IPSEC_SA_BUNDLE0 Struktur (ipsectypes.h)

Die IPSEC_SA_BUNDLE0-Struktur wird verwendet, um Informationen zu einem IPsec-Sicherheitszuordnungspaket (SA) zu speichern. IPSEC_SA_BUNDLE1 ist verfügbar.

 

Syntax

typedef struct IPSEC_SA_BUNDLE0_ {
  UINT32                 flags;
  IPSEC_SA_LIFETIME0     lifetime;
  UINT32                 idleTimeoutSeconds;
  UINT32                 ndAllowClearTimeoutSeconds;
  IPSEC_ID0              *ipsecId;
  UINT32                 napContext;
  UINT32                 qmSaId;
  UINT32                 numSAs;
  IPSEC_SA0              *saList;
  IPSEC_KEYMODULE_STATE0 *keyModuleState;
  FWP_IP_VERSION         ipVersion;
  union {
    UINT32 peerV4PrivateAddress;
  };
  UINT64                 mmSaId;
  IPSEC_PFS_GROUP        pfsGroup;
} IPSEC_SA_BUNDLE0;

Members

flags

Eine Kombination der folgenden Werte.

IPsec SA-Bundleflagge Bedeutung
IPSEC_SA_BUNDLE_FLAG_ND_SECURE
Die Aushandlungsermittlung ist im sicheren Ring aktiviert.
IPSEC_SA_BUNDLE_FLAG_ND_BOUNDARY
Die Aushandlungsermittlung in ist in der nicht vertrauenswürdigen Umkreiszone aktiviert.
IPSEC_SA_BUNDLE_FLAG_ND_PEER_NAT_BOUNDARY
Peer befindet sich im nicht vertrauenswürdigen Umkreiszonenring, und eine NAT ist im Weg. Wird mit der Aushandlungsermittlung verwendet.
IPSEC_SA_BUNDLE_FLAG_GUARANTEE_ENCRYPTION
Gibt an, dass es sich um eine SA für Verbindungen handelt, die eine garantierte Verschlüsselung erfordern.
IPSEC_SA_BUNDLE_FLAG_NLB
Gibt an, dass es sich um eine SA für einen NLB-Server handelt.
IPSEC_SA_BUNDLE_FLAG_NO_MACHINE_LUID_VERIFY
Gibt an, dass diese Instanz die LUID-Überprüfung des Computers umgehen soll.
IPSEC_SA_BUNDLE_FLAG_NO_IMPERSONATION_LUID_VERIFY
Gibt an, dass diese SA die LUID-Überprüfung des Identitätswechsels umgehen soll.
IPSEC_SA_BUNDLE_FLAG_NO_EXPLICIT_CRED_MATCH
Gibt an, dass diese SA den expliziten Handle-Abgleich von Anmeldeinformationen umgehen soll.
IPSEC_SA_BUNDLE_FLAG_ALLOW_NULL_TARGET_NAME_MATCH
Ermöglicht einer SA, die mit einem Peernamen gebildet wurde, Datenverkehr zu übertragen, der kein zugeordnetes Peerziel aufweist.
IPSEC_SA_BUNDLE_FLAG_CLEAR_DF_ON_TUNNEL
Löscht das DontFragment-Bit für den äußeren IP-Header eines IPsec-tunnelten Pakets. Dieses Flag gilt nur für Tunnelmodus-SAs.
IPSEC_SA_BUNDLE_FLAG_ASSUME_UDP_CONTEXT_OUTBOUND
Standardkapselungsports (4500 und 4000) können verwendet werden, wenn diese SA mit Paketen für ausgehende Verbindungen ohne zugeordneten IPsec-NAT-shim-Kontext abgegleicht wird.
IPSEC_SA_BUNDLE_FLAG_ND_PEER_BOUNDARY
Peer hat die Aushandlungsermittlung aktiviert und befindet sich in einem Umkreisnetzwerk.

lifetime

Lebensdauer aller SAs im Bundle, wie von IPSEC_SA_LIFETIME0 angegeben.

idleTimeoutSeconds

Timeout in Sekunden, nach dem die SAs im Bundle im Leerlauf (aufgrund von Datenverkehrsinaktivität) ausfallen und ablaufen.

ndAllowClearTimeoutSeconds

Timeout in Sekunden, nach dem die IPsec SA die Annahme von Paketen beenden sollte, die in der Klartexte kommen.

Wird für die Aushandlungsermittlung verwendet.

ipsecId

Zeiger auf eine IPSEC_ID0-Struktur , die optionale IPsec-Identitätsinformationen enthält.

napContext

Informationen zum Netzwerkzugriffsschutz (NAP) für Peeranmeldeinformationen.

qmSaId

SA-Bezeichner, der von IPsec bei der Auswahl der abzulaufenden SA verwendet wird. Bei einem IPsec SA-Paar muss die qmSaId zwischen den initiierenden und antwortenden Computern und zwischen eingehenden und ausgehenden SA-Bündeln identisch sein. Bei verschiedenen IPsec-Paaren muss sich die qmSaId unterscheiden.

numSAs

Anzahl der SAs im Bundle. Die einzigen möglichen Werte sind 1 und 2. Verwenden Sie nur 2, wenn Sie AH + ESP SAs angeben.

saList

Array von IPsec-SAs im Bundle. Verwenden Sie für AH + ESP SAs den Index [0] für ESP SA und den Index [1] für AH SA.

Weitere Informationen finden Sie unter IPSEC_SA0 .

keyModuleState

Optionale schlüsselmodulspezifische Informationen, wie von IPSEC_KEYMODULE_STATE0 angegeben.

ipVersion

IP-Version gemäß FWP_IP_VERSION.

peerV4PrivateAddress

Verfügbar, wenn ipVersionFWP_IP_VERSION_V4 ist. Wenn sich der Peer hinter einem NAT-Gerät (Network Address Translation) befindet, speichert dieses Mitglied die private Adresse des Peers.

mmSaId

Verwenden Sie diese ID, um diese IPsec SA mit der IKE SA zu korrelieren, die sie generiert hat.

pfsGroup

Gibt an, ob der Quick Mode Perfect Forward Secrecy (PFS) für diese SA aktiviert war, und enthält, falls ja, die Diffie-Hellman Gruppe, die für PFS verwendet wurde.

Weitere Informationen finden Sie unter IPSEC_PFS_GROUP .

Anforderungen

   
Unterstützte Mindestversion (Client) Windows Vista [nur Desktop-Apps]
Unterstützte Mindestversion (Server) Windows Server 2008 [nur Desktop-Apps]
Kopfzeile ipsectypes.h

Weitere Informationen

FWP_IP_VERSION

IPSEC_KEYMODULE_STATE0

IPSEC_PFS_GROUP

IPSEC_SA0

IPSEC_SA_LIFETIME0

API-Strukturen der Windows-Filterplattform