通过

IPSEC_SA_BUNDLE0 结构 (ipsectypes.h)

  • 项目

IPSEC_SA_BUNDLE0 结构用于存储有关 IPsec 安全关联的信息 (SA) 捆绑包。 IPSEC_SA_BUNDLE1 可用。

 

语法

typedef struct IPSEC_SA_BUNDLE0_ {
  UINT32                 flags;
  IPSEC_SA_LIFETIME0     lifetime;
  UINT32                 idleTimeoutSeconds;
  UINT32                 ndAllowClearTimeoutSeconds;
  IPSEC_ID0              *ipsecId;
  UINT32                 napContext;
  UINT32                 qmSaId;
  UINT32                 numSAs;
  IPSEC_SA0              *saList;
  IPSEC_KEYMODULE_STATE0 *keyModuleState;
  FWP_IP_VERSION         ipVersion;
  union {
    UINT32 peerV4PrivateAddress;
  };
  UINT64                 mmSaId;
  IPSEC_PFS_GROUP        pfsGroup;
} IPSEC_SA_BUNDLE0;

成员

flags

以下值的组合。

IPsec SA 捆绑标志 含义
IPSEC_SA_BUNDLE_FLAG_ND_SECURE
 在安全环中启用协商发现。
IPSEC_SA_BUNDLE_FLAG_ND_BOUNDARY
 中的协商发现在不受信任的外围区域中已启用。
IPSEC_SA_BUNDLE_FLAG_ND_PEER_NAT_BOUNDARY
 对等方位于不受信任的外围区域环中,并且 NAT 处于该方向。 用于协商发现。
IPSEC_SA_BUNDLE_FLAG_GUARANTEE_ENCRYPTION
 指示这是需要有保证加密的连接的 SA。
IPSEC_SA_BUNDLE_FLAG_NLB
 指示这是 NLB 服务器的 SA。
IPSEC_SA_BUNDLE_FLAG_NO_MACHINE_LUID_VERIFY
 指示此 SA 应绕过计算机 LUID 验证。
IPSEC_SA_BUNDLE_FLAG_NO_IMPERSONATION_LUID_VERIFY
 指示此 SA 应绕过模拟 LUID 验证。
IPSEC_SA_BUNDLE_FLAG_NO_EXPLICIT_CRED_MATCH
 指示此 SA 应绕过显式凭据句柄匹配。
IPSEC_SA_BUNDLE_FLAG_ALLOW_NULL_TARGET_NAME_MATCH
 允许使用对等名称构成的 SA 携带没有关联对等目标的流量。
IPSEC_SA_BUNDLE_FLAG_CLEAR_DF_ON_TUNNEL
 清除 IPsec 隧道数据包的外部 IP 标头上的 DontFragment 位。 此标志仅适用于隧道模式 SA。
IPSEC_SA_BUNDLE_FLAG_ASSUME_UDP_CONTEXT_OUTBOUND
 将此 SA 与没有关联 IPsec-NAT-shim 上下文的出站连接上的数据包匹配时,可以使用默认封装端口 (4500 和 4000) 。
IPSEC_SA_BUNDLE_FLAG_ND_PEER_BOUNDARY
 对等方已启用协商发现,并且位于外围网络中。

lifetime

由 IPSEC_SA_LIFETIME0 指定的捆绑包中所有 SA 的生存期。

idleTimeoutSeconds

超时(以秒为单位),之后捆绑包中的 SA 会由于流量处于非活动状态而空闲) 并过期 (。

ndAllowClearTimeoutSeconds

超时(以秒为单位),之后 IPsec SA 应停止接受明文中传入的数据包。

用于协商发现。

ipsecId

指向包含可选 IPsec 标识信息的 IPSEC_ID0 结构的指针。

napContext

网络访问保护 (NAP) 对等凭据信息。

qmSaId

选择要过期的 SA 时 IPsec 使用的 SA 标识符。 对于 IPsec SA 对,启动计算机和响应计算机之间以及入站和出站 SA 捆绑包的 qmSaId 必须相同。 对于不同的 IPsec 对, qmSaId 必须不同。

numSAs

捆绑包中的 SA 数。 唯一可能的值为 1 和 2。 仅在指定 AH + ESP SA 时使用 2。

saList

捆绑包中的 IPsec SA 数组。 对于 AH + ESP SA,对 ESP SA 使用索引 [0],对 AH SA 使用索引 [1]。

有关详细信息 ,请参阅IPSEC_SA0

keyModuleState

IPSEC_KEYMODULE_STATE0指定的可选密钥模块特定信息。

ipVersion

FWP_IP_VERSION指定的 IP 版本。

peerV4PrivateAddress

FWP_IP_VERSION_V4ipVersion 时可用。 如果对等方位于 nat) 设备的网络地址转换 (后面,则此成员存储对等方的专用地址。

mmSaId

使用此 ID 将此 IPsec SA 与生成它的 IKE SA 相关联。

pfsGroup

指定是否为此 SA 启用了快速模式完美向前保密 (PFS) ,如果是,则包含用于 PFS 的 Diffie-Hellman 组。

有关详细信息 ,请参阅IPSEC_PFS_GROUP

要求

   
最低受支持的客户端 Windows Vista [仅限桌面应用]
最低受支持的服务器 Windows Server 2008 [仅限桌面应用]
标头 ipsectypes.h

另请参阅

FWP_IP_VERSION

IPSEC_KEYMODULE_STATE0

IPSEC_PFS_GROUP

IPSEC_SA0

IPSEC_SA_LIFETIME0

Windows 筛选平台 API 结构