estructura NDIS_IPSEC_OFFLOAD_V2 (ntddndis.h)

Artículo
08/07/2023

[La característica IPsec Task Offload está en desuso y no se debe usar.]

La estructura de NDIS_IPSEC_OFFLOAD_V2 proporciona información sobre las funcionalidades de descarga de tareas de seguridad del protocolo de Internet (IPsec) versión 2 en la estructura de NDIS_OFFLOAD .

Sintaxis

typedef struct _NDIS_IPSEC_OFFLOAD_V2 {
  ULONG   Encapsulation;
  BOOLEAN IPv6Supported;
  BOOLEAN IPv4Options;
  BOOLEAN IPv6NonIPsecExtensionHeaders;
  BOOLEAN Ah;
  BOOLEAN Esp;
  BOOLEAN AhEspCombined;
  BOOLEAN Transport;
  BOOLEAN Tunnel;
  BOOLEAN TransportTunnelCombined;
  BOOLEAN LsoSupported;
  BOOLEAN ExtendedSequenceNumbers;
  ULONG   UdpEsp;
  ULONG   AuthenticationAlgorithms;
  ULONG   EncryptionAlgorithms;
  ULONG   SaOffloadCapacity;
} NDIS_IPSEC_OFFLOAD_V2, *PNDIS_IPSEC_OFFLOAD_V2;

Miembros

Encapsulation

Los tipos de encapsulación MAC que se admiten para la descarga de IPsec. Para obtener más información sobre este miembro, vea la siguiente sección Comentarios.

IPv6Supported

Valor BOOLEAN establecido en TRUE si se admite el procesamiento de descarga de IPsec en el tráfico IPv6. De lo contrario, este miembro es FALSE.

IPv4Options

Valor BOOLEAN que se establece en TRUE si la NIC admite la descarga de IPsec de paquetes con opciones de IPv4. De lo contrario, este miembro es FALSE.

IPv6NonIPsecExtensionHeaders

Valor BOOLEAN que se establece en TRUE si la NIC admite el procesamiento de descarga de IPsec para paquetes con encabezados de extensión IPv6 que no son IPsec, además de encabezados IPsec. De lo contrario, este miembro es FALSE.

Ah

Valor BOOLEAN que se establece en TRUE si la NIC puede realizar operaciones de descarga de IPsec en el envío y recibir paquetes que contienen una carga de seguridad de encabezado de autenticación (AH). De lo contrario, este miembro es FALSE.

Esp

Valor BOOLEAN que se establece en TRUE si la NIC puede realizar operaciones de descarga de IPsec en el envío y recibir paquetes que contienen una carga de seguridad encapsulada (ESP). De lo contrario, este miembro es FALSE.

AhEspCombined

Valor BOOLEAN que se establece en TRUE si la NIC puede realizar operaciones de descarga de IPsec en el envío y recibir paquetes que contienen una carga de AH y una carga ESP. De lo contrario, este miembro es FALSE.

Transport

Valor BOOLEAN que se establece en TRUE si la NIC puede procesar cargas de seguridad para la parte en modo de transporte de los paquetes de envío y recepción. (La parte del modo de transporte de un paquete pertenece a una conexión de un extremo a otro). De lo contrario, este miembro es FALSE.

Tunnel

Valor BOOLEAN que se establece en TRUE si la NIC puede procesar cargas de seguridad para la parte en modo túnel de los paquetes de envío y recepción. (La parte del modo de túnel de un paquete pertenece a una conexión de túnel). De lo contrario, este miembro es FALSE.

Nota Cuando la capa IPsec envía paquetes de túnel a través de una interfaz de descarga de tareas de IPsec, la capa IPsec garantiza que la descarga de envío grande (LSO) no se use para esos paquetes.

TransportTunnelCombined

Valor BOOLEAN que se establece en TRUE si la NIC puede procesar cargas de seguridad tanto para la parte del modo de transporte como para la parte del modo de túnel de los paquetes de envío y recepción. De lo contrario, este miembro es FALSE. La parte del modo de transporte de un paquete pertenece a una conexión de un extremo a otro. La parte del modo de túnel de un paquete pertenece a una conexión de túnel.

