Share via


estructura IPSEC_SA_BUNDLE1 (ipsectypes.h)

La estructura IPSEC_SA_BUNDLE1 se usa para almacenar información sobre una agrupación de asociación de seguridad (SA) de IPsec. IPSEC_SA_BUNDLE0 está disponible.

 

Sintaxis

typedef struct IPSEC_SA_BUNDLE1_ {
  UINT32                 flags;
  IPSEC_SA_LIFETIME0     lifetime;
  UINT32                 idleTimeoutSeconds;
  UINT32                 ndAllowClearTimeoutSeconds;
  IPSEC_ID0              *ipsecId;
  UINT32                 napContext;
  UINT32                 qmSaId;
  UINT32                 numSAs;
  IPSEC_SA0              *saList;
  IPSEC_KEYMODULE_STATE0 *keyModuleState;
  FWP_IP_VERSION         ipVersion;
  union {
    UINT32 peerV4PrivateAddress;
  };
  UINT64                 mmSaId;
  IPSEC_PFS_GROUP        pfsGroup;
  GUID                   saLookupContext;
  UINT64                 qmFilterId;
} IPSEC_SA_BUNDLE1;

Miembros

flags

Combinación de los valores siguientes.

Marca de agrupación de SA de IPsec Significado
IPSEC_SA_BUNDLE_FLAG_ND_SECURE
La detección de negociación está habilitada en anillo seguro.
IPSEC_SA_BUNDLE_FLAG_ND_BOUNDARY
Detección de negociación en habilitada en la zona perimetral que no es de confianza.
IPSEC_SA_BUNDLE_FLAG_ND_PEER_NAT_BOUNDARY
El mismo nivel está en anillo de zona perimetral que no es de confianza y una traducción de direcciones de red (NAT) está en el camino. Se usa con la detección de negociación.
IPSEC_SA_BUNDLE_FLAG_GUARANTEE_ENCRYPTION
Indica que se trata de una SA para las conexiones que requieren cifrado garantizado.
IPSEC_SA_BUNDLE_FLAG_NLB
Indica que se trata de una SA a un servidor NLB.
IPSEC_SA_BUNDLE_FLAG_NO_MACHINE_LUID_VERIFY
Indica que esta SA debe omitir la comprobación del LUID de la máquina.
IPSEC_SA_BUNDLE_FLAG_NO_IMPERSONATION_LUID_VERIFY
Indica que esta SA debe omitir la comprobación de LUID de suplantación.
IPSEC_SA_BUNDLE_FLAG_NO_EXPLICIT_CRED_MATCH
Indica que esta SA debe omitir la coincidencia explícita de identificadores de credenciales.
IPSEC_SA_BUNDLE_FLAG_ALLOW_NULL_TARGET_NAME_MATCH
Permite que una SA formada con un nombre del mismo nivel lleve tráfico que no tenga un destino del mismo nivel asociado.
IPSEC_SA_BUNDLE_FLAG_CLEAR_DF_ON_TUNNEL
Borra el bit DontFragment en el encabezado IP externo de un paquete de túnel IPsec. Esta marca solo se aplica a las SAs en modo de túnel.
IPSEC_SA_BUNDLE_FLAG_ASSUME_UDP_CONTEXT_OUTBOUND
Los puertos de encapsulación predeterminados (4500 y 4000) se pueden usar al hacer coincidir esta SA con paquetes en conexiones salientes que no tienen un contexto IPsec-NAT-shim asociado.
IPSEC_SA_BUNDLE_FLAG_ND_PEER_BOUNDARY
El mismo nivel tiene habilitada la detección de negociación y se encuentra en una red perimetral.
IPSEC_SA_BUNDLE_FLAG_SUPPRESS_DUPLICATE_DELETION
Suprime la lógica de eliminación de SA duplicada. La lógica de THis se realiza mediante el kernel cuando se agrega una SA de salida para evitar SAs duplicadas innecesarias.
IPSEC_SA_BUNDLE_FLAG_PEER_SUPPORTS_GUARANTEE_ENCRYPTION
Indica que el equipo del mismo nivel admite la negociación de una SA independiente para las conexiones que requieren cifrado garantizado.

lifetime

Duración de todas las entidades de servicio de la agrupación especificadas por IPSEC_SA_LIFETIME0.

idleTimeoutSeconds

Tiempo de espera en segundos después del cual los SAs del lote estarán inactivos (debido a la inactividad del tráfico) y expirarán.

ndAllowClearTimeoutSeconds

Tiempo de espera en segundos, después del cual la SA de IPsec debe dejar de aceptar paquetes que entran en el estado claro.

Se usa para la detección de negociación.

ipsecId

Puntero a una estructura de IPSEC_ID0 que contiene información de identidad de IPsec opcional.

napContext

Información de credenciales del mismo nivel del punto de acceso de red (NAP).

qmSaId

Identificador de SA usado por IPsec al elegir la SA para que expire. En el caso de un par de SA de IPsec, el qmSaId debe ser el mismo entre las máquinas de inicio y respuesta y entre los conjuntos de SA entrantes y salientes. Para diferentes pares IPsec, el qmSaId debe ser diferente.

numSAs

Número de entidades de certificación en la agrupación. Los únicos valores posibles son 1 y 2. Use 2 solo al especificar SAs de AH y ESP.

saList

Matriz de SAs de IPsec en la agrupación. Para las SAs de AH y ESP, use el índice 0 para ESP SA y el índice 1 para AH SA.

Consulte IPSEC_SA0 para obtener más información.

keyModuleState

Información específica del módulo de claves opcional según lo especificado por IPSEC_KEYMODULE_STATE0.

ipVersion

Versión de IP especificada por FWP_IP_VERSION.

peerV4PrivateAddress

Disponible cuando ipVersion está FWP_IP_VERSION_V4. Si el elemento del mismo nivel está detrás de un dispositivo NAT, este miembro almacena la dirección privada del mismo nivel.

mmSaId

Use este identificador para correlacionar esta SA de IPsec con la SA de IKE que la generó.

pfsGroup

Especifica si el modo rápido se ha habilitado la confidencialidad directa perfecta (PFS) para esta SA y, si es así, contiene el grupo de Diffie-Hellman que se usó para PFS.

Consulte IPSEC_PFS_GROUP para obtener más información.

saLookupContext

Contexto de búsqueda de SA que se propaga desde la SA a las conexiones de datos que fluyen a través de esa SA. Está disponible para cualquier aplicación que consulte las propiedades de seguridad de sockets mediante la función WSAQuerySocketSecurity de la API winsocket, lo que permite a la aplicación obtener información detallada de autenticación de IPsec para su conexión.

qmFilterId

Requisitos

Requisito Value
Cliente mínimo compatible Windows 7 [solo aplicaciones de escritorio]
Servidor mínimo compatible Windows Server 2008 R2 [solo aplicaciones de escritorio]
Encabezado ipsectypes.h

Consulte también

FWP_IP_VERSION

IPSEC_KEYMODULE_STATE0

IPSEC_PFS_GROUP

IPSEC_SA0

IPSEC_SA_LIFETIME0

Estructuras de API de plataforma de filtrado de Windows