IPsec kan utføre tunnelering for lag 3 for scenarioer der L2TP-protokollen (Layer Two Tunneling Protocol) ikke kan brukes. Hvis du bruker L2TP for ekstern kommunikasjon, er ikke tunnelkonfigurasjon nødvendig, fordi VPN-komponentene for klient og server i Windows automatisk oppretter de riktige reglene for å sikre L2TP-trafikk.
Hvis du vil opprette en Layer 3-tunnel ved hjelp av IPSec, bruker du snapin-modulene IP-sikkerhetspolicyer eller Gruppepolicy til å konfigurere og aktivere følgende to regler for policyen:
- En regel for utgående trafikk for tunnelen. Regelen for den utgående trafikken konfigureres med både en filterliste som beskriver trafikken som skal sendes gjennom tunnelen og et tunnelendepunkt for en IP-adresse som er konfigurert på IPSec-tunneldatamaskinen (datamaskinen eller ruteren på den andre siden av tunnelen).
- En regel for den innkommende trafikken for tunnelen. Regelen for den innkommende trafikken konfigureres med både en filterliste som beskriver trafikken som skal mottas gjennom tunnelen og et tunnelendepunkt for en lokal IP-adresse (datamaskinen eller ruteren på denne siden av tunnelen).
Obs! | |
Du må opprette både et innkommende og et utgående filter for hver tunneltilkobling. Hvis et filter bare opprettes for én retning, vil ikke regelen bli anvendt. |
Når du oppretter en policy for en datamaskin med Windows Vista eller nyere versjon av Windows, kan du oppgi enten en IPv4-adresse eller en IPv6-adresse. Du må angi et endepunkt for begge sidene av tunnelen, og adresseprotokollversjonen må være lik på begge sider. Det vil si at hvis du angir en IPv6-adresse for tunnelens kildeside, må du også bruke en IPv6-adresse for tunnelens målside.
For hver regel må du også angi filterhandlinger, godkjenningsmetoder og andre innstillinger.