defined as follows:
プロパティReplayPreventionWindowSizeは、ビットで、リプレイ防止検出機構によって使用されるスライディングウィンドウの長さを指定します。 UseReplayPreventionがfalseの場合、このプロパティの値は無意味です。次のようにウィンドウサイズが2のべき乗プロパティが定義されているであろうことが想定されます。
NAME ReplayPreventionWindowSize DESCRIPTION Specifies the length of the window used by the replay prevention detection mechanism. SYNTAX unsigned 32-bit integer
NAME ReplayPreventionWindowSize説明はリプレイ防止検出機構によって使用されるウィンドウの長さを指定します。 SYNTAX符号なし32ビット整数
The class IPCOMPTransform specifies the IP compression (IPCOMP) algorithm to propose during IPsec security association negotiation. The class definition for IPCOMPTransform is as follows:
クラスIPCOMPTransformは、IPsecセキュリティアソシエーションのネゴシエーション中に提案するIP圧縮(IPCOMP)アルゴリズムを指定します。次のようにIPCOMPTransformのためのクラス定義は次のとおりです。
NAME IPCOMPTransform DESCRIPTION Specifies the proposed IPCOMP algorithm. ABSTRACT FALSE PROPERTIES Algorithm DictionarySize PrivateAlgorithm
NAME IPCOMPTransformの説明は、提案されたIPCOMPアルゴリズムを指定します。 ABSTRACT FALSE PROPERTIESアルゴリズムDictionarySize PrivateAlgorithm
The property Algorithm specifies the transform ID of the IPCOMP compression algorithm. The property is defined as follows:
プロパティアルゴリズムは、IPCOMP圧縮アルゴリズムの変換IDを指定します。次のようにプロパティが定義されています。
NAME Algorithm DESCRIPTION Specifies the transform ID of the IPCOMP compression algorithm. SYNTAX unsigned 16-bit integer VALUE 1 - OUI: a vendor specific algorithm is used and specified in the property PrivateAlgorithm. Consult [DOI] for other valid values.
NAMEアルゴリズム記述は、IPCOMP圧縮アルゴリズムの変換IDを指定します。 SYNTAX符号なし16ビット整数値1 - OUI:ベンダー固有のアルゴリズムはプロパティPrivateAlgorithmで使用され、指定されています。他の有効な値については、[DOI]を参照してください。
The property DictionarySize specifies the log2 maximum size of the dictionary for the compression algorithm. For compression algorithms that have pre-defined dictionary sizes, this value is ignored. The property is defined as follows:
プロパティDictionarySizeは、圧縮アルゴリズムのための辞書のLOG2の最大サイズを指定します。辞書サイズを事前に定義されている圧縮アルゴリズムの場合、この値は無視されます。次のようにプロパティが定義されています。
NAME DictionarySize DESCRIPTION Specifies the log2 maximum size of the dictionary. SYNTAX unsigned 16-bit integer
NAME DictionarySizeの説明は、辞書のLOG2の最大サイズを指定します。 SYNTAX符号なし16ビット整数
The property PrivateAlgorithm specifies a private vendor-specific compression algorithm. This value is only used when the property Algorithm is 1 (OUI). The property is defined as follows:
プロパティPrivateAlgorithmは、民間ベンダー固有の圧縮アルゴリズムを指定します。プロパティアルゴリズム1(OUI)である場合、この値にのみ使用されます。次のようにプロパティが定義されています。
NAME PrivateAlgorithm DESCRIPTION Specifies a private vendor-specific compression algorithm. SYNTAX unsigned 32-bit integer
NAME PrivateAlgorithmの説明は、民間ベンダー固有の圧縮アルゴリズムを指定します。 SYNTAX符号なし32ビット整数
The class SAProposalInSystem weakly associates SAProposals with a System. The class definition for SAProposalInSystem is as follows:
クラスSAProposalInSystemは弱いシステムでSAProposalsを関連付けます。次のようにSAProposalInSystemのためのクラス定義は次のとおりです。
NAME SAProposalInSystem DESCRIPTION Weakly associates SAProposals with a System. DERIVED FROM PolicyInSystem (see [PCIM]) ABSTRACT FALSE PROPERTIES Antecedent[ref System [1..1]] Dependent[ref SAProposal[0..n] [weak]]
NAME SAProposalInSystem説明弱SystemとSAProposalsを関連付けます。 PolicyInSystemから、派生([PCIM]を参照)要旨FALSE PROPERTIES前例[REFシステム[1..1]依存性[REF SAProposal] [0..N] [弱]
The property Antecedent is inherited from the PolicyInSystem and is overridden to refer to a System instance. The [1..1] cardinality indicates that an SAProposal instance MUST be associated with one and only one System instance.
プロパティ前例がPolicyInSystemから継承され、システムのインスタンスを参照するためにオーバーライドされます。 [1..1]基数は、SAProposalインスタンスは唯一つのシステムインスタンスに関連付けられなければならないことを示しています。
The property Dependent is inherited from PolicyInSystem and is overridden to refer to an SAProposal instance. The [0..n] cardinality indicates that a System instance may be associated with zero or more SAProposal instances.
依存性はPolicyInSystemから継承されSAProposalインスタンスを参照するためにオーバーライドされます。 [0..N]基数は、システム・インスタンスは、ゼロ以上SAProposalインスタンスに関連付けることができることを示しています。
The class ContainedTransform associates an IPsecProposal with the set of SATransforms that make up the proposal. If multiple transforms of the same type are in a proposal, then they are to be logically ORed and the order of preference is dictated by the SequenceNumber property. Sets of transforms of different types are logically ANDed.
クラスContainedTransformは提案を作るSATransformsのセットでIPsecProposalを関連付けます。同じタイプの複数の変換が提案している場合、それらは論理的にORされるべきであり、優先順位は、SequenceNumberはプロパティによって決定されます。異なる種類の変換のセットは、論理的にAND演算されています。
For example, if the ordered proposal list were
例えば、注文した提案リストがあった場合には
ESP = { (HMAC-MD5, 3DES), (HMAC-MD5, DES) } AH = { MD5, SHA-1 }
ESP = {(HMAC-MD5、3DES)、(HMAC-MD5、DES)} AH = {MD5、SHA-1}
then the one sending the proposal would want the other side to pick one from the ESP transform (preferably (HMAC-MD5, 3DES)) list AND one from the AH transform list (preferably MD5).
その後、提案を送信して、一方が他方の側がAH変換リスト(好ましくはMD5)から(好ましくは(HMAC-MD5、3DES))リストと1を変換ESPからのものを選択したいと思います。
The class definition for ContainedTransform is as follows:
次のようにContainedTransformのためのクラス定義は次のとおりです。
NAME ContainedTransform DESCRIPTION Associates an IPsecProposal with the set of SATransforms that make up the proposal. DERIVED FROM PolicyComponent (see [PCIM]) ABSTRACT FALSE PROPERTIES GroupComponent[ref IPsecProposal[0..n]] PartComponent[ref SATransform[1..n]] SequenceNumber
NAME ContainedTransform説明は提案を作るSATransformsのセットでIPsecProposalを関連付けます。 PolicyComponentから、派生(参照[PCIM])要旨FALSE PROPERTIES GroupComponent PartComponent [IPsecProposal [0..N]参考文献] SequenceNumberは[SATransform [1..nの】参考文献]
The property GroupComponent is inherited from PolicyComponent and is overridden to refer to an IPsecProposal instance. The [0..n] cardinality indicates that an SATransform instance may be associated with zero or more IPsecProposal instances.
プロパティGroupComponentはPolicyComponentから継承されIPsecProposalインスタンスを参照するように上書きされます。 [0..N]基数は、SATransformインスタンスがゼロ以上IPsecProposalインスタンスに関連付けることができることを示しています。
The property PartComponent is inherited from PolicyComponent and is overridden to refer to an SATransform instance. The [1..n] cardinality indicates that an IPsecProposal instance MUST be associated with at least one SATransform instance.
プロパティPartComponentはPolicyComponentから継承されSATransformインスタンスを参照するように上書きされます。 [1..nの]基数は、IPsecProposalインスタンスが少なくとも一つSATransformインスタンスに関連付けられなければならないことを示しています。
The property SequenceNumber specifies the order of preference for the SATransforms of the same type. The property is defined as follows:
プロパティSequenceNumberは、同じタイプのSATransformsの優先順位を指定します。次のようにプロパティが定義されています。
NAME SequenceNumber DESCRIPTION Specifies the preference order for the SATransforms of the same type. SYNTAX unsigned 16-bit integer VALUE Lower-valued transforms are preferred over transforms of the same type with higher values. For ContainedTransforms that reference the same IPsecProposal, SequenceNumber values must be unique.
NAME SequenceNumberは説明は、同じタイプのSATransformsための優先順位を指定します。 SYNTAX符号なし16ビット整数値が低い値の変換はより高い値を持つ同じタイプの変換よりも好ましいです。同じIPsecProposalを参照ContainedTransformsために、SequenceNumberは値が一意である必要があります。
The class SATransformInSystem weakly associates SATransforms with a System. The class definition for SATransformInSystem System is as follows:
クラスSATransformInSystemは弱いシステムでSATransformsを関連付けます。次のようにSATransformInSystemシステムのためのクラス定義は次のとおりです。
NAME SATransformInSystem DESCRIPTION Weakly associates SATransforms with a System. DERIVED FROM PolicyInSystem (see [PCIM]) ABSTRACT FALSE PROPERTIES Antecedent[ref System[1..1]] Dependent[ref SATransform[0..n] [weak]]
NAME SATransformInSystem説明は弱くシステムでSATransformsを関連付けます。 PolicyInSystemから、派生([PCIM]を参照)要旨FALSE PROPERTIES前例[REFシステム[1..1]依存性[REF SATransform] [0..N] [弱]
The property Antecedent is inherited from PolicyInSystem and is overridden to refer to a System instance. The [1..1] cardinality indicates that an SATransform instance MUST be associated with one and only one System instance.
プロパティ前例がPolicyInSystemから継承され、システムのインスタンスを参照するためにオーバーライドされます。 [1..1]基数は、SATransformインスタンスが唯一つのシステムインスタンスに関連付けられなければならないことを示しています。
The property Dependent is inherited from PolicyInSystem and is overridden to refer to an SATransform instance. The [0..n] cardinality indicates that a System instance may be associated with zero or more SATransform instances.
