Condividi tramite

Gestione delle associazioni di sicurezza in Offload IPsec versione 2

  • Articolo

[La funzionalità Di offload attività IPsec è deprecata e non deve essere usata.]

Dopo che il trasporto TCP/IP determina che una scheda di interfaccia di rete può eseguire operazioni di offload IPsec versione 2 (IPsecOV2) (vedere Creazione di report delle funzionalità di offload di IPsec versione 2), le richieste di trasporto che il driver miniport della scheda di interfaccia di rete aggiunge una o più associazioni di sicurezza (SA) alla scheda di interfaccia di rete prima che il trasporto possa scaricare le attività IPsec nella scheda di interfaccia di rete. Dopo l'aggiunta di SA, il trasporto TCP/IP può anche eliminarli o aggiornarli. L'interfaccia IPsecOV2 richiede l'interfaccia OID diretta NDIS per aggiungere, eliminare e aggiornare gli ID.

Nota NDIS fornisce un'interfaccia di richiesta OID diretta per i driver NDIS 6.1 e versioni successive. Il percorso della richiesta OID diretto supporta le richieste OID che vengono sottoposte a query o impostate di frequente.

Per richiedere che un driver miniport aggiungi uno o più SA a una scheda di interfaccia di rete, il trasporto TCP/IP imposta l'OID OID_TCP_TASK_IPSEC_OFFLOAD_V2_ADD_SA . Il driver miniport riceve una struttura IPSEC_OFFLOAD_V2_ADD_SA e configura la scheda di interfaccia di rete per l'elaborazione IPsecOV2 in un'istanza di sa. Con un set di successo su OID_TCP_TASK_IPSEC_OFFLOAD_V2_ADD_SA, il driver miniport inizializza un handle che identifica la sa caricata nella struttura IPSEC_OFFLOAD_V2_ADD_SA. Il trasporto usa questo handle nelle richieste successive al driver miniport, ovvero sul percorso di invio o nelle chiamate per modificare o eliminare la sa. Per altre informazioni sull'uso dell'handle SA nel percorso di invio, vedere Invio di dati di rete con Offload IPsec versione 2.

Il driver miniport segnala il numero di SA che una scheda di interfaccia di rete può supportare nel membro SaOffloadCapacity della struttura NDIS_IPSEC_OFFLOAD_V2 .

Il driver miniport può impostare il flag SaDeleteReq nella struttura NDIS_IPSEC_OFFLOAD_V2_NET_BUFFER_LIST_INFO per un pacchetto di ricezione. Il trasporto TCP/IP genera successivamente problemi OID_TCP_TASK_IPSEC_OFFLOAD_V2_DELETE_SA una sola volta per eliminare la sa in ingresso ricevuta dal pacchetto e una sola volta per eliminare l'sa in uscita che corrisponde alla SA in ingresso eliminata.

I problemi di trasporto TCP/IP OID_TCP_TASK_IPSEC_OFFLOAD_V2_DELETE_SA per eliminare un'applicazione SA in ingresso su cui è stato ricevuto un pacchetto e per eliminare le istanze SA in uscita che corrispondono alle SA in ingresso eliminate. Prima di ricevere la richiesta di OID_TCP_TASK_IPSEC_OFFLOAD_V2_DELETE_SA corrispondente, non è necessario rimuovere queste interfacce di interfaccia di rete.

Il trasporto TCP/IP imposta l'OID OID_TCP_TASK_IPSEC_OFFLOAD_V2_UPDATE_SA per richiedere che un driver miniport aggiorni una scheda di interfaccia di rete con i bit di ordine superiore per un'istanza di sa con numeri di sequenza estesi (ESN). Per le schede di interfaccia di rete che supportano ESN, quando il driver miniport riceve questa richiesta, il driver deve aggiornare il numero di sequenza del sa specificato nella scheda di interfaccia di rete in base al valore di enumerazione IPSEC_OFFLOAD_V2_OPERATION specificato nel membro Operazionedella struttura IPSEC_OFFLOAD_V2_UPDATE_SA .