Network Working Group J. Quittek
Request for Comments: 5190 M. Stiemerling
Category: Standards Track NEC
P. Srisuresh
Kazeon Systems
March 2008
Definitions of Managed Objects for Middlebox Communication
Status of This Memo
このメモのステータス
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
この文書は、インターネットコミュニティのためのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD 1)の最新版を参照してください。このメモの配布は無制限です。
Abstract
抽象
This memo defines a portion of the Management Information Base (MIB) for use with network management protocols in the Internet community. In particular, it describes a set of managed objects that allow configuring middleboxes, such as firewalls and network address translators, in order to enable communication across these devices. The definitions of managed objects in this documents follow closely the MIDCOM semantics defined in RFC 5189.
このメモは、インターネットコミュニティでのネットワーク管理プロトコルで使用するための管理情報ベース(MIB)の一部を定義します。特に、これらのデバイス間の通信を可能にするために、ファイアウォールやネットワークアドレス変換器として中間装置を構成できるように管理オブジェクトのセットを記述する。この文書では、管理対象オブジェクトの定義が密接にRFC 5189で定義されたMIDCOM意味論に従ってください。
Table of Contents
目次
1. Introduction ....................................................4
2. The Internet-Standard Management Framework ......................4
3. Overview ........................................................4
3.1. Terminology ................................................5
4. Realizing the MIDCOM Protocol with SNMP .........................6
4.1. MIDCOM Sessions ............................................6
4.1.1. Authentication and Authorization ....................6
4.2. MIDCOM Transactions ........................................7
4.2.1. Asynchronous Transactions ...........................7
4.2.2. Configuration Transactions ..........................8
4.2.3. Monitoring Transactions ............................11
4.2.4. Atomicity of MIDCOM Transactions ...................12
4.2.4.1. Asynchronous MIDCOM Transactions ..........12
4.2.4.2. Session Establishment and
Termination Transactions ..................12
4.2.4.3. Monitoring Transactions ...................13
4.2.4.4. Lifetime Change Transactions ..............13
4.2.4.5. Transactions Establishing New
Policy Rules ..............................14
4.2.5. Access Control .....................................14
4.3. Access Control Policies ...................................14
5. Structure of the MIB Module ....................................15
5.1. Transaction Objects .......................................16
5.1.1. midcomRuleTable ....................................17
5.1.2. midcomGroupTable ...................................19
5.2. Configuration Objects .....................................20
5.2.1. Capabilities .......................................20
5.2.2. midcomConfigFirewallTable ..........................21
5.3. Monitoring Objects ........................................22
5.3.1. midcomResourceTable ................................22
5.3.2. midcomStatistics ...................................24
5.4. Notifications .............................................25
6. Recommendations for Configuration and Operation ................26
6.1. Security Model Configuration ..............................26
6.2. VACM Configuration ........................................27
6.3. Notification Configuration ................................28
6.4. Simultaneous Access .......................................28
6.5. Avoiding Idempotency Problems .............................29
6.6. Interface Indexing Problems ...............................29
6.7. Applicability Restrictions ................................30
7. Usage Examples for MIDCOM Transactions .........................30
7.1. Session Establishment (SE) ................................31
7.2. Session Termination (ST) ..................................31
7.3. Policy Reserve Rule (PRR) .................................31
7.4. Policy Enable Rule (PER) after PRR ........................33
7.5. Policy Enable Rule (PER) without Previous PRR .............34
7.6. Policy Rule Lifetime Change (RLC) .........................35
7.7. Policy Rule List (PRL) ....................................35
7.8. Policy Rule Status (PRS) ..................................35
7.9. Asynchronous Policy Rule Event (ARE) ......................36
7.10. Group Lifetime Change (GLC) ..............................36
7.11. Group List (GL) ..........................................36
7.12. Group Status (GS) ........................................37
8. Usage Examples for Monitoring Objects ..........................37
8.1. Monitoring NAT Resources ..................................37
8.2. Monitoring Firewall Resources .............................38
9. Definitions ....................................................38
10. Security Considerations .......................................85
10.1. General Security Issues ..................................85
10.2. Unauthorized Middlebox Configuration .....................86
10.3. Unauthorized Access to Middlebox Configuration ...........87
10.4. Unauthorized Access to MIDCOM Service Configuration ......88
11. Acknowledgements ..............................................88
12. IANA Considerations ...........................................88
13. Normative References ..........................................88
14. Informative References ........................................90
This memo defines a portion of the Management Information Base (MIB) for use with network management protocols in the Internet community. In particular, it describes a set of managed objects that allow controlling middleboxes.
このメモは、インターネットコミュニティでのネットワーク管理プロトコルで使用するための管理情報ベース(MIB)の一部を定義します。特に、ミドルボックスを制御できるように、管理オブジェクトのセットを記述する。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [RFC2119].
この文書のキーワード "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", および "OPTIONAL" はRFC 2119 [RFC2119]に記載されているように解釈されます。
For a detailed overview of the documents that describe the current Internet-Standard Management Framework, please refer to section 7 of RFC 3410 [RFC3410].
現在のインターネット標準の管理フレームワークを記述したドキュメントの詳細な概要については、RFC 3410 [RFC3410]のセクション7を参照してください。
Managed objects are accessed via a virtual information store, termed the Management Information Base or MIB. MIB objects are generally accessed through the Simple Network Management Protocol (SNMP). Objects in the MIB are defined using the mechanisms defined in the Structure of Management Information (SMI). This memo specifies a MIB module that is compliant to the SMIv2, which is described in STD 58, RFC 2578 [RFC2578], STD 58, RFC 2579 [RFC2579] and STD 58, RFC 2580 [RFC2580].
管理対象オブジェクトが仮想情報店を介してアクセスされ、管理情報ベースまたはMIBと呼ばれます。 MIBオブジェクトは、一般的に簡易ネットワーク管理プロトコル(SNMP)を介してアクセスされます。 MIBのオブジェクトは、管理情報(SMI)の構造で定義されたメカニズムを使用して定義されています。このメモは、STD 58、RFC 2578 [RFC2578]、STD 58、RFC 2579 [RFC2579]とSTD 58、RFC 2580 [RFC2580]に記載されているSMIv2のに準拠しているMIBモジュールを指定します。
The managed objects defined in this document serve for controlling firewalls and Network Address Translators (NATs). As defined in [RFC3234], firewalls and NATs belong to the group of middleboxes. A middlebox is a device on the datagram path between source and destination, which performs other functions than just IP routing. As outlined in [RFC3303], firewalls and NATs are potential obstacles to packet streams, for example, if dynamically negotiated UDP or TCP port numbers are used, as in many peer-to-peer communication applications.
この文書で定義された管理対象オブジェクトには、ファイアウォールやネットワークアドレス変換(NAT)を制御するために役立ちます。 [RFC3234]で定義されるように、ファイアウォールおよびNATは中間装置のグループに属します。ミドルボックスは、単にIPルーティング以外の機能を実行し、送信元と宛先との間のデータグラム経路上のデバイスです。 [RFC3303]に概説するように、ファイアウォールおよびNATのは、例えば、動的にネゴシエートされた場合、UDPまたはTCPポート番号は、多くのピアツーピア通信アプリケーションのように、使用されるパケットストリームへの潜在的な障害となっています。
As one possible solution for this problem, the IETF MIDCOM working group defined a framework [RFC3303], requirements [RFC3304], and protocol semantics [RFC5189] for communication between applications and middleboxes acting as firewalls, NATs, or a combination of both. The MIDCOM architecture and framework define a model in which trusted third parties can be delegated to assist middleboxes in performing their operations, without requiring application intelligence being embedded in the middleboxes. This trusted third party is referred to as the MIDCOM agent. The MIDCOM protocol is defined between a MIDCOM agent and a middlebox.
この問題に対する一つの可能な解決策として、IETF MIDCOMワーキンググループは、ファイアウォール、NATの、または両方の組み合わせとして作用するアプリケーションと中間装置の間の通信のためのフレームワーク[RFC3303]、要件[RFC3304]、およびプロトコル意味論[RFC5189]を定義しました。 MIDCOMアーキテクチャおよびフレームワークは、第三者が中間装置に埋め込まれたアプリケーションインテリジェンスを必要とせず、それらの動作を実行する際に中間装置を支援するために委任することができ、信頼されたモデルを定義します。この信頼できるサードパーティはMIDCOMエージェントと呼ばれています。 MIDCOMプロトコルはMIDCOMエージェントとミドルとの間に画定されます。
The managed objects defined in this document can be used for dynamically configuring middleboxes on the datagram path to permit datagrams traversing the middleboxes. This way, applications can, for example, request pinholes at firewalls and address bindings at NATs.
この文書で定義された管理対象オブジェクトは、ミドルボックスを横断するデータグラムを可能にするために、データグラムのパスに動的に設定するミドルボックスのために使用することができます。このように、アプリケーションは、例えば、NATのでファイアウォールやアドレスバインディングでピンホールを要求することができます。
Besides managed objects for controlling the middlebox operation, this document also defines managed objects that provide information on middlebox resource usage (such as firewall pinholes, NAT bindings, NAT sessions, etc.) affected by requests.
ミドルボックスの動作を制御するための管理オブジェクトに加えて、この文書はまた、要求によって影響を受ける(等ファイアウォールピンホール、NATバインディング、NATセッションなど)ミドルリソースの使用に関する情報を提供する管理オブジェクトを定義します。
Since firewalls and NATs are critical devices concerning network security, security issues of middlebox communication need to be considered very carefully.
ファイアウォールやNATのは、ネットワークセキュリティに関する重要なデバイスであるため、ミドル通信のセキュリティ問題は、非常に慎重に検討する必要があります。
The terminology used in this document is fully aligned with the terminology defined in [RFC5189] except for the term 'MIDCOM agent'. For this term, there is a conflict between the MIDCOM terminology and the SNMP terminology. The roles of entities participating in SNMP communication are called 'manager' and 'agent' with the agent acting as server for requests from the manager. This use of the term 'agent' is different from its use in the MIDCOM framework: The SNMP manager corresponds to the MIDCOM agent and the SNMP agent corresponds to the MIDCOM middlebox, also called MIDCOM server. In order to avoid confusion in this document specifying a MIB module, we replace the term 'MIDCOM agent' with 'MIDCOM client'. Whenever the term 'agent' is used in this document, it refers to the SNMP agent. Figure 1 sketches the entities of MIDCOM in relationship to SNMP manager and SNMP agent.
本書で使用される用語は、完全に、用語「MIDCOMエージェント」を除いて、[RFC5189]で定義された用語と位置合わせされます。この用語には、MIDCOM用語とSNMPの用語の間に矛盾があります。 SNMP通信に参加するエンティティの役割は、管理者からの要求のためのサーバとして動作するエージェントとの「マネージャ」と「エージェント」と呼ばれています。用語「エージェント」の使用はMIDCOMフレームワークでの使用は異なっている:SNMPマネージャはMIDCOMエージェントに対応し、SNMPエージェントは、MIDCOMサーバと呼ばれる、MIDCOMのミドルに対応しています。 MIBモジュールを指定して、この文書では混乱を避けるために、我々は「MIDCOMクライアント」との用語「MIDCOMエージェント」に置き換えます。用語「エージェント」が本書で使用されるたびに、SNMPエージェントを指します。図1は、SNMPマネージャとSNMPエージェントとの関係でMIDCOMの実体をスケッチ。
+---------+ MIDCOM +-----------+
| MIDCOM |<~ ~ ~ ~ ~ ~ ~ ~>| MIDCOM |
| Client | Transaction | middlebox |
| | | (server) |
+---------+ +-----------+
^ ^
| |
v v
+---------+ +-----------+
| SNMP | SNMP | SNMP |
| Manager |<===============>| Agent |
+---------+ Protocol +-----------+
Figure 1: Mapping of MIDCOM to SNMP
図1:SNMPへのMIDCOMのマッピング
In order to realize middlebox communication as described in [RFC5189], several aspects and properties of the MIDCOM protocol need to be mapped to SNMP capabilities and expressed in terms of the Structure of Management Information version 2 (SMIv2).
[RFC5189]に記載されているようにミドル通信を実現するために、MIDCOMプロトコルのいくつかの態様および特性は、SNMP機能にマッピングされ、管理情報のバージョン2(SMIv2)の構造で表現する必要があります。
Basic concepts to be mapped are MIDCOM sessions and MIDCOM transactions. For both, access control policies need to be supported.
マッピングされる基本的な概念はMIDCOMセッションとMIDCOM取引されています。両方の場合は、アクセス制御ポリシーをサポートする必要があります。
SNMP has no direct support for sessions. Therefore, they need to be modeled. A MIDCOM session is stateful and has a context that is valid for several transactions. For SNMP, a context is valid for a single transaction only, for example, covering just a single request/reply pair of messages.
SNMPは、セッションのためには直接サポートしていません。そのため、彼らは、モデル化する必要があります。 MIDCOMセッションは、ステートフルであり、いくつかの取引のための有効なコンテキストを持っています。 SNMPの場合、コンテキストは、メッセージの1つだけの要求/応答のペアをカバーする、例えば、単一のトランザクションに対して有効です。
Properties of sessions that are utilized by the MIDCOM semantics and not available in SNMP need to be modeled. Particularly, the middlebox needs to be able to authenticate MIDCOM clients, authorize access to policy rules, and send notification messages concerning policy rules to MIDCOM clients participating in a session. In the MIDCOM-MIB module, authentication and access control are performed on a per-message basis using an SNMPv3 security model, such as the User-based Security Model (USM) [RFC3414], for authentication, and the View-based Access Control Model (VACM) [RFC3415] for access control. Sending notifications to MIDCOM clients is controlled by access control models such as VACM and a mostly static configuration of objects in the SNMP-TARGET-MIB [RFC3413] and the SNMP-NOTIFICATION-MIB [RFC3413].
SNMPで利用可能なMIDCOM意味論としないことによって利用されているセッションのプロパティをモデル化する必要があります。特に、ミドルは、MIDCOMクライアントを認証ポリシールールへのアクセスを承認し、セッションに参加してMIDCOMクライアントにポリシールールに関する通知メッセージを送信できるようにする必要があります。 MIDCOM-MIBモジュールでは、認証とアクセス制御は、ユーザベースのセキュリティモデル(USM)[RFC3414]、認証のために、およびビューベースのアクセス制御としてSNMPv3セキュリティモデルを使用して、メッセージごとに実行されますアクセス制御のためのモデル(VACM)[RFC3415]。 MIDCOMクライアントに通知を送信することは、VACMやSNMP-TARGET-MIB [RFC3413]のオブジェクトのほとんどが静的な構成とSNMP-NOTIFICATION-MIB [RFC3413]としてアクセス制御モデルによって制御されます。
This session model is static except that the MIDCOM client can switch on and off the generation of SNMP notifications that the middlebox sends. Recommended configurations of VACM and the SNMP-TARGET-MIB and the SNMP-NOTIFICATION-MIB that can serve for modeling a session are described in detail in section 6.
このセッションモデルは、MIDCOMクライアントが上とミドルが送信するSNMP通知の生成をオフに切り替えることができることを除いて、静的です。セッションをモデル化するために役立つことができるVACMやSNMP-TARGET-MIBやSNMP-NOTIFICATION-MIBの推奨構成は、第6章に詳細に記載されています。
MIDCOM sessions are required for providing authentication, authorization, and encryption for messages exchanged between a MIDCOM client and a middlebox. SNMPv3 provides these features on a per-message basis instead of a per-session basis applying a security model and an access control model, such as USM and VACM. Per-message security mechanisms can be considered as overhead compared to per-session security mechanisms, but it certainly satisfies the security requirements of middlebox communication.
MIDCOMセッションはMIDCOMクライアントとミドルの間で交換されたメッセージのための認証、許可、および暗号化を提供するために必要とされます。 SNMPv3の代わりに、そのようなUSMやVACMなどのセキュリティモデルとアクセス制御モデルを適用するセッションごとのメッセージごとにこれらの機能を提供します。メッセージごとのセキュリティメカニズムは、セッションごとのセキュリティメカニズムに比べオーバーヘッドとして考えることができるが、それは確かにミドル通信のセキュリティ要件を満たします。
For each authenticated MIDCOM client, access to the MIDCOM-MIB, particularly to policy rules, should be configured as part of the VACM configuration of the SNMP agent.
各認証MIDCOMクライアントは、特にポリシールールにMIDCOM-MIBへのアクセスは、SNMPエージェントのVACM構成の一部として構成されるべきです。
[RFC5189] defines the MIDCOM protocol semantics in terms of transactions and transaction parameters. Transactions are grouped into request-reply transactions and asynchronous transactions.
[RFC5189]は、トランザクションおよびトランザクションパラメータに関してMIDCOMプロトコルのセマンティクスを定義します。トランザクションは要求 - 応答トランザクションと非同期なトランザクションにグループ化されています。
SNMP offers simple transactions that in general cannot be mapped one-to-one to MIDCOM transactions. This section describes how the MIDCOM-MIB module implements MIDCOM transactions using SNMP transactions. The concerned MIDCOM transactions are asynchronous transactions and request-reply transactions. Within the set of request-reply transactions, we distinguish configuration transactions and monitoring transactions, because they are implemented in slightly different ways by using SNMP transactions.
SNMPは、一般的にMIDCOM取引に1対1でマッピングすることができない、単純な取引を提供しています。このセクションでは、MIDCOM-MIBモジュールは、SNMPトランザクションを使用してMIDCOMトランザクションを実装する方法について説明します。心配MIDCOM取引は、非同期トランザクションと要求 - 応答トランザクションです。これらはSNMPトランザクションを使用することによって、わずかに異なる方法で実装されているので、要求 - 応答トランザクションのセットの中で、我々は、コンフィギュレーション・トランザクションの監視トランザクションを区別します。
The SNMP terminology as defined in [RFC3411] does not use the concept of transactions, but of SNMP operations. For the considerations in this section, we use the terms SNMP GET transaction and SNMP SET transaction. An SNMP GET transaction consists of an SNMP Read Class operation and an SNMP Response Class operation. An SNMP SET transaction consists of an SNMP Write Class operation and an SNMP Response Class operation.
[RFC3411]で定義されているSNMPの用語は、トランザクションの概念を使用しますが、SNMP操作のしません。このセクションの考慮事項については、我々は、用語のSNMP GETトランザクションとSNMP SETトランザクションを使用します。 SNMPのGETトランザクションは、SNMP読み取り級操作とSNMPレスポンス級動作で構成されています。 SNMP SETトランザクションは、SNMP書き込み級動作とSNMPレスポンス級動作で構成されています。
Asynchronous transactions can easily be modeled by SNMP Notification Class operations. An asynchronous transaction contains a notification message with one to three parameters. The message can be realized as an SNMP Notification Class operation with the parameters implemented as managed objects contained in the notification.
非同期トランザクションは、簡単にSNMP通知クラスの操作によってモデル化することができます。非同期トランザクションは、1〜3つのパラメータを使用して、通知メッセージが含まれています。メッセージが通知に含まれる管理オブジェクトとして実装するパラメータでSNMP通知クラス動作として実現することができます。
+--------------+ notification +------------+
| MIDCOM client|<--------------| middlebox |
+--------------+ message +------------+
MIDCOM asynchronous transaction
MIDCOM非同期トランザクション
+--------------+ SNMP +------------+
| SNMP manager |<--------------| SNMP agent |
+--------------+ notification +------------+
Implementation of MIDCOM asynchronous transaction
MIDCOM非同期トランザクションの実装
Figure 2: MIDCOM asynchronous transaction mapped to SNMP Notification Class operation
図2:SNMPの通知クラスの操作にマッピングされたMIDCOM非同期トランザクション
One of the parameters is the transaction identifier that should be unique per middlebox. It does not have to be unique for all notifications sent by the particular SNMP agent, but for all sent notifications that are defined by the MIDCOM-MIB module.
パラメータの1つは、ミドルごとに一意でなければなりませんトランザクション識別子です。これは、特定のSNMPエージェントによって送信されるすべての通知のために、しかし、MIDCOM-MIBモジュールで定義されているすべての送信される通知のために一意である必要はありません。
Note that SNMP notifications are usually sent as unreliable UDP packets and may be dropped before they reach their destination. If a MIDCOM client is expecting an asynchronous notification on a specific transaction, it would be the job of the MIDCOM client to poll the middlebox periodically and monitor the transaction in case notifications are lost along the way.
SNMP通知は通常、信頼性のないUDPパケットとして送信され、彼らは彼らの目的地に到達する前に削除する場合があります。 MIDCOMクライアントは、特定のトランザクションの非同期通知を期待されている場合は、道に沿って失われ、定期的にミドルをポーリングした場合の通知で取引を監視するために、MIDCOMクライアントの仕事だろう。
All request-reply transactions contain a request message, a reply message, and potentially also a set of notifications. In general, they cannot be modeled by just having a single SNMP message per MIDCOM message, because some of the MIDCOM messages carry a large set of parameters that do not necessarily fit into an SNMP message consisting of a single UDP packet only.
すべての要求 - 応答トランザクションは、要求メッセージ、応答メッセージ、および潜在的にも通知のセットが含まれています。 MIDCOMメッセージのいくつかは、必ずしも単一のUDPパケットからなるSNMPメッセージに適合しないパラメータの大規模なセットを運ぶために一般的に、彼らは、ただMIDCOMメッセージごとに単一のSNMPメッセージを持つことによってモデル化することはできません。
For configuration transactions, the MIDCOM request message can be modeled by one or more SNMP SET transactions. The action of sending the MIDCOM request to the middlebox is realized by writing the parameters contained in the message to managed objects at the SNMP agent. If necessary, the SNMP SET transaction includes creating these managed objects. If not all parameters of the MIDCOM request message can be set by a single SNMP SET transaction, then more than one SET transaction is used; see Figure 3. Completion of the last of the SNMP transactions indicates that all required parameters are set and that processing of the MIDCOM request message can start at the middlebox.
コンフィギュレーション・トランザクションのために、MIDCOM要求メッセージは、一回の以上のSNMP SETトランザクションによってモデル化することができます。ミドルにMIDCOM要求を送信するアクションは、SNMPエージェントで管理されたオブジェクトへのメッセージに含まれるパラメータを書き込むことで実現されています。必要な場合は、SNMP SETトランザクションは、これらの管理対象オブジェクトを作成することを含みます。 MIDCOM要求メッセージのではないすべてのパラメータは、単一のSNMP SETトランザクションによって設定することができた場合は、複数のSETトランザクションが使用されています。 SNMPトランザクションの最後の図3.完了を確認すると、すべての必要なパラメータが設定されているとMIDCOM要求メッセージの処理がミドルで始めることができることを示しています。
Please note that a single SNMP SET transaction consists of an SNMP SET request message and an SNMP SET reply message. Both are sent as unreliable UDP packets and may be dropped before they reach their destination. If the SNMP SET request message or the SNMP reply message is lost, then the SNMP manager (the MIDCOM client) needs to take action, for example, by just repeating the SET transaction or by first checking the success of the initial write transaction with an SNMP GET transaction and then only repeating the SNMP SET transaction if necessary.
単一のSNMP SETトランザクションは、SNMP SET要求メッセージおよびSNMP SET応答メッセージで構成されていますのでご注意ください。どちらも、信頼性のないUDPパケットとして送信され、彼らは彼らの目的地に到達する前に削除することができます。 SNMP SET要求メッセージまたはSNMP応答メッセージが失われた場合には、SNMPマネージャ(MIDCOMクライアント)は、例えば、単にSET取引を繰り返すことによって、または最初に最初の書き込みトランザクションの成功を確認することで、アクションを実行する必要がありますSNMPは、トランザクションを取得し、必要な場合にのみ、SNMP SETトランザクションを繰り返します。
+--------------+ request +------------+
| MIDCOM client|-------------->| middlebox |
+--------------+ message +------------+
MIDCOM request message
MIDCOM要求メッセージ
+--------------+ +------------+
| | SNMP SET | |
| |-------------->| |
| | message | |
| | | |
| | SNMP SET | |
| |<--------------| |
| | reply message | |
| SNMP manager | | SNMP agent |
| | SNMP SET | |
| |- - - - - - - >| |
| | message | |
| | | |
| | SNMP SET | |
| |< - - - - - - -| |
| | reply message | |
| | | |
| | . . . | |
+--------------+ +------------+
Implementation of MIDCOM request message by one or more SNMP SET transactions
一回の以上のSNMP SETのトランザクションによるMIDCOM要求メッセージの実装
Figure 3: MIDCOM request message
mapped to SNMP SET transactions
The MIDCOM reply message can be modeled in two ways. The first way is an SNMP Notification Class operation optionally followed by one or more SNMP GET transactions as shown in Figure 4. The MIDCOM server informs the MIDCOM client about the end of processing the request by sending an SNMP notification. If possible, the SNMP notification carries all reply parameters. If this is not possible, then the SNMP manager has to perform additional SNMP GET transactions as long as necessary to receive all of the reply parameters.
MIDCOM応答メッセージは、2つの方法でモデル化することができます。第一の方法は、MIDCOMサーバがSNMP通知を送信することにより要求の処理の終了についてMIDCOMクライアントに通知する図4に示すように、任意に1つの以上のSNMP GETトランザクションに続いてSNMP通知級動作です。可能であれば、SNMP通知は、すべての応答パラメータを運びます。これが不可能な場合は、SNMPマネージャが応答パラメータのすべてを受け取るために必要な限り、追加のSNMP GETトランザクションを実行する必要があります。
+--------------+ reply +------------+
| MIDCOM client|<--------------| middlebox |
+--------------+ message +------------+
MIDCOM reply message
MIDCOM応答メッセージ
+--------------+ +------------+
| | SNMP | |
| |<--------------| |
| | notification | |
| | | |
| | SNMP GET | |
| |-------------->| |
| | message | |
| SNMP manager | | SNMP agent |
| | SNMP GET | |
| |<--------------| |
| | reply message | |
| | | |
| | SNMP GET | |
| |- - - - - - - >| |
| | message | |
| | | |
| | SNMP GET | |
| |< - - - - - - -| |
| | reply message | |
| | | |
| | . . . | |
+--------------+ +------------+
Implementation of MIDCOM reply message by an SNMP notification and one or more SNMP GET transactions
SNMP通知と1つの以上のSNMP GETのトランザクションによるMIDCOM応答メッセージの実装
Figure 4: MIDCOM reply message mapped to SNMP notification and optional GET transactions
図4:SNMP通知およびオプションGETトランザクションにマッピングされたMIDCOM応答メッセージ
The second way replaces the SNMP Notification Class operation by a polling operation of the SNMP manager. The manager polls status information at the SNMP agent using SNMP GET transactions until it detects the end of the processing of the request. Then it uses one or more SNMP GET transactions to receive all of the reply parameters. Note that this second way requires more SNMP operations, but is more reliable than the first way using an SNMP Notification Class operation.
第二の方法は、SNMPマネージャのポーリング動作によってSNMP通知クラスの操作を置き換えます。それは、要求の処理の終了を検出するまでのSNMP GETトランザクションを使用してSNMPエージェントでマネージャをポーリングステータス情報。そして、それは、返信パラメータのすべてを受信する1つのまたは複数のSNMP GETトランザクションを使用しています。この第二の方法は、より多くのSNMP操作を必要としますが、SNMPの通知クラスの操作を使用して、最初の方法よりも信頼性があることに注意してください。
The realization of MIDCOM monitoring transactions in terms of SNMP transactions is simpler. The request message is very short and just specifies a piece of information that the MIDCOM client wants to retrieve.
SNMP取引の面でMIDCOM監視取引の実現は簡単です。要求メッセージは非常に短く、ただMIDCOMクライアントが検索したい情報の一部を指定します。
+--------------+ request +------------+
| |-------------->| |
| | message | |
| MIDCOM client| | middlebox |
| | reply | |
| |<--------------| |
+--------------+ message +------------+
MIDCOM monitoring transaction
MIDCOM監視トランザクション
+--------------+ +------------+
| | SNMP GET | |
| |-------------->| |
| | message | |
| | | |
| | SNMP GET | |
| |<--------------| |
| | reply message | |
| SNMP manager | | SNMP agent |
| | SNMP GET | |
| |- - - - - - - >| |
| | message | |
| | | |
| | SNMP GET | |
| |< - - - - - - -| |
| | reply message | |
| | | |
| | . . . | |
+--------------+ +------------+
Implementation of MIDCOM monitoring transaction by one or more SNMP GET messages
一つ以上のSNMP GETメッセージによるMIDCOM監視トランザクションの実装
Figure 5: MIDCOM monitoring transaction
mapped to SNMP GET transactions
Since monitoring is a strength of SNMP, there are sufficient means to realize MIDCOM monitoring transactions simpler than MIDCOM configuration transactions.
モニタリングがSNMPの強度であるので、MIDCOM構成トランザクションより単純MIDCOM監視トランザクションを実現するのに十分な手段が存在します。
All MIDCOM monitoring transactions can be realized as a sequence of SNMP GET transactions. The number of SNMP GET transactions required depends on the amount of information to be retrieved.
すべてのMIDCOM監視トランザクションは、SNMPのGET取引のシーケンスとして実現することができます。必要なSNMPのGETトランザクションの数は、検索される情報の量に依存します。
Given the realizations of MIDCOM transactions by means of SNMP transactions, atomicity of the MIDCOM transactions is not fully guaranteed anymore. However, this section shows that atomicity provided by the MIB module specified in section 9 is still sufficient for meeting the MIDCOM requirements specified in [RFC3304].
SNMP取引によってMIDCOM取引の実現を考えると、MIDCOMトランザクションの原子性は完全にはもはや保証されません。しかし、このセクションは、セクション9で指定されたMIBモジュールによって提供されるアトミックがまだ[RFC3304]で指定されたMIDCOM要件を満たすのに十分であることを示しています。
There are two asynchronous MIDCOM transactions: Asynchronous Session Termination (AST) and Asynchronous Policy Rule Event (ARE). The very static realization of MIDCOM sessions in the MIDCOM-MIB, as described by section 4.1, does not anymore support the asynchronous termination of a session. Therefore, the AST transaction is not modeled. For the ARE, atomicity is maintained, because it is modeled by a single atomic SNMP notification transaction.
非同期セッション終了(AST)および非同期ポリシールールのイベント(ARE):2件の非同期MIDCOM取引があります。 MIDCOM-MIBでMIDCOMセッションの非常に静的な実現は、4.1節で説明したように、もはやセッションの非同期終了をサポートしていません。したがって、ASTトランザクションがモデル化されていません。それは単一の原子SNMP通知トランザクションによってモデル化されているのでAREについては、アトミック性は、維持されています。
In addition, the MIDCOM-MIB supports an Asynchronous Group Event transaction, which is an aggregation of a set of ARE transactions. Also, this MIDCOM transaction is implemented by a single SNMP transaction.
また、MIDCOM-MIBは、取引の集合の集合体である非同期グループイベントトランザクションをサポートしています。また、このMIDCOMトランザクションは、単一のSNMPトランザクションによって実装されます。
The MIDCOM-MIB models MIDCOM sessions in a very static way. The only dynamic actions within these transactions are enabling and disabling the generation of SNMP notifications at the SNMP agent.
非常に静的な方法でMIDCOM-MIBモデルのMIDCOMセッション。これらのトランザクション内のみのダイナミックアクションは、SNMPエージェントでSNMP通知の生成を有効化および無効化されています。
For the Session Establishment (SE) transaction, the MIDCOM client first reads the middlebox capabilities. It is not relevant whether or not this action is atomic because a dynamic change of the middlebox capabilities is not to be expected. Therefore, also non-atomic implementations of this action are acceptable.
セッションの確立(SE)の取引については、MIDCOMクライアントは最初のミドル機能を読み込みます。ミドル能力の動的な変更はないと予想されるため、このアクションはアトミックであるかどうかは関係ありません。したがって、このアクションの非アトミック実装が許容可能です。
Then, the MIDCOM agent needs to enable the generation of SNMP notifications at the middlebox. This can be realized by writing to a single managed object in the SNMP-NOTIFICATION-MIB [RFC3413]. But even other implementations are acceptable, because atomicity is not required for this step.
その後、MIDCOMエージェントはミドルでSNMP通知の生成を有効にする必要があります。これは、SNMP-NOTIFICATION-MIB [RFC3413]で単一の管理対象オブジェクトに書き込むことによって実現することができます。アトミックは、このステップは必要ありませんので、しかし、たとえ他の実装は、許容されています。
For the Session Termination (ST) transaction, the only required action is disabling the generation of SNMP notifications at the middlebox. As for the SE transaction, this action can be realized atomically by using the SNMP-NOTIFICATION-MIB, but also other implementations are acceptable because atomicity is not required for this action.
