文章編號: 252735 - 上次校閱: 2006年10月20日 - 版次: 7.0

如何在 Windows 2000 中設定 IPSec 通道

檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
本文曾發行於 CHT252735

在此頁中

全部展開 | 全部摺疊

結論

您可以使用通道模式的 IP 安全性 (IPSec) 來壓縮 Internet 通訊協定 (IP) 封包,並選擇是否要將其加密。在 Microsoft Windows 2000 中使用 IPSec 通道模式 (有時稱為「純粹 IPSec 通道」) 的主因是,此模式可提供與其他不支援第二層通道通訊協定 (L2TP)/IPSec 或 PPTP 虛擬私人網路 (VPN) 通路技術的協力廠商路由器或閘道的相互操作性。
回此頁最上方

其他相關資訊

Windows 2000 支援在兩個通道結束點都具有靜態 IP 位址的情況下使用 IPSec 通道。這主要是用於閘道對閘道的實作情況下,但也可用於閘道/路由器和伺服器之間的特殊網路安全性案例中 (以 Windows 2000 路由器為例,就是建立一條 IPSec 通道通往提供服務給外部用戶端的內部伺服器,藉以將流量從外部介面傳送到內部的 Windows 2000 電腦,以保護內部路徑)。

Windows 2000 IPSec 通道無法用於用戶端遠端存取 VPN,因為 IETF IPSec RFC 目前不能以「網際網路金鑰交換」(Internet Key Exchange,IKE) 通訊協定為用戶端對閘道連線提供遠端存取方案。第二層通道通訊協定 (L2TP) 的 IETF RFC 2661 是由 Cisco、Microsoft 和其他廠商,為了提供用戶端遠端存取 VPN 連線而特別研發的。如果在 Windows 2000 中選取 L2TP 通道類型,用戶端遠端存取 VPN 連線的保護將由自動產生而使用 IPSec 傳輸模式 (而非通道模式) 的 IPSec 原則所提供。

Windows 2000 IPSec 通道也不支援通訊協定和連接埠特定的通道。雖然 Microsoft Management Console (MMC) IPSec 原則嵌入式管理單元相當常見,也可讓您建立任何類型的篩選器與通道的關聯性,但請確定您所使用的僅限於通道規則的篩選器規格中的位址資訊。

關於 IPSec 和 IKE 通訊協定的詳細資訊,可在 Microsoft Windows 2000 Resource Kit 以及 Windows 2000 IPSec 端對端技術文件中找到。如何找到這些文件的相關資訊,位於本文件的結尾處。

本文將告訴您,如何在 Windows 2000 閘道上設定 IPSec 通道。由於 IPSec 通道只能保護您所設定之 IPSec 篩選器中的指定傳輸,因此本文也說明了如何以路由及遠端存取服務 (RRAS) 來設定篩選器,以避免收到或轉送通道外的流量。本文列出下列案例,使您可以輕鬆地按照設定步驟來執行:
NetA - Windows 2000 閘道 --- Internet --- 協力廠商閘道 - NetB
W2KintIP     W2KextIP         3rdExtIP               3rdIntIP
NetA 是 Windows 2000 閘道內部網路的網路識別碼。

W2KintIP 是指派給 Windows 2000 閘道內部網路介面卡的 IP 位址。

W2KextIP 是指派給 Windows 2000 閘道外部網路介面卡的 IP 位址。

3rdExtIP 是指派給協力廠商閘道外部網路介面卡的 IP 位址。

3rdIntIP 是指派給協力廠商閘道內部網路介面卡的 IP 位址。

NetB 是協力廠商閘道內部網路的網路識別碼。
Windows 2000 閘道和協力廠商閘道的目標,是建立 IPSec 通道,以在需要將 NetA 的流量傳至 NetB 或將 NetB 的流量傳至 NetA 時,能使用安全的工作階段進行傳輸。

