Windows のネットワークタスクオフロード

最終更新日: 2001年12月4日

Network Driver Interface Specification (NDIS) のタスクオフロード機能は、 Microsoft Windows DDK. で文書化されています。この記事は、NDIS 5 のタスクオフロードに関する情報を提供します。

トピック

NDIS 5 の TCP/IP タスクオフロード
 チェックサムオフロード
 TCP Segmentation Offload
IPSec オフロード
 TCP/IP オフロードタスクに関する注記

NDIS 5 の TCP/IP タスクオフロード

適切な NDIS 5 (およびそれ以降の) ミニポートドライバを備えたネットワークアダプタは、伝送制御プロトコル/インターネットプロトコル (TCP/IP) の、CPU を大量に使用するタスクのハードウェアオフロードをサポートすることによって、システムパフォーマンスを向上できます。たとえば、Microsoft のテストでは、TCP/IP チェックサムのオフロードだけで、CPU の使用における最高 30 パーセントのパフォーマンスの向上が見られました。NDIS インターフェイスと TCP/IP トランスポートは、ミニポートドライバが、下記を実行するためのハードウェアサポートを示せるように拡張されました。

TCP/IP チェックサムの計算。
TCP/IP のセグメンテーション。
インターネットプロトコルセキュリティ (IPsec) の暗号化とメッセージダイジェスト。

初期化中、またはインターフェイスがプラグアンドプレイイベントとして現われるときに、TCP/IP ドライバは、オブジェクト ID (OID) が OID_TCP_TASK_OFFLOAD である NdisRequest() 機構を通じてミニポートに照会し、ネットワークアダプタがサポートしているオフロード機能を検出します。

ネットワークアダプタがオフロード可能な各タスクに対して、サポートされているタスクを示すものとそのタスクに固有のパラメータを含む NDIS_TASK_OFFLOAD 構造を戻します。その後、プロトコルは、それらのタスクに対して NDIS_TASK_OFFLOAD 構造を含む設定要求を送信することによって、適切なタスクを有効にします。この時点で、これらのタスクはオフロードが有効です。ネットワークアダプタは、各パケットと共に、タスクに固有の情報をパケットごとに受信します。

ページのトップへ

チェックサムオフロード

送信側で、このオフロードをサポートするネットワークアダプタは、必要とされ、実行可能であることが示されたチェックサムを計算します。TCP チェックサムに関して、Microsoft トランスポートは、TCP 擬似ヘッダーチェックサムを計算し、この値をチェックサムフィールドに置いて、ネットワークアダプタが IP ヘッダーに触れずに正しい TCP チェックサムを計算できるようにします。

受信側で、ネットワークアダプタは、NDIS_TCP_IP_CHECKSUM_PACKET_INFO 構造の情報を指定し、適切なビットを設定します。ネットワークアダプタは、なんらかの理由でがチェックサムを実行できない場合、ビットを設定せず、パケットを示しません。その後、TCP/IP では、これを確認して適切なチェックサムが計算されます。

ページのトップへ

TCP Segmentation Offload

Segmentation Offload または TCP Large Send により、TCP では、メディアによってサポートされる最大転送単位 (MTU) を超える転送バッファを渡せます。インテリジェントアダプタは、必要なサイズのセグメントを取得するために、受信する送信バッファのプロトタイプの TCP ヘッダーおよび IP ヘッダーを使用して大量送信を実装します。プロトタイプヘッダーとオプションをコピーしてから、シーケンス番号とチェックサムフィールドを計算することで、TCP セグメントヘッダーが作成されます。オプションやフラグ値などの、他のすべての情報は、特に指定のない限り保持されます。

