Bagikan melalui

struktur IPSEC_SA_BUNDLE1 (ipsectypes.h)

Struktur IPSEC_SA_BUNDLE1 digunakan untuk menyimpan informasi tentang bundel asosiasi keamanan IPsec (SA). IPSEC_SA_BUNDLE0 tersedia.

 

Sintaks

typedef struct IPSEC_SA_BUNDLE1_ {
  UINT32                 flags;
  IPSEC_SA_LIFETIME0     lifetime;
  UINT32                 idleTimeoutSeconds;
  UINT32                 ndAllowClearTimeoutSeconds;
  IPSEC_ID0              *ipsecId;
  UINT32                 napContext;
  UINT32                 qmSaId;
  UINT32                 numSAs;
  IPSEC_SA0              *saList;
  IPSEC_KEYMODULE_STATE0 *keyModuleState;
  FWP_IP_VERSION         ipVersion;
  union {
    UINT32 peerV4PrivateAddress;
  };
  UINT64                 mmSaId;
  IPSEC_PFS_GROUP        pfsGroup;
  GUID                   saLookupContext;
  UINT64                 qmFilterId;
} IPSEC_SA_BUNDLE1;

Anggota

flags

Kombinasi nilai berikut.

Bendera bundel IPsec SA Makna
IPSEC_SA_BUNDLE_FLAG_ND_SECURE
 Penemuan negosiasi diaktifkan dalam cincin aman.
IPSEC_SA_BUNDLE_FLAG_ND_BOUNDARY
 Penemuan negosiasi diaktifkan di zona perimeter yang tidak tepercaya.
IPSEC_SA_BUNDLE_FLAG_ND_PEER_NAT_BOUNDARY
 Peer berada di cincin zona perimeter yang tidak tepercaya dan terjemahan alamat jaringan (NAT) berada di jalan. Digunakan dengan penemuan negosiasi.
IPSEC_SA_BUNDLE_FLAG_GUARANTEE_ENCRYPTION
 Menunjukkan bahwa ini adalah SA untuk koneksi yang memerlukan enkripsi terjamin.
IPSEC_SA_BUNDLE_FLAG_NLB
 Menunjukkan bahwa ini adalah SA ke server NLB.
IPSEC_SA_BUNDLE_FLAG_NO_MACHINE_LUID_VERIFY
 Menunjukkan bahwa SA ini harus melewati verifikasi LUID mesin.
IPSEC_SA_BUNDLE_FLAG_NO_IMPERSONATION_LUID_VERIFY
 Menunjukkan bahwa SA ini harus melewati verifikasi LUID peniruan.
IPSEC_SA_BUNDLE_FLAG_NO_EXPLICIT_CRED_MATCH
 Menunjukkan bahwa SA ini harus melewati pencocokan handel kredensial eksplisit.
IPSEC_SA_BUNDLE_FLAG_ALLOW_NULL_TARGET_NAME_MATCH
 Memungkinkan SA yang dibentuk dengan nama serekan untuk membawa lalu lintas yang tidak memiliki target serekan terkait.
IPSEC_SA_BUNDLE_FLAG_CLEAR_DF_ON_TUNNEL
 Menghapus bit DontFragment pada header IP luar dari paket terowongan IPsec. Bendera ini hanya berlaku untuk SAs mode terowongan.
IPSEC_SA_BUNDLE_FLAG_ASSUME_UDP_CONTEXT_OUTBOUND
 Port enkapulasi default (4500 dan 4000) dapat digunakan saat mencocokkan SA ini dengan paket pada koneksi keluar yang tidak memiliki konteks IPsec-NAT-shim terkait.
IPSEC_SA_BUNDLE_FLAG_ND_PEER_BOUNDARY
 Serekan mengaktifkan penemuan negosiasi, dan berada di jaringan perimeter.
IPSEC_SA_BUNDLE_FLAG_SUPPRESS_DUPLICATE_DELETION
 Menekan logika penghapusan SA duplikat. Logika THis dilakukan oleh kernel ketika SA keluar ditambahkan, untuk mencegah SAs duplikat yang tidak perlu.
IPSEC_SA_BUNDLE_FLAG_PEER_SUPPORTS_GUARANTEE_ENCRYPTION
 Menunjukkan bahwa komputer serekan mendukung negosiasi SA terpisah untuk koneksi yang memerlukan enkripsi yang dijamin.

lifetime

Masa pakai semua SAs dalam bundel seperti yang ditentukan oleh IPSEC_SA_LIFETIME0.

idleTimeoutSeconds

Waktu habis dalam hitungan detik setelah SAs dalam bundel akan menganggur keluar (karena tidak aktifnya lalu lintas) dan kedaluwarsa.

ndAllowClearTimeoutSeconds

Waktu habis dalam hitungan detik, setelah itu IPsec SA harus berhenti menerima paket yang masuk dengan jelas.

Digunakan untuk penemuan negosiasi.

ipsecId

Arahkan ke struktur IPSEC_ID0 yang berisi info identitas IPsec opsional.

napContext

Informasi kredensial serekan Titik Akses Jaringan (NAP).

qmSaId

Pengidentifikasi SA yang digunakan oleh IPsec saat memilih SA untuk kedaluwarsa. Untuk pasangan IPsec SA, qmSaId harus sama antara mesin yang memulai dan merespons dan di seluruh bundel SA masuk dan keluar. Untuk pasangan IPsec yang berbeda, qmSaId harus berbeda.

numSAs

Jumlah SA dalam bundel. Satu-satunya nilai yang mungkin adalah 1 dan 2. Gunakan 2 hanya saat menentukan AH dan ESP SAs.

saList

Array IPsec SAs dalam bundel. Untuk AH dan ESP SAs, gunakan indeks 0 untuk ESP SA dan indeks 1 untuk AH SA.

Lihat IPSEC_SA0 untuk informasi selengkapnya.

keyModuleState

Informasi spesifik modul keying opsional seperti yang ditentukan oleh IPSEC_KEYMODULE_STATE0.

ipVersion

Versi IP seperti yang ditentukan oleh FWP_IP_VERSION.

peerV4PrivateAddress

Tersedia saat ipVersionFWP_IP_VERSION_V4. Jika peer berada di belakang perangkat NAT, anggota ini menyimpan alamat privat serekan.

mmSaId

Gunakan ID ini untuk menghubungkan IPsec SA ini dengan IKE SA yang menghasilkannya.

pfsGroup

Menentukan apakah Mode Cepat kesempurnaan keaman maju (PFS) diaktifkan untuk SA ini, dan jika demikian, berisi grup Diffie-Hellman yang digunakan untuk PFS.

Lihat IPSEC_PFS_GROUP untuk informasi selengkapnya.

saLookupContext

Konteks pencarian SA yang disebarluaskan dari SA ke koneksi data yang mengalir melalui SA tersebut. Ini tersedia untuk aplikasi apa pun yang meminta properti keamanan soket menggunakan fungsi Winsock API WSAQuerySocketSecurity , memungkinkan aplikasi untuk mendapatkan informasi autentikasi IPsec terperinci untuk koneksinya.

qmFilterId

Persyaratan

Persyaratan Nilai
Klien minimum yang didukung Windows 7 [hanya aplikasi desktop]
Server minimum yang didukung Windows Server 2008 R2 [hanya aplikasi desktop]
Header ipsectypes.h

Lihat juga

FWP_IP_VERSION

IPSEC_KEYMODULE_STATE0

IPSEC_PFS_GROUP

IPSEC_SA0

IPSEC_SA_LIFETIME0

Struktur API Platform Pemfilteran Windows

  • Last updated on