Compartilhar via


estrutura IPSEC_SA_BUNDLE1 (ipsectypes.h)

A estrutura IPSEC_SA_BUNDLE1 é usada para armazenar informações sobre um pacote sa (associação de segurança) IPsec. IPSEC_SA_BUNDLE0 está disponível.

 

Sintaxe

typedef struct IPSEC_SA_BUNDLE1_ {
  UINT32                 flags;
  IPSEC_SA_LIFETIME0     lifetime;
  UINT32                 idleTimeoutSeconds;
  UINT32                 ndAllowClearTimeoutSeconds;
  IPSEC_ID0              *ipsecId;
  UINT32                 napContext;
  UINT32                 qmSaId;
  UINT32                 numSAs;
  IPSEC_SA0              *saList;
  IPSEC_KEYMODULE_STATE0 *keyModuleState;
  FWP_IP_VERSION         ipVersion;
  union {
    UINT32 peerV4PrivateAddress;
  };
  UINT64                 mmSaId;
  IPSEC_PFS_GROUP        pfsGroup;
  GUID                   saLookupContext;
  UINT64                 qmFilterId;
} IPSEC_SA_BUNDLE1;

Membros

flags

Uma combinação dos valores a seguir.

Sinalizador de pacote SA IPsec Significado
IPSEC_SA_BUNDLE_FLAG_ND_SECURE
A descoberta de negociação está habilitada no anel seguro.
IPSEC_SA_BUNDLE_FLAG_ND_BOUNDARY
Descoberta de negociação habilitada na zona de perímetro não confiável.
IPSEC_SA_BUNDLE_FLAG_ND_PEER_NAT_BOUNDARY
Peer está no anel de zona de perímetro não confiável e uma NAT (conversão de endereços de rede) está no caminho. Usado com a descoberta de negociação.
IPSEC_SA_BUNDLE_FLAG_GUARANTEE_ENCRYPTION
Indica que essa é uma SA para conexões que exigem criptografia garantida.
IPSEC_SA_BUNDLE_FLAG_NLB
Indica que essa é uma SA para um servidor NLB.
IPSEC_SA_BUNDLE_FLAG_NO_MACHINE_LUID_VERIFY
Indica que essa SA deve ignorar a verificação luid do computador.
IPSEC_SA_BUNDLE_FLAG_NO_IMPERSONATION_LUID_VERIFY
Indica que essa SA deve ignorar a verificação LUID de representação.
IPSEC_SA_BUNDLE_FLAG_NO_EXPLICIT_CRED_MATCH
Indica que essa SA deve ignorar a correspondência explícita do identificador de credencial.
IPSEC_SA_BUNDLE_FLAG_ALLOW_NULL_TARGET_NAME_MATCH
Permite que uma SA formada com um nome de par carregue o tráfego que não tem um destino de par associado.
IPSEC_SA_BUNDLE_FLAG_CLEAR_DF_ON_TUNNEL
Limpa o bit DontFragment no cabeçalho IP externo de um pacote com túnel IPsec. Esse sinalizador é aplicável somente a SAs do modo de túnel.
IPSEC_SA_BUNDLE_FLAG_ASSUME_UDP_CONTEXT_OUTBOUND
As portas de encapsulamento padrão (4500 e 4000) podem ser usadas ao corresponder essa SA com pacotes em conexões de saída que não têm um contexto IPsec-NAT-shim associado.
IPSEC_SA_BUNDLE_FLAG_ND_PEER_BOUNDARY
Peer tem a descoberta de negociação habilitada e está em uma rede de perímetro.
IPSEC_SA_BUNDLE_FLAG_SUPPRESS_DUPLICATE_DELETION
Suprime a lógica de exclusão de SA duplicada. A lógica THis é executada pelo kernel quando uma SA de saída é adicionada, para evitar SAs duplicadas desnecessárias.
IPSEC_SA_BUNDLE_FLAG_PEER_SUPPORTS_GUARANTEE_ENCRYPTION
Indica que o computador par dá suporte à negociação de uma SA separada para conexões que exigem criptografia garantida.

lifetime

Tempo de vida de todos os SAs no pacote, conforme especificado por IPSEC_SA_LIFETIME0.

idleTimeoutSeconds

Tempo limite em segundos após o qual os SAs no pacote ficarão ociosos (devido à inatividade do tráfego) e expirarão.

ndAllowClearTimeoutSeconds

Tempo limite em segundos, após o qual a SA IPsec deve parar de aceitar pacotes que estão sendo liberados.

Usado para descoberta de negociação.

ipsecId

Ponteiro para uma estrutura IPSEC_ID0 que contém informações de identidade IPsec opcionais.

napContext

Informações de credenciais de par do NAP (Ponto de Acesso à Rede).

qmSaId

Identificador SA usado pelo IPsec ao escolher a SA para expirar. Para um par de SA IPsec, o qmSaId deve ser o mesmo entre os computadores que iniciam e respondem e entre os pacotes sa de entrada e saída. Para pares IPsec diferentes, o qmSaId deve ser diferente.

numSAs

Número de SAs no pacote. Os únicos valores possíveis são 1 e 2. Use 2 somente ao especificar SAs AH e ESP.

saList

Matriz de SAs IPsec no pacote. Para SAs AH e ESP, use o índice 0 para ESP SA e o índice 1 para AH SA.

Consulte IPSEC_SA0 para obter mais informações.

keyModuleState

Informações específicas do módulo de chave opcional, conforme especificado por IPSEC_KEYMODULE_STATE0.

ipVersion

Versão de IP conforme especificado por FWP_IP_VERSION.

peerV4PrivateAddress

Disponível quando ipVersion é FWP_IP_VERSION_V4. Se o par estiver atrás de um dispositivo NAT, esse membro armazenará o endereço privado do par.

mmSaId

Use essa ID para correlacionar essa SA IPsec com a SA IKE que a gerou.

pfsGroup

Especifica se o PFS (segredo de encaminhamento perfeito) do Modo Rápido foi habilitado para essa SA e, nesse caso, contém o grupo Diffie-Hellman que foi usado para o PFS.

Consulte IPSEC_PFS_GROUP para obter mais informações.

saLookupContext

Contexto de pesquisa de SA propagado da SA para conexões de dados que fluem por essa SA. Ele é disponibilizado para qualquer aplicativo que consulta as propriedades de segurança do soquete usando a função WSAQuerySocketSecurity da API winsock, permitindo que o aplicativo obtenha informações detalhadas de autenticação IPsec para sua conexão.

qmFilterId

Requisitos

Requisito Valor
Cliente mínimo com suporte Windows 7 [somente aplicativos da área de trabalho]
Servidor mínimo com suporte Windows Server 2008 R2 [somente aplicativos da área de trabalho]
Cabeçalho ipsectypes.h

Confira também

FWP_IP_VERSION

IPSEC_KEYMODULE_STATE0

IPSEC_PFS_GROUP

IPSEC_SA0

IPSEC_SA_LIFETIME0

Estruturas de API da Plataforma de Filtragem do Windows