Menerima Data Jaringan dengan Offload IPsec Versi 2
[Fitur Offload Tugas IPsec tidak digunakan lagi dan tidak boleh digunakan.]
NIC melakukan pemrosesan offload IPsec versi 2 (IPsecOV2) pada paket penerima seperti yang ditentukan dalam asosiasi keamanan (SA) yang diturunkan dari transportasi.
Driver miniport mengatur informasi out-of-band (OOB) IPsecOV2 sebelum menunjukkan data yang diterima ke driver yang terlalu berlebihan. Untuk informasi selengkapnya tentang mengakses informasi OOB, lihat Mengakses Informasi NET_BUFFER_LIST di IPsec Offload Versi 2.
Catatan Driver miniport harus menunjukkan semua paket yang diterima ke driver yang terlalu mengandalkan bahkan jika terjadi kesalahan saat memproses data IPsec di NIC. Driver harus menunjukkan paket dengan kesalahan untuk mengaktifkan tumpukan driver untuk memantau dan memecahkan masalah lalu lintas jaringan.
Sebelum driver miniport menunjukkan paket data yang diterima ke tumpukan driver, driver miniport:
Memverifikasi bahwa perangkat keras dikonfigurasi untuk menangani tugas offload IPsec. Jika tidak, driver miniport melakukan indikasi terima tanpa pemrosesan offload IPsec tambahan.
Lihat indeks parameter keamanan (SPI) untuk menentukan apakah SA yang dibongkar yang cocok ada. Driver miniport mengonfirmasi alamat tujuan pada paket sama dengan yang ditentukan dalam SA yang dibongkar. Jika tidak ada SA yang cocok, NIC menunjukkan data yang diterima tanpa mengatur informasi OOB IPsecOV2.
Memverifikasi bahwa ia dapat memproses paket berdasarkan kemampuan yang dilaporkan driver miniport ke transportasi atau membuat indikasi penerimaan tanpa pemrosesan IPsec lebih lanjut. Misalnya, paket mungkin memiliki opsi IP di mana NIC tidak mendukung pemrosesan offload IPsec untuk paket tersebut dan driver miniport melakukan pemrosesan IPsec.
Mengatur bendera CryptoDone dalam struktur NDIS_IPSEC_OFFLOAD_V2_NET_BUFFER_LIST_INFO untuk menunjukkan bahwa NIC melakukan pemeriksaan IPsec pada setidaknya satu payload IPsec dalam paket yang diterima.
Mengatur bendera NextCryptoDone dalam struktur NDIS_IPSEC_OFFLOAD_V2_NET_BUFFER_LIST_INFO untuk menunjukkan bahwa NIC melakukan pemeriksaan IPsec pada bagian terowongan dan transportasi dari paket penerima. Driver miniport menetapkan bendera ini hanya jika paket memiliki payload terowongan dan transportasi; jika tidak, bendera ini harus nol.
Mengatur nilai CryptoStatus yang benar dari struktur NDIS_IPSEC_OFFLOAD_V2_NET_BUFFER_LIST_INFO untuk menunjukkan hasil pemeriksaan IPsec.
Jika NIC tidak melakukan pemrosesan offload pada paket masuk, driver miniport menghapus bendera CryptoDone dan NextCryptoDone . Driver miniport menghapus bendera ini untuk semua paket penerima di mana NIC tidak mendekripsi, terlepas dari apakah paket dilindungi AH atau dilindungi ESP.
Driver miniport dapat mengatur SaDeleteReq, dalam struktur NDIS_IPSEC_OFFLOAD_V2_NET_BUFFER_LIST_INFO untuk NET_BUFFER_LIST penerima. Transportasi TCP/IP kemudian mengeluarkan OID_TCP_TASK_IPSEC_OFFLOAD_V2_DELETE_SA sekali untuk menghapus SA masuk yang diterima paket dan sekali lagi untuk menghapus SA keluar yang sesuai dengan SA masuk yang dihapus. Untuk informasi selengkapnya tentang menambahkan dan menghapus SAs, lihat Mengelola Asosiasi Keamanan di IPsec Offload Versi 2.
Setelah driver miniport menunjukkan struktur NET_BUFFER_LIST ke transportasi TCP/IP, transportasi TCP/IP memeriksa hasil pemeriksaan IPsec yang dilakukan NIC pada paket, memeriksa nomor urutan untuk paket, dan menentukan apa yang harus dilakukan dengan paket yang gagal checksum atau pengujian urutan.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk