IPSEC_SA_BUNDLE1-Struktur (ipsectypes.h)

  • Artikel

Die IPSEC_SA_BUNDLE1-Struktur wird verwendet, um Informationen zu einem IPsec-Sicherheitszuordnungspaket (SA) zu speichern. IPSEC_SA_BUNDLE0 ist verfügbar.

 

Syntax

typedef struct IPSEC_SA_BUNDLE1_ {
  UINT32                 flags;
  IPSEC_SA_LIFETIME0     lifetime;
  UINT32                 idleTimeoutSeconds;
  UINT32                 ndAllowClearTimeoutSeconds;
  IPSEC_ID0              *ipsecId;
  UINT32                 napContext;
  UINT32                 qmSaId;
  UINT32                 numSAs;
  IPSEC_SA0              *saList;
  IPSEC_KEYMODULE_STATE0 *keyModuleState;
  FWP_IP_VERSION         ipVersion;
  union {
    UINT32 peerV4PrivateAddress;
  };
  UINT64                 mmSaId;
  IPSEC_PFS_GROUP        pfsGroup;
  GUID                   saLookupContext;
  UINT64                 qmFilterId;
} IPSEC_SA_BUNDLE1;

Member

flags

Eine Kombination der folgenden Werte.

IPsec SA-Bundleflag Bedeutung
IPSEC_SA_BUNDLE_FLAG_ND_SECURE
 Die Aushandlungsermittlung ist im sicheren Ring aktiviert.
IPSEC_SA_BUNDLE_FLAG_ND_BOUNDARY
 Die Aushandlungsermittlung in ist in der nicht vertrauenswürdigen Umkreiszone aktiviert.
IPSEC_SA_BUNDLE_FLAG_ND_PEER_NAT_BOUNDARY
 Peer befindet sich im nicht vertrauenswürdigen Umkreiszonenring, und eine Netzwerkadressenübersetzung (NETWORK Address Translation, NAT) ist im Weg. Wird mit der Aushandlungsermittlung verwendet.
IPSEC_SA_BUNDLE_FLAG_GUARANTEE_ENCRYPTION
 Gibt an, dass es sich um eine Sa für Verbindungen handelt, die eine garantierte Verschlüsselung erfordern.
IPSEC_SA_BUNDLE_FLAG_NLB
 Gibt an, dass es sich um eine Sa für einen NLB-Server handelt.
IPSEC_SA_BUNDLE_FLAG_NO_MACHINE_LUID_VERIFY
 Gibt an, dass diese SA die LUID-Überprüfung des Computers umgehen soll.
IPSEC_SA_BUNDLE_FLAG_NO_IMPERSONATION_LUID_VERIFY
 Gibt an, dass diese SA die LUID-Überprüfung des Identitätswechsels umgehen soll.
IPSEC_SA_BUNDLE_FLAG_NO_EXPLICIT_CRED_MATCH
 Gibt an, dass diese SA den expliziten Abgleich des Anmeldeinformationshandles umgehen soll.
IPSEC_SA_BUNDLE_FLAG_ALLOW_NULL_TARGET_NAME_MATCH
 Ermöglicht es einer SA, die mit einem Peernamen gebildet wurde, Datenverkehr zu übertragen, der kein zugeordnetes Peerziel aufweist.
IPSEC_SA_BUNDLE_FLAG_CLEAR_DF_ON_TUNNEL
 Löscht das DontFragment-Bit im äußeren IP-Header eines IPsec-Tunnelpakets. Dieses Flag gilt nur für Tunnelmodus-SAs.
IPSEC_SA_BUNDLE_FLAG_ASSUME_UDP_CONTEXT_OUTBOUND
 Standard-Kapselungsports (4500 und 4000) können verwendet werden, wenn diese SA mit Paketen für ausgehende Verbindungen abgegleicht wird, die keinen zugeordneten IPsec-NAT-shim-Kontext aufweisen.
IPSEC_SA_BUNDLE_FLAG_ND_PEER_BOUNDARY
 Peer hat die Aushandlungsermittlung aktiviert und befindet sich in einem Umkreisnetzwerk.
IPSEC_SA_BUNDLE_FLAG_SUPPRESS_DUPLICATE_DELETION
 Unterdrückt die doppelte SA-Löschlogik. THis-Logik wird vom Kernel ausgeführt, wenn eine ausgehende SA hinzugefügt wird, um unnötige doppelte SAs zu vermeiden.
IPSEC_SA_BUNDLE_FLAG_PEER_SUPPORTS_GUARANTEE_ENCRYPTION
 Gibt an, dass der Peercomputer das Aushandeln eines separaten SA für Verbindungen unterstützt, die eine garantierte Verschlüsselung erfordern.

