计算机网络中的VPN隧道技术

对于构建VPN来说，网络安全隧道（Tunneling）技术是一个关键技术。

网络隧道是指在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。现有两种类型的网络隧道协议，一种是二层隧道协议，用于传输二层网络协议，它主要应用于构建远程访问虚拟专用网（Access VPN）；另一种是三层隧道协议，用于传输三层网络协议，它主要应用于构建企业内部虚拟专网（Intranet VPN）和扩展的企业内部虚拟专网（Extranet VPN）。

1.第二层隧道协议

第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。

第二层隧道协议主要有以下3种：

第1种是由微软、Ascend、3COM等公司支持的PPTP（Point to Point Tunneling Protocol，点对点隧道协议），在Windows NT 4.0以上版本中即有支持。

第2种是Cisco、北方电信等公司支持的L2F（Layer 2 Forwarding，二层转发协议），在Cisco路由器中有支持。

第3种由IETF起草，微软Ascend、Cisco、3COM等公司参与的L2TP（Layer 2 Tunne-ling Protocol，二层隧道协议）。结合了上述两个协议的优点，L2TP是目前IETF的标准，由IETF融合PPTP与L2F而形成。

下面分别介绍这3种协议。

（1）PPTP

PPTP（点对点隧道协议）是一种支持多协议虚拟专用网络的网络技术，它工作在第二层，提供PPTP客户机和PPTP服务器之间的加密通信。此处的PPTP客户机是指运行了该协议的PC，如启动该协议的Windows 95/98，PPTP服务器是指运行该协议的服务器如启动该协议的Windows NT服务器。通过该协议，远程用户能够通过Microsoft Windows NT工作站、Windows XP、Windows 2000和Windows 2003操 作系统以及其他装有点对点协议的系统安全访问公司网络，并能拨号连入本地ISP，通过Internet安全连接到公司网络。拨号客户首先按常规方式拨号到ISP的接入服务器NAS，建立PPP连接；在此基础上，客户进行二次拨号建立到PPTP服务器的连接，该连接称为PPTP隧道，实质上是基于IP协议上的另一个PPP连接，其中的IP包可以封装多种协议数据，包括TCP/IP、IPX和NetBEUI。PPTP采用了基于RSA公司RC4的数据加密方法，保证了虚拟连接通道的安全性。对于直接连到Internet上的客户则不需要第一重PPP的拨号连接，可以直接与PPTP服务器建立虚拟通道。

PPTP假定在PPTP客户机和PPTP服务器之间有连通并且可用的IP网络。因此如果PPTP客户机本身已经是IP网络的组成部分，那么即可通过该IP网络与PPTP服务器取得连接；而如果PPTP客户机尚未连入网络，譬如在Internet拨号用户的情形下，PPTP客户机必须首先拨打NAS以建立IP连接。这里所说的PPTP客户机也就是使用PPTP的VPN客户机，而PPTP服务器亦即使用PPTP的VPN服务器。

PPTP只能通过PAC和PNS来实施，其他系统没有必要知道PPTP。拨号网络可与PAC相连接而无需知道PPTP。标准的PPP客户机软件可继续在隧道PPP链接上操作。

PPTP VPN提供两个主要服务——封装和加密。

PPTP下的封装是使用一般路由封装（GRE）头文件和IP报头数据包装PPP帧。IP报头文件用来标识与VPN客户机和VPN服务器对应的源和目标IP地址等路由信息头。

PPTP下的“加密”是通过使用从PPP的MS-CHAP或EAP-TLS身份验证过程中生成的密钥，PPP帧以MPPE方式进行加密。为了加密PPP有效载荷，VPN客户机必须使用MS-CHAP或EAP-TLS身份验证协议进行验证。但PPTP本身不提供加密服务，PPTP只是对先前加密了的PPP帧进行封装，如图6-2所示。

图6-2 PPTP封装

目前，PPTP基本已被淘汰，不再使用在VPN产品中。

（2）L2F协议

L2F（第二层转发）协议是由Cisco公司提出的可以在多种媒质如ATM、帧中继、IP网上建立多协议的全VPN通信方式。远端用户能够透过任何支持用户采用拨号方式接入公共IP网络，首先按常规方式拨号到ISP的接入服务器NAS，建立PPP连接；NAS根据用户名等信息，发起第二重连接，通向HGW服务器。在这种情况下隧道的配置、建立对用户是完全透明的。

