다음을 통해 공유

IPSEC_SA_BUNDLE1 구조체(ipsectypes.h)

  • 아티클

IPSEC_SA_BUNDLE1 구조는 SA(IPsec 보안 연결) 번들에 대한 정보를 저장하는 데 사용됩니다. IPSEC_SA_BUNDLE0 사용할 수 있습니다.

 

구문

typedef struct IPSEC_SA_BUNDLE1_ {
  UINT32                 flags;
  IPSEC_SA_LIFETIME0     lifetime;
  UINT32                 idleTimeoutSeconds;
  UINT32                 ndAllowClearTimeoutSeconds;
  IPSEC_ID0              *ipsecId;
  UINT32                 napContext;
  UINT32                 qmSaId;
  UINT32                 numSAs;
  IPSEC_SA0              *saList;
  IPSEC_KEYMODULE_STATE0 *keyModuleState;
  FWP_IP_VERSION         ipVersion;
  union {
    UINT32 peerV4PrivateAddress;
  };
  UINT64                 mmSaId;
  IPSEC_PFS_GROUP        pfsGroup;
  GUID                   saLookupContext;
  UINT64                 qmFilterId;
} IPSEC_SA_BUNDLE1;

멤버

flags

다음 값의 조합입니다.

IPsec SA 번들 플래그 의미
IPSEC_SA_BUNDLE_FLAG_ND_SECURE
 협상 검색은 보안 링에서 사용하도록 설정됩니다.
IPSEC_SA_BUNDLE_FLAG_ND_BOUNDARY
 신뢰할 수 없는 경계 영역에서 활성화된 에서 협상 검색
IPSEC_SA_BUNDLE_FLAG_ND_PEER_NAT_BOUNDARY
 피어는 신뢰할 수 없는 경계 영역 링에 있으며 NAT(네트워크 주소 변환)가 방해가 됩니다. 협상 검색과 함께 사용됩니다.
IPSEC_SA_BUNDLE_FLAG_GUARANTEE_ENCRYPTION
 암호화가 보장되어야 하는 연결에 대한 SA임을 나타냅니다.
IPSEC_SA_BUNDLE_FLAG_NLB
 NLB 서버에 대한 SA임을 나타냅니다.
IPSEC_SA_BUNDLE_FLAG_NO_MACHINE_LUID_VERIFY
 이 SA가 머신 LUID 확인을 바이패스해야 했음을 나타냅니다.
IPSEC_SA_BUNDLE_FLAG_NO_IMPERSONATION_LUID_VERIFY
 이 SA가 가장 LUID 확인을 무시해야 했음을 나타냅니다.
IPSEC_SA_BUNDLE_FLAG_NO_EXPLICIT_CRED_MATCH
 이 SA가 명시적 자격 증명 핸들 일치를 바이패스해야 했음을 나타냅니다.
IPSEC_SA_BUNDLE_FLAG_ALLOW_NULL_TARGET_NAME_MATCH
 피어 이름으로 구성된 SA가 연결된 피어 대상이 없는 트래픽을 전달할 수 있도록 허용합니다.
IPSEC_SA_BUNDLE_FLAG_CLEAR_DF_ON_TUNNEL
 IPsec 터널된 패킷의 외부 IP 헤더에서 DontFragment 비트를 지웁니다. 이 플래그는 터널 모드 SA에만 적용됩니다.
IPSEC_SA_BUNDLE_FLAG_ASSUME_UDP_CONTEXT_OUTBOUND
 이 SA를 연결된 IPsec-NAT-shim 컨텍스트가 없는 아웃바운드 연결의 패킷과 일치시키는 경우 기본 캡슐화 포트(4500 및 4000)를 사용할 수 있습니다.
IPSEC_SA_BUNDLE_FLAG_ND_PEER_BOUNDARY
 피어는 협상 검색을 사용하도록 설정되어 있으며 경계 네트워크에 있습니다.
IPSEC_SA_BUNDLE_FLAG_SUPPRESS_DUPLICATE_DELETION
 중복된 SA 삭제 논리를 표시하지 않습니다. 불필요한 중복 SAS를 방지하기 위해 아웃바운드 SA가 추가될 때 커널에서 THis 논리를 수행합니다.
IPSEC_SA_BUNDLE_FLAG_PEER_SUPPORTS_GUARANTEE_ENCRYPTION
 피어 컴퓨터가 보장된 암호화가 필요한 연결에 대해 별도의 SA 협상을 지원한다는 것을 나타냅니다.

