HOW TO：如何在 Windows Server 2003 中配置 IPSec 隧道

回到顶端

创建 IPSec 策略

1. 单击“开始”，“运行”，然后键入 secpol.msc 以启动“IP 安全策略管理”管理单元。
2. 右键单击“本地计算机上的 IP 安全策略”，然后单击“创建 IP 安全策略”。
3. 单击“下一步”，然后键入策略的名称（例如 IPSec Tunnel with non-Microsoft Gateway）。单击“下一步”。
   
   注意：您也可以在“说明”框中键入信息。
4. 单击清除“激活默认响应规则”复选框，然后单击“下一步”。
5. 单击“完成”（让“编辑”复选框保持选中状态）。

回到顶端

建立从 NetA 到 NetB 的筛选器列表

1. 在新策略属性中，单击“使用添加向导”复选框，将其清除，然后单击“添加”以创建新规则。
2. 单击“IP 筛选器列表”选项卡，然后单击“添加”。
3. 为筛选器列表键入相应的名称，单击“使用添加向导”复选框，将其清除，然后单击“添加”。
4. 在“源地址”框中，单击“一个特定的 IP 子网”，然后键入 NetA 的“IP 地址”和“子网掩码”。
5. 在“目标地址”框中，单击“一个特定的 IP 子网”，然后键入 NetB 的“IP 地址”和“子网掩码”。
6. 单击“镜像”复选框，将其清除。
7. 单击“协议”选项卡。一定要将“协议类型”设置为“任何”，因为 IPSec 隧道不支持协议或端口特定的筛选器。
8. 如果要为筛选器键入说明，请单击“说明”选项卡。通常，为筛选器和筛选器列表指定相同的名称不失为一个良策。当隧道为活动状态时，筛选器名称显示在 IPSec 监视器中。
9. 单击“确定”。

回到顶端

建立从 NetB 到 NetA 的筛选器列表

1. 单击“IP 筛选器列表”选项卡，然后单击“添加”。
2. 为筛选器列表键入相应的名称，单击“使用添加向导”复选框，将其清除，然后单击“添加”。
3. 在“源地址”框中，单击“一个特定的 IP 子网”，然后键入 NetB 的“IP 地址”和“子网掩码”。
4. 在“目标地址”框中，单击“一个特定的 IP 子网”，然后键入 NetA 的“IP 地址”和“子网掩码”。
5. 单击“镜像”复选框，将其清除。
6. 如果要为筛选器键入说明，请单击“说明”选项卡。
7. 单击“确定”。

回到顶端

为 NetA 到 NetB 隧道配置规则

1. 单击“IP 筛选器列表”选项卡，然后单击您创建的筛选器列表，将其选中。
2. 单击“隧道设置”选项卡，单击“隧道终结点由此 IP 地址指定”框，然后键入 3rdextip（此处的 3rdextip 是分配给非 Microsoft 网关外部网络适配器的 IP 地址）。
3. 单击“连接类型”选项卡，单击“所有网络连接”（如果 WIN2003extIP 不是 ISDN、PPP 或直连串行连接，则单击“局域网 (LAN)”）。
4. 单击“筛选器操作”选项卡，单击“使用添加向导”复选框，将其清除，然后单击“添加”以创建新的筛选器操作，因为默认操作允许明文形式的传入通信流。
5. 保持“协商安全”选项为启用状态，单击“接受不安全的通讯，但总是用 IPSec 响应”复选框，将其清除。只有这样做才能确保安全操作。
   