您需要設定 IPSec 原則。您必須建立兩個篩選器,一個用以比對從 NetA 到 NetB (通道 1) 的封包,另一個則用以比對從 NetB 到 NetA (通道 2) 的封包。您必須設定篩選器動作,以指定如何保障通道的安全 (每個通道都有一個代表規則,所以會建立兩個規則)。
回此頁最上方

如何建立 IPSec 原則

通常,Windows 2000 閘道不是網域成員,所以要建立本機 IPSec 原則。如果 Windows 2000 閘道是網域成員,而該網域的所有成員依預設都會套用 IPSec 原則,則 Windows 2000 閘道便不會具有本機 IPSec 原則。在此情況下,您可以在 Active Directory 中建立組織單位 (OU),將 Windows 2000 閘道設為此 OU 的成員,並將 IPSec 原則指派給此 OU 的群組原則物件 (GPO)。如需詳細資訊,請參閱 Windows 2000 線上說明的<指派 IPSec 原則>一節。
  1. 請透過 MMC 使用「IP 安全性原則管理」嵌入式管理單元 (請用下列方法將其快速載入:按一下 [開始],按一下 [執行],然後輸入 secpol.msc)。
  2. 用滑鼠右鍵按一下 [本機電腦上的 IP 安全性原則],然後按一下 [建立 IP 安全性原則]
  3. 按一下 [下一步],然後輸入原則的名稱 (例如,協力廠商閘道的 IPSec 通道)。

    注意:您也可以在 [描述] 方塊中輸入詳細資訊。
  4. 按一下 [啟動預設的回應規則] 以取消選取其核取方塊,再按一下 [下一步]
  5. 按一下 [完成] (請保持 [編輯] 核取方塊的選取狀態)。
注意:IPSec 原則是在 [金鑰交換] 中的 [一般] 索引標籤上、透過 IKE 主要模式 (階段 1) 的預設設定而建立的。IPSec 通道是以兩個規則組成,而每個規則各自指定一個通道結束點。因為有兩個通道結束點,所以有兩個規則。每個規則中的篩選器都必須代表 (傳送到該規則通道結束點的) IP 封包中的來源和目的 IP 位址。
回此頁最上方

如何建立從 NetA 到 NetB 的篩選器清單

  1. 在新原則內容中,按一下 [使用新增精靈] 以取消選取其核取方塊,然後按一下 [新增] 建立新規則。
  2. [IP 篩選器清單] 索引標籤上,按一下 [新增]
  3. 為篩選器清單輸入適當名稱,按一下 [使用新增精靈] 以取消選取其核取方塊,然後按一下 [新增]
  4. [來源位址] 區域中按一下 [特定 IP 子網路],然後填入 [IP 位址][子網路遮罩] 方塊,以反映 NetA。
  5. [目的地位址] 區域中按一下 [特定 IP 子網路],並填入 [IP 位址][子網路遮罩] 方塊,以反映 NetB。
  6. 按一下 [鏡像] 以取消選取其核取方塊。
  7. [通訊協定] 索引標籤上,確定通訊協定的類型設定為 [任一],因為 IPSec 通道不支援通訊協定特定或連接埠特定的篩選器。
  8. 如果您想要為篩選器輸入描述,請按一下 [描述] 索引標籤。通常最好將篩選器的名稱命名為與篩選器清單相同。當通道在使用中時,篩選器的名稱會顯示在 IPSec 監視器中。
  9. 按一下 [確定],然後按一下 [關閉]
回此頁最上方