L2F用于建立跨越公共网络（如Internet）的安全隧道来将ISP POP连接到企业内部网关。这个隧道建立了一个用户与企业客户网络间的虚拟点对点连接。

L2F允许高层协议的链路层隧道技术。使用这样的隧道，使得把原始拨号服务器位置和拨号协议连接终止与提供的网络访问位置分离成为可能。

L2F允许在L2F中封装PPP/SLIP包。ISP NAS与家庭网关都需要共同了解封装协议，这样才能在Internet上成功地传输或接收PPP/SLIP包。

（3）L2TP

L2TP（第二层隧道协议）是一种工业标准的Internet隧道协议，结合了L2F和PPTP的优点，可以让用户从客户端或访问服务器端发起VPN连接。L2TP是把链路层PPP帧封装在公共网络设施如IP、ATM、帧中继中进行隧道传输的封装协议。Cisco、Ascend、微软和RedBack的专家们在修改了十几个版本后，终于在1999年8月公布了L2TP的标准RFC 2661。

目前用户拨号访问Internet时，必须使用IP，并且其动态得到的IP地址也是合法的。L2TP的好处在于支持多种协议，用户可以保留原有的IPX、Appletalk等协议或公司原有的IP地址。L2TP还解决了多个PPP链路的捆绑问题，PPP链路捆绑要求其成员均指向同一个NAS，L2TP可以使物理上连接到不同NAS的PPP链路，在逻辑上的终结点为同一个物理设备。L2TP扩展了PPP连接，在传统方式中用户通过模拟电话线或ISDN/ADSL与网络访问服务器（NAS）建立一个第2层的连接，并在其上运行PPP。其第2层连接的终结点和PPP会话的终结点在同一个设备上（如NAS）。L2TP作为PPP的扩展提供更强的功能，第2层连接的终结点和PPP会话的终结点可以是不同的设备。

L2TP主要由LAC（L2TP Access Concentrator）和LNS（L2TP Network Server）构成，LAC（L2TP访问集中器）支持客户端的L2TP，用于发起呼叫、接收呼叫和建立隧道；LNS（L2TP网络服务器）是所有隧道的终点。在传统的PPP连接中，用户拨号连接的终点是LAC，L2TP使得PPP的终点延伸到LNS。

L2TP扩展了PPP模型，允许第二层和PPP终点处于不同的由包交换网络相互连接的设备。通过L2TP，用户在第二层连接到一个访问集中器（如：调制解调器池、ADSL DSLAM等），然后这个集中器将单独得的PPP帧隧道到NAS。这样，可以把PPP包的实际处理过程与L2连接的终点分离开来。

L2TP连接的维护以及PPP数据的传送都是通过L2TP消息的交换来完成的，这些消息再通过UDP的1701端口承载于TCP/IP之上。L2TP消息可以分为两种类型，一种是控制消息，另一种是数据消息。控制消息用于隧道连接和会话连接的建立与维护。数据消息用于承载用户的PPP会话数据包。L2TP连接的维护以及PPP数据的传送都是通过L2TP消息的交换来完成的，这些消息再通过UDP的1701端口承载于TCP/IP之上。

控制消息中的参数用AVP值对（Attribute Value Pair）来表示，使得协议具有很好的扩展性。在控制消息的传输过程中还应用了消息丢失重传和定时检测通道连通性等机制来保证了L2TP层传输的可靠性。数据消息用于承载用户的PPP会话数据包。L2TP数据消息的传输不采用重传机制，所以它无法保证传输的可靠性，但这一点可以通过上层协议，如TCP等得到保证。数据消息的传输可以根据应用的需要灵活地采用流控或不流控机制，甚至可以在传输过程中动态地使用消息序列号，从而动态地激活消息顺序检测和流量控制功能。在采用流量控制的过程中，对于失序消息的处理采用了缓存重排序的方法来提高数据传输的有效性。

L2TP VPN提供的两个主要服务也是封装和加密，如图6-3所示。

图6-3 L2TP的封装与加密

1）L2TP的建立过程如下。

①用户通过公共电话网或ISDN拨号至本地的接入服务器LAC，LAC接收呼叫并进行基本的辨别，这一过程可以采用几种标准，如域名、呼叫线路识别（CLID）或拨号ID业务（DNIS）等。

