يستخدم وضع نفق IPsec بشكل أساسي لإمكانية التشغيل التفاعلي مع أجهزة التوجيه أو البوابات أو الأنظمة التي لا تدعم بروتوكول Layer Two Tunneling Protocol (L2TP)/ "أمان بروتوكول إنترنت" (IPsec) أو أنفاق VPN التي تستخدم بروتوكول الاتصال النفقي من نقطة إلى نقطة (PPTP). ويتم دعم وضع نفق IPSec فقط في سيناريوهات أنفاق gateway-to-gateway وبعض تكوينات server-to-server أو server-to-gateway. بينما لا يتم دعم وضع نفق IPSec في سيناريوهات الوصول عن بُعد لـ VPN. ويجب استخدام L2TP/IPSec أو PPTP لاتصالات الوصول عن بُعد لـ VPN.
يجب تعريف نفق IPsec عند كلا نهايتي الاتصال. وفي كل نهاية، يجب تبديل إدخالات كل من كمبيوتر النفق المحلي وكمبيوتر النفق البعيد (لأن الكمبيوتر المحلي عند إحدى نقطتي النفق هو الكمبيوتر البعيد بالنسبة للنهاية الأخرى، والعكس).
استخدم جدار حماية Windows مع أمان متقدم لإجراء أنفاق Layer 3 للسيناريوهات التي يتعذر استخدام L2TP فيها. وإذا كنت تستخدم L2TP لإجراء اتصالات عن بُعد، فلا يلزم توفر تكوين نفق IPsec لأن مكونات VPN للعميل والخادم الخاص بهذا الإصدار من Windows تقوم بإنشاء قواعد لتأمين نقل بيانات L2TP تلقائياً.
استخدم صفحة المعالج هذه لتكوين نوع نفق IPsec الذي ترغب في إنشائه. يُستخدم نفق IPsec تحديداً لتوصيل شبكة خاصة موجودة وراء إحدى البوابات إما بعميل بعيد أو ببوابة بعيدة لشبكة خاصة أخرى. ويحمي وضع نفق IPsec حزمة البيانات عن طريق تغليف حزمة البيانات كاملة داخل حزمة محمية باستخدام IPsec ثم توجيه الحزمة المحمية باستخدام IPsec بين نقطتي نهاية النفق. وعند وصولها إلى نقطة النهاية الوجهة، يتم استخراج حزمة البيانات ثم توجيهها إلى الوجهة النهائية.
 | الوصول إلى صفحة المعالج هذه |
في الأداة الإضافية جدار حماية Windows مع أمان متقدم MMC، انقر بزر الماوس الأيمن فوق Connection Security Rules، ثم انقر فوق New Rule.
في الصفحة Rule Type، قم بتحديد Tunnel.
في Steps، قم بتحديد Tunnel Type.
Custom configuration
حدد هذا الخيار لتمكين كافة خيارات تكوين نقطة النهاية في الصفحة Tunnel Endpoints – Custom Configuration. ويمكنك تحديد عناوين IP الخاصة بأجهزة الكمبيوتر التي تعمل كنقاط نهاية نفق وأجهزة الكمبيوتر الموجودة على شبكات خاصة وراء كل من نقطتي نهاية النفق. لمزيد من المعلومات، راجع معالج Connection Security Rule Wizard: الصفحة Tunnel Endpoints - Custom Configuration.
Client-to-gateway
قم بتحديد هذا الخيار إذا كنت ترغب في إنشاء قاعدة للكمبيوتر العميل الذي يجب أن يتصل ببوابة بعيدة وأجهزة الكمبيوتر خلف البوابة الموجودة على شبكة خاصة.
عندما يقوم العميل بإرسال حزمة شبكة إلى كمبيوتر موجود على الشبكة الخاصة البعيدة، يقوم IPsec بتضمين حزمة البيانات داخل حزمة IPsec الموجهة إلى عنوان البوابة البعيدة. وتقوم البوابة باستخراج الحزمة، ثم توجيهها إلى الكمبيوتر الوجهة عبر الشبكة الخاصة.
إذا قمت بتحديد هذا الخيار، يمكن تكوين عنوان IP العام الخاص بكمبيوتر البوابة وعناوين IP الخاصة بأجهزة الكمبيوتر الموجودة على الشبكة الخاصة فقط. لمزيد من المعلومات، راجع معالج Connection Security Rule Wizard: الصفحة Tunnel Endpoints - Client-to-Gateway.
Gateway-to-client
حدد هذا الخيار إذا كنت ترغب في إنشاء قاعدة لكمبيوتر البوابة المتصل بكل من شبكة خاصة وشبكة عامة حيث يستقبل منهما نقل بيانات الشبكة من العملاء البعيدين.
وعندما يقوم العميل بإرسال حزمة شبكة إلى كمبيوتر موجود على الشبكة الخاصة البعيدة، يقوم IPsec بتضمين حزمة البيانات داخل حزمة IPsec الموجهة إلى عنوان IP العام الخاص بكمبيوتر البوابة هذا. وعند تلقي الكمبيوتر الوجهة للحزمة، يقوم باستخراجها ثم توجيهها عبر الشبكة الخاصة إلى الكمبيوتر الوجهة.
عندما يحتاج كمبيوتر موجود على الشبكة الخاصة البعيدة إلى الرد على الكمبيوتر العميل، يتم توجيه حزمة البيانات إلى الكمبيوتر البوابة. ويقوم الكمبيوتر البوابة بتضمين حزمة البيانات داخل حزمة IPsec الموجهة إلى الكمبيوتر العميل البعيد، ثم توجيه حزمة IPsec عبر الشبكة العامة إلى الكمبيوتر العميل البعيد.
إذا قمت بتحديد هذا الخيار، يمكن تكوين عناوين أجهزة الكمبيوتر الموجودة على الشبكة الخاصة وعنوان IP العام الخاص بالكمبيوتر البوابة فقط. لمزيد من المعلومات، راجع معالج Connection Security Rule Wizard: الصفحة Tunnel Endpoints - Gateway-to-Client.
Exempt IPsec-protected connections
قد تتوافق أحياناً حزمة الشبكة مع أكثر من قاعدة من قواعد أمان اتصال. فإذا قامت إحدى القواعد بتأسيس نفق IPsec، يمكنك اختيار إما استخدام النفق أو إرسال الحزمة إلى خارج النفق مع حمايتها بواسطة قاعدة أخرى.
Yes
حدد هذا الخيار إذا كان الاتصال محمياً بالفعل بواسطة قاعدة أمان اتصال أخرى وكنت لا ترغب في مرور حزمة الشبكة عبر نفق IPsec. يتم منع نقل بيانات الشبكة المحمي بواسطة بروتوكول Encapsulating Security Payload (ESP)، بما في ذلك ESP Null، من اجتياز النفق.
No
حدد هذا الخيار إذا كنت ترغب في مرور كافة حزم الشبكة المتوافقة مع قاعدة النفق من خلال النفق حتى عندما تكون محمية بواسطة قاعدة أمان اتصال أخرى.