Cisco VPN Solutions Center: IPsec ソリューション プロビジョニング ガイド
用語集
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

 


A
AA サーバ
許可/アカウンティング サーバ。
リプレイ攻撃防止
受信側エッジ デバイス ルータがリプレイ攻撃から自らを守るために古いパケットや重複するパケットを拒否できるセキュリティ サービス。
ARP
Address Resolution Protocol(アドレス解決プロトコル)の略。インターネット層アドレス(一般に「IP アドレス」として知られる)からメディア アクセス制御(MAC)層アドレスへの正しいマッピングを確立するためにホスト コンピュータ システムで使用されるディスカバリ プロトコル。
オーディタ
ライフタイムを通じて VPN サービス要求の現在の状態を監視して報告するための VPN Solutions Center のメカニズム。オーディタは、サービス要求が正しく展開されていること、またはルータ上にあることを確認します。さらにオーディタは、サービス要求が現在の状態にある理由を通知します。オーディタは状態遷移があったときに、それを VPN インベントリ リポジトリに保存します。
認証
メッセージの整合性とメッセージ リプレイ攻撃の防止を保証するプロセス。データの整合性とデータ発信元の認証が含まれます。
認証ヘッダー(AH)
データの整合性、データ発信元の認証、オプションのリプレイ攻撃防止サービスを IP に提供する IPsec プロトコル。AHは、IP データグラムの保護されている部分の暗号化や、機密性の提供は行いません。
信頼できる SNMP エンジン
ネットワーク通信に関与する SNMP コピーの 1 つで、メッセージ リプレイ攻撃、遅延、リダイレクションを防ぐことのできる SNMP エンジンに指定されています。SNMPv3 パケットの認証と暗号化に使用されるセキュリティ キーは、信頼できる SNMP エンジンのエンジン ID およびユーザ パスワードの関数として生成されます。SNMP メッセージが応答を予測する場合(get exact、get next、set request など)には、これらのメッセージの「受信側」が信頼されています。SNMP メッセージが応答を予測しない場合には、「送信側」が信頼されています。

 


B
バックアップ エンドポイント
トンネル エンドポイントにおけるループ関係。CPE は複数のバックアップ CPE を備えることができますが、これは主に冗長性とフォールト トレランスを目的としています。1 つの CPE が故障しても、他のトンネル エンドポイントを手作業で設定する必要はなく、バックアップ CPE がトンネル ピアの役割を引き継ぎます。ただし、アクティブにできるピアは常に 1 つだけです。

 

 


C
CBC
Cipher block chaining(暗号ブロック連鎖)の略。対称キー バルク暗号化アルゴリズム(DES など)と共に使用され、任意の長さのデータを暗号化するメカニズムです。
コミュニティ ストリング
管理ステーションと SNMPv1/v2c エンジンとの間のメッセージを認証するために使用されるテキスト ストリング。
コンフィグレット
VPN Solutions Center のプロビジョニング プロセスによって作成される一連の Cisco IOS コマンドを含むルータ コンフィギュレーション ファイルの一部分。コンフィグレットの IOS コマンドは、ルータの現在の設定を変更してサービス要求の展開を可能にするために必要なコマンドだけで構成されています。VPN Solutions Center はコンフィグレットをルータにダウンロードし、コンフィグレット内のコマンドを実行してルータの設定を変更します。次に、VPN Solutions Center はルータからコンフィギュレーション ファイルの最新バージョンを収集します。VPNSC がサービス要求展開の監査に使用するコンフィギュレーション ファイルはこのバージョンです。コンフィグレットは、「 VPNSC コンフィグレット 」とも呼ばれます。
CoS プロファイル
プロバイダーによってカスタマーに提供される CoS 構成のセットを表します。各 CoS プロファイルは、トラフィックがどのように整形されポリシングされるかに関する構成情報を記録する一連の CoS クラスで構成されます。
CPE
Customer Premise Equipment(顧客宅内機器)の略。このドキュメントでは、CPE を「エッジ デバイス ルータ」とも呼びます。CPE はカスタマー ネットワークの一部です。CPE は、仮想プライベート ネットワーク(VPN)任意のセットを結合できます。各 CPE は、それぞれ 1 つのカスタマーにだけ属しており、サービス プロバイダー クラウドを通じてカスタマー サイトを別のサイトに接続し、そのカスタマー サイトに対する VPN サービスを取得します。各 CPE は多数のコンフィグレットを備えることができ、複数のサービス要求による設定が可能です。
カスタマー側に向けられるインターフェイス
カスタマー サイト サブネットに接続されている CPE ルータ上のインターフェイス。CPE は 1 つまたは複数のカスタマー側に向けられるインターフェイスを持つことができます。カスタマー側に向けられるインターフェイスは、SP 側に向けられるインターフェイスと同様に、ループバック アドレスに関連付けられた numbered インターフェイスまたは unnumbered インターフェイスのいずれの場合もあります。カスタマー側に向けられるループバック アドレスは、カスタマー アドレス空間にあります。
カスタマー サイト
VPN を使用することなく相互を IP 接続で結ぶ一連の IP システム。各カスタマー サイトは、1 つのカスタマーにだけ属しています。カスタマー サイトには 1 つまたは複数の(負荷分散のための)エッジ デバイス ルータを含めることができます。
CVC
Customer virtual context の略。Cisco VPN 5000 Concentrator では、CVC は自身のネットワークしか「認識」しない仮想ルータで構成されます。CVC は特定のカスタマーのルーティングと VPN 機能を識別しますが、Main CVC は他の CVC のリストを含めたシステムの基本機能を定義します。VPN 5000 Concentrator には、コンセントレータがカスタマー ネットワークのセキュリティを損なうことなく多数のカスタマーのニーズに応じられるように複数の CVC を含めることができます。カスタマーごとに 1 つの CVC があります。