②当用户被确认为合法企业用户时，就建立一个通向LNS的拨号VPN隧道。

③通过企业内部的安全服务器如TACACS+、RADIUS鉴定拨号用户。

④LNS与远程用户交换PPP信息，分配IP地址。LNS可采用企业私有地址（未注册的IP地址）或服务提供商提供的地址空间分配IP地址。因为内部源IP地址与目的地IP地址实际上都通过服务提供商的IP网络在PPP信息包内传送，企业私有地址对提供者的网络是透明的。

⑤端到端的数据从拨号用户传到LNS。

与PPTP和L2F相比，L2TP的优点在于提供了差错和流量控制。作为PPP的扩展，L2TP支持标准的安全特性CHAP和PAP，可以进行用户身份认证。L2TP定义了控制包的加密传输，对于每个被建立的隧道，生成一个独一无二的随机钥匙，以便抵抗欺骗性的攻击。但是对传输中的数据并不加密。由于L2TP没有任何加密措施，更多是和IPSec结合使用，提供隧道验证。

2）L2TP还具有适用于VPN服务的以下5个特性。

①灵活的身份验证机制以及高度的安全性。L2TP可以选择多种身份验证机制（CHAP、PAP等），继承了PPP的所有安全特性，L2TP还可以对隧道端点进行验证，这使得通过L2TP所传输的数据更加难以被攻击。而且根据特定的网络安全要求还可以方便地在L2TP之上采用隧道加密、端对端数据加密或应用层数据加密等方案来提高数据的安全性。

②内部地址分配支持。LNS可以放置于企业网的防火墙之后，它可以对于远端用户的地址进行动态的分配和管理，可以支持DHCP和私有地址应用（RFC 1918）等方案。远端用户所分配的地址不是Internet地址而是企业内部的私有地址，这样方便了地址的管理并可以增加安全性。

③网络计费的灵活性。可以在LAC和LNS两处同时计费，即ISP处（用于产生账单）及企业处（用于付费及审记）。L2TP能够提供数据传输的出入包数，字节数及连接的起始、结束时间等计费数据，可以根据这些数据方便地进行网络计费。

④可靠性。L2TP可以支持备份LNS，当一个主LNS不可达之后，LAC（接入服务器）可以重新与备份LNS建立连接，这样增加了VPN服务的可靠性和容错性。

⑤唯一的网络管理。L2TP将很快地成为标准的RFC，有关L2TP的标准MIB也将很快地得到制定，这样可以唯一地采用SNMP网络管理方案进行方便的网络维护与管理。

3）PPTP和L2TP都使用PPP对数据进行封装，然后添加附加报头用于数据在互联网络上的传输。尽管两个协议非常相似，但是仍存在以下几方面的不同。

①PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP（使用UDP），帧中继永久虚拟电路（PVCs），X.25虚拟电路（VCs）或ATM VCs网络上使用。

②PPTP只能在两端点间建立单一隧道，L2TP支持在两端点间使用多隧道。使用L2TP，用户可以针对不同的服务质量创建不同的隧道。

③L2TP可以提供报头压缩。当压缩报头时，系统开销（Overhead）占用4 B，而PPTP下要占用6 B。

④L2TP可以提供隧道验证，而PPTP则不支持隧道验证。但是当L2TP或PPTP与IP-SEC共同使用时，可以由IPSEC提供隧道验证，不需要在第二层协议上验证隧道。

⑤L2TP访问集中器（L2TP Network Server，LNS）是一种附属在网络上的具有PPP端系统和L2Tpv2协议处理能力的设备，它就是一个网络接入服务器软件，在远程客户端完成网络接入服务的功能。

⑥L2TP网络服务器（L2TP Network Server，LNS）是用于处理L2TP服务器端的软件。

2.三层隧道协议

三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。三层隧道协议并非是一种很新的技术，早已出现的RFC 1701 Generic Routing En-capsulation（GRE）协议就是个三层隧道协议。新出来的IETF的IP层加密标准协议IPSec协议也是个三层隧道协议。