   注意：不应选中“筛选器操作”对话框底部的任何复选框作为应用到隧道规则的筛选器操作的初始配置。如果隧道的另一端也配置为使用“完全向前保密”(PFS)，则只有“使用会话密钥完全向前保密 (PFS)”复选框是有效的隧道设置。
6. 单击“添加”，保持“完整性和加密”选项为选中状态（或者，如果要定义特定的算法和会话密钥寿命，则可选择“自定义（专家用户）”选项）。“封装式安全措施负载”(ESP) 是两个 IPSec 协议之一。
7. 单击“确定”。单击“常规”选项卡，键入新筛选器操作的名称（例如 IPSec tunnel:ESP DES/MD5），然后单击“确定”。
8. 单击刚创建的筛选器操作，将其选中。
9. 单击“身份验证方法”选项卡，配置所需的身份验证方法（如果为了进行测试，则使用“预共享密钥”，否则使用“证书”）。如果隧道的两个终结点都在受信任域中，并且在隧道的 IKE 协商期间（在建立隧道前），隧道的两个终结点都可以访问网络上每个受信任域的 IP 地址（域控制器的 IP 地址），那么从技术上说，Kerberos 是可行的。不过这种情况很少见。
10. 单击“关闭”。

回到顶端

为 NetB 到 NetA 隧道配置规则

1. 在 IPSec 策略属性中，单击“添加”以创建新规则。
2. 单击“IP 筛选器列表”选项卡，单击您创建的筛选器列表（从 NetB 到 NetA），将其选中。
3. 单击“隧道设置”选项卡，单击“隧道终结点由此 IP 地址指定”框，然后键入 WIN2003extIP（此处的 WIN2003extIP 是分配给 Windows Server 2003 网关外部网络适配器的 IP 地址）。
4. 单击“连接类型”选项卡，单击“所有网络连接”（如果 WIN2003extIP 不是 ISDN、PPP 或直连串行连接，则单击“局域网 (LAN)”）。与筛选器匹配的接口类型上的所有出站通信流都将尝试通过隧道传输到在规则中指定的隧道终结点。与筛选器匹配的入站通信流将被丢弃，因为它的接收应受到 IPSec 隧道的安全保护。
5. 单击“筛选器操作”选项卡，然后单击您创建的筛选器操作，将其选中。
6. 单击“身份验证方法”选项卡，然后配置在第一个规则中使用的同一种方法（两个规则中必须使用相同的方法）。
7. 单击“确定”，确保您创建的这两个规则在策略中都已启用，然后再次单击“确定”。

回到顶端

将新的 IPSec 策略指派到 Windows Server 2003 网关

Local IPSec Policy Active:'IPSec tunnel with {tunnel endpoint}' IP Security Policy Path:
SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{-longnumber-} 

There are two filters
From NetA to NetB
Filter ID:{-long number-}
Policy ID:{-long number-}
IPSEC_POLICY PolicyId = {-long number-}
Flags:0x0
Tunnel Addr: 0.0.0.0
PHASE 2 OFFERS Count = 1
Offer #0:
ESP[ DES MD5 HMAC] 
Rekey:0 seconds / 0 bytes. 
AUTHENTICATION INFO Count = 1
Method = Preshared key:-actual key-
Src Addr:NetA Src Mask:-subnet mask-
Dest Addr:NetB Dest Mask:-subnet mask-
Tunnel Addr:3rdExtIP Src Port:0 Dest Port: 0
Protocol:0 TunnelFilter:Yes
Flags :Outbound
From NetB to NetA
Filter ID:{-long number-}
Policy ID:{-long number-}
IPSEC_POLICY PolicyId = {-long number-}
Flags:0x0
Tunnel Addr: 0.0.0.0
PHASE 2 OFFERS Count = 1
Offer #0:
ESP[ DES MD5 HMAC] 
Rekey:0 seconds / 0 bytes. 
AUTHENTICATION INFO Count = 1
Method = Preshared key:-actual key-
Src Addr:NetB Src Mask:-subnet mask-
Dest Addr:NetA Dest Mask:-subnet mask-
Tunnel Addr:W2KextIP Src Port:0 Dest Port: 0
Protocol:0 TunnelFilter:Yes
Flags:Inbound