依存性はPolicyInSystemから継承されSATransformインスタンスを参照するように上書きされます。 [0..N]基数は、システム・インスタンスは、ゼロ以上SATransformインスタンスに関連付けることができることを示しています。
+--------------+ +-------------------+
| System | | PeerIdentityEntry |
| ([CIMCORE]) | +-------------------+
+--------------+ |*w
1| (a) (b) |
+---+ +------------+
| |
|*w 1 o
+-------------+ +-------------------+ +---------------------+
| PeerGateway | | PeerIdentityTable | | AutostartIKESetting |
+-------------+ +-------------------+ +---------------------+
*| *| *| *|
+----------------------+ |(d) +----------+ |
(c) *| *| *| (e) |
*+------------+* |(f)
+-----------------| IKEService |-----+ |
| (g) +------------+ |(h) |
0..1| *| *| *o
+--------------------+ | +---------------------------+
| IPProtocolEndpoint | | | AutostartIKEConfiguration |
| ([CIMNETWORK]) | (i)| +---------------------------+
+--------------------+ |
0..1| |
|(j) +----------------+
*| |*
+-------------+* (k) +------------+ +-----------------------------+
| IKEIdentity |-------| Collection | | CredentialManagementService |
+-------------+ 0..1| ([CIMCORE])| | ([CIMUSER]) |
*| +------------+ +-----------------------------+
|(l)
*|
+--------------+
| Credential |
| ([CIMUSER]) |
+--------------+
(a) HostedPeerIdentityTable (b) PeerIdentityMember (c) IKEServicePeerGateway (d) IKEServicePeerIdentityTable (e) IKEAutostartSetting (f) AutostartIKESettingContext (g) IKEServiceForEndpoint (h) IKEAutostartConfiguration (i) IKEUsesCredentialManagementService (j) EndpointHasLocalIKEIdentity (k) CollectionHasLocalIKEIdentity (l) IKEIdentitysCredential
(A)HostedPeerIdentityTable(B)PeerIdentityMember(C)IKEServicePeerGateway(D)IKEServicePeerIdentityTable(E)IKEAutostartSetting(F)AutostartIKESettingContext(G)IKEServiceForEndpoint(H)IKEAutostartConfiguration(I)IKEUsesCredentialManagementService(J)EndpointHasLocalIKEIdentity(K)CollectionHasLocalIKEIdentity(L)IKEIdentitysCredential
This portion of the model contains additional information that is useful in applying the policy. The IKEService class MAY be used to represent the IKE negotiation function in a system. The IKEService uses the various tables that contain information about IKE peers as well as the configuration for specifying security associations that are started automatically. The information in the PeerGateway, PeerIdentityTable and related classes is necessary to completely specify the policies.
モデルのこの部分は、ポリシーを適用する際に有用である追加の情報が含まれています。 IKEServiceクラスは、システム内のIKEネゴシエーション機能を表すために使用されるかもしれません。 IKEServiceは、IKEピアに関する情報だけでなく、自動的に開始されているセキュリティアソシエーションを指定するための設定が含まれている各種テーブルを使用しています。 PeerGateway、PeerIdentityTableおよび関連クラスの情報は完全にポリシーを指定する必要があります。
An interface (represented by an IPProtocolEndpoint) has an IKEService that provides the negotiation services for that interface. That service MAY also have a list of security associations automatically started at the time the IKE service is initialized.
(IPProtocolEndpointで表される)インターフェイスは、そのインターフェイスのための交渉サービスを提供IKEServiceを有しています。そのサービスも自動的にIKEサービスが初期化される時に開始セキュリティアソシエーションのリストを持っているかもしれません。
The IKEService also has a set of identities that it may use in negotiations with its peers. Those identities are associated with the interfaces (or collections of interfaces).
IKEServiceはまた、その仲間との交渉に使用することができますアイデンティティのセットを持っています。これらのアイデンティティは、インターフェース(またはインターフェースの集合)に関連しています。
The class IKEService represents the IKE negotiation function. An instance of this service may provide that negotiation service for one or more interfaces (represented by the IPProtocolEndpoint class) of a System. There may be multiple instances of IKE services on a System but only one per interface. The class definition for IKEService is as follows:
クラスIKEServiceは、IKEネゴシエーション機能を表します。このサービスのインスタンスは、システムの(IPProtocolEndpointクラスによって表される)1つまたは複数のインターフェイスのためのその交渉サービスを提供してもよいです。複数のシステム上のIKEサービスのインスタンスが、インターフェイスごとに1つだけあるかもしれません。次のようにIKEServiceのためのクラス定義は次のとおりです。
NAME IKEService DESCRIPTION IKEService is used to represent the IKE negotiation function. DERIVED FROM Service (see [CIMCORE]) ABSTRACT FALSE
NAME IKEService説明IKEServiceは、IKEネゴシエーション機能を表すために使用されます。サービスから派生ABSTRACT FALSE([CIMCORE]を参照)
The class PeerIdentityTable aggregates the table entries that provide mappings between identities and their addresses. The class definition for PeerIdentityTable is as follows:
クラスPeerIdentityTableはアイデンティティとそれらのアドレス間のマッピングを提供し、テーブルのエントリを集約します。次のようにPeerIdentityTableのためのクラス定義は次のとおりです。
NAME PeerIdentityTable DESCRIPTION PeerIdentityTable aggregates PeerIdentityEntry instances to provide a table of identity-address mappings. DERIVED FROM Collection (see [CIMCORE])
NAME PeerIdentityTable説明PeerIdentityTableは、アイデンティティ・アドレスのマッピングのテーブルを提供するために、PeerIdentityEntryインスタンスを集約します。コレクション([CIMCORE]を参照)に由来します
ABSTRACT FALSE PROPERTIES Name
ABSTRACT FALSE PROPERTIES名
The property Name uniquely identifies the table. The property is defined as follows:
プロパティ名は、一意のテーブルを識別する。次のようにプロパティが定義されています。
NAME Name DESCRIPTION Name uniquely identifies the table. SYNTAX string
NAME名説明名前一意のテーブルを識別する。 SYNTAX文字列
The class PeerIdentityEntry specifies the mapping between peer identity and their IP address. The class definition for PeerIdentityEntry is as follows:
クラスPeerIdentityEntryは、ピアのアイデンティティとそのIPアドレスの間のマッピングを指定します。次のようにPeerIdentityEntryのためのクラス定義は次のとおりです。
NAME PeerIdentityEntry DESCRIPTION PeerIdentityEntry provides a mapping between a peer's identity and address. DERIVED FROM LogicalElement (see [CIMCORE]) ABSTRACT FALSE PROPERTIES PeerIdentity PeerIdentityType PeerAddress PeerAddressType
NAME PeerIdentityEntry説明PeerIdentityEntryは、ピアの識別情報とアドレスの間のマッピングを提供します。 LogicalElement ABSTRACT FALSE PROPERTIES([CIMCORE]を参照)PeerIdentity PeerIdentityType PeerAddress PeerAddressTypeから、派生
The pre-shared key to be used with this peer (if applicable) is contained in an instance of the class SharedSecret (see [CIMUSER]). The pre-shared key is stored in the property Secret, the property protocol contains "IKE", the property algorithm contains the algorithm used to protect the secret (can be "PLAINTEXT" if the IPsec entity has no secret storage), the value of property RemoteID must match the PeerIdentity property of the PeerIdentityEntry instance describing the IKE peer.
事前共有キーは、クラスしsharedsecretのインスタンスに含まれるこのピア(該当する場合)で使用する(〔をCIMUser]参照)。事前共有鍵は、プロパティアルゴリズムは秘密を保護するために使用されるアルゴリズム(IPsecのエンティティが秘密ストレージを持たない場合、「PLAINTEXT」であることができる)、の値を含む、プロパティプロトコルは「IKE」が含まれ、プロパティ秘密に格納されていますプロパティRemoteIDは、IKEピアを記述するPeerIdentityEntryインスタンスのPeerIdentityプロパティと一致しなければなりません。
The property PeerIdentity contains a string encoding of the Identity payload for the IKE peer. The property is defined as follows:
プロパティPeerIdentityは、IKEピアのアイデンティティペイロードの文字列のエンコーディングが含まれています。次のようにプロパティが定義されています。
NAME PeerIdentity DESCRIPTION The PeerIdentity is the ID payload of a peer. SYNTAX string
NAME PeerIdentity説明PeerIdentityは、ピアのIDペイロードです。 SYNTAX文字列
The property PeerIdentityType is an enumeration that specifies the type of the PeerIdentity. The property is defined as follows:
プロパティPeerIdentityTypeはPeerIdentityの種類を指定する列挙です。次のようにプロパティが定義されています。
NAME PeerIdentityType DESCRIPTION PeerIdentityType is the type of the ID payload of a peer. SYNTAX unsigned 16-bit integer VALUE The enumeration values are specified in [DOI] section 4.6.2.1.
PeerIdentityType DESCRIPTION PeerIdentityTypeピアのIDペイロードのタイプされた名前。列挙値は、[DOI]セクション4.6.2.1に規定されている構文符号なし16ビット整数値。
The property PeerAddress specifies the string representation of the IP address of the peer formatted according to the appropriate convention as defined in the PeerAddressType property (e.g., dotted decimal notation). The property is defined as follows:
プロパティPeerAddressはPeerAddressTypeプロパティ(例えばドット付き10進表記)で定義されるように適切な規則に従ってフォーマットされたピアのIPアドレスの文字列表現を指定します。次のようにプロパティが定義されています。
NAME PeerAddress DESCRIPTION PeerAddress is the address of the peer with the ID payload. SYNTAX string VALUE String representation of an IPv4 or IPv6 address.