（1）GRE协议

通用路由选择封装（GRE，Generic Routing Encapsulation）是 网络中通过隧道将通信从一个专用网络传输到另一个专用网络常用到的一个协议。尽管GRE不提供加密服务，但它提供低开销隧道。

GRE协议有4个值得注意的增强功能：

●一个确认号字段中。这用于确定特定GRE包的一个或一组数据包是否已到达远程隧道结尾处。此确认功能不与任何重新传输的用户数据包结合使用，而是用于确定用户数据包是为给定的用户会话通过隧道传输的速率。

●隧道的可移植性。有效负载部分包含PPP数据包中没有任何特定于媒体的框架元素。

●序列号的跟踪。序列号所涉及的每个数据包序列号。每个用户会话的序列号设置为会话启动时为零。为给定的用户会话包含一个有效负载（和已设置为一个S的位或位

3），发送每个数据包为该会话指派下一个连续的序列号。

●使用了附加的确认。此协议允许执行与数据的确认，并使总体协议效率更高，这反过来要求较少缓冲的数据包。

（2）IPSec

IPSec（IP Security）是一个范围广泛、开放的VPN安全协议，工作在OSI模型中的第三层网络层。它提供所有在网络层上的数据保护和透明的安全通信。IPSec可以设置成在两种模式下运行：一种是隧道模式；另一种是传输模式。在隧道模式下，IPSec把IP v4数据包封装在安全的IP帧中。传输模式是为了保护端到端的安全性，不会隐藏路由信息。

一种趋势是将L2TP和IPSec结合起来。用L2TP作为隧道协议，用IPSec保护数据。目前，市场上大部分VPN采用这类技术。IPSec最适合可信LAN到LAN之间的VPN。

其优点是它定义了一套用于保护私有性和完整性的标准协议，可确保运行在TCP/IP上的VPN之间的互操作性。其缺点是除了包过滤外，它没有指定其他访问控制方法，对于采用NAT方式访问公共网络的情况难以处理。

IPSec是由一组RFC文档组成的，定义了一个系统来提供安全协议选择、安全算法、确定服务所使用密钥等服务，从而在IP层提供安全保障。

它不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，IP-Sec使用以下协议为流量提供安全性：认证包头（Authentication Header，AH）协议和封装安全负载（Encapsulating Security Payload，ESP）、密钥管理协议Internet Key Exchange（IKE）和用于网络验证及加密的一些算法等，IPSec体系结构如图6-4所示。

其中AH提供了无连接的完整性、数据起源的身份验证和一个可选的防止重放的服务。ESP能够提供机密性（加密）和受限制的流量机密性，它也能提供无连接的完整性、数据起源的身份验证和防止重放服务。AH和ESP都是基于加密密钥的分发和网络流量管理的访问控制。

AH和ESP可单独应用，或组合起来在IP v4和IP v6提供一个所需的安全服务集。这两个协议都支持两种使用模式：传输模式和隧道模式。在传输模式下，协议为上层协议提供保护；在隧道模式下，协议应用到经过隧道的IP数据包。

IPSec允许用户控制安全服务级别。例如，用户可以创建一个加密隧道来运载两个安全网关之间的所有流量，或为通过这些网关进行通信的每对主机之间的TCP连接创建一个独立的加密隧道。用户可以管理给定的安全保护的细节，以及作用于基于加密的安全措施上的算法。

图6-4 IPSec协议体系结构(www.xing528.com)

IPSec的安全依赖于共享的秘密值，如加密密钥，提供身份验证和完整性以及加密服务。IPSec采用单独的机制来放置这些密钥。这些机制包括Internet密钥交换（IKE）、Internet安全关联和密钥管理协议（ISAKMP）、Oakley密钥生成协议、Kerberos协议和SKIP协议。

1）IPSec的认证与加密机制和协议。

①IPSec认证包头（AH）。它是一个用于提供IP数据报完整性和认证的机制。其完整性是保证数据报不被无意的或恶意的方式改变，认证是验证数据的来源（如识别主机、用户、网络等）。AH本身其实并不支持任何形式的加密，它不能保证通过Internet发送的数据的可信程度。AH只是在加密的出口、进口或使用受到当地政府限制的情况下，可以提高全球Intenret的安全性。当全部功能实现后，它将通过认证IP数据报并且减少基于IP欺骗的攻击机率来提供更好的安全服务。AH使用的报头放在标准的IP v4和IP v6报头和下一个高层协议帧（如TCP、UDP、ICMP等）之间。AH协议格式如图6-5所示。

