Chapter 16 Task Offload 객체

다음 차트는 TCP/IP task-offload 연산들을 지원하는 OID들을 요약한다. 그러한 연산들의 설명을 위해, Network Design Guide의 Part 2를 봐라.

Length	Q	S	Name
Arr	M	M	OID_TCP_TASK_OFFLOAD 쿼리할 때, NIC의 task-offload 능력들을 보고하기 위해 미니포트에게 요구한다. 설정할 때, 미니포트에게 NIC의 지정된 task-offload 능력들을 가능하게 요구한다.
Arr		M	OID_TCP_TASK_IPSEC_ADD_SA 미니포트에게 NIC에 대한 하나 혹은 그 이상의 보안 협회(SA)들을 추가하기 위해 요구한다.
4		M	OID_TCP_TASK_IPSEC_DELETE_SA 미니포트에게 NIC으로부터 SA를 지우도록 한다.

다음은 완전하게 선행 차트에서 리스트된 OID_XXX의 각각을 설명한다.

OID_TCP_TASK_OFFLOAD

TCP/IP 전송 계층은 이 OID를 미니포트의 NIC의 task-offload 능력들을 결정하기 위해 쿼리한다. NIC이 지원하는 태스크-offload 능력들이 어느것인지 결정한 후, TCP/IP 전송 프로토콜은 이 OID를 보고된 능력들을 가능하도록 설정한다. TCP/IP 프로토콜은 또한 이 OID를 설정함으로써 NIC의 task-offload 능력들의 모든 것을 불능으로 할 수 있다. 단지 한번에 하나의 프로토콜이 특정 NIC의 task-offload 능력들을 가능할 수 있게 한다.

Querying a NIC's Task-Offload Capabilities

TCP/IP 전송 계층이 OID_TCP_TASK_OFFLOAD를 쿼리할 때, NDIS_TASK_OFFLOAD_HEADER 구조체인 InformationBuffer로 제공한다. 이 구조체는 TCP/IP 전송 계층에 의해 처리된느 송신 수신 패킷들을 위한 캡슐화 포맷, 그러한 패킷들에서 캡슐화 헤더의 크기, TCP/IP 전송계층에 의해 제공되는 task-offload 버전을 지정한다. 이러한 정보에서, 미니포트 혹은 NIC은 offload task를 행하기 위해 필요한 것들인 전송 패킷에서 첫 IP 헤더의 시작을 위치할 수 있다.

OID_TCP_TASK_OFFLOAD의 쿼리에 응답하여, 미니포트는 InformationBuffer로 하나 혹은 그 이상의 NDIS_TASKOFFLOAD 구조체들에 의해 전에 NDIS_TASK_OFFLOAD_HEADER 구조체를 리턴한다. 만약 미니포트의 NIC은 특정 태스크-offload 능력의 다중 버전들을 제공한다면, 각 버전을 위해 하나의 NDIS_TASK_OFFLOAD 구조체를 리턴해야 한다.

각 NDIS_TASK_OFFLOAD 구조체는 구조체가 적용하는 특정 offload task을 지정하는 Task 멤버를 가진다. 각 NDIS_TASK_OFFLOAD 구조체는 또한 특지어 offload 태스크에 속한 정보를 포함한 TaskBuffer를 가진다. TaskBuffer내에 정보는 다음 구조체들의 하나로 포맷화된다.

• NDIS_TASK_TCP_IP_CHECKSUM

  체크섬 offload 능력들을 지정한다.

• NDIS_TASK_IPSEC

  IP Security offload 능력들을 지정한다.

• NDIS_TASK_TCP_LARGE_SEND

  큰 TCP 패킷 세그먼트 능력들을 지정한다.

Enabling a NIC's Task-Offload Capabilities

NIC의 task-offload 능력들을 쿼리한 후, TCP/IP 전송 계층은 OID_TCP_TASK_OFFLOAD를 설정함으로써 하나 혹은 그 이상의 이러한 능력들이 가능하다. OID_TCP_TASK_OFFLOAD를 설정할 때, TCP/IP 전송 계층은 전송 계층이 가능한 각 task-offload 능력을 위한 NDIS_TASK_OFFLOAD 구조체 전에 NDIS_TASK_OFFLOAD_HEADER 구조체인 InformationBuffer를 제공한다.

