Поделиться через

структура IPSEC_SA_BUNDLE0 (ipsectypes.h)

  • Статья

Структура IPSEC_SA_BUNDLE0 используется для хранения сведений о пакете сопоставления безопасности (SA) IPsec. IPSEC_SA_BUNDLE1 доступно.

 

Синтаксис

typedef struct IPSEC_SA_BUNDLE0_ {
  UINT32                 flags;
  IPSEC_SA_LIFETIME0     lifetime;
  UINT32                 idleTimeoutSeconds;
  UINT32                 ndAllowClearTimeoutSeconds;
  IPSEC_ID0              *ipsecId;
  UINT32                 napContext;
  UINT32                 qmSaId;
  UINT32                 numSAs;
  IPSEC_SA0              *saList;
  IPSEC_KEYMODULE_STATE0 *keyModuleState;
  FWP_IP_VERSION         ipVersion;
  union {
    UINT32 peerV4PrivateAddress;
  };
  UINT64                 mmSaId;
  IPSEC_PFS_GROUP        pfsGroup;
} IPSEC_SA_BUNDLE0;

Члены

flags

Сочетание следующих значений.

Флаг пакета SA IPsec Значение
IPSEC_SA_BUNDLE_FLAG_ND_SECURE
 Обнаружение согласования включено в безопасном круге.
IPSEC_SA_BUNDLE_FLAG_ND_BOUNDARY
 Обнаружение согласования в включено в зоне ненадежного периметра.
IPSEC_SA_BUNDLE_FLAG_ND_PEER_NAT_BOUNDARY
 Одноранговый узел находится в кольце ненадежной зоны периметра, и NAT не удается. Используется с обнаружением согласования.
IPSEC_SA_BUNDLE_FLAG_GUARANTEE_ENCRYPTION
 Указывает, что это sa для подключений, требующих гарантированного шифрования.
IPSEC_SA_BUNDLE_FLAG_NLB
 Указывает, что это sa для сервера балансировки сетевой нагрузки.
IPSEC_SA_BUNDLE_FLAG_NO_MACHINE_LUID_VERIFY
 Указывает, что этот SA должен обходить проверку LUID компьютера.
IPSEC_SA_BUNDLE_FLAG_NO_IMPERSONATION_LUID_VERIFY
 Указывает, что этот SA должен обходить проверку LUID олицетворения.
IPSEC_SA_BUNDLE_FLAG_NO_EXPLICIT_CRED_MATCH
 Указывает, что этот SA должен обходить явное сопоставление дескрипторов учетных данных.
IPSEC_SA_BUNDLE_FLAG_ALLOW_NULL_TARGET_NAME_MATCH
 Позволяет системе sa, сформированной с именем однорангового узла, нести трафик, не имеющий связанного целевого объекта однорангового узла.
IPSEC_SA_BUNDLE_FLAG_CLEAR_DF_ON_TUNNEL
 Очищает бит DontFragment в заголовке внешнего IP-адреса туннелированного пакета IPsec. Этот флаг применим только к туннелю SAs.
IPSEC_SA_BUNDLE_FLAG_ASSUME_UDP_CONTEXT_OUTBOUND
 Порты инкапсуляции по умолчанию (4500 и 4000) можно использовать при сопоставлении этого sa с пакетами исходящих подключений, которые не имеют связанного контекста IPsec-NAT-shim.
IPSEC_SA_BUNDLE_FLAG_ND_PEER_BOUNDARY
 Для однорангового узла включено обнаружение согласования и он находится в сети периметра.

lifetime

Время существования всех SAs в пакете, указанное в IPSEC_SA_LIFETIME0.

idleTimeoutSeconds

Время ожидания в секундах, после которого службы SAs в пакете будут бездействуть (из-за бездействия трафика) и истечь.

ndAllowClearTimeoutSeconds

Время ожидания в секундах, по истечении которого SA IPsec должен прекратить прием пакетов, поступающих в clear.

Используется для обнаружения согласования.

ipsecId

Указатель на структуру IPSEC_ID0 , содержащую необязательные сведения об удостоверениях IPsec.

napContext

Сведения об учетных данных однорангового узла защиты доступа к сети (NAP).

qmSaId

Идентификатор SA, используемый IPsec при выборе срока действия SA. Для пары SA IPsec qmSaId должен быть одинаковым между инициирующими и отвечающими компьютерами, а также между входящими и исходящими пакетами SA. Для разных пар IPsec qmSaId должен отличаться.

numSAs

Количество SAS в пакете. Единственными возможными значениями являются 1 и 2. Используйте 2 только при указании AH + ESP SAs.

saList

Массив SAS IPsec в пакете. Для AH + ESP SAs используйте индекс [0] для ESP SA и индекс [1] для AH SA.

Дополнительные сведения см . в разделе IPSEC_SA0 .

keyModuleState

Необязательные сведения о модуле ключей, указанные в IPSEC_KEYMODULE_STATE0.

ipVersion

Версия IP, указанная в FWP_IP_VERSION.

peerV4PrivateAddress

Доступно, если ipVersion FWP_IP_VERSION_V4. Если одноранговый узел находится за устройством преобразования сетевых адресов (NAT), этот член сохраняет частный адрес однорангового узла.

mmSaId

Используйте этот идентификатор, чтобы сопоставить этот IPsec SA с созданным им IKE SA.

pfsGroup

Указывает, включена ли для этого SA функция полной секретности в быстром режиме (PFS) и, если да, содержит группу Diffie-Hellman, которая использовалась для PFS.

Дополнительные сведения см. в разделе IPSEC_PFS_GROUP .

Требования

   
Минимальная версия клиента Windows Vista [только классические приложения]
Минимальная версия сервера Windows Server 2008 [только классические приложения]
Верхняя часть ipsectypes.h

См. также раздел

FWP_IP_VERSION

IPSEC_KEYMODULE_STATE0

IPSEC_PFS_GROUP

IPSEC_SA0

IPSEC_SA_LIFETIME0

Структуры API платформы фильтрации Windows