NAME PeerAddress説明PeerAddressは、IDペイロードを持つピアのアドレスです。 IPv4またはIPv6アドレスの構文文字列値の文字列表現。
The property PeerAddressType specifies the format of the PeerAddress property value. The property is defined as follows:
プロパティPeerAddressTypeはPeerAddressプロパティ値の書式を指定します。次のようにプロパティが定義されています。
NAME PeerAddressType DESCRIPTION PeerAddressType is the type of address in PeerAddress. SYNTAX unsigned 16-bit integer VALUE 0 - Unknown 1 - IPv4 2 - IPv6
NAME PeerAddressTypeの説明PeerAddressTypeはPeerAddressのアドレスのタイプです。 SYNTAX符号なし16ビット整数値0 - 不明1 - IPv4の2 - IPv6の
The class AutostartIKEConfiguration groups AutostartIKESetting instances into configuration sets. When applied, the settings cause an IKE service to automatically start (negotiate or statically set as appropriate) the Security Associations. The class definition for AutostartIKEConfiguration is as follows:
コンフィギュレーション・セットにクラスAutostartIKEConfigurationグループAutostartIKESettingインスタンス。適用された場合、設定はセキュリティアソシエーション(交渉または静的適宜設定)自動的に起動するようにIKEサービスを引き起こします。次のようにAutostartIKEConfigurationのためのクラス定義は次のとおりです。
NAME AutostartIKEConfiguration DESCRIPTION A configuration set of AutostartIKESetting instances to be automatically started by the IKE service. DERIVED FROM SystemConfiguration (see [CIMCORE]) ABSTRACT FALSE
NAME AutostartIKEConfiguration説明はAutostartIKESettingインスタンスの構成セットは、自動的にIKEサービスによって開始されます。 SystemConfigurationから、派生ABSTRACT FALSE([CIMCORE]を参照)
The class AutostartIKESetting is used to automatically initiate IKE negotiations with peers (or statically create an SA) as specified in the AutostartIKESetting properties. Appropriate actions are initiated according to the policy that matches the setting parameters. The class definition for AutostartIKESetting is as follows:
クラスAutostartIKESettingはAutostartIKESettingプロパティで指定されるように自動的にピアとのIKEネゴシエーションを開始する(または静的にSAを作成する)ために使用されます。適切なアクションは、設定パラメータに一致するポリシーに従って開始されます。次のようにAutostartIKESettingのためのクラス定義は次のとおりです。
NAME AutostartIKESetting DESCRIPTION AutostartIKESetting is used to automatically initiate IKE negotiations with peers or statically create an SA. DERIVED FROM SystemSetting (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Phase1Only AddressType SourceAddress SourcePort DestinationAddress DestinationPort Protocol
NAME AutostartIKESettingの説明AutostartIKESettingは自動的にピアとのIKEネゴシエーションを開始するか、または静的にSAを作成するために使用されます。 SystemSettingから、派生([CIMCORE]を参照)要旨FALSE PROPERTIES Phase1Only AddressTypeにSourceAddress SourcePort宛先アドレスDestinationPortプロトコル
The property Phase1Only is used to limit the IKE negotiation to a phase 1 SA establishment only. When set to False, both phase 1 and phase 2 SAs are negotiated. The property is defined as follows:
プロパティPhase1Onlyのみフェーズ1 SAの確立にIKEネゴシエーションを制限するために使用されます。 Falseに設定すると、両方のフェーズ1とフェーズ2 SAがネゴシエートされます。次のようにプロパティが定義されています。
NAME Phase1Only DESCRIPTION Used to indicate whether a phase 1 only or both phase 1 and phase 2 security associations should attempt establishment. SYNTAX boolean VALUE true - attempt to establish a phase 1 security association false - attempt to establish phase 1 and phase 2 security associations
フェーズ1のみまたは両方フェーズ1及びフェーズ2のセキュリティアソシエーションが確立を試行する必要があるかどうかを示すために使用Phase1Only説明名前。真SYNTAXブール値 - 偽のフェーズ1のセキュリティアソシエーションを確立しよう - フェーズ1とフェーズ2つのセキュリティアソシエーションを確立しようとする試み
The property AddressType specifies a type of the addresses in the SourceAddress and DestinationAddress properties. The property is defined as follows:
プロパティAddressTypeにはSourceAddressと宛先アドレスのプロパティでアドレスの種類を指定します。次のようにプロパティが定義されています。
NAME AddressType DESCRIPTION AddressType is the type of address in SourceAddress and DestinationAddress properties. SYNTAX unsigned 16-bit integer VALUE 0 - Unknown 1 - IPv4 2 - IPv6
NAME AddressTypeに説明するAddressTypeにはSourceAddressと宛先アドレスプロパティのアドレスのタイプです。 SYNTAX符号なし16ビット整数値0 - 不明1 - IPv4の2 - IPv6の
The property SourceAddress specifies the dotted-decimal or colon-decimal formatted IP address used as the source address in comparing with policy filter entries and used in any phase 2 negotiations. The property is defined as follows:
プロパティSourceAddressは、ドット付き10進数またはポリシーフィルタエントリと比較し、いずれかのフェーズ2つのネゴシエーションで使用中の送信元アドレスとして使用コロン小数点フォーマットIPアドレスを指定します。次のようにプロパティが定義されています。
NAME SourceAddress DESCRIPTION The source address to compare with the filters to determine the appropriate policy rule. SYNTAX string VALUE dotted-decimal or colon-decimal formatted IP address
ソースアドレスがフィルタと比較するNAME SourceAddressの説明は、適切なポリシールールを決定します。 SYNTAX文字列値ドット付き10進数またはコロンで、小数点フォーマットされたIPアドレス
The property SourcePort specifies the port number used as the source port in comparing policy filter entries and is used in any phase 2 negotiations. The property is defined as follows:
プロパティSourcePortは、ポリシーフィルタエントリを比較する際に送信元ポートとして使用されるポート番号を指定し、任意のフェーズ2つのネゴシエーションに使用されます。次のようにプロパティが定義されています。
NAME SourcePort DESCRIPTION The source port to compare with the filters to determine the appropriate policy rule. SYNTAX unsigned 16-bit integer
ソースポートは、フィルタと比較するNAME SourcePortの説明は、適切なポリシールールを決定します。 SYNTAX符号なし16ビット整数
The property DestinationAddress specifies the dotted-decimal or colon-decimal formatted IP address used as the destination address in comparing policy filter entries and is used in any phase 2 negotiations. The property is defined as follows:
プロパティの宛先アドレスは、ポリシーフィルタエントリを比較するの宛先アドレスとして使用されるドット付き10進数または結腸小数点フォーマットIPアドレスを指定し、任意のフェーズ2つのネゴシエーションに使用されます。次のようにプロパティが定義されています。
NAME DestinationAddress DESCRIPTION The destination address to compare with the filters to determine the appropriate policy rule.
宛先アドレスがフィルタと比較するNAME宛先アドレスの説明は、適切なポリシールールを決定します。
SYNTAX string VALUE dotted-decimal or colon-decimal formatted IP address
SYNTAX文字列値ドット付き10進数またはコロンで、小数点フォーマットされたIPアドレス
The property DestinationPort specifies the port number used as the destination port in comparing policy filter entries and is used in any phase 2 negotiations. The property is defined as follows:
プロパティDestinationPortは、ポリシーフィルタエントリを比較における宛先ポートとして使用するポート番号を指定し、任意のフェーズ2つのネゴシエーションに使用されます。次のようにプロパティが定義されています。
NAME DestinationPort DESCRIPTION The destination port to compare with the filters to determine the appropriate policy rule. SYNTAX unsigned 16-bit integer
宛先ポートがフィルタと比較するNAME DestinationPortの説明は、適切なポリシールールを決定します。 SYNTAX符号なし16ビット整数
The property Protocol specifies the protocol number used in comparing with policy filter entries and is used in any phase 2 negotiations. The property is defined as follows:
プロパティプロトコルは、ポリシー・フィルタエントリと比較する際に使用されるプロトコル番号を指定し、任意のフェーズ2つのネゴシエーションに使用されます。次のようにプロパティが定義されています。
NAME Protocol DESCRIPTION The protocol number used in comparing policy filter entries. SYNTAX unsigned 8-bit integer
プロトコル記述をポリシー・フィルタエントリの比較に使用されるプロトコル番号を名前。 SYNTAX符号なし8ビット整数
The class IKEIdentity is used to represent the identities that may be used for an IPProtocolEndpoint (or collection of IPProtocolEndpoints) to identify the IKE Service in IKE phase 1 negotiations. The policy IKEAction.UseIKEIdentityType specifies which type of the available identities to use in a negotiation exchange and the IKERule.IdentityContexts specifies the match values to be used, along with the local address, in selecting the appropriate identity for a negotiation. The ElementID property value (defined in the parent class, UsersAccess) should be that of either the IPProtocolEndpoint or Collection of endpoints as appropriate. The class definition for IKEIdentity is as follows:
クラスIKEIdentity 1つのネゴシエーションIKEフェーズでIKEサービスを識別するためにIPProtocolEndpoint(又はIPProtocolEndpointsのコレクション)に使用することができるアイデンティティを表すために使用されます。ポリシーIKEAction.UseIKEIdentityTypeは、交渉のための適切なIDを選択するには、ローカルアドレスと一緒に、使用される照合値を指定する利用できるアイデンティティのタイプ交渉交換で使用するとIKERule.IdentityContexts指定します。 (親クラス、UsersAccessで定義)ELEMENTIDプロパティの値は、必要に応じて、エンドポイントのIPProtocolEndpointまたはコレクションのいずれかのものでなければなりません。次のようにIKEIdentityのためのクラス定義は次のとおりです。
NAME IKEIdentity DESCRIPTION IKEIdentity is used to represent the identities that may be used for an IPProtocolEndpoint (or collection of IPProtocolEndpoints) to identify the IKE Service in IKE phase 1 negotiations. DERIVED FROM UsersAccess (see [CIMUSER]) ABSTRACT FALSE
IKEIdentity DESCRIPTION IKEIdentityが1つのネゴシエーションIKEフェーズでIKEサービスを識別するためにIPProtocolEndpoint(又はIPProtocolEndpointsのコレクション)に使用することができるアイデンティティを表すために使用される名前。 UsersAccessから、派生ABSTRACT FALSE([をCIMUser]を参照されたいです)
PROPERTIES IdentityType IdentityValue IdentityContexts
PROPERTIESたIdentityType IdentityValue IdentityContexts
The property IdentityType is an enumeration that specifies the type of the IdentityValue. The property is defined as follows:
プロパティたIdentityTypeはIdentityValueの種類を指定する列挙です。次のようにプロパティが定義されています。
NAME IdentityType DESCRIPTION IdentityType is the type of the IdentityValue. SYNTAX unsigned 16-bit integer VALUE The enumeration values are specified in [DOI] section 4.6.2.1.
