IPsec 오프로드 버전 2에서 보안 연결 관리

[IPsec 작업 오프로드 기능은 더 이상 사용되지 않으며 사용하면 안 됩니다.]

TCP/IP 전송에서 NIC가 IPsec 오프로드 버전 2(IPsecOV2) 작업을 수행할 수 있다고 결정한 후( NIC의 IPsec 오프로드 버전 2 기능 보고 참조) 전송은 전송이 IPsec 작업을 NIC에 오프로드하기 전에 NIC의 미니포트 드라이버가 하나 이상의 SA(보안 연결)를 NIC에 추가하도록 요청합니다. SA를 추가한 후 TCP/IP 전송도 삭제하거나 업데이트할 수 있습니다. IPsecOV2 인터페이스에는 OID를 추가, 삭제 및 업데이트하기 위한 NDIS 직접 OID 인터페이스가 필요합니다.

참고 NDIS는 NDIS 6.1 이상 드라이버에 대한 직접 OID 요청 인터페이스를 제공합니다. 직접 OID 요청 경로는 자주 쿼리되거나 설정되는 OID 요청을 지원합니다.

미니포트 드라이버가 하나 이상의 SAS를 NIC에 추가하도록 요청하기 위해 TCP/IP 전송은 OID_TCP_TASK_IPSEC_OFFLOAD_V2_ADD_SA OID를 설정합니다. 미니포트 드라이버는 IPSEC_OFFLOAD_V2_ADD_SA 구조를 수신하고 SA에서 IPsecOV2 처리를 위한 NIC를 구성합니다. OID_TCP_TASK_IPSEC_OFFLOAD_V2_ADD_SA 성공적으로 설정된 미니포트 드라이버는 IPSEC_OFFLOAD_V2_ADD_SA 구조에서 오프로드된 SA를 식별하는 핸들을 초기화합니다. 전송은 미니포트 드라이버에 대한 후속 요청(즉, 송신 경로 또는 SA를 수정하거나 삭제하기 위한 호출)에 이 핸들을 사용합니다. 송신 경로에서 SA 핸들을 사용하는 방법에 대한 자세한 내용은 IPsec 오프로드 버전 2를 사용하여 네트워크 데이터 보내기를 참조하세요.

미니포트 드라이버는 NIC가 NDIS_IPSEC_OFFLOAD_V2 구조체의 SaOffloadCapacity 멤버에서 지원할 수 있는 SA 수를 보고합니다.

미니포트 드라이버는 수신 패킷에 대한 NDIS_IPSEC_OFFLOAD_V2_NET_BUFFER_LIST_INFO 구조에서 SaDeleteReq 플래그를 설정할 수 있습니다. 이후 TCP/IP 전송은 패킷 이 수신된 인바운드 SA를 삭제하고 삭제된 인바운드 SA에 해당하는 아웃바운드 SA를 삭제하기 위해 한 번 OID_TCP_TASK_IPSEC_OFFLOAD_V2_DELETE_SA 문제를 해결합니다.

TCP/IP 전송 문제는 패킷 이 수신된 인바운드 SA를 삭제하고 삭제된 인바운드 SA에 해당하는 아웃바운드 SA를 삭제하는 OID_TCP_TASK_IPSEC_OFFLOAD_V2_DELETE_SA. NIC는 해당 OID_TCP_TASK_IPSEC_OFFLOAD_V2_DELETE_SA 요청을 받기 전에 이러한 SAS를 제거해서는 안 됩니다.

TCP/IP 전송은 미니 포트 드라이버가 ESN(확장 시퀀스 번호)이 있는 SA에 대해 더 높은 순서의 비트로 NIC를 업데이트하도록 요청하도록 OID_TCP_TASK_IPSEC_OFFLOAD_V2_UPDATE_SA OID를 설정합니다. ESN을 지원하는 NIC의 경우 미니포트 드라이버가 이 요청을 받으면 드라이버는 IPSEC_OFFLOAD_V2_UPDATE_SA 구조체의 Operation 멤버에 지정된 IPSEC_OFFLOAD_V2_OPERATION 열거형 값에 따라 NIC에서 지정된 SA의 시퀀스 번호를 업데이트해야 합니다.