 


D
データ整合性
データ パケットが不正な方法で変更または破壊されていないデータの条件または状態。
データ発信元認証
代理としてメッセージを送信したユーザの ID を確認する機能。この機能は、異なる SNMP エンジンによるメッセージの取り込みと応答、さらに不正なパスワードまたはセキュリティ レベルを使用する特定ユーザとの間のパケットの送受信からユーザを保護します。
DES
データ暗号化規格(DES)によりパケット データが暗号化されます。Cisco IOS は、明示的な初期ベクトル(IV)により必須 56 ビット DES-CBC を実装します。暗号ブロック連鎖(CBC)には、暗号化を開始するために初期ベクトルが必要です。初期ベクトルは、IPsec パケットに含まれています。トリプル DES(3DES)は、異なるサブキーで操作を 3 回行うことでセキュリティーを強化します。
DHCP
Dynamic Host Configuration Protocol(動的ホスト設定プロトコル)の略。通常エンドホスト コンピュータが使用し、通信に必要なネットワーク構成パラメータを自動的に取得するプロトコル。これらのパラメータには、IP アドレス、サブネット マスク、ブロードキャスト アドレス、ルーティング情報(デフォルト ルート)、ドメイン ネーム サーバ リストが含まれます。
Diffie-Hellman
保護されていない通信チャネル上で 2 つのパーティが共有秘密情報を確立できる公開キー暗号化プロトコル。IKE は Diffie-Hellman を使用してセッション キーを確立します。
デジタル署名
内容の整合性を検証するメッセージまたはドキュメントに関連付けられているデジタル マーク。有効なデジタル署名を生成できるのは、対象の秘密キーだけです。
DOI
Domain of Interpretation の略。IKE 交換において、特定のコンテキスト依存型コンポーネントの正式なセマンティックスを記述する標準ドキュメント。
DNS
Domain Naming System の略。Unix ベースのネットワークでは、DNS はネットワーク ノードの名前をアドレスに変換するためインターネットで使用されます。
Double Diamond
Cisco 10000 Edge Services Router(ESR)および Cisco 6400 Universal Access Concentrator(UAC)用の Encryption Service Processor(ESP)カード。Double Diamond ESP は基本的にカードで VPN 5000 シリーズ のコンセントレータを提供します。
DSLAM
Digital Subscriber Line Access Multiplexer の略。
DTD
Document Type Definition の略。多くの場合、Extensible Markup Language(XML)との関連で使われます。

 