たIdentityType DESCRIPTIONたIdentityTypeはIdentityValueのタイプされた名前。列挙値は、[DOI]セクション4.6.2.1に規定されている構文符号なし16ビット整数値。
The property IdentityValue contains a string encoding of the Identity payload. For IKEIdentity instances that are address types (i.e., IPv4 or IPv6 addresses), the IdentityValue string value MAY be omitted; then the associated IPProtocolEndpoint (or appropriate member of the Collection of endpoints) is used as the identity value. The property is defined as follows:
プロパティIdentityValueは、Identityペイロードの文字列のエンコーディングが含まれています。アドレスタイプ(すなわち、IPv4またはIPv6アドレス)であるIKEIdentityインスタンスについて、IdentityValue文字列値は省略されるかもしれません。次いで、関連IPProtocolEndpoint(またはエンドポイントのコレクションの適切な部材)のID値として使用されます。次のようにプロパティが定義されています。
NAME IdentityValue DESCRIPTION IdentityValue contains a string encoding of the Identity payload. SYNTAX string
IdentityValue DESCRIPTION IdentityValueアイデンティティペイロードの文字列エンコーディングを含む名前。 SYNTAX文字列
The IdentityContexts property is used to constrain the use of IKEIdentity instances to match that specified in the IKERule.IdentityContexts. The IdentityContexts are formatted as policy roles and role combinations [PCIM] & [PCIME]. Each value represents one context or context combination. Since this is a multi-valued property, more than one context or combination of contexts can be associated with a single IKEIdentity. Each value is a string of the form:
IdentityContextsプロパティはIKERule.IdentityContextsで指定されたものと一致するIKEIdentityインスタンスの使用を制約するために使用されます。 IdentityContextsは、ポリシーの役割と役割の組み合わせ[PCIM]&[PCIME]としてフォーマットされています。各値は、一つのコンテキストまたはコンテキストの組み合わせを表します。これは多値性があるため、複数のコンテキストまたはコンテキストの組み合わせが単一IKEIdentityに関連付けることができます。各値は以下の形式の文字列です。
<ContextName>[&&<ContextName>]*
<コンテキスト名> [&& <コンテキスト名>] *
where the individual context names appear in alphabetical order (according to the collating sequence for UCS-2). If one or more values in the IKERule.IdentityContexts array match one or more IKEIdentity.IdentityContexts, then the identity's context matches. (That is, each value of the IdentityContext array is an ORed condition.) In combination with the address of the
個々のコンテキスト名をアルファベット順に表示される場所(UCS-2の照合順序に従います)。 IKERule.IdentityContexts配列試合で1つ以上の値1以上IKEIdentity.IdentityContexts場合は、アイデンティティのコンテキストが一致します。 (すなわち、IdentityContext配列の各値が論理和条件である。)のアドレスとの組み合わせで
IPProtocolEndpoint and IKEAction.UseIKEIdentityType, there SHOULD be exactly one IKEIdentity. The property is defined as follows:
IPProtocolEndpointとIKEAction.UseIKEIdentityTypeは、正確に一つのIKEIdentityがあるはずです。次のようにプロパティが定義されています。
NAME IdentityContexts DESCRIPTION The IKE service of a security endpoint may have multiple identities for use in different situations. The combination of the interface (represented by the IPProtocolEndpoint), the identity type (as specified in the IKEAction) and the IdentityContexts selects a unique identity. SYNTAX string array VALUE string of the form <ContextName>[&&<ContextName>]*
セキュリティエンドポイントのIKEサービスは、さまざまな状況での使用のための複数のIDを持っているかもしれIdentityContexts説明に名前を付けます。 (IPProtocolEndpointで表される)インタフェースの組合せは、同一のタイプ(IKEActionで指定されるように)とIdentityContextsは、一意のIDを選択します。フォームの構文String配列値文字列<コンテキスト名> [&& <コンテキスト名>] *
The class HostedPeerIdentityTable provides the name scoping relationship for PeerIdentityTable entries in a System. The PeerIdentityTable is weak to the System. The class definition for HostedPeerIdentityTable is as follows:
クラスHostedPeerIdentityTableは、システム内のPeerIdentityTableエントリの名前のスコープの関係を提供します。 PeerIdentityTableは、システムに弱いです。次のようにHostedPeerIdentityTableのためのクラス定義は次のとおりです。
NAME HostedPeerIdentityTable DESCRIPTION The PeerIdentityTable instances are weak (name scoped by) the owning System. DERIVED FROM Dependency (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent [ref System[1..1]] Dependent [ref PeerIdentityTable[0..n] [weak]]
NAME HostedPeerIdentityTableの説明PeerIdentityTableインスタンスが弱い(によってスコープ名)所有しているシステムです。依存関係から派生([CIMCORE]を参照)要旨FALSE PROPERTIES前例[REFシステム[1..1]依存性[REF PeerIdentityTable] [0..N] [弱]
The property Antecedent is inherited from Dependency and is overridden to refer to a System instance. The [1..1] cardinality indicates that a PeerIdentityTable instance MUST be associated in a weak relationship with one and only one System instance.
プロパティ前例が依存関係から継承され、システムのインスタンスを参照するためにオーバーライドされます。 [1..1]基数は、PeerIdentityTableインスタンスは唯一つのシステムインスタンスと弱い関係に関連しなければならないことを示しています。
The property Dependent is inherited from Dependency and is overridden to refer to a PeerIdentityTable instance. The [0..n] cardinality indicates that a System instance may be associated with zero or more PeerIdentityTable instances.
依存性は、依存関係から継承されPeerIdentityTableインスタンスを参照するためにオーバーライドされます。 [0..N]基数は、システム・インスタンスは、ゼロ以上PeerIdentityTableインスタンスに関連付けることができることを示しています。
The class PeerIdentityMember aggregates PeerIdentityEntry instances into a PeerIdentityTable. This is a weak aggregation. The class definition for PeerIdentityMember is as follows:
クラスPeerIdentityMemberはPeerIdentityTableにPeerIdentityEntryインスタンスを集約します。これは弱い集合体です。次のようにPeerIdentityMemberのためのクラス定義は次のとおりです。
NAME PeerIdentityMember DESCRIPTION PeerIdentityMember aggregates PeerIdentityEntry instances into a PeerIdentityTable. DERIVED FROM MemberOfCollection (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Collection [ref PeerIdentityTable[1..1]] Member [ref PeerIdentityEntry [0..n] [weak]]
NAME PeerIdentityMember説明PeerIdentityMemberはPeerIdentityTableにPeerIdentityEntryインスタンスを集約します。メンバー[参照PeerIdentityEntry] [0..N] [弱い] [PeerIdentityTable [1..1] REF] MemberOfCollection([CIMCORE]を参照)ABSTRACT FALSE PROPERTIESコレクションから派生
The property Collection is inherited from MemberOfCollection and is overridden to refer to a PeerIdentityTable instance. The [1..1] cardinality indicates that a PeerIdentityEntry instance MUST be associated with one and only one PeerIdentityTable instance (i.e., PeerIdentityEntry instances are not shared across PeerIdentityTables).
プロパティコレクションがMemberOfCollectionから継承され、PeerIdentityTableインスタンスを参照するためにオーバーライドされます。 [1..1]基数は、PeerIdentityEntryインスタンス(すなわち、PeerIdentityEntryインスタンスがPeerIdentityTables間で共有されていない)唯一のPeerIdentityTableインスタンスに関連付けられなければならないことを示しています。
The property Member is inherited from MemberOfCollection and is overridden to refer to a PeerIdentityEntry instance. The [0..n] cardinality indicates that a PeerIdentityTable instance may be associated with zero or more PeerIdentityEntry instances.
プロパティのメンバーがMemberOfCollectionから継承され、PeerIdentityEntryインスタンスを参照するように上書きされます。 [0..N]基数は、PeerIdentityTableインスタンスがゼロ以上PeerIdentityEntryインスタンスに関連付けることができることを示しています。
The class IKEServicePeerGateway provides the association between an IKEService and the list of PeerGateway instances that it uses in negotiating with security gateways. The class definition for IKEServicePeerGateway is as follows:
クラスIKEServicePeerGatewayはIKEService、それがセキュリティゲートウェイと交渉して使用していますPeerGatewayインスタンスのリスト間の関連付けを提供します。次のようにIKEServicePeerGatewayのためのクラス定義は次のとおりです。
NAME IKEServicePeerGateway DESCRIPTION Associates an IKEService and the list of PeerGateway instances that it uses in negotiating with security gateways. DERIVED FROM Dependency (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent [ref PeerGateway[0..n]] Dependent [ref IKEService[0..n]]
NAME IKEServicePeerGateway説明はIKEService、それがセキュリティゲートウェイと交渉して使用していますPeerGatewayインスタンスのリストを関連付けます。依存(参照[CIMCORE])要旨FALSE PROPERTIES前例から、派生[REF PeerGateway [0..N]従属[REF IKEService [0..N]
The property Antecedent is inherited from Dependency and is overridden to refer to a PeerGateway instance. The [0..n] cardinality indicates that an IKEService instance may be associated with zero or more PeerGateway instances.
プロパティ前例が依存関係から継承されPeerGatewayインスタンスを参照するように上書きされます。 [0..N]基数は、IKEServiceインスタンスがゼロ以上PeerGatewayインスタンスに関連付けることができることを示しています。
The property Dependent is inherited from Dependency and is overridden to refer to an IKEService instance. The [0..n] cardinality indicates that a PeerGateway instance may be associated with zero or more IKEService instances.
依存性は、依存関係から継承されIKEServiceインスタンスを参照するように上書きされます。 [0..N]基数は、PeerGatewayインスタンスがゼロ以上IKEServiceインスタンスに関連付けることができることを示しています。
The class IKEServicePeerIdentityTable provides the relationship between an IKEService and a PeerIdentityTable that it uses to map between addresses and identities as required. The class definition for IKEServicePeerIdentityTable is as follows:
クラスIKEServicePeerIdentityTableは、それが必要とされるアドレスとアイデンティティの間でマッピングするために使用するIKEServiceとPeerIdentityTableとの間の関係を提供します。次のようにIKEServicePeerIdentityTableのためのクラス定義は次のとおりです。
NAME IKEServicePeerIdentityTable DESCRIPTION IKEServicePeerIdentityTable provides the relationship between an IKEService and a PeerIdentityTable that it uses. DERIVED FROM Dependency (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent [ref PeerIdentityTable[0..n]] Dependent [ref IKEService[0..n]]
NAME IKEServicePeerIdentityTable説明IKEServicePeerIdentityTableは、それが使用するIKEServiceとPeerIdentityTableとの間の関係を提供します。依存(参照[CIMCORE])要旨FALSE PROPERTIES前例から、派生[REF PeerIdentityTable [0..N]従属[REF IKEService [0..N]
The property Antecedent is inherited from Dependency and is overridden to refer to a PeerIdentityTable instance. The [0..n] cardinality indicates that an IKEService instance may be associated with zero or more PeerIdentityTable instances.
プロパティ前例が依存関係から継承されPeerIdentityTableインスタンスを参照するためにオーバーライドされます。 [0..N]基数は、IKEServiceインスタンスがゼロ以上PeerIdentityTableインスタンスに関連付けることができることを示しています。
The property Dependent is inherited from Dependency and is overridden to refer to an IKEService instance. The [0..n] cardinality indicates that a PeerIdentityTable instance may be associated with zero or more IKEService instances.
