IPSEC_SA_BUNDLE0構造体 (ipsectypes.h)

IPSEC_SA_BUNDLE0構造は、IPsec セキュリティ関連付け (SA) バンドルに関する情報を格納するために使用されます。 IPSEC_SA_BUNDLE1 を使用できます。

 

構文

typedef struct IPSEC_SA_BUNDLE0_ {
  UINT32                 flags;
  IPSEC_SA_LIFETIME0     lifetime;
  UINT32                 idleTimeoutSeconds;
  UINT32                 ndAllowClearTimeoutSeconds;
  IPSEC_ID0              *ipsecId;
  UINT32                 napContext;
  UINT32                 qmSaId;
  UINT32                 numSAs;
  IPSEC_SA0              *saList;
  IPSEC_KEYMODULE_STATE0 *keyModuleState;
  FWP_IP_VERSION         ipVersion;
  union {
    UINT32 peerV4PrivateAddress;
  };
  UINT64                 mmSaId;
  IPSEC_PFS_GROUP        pfsGroup;
} IPSEC_SA_BUNDLE0;

メンバー

flags

次の値の組み合わせ。

IPsec SA バンドル フラグ 説明
IPSEC_SA_BUNDLE_FLAG_ND_SECURE
ネゴシエーション検出は、セキュリティで保護されたリングで有効になります。
IPSEC_SA_BUNDLE_FLAG_ND_BOUNDARY
のネゴシエーション検出は、信頼されていない境界ゾーンで有効になっています。
IPSEC_SA_BUNDLE_FLAG_ND_PEER_NAT_BOUNDARY
ピアは信頼されていない境界ゾーン リングにあり、NAT は邪魔です。 ネゴシエーション検出で使用されます。
IPSEC_SA_BUNDLE_FLAG_GUARANTEE_ENCRYPTION
これは、保証された暗号化を必要とする接続の SA であることを示します。
IPSEC_SA_BUNDLE_FLAG_NLB
これは NLB サーバーの SA であることを示します。
IPSEC_SA_BUNDLE_FLAG_NO_MACHINE_LUID_VERIFY
この SA がマシン LUID 検証をバイパスする必要があることを示します。
IPSEC_SA_BUNDLE_FLAG_NO_IMPERSONATION_LUID_VERIFY
この SA が偽装 LUID 検証をバイパスする必要があることを示します。
IPSEC_SA_BUNDLE_FLAG_NO_EXPLICIT_CRED_MATCH
この SA が明示的な資格情報ハンドルの一致をバイパスする必要があることを示します。
IPSEC_SA_BUNDLE_FLAG_ALLOW_NULL_TARGET_NAME_MATCH
ピア名で形成された SA が、関連付けられたピア ターゲットを持たないトラフィックを伝送できるようにします。
IPSEC_SA_BUNDLE_FLAG_CLEAR_DF_ON_TUNNEL
IPsec トンネル パケットの外部 IP ヘッダーの DontFragment ビットをクリアします。 このフラグは、トンネル モードの CA にのみ適用されます。
IPSEC_SA_BUNDLE_FLAG_ASSUME_UDP_CONTEXT_OUTBOUND
既定のカプセル化ポート (4500 および 4000) は、関連付けられた IPsec-NAT-shim コンテキストを持たない送信接続のパケットとこの SA を照合するときに使用できます。
IPSEC_SA_BUNDLE_FLAG_ND_PEER_BOUNDARY
ピアでネゴシエーション検出が有効になっており、境界ネットワーク上にあります。

lifetime

IPSEC_SA_LIFETIME0で指定されたバンドル内のすべての CA の有効期間。

idleTimeoutSeconds

バンドル内の CA がアイドル状態になり (トラフィックが非アクティブであるため)、タイムアウト (秒単位) になり、有効期限が切れます。

ndAllowClearTimeoutSeconds

タイムアウト (秒単位)。 その後、IPsec SA はクリアに入ってくるパケットの受け入れを停止する必要があります。

ネゴシエーションの検出に使用されます。

ipsecId

オプションの IPsec ID 情報を含む IPSEC_ID0 構造体へのポインター。

napContext

ネットワーク アクセス保護 (NAP) ピアの資格情報。

qmSaId

有効期限が切れる SA を選択するときに IPsec によって使用される SA 識別子。 IPsec SA ペアの場合、 qmSaId は、開始マシンと応答マシンの間、および受信と送信の SA バンドル間で同じである必要があります。 IPsec ペアが異なる場合、 qmSaId は 異なっている必要があります。

numSAs

バンドル内の CA の数。 指定できる値は 1 と 2 のみです。 AH + ESP CA を指定する場合にのみ 2 を使用します。

saList

バンドル内の IPsec CA の配列。 AH + ESP SA の場合は、ESP SA にインデックス [0] を、AH SA の場合はインデックス [1] を使用します。

詳細については、「 IPSEC_SA0 」を参照してください。

keyModuleState

IPSEC_KEYMODULE_STATE0で指定されたオプションのキーモジュール固有の情報。

ipVersion

FWP_IP_VERSIONで指定された IP バージョン。

peerV4PrivateAddress

ipVersion がFWP_IP_VERSION_V4されている場合使用できます。 ピアがネットワーク アドレス変換 (NAT) デバイスの背後にある場合、このメンバーはピアのプライベート アドレスを格納します。

mmSaId

この ID を使用して、この IPsec SA を生成した IKE SA と関連付けます。

pfsGroup

この SA に対してクイック モードの完全前方秘密 (PFS) が有効になっているかどうかを指定します。有効な場合は、PFS に使用された Diffie-Hellman グループが含まれます。

詳細については、「 IPSEC_PFS_GROUP 」を参照してください。

要件

   
サポートされている最小のクライアント Windows Vista [デスクトップ アプリのみ]
サポートされている最小のサーバー Windows Server 2008 [デスクトップ アプリのみ]
Header ipsectypes.h

関連項目

FWP_IP_VERSION

IPSEC_KEYMODULE_STATE0

IPSEC_PFS_GROUP

IPSEC_SA0

IPSEC_SA_LIFETIME0

Windows フィルタリング プラットフォーム API の構造