回到顶端

配置路由和远程访问筛选

应用程序层
传输层 (TCP|UDP|ICMP|RAW) 
---- 网络层开始 ---- 
IP 数据包筛选器（执行“NAT/路由和远程访问”筛选）
IPSec（实现 IPSec 筛选器）
碎片处理/重新汇编
---- 网络层结束 ------ 
NDIS 接口
数据链接层
物理层

1. 在“路由和远程访问”下展开服务器树，展开“IP 路由”子树，然后单击“常规”。
2. 右键单击“WIN2003extIP”，然后单击“属性”。
3. 单击“出站筛选器”，然后单击“新建”。
4. 单击“源网络”和“目标网络”复选框，将其选中。
5. 在“源网络”框中，键入 NetA 的“IP 地址”和“子网掩码”。
6. 在“目标网络”框中，键入 NetB 的“IP 地址”和“子网掩码”。
7. 保留协议的现有设置“任何”，然后单击“确定”。
8. 单击“新建”，然后单击“源网络”和“目标网络”复选框，将其选中。
9. 在“源网络”框中，键入 WIN2003extIP 的“IP 地址”和“子网掩码”。
10. 在“目标网络”框中，键入 3rdExtIP 的“IP 地址”和“子网掩码”（对 IKE 协商使用子网掩码 255.255.255.255）。
11. 保留协议的现有设置“任何”，然后单击“确定”。
12. 单击“丢弃所有的数据包，满足下面条件的除外”复选框，将其选中，然后单击“确定”。
13. 单击“输入筛选器”，单击“添加”，然后单击“源网络”和“目标网络”复选框，将其选中。
14. 在“源网络”框中，键入 NetB 的“IP 地址”和“子网掩码”。
15. 在“目标网络”框中，键入 NetA 的“IP 地址”和“子网掩码”。
16. 保留协议的现有设置“任何”，然后单击“确定”。
17. 单击“新建”，然后单击“源网络”和“目标网络”复选框，将其选中。
18. 在“源网络”框中，键入 3rdExtIP 的“IP 地址”和“子网掩码”。
19. 在“目标网络”框中，键入 WIN2003extIP 的“IP 地址”和“子网掩码”（对 IKE 协商使用子网掩码 255.255.255.255）。
20. 保留协议的现有设置“任何”，然后单击“确定”。
21. 单击“丢弃所有的数据包，满足下面条件的除外”复选框，将其选中，然后单击“确定”。
    
    注意：如果“路由和远程访问”服务器具有多个连接到 Internet 的接口，或者如果您有多个 IPSec 隧道，请为每个 Internet 接口的每条 IPSec 隧道（每个源和目标 IP 子网）创建“路由和远程访问”免除筛选器。

回到顶端

在路由和远程访问中配置静态路由

• 出站隧道通信流占用一个接口，在另一不同的接口上接收入站隧道通信流。即使您使用 IPSec 卸载网络适配器，在不同接口（即：不是发送出站隧道通信流的接口）上接收时，也不允许接收网络适配器处理硬件中的加密，因为只有出站接口才能卸载“安全关联”(SA)。
• 出站隧道通信流占用的接口不同于具有隧道终结点 IP 地址的接口。隧道传输数据包的源 IP 是出站接口上的源 IP。如果此 IP 不是隧道另一端期望的源 IP，将无法建立隧道（或者，如果隧道已建立，这些数据包会被隧道的远程终结点丢弃）。

1. 在“路由和远程访问 MMC”中，展开服务器树，展开“IP 路由”子树，右键单击“静态路由”，然后单击“新建静态路由”。
2. 在“接口”框中，单击“WIN2003extIP”（如果始终要将此接口用于出站隧道通信流）。
3. 键入 NetB 的“目标网络”和“网络掩码”。
4. 在“网关”框中，键入 3rdextip。
5. 将“跃点数”值的设置保留为它的默认值 (“1”)，然后单击“确定”。
   