如何建立從 NetB 到 NetA 的篩選器清單

  1. [IP 篩選器清單] 索引標籤上,按一下 [新增]
  2. 為篩選器清單輸入適當名稱,按一下 [使用新增精靈] 以取消選取其核取方塊,然後按一下 [新增]
  3. [來源位址] 區域中按一下 [特定 IP 子網路],然後填入 [IP 位址][子網路遮罩] 方塊,以反映 NetB。
  4. [目的地位址] 區域中按一下 [特定 IP 子網路],並填入 [IP 位址][子網路遮罩] 方塊,以反映 NetA。
  5. 按一下 [鏡像] 以取消選取其核取方塊。
  6. 如果您想要為篩選器輸入描述,請按一下 [描述] 索引標籤。
  7. 按一下 [確定],然後按一下 [關閉]
回此頁最上方

如何設定 NetA 到 NetB 通道的規則

  1. [IP 篩選器清單] 索引標籤上,按一下您建立的篩選器清單。
  2. [通道設定] 索引標籤上,按一下 [由這個 IP 位址來指定通道的結束點] 方塊,然後輸入 3rdextip (其中 3rdextip 是指派給協力廠商閘道外部網路介面卡的 IP 位址)。
  3. [連線類型] 索引標籤上,按一下 [所有網路連線] (或者如果 W2KextIP 不是 ISDN、PPP 或直接連接序列式連線,則按一下 [區域網路連線])。
  4. [篩選器動作] 索引標籤上,按一下 [使用新增精靈] 以取消選取其核取方塊,然後再按一下 [新增] 以建立新的篩選器動作,因為預設動作允取清空時的傳入流量。
  5. [交涉安全性] 選項維持在啟用狀態,並按一下 [接受無安全性的通訊,但永遠使用 IPsec 來回應] 以取消選取其核取方塊。您必須進行這項作業以確保作業的安全性。

    注意:您不應選取 [篩選器動作] 對話方塊底部的核取方塊,做為套用至通道規則之篩選器動作的初始設定。如果通道的另一端被設定為使用 PFS,則只有 [完整轉寄密碼 (PFS)] 核取方塊是通道的有效設定。其他兩個核取方塊都不是通道篩選器動作的有效設定。
  6. 按一下 [新增],然後將 [高 (ESP)] 選項維持為選取的狀態 (或者如果您想要定義特定的演算法和工作階段金鑰存留期,則可以選取 [自訂 (提供給專業使用者)] 選項)。「封裝安全承載」(ESP) 是兩種 IPSec 通訊協定中的一種。
  7. 按一下 [確定]。在 [一般] 索引標籤上輸入新篩選器動作的名稱 (例如,IPSec 通道:ESP DES/MD5),然後按一下 [確定]
  8. 選取您剛建立的篩選器動作。
  9. [驗證方法] 索引標籤上,設定您想要的驗證方法 (使用預先共用金鑰進行測試,否則請使用憑證)。如果通道的兩端均位於受信任的網域中,且該受信任網域的 IP 位址 (網域控制站的 IP 位址) 也可在進行通道的 IKE 交涉時 (在建立之前),從通道的兩端經由網路連線,則 Kerberos 在技術上是可行的。這是非常少見的情況。
  10. 按一下 [關閉]
回此頁最上方

如何設定 NetB 對 NetA 通道的規則

  1. 在 IPSec 原則內容中,按一下 [新增] 以建立新規則。
  2. [IP 篩選器清單] 索引標籤上,按一下您建立的篩選器清單 (NetB 到 NetA)。
  3. [通道設定] 索引標籤上,按一下 [由這個 IP 位址來指定通道的結束點] 方塊,然後輸入 w2kextip (其中 w2kextip 是指派給 Windows 2000 閘道外部網路介面卡的 IP 位址)。
  4. [連線類型] 索引標籤上,按一下 [所有網路連線] (或者如果 W2KextIP 不是 ISDN、PPP 或直接連接序列式連線,則按一下 [區域網路連線])。在符合篩選器之介面類型上的任何輸出流量,都會嘗試與規則中指定的通道結束點建立通道。符合篩選器的輸入流量則會被捨棄,因為它應由 IPSec 通道安全地接收。
  5. [篩選器動作] 索引標籤上,按一下您建立的篩選器動作。
  6. [驗證方法] 索引標籤上,設定第一個規則中所使用的相同方法 (兩個規則中必須使用相同的方法)。
  7. 按一下 [關閉],確定您建立的兩個規則在原則中都已啟用,然後按一下 [關閉]
回此頁最上方