セッション終了(ST)トランザクションのために、唯一必要なアクションはミドルでSNMP通知の生成を無効にしています。 SEトランザクション用として、このアクションは、SNMP-NOTIFICATION-MIBを使用して原子的に実現することができるだけでなく、アトミックは、このアクションのために必要とされないので、他の実装が許容されます。
Potentially, the monitoring transactions Policy Rule List (PRL), Policy Rule Status (PRS), Group List (GL), and Group Status (GS) are not atomic, because these transactions may be implemented by more than one SNMP GET operation.
これらのトランザクションが複数のSNMP GET操作で実現することができるので、潜在的に、監視取引ポリシールールのリスト(PRL)、ポリシールールのステータス(PRS)、グループリスト(GL)、およびグループステータス(GS)は、アトミックではありません。
The problem that might occur is that while the monitoring transaction is performed, the monitored items may change. For example, while reading a long list of policies, new policies may be added and already read policies may be deleted. This is not in line with the protocol semantics. However, it is not in direct conflict with the MIDCOM requirement requesting the middlebox state to be stable and known by the MIDCOM client, because the middlebox notifies the MIDCOM client on all changes to its state that are performed during the monitoring transaction by sending notifications.
発生する可能性のある問題は、監視取引が行われている間、監視項目が変更される可能性があることです。ポリシーの長いリストを読みながらたとえば、新しいポリシーを追加してもよいし、既に読んポリシーが削除されることがあります。これは、プロトコルのセマンティクスに沿ったものではありません。ミドルは、通知を送信することにより、監視トランザクション中に実行され、その状態に対するすべての変更にMIDCOMクライアントに通知しかし、それは、安定してMIDCOMクライアントによって知られるようにミドル状態を要求MIDCOM要件と直接競合しません。
If the MIDCOM client receives such a notification while performing a monitoring transaction (or shortly after completing it), the MIDCOM client can then either repeat the monitoring transaction or integrate the result of the monitoring transaction with the information received via notifications during the transaction. In both cases, the MIDCOM client will know the state of the middlebox.
MIDCOMクライアントは(それを完了した後まもなくまたは)監視トランザクションを実行しながら、そのような通知を受信した場合、MIDCOMクライアントは、監視トランザクションを繰り返すか、トランザクション中に通知を介して受信した情報を監視トランザクションの結果を統合することができます。どちらの場合も、MIDCOMクライアントは、ミドルの状態を知ることができます。
For the policy Rule Lifetime Change (RLC) transaction and the Group Lifetime Change (GLC) transaction, atomicity is maintained. They both have very few parameters for the request message and the reply message. The request parameters can be transmitted by a single SNMP SET request message, and the reply parameters can be transmitted by a single SNMP notification message. In order to prevent idempotency problems by retransmitting an SNMP request after a lost SNMP reply, it is RECOMMENDED that either snmpSetSerialNo (see [RFC3418]) is included in the corresponding SNMP SET request or the value of the SNMP retransmission timer be lower than the smallest requested lifetime value. The same recommendation applies to the smallest requested value for the midcomRuleStorageTime. MIDCOM client implementations MAY completely avoid this problem by configuring their SNMP stack such that no retransmissions are sent.
ポリシールールの有効期間の変更(RLC)トランザクションおよびグループ生涯変化(GLC)トランザクションのために、原子性が維持されています。これらは両方とも、要求メッセージと応答メッセージのための非常にいくつかのパラメータを持っています。リクエストパラメータは、単一のSNMP SET要求メッセージによって送信することができ、応答パラメータは、単一のSNMP通知メッセージによって送信することができます。失われたSNMP応答の後にSNMP要求を再送信することによって冪等の問題を防止するために、snmpSetSerialNo([RFC3418]を参照)のいずれかを要求またはSNMP再送タイマの値が最小よりも低く、対応するSNMPセットに含まれることが推奨されます生涯価値を要求しました。同じ勧告はmidcomRuleStorageTimeの最小要求された値に適用されます。 MIDCOMクライアント実装は完全に何の再送が送信されないように、それらのSNMPスタックを構成することによって、この問題を回避することができます。
Analogous to the monitoring transactions, the atomicity may not be given for Policy Reserve Rule (PRR) and Policy Enable Rule (PER) transactions. Both transactions are potentially implemented using more than one SNMP SET operation and GET operation for obtaining transaction reply parameters. The solution for this loss of atomicity is the same as for the monitoring transactions.
監視取引と同様に、アトミックポリシーリザーブルール(PRR)のために与えられ、政策ルール(PER)トランザクションを有効にすることはできません。両方のトランザクションは、潜在的に複数のSNMP SET操作を使用して実装し、トランザクションの応答パラメータを取得するための操作をGETしています。アトミック性のこの損失のための溶液は、監視トランザクションと同じです。
There is an additional atomicity problem for PRR and PER. If transferring request parameters requires more than a single SET operation, then there is the potential problem that multiple MIDCOM clients sharing the same permissions are able to access the same policy rule. In this case, a client could alter request parameters already set by another client before the first client could complete the request. However, this is acceptable since usually only one agent is creating a policy rule and filling it subsequently. It can also be assumed that in most cases where clients share permissions, they act in a more or less coordinated way avoiding such interferences.
PRRとPERのための追加のアトミック性の問題があります。リクエストパラメータを転送することは、単一のSET操作よりも多くを必要とする場合は、その後、同じ権限を共有する複数のMIDCOMクライアントが同じ政策ルールにアクセスすることが可能であることを潜在的な問題があります。この場合、クライアントは、最初のクライアントが要求を完了する前に、既に別のクライアントによって設定されたリクエスト・パラメータを変更することができます。しかし、これは通常、1つのエージェントのみが、ポリシールールを作成して、その後、それを埋めるため、許容可能です。また、クライアントの共有のアクセス許可ほとんどの場合、彼らは、このような干渉を回避多かれ少なかれ協調して行動すると仮定することができます。
All atomicity problems caused by using multiple SNMP SET transactions for implementing the MIDCOM request message can be avoided by transferring all request parameters with a single SNMP SET transaction.
MIDCOM要求メッセージを実装するための複数のSNMP SETトランザクションを使用することによって生じたすべてのアトミックの問題は、単一のSNMP SETトランザクションですべてのリクエストパラメータを転送することで回避できます。
Since SNMP does not offer per-session authentication and authorization, authentication and authorization are performed per SNMP message sent from the MIDCOM client to the middlebox.
SNMPは、セッションごとの認証と承認、認証と承認を提供しないので、ミドルにMIDCOMクライアントから送信されたSNMPメッセージごとに実行されています。
For each transaction, the MIDCOM client has to authenticate itself as an authenticated principal, such as a USM user. Then, the principal's access rights to all resources affected by the transaction are checked. Access right control is realized by configuring the access control mechanisms, such as VACM, at the SNMP agent.
各トランザクションのために、MIDCOMクライアントは、このようなUSMユーザとして認証されたプリンシパルとして自分自身を認証する必要があります。次に、トランザクションによって影響を受けるすべてのリソースへのプリンシパルのアクセス権がチェックされます。アクセス権制御は、SNMPエージェントに、そのようなVACMなどのアクセス制御機構を構成することによって実現されます。
Potentially, a middlebox has to control access for a large set of MIDCOM clients and to a large set of policy rules configuring firewall pinholes and NAT bindings. Therefore, it can be beneficial to use access control policies for specifying access control rules. Generating, provisioning, and managing these policies are out of scope of this MIB module.
潜在的に、ミドルはMIDCOMクライアントの大規模なセットのために、ファイアウォールピンホールやNATバインディングを設定するポリシールールの大規模なセットへのアクセスを制御することがあります。したがって、アクセス制御ルールを指定するためのアクセス制御ポリシーを使用することが有益であり得ます。生成、プロビジョニング、およびこれらのポリシーを管理するには、このMIBモジュールの適用範囲外です。
However, if such an access control policy system is used, then the SNMP agent acts as a policy enforcement point. An access control policy system must transform all active policies into configurations of, for example, the SNMP agent's View-based Access Control Model (VACM).
このようなアクセス制御ポリシーシステムが使用される場合は、次に、SNMPエージェントは、ポリシー施行ポイントとして動作します。アクセス制御ポリシー・システムは、例えば、SNMPエージェントのビューベースアクセス制御モデル(VACM)、の構成にすべてのアクティブなポリシーを変換する必要があります。
The mechanisms of access control models, such as VACM, allow an access control policy system to enforce MIDCOM client authentication rules and general access control of MIDCOM clients to middlebox control.
例えばVACMなどのアクセス制御モデルのメカニズムは、アクセス制御ポリシーシステムが制御をミドルするMIDCOMクライアント認証ルールおよびMIDCOMクライアントの一般的なアクセス制御を施行することを可能にします。
The mechanisms of VACM can be used to enforce access control of authenticated clients to MIDCOM-MIB policy rules based on the concept of ownership. For example, an access control policy can specify that MIDCOM-MIB policy rules owned by user A cannot be accessed at all by user B, can be read by user C, and can be read and modified by user D.
VACMのメカニズムは、所有権の概念に基づいてMIDCOM-MIB政策ルールに認証されたクライアントのアクセス制御を強制するために使用することができます。例えば、アクセス制御ポリシーは、ユーザAが所有するMIDCOM-MIBポリシールールは、ユーザBが全くアクセスできないように指定することができ、ユーザCによって読み取ることができ、ユーザDによって読み取られ、修正することができます
Further access control policies can control access to concrete middlebox resources. These are enforced, when a MIDCOM request is processed. For example, an authenticated MIDCOM client may be authorized to request new MIDCOM policies to be established, but only for certain IP address ranges. The enforcement of this kind of policies may not be realizable using available SNMP mechanisms, but needs to be performed by the individual MIB module implementation.
また、アクセス制御ポリシーは、具体的なミドルリソースへのアクセスを制御することができます。 MIDCOM要求が処理されるとき、これらは、適用されます。例えば、認証されたMIDCOMクライアントが確立される新しいMIDCOM政策を要求する権限が、唯一の特定のIPアドレス範囲のためにすることができます。ポリシーのこの種の施行は、使用可能なSNMPのメカニズムを使用して実現可能であってもよいが、個々のMIBモジュールの実装によって実行される必要がないかもしれません。
The MIB module defined in section 9 contains three kinds of managed objects:
セクション9で定義されたMIBモジュールは、管理対象オブジェクトの3種類が含まれています。
- Transaction objects Transaction objects are required for implementing the MIDCOM protocol requirements defined in [RFC3304] and the MIDCOM protocol semantics defined in [RFC5189].
- トランザクションは、トランザクションオブジェクトは[RFC3304]で定義されたMIDCOMプロトコル要件と[RFC5189]で定義されたMIDCOMプロトコルのセマンティクスを実装するために必要とされるオブジェクト。
- Configuration objects Configuration objects can be used for retrieving middlebox capability information (mandatory) and for setting parameters of the implementation of transaction objects (optional).
- 設定は、Configurationオブジェクトがミドル能力情報(必須)を取得するため、トランザクションオブジェクト(オプション)の実装のパラメータを設定するために使用することができるオブジェクト。
- Monitoring objects The optional monitoring objects provide information about used resources and about MIDCOM transaction statistics.
- モニタリングは、オプションの監視オブジェクトが使用するリソースについてとMIDCOMトランザクション統計に関する情報を提供するオブジェクト。
The transaction objects are organized in two tables: the midcomRuleTable and the midcomGroupTable. Entity relationships of entries of these tables and the midcomResourceTable from the monitoring objects are illustrated by Figure 6.
midcomRuleTableとmidcomGroupTable:トランザクションオブジェクトは、2つの表にまとめられています。監視オブジェクトからこれらのテーブルとmidcomResourceTableのエントリのエンティティの関係は、図6によって示されています。
+--------------------+
| midcomRuleEntry |
| indexed by |
| midcomRuleOwner |
| midcomGroupIndex |
| midcomRuleIndex |
+--------------------+
1...n | | 1
| |
1 | | 1
+--------------------+ +---------------------+
| midcomGroupEntry | | midcomResourceEntry |
| indexed by | | indexed by |
| midcomRuleOwner | | midcomRuleOwner |
| midcomGroupIndex | | midcomGroupIndex |
+--------------------+ | midcomRuleIndex |
+---------------------+
| | |
| | |
v v v
NAT Firewall other
MIB MIB MIB
Figure 6: Entity relationships of table entries
図6:テーブルエントリのエンティティの関係
A MIDCOM client can create and delete entries in the midcomRuleTable. Entries in the midcomGroupTable are generated automatically as soon as there is an entry in the midcomRuleTable using the midcomGroupIndex. The midcomGroupTable can be used as shortcut for accessing all member rules with a single transaction. MIDCOM clients can group policy rules for various purposes. For example, they can assign a unique value for the midcomGroupIndex to all rules belonging to a single application or an application session served by the MIDCOM agent.
MIDCOMクライアントはmidcomRuleTableのエントリを作成および削除することができます。 midcomGroupTableのエントリは、すぐmidcomGroupIndexを使用してmidcomRuleTableにエントリがあるとして自動的に生成されます。 midcomGroupTableは、単一のトランザクションですべてのメンバーのルールにアクセスするためのショートカットとして使用することができます。 MIDCOMクライアントは、様々な目的のために、グループポリシールールをすることができます。例えば、彼らは、単一のアプリケーションまたはMIDCOMエージェントによって提供されるアプリケーションセッションに属するすべてのルールにmidcomGroupIndexのためのユニークな値を割り当てることができます。
The midcomResourceTable augments the midcomRuleTable by information on the relationship of entries of the midcomRuleTable to resources listed in other MIB modules, such as the NAT-MIB [RFC4008].
midcomResourceTableは、NAT-MIB [RFC4008]などの他のMIBモジュール、に記載されているリソースにmidcomRuleTableのエントリの関係に関する情報がmidcomRuleTableを増強します。
The transaction objects are structured according to the MIDCOM semantics described in [RFC5189] into two subtrees, one for policy rule control and one for policy rule group control.
トランザクションオブジェクトは、2つのサブツリー、ポリシールール制御用とポリシールールグループ制御するための1つに[RFC5189]で説明MIDCOMセマンティクスに従って構成されています。
The midcomRuleTable contains information about policy rules including policy rules to be established, policy rules for which establishing failed, established policy rules, and terminated policy rules.
midcomRuleTableは、確立されるポリシールールを含むポリシールールに関する情報が含まれて失敗し、確立したポリシールールを確立するポリシールール、およびポリシールールを終了しました。
Entries in this table are indexed by the combination of midcomRuleOwner, midcomGroupIndex, and midcomRuleIndex. The midcomRuleOwner is the owner of the rule; the midcomGroupIndex is the index of the group of which the policy rule is a member.
この表のエントリはmidcomRuleOwner、midcomGroupIndex、及びmidcomRuleIndexの組み合わせによって索引付けされています。 midcomRuleOwnerルールの所有者です。 midcomGroupIndexは、ポリシールールがメンバーであるグループのインデックスです。
midcomRuleOwner is of type SnmpAdminString, a textual convention that allows for use of the SNMPv3 View-based Access Control Model (VACM [RFC3415]) and allows a management application to identify its entries.
midcomRuleOwner型れるSnmpAdminString、SNMPv3のビューベースアクセス制御モデル(VACM [RFC3415])の使用を可能にし、そのエントリを識別するために、管理アプリケーションを可能にするテキストの表記法です。
Entries in this table are created by writing to midcomRuleRowStatus. Entries are removed when both their midcomRuleLifetime and midcomRuleStorageTime are timed out by counting down to 0. A MIDCOM client can explicitly remove an entry by setting midcomRuleLifetime and midcomRuleStorageTime to 0.
この表のエントリはmidcomRuleRowStatusに書き込むことによって作成されます。そのmidcomRuleLifetimeとmidcomRuleStorageTimeの両方が明示的に0にmidcomRuleLifetimeとmidcomRuleStorageTimeを設定することで、エントリを削除することができます0 A MIDCOMクライアントにダウンカウントすることにより、タイムアウトしているとき、エントリは削除されます。
The table contains the following columnar objects:
テーブルには、次の円柱状のオブジェクトが含まれています。
o midcomRuleIndex The index of this entry must be unique in combination with the midcomRuleOwner and the midcomGroupIndex of the entry.
O midcomRuleIndexこのエントリのインデックスはmidcomRuleOwnerとエントリのmidcomGroupIndexとの組み合わせで一意である必要があります。
o midcomRuleAdminStatus For establishing a new policy rule, a set of objects in this entry needs to be written first. These objects are the request parameters. Then, by writing either reserve(1) or enable(2) to this object, the MIDCOM-MIB implementation is triggered to start processing the parameters and tries to establish the specified policy rule.
O midcomRuleAdminStatusは、新しい政策ルールを確立するために、このエントリ内のオブジェクトのセットは、最初に書き込む必要があります。これらのオブジェクトは、リクエストパラメータです。その後、いずれかの準備(1)またはこのオブジェクトに(2)を有効に書き込むことによって、MIDCOM-MIB実装は、パラメータの処理を開始するようにトリガされ、指定されたポリシールールを確立しようとしています。
o midcomRuleOperStatus This read-only object indicates the current status of the entry. The entry may have an initializing state, it may have a transient state while processing requests, it may have an error state after a request was rejected, it may have a state where a policy rule is established, or it may have a terminated state.
O midcomRuleOperStatusは、この読み取り専用オブジェクトは、エントリの現在のステータスを示します。エントリは初期化状態を有していてもよく、それはリクエストを処理している間、要求が拒否された後、それはエラー状態を有していてもよく、それは政策ルールが確立された状態を有していてもよく、またはそれは終了状態を有することができる過渡状態であってもよいです。
o midcomRuleStorageType This object indicates whether or not the policy rule is stored as volatile, non-volatile, or permanent. Depending on the MIDCOM-MIB implementation, this object may be writable.
O midcomRuleStorageTypeこのオブジェクトは、ポリシールールは、揮発性、不揮発性、または永久として記憶されているか否かを示します。 MIDCOM-MIBの実装に応じて、このオブジェクトは書き込み可能かもしれません。
o midcomRuleStorageTime This object indicates how long the entry will still exist after entering an error state or a termination state.
O midcomRuleStorageTimeこのオブジェクトはエントリがまだエラー状態または停止状態に入った後に存在する期間を示します。
o midcomRuleError This object is a string indicating the reason for entering an error state.
O midcomRuleErrorこのオブジェクトはエラー状態に入る理由を示す文字列です。
o midcomRuleInterface This object indicates the IP interface for which enforcement of a policy rule is requested or performed, respectively.
O midcomRuleInterfaceこのオブジェクトは、ポリシールールの施行は、それぞれ、要求又は実行されたIPインターフェイスを示します。
o midcomRuleFlowDirection This object indicates a flow direction for which a policy enable rule was requested or established, respectively.
O midcomRuleFlowDirectionこのオブジェクトは、ポリシー有効ルールは、それぞれ、要求または確立されたために流れ方向を示しています。
o midcomRuleMaxIdleTime This object indicates the maximum idle time of the policy rule in seconds. If no packet to which the policy rule applies passes the middlebox for the time specified by midcomRuleMaxIdleTime, then the policy rule enters a termination state.
O midcomRuleMaxIdleTimeこのオブジェクトは、秒単位の政策ルールの最大アイドル時間を示します。ポリシールールが適用されるパケットが全くmidcomRuleMaxIdleTimeによって指定された時間のためのミドルを通過しない場合は、ポリシールールが停止状態になります。
o midcomRuleTransportProtocol This object indicates a transport protocol for which a policy reserve rule or policy enable rule was requested or established, respectively.
midcomRuleTransportProtocol Oこのオブジェクトは、ポリシーの準備ルールまたはポリシールールを可能にするためのトランスポートプロトコルが、それぞれ、要求または確立されたことを示します。
o midcomRulePortRange This object indicates a port range for which a policy reserve rule or policy enable rule was requested or established, respectively.
O midcomRulePortRangeこのオブジェクトは、ルールは、それぞれ、要求または確立されたポリシー予備ルールまたはポリシーを可能にするためのポート範囲を示しています。
o midcomRuleLifetime This object indicates the remaining lifetime of an established policy rule. The MIDCOM client can change the remaining lifetime by writing to it.
O midcomRuleLifetimeこのオブジェクトは、確立されたポリシールールの残りの寿命を示します。 MIDCOMクライアントは、それに書き込むことによって、残りの寿命を変更することができます。
Beyond the listed objects, the table contains 10 further objects describing address parameters. They include the IP version, IP address, prefix length and port number for the internal address (A0), inside address (A1), outside address (A2), and external address (A3). These objects serve as parameters specifying a request or an established policy, respectively.
リストされたオブジェクトを超えて、テーブルは、アドレスパラメータを説明10個のさらなるオブジェクトが含まれています。彼らは、アドレス(A1)、外部アドレス(A2)、及び外部アドレス(A3)の内部に、内部アドレス(A0)のためのIPバージョン、IPアドレス、プレフィックス長およびポート番号を含みます。これらのオブジェクトは、それぞれ、要求または確立されたポリシーを指定するパラメータとして機能します。
A0, A1, A2, and A3 are address tuples defined according to the MIDCOM semantics [RFC5189]. Each of them identifies either a communication endpoint at an internal or external device or an allocated address at the middlebox.
A0、A1、A2、およびA3はMIDCOM意味論[RFC5189]に従って定義されたアドレスの組です。それらの各々は、内部または外部装置の通信エンドポイントまたはミドルに割り当てられたアドレスのいずれかを識別する。
+----------+ +----------+
| internal | A0 A1 +-----------+ A2 A3 | external |
| endpoint +----------+ middlebox +----------+ endpoint |
+----------+ +-----------+ +----------+
Figure 7: Address tuples A0 - A3
図7:住所タプルA0 - A3
- A0 - internal endpoint: Address tuple A0 specifies a communication endpoint of a device within the internal network, with respect to the middlebox.
- A0 - 内部エンドポイント:アドレスタプルA0はミドルに対して、内部ネットワーク内のデバイスの通信エンドポイントを指定します。
- A1 - middlebox inside address: Address tuple A1 specifies a virtual communication endpoint at the middlebox within the internal network. A1 is the destination address for packets passing from the internal endpoint to the middlebox and is the source for packets passing from the middlebox to the internal endpoint.
- A1 - アドレス内のミドル:住所タプルA1は、内部ネットワーク内のミドルでの仮想通信エンドポイントを指定します。 A1は、ミドルボックス内部エンドポイントから流れるパケットの宛先アドレスと内部エンドポイントにミドルから通過するパケットの送信元です。
- A2 - middlebox outside address: Address tuple A2 specifies a virtual communication endpoint at the middlebox within the external network. A2 is the destination address for packets passing from the external endpoint to the middlebox and is the source for packets passing from the middlebox to the external endpoint.
- A2 - ミドル外のアドレス:アドレスタプルA2は、外部ネットワーク内のミドルでの仮想通信エンドポイントを指定します。 A2は、ミドルボックスに、外部エンドポイントから通過するパケットの宛先アドレスであり、外部のエンドポイントにミドルから通過するパケットのソースです。
- A3 - external endpoint: Address tuple A3 specifies a communication endpoint of a device within the external network, with respect to the middlebox.
- A3 - 外部エンドポイント:アドレスタプルA3は、ミドルボックスに対して、外部ネットワーク内のデバイスの通信エンドポイントを指定します。
The MIDCOM-MIB requires the MIDCOM client to specify address tuples A0 and A3. This might be a problem for applications that are not designed in a firewall-friendly way. An example is an FTP application that uses the PORT command (instead of the recommended PASV command). The problem only occurs when the middlebox offers twice-NAT functionality, and it can be fixed following recommendations for firewall-friendly communication.
MIDCOM-MIBは、アドレスタプルA0とA3を指定するためにMIDCOMクライアントが必要です。これは、ファイアウォールに優しい方法で設計されていないアプリケーションのための問題かもしれません。例は、PORTコマンド(代わりの推奨PASVコマンド)を使用するFTPアプリケーションです。ミドルは二回-NAT機能を提供する場合にのみ発生し、それがファイアウォールに優しいコミュニケーションのための推奨に従って、固定することができます。
The midcomGroupTable has an entry per existing policy rule group. Entries in this table are created automatically when creating member entries in the midcomRuleTable. Entries are automatically removed from this table when the last member entry is removed from the midcomRuleTable. Entries cannot be created or removed explicitly by the MIDCOM client.
midcomGroupTableは、既存の政策ルールグループごとにエントリがあります。 midcomRuleTableのメンバーのエントリを作成するとき、この表のエントリは自動的に作成されます。最後のメンバーのエントリがmidcomRuleTableから削除されたときにエントリはこの表から自動的に削除されます。エントリが作成またはMIDCOMクライアントによって明示的に削除することはできません。
Entries are indexed by the midcomRuleOwner of the rules that belong to the group and by a specific midcomGroupIndex. This allows each midcomRuleOwner to maintain its own independent group namespace.
エントリは、グループに属するルールのmidcomRuleOwnerによって、および特定midcomGroupIndexによってインデックス付けされます。これは、各midcomRuleOwnerは、独自の独立したグループの名前空間を維持することができます。
An entry of the table contains the following objects:
テーブルのエントリには、次のオブジェクトが含まれています。
o midcomGroupIndex The index of this entry must be unique in combination with the midcomRuleOwner of the entry.
O midcomGroupIndexこのエントリのインデックスは、エントリのmidcomRuleOwnerとの組み合わせで一意である必要があります。
o midcomGroupLifetime This object indicates the maximum of the remaining lifetimes of all established policy rules that are members of the group. The MIDCOM client can change the remaining lifetime of all member policies by writing to this object.
O midcomGroupLifetimeこのオブジェクトは、グループのメンバーであるすべての確立されたポリシールールの残りの寿命の最大値を示しています。 MIDCOMクライアントは、このオブジェクトに書き込むことによって、すべてのメンバー方針の残りの寿命を変更することができます。
The configuration subtree contains middlebox capability and configuration information. Some of the contained objects are (optionally) writable and can also be used for configuring the middlebox service.
コンフィギュレーション・サブツリーは、ミドルの機能および構成情報が含まれています。含まれるオブジェクトの一部は、(オプションで)書き込み可能であり、またミドルサービスを構成するために使用することができます。
The capabilities subtree contains some general capability information and detailed information per supported IP interface. The midcomConfigFirewallTable can be used to configure how the MIDCOM-MIB implementation creates firewall rules in its firewall modules.
機能サブツリーは、いくつかの一般的な機能情報およびサポートされているIPインタフェースごとに詳細な情報が含まれています。 midcomConfigFirewallTableはMIDCOM-MIB実装はそのファイアウォールモジュール内のファイアウォールルールを作成する方法を設定するために使用することができます。
Note that typically, configuration objects are not intended to be written by MIDCOM clients. In general, write access to these objects needs to be restricted more strictly than write access to transaction objects.
一般的に、構成オブジェクトがMIDCOMクライアントによって書かれることを意図していないことに注意してください。一般的に、これらのオブジェクトへのアクセスがより厳密にトランザクションオブジェクトへの書き込みアクセスをより制限する必要があるの書き込み。
Information on middlebox capabilities, i.e., capabilities of the MIDCOM-MIB implementation, is provided by the midcomCapabilities subtree of managed objects. The following objects are defined:
ミドル能力に関する情報は、すなわち、MIDCOM-MIBの実装の機能は、管理対象オブジェクトのmidcomCapabilitiesサブツリーによって提供されます。次のオブジェクトが定義されています。
o midcomConfigMaxLifetime This object indicates the maximum lifetime that this middlebox allows policy rules to have.
O midcomConfigMaxLifetimeこのオブジェクトは、このミドルボックスは、ポリシールールを持つことができること最大寿命を示しています。
o midcomConfigPersistentRules This is a boolean object indicating whether or not the middlebox is capable of storing policy rules persistently.
O midcomConfigPersistentRulesこれは、ミドルボックスは持続ポリシールールを記憶することができるかどうかを示すBooleanオブジェクトです。
Further capabilities are provided by the midcomConfigIfTable per
IP interface. This table contains just two objects. The first
one is a BITS object called midcomConfigIfBits containing the
following bit values:
o ipv4 and ipv6 These two bit values provide information on which IP versions are supported by the middlebox at the indexed interface.
OのIPv4とIPv6のこれら2つのビットの値は、IPバージョンがインデックス付きの界面でミドルボックスによってサポートされている情報を提供します。
o addressWildcards and portWildcards These two bit values provide information on wildcarding supported by the middlebox at the indexed interface.
O addressWildcardsとportWildcardsこれら2つのビットの値は、インデックス付きの界面でミドルボックスによってサポートされるワイルドカードについての情報を提供します。
o firewall and nat These two bit values provide information on availability of firewall and NAT functionality at the indexed interface.
Oファイアウォールと、これら2つのビット値をインデックス付きNATインターフェースでファイアウォールおよびNAT機能の利用可能性に関する情報を提供します。
o portTranslation, protocolTranslation, and twiceNat These three bit values provide information on the kind of NAT functionality available at the indexed interface.
O portTranslation、protocolTranslation、及びtwiceNatこれらの3ビット値は、索引付けされたインターフェイスで利用可能なNAT機能の種類に関する情報を提供します。
o inside This bit indicates whether or not the indexed interface is an inside interface with respect to NAT functionality.
このビット内のOは、インデックス付きインターフェースがNAT機能に対する内部インタフェースであるか否かを示します。
The second object, called midcomConfigIfEnabled, indicates whether the middlebox capabilities described by midcomConfigIfBits are available or not available at the indexed IP interface.
midcomConfigIfEnabledと呼ばれる第二の目的は、midcomConfigIfBitsによって記載ミドル能力が利用可能であるか、またはインデックス付きのIPインターフェイスで利用可能ではないかどうかを示します。
The midcomConfigIfTable uses index 0 for indicating capabilities that are available for all interfaces.
midcomConfigIfTableは、すべてのインターフェイスで使用可能な機能を示すためのインデックス0を使用します。
The midcomConfigFirewallTable serves for configuring how policy rules created by MIDCOM clients are realized as firewall rules of a firewall implementation. Particularly, the priority used for MIDCOM-MIB policy rules can be configured. For a single firewall implementation at a particular IP interface, all MIDCOM-MIB policy rules are realized as firewall rules with the same priority. Also, a firewall rule group name can be configured. The table is indexed by the IP interface index.
midcomConfigFirewallTableはMIDCOMクライアントによって作成されたポリシールールがファイアウォールの実装のファイアウォールのルールとして実現されている方法を構成するために機能します。特に、MIDCOM-MIB政策ルールに使用する優先順位を設定することができます。特定のIPインターフェースに単一のファイアウォールの実装のために、すべてのMIDCOM-MIBポリシールールは、同じ優先度を持つファイアウォールルールとして実現されます。また、ファイアウォールルールグループ名を設定することができます。テーブルはIPインタフェースインデックスによってインデックス付けされます。
An entry of the table contains the following objects:
テーブルのエントリには、次のオブジェクトが含まれています。
o midcomConfigFirewallGroupId This object indicates the firewall rule group to which all firewall rules of the MIDCOM server are assigned.
O midcomConfigFirewallGroupIdこのオブジェクトはMIDCOMサーバのすべてのファイアウォールルールが割り当てられたファイアウォール規則のグループを示します。
o midcomConfigFirewallPriority This object indicates the priority assigned to all firewall rules of the MIDCOM server.
O midcomConfigFirewallPriorityこのオブジェクトはMIDCOMサーバのすべてのファイアウォールのルールに割り当てられた優先度を示します。
The monitoring objects are structured into two subtrees: the resource subtree and the statistics subtree. The resource subtree provides information about which resources are used by which policy rule. The statistics subtree provides statistics about the usage of transaction objects.
リソースのサブツリーと統計のサブツリー:監視オブジェクトは、2つのサブツリーに構造化されています。リソースのサブツリーは、リソースがどのポリシールールで使用されているかについての情報を提供します。統計サブツリーは、トランザクションオブジェクトの使用状況に関する統計情報を提供します。
Information about resource usage per policy rule is provided by the midcomResourceTable. Each entry in the midcomResourceTable describes resource usage of exactly one policy rule.
政策ルールあたりのリソース使用状況に関する情報がmidcomResourceTableによって提供されます。 midcomResourceTableの各エントリは、1つのポリシールールのリソースの使用状況を説明しています。
Resources are NAT resources and firewall resources, depending on the type of middlebox. Used NAT resources include NAT bindings and NAT sessions. NAT address mappings are not covered. For firewalls, firewall filter rules are considered as resources.
