IPSec 可以在无法使用第二层隧道协议 (L2TP) 的情况下执行第 3 层隧道。如果将 L2TP 用于远程通信,则不需要进行任何隧道配置,因为 Windows 的客户端和服务器虚拟专用网络 (VPN) 组件会自动创建用于保护 L2TP 通信的规则。
若要使用 IPSec 创建第 3 层隧道,请使用 IP 安全策略或组策略管理单元为该策略配置和启用下列两个规则:
- 用于隧道出站通信的规则。出站通信规则,由筛选器列表(用于描述要通过该隧道发送的通信)和在 IPSec 隧道对等端上配置的 IP 地址的隧道终结点(隧道远程端的计算机或路由器)进行配置。
- 用于隧道入站通信的规则。入站通信规则,由筛选器列表(用于描述要通过该隧道接收的通信)与本地 IP 地址的隧道终结点(隧道本地端的计算机或路由器)进行配置。
 | 注意 |
必须为每个隧道连接创建入站和出站规则。如果仅为单向连接创建筛选器,则不会应用规则。 |
为 Windows Vista 或更高版本 Windows 的计算机创建策略时,可以指定 IPv4 地址或 IPv6 地址。必须为隧道两端都指定终结点,且用于隧道两端的地址协议版本必须相同。也就是说,如果为隧道的源端指定 IPv6 地址,则必须对隧道的远程端也使用 IPv6 地址。
对于每一种规则,还必须指定筛选器操作、身份验证方法和其他设置。