IPSec隧道傳輸數據

在兩臺獨立的主機之間，可以使用IPSec策略安全傳輸數據。在很多情況下，通訊雙方可能處于兩個不同的網絡中，如何使其可以安全地傳輸數據呢？這就需要使用IPsec隧道傳輸模式了。一般來說，不同的網絡之間會通過路由器來進行相互通訊。在本例中為了便于說明，使用兩臺Windows Server 2008 R2服務器來充當路由器，用來將兩個不同的網絡連接起來，在兩臺服務器之間建立IPSec隧道連接。在Server 1主機連接的是IP為192.168.1.0的網絡，其外網地址為192.168.3.100。Server 2主機連接的是IP為192.168.2.0的網絡，其外網地址為192.168.5.200。

圖4 設置隧道終結點信息

在Server 1上打開高級安全Windows防火墻窗口，點擊左側的“連接安全規則”項，在右側點擊“新建規則”連接，在彈出窗口中選擇“隧道”項，在下一步隧道類型窗口中選擇“自定義設置”項，點擊下一步按鈕，選擇進行身份驗證的時機。在下一步窗口（如圖4所示）中的“終結點1 中的計算機”欄中點擊“添加”按鈕，輸入其連接的網絡內的主機地址或者網絡標識符（例 如“192.168.1.0/24”），在“什么是本地隧道終結點”欄中的“IPv4”欄中輸入Server 1的外網地址，例如 192.168.3.100。 在“什么是遠程隧道終結點”欄中點擊“編輯”按鈕，在彈出窗口中的“IPv4”欄中輸入Server 2的外網地址，例如192.168.5.200。在“終結點2中的計算機”欄中點擊“編輯”按鈕，在彈出窗口中的“IPv4”欄中點擊“添加”按鈕，輸入Server 2連接的網絡內的主機IP或者網絡標識符，例如192.168.2.0/24。在下一步窗口中選擇“高級”按鈕，在彈出窗口中按照上述方法，設置合適的預共享密鑰，之后輸入規則名和描述信息，完成該規則的創建操作。

在Server 2主機上打開高級安全Windows防火墻窗口，按照相同的方法設置對應的IPSec安全連接規則。之后，在與其連接的兩個網絡的主機之間，就可以安全地通信了。例如，與Server 1連接的內網中PC1需要和與Server2連接的內網中的PC2通訊，PC發送的數據先傳給了Server1，Server1自動和Server連接IPSec隧道連接，將數據安全傳輸給Server 2，之后Server 2將數據傳輸給PC2。如前所述，在兩個不同的網絡中的主機進行通信時，需要使用路由器進行連接。使用Windows Server 2008 R2服務器，就可以充當路由器的角色。實現方法是在Windows Server 2008服務器中安裝兩塊網卡，分別連接兩個不同的網絡。

在服務管理器中打開角色添加向導界面，在其中選擇“網絡策略和訪問服務”項，在下一步窗口中選擇“路由和遠程訪問服務”項，點擊“安裝”按鈕，執行所需的安裝操作。之后在管理工具窗口中運行路由和遠程訪問程序，在其主界面中選擇本地計算機名稱，在其右鍵菜單中點擊“配置并啟用路由和遠程訪問”項，在彈出的向導窗口中選擇“自定義配置”項，在下一步窗口中選擇“LAN路由”項，之后完成配置操作，并點擊“啟動服務”鏈接，啟動路由和遠程訪問服務。

在路由和遠程訪問主界面左側選擇本地計算機名稱，在其屬性窗口中的“常規”面板中的“啟用此計算機作為”欄中如果選擇“IPv4路由器”等項，表示該機已經具備了路由器的功能。在CMD窗口中執行“route print-4”命令，可以顯示路由表信息。您可以根據實際需要，使用“route add”命令，來手工添加靜態路由。例如執行“rout p add 192.168.6.0 mask 255.255.255.0 192.168.2.253 metric 256 if 12”命令，表示創建一條永久路由路徑，會被存儲到注冊表中，下次啟動時不會丟失。其作用當針對192.168.6.0網絡中的主機發送數據時，經過對應的網絡接口（假設是A網絡的接口，IP為 192.168.2.254），發送到 IP為192.168.2.253的網關。

當然，這里只是列舉一個例子，實際操作要更加復雜。

當刪除路由路徑時，可以利用“route delete”命令來實現，例如執行“delete 192.168.6.0”，就可以將針對“192.168.6.0”的路徑刪除。