E
暗号化
SNMP パケットの内容にスクランブルをかけることで不正ユーザからデータを隠す方式。逆の操作は復号化です。
ESP
Encapsulating Security Payload の略。IP ペイロード セキュリティを強化するために IPsec メカニズムの一部としてサポートされている 2 つのプロトコルの 1 つ(もう一方は AH)。ESP は、AH(「 認証ヘッダー」 を参照)の機能の多くを提供し、データグラム ペイロード暗号化を通じてプライバシーを強化します。
Extensible Markup Language
「XML 」も参照。

 


G
GRE プロトコル
Generic routing encapsulation の略。GRE は、Cisco Systems が開発したトンネリング プロトコルです。IP トンネル内の多種多様なタイプのプロトコル パケットをカプセル化し、IP インターネットワーク上で シスコ ルータへの仮想ポイントツーポイント リンクを作成できます。GRE を使用した IP トンネリングは、シングルプロトコル バックボーン環境にマルチプロトコル サブネットワークを接続できるようにします。
グループ
特定のセキュリティ モデルに属している一連のユーザ。グループは、属しているすべてのユーザにアクセス権を定義します。アクセス権は、読み取り、書き込み、または作成ができる SNMP オブジェクトを定義します。さらにグループは、ユーザがどの通知を受信できるかを定義します。

 


I
IANA
Internet Assigned Numbers Authority の略。IAB の一部として ISOC の賛助により機能している組織。IANA は、IP アドレススペースの割り振りとドメイン ネームの割り当てを行う権限を InterNIC および他の機関に委任しています。さらに IANA は、BGP 自律システム番号を始めとして、TCP/IP スタックに使用される割り当て済みプロトコル識別子のデータベースを管理しています。
ICMP
Internet Control Message Protocol の略。エラーの報告や IP パケット処理に関連する情報の提供を行う、ネットワーク層のインターネット プロトコルです。
IDL
Interface Definition Language の略。API サーバの API を記述する汎用言語。IDL API ファイルは、CORBA がサポートする「 対象言語」 で言語固有の API ファイルを生成するために、承認されている CORBA ベンダーの IDL コンパイラを使用してコンパイルする必要があります。生成された対象言語ファイルを使用して、サードパーティのクライアントアプリケーション ソース コードに API がサポートする機能を追加できます。
IPsec ポリシー提案
IPsec 提案の順序付きリスト。各提案は、暗号化アルゴリズム、認証符号アルゴリズム、SA ライフ タイムなどで構成されます。
IPv4
インターネット プロトコル、バージョン 4。32 ビット アドレス空間をサポートする IP のバージョン。
IPv6
インターネット プロトコル、バージョン 6。128 ビット アドレス空間をサポートする IP のバージョン。

 


K
キープアライブ パラメータ
IKE ネゴシエーションの障害を検出する シスコ 独自の IKE の拡張機能。IKE セッションが確立された後、各ノードはピアにキープアライブ パケットを送信します。ピアからの応答がない場合には、送信側ノードは無応答のピアとの IKE/IPsec トンネルを破棄します。
キー付きハッシュ関数
メッセージの送信側と受信側との間のキーを共有する一方向のハッシュ関数。キー付きハッシュ関数は、データの整合性を確実にし、送信側と受信側で同じ共有キーを所有していることを確認するメカニズムを提供します。ハッシュ関数の強度の制限となるのは、主にハッシュ シグニチャのサイズです。Hashed Message Authentication Codes(HMAC)メカニズムは、IPsecの標準コンポーネントです。

 