如何將新的 IPSec 原則指派給 Windows 2000 閘道

在「本機電腦」MMC 嵌入式管理單元上的「IP 安全性原則」中,用滑鼠右鍵按一下新原則,然後按一下 [指派]。原則旁的資料夾圖示中會出現一個綠色箭號。

在指派您的原則後,您會擁有兩個額外的使用中篩選器 (RRAS 會自動建立 L2TP 流量的 IPSec 篩選器)。如果要查看使用中的篩選器,請在命令提示字元輸入下列命令:
netdiag /test:ipsec /debug
您也可以選擇將這個命令的輸出重新導向至文字檔,這樣您就可以使用文字編輯器 (例如「記事本」) 檢視該檔案,方法是輸入下列命令:
netdiag /test:ipsec /debug > filename.txt
安裝了 Microsoft Windows 2000 Resource Kit (可從 Windows 2000 CD-ROM 安裝) 之後,即可使用 netdiag 命令。如果要安裝該 Resource Kit,請找出 Support\Tools 資料夾,然後按兩下 Setup.exe 檔案。在安裝後,您可能需要從 %SystemRoot%\Program Files\Support Tools 資料夾執行 netdiag 命令 (其中 %SystemRoot% 是安裝有 Windows 2000 的磁碟機)。

通道篩選器看如下列範例所示:
Local IPSec Policy Active:'IPSec tunnel with {tunnel endpoint}' IP Security Policy Path:
SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{-longnumber-}

There are two filters
From NetA to NetB
Filter ID:{-long number-}
Policy ID:{-long number-}
IPSEC_POLICY PolicyId = {-long number-}
Flags:0x0
Tunnel Addr: 0.0.0.0
PHASE 2 OFFERS Count = 1
Offer #0:
ESP[ DES MD5 HMAC]
Rekey:0 seconds / 0 bytes.
AUTHENTICATION INFO Count = 1
Method = Preshared key:-actual key-
Src Addr:NetA Src Mask:-subnet mask-
Dest Addr:NetB Dest Mask:-subnet mask-
Tunnel Addr:3rdExtIP Src Port:0 Dest Port: 0
Protocol:0 TunnelFilter:Yes
Flags:Outbound
From NetB to NetA
Filter ID:{-long number-}
Policy ID:{-long number-}
IPSEC_POLICY PolicyId = {-long number-}
Flags:0x0
Tunnel Addr: 0.0.0.0
PHASE 2 OFFERS Count = 1
Offer #0:
ESP[ DES MD5 HMAC]
Rekey:0 seconds / 0 bytes.
AUTHENTICATION INFO Count = 1
Method = Preshared key:-actual key-
Src Addr:NetB Src Mask:-subnet mask-
Dest Addr:NetA Dest Mask:-subnet mask-
Tunnel Addr:W2KextIP Src Port:0 Dest Port: 0
Protocol:0 TunnelFilter:Yes
Flags:Inbound
回此頁最上方

