Bagikan melalui

Mengelola Asosiasi Keamanan di IPsec Offload Versi 2

  • Artikel

[Fitur Offload Tugas IPsec tidak digunakan lagi dan tidak boleh digunakan.]

Setelah transportasi TCP/IP menentukan bahwa NIC dapat melakukan operasi offload IPsec versi 2 (IPsecOV2) (lihat Melaporkan Kemampuan IPsec Offload Versi 2 NIC), transportasi meminta driver miniport NIC menambahkan satu atau beberapa asosiasi keamanan (SAs) ke NIC sebelum transportasi dapat membongkar tugas IPsec ke NIC. Setelah menambahkan SAs, transportasi TCP/IP juga dapat menghapus atau memperbaruinya. Antarmuka IPsecOV2 memerlukan antarmuka OID langsung NDIS untuk menambahkan, menghapus, dan memperbarui OID.

Catatan NDIS menyediakan antarmuka permintaan OID langsung untuk driver NDIS 6.1 dan yang lebih baru. Jalur permintaan OID langsung mendukung permintaan OID yang sering dikueri atau diatur.

Untuk meminta agar driver miniport menambahkan satu atau beberapa SA ke NIC, transportasi TCP/IP mengatur OID_TCP_TASK_IPSEC_OFFLOAD_V2_ADD_SA OID. Driver miniport menerima struktur IPSEC_OFFLOAD_V2_ADD_SA dan mengonfigurasi NIC untuk pemrosesan IPsecOV2 pada SA. Dengan berhasil diatur ke OID_TCP_TASK_IPSEC_OFFLOAD_V2_ADD_SA, driver miniport menginisialisasi handel yang mengidentifikasi SA yang dibongkar dalam struktur IPSEC_OFFLOAD_V2_ADD_SA. Transportasi menggunakan handel ini dalam permintaan berikutnya ke driver miniport (yaitu, pada jalur kirim atau dalam panggilan untuk memodifikasi atau menghapus SA). Untuk informasi selengkapnya tentang menggunakan handel SA di jalur pengiriman, lihat Mengirim Data Jaringan dengan IPsec Offload Versi 2.

Driver miniport melaporkan jumlah SAs yang dapat didukung NIC di anggota SaOffloadCapacity dari struktur NDIS_IPSEC_OFFLOAD_V2 .

Driver miniport dapat mengatur bendera SaDeleteReq dalam struktur NDIS_IPSEC_OFFLOAD_V2_NET_BUFFER_LIST_INFO untuk paket penerima. Transportasi TCP/IP kemudian mengeluarkan OID_TCP_TASK_IPSEC_OFFLOAD_V2_DELETE_SA satu kali untuk menghapus SA masuk yang diterima paket berulang kali untuk menghapus SA keluar yang sesuai dengan SA masuk yang dihapus.

Transportasi TCP/IP mengeluarkan OID_TCP_TASK_IPSEC_OFFLOAD_V2_DELETE_SA untuk menghapus SAs masuk di mana paket diterima dan untuk menghapus SAs keluar yang sesuai dengan CA masuk yang dihapus. NIC tidak boleh menghapus SAs ini sebelum menerima permintaan OID_TCP_TASK_IPSEC_OFFLOAD_V2_DELETE_SA yang sesuai.

Transportasi TCP/IP mengatur OID_TCP_TASK_IPSEC_OFFLOAD_V2_UPDATE_SA OID untuk meminta driver miniport memperbarui NIC dengan bit pesanan yang lebih tinggi untuk SA dengan nomor urutan diperpanjang (ESN). Untuk NIC yang mendukung ESN, ketika driver miniport menerima permintaan ini, driver harus memperbarui nomor urutan SA yang ditentukan dalam NIC sesuai dengan nilai enumerasi IPSEC_OFFLOAD_V2_OPERATION yang ditentukan dalam anggota Operasi dari struktur IPSEC_OFFLOAD_V2_UPDATE_SA .