リソースはミドルの種類に応じて、NATリソースおよびファイアウォールリソースです。使用NATリソースはNATバインディングとNATセッションが含まれます。 NATアドレスマッピングがカバーされていません。ファイアウォールは、ファイアウォールのフィルタルールは、資源として考えられています。
The values provided by the following objects on NAT binds and NAT sessions may refer to the detailed resource usage description in the NAT-MIB module [RFC4008].
NAT結合し、NATセッションで、次のオブジェクトによって提供された値は、NAT-MIBモジュール[RFC4008]に詳細なリソース使用の説明を参照することができます。
The values provided by the following objects on firewall rules may refer to more detailed firewall resource usage descriptions in other MIB modules.
ファイアウォールルールに次のオブジェクトによって提供された値は、他のMIBモジュールで、より詳細なファイアウォールリソース使用の説明を参照することができます。
Entries in the midcomResourceTable are only valid if the midcomRuleOperStatus object of the corresponding entry in the midcomRuleTable has a value of either reserved(7) or enabled(8).
midcomRuleTableの対応するエントリのmidcomRuleOperStatusオブジェクト(7)予約済みのいずれかの値を有するか、または有効にした場合midcomResourceTableのエントリは(8)にのみ有効です。
An entry of the table contains the following objects:
テーブルのエントリには、次のオブジェクトが含まれています。
o midcomRscNatInternalAddrBindMode This object indicates whether the binding of the internal address is an address NAT binding or an address-port NAT binding.
O midcomRscNatInternalAddrBindModeこのオブジェクトは、内部アドレスの結合がNATバインディングアドレスまたはNATバインディングアドレスポートであるかどうかを示します。
o midcomRscNatInternalAddrBindId This object identifies the NAT binding for the internal address in the NAT engine.
OこのオブジェクトはNATはNATエンジンにおける内部アドレスのバインディング識別midcomRscNatInternalAddrBindId。
o midcomRscNatExternalAddrBindMode This object indicates whether the binding of the external address is an address NAT binding or an address-port NAT binding.
O midcomRscNatExternalAddrBindModeこのオブジェクトは、外部アドレスの結合がNATバインディングアドレスまたはNATバインディングアドレスポートであるかどうかを示します。
o midcomRscNatExternalAddrBindId This object identifies the NAT binding for the external address in the NAT engine.
OこのオブジェクトはNATはNATエンジン外部アドレスのバインディング識別midcomRscNatExternalAddrBindId。
o midcomRscNatSessionId1 This object links to the first NAT session associated with one of the above NAT bindings.
midcomRscNatSessionId1 O上記NATバインディングのうちの1つに関連する第NATセッションこのオブジェクトリンク。
o midcomRscNatSessionId2 This object links to the optional second NAT session associated with one of the above NAT bindings.
midcomRscNatSessionId2 O上記NATバインディングのうちの1つに関連する任意の第二のNATセッションこのオブジェクトリンク。
o midcomRscFirewallRuleId This object indicates the firewall rule for this policy rule.
O midcomRscFirewallRuleIdこのオブジェクトはこの政策ルールのためのファイアウォールルールを示します。
The MIDCOM-MIB module does not require a middlebox to implement further specific middlebox (NAT, firewall, etc.) MIB modules as, for example, the NAT-MIB module [RFC4008].
MIDCOM-MIBモジュールは、MIBモジュールをさらに(等NAT、ファイアウォール、)特定ミドルボックスを実装するミドルボックスを必要としない、として例えば、NAT-MIBモジュール[RFC4008]。
The resource identifiers in the midcomResourceTable may be vendor proprietary in the cases where the middlebox does not implement the NAT-MIB [RFC4008] or a firewall MIB. The MIDCOM-MIB module affects NAT binding and sessions, as well as firewall pinholes. It is intentionally not specified in the MIDCOM-MIB module how these NAT and firewall resources are allocated and managed, since this depends on the MIDCOM-MIB implementation and middlebox's capabilities. However, the midcomResourceTable is useful for understanding which resources are affected by which MIDCOM-MIB transaction.
midcomResourceTableにおけるリソース識別子は、ミドルボックスは、NAT-MIB [RFC4008]またはファイアウォールMIBを実装していない場合には、ベンダー独自仕様であってもよいです。 MIDCOM-MIBモジュールはNATバインディングとのセッションだけでなく、ファイアウォールピンホールに影響を与えます。これはMIDCOM-MIB実装とミドルの能力に依存するため、意図的に、これらのNATやファイアウォールのリソースが割り当てられているかMIDCOM-MIBモジュールで指定されて管理されていません。しかし、midcomResourceTableは、リソースがどのMIDCOM-MIBのトランザクションの影響を受けている理解するのに便利です。
The midcomResourceTable is beneficial to the middlebox administrator in that the table lists all MIDCOM transactions and the middlebox specific resources to which these transactions refer. For instance, multiple MIDCOM clients might end up using the same NAT bind, yet each MIDCOM client might define a Lifetime parameter and directionality for the bind that is specific to the transaction. MIDCOM-MIB implementations are responsible for impacting underlying middlebox resources so as to satisfy the sometimes overlapping requirements on the same resource from multiple MIDCOM clients.
midcomResourceTableは、その表は、すべてのMIDCOMトランザクションとこれらの取引が参照先のミドル特定のリソースでミドルの管理者に有益です。例えば、複数のMIDCOMクライアントが同じNATバインドを使用して終わるかもしれない、まだそれぞれのMIDCOMクライアントは、トランザクションに固有のバインドのための生涯パラメータと方向性を定義できます。 MIDCOM-MIB実装は、複数のMIDCOMクライアントから同じリソース上で、時にはオーバーラップ要件を満たすように、基礎となるミドルリソースに影響を与えるために責任があります。
Managing these resources is not a trivial task for MIDCOM-MIB implementers. It is possible that different MIDCOM-MIB policy rules owned by different MIDCOM clients share a NAT binding or a firewall rule. Then common properties, for example, the lifetime of the resource, need to be managed such that all clients are served well and changes to these resources need to be communicated to all affected clients. Also, dependencies between resources, for example, the precedence order of firewall rules, need to be considered carefully in order to avoid that different policy rules -- potentially owned by different clients -- influence each other.
これらのリソースを管理することはMIDCOM-MIBの実装のための簡単な作業ではありません。別のMIDCOMクライアントが所有する別のMIDCOM-MIB政策ルールが結合NATやファイアウォールルールを共有することが可能です。そして、一般的な特性は、例えば、リソースの有効期間は、すべてのクライアントがうまく提供されており、これらのリソースへの変更は、影響を受けるすべてのクライアントに伝達する必要があるように管理する必要があります。潜在的に異なるクライアントが所有している - - 互いに影響し合う。また、リソース間の依存関係は、例えば、ファイアウォールルールの優先順位は、その異なるポリシールールを避けるために、慎重に検討する必要があります。
MIDCOM clients may use the midcomResourceTable of the MIDCOM-MIB module in conjunction with the NAT-MIB module [RFC4008] to determine which resources of the NAT are used for MIDCOM. The NAT-MIB module stores the configured NAT bindings and sessions, and MIDCOM clients can use the information of the midcomResourceTable to sort out those NAT resources that are used by the MIDCOM-MIB module.
MIDCOMクライアントがNATのリソースがMIDCOMに使用されるかを決定するためにNAT-MIBモジュール[RFC4008]に関連してMIDCOM-MIBモジュールのmidcomResourceTableを使用することができます。 NAT-MIBモジュールは、設定されたNATバインディングとセッションを保存し、MIDCOMクライアントはMIDCOM-MIBモジュールで使用されるそれらのNATのリソースを整理するためにmidcomResourceTableの情報を使用することができます。
The statistics subtree contains a set of non-columnar objects that provide 'MIDCOM protocol statistics', i.e., statistics about the usage of transaction objects.
統計サブツリーは、「MIDCOMプロトコル統計」、トランザクションオブジェクトの使い方について、すなわち、統計情報を提供非柱状オブジェクトのセットが含まれています。
o midcomCurrentOwners This object indicates the number of different values for midcomRuleOwner for all current entries in the midcomRuleTable.
O midcomCurrentOwnersこのオブジェクトはmidcomRuleTable内のすべての現在のエントリのmidcomRuleOwnerに対して異なる値の数を示します。
o midcomOwnersTotal This object indicates the summarized number of all different values that occurred for midcomRuleOwner in the midcomRuleTable current and in the past.
O midcomOwnersTotalは、このオブジェクトはmidcomRuleTable電流のmidcomRuleOwnerのために、過去に発生したすべての異なる値の要約数を示します。
o midcomTotalRejectedRuleEntries This object indicates the total number of failed attempts to create an entry in the midcomRuleTable.
O midcomTotalRejectedRuleEntriesこのオブジェクトはmidcomRuleTableにエントリを作成するために失敗した試行の総数を示します。
o midcomCurrentRulesIncomplete This object indicates the total number of policy rules that have not been fully loaded into a table row of the midcomRuleTable.
O midcomCurrentRulesIncompleteこのオブジェクトは、完全にmidcomRuleTableのテーブル行にロードされていないポリシールールの総数を示します。
o midcomTotalIncorrectReserveRules This object indicates the total number of policy reserve rules that were rejected because the request was incorrect.
O midcomTotalIncorrectReserveRulesこのオブジェクトは、要求が正しくなかったために拒否された責任準備金規則の総数を示します。
o midcomTotalRejectedReserveRules This object indicates the total number of policy reserve rules that were failed while being processed.
O midcomTotalRejectedReserveRulesこのオブジェクトは、処理されながら失敗したポリシー準備ルールの総数を示します。
o midcomCurrentActiveReserveRules This object indicates the number of currently active policy reserve rules in the midcomRuleTable.
O midcomCurrentActiveReserveRulesこのオブジェクトはmidcomRuleTableで現在アクティブなポリシー準備ルールの数を示します。
o midcomTotalExpiredReserveRules This object indicates the total number of expired policy reserve rules.
O midcomTotalExpiredReserveRulesこのオブジェクトは期限切れポリシー準備ルールの総数を示します。
o midcomTotalTerminatedOnRqReserveRules This object indicates the total number of policy reserve rules that were terminated on request.
O midcomTotalTerminatedOnRqReserveRulesこのオブジェクトは、要求に応じて終了させた責任準備金規則の総数を示しています。
o midcomTotalTerminatedReserveRules This object indicates the total number of policy reserve rules that were terminated, but not on request.
O midcomTotalTerminatedReserveRulesこのオブジェクトはなく、リクエストに応じて、終了した責任準備金規則の総数を示しています。
o midcomTotalIncorrectEnableRules This object indicates the total number of policy enable rules that were rejected because the request was incorrect.
O midcomTotalIncorrectEnableRulesこのオブジェクトは、方針の総数が要求が間違っていたために拒否されたルールを有効に示します。
o midcomTotalRejectedEnableRules This object indicates the total number of policy enable rules that were failed while being processed.
O midcomTotalRejectedEnableRulesこのオブジェクトは、ポリシーの総数が処理されている間失敗したルールを有効に示します。
o midcomCurrentActiveEnableRules This object indicates the number of currently active policy enable rules in the midcomRuleTable.
O midcomCurrentActiveEnableRulesこのオブジェクトは、現在アクティブなポリシーの数がmidcomRuleTableの規則を有効に示します。
o midcomTotalExpiredEnableRules This object indicates the total number of expired policy enable rules.
O midcomTotalExpiredEnableRulesこのオブジェクトは期限切れポリシー有効ルールの総数を示します。
o midcomTotalTerminatedOnRqEnableRules This object indicates the total number of policy enable rules that were terminated on request.
O midcomTotalTerminatedOnRqEnableRulesこのオブジェクトは、ポリシーの総数が要求に応じて終了させたルールを有効に示します。
o midcomTotalTerminatedEnableRules This object indicates the total number of policy enable rules that were terminated, but not on request.
O midcomTotalTerminatedEnableRulesこのオブジェクトは、ポリシーの総数がなく、要望に応じて、終了したルールを有効に示します。
For informing MIDCOM clients about state changes of MIDCOM-MIB implementations, three notifications can be used. They notify the MIDCOM client about state changes of individual policy rules or of groups of policy rules. Different notifications are used for different kinds of transactions.
MIDCOM-MIBの実装の状態変化に関するMIDCOMクライアントに通知するために、3つの通知を使用することができます。彼らは、個々の政策ルールの状態変化についてまたはポリシールールのグループでMIDCOMクライアントに通知します。別の通知は、トランザクションの異なる種類のために使用されています。
For asynchronous transactions, unsolicited notifications are used. The only asynchronous transaction that needs to be modeled by the MIDCOM-MIB is the Asynchronous Policy Rule Event (ARE). The ARE may be caused by the expiration of a policy rule lifetime, the expiration of the idle time, or an internal change in policy rule lifetime by the MIDCOM-MIB implementation for whatever reason.
非同期トランザクションの場合、未承諾の通知が使用されています。 MIDCOM-MIBによってモデル化される必要がある唯一の非同期トランザクションは非同期ポリシールールのイベント(ARE)です。 AREは、ポリシールール寿命、アイドル時間の満了、又は何らかの理由MIDCOM-MIB実装によってポリシールール寿命の内部変化の満了によって引き起こされ得ます。
For configuration transactions, solicited notifications are used. This concerns the Policy Reserve Rule (PRR) transaction, the Policy Enable Rule (PER) transaction, the Policy Rule Lifetime Change (RLC) transaction, and the Group Lifetime Change (GLC) transaction.
コンフィギュレーション・トランザクションの場合、通知が使用されている募集。これは、ポリシーリザーブルール(PRR)トランザクションに関係する、ポリシールール(PER)トランザクション、ポリシールールの有効期間の変更(RLC)トランザクション、およびグループ生涯変化(GLC)トランザクションを有効にします。
The separation between unsolicited and solicited notifications gives the implementer of a MIDCOM client some freedom to make design decisions on how to model the MIDCOM reply message as described at the end of section 4.2.2. Depending on the choice, processing of solicited notifications may not be required. In such a case, delivery of solicited notification may be disabled, for example, by an appropriate configuration of the snmpNotifyFilterTable such that solicited notifications are filtered differently to unsolicited notifications.
迷惑と通知を募集間の分離は、MIDCOMクライアントの実装セクション4.2.2の最後で説明したようMIDCOM応答メッセージをモデル化する方法については、設計上の意思決定を行うためにいくつかの自由を与えます。選択に応じて、送信請求通知の処理が必要とされないことがあります。このような場合には、要請通知の送達は、通知が迷惑通知に異なるフィルタリングさ要請snmpNotifyFilterTableにかかるの適切な構成によって、例えば、無効にすることができます。
o midcomUnsolicitedRuleEvent This notification can be generated for indicating the change of a policy rule's state or lifetime. It is used for performing the ARE transaction.
この通知は、ポリシールールの状態または寿命の変化を示すために生成することができる入出力MIDCOM迷惑ルールイベント。これは、AREのトランザクションを実行するために使用されます。
o midcomSolicitedRuleEvent This notification can be generated for indicating the requested change of a policy rule's state or lifetime. It is used for performing PRR, PER, and RLC transactions.
O midcomSolicitedRuleEventこの通知は、ポリシールールの状態や寿命の要求された変更を示すために生成することができます。それは、PRR、PER、およびRLCトランザクションを実行するために使用されています。
o midcomSolicitedGroupEvent This notification can be generated for indicating the requested change of a policy rule group's lifetime. It is used for performing the GLC transaction.
O midcomSolicitedGroupEventこの通知は、ポリシールールグループの生涯の要求された変更を示すために生成することができます。これは、GLCのトランザクションを実行するために使用されます。
Configuring MIDCOM-MIB security is highly sensitive for obvious reasons. This section gives recommendations for securely configuring the SNMP agent acting as MIDCOM server. In addition, recommendations for avoiding idempotency problems are given and restrictions of MIDCOM-MIB applicability to a special set of applications are discussed.
MIDCOM-MIBのセキュリティを設定すると、明白な理由のために非常に敏感です。このセクションでは、安全にMIDCOMサーバとして機能するSNMPエージェントを設定するための推奨事項を示します。また、冪等の問題を回避するための推奨事項が示されており、アプリケーションの特別なセットにMIDCOM-MIBの適用性の制限が議論されています。
Since controlling firewalls and NATs is highly sensitive, it is RECOMMENDED that SNMP Command Responders implementing the MIDCOM-MIB module use the authPriv security level for all users that may access managed objects of the MIDCOM-MIB module.
制御ファイアウォールやNATのは非常に敏感であるため、SNMPコマンドレスポンダはMIDCOM-MIBモジュールはMIDCOM-MIBモジュールの管理対象オブジェクトにアクセスすることができ、すべてのユーザーに対してauthPrivのセキュリティレベルを使用して実装することが推奨されます。
Entries in the midcomRuleTable and the midcomGroupTable provide information about existing firewall pinholes and/or NAT sessions. They also could be used for manipulating firewall pinholes and/or NAT sessions. Therefore, access control to these objects is essential and should be restrictive.
midcomRuleTableとmidcomGroupTable内のエントリは、既存のファイアウォールピンホールおよび/またはNATセッションに関する情報を提供します。彼らはまた、ファイアウォールピンホールおよび/またはNATセッションを操作するために使用することができます。したがって、これらのオブジェクトへのアクセス制御が不可欠であり、制限的である必要があります。
It is RECOMMENDED that SNMP Command Responders instantiating an implementation of the MIDCOM-MIB module use VACM for controlling access to managed objects in the midcomRuleTable and the midcomGroupTable.
SNMPコマンド応答者がmidcomRuleTableとmidcomGroupTableで管理対象オブジェクトへのアクセスを制御するためのMIDCOM-MIBモジュール使用VACMの実装をインスタンス化することが推奨されます。
It is further RECOMMENDED that individual MIDCOM clients, acting as SNMP Command Generators, only have access to an entry in the midcomRuleTable, the midcomResourceTable, or the midcomGroupTable, if they created the entry directly in the midcomRuleTable or indirectly in the midcomGroupTable and midcomResourceTable. Exceptions to this recommendation are situations where access by multiple MIDCOM clients to managed objects is explicitly required. One example is fail-over for MIDCOM agents where the stand-by MIDCOM agent needs the same access rights to managed objects as the currently active MIDCOM agent. Another example is a supervisor MIDCOM agent that monitors activities of other MIDCOM agents and/or may be used by network management systems to modify entries in tables of the MIDCOM-MIB.
さらに、彼らは直接midcomRuleTableまたは間接的midcomGroupTableとmidcomResourceTableにエントリを作成した場合、個々のMIDCOMクライアントは、SNMPコマンドジェネレータとして機能し、のみ、midcomRuleTable、midcomResourceTable、またはmidcomGroupTable内のエントリへのアクセス権を持っていることが推奨されます。この勧告の例外は、管理対象オブジェクトへの複数のMIDCOMクライアントからのアクセスを明示的に必要とされる状況です。一つの例は、フェイルオーバスタンドバイMIDCOMエージェントが現在アクティブMIDCOMエージェントとして管理対象オブジェクトに対して同じアクセス権を必要とMIDCOMエージェントのためです。別の例では、他のMIDCOMエージェントの活動を監視及び/又はMIDCOM-MIBのテーブルのエントリを変更するために、ネットワーク管理システムによって使用されてもよいスーパーバイザMIDCOM剤です。
For this reason, all three tables listed above have the midcomRuleOwner as initial index. It is RECOMMENDED that MIDCOM clients acting as SNMP Command Generator have access to the midcomRuleTable and the midcomGroupTable restricted to entries with the initial index matching either their SNMP securityName or their VACM groupName. It is RECOMMENDED that they do not have access to entries in these tables with initial indices other than their SNMP securityName or their VACM groupName. It is RECOMMENDED that this VACM configuration is applied to read access, write access, and notify access for all objects in the midcomRuleTable and the midcomGroupTable.
このため、上記の3つのすべてのテーブルが初期インデックスとしてmidcomRuleOwnerを持っています。 SNMPコマンド発電機として動作するMIDCOMクライアントはそのSNMPセキュリティ名またはそのVACMグループ名のいずれかに一致する最初のインデックスを持つエントリに制限midcomRuleTableとmidcomGroupTableへのアクセス権を持っていることが推奨されます。彼らが彼らのSNMPセキュリティ名またはそのVACMグループ名以外の最初のインデックスを持つこれらのテーブルのエントリへのアクセス権を持っていないことをお勧めします。このVACM構成は、読み取りアクセス、書き込みアクセス、およびmidcomRuleTableとmidcomGroupTable内のすべてのオブジェクトに対するアクセスを通知するために適用することをお勧めします。
Note that less restrictive access rights MAY be granted to other users, for example, to a network management application, that monitors MIDCOM policy rules.
制限の少ないアクセス権がMIDCOM政策ルールを監視するネットワーク管理アプリケーションに、例えば、他のユーザーに付与することができることに注意してください。
For each MIDCOM client that has access to the midcomRuleTable, a notification target SHOULD be configured at a Command Responder instantiating an implementation of the MIDCOM-MIB. It is RECOMMENDED that such a configuration be retrievable from the Command Responder via the SNMP-TARGET-MIB [RFC3413].
midcomRuleTableへのアクセス権を持つ各MIDCOMクライアントの場合、通知対象はMIDCOM-MIBの実装をインスタンス化するコマンドレスポンダに設定する必要があります。このような構成は、SNMP-TARGET-MIB [RFC3413]を介して、コマンドレスポンダから回収することが推奨されます。
For each entry of the snmpTargetAddrTable that is related to a MIDCOM client, there SHOULD be an individual corresponding entry in the snmpTargetParamsTable.
MIDCOMクライアントに関連したsnmpTargetAddrTableの各エントリについて、たsnmpTargetParamsTableの個々の対応するエントリがなければなりません。
An implementation of the MIDCOM-MIB SHOULD also implement the SNMP-NOTIFICATION-MIB [RFC3413]. An instance of an implementation of the MIDCOM-MIB SHOULD have an individual entry in the snmpNotifyFilterProfileTable for each MIDCOM client that has access to the midcomRuleTable.
MIDCOM-MIBの実装は、SNMP-NOTIFICATION-MIB [RFC3413]を実装する必要があります。 MIDCOM-MIBの実装のインスタンスはmidcomRuleTableへのアクセス権を持つ各MIDCOMクライアントのたsnmpNotifyFilterProfileTable内の個々のエントリが必要です。
An instance of an implementation of the MIDCOM-MIB SHOULD allow MIDCOM clients to start and stop the generation of notifications targeted at themselves. This SHOULD be realized by giving the MIDCOM clients write access to the snmpNotifyFilterTable. If appropriate entries of the snmpNotifyFilterTable are established in advance, then this can be achieved by granting MIDCOM clients write access only to the columnar object snmpNotifyFilterType.
MIDCOM-MIBの実装のインスタンスは、MIDCOMクライアントが自分自身をターゲットにした通知の生成を開始および停止できるようにする必要があります。これは、MIDCOMクライアントがsnmpNotifyFilterTableにへの書き込みアクセス権を与えることによって実現されるべきです。 snmpNotifyFilterTableに適切なエントリが事前に確立されている場合、これはMIDCOMクライアントが唯一の円柱状のオブジェクトsnmpNotifyFilterTypeへの書き込みアクセス権を付与することによって達成することができます。
It is RECOMMENDED that VACM be configured such that each MIDCOM agent can only access entries in the snmpTargetAddrTable, the snmpTargetParamsTable, the snmpNotifyFilterProfileTable, and the snmpFilterTable that concern that particular MIDCOM agent. Typically, read access to the snmpTargetAddrTable, the snmpTargetParamsTable, and the snmpNotifyFilterProfileTable is sufficient. Write access may be required for objects of the snmpFilterTable.
なお、VACM各MIDCOM剤が懸念その特定のMIDCOM剤ことのsnmpTargetAddrTable、たsnmpTargetParamsTableたsnmpNotifyFilterProfileTable、及びsnmpFilterTableにのみアクセスエントリをできるように構成されていることが推奨されます。典型的には、のsnmpTargetAddrTable、たsnmpTargetParamsTableへのアクセスを読み取り、そしてたsnmpNotifyFilterProfileTableで十分です。書き込みアクセスがsnmpFilterTableのオブジェクトのために必要な場合があります。
Situations with two MIDCOM clients simultaneously modifying the same policy rule should be avoided. For each entry in the midcomRuleTable, there should be only one client at a time that modifies it. If two MIDCOM clients share the same midcomRuleOwner index of the midcomRuleTable, then conflicts can be avoided, for example, by
2つのMIDCOMクライアントが同時に同じ政策ルールを変更すると状況は避けるべきです。 midcomRuleTableの各エントリについて、それを修正し、同時に複数のクライアントがあるはずです。 2つのMIDCOMクライアントがmidcomRuleTableの同じmidcomRuleOwnerインデックスを共有している場合、競合は、例えば、回避することができ
- scheduling access times, as, for example, in the fail-over case; - using different midcomGroupIndex values per client; or - using non-overlapping intervals for values of the midcomRuleIndex per client.
- 例えば、フェイルオーバーの場合と同様に、スケジューリングアクセス時間、。 - クライアントごとに異なるmidcomGroupIndex値を使用しました。または - クライアントあたりmidcomRuleIndexの値に対して、非重複区間を使用。
As already discussed in section 4.2.4.4, the following recommendation is given for avoiding idempotency problems.
既にセクション4.2.4.4で論じたように、以下の推奨が冪等の問題を回避するために与えられています。
In general, idempotency problems can be solved by including snmpSetSerialNo (see [RFC3418]) in SNMP SET requests.
一般的に、冪等問題は、SNMP SET要求でsnmpSetSerialNo(参照[RFC3418])を含むことによって解決することができます。
In case this feature is not used, it is RECOMMENDED that the value of the SNMP retransmission timer of a MIDCOM client (acting as SNMP Command Generator) is lower than the smallest requested value for any rule lifetime or rule idle time in order to prevent idempotency problems with setting midcomRuleLifetime and midcomRuleMaxIdleTime when retransmitting an SNMP SET request after a lost SNMP reply.
この機能を使用しない場合には、MIDCOMクライアントのSNMPの再送タイマの値(SNMPコマンド発電機として機能する)は冪等を防止するために、任意のルールの有効期間の最小要求値より低いまたはアイドル時間を支配することをお勧めします失われたSNMP応答の後にSNMP SET要求を再送信するときmidcomRuleLifetimeとmidcomRuleMaxIdleTimeの設定に問題。
MIDCOM client implementations MAY completely avoid this problem by configuring their SNMP stack such that no retransmissions are sent.
MIDCOMクライアント実装は完全に何の再送が送信されないように、それらのSNMPスタックを構成することによって、この問題を回避することができます。
Similar considerations apply to MIDCOM-MIB implementations acting as Notification Originator when sending a notification (midcomUnsolicitedRuleEvent, midcomSolicitedRuleEvent or midcomSolicitedGroupEvent) containing the remaining lifetime of a policy rule or a policy rule group, respectively.
同様の考察は、それぞれ、ポリシールールまたはポリシールールグループの残存寿命を含む通知(midcomUnsolicitedRuleEvent、midcomSolicitedRuleEvent又はmidcomSolicitedGroupEvent)を送信するときに通知創始として作用MIDCOM-MIBの実装に適用されます。
A well-known problem of MIB modules is indexing IP interfaces after a re-initialization of the managed device. The index for interfaces provided by the ifTable (see IF-MIB in [RFC2863]) may change during re-initialization, for example, when physical interfaces are added or removed.
MIBモジュールの周知の問題は、管理対象デバイスの再初期化の後にIPインターフェイスをインデックスされています。 ifTableが提供するインタフェースのインデックスは、([RFC2863]にIF-MIBを参照)の物理インターフェイスが追加または削除された場合、例えば、再初期化中に変更することができます。
The MIDCOM-MIB module uses the interface index for indicating at which interface which policy rule is (or is to be) applied. Also, this index is used for indicating how policy rules are prioritized at certain interfaces. The MIDCOM-MIB module specification requires that information provided is always correct. This implies that after re-initialization, interface index values of policy rules or firewall configurations may have changed even though they still refer to the same interface as before the re-initialization.
MIDCOM-MIBモジュールは、ポリシールールである(またはあることがある)が界面に示すためのインターフェースインデックスを使用して適用されます。また、このインデックスは、ポリシールールが特定の界面で優先順位付けされるかを示すために使用されます。 MIDCOM-MIBモジュールの仕様は、提供された情報が常に正確であることが必要です。これは、彼らがまだ再初期化前と同じインタフェースを参照していても再初期化後、ポリシールールやファイアウォール設定のインターフェイス・インデックスの値が変更されていることを意味します。
MIDCOM client implementations need to be aware of this potential behavior. It is RECOMMENDED that before writing the value or using the value of indices that depend on the ifTable the MIDCOM client checks if the middlebox has been re-initialized recently.
MIDCOMクライアント実装は、この潜在的な行動に注意する必要があります。これは、値を書き込むか、ミドルは最近、再初期化されている場合のifTable MIDCOMクライアントのチェックに依存指数の値を使用する前にすることを推奨されます。
MIDCOM-MIB module implementations MUST track interface changes of IP interface indices in the ifTable. This implies that after a re-initialization of a middlebox, a MIDCOM-MIB implementation MUST make sure that each instance of an interface index in the MIDCOM-MIB tables still points to the same interface as before the re-initialization. For any instance for which this is not possible, all affected entries in tables of the MIDCOM-MIB module MUST be either terminated, disabled, or deleted, as specified in the DESCRIPTION clause of the respective object. This concerns all objects in the MIDCOM-MIB module that are of type InterfaceIndexOrZero.
MIDCOM-MIBモジュール実装はifTableのIPインターフェースインデックスのインターフェースの変更を追跡しなければなりません。これは、ミドルボックスの再初期化後に、MIDCOM-MIB実装はMIDCOM-MIBテーブルのインターフェイスインデックスの各インスタンスがまだ再初期化前と同じインターフェースを指していることを確認しなければならないことを意味します。各オブジェクトの記述節で指定され、これは不可能であるため、任意例えば、MIDCOM-MIBモジュールのテーブル内のすべての影響を受けるエントリのいずれか、無効、終了、または削除しなければなりません。これはタイプInterfaceIndexOrZeroのであるMIDCOM-MIBモジュール内のすべてのオブジェクトに関するものです。
As already discussed in section 5.1.1, the MIDCOM-MIB requires the MIDCOM client to specify address tuples A0 and A3. This can be a problem for applications that do not have this information available when they need to configure the middlebox. For some applications, there are usage scenarios where address information is only available for a single address realm, A0 and A1 in the private realm or A2 and A3 in the public realm. An example is an FTP application using the PORT command (instead of the PASV command). The problem occurs when the middlebox offers twice-NAT functionality.
すでにセクション5.1.1で説明したように、MIDCOM-MIBは、アドレスタプルA0とA3を指定するためにMIDCOMクライアントが必要です。これは、彼らがミドルを設定する必要がある場合、この情報が入手できていないアプリケーションのために問題になる可能性があります。一部のアプリケーションでは、アドレス情報は、単一のアドレスレルムでのみ使用できます使用シナリオ、公共分野における民間レルムまたはA2とA3でA0とA1があります。例は、(代わりにPASVコマンドの)PORTコマンドを使用して、FTPアプリケーションです。ミドルは二回-NAT機能を提供する際に問題が発生します。
This section presents some examples that explain how a MIDCOM client acting as SNMP manager can use the MIDCOM-MIB module defined in this memo. The purpose of these examples is to explain the steps that are required to perform MIDCOM transactions. For each MIDCOM transaction defined in the MIDCOM semantics [RFC5189], a sequence of SNMP operations that realizes the transaction is described.
このセクションでは、SNMPマネージャとして機能するMIDCOMクライアントは、このメモで定義されたMIDCOM-MIBモジュールを使用する方法を説明し、いくつかの例を示します。これらの例の目的は、MIDCOMトランザクションを実行するために必要な手順を説明することです。 MIDCOM意味論[RFC5189]で定義された各MIDCOMトランザクションのために、トランザクションを実現SNMP動作のシーケンスを説明します。
The examples described below are recommended procedures for MIDCOM clients. Clients may choose to operate differently.
以下の例はMIDCOMクライアントの手順をお勧めします。クライアントは異なる動作をすることもできます。
For example, they may choose not to receive solicited notifications on completion of a transaction, but to poll the MIDCOM-MIB instead until the transaction is completed. This can be achieved by performing step 2 of the SE transaction (see below) differently. The MIDCOM agent then creates an entry in the snmpNotifyFilterTable such that only the midcomUnsolicitedRuleEvent may pass the filter and is sent to the MIDCOM client. In this case, the PER, PRR, and RLC transactions require a polling loop wherever in the example below the MIDCOM client waits for a notification.