L
L2TP
Layer 2 Tunneling Protocol(レイヤ 2 トンネリング プロトコル)の略。インターネットを経由する安全で優先度の高い一時的パスを提供する手段。L2TP が多く採用されるのは、モバイル ユーザがローカル企業 LAN に接続されているように見せる場合です。安全性に不安のあるネットワーク上でトラフィックを企業内のエンドポイントにトンネリングすることにより、ローカルであるかのようなアドレスをトラフィックに持たせることができます。
LAC
L2TP Access Concentrator(L2TP アクセス コンセントレータ)の略。リモート アクセス ネットワークに接続される装置で、リモート ユーザの PPP 接続を L2TP ネットワーク サーバ(LNS)に接続できるようにします。
LDAP
Lightweight Directory Access Protocol の略。オンラインでディレクトリ サービスに直接アクセスするためのプロトコル。LDAP は TCP(伝送制御プロトコル)上で直接動作し、スタンドアロンの LDAP ディレクトリ サービスまたは X.500 がバックエンドであるディレクトリ サービスへのアクセスに使用されます。
ライフタイム パラメータ
グローバル設定。「 ライフタイム」 は、各セキュリティ結合に関連付けられており、これを超えて SA を使用することはできません。ライフタイムには、2 種類あります。SA の持続時間に関して指定される「 時限ライフタイム」 と、この SA を使用して保護されるバイト数に関して指定される「 トラフィックボリューム ライフタイム」 です。セキュリティ結合は、これらのうち最初のライフタイムに到達すると期限満了します。
LNS
L2TP Network Server の略。L2TP トンネルを終端する装置。LNS は、L2TP トンネルを介してリモート ユーザの PPP 接続を受け取ります。LNS はリモート ユーザを認証して許可し、次にリモート ユーザのコンピュータとデータ ネットワークの間でパケットを転送します。
ループバック インターフェイス
このループバック インターフェイスの IP アドレスは、スイッチまたはルータ上のソフトウェア ループバック インターフェイスのアドレスとして定義されます。ループバック インターフェイスには関連付けられている実際のハードウェアはなく、物理的にはネットワークに接続されていません。多くの場合テストを目的として使用されますが、ループバック インターフェイスは、インターフェイス ハードウェアの状態にかかわりなく常に動作状態で到達可能なローカル マシンの IP インターフェイスとして使用できます。

 


M
管理対象装置
VPN Solutions Center ソフトウェアを使用してデバイス設定の変更を行うサービス プロバイダーが管理する装置。管理対象装置については、これらの装置が SA エージェントをサポートするかどうか指定できるため、SLA データを収集できます。
管理インターフェイス
VPN Solutions Center Network Management Subnet はサービス プロバイダー ネットワーク内に常駐し、割り当てられた「 管理インターフェイス」 を介してエッジ デバイス ルータと通信します。構成の変更は VPN Solutions Center ソフトウェアによって管理され、管理インターフェイスを介して適切なエッジ デバイスに転送されます。
MD5
Message Digest #5 の略。128 ビット シグニチャを生成する一般的なハッシュ関数。「 キー付きハッシュ関数」 も参照。
MIB
Management Information Base(管理情報ベース)の略。ネットワーク管理ステーションからアクセスできるようにネットワーク エージェント上に格納されているネットワーク パフォーマンス情報のデータベース。MIB は、ネットワーク デバイスで管理されるネットワーク インターフェイス カード(NIC)、ハブ、スイッチ、またはルータなどの特性とパラメータのリポジトリで構成されます。

 


N
NAT
Network address translation(ネットワーク アドレス変換)の略。特定のファイアウォールによって実行される機能で、IP レイヤの送信元アドレスの元の形式を、実際の送信側ホストを隠蔽して確実にファイアウォール経由で応答が届くアドレスに変換します。
ネットワーク
IPsec Solution Center ソフトウェアでは、ネットワークとは一意の名前を持つターゲットの集合です。
通知ホスト
通知(トラップおよび情報)が送信される SNMP エンティティ。
通知ビュー
グループ内の各ユーザに送信される通知のリストを定義する各グループのビュー名(64 文字以内)。

 


O
Oakley プロトコル
セキュリティ結合をセットアップする際に必要な特定のキー交換を行うために、IKE が取り入れた暗号化キー交換のメカニズム。
OID
Object identification number(オブジェクト識別番号)の略。MIB のツリー構造にマッピングする SNMP グループの要素です。

 


