Partager via

IPSEC_SA_BUNDLE1 structure (ipsectypes.h)

  • Article

La structure IPSEC_SA_BUNDLE1 est utilisée pour stocker des informations sur un bundle d’association de sécurité (SA) IPsec. IPSEC_SA_BUNDLE0 est disponible.

 

Syntaxe

typedef struct IPSEC_SA_BUNDLE1_ {
  UINT32                 flags;
  IPSEC_SA_LIFETIME0     lifetime;
  UINT32                 idleTimeoutSeconds;
  UINT32                 ndAllowClearTimeoutSeconds;
  IPSEC_ID0              *ipsecId;
  UINT32                 napContext;
  UINT32                 qmSaId;
  UINT32                 numSAs;
  IPSEC_SA0              *saList;
  IPSEC_KEYMODULE_STATE0 *keyModuleState;
  FWP_IP_VERSION         ipVersion;
  union {
    UINT32 peerV4PrivateAddress;
  };
  UINT64                 mmSaId;
  IPSEC_PFS_GROUP        pfsGroup;
  GUID                   saLookupContext;
  UINT64                 qmFilterId;
} IPSEC_SA_BUNDLE1;

Membres

flags

Combinaison des valeurs suivantes.

Indicateur d’offre groupée SA IPsec Signification
IPSEC_SA_BUNDLE_FLAG_ND_SECURE
 La découverte de la négociation est activée dans l’anneau sécurisé.
IPSEC_SA_BUNDLE_FLAG_ND_BOUNDARY
 Découverte de négociation dans enabled dans la zone de périmètre non approuvée.
IPSEC_SA_BUNDLE_FLAG_ND_PEER_NAT_BOUNDARY
 L’homologue se trouve dans un anneau de zone de périmètre non approuvé et une traduction d’adresses réseau (NAT) est en chemin. Utilisé avec la découverte de négociation.
IPSEC_SA_BUNDLE_FLAG_GUARANTEE_ENCRYPTION
 Indique qu’il s’agit d’une SA pour les connexions qui nécessitent un chiffrement garanti.
IPSEC_SA_BUNDLE_FLAG_NLB
 Indique qu’il s’agit d’une SA vers un serveur NLB.
IPSEC_SA_BUNDLE_FLAG_NO_MACHINE_LUID_VERIFY
 Indique que cette SA doit ignorer la vérification LUID de la machine.
IPSEC_SA_BUNDLE_FLAG_NO_IMPERSONATION_LUID_VERIFY
 Indique que cette SA doit contourner la vérification LUID d’emprunt d’identité.
IPSEC_SA_BUNDLE_FLAG_NO_EXPLICIT_CRED_MATCH
 Indique que cette SA doit ignorer la correspondance explicite des handles d’informations d’identification.
IPSEC_SA_BUNDLE_FLAG_ALLOW_NULL_TARGET_NAME_MATCH
 Permet à une SA formée avec un nom d’homologue de transporter le trafic qui n’a pas de cible homologue associée.
IPSEC_SA_BUNDLE_FLAG_CLEAR_DF_ON_TUNNEL
 Efface le bit DontFragment sur l’en-tête IP externe d’un paquet tunnelisé IPsec. Cet indicateur s’applique uniquement aux autorités de sécurité en mode tunnel.
IPSEC_SA_BUNDLE_FLAG_ASSUME_UDP_CONTEXT_OUTBOUND
 Les ports d’encapsulation par défaut (4500 et 4000) peuvent être utilisés lors de la mise en correspondance de cette SA avec des paquets sur les connexions sortantes qui n’ont pas de contexte IPsec-NAT-shim associé.
IPSEC_SA_BUNDLE_FLAG_ND_PEER_BOUNDARY
 La découverte de négociation est activée pour l’homologue et se trouve sur un réseau de périmètre.
IPSEC_SA_BUNDLE_FLAG_SUPPRESS_DUPLICATE_DELETION
 Supprime la logique de suppression sa en double. Cette logique est effectuée par le noyau lorsqu’une SA sortante est ajoutée, afin d’éviter les DS en double inutiles.
IPSEC_SA_BUNDLE_FLAG_PEER_SUPPORTS_GUARANTEE_ENCRYPTION
 Indique que l’ordinateur homologue prend en charge la négociation d’une SA distincte pour les connexions qui nécessitent un chiffrement garanti.

lifetime

Durée de vie de toutes les autorités de sécurité du bundle, comme spécifié par IPSEC_SA_LIFETIME0.

idleTimeoutSeconds

Délai d’expiration en secondes après lequel les autorités de sécurité du bundle sont inactives (en raison de l’inactivité du trafic) et expirent.

ndAllowClearTimeoutSeconds

Délai d’expiration en secondes, après quoi la SA IPsec doit cesser d’accepter les paquets en clair.

Utilisé pour la découverte de la négociation.

ipsecId

Pointeur vers une structure de IPSEC_ID0 qui contient des informations d’identité IPsec facultatives.

napContext

Informations d’identification de l’homologue du point d’accès réseau (NAP).

qmSaId

Identificateur SA utilisé par IPsec lors du choix de l’AS à expirer. Pour une paire SA IPsec, le qmSaId doit être le même entre les machines de lancement et les ordinateurs qui répondent, et entre les bundles SA entrants et sortants. Pour différentes paires IPsec, le qmSaId doit être différent.

numSAs

Nombre d’autorités de sécurité dans l’offre groupée. Les seules valeurs possibles sont 1 et 2. Utilisez 2 uniquement lors de la spécification d’autorités de sécurité AH et ESP.

saList

Tableau d’autorités de sécurité IPsec dans l’offre groupée. Pour les sapes AH et ESP, utilisez l’index 0 pour ESP SA et l’index 1 pour AH SA.

Pour plus d’informations, consultez IPSEC_SA0 .

keyModuleState

Informations spécifiques au module de clé facultatives spécifiées par IPSEC_KEYMODULE_STATE0.

ipVersion

Version IP spécifiée par FWP_IP_VERSION.

peerV4PrivateAddress

Disponible lorsque ipVersion est FWP_IP_VERSION_V4. Si l’homologue se trouve derrière un appareil NAT, ce membre stocke l’adresse privée de l’homologue.

mmSaId

Utilisez cet ID pour mettre en corrélation cette SA IPsec avec la SA IKE qui l’a générée.

pfsGroup

Spécifie si le mode rapide perfect forward secrecy (PFS) a été activé pour cette SAP et, si c’est le cas, contient le groupe Diffie-Hellman qui a été utilisé pour PFS.

Pour plus d’informations, consultez IPSEC_PFS_GROUP .

saLookupContext

Contexte de recherche SA qui est propagé de l’AS aux connexions de données circulant sur cette SA. Il est mis à la disposition de toute application qui interroge les propriétés de sécurité du socket à l’aide de la fonction WSAQuerySocketSecurity de l’API Winsock, ce qui permet à l’application d’obtenir des informations d’authentification IPsec détaillées pour sa connexion.

qmFilterId

Configuration requise

Condition requise Valeur
Client minimal pris en charge Windows 7 [applications de bureau uniquement]
Serveur minimal pris en charge Windows Server 2008 R2 [applications de bureau uniquement]
En-tête ipsectypes.h

Voir aussi

FWP_IP_VERSION

IPSEC_KEYMODULE_STATE0

IPSEC_PFS_GROUP

IPSEC_SA0

IPSEC_SA_LIFETIME0

Structures de l’API de plateforme de filtrage Windows