例えば、彼らは、トランザクションの完了時に送信請求通知を受信しないことも選択できますが、トランザクションが完了するまで代わりにMIDCOM-MIBをポーリングします。これは、異なる(下記参照)SEトランザクションのステップ2を実行することによって達成することができます。 MIDCOMエージェントは、唯一midcomUnsolicitedRuleEventがフィルタを通過することができるとMIDCOMクライアントに送信されるようにsnmpNotifyFilterTableににエントリを作成します。この場合には、PER、PRR、およびRLCトランザクションはMIDCOMクライアント以下の例では、通知を待つどこポーリング・ループを必要とします。
The MIDCOM-MIB realizes most properties of MIDCOM sessions in a very static way. Only the generation of notifications targeted at the MIDCOM client is enabled by the client for session establishment.
MIDCOM-MIBは非常に静的な方法でMIDCOMセッションのほとんどのプロパティを実現します。 MIDCOMクライアントをターゲットに通知の唯一の世代は、セッション確立のためのクライアントで有効になっています。
1. The MIDCOM client checks the middlebox capabilities by reading objects in the midcomCapabilitiesGroup.
1. MIDCOMクライアントはmidcomCapabilitiesGroup内のオブジェクトを読み取ることによって、ミドル能力をチェックします。
2. The MIDCOM client enables generation of notifications on events concerning the policy rules controlled by the client. If the SNMP-NOTIFICATION-MIB is supported as recommended by section 6.3 of this document, then the agent just has to change the value of a object snmpNotifyFilterType in the corresponding entry of the snmpNotifyFilterTable from included(1) to excluded(2).
2. MIDCOMクライアントはクライアントによって制御ポリシールールに関するイベントに通知の生成を可能にします。この文書のセクション6.3によって推奨されるようにSNMP-NOTIFICATION-MIBがサポートされている場合、エージェントは単に排除するために含まからsnmpNotifyFilterTableに対応するエントリ(1)のオブジェクトsnmpNotifyFilterTypeの値を変更する必要がある(2)。
For terminating a session, the MIDCOM client just disables the generation of notifications for this client.
セッションを終了するために、MIDCOMクライアントは、ちょうどこのクライアントの通知の生成を無効にします。
1. The MIDCOM client disables generation of notifications on events concerning the policy rules controlled by the client. If the SNMP-NOTIFICATION-MIB is supported as recommended by section 6.3 of this document, then the agent just has to change the value of a object snmpNotifyFilterType in the corresponding entry of the snmpNotifyFilterTable from included(1) to excluded(2).
1. MIDCOMクライアントは、クライアントによって制御ポリシールールに関するイベントに通知の生成を無効にします。この文書のセクション6.3によって推奨されるようにSNMP-NOTIFICATION-MIBがサポートされている場合、エージェントは単に排除するために含まからsnmpNotifyFilterTableに対応するエントリ(1)のオブジェクトsnmpNotifyFilterTypeの値を変更する必要がある(2)。
This example explains steps that may be performed by a MIDCOM client to establish a policy reserve rule.
この例では、責任準備金のルールを確立するためにMIDCOMクライアントによって実行することができる手順を説明します。
1. The MIDCOM client creates a new entry in the midcomRuleTable by writing to midcomRuleRowStatus. The chosen value for index object midcomGroupIndex determines the group membership of the created rule. Note that choosing an unused value for midcomGroupIndex creates a new entry in the midcomGroupTable.
1. MIDCOMクライアントはmidcomRuleRowStatusに書き込むことにより、midcomRuleTableに新しいエントリを作成します。インデックスオブジェクトmidcomGroupIndexのために選択された値は、作成したルールのグループメンバーシップを決定します。 midcomGroupIndexのため、未使用の値を選択すると、midcomGroupTableに新しいエントリを作成することに注意してください。
2. The MIDCOM client sets the following objects in the new entry of the midcomRuleTable to specify all request parameters of the PRR transaction:
2. MIDCOMクライアントはPRRトランザクションのすべてのリクエストパラメータを指定するためにmidcomRuleTableの新しいエントリに次のオブジェクトを設定します。
- midcomRuleMaxIdleTime
- midcomRuleInterface
- midcomRuleTransportProtocol
- midcomRulePortRange
- midcomRuleInternalIpVersion
- midcomRuleExternalIpVersion - midcomRuleInternalIpAddr - midcomRuleInternalIpPrefixLength - midcomRuleInternalPort - midcomRuleLifetime
- midcomRuleExternalIpVersion - midcomRuleInternalIpAddr - midcomRuleInternalIpPrefixLength - midcomRuleInternalPort - midcomRuleLifetime
Note that several of these parameters have default values that can be used.
これらのパラメータのいくつかを使用することができ、デフォルト値を持っていることに注意してください。
3. The MIDCOM client sets the midcomRuleAdminStatus objects in the new row of the midcomRuleTable to reserve(1).
3. MIDCOMクライアントは、(1)予約するためにmidcomRuleTableの新しい行にmidcomRuleAdminStatusオブジェクトを設定します。
4. The MIDCOM client awaits a midcomSolicitedRuleEvent notification concerning the new policy rule in the midcomRuleTable. Waiting for the notification is timed out after a pre-selected maximum waiting time. In case of a timeout while waiting for the notification or if the client does not use notifications, the MIDCOM client retrieves the status of the midcomRuleEntry by one or more SNMP GET operations.
4. MIDCOMクライアントはmidcomRuleTableの新しいポリシールールに関するmidcomSolicitedRuleEvent通知を待ちます。通知を待って事前に選択された最大待機時間後にタイムアウトしています。タイムアウトの場合は通知を待っている間、またはクライアントが通知を使用しない場合は、MIDCOMクライアントは、一回の以上のSNMP GET操作でmidcomRuleEntryのステータスを取得します。
5. After receiving the midcomSolicitedRuleEvent notification, the MIDCOM client checks the lifetime value carried by the notification. If it is greater than 0, the MIDCOM client reads all positive reply parameters of the PRR transaction:
5. midcomSolicitedRuleEvent通知を受信した後、MIDCOMクライアントは、通知によって運ば寿命値をチェックします。それが0より大きい場合は、MIDCOMクライアントはPRRトランザクションのすべての肯定応答パラメータを読み取ります。
- midcomRuleOutsideIpAddr
- midcomRuleOutsidePort
- midcomRuleMaxIdleTime
- midcomRuleLifetime
If the lifetime equals 0, then the MIDCOM client reads the midcomRuleOperStatus and the midcomRuleError in order to analyze the failure reason.
ライフタイムが0に等しい場合は、MIDCOMクライアントは、失敗の理由を分析するためにmidcomRuleOperStatusとmidcomRuleErrorを読み込みます。
6. Optionally, after receiving the midcomSolicitedRuleEvent notification with a lifetime value greater than 0, the MIDCOM client may check the midcomResourceTable for the middlebox resources allocated for this policy reserve rule. Note that PRR does not necessarily allocate any middlebox resource visible in the NAT-MIB module or in a firewall MIB module, since it does a reservation only. If, however, the PRR overlaps with already existing PERs, then the PRR may be related to middlebox resources visible in other MIB modules.
6.必要に応じて、0より大きい寿命値とmidcomSolicitedRuleEvent通知を受信した後に、MIDCOMクライアントはこのポリシー予備ルールのために割り当てられたミドルリソースのmidcomResourceTableをチェックすることができます。それだけで予約を行うためPRRは、必ずしも、可視NAT-MIBモジュール内またはファイアウォールMIBモジュール内の任意のミドルリソースを割り当てないことに留意されたいです。しかし、PRRは、既存のPERと重なる場合、PRRは、他のMIBモジュールで可視ミドルリソースに関連し得ます。
This example explains steps that may be performed by a MIDCOM client to establish a policy enable rule after a corresponding policy reserve rule was already established.
この例では、対応する責任準備金規則がすでに確立された後にポリシールールを有効に確立するために、MIDCOMクライアントによって実行することができる手順を説明します。
1. The MIDCOM client sets the following objects in the row of the established PRR in the midcomRuleTable to specify all request parameters of the PER transaction:
1. MIDCOMクライアントはPERトランザクションのすべてのリクエストパラメータを指定するためのmidcomRuleTableで確立PRRの行の次のオブジェクトを設定します。
- midcomRuleMaxIdleTime
- midcomRuleExternalIpAddr
- midcomRuleExternalIpPrefixLength
- midcomRuleExternalPort
- midcomRuleFlowDirection
Note that several of these parameters have default values that can be used.
これらのパラメータのいくつかを使用することができ、デフォルト値を持っていることに注意してください。
2. The MIDCOM client sets the midcomRuleAdminStatus objects in the row of the established PRR in the midcomRuleTable to enable(1).
2. MIDCOMクライアントは、(1)有効にするためにmidcomRuleTableで確立されたPRRの行にmidcomRuleAdminStatusオブジェクトを設定します。
3. The MIDCOM client awaits a midcomSolicitedRuleEvent notification concerning the new row in the midcomRuleTable. Waiting for the notification is timed out after a pre-selected maximum waiting time. In case of a timeout while waiting for the notification or if the client does not use notifications, the MIDCOM client retrieves the status of the midcomRuleEntry by one or more SNMP GET operations.
3. MIDCOMクライアントはmidcomRuleTableの新しい行に関するmidcomSolicitedRuleEvent通知を待ちます。通知を待って事前に選択された最大待機時間後にタイムアウトしています。タイムアウトの場合は通知を待っている間、またはクライアントが通知を使用しない場合は、MIDCOMクライアントは、一回の以上のSNMP GET操作でmidcomRuleEntryのステータスを取得します。
4. After receiving the midcomSolicitedRuleEvent notification, the MIDCOM client checks the lifetime value carried by the notification. If it is greater than 0, the MIDCOM client reads all positive reply parameters of the PER transaction:
4. midcomSolicitedRuleEvent通知を受信した後、MIDCOMクライアントは、通知によって運ば寿命値をチェックします。それが0より大きい場合は、MIDCOMクライアントはPERトランザクションのすべての肯定応答パラメータを読み取ります。
- midcomRuleInsideIpAddr
- midcomRuleInsidePort
- midcomRuleMaxIdleTime
If the lifetime equals 0, then the MIDCOM client reads the midcomRuleOperStatus and the midcomRuleError in order to analyze the failure reason.
ライフタイムが0に等しい場合は、MIDCOMクライアントは、失敗の理由を分析するためにmidcomRuleOperStatusとmidcomRuleErrorを読み込みます。
5. Optionally, after receiving the midcomSolicitedRuleEvent notification with a lifetime value greater than 0, the MIDCOM client may check the midcomResourceTable for the allocated middlebox resources for this policy enable rule.
5.必要に応じて、0より大きい寿命値とmidcomSolicitedRuleEvent通知を受信した後に、MIDCOMクライアントは、ルールを有効このポリシーに割り当てられたミドルリソースのmidcomResourceTableをチェックすることができます。
This example explains steps that may be performed by a MIDCOM client to establish a policy enable rule for which no PRR transaction has been performed before.
この例にはPRRトランザクションが以前に行われていないされたルールを有効にするポリシーを確立するためにMIDCOMクライアントによって実行することができる手順を説明します。
3. The MIDCOM client sets the following objects in the new row of the midcomRuleTable to specify all request parameters of the PER transaction:
3. MIDCOMクライアントはPERトランザクションのすべてのリクエストパラメータを指定するためにmidcomRuleTableの新しい行に次のオブジェクトを設定します。
- midcomRuleInterface
- midcomRuleFlowDirection
- midcomRuleTransportProtocol
- midcomRulePortRange
- midcomRuleInternalIpVersion
- midcomRuleExternalIpVersion
- midcomRuleInternalIpAddr
- midcomRuleInternalIpPrefixLength
- midcomRuleInternalPort
- midcomRuleExternalIpAddr
- midcomRuleExternalIpPrefixLength
- midcomRuleExternalPort
- midcomRuleLifetime
Note that several of these parameters have default values that can be used.
これらのパラメータのいくつかを使用することができ、デフォルト値を持っていることに注意してください。
4. The MIDCOM client sets the midcomRuleAdminStatus objects in the new row of the midcomRuleTable to enable(1).
4. MIDCOMクライアントは、(1)を有効にmidcomRuleTableの新しい行にmidcomRuleAdminStatusオブジェクトを設定します。
6. After receiving the midcomSolicitedRuleEvent notification, the MIDCOM client checks the lifetime value carried by the notification. If it is greater than 0, the MIDCOM client reads all positive reply parameters of the PRR transaction:
6. midcomSolicitedRuleEvent通知を受信した後、MIDCOMクライアントは、通知によって運ば寿命値をチェックします。それが0より大きい場合は、MIDCOMクライアントはPRRトランザクションのすべての肯定応答パラメータを読み取ります。
- midcomRuleInsideIpAddr
- midcomRuleInsidePort
- midcomRuleOutsideIpAddr
- midcomRuleOutsidePort
- midcomRuleMaxIdleTime
If the lifetime equals 0, then the MIDCOM client reads the midcomRuleOperStatus and the midcomRuleError in order to analyze the failure reason.
ライフタイムが0に等しい場合は、MIDCOMクライアントは、失敗の理由を分析するためにmidcomRuleOperStatusとmidcomRuleErrorを読み込みます。
7. Optionally, after receiving the midcomSolicitedRuleEvent notification with a lifetime value greater than 0, the MIDCOM client may check the midcomResourceTable for the allocated middlebox resources for this policy enable rule.
7.オプションは、0より大きい寿命値とmidcomSolicitedRuleEvent通知を受信した後に、MIDCOMクライアントは、ルールを有効このポリシーに割り当てられたミドルリソースのmidcomResourceTableをチェックすることができます。
This example explains steps that may be performed by a MIDCOM client to change the lifetime of a policy rule. Changing the lifetime to 0 implies terminating the policy rule.
この例では、ポリシールールの有効期間を変更するためにMIDCOMクライアントによって実行することができる手順を説明します。 0に寿命を変更すると、ポリシールールを終了を意味します。
1. The MIDCOM client issues a SET request for writing the desired lifetime to the midcomRuleLifetime object in the corresponding row of the midcomRuleTable. This does not have any effect if the lifetime is already expired.
1. MIDCOMクライアントはmidcomRuleTableの対応する行にmidcomRuleLifetimeオブジェクトに所望の寿命を書き込むためのSET要求を発行します。寿命はすでに有効期限が切れている場合、これは効果がありません。
2. The MIDCOM client awaits a midcomSolicitedRuleEvent notification concerning the corresponding row in the midcomRuleTable. Waiting for the notification is timed out after a pre-selected maximum waiting time. In case of a timeout while waiting for the notification or if the client does not use notifications, the MIDCOM client retrieves the status of the midcomRuleEntry by one or more SNMP GET operations.
2. MIDCOMクライアントはmidcomRuleTableの対応する行に関するmidcomSolicitedRuleEvent通知を待ちます。通知を待って事前に選択された最大待機時間後にタイムアウトしています。タイムアウトの場合は通知を待っている間、またはクライアントが通知を使用しない場合は、MIDCOMクライアントは、一回の以上のSNMP GET操作でmidcomRuleEntryのステータスを取得します。
3. After receiving the midcomSolicitedRuleEvent notification MIDCOM client checks the lifetime value carried by the notification.
midcomSolicitedRuleEvent通知MIDCOMクライアントを受信した後3.通知によって運ば寿命値をチェックします。
The SNMP agent can browse the list of policy rules by browsing the midcomRuleTable. For each observed row in this table, the SNMP agent should check the midcomRuleOperStatus in order to find out if the row contains information about an established policy rule or of a rule that is under construction or already terminated.
SNMPエージェントは、midcomRuleTableをブラウズすることによってポリシールールのリストを閲覧することができます。それぞれがこのテーブルの行を観察するために、SNMPエージェントは、行が設立されたポリシールールについてまたは建設中であるか、すでに終了して、ルールの情報が含まれているかどうかを調べるためにmidcomRuleOperStatusをチェックする必要があります。
The SNMP agent can retrieve all status information and properties of a policy rule by reading the managed objects in the corresponding row of the midcomRuleTable.
SNMPエージェントは、midcomRuleTableの対応する行で管理対象オブジェクトを読み取ることによって、すべてのステータス情報およびポリシールールのプロパティを取得することができます。
There are two different triggers for the ARE. It may be triggered by the expiration of a policy rule's lifetime or the expiration of the idle time. But beyond this, the MIDCOM-MIB implementation may terminate a policy rule at any time. In all cases, two steps are required for performing this transaction:
AREのための2つの異なるトリガーがあります。それは政策ルールの生涯の満了またはアイドル時間の満了によってトリガすることができます。しかし、これを超えて、MIDCOM-MIBの実装はいつでもポリシールールを終了することができます。すべての場合において、2つのステップが、このトランザクションを実行するために必要とされています。
1. The MIDCOM-MIB implementation sends a midcomUnsolicitedRuleEvent notification containing a lifetime value of 0 to the MIDCOM client owning the rule.
1. MIDCOM-MIBの実装では、ルールを所有しているMIDCOMクライアントに0の生涯価値を含むmidcomUnsolicitedRuleEvent通知を送信します。
2. If the midcomRuleStorageTime object in the corresponding row of the midcomRuleTable has a value of 0, then the MIDCOM-MIB implementation removes the row from the table. Otherwise, it sets in this row the midcomRuleLifetime object to 0 and changes the midcomRuleOperStatus object. If the event was triggered by policy lifetime expiration, then the midcomRuleOperStatus is set to timedOut(9); otherwise, it is set to terminated(11).
2. midcomRuleTableの対応する行にmidcomRuleStorageTimeオブジェクトは0の値を有する場合、MIDCOM-MIB実装は、テーブルから行を削除します。それ以外の場合は0に、この行のmidcomRuleLifetimeオブジェクトを設定し、midcomRuleOperStatusオブジェクトを変更します。イベントがポリシー寿命満了によってトリガされた場合、midcomRuleOperStatusがTIMEDOUTに設定されている(9)。それ以外の場合は、終了(11)に設定されています。
This example explains steps that may be performed by a MIDCOM client to change the lifetime of a policy rule group. Changing the lifetime to 0 implies terminating all member policies of the group.
この例では、ポリシールールグループの寿命を変更するためにMIDCOMクライアントによって実行することができる手順を説明します。 0に寿命を変更すると、グループのすべてのメンバー方針を終了を意味します。
1. The MIDCOM client issues a SET request for writing the desired lifetime to the midcomGroupLifetime object in the corresponding row of the midcomGroupTable.
1. MIDCOMクライアントはmidcomGroupTableの対応する行にmidcomGroupLifetimeオブジェクトに所望の寿命を書き込むためのSET要求を発行します。
2. The MIDCOM client waits for a midcomSolicitedGroupEvent notification concerning the corresponding row in the midcomGroupTable. Waiting for the notification is timed out after a pre-selected maximum waiting time. In case of a timeout while waiting for the notification or if the client does not use notifications, the MIDCOM client retrieves the status of the midcomGroupEntry by one or more SNMP GET operations.
2. MIDCOMクライアントはmidcomGroupTableに対応する行に関するmidcomSolicitedGroupEventの通知を待ちます。通知を待って事前に選択された最大待機時間後にタイムアウトしています。タイムアウトの場合は通知を待っている間、またはクライアントが通知を使用しない場合は、MIDCOMクライアントは、一回の以上のSNMP GET操作でmidcomGroupEntryのステータスを取得します。
3. After receiving the midcomSolicitedRuleEvent notification, the MIDCOM client checks the lifetime value carried by the notification.
3. midcomSolicitedRuleEvent通知を受信した後、MIDCOMクライアントは、通知によって運ば寿命値をチェックします。
The SNMP agent can browse the list of policy rule groups by browsing the midcomGroupTable. For each observed row in this table, the SNMP agent should check the midcomGroupLifetime in order to find out if the group does contain established policies.
SNMPエージェントはmidcomGroupTableを閲覧することにより、政策ルールグループのリストを閲覧することができます。それぞれがこのテーブルの行を観察するために、SNMPエージェントは、グループが設立されたポリシーが含まれていないかどうかを調べるためにmidcomGroupLifetimeをチェックする必要があります。
The SNMP agent can retrieve all member policies of a group by browsing the midcomRuleTable using the midcomGroupIndex of the particular group. For retrieving the remaining lifetime of the group, the SNMP agent reads the midcomGroupLifetime object in the corresponding row of the midcomGroupTable.
SNMPエージェントは、特定のグループのmidcomGroupIndexを使用してmidcomRuleTableをブラウズすることによって、グループのすべてのメンバー方針を取得することができます。グループの残りの寿命を取得するため、SNMPエージェントはmidcomGroupTableの対応する行にmidcomGroupLifetimeオブジェクトを読み出します。
This section presents some examples that explain how a MIDCOM client can use the midcomResourceTable to correlate policy rules with the used middlebox resources. One example is given for middleboxes implementing the NAT-MIB and another one is given for firewalls.
このセクションでは、MIDCOMクライアントが使用するのmiddleboxリソースとポリシールールを相関させるためにmidcomResourceTableを使用する方法を説明し、いくつかの例を示します。一例では、NAT-MIBを実装するミドルボックスのために与えられ、もう一つは、ファイアウォールのために与えられています。
When a rule in the midcomRuleTable is executed, it directly impacts the middlebox resources. The midcomResourceTable provides the information on the relationships between the MIDCOM-MIB policy rules and the middlebox resources used for enforcing these rules.
midcomRuleTableでルールが実行され、それが直接影響ミドル資源を。 midcomResourceTableはMIDCOM-MIB政策ルールとこれらの規則を施行するために使用ミドルリソース間の関係についての情報を提供します。
A MIDCOM-MIB policy rule will cause the creation or modification of up to two NAT bindings and up to two NAT sessions. Two NAT bindings are impacted in the case of a session being subject to twice-NAT. Two NAT bindings may also be impacted when midcomRulePortRange is set to pair(2) in the policy rule. In the majority of cases, where traditional NAT is implemented, only a single NAT binding may be adequate. Note, however, that this BindId is set to 0 if the middlebox is implementing symmetric NAT function. Two NAT sessions are created or modified only when the midcomRulePortRange is set to pair(2) in the policy rule.
MIDCOM-MIB政策ルールは最大2つのNATバインディングのと2つのNATセッションまでの作成や変更が発生します。 2つのNATバインディングは二回、NATを受けることのセッションの場合に影響を受けます。 midcomRulePortRangeは、ポリシールール(2)ペアに設定されているときに、2つのNATバインディングはまた、影響を受ける可能性があります。従来のNATが実施されるほとんどの場合、単一のNATに結合は十分であってもよいです。ミドルは対称NAT機能を実装している場合は、このBindIdが0に設定されていること、しかし、注意してください。二つのNATセッションが作成またはmidcomRulePortRangeは、ポリシールール(2)ペアに設定されている場合にのみ変更されます。
When support for the NAT-MIB module is also available at the middlebox, the parameters in the combination of the midcomRuleTable and the midcomResourceTable for a given rule can be used to index the corresponding BIND and NAT session resources effected in the NAT-MIB. These parameters are valuable to monitor the impact on the NAT module, even when the NAT-MIB module is not implemented at the middlebox.
NAT-MIBモジュールのサポートがミドルにも利用可能である場合、所定のルールのmidcomRuleTableとmidcomResourceTableの組み合わせのパラメータはインデックスにNAT-MIBで行わ対応BINDとNATセッションリソースを使用することができます。これらのパラメータは、NAT-MIBモジュールがミドルに実装されていない場合でも、NATモジュールへの影響を監視するために有用です。
The impact of MIDCOM rules on the NAT resources is important because a MIDCOM rule not only can create BINDs and NAT sessions, but also is capable of modifying the NAT objects that already exist. For example, FlowDirection and MaxIdleTime parameters in a MIDCOM rule directly affect the TranslationEntity and MaxIdleTime of the associated NAT bind object. Likewise, MaxIdleTime in a MIDCOM rule has a direct impact on the MaxIdleTime of the associated NAT session object. The lifetime parameter in the MIDCOM rule directly impacts the lifetime of all the impacted NAT BIND and NAT session objects.
NATリソース上のMIDCOM規則の影響はMIDCOMルールが結合し、NATセッションを作成することができないだけであるために重要ですが、また、既に存在しているNATのオブジェクトを変更することができます。例えば、MIDCOM規則における流れ方向とMaxIdleTimeエレメンパラメータは直接関連するNATバインドオブジェクトのTranslationEntityとMaxIdleTimeエレメンに影響を与えます。同様に、MIDCOM規則のMaxIdleTimeは、関連するNATセッションオブジェクトのMaxIdleTimeエレメンに直接的な影響を有しています。 MIDCOM規則で寿命パラメータに直接影響する、影響を受けるすべてのNAT BINDとNATのセッションオブジェクトの寿命。
When a MIDCOM-MIB policy rule is established at a middlebox with firewall capabilities, this may lead to the creation of one or more new firewall rules. Note that in general a single firewall rule per MIDCOM-MIB policy rule will be sufficient. For each policy rule, a MIDCOM client can explore the corresponding firewall filter rule by reading the midcomResourceEntry in the midcomResourceTable that corresponds to the midcomRuleEntry describing the rule. The identification of the firewall filter rule is stored in object midcomRscFirewallRuleId. The value of midcomRscFirewallRuleId may correspond directly to any firewall filter rule number or to an entry in a locally available firewall MIB module.
MIDCOM-MIB政策ルールがファイアウォール機能を備えたミドルで確立された場合、これは、1つまたは複数の新しいファイアウォールルールの作成につながる可能性があります。一般的に、MIDCOM-MIB政策ルールごとに1つのファイアウォールルールが十分であることに注意してください。各ポリシールールのために、MIDCOMクライアントはルールを記述midcomRuleEntryに対応midcomResourceTableでmidcomResourceEntryを読み取ることによって、対応するファイアウォールフィルタ規則を探索することができます。ファイアウォールフィルタ規則の識別は、オブジェクトmidcomRscFirewallRuleIdに格納されています。 midcomRscFirewallRuleIdの値は、任意のファイアウォールのフィルタルール番号に又は局所的に利用可能なファイアウォールMIBモジュール内のエントリに直接対応してもよいです。
The following MIB module imports from [RFC2578], [RFC2579], [RFC2580], [RFC2863], [RFC3411], [RFC4001], and [RFC4008].
[RFC2578]、[RFC2579]、[RFC2580]、[RFC2863]、[RFC3411]、[RFC4001]及び[RFC4008]から次のMIBモジュール輸入。
MIDCOM-MIB DEFINITIONS ::= BEGIN
IMPORTS MODULE-IDENTITY, OBJECT-TYPE, NOTIFICATION-TYPE, Unsigned32, Counter32, Gauge32, mib-2 FROM SNMPv2-SMI -- RFC 2578
輸入MODULE-IDENTITY、OBJECT-TYPE、NOTIFICATION-TYPE、Unsigned32の、Counter32の、Gauge32、MIB-2のSNMPv2-SMI FROM - RFC 2578
TEXTUAL-CONVENTION, TruthValue,
StorageType, RowStatus
FROM SNMPv2-TC -- RFC 2579
MODULE-COMPLIANCE, OBJECT-GROUP, NOTIFICATION-GROUP FROM SNMPv2-CONF -- RFC 2580
MODULE-COMPLIANCE、OBJECT-GROUP、NOTIFICATION-GROUPのSNMPv2-CONF FROM - RFC 2580
SnmpAdminString FROM SNMP-FRAMEWORK-MIB -- RFC 3411
SNMP-FRAMEWORK-MIB FROMれるSnmpAdminString - RFC 3411
InetAddressType, InetAddress, InetPortNumber, InetAddressPrefixLength FROM INET-ADDRESS-MIB -- RFC 4001
RFC 4001 - 、INET-ADDRESS-MIBからのInetAddress、InetPortNumber、InetAddressPrefixLengthたInetAddressType
InterfaceIndexOrZero FROM IF-MIB -- RFC 2863
InterfaceIndexOrZeroのIF-MIB FROM - RFC 2863
NatBindIdOrZero FROM NAT-MIB; -- RFC 4008
NAT-MIB FROM NatBindIdOrZero。 - RFC 4008
midcomMIB MODULE-IDENTITY LAST-UPDATED "200708091011Z" -- August 09, 2007 ORGANIZATION "IETF Middlebox Communication Working Group" CONTACT-INFO "WG charter: http://www.ietf.org/html.charters/midcom-charter.html
midcomMIBのMODULE-IDENTITY LAST-UPDATED "200708091011Z" - 2007年8月9日ORGANIZATION "IETFミドルコミュニケーションワーキンググループ" CONTACT-INFO「WG憲章:http://www.ietf.org/html.charters/midcom-charter.html
Mailing Lists:
General Discussion: midcom@ietf.org
To Subscribe: midcom-request@ietf.org
In Body: subscribe your_email_address
Co-editor: Juergen Quittek NEC Europe Ltd. Kurfuersten-Anlage 36 69115 Heidelberg Germany Tel: +49 6221 4342-115 Email: quittek@nw.neclab.eu
共同編集者:ユルゲンQuittek NECヨーロッパ社Kurfuerstenコンディショニング36 69115ハイデルベルクドイツ電話:+49 6221 4342-115電子メール:quittek@nw.neclab.eu
Co-editor: Martin Stiemerling NEC Europe Ltd. Kurfuersten-Anlage 36 69115 Heidelberg Germany Tel: +49 6221 4342-113 Email: stiemerling@nw.neclab.eu
共同編集者:マーティンStiemerling NECヨーロッパ社Kurfuerstenコンディショニング36 69115ハイデルベルクドイツ電話:+49 6221 4342-113電子メール:stiemerling@nw.neclab.eu
Co-editor: Pyda Srisuresh Kazeon Systems, Inc. 1161 San Antonio Rd. Mountain View, CA 94043 U.S.A. Tel: +1 408 836-4773 Email: srisuresh@yahoo.com"
共同編集者:Pyda Srisuresh Kazeon Systems、Inc.の1161年サンアントニオRdを。マウンテンビュー、CA 94043 U.S.A.電話:+1 408 836から4773 Eメール:srisuresh@yahoo.com」
DESCRIPTION "This MIB module defines a set of basic objects for configuring middleboxes, such as firewalls and network address translators, in order to enable communication across these devices.
DESCRIPTION「このMIBモジュールは、これらのデバイス間の通信を可能にするために、ファイアウォールやネットワークアドレス変換器として中間装置を構成するための基本的なオブジェクトのセットを定義します。
Managed objects defined in this MIB module are structured
in three kinds of objects:
- transaction objects required according to the MIDCOM
protocol requirements defined in RFC 3304 and according
to the MIDCOM protocol semantics defined in RFC 3989,
- configuration objects that can be used for retrieving or
setting parameters of the implementation of transaction
objects,
- optional monitoring objects that provide information
about used resource and statistics
The transaction objects are organized in two subtrees: - objects modeling MIDCOM policy rules in the midcomRuleTable - objects modeling MIDCOM policy rule groups in the midcomGroupTable
トランザクションオブジェクトは、2つのサブツリーで構成されています: - midcomGroupTableにおけるモデリングのMIDCOM政策ルールグループオブジェクト - midcomRuleTableでモデリングMIDCOM政策ルールオブジェクト
Note that typically, configuration objects are not intended to be written by MIDCOM clients. In general, write access to these objects needs to be restricted more strictly than write access to objects in the transaction subtrees.
一般的に、構成オブジェクトがMIDCOMクライアントによって書かれることを意図していないことに注意してください。一般的に、これらのオブジェクトへのアクセスがより厳密にトランザクションサブツリー内のオブジェクトへの書き込みアクセスをより制限する必要があるの書き込み。
Copyright (C) The Internet Society (2008). This version of this MIB module is part of RFC 5190; see the RFC itself for full legal notices."
著作権(C)インターネット協会(2008)。このMIBモジュールのこのバージョンはRFC 5190の一部です。完全な適法な通知についてはRFC自体を参照してください。」
REVISION "200708091011Z" -- August 09, 2007
DESCRIPTION "Initial version, published as RFC 5190."
