src/vnet/ipsec/ah.h

   1 /*
   2  * Copyright (c) 2015 Cisco and/or its affiliates.
   3  * Licensed under the Apache License, Version 2.0 (the "License");
   4  * you may not use this file except in compliance with the License.
   5  * You may obtain a copy of the License at:
   6  *
   7  *     http://www.apache.org/licenses/LICENSE-2.0
   8  *
   9  * Unless required by applicable law or agreed to in writing, software
  10  * distributed under the License is distributed on an "AS IS" BASIS,
  11  * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
  12  * See the License for the specific language governing permissions and
  13  * limitations under the License.
  14  */
  15 #ifndef __AH_H__
  16 #define __AH_H__
  17
  18 #include <vnet/ip/ip.h>
  19 #include <vnet/ipsec/ipsec.h>
  20 #include <vnet/ipsec/ipsec.api_enum.h>
  21
  22 typedef struct
  23 {
  24   unsigned char nexthdr;
  25   unsigned char hdrlen;
  26   unsigned short reserved;
  27   unsigned int spi;
  28   unsigned int seq_no;
  29   unsigned char auth_data[0];
  30 } ah_header_t;
  31
  32
  33 typedef CLIB_PACKED (struct {
  34   ip4_header_t ip4;
  35   ah_header_t ah;
  36 }) ip4_and_ah_header_t;
  37
  38 typedef CLIB_PACKED (struct {
  39   ip6_header_t ip6;
  40   ah_header_t ah;
  41 }) ip6_and_ah_header_t;
  42
  43 always_inline u32
  44 ah_encrypt_err_to_sa_err (u32 err)
  45 {
  46   switch (err)
  47     {
  48     case AH_ENCRYPT_ERROR_CRYPTO_ENGINE_ERROR:
  49       return IPSEC_SA_ERROR_CRYPTO_ENGINE_ERROR;
  50     case AH_ENCRYPT_ERROR_SEQ_CYCLED:
  51       return IPSEC_SA_ERROR_SEQ_CYCLED;
  52     }
  53   return ~0;
  54 }
  55
  56 always_inline u32
  57 ah_decrypt_err_to_sa_err (u32 err)
  58 {
  59   switch (err)
  60     {
  61     case AH_DECRYPT_ERROR_DECRYPTION_FAILED:
  62       return IPSEC_SA_ERROR_DECRYPTION_FAILED;
  63     case AH_DECRYPT_ERROR_INTEG_ERROR:
  64       return IPSEC_SA_ERROR_INTEG_ERROR;
  65     case AH_DECRYPT_ERROR_NO_TAIL_SPACE:
  66       return IPSEC_SA_ERROR_NO_TAIL_SPACE;
  67     case AH_DECRYPT_ERROR_DROP_FRAGMENTS:
  68       return IPSEC_SA_ERROR_DROP_FRAGMENTS;
  69     case AH_DECRYPT_ERROR_REPLAY:
  70       return IPSEC_SA_ERROR_REPLAY;
  71     }
  72   return ~0;
  73 }
  74
  75 always_inline void
  76 ah_encrypt_set_next_index (vlib_buffer_t *b, vlib_node_runtime_t *node,
  77                            u32 thread_index, u32 err, u16 index, u16 *nexts,
  78                            u16 drop_next, u32 sa_index)
  79 {
  80   ipsec_set_next_index (b, node, thread_index, err,
  81                         ah_encrypt_err_to_sa_err (err), index, nexts,
  82                         drop_next, sa_index);
  83 }
  84
  85 always_inline void
  86 ah_decrypt_set_next_index (vlib_buffer_t *b, vlib_node_runtime_t *node,
  87                            u32 thread_index, u32 err, u16 index, u16 *nexts,
  88                            u16 drop_next, u32 sa_index)
  89 {
  90   ipsec_set_next_index (b, node, thread_index, err,
  91                         ah_decrypt_err_to_sa_err (err), index, nexts,
  92                         drop_next, sa_index);
  93 }
  94
  95 always_inline u8
  96 ah_calc_icv_padding_len (u8 icv_size, int is_ipv6)
  97 {
  98   ASSERT (0 == is_ipv6 || 1 == is_ipv6);
  99   const u8 req_multiple = 4 + 4 * is_ipv6;      // 4 for ipv4, 8 for ipv6
 100   const u8 total_size = sizeof (ah_header_t) + icv_size;
 101   return (req_multiple - total_size % req_multiple) % req_multiple;
 102 }
 103
 104 #endif /* __AH_H__ */
 105
 106 /*
 107  * fd.io coding-style-patch-verification: ON
 108  *
 109  * Local Variables:
 110  * eval: (c-set-style "gnu")
 111  * End:
 112  */