Condividi tramite

struttura IPSEC_SA_BUNDLE1 (ipsectypes.h)

  • Articolo

La struttura IPSEC_SA_BUNDLE1 viene usata per archiviare informazioni su un bundle dell'associazione di sicurezza (SA) IPsec. IPSEC_SA_BUNDLE0 disponibile.

 

Sintassi

typedef struct IPSEC_SA_BUNDLE1_ {
  UINT32                 flags;
  IPSEC_SA_LIFETIME0     lifetime;
  UINT32                 idleTimeoutSeconds;
  UINT32                 ndAllowClearTimeoutSeconds;
  IPSEC_ID0              *ipsecId;
  UINT32                 napContext;
  UINT32                 qmSaId;
  UINT32                 numSAs;
  IPSEC_SA0              *saList;
  IPSEC_KEYMODULE_STATE0 *keyModuleState;
  FWP_IP_VERSION         ipVersion;
  union {
    UINT32 peerV4PrivateAddress;
  };
  UINT64                 mmSaId;
  IPSEC_PFS_GROUP        pfsGroup;
  GUID                   saLookupContext;
  UINT64                 qmFilterId;
} IPSEC_SA_BUNDLE1;

Members

flags

Combinazione dei valori seguenti.

Flag bundle SA IPsec Significato
IPSEC_SA_BUNDLE_FLAG_ND_SECURE
 L'individuazione della negoziazione è abilitata nell'anello sicuro.
IPSEC_SA_BUNDLE_FLAG_ND_BOUNDARY
 Individuazione negoziazione in abilitata nella zona perimetrale non attendibile.
IPSEC_SA_BUNDLE_FLAG_ND_PEER_NAT_BOUNDARY
 Il peer è in un anello di zona perimetrale non attendibile e un NAT (Network Address Translation) è nel modo in cui. Usato con l'individuazione della negoziazione.
IPSEC_SA_BUNDLE_FLAG_GUARANTEE_ENCRYPTION
 Indica che si tratta di un sa sa per le connessioni che richiedono la crittografia garantita.
IPSEC_SA_BUNDLE_FLAG_NLB
 Indica che si tratta di una sa per un server di bilanciamento del carico di rete.
IPSEC_SA_BUNDLE_FLAG_NO_MACHINE_LUID_VERIFY
 Indica che questa sa deve ignorare la verifica LUID del computer.
IPSEC_SA_BUNDLE_FLAG_NO_IMPERSONATION_LUID_VERIFY
 Indica che questa sa deve ignorare la verifica luid di rappresentazione.
IPSEC_SA_BUNDLE_FLAG_NO_EXPLICIT_CRED_MATCH
 Indica che questa sa deve ignorare la corrispondenza dell'handle di credenziali esplicito.
IPSEC_SA_BUNDLE_FLAG_ALLOW_NULL_TARGET_NAME_MATCH
 Consente a un sa formato con un nome peer di trasportare il traffico che non ha una destinazione peer associata.
IPSEC_SA_BUNDLE_FLAG_CLEAR_DF_ON_TUNNEL
 Cancella il bit DontFragment nell'intestazione IP esterna di un pacchetto con tunneling IPsec. Questo flag è applicabile solo alle applicazioni AA in modalità tunnel.
IPSEC_SA_BUNDLE_FLAG_ASSUME_UDP_CONTEXT_OUTBOUND
 Le porte di incapsulamento predefinite (4500 e 4000) possono essere usate quando si associa questa sa a pacchetti su connessioni in uscita che non dispongono di un contesto IPsec-NAT-shim associato.
IPSEC_SA_BUNDLE_FLAG_ND_PEER_BOUNDARY
 Il peer ha l'individuazione negoziazione abilitata e si trova in una rete perimetrale.
IPSEC_SA_BUNDLE_FLAG_SUPPRESS_DUPLICATE_DELETION
 Elimina la logica di eliminazione sa duplicata. La logica THis viene eseguita dal kernel quando viene aggiunta un'applicazione sa in uscita, per evitare SA duplicati non necessari.
IPSEC_SA_BUNDLE_FLAG_PEER_SUPPORTS_GUARANTEE_ENCRYPTION
 Indica che il computer peer supporta la negoziazione di un sa separato per le connessioni che richiedono la crittografia garantita.

lifetime

Durata di tutti i contratti di servizio nel bundle come specificato da IPSEC_SA_LIFETIME0.

idleTimeoutSeconds

Timeout in secondi dopo il quale le autorità di archiviazione nel bundle scadranno (a causa dell'inattività del traffico) e scadranno.

ndAllowClearTimeoutSeconds

Timeout in secondi, dopo il quale l'amministratore sa IPsec deve interrompere l'accettazione dei pacchetti in arrivo in chiaro.

Utilizzato per l'individuazione della negoziazione.

ipsecId

Puntatore a una struttura IPSEC_ID0 che contiene informazioni facoltative sull'identità IPsec.

napContext

Informazioni sulle credenziali peer del punto di accesso alla rete.

qmSaId

Identificatore SA usato da IPsec quando si sceglie l'amministratore di sistema per la scadenza. Per una coppia sa IPsec, qmSaId deve essere lo stesso tra i computer di avvio e risposta e tra bundle SA in ingresso e in uscita. Per coppie IPsec diverse, qmSaId deve essere diverso.

numSAs

Numero di autorità di certificazione nel bundle. Gli unici valori possibili sono 1 e 2. Usare 2 solo quando si specificano AH e SA ESP.

saList

Matrice di autorità di sicurezza IPsec nel bundle. Per AH ed ESP SAs, usare l'indice 0 per ESP SA e l'indice 1 per AH SA.

Per altre informazioni, vedere IPSEC_SA0 .

keyModuleState

Informazioni specifiche del modulo di keying facoltative specificate da IPSEC_KEYMODULE_STATE0.

ipVersion

Versione IP specificata da FWP_IP_VERSION.

peerV4PrivateAddress

Disponibile quando ipVersion è FWP_IP_VERSION_V4. Se il peer si trova dietro un dispositivo NAT, questo membro archivia l'indirizzo privato del peer.

mmSaId

Usare questo ID per correlare questo sa IPsec con l'amministratore di sistema IKE che lo ha generato.

pfsGroup

Specifica se la modalità rapida è stata abilitata per questa sa e, in tal caso, contiene il gruppo di Diffie-Hellman utilizzato per PFS.

Per altre informazioni, vedere IPSEC_PFS_GROUP .

saLookupContext

Contesto di ricerca SA propagato dall'amministratore di sistema alle connessioni dati che passano attraverso tale sa. Viene reso disponibile per qualsiasi applicazione che esegue query sulle proprietà di sicurezza del socket usando la funzione WSAQuerySocketSecurity dell'API Winsocket , consentendo all'applicazione di ottenere informazioni dettagliate sull'autenticazione IPsec per la connessione.

qmFilterId

Requisiti

Requisito Valore
Client minimo supportato Windows 7 [solo app desktop]
Server minimo supportato Windows Server 2008 R2 [solo app desktop]
Intestazione ipsectypes.h

Vedi anche

FWP_IP_VERSION

IPSEC_KEYMODULE_STATE0

IPSEC_PFS_GROUP

IPSEC_SA0

IPSEC_SA_LIFETIME0

Strutture API della piattaforma di filtro Windows