::= { mib-2 171 }
-- -- main components of this MIB module --
- - このMIBモジュールの主要な構成要素 -
midcomNotifications OBJECT IDENTIFIER ::= { midcomMIB 0 }
midcomObjects OBJECT IDENTIFIER ::= { midcomMIB 1 }
midcomConformance OBJECT IDENTIFIER ::= { midcomMIB 2 }
-- Transaction objects required according to the MIDCOM
-- protocol requirements defined in RFC 3304 and according to
-- the MIDCOM protocol semantics defined in RFC 3989
midcomTransaction OBJECT IDENTIFIER ::= { midcomObjects 1 }
-- Configuration objects that can be used for retrieving -- middlebox capability information (mandatory) and for
- 取得のために使用することができる構成オブジェクト - のためのミドル能力情報(必須)と
-- setting parameters of the implementation of transaction
-- objects (optional)
midcomConfig OBJECT IDENTIFIER ::= { midcomObjects 2 }
-- Optional monitoring objects that provide information about
-- used resource and statistics
midcomMonitoring OBJECT IDENTIFIER ::= { midcomObjects 3 }
-- -- Transaction Objects -- -- Transaction objects are structured according to the MIDCOM -- protocol semantics into two groups: -- - objects modeling MIDCOM policy rules in the midcomRuleTable -- - objects modeling MIDCOM policy rule groups in the -- midcomGroupTable
- - トランザクションオブジェクト - - 二つのグループにプロトコルのセマンティクス - トランザクションオブジェクトはMIDCOMに従って構成されている: - - midcomRuleTableにモデリングMIDCOMポリシールールオブジェクト - - でモデリングMIDCOMポリシー・ルール・グループオブジェクト - midcomGroupTable
-- -- Policy rule subtree -- -- The midcomRuleTable lists policy rules -- including policy reserve rules and policy enable rules. --
- - ポリシールールサブツリー - - 責任準備金のルールとポリシーを有効ルールなど - midcomRuleTableは、ポリシールールを示しています。 -
midcomRuleTable OBJECT-TYPE SYNTAX SEQUENCE OF MidcomRuleEntry MAX-ACCESS not-accessible STATUS current DESCRIPTION "This table lists policy rules.
MidcomRuleEntry MAX-ACCESSステータス現在の説明のmidcomRuleTable OBJECT-TYPE構文配列は「この表は、ポリシールールを示します。
It is indexed by the midcomRuleOwner, the
midcomGroupIndex, and the midcomRuleIndex.
This implies that a rule is a member of exactly
one group and that group membership cannot
be changed.
Entries can be deleted by writing to
midcomGroupLifetime or midcomRuleLifetime
and potentially also to midcomRuleStorageTime."
::= { midcomTransaction 3 }
midcomRuleEntry OBJECT-TYPE SYNTAX MidcomRuleEntry MAX-ACCESS not-accessible STATUS current DESCRIPTION "An entry describing a particular MIDCOM policy rule."
midcomRuleEntryのOBJECT-TYPE SYNTAX MidcomRuleEntry MAX-ACCESSステータス現在の説明は「特定のMIDCOM政策ルールを記述したエントリ」。
INDEX { midcomRuleOwner, midcomGroupIndex, midcomRuleIndex }
::= { midcomRuleTable 1 }
MidcomRuleEntry ::= SEQUENCE {
midcomRuleOwner SnmpAdminString,
midcomRuleIndex Unsigned32,
midcomRuleAdminStatus INTEGER,
midcomRuleOperStatus INTEGER,
midcomRuleStorageType StorageType,
midcomRuleStorageTime Unsigned32,
midcomRuleError SnmpAdminString,
midcomRuleInterface InterfaceIndexOrZero,
midcomRuleFlowDirection INTEGER,
midcomRuleMaxIdleTime Unsigned32,
midcomRuleTransportProtocol Unsigned32,
midcomRulePortRange INTEGER,
midcomRuleInternalIpVersion InetAddressType,
midcomRuleExternalIpVersion InetAddressType,
midcomRuleInternalIpAddr InetAddress,
midcomRuleInternalIpPrefixLength InetAddressPrefixLength,
midcomRuleInternalPort InetPortNumber,
midcomRuleExternalIpAddr InetAddress,
midcomRuleExternalIpPrefixLength InetAddressPrefixLength,
midcomRuleExternalPort InetPortNumber,
midcomRuleInsideIpAddr InetAddress,
midcomRuleInsidePort InetPortNumber,
midcomRuleOutsideIpAddr InetAddress,
midcomRuleOutsidePort InetPortNumber,
midcomRuleLifetime Unsigned32,
midcomRuleRowStatus RowStatus
}
midcomRuleOwner OBJECT-TYPE SYNTAX SnmpAdminString (SIZE (0..32)) MAX-ACCESS not-accessible STATUS current DESCRIPTION "The manager who owns this row in the midcomRuleTable.
midcomRuleOwner OBJECT-TYPE SYNTAXれるSnmpAdminString(SIZE(0 32))MAX-ACCESSステータス現在の説明は「midcomRuleTableにこの行を所有しているマネージャー。
This object SHOULD uniquely identify an authenticated
MIDCOM client. This object is part of the table index to
allow for the use of the SNMPv3 View-based Access Control
Model (VACM, RFC 3415)."
::= { midcomRuleEntry 1 }
midcomRuleIndex OBJECT-TYPE SYNTAX Unsigned32 (1..4294967295) MAX-ACCESS not-accessible
midcomRuleIndexのOBJECT-TYPE構文Unsigned32(1 4294967295)MAX-ACCESSアクセス不可能
STATUS current
DESCRIPTION
"The value of this object must be unique in
combination with the values of the objects
midcomRuleOwner and midcomGroupIndex in this row."
::= { midcomRuleEntry 3 }
midcomRuleAdminStatus OBJECT-TYPE SYNTAX INTEGER { reserve(1), enable(2), notSet(3) } MAX-ACCESS read-create STATUS current DESCRIPTION "The value of this object indicates the desired status of the policy rule. See the definition of midcomRuleOperStatus for a description of the values.
midcomRuleAdminStatus OBJECT-TYPE SYNTAX INTEGER {リザーブ(1)、(2)、NOTSET(3)有効} MAX-ACCESSはリード作成ステータス現在の説明は「このオブジェクトの値は、ポリシールールの所望の状態を示している。の定義を参照してください値の説明のためにmidcomRuleOperStatus。
When a midcomRuleEntry is created without explicitly setting
this object, its value will be notSet(3).
However, a SET request can only set this object to either reserve(1) or enable(2). Attempts to set this object to notSet(3) will always fail with an 'inconsistentValue' error. Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.
しかし、SET要求は、予備のいずれかにこのオブジェクトを設定する(1)又は(2)有効にすることができます。 NOTSETにこのオブジェクトを設定しようとすると、(3)常にから「inconsistentValue」エラーで失敗します。このエラーコードは、SNMPが特異的であることに注意してください。 MIBモジュールは、SNMP以外のプロトコルで使用されている場合は、これらのプロトコルに固有の同じような意味を持つのエラーが返されるべきです。
When the midcomRuleAdminStatus object is set, then the MIDCOM-MIB implementation will try to read the respective relevant objects of the entry and try to achieve the corresponding midcomRuleOperStatus.
midcomRuleAdminStatusオブジェクトが設定されている場合は、その後、MIDCOM-MIBの実装は、エントリのそれぞれの関連するオブジェクトを読み取ると、対応するmidcomRuleOperStatusを達成しようとしようとします。
Setting midcomRuleAdminStatus to value reserve(1) when object midcomRuleOperStatus has a value of reserved(7) does not have any effect on the policy rule. Setting midcomRuleAdminStatus to value enable(2) when object midcomRuleOperStatus has a value of enabled(8) does not have any effect on the policy rule.
(1)オブジェクトmidcomRuleOperStatusが予約の値を有する場合(7)ポリシールールに影響を及ぼさない値準備にmidcomRuleAdminStatusを設定します。 (2)オブジェクトmidcomRuleOperStatusが有効の値を有するとき(8)政策ルールには影響しません有効評価にmidcomRuleAdminStatusを設定します。
Depending on whether the midcomRuleAdminStatus is set to reserve(1) or enable(2), several objects must be set in advance. They serve as parameters of the policy rule to be established.
midcomRuleAdminStatusは、(1)予約又は(2)、いくつかのオブジェクトは、事前に設定されなければならない可能にするために設定されているかどうかに応じ。彼らは、確立するポリシールールのパラメータとしての役割を果たす。
When object midcomRuleAdminStatus is set to reserve(1), then the following objects in the same entry are of relevance: - midcomRuleInterface - midcomRuleTransportProtocol - midcomRulePortRange - midcomRuleInternalIpVersion - midcomRuleExternalIpVersion - midcomRuleInternalIpAddr - midcomRuleInternalIpPrefixLength - midcomRuleInternalPort - midcomRuleLifetime
オブジェクトmidcomRuleAdminStatusがリザーブに設定されている場合(1)、次いで、同じエントリの次のオブジェクトは、関連性のものである: - midcomRuleInterface - midcomRuleTransportProtocol - midcomRulePortRange - midcomRuleInternalIpVersion - midcomRuleExternalIpVersion - midcomRuleInternalIpAddr - midcomRuleInternalIpPrefixLength - midcomRuleInternalPort - midcomRuleLifetime
MIDCOM-MIB implementation may also consider the value of object midcomRuleMaxIdleTime when establishing a reserve rule.
予備のルールを確立する際にMIDCOM-MIBの実装では、オブジェクトmidcomRuleMaxIdleTimeの値を考慮することができます。
When object midcomRuleAdminStatus is set to enable(2), then the following objects in the same entry are of relevance: - midcomRuleInterface - midcomRuleFlowDirection - midcomRuleMaxIdleTime - midcomRuleTransportProtocol - midcomRulePortRange - midcomRuleInternalIpVersion - midcomRuleExternalIpVersion - midcomRuleInternalIpAddr - midcomRuleInternalIpPrefixLength - midcomRuleInternalPort - midcomRuleExternalIpAddr - midcomRuleExternalIpPrefixLength - midcomRuleExternalPort - midcomRuleLifetime
オブジェクトmidcomRuleAdminStatus(2)有効に設定されている場合、同じエントリ内の次のオブジェクトは、関連性のものである: - midcomRuleInterface - midcomRuleFlowDirection - midcomRuleMaxIdleTime - midcomRuleTransportProtocol - midcomRulePortRange - midcomRuleInternalIpVersion - midcomRuleExternalIpVersion - midcomRuleInternalIpAddr - midcomRuleInternalIpPrefixLength - midcomRuleInternalPort - midcomRuleExternalIpAddr - midcomRuleExternalIpPrefixLength - midcomRuleExternalPort - midcomRuleLifetime
When retrieved, the object returns the last set value.
If no value has been set, it returns the default value
notSet(3)."
DEFVAL { notSet }
::= { midcomRuleEntry 4 }
midcomRuleOperStatus OBJECT-TYPE SYNTAX INTEGER { newEntry(1), setting(2), checkingRequest(3), incorrectRequest(4), processingRequest(5), requestRejected(6), reserved(7), enabled(8), timedOut(9), terminatedOnRequest(10), terminated(11), genericError(12) } MAX-ACCESS read-only STATUS current DESCRIPTION "The actual status of the policy rule. The midcomRuleOperStatus object may have the following values:
midcomRuleOperStatusのOBJECT-TYPE SYNTAX INTEGER {newEntry(1)、(2)設定、checkingRequest(3)、incorrectRequest(4)、processingRequest(5)、requestRejected(6)、(7)予約、9(TIMEDOUT、(8)有効。)、terminatedOnRequest(10)、(11)、genericError(12)} MAX-ACCESS read-only説明「ポリシールールの実際のステータス終了midcomRuleOperStatusオブジェクトは、以下の値を有することができます。
- newEntry(1) indicates that the entry in the
midcomRuleTable was created, but not modified yet.
Such an entry needs to be filled with values specifying
a request first.
- setting(2) indicates that the entry has been already modified after generating it, but no request was made yet.
- (2)設定値は、エントリが既にそれを生成した後に変更されていることを示しているが、何の要求がまだなされませんでした。
- checkingRequest(3) indicates that midcomRuleAdminStatus has recently been set and that the MIDCOM-MIB implementation is currently checking the parameters of the request. This is a transient state. The value of this object will change to either incorrectRequest(4) or processingRequest(5) without any external interaction. A MIDCOM-MIB implementation MAY return this value while checking request parameters.
- checkingRequest(3)midcomRuleAdminStatusが最近設定されていることとMIDCOM-MIB実装は、現在の要求のパラメータをチェックしていることを示しています。これは一時的な状態です。このオブジェクトの値は、外部操作なしincorrectRequest(4)またはprocessingRequest(5)のいずれかに変更されます。リクエストパラメータを確認しながらMIDCOM-MIBの実装は、この値を返すことがあります。
- incorrectRequest(4) indicates that checking a request resulted in detecting an incorrect value in one of the objects containing request parameters. The failure reason is indicated by the value of midcomRuleError.
- incorrectRequest(4)要求をチェックするリクエストパラメータを含むオブジェクトのいずれかで誤った値を検出することをもたらしたことを示しています。失敗理由はmidcomRuleErrorの値によって示されます。
- processingRequest(5) indicates that midcomRuleAdminStatus has recently been set and that the MIDCOM-MIB implementation is currently processing the request and trying to configure the middlebox accordingly. This is a transient state. The value of this object will change to either requestRejected(6), reserved(7), or enabled(8) without any external interaction. A MIDCOM-MIB implementation MAY return this value while processing a request.
- processingRequest(5)midcomRuleAdminStatus最近MIDCOM-MIB実装は、現在の要求を処理し、それに応じてミドルボックスを設定しようとしているように設定されていることを示しています。これは一時的な状態です。このオブジェクトの値はrequestRejected(6)、(7)予約、または任意の外部の介入なし(8)のいずれかで使用可能に変更されます。リクエストを処理している間MIDCOM-MIBの実装は、この値を返すことがあります。
- requestRejected(6) indicates that a request to establish
- requestRejected(6)は、要求を確立することを示し
a policy rule specified by the entry was rejected. The reason for rejection is indicated by the value of midcomRuleError.
エントリで指定されたポリシールールが拒否されました。拒絶理由はmidcomRuleErrorの値によって示されます。
- reserved(7) indicates that the entry describes an established policy reserve rule. These values of MidcomRuleEntry are meaningful for a reserved policy rule: - midcomRuleMaxIdleTime - midcomRuleInterface - midcomRuleTransportProtocol - midcomRulePortRange - midcomRuleInternalIpVersion - midcomRuleExternalIpVersion - midcomRuleInternalIpAddr - midcomRuleInternalIpPrefixLength - midcomRuleInternalPort - midcomRuleOutsideIpAddr - midcomRuleOutsidePort - midcomRuleLifetime
- エントリが確立されたポリシー準備ルールを記述し示すこと(7)予約済み。 MidcomRuleEntryのこれらの値は、予約されたポリシールールの意味がある: - midcomRuleMaxIdleTime - midcomRuleInterface - midcomRuleTransportProtocol - midcomRulePortRange - midcomRuleInternalIpVersion - midcomRuleExternalIpVersion - midcomRuleInternalIpAddr - midcomRuleInternalIpPrefixLength - midcomRuleInternalPort - midcomRuleOutsideIpAddr - midcomRuleOutsidePort - midcomRuleLifetime
- enabled(8) indicates that the entry describes an established policy enable rule. These values of MidcomRuleEntry are meaningful for an enabled policy rule:
- 有効(8)エントリが確立ポリシールールを有効に記述していることを示しています。 MidcomRuleEntryのこれらの値は、有効なポリシールールの意味があります:
- midcomRuleFlowDirection
- midcomRuleInterface
- midcomRuleMaxIdleTime
- midcomRuleTransportProtocol
- midcomRulePortRange
- midcomRuleInternalIpVersion
- midcomRuleExternalIpVersion
- midcomRuleInternalIpAddr
- midcomRuleInternalIpPrefixLength
- midcomRuleInternalPort
- midcomRuleExternalIpAddr
- midcomRuleExternalIpPrefixLength
- midcomRuleExternalPort
- midcomRuleInsideIpAddr
- midcomRuleInsidePort
- midcomRuleOutsideIpAddr
- midcomRuleOutsidePort
- midcomRuleLifetime
- timedOut(9) indicates that the lifetime of a previously established policy rule has expired and that the policy rule is terminated for this reason.
- TIMEDOUTは(9)以前に確立したポリシールールの有効期間が満了していることを示し、政策ルールは、この理由で終了していること。
- terminatedOnRequest(10) indicates that a previously established policy rule was terminated by an SNMP manager setting the midcomRuleLifetime to 0 or setting midcomGroupLifetime to 0.
- terminatedOnRequest(10)は、以前に確立されたポリシールールを0にmidcomRuleLifetimeを設定または0にmidcomGroupLifetime設定SNMPマネージャによって終了したことを示しています。
- terminated(11) indicates that a previously established policy rule was terminated by the MIDCOM-MIB implementation for a reason other than lifetime expiration or an explicit request from a MIDCOM client.
- (11)終了以前に確立されたポリシールールが寿命満了またはMIDCOMクライアントからの明示的な要求以外の理由MIDCOM-MIB実装によって終了したことを示しています。
- genericError(12) indicates that the policy rule specified by the entry is not established due to an error condition not listed above.
- genericError(12)エントリによって指定されたポリシールールが原因上記以外のエラー状態に対して確立されていないことを示します。
The states timedOut(9), terminatedOnRequest(10), and terminated(11) are referred to as termination states.
状態TIMEDOUT(9)、terminatedOnRequest(10)、および終了(11)は終了状態と呼ばれます。
The states incorrectRequest(4), requestRejected(6), and genericError(12) are referred to as error states.
状態incorrectRequest(4)、requestRejected(6)、及びgenericError(12)は、エラー状態と呼ばれます。
The checkingRequest(3) and processingRequest(5)
states are transient states, which will lead to either
one of the error states or the reserved(7) state or the
enabled(8) state. MIDCOM-MIB implementations MAY return
these values when checking or processing requests."
DEFVAL { newEntry }
::= { midcomRuleEntry 5 }
midcomRuleStorageType OBJECT-TYPE SYNTAX StorageType MAX-ACCESS read-create STATUS current DESCRIPTION "When retrieved, this object returns the storage type of the policy rule. Writing to this object can change the storage type of the particular row from volatile(2) to nonVolatile(3) or vice versa.
midcomRuleStorageType OBJECT-TYPE構文StorageType MAX-ACCESSリード作成ステータス現在の説明「検索する場合、このオブジェクトは、ポリシールールのストレージタイプを返す。このオブジェクトへの書き込みはnonVolatileの(2)揮発性から特定の行のストレージタイプを変更することができ(3)またはその逆。
Attempts to set this object to permanent will always
fail with an 'inconsistentValue' error. Note that this
error code is SNMP specific. If the MIB module is used
with other protocols than SNMP, errors with similar
semantics specific to those protocols should be
returned.
If midcomRuleStorageType has the value permanent(4), then all objects in this row whose MAX-ACCESS value is read-create must be read-only."
midcomRuleStorageType永久値がある場合(4)、次いで、MAX-ACCESS値であり、この行のすべてのオブジェクトの読み取り専用されなければならない読み取りが作成します。」
DEFVAL { volatile }
::= { midcomRuleEntry 6 }
midcomRuleStorageTime OBJECT-TYPE SYNTAX Unsigned32 UNITS "seconds" MAX-ACCESS read-create STATUS current DESCRIPTION "The value of this object specifies how long this row can exist in the midcomRuleTable after the midcomRuleOperStatus switched to a termination state or to an error state. This object returns the remaining time that the row may exist before it is aged out.
midcomRuleStorageTime OBJECT-TYPE構文Unsigned32ユニット「秒」MAX-ACCESSはリード作成ステータス現在の説明は「このオブジェクトの値は、midcomRuleOperStatusが終了状態またはエラー状態に切り替えた後に、この行がmidcomRuleTableで存在することができる時間を指定します。このオブジェクトは、それが期限切れになる前に、行が存在することができる残り時間を返します。
After expiration or termination of the context, the value
of this object ticks backwards. The entry in the
midcomRuleTable is destroyed when the value reaches 0.
The value of this object may be set in order to increase or reduce the remaining time that the row may exist. Setting the value to 0 will destroy this entry as soon as the midcomRuleOperStatus switched to a termination state or to an error state.
このオブジェクトの値は、行が存在し得ることは、残り時間を増加又は減少させるために設定されてもよいです。 midcomRuleOperStatusが終了状態またはエラー状態に切り替えて値を0に設定するとすぐにこのエントリを破壊します。
Note that there is no guarantee that the row is stored as long as this object indicates. At any time, the MIDCOM-MIB implementation may decide to remove a row describing a terminated policy rule before the storage time of the corresponding row in the midcomRuleTable reaches the value of 0. In this case, the information stored in this row is not available anymore.
行があれば、このオブジェクトが示すように記憶されているという保証がないことに注意してください。いつでも、MIDCOM-MIB実装はmidcomRuleTableの対応する行の蓄積時間は、この場合には0の値に達する前に終了ポリシールールを記述した行を削除することを決定することができる、この行に格納された情報は利用できませんもう。
If object midcomRuleStorageType indicates that the policy
rule has the storage type permanent(4), then this object has
a constant value of 4294967295."
DEFVAL { 0 }
::= { midcomRuleEntry 7 }
midcomRuleError OBJECT-TYPE SYNTAX SnmpAdminString MAX-ACCESS read-only STATUS current DESCRIPTION "This object contains a descriptive error message if the transition into the operational status reserved(7) or enabled(8) failed. Implementations must reset the error message to a zero-length string when a new attempt to change the policy rule status to reserved(7) or enabled(8) is started.
予約動作状態に遷移(7)または有効(8)に失敗しました。実装はゼロにエラーメッセージをリセットする必要がある場合midcomRuleError OBJECT-TYPE構文れるSnmpAdminString MAX-ACCESS read-onlyステータス現在の説明は「このオブジェクト記述エラーメッセージを含みます(7)予約または有効にポリシールールのステータスを変更するための新しい試みが(8)が開始され-length文字列。
RECOMMENDED values to be returned in particular cases
include
- 'lack of IP addresses'
- 'lack of port numbers'
- 'lack of resources'
- 'specified NAT interface does not exist'
- 'specified NAT interface does not support NAT'
- 'conflict with already existing policy rule'
- 'no internal IP wildcarding allowed'
- 'no external IP wildcarding allowed'
The semantics of these error messages and the corresponding
behavior of the MIDCOM-MIB implementation are specified
in sections 2.3.9 and 2.3.10 of RFC 3989."
REFERENCE
"RFC 3989, sections 2.3.9 and 2.3.10"
DEFVAL { ''H }
::= { midcomRuleEntry 8 }
midcomRuleInterface OBJECT-TYPE SYNTAX InterfaceIndexOrZero MAX-ACCESS read-create STATUS current DESCRIPTION "This object indicates the IP interface for which enforcement of a policy rule is requested or performed, respectively.
midcomRuleInterface OBJECT-TYPE構文InterfaceIndexOrZeroのMAX-ACCESSリード作成ステータス現在の説明は「このオブジェクトは、ポリシールールの施行は、それぞれ、要求又は実行されたIPインターフェイスを示します。
The interface is identified by its index in the ifTable
(see IF-MIB in RFC 2863). If the object has a value of 0,
then no particular interface is indicated.
This object is used as input to a request for establishing a policy rule as well as for indicating the properties of an established policy rule.
このオブジェクトは、ポリシールールを確立するため、ならびに確立されたポリシールールの特性を示すための要求への入力として使用されます。
If object midcomRuleOperStatus of the same entry has the value newEntry(1) or setting(2), then this object can be written by a manager in order to request its preference concerning the interface at which it requests NAT service. The default value of 0 indicates that the manager does not have a preferred interface or does not have sufficient topology information for specifying one. Writing to this object in any state other than newEntry(1) or setting(2) will always fail with an 'inconsistentValue' error.
同じエントリーのオブジェクトmidcomRuleOperStatusが値newEntry(1)又は(2)の設定がある場合、このオブジェクトは、それがNATサービスを要求する時にインターフェースに関するその嗜好を要求するために管理者によって記述することができます。 0のデフォルト値は、管理者が、好ましいインターフェースを持っていない、または1つを指定するための十分なトポロジー情報を有していないことを示しています。 newEntry以外の任意の状態で、このオブジェクトへの書き込み(1)または設定(2)常にから「inconsistentValue」エラーで失敗します。
Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.
このエラーコードは、SNMPが特異的であることに注意してください。 MIBモジュールは、SNMP以外のプロトコルで使用されている場合は、これらのプロトコルに固有の同じような意味を持つのエラーが返されるべきです。
If object midcomRuleOperStatus of the same entry has the value reserved(7) or enabled(8), then this object indicates the interface at which NAT service for this rule is performed. If NAT service is not required for enforcing the policy rule, then the value of this object is 0. Also, if the MIDCOM-MIB implementation cannot indicate an interface, because it does not have this information or because NAT service is not offered at a particular single interface, then the value of the object is 0.
同じエントリーのオブジェクトmidcomRuleOperStatusが予約値を有する場合、(7)または有効(8)、このオブジェクトは、このルールのNATサービスが実行されたインタフェースを示します。 NATサービスポリシールールを施行するために必要されていない場合は、NATサービスがで提供されていないか、またはので、この情報を持っていないので、MIDCOM-MIBの実装は、インタフェースを示すことができない場合、このオブジェクトの値は、また、0です。特定の単一のインタフェースは、そのオブジェクトの値は0です。
Note that the index of a particular interface in the ifTable may change after a re-initialization of the middlebox, for example, after adding another interface to it. In such a case, the value of this object may change, but the interface referred to by the MIDCOM-MIB MUST still be the same. If, after a re-initialization of the middlebox, the interface referred to before re-initialization cannot be uniquely mapped anymore to a particular entry in the ifTable, then the value of object midcomRuleOperStatus of the same entry MUST be changed to terminated(11).
ifTableの特定のインタフェースのインデックスはそれに別のインタフェースを追加した後、例えば、ミドルの再初期化後に変更することができることに留意されたいです。このような場合に、このオブジェクトの値を変更してもよいが、MIDCOM-MIBで参照されるインターフェースは同じでなければなりません。ミドルボックスの再初期化の後、インタフェースは再初期化が一意ifTableの特定のエントリにもはやマッピングすることができない前に、同じエントリのオブジェクトmidcomRuleOperStatusの値(11)を終了するように変更する必要があり呼ばれる場合。
If object midcomRuleOperStatus of the same entry has a
value other than newEntry(1), setting(2), reserved(7), or
enabled(8), then the value of this object is irrelevant."
DEFVAL { 0 }
::= { midcomRuleEntry 9 }
midcomRuleFlowDirection OBJECT-TYPE SYNTAX INTEGER { inbound(1), outbound(2), biDirectional(3) } MAX-ACCESS read-create STATUS current DESCRIPTION "This parameter specifies the direction of enabled communication, either inbound(1), outbound(2), or biDirectional(3).
midcomRuleFlowDirectionのOBJECT-TYPE SYNTAX INTEGER {インバウンド(1)、アウトバウンド(2)、双方向(3)} MAX-ACCESSリード作成ステータス現在の説明は「このパラメータは有効通信の方向を指定し、いずれかのインバウンド(1)、アウトバウンド(2 )、または双方向(3)。
The semantics of this object depends on the protocol
the rule relates to. If the rule is independent of the transport protocol (midcomRuleTransportProtocol
has a value of 0) or if the transport protocol is UDP,
then the value of midcomRuleFlowDirection indicates
the direction of packets traversing the middlebox.
In this case, value inbound(1) indicates that packets are traversing from outside to inside, value outbound(2) indicates that packets are traversing from inside to outside. For both values, inbound(1) and outbound(2) packets can traverse the middlebox only unidirectional. A bidirectional flow is indicated by value biDirectional(3).
この場合、受信値(1)パケットが外部から内部に通過していることを示し、値アウトバウンド(2)パケットが内側から外側へ横断していることを示しています。両方の値は、インバウンド(1)及びアウトバウンド(2)パケットのみ一方向ミドルボックスを通過することができます。双方向の流れは双方向値(3)で示されています。
If the transport protocol is TCP, the packet flow is always bidirectional, but the value of midcomRuleFlowDirection indicates that:
トランスポートプロトコルがTCPの場合は、パケットフローは、常に双方向であるが、midcomRuleFlowDirectionの値は、そのことを示しています。
- inbound(1): bidirectional TCP packet flow. First packet, with TCP SYN flag set, must arrive at an outside interface of the middlebox.
- インバウンド(1):双方向のTCPパケットの流れ。最初のパケットは、TCP SYNフラグを設定して、ミドルボックスの外部インターフェースに到着しなければなりません。
- outbound(2): bidirectional TCP packet flow. First packet, with TCP SYN flag set, must arrive at an inside interface of the middlebox.
- アウトバウンド(2):双方向のTCPパケットの流れ。最初のパケットは、TCP SYNフラグを設定して、ミドルボックスの内部インターフェースに到着しなければなりません。
- biDirectional(3): bidirectional TCP packet flow. First packet, with TCP SYN flag set, may arrive at an inside or an outside interface of the middlebox.
- 双方向(3):双方向のTCPパケットの流れ。最初のパケットは、TCP SYNフラグを設定して、内部又はミドルボックスの外部インターフェースに到着することができます。
This object is used as input to a request for establishing a policy enable rule as well as for indicating the properties of an established policy rule.
この目的は、ポリシーが確立されたポリシールールの特性を示すためだけでなく、ルールを有効に確立するための要求への入力として使用されます。
If object midcomRuleOperStatus of the same entry has a value of either newEntry(1), setting(2), or reserved(7), then this object can be written by a manager in order to specify a requested direction to be enabled by a policy rule. Writing to this object in any state other than newEntry(1), setting(2), or reserved(7) will always fail with an 'inconsistentValue' error.
同じエントリーのオブジェクトmidcomRuleOperStatusは、newEntry(1)、(2)又は(7)、その後、要求された方向を指定するために管理者によって記述することができ、このオブジェクトは、ポリシーによって有効にするために予約設定のどちらかの値を有する場合ルール。 newEntry以外の状態では、このオブジェクトへの書き込み(1)、(2)の設定、または予約(7)は、常に「はinconsistentValue」エラーで失敗します。
Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.
このエラーコードは、SNMPが特異的であることに注意してください。 MIBモジュールは、SNMP以外のプロトコルで使用されている場合は、これらのプロトコルに固有の同じような意味を持つのエラーが返されるべきです。
If object midcomRuleOperStatus of the same entry has the value enabled(8), then this object indicates the enabled flow direction.
同じエントリーのオブジェクトmidcomRuleOperStatus(8)が有効値を有する場合、このオブジェクトは有効流れ方向を示しています。
If object midcomRuleOperStatus of the same entry has a
value other than newEntry(1), setting(2), reserved(7), or
enabled(8), then the value of this object is irrelevant."
DEFVAL { outbound }
::= { midcomRuleEntry 10 }
midcomRuleMaxIdleTime OBJECT-TYPE SYNTAX Unsigned32 UNITS "seconds" MAX-ACCESS read-create STATUS current DESCRIPTION "Maximum idle time of the policy rule in seconds.
midcomRuleMaxIdleTime OBJECT-TYPE構文Unsigned32 UNITSの「秒」MAX-ACCESSはリード作成しますステータス現在の説明は「秒の政策ルールの最大アイドル時間。
If no packet to which the policy rule applies passes the
middlebox for the specified midcomRuleMaxIdleTime, then
the policy rule enters the termination state timedOut(9).
A value of 0 indicates that the policy does not require an individual idle time and that instead, a default idle time chosen by the middlebox is used.
0の値は、ポリシーは、個々のアイドル時間を必要とする代わりに、ミドルボックスによって選択されたデフォルトのアイドル時間が使用されていることをしないことを示しています。
A value of 4294967295 ( = 2^32 - 1 ) indicates that the policy does not time out if it is idle.
4294967295(= 2 ^ 32から1)の値は、それがアイドル状態である場合、ポリシーがタイムアウトしないことを示しています。
This object is used as input to a request for establishing a policy enable rule as well as for indicating the properties of an established policy rule.
この目的は、ポリシーが確立されたポリシールールの特性を示すためだけでなく、ルールを有効に確立するための要求への入力として使用されます。
If object midcomRuleOperStatus of the same entry has a value of either newEntry(1), setting(2), or reserved(7), then this object can be written by a manager in order to specify a maximum idle time for the policy rule to be requested. Writing to this object in any state others than newEntry(1), setting(2), or reserved(7) will always fail with an 'inconsistentValue' error.
同じエントリーのオブジェクトmidcomRuleOperStatusが、newEntry(1)のいずれかの値を有し、(2)の設定、または予約した場合(7)、このオブジェクトはポリシー・ルールの最大アイドル時間を指定するために管理者によって記述することができ要求されます。 newEntry以外の任意の状態の他に、このオブジェクトへの書き込み(1)、(2)の設定、または予約(7)は、常に「はinconsistentValue」エラーで失敗します。
Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.