連続したセグメントのシーケンス番号は、セグメントのサイズを明らかにして処理されます。チェックサムオフロードタスクと同様に、Microsoft トランスポートは、擬似ヘッダーチェックサムを計算し、結果を TCP ヘッダーに置いて、ネットワークアダプタが IP ヘッダーに触れずに正しい TCP チェックサムを計算できるようにします。大量送信のための TCP チェックサムの可変コンポーネントが、ネットワークアダプタによって、より大きなパケットから取得する各セグメントに対して提供される必要があります。

IP のプロトタイプヘッダーの全体長は、データサイズを保持します。つまり、ネットワークアダプタによる転送が予想される最初のセグメント化されたフレームの TCP ペイロード + TCP ヘッダーのサイズ + オプションの長さ + IP ヘッダーのサイズとオプションの長さです。TCP シーケンス番号は、TCP ペイロードの最初のバイトのシーケンス番号を保持します。

同様に、各フレームの IP ID が増やされて、チェックサムが計算されます。アダプタは、別のオフロードとしてチェックサムをサポートせずに Large Send Offload をサポートできます。ただし、Large Send Offload を適切に実装するためには、チェックサムを計算できなければなりません。さらに、アダプタは、TCP または IP のオプションの有無にかかわらず、Large Send Offload を実装できます。

前提条件 :

TCP/IP スタックは、{使用可能な TCP ウィンドウ} までのデータをオフロードします。アダプタは、TCP フロー制御を必要としません。また、TCP フロー制御を実装してはなりません。
ネットワークアダプタは、TCP/IP スタックが適切に動作し、再送信を処理できるようにするために、受信されるすべての ACK (結合は不許可) を示す必要があります。
プロトタイプ IP ヘッダーは、設定された MF ビットを持たず、オフセットはゼロになります。
プロトタイプ TCP ヘッダーは、設定された URG、RST、および SYN フラグを持たず、緊急ポインタはゼロになります。
FIN ビットが設定される場合は、送信される最後のセグメントの TCP ヘッダーは、設定された FIN ビットを持ちます。
PUSH ビットが設定される場合は、送信される最後のセグメントの TCP ヘッダーは、設定されたビットを持ちます。

ネットワークアダプタは、送信される順序に従ってパケットを送信します。大量送信の間に小量送信 (通常の送信) が実行される場合があります。
IpOptions、TcpOptions、またはその両方をサポートするネットワークアダプタは、プロトタイプ TCP で見つかった値を変更しません。特に、Time Stamp オプションのタイムスタンプは増加させません。

注: Windows 2000 は、TCP Segmentation Offload 機能を持ちますが、レジストリの既定で無効にされています。Microsoft は、ハードウェアメーカーが、TCP Segmentation Offload アダプタ用の開発プラットフォームとして Windows 2000 を使用し、レジストリで TCP Segmentation Offload を有効にすることを推奨します。現時点で、Microsoft は、ハードウェアとドライバのベータテストを除き、エンドユーザー環境での TCP Segmentation Offload の使用は推奨していません。

ページのトップへ

IPSec オフロード

IPsec は、IPv4 を拡張したもので、セキュリティネゴシエーションと暗号キー管理にインターネットキー交換 (IKE、以前の ISAKMP/Oakley) プロトコルを使用して、パケットごとに IP トラフィックの暗号化 (パケットごとのデータ整合性とソース認証) を提供します。Windows IPsec は、ネットワーク管理者が、既存のアプリケーションに透過的に、企業ネットワークのトラフィックをセキュリティで保護できるようにします。IPsec の集中化された構成は、Windows Active Directory とグループポリシーの機能によって提供されます。

IPsec には、エンドツーエンドのセキュリティのためのトランスポートモードと、ルーター間のセキュリティのためのトンネルモードの 2 つのモードがあります。トランスポートモードを使用すると、任意の 2 つのホスト (クライアントとサーバー) 間、またはクライアントとトンネルサーバー間の通信で、エンドツーエンドのセキュリティを提供できます。たとえば、IPsec トランスポートモード (L2TP/IPsec) によってセキュリティで保護された L2TP トンネルです。IPsec トンネルモードは、L2TP または IPsec が使用不可能な場合のみの、ゲートウェイ間の VPN シナリオで推奨されます。