如何設定 RRAS 篩選

如果您想要避免沒有符合 NetA 或 NetB 的來源或目的地位址的流量,請在 RRAS MMC 中建立外部介面的輸出篩選器 (以丟棄除了 NetA 對 NetB 的封包以外的所有流量) 以及輸入篩選器 (以丟棄除了 NetB 對 NetA 的封包以外的所有流量)。您還需要允許 W2KextIP3rdExtIP 的往來傳輸,以便在建立通道時進行 IKE 交涉。RRAS 篩選的執行層級高於 IPSec,您不需要允許 IPSec 通訊協定,因為它絕不會到達 IP 封包篩選器層次。下列範例是 Windows 2000 TCP/IP 架構非常簡單的呈現:
應用程式層
傳輸層 (TCP|UDP|ICMP|RAW)
---- 網路層開始 ----
IP 封包篩選器 (執行 NAT/RRAS 篩選的位置)
IPSec (執行 IPSec 篩選器的位置)
分散/重組
---- 網路層結束 ------
NDIS 介面
資料連結層
實體層
如果要設定 RRAS 中的篩選器,請載入 RRAS MMC 並使用下列步驟:
  1. [路由及遠端存取] 下展開您的伺服器樹狀目錄,展開 [IP 路由] 樹狀子目錄,然後再按一下 [一般]
  2. 用滑鼠右鍵按一下 W2KextIP,然後按一下 [內容]
  3. 按一下 [輸出篩選器],然後按一下 [新增]
  4. 按一下以選取 [來源網路][目的網路] 核取方塊。
  5. [來源網路] 區域中填入 [IP 位址][子網路遮罩] 方塊,以反映 NetA。
  6. [目的網路] 區域中填入 [IP 位址][子網路遮罩] 方塊,以反映 NetB。
  7. 將通訊協定的設定維持為 [任一],然後按一下 [確定]
  8. 按一下 [新增],然後按一下以選取 [來源網路][目的網路] 核取方塊。
  9. [來源網路] 區域中填入 [IP 位址][子網路遮罩] 方塊,以反映 W2KextIP
  10. [目的網路] 區域中填入 [IP 位址][子網路遮罩] 方塊,以反映 3rdExtIP (如果要進行 IKE 交涉,請使用子網路遮罩 255.255.255.255)。
  11. 將通訊協定的設定維持為 [任一],然後按一下 [確定]
  12. 按一下以選取 [丟棄所有封包 (除了那些符合下列條件的封包以外)] 核取方塊,然後按一下 [確定]
  13. 按一下 [輸入篩選器],按一下 [新增],然後按一下以選取 [來源網路][目的網路] 核取方塊。
  14. [來源網路] 區域中填入 [IP 位址][子網路遮罩] 方塊,以反映 NetB。
  15. [目的網路] 區域中填入 [IP 位址][子網路遮罩] 方塊,以反映 NetA。
  16. 將通訊協定的設定維持為 [任一],然後按一下 [確定]
  17. 按一下 [新增],然後按一下以選取 [來源網路][目的網路] 核取方塊。
  18. [來源網路] 區域中填入 [IP 位址][子網路遮罩] 方塊,以反映 3rdExtIP
  19. [目的網路] 區域中填入 [IP 位址][子網路遮罩] 方塊,以反映 W2KextIP (如果要進行 IKE 交涉,請使用子網路遮罩 255.255.255.255)。
  20. 將通訊協定的設定維持為 [任一],然後按一下 [確定]
  21. 按一下以選取 [丟棄所有封包 (除了那些符合下列條件的封包以外)] 核取方塊,然後按兩次 [確定]
注意:如果 RRAS 伺服器有多個連接到 Internet 的介面,或者如果您有多個 IPSec 通道,請輸入每個 Internet 介面的 IPSec 通道 (每個來源和目的 IP 子網路) 的 RRAS 排除篩選器。
回此頁最上方