このエラーコードは、SNMPが特異的であることに注意してください。 MIBモジュールは、SNMP以外のプロトコルで使用されている場合は、これらのプロトコルに固有の同じような意味を持つのエラーが返されるべきです。
If object midcomRuleOperStatus of the same entry has the value enabled(8), then this object indicates the maximum idle time of the policy rule. Note that even if a maximum idle time greater than zero was requested, the middlebox may not be able to support maximum idle times and set the value of this object to zero when entering state enabled(8).
同じエントリーのオブジェクトmidcomRuleOperStatus(8)が有効値を有する場合、このオブジェクトは、ポリシールールの最大アイドル時間を示しています。最大アイドル時間ゼロより大きいが要求された場合でも、状態を入力すると、(8)有効にすると、ミドルボックスは、ゼロへのこのオブジェクトの値を最大アイドル時間をサポートし、設定することができないかもしれないことに留意されたいです。
If object midcomRuleOperStatus of the same entry has a
value other than newEntry(1), setting(2), reserved(7), or
enabled(8), then the value of this object is irrelevant."
DEFVAL { 0 }
::= { midcomRuleEntry 11 }
midcomRuleTransportProtocol OBJECT-TYPE SYNTAX Unsigned32 (0..255) MAX-ACCESS read-create STATUS current DESCRIPTION "The transport protocol.
midcomRuleTransportProtocolのOBJECT-TYPE構文Unsigned32(0 255)MAX-ACCESS読作成ステータス現在の説明「トランスポートプロトコル。
Valid values for midcomRuleTransportProtocol
other than zero are defined at:
http://www.iana.org/assignments/protocol-numbers
This object is used as input to a request for establishing a policy rule as well as for indicating the properties of an established policy rule.
このオブジェクトは、ポリシールールを確立するため、ならびに確立されたポリシールールの特性を示すための要求への入力として使用されます。
If object midcomRuleOperStatus of the same entry has a value of either newEntry(1) or setting(2), then this object can be written by a manager in order to specify a requested transport protocol. If translation of an IP address only is requested, then this object must have the default value 0. Writing to this object in any state other than newEntry(1) or setting(2) will always fail with an 'inconsistentValue' error.
同じエントリーのオブジェクトmidcomRuleOperStatusにnewEntry(1)又は(2)の設定のいずれかの値を有する場合、このオブジェクトは、要求された転送プロトコルを指定するために管理者によって記述することができます。 IPアドレスの変換のみを要求された場合、このオブジェクトは、(1)または(2)常にから「inconsistentValue」のエラーで失敗します設定newEntry以外の状態では、このオブジェクトにデフォルト値0の書き込みを持っている必要があります。
Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.
このエラーコードは、SNMPが特異的であることに注意してください。 MIBモジュールは、SNMP以外のプロトコルで使用されている場合は、これらのプロトコルに固有の同じような意味を持つのエラーが返されるべきです。
If object midcomRuleOperStatus of the same entry has the value reserved(7) or enabled(8), then this object indicates which transport protocol is enforced by this policy rule. A value of 0 indicates a rule acting on IP addresses only.
同じエントリーのオブジェクトmidcomRuleOperStatusが予約値を有する場合、(7)または有効(8)、このオブジェクトは、このポリシールールによって適用されるトランスポートプロトコルを示しています。 0の値は、IPアドレスのみに作用するルールを示します。
If object midcomRuleOperStatus of the same entry has a value other than newEntry(1), setting(2), reserved(7), or enabled(8), then the value of this object is irrelevant."
同じエントリーのオブジェクトmidcomRuleOperStatusにnewEntry(1)以外の値、設定がある場合(2)、リザーブ(7)、または有効(8)、このオブジェクトの値は無関係です。」
DEFVAL { 0 }
::= { midcomRuleEntry 12 }
midcomRulePortRange OBJECT-TYPE SYNTAX INTEGER { single(1), pair(2) } MAX-ACCESS read-create STATUS current DESCRIPTION "The range of port numbers.
midcomRulePortRangeのOBJECT-TYPE SYNTAX INTEGER {単一(1)対(2)} MAX-ACCESSリード作成ステータス現在の説明「ポート番号の範囲を。
This object is used as input to a request for establishing
a policy rule as well as for indicating the properties of
an established policy rule. It is relevant to the
operation of the MIDCOM-MIB implementation only if the
value of object midcomTransportProtocol in the same entry
has a value other than 0.
If object midcomRuleOperStatus of the same entry has the value newEntry(1) or setting(2), then this object can be written by a manager in order to specify the requested size of the port range. With single(1) just a single port number is requested, with pair(2) a consecutive pair of port numbers is requested with the lower number being even. Requesting a consecutive pair of port numbers may be used by RTP [RFC3550] and may even be required to support older RTP applications.
同じエントリーのオブジェクトmidcomRuleOperStatusが値newEntry(1)又は(2)の設定がある場合、このオブジェクトはポート範囲の要求されたサイズを指定するために管理者によって記述することができます。シングル(1)ただ1つのポート番号が要求されているとともに、一対の(2)のポート番号の連続した対は、より低い数が偶数であると要求しています。ポート番号の連続的なペアを要求すると、RTP [RFC3550]で使用することができ、さらに古いRTPアプリケーションをサポートするために必要とされ得ます。
Writing to this object in any state other than newEntry(1), setting(2) or reserved(7) will always fail with an 'inconsistentValue' error.
設定、newEntry(1)以外の状態では、このオブジェクトへの書き込み(2)または(7)は、常に「はinconsistentValue」エラーで失敗します保有。
Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.
このエラーコードは、SNMPが特異的であることに注意してください。 MIBモジュールは、SNMP以外のプロトコルで使用されている場合は、これらのプロトコルに固有の同じような意味を持つのエラーが返されるべきです。
If object midcomRuleOperStatus of the same entry has a value of either reserved(7) or enabled(8), then this object will have the value that it had before the transition to this state.
同じエントリーのオブジェクトmidcomRuleOperStatus(7)予約済みのいずれかの値を有するか、または有効にした場合(8)、このオブジェクトは、この状態に遷移する前に持っていた値を有することになります。
If object midcomRuleOperStatus of the same entry has a value other than newEntry(1), setting(2), reserved(7), or enabled(8), then the value of this object is irrelevant." DEFVAL { single }
同じエントリーのオブジェクトmidcomRuleOperStatusが、(1)newEntry以外の値を持っている(7)予約、(2)の設定、または許可されていれば(8)、このオブジェクトの値は無関係である。」DEFVAL {単一}
::= { midcomRuleEntry 13}
midcomRuleInternalIpVersion OBJECT-TYPE SYNTAX InetAddressType MAX-ACCESS read-create STATUS current DESCRIPTION "IP version of the internal address (A0) and the inside address (A1). Allowed values are ipv4(1), ipv6(2), ipv4z(3), and ipv6z(4).
midcomRuleInternalIpVersionのOBJECT-TYPE構文InetAddressType MAX-ACCESSリード作成ステータス現在の説明「内部アドレス(A0)及び内部アドレス(A1)のIPバージョン。許容値は、(1)は、ipv6(2)、ipv4z(3)はIPv4であります、及びipv6z(4)。
This object is used as input to a request for establishing
a policy rule as well as for indicating the properties of
an established policy rule.
If object midcomRuleOperStatus of the same entry has the value newEntry(1) or setting(2), then this object can be written by a manager in order to specify the IP version required at the inside of the middlebox. Writing to this object in any state other than newEntry(1) or setting(2) will always fail with an 'inconsistentValue' error.
同じエントリーのオブジェクトmidcomRuleOperStatusが値newEntry(1)又は(2)の設定がある場合、このオブジェクトは、ミドルボックスの内部で必要とIPバージョンを指定するために管理者によって記述することができます。 newEntry以外の任意の状態で、このオブジェクトへの書き込み(1)または設定(2)常にから「inconsistentValue」エラーで失敗します。
Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.
このエラーコードは、SNMPが特異的であることに注意してください。 MIBモジュールは、SNMP以外のプロトコルで使用されている場合は、これらのプロトコルに固有の同じような意味を持つのエラーが返されるべきです。
If object midcomRuleOperStatus of the same entry has the value reserved(7) or enabled(8), then this object indicates the internal/inside IP version.
同じエントリーのオブジェクトmidcomRuleOperStatusが予約値を有する場合、(7)または有効(8)、このオブジェクトはIPバージョン内側/内部を示しています。
If object midcomRuleOperStatus of the same entry has a
value other than newEntry(1), setting(2), reserved(7), or
enabled(8), then the value of this object is irrelevant."
DEFVAL { ipv4 }
::= { midcomRuleEntry 14 }
midcomRuleExternalIpVersion OBJECT-TYPE SYNTAX InetAddressType MAX-ACCESS read-create STATUS current DESCRIPTION "IP version of the external address (A3) and the outside address (A2). Allowed values are ipv4(1) and ipv6(2).
midcomRuleExternalIpVersionのOBJECT-TYPE構文InetAddressType MAX-ACCESSリード作成外部アドレス(A3)と外部アドレス(A2)のステータス現在の説明「IPバージョン。可能な値は、IPv4である(1)およびIPv6(2)。
This object is used as input to a request for establishing
a policy rule as well as for indicating the properties of
an established policy rule.
If object midcomRuleOperStatus of the same entry has the value newEntry(1) or setting(2), then this object can be written by a manager in order to specify the IP version required at the outside of the middlebox. Writing to this object in any state other than newEntry(1) or setting(2) will always fail with an 'inconsistentValue' error. Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.
同じエントリーのオブジェクトmidcomRuleOperStatusが値newEntry(1)又は(2)の設定がある場合、このオブジェクトは、ミドルボックスの外部に必要なIPのバージョンを指定するために管理者によって記述することができます。 newEntry以外の任意の状態で、このオブジェクトへの書き込み(1)または設定(2)常にから「inconsistentValue」エラーで失敗します。このエラーコードは、SNMPが特異的であることに注意してください。 MIBモジュールは、SNMP以外のプロトコルで使用されている場合は、これらのプロトコルに固有の同じような意味を持つのエラーが返されるべきです。
If object midcomRuleOperStatus of the same entry has the value reserved(7) or enabled(8), then this object indicates the external/outside IP version.
同じエントリーのオブジェクトmidcomRuleOperStatusが予約値を有する場合、(7)または有効(8)、このオブジェクトは、外部/外部IPバージョンを示しています。
If object midcomRuleOperStatus of the same entry has a
value other than newEntry(1), setting(2), reserved(7) or
enabled(8), then the value of this object is irrelevant."
DEFVAL { ipv4 }
::= { midcomRuleEntry 15 }
midcomRuleInternalIpAddr OBJECT-TYPE SYNTAX InetAddress MAX-ACCESS read-create STATUS current DESCRIPTION "The internal IP address (A0).
midcomRuleInternalIpAddrのOBJECT-TYPE構文InetAddress MAX-ACCESSはリード作成しますステータス現在の説明「内部IPアドレス(A0)を。
This object is used as input to a request for establishing
a policy rule as well as for indicating the properties of
an established policy rule.
If object midcomRuleOperStatus of the same entry has the value newEntry(1) or setting(2), then this object can be written by a manager in order to specify the internal IP address for which a reserve policy rule or a enable policy rule is requested to be established. Writing to this object in any state other than newEntry(1) or setting(2) will always fail with an 'inconsistentValue' error. Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.
同じエントリーのオブジェクトmidcomRuleOperStatusの値を有する場合newEntry(1)又は(2)、このオブジェクトは、予約ポリシールールまたは有効ポリシールールが要求された内部IPアドレスを指定するために管理者によって書かれた可能な設定確立します。 newEntry以外の任意の状態で、このオブジェクトへの書き込み(1)または設定(2)常にから「inconsistentValue」エラーで失敗します。このエラーコードは、SNMPが特異的であることに注意してください。 MIBモジュールは、SNMP以外のプロトコルで使用されている場合は、これらのプロトコルに固有の同じような意味を持つのエラーが返されるべきです。
If object midcomRuleOperStatus of the same entry has the value reserved(7) or enabled(8), then this object will have the value which it had before the transition to this state.
同じエントリーのオブジェクトmidcomRuleOperStatusは、(7)または有効(8)、このオブジェクトは、それがこの状態に遷移する前の値を有するであろう予約値を持つ場合。
If object midcomRuleOperStatus of the same entry has a
value other than newEntry(1), setting(2), reserved(7) or
enabled(8), then the value of this object is irrelevant."
::= { midcomRuleEntry 16 }
midcomRuleInternalIpPrefixLength OBJECT-TYPE SYNTAX InetAddressPrefixLength MAX-ACCESS read-create STATUS current DESCRIPTION "The prefix length of the internal IP address used for wildcarding. A value of 0 indicates a full wildcard; in this case, the value of midcomRuleInternalIpAddr is irrelevant. If midcomRuleInternalIpVersion has a value of ipv4(1), then a value > 31 indicates no wildcarding at all. If midcomRuleInternalIpVersion has a value of ipv4(2), then a value > 127 indicates no wildcarding at all. A MIDCOM-MIB implementation that does not support IP address wildcarding MUST implement this object as read-only with a value of 128. A MIDCOM that does not support wildcarding based on prefix length MAY restrict allowed values for this object to 0 and 128.
midcomRuleInternalIpPrefixLength OBJECT-TYPE構文InetAddressPrefixLength MAX-ACCESS読作成ステータス現在の説明「ワイルドカードに使用される内部IPアドレスのプレフィックス長を0の値は、完全なワイルドカードを示し、この場合、midcomRuleInternalIpAddrの値は無関係であるmidcomRuleInternalIpVersion場合。 IPv4の(1)の値は、その値が> 31は全くワイルドカードを示していない。midcomRuleInternalIpVersionは、IPv4の値がある場合(2)、その値が> 127は全くワイルドカードがないことを示す。れないMIDCOM-MIB実装読み取り専用としてサポートIPアドレスワイルドカードは、プレフィックス長に基づいて、ワイルドカードをサポートしていないMIDCOMは、0と128へのこのオブジェクトの許容値を制限してもよい128の値と、このオブジェクトを実装しなければなりません。
This object is used as input to a request for establishing
a policy rule as well as for indicating the properties of
an established policy rule.
If object midcomRuleOperStatus of the same entry has the value newEntry(1) or setting(2), then this object can be written by a manager in order to specify the prefix length of the internal IP address for which a reserve policy rule or an enable policy rule is requested to be established. Writing to this object in any state other than newEntry(1) or setting(2) will always fail with an 'inconsistentValue' error.
同じエントリーのオブジェクトmidcomRuleOperStatusが値newEntry(1)又は(2)の設定がある場合、このオブジェクトは、予約ポリシールールまたは有効にするための内部IPアドレスのプレフィックス長を指定するために管理者によって記述することができポリシールールを確立することが要求されます。 newEntry以外の任意の状態で、このオブジェクトへの書き込み(1)または設定(2)常にから「inconsistentValue」エラーで失敗します。
Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.
このエラーコードは、SNMPが特異的であることに注意してください。 MIBモジュールは、SNMP以外のプロトコルで使用されている場合は、これらのプロトコルに固有の同じような意味を持つのエラーが返されるべきです。
If object midcomRuleOperStatus of the same entry has the value reserved(7) or enabled(8), then this object will have the value which it had before the transition to this state.
同じエントリーのオブジェクトmidcomRuleOperStatusは、(7)または有効(8)、このオブジェクトは、それがこの状態に遷移する前の値を有するであろう予約値を持つ場合。
If object midcomRuleOperStatus of the same entry has a
value other than newEntry(1), setting(2), reserved(7), or
enabled(8), then the value of this object is irrelevant."
DEFVAL { 128 }
::= { midcomRuleEntry 17 }
midcomRuleInternalPort OBJECT-TYPE SYNTAX InetPortNumber MAX-ACCESS read-create STATUS current DESCRIPTION "The internal port number. A value of 0 is a wildcard.
midcomRuleInternalPort OBJECT-TYPE SYNTAX InetPortNumber MAX-ACCESSリード作成ステータス現在の説明「内部ポート番号0の値がワイルドカードです。
This object is used as input to a request for establishing
a policy rule as well as for indicating the properties of
an established policy rule. It is relevant to the
operation of the MIDCOM-MIB implementation only if the
value of object midcomTransportProtocol in the same entry
has a value other than 0.
If object midcomRuleOperStatus of the same entry has the value newEntry(1) or setting(2), then this object can be written by a manager in order to specify the internal port number for which a reserve policy rule or an enable policy rule is requested to be established. Writing to this object in any state other than newEntry(1) or setting(2) will always fail with an 'inconsistentValue' error.
同じエントリーのオブジェクトmidcomRuleOperStatusが(1)の値newEntryを有するか、または(2)を設定する場合、このオブジェクトは、予約ポリシールールの内部ポート番号を指定するために管理者によって記述することができ、または有効ポリシールールが要求され確立します。 newEntry以外の任意の状態で、このオブジェクトへの書き込み(1)または設定(2)常にから「inconsistentValue」エラーで失敗します。
Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.
このエラーコードは、SNMPが特異的であることに注意してください。 MIBモジュールは、SNMP以外のプロトコルで使用されている場合は、これらのプロトコルに固有の同じような意味を持つのエラーが返されるべきです。
If object midcomRuleOperStatus of the same entry has the value reserved(7) or enabled(8), then this object will have the value that it had before the transition to this state.
同じエントリーのオブジェクトmidcomRuleOperStatusが予約値(7)またはを有する場合に有効(8)、このオブジェクトは、それがこの状態に遷移する前に持っていた値を有することになります。
If object midcomRuleOperStatus of the same entry has a
value other than newEntry(1), setting(2), reserved(7), or
enabled(8), then the value of this object is irrelevant."
DEFVAL { 0 }
::= { midcomRuleEntry 18 }
midcomRuleExternalIpAddr OBJECT-TYPE SYNTAX InetAddress MAX-ACCESS read-create STATUS current
midcomRuleExternalIpAddrのOBJECT-TYPE構文InetAddress MAX-ACCESSはリード作成しますステータス現在
DESCRIPTION
"The external IP address (A3).
This object is used as input to a request for establishing
a policy rule as well as for indicating the properties of
an established policy rule.
If object midcomRuleOperStatus of the same entry has the value newEntry(1), setting(2), or reserved(7), then this object can be written by a manager in order to specify the external IP address for which an enable policy rule is requested to be established. Writing to this object in any state other than newEntry(1), setting(2), or reserved(7) will always fail with an 'inconsistentValue' error.
同じエントリーのオブジェクトmidcomRuleOperStatusが値newEntry(1)、(7)(2)の設定、または予約がある場合、このオブジェクトは有効ポリシールールがあるため、外部IPアドレスを指定するために管理者によって記述することができ確立することが要求されました。 newEntry以外の状態では、このオブジェクトへの書き込み(1)、(2)の設定、または予約(7)は、常に「はinconsistentValue」エラーで失敗します。
Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.
このエラーコードは、SNMPが特異的であることに注意してください。 MIBモジュールは、SNMP以外のプロトコルで使用されている場合は、これらのプロトコルに固有の同じような意味を持つのエラーが返されるべきです。
If object midcomRuleOperStatus of the same entry has the value enabled(8), then this object will have the value that it had before the transition to this state.
同じエントリーのオブジェクトmidcomRuleOperStatusが値が有効になっている場合には(8)、このオブジェクトは、それがこの状態への遷移の前に持っていた価値を持つことになります。
If object midcomRuleOperStatus of the same entry has a
value other than newEntry(1), setting(2), reserved(7), or
enabled(8), then the value of this object is irrelevant."
::= { midcomRuleEntry 19 }
midcomRuleExternalIpPrefixLength OBJECT-TYPE SYNTAX InetAddressPrefixLength MAX-ACCESS read-create STATUS current DESCRIPTION "The prefix length of the external IP address used for wildcarding. A value of 0 indicates a full wildcard; in this case, the value of midcomRuleExternalIpAddr is irrelevant. If midcomRuleExternalIpVersion has a value of ipv4(1), then a value > 31 indicates no wildcarding at all. If midcomRuleExternalIpVersion has a value of ipv4(2), then a value > 127 indicates no wildcarding at all. A MIDCOM-MIB implementation that does not support IP address wildcarding MUST implement this object as read-only with a value of 128. A MIDCOM that does not support wildcarding based on prefix length MAY restrict allowed values for this object to 0 and 128.
midcomRuleExternalIpPrefixLength OBJECT-TYPE構文InetAddressPrefixLength MAX-ACCESS読作成ステータス現在の説明「ワイルドカードに使用される外部IPアドレスのプレフィックス長を0の値は、完全なワイルドカードを示し、この場合、midcomRuleExternalIpAddrの値は無関係であるmidcomRuleExternalIpVersion場合。 IPv4の(1)の値は、その値が> 31は全くワイルドカードを示していない。midcomRuleExternalIpVersionは、IPv4の値がある場合(2)、その値が> 127は全くワイルドカードがないことを示す。れないMIDCOM-MIB実装読み取り専用としてサポートIPアドレスワイルドカードは、プレフィックス長に基づいて、ワイルドカードをサポートしていないMIDCOMは、0と128へのこのオブジェクトの許容値を制限してもよい128の値と、このオブジェクトを実装しなければなりません。
This object is used as input to a request for establishing a policy rule as well as for indicating the properties of
an established policy rule.
If object midcomRuleOperStatus of the same entry has the value newEntry(1), setting(2), or reserved(7), then this object can be written by a manager in order to specify the prefix length of the external IP address for which an enable policy rule is requested to be established. Writing to this object in any state other than newEntry(1), setting(2), or reserved(7) will always fail with an 'inconsistentValue' error.
同じエントリーのオブジェクトmidcomRuleOperStatusにnewEntry(1)、(2)の設定、または予約(7)、このオブジェクトは、AN用の外部IPアドレスのプレフィックス長を指定するために管理者によって記述することができる値を有する場合有効ポリシールールを確立することが要求されます。 newEntry以外の状態では、このオブジェクトへの書き込み(1)、(2)の設定、または予約(7)は、常に「はinconsistentValue」エラーで失敗します。
Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.
このエラーコードは、SNMPが特異的であることに注意してください。 MIBモジュールは、SNMP以外のプロトコルで使用されている場合は、これらのプロトコルに固有の同じような意味を持つのエラーが返されるべきです。
If object midcomRuleOperStatus of the same entry has the value enabled(8), then this object will have the value that it had before the transition to this state.
同じエントリーのオブジェクトmidcomRuleOperStatusが値が有効になっている場合には(8)、このオブジェクトは、それがこの状態への遷移の前に持っていた価値を持つことになります。
If object midcomRuleOperStatus of the same entry has a
value other than newEntry(1), setting(2), reserved(7), or
enabled(8), then the value of this object is irrelevant."
DEFVAL { 128 }
::= { midcomRuleEntry 20 }
midcomRuleExternalPort OBJECT-TYPE SYNTAX InetPortNumber MAX-ACCESS read-create STATUS current DESCRIPTION "The external port number. A value of 0 is a wildcard.
midcomRuleExternalPort OBJECT-TYPE SYNTAX InetPortNumber MAX-ACCESSリード作成ステータス現在の説明「外部ポート番号0の値がワイルドカードです。
This object is used as input to a request for establishing
a policy rule as well as for indicating the properties of
an established policy rule. It is relevant to the
operation of the MIDCOM-MIB implementation only if the
value of object midcomTransportProtocol in the same entry
has a value other than 0.
If object midcomRuleOperStatus of the same entry has the value newEntry(1), setting(2) or reserved(7), then this object can be written by a manager in order to specify the external port number for which an enable policy rule is requested to be established. Writing to this object in any state other than newEntry(1), setting(2) or reserved(7) will always fail with an 'inconsistentValue' error.
同じエントリーのオブジェクトmidcomRuleOperStatusが値newEntry(1)、(7)(2)の設定または予約がある場合、このオブジェクトは有効ポリシールールが要求されている外部ポート番号を指定するために管理者によって記述することができ確立します。設定、newEntry(1)以外の状態では、このオブジェクトへの書き込み(2)または(7)は、常に「はinconsistentValue」エラーで失敗します保有。
Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.
このエラーコードは、SNMPが特異的であることに注意してください。 MIBモジュールは、SNMP以外のプロトコルで使用されている場合は、これらのプロトコルに固有の同じような意味を持つのエラーが返されるべきです。
If object midcomRuleOperStatus of the same entry has the value enabled(8), then this object will have the value which it had before the transition to this state.
同じエントリーのオブジェクトmidcomRuleOperStatusが値が有効になっている場合には(8)、このオブジェクトは、それがこの状態への遷移前の値を持つことになります。
If object midcomRuleOperStatus of the same entry has a
value other than newEntry(1), setting(2), reserved(7) or
enabled(8), then the value of this object is irrelevant."
DEFVAL { 0 }
::= { midcomRuleEntry 21 }
midcomRuleInsideIpAddr OBJECT-TYPE SYNTAX InetAddress MAX-ACCESS read-only STATUS current DESCRIPTION "The inside IP address at the middlebox (A1).
midcomRuleInsideIpAddrのOBJECT-TYPE構文InetAddress MAX-ACCESS read-onlyステータス現在の説明「ミドルでの内部IPアドレス(A1)。
The value of this object is relevant only if
object midcomRuleOperStatus of the same entry has
a value of either reserved(7) or enabled(8)."
::= { midcomRuleEntry 22 }
midcomRuleInsidePort OBJECT-TYPE SYNTAX InetPortNumber MAX-ACCESS read-only STATUS current DESCRIPTION "The inside port number at the middlebox. A value of 0 is a wildcard.
midcomRuleInsidePortのOBJECT-TYPE SYNTAX InetPortNumber MAX-ACCESS read-only説明「ミドルにおける内部ポート番号0の値がワイルドカードです。
The value of this object is relevant only if
object midcomRuleOperStatus of the same entry has
a value of either reserved(7) or enabled(8)."
::= { midcomRuleEntry 23 }
midcomRuleOutsideIpAddr OBJECT-TYPE SYNTAX InetAddress MAX-ACCESS read-only STATUS current DESCRIPTION "The outside IP address at the middlebox (A2).
midcomRuleOutsideIpAddrのOBJECT-TYPE構文InetAddress MAX-ACCESS read-onlyステータス現在の説明「ミドル(A2)の外のIPアドレス。
The value of this object is relevant only if object midcomRuleOperStatus of the same entry has
a value of either reserved(7) or enabled(8)."
::= { midcomRuleEntry 24 }
midcomRuleOutsidePort OBJECT-TYPE SYNTAX InetPortNumber MAX-ACCESS read-only STATUS current DESCRIPTION "The outside port number at the middlebox. A value of 0 is a wildcard.
midcomRuleOutsidePortのOBJECT-TYPE SYNTAX InetPortNumber MAX-ACCESS read-only説明「ミドルにおける外部ポート番号0の値がワイルドカードです。
The value of this object is relevant only if
object midcomRuleOperStatus of the same entry has
a value of either reserved(7) or enabled(8)."
::= { midcomRuleEntry 25 }
midcomRuleLifetime OBJECT-TYPE SYNTAX Unsigned32 UNITS "seconds" MAX-ACCESS read-create STATUS current DESCRIPTION "The remaining lifetime in seconds of this policy rule.
midcomRuleLifetimeのOBJECT-TYPE構文Unsigned32 UNITSの「秒」MAX-ACCESS読み取りと書き込みステータス現在の説明は「この政策ルールの秒の残りの寿命を。
Lifetime of a policy rule starts when object
midcomRuleOperStatus in the same entry enters either
state reserved(7) or state enabled(8).
This object is used as input to a request for establishing a policy rule as well as for indicating the properties of an established policy rule.
このオブジェクトは、ポリシールールを確立するため、ならびに確立されたポリシールールの特性を示すための要求への入力として使用されます。
If object midcomRuleOperStatus of the same entry has a value of either newEntry(1) or setting(2), then this object can be written by a manager in order to specify the requested lifetime of a policy rule to be established.
同じエントリーのオブジェクトmidcomRuleOperStatusにnewEntry(1)又は(2)の設定のいずれかの値を有する場合、このオブジェクトは、確立されるポリシールールの要求された寿命を指定するために管理者によって記述することができます。
If object midcomRuleOperStatus of the same entry has a value of either reserved(7) or enabled(8), then this object indicates the (continuously decreasing) remaining lifetime of the established policy rule. Note that when entering state reserved(7) or enabled(8), the MIDCOM-MIB implementation can choose a lifetime shorter than the one requested.
同じエントリーのオブジェクトmidcomRuleOperStatus(7)予約済みのいずれかの値を有するか、または有効にした場合(8)、このオブジェクトは、確立されたポリシールールの(連続的に減少)残りの寿命を示します。状態は予約入る(7)または有効な場合(8)、MIDCOM-MIB実装が要求されたものよりも短い寿命を選ぶことができることに注意してください。
Unlike other parameters of the policy rule, this parameter can still be written in state reserved(7) and enabled(8).
ポリシールールの他のパラメータとは異なり、このパラメータは、静止状態に予約(7)で記述されており、(8)を有効にすることができます。
Writing to this object is processed by the MIDCOM-MIB implementation by choosing a lifetime value that is greater than 0 and less than or equal to the minimum of the requested value and the value specified by object midcomConfigMaxLifetime:
このオブジェクトへの書き込みが要求された値とオブジェクトmidcomConfigMaxLifetimeによって指定された値の最小値を0より大きく、以下であるライフタイム値を選択してMIDCOM-MIB実装によって処理されます。
0 <= lt_granted <= MINIMUM(lt_requested, lt_maximum)
0 <= lt_granted <=最小値(lt_requested、lt_maximum)
where: - lt_granted is the actually granted lifetime by the MIDCOM-MIB implementation - lt_requested is the requested lifetime of the MIDCOM client - lt_maximum is the value of object midcomConfigMaxLifetime
場所: - lt_requested MIDCOMクライアントの要求寿命である - - lt_grantedはMIDCOM-MIB実装によって実際に付与された寿命があるlt_maximumは、オブジェクトmidcomConfigMaxLifetimeの値であり、
SNMP SET requests to this object may be rejected or the value of the object after an accepted SET operation may be less than the value that was contained in the SNMP SET request.
このオブジェクトへのSNMP SET要求は拒否されてもよいし、受け付けたSET操作後のオブジェクトの値は、SNMP SET要求に含まれていた値よりも小さくてもよいです。
Successfully writing a value of 0 terminates the policy rule. Note that after a policy rule is terminated, still the entry will exist as long as indicated by the value of midcomRuleStorageTime.
首尾よく0の値を書き込むと、ポリシールールを終了します。ポリシールールが終了した後、まだエントリは限りmidcomRuleStorageTimeの値で示されるように存在することに注意してください。
Writing to this object in any state other than newEntry(1), setting(2), reserved(7), or enabled(7) will always fail with an 'inconsistentValue' error.
newEntry以外の状態では、このオブジェクトへの書き込み(1)、(2)の設定、(7)予約、または有効(7)は、常に「はinconsistentValue」エラーで失敗します。
Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.
このエラーコードは、SNMPが特異的であることに注意してください。 MIBモジュールは、SNMP以外のプロトコルで使用されている場合は、これらのプロトコルに固有の同じような意味を持つのエラーが返されるべきです。
If object midcomRuleOperStatus of the same entry has a
value other than newEntry(1), setting(2), reserved(7), or
enabled(8), then the value of this object is irrelevant."
DEFVAL { 180 }
::= { midcomRuleEntry 26 }
midcomRuleRowStatus OBJECT-TYPE SYNTAX RowStatus MAX-ACCESS read-create STATUS current DESCRIPTION "A control that allows entries to be added and removed from this table.
midcomRuleRowStatusのOBJECT-TYPE構文RowStatus MAX-ACCESSリード作成ステータス現在の説明「エントリが追加され、このテーブルから削除されることを可能にする制御。
Entries can also be removed from this table by setting
objects midcomRuleLifetime and midcomRuleStorageTime of
an entry to 0.
Attempts to set a row notInService(2) where the value of the midcomRuleStorageType object is permanent(4) or readOnly(5) will result in an 'notWritable' error.
行のnotInService(2)midcomRuleStorageTypeオブジェクトの値が永久的である(4)または読み取り専用(5)「notWritable」エラーになりますを設定しよう。
Note that this error code is SNMP specific. If the MIB module is used with other protocols than SNMP, errors with similar semantics specific to those protocols should be returned.
このエラーコードは、SNMPが特異的であることに注意してください。 MIBモジュールは、SNMP以外のプロトコルで使用されている場合は、これらのプロトコルに固有の同じような意味を持つのエラーが返されるべきです。
The value of this object has no effect on whether other
objects in this conceptual row can be modified."
