IPsec 通道模式主要用於路由器、閘道或不支援第二層通道通訊協定 (L2TP)/網際網路通訊協定安全性 (IPsec) 或點對點通道通訊協定 (PPTP) VPN 通道的終端系統之間的協同作業。IPSec 通道模式只支援閘道對閘道的通道情況,以及做為特定伺服器對伺服器或伺服器對閘道設定。IPSec 通道模式不支援遠端存取 VPN 的情況。若要遠端存取 VPN 連線,應使用 L2TP/IPSec 或 PPTP。
IPsec 通道必須定義在連線的兩端。在每個端點,本機通道電腦和遠端通道電腦必須交換 (因為通道一端的本機電腦就是另一端的遠端電腦,反之亦然)。
使用具有進階安全性的 Windows 防火牆在無法使用 L2TP 的狀況下,執行第三層通道。如果要使用 L2TP 來進行遠端通訊,並不需要設定 IPsec 通道,因為此版 Windows 的用戶端及伺服器 VPN 元件會自動建立合適的規則來保護 L2TP 流量。
使用這個精靈頁面,設定您想建立的 IPsec 通道類型。IPsec 通道一般是用來將閘道後面的私人網路連線,與另一個私人網路的遠端用戶端或遠端閘道連接在一起。IPsec 通道模式會在 IPsec 保護的封包裡面壓縮整個資料封包,然後在通道端點之間傳遞 IPsec 保護的封包。當封包扺達目的地端點之後,就會解壓縮資料封包,然後路由至它的最終目的地。
 | 開啟這個精靈頁面 |
在具有進階安全性的 Windows 防火牆 MMC 嵌入式管理單元中的 [連線安全性規則] 上按一下滑鼠右鍵,然後按一下 [新增規則]。
在 [規則類型] 頁面上選取 [通道]。
在 [步驟] 中,選取 [通道類型]。
自訂設定
選取這個選項,啟用 [通道端點 - 自訂設定] 頁面的所有端點設定選項。您可以為當成通道端點的電腦以及每一個通道端點後面私人網路上的電腦,指定它們的 IP 位址。如需詳細資訊,請參閱連線安全性規則精靈:通道端點頁面 - 自訂設定。
用戶端到閘道
如果您要為必須連線至遠端閘道的用戶端電腦,以及閘道後面私人網路上的電腦建立規則,請選取這個選項。
當用戶端將網路封包傳送至遠端私人網路上的電腦時,IPsec 會將資料封包內嵌至要傳送至遠端閘道位址的 IPsec 封包裡面。 閘道會將封包解壓縮,然後從私人網路傳遞至目的地電腦。
如果您選取這個選項,然後只能設定閘道電腦的公用 IP 位址以及私人網路上電腦的 IP 位址。如需詳細資訊,請參閱連線安全性規則精靈:通道端點頁面 - 用戶端到閘道。
閘道到用戶端
如果要為連接至私人網路與公用網路 (接收遠端用戶端的網路流量) 二者的閘道電腦建立規則,請使用這個選項。
當用戶端將網路封包傳送至私人網路上的電腦時,IPsec 會資料封包內嵌至要傳送至此閘道公用 IP 位址的 IPsec 封包裡面。 當閘道電腦收到封包後,會將封包解壓縮,然後從私人網路傳遞至目的地電腦。
當遠端私人網路上的電腦需要回覆用戶端電腦時,資料封包會路由至閘道電腦。閘道電腦會將資料封包內嵌至應傳送至遠端用戶端電腦的 IPsec 封包裡面,然後從公用網路將 IPsec 封包路由到遠端用戶端電腦。
如果您選取這個選項,然後只能設定私人網路上電腦的位址以及閘道電腦的公用 IP 位址。如需詳細資訊,請參閱連線安全性規則精靈:通道端點頁面 - 閘道到用戶端。
豁免 IPSec 保護連線
有時候網路封包可能符合多個連線安全性規則。如果其中一個規則建立 IPsec 通道,則您可以選擇使用這個通道,或者以受到其他規則保護的方式來傳送封包。
是
如果連線已經受到另一個連線安全性規則的保護,而且您不希望網路封包經由 IPsec 通道,請選取這個選項。任何受到 Encapsulating Security Payload (ESP) 通訊協定保護的網路流量 (包括 ESP Null),都會禁止在通道中周遊。
否
如果您希望所有符合通道規則的網路封包,即使受到另一個連線安全性規則的保護,也要經由這個通道,請選取這個選項。