Modo de transporte
El escenario de directiva IPsec del modo de transporte requiere la protección del modo de transporte IPsec para todo el tráfico coincidente. Cualquier tráfico de texto no cifrado coincidente se quita hasta que la negociación IKE o AuthIP se haya completado correctamente. Si se produce un error en la negociación, la conectividad con la dirección IP correspondiente permanecerá interrumpida.
Un ejemplo de un posible escenario de modo de transporte es "Proteger todo el tráfico de datos de unidifusión, excepto ICMP, mediante el modo de transporte IPsec".
Para implementar este ejemplo mediante programación, use la siguiente configuración del PMA.
Agregue uno o ambos de los siguientes contextos de proveedor de directivas MM.
- Para IKE, un contexto de proveedor de directivas de tipo FWPM_IPSEC_IKE_MM_CONTEXT.
- Para AuthIP, un contexto de proveedor de directivas de tipo FWPM_IPSEC_AUTHIP_MM_CONTEXT.
Nota
Se negociará un módulo de clave común y se aplicará la directiva MM correspondiente. AuthIP es el módulo de clave preferido si se admiten IKE y AuthIP.
Para cada uno de los contextos agregados en el paso 1, agregue un filtro con las siguientes propiedades.
Filter (propiedad) Valor Condiciones de filtrado Vacío. Todo el tráfico coincidirá con el filtro. providerContextKey GUID del contexto del proveedor MM agregado en el paso 1. Agregue uno o ambos de los siguientes contextos de proveedor de directivas de modo de transporte QM.
- Para IKE, un contexto de proveedor de directivas de tipo FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXT.
- Para AuthIP, un contexto de proveedor de directivas de tipo FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXT. Este contexto puede contener opcionalmente la directiva de negociación del modo extendido de autenticación (EM).
Nota
Se negociará un módulo de clave común y se aplicará la directiva de QM correspondiente. AuthIP es el módulo de clave preferido si se admiten IKE y AuthIP.
Para cada uno de los contextos agregados en el paso 1, agregue un filtro con las siguientes propiedades.
Filter (propiedad) Valor Condiciones de filtrado Vacío. Todo el tráfico coincidirá con el filtro. providerContextKey GUID del contexto del proveedor QM agregado en el paso 1. Agregue un filtro con las siguientes propiedades.
Excluya el tráfico ICMP de IPsec agregando un filtro con las siguientes propiedades.
Filter (propiedad) Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPEcondición de filtrado NlatUnicast FWPM_CONDITION_IP_PROTOCOL condición de filtrado IPPROTO_ICMP{V6}Estas constantes se definen en winsock2.h. action.type FWP_ACTION_PERMIT de peso FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Agregue un filtro con las siguientes propiedades.
Filter (propiedad) Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condición de filtrado NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6} Excluya el tráfico ICMP de IPsec agregando un filtro con las siguientes propiedades.
Filter (propiedad) Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condición de filtrado NlatUnicast FWPM_CONDITION_IP_PROTOCOL condición de filtrado IPPROTO_ICMP{V6}Estas constantes se definen en winsock2.h. action.type FWP_ACTION_PERMIT de peso FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS
En FWPM_LAYER_IKEEXT_V{4|6} configuración de la directiva de negociación mm
En FWPM_LAYER_IPSEC_V{4|6} configuración de QM y directiva de negociación em
FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} configurar reglas de filtrado de entrada por paquete
En FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} configurar reglas de filtrado de salida por paquete