Einführung in IPsec Offload Version 2

[Das IPsec-Aufgabenauslagerungsfeature ist veraltet und sollte nicht verwendet werden.]

IPsec offload Version 2 (IPsecOV2) erweitert Dienste, die in IPsec-Offload-Version 1 (IPsecOV1) bereitgestellt werden. Weitere Informationen zu IPsecOV1-Auslagerung und IPsec finden Sie unter IPsec Offload Version 1.

Ein NDIS 6.1- und höher-Miniporttreiber meldet die IPsecOV2-Auslagerungsfunktionen eines Miniportadapters an NDIS. So melden Sie IPsec-Funktionen:

• Während der Initialisierung meldet ein Miniporttreiber die Standardkonfiguration und die Hardwarefunktionen eines Miniportadapters in der NDIS_MINIPORT_ADAPTER_OFFLOAD_ATTRIBUTES-Struktur .

• Wenn sich die konfigurierten Funktionen ändern, meldet der Miniporttreiber die aktuelle Konfiguration mit der NDIS_STATUS_TASK_OFFLOAD_CURRENT_CONFIG status Angabe. Die Konfiguration kann sich ändern, wenn die OID_TCP_OFFLOAD_PARAMETERS OID die aktuelle Aufgabenauslagerungskonfiguration eines Miniportadapters festlegt. Wenn sich die Hardwarekonfiguration unter einem MUX-Zwischentreiber ändert, muss der MUX-Zwischentreiber die Hardwarekonfigurationsänderungen mit der NDIS_STATUS_TASK_OFFLOAD_HARDWARE_CAPABILITIES status Anzeigen melden.

NDIS meldet die Standardkonfiguration der Auslagerungsfunktionen eines Miniportadapters an überlagernde Protokolltreiber in der NDIS_BIND_PARAMETERS-Struktur . Überlagernde Protokolltreiber können IPsecOV2-Aufgabendienste aus den Diensten auslagern, die in der aktuellen Konfiguration unterstützt werden. Die NDIS_STATUS_TASK_OFFLOAD_CURRENT_CONFIG status Angabe stellt sicher, dass alle überlastenden Protokolltreiber mit den neuen Funktioneninformationen aktualisiert werden.

Beim Melden von Hardwarefunktionen während der Initialisierung muss der Miniporttreiber die standardisierten Schlüsselwörter aus der Registrierung lesen. Weitere Informationen zu IPsecOV2-Auslagerungsfunktionen finden Sie unter Reporting a NIC's IPsec Offload Version 2 Capabilities.

Hinweis NDIS bietet eine direkte OID-Anforderungsschnittstelle für NDIS 6.1- und höhere Treiber. Der direkte OID-Anforderungspfad unterstützt OID-Anforderungen, die häufig abgefragt oder festgelegt werden.

IPsecOV2 stellt die OID_TCP_TASK_IPSEC_OFFLOAD_V2_ADD_SA, OID_TCP_TASK_IPSEC_OFFLOAD_V2_UPDATE_SA und OID_TCP_TASK_IPSEC_OFFLOAD_V2_DELETE_SA direkten OID-Anforderungen bereit, um Protokolltreibern das Hinzufügen, Aktualisieren und Löschen von Sicherheitszuordnungen (SAs) zu ermöglichen. Weitere Informationen zu SAs finden Sie unter Verwalten von Sicherheitszuordnungen in IPsec-Auslagerung version 2.

Eine NIC kann IPsec-Auslagerungsaufgaben für die Sende- und Empfangspfade ausführen. NDIS-Treiber verwenden die NDIS_IPSEC_OFFLOAD_V2_NET_BUFFER_LIST_INFO-, NDIS_IPSEC_OFFLOAD_V2_HEADER_NET_BUFFER_LIST_INFO- und NDIS_IPSEC_OFFLOAD_V2_TUNNEL_NET_BUFFER_LIST_INFO-Strukturen , um auf die IPsec-Out-of-Band-Informationen (OOB) zuzugreifen.

Im Sendepfad legen die überlagernden Treiber das Handle auf die ausgehenden SA- und IPsec-Headerinformationen in den OOB-Informationen in der NET_BUFFER_LIST-Struktur fest, um anzugeben, dass die NIC IPsecOV2-Auslagerungsaufgaben ausführen soll.

Auf dem Empfangspfad muss die NIC nach dem Entladen der Sa die IPsec-Verarbeitung für alle empfangenen Pakete ausführen, die den Funktionen entsprechen, die der Miniporttreiber an NDIS gemeldet hat. Der Miniporttreiber legt die entsprechenden Flags in OOB-Informationen in der NET_BUFFER_LIST-Struktur fest, um bestimmte Von der NIC ausgeführte Auslagerungsaufgaben und das Ergebnis dieser Vorgänge anzugeben.

Weitere Informationen zum Senden und Empfangen der Verarbeitung in IPsecOV2 finden Sie unter Senden von Netzwerkdaten mit IPsec-Auslagerung Version 2 und Empfangen von Netzwerkdaten mit IPsec-Auslagerung Version 2.