lifetime

Lebensdauer aller SAs im Bundle, wie durch IPSEC_SA_LIFETIME0 angegeben.

idleTimeoutSeconds

Timeout in Sekunden, nach dem die SAs im Bundle im Leerlauf (aufgrund von Datenverkehrsinaktivität) auslaufen und ablaufen.

ndAllowClearTimeoutSeconds

Timeout in Sekunden, nach dem die IPsec SA die Annahme von Paketen beenden sollte, die im Klartext angezeigt werden.

Wird für die Aushandlungsermittlung verwendet.

ipsecId

Zeiger auf eine IPSEC_ID0-Struktur , die optionale IPsec-Identitätsinformationen enthält.

napContext

Informationen zu Netzwerkzugriffspunkt-Peeranmeldeinformationen (NAP).

qmSaId

SA-Bezeichner, der von IPsec verwendet wird, wenn die ablaufende SA ausgewählt wird. Bei einem IPsec SA-Paar muss die qmSaId zwischen den initiierenden und antwortenden Computern und zwischen eingehenden und ausgehenden SA-Bundles identisch sein. Bei verschiedenen IPsec-Paaren muss die qmSaId unterschiedlich sein.

numSAs

Anzahl der SAs im Bundle. Die einzigen möglichen Werte sind 1 und 2. Verwenden Sie 2 nur, wenn Sie AH- und ESP-SAs angeben.

saList

Array von IPsec-SAs im Bundle. Verwenden Sie für AH- und ESP-SAs index 0 für ESP SA und Index 1 für AH SA.

Weitere Informationen finden Sie unter IPSEC_SA0 .

keyModuleState

Optionale schlüsselmodulspezifische Informationen, wie in IPSEC_KEYMODULE_STATE0 angegeben.

ipVersion

IP-Version, wie von FWP_IP_VERSION angegeben.

peerV4PrivateAddress

Verfügbar, wenn ipVersionFWP_IP_VERSION_V4 ist. Wenn sich ein Peer hinter einem NAT-Gerät befindet, speichert dieses Mitglied die private Adresse des Peers.

mmSaId

Verwenden Sie diese ID, um diese IPsec SA mit der IKE SA zu korrelieren, die sie generiert hat.

pfsGroup

Gibt an, ob der Schnellmodus perfect forward secrecy (PFS) für diese SA aktiviert wurde, und enthält, falls ja, die Diffie-Hellman Gruppe, die für PFS verwendet wurde.

Weitere Informationen finden Sie unter IPSEC_PFS_GROUP .

saLookupContext

SA-Suchkontext, der von der SA an Datenverbindungen weitergegeben wird, die über diese SA fließen. Sie wird für jede Anwendung zur Verfügung gestellt, die Socketsicherheitseigenschaften mithilfe der WSAQuerySocketSecurity-Funktion der Winsock-API abfragt, sodass die Anwendung detaillierte IPsec-Authentifizierungsinformationen für ihre Verbindung abrufen kann.

qmFilterId

Anforderungen

Anforderung Wert
Unterstützte Mindestversion (Client) Windows 7 [nur Desktop-Apps]
Unterstützte Mindestversion (Server) Windows Server 2008 R2 [nur Desktop-Apps]
Kopfzeile ipsectypes.h

Weitere Informationen

FWP_IP_VERSION

IPSEC_KEYMODULE_STATE0

IPSEC_PFS_GROUP

IPSEC_SA0

IPSEC_SA_LIFETIME0

API-Strukturen der Windows-Filterplattform