각 NDIS_TASK_OFFLOAD 구조체인 Task는 TCP/IP 전송 계층이 가능하는 offload task를 인디케이트한다. TCP/IP 전송 계층은 또한 각 NDIS_TASK_OFFLOAD 구조체의 TaskBuffer내 구조체의 멤버들(NDIS_TASK_TCP_IP_CHECKSUM, NDIS_TASK_IPSEC, 혹은 NDIS_TASK_LARGE_SEND) 설정함으로써 특정 offload 태스크를 위한 능력들을 가능하게 한다.

Changing a NIC's Task-Offload Capabilities

NIC에 의해 제공되는 모든 task-offload 능력들이 불능으로 하기 위해, TCP/IP 전송 계층은 OID_TCP_TASK_OFFLOAD를 설정한다. 미니포트는 단지 OID_TCP_TASK_OFFLOAD의 가장 최근 설정에 의해 지정된 이러한 task-offload 능력들을 가능하게 해야 한다.

Disabling a NIC's Tasl-Offload Capabilities

NIC에 의해 지원된 모든 task-offload capabilities을 불가능하게 하기 위해, TCP/IP 전송 계층은 단지 0으로 설정된 이 구조체의 OffsetFirstTask 멤버로 NDIS_TASK_OFFLOAD_HEADER 구조체인 InformationBuffer에 전달되는 OID_TCP_TASK_OFFLOAD를 설정한다.

OID_TCP_TASK_IPSEC_ADD_SA

트랜스포트 프로토콜은 이 OID를 미니포트가 NIC에대한 하나혹은 그이상의 보안 연합(SAs)을 추가하는 요청을 하기위해 설정한다.

각 SA에대한 정보는 다음과같이 정의된 OFFLOAD_IPSEC_ADD구조체로써 포맷된다.

typedef struct _OFFLOAD_IPSEC_ADD_SA { IPAddr SrcAddr; IPMask SrcMask; IPAddr DestAddr; IPMask DestMask; ULONG Protocol; USHORT SrcPort; USHORT DestPort; IPAddr SrcTunnelAddr; IPAddr DestTunnelAddr; USHORT Flags; SHORT NumSAs; OFFLOAD_SECURITY_ASSOCIATION SecAssoc[OFFLOAD_MAX_SAS]; NDIS_HANDLE OffloadHandle; ULONG KeyLen; UCHAR KeyMat[1]; } OFFLOAD_IPSEC_ADD_SA, *POFFLOAD_IPSEC_ADD_SA;

이 구조체의 멤버는 다음 정보를 포함한다.

SrcAddr

소스 호스트(패킷을 보내는 호스트)의 IP어드레스를 지정한다.

SrcMask

소스 IP어드레스에대한 서브넷 마스크를 지정한다.

DestAddr

목적지 호스트(패킷을 받는 호스트)의 IP어드레스를 지정한다.

DestMask

목적지 IP어드레스에대한 서브넷 마스크를 지정한다.

Protocol

IP프로토콜을 지정한다. TCP, UDP, ICMP, IP와 같은 프로토콜 타입의 어떤조화가 지정될수 있다. 프로토콜의 암호화는 IP헤더내에 프로토콜 필드의 것과 동일하다. 만약 프로토콜이 0으로 설정되면, SA는 어떤 IP프로토콜에 적용된다.

SrcPort

소스 TCP혹은 UDP포트를 지정한다. 만약 SrcPort가 0으로 설정되면, SA는 어떤 소스 TCP/UDP포트를 적용한다.

DestPort

목적지 TCP혹은 UDP포트를 지정한다. 만약 DestPort가 0으로 설정되면, SA는 어떤 소스 TCP/UDP포트를 적용한다.

SrcTunnelAddr

게이트 웨이와같은 터널의 소스 엔트포인트에대한 IP어드레스를 지정한다. 미니포트는 SA에 보내는 터널IP헤더 패킷에대한 소스 어드레스와같은 SrcTunnelAddr를 사용한다. SrcTunnelAddr는 패킷의 터널위치에 적용하는 SA에대해서만 지정된다. SrcTunnelAddr는 패킷의 트랜스포트 위치에 적용하는 SA에대해 0으로 설정한다.