::= { midcomRuleEntry 27 }
-- -- Policy rule group subtree -- -- The midcomGroupTable lists all current policy rule groups. --
- - ポリシールールグループサブツリー - - midcomGroupTableは、現在のすべてのポリシー・ルール・グループが一覧表示されます。 -
midcomGroupTable OBJECT-TYPE SYNTAX SEQUENCE OF MidcomGroupEntry MAX-ACCESS not-accessible STATUS current DESCRIPTION "This table lists all current policy rule groups.
MidcomGroupEntry MAX-ACCESSステータス現在の説明は「このテーブルはすべてリスト現在のポリシールール群のmidcomGroupTable OBJECT-TYPE構文配列。
Entries in this table are created or removed
implicitly when entries in the midcomRuleTable are
created or removed, respectively. A group entry
in this table only exists as long as there are
member rules of this group in the midcomRuleTable.
The table serves for listing the existing groups and their remaining lifetimes and for changing lifetimes of groups and implicitly of all group members. Groups and all their member policy rules can only be deleted by deleting all member policies in the midcomRuleTable.
テーブルには、既存のグループとそれらの残りの寿命をリストすると、グループの寿命を変更すると、暗黙的にすべてのグループメンバーのために働きます。グループとそのすべてのメンバポリシールールはmidcomRuleTableのすべてのメンバーのポリシーを削除することにより削除することができます。
Setting midcomGroupLifetime will result in setting
the lifetime of all policy members to the same value."
::= { midcomTransaction 4 }
midcomGroupEntry OBJECT-TYPE
midcomGroupEntryのOBJECT-TYPE
SYNTAX MidcomGroupEntry
MAX-ACCESS not-accessible
STATUS current
DESCRIPTION
"An entry describing properties of a particular
MIDCOM policy rule group."
INDEX { midcomRuleOwner, midcomGroupIndex }
::= { midcomGroupTable 1 }
MidcomGroupEntry ::= SEQUENCE {
midcomGroupIndex Unsigned32,
midcomGroupLifetime Unsigned32
}
midcomGroupIndex OBJECT-TYPE SYNTAX Unsigned32 (1..4294967295) MAX-ACCESS not-accessible STATUS current DESCRIPTION "The index of this group for the midcomRuleOwner. A group is identified by the combination of midcomRuleOwner and midcomGroupIndex.
midcomGroupIndex OBJECT-TYPE構文Unsigned32(1 4294967295)MAX-ACCESSステータス現在の説明「midcomRuleOwnerため、このグループのインデックスグループはmidcomRuleOwnerとmidcomGroupIndexの組み合わせによって識別されます。
The value of this index must be unique per
midcomRuleOwner."
::= { midcomGroupEntry 2 }
midcomGroupLifetime OBJECT-TYPE SYNTAX Unsigned32 UNITS "seconds" MAX-ACCESS read-write STATUS current DESCRIPTION "When retrieved, this object delivers the maximum lifetime in seconds of all member rules of this group, i.e., of all rows in the midcomRuleTable that have the same values for midcomRuleOwner and midcomGroupIndex.
持っているmidcomRuleTableのすべての行のmidcomGroupLifetime OBJECT-TYPE構文Unsigned32 UNITSの「秒」MAX-ACCESS読み取りと書き込みステータス現在の説明「取得した場合、このオブジェクトはすなわち、このグループのすべてのメンバー規則の秒単位で最大寿命を実現し、 midcomRuleOwnerとmidcomGroupIndexに同じ値。
Successfully writing to this object modifies the
lifetime of all member policies. Successfully
writing a value of 0 terminates all member policies
and implicitly deletes the group as soon as all member
entries are removed from the midcomRuleTable.
Note that after a group's lifetime is expired or is set to 0, still the corresponding entry in the midcomGroupTable will exist as long as terminated member policy rules are stored as entries in the midcomRuleTable.
グループの寿命が期限切れであるか、または0に設定されている後に終了部材ポリシールールがmidcomRuleTableにエントリとして格納されているように、依然としてmidcomGroupTable内の対応するエントリがあれば存在することに留意されたいです。
Writing to this object is processed by the MIDCOM-MIB implementation by choosing a lifetime value that is greater than 0 and less than or equal to the minimum of the requested value and the value specified by object midcomConfigMaxLifetime:
このオブジェクトへの書き込みが要求された値とオブジェクトmidcomConfigMaxLifetimeによって指定された値の最小値を0より大きく、以下であるライフタイム値を選択してMIDCOM-MIB実装によって処理されます。
0 <= lt_granted <= MINIMUM(lt_requested, lt_maximum)
0 <= lt_granted <=最小値(lt_requested、lt_maximum)
where: - lt_granted is the actually granted lifetime by the MIDCOM-MIB implementation - lt_requested is the requested lifetime of the MIDCOM client - lt_maximum is the value of object midcomConfigMaxLifetime
場所: - lt_requested MIDCOMクライアントの要求寿命である - - lt_grantedはMIDCOM-MIB実装によって実際に付与された寿命があるlt_maximumは、オブジェクトmidcomConfigMaxLifetimeの値であり、
SNMP SET requests to this object may be rejected or the
value of the object after an accepted SET operation may be
less than the value that was contained in the SNMP SET
request."
::= { midcomGroupEntry 3 }
-- -- Configuration Objects -- -- Configuration objects that can be used for retrieving -- middlebox capability information (mandatory) and for -- setting parameters of the implementation of transaction -- objects (optional). -- -- Note that typically configuration objects are not intended -- to be written by MIDCOM clients. In general, write access -- to these objects needs to be restricted more strictly than -- write access to transaction objects. --
検索するために使用することができる構成オブジェクト - - - - 設定オブジェクト - ミドル能力情報(必須)とのための - オブジェクト(オプション) - トランザクションの実装のパラメータを設定します。 - - 一般的な構成オブジェクトが意図されていない注 - MIDCOMクライアントによって書き込まれます。一般的には、書き込みアクセスを - トランザクションオブジェクトへのアクセスを書く - これらのオブジェクトをより厳密に比べて制限する必要があります。 -
-- -- Capabilities subtree -- -- This subtree contains objects to which MIDCOM clients should -- have read access. --
- - 機能サブツリー - - 読み取りアクセス権を持っている - このサブツリーには、MIDCOMクライアントがなければならないためのオブジェクトが含まれています。 -
midcomConfigMaxLifetime OBJECT-TYPE SYNTAX Unsigned32 UNITS "seconds"
midcomConfigMaxLifetimeのOBJECT-TYPE構文Unsigned32 UNITSの "秒"
MAX-ACCESS read-write
STATUS current
DESCRIPTION
"When retrieved, this object returns the maximum lifetime,
in seconds, that this middlebox allows policy rules to
have."
::= { midcomConfig 1 }
midcomConfigPersistentRules OBJECT-TYPE SYNTAX TruthValue MAX-ACCESS read-write STATUS current DESCRIPTION "When retrieved, this object returns true(1) if the MIDCOM-MIB implementation can store policy rules persistently. Otherwise, it returns false(2).
midcomConfigPersistentRules OBJECT-TYPEの構文のTruthValue MAX-ACCESS読み取りと書き込みステータス現在の説明「検索する場合、このオブジェクトがtrueを返す(1)MIDCOM-MIB実装は、持続ポリシールールを格納することができる場合。そうでない場合は、(2)がfalseを返します。
A value of true(1) indicates that there may be
entries in the midcomRuleTable with object
midcomRuleStorageType set to value nonVolatile(3)."
::= { midcomConfig 2 }
midcomConfigIfTable OBJECT-TYPE SYNTAX SEQUENCE OF MidcomConfigIfEntry MAX-ACCESS not-accessible STATUS current DESCRIPTION "This table indicates capabilities of the MIDCOM-MIB implementation per IP interface.
MidcomConfigIfEntry MAX-ACCESSステータス現在の説明のmidcomConfigIfTable OBJECT-TYPE構文配列は「この表のIPインターフェイスごとMIDCOM-MIBの実装の機能を示します。
The table is indexed by the object midcomConfigIfIndex.
テーブルは、オブジェクトmidcomConfigIfIndexによってインデックスされます。
For indexing a single interface, this object contains
the value of the ifIndex object that is associated
with the interface. If an entry with
midcomConfigIfIndex = 0 occurs, then bits set in
objects of this entry apply to all interfaces for which
there is no entry in this table with the interface's
index."
::= { midcomConfig 3 }
midcomConfigIfEntry OBJECT-TYPE SYNTAX MidcomConfigIfEntry MAX-ACCESS not-accessible STATUS current DESCRIPTION "An entry describing the capabilities of a middlebox with respect to the indexed IP interface."
midcomConfigIfEntry OBJECT-TYPE構文MidcomConfigIfEntry MAX-ACCESSステータス現在の説明は「インデックス付きのIPインターフェイスに対してミドルボックスの機能を記述エントリ」。
INDEX { midcomConfigIfIndex }
::= { midcomConfigIfTable 1 }
MidcomConfigIfEntry ::= SEQUENCE {
midcomConfigIfIndex InterfaceIndexOrZero,
midcomConfigIfBits BITS,
midcomConfigIfEnabled TruthValue
}
midcomConfigIfIndex OBJECT-TYPE SYNTAX InterfaceIndexOrZero MAX-ACCESS not-accessible STATUS current DESCRIPTION "The index of an entry in the midcomConfigIfTable.
midcomConfigIfIndexのOBJECT-TYPE SYNTAX InterfaceIndexOrZeroのMAX-ACCESSステータス現在の説明「midcomConfigIfTableのエントリのインデックス。
For values different from zero, this object
identifies an IP interface by containing the same
value as the ifIndex object associated with the
interface.
Note that the index of a particular interface in the ifTable may change after a re-initialization of the middlebox, for example, after adding another interface to it. In such a case, the value of this object may change, but the interface referred to by the MIDCOM-MIB MUST still be the same. If, after a re-initialization of the middlebox, the interface referred to before re-initialization cannot be uniquely mapped anymore to a particular entry in the ifTable, then the value of object midcomConfigIfEnabled of the same entry MUST be changed to false(2).
ifTableの特定のインタフェースのインデックスはそれに別のインタフェースを追加した後、例えば、ミドルの再初期化後に変更することができることに留意されたいです。このような場合に、このオブジェクトの値を変更してもよいが、MIDCOM-MIBで参照されるインターフェースは同じでなければなりません。ミドルボックスの再初期化の後、再初期化が一意ifTableの特定のエントリにもはやマッピングすることができない前に呼ばれるインタフェースは、同じエントリのオブジェクトmidcomConfigIfEnabledの値がfalseに変更する必要があり、場合(2) 。
If the object has a value of 0, then values
specified by further objects of the same entry
apply to all interfaces for which there is no
explicit entry in the midcomConfigIfTable."
::= { midcomConfigIfEntry 1 }
midcomConfigIfBits OBJECT-TYPE SYNTAX BITS { ipv4(0), ipv6(1), addressWildcards(2), portWildcards(3), firewall(4), nat(5), portTranslation(6), protocolTranslation(7), twiceNat(8), inside(9) } MAX-ACCESS read-only STATUS current DESCRIPTION "When retrieved, this object returns a set of bits indicating the capabilities (or configuration) of the middlebox with respect to the referenced IP interface. If the index equals 0, then all set bits apply to all interfaces.
midcomConfigIfBits OBJECT-TYPE構文BITS {IPv4の(0)、IPv6の(1)、addressWildcards(2)、portWildcards(3)、ファイアウォール(4)、NAT(5)、portTranslation(6)、protocolTranslation(7)、twiceNat(8参照IPインターフェースに対するミドルボックスの)、内部(9)} MAX-ACCESS read-only説明「検索する場合、このオブジェクトは、機能(または構成を示すビットのセットを返す)。インデックスが0に等しい場合、すべての組のビットがすべてのインターフェイスに適用されます。
If the ipv4(0) bit is set, then the middlebox supports
IPv4 at the indexed IP interface.
If the ipv6(1) bit is set, then the middlebox supports IPv6 at the indexed IP interface.
IPv6の(1)ビットが設定されている場合、ミドルボックスは、インデックス付きのIPインターフェイスでIPv6をサポートしています。
If the addressWildcards(2) bit is set, then the middlebox supports IP address wildcarding at the indexed IP interface.
addressWildcards(2)ビットが設定されている場合、ミドルボックスは、インデックス付きのIPインターフェースにIPアドレスワイルドカードをサポートします。
If the portWildcards(3) bit is set, then the middlebox supports port wildcarding at the indexed IP interface.
portWildcards(3)ビットが設定されている場合、ミドルボックスは、インデックス付きのIPインターフェイスでポートワイルドカードをサポートします。
If the firewall(4) bit is set, then the middlebox offers firewall functionality at the indexed interface.
ファイアウォール(4)ビットが設定されている場合、ミドルは、インデックス付きの界面でファイアウォール機能を提供しています。
If the nat(5) bit is set, then the middlebox offers network address translation service at the indexed interface.
NAT(5)ビットが設定されている場合は、ミドルは、インデックス付きの界面でのネットワークアドレス変換サービスを提供しています。
If the portTranslation(6) bit is set, then the middlebox offers port translation service at the indexed interface. This bit is only relevant if nat(5) is set.
portTranslation(6)ビットが設定されている場合は、ミドルは、インデックス付きの界面でのポートの翻訳サービスを提供しています。 (5)NATが設定されている場合、このビットにのみ関連します。
If the protocolTranslation(7) bit is set, then the middlebox offers protocol translation service between IPv4 and IPv6 at the indexed interface. This bit is only relevant if nat(5) is set.
protocolTranslation(7)ビットが設定されている場合、ミドルボックスは、インデックス付きの界面で、IPv4とIPv6との間のプロトコル変換サービスを提供しています。 (5)NATが設定されている場合、このビットにのみ関連します。
If the twiceNat(8) bit is set, then the middlebox offers twice network address translation service at the indexed interface. This bit is only relevant if nat(5) is set.
twiceNat(8)ビットが設定されている場合は、ミドルは、インデックス付きの界面での二回のネットワークアドレス変換サービスを提供しています。 (5)NATが設定されている場合、このビットにのみ関連します。
If the inside(9) bit is set, then the indexed interface is an inside interface with respect to NAT functionality.
Otherwise, it is an outside interface. This bit is only
relevant if nat(5) is set. An SNMP agent supporting both
the MIDCOM-MIB module and the NAT-MIB module SHOULD ensure
that the value of this object is consistent with the values
of corresponding objects in the NAT-MIB module."
::= { midcomConfigIfEntry 2 }
midcomConfigIfEnabled OBJECT-TYPE SYNTAX TruthValue MAX-ACCESS read-write STATUS current DESCRIPTION "The value of this object indicates the availability of the middlebox service described by midcomConfigIfBits at the indexed IP interface.
midcomConfigIfEnabled OBJECT-TYPEの構文のTruthValue MAX-ACCESS読み取りと書き込みステータス現在の説明は「このオブジェクトの値は、インデックス付きのIPインターフェースにmidcomConfigIfBitsによって記述ミドルサービスの可用性を示しています。
By writing to this object, the MIDCOM support for the
entire IP interface can be switched on or off. Setting
this object to false(2) immediately stops middlebox
support at the indexed IP interface. This implies that
all policy rules that use NAT or firewall resources at
the indexed IP interface are terminated immediately.
In this case, the MIDCOM agent MUST send
midcomUnsolicitedRuleEvent to all MIDCOM clients that
have access to one of the terminated rules."
DEFVAL { true }
::= { midcomConfigIfEntry 3 }
-- -- Firewall subtree -- -- This subtree contains the firewall configuration table --
- - ファイアウォールのサブツリー - - このサブツリーには、ファイアウォールの構成テーブルが含まれています -
midcomConfigFirewallTable OBJECT-TYPE SYNTAX SEQUENCE OF MidcomConfigFirewallEntry MAX-ACCESS not-accessible STATUS current DESCRIPTION "This table lists the firewall configuration per IP interface.
MidcomConfigFirewallEntry MAX-ACCESSステータス現在の説明のmidcomConfigFirewallTable OBJECT-TYPE構文配列は「この表のIPインターフェイスごとにファイアウォールの設定を示しています。
It can be used for configuring how policy rules created by
MIDCOM clients are realized as firewall rules of a firewall
implementation. Particularly, the priority used for MIDCOM
policy rules can be configured. For a single firewall
implementation at a particular IP interface, all MIDCOM
policy rules are realized as firewall rules with the same priority. Also, a firewall rule group name can be
configured.
The table is indexed by the object midcomConfigFirewallIndex.
For indexing a single interface, this object contains the
value of the ifIndex object that is associated with the
interface. If an entry with midcomConfigFirewallIndex = 0
occurs, then bits set in objects of this entry apply to all
interfaces for which there is no entry in this table for the
interface's index."
::= { midcomConfig 4 }
midcomConfigFirewallEntry OBJECT-TYPE
SYNTAX MidcomConfigFirewallEntry
MAX-ACCESS not-accessible
STATUS current
DESCRIPTION
"An entry describing a particular set of
firewall resources."
INDEX { midcomConfigFirewallIndex }
::= { midcomConfigFirewallTable 1 }
MidcomConfigFirewallEntry ::= SEQUENCE {
midcomConfigFirewallIndex InterfaceIndexOrZero,
midcomConfigFirewallGroupId SnmpAdminString,
midcomConfigFirewallPriority Unsigned32
}
midcomConfigFirewallIndex OBJECT-TYPE SYNTAX InterfaceIndexOrZero MAX-ACCESS not-accessible STATUS current DESCRIPTION "The index of an entry in the midcomConfigFirewallTable.
midcomConfigFirewallIndexのOBJECT-TYPE SYNTAX InterfaceIndexOrZeroのMAX-ACCESSステータス現在の説明「midcomConfigFirewallTableのエントリのインデックス。
For values different from 0, this object identifies an
IP interface by containing the same value as the ifIndex
object associated with the interface.
Note that the index of a particular interface in the ifTable may change after a re-initialization of the middlebox, for example, after adding another interface to it. In such a case, the value of this object may change, but the interface referred to by the MIDCOM-MIB MUST still be the same. If, after a re-initialization of the middlebox, the interface referred to before re-initialization cannot be uniquely mapped anymore to a particular entry in the ifTable, then the entry in the midcomConfigFirewallTable MUST be deleted.
ifTableの特定のインタフェースのインデックスはそれに別のインタフェースを追加した後、例えば、ミドルの再初期化後に変更することができることに留意されたいです。このような場合に、このオブジェクトの値を変更してもよいが、MIDCOM-MIBで参照されるインターフェースは同じでなければなりません。 、ミドルの再初期化の後、インタフェースはifTableの特定のエントリにもはや再初期化を一意にマッピングすることができない前に呼ばれる場合、midcomConfigFirewallTableのエントリは削除しなければなりません。
If the object has a value of 0, then values specified by
further objects of the same entry apply to all interfaces
for which there is no explicit entry in the
midcomConfigFirewallTable."
::= { midcomConfigFirewallEntry 1 }
midcomConfigFirewallGroupId OBJECT-TYPE
SYNTAX SnmpAdminString
MAX-ACCESS read-write
STATUS current
DESCRIPTION
"The firewall rule group to which all firewall rules are
assigned that the MIDCOM server creates for the interface
indicated by object midcomConfigFirewallIndex. If the
value of object midcomConfigFirewallIndex is 0, then all
firewall rules of the MIDCOM server that are created for
interfaces with no specific entry in the
midcomConfigFirewallTable are assigned to the firewall
rule group indicated by the value of this object."
::= { midcomConfigFirewallEntry 2 }
midcomConfigFirewallPriority OBJECT-TYPE
SYNTAX Unsigned32
MAX-ACCESS read-write
STATUS current
DESCRIPTION
"The priority assigned to all firewall rules that the
MIDCOM server creates for the interface indicated by
object midcomConfigFirewallIndex. If the value of object
midcomConfigFirewallIndex is 0, then this priority is
assigned to all firewall rules of the MIDCOM server that
are created for interfaces for which there is no specific
entry in the midcomConfigFirewallTable."
::= { midcomConfigFirewallEntry 3 }
-- -- Monitoring Objects -- -- Monitoring objects are structured into two groups, -- the midcomResourceGroup providing information about used -- resources and the midcomStatisticsGroup providing information -- about MIDCOM transaction statistics.
- - 監視オブジェクトは - - リソースや情報提供midcomStatisticsGroup - - MIDCOMトランザクション統計についての使用に関するmidcomResourceGroup情報提供 - 監視オブジェクトには2つのグループに構成されています。
-- -- Resources subtree --
- - リソースのサブツリー -
-- The MIDCOM resources subtree contains a set of managed -- objects describing the currently used resources of NAT -- and firewall implementations. --
- NATの現在使用されているリソースを記述するオブジェクト - - およびファイアウォールの実装MIDCOMリソースサブツリーは、管理対象のセットが含まれています。 -
-- -- Textual conventions for objects of the resource subtree --
- - リソースのサブツリーのオブジェクトのためのテキストの表記法 -
MidcomNatBindMode ::= TEXTUAL-CONVENTION
STATUS current
DESCRIPTION
"An indicator of the kind of NAT resources used by a policy
rule. This definition corresponds to the definition of
NatBindMode in the NAT-MIB (RFC 4008). Value none(3) can
be used to indicate that the policy rule does not use
any NAT binding.
"
SYNTAX INTEGER {
addressBind(1),
addressPortBind(2),
none(3)
}
MidcomNatSessionIdOrZero ::= TEXTUAL-CONVENTION
DISPLAY-HINT "d"
STATUS current
DESCRIPTION
"A unique ID that is assigned to each NAT session by
a NAT implementation. This definition corresponds to
the definition of NatSessionId in the NAT-MIB (RFC 4008).
Value 0 can be used to indicate that the policy rule does
not use any NAT binding."
SYNTAX Unsigned32
-- -- The MIDCOM resource table --
- - MIDCOMリソーステーブル -
midcomResourceTable OBJECT-TYPE SYNTAX SEQUENCE OF MidcomResourceEntry MAX-ACCESS not-accessible STATUS current DESCRIPTION "This table lists all used middlebox resources per MIDCOM policy rule.
MidcomResourceEntry MAX-ACCESSステータス現在の説明のmidcomResourceTable OBJECT-TYPE構文配列は「この表のMIDCOM政策ルールごとに、すべての使用のmiddleboxリソースを示しています。
The midcomResourceTable augments the midcomRuleTable."
::= { midcomMonitoring 1 }
midcomResourceEntry OBJECT-TYPE
SYNTAX MidcomResourceEntry
MAX-ACCESS not-accessible
STATUS current
DESCRIPTION
"An entry describing a particular set of middlebox
resources."
AUGMENTS { midcomRuleEntry }
::= { midcomResourceTable 1 }
MidcomResourceEntry ::= SEQUENCE {
midcomRscNatInternalAddrBindMode MidcomNatBindMode,
midcomRscNatInternalAddrBindId NatBindIdOrZero,
midcomRscNatInsideAddrBindMode MidcomNatBindMode,
midcomRscNatInsideAddrBindId NatBindIdOrZero,
midcomRscNatSessionId1 MidcomNatSessionIdOrZero,
midcomRscNatSessionId2 MidcomNatSessionIdOrZero,
midcomRscFirewallRuleId Unsigned32
}
midcomRscNatInternalAddrBindMode OBJECT-TYPE SYNTAX MidcomNatBindMode MAX-ACCESS read-only STATUS current DESCRIPTION "An indication of whether this policy rule uses an address NAT bind or an address-port NAT bind for binding the internal address.
midcomRscNatInternalAddrBindModeのOBJECT-TYPE SYNTAX MidcomNatBindMode MAX-ACCESS read-onlyステータス現在の説明「この政策ルールは、アドレスのNATバインドまたは内部アドレスを結合するためのアドレス・ポートNATバインドを使用するかどうかの表示。
If the MIDCOM-MIB module is operated together with
the NAT-MIB module (RFC 4008) then object
midcomRscNatInternalAddrBindMode contains the same
value as the corresponding object
natSessionPrivateSrcEPBindMode of the NAT-MIB module."
::= { midcomResourceEntry 4 }
midcomRscNatInternalAddrBindId OBJECT-TYPE SYNTAX NatBindIdOrZero MAX-ACCESS read-only STATUS current DESCRIPTION "This object references to the allocated internal NAT bind that is used by this policy rule. A NAT bind describes the mapping of internal addresses to outside addresses. MIDCOM-MIB implementations can read this object to learn the corresponding NAT bind resource for this particular policy rule.
midcomRscNatInternalAddrBindId OBJECT-TYPE構文NatBindIdOrZero MAX-ACCESS read-onlyステータス現在の説明「このポリシールールによって使用される割り当てられた内部NAT結合するようにこのオブジェクト参照。NATバインドは外部アドレスに内部アドレスのマッピングを記述する。MIDCOM-MIB実装この特定の政策ルールに対応するNATバインドリソースを学ぶためにこのオブジェクトを読むことができます。
If the MIDCOM-MIB module is operated together with
the NAT-MIB module (RFC 4008) then object
midcomRscNatInternalAddrBindId contains the same
value as the corresponding object
natSessionPrivateSrcEPBindId of the NAT-MIB module."
::= { midcomResourceEntry 5 }
midcomRscNatInsideAddrBindMode OBJECT-TYPE SYNTAX MidcomNatBindMode MAX-ACCESS read-only STATUS current DESCRIPTION "An indication of whether this policy rule uses an address NAT bind or an address-port NAT bind for binding the external address.
midcomRscNatInsideAddrBindModeのOBJECT-TYPE SYNTAX MidcomNatBindMode MAX-ACCESS read-onlyステータス現在の説明「この政策ルールは、アドレスのNATバインドまたは外部アドレスを結合するためのアドレス・ポートNATバインドを使用するかどうかの表示。
If the MIDCOM-MIB module is operated together with
the NAT-MIB module (RFC 4008), then object
midcomRscNatInsideAddrBindMode contains the same
value as the corresponding object
natSessionPrivateDstEPBindMode of the NAT-MIB module."
::= { midcomResourceEntry 6 }
midcomRscNatInsideAddrBindId OBJECT-TYPE SYNTAX NatBindIdOrZero MAX-ACCESS read-only STATUS current DESCRIPTION "This object refers to the allocated external NAT bind that is used by this policy rule. A NAT bind describes the mapping of external addresses to inside addresses. MIDCOM-MIB implementations can read this object to learn the corresponding NAT bind resource for this particular policy rule.
midcomRscNatInsideAddrBindId OBJECT-TYPE構文NatBindIdOrZero MAX-ACCESS read-only説明は「このオブジェクトは、このポリシールールによって使用される割り当てられた外部NATバインドを指す。NATバインドが内部アドレスに外部アドレスのマッピングを記述する。MIDCOM-MIB実装この特定の政策ルールに対応するNATバインドリソースを学ぶためにこのオブジェクトを読むことができます。
If the MIDCOM-MIB module is operated together with the
NAT-MIB module (RFC 4008), then object
midcomRscNatInsideAddrBindId contains the same
value as the corresponding object
natSessionPrivateDstEPBindId of the NAT-MIB module."
::= { midcomResourceEntry 7 }
midcomRscNatSessionId1 OBJECT-TYPE SYNTAX MidcomNatSessionIdOrZero MAX-ACCESS read-only
midcomRscNatSessionId1のOBJECT-TYPE SYNTAX MidcomNatSessionIdOrZero MAX-ACCESS読み取り専用
STATUS current
DESCRIPTION
"This object refers to the first allocated NAT session for
this policy rule. MIDCOM-MIB implementations can read this
object to learn whether or not a NAT session for a
particular policy rule is used. A value of 0 means that no
NAT session is allocated for this policy rule. A value
other than 0 refers to the NAT session."
::= { midcomResourceEntry 8 }
midcomRscNatSessionId2 OBJECT-TYPE
SYNTAX MidcomNatSessionIdOrZero
MAX-ACCESS read-only
STATUS current
DESCRIPTION
"This object refers to the second allocated NAT session for
this policy rule. MIDCOM-MIB implementations can read this
object to learn whether or not a NAT session for a
particular policy rule is used. A value of 0 means that no
NAT session is allocated for this policy rule. A value
other than 0 refers to the NAT session."
::= { midcomResourceEntry 9 }
midcomRscFirewallRuleId OBJECT-TYPE
SYNTAX Unsigned32
MAX-ACCESS read-only
STATUS current
DESCRIPTION
"This object refers to the allocated firewall
rule in the firewall engine for this policy rule.
MIDCOM-MIB implementations can read this value to
learn whether a firewall rule for this particular
policy rule is used or not. A value of 0 means that
no firewall rule is allocated for this policy rule.
A value other than 0 refers to the firewall rule
number within the firewall engine."
::= { midcomResourceEntry 10 }
-- -- Statistics subtree -- -- The MIDCOM statistics subtree contains a set of managed -- objects providing statistics about the usage of transaction -- objects. --
- - 統計サブツリー - - トランザクションの使用状況に関する統計情報を提供するオブジェクト - - オブジェクトMIDCOM統計サブツリーは、管理対象のセットが含まれています。 -
midcomStatistics OBJECT IDENTIFIER ::= { midcomMonitoring 2 } midcomCurrentOwners OBJECT-TYPE
SYNTAX Gauge32
MAX-ACCESS read-only
STATUS current
DESCRIPTION
"The number of different values for midcomRuleOwner
for all current entries in the midcomRuleTable."
::= { midcomStatistics 1 }
midcomTotalRejectedRuleEntries OBJECT-TYPE
SYNTAX Counter32
MAX-ACCESS read-only
STATUS current
DESCRIPTION
"The total number of failed attempts to create an entry
in the midcomRuleTable."
::= { midcomStatistics 2 }
midcomCurrentRulesIncomplete OBJECT-TYPE SYNTAX Gauge32 MAX-ACCESS read-only STATUS current DESCRIPTION "The current number of policy rules that are incomplete.
midcomCurrentRulesIncomplete OBJECT-TYPE構文Gauge32 MAX-ACCESS read-only説明「不完全なポリシールールの現在の数。
Policy rules are loaded via row entries in the
midcomRuleTable. This object counts policy rules that are
loaded but not fully specified, i.e., they are in state
newEntry(1) or setting(2)."
::= { midcomStatistics 3 }
midcomTotalIncorrectReserveRules OBJECT-TYPE
SYNTAX Counter32
MAX-ACCESS read-only
STATUS current
DESCRIPTION
"The total number of policy reserve rules that failed
parameter check and entered state incorrectRequest(4)."
::= { midcomStatistics 4 }
midcomTotalRejectedReserveRules OBJECT-TYPE
SYNTAX Counter32
MAX-ACCESS read-only
STATUS current
DESCRIPTION
"The total number of policy reserve rules that failed
while being processed and entered state requestRejected(6)."
::= { midcomStatistics 5 }
midcomCurrentActiveReserveRules OBJECT-TYPE
SYNTAX Gauge32
MAX-ACCESS read-only
STATUS current
DESCRIPTION
"The number of currently active policy reserve rules."
::= { midcomStatistics 6 }
midcomTotalExpiredReserveRules OBJECT-TYPE
SYNTAX Counter32
MAX-ACCESS read-only
STATUS current
DESCRIPTION
"The total number of expired policy reserve rules
(entered termination state timedOut(9))."
::= { midcomStatistics 7 }
midcomTotalTerminatedOnRqReserveRules OBJECT-TYPE
SYNTAX Counter32
MAX-ACCESS read-only
STATUS current
DESCRIPTION
"The total number of policy reserve rules that were
terminated on request (entered termination state
terminatedOnRequest(10))."
::= { midcomStatistics 8 }
midcomTotalTerminatedReserveRules OBJECT-TYPE
SYNTAX Counter32
MAX-ACCESS read-only
STATUS current
DESCRIPTION
"The total number of policy reserve rules that were
terminated, but not on request (entered termination state
terminated(11))."
::= { midcomStatistics 9 }
midcomTotalIncorrectEnableRules OBJECT-TYPE
SYNTAX Counter32
MAX-ACCESS read-only
STATUS current
DESCRIPTION
"The total number of policy enable rules that failed
parameter check and entered state incorrectRequest(4)."
::= { midcomStatistics 10 }
midcomTotalRejectedEnableRules OBJECT-TYPE SYNTAX Counter32
midcomTotalRejectedEnableRulesのOBJECT-TYPE SYNTAXカウンタ
MAX-ACCESS read-only
STATUS current
DESCRIPTION
"The total number of policy enable rules that failed
while being processed and entered state requestRejected(6)."
::= { midcomStatistics 11 }
midcomCurrentActiveEnableRules OBJECT-TYPE
SYNTAX Gauge32
MAX-ACCESS read-only
STATUS current
DESCRIPTION
"The number of currently active policy enable rules."