如何設定 RRAS 中的靜態路由

Windows 2000 閘道在其路由表內需要有一個 NetB 的路由,您可藉由在 RRAS MMC 內新增靜態路由來加以設定。如果 Windows 2000 閘道在相同的外部網路上具有兩個或兩個以上網路介面卡的多重主目錄 (或者兩個 (以上) 可以連往目的通道 IP 3rdExtIP 的網路),則可能發生下列情況:
  • 由一個介面發出輸出通道流量,而在另一個介面上接收輸入通道流量。即使您使用 IPSec 卸載網路介面卡,在不同的介面 (而非傳送輸出通道流量的介面) 上進行接收時也不允許接收的網路介面卡處理硬體中的加密,因為只有輸出介面才能卸載安全性關聯 (SA)。
  • 輸出通道流量會由不具通道結束點 IP 位址的介面發出。通道封包的來源 IP 是輸出介面的來源 IP。如果這不是另一端所預期的來源 IP,則通道便無法建立 (或者如果通道已經建立,遠端結束點便會丟棄封包)。
如果要解決以錯誤介面傳送輸出通道流量的問題,請定義靜態的路由,將傳至 NetB 的流量繫結到適當的外部介面:
  1. 在 RRAS MMC 中展開您的伺服器樹狀目錄,展開 [IP 路由] 樹狀子目錄,用滑鼠右鍵按一下 [靜態路由],然後按一下 [新增靜態路由]
  2. [介面] 區域中,按一下 [W2KextIP] (如果這是您要永遠用於輸出通道流量的介面)。
  3. 填入 [目的地][網路遮罩] 方塊,以反映 NetB。
  4. [閘道] 方塊中輸入 3rdextip
  5. [公制] 值的設定維持為預設值 (1),然後按一下 [確定]
注意:如果要解決以錯誤介面接收輸入通道流量的問題,請不要使用路由通訊協定告知介面的 IP 位址,並使用 RRAS 設定篩選器,以丟棄傳至 NetA 或 W2KextIP 的封包,如本文<如何設定 RRAS 篩選>一節中所述。
回此頁最上方

測試 IPSec 通道

您可以從 NetA 上的電腦 Ping 到 NetB 上的電腦 (或從 NetB 到 NetA),以初始化通道。如果您正確地建立篩選器並指派正確的原則,則這兩個閘道便會建立 IPSec 通道,而透過 ping 命令以加密格式傳送 ICMP 流量。

即使 ping 命令有效,您仍應確認 ICMP 流量是以加密格式在閘道之間傳送。您可以使用下列工具完成這項作業。

啟用登入事件和物件存取的稽核

這會在安全性記錄中記錄事件,通知您是否曾嘗試 IKE 安全性關聯交涉,以及該嘗試是否成功。
  1. 使用「群組原則」MMC 嵌入式管理單元,展開 [本機電腦原則],並移至 Computer Configuration/Windows Settings/Security Settings/Local Policies/Audit Policy。
  2. 啟用「稽核登入事件」和「稽核物件存取」的成功和失敗稽核。
注意:如果 Windows 2000 閘道是網域的成員,而您使用網域原則進行稽核,則網域原則會覆寫您的本機原則。在此情況下,請修改網域原則。

IP 安全性監視器

這項工具會顯示 IPSec 的統計記錄以及使用中的 SA。在您嘗試用 ping 命令建立通道後,您可以查看是否建立了 SA (如果通道建立成功,便會顯示 SA)。如果 ping 命令成功,但卻沒有 SA,即表示 ICMP 流量沒有受到 IPSec 的保護。如果您看到之前所沒有的「變動性關聯」,表示 IPSec 同意不以加密方式處理此流量。

如果要載入「IP 安全性監視器」,請按一下 [開始],按一下 [執行],然後輸入 ipsecmon

網路監視器

您可以透過「網路監視器」,擷取在您嘗試 Ping 電腦時通過 W2KextIP 介面的流量。如果您可在擷取的資料中看到 ICMP 封包,而其來源和目的 IP 位址,與您所 Ping 之來源電腦和目標電腦的 IP 位址相對應,表示 IPSec 並未保護流量。如果您沒有看到此 ICMP 流量,但看到了 ISAKMP 和 ESP 封包,表示流量受 IPSec 保護。如果您只使用驗證標頭 (Authentication Header,AH) IPSec 通訊協定,則您會看到 ISAKMP 流量後跟著 ICMP 封包。ISAKMP 封包是實際發生的 IKE 交涉,而 ESP 封包則是由 IPSec 通訊協定所加密的承載資料。

