共用方式為

IPSEC_SA_BUNDLE1 結構 (ipsectypes.h)

  • 發行項

IPSEC_SA_BUNDLE1 結構可用來儲存 SA) 套件組合 (IPsec 安全性關聯的相關信息。 IPSEC_SA_BUNDLE0 可供使用。

 

語法

typedef struct IPSEC_SA_BUNDLE1_ {
  UINT32                 flags;
  IPSEC_SA_LIFETIME0     lifetime;
  UINT32                 idleTimeoutSeconds;
  UINT32                 ndAllowClearTimeoutSeconds;
  IPSEC_ID0              *ipsecId;
  UINT32                 napContext;
  UINT32                 qmSaId;
  UINT32                 numSAs;
  IPSEC_SA0              *saList;
  IPSEC_KEYMODULE_STATE0 *keyModuleState;
  FWP_IP_VERSION         ipVersion;
  union {
    UINT32 peerV4PrivateAddress;
  };
  UINT64                 mmSaId;
  IPSEC_PFS_GROUP        pfsGroup;
  GUID                   saLookupContext;
  UINT64                 qmFilterId;
} IPSEC_SA_BUNDLE1;

成員

flags

下列值的組合。

IPsec SA 套件組合旗標 意義
IPSEC_SA_BUNDLE_FLAG_ND_SECURE
 交涉探索會在安全通道中啟用。
IPSEC_SA_BUNDLE_FLAG_ND_BOUNDARY
 在未受信任的周邊區域中啟用的交涉探索。
IPSEC_SA_BUNDLE_FLAG_ND_PEER_NAT_BOUNDARY
 對等位於不受信任的周邊區域通道中,而 NAT) 的網路位址轉 (譯則以這種方式進行。 與交涉探索搭配使用。
IPSEC_SA_BUNDLE_FLAG_GUARANTEE_ENCRYPTION
 表示這是需要保證加密之連線的 SA。
IPSEC_SA_BUNDLE_FLAG_NLB
 表示這是 NLB 伺服器的 SA。
IPSEC_SA_BUNDLE_FLAG_NO_MACHINE_LUID_VERIFY
 表示此 SA 應該略過機器 LUID 驗證。
IPSEC_SA_BUNDLE_FLAG_NO_IMPERSONATION_LUID_VERIFY
 表示此 SA 應該略過模擬 LUID 驗證。
IPSEC_SA_BUNDLE_FLAG_NO_EXPLICIT_CRED_MATCH
 表示此 SA 應該略過明確的認證句柄比對。
IPSEC_SA_BUNDLE_FLAG_ALLOW_NULL_TARGET_NAME_MATCH
 允許以對等名稱構成的 SA,以攜帶沒有相關聯對等目標的流量。
IPSEC_SA_BUNDLE_FLAG_CLEAR_DF_ON_TUNNEL
 清除 IPsec 通道封包外部 IP 標頭上的 DontFragment 位。 此旗標僅適用於通道模式 CA。
IPSEC_SA_BUNDLE_FLAG_ASSUME_UDP_CONTEXT_OUTBOUND
 當將此 SA 與沒有相關聯 IPsec-NAT-shim 內容的輸出連線上的封包比對時,可以使用預設封裝埠 (4500 和 4000) 。
IPSEC_SA_BUNDLE_FLAG_ND_PEER_BOUNDARY
 對等已啟用交涉探索,且位於周邊網路上。
IPSEC_SA_BUNDLE_FLAG_SUPPRESS_DUPLICATE_DELETION
 隱藏重複的 SA 刪除邏輯。 新增輸出 SA 時,核心會執行 THis 邏輯,以防止不必要的重複 SAS。
IPSEC_SA_BUNDLE_FLAG_PEER_SUPPORTS_GUARANTEE_ENCRYPTION
 表示對等計算機支持針對需要保證加密的連線,交涉個別的 SA。

lifetime

套件組合中所有 SA 的存留期,如 IPSEC_SA_LIFETIME0所指定。

idleTimeoutSeconds

套件組合中的 SA 會在幾秒後閒置 (,因為流量閒置) 和到期。

ndAllowClearTimeoutSeconds

以秒為單位的逾時,之後 IPsec SA 應該停止接受傳入清除的封包。

用於交涉探索。

ipsecId

包含選擇性 IPsec 身分識別資訊的 IPSEC_ID0 結構的指標。

napContext

網路存取點 (NAP) 對等認證資訊。

qmSaId

選擇要到期的 SA 時,IPsec 所使用的 SA 識別碼。 針對 IPsec SA 配對, qmSaId 在起始和回應機器之間,以及跨輸入和輸出 SA 套件組合必須相同。 針對不同的 IPsec 配對, qmSaId 必須不同。

numSAs

套件組合中的SA數目。 唯一可能的值為 1 和 2。 只有在指定 AH 和 ESP SA 時,才使用 2。

saList

套件組合中的 IPsec SA 陣組。 針對 AH 和 ESP SA,請使用 ESP SA 的索引 0,並使用 AH SA 的索引 1。

如需詳細資訊 ,請參閱IPSEC_SA0

keyModuleState

選擇性索引鍵模組特定資訊,如 IPSEC_KEYMODULE_STATE0所指定。

ipVersion

FWP_IP_VERSION 所指定的IP版本。

peerV4PrivateAddress

當 ipVersionFWP_IP_VERSION_V4時可用。 如果對等位於 NAT 裝置後方,此成員會儲存對等的私人位址。

mmSaId

使用此標識碼,將此 IPsec SA 與產生的 IKE SA 相互關聯。

pfsGroup

指定是否為此 SA 啟用快速模式完美轉寄密碼 (PFS) ,如果是的話,則包含用於 PFS 的 Diffie-Hellman 群組。

如需詳細資訊 ,請參閱IPSEC_PFS_GROUP

saLookupContext

從 SA 傳播到透過該 SA 流動的數據連線的 SA 查閱內容。 它可供任何使用 Winsock API WSAQuerySocketSecurity 函式查詢套接字安全性屬性的應用程式使用,讓應用程式取得其連線的詳細 IPsec 驗證資訊。

qmFilterId

規格需求

需求
最低支援的用戶端 Windows 7 [僅限傳統型應用程式]
最低支援的伺服器 Windows Server 2008 R2 [僅限傳統型應用程式]
標頭 ipsectypes.h

另請參閱

FWP_IP_VERSION

IPSEC_KEYMODULE_STATE0

IPSEC_PFS_GROUP

IPSEC_SA0

IPSEC_SA_LIFETIME0

Windows 篩選平臺 API 結構