次の方法で共有

IPSEC_SA_BUNDLE1 構造体 (ipsectypes.h)

  • [アーティクル]

IPSEC_SA_BUNDLE1構造体は、IPsec セキュリティ アソシエーション (SA) バンドルに関する情報を格納するために使用されます。 IPSEC_SA_BUNDLE0 を使用できます。

 

構文

typedef struct IPSEC_SA_BUNDLE1_ {
  UINT32                 flags;
  IPSEC_SA_LIFETIME0     lifetime;
  UINT32                 idleTimeoutSeconds;
  UINT32                 ndAllowClearTimeoutSeconds;
  IPSEC_ID0              *ipsecId;
  UINT32                 napContext;
  UINT32                 qmSaId;
  UINT32                 numSAs;
  IPSEC_SA0              *saList;
  IPSEC_KEYMODULE_STATE0 *keyModuleState;
  FWP_IP_VERSION         ipVersion;
  union {
    UINT32 peerV4PrivateAddress;
  };
  UINT64                 mmSaId;
  IPSEC_PFS_GROUP        pfsGroup;
  GUID                   saLookupContext;
  UINT64                 qmFilterId;
} IPSEC_SA_BUNDLE1;

メンバー

flags

次の値の組み合わせ。

IPsec SA バンドル フラグ 意味
IPSEC_SA_BUNDLE_FLAG_ND_SECURE
 ネゴシエーション検出は、セキュリティで保護されたリングで有効になっています。
IPSEC_SA_BUNDLE_FLAG_ND_BOUNDARY
 信頼されていない境界ゾーンで有効になっている のネゴシエーション検出。
IPSEC_SA_BUNDLE_FLAG_ND_PEER_NAT_BOUNDARY
 ピアは信頼されていない境界ゾーン リングにあり、ネットワーク アドレス変換 (NAT) は方法です。 ネゴシエーション検出で使用されます。
IPSEC_SA_BUNDLE_FLAG_GUARANTEE_ENCRYPTION
 これは、保証された暗号化を必要とする接続の SA であることを示します。
IPSEC_SA_BUNDLE_FLAG_NLB
 これは NLB サーバーの SA であることを示します。
IPSEC_SA_BUNDLE_FLAG_NO_MACHINE_LUID_VERIFY
 この SA がマシン LUID 検証をバイパスする必要があることを示します。
IPSEC_SA_BUNDLE_FLAG_NO_IMPERSONATION_LUID_VERIFY
 この SA が偽装 LUID 検証をバイパスする必要があることを示します。
IPSEC_SA_BUNDLE_FLAG_NO_EXPLICIT_CRED_MATCH
 この SA が明示的な資格情報ハンドルの照合をバイパスする必要があることを示します。
IPSEC_SA_BUNDLE_FLAG_ALLOW_NULL_TARGET_NAME_MATCH
 ピア名で形成された SA が、ピア ターゲットが関連付けられていないトラフィックを伝送できるようにします。
IPSEC_SA_BUNDLE_FLAG_CLEAR_DF_ON_TUNNEL
 IPsec トンネリングされたパケットの外部 IP ヘッダーの DontFragment ビットをクリアします。 このフラグは、トンネル モードの CA にのみ適用されます。
IPSEC_SA_BUNDLE_FLAG_ASSUME_UDP_CONTEXT_OUTBOUND
 既定のカプセル化ポート (4500 および 4000) は、IPsec-NAT-shim コンテキストが関連付けられていない送信接続のパケットとこの SA を照合するときに使用できます。
IPSEC_SA_BUNDLE_FLAG_ND_PEER_BOUNDARY
 ピアでネゴシエーション検出が有効になっており、境界ネットワーク上にあります。
IPSEC_SA_BUNDLE_FLAG_SUPPRESS_DUPLICATE_DELETION
 重複する SA 削除ロジックを抑制します。 THis ロジックは、不要な重複 SA を防ぐために、送信 SA が追加されたときにカーネルによって実行されます。
IPSEC_SA_BUNDLE_FLAG_PEER_SUPPORTS_GUARANTEE_ENCRYPTION
 ピア コンピューターが、保証された暗号化を必要とする接続に対して個別の SA のネゴシエートをサポートしていることを示します。

lifetime

IPSEC_SA_LIFETIME0で指定されたバンドル内のすべての CA の有効期間。

idleTimeoutSeconds

(トラフィックが非アクティブであるため) バンドル内の CA がアイドル状態になり、期限切れになるまでのタイムアウト (秒単位)。

ndAllowClearTimeoutSeconds

タイムアウト (秒単位)。 その後、IPsec SA はクリアで受信するパケットの受け入れを停止する必要があります。

ネゴシエーション検出に使用されます。

ipsecId

オプションの IPsec ID 情報を含む IPSEC_ID0 構造体へのポインター。

napContext

ネットワーク アクセス ポイント (NAP) ピアの資格情報。

qmSaId

有効期限が切れる SA を選択するときに IPsec によって使用される SA 識別子。 IPsec SA ペアの場合、 qmSaId は、開始側マシンと応答側マシン間、およびインバウンドおよびアウトバウンド SA バンドル間で同じである必要があります。 IPsec ペアが異なる場合、 qmSaId は 異なる必要があります。

numSAs

バンドル内の CA の数。 指定できる値は 1 と 2 のみです。 AH と ESP の CA を指定する場合にのみ、2 を使用します。

saList

バンドル内の IPsec CA の配列。 AH と ESP SA の場合は、ESP SA にインデックス 0 を、AH SA の場合はインデックス 1 を使用します。

詳細については、「 IPSEC_SA0 」を参照してください。

keyModuleState

IPSEC_KEYMODULE_STATE0で指定されたオプションのキーモジュール固有の情報。

ipVersion

FWP_IP_VERSIONで指定された IP バージョン。

peerV4PrivateAddress

ipVersionFWP_IP_VERSION_V4されている場合に使用できます。 ピアが NAT デバイスの背後にある場合、このメンバーはピアのプライベート アドレスを格納します。

mmSaId

この ID を使用して、この IPsec SA を生成した IKE SA と関連付けます。

pfsGroup

この SA に対してクイック モードの完全前方秘密 (PFS) が有効になっているかどうかを指定します。有効な場合は、PFS に使用された Diffie-Hellman グループが含まれます。

詳細については、「 IPSEC_PFS_GROUP 」を参照してください。

saLookupContext

SA からその SA 経由でフローするデータ接続に伝達される SA 参照コンテキスト。 これは、Winsock API WSAQuerySocketSecurity 関数を使用してソケット セキュリティ プロパティに対してクエリを実行する任意のアプリケーションで使用でき、アプリケーションが接続の詳細な IPsec 認証情報を取得できるようにします。

qmFilterId

要件

要件
サポートされている最小のクライアント Windows 7 [デスクトップ アプリのみ]
サポートされている最小のサーバー Windows Server 2008 R2 [デスクトップ アプリのみ]
Header ipsectypes.h

こちらもご覧ください

FWP_IP_VERSION

IPSEC_KEYMODULE_STATE0

IPSEC_PFS_GROUP

IPSEC_SA0

IPSEC_SA_LIFETIME0

Windows フィルタリング プラットフォーム API の構造