LsoSupported

Valor BOOLEAN que se establece en TRUE si la NIC admite la descarga de envío grande (LSO). De lo contrario, este miembro es FALSE. Tenga en cuenta que las funcionalidades LSO de la NIC se especifican en los miembros LsoV1 o LsoV2 de la estructura NDIS_OFFLOAD . La marca LsoSupported indica que las funcionalidades especificadas en esos miembros también son válidas si la conexión está protegida con IPsec.

ExtendedSequenceNumbers

Valor BOOLEAN que se establece en TRUE si la NIC admite números de secuencia extendida de IPsec. De lo contrario, este miembro es FALSE.

UdpEsp

Los tipos de paquetes de datos ESP encapsulados por UDP que la NIC puede analizar. Para obtener una descripción de los tipos de encapsulación UDP, consulte Tipos de encapsulación udp-ESP. Este miembro puede ser una o varias de las marcas siguientes:

IPSEC_OFFLOAD_V2_UDP_ESP_ENCAPSULATION_NONE

El procesamiento de descarga de IPsec no está disponible para ningún tipo de encapsulación UDP.

IPSEC_OFFLOAD_V2_UDP_ESP_ENCAPSULATION_TRANSPORT

La descarga de IPsec es compatible con un paquete encapsulado en modo de transporte ESP encapsulado por UDP.

IPSEC_OFFLOAD_V2_UDP_ESP_ENCAPSULATION_TUNNEL

La descarga de IPsec se admite para la parte en modo túnel de un paquete que está encapsulado por UDP. La parte del modo de transporte del paquete no está encapsulada por UDP y no está protegida por ESP.

IPSEC_OFFLOAD_V2_TRANSPORT_OVER_UDP_ESP_ENCAPSULATION_TUNNEL

La descarga de IPsec se admite para la parte en modo túnel de un paquete que está encapsulado por UDP. La parte del modo de transporte de un paquete no está encapsulada por UDP, pero está protegida por ESP.

IPSEC_OFFLOAD_V2_UDP_ESP_ENCAPSULATION_TRANSPORT_OVER_TUNNEL

La descarga de IPsec se admite para la parte en modo túnel de un paquete que no está encapsulado por UDP. La parte del modo de transporte de un paquete está encapsulada por UDP y protegida por ESP.

AuthenticationAlgorithms

Máscara de bits que identifica los algoritmos de autenticación IPsec que admite la NIC. Los controladores de minipuerto especifican un OR bit a bit de los siguientes valores:

IPSEC_OFFLOAD_V2_AUTHENTICATION_MD5

La NIC puede usar el algoritmo de resumen de mensajes con clave 5 (MD5) para calcular o validar una suma de comprobación criptográfica.

IPSEC_OFFLOAD_V2_AUTHENTICATION_SHA_1

La NIC puede usar el algoritmo hash seguro (SHA) 1 para calcular o validar una suma de comprobación criptográfica.

IPSEC_OFFLOAD_V2_AUTHENTICATION_SHA_256

La NIC puede usar el algoritmo SHA 256 para calcular o validar una suma de comprobación criptográfica.

IPSEC_OFFLOAD_V2_AUTHENTICATION_AES_GCM_128

La NIC puede usar el algoritmo 128 de Advanced Encryption Standard - Galois/Counter Mode (AES-GMAC) para calcular o validar una suma de comprobación criptográfica.

IPSEC_OFFLOAD_V2_AUTHENTICATION_AES_GCM_192

La NIC puede usar el algoritmo AES-GMAC 192 para calcular o validar una suma de comprobación criptográfica.

IPSEC_OFFLOAD_V2_AUTHENTICATION_AES_GCM_256

La NIC puede usar el algoritmo AES-GMAC 256 para calcular o validar una suma de comprobación criptográfica.

EncryptionAlgorithms

Máscara de bits que identifica los algoritmos de cifrado de IPsec que admite la NIC. Esta máscara de bits es un OR bit a bit de los siguientes valores:

IPSEC_OFFLOAD_V2_ENCRYPTION_NONE

La NIC puede usar el cifrado nulo, es decir, la carga de ESP sin cifrado, pero con información de autenticación.

IPSEC_OFFLOAD_V2_ENCRYPTION_DES_CBC

La NIC puede usar el algoritmo DES para cifrar y descifrar cargas esp.

IPSEC_OFFLOAD_V2_ENCRYPTION_3_DES_CBC

La NIC puede usar el algoritmo triple-DES para cifrar y descifrar cargas esp.