   注意：为了解决在不正确的接口上接收入站隧道通信流这一问题，请不要使用路由协议公布该接口的 IP 地址。并且，按照本文“配置路由和远程访问筛选”部分的说明，在“路由和远程访问”服务中配置筛选器，以丢弃发往 NetA 或 WIN2003extIP 的数据包。

回到顶端

测试 IPSec 隧道

回到顶端

启用登录事件和对象访问审核

1. 使用“组策略 MMC”管理单元，依次展开“本地计算机策略”、“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”，然后单击“审核策略”。
2. 启用“审核登录事件”和“审核对象访问”的“成功”及“失败”审核。
   
   注意：如果 Windows Server 2003 网关是域的成员，并且您使用域策略进行审核，那么域策略将取代本地策略。在此情况下，请修改域策略。

回到顶端

IP 安全监视器

1. 单击“开始”，单击“运行”，键入“MMC”，然后单击“确定”。
2. 单击“文件”，单击“添加/删除管理单元”，然后单击“添加”。
3. 单击“IP 安全监视器”，然后单击“添加”。
4. 单击“关闭”，然后单击“确定”。

回到顶端

网络监视器

1. 依次单击“开始”、“控制面板”、“添加或删除程序”、“添加/删除 Windows 组件”。
2. 在“Windows 组件”向导中，单击“管理和监视工具”，然后单击“详细信息”。
3. 在“管理和监视工具的子组件”中，单击“网络监视工具”复选框，将其选中，然后单击“确定”。
4. 如果提示您提供其他文件，则插入操作系统的安装 CD，或键入这些文件的网络路径。

回到顶端

实际测试

1. 在您尝试从一个子网上的某台计算机 ping 另一台计算机（NetA 或 NetB）之前，请先在命令提示符下键入 ipconfig。在 TCP/IP 堆栈中初始化的网络接口将显示出来。
2. 启动“IP 安全监视器”工具。
3. 启动“网络监视器”，然后在“捕获”菜单上，单击“网络”。单击 WIN2003extIP 接口，然后单击“确定”。
4. 尝试 ping 该计算机。在建立 IPSec 隧道的过程中，第一部分 ICMP 回应数据包可能会超时。如果 ping 命令不成功，请检查安全日志和系统日志。
5. 如果 ping 命令成功，则停止“网络监视器”捕获，然后看一看 ICMP 通信流是以“明文”形式发送的，还是只能看到 ISAKMP 和 IPSec 协议数据包。检查“IP 安全监视器”，查看是否使用您创建的 NetA 到 NetB 的筛选器创建了 SA。另外还要检查安全日志。您应当能够看到事件 ID 541（已建立 IKE 安全关联）。
6. 在命令提示符下再次键入 ipconfig，以验证在隧道使用期间没有其他 TCP/IP 接口。出现这种现象是因为 IPSec 在保护通过物理接口 (WIN2003extIP) 的通信流。
   
   如果远程网关也是 Windows Server 2003 节点，请记住以下信息：
   • NetA 中客户端的默认网关是 WIN2003extIP。NetB 中客户端的默认网关是 3rdIntIP。
   • IPSec 隧道不更改 Windows Server 2003 网关中通信的路由方式。（该网关能够路由数据包是因为在“路由和远程访问”中启用了路由。实际的 LAN 或 WAN 接口跃点数仍在使用中。）

回到顶端

• IPSec
  http://www.ietf.org/html.charters/OLD/ipsec-charter.html (http://www.ietf.org/html.charters/OLD/ipsec-charter.html)
• L2TP
  http://www.ietf.org/html.charters/pppext-charter.html (http://www.ietf.org/html.charters/pppext-charter.html)
  ftp://ftp.isi.edu/in-notes/rfc2661.txt (ftp://ftp.isi.edu/in-notes/rfc2661.txt)
  http://www.ietf.org/html.charters/l2tpext-charter.html (http://www.ietf.org/html.charters/l2tpext-charter.html)

回到顶端