Поделиться через

структура IPSEC_SA_BUNDLE1 (ipsectypes.h)

  • Статья

Структура IPSEC_SA_BUNDLE1 используется для хранения сведений о пакете связей безопасности (SA) IPsec. IPSEC_SA_BUNDLE0 доступно.

 

Синтаксис

typedef struct IPSEC_SA_BUNDLE1_ {
  UINT32                 flags;
  IPSEC_SA_LIFETIME0     lifetime;
  UINT32                 idleTimeoutSeconds;
  UINT32                 ndAllowClearTimeoutSeconds;
  IPSEC_ID0              *ipsecId;
  UINT32                 napContext;
  UINT32                 qmSaId;
  UINT32                 numSAs;
  IPSEC_SA0              *saList;
  IPSEC_KEYMODULE_STATE0 *keyModuleState;
  FWP_IP_VERSION         ipVersion;
  union {
    UINT32 peerV4PrivateAddress;
  };
  UINT64                 mmSaId;
  IPSEC_PFS_GROUP        pfsGroup;
  GUID                   saLookupContext;
  UINT64                 qmFilterId;
} IPSEC_SA_BUNDLE1;

Члены

flags

Сочетание следующих значений.

Флаг пакета SA IPsec Значение
IPSEC_SA_BUNDLE_FLAG_ND_SECURE
 Обнаружение согласования включено в безопасном круге.
IPSEC_SA_BUNDLE_FLAG_ND_BOUNDARY
 Обнаружение согласования в включено в недоверенной зоне периметра.
IPSEC_SA_BUNDLE_FLAG_ND_PEER_NAT_BOUNDARY
 Одноранговый узел находится в ненадежном кольце зоны периметра, а преобразование сетевых адресов (NAT) на пути. Используется при обнаружении согласования.
IPSEC_SA_BUNDLE_FLAG_GUARANTEE_ENCRYPTION
 Указывает, что это sa для подключений, требующих гарантированного шифрования.
IPSEC_SA_BUNDLE_FLAG_NLB
 Указывает, что это sa для сервера балансировки нагрузки.
IPSEC_SA_BUNDLE_FLAG_NO_MACHINE_LUID_VERIFY
 Указывает, что этот sa должен обходить проверку LUID компьютера.
IPSEC_SA_BUNDLE_FLAG_NO_IMPERSONATION_LUID_VERIFY
 Указывает, что этот SA должен обходить проверку LUID олицетворения.
IPSEC_SA_BUNDLE_FLAG_NO_EXPLICIT_CRED_MATCH
 Указывает, что этот sa должен обходить явное сопоставление дескрипторов учетных данных.
IPSEC_SA_BUNDLE_FLAG_ALLOW_NULL_TARGET_NAME_MATCH
 Позволяет sa, сформированный с именем однорангового узла, нести трафик, не имеющий связанного целевого объекта однорангового узла.
IPSEC_SA_BUNDLE_FLAG_CLEAR_DF_ON_TUNNEL
 Очищает бит DontFragment в заголовке внешнего IP-адреса туннелированного пакета IPsec. Этот флаг применим только к центрам обслуживания в режиме туннеля.
IPSEC_SA_BUNDLE_FLAG_ASSUME_UDP_CONTEXT_OUTBOUND
 Порты инкапсуляции по умолчанию (4500 и 4000) можно использовать при сопоставлении этого sa с пакетами исходящих подключений, которые не имеют связанного контекста IPsec-NAT-shim.
IPSEC_SA_BUNDLE_FLAG_ND_PEER_BOUNDARY
 Одноранговый узел имеет включенное обнаружение согласования и находится в сети периметра.
IPSEC_SA_BUNDLE_FLAG_SUPPRESS_DUPLICATE_DELETION
 Подавляет повторную логику удаления SA. Логика THis выполняется ядром при добавлении исходящего sa, чтобы предотвратить ненужное дублирование SAS.
IPSEC_SA_BUNDLE_FLAG_PEER_SUPPORTS_GUARANTEE_ENCRYPTION
 Указывает, что одноранговый компьютер поддерживает согласование отдельного sa для подключений, требующих гарантированного шифрования.

lifetime

Время существования всех SAS в пакете, как указано в IPSEC_SA_LIFETIME0.

idleTimeoutSeconds

Время ожидания в секундах, по истечении которого поставщики SAs в пакете будут простаивать (из-за бездействия трафика) и истечь.

ndAllowClearTimeoutSeconds

Время ожидания в секундах, по истечении которого SA IPsec должен прекратить прием пакетов, поступающих в формате clear.

Используется для обнаружения согласования.

ipsecId

Указатель на структуру IPSEC_ID0 , содержащую необязательные сведения об удостоверениях IPsec.

napContext

Сведения об учетных данных однорангового узла точки доступа к сети (NAP).

qmSaId

Идентификатор SA, используемый IPsec при выборе истечения срока действия sa. Для пары SA IPsec qmSaId должен быть одинаковым между инициирующими и отвечающими компьютерами, а также между входящими и исходящими пакетами SA. Для разных пар IPsec qmSaId должен отличаться.

numSAs

Количество SAS в пакете. Единственными возможными значениями являются 1 и 2. Используйте 2 только при указании AH и ESP SAS.

saList

Массив SAS IPsec в пакете. Для AH и ESP SAs используйте индекс 0 для ESP SA и индекс 1 для AH SA.

Дополнительные сведения см. в разделе IPSEC_SA0 .

keyModuleState

Необязательные сведения, относящиеся к модулю ключей, как указано в IPSEC_KEYMODULE_STATE0.

ipVersion

Версия IP-адреса, указанная в FWP_IP_VERSION.

peerV4PrivateAddress

Доступно, если ipVersion FWP_IP_VERSION_V4. Если одноранговый узел находится за устройством NAT, этот член сохраняет частный адрес однорангового узла.

mmSaId

Используйте этот идентификатор, чтобы сопоставить этот IPsec SA с созданным им IKE SA.

pfsGroup

Указывает, включена ли для этого SA функция полной секретности в быстром режиме (PFS), и, если да, содержит группу Diffie-Hellman, которая использовалась для PFS.

Дополнительные сведения см. в разделе IPSEC_PFS_GROUP .

saLookupContext

Контекст подстановки SA, который распространяется из SA на подключения к данным, передаваемым через этот sa. Он становится доступным для любого приложения, которое запрашивает свойства безопасности сокета с помощью функции WSAQuerySocketSecurity API Winsock, что позволяет приложению получать подробные сведения о проверке подлинности IPsec для своего подключения.

qmFilterId

Требования

Требование Значение
Минимальная версия клиента Windows 7 [только классические приложения]
Минимальная версия сервера Windows Server 2008 R2 [только классические приложения]
Верхняя часть ipsectypes.h

См. также раздел

FWP_IP_VERSION

IPSEC_KEYMODULE_STATE0

IPSEC_PFS_GROUP

IPSEC_SA0

IPSEC_SA_LIFETIME0

Структуры API платформы фильтрации Windows