P
PKI
Public key infrastructure の略。公開キーとその関連識別情報を機関が維持、配布、作成、および検証する方法を定義する、プロトコル、テクノロジー、明文化されたポリシーから成る整合的な集合です。
プレフィックス
CPE のカスタマー側に向けられるインターフェイスと結ばれた IP アドレス範囲を表します。カスタマー側に向けられる各インターフェイスは、その背後に多くのサブネット、つまりプレフィックス オブジェクトを持つことができます。実際には、複数のカスタマーに向けられるインターフェイスが単一の IP アドレス範囲を共有することも可能です。これは、プレフィックスとカスタマー側に向けられるインターフェイスとの間には多対多の関係があるということです。カスタマーは、カスタマー側に向けられる各インターフェイスにすべてのプレフィックスを入力できます。
プレフィックスは、(ピア エンドで)トンネルの crypto ACL を定義するので、トンネル エンドポイントと結ばれる必要があります。各エンドポイントは背後に多数のプレフィックスを持つことができ、各プレフィックスは多数のトンネルの crypto ACL で使用できます。
プライバシー
SNMP パケットの内容の暗号化された状態。この状態のとき、内容をネットワーク上で開示することはできません。CBC-DES(DES-56)アルゴリズムは、暗号化タスクを実行します。
プロバイダー ネットワーク
カスタマー サイト間の転送サービスを提供するサービス プロバイダーの管理下にあるバックボーン ネットワーク。
PVC
Permanent Virtual Circuit(相手先固定接続)の略。2 つのネットワーク ノード間の相手先固定アソシエーション。PVC では、相手先固定アソシエーションを維持するために固定された論理チャネルを使用します。PVC は X.25 ネットワークで広く採用され、フレーム リレー ネットワークで通信が行われる場合の基礎になっています。

 


R
RADIUS サーバ
外部の Remote Authentication Dial-In User Service(RADIUS サーバ)の略。外部 RADIUS サーバは、VPN 3000 Concentrator 上で一致したグループおよびユーザ認証パラメータを返すことができます(他の認証サーバは返しません)。
読み取りビュー
グループに属しているユーザが読み取りのためにアクセスできるオブジェクト識別子(OID)のリストを定義する各グループのビュー名(64 文字以内)。
response time reporter
VPN Solutions Center ソフトウェアのサービス保証エージェント(SA エージェント)の以前の名前。「 SA エージェント 」も参照。
RIP
Routing Information Protocol の略。インターネットで最もシンプルな内部ゲートウェイ プロトコル(IGP)。RIP は、発信元装置と宛先装置を基にネットワーク上の 2 つのノード間の最短パスを測定するディスタンスベクター アルゴリズムを基盤にしています。最短パスは、これらのポイント間の「ホップ」の数によって決まります。
RTT
Round-trip time(ラウンドトリップ時間)の略。パケットがネットワークを経由してその宛先に到達して戻ってくるまでに要する合計時間。

 