您可以從 Windows 2000 Server CD-ROM 安裝「網路監視器」。Windows 2000 Professional CD-ROM 未提供該程式,但如果您有 Microsoft Systems Management Server (SMS),則可在執行 Windows 2000 Professional 的電腦上安裝該工具。

如需有關在 Windows 2000 中安裝「網路監視器」的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
243270? (http://support.microsoft.com/kb/243270/ ) How to install Network Monitor in Windows 2000

實際測試

  1. 在您嘗試從一個子網路的電腦 Ping 到另一個子網路 (NetA 或 NetB) 的電腦之前,請在命令提示字元處輸入 ipconfig。在 TCP/IP 堆疊中初始化的網路介面會隨即顯示。
  2. 執行「IP 安全性監視器」工具。
  3. 載入「網路監視器」,按一下 [擷取/網路],然後按一下 W2KextIP 介面 (您可以按一下 [擷取/開始] 開始進行擷取)。
  4. 嘗試 Ping 電腦。第一次的 ICMP 回應封包可能會在 IPSec 通道建立時逾時。如果 Ping 嘗試不成功,請檢查安全性和系統記錄檔。
  5. 如果 Ping 嘗試成功,請停止「網路監視器」擷取,並查看 ICMP 流量是否並未加密,或者您只看到 ISAKMP 和 IPSec 通訊協定封包。請檢查「IP 安全性監視器」,查看是否已使用您所建立的 NetA 對 NetB 篩選器建立 SA。同時請檢查安全性記錄檔。您應該會看到事件識別碼 541 (已建立 IKE 安全性關聯)。
  6. 請再次於命令提示字元輸入 ipconfig,您會看到當通道建立時並沒有其他的 TCP/IP 介面。這是因為 IPSec 實際上保護的是通過實體介面 (W2KextIP) 的傳輸。
如果遠端閘道也是 Windows 2000 節點,則請記住下列資訊:
  • NetA 中的用戶端預設閘道應該是 W2KextIP;NetB 中的用戶端預設閘道應該是 3rdIntIP
  • IPSec 通道不會改變在 Windows 2000 閘道內傳送流量的方式 (該類型的閘道可以傳送封包,因為路由是以 RRAS 設定的;實際的 LAN 或 WAN 介面公制仍會被使用)。
注意 IPSec 通道模式無法直接搭配執行「網路位址轉譯」(NAT) 或 Microsoft Internet Security Acceleration Server (ISA) 的結束點使用。 如需有關此限制的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
314764? (http://support.microsoft.com/kb/314764/ ) Using Internet Protocol Security with Network Address Translation and Internet Security Acceleration Server
如需有關 RRAS 的詳細資訊,請參閱 Windows 2000 說明。如果要存取線上說明,請造訪下列 Microsoft 網站:
http://www.microsoft.com/taiwan/windows2000/techinfo/proddoc/default.htm (http://www.microsoft.com/taiwan/windows2000/techinfo/proddoc/default.htm)
您可以在下列 Microsoft 網站中尋找 Windows 2000 Resource Kit、說明文件及其他技術文件:
http://www.microsoft.com/taiwan/technet/prodtechnol/windows2000serv/default.mspx (http://www.microsoft.com/taiwan/technet/prodtechnol/windows2000serv/default.mspx)
如需有關變動性關聯的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
234580? (http://support.microsoft.com/kb/234580/ ) 'Soft associations' between IPSec-enabled and non-IPSec-enabled computers
如需 IETF 標準的資訊,請參閱適當的網站: Microsoft 會提供協力廠商的連絡資訊,以協助您找出技術支援。此連絡資訊如有變更,恕不另行通知。Microsoft 不保證此協力廠商連絡資訊的準確性。
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
回此頁最上方
關鍵字:?
kb3rdparty kbhowto kbnetwork KB252735
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。