依存性は、依存関係から継承されIKEServiceインスタンスを参照するように上書きされます。 [0..N]基数は、PeerIdentityTableインスタンスがゼロ以上IKEServiceインスタンスに関連付けることができることを示しています。
The class IKEAutostartSetting associates an AutostartIKESetting with an IKEService that may use it to automatically start an IKE negotiation or create a static SA. The class definition for IKEAutostartSetting is as follows:
クラスIKEAutostartSettingは自動的にIKEネゴシエーションを開始したり、静的なSAを作成するためにそれを使用することができIKEServiceとAutostartIKESettingを関連付けます。次のようにIKEAutostartSettingのためのクラス定義は次のとおりです。
NAME IKEAutostartSetting DESCRIPTION Associates a AutostartIKESetting with an IKEService. DERIVED FROM ElementSetting (see [CIMCORE]) ABSTRACT FALSE
NAME IKEAutostartSetting説明はIKEServiceとAutostartIKESettingを関連付け。 ElementSettingから、派生ABSTRACT FALSE([CIMCORE]を参照)
PROPERTIES Element [ref IKEService[0..n]] Setting [ref AutostartIKESetting[0..n]]
PROPERTIES要素[参照IKEService [0..N]]の設定[REF AutostartIKESetting [0..N]]
The property Element is inherited from ElementSetting and is overridden to refer to an IKEService instance. The [0..n] cardinality indicates an AutostartIKESetting instance may be associated with zero or more IKEService instances.
プロパティ要素はElementSettingから継承されIKEServiceインスタンスを参照するように上書きされます。 [0..N]基数は、AutostartIKESettingインスタンスがゼロ以上IKEServiceインスタンスに関連付けることができる示しています。
The property Setting is inherited from ElementSetting and is overridden to refer to an AutostartIKESetting instance. The [0..n] cardinality indicates that an IKEService instance may be associated with zero or more AutostartIKESetting instances.
プロパティ設定はElementSettingから継承されAutostartIKESettingインスタンスを参照するように上書きされます。 [0..N]基数は、IKEServiceインスタンスがゼロ以上AutostartIKESettingインスタンスに関連付けることができることを示しています。
The class AutostartIKESettingContext aggregates the settings used to automatically start negotiations or create a static SA into a configuration set. The class definition for AutostartIKESettingContext is as follows:
クラスAutostartIKESettingContextは自動的に交渉を開始したり、構成セットに静的なSAを作成するために使用される設定を集約します。次のようにAutostartIKESettingContextのためのクラス定義は次のとおりです。
NAME AutostartIKESettingContext DESCRIPTION AutostartIKESettingContext aggregates the AutostartIKESetting instances into a configuration set. DERIVED FROM SystemSettingContext (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Context [ref AutostartIKEConfiguration [0..n]] Setting [ref AutostartIKESetting [0..n]] SequenceNumber
NAME AutostartIKESettingContext説明AutostartIKESettingContextは、コンフィギュレーションセットにAutostartIKESettingインスタンスを集約します。 SystemSettingContext(参照[CIMCORE])ABSTRACT FALSE PROPERTIESコンテキストから派生した設定[REF AutostartIKESetting [0..N] SequenceNumberは[AutostartIKEConfiguration [0..N]参考文献]
The property Context is inherited from SystemSettingContext and is overridden to refer to an AutostartIKEConfiguration instance. The [0..n] cardinality indicates that an AutostartIKESetting instance may be associated with zero or more AutostartIKEConfiguration instances (i.e., a setting may be in multiple configuration sets).
プロパティコンテキストSystemSettingContextから継承されAutostartIKEConfigurationインスタンスを参照するように上書きされます。 [0..N]基数は、AutostartIKESettingインスタンスがゼロ以上AutostartIKEConfigurationインスタンス(すなわち、設定は複数の構成セットであってもよい)に関連付けることができることを示しています。
The property Setting is inherited from SystemSettingContext and is overridden to refer to an AutostartIKESetting instance. The [0..n] cardinality indicates that an AutostartIKEConfiguration instance may be associated with zero or more AutostartIKESetting instances.
プロパティ設定はSystemSettingContextから継承されAutostartIKESettingインスタンスを参照するように上書きされます。 [0..N]基数は、AutostartIKEConfigurationインスタンスがゼロ以上AutostartIKESettingインスタンスに関連付けることができることを示しています。
The property SequenceNumber specifies the ordering to be used when starting negotiations or creating a static SA. A zero value indicates that order is not significant and settings may be applied in parallel with other settings. All other settings in the configuration are executed in sequence from lower to higher values. Sequence numbers need not be unique in an AutostartIKEConfiguration and order is not significant for settings with the same sequence number. The property is defined as follows:
プロパティSequenceNumberは、交渉を開始するか、静的なSAを作成するときに使用される順序を指定します。ゼロ値は、順序は重要ではなく、設定が他の設定と並行して適用することができることを示しています。構成内の他のすべての設定は、より高い値に下から順に実行されています。シーケンス番号はAutostartIKEConfiguration内で一意である必要はなく、順序は同じシーケンス番号を持つ設定は重要ではありません。次のようにプロパティが定義されています。
NAME SequenceNumber DESCRIPTION The sequence in which the settings are applied within a configuration set. SYNTAX unsigned 16-bit integer
NAME SequenceNumberは説明の設定はコンフィギュレーション・セット内で適用される順序。 SYNTAX符号なし16ビット整数
The class IKEServiceForEndpoint provides the association showing which IKE service, if any, provides IKE negotiation services for which network interfaces. The class definition for IKEServiceForEndpoint is as follows:
クラスIKEServiceForEndpointは、もしあれば、関連付け示すれるIKEサービスを提供するネットワークインターフェースのためのIKEネゴシエーションサービスを提供します。次のようにIKEServiceForEndpointのためのクラス定義は次のとおりです。
NAME IKEServiceForEndpoint DESCRIPTION Associates an IPProtocolEndpoint with an IKEService that provides negotiation services for the endpoint. DERIVED FROM Dependency (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent [ref IKEService[0..1]] Dependent [ref IPProtocolEndpoint[0..n]]
NAME IKEServiceForEndpointの説明は、エンドポイントの交渉サービスを提供してIKEServiceでIPProtocolEndpointを関連付けます。依存(参照[CIMCORE])要旨FALSE PROPERTIES前例から、派生[REF IKEService [0..1]従属[REF IPProtocolEndpoint [0..N]
The property Antecedent is inherited from Dependency and is overridden to refer to an IKEService instance. The [0..1] cardinality indicates that an IPProtocolEndpoint instance MUST by associated with at most one IKEService instance.
プロパティ前例が依存関係から継承されIKEServiceインスタンスを参照するように上書きされます。 [0..1]基数は、IPProtocolEndpointインスタンスが最大1つのIKEServiceインスタンスに関連付けられていることにより、しなければならないことを示しています。
The property Dependent is inherited from Dependency and is overridden to refer to an IPProtocolEndpoint that is associated with at most one IKEService. The [0..n] cardinality indicates an IKEService instance may be associated with zero or more IPProtocolEndpoint instances.
依存性は、依存関係から継承されており、最大で1つIKEServiceに関連付けられているIPProtocolEndpointを参照するためにオーバーライドされます。 [0..N]基数は、IKEServiceインスタンスがゼロ以上IPProtocolEndpointインスタンスに関連付けることができる示しています。
The class IKEAutostartConfiguration provides the relationship between an IKEService and a configuration set that it uses to automatically start a set of SAs. The class definition for IKEAutostartConfiguration is as follows:
クラスIKEAutostartConfigurationはIKEService、それが自動的にSAのセットを開始するために使用することが設定された構成との間の関係を提供します。次のようにIKEAutostartConfigurationのためのクラス定義は次のとおりです。
NAME IKEAutostartConfiguration DESCRIPTION IKEAutostartConfiguration provides the relationship between an IKEService and an AutostartIKEConfiguration that it uses to automatically start a set of SAs. DERIVED FROM Dependency (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent [ref AutostartIKEConfiguration [0..n]] Dependent [ref IKEService [0..n]] Active
NAME IKEAutostartConfiguration説明IKEAutostartConfigurationは、それが自動的にSAのセットを開始するために使用するIKEServiceとAutostartIKEConfigurationとの間の関係を提供します。依存(参照[CIMCORE])要旨FALSE PROPERTIES前例から、派生[REF AutostartIKEConfiguration [0..N]従属[REF IKEService [0..N]アクティブ
The property Antecedent is inherited from Dependency and is overridden to refer to an AutostartIKEConfiguration instance. The [0..n] cardinality indicates that an IKEService instance may be associated with zero or more AutostartIKEConfiguration instances.
プロパティ前例が依存関係から継承されAutostartIKEConfigurationインスタンスを参照するように上書きされます。 [0..N]基数は、IKEServiceインスタンスがゼロ以上AutostartIKEConfigurationインスタンスに関連付けることができることを示しています。
The property Dependent is inherited from Dependency and is overridden to refer to an IKEService instance. The [0..n] cardinality indicates that an AutostartIKEConfiguration instance may be associated with zero or more IKEService instances.
依存性は、依存関係から継承されIKEServiceインスタンスを参照するように上書きされます。 [0..N]基数は、AutostartIKEConfigurationインスタンスがゼロ以上IKEServiceインスタンスに関連付けることができることを示しています。
The property Active indicates whether the AutostartIKEConfiguration set is currently active for the associated IKEService. That is, at boot time, the active configuration is used to automatically start IKE negotiations and create static SAs. The property is defined as follows:
ActiveプロパティはAutostartIKEConfigurationセットが関連付けられているIKEServiceため現在アクティブであるかどうかを示します。これは、ブート時に、アクティブな設定を自動的にIKEネゴシエーションを開始し、静的なSAを作成するために使用されています。次のようにプロパティが定義されています。
NAME Active DESCRIPTION Active indicates whether the AutostartIKEConfiguration set is currently active for the associated IKEService. SYNTAX boolean
NAMEアクティブ説明アクティブはAutostartIKEConfigurationセットが関連IKEServiceために現在アクティブであるかどうかを示します。 SYNTAXブール
VALUE true - AutostartIKEConfiguration is currently active for associated IKEService. false - AutostartIKEConfiguration is currently inactive for associated IKEService.