S
SA エージェント
応答時間と可用性を測定することにより、ネットワーク パフォーマンス、ネットワーク リソース、アプリケーションを監視できる、サービス保証エージェント(SA エージェント)機能。この機能を利用して、トラブルシューティング、問題通知、およびサービス保証エージェントの統計に基づく予防分析を行うことができます。SA エージェント ルータは、Cisco Round Trip Time Monitor(RTTMON) MIB を使用します。サービス保証エージェント機能を使用すると、装置間(VPN 内の 2 つの CE 間など)の時間遅延、およびプロトコル レベルでの発信元装置から宛先装置までのパス上の時間遅延を調べることによって、問題のトラブルシューティングにあたることができます。
セカンダリ エッジ デバイス
ロードシェアリングのため、またはプライマリ エッジ デバイスが機能停止した場合に自動的に起動できる装置。
SecurID サーバ
セキュアなインターフェイス
エッジ ルータには、装置に関連付けられた「 セキュアな(暗号化されている)インターフェイス」 および「 ノンセキュアな(暗号化されていない)インターフェイス」 を備える必要があります。セキュアな インターフェイスはサービス プロバイダー ネットワーク側に向かいます。
セキュリティ結合(SA)
2 つの通信するエッジ デバイス ルータが、特定のデータ フローに代わって安全に通信するために特定のセキュリティ プロトコル(AH または ESP)を使用する方法についての記述。宛先アドレス、セキュリティ プロトコル、セキュリティ パラメータ インデックス(SPI)の組み合せによって、SA は一意に識別されます。SA は、パケットを保護するために使われる IPsec プロトコル、トランスフォーム、キー、およびキーが有効である期間を決めます。Cisco VPN Solutions Center などの IPsec アプリケーションは、IPsec プロトコルがパケットを保護するために使う SA を保持する SA データベースを構築します。SA は単方向(シンプレックス)でプロトコル固有です。
セキュリティ レベル
各 SNMP パケットで実行されるセキュリティ アルゴリズムのタイプ。 noauth auth priv の 3 つのレベルがあります。 noauth は、ユーザ名文字列の一致によりパケットを認証します。 auth は、HMAC MD5 または SHA アルゴリズムを使用してパケットを認証します。 priv は、HMAC MD5 または SHA アルゴリズムを使用してパケットを認証し、CBC-DES(DES-56)アルゴリズムを使用してパケットを暗号化します。
Security Parameter Index の略。
宛先 IP アドレスとセキュリティ プロトコルにより、宛先エッジ デバイスで特定のセキュリティ結合を一意に識別する 32 ビット要素。宛先エッジ デバイスは、SPI 値を使用して受信先エッジ デバイスの SA データベースにインデックスを付け、SA を取り出します。
SHA-1
Secure Hash Algorithm #1 の略。160 ビットのハッシュ出力を生成するハッシュ関数。「 キー付きハッシュ関数 」も参照。
簡易ネットワーク管理プロトコル(SNMP)
ネットワーク デバイスの監視と制御を行い、設定、統計収集、パフォーマンス、セキュリティを管理する手段を提供するネットワーク管理プロトコル。SNMPv2c は、中央集中型および分散型のネットワーク管理戦略をサポートし、管理情報構造(SMI)、プロトコル オペレーション、管理アーキテクチャ、セキュリティにおける改善が組み込まれています。SNMPv3 は、ネットワーク上のパケットの認証および暗号化を組み合せることで、デバイスへの安全なアクセスを提供します。
サイト
VPN Solutions Center ソフトウェアでは、サイトとは VPN カスタマーのコンポーネントを意味します。1 つまたは複数のエッジ デバイス ルータ(または CPE)の集まりです。2 つのエッジ ルータが VPN で接続されるには、これらは 2 つの別個のサイトになければなりません。サイトは、VPN カスタマーのアトリビュートとして VPN Solution ソフトウェアに定義されます。
スニファ
LAN セグメント上のすべてのトラフィックを調べることができ、情報をホールセールとして格納するかまたは解析できるアプリケーションおよびデバイスを示す一般的な用語。スニファは、ネットワークの異常を診断するためにネットワーク プロフェッショナルが使用しますが、セキュリティ保護されていない認証メカニズム上で渡されるセキュリティ クレデンシャルを入手するために不正に使用されることもあります。
SNMP エンジン
ローカル デバイスまたはリモート デバイス上に常駐する SNMP のコピー。
SNMP グループ
共通の SNMP リストに属している SNMP ユーザの集合。SNMP リストは、オブジェクト識別番号(OID)の読み取りアクセスおよび書き込みアクセスが共に可能なアクセス ポリシーを定義します。特定の SNMP グループに属しているユーザは、グループに定義されているアトリビュートをすべて継承します。
SNMP ビュー
SNMP オブジェクトとそのオブジェクトに提供されているアクセス権との間のマッピング。オブジェクトは、各ビューごとに異なるアクセス権を持つことができます。アクセス権は、オブジェクトがコミュニティ ストリングまたはユーザによってアクセス可能であるかどうかを示します。
SP 側に向けられるインターフェイス
PE ルータに直接接続されている CPE ルータ上のインターフェイス。CPE には 1 つまたは複数の SP 側のインターフェイスを持つことができます。VPNSC では、ループバック アドレスは IPsec トンネル エンドポイントとして使用されます。ルータ インターフェイスは、numbered の場合も unnunbered の場合もあります。Numbered インターフェイスは、割り当てられた一意の IP アドレスを持ちます。Unnumbered インターフェイスには、1 つのループバック アドレスに結び付けられるものもあります。各ループバック アドレスは、複数のトンネルのエンドポイントになります。SP 側に向けられるループバック アドレスは、サービス プロバイダーのアドレス空間にあります。
SPI
Security Parameter Index の略。AH および ESP プロトコルによって搬送される値で、受信されるパケットが処理されるセキュリティ結合(SA)を受信側システムが選択できるようにします。宛先アドレス、セキュリティ プロトコル、および SPI の組み合せによって、SA は一意に識別されます。SPI が備えているのは、SA の作成者によって定義されているローカルの重要度だけです。
スプリット トンネリング
IPsec クライアントがパケットを条件に基づいて、暗号化された形式で IPsec トンネルを介して送信するか、またはクリア テキスト形式でネットワーク インターフェイスに送信するかを決定できます。IPsec トンネルを越えた宛先が指定されていないパケットは、暗号化される必要がなく、トンネルを介して送信され復号化されて最終宛先にルーティングされる必要もありません。このため、スプリット トンネリングは処理の負荷を緩和し、トラフィック管理を簡略化して、トンネリングされていないトラフィックをスピードアップします。
スタティック ルート
明示的に設定されて、エッジ デバイス ルータのルーティング テーブルに入力されるルート。スタティック ルートは、ダイナミック ルーティング プロトコルによって選択されたルートに優先されます(プロトコルのデフォルトの管理距離とみなします)。
ストリップ レルム
認証時にユーザ名のレルム修飾子を指定します。つまり、クライアントは username@group にグループ アソシエーションを示すことができます。この例では、 username はユーザの名前であり、 @group はレルム修飾子です。