IPsec ポリシーは、IPsec ドライバと IKE サービスの構成を制御します。アプリケーションデータを安全に送受信するには、コンピュータ間のセキュリティアソシエーション (SA) が IKE によって確立される必要があります。IKE では、Diffie Hellman 法を使用して共有された秘密キーマテリアルを生成し、3 つの方法のいずれかを使用して相互認証を行ないます。Kerberos Version 5.0、証明書付きのパブリックキーまたは秘密キー、および事前共有された認証キーです。

その後、IKE では、アプリケーションデータを保護するためにどの暗号化アルゴリズムを使用するかネゴシエートして、パケットごとのデータ暗号化とハッシュ操作用に一括暗号化キーを生成します。送信元のネットワークアダプタが、合意された暗号化アルゴリズムを実行可能な場合、IPsec ドライバは、合意されたパラメータやキーと共にセキュリティアソシエーションをネットワークアダプタに追加します。

TCP/IP は、IP パケットをフレームにした後、パケットがセキュリティアソシエーションと一致しているかどうか判断するために IPsec ドライバに渡します。IPsec ドライバは、パケットをすべての IPsec フィルタと照合します。フィルタと一致しており、セキュリティアソシエーションが存在し、この SA がネットワークアダプタにオフロードされている場合は、アダプタがそのパケットに対する暗号化操作を行えるように、パケットは SA コンテキストで直接ネットワークアダプタに送られます。

IPsec オフロード機能は、ネットワークアダプタが下記の変換とアルゴリズムを実行できるようにします。

トランスポートモードとトンネルモードの両方をオフロード可能
1 つのトンネルを通じたトランスポートモードの使用をオフロード可能
IPsec カプセル化セキュリティペイロード (ESP) 変換アルゴリズム
56bitDES、3DES、または "NULL" 暗号化と MD5 または SHA1 による整合性
IPsec 認証ヘッダー (AH) 変換アルゴリズム: MD5 と SHA-1
AH と ESP を組み合わせた変換による、パケットの完全な整合性とプライバシー

TCP/IP オフロードタスクに関する注記

同じネットワークアダプタでこれらのタスクのいくつかをオフロードできますが、IPsec ポリシーが割り当てられているときには、チェックサムと TCP Large Send Offload は無効です。

注: IPsec と Windows の関連サービスは、Microsoft と米国 Cisco Systems 社が共同で開発しました。

「パートナーの皆様へ」(NDIS タスクのオフロードについて)

PCMCIA アダプタおよび PCI 10/100 Mbit イーサネットアダプタの 100 以上の IPsec トランスポートセキュリティアソシエーションが可能なクライアント IPsec オフロードアダプタを構築してください。
5000 以上の IPsec トランスポートのオフロードおよび 100 Mbit およびギガビットイーサネットアダプタのトンネルモードセキュリティアソシエーションが可能なサーバー IPsec オフロードアダプタを構築してください。
Checksum Offload アダプタとプロトタイプ TCP Segmentation Offload アダプタを構築してください。
Microsoft ネットワーク開発チームと共同で、タスクオフロードプロトタイプをテストしてください。
標準的なプロトコル機能テストのほかに、NDIS Driver Verifier を使用して、スループットとスケーラビリティのストレステストを行なうことを計画してください。

NDIS タスクオフロードについては、ndisfb@microsoft.com (英語) 宛てに電子メールをお送りください。メッセージの件名は「NDIS Task Offload」としてください。お名前、役職、会社名、企業形態 (IHV または OEM)、電話番号、および FAX 番号を明記してください。

IETF 標準のプロトコル仕様書については、次の URL で RFC を参照してください。 http://www.ietf.org/html.charters/OLD/ipsec-charter.html