VALUE真 - AutostartIKEConfigurationは、関連IKEServiceため、現在アクティブになっています。偽 - AutostartIKEConfigurationは、関連IKEServiceため現在非アクティブです。
The class IKEUsesCredentialManagementService defines the set of CredentialManagementService(s) that are trusted sources of credentials for IKE phase 1 negotiations. The class definition for IKEUsesCredentialManagementService is as follows:
クラスIKEUsesCredentialManagementServiceは、IKEフェーズ1つのネゴシエーションの資格情報のソースを信頼されCredentialManagementService(S)のセットを定義します。次のようにIKEUsesCredentialManagementServiceのためのクラス定義は次のとおりです。
NAME IKEUsesCredentialManagementService DESCRIPTION Associates the set of CredentialManagementService(s) that are trusted by the IKEService as sources of credentials used in IKE phase 1 negotiations. DERIVED FROM Dependency (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent [ref CredentialManagementService [0..n]] Dependent [ref IKEService [0..n]]
NAME IKEUsesCredentialManagementService説明は、IKEフェーズ1つのネゴシエーションで使用される資格情報のソースとしてIKEServiceによって信頼されCredentialManagementService(S)のセットを関連付け。依存(参照[CIMCORE])要旨FALSE PROPERTIES前例から、派生[REF CredentialManagementService [0..N]従属[REF IKEService [0..N]
The property Antecedent is inherited from Dependency and is overridden to refer to a CredentialManagementService instance. The [0..n] cardinality indicates that an IKEService instance may be associated with zero or more CredentialManagementService instances.
プロパティ前例が依存関係から継承されCredentialManagementServiceインスタンスを参照するように上書きされます。 [0..N]基数は、IKEServiceインスタンスがゼロ以上CredentialManagementServiceインスタンスに関連付けることができることを示しています。
The property Dependent is inherited from Dependency and is overridden to refer to an IKEService instance. The [0..n] cardinality indicates that a CredentialManagementService instance may be associated with zero or more IKEService instances.
依存性は、依存関係から継承されIKEServiceインスタンスを参照するように上書きされます。 [0..N]基数は、CredentialManagementServiceインスタンスがゼロ以上IKEServiceインスタンスに関連付けることができることを示しています。
The class EndpointHasLocalIKEIdentity associates an IPProtocolEndpoint with a set of IKEIdentity instances that may be used in negotiating security associations on the endpoint. An IKEIdentity MUST be associated with either an IPProtocolEndpoint using this association or with a collection of IKEIdentity instances using the CollectionHasLocalIKEIdentity association. The class definition for EndpointHasLocalIKEIdentity is as follows:
クラスEndpointHasLocalIKEIdentityは、エンドポイントのセキュリティアソシエーションのネゴシエーションに使用されてもよいIKEIdentityインスタンスのセットにIPProtocolEndpointを関連付けます。 IKEIdentityいずれかIPProtocolEndpointはこの関連付けを用いて、またはCollectionHasLocalIKEIdentityアソシエーションを使用してIKEIdentityインスタンスのコレクションに関連付けられなければなりません。次のようにEndpointHasLocalIKEIdentityのためのクラス定義は次のとおりです。
NAME EndpointHasLocalIKEIdentity DESCRIPTION EndpointHasLocalIKEIdentity associates an IPProtocolEndpoint with a set of IKEIdentity instances. DERIVED FROM ElementAsUser (see [CIMUSER]) ABSTRACT FALSE PROPERTIES Antecedent [ref IPProtocolEndpoint [0..1]] Dependent [ref IKEIdentity [0..n]]
NAME EndpointHasLocalIKEIdentityの説明EndpointHasLocalIKEIdentityはIKEIdentityインスタンスのセットにIPProtocolEndpointを関連付けます。 ElementAsUser(参照[をCIMUser])要旨FALSE PROPERTIES前例から、派生[REF IPProtocolEndpoint [0..1]従属[REF IKEIdentity [0..N]
The property Antecedent is inherited from ElementAsUser and is overridden to refer to an IPProtocolEndpoint instance. The [0..1] cardinality indicates that an IKEIdentity instance MUST be associated with at most one IPProtocolEndpoint instance.
プロパティ前例がElementAsUserから継承されIPProtocolEndpointインスタンスを参照するように上書きされます。 [0..1]基数は、IKEIdentityインスタンスが最大1つのIPProtocolEndpointインスタンスに関連付けられなければならないことを示しています。
The property Dependent is inherited from ElementAsUser and is overridden to refer to an IKEIdentity instance. The [0..n] cardinality indicates that an IPProtocolEndpoint instance may be associated with zero or more IKEIdentity instances.
依存性はElementAsUserから継承されIKEIdentityインスタンスを参照するように上書きされます。 [0..N]基数は、IPProtocolEndpointインスタンスがゼロ以上IKEIdentityインスタンスに関連付けることができることを示しています。
The class CollectionHasLocalIKEIdentity associates a Collection of IPProtocolEndpoint instances with a set of IKEIdentity instances that may be used in negotiating SAs for endpoints in the collection. An IKEIdentity MUST be associated with either an IPProtocolEndpoint using the EndpointHasLocalIKEIdentity association or with a collection of IKEIdentity instances using this association. The class definition for CollectionHasLocalIKEIdentity is as follows:
クラスCollectionHasLocalIKEIdentityは、コレクション内のエンドポイントのためにSAを交渉して使用することができるIKEIdentityインスタンスのセットでIPProtocolEndpointインスタンスのコレクションを関連付けます。 IKEIdentityはEndpointHasLocalIKEIdentityアソシエーションを使用してIPProtocolEndpointいずれかで、または、この関連付けを用いIKEIdentityインスタンスのコレクションに関連付けられなければなりません。次のようにCollectionHasLocalIKEIdentityのためのクラス定義は次のとおりです。
NAME CollectionHasLocalIKEIdentity DESCRIPTION CollectionHasLocalIKEIdentity associates a collection of IPProtocolEndpoint instances with a set of IKEIdentity instances. DERIVED FROM ElementAsUser (see [CIMUSER]) ABSTRACT FALSE PROPERTIES Antecedent [ref Collection [0..1]] Dependent [ref IKEIdentity [0..n]]
NAME CollectionHasLocalIKEIdentity説明CollectionHasLocalIKEIdentityはIKEIdentityインスタンスのセットでIPProtocolEndpointインスタンスのコレクションを関連付けます。 ElementAsUser(参照[をCIMUser])ABSTRACT FALSE PROPERTIES前例から派生して、[参照コレクション[0..1]]依存[参照IKEIdentity [0..N]]
The property Antecedent is inherited from ElementAsUser and is overridden to refer to a Collection instance. The [0..1] cardinality indicates that an IKEIdentity instance MUST be associated with at most one Collection instance.
プロパティの前例がElementAsUserから継承され、コレクションのインスタンスを参照するためにオーバーライドされます。 [0..1]基数は、IKEIdentityインスタンスが最大1つのコレクションのインスタンスに関連付けられなければならないことを示しています。
The property Dependent is inherited from ElementAsUser and is overridden to refer to an IKEIdentity instance. The [0..n] cardinality indicates that a Collection instance may be associated with zero or more IKEIdentity instances.
依存性はElementAsUserから継承されIKEIdentityインスタンスを参照するように上書きされます。 [0..N]基数は、コレクションインスタンスがゼロ以上IKEIdentityインスタンスに関連付けることができることを示しています。
The class IKEIdentitysCredential is an association that relates a set of credentials to their corresponding local IKE Identities. The class definition for IKEIdentitysCredential is as follows:
クラスIKEIdentitysCredentialは、それらの対応するローカルIKE IDに資格情報のセットを関連付ける関連付けです。次のようにIKEIdentitysCredentialのためのクラス定義は次のとおりです。
NAME IKEIdentitysCredential DESCRIPTION IKEIdentitysCredential associates a set of credentials to their corresponding local IKEIdentity. DERIVED FROM UsersCredential (see [CIMCORE]) ABSTRACT FALSE PROPERTIES Antecedent [ref Credential [0..n]] Dependent [ref IKEIdentity [0..n]]
NAME IKEIdentitysCredential説明IKEIdentitysCredentialは、対応するローカルIKEIdentityに資格情報のセットを関連付けます。 UsersCredential(参照[CIMCORE])要旨FALSE PROPERTIES前例から、派生[REF資格[0..N]従属[REF IKEIdentity [0..N]
The property Antecedent is inherited from UsersCredential and is overridden to refer to a Credential instance. The [0..n] cardinality indicates that the IKEIdentity instance may be associated with zero or more Credential instances.
プロパティ前例がUsersCredentialから継承され、資格情報インスタンスを参照するためにオーバーライドされます。 [0..N]基数は、IKEIdentityインスタンスがゼロまたはそれ以上の資格のインスタンスに関連付けることができることを示しています。
The property Dependent is inherited from UsersCredential and is overridden to refer to an IKEIdentity instance. The [0..n] cardinality indicates that a Credential instance may be associated with zero or more IKEIdentity instances.
依存性はUsersCredentialから継承されIKEIdentityインスタンスを参照するように上書きされます。 [0..N]基数は、資格インスタンスがゼロ以上IKEIdentityインスタンスに関連付けることができることを示しています。
The following table specifies which classes, properties, associations and aggregations MUST or SHOULD or MAY be implemented.