DestTunnelAddr

게이트웨이와 같은 터널의 목적지 엔드포인트에대한 IP어드레스를 지정한다. 미니포트는 SA에 보내는 패킷의 터널 IP헤더에대한 목적지 어드레스로써 DestTunnelAddr를 사용한다. DestTunnelAddr는 패킷의 터널위치에 적용하는 SA에대해서만 지정된다. DestTunnelAddr는 패킷의 트랜스포트 위치에 적용하는 SA에대해서 0으로 설정한다.

Flags

추가된 SA가 다음과 같이 인바인딩 SA인지 아웃바인딩SA인지를 인디케이트 하는 비트마스크.

OFFLOAD_INBOUND_SA

인바인딩 SA를 지정한다.

OFFLOAD_OUTBOUND_SA

아웃 바인딩 SA를 지정한다.

NumSAs

SecAssoc배열내의 요소수를 지정한다. 배열내의 각 요소는 아래 설명된 OFFLOAD_SECURITY_ASSOCIATION구조체이다.

SecAssoc

SA에대해 IP Security연산(AH and/or ESP)의 정보를 포함하는 다양한 길이의 배열을 지정한다. 각 IP Security연산에대한 정보는 아래 설명된 OFFLOAD_SECURITY_ASSOCIATION구조체로써 포맷된다.

TCP/IP트랜스포트는 SecAssoc의 버퍼내에 하나혹은 그이상의 OFFLOAD_SECURITY_ASSOCIATION구조체를 지정한다. 각 OFFLOAD_SECURITY_ASSOCIATION구조체는 구조체내에 지정된 SA가 사용된것에대한 연산 - 인증혹은 암호화/복호화 - 타입을 인디케이트한다. 배열내의 OFFLOAD_SECURITY_ASSOCIATION구체의 순서는 미니포트가 각 SA에대한 연산을 수행해야하는것에서의 순서를 인디케이트한다. 단 하나의 연산 조화만이 지원한다: 인증에의해 (AH)암호화/복호화(ESP).

OffloadHandle

새롭게 생성된 SA에대한 핸들을 지정한다. 미니포트는 OID_TCP_TASK_IPSEC_ADD_SA요청의 완료전에 이핸들을 제공한다. TCP/IP트랜스포트는 이핸들을 미니포트에게 패킷을 보내기전에 NDIS_IPSEC_PACKET_INFO구조체내에 지정한다. TCP/IP트랜스포트는 또한 OID_TCP_TASK_IPSEC_DELETE_SA요청으로 SA를 지울때 이핸들을 지정해야만 한다.

KeyLen

KeyMat에 버퍼의 바이트 길이를 지정한다.

KeyMat

SecAssoc에 서술된 SA에 대한 키를 포함하는 가변길이의 배열을 서술한다. 만약 신뢰성(encryption/decryption) 알고리즘과 무결성(authentication) 알고리즘이 OFFLOAD_SECURITY_ASSOCIATION 구조체의 ConfAlgo와 IntegrityAlgo에 의해서 서술된다면 KeyMat에 버퍼는 우선 신뢰성 알고리즘에 대한 키 정보를 포함한다. 이것은 무결성 알고리즘에 대한 키 정보에 의해서 즉시 뒤따른다.

KeyMat에 버퍼에 있는 각각의 키에 대한 길이는 신뢰성과 무결성 알고리즘을 서술하는 OFFLOAD_ALGO_INFO 구조체의 algoKeyLen에 의해서 서술된다.(OFFLOAD_ALGO_INFO 구조체는 OFFLOAD_SECURITY_ASSOCIATION 구조체의 멤버이다.)

