Verwalten von Sicherheitszuordnungen in IPsec Offload Version 2
[Das IPsec-Aufgabenauslagerungsfeature ist veraltet und sollte nicht verwendet werden.]
Nachdem der TCP/IP-Transport festgestellt hat, dass eine NIC IPsec-Auslagerungsvorgänge der Version 2 (IPsecOV2) ausführen kann (siehe Melden der IPsec Offload-Funktionen der NIC 2), fordert der Transport an, dass der Miniporttreiber der NIC eine oder mehrere Sicherheitszuordnungen (SAs) zur NIC hinzugibt, bevor der Transport IPsec-Aufgaben an die NIC auslagern kann. Nach dem Hinzufügen von SAs kann der TCP/IP-Transport sie auch löschen oder aktualisieren. Die IPsecOV2-Schnittstelle erfordert die direkte OID-Schnittstelle von NDIS zum Hinzufügen, Löschen und Aktualisieren von OIDs.
Hinweis NDIS stellt eine direkte OID-Anforderungsschnittstelle für NDIS 6.1- und höher-Treiber bereit. Der direkte OID-Anforderungspfad unterstützt OID-Anforderungen, die häufig abgefragt oder festgelegt werden.
Um anzufordern, dass ein Miniporttreiber eine oder mehrere SAs zu einer NIC hinzugibt, legt der TCP/IP-Transport die OID_TCP_TASK_IPSEC_OFFLOAD_V2_ADD_SA OID fest. Der Miniporttreiber empfängt eine IPSEC_OFFLOAD_V2_ADD_SA-Struktur und konfiguriert die NIC für die IPsecOV2-Verarbeitung für eine SA. Wenn erfolgreich auf OID_TCP_TASK_IPSEC_OFFLOAD_V2_ADD_SA festgelegt ist, initialisiert der Miniporttreiber ein Handle, das die ausgeladene SA in der IPSEC_OFFLOAD_V2_ADD_SA-Struktur identifiziert. Der Transport verwendet dieses Handle in nachfolgenden Anforderungen an den Miniporttreiber (d. a. auf dem Sendepfad oder in den Aufrufen zum Ändern oder Löschen der SA). Weitere Informationen zur Verwendung des SA-Handles im Sendepfad finden Sie unter Senden von Netzwerkdaten mit IPsec Offload Version 2.
Der Miniporttreiber meldet die Anzahl von SAs, die eine NIC im SaOffloadCapacity-Element der NDIS_IPSEC_OFFLOAD_V2-Struktur unterstützen kann.
Der Miniporttreiber kann das SaDeleteReq-Flag in der NDIS_IPSEC_OFFLOAD_V2_NET_BUFFER_LIST_INFO-Struktur für ein Empfangspaket festlegen. Der TCP/IP-Transport gibt anschließend OID_TCP_TASK_IPSEC_OFFLOAD_V2_DELETE_SA einmal aus, um die eingehende SA, über die das Paket empfangen wurde, zu löschen, und einmal erneut, um die ausgehende SA zu löschen, die der gelöschten eingehenden SA entspricht.
Die TCP/IP-Transportprobleme OID_TCP_TASK_IPSEC_OFFLOAD_V2_DELETE_SA zum Löschen eingehender SAs, über die ein Paket empfangen wurde, und zum Löschen der ausgehenden SAs, die den gelöschten eingehenden SAs entsprechen. Eine NIC darf diese SAs nicht entfernen, bevor sie die entsprechende OID_TCP_TASK_IPSEC_OFFLOAD_V2_DELETE_SA-Anforderung empfängt.
Der TCP/IP-Transport legt die OID_TCP_TASK_IPSEC_OFFLOAD_V2_UPDATE_SA OID fest, um anzufordern, dass ein Miniporttreiber eine NIC mit den Bits höherer Reihenfolge für eine SA mit erweiterten Sequenznummern (ESN) aktualisiert. Bei NICs, die ESN unterstützen, sollte der Treiber, wenn der Miniporttreiber diese Anforderung empfängt, die Sequenznummer der angegebenen SA in der NIC entsprechend dem IPSEC_OFFLOAD_V2_OPERATION Enumerationswert aktualisieren, der im Vorgangselement der IPSEC_OFFLOAD_V2_UPDATE_SA-Struktur angegeben ist.