IPSec隧道傳輸數(shù)據(jù)

在兩臺(tái)獨(dú)立的主機(jī)之間，可以使用IPSec策略安全傳輸數(shù)據(jù)。在很多情況下，通訊雙方可能處于兩個(gè)不同的網(wǎng)絡(luò)中，如何使其可以安全地傳輸數(shù)據(jù)呢？這就需要使用IPsec隧道傳輸模式了。一般來(lái)說(shuō)，不同的網(wǎng)絡(luò)之間會(huì)通過(guò)路由器來(lái)進(jìn)行相互通訊。在本例中為了便于說(shuō)明，使用兩臺(tái)Windows Server 2008 R2服務(wù)器來(lái)充當(dāng)路由器，用來(lái)將兩個(gè)不同的網(wǎng)絡(luò)連接起來(lái)，在兩臺(tái)服務(wù)器之間建立IPSec隧道連接。在Server 1主機(jī)連接的是IP為192.168.1.0的網(wǎng)絡(luò)，其外網(wǎng)地址為192.168.3.100。Server 2主機(jī)連接的是IP為192.168.2.0的網(wǎng)絡(luò)，其外網(wǎng)地址為192.168.5.200。

圖4 設(shè)置隧道終結(jié)點(diǎn)信息

在Server 1上打開(kāi)高級(jí)安全Windows防火墻窗口，點(diǎn)擊左側(cè)的“連接安全規(guī)則”項(xiàng)，在右側(cè)點(diǎn)擊“新建規(guī)則”連接，在彈出窗口中選擇“隧道”項(xiàng)，在下一步隧道類(lèi)型窗口中選擇“自定義設(shè)置”項(xiàng)，點(diǎn)擊下一步按鈕，選擇進(jìn)行身份驗(yàn)證的時(shí)機(jī)。在下一步窗口（如圖4所示）中的“終結(jié)點(diǎn)1 中的計(jì)算機(jī)”欄中點(diǎn)擊“添加”按鈕，輸入其連接的網(wǎng)絡(luò)內(nèi)的主機(jī)地址或者網(wǎng)絡(luò)標(biāo)識(shí)符（例 如“192.168.1.0/24”），在“什么是本地隧道終結(jié)點(diǎn)”欄中的“IPv4”欄中輸入Server 1的外網(wǎng)地址，例如 192.168.3.100。 在“什么是遠(yuǎn)程隧道終結(jié)點(diǎn)”欄中點(diǎn)擊“編輯”按鈕，在彈出窗口中的“IPv4”欄中輸入Server 2的外網(wǎng)地址，例如192.168.5.200。在“終結(jié)點(diǎn)2中的計(jì)算機(jī)”欄中點(diǎn)擊“編輯”按鈕，在彈出窗口中的“IPv4”欄中點(diǎn)擊“添加”按鈕，輸入Server 2連接的網(wǎng)絡(luò)內(nèi)的主機(jī)IP或者網(wǎng)絡(luò)標(biāo)識(shí)符，例如192.168.2.0/24。在下一步窗口中選擇“高級(jí)”按鈕，在彈出窗口中按照上述方法，設(shè)置合適的預(yù)共享密鑰，之后輸入規(guī)則名和描述信息，完成該規(guī)則的創(chuàng)建操作。

在Server 2主機(jī)上打開(kāi)高級(jí)安全Windows防火墻窗口，按照相同的方法設(shè)置對(duì)應(yīng)的IPSec安全連接規(guī)則。之后，在與其連接的兩個(gè)網(wǎng)絡(luò)的主機(jī)之間，就可以安全地通信了。例如，與Server 1連接的內(nèi)網(wǎng)中PC1需要和與Server2連接的內(nèi)網(wǎng)中的PC2通訊，PC發(fā)送的數(shù)據(jù)先傳給了Server1，Server1自動(dòng)和Server連接IPSec隧道連接，將數(shù)據(jù)安全傳輸給Server 2，之后Server 2將數(shù)據(jù)傳輸給PC2。如前所述，在兩個(gè)不同的網(wǎng)絡(luò)中的主機(jī)進(jìn)行通信時(shí)，需要使用路由器進(jìn)行連接。使用Windows Server 2008 R2服務(wù)器，就可以充當(dāng)路由器的角色。實(shí)現(xiàn)方法是在Windows Server 2008服務(wù)器中安裝兩塊網(wǎng)卡，分別連接兩個(gè)不同的網(wǎng)絡(luò)。

在服務(wù)管理器中打開(kāi)角色添加向?qū)Ы缑?，在其中選擇“網(wǎng)絡(luò)策略和訪問(wèn)服務(wù)”項(xiàng)，在下一步窗口中選擇“路由和遠(yuǎn)程訪問(wèn)服務(wù)”項(xiàng)，點(diǎn)擊“安裝”按鈕，執(zhí)行所需的安裝操作。之后在管理工具窗口中運(yùn)行路由和遠(yuǎn)程訪問(wèn)程序，在其主界面中選擇本地計(jì)算機(jī)名稱(chēng)，在其右鍵菜單中點(diǎn)擊“配置并啟用路由和遠(yuǎn)程訪問(wèn)”項(xiàng)，在彈出的向?qū)Т翱谥羞x擇“自定義配置”項(xiàng)，在下一步窗口中選擇“LAN路由”項(xiàng)，之后完成配置操作，并點(diǎn)擊“啟動(dòng)服務(wù)”鏈接，啟動(dòng)路由和遠(yuǎn)程訪問(wèn)服務(wù)。

在路由和遠(yuǎn)程訪問(wèn)主界面左側(cè)選擇本地計(jì)算機(jī)名稱(chēng)，在其屬性窗口中的“常規(guī)”面板中的“啟用此計(jì)算機(jī)作為”欄中如果選擇“IPv4路由器”等項(xiàng)，表示該機(jī)已經(jīng)具備了路由器的功能。在CMD窗口中執(zhí)行“route print-4”命令，可以顯示路由表信息。您可以根據(jù)實(shí)際需要，使用“route add”命令，來(lái)手工添加靜態(tài)路由。例如執(zhí)行“rout p add 192.168.6.0 mask 255.255.255.0 192.168.2.253 metric 256 if 12”命令，表示創(chuàng)建一條永久路由路徑，會(huì)被存儲(chǔ)到注冊(cè)表中，下次啟動(dòng)時(shí)不會(huì)丟失。其作用當(dāng)針對(duì)192.168.6.0網(wǎng)絡(luò)中的主機(jī)發(fā)送數(shù)據(jù)時(shí)，經(jīng)過(guò)對(duì)應(yīng)的網(wǎng)絡(luò)接口（假設(shè)是A網(wǎng)絡(luò)的接口，IP為 192.168.2.254），發(fā)送到 IP為192.168.2.253的網(wǎng)關(guān)。

當(dāng)然，這里只是列舉一個(gè)例子，實(shí)際操作要更加復(fù)雜。

當(dāng)刪除路由路徑時(shí)，可以利用“route delete”命令來(lái)實(shí)現(xiàn)，例如執(zhí)行“delete 192.168.6.0”，就可以將針對(duì)“192.168.6.0”的路徑刪除。