OFFLOAD_IPSEC_ADD_SA 구조체의 첫 7멤버들(SrcAddr, SrcMask, DestAddr, DestMask, Protocol, SrcPort, DestPort)은 SA들이 적용하는 IP 프로토콜들과 마찬가지로 소스와 목적지를 지정하는 필터를 구성한다. 필터는 전송 계층 모드 연결에 속한다. 즉, 두개의 호스트들 사이에 end-to-end 연결. 만약 특정 연결이 터널을 통해 만들어진다면, 터널의 소스와 목적지 주소들은 각각 SrcTunnelAddr과 DestTunnelAddr에 의해 지정된다.

만약 필터 매개변수가 0으로 설정되면, 그러하 매개변수는 지정된 SA들을 위한 패킷들을 필터하기 위해 사용되지 않는다. 예를 들어, 만약 SrcAddr이 0으로 설정되면, 특정 SA들은 어떤 소스 주소를 포함하는 패킷에 적용할 수 있다. 최대로 이것을 가지기 위해, 만약 모든 필터 매개변수들이 0으로 설정되면, 특정 SA들은 어떤 목적지 호스트에 패킷의 어떤 타입을 보내는 어떤 소스 호스트에 적용한다.

TCP/IP 전송 계층은 특정 SA들이 특정 프로토콜 타입의 패킷들에 적용하는 것을 인디케이트하기 위해 Protocol 멤버내 IP 프로토콜을 지정할 수 있다. 만약 Protocol이 0으로 설정되면, 지정된 SA들은 지정된 소스에서 지정된 목적지로 보내어지는 모든 패킷들에 적용한다.

OFFLOAD_SECURITY_ASSOCIATION 구조체

OFFLOAD_SECURITY_ASSOCIATION구조체가 단일 보안 집합(SA)을 서술한다. OFFLOAD_SECURITY_ASSOCIATION구조체는 SecAssoc 변수 길이 배열안의 요소이다. SecAssoc은 하나 또는 두가지의 OFFLOAD_SECURITY_ASSOCIATION구조체들을 포함한다.

OFFLOAD_SECURITY_ASSOCIATION구조체는 다음과 같이 정의된다.

typedef struct _OFFLOAD_SECURITY_ASSOCIATION { OFFLOAD_OPERATION_E Operation; SPI_TYPE SPI; OFFLOAD_ALGO_INFO IntegrityAlgo; OFFLOAD_ALGO_INFO ConfAlgo; OFFLOAD_ALGO_INFO Reserved; } OFFLOAD_SECURITY_ASSOCIATION, *POFFLOAD_SECURITY_ASSOCIATION;

OFFLOAD_SECURITY_ASSOCIATION구조체의 멤버들은 다음의 정보를 포함한다.

Operation

SA가 사용되는 것을 위한 IP 보안 연산을 서술한다. 다음의 연산들이 제공된다.

AUTHENTICATE

SA가 입증을 위해 사용되는것을 서술한다. (완벽한 체킹)

ENCRYPT

SA가 암호/해독을 위해서 사용되는것을 서술한다. (비밀성)

SPI

SA를 위한 보안 파라미너 인덱스를 서술한다.

IntegrityAlgo

OFFLOAD_ALGO_INFO구조체로 포맷 된 SA를 위한 완벽한(확실한)알고리즘을 서술한다. OFFLOAD_ALGO_INFO구조체는 밑에서 서술된다.

ConfAlgo

OFFLOAD_ALGO_INFO구조체로 포맷 된 SA를 위한 비밀성(암호/해독)알고리즘을 서술한다. OFFLOAD_ALGO_INFO구조체는 밑에서 서술된다.

Reserved

이것은 예약됐다.

SA는 프로세싱 안의 사용을 위하여 완벽한 헤더(AH)를 서술됐고 AUTHENTICATE의 연산 타입과 IntegrityAlgo(완벽한 알고리즘)을 가지고 있을 것이다. 이 케이스에서 완벽한 알고리즘은 제로를 포함할 것이다.

SA는 프로세싱 안의 사용을 위하여 캡슐화된 보안 페이로드(ESPs)가 서술됐고 ENCRYPT의 연산 타입과 IntegrityAlgo(완벽한 알고리즘)그리고 ConfAlgo(비밀성의 알고리즘)을 가지고 있을 것이다.