以下の表は、クラス、プロパティ、団体や集計がまたはまたは実施することができるべきであるしなければならないかを指定します。
4. Policy Classes
4.1. The Class SARule..........................................MUST
4.1.1. The Property PolicyRuleName..............................MAY
4.1.1. The Property Enabled....................................MUST
4.1.1. The Property ConditionListType..........................MUST
4.1.1. The Property RuleUsage...................................MAY
4.1.1. The Property Mandatory...................................MAY
4.1.1. The Property SequencedActions...........................MUST
4.1.1. The Property PolicyRoles.................................MAY
4.1.1. The Property PolicyDecisionStrategy......................MAY
4.1.2 The Property ExecutionStrategy..........................MUST
4.1.3 The Property LimitNegotiation............................MAY
4.2. The Class IKERule.........................................MUST
4.2.1. The Property IdentityContexts............................MAY
4.3. The Class IPsecRule.......................................MUST
4.4. The Association Class IPsecPolicyForEndpoint...............MAY
4.4.1. The Reference Antecedent................................MUST
4.4.2. The Reference Dependent.................................MUST
4.5. The Association Class IPsecPolicyForSystem.................MAY
4.5.1. The Reference Antecedent................................MUST
4.5.2. The Reference Dependent.................................MUST
4.6. The Aggregation Class SAConditionInRule...................MUST
4.6.1. The Property GroupNumber..............................SHOULD
4.6.1. The Property ConditionNegated.........................SHOULD
4.6.2. The Reference GroupComponent............................MUST
4.6.3. The Reference PartComponent.............................MUST
4.7. The Aggregation Class PolicyActionInSARule................MUST
4.7.1. The Reference GroupComponent............................MUST
4.7.2. The Reference PartComponent.............................MUST
4.7.3. The Property ActionOrder..............................SHOULD
5. Condition and Filter Classes
5.1. The Class SACondition.....................................MUST
5.2. The Class IPHeadersFilter...............................SHOULD
5.3. The Class CredentialFilterEntry............................MAY
5.3.1. The Property MatchFieldName.............................MUST
5.3.2. The Property MatchFieldValue............................MUST
5.3.3. The Property CredentialType.............................MUST
5.4. The Class IPSOFilterEntry..................................MAY
5.4.1. The Property MatchConditionType.........................MUST
5.4.2. The Property MatchConditionValue........................MUST
5.5. The Class PeerIDPayloadFilterEntry.........................MAY
5.5.1. The Property MatchIdentityType..........................MUST
5.5.2. The Property MatchIdentityValue.........................MUST
5.6. The Association Class FilterOfSACondition...............SHOULD
5.6.1. The Reference Antecedent................................MUST
5.6.2. The Reference Dependent.................................MUST
5.7. The Association Class AcceptCredentialFrom.................MAY
5.7.1. The Reference Antecedent................................MUST
5.7.2. The Reference Dependent.................................MUST
6. Action Classes
6.1. The Class SAAction........................................MUST
6.1.1. The Property DoActionLogging.............................MAY
6.1.2. The Property DoPacketLogging.............................MAY
6.2. The Class SAStaticAction..................................MUST
6.2.1. The Property LifetimeSeconds............................MUST
6.3. The Class IPsecBypassAction.............................SHOULD
6.4. The Class IPsecDiscardAction............................SHOULD
6.5. The Class IKERejectAction..................................MAY
6.6. The Class PreconfiguredSAAction...........................MUST
6.6.1. The Property LifetimeKilobytes..........................MUST
6.7. The Class PreconfiguredTransportAction....................MUST
6.8. The Class PreconfiguredTunnelAction.......................MUST
6.8.1. The Property DFHandling.................................MUST
6.9. The Class SANegotiationAction.............................MUST
6.10. The Class IKENegotiationAction...........................MUST
6.10.1. The Property MinLifetimeSeconds.........................MAY
6.10.2. The Property MinLifetimeKilobytes.......................MAY
6.10.3. The Property IdleDurationSeconds........................MAY
6.11. The Class IPsecAction....................................MUST
6.11.1. The Property UsePFS....................................MUST
6.11.2. The Property UseIKEGroup................................MAY
6.11.3. The Property GroupId...................................MUST
6.11.4. The Property Granularity.............................SHOULD
6.11.5. The Property VendorID...................................MAY
6.12. The Class IPsecTransportAction...........................MUST
6.13. The Class IPsecTunnelAction..............................MUST
6.13.1. The Property DFHandling................................MUST
6.14. The Class IKEAction......................................MUST
6.14.1. The Property ExchangeMode ............................MUST
6.14.2. The Property UseIKEIdentityType........................MUST
6.14.3. The Property VendorID...................................MAY
6.14.4. The Property AggressiveModeGroupId......................MAY
6.15. The Class PeerGateway....................................MUST
6.15.1. The Property Name....................................SHOULD
6.15.2. The Property PeerIdentityType..........................MUST
6.15.3. The Property PeerIdentity..............................MUST
6.16. The Association Class PeerGatewayForTunnel...............MUST
6.16.1. The Reference Antecedent...............................MUST
6.16.2. The Reference Dependent................................MUST
6.16.3. The Property SequenceNumber..........................SHOULD
6.17. The Aggregation Class ContainedProposal..................MUST
6.17.1. The Reference GroupComponent...........................MUST
6.17.2. The Reference PartComponent............................MUST
6.17.3. The Property SequenceNumber............................MUST
6.18. The Association Class HostedPeerGatewayInformation........MAY
6.18.1. The Reference Antecedent...............................MUST
6.18.2. The Reference Dependent................................MUST
6.19. The Association Class TransformOfPreconfiguredAction.....MUST
6.19.1. The Reference Antecedent...............................MUST
6.19.2. The Reference Dependent................................MUST
6.19.3. The Property SPI.......................................MUST
6.19.4. The Property Direction.................................MUST
6.20. The Association Class PeerGatewayForPreconfiguredTunnel..MUST
6.20.1. The Reference Antecedent...............................MUST
6.20.2. The Reference Dependent................................MUST
7. Proposal and Transform Classes
7.1. The Abstract Class SAProposal.............................MUST
7.1.1. The Property Name.....................................SHOULD
7.2 The Class IKEProposal......................................MUST
7.2.1. The Property CipherAlgorithm............................MUST
7.2.2. The Property HashAlgorithm..............................MUST
7.2.3. The Property PRFAlgorithm................................MAY
7.2.4. The Property GroupId....................................MUST
7.2.5. The Property AuthenticationMethod.......................MUST
7.2.6. The Property MaxLifetimeSeconds.........................MUST
7.2.7. The Property MaxLifetimeKilobytes.......................MUST
7.2.8. The Property VendorID....................................MAY
7.3. The Class IPsecProposal...................................MUST
7.4. The Abstract Class SATransform............................MUST
7.4.1. The Property TransformName............................SHOULD
7.4.2. The Property VendorID....................................MAY
7.4.3. The Property MaxLifetimeSeconds.........................MUST
7.4.4. The Property MaxLifetimeKilobytes.......................MUST
7.5. The Class AHTransform.....................................MUST
7.5.1. The Property AHTransformId..............................MUST
7.5.2. The Property UseReplayPrevention.........................MAY
7.5.3. The Property ReplayPreventionWindowSize..................MAY
7.6. The Class ESPTransform....................................MUST
7.6.1. The Property IntegrityTransformId.......................MUST
7.6.2. The Property CipherTransformId..........................MUST
7.6.3. The Property CipherKeyLength.............................MAY
7.6.4. The Property CipherKeyRounds.............................MAY
7.6.5. The Property UseReplayPrevention.........................MAY
7.6.6. The Property ReplayPreventionWindowSize..................MAY
7.7. The Class IPCOMPTransform..................................MAY
7.7.1. The Property Algorithm..................................MUST
7.7.2. The Property DictionarySize..............................MAY
7.7.3. The Property PrivateAlgorithm............................MAY
7.8. The Association Class SAProposalInSystem...................MAY
7.8.1. The Reference Antecedent................................MUST
7.8.2. The Reference Dependent.................................MUST
7.9. The Aggregation Class ContainedTransform..................MUST
7.9.1. The Reference GroupComponent............................MUST
7.9.2. The Reference PartComponent.............................MUST
7.9.3. The Property SequenceNumber.............................MUST
7.10. The Association Class SATransformInSystem.................MAY
7.10.1. The Reference Antecedent...............................MUST
7.10.2. The Reference Dependent................................MUST
8. IKE Service and Identity Classes
8.1. The Class IKEService.......................................MAY
8.2. The Class PeerIdentityTable................................MAY
8.3.1. The Property Name.....................................SHOULD
8.3. The Class PeerIdentityEntry................................MAY
8.3.1. The Property PeerIdentity.............................SHOULD
8.3.2. The Property PeerIdentityType.........................SHOULD
8.3.3. The Property PeerAddress..............................SHOULD
8.3.4. The Property PeerAddressType..........................SHOULD
8.4. The Class AutostartIKEConfiguration........................MAY
8.5. The Class AutostartIKESetting..............................MAY
8.5.1. The Property Phase1Only..................................MAY
8.5.2. The Property AddressType..............................SHOULD
8.5.3. The Property SourceAddress..............................MUST
8.5.4. The Property SourcePort.................................MUST
8.5.5. The Property DestinationAddress.........................MUST
8.5.6. The Property DestinationPort............................MUST
8.5.7. The Property Protocol...................................MUST
8.6. The Class IKEIdentity......................................MAY
8.6.1. The Property IdentityType...............................MUST
8.6.2. The Property IdentityValue..............................MUST
8.6.3. The Property IdentityContexts............................MAY
8.7. The Association Class HostedPeerIdentityTable..............MAY
8.7.1. The Reference Antecedent................................MUST
8.7.2. The Reference Dependent.................................MUST
8.8. The Aggregation Class PeerIdentityMember...................MAY
8.8.1. The Reference Collection................................MUST
8.8.2. The Reference Member....................................MUST
8.9. The Association Class IKEServicePeerGateway................MAY
8.9.1. The Reference Antecedent................................MUST
8.9.2. The Reference Dependent.................................MUST
8.10. The Association Class IKEServicePeerIdentityTable.........MAY
8.10.1. The Reference Antecedent...............................MUST
8.10.2. The Reference Dependent................................MUST
8.11. The Association Class IKEAutostartSetting.................MAY
8.11.1. The Reference Element..................................MUST
8.11.2. The Reference Setting..................................MUST
8.12. The Aggregation Class AutostartIKESettingContext..........MAY
8.12.1. The Reference Context..................................MUST
8.12.2. The Reference Setting..................................MUST
8.12.3. The Property SequenceNumber..........................SHOULD
8.13. The Association Class IKEServiceForEndpoint...............MAY
8.13.1. The Reference Antecedent...............................MUST
8.13.2. The Reference Dependent................................MUST
8.14. The Association Class IKEAutostartConfiguration...........MAY
8.14.1. The Reference Antecedent...............................MUST
8.14.2. The Reference Dependent................................MUST
8.14.3. The Property Active..................................SHOULD
8.15. The Association Class IKEUsesCredentialManagementService..MAY
8.15.1. The Reference Antecedent...............................MUST
8.15.2. The Reference Dependent................................MUST
8.16. The Association Class EndpointHasLocalIKEIdentity.........MAY
8.16.1. The Reference Antecedent...............................MUST
8.16.2. The Reference Dependent................................MUST
8.17. The Association Class CollectionHasLocalIKEIdentity.......MAY
8.17.1. The Reference Antecedent...............................MUST
8.17.2. The Reference Dependent................................MUST
8.18. The Association Class IKEIdentitysCredential..............MAY
8.18.1. The Reference Antecedent...............................MUST
8.18.2. The Reference Dependent................................MUST
This document only describes an information model for IPsec policy. It does not detail security requirements for storage or delivery of said information.
この文書では、唯一のIPsecポリシーのための情報モデルを記述する。それは言った情報の保管や配送のためではない詳細なセキュリティ要件を行います。
Physical models derived from this information model MUST implement the relevant security for storage and delivery. Most of the classes (e.g., IpHeadersFilter, SAAction,...) MUST at least provided the integrity service; other pieces of information MUST also receive the confidentiality service (e.g., SharedSecret as described in the classes PeerIdentityEntry and PreconfiguredSAAction).