lifetime

IPSEC_SA_LIFETIME0 지정된 번들에 있는 모든 SAS의 명입니다.

idleTimeoutSeconds

번들에 있는 SAS가 유휴 상태(트래픽 비활성으로 인해) 만료되는 시간 제한(초)입니다.

ndAllowClearTimeoutSeconds

시간 제한(초)이며, 그 후 IPsec SA는 지우기에서 들어오는 패킷의 수신을 중지해야 합니다.

협상 검색에 사용됩니다.

ipsecId

선택적 IPsec ID 정보를 포함하는 IPSEC_ID0 구조체에 대한 포인터입니다.

napContext

NAP(네트워크 액세스 지점) 피어 자격 증명 정보입니다.

qmSaId

만료할 SA를 선택할 때 IPsec에서 사용하는 SA 식별자입니다. IPsec SA 쌍의 경우 qmSaId 는 시작 및 응답 머신과 인바운드 및 아웃바운드 SA 번들 간에 동일해야 합니다. 서로 다른 IPsec 쌍의 경우 qmSaId 가 달라야 합니다.

numSAs

번들의 SAS 수입니다. 가능한 값은 1과 2뿐입니다. AH 및 ESP SA를 지정하는 경우에만 2를 사용합니다.

saList

번들의 IPsec SA 배열입니다. AH 및 ESP SA의 경우 ESP SA에 인덱스 0을 사용하고 AH SA에 인덱스 1을 사용합니다.

자세한 내용은 IPSEC_SA0 참조하세요.

keyModuleState

IPSEC_KEYMODULE_STATE0 지정한 선택적 키 지정 모듈 관련 정보입니다.

ipVersion

FWP_IP_VERSION 지정된 IP 버전입니다.

peerV4PrivateAddress

ipVersion이 FWP_IP_VERSION_V4 때 사용할 수 있습니다. 피어가 NAT 디바이스 뒤에 있는 경우 이 멤버는 피어의 개인 주소를 저장합니다.

mmSaId

이 ID를 사용하여 이 IPsec SA를 생성한 IKE SA와 상호 연결합니다.

pfsGroup

이 SA에 대해 빠른 모드 PFS(완전 정방향 비밀)를 사용하도록 설정했는지 여부를 지정하고, 이 경우 PFS에 사용된 Diffie-Hellman 그룹을 포함합니다.

자세한 내용은 IPSEC_PFS_GROUP 참조하세요.

saLookupContext

SA에서 해당 SA를 통해 흐르는 데이터 연결로 전파되는 SA 조회 컨텍스트입니다. Winsock API WSAQuerySocketSecurity 함수를 사용하여 소켓 보안 속성을 쿼리하는 모든 애플리케이션에서 사용할 수 있으므로 애플리케이션이 연결에 대한 자세한 IPsec 인증 정보를 얻을 수 있습니다.

qmFilterId

요구 사항

요구 사항
지원되는 최소 클라이언트 Windows 7 [데스크톱 앱만 해당]
지원되는 최소 서버 Windows Server 2008 R2 [데스크톱 앱만 해당]
머리글 ipsectypes.h

추가 정보

FWP_IP_VERSION

IPSEC_KEYMODULE_STATE0

IPSEC_PFS_GROUP

IPSEC_SA0

IPSEC_SA_LIFETIME0

Windows 필터링 플랫폼 API 구조