::= { midcomStatistics 12 }
midcomTotalExpiredEnableRules OBJECT-TYPE
SYNTAX Counter32
MAX-ACCESS read-only
STATUS current
DESCRIPTION
"The total number of expired policy enable rules
(entered termination state timedOut(9))."
::= { midcomStatistics 13 }
midcomTotalTerminatedOnRqEnableRules OBJECT-TYPE
SYNTAX Counter32
MAX-ACCESS read-only
STATUS current
DESCRIPTION
"The total number of policy enable rules that were
terminated on request (entered termination state
terminatedOnRequest(10))."
::= { midcomStatistics 14 }
midcomTotalTerminatedEnableRules OBJECT-TYPE
SYNTAX Counter32
MAX-ACCESS read-only
STATUS current
DESCRIPTION
"The total number of policy enable rules that were
terminated, but not on request (entered termination state
terminated(11))."
::= { midcomStatistics 15 }
-- -- Notifications. --
- - 通知。 -
midcomUnsolicitedRuleEvent NOTIFICATION-TYPE
midcomUnsolicitedRuleEventのNOTIFICATION-TYPE
OBJECTS { midcomRuleOperStatus, midcomRuleLifetime }
STATUS current
DESCRIPTION
"This notification is generated whenever the value of
midcomRuleOperStatus enters any error state or any
termination state without an explicit trigger by a
MIDCOM client."
::= { midcomNotifications 1 }
midcomSolicitedRuleEvent NOTIFICATION-TYPE OBJECTS { midcomRuleOperStatus, midcomRuleLifetime } STATUS current DESCRIPTION "This notification is generated whenever the value of midcomRuleOperStatus enters one of the states {reserved, enabled, any error state, any termination state} as a result of a MIDCOM agent writing successfully to object midcomRuleAdminStatus.
midcomSolicitedRuleEvent NOTIFICATION-TYPEオブジェクト{midcomRuleOperStatus、midcomRuleLifetime}ステータス現在の説明「midcomRuleOperStatusの値が正常に書き込みMIDCOM剤の結果としての状態{イネーブル、予約、エラー状態、任意の終了状態}のいずれかに入るたびに、この通知が生成されmidcomRuleAdminStatusをオブジェクトに。
In addition, it is generated when the lifetime of
a rule was changed by successfully writing to object
midcomRuleLifetime."
::= { midcomNotifications 2 }
midcomSolicitedGroupEvent NOTIFICATION-TYPE OBJECTS { midcomGroupLifetime } STATUS current DESCRIPTION "This notification is generated for indicating that the lifetime of all member rules of the group was changed by successfully writing to object midcomGroupLifetime.
midcomSolicitedGroupEvent NOTIFICATION-TYPEオブジェクト{midcomGroupLifetime}ステータス現在の説明は「この通知は、グループのすべてのメンバー規則の寿命が正常midcomGroupLifetimeオブジェクトに書き込むことによって変更されたことを示すために生成されます。
Note that this notification is only sent if the lifetime
of a group was changed by successfully writing to object
midcomGroupLifetime. No notification is sent
- if a group's lifetime is changed by writing to object
midcomRuleLifetime of any of its member policies,
- if a group's lifetime expires (in this case,
notifications are sent for all member policies), or
- if the group is terminated by terminating the last
of its member policies without writing to object
midcomGroupLifetime."
::= { midcomNotifications 3 }
--
-- Conformance information
-- midcomCompliances OBJECT IDENTIFIER ::= { midcomConformance 1 }
midcomGroups OBJECT IDENTIFIER ::= { midcomConformance 2 }
-- -- compliance statements --
- - コンプライアンスステートメント -
-- This is the MIDCOM compliance definition ...
- これはMIDCOMのコンプライアンスの定義であります...
--
--
midcomCompliance MODULE-COMPLIANCE STATUS current DESCRIPTION "The compliance statement for implementations of the MIDCOM-MIB module.
midcomCompliance MODULE-COMPLIANCEステータス現在の説明「MIDCOM-MIBモジュールの実装のための準拠宣言。
Note that compliance with this compliance
statement requires compliance with the
ifCompliance3 MODULE-COMPLIANCE statement of the
IF-MIB [RFC2863]."
MODULE -- this module
MANDATORY-GROUPS {
midcomRuleGroup,
midcomNotificationsGroup,
midcomCapabilitiesGroup,
midcomStatisticsGroup
}
GROUP midcomConfigFirewallGroup
DESCRIPTION
"A compliant implementation does not have to implement
the midcomConfigFirewallGroup."
GROUP midcomResourceGroup
DESCRIPTION
"A compliant implementation does not have to implement
the midcomResourceGroup."
OBJECT midcomRuleInternalIpPrefixLength
MIN-ACCESS read-only
DESCRIPTION
"Write access is not required. When write access is
not supported, return 128 as the value of this object.
A value of 128 means that the function represented by
this option is not supported."
OBJECT midcomRuleExternalIpPrefixLength
MIN-ACCESS read-only
DESCRIPTION
"Write access is not required. When write access is
not supported, return 128 as the value of this object.
A value of 128 means that the function represented by
this option is not supported."
OBJECT midcomRuleMaxIdleTime
MIN-ACCESS read-only
DESCRIPTION
"Write access is not required. When write access is
not supported, return 0 as the value of this object.
A value of 0 means that the function represented by
this option is not supported."
OBJECT midcomRuleInterface
MIN-ACCESS read-only
DESCRIPTION
"Write access is not required."
OBJECT midcomConfigMaxLifetime
MIN-ACCESS read-only
DESCRIPTION
"Write access is not required."
OBJECT midcomConfigPersistentRules
MIN-ACCESS read-only
DESCRIPTION
"Write access is not required."
OBJECT midcomConfigIfEnabled
MIN-ACCESS read-only
DESCRIPTION
"Write access is not required."
OBJECT midcomConfigFirewallGroupId
MIN-ACCESS read-only
DESCRIPTION
"Write access is not required."
OBJECT midcomConfigFirewallPriority
MIN-ACCESS read-only
DESCRIPTION
"Write access is not required."
::= { midcomCompliances 1 }
midcomRuleGroup OBJECT-GROUP
OBJECTS {
midcomRuleAdminStatus,
midcomRuleOperStatus,
midcomRuleStorageType,
midcomRuleStorageTime,
midcomRuleError,
midcomRuleInterface,
midcomRuleFlowDirection,
midcomRuleMaxIdleTime,
midcomRuleTransportProtocol,
midcomRulePortRange,
midcomRuleInternalIpVersion, midcomRuleExternalIpVersion,
midcomRuleInternalIpAddr,
midcomRuleInternalIpPrefixLength,
midcomRuleInternalPort,
midcomRuleExternalIpAddr,
midcomRuleExternalIpPrefixLength,
midcomRuleExternalPort,
midcomRuleInsideIpAddr,
midcomRuleInsidePort,
midcomRuleOutsideIpAddr,
midcomRuleOutsidePort,
midcomRuleLifetime,
midcomRuleRowStatus,
midcomGroupLifetime
}
STATUS current
DESCRIPTION
"A collection of objects providing information about
policy rules and policy rule groups."
::= { midcomGroups 1 }
midcomCapabilitiesGroup OBJECT-GROUP
OBJECTS {
midcomConfigMaxLifetime,
midcomConfigPersistentRules,
midcomConfigIfBits,
midcomConfigIfEnabled
}
STATUS current
DESCRIPTION
"A collection of objects providing information about
the capabilities of a middlebox."
::= { midcomGroups 2 }
midcomConfigFirewallGroup OBJECT-GROUP
OBJECTS {
midcomConfigFirewallGroupId,
midcomConfigFirewallPriority
}
STATUS current
DESCRIPTION
"A collection of objects providing information about
the firewall rule group and firewall rule priority to
be used by firewalls loaded through MIDCOM."
::= { midcomGroups 3 }
midcomResourceGroup OBJECT-GROUP OBJECTS {
midcomResourceGroupオブジェクト・グループオブジェクト{
midcomRscNatInternalAddrBindMode,
midcomRscNatInternalAddrBindId,
midcomRscNatInsideAddrBindMode,
midcomRscNatInsideAddrBindId,
midcomRscNatSessionId1,
midcomRscNatSessionId2,
midcomRscFirewallRuleId
}
STATUS current
DESCRIPTION
"A collection of objects providing information about
the used NAT and firewall resources."
::= { midcomGroups 4 }
midcomStatisticsGroup OBJECT-GROUP
OBJECTS {
midcomCurrentOwners,
midcomTotalRejectedRuleEntries,
midcomCurrentRulesIncomplete,
midcomTotalIncorrectReserveRules,
midcomTotalRejectedReserveRules,
midcomCurrentActiveReserveRules,
midcomTotalExpiredReserveRules,
midcomTotalTerminatedOnRqReserveRules,
midcomTotalTerminatedReserveRules,
midcomTotalIncorrectEnableRules,
midcomTotalRejectedEnableRules,
midcomCurrentActiveEnableRules,
midcomTotalExpiredEnableRules,
midcomTotalTerminatedOnRqEnableRules,
midcomTotalTerminatedEnableRules
}
STATUS current
DESCRIPTION
"A collection of objects providing statistical
information about the MIDCOM server."
::= { midcomGroups 5 }
midcomNotificationsGroup NOTIFICATION-GROUP
NOTIFICATIONS {
midcomUnsolicitedRuleEvent,
midcomSolicitedRuleEvent,
midcomSolicitedGroupEvent
}
STATUS current
DESCRIPTION
"The notifications emitted by the midcomMIB."
::= { midcomGroups 6 }
END
終わり
Obviously, securing access to firewall and NAT configuration is extremely important for maintaining network security. This section first describes general security issues of the MIDCOM-MIB module and then discusses three concrete security threats: unauthorized middlebox configuration, unauthorized access to middlebox configuration information, and unauthorized access to the MIDCOM service configuration.
明らかに、ファイアウォールやNATの設定へのアクセスを確保することは、ネットワークのセキュリティを維持するために非常に重要です。このセクションでは、最初のMIDCOM-MIBモジュールの一般的なセキュリティ上の問題について説明し、その後3つの具体的なセキュリティ上の脅威について説明します。不正なミドル構成、ミドル構成情報への不正アクセス、およびMIDCOMサービス構成への不正なアクセスを。
There are a number of management objects defined in this MIB module with a MAX-ACCESS clause of read-write and/or read-create. Such objects may be considered sensitive or vulnerable in some network environments. But also access to managed objects with a MAX-ACCESS clause of read-only may be considered sensitive or vulnerable. The support for SET and GET operations in a non-secure environment without proper protection can have a negative effect on network operations.
読み書きおよび/またはリード作成のMAX-ACCESS句でこのMIBモジュールで定義された管理オブジェクトの数があります。そのようなオブジェクトは、いくつかのネットワーク環境に敏感又は脆弱と考えることができます。しかし、また、読み取り専用の感受性又は脆弱考えてもよいのMAX-ACCESS句で管理対象オブジェクトにアクセスします。適切な保護のない非安全な環境におけるSETのサポートとGET操作はネットワーク操作のときにマイナスの影響を持つことができます。
SNMP versions prior to SNMPv3 did not include adequate security. Even if the network itself is secure (for example by using IPsec), even then, there is no control as to who on the secure network is allowed to access and GET/SET (read/change/create/delete) the objects in this MIB module.
SNMPv3の前のSNMPバージョンは十分なセキュリティを含んでいませんでした。ネットワーク自体が(IPsecを使って、例えば)安全であっても、その後も、安全なネットワーク上で/ SETにアクセスし、GETだれに許容されているかのように何の制御(読み取り/変更/作成/削除)この内のオブジェクトが存在しませんMIBモジュール。
Deployment of SNMP versions prior to SNMPv3 is NOT RECOMMENDED.
SNMPv3の前のSNMPバージョンの展開はお勧めしません。
Compliant MIDCOM-MIB implementations MUST support SNMPv3 security services including data integrity, identity authentication, data confidentiality, and replay protection.
準拠MIDCOM-MIBの実装は、データの整合性、ID認証、データの機密性、および再生保護を含む、SNMPv3のセキュリティサービスをサポートしなければなりません。
It is REQUIRED that the implementations support the security features as provided by the SNMPv3 framework. Specifically, the use of the User-based Security Model RFC 3414 [RFC3414] and the View-based Access Control Model RFC 3415 [RFC3415] is RECOMMENDED.
SNMPv3フレームワークで提供するように実装がセキュリティ機能をサポートしている必要があります。具体的には、ユーザベースセキュリティモデルのRFC 3414 [RFC3414]とビューベースアクセス制御モデルRFC 3415 [RFC3415]の使用が推奨されます。
It is then a customer/operator responsibility to ensure that the SNMP entity giving access to an instance of this MIB is properly configured to give access to the objects only to those principals (users) that have legitimate rights to indeed GET or SET (change/create/delete) them.
このMIBのインスタンスへのアクセスを与えるSNMP実体が適切にのみプリンシパル(ユーザ)にオブジェクトへのアクセスを提供するように設定されていることを確認するために、顧客/オペレータ責任実際にGETまたはSET(変更/への正当な権利を有することです)それらを作成/削除。
To facilitate the provisioning of access control by a security administrator using the View-based Access Control Model (VACM) defined in RFC 3415 [RFC3415] for tables in which multiple users may need to independently create or modify entries, the initial index is used as an "owner index". This is supported by the midcomRuleTable and the midcomGroupTable. Each of them uses midcomRuleOwner as the initial index. midcomRuleOwner has the syntax of SnmpAdminString, and can thus be trivially mapped to an SNMP securityName or a groupName as defined in VACM, in accordance with a security policy.
複数のユーザが独立にエントリを作成または変更する必要があるかもしれないしたテーブルは、RFC 3415 [RFC3415]で定義されたビューベースアクセス制御モデル(VACM)を使用して、セキュリティ管理者がアクセス制御のプロビジョニングを容易にするために、最初のインデックスは次のように使用されています「所有者インデックス」。これはmidcomRuleTableとmidcomGroupTableによってサポートされています。それらのそれぞれは、初期インデックスとしてmidcomRuleOwnerを使用しています。 midcomRuleOwnerはれるSnmpAdminStringの構文を有し、セキュリティポリシーに従って、VACMで定義され、したがって自明SNMPセキュリティ名やグループ名にマッピングすることができます。
All entries in the two mentioned tables belonging to a particular user will have the same value for this initial index. For a given user's entries in a particular table, the object identifiers for the information in these entries will have the same subidentifiers (except for the "column" subidentifier) up to the end of the encoded owner index. To configure VACM to permit access to this portion of the table, one would create vacmViewTreeFamilyTable entries with the value of vacmViewTreeFamilySubtree including the owner index portion, and vacmViewTreeFamilyMask "wildcarding" the column subidentifier. More elaborate configurations are possible.
特定のユーザーに属する2つの言及したテーブル内のすべてのエントリは、この初期のインデックスのための同じ値を持つことになります。特定のテーブル内の指定されたユーザのエントリを、これらのエントリの情報のためのオブジェクト識別子は、符号化された所有者インデックスの終わりまで(「列」サブ識別子を除いて)同じサブ識別子を有することになります。テーブルのこの部分へのアクセスを可能にするためにVACMを構成するには、一つは、所有者インデックス部分を含むvacmViewTreeFamilySubtreeの値、およびvacmViewTreeFamilyMask「ワイルドカード」欄のサブ識別子でvacmViewTreeFamilyTableのエントリを作成します。より複雑な構成が可能です。
The most dangerous threat to network security related to the MIDCOM-MIB module is unauthorized access to facilities for establishing policy rules. In such a case, unauthorized principals would write to the midcomRuleTable for opening firewall pinholes and/or for creating NAT maps, bindings, and/or sessions. Establishing policies can be used to gain access to networks and systems that are protected by firewalls and/or NATs.
最も危険な脅威はMIDCOM-MIBモジュールに関連したネットワークセキュリティポリシールールを確立するための施設への不正アクセスがあります。そのような場合には、不正なプリンシパルおよび/またはNATマップ、バインディング、および/またはセッションを作成するためのファイアウォールピンホールを開くためのmidcomRuleTableに書くでしょう。確立の方針は、ファイアウォールおよび/またはNATので保護されているネットワークとシステムへのアクセスを得るために使用することができます。
If this protection is removed by unauthorized access to MIDCOM-MIB policies, then the resulting degradation of network security can be severe. Confidential information protected by a firewall might become accessible to unauthorized principals, attacks exploiting security leaks of systems in the protected network might become possible from external networks, and it might be possible to stop firewalls blocking denial-of-service attacks.
この保護はMIDCOM-MIB政策への不正アクセスによって除去されている場合は、ネットワーク・セキュリティの結果の劣化が激しいことができます。ファイアウォールで保護された機密情報は保護されたネットワーク内のシステムのセキュリティの漏洩を悪用した攻撃は、外部ネットワークから可能になるかもしれない、そしてサービス拒否攻撃をブロックするファイアウォールを停止することは可能かもしれないが、不正のプリンシパルにアクセス可能になるかもしれません。
MIDCOM-MIB implementations MUST provide means for strict authentication, message integrity check, and write access control to managed objects that can be used for establishing policy rules. These are objects in the midcomRuleTable and midcomGroupTable with a MAX-ACCESS clause of read-write and/or read-create.
MIDCOM-MIB実装は、厳格な認証、メッセージの整合性チェックのための手段を提供し、ポリシールールを確立するために使用することができる管理対象オブジェクトへのアクセス制御を記述する必要があります。これらは読み書きおよび/またはリード作成のMAX-ACCESS句を持つmidcomRuleTableとmidcomGroupTable内のオブジェクトです。
Particularly sensitive is write access to the managed object midcomRuleAdminStatus, because writing it causes policy rules to be established.
特に敏感な書き込み、それを確立するポリシールールが発生するため、管理対象オブジェクトmidcomRuleAdminStatusへの書き込みアクセスがあります。
Also, writing to other managed objects in the two tables can make security vulnerable if it interferes with the authorized establishment of a policy rule, for example, by wildcarding a policy rule after the corresponding entry in the midcomRuleTable is created, but before the authorized owner establishes the rule by writing to midcomRuleAdminStatus.
それは政策ルールの正式設立を妨害した場合にも、2つの表に、他の管理対象オブジェクトへの書き込みは例えば、midcomRuleTableの対応するエントリが作成された後、ポリシールールをワイルドカードではなく、認可所有者の前に、セキュリティが脆弱になる可能性がmidcomRuleAdminStatusに書き込むことにより、ルールを確立します。
Not only unauthorized establishment, but also unauthorized lifetime extension of an existing policy rule may be considered sensitive or vulnerable in some network environments. Therefore, means for strict authentication, message integrity check, and write access control to managed object midcomGroupLifetime MUST be provided by MIDCOM-MIB implementations.
不正設立するだけでなく、既存のポリシールールの不正寿命延長だけでなく、いくつかのネットワーク環境で敏感であるか、または脆弱とみなすことができます。したがって、厳密な認証、メッセージ完全性チェック、およびmidcomGroupLifetimeはMIDCOM-MIB実装によって提供されなければならない管理オブジェクトへのアクセス制御を記述するための手段。
Another threat to network security is unauthorized access to entries in the midcomRuleTable. The entries contain information about existing pinholes in the firewall and/or about the current NAT configuration. This information can be used for attacking the internal network from outside. Therefore, a MIDCOM-MIB implementation MUST also provide means for read access control to the midcomRuleTable.
ネットワークセキュリティへのもう一つの脅威はmidcomRuleTableのエントリーへの不正アクセスです。エントリは、および/または現在のNATの設定についてファイアウォール内の既存のピンホールに関する情報が含まれています。この情報は、外部から内部ネットワークを攻撃するために使用することができます。したがって、MIDCOM-MIB実装はまたmidcomRuleTableへのリードアクセス制御のための手段を提供しなければなりません。
Also, a MIDCOM-MIB implementation SHOULD provide means for protecting different authenticated MIDCOM agents from each other, such that, for example, an authenticated user can only read entries in the midcomRuleTable for which the initial index midcomRuleOwner matches the client's SNMP securityName or VACM groupName.
また、MIDCOM-MIB実装は、例えば、認証されたユーザのみが初期インデックスmidcomRuleOwnerがクライアントのSNMPセキュリティ名またはVACMグループ名と一致するためにmidcomRuleTableのエントリを読み取ることができるよう、ことを、互いに異なる認証MIDCOM剤を保護するための手段を提供すべきです。
There are three objects with a MAX-ACCESS clause of read-write that configure the MIDCOM service: midcomConfigIfEnabled, midcomFirewallGroupId, and midcomFirewallPriority.
midcomConfigIfEnabled、midcomFirewallGroupId、およびmidcomFirewallPriority:MIDCOMサービスを設定し、読み書きのMAX-ACCESS句を持つ3つのオブジェクトがあります。
Unauthorized writing to object midcomConfigIfEnabled can cause serious interruptions of network service.
midcomConfigIfEnabledオブジェクトへの不正な書き込みは、ネットワークサービスの深刻な中断を引き起こす可能性があります。
Writing to midcomFirewallGroupId and/or midcomFirewallPriority can be used to increase or reduce the priority of firewall rules that are generated when a policy rule is established in the midcomRuleTable. Increasing the priority might permit firewall rules generated via the MIDCOM-MIB module to overrule basic security rules at the firewall that should have higher priority than the ones generated via the MIDCOM-MIB module.
midcomFirewallGroupIdおよび/またはmidcomFirewallPriorityへの書き込みは、ポリシールールがmidcomRuleTableで確立されたときに生成されるファイアウォールルールの優先順位を上げるか下げるために使用することができます。優先度を上げると、MIDCOM-MIBモジュールを介して生成されたものよりも高い優先度を持つべきであるファイアウォールで基本的なセキュリティルールを覆すためにMIDCOM-MIBモジュールを介して生成されたファイアウォールルールを許可することがあります。
Therefore, also for these objects, means for strict control of write access MUST be provided by a MIDCOM-MIB implementation.
したがって、これらの目的のために、書き込みアクセスの厳密な制御がMIDCOM-MIB実装によって提供されなければならないための手段。
This memo is based on a long history of discussion within the MIDCOM MIB design team. Many thanks to Mary Barnes, Jeff Case, Wes Hardaker, David Harrington, and Tom Taylor for fruitful comments and recommendations and to Juergen Schoenwaelder acting as a very constructive MIB doctor.
このメモはMIDCOM MIBデザインチーム内での議論の長い歴史に基づいています。メアリー・バーンズ、ジェフケース、ウェスHardaker、デヴィッド・ハリントン、およびトムテイラーに実りコメントや推奨事項については、とユルゲンSchoenwaelderは非常に建設的なMIB医師として作用することに感謝します。
IANA has assigned an OID for the MIB module in this document:
IANAは、この文書のMIBモジュールのためのOIDを割り当てています:
Descriptor OBJECT IDENTIFIER value
---------- -----------------------
midcomMIB { mib-2 171 }
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119]ブラドナーの、S.、 "要件レベルを示すためにRFCsにおける使用のためのキーワード"、BCP 14、RFC 2119、1997年3月。
[RFC5189] Stiemerling, M., Quittek, J., and T. Taylor, "Middlebox Communication (MIDCOM) Protocol Semantics", RFC 5189, March 2008.
[RFC5189] Stiemerling、M.、Quittek、J.、およびT.テイラー、 "ミドルコミュニケーション(MIDCOM)プロトコルのセマンティクス"、RFC 5189、2008年3月。
[RFC2578] McCloghrie, K., Perkins, D., Schoenwaelder, J., Case, J., Rose, M. and S. Waldbusser, "Structure of Management Information Version 2 (SMIv2)", STD 58, RFC 2578, April 1999.
[RFC2578] McCloghrie、K.、パーキンス、D.、Schoenwaelder、J.、ケース、J.、ローズ、M.およびS. Waldbusser、 "経営情報バージョン2(SMIv2)の構造"、STD 58、RFC 2578、 1999年4月。
[RFC2579] McCloghrie, K., Perkins, D., Schoenwaelder, J., Case, J., Rose, M. and S. Waldbusser, "Textual Conventions for SMIv2", STD 58, RFC 2579, April 1999.
[RFC2579] McCloghrie、K.、パーキンス、D.、Schoenwaelder、J.、ケース、J.、ローズ、M.およびS. Waldbusser、 "SMIv2のためのテキストの表記法"、STD 58、RFC 2579、1999年4月。
[RFC2580] McCloghrie, K., Perkins, D., Schoenwaelder, J., Case, J., Rose, M. and S. Waldbusser, "Conformance Statements for SMIv2", STD 58, RFC 2580, April 1999.
[RFC2580] McCloghrie、K.、パーキンス、D.、Schoenwaelder、J.、ケース、J.、ローズ、M.およびS. Waldbusser、 "SMIv2のための適合性宣言"、STD 58、RFC 2580、1999年4月。
[RFC2863] McCloghrie, K. and F. Kastenholz, "The Interfaces Group MIB", RFC 2863, June 2000.
[RFC2863] McCloghrie、K.およびF. Kastenholzと、 "インターフェイスグループMIB"、RFC 2863、2000年6月。
[RFC3411] Harrington, D., Presuhn, R. and B. Wijnen, "An Architecture for Describing Simple Network Management Protocol (SNMP) Management Frameworks", STD 62, RFC 3411, December 2002.
[RFC3411]ハリントン、D.、PresuhnとR.とB. Wijnen、 "簡易ネットワーク管理プロトコル(SNMP)管理フレームワークを記述するためのアーキテクチャ"、STD 62、RFC 3411、2002年12月。
[RFC3413] Levi, D., Meyer, P., and B. Stewart, "Simple Network Management Protocol Applications", STD 62, RFC 3413, December 2002.
[RFC3413]レビ、D.、マイヤー、P.、およびB.スチュワート、 "簡易ネットワーク管理プロトコルアプリケーション"、STD 62、RFC 3413、2002年12月。
[RFC3414] Blumenthal, U. and B. Wijnen, "User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3)", STD 62, RFC 3414, December 2002.
、STD 62、RFC 3414、2002年12月 "簡易ネットワーク管理プロトコル(SNMPv3の)のバージョン3のためのユーザベースセキュリティモデル(USM)" [RFC3414]ブルーメンソール、U.とB. Wijnenの、。
[RFC3418] Presuhn, R., Ed., "Management Information Base (MIB) for the Simple Network Management Protocol (SNMP)", STD 62, RFC 3418, December 2002.
[RFC3418] Presuhn、R.、エド。、 "管理情報ベース(MIB)簡易ネットワーク管理プロトコル(SNMP)のために"、STD 62、RFC 3418、2002年12月。
[RFC3550] Schulzrinne, H., Casner, S., Frederick, R., and V. Jacobson, "RTP: A Transport Protocol for Real-Time Applications", STD 64, RFC 3550, July 2003.
[RFC3550] Schulzrinneと、H.、Casner、S.、フレデリック、R.、およびV.ヤコブソン、 "RTP:リアルタイムアプリケーションのためのトランスポートプロトコル"、STD 64、RFC 3550、2003年7月。
[RFC4001] Daniele, M., Haberman, B., Routhier, S., and J. Schoenwaelder, "Textual Conventions for Internet Network Addresses", RFC 4001, February 2005.
[RFC4001]ダニエル、M.、ハーバーマン、B.、Routhier、S.、およびJ. Schoenwaelder、 "インターネットネットワークアドレスのためのテキストの表記法"、RFC 4001、2005年2月。
[RFC4008] Rohit, R., Srisuresh, P., Raghunarayan, R., Pai, N., and C. Wang, "Definitions of Managed Objects for Network Address Translators (NAT)", RFC 4008, March 2005.
[RFC4008]のRohit、R.、Srisuresh、P.、Raghunarayan、R.、パイ、N.、およびC.王、2005年3月、RFC 4008 "ネットワークのための管理オブジェクトの定義は、翻訳者(NAT)をアドレス"。
[RFC3410] Case, J., Mundy, R., Partain, D. and B. Stewart, "Introduction and Applicability Statements for Internet-Standard Management Framework", RFC 3410, December 2002.
[RFC3410]ケース、J.、マンディ、R.、パーテイン、D.とB.スチュワート、 "インターネット標準の管理フレームワークのための序論と適用性声明"、RFC 3410、2002年12月。
[RFC3234] Carpenter, B. and S. Brim, "Middleboxes: Taxonomy and Issues", RFC 3234, February 2002.
[RFC3234]大工、B.とS.つば、 "のMiddleboxes:分類と課題"、RFC 3234、2002年2月。
[RFC3303] Srisuresh, P., Kuthan, J., Rosenberg, J., Molitor, A., and A. Rayhan, "Middlebox communication architecture and framework", RFC 3303, August 2002.
[RFC3303] Srisuresh、P.、Kuthan、J.、ローゼンバーグ、J.、モリター、A.、およびA. Rayhan、 "ミドル通信アーキテクチャおよびフレームワーク"、RFC 3303、2002年8月。
[RFC3304] Swale, R., Mart, P., Sijben, P., Brim, S., and M. Shore, "Middlebox Communications (midcom) Protocol Requirements", RFC 3304, August 2002.
[RFC3304] Swale、R.、マート、P.、Sijben、P.、つば、S.、およびM.ショア、 "ミドル・コミュニケーションズ(MIDCOM)プロトコル要件"、RFC 3304、2002年8月。
[RFC3415] Wijnen, B., Presuhn, R., and K. McCloghrie, "View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP)", STD 62, RFC 3415, December 2002.
[RFC3415] Wijnenの、B.、Presuhn、R.、およびK. McCloghrie、 "簡易ネットワーク管理プロトコルのためのビューベースアクセス制御モデル(VACM)(SNMP)"、STD 62、RFC 3415、2002年12月。
Authors' Addresses
著者のアドレス
Juergen Quittek NEC Europe Ltd. Kurfuersten-Anlage 36 69115 Heidelberg Germany
ユルゲンQuittek NECヨーロッパ社Kurfuerstenコンディショニング36 69115ハイデルベルク、ドイツ
Phone: +49 6221 4342-115 EMail: quittek@nw.neclab.eu
電話:+49 6221 4342-115電子メール:quittek@nw.neclab.eu
Martin Stiemerling NEC Europe Ltd. Kurfuersten-Anlage 36 69115 Heidelberg Germany
マーティンStiemerling NECヨーロッパ社Kurfürsten-Anlageの36 69115ハイデルベルクドイツ
Phone: +49 6221 4342-113 EMail: stiemerling@nw.neclab.eu
電話:+49 6221 4342-113電子メール:stiemerling@nw.neclab.eu
Pyda Srisuresh Kazeon Systems, Inc. 1161 San Antonio Rd. Mountain View, CA 94043 U.S.A.
Pyda Srisuresh Kazeon Systems、Inc.の1161年サンアントニオRdを。マウンテンビュー、CA 94043 U.S.A.
Phone: +1 408 836 4773 EMail: srisuresh@yahoo.com
電話:+1 408 836 4773 Eメール:srisuresh@yahoo.com
Full Copyright Statement
完全な著作権声明
Copyright (C) The IETF Trust (2008).
著作権(C)IETFトラスト(2008)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書では、BCP 78に含まれる権利と許可と制限の適用を受けており、その中の記載を除いて、作者は彼らのすべての権利を保有します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれている情報は、基礎とCONTRIBUTOR「そのまま」、ORGANIZATION HE / SHEが表すまたはインターネットSOCIETY、(もしあれば)を後援し、IETF TRUST ANDインターネットエンジニアリングタスクフォース放棄ALLに設けられています。保証は、明示または黙示、この情報の利用および特定目的に対する権利または商品性または適合性の黙示の保証を侵害しない任意の保証がこれらに限定されません。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、本書またはそのような権限下で、ライセンスがたりないかもしれない程度に記載された技術の実装や使用に関係すると主張される可能性があります任意の知的財産権やその他の権利の有効性または範囲に関していかなる位置を取りません利用可能です。またそれは、それがどのような権利を確認する独自の取り組みを行ったことを示すものでもありません。 RFC文書の権利に関する手続きの情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IPRの開示のコピーが利用できるようにIETF事務局とライセンスの保証に行われた、または本仕様の実装者または利用者がそのような所有権の使用のための一般的なライセンスまたは許可を取得するために作られた試みの結果を得ることができますhttp://www.ietf.org/iprのIETFのオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、その注意にこの標準を実装するために必要とされる技術をカバーすることができる任意の著作権、特許または特許出願、またはその他の所有権を持ってすべての利害関係者を招待します。 ietf-ipr@ietf.orgのIETFに情報を記述してください。