この情報モデルから導出物理モデルは、ストレージと配信に関連するセキュリティを実装しなければなりません。クラスのほとんどは、(例えば、IpHeadersFilter、SAAction、...)は、少なくとも整合性サービスを提供しなければなりません。また、機密性サービスを受信しなければならない情報の他の部分(例えば、クラスしsharedsecret PeerIdentityEntryとPreconfiguredSAActionに記載されているように)。
The IETF takes no position regarding the validity or scope of any intellectual property or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; neither does it represent that it has made any effort to identify any such rights. Information on the IETF's procedures with respect to rights in standards-track and standards-related documentation can be found in BCP-11.
IETFは、そのような権限下で、ライセンスがたりないかもしれない可能性があるためにどの本書または程度に記載されている技術の実装や使用に関係すると主張される可能性があります任意の知的財産やその他の権利の有効性または範囲に関していかなる位置を取りません利用可能。また、そうした権利を特定するために取り組んできたことを表していないん。スタンダードトラックおよび標準関連文書における権利に関するIETFの手続きの情報は、BCP-11に記載されています。
Copies of claims of rights made available for publication and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF Secretariat.
権利の主張のコピーは、出版のために利用可能とライセンスの保証が利用できるようにする、あるいは本仕様の実装者または利用者がそのような所有権の使用のための一般的なライセンスまたは許可を取得するために作られた試みの結果を得ることができますIETF事務局から。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights which may cover technology that may be required to practice this standard. Please address the information to the IETF Executive Director.
IETFは、その注意にこの標準を実践するために必要な場合があり技術をカバーすることができる任意の著作権、特許または特許出願、またはその他の所有権を持ってすべての利害関係者を招待します。 IETF専務に情報を扱ってください。
[COMP] Shacham, A., Monsour, B., Pereira, R. and M. Thomas, "IP Payload Compression Protocol (IPComp)", RFC 3173, September 2001.
[COMP] Shacham、A.、Monsour、B.、ペレイラ、R。およびM.トーマス、 "IPペイロード圧縮プロトコル(のIPComp)"、RFC 3173、2001年9月。
[ESP] Kent, S. and R. Atkinson, "IP Encapsulating Security Payload (ESP)", RFC 2406, November 1998.
[ESP]ケント、S.とR.アトキンソン、 "IPカプセル化セキュリティペイロード(ESP)"、RFC 2406、1998年11月。
[AH] Kent, S. and R. Atkinson, "IP Authentication Header", RFC 2402, November 1998.
[AH]ケント、S.とR.アトキンソン、 "IP認証ヘッダー"、RFC 2402、1998年11月。
[DOI] Piper, D., "The Internet IP Security Domain of Interpretation for ISAKMP", RFC 2407, November 1998.
[DOI]パイパー、D.、RFC 2407 "ISAKMPのための解釈のインターネットIPセキュリティー領域"、1998年11月。
[IKE] Harkins, D. and D. Carrel, "The Internet Key Exchange (IKE)", RFC 2409, November 1998.
[IKE]ハーキンとD.とD.カレル、 "インターネットキー交換(IKE)"、RFC 2409、1998年11月。
[PCIM] Moore, B., Ellesson, E., Strassner, J. and A. Westerinen, "Policy Core Information Model -- Version 1 Specification", RFC 3060, February 2001.
[PCIM]ムーア、B.、Ellesson、E.、Strassner、J.およびA. Westerinen、 "方針コア情報モデル - バージョン1つの仕"、RFC 3060、2001年2月。
[PCIME] Moore, B., Editor, "Policy Core Information Model (PCIM) Extensions", RFC 3460, January 2003.
[PCIME]ムーア、B.、エディタ、 "方針コア情報モデル(PCIM)拡張機能"、RFC 3460、2003年1月。
[KEYWORDS] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[キーワード]ブラドナーの、S.、 "要件レベルを示すためにRFCsにおける使用のためのキーワード"、BCP 14、RFC 2119、1997年3月。
[CIMCORE] DMTF Common Information Model - Core Model v2.5 which can be found at http://www.dmtf.org/standards/CIM_Schema25/ CIM_Core25.mof
[CIMCORE] DMTF共通情報モデル - http://www.dmtf.org/standards/CIM_Schema25/ CIM_Core25.mofで見つけることができますコアモデルV2.5
[CIMUSER] DMTF Common Information Model - User-Security Model v2.5 which can be found at http://www.dmtf.org/standards/CIM_Schema25/ CIM_User25.mof
[をCIMUser] DMTF共通情報モデル - http://www.dmtf.org/standards/CIM_Schema25/ CIM_User25.mofで見つけることができるユーザセキュリティモデルのV2.5
[CIMNETWORK] DMTF Common Information Model - Network Model v2.5 which can be found at http://www.dmtf.org/standards/CIM_Schema25/ CIM_Network25.mof
[CIMNETWORK] DMTF共通情報モデル - http://www.dmtf.org/standards/CIM_Schema25/ CIM_Network25.mofで見つけることができるネットワークモデルのV2.5
[IPSO] Kent, S., "U.S. Department of Defense Security Options for the Internet Protocol", RFC 1108, November 1991.
[IPSO]ケント、S.、「インターネットプロトコルのための防衛セキュリティオプションの米国部門」、RFC 1108、1991年11月。
[IPSEC] Kent, S. and R. Atkinson, "Security Architecture for the Internet Protocol", RFC 2401, November 1998.
[IPSEC]ケント、S.とR.アトキンソン、 "インターネットプロトコルのためのセキュリティー体系"、RFC 2401、1998年11月。
[LDAP] Wahl, M., Howes, T. and S. Kille, "Lightweight Directory Access Protocol (v3)", RFC 2251, December 1997.
[LDAP]ワール、M.、ハウズ、T.およびS. Kille、 "軽量のディレクトリアクセスプロトコル(V3)"、RFC 2251、1997年12月。
[COPS] Durham, D., Ed., Boyle, J., Cohen, R., Herzog, S., Rajan, R. and A. Sastry, "The COPS (Common Open Policy Service) Protocol", RFC 2748, January 2000.
[COPS]ダラム、D.、編、ボイル、J.、コーエン、R.、ヘルツォーク、S.、ラジャン、R.およびA. Sastry、 "COPS(共通オープンポリシーサービス)プロトコル"、RFC 2748、 2000年1月。
[COPSPR] Chan, K., Seligson, J., Durham, D., Gai, S., McCloghrie, K., Herzog, S., Reichmeyer, R., Yavatkar, R. and A. Smith, "COPS Usage for Policy Provisioning (COPS-PR)", RFC 3084, March 2001.
【COPSPR】チャン、K.、Seligson、J.、ダラム、D.、ガイ、S.、McCloghrie、K.、ヘルツォーク、S.、Reichmeyer、R.、Yavatkar、R.およびA.スミス、「使用をCOPSポリシープロビジョニング(COPS-PR)」、RFC 3084、2001年3月のため。
[DMTF] Distributed Management Task Force, http://www.dmtf.org/
[DMTF]分散管理タスクフォース、http://www.dmtf.org/
The views and specification herein are those of the authors and are not necessarily those of their employer. The authors and their employer specifically disclaim responsibility for any problems arising from correct or incorrect implementation or use of this specification.
ビューおよび仕様ここでは著者のものであり、必ずしもその雇用者のそれではありません。著者とその雇い主は、特に正しいか正しくないの実装や、この仕様の利用から生じるいかなる問題の責任を負いかねます。
The authors would like to thank Mike Jeronimo, Ylian Saint-Hilaire, Vic Lortz, William Dixon, Man Li, Wes Hardaker and Ricky Charlet for their contributions to this IPsec policy model.
著者は、このIPsecポリシーモデルへの貢献のためにマイク・ジェロニモ、Ylianサンティレール、ヴィックLortz、ウィリアムディクソン、男のLi、ウェスHardakerとリッキーシャレーに感謝したいと思います。
Additionally, this document would not have been possible without the preceding IPsec schema documents. For that, thanks go out to Rob Adams, Partha Bhattacharya, William Dixon, Roy Pereira, and Raju Rajan.
また、この文書は、前のIPsecスキーマ文書なしでは不可能でした。そのために、おかげでロブアダムス、Parthaバッタチャリヤ、ウィリアムディクソン、ロイ・ペレイラ、およびラジュラジャンに出かけます。
Jamie Jason Intel Corporation MS JF3-206 2111 NE 25th Ave. Hillsboro, OR 97124
ジェイミージェイソンインテルコーポレーションMS JF3-206 2111 NE 25日アベニュー。ヒルズボロ、OR 97124
EMail: jamie.jason@intel.com
メールアドレス:jamie.jason@intel.com
Lee Rafalow IBM Corporation, BRQA/502 4205 So. Miami Blvd. Research Triangle Park, NC 27709
リーRafalow IBMコーポレーション、BRQA / 502 4205 Soがマイアミブルバードリサーチトライアングルパーク、NC 27709
EMail: rafalow@watson.ibm.com
メールアドレス:rafalow@watson.ibm.com
Eric Vyncke Cisco Systems 7 De Kleetlaan B-1831 Diegem Belgium
エリックVynckeシスコシステムズ7 Kleetlaan B-1831ディーゲムベルギー
EMail: evyncke@cisco.com
メールアドレス:evyncke@cisco.com
Copyright (C) The Internet Society (2003). All Rights Reserved.
著作権(C)インターネット協会(2003)。全著作権所有。
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
この文書とその翻訳は、コピーして他の人に提供し、それ以外についてはコメントまたは派生物は、いかなる種類の制限もなく、全体的にまたは部分的に、準備コピーし、公表して配布することができることを説明したり、その実装を支援することができます、上記の著作権表示とこの段落は、すべてのそのようなコピーや派生物に含まれていることを条件とします。しかし、この文書自体は著作権のための手順はで定義されている場合には、インターネット標準を開発するために必要なものを除き、インターネットソサエティもしくは他のインターネット関連団体に著作権情報や参照を取り除くなど、どのような方法で変更されないかもしれませんインターネット標準化プロセスが続く、または英語以外の言語に翻訳するために、必要に応じなければなりません。
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assignees.
上記の制限は永続的なものであり、インターネットソサエティもしくはその継承者や譲渡者によって取り消されることはありません。
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれている情報は、基礎とインターネットソサエティおよびインターネットエンジニアリングタスクフォースはすべての保証を否認し、明示または黙示、その情報の利用がない任意の保証を含むがこれらに限定されない「として、」上に設けられています特定の目的への権利または商品性または適合性の黙示の保証を侵害します。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。