 


T
ターゲット
情報を収集でき、またデータを送信できる 1 つのネットワーク デバイス(通常はルータ)。対象は、対応するルータ コンフィギュレーション ファイルをインポートすることにより、VPN Solutions Center ソフトウェアにインポートされます。
テンプレート コンフィギュレーション ファイル
Template Manager によって作成された Cisco IOS コマンドを格納する IOS コンフィギュレーション ファイル。テンプレート コンフィギュレーション ファイルは、部分的または完全なコンフィギュレーション ファイルとして作成できます。特定のデータ ファイルを使用してテンプレート コンフィギュレーション ファイルを生成する場合、テンプレート コンフィギュレーション ファイルの名前は、使用するデータ ファイルの名前と同じになります。
テンプレート データ ファイル
テンプレート ファイルを生成するための変数値を格納するテキスト ファイル。有効なデータ ファイルには、テンプレートで定義されている変数すべての名前と値のペアが含まれます。各テンプレート ファイルは、複数のテンプレート データ ファイルに関連付けられます。ただし、各データ ファイルが関連付けられるテンプレートは 1 つだけです。
テンプレート ファイル
VPN Solutions Center テンプレートの定義を格納する Template Manager によって作成されたファイル。
端末サーバ
端末、プリンタ、ホスト、モデムなどの非同期デバイスを LAN または WAN に接続する通信プロセッサ。VPN Solutions Center 2.0 では、端末サーバはワークステーションからエッジ デバイス ルータを設定する方法を提供します。VPN Solutions Center ソフトウェアでは、まず対象を端末サーバとして定義し、次にその端末サーバ デバイスを特定のエッジ デバイス ルータに関連付けます。
トラフィック フロー セレクタ
VPN の 2 つのリソース間で交換される IP トラフィックは、「 トラフィック フロー」 と呼ばれます。トラフィック フロー セレクタ(「 フィルタ」 とも呼ばれます)は、一致または一致なしという結果をもたらす、トラフィック フローに適用される一連の条件です。セレクタは、保護する必要のあるトラフィックを指定するために使用されます。Cisco IOS では、セレクタはアクセス リストによって実装されます。
トランスフォーム
トランスフォームは、セキュリティ プロトコル(AH または ESP)とその対応アルゴリズムとのリストを作成します。たとえば、あるトランスフォームは HMAC-MD5 認証アルゴリズムを備える AH プロトコルです。
トランスフォーム セット
IPsec 保護トラフィックに適用する、セキュリティ プロトコル、アルゴリズム、その他の設定の容認可能な組み合わせ。IPsec セキュリティ結合のネゴシエーション中に、特定のデータ フローの保護時に特定のトランスフォーム セットを使用することに、ピアが同意します。
TTL
Time to live(存続可能時間)の略。ルータによってデータグラムが転送されるごとに減分される IP パケット ヘッダー内のフィールド。TTL フィールドがゼロになると、データグラムは有効ではなくなり廃棄されます。このメカニズムは、ループを回ることを防ぎ、データグラムがネットワーク ループを回り続けて行方不明になることを防止します。
トンネル
IPsec では、 トンネル とはエッジ デバイス ルータ間の双方向接続を作成する 1 対のセキュリティ結合(SA)を表します。IPsec トンネルでは、データ セキュリティを提供し、プライベート ネットワークの内部構造を隠蔽するために、IP は IP を介してトンネル伝送されます。
トンネル エンドポイント
IPsec VPN 内の各エッジ デバイスは、セキュアな「 トンネル エンドポイント 」を備える必要があります。トンネル エンドポイントは、IPsec トンネルのエンドポイントを定義するために IPsec に必要なインターフェイスです。トンネル エンドポイント インターフェイスは、ループバック インターフェイス(サービス プロバイダーのアドレス空間に IP アドレス)またはループバックではない物理インターフェイス(またはサブインターフェイス)である場合があります。
トンネル モード
ペイロードおよびヘッダーを暗号化します。通常、トンネル モードの IPsec は、パケットの最終宛先がセキュリティ終端点と異なる場合に使用されます。またこのモードは、VPN の場合のように、パケットを発信していないデバイスによってセキュリティが提供される場合にも使用されます。