OFFLOAD_ALGO_INFO 구조체

OFFLOAD_SECURITY_ASSOCIATION 구조체의 멤버인 OFFLOAD_ALGO_INFO 구조체는 보안관계(SA)를 위해 사용되는 알고리즘을 서술한다.

OFFLOAD_ALGO_INFO 구조체의 정의는 다음과 같다:

typedef struct _OFFLOAD_ALGO_INFO { ULONG algoIdentifier; ULONG algoKeylen; ULONG Reserved; } OFFLOAD_ALGO_INFO, *POFFLOAD_ALGO_INFO;

OFFLOAD_ALGO_INFO 구조체의 멤버는 다음의 정보를 포함한다:

algoIdentifier

SA를 위해서 사용되는 신뢰성 혹은 무결성 알고리즘을 서술한다.

알고리즘이 신뢰성 알고리즘이라면 (즉, OFFLOAD_ALGO_INFO 구조체가 ConfAlgo를 서술한다면), algoIdentifier는 다으의 값중에 하나가 될 수 있다:

OFFLOAD_IPSEC_CONF_NONE

신뢰성 알고리즘이 아니라는 것을 서술한다. NULL 암호화를 위해서 사용된다-즉, 패킷이 암호화는 되어있지만 그것의 ESP 헤더는 입증자 정보를 포함한다.

OFFLOAD_IPSEC_CONF_DES

DES 알고리즘을 서술한다.

OFFLOAD_IPSEC_CONF_3_DES

트리플 DES 알고리즘을 서술한다.

만약 알고리즘이 무결성 알고리즘이라면 (즉, OFFLOAD_ALGO_INFO 구조체가 IntegrityAlgo를 서술한다면), algoIdentifier는 다음중 하나의 값을 서술한다:

OFFLOAD_IPSEC_INTEGRITY_NONE

무결성 알고리즘이 아니라는 것을 서술한다. ESP 헤더가 입증자 정보를 포함하지 않을 때 사용된다.

OFFLOAD_IPSEC_INTEGRITY_MD5

중요한 MD5 알고리즘을 서술한다.

OFFLOAD_IPSEC_INTEGRITY_SHA

SHA 1 알고리즘을 서술한다.

algoKeylen

알고리즘을 위해서 키의 바이트 길이를 서술한다. 키는 OFFLOAD_IPSEC_ADD_SA 구조체에 서술된 가변길이의 배열인 KeyMat에 버퍼에 포함된다.

만약 무결성 알고리즘이(IntegrityAlgo) OFFLOAD_SECURITY_ASSOCIATION 구조체 안에 서술된다면 algoKeylen은 KeyMat에 버퍼의 시작점으로부터 시작되는 무결성 알고리즘에 대해서 키의 길이를 알린다.

만약 무결성 알고리즘과 신뢰성 알고리즘이 동시에 서술된다면(IntegrityAlgo 와 ConfAlgo) 무결성 알고리즘을 위한 algoKeylen은 KeyMat에 버퍼의 시작점으로부터 시작되는 무결성 알고리즘을 위한 키의 길이를 알린다. 신뢰성에 대한 algoKeylen은 이러한 경우에 무결성 알고리즘에 대한 키의 끝으로부터 시작되는 신뢰성 알고리즘에 대한 키의 길이를 알린다.

Reserved

예약

OID_TCP_TASK_IPSEC_DELETE_SA

트랜스포트 프로토콜은 미니포트가 NIC으로부터 보안관계(SA)를 삭제하는 것을 리퀘스트하기 위해서 이 OID를 설정한다. SA 정보는 OFFLOAD_IPSEC_DELETE 구조체로써 포맷된다. 정의는 다음과 같다:

typedef struct _OFFLOAD_IPSEC_DELETE_SA { ULONG OffloadHandle; } OFFLOAD_IPSEC_DELETE_SA, *POFFLOAD_IPSEC_DELETE_SA;

이 구조체의 멤버는 다음의 정보를 포함한다:

OffloadHandle

SA에 대해서 삭제되는 핸들을 서술한다.

이 리퀘스트의 수신에서 미니포트는 SA에 대해서 NIC으로부터 명시된 SA를 삭제하고 할당된 어떤 시스템 자원을 해제해야한다.