IPSEC_OFFLOAD_V2_ENCRYPTION_AES_GCM_128

La NIC puede usar el algoritmo AES-GCM 128 para cifrar y calcular una suma de comprobación criptográfica o descifrar y validar una suma de comprobación criptográfica para una carga esp. Tenga en cuenta que este algoritmo es un algoritmo de modo combinado.

IPSEC_OFFLOAD_V2_ENCRYPTION_AES_GCM_192

La NIC puede usar el algoritmo AES-GCM 192 para cifrar y calcular una suma de comprobación criptográfica o descifrar y validar una suma de comprobación criptográfica para una carga esp. Tenga en cuenta que este algoritmo es un algoritmo de modo combinado.

IPSEC_OFFLOAD_V2_ENCRYPTION_AES_GCM_256

La NIC puede usar el algoritmo AES-GCM 256 para cifrar y calcular una suma de comprobación criptográfica o descifrar y validar una suma de comprobación criptográfica para una carga esp. Tenga en cuenta que este algoritmo es un algoritmo de modo combinado.

IPSEC_OFFLOAD_V2_ENCRYPTION_AES_CBC_128

La NIC puede usar el algoritmo 128 del modo de encadenamiento de bloques de cifrado avanzado : modo de encadenamiento de bloques de cifrado (AES-CBC) para cifrar y descifrar cargas esp.

IPSEC_OFFLOAD_V2_ENCRYPTION_AES_CBC_192

La NIC puede usar el algoritmo AES-CBC 192 para cifrar y descifrar cargas esp.

IPSEC_OFFLOAD_V2_ENCRYPTION_AES_CBC_256

La NIC puede usar el algoritmo AES-CBC 256 para cifrar y descifrar cargas esp.

SaOffloadCapacity

El número de agrupaciones de SA, que pueden incluir ESP o AH o ambos, que se pueden descargar en la NIC. Tcp/IP mantiene un recuento del número de agrupaciones de SA descargadas y no debe agregar más del número máximo de agrupaciones de SA notificadas por el controlador de minipuerto.

Comentarios

En NDIS 6.1 y versiones posteriores, la estructura de NDIS_IPSEC_OFFLOAD_V2 se usa en el miembro IPsecV2 de la estructura NDIS_OFFLOAD . La estructura NDIS_IPSEC_OFFLOAD_V2 especifica las funcionalidades actuales o admitidas que proporciona un adaptador de miniporte para el procesamiento de descarga de IPsec.

Nota Para admitir la descarga de tareas IPsec, el controlador de miniporte debe especificar TRUE en el miembro tunnel .

NDIS_OFFLOAD se usa en estructura de NDIS_MINIPORT_ADAPTER_OFFLOAD_ATTRIBUTES , estructura de NDIS_BIND_PARAMETERS , estructura de NDIS_FILTER_ATTACH_PARAMETERS , OID_TCP_OFFLOAD_CURRENT_CONFIG OID y NDIS_STATUS_TASK_OFFLOAD_CURRENT_CONFIG indicación de estado.

Para OID_TCP_OFFLOAD_CURRENT_CONFIG, la estructura de NDIS_OFFLOAD especifica las funcionalidades de descarga de tareas que admite un adaptador de minipuerto. Si cambian las funcionalidades de descarga actuales, un controlador de miniporte informa de las nuevas funcionalidades de un NDIS_STATUS_TASK_OFFLOAD_CURRENT_CONFIG indicación de estado.

El miembro Encapsulation de NDIS_IPSEC_OFFLOAD_V2 define las encapsulaciones MAC que admite un adaptador de minipuerto para la descarga de IPsec.

En respuesta a un OID_TCP_OFFLOAD_CURRENT_CONFIG solicitud de consulta, NDIS proporciona un OR bit a bit de las marcas de encapsulación, que indican la configuración de encapsulación admitida, en el miembro Encapsulation . Los controladores miniport deben proporcionar encapsulación Ethernet (NDIS_ENCAPSULATION_IEEE_802_3). Los otros tipos de encapsulación son opcionales.

Para un NDIS_STATUS_TASK_OFFLOAD_CURRENT_CONFIG indicación de estado, el controlador de minipuerto proporciona un OR bit a bit de las marcas de encapsulación, que indican las funcionalidades actuales, en el miembro Encapsulation .

Las marcas siguientes se definen para el miembro Encapsulation :