 


U
UDP
User Datagram Protocol。TCP/IP スタックに含まれるコネクションレス型のトランスポート層プロトコル。UDP は確認応答あるいは配送保証なしにデータグラムを交換するシンプルなプロトコルで、エラー処理および再転送は他のプロトコルによって行う必要があります。
管理対象外デバイス
デバイスを所有するカスタマーによってのみ設定が可能なネットワーク デバイス。エッジ デバイスが管理対象外であれば、VPN Solutions Center はそのデバイスの設定を行いません。
ユーザ モデル
ユーザ ID とパスワードによりシステムにアクセスする時点でユーザを認証する機能。さらに、a)特定のデータへのユーザのアクセス制御、b)そのデータに対するユーザ機能の制御、および c)ユーザ ID にリンクされた変更の監査証跡を提供する機能を示します。

 


V
VCI
Virtual Channel Identifier(仮想チャネル識別子)の略。仮想チャネル(VC)のアドレスまたはラベルを指定する ATM 用語。VCI は、ATM セル ヘッダーの 16 ビット フィールドによって定義されている一意の数値タグです。この数値は、2 つのデバイス間のセッション中にセルのストリームが移動する VC を識別します。
VCL
Virtual Channel Link(仮想チャネル リンク)の略。VCI 値が割り当てられているポイントと、ATM ネットワークを出る際に値が変換または削除されるポイントとの間の ATM セルの単方向転送を示す ATM 用語。
VLAN
仮想 LAN。実際には多数の異なる LAN セグメント上に配置されているが、同一の配線に接続されているかのように通信できるよう構成されている LAN 上のデバイスのグループ。
VoIP
Voice over IP プロトコルの略。
VPN
Virtual Private Network(バーチャル プライベート ネットワーク)の略。インターネットのようなパブリック インフラストラクチャ上にプライベート IP ネットワーキングを提供するフレームワーク。VPN Solutions Center では、VPN は VPN サービスを経由して通信するよう設定されている一連のカスタマー サイトです。VPN は、2 つのサイトがプロバイダーのネットワークを介してプライベートの方式で通信できるネットワークです。つまり、VPN の外部からはパケットの代行受信や、新たなパケットの挿入はできません。プロバイダーのエッジ ネットワークからカスタマーのエッジ ネットワークまでの間には物理的な接続が存在します。VPN は、インターネットのようなパブリック ネットワーク インフラストラクチャ内に構築されているプライベート ネットワークです。VPN は、定義されている利益共同体の範囲内だけでピア接続を許可するようにアクセスを制御する通信環境です。共通の基盤となる通信媒体を何らかの形式で配分して構築しますが、この通信媒体は非排他的にネットワークにサービスを提供します。
VPN グループ
VPN グループは、VPN 5000 シリーズ のコンセントレータに接続する場合に関連 VPN ユーザに適用される一連のパラメータから構成されています。

 


W
WINS
Windows Internet Naming Service の略。Windows 環境でホスト名を解決するために使用されます。
書き込みビュー
グループのユーザが作成または変更できるオブジェクト識別子(OID)のリストを定義する各グループのビュー名(64 文字以内)。

 


X
XML
eXtensible Markup Language の略。Web ドキュメント用に特別に設計された SGML の縮小版。SML を利用することで、設計者は独自のカスタマイズ タグを作成して、HTML にはない機能性を提供できます。