AH协议通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务。一个消息文摘就是一个特定的单向数据函数，它能够创建数据报的唯一的数字指纹。消息文摘算法的输出结果放到AH包头的认证数据（Authentication_Data）区。消息文摘5算法（MD5）是一个单向数学函数。当应用到分组数据中时，它将整个数据分割成若干个128bit的信息分组。每个128 bit为一组的信息是大分组数据的压缩或摘要的表示。当以这种方式使用时，MD5只提供数字的完整性服务。一个消息文摘在被发送之前和数据被接收到以后，都可以根据一组数据计算出来。如果两次计算出来的文摘值是一样的，那么分组数据在传输过程中就没有被改变。这样就防止了无意或恶意的篡改。在使用HMAC-MD5认证过的数据交换中，发送者使用以前交换过的密钥来首次计算数据报的64 bit分组的MD5文摘。从一系列的16 bit中计算出来的文摘值被累加成一个值，然后放到AH报头的认证数据区，随后数据报被发送给接收者。接收者也必须知道密钥值，以便计算出正确的消息文摘，并且将其与接收到的认证消息文摘进行适配。如果计算出的和接收到的文摘值相等，那么数据报在发送过程中就没有被改变，而且可以相信是由只知道密钥的另一方发送的。

图6-5 AH格式

②封包安全协议（ESP）报头。它提供IP数据报的完整性和可信性服务。ESP是设计为两种模式工作的：隧道（Tunneling）模式和传输（Transport）模式。两者的区别在于IP数据报的ESP负载部分的内容不同。在隧道模式中，整个IP数据报都在ESP负载中进行封装和加密。当这完成以后，真正的IP源地址和目的地址都可以被隐藏为Internet发送的普通数据。这种模式的一种典型用法就是在防火墙-防火墙之间，通过虚拟专用网的连接时进行的主机或拓扑隐藏。在传输模式中，只有更高层协议帧（TCP、UDP、ICMP等）被放到加密后的IP数据报的ESP负载部分。在这种模式中，源和目的IP地址以及所有的IP包头域都是不加密发送的。ESP协议格式如图6-6所示。

图6-6 ESP协议格式

IPSec要求在所有的ESP实现中使用一个通用的默认算法即DES-CBC算法。美国数据加密标准（DES）是一个现在使用非常普遍的加密算法。它最早是在由美国政府公布的，最初是用于商业应用。到现在所有DES专利的保护期都已经到期了，因此全球都有它的免费使用。IPSec ESP标准要求所有的ESP实现支持密码分组链方式（CBC）的DES作为默认的算法。DES-CBC通过对组成一个完整的IP数据报（隧道模式）或下一个更高的层协议帧（传输模式）的8 bit数据分组中加入一个数据函数来工作。DES-CBC用8 bit一组的加密数据（密文）来代替8 bit一组的未加密数据（明文）。一个随机的、8 bit的初始化向量（IV）被用来加密第一个明文分组，以保证即使在明文信息开头相同时也能保证加密信息的随机性。DES-CBC主要是使用一个由通信各方共享的相同的密钥。正因为如此，它被认为是一个对称的密码算法。接收方只有使用由发送者用来加密数据的密钥才能对加密数据进行解密。因此，DES-CBC算法的有效性依赖于密钥的安全，ESP使用的DES-CBC的密钥长度是56 bit。

③Internet密钥交换协议（IKE）。用于在两个通信实体协商和建立安全相关，交换密钥。安全相关（Security Association）是IPSec中的一个重要概念。一个安全相关表示两个或多个通信实体之间经过了身份认证，且这些通信实体都能支持相同的加密算法，成功地交换了会话密钥，可以开始利用IPSec进行安全通信。IPSec协议本身没有提供在通信实体间建立安全相关的方法，利用IKE建立安全相关。IKE定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。IKE中身份认证采用共享密钥和数字签名两种方式，密钥交换采用Diffie Hellman协议。安全相关也可以通过手工方式建立，但是当VPN中结点增多时，手工配置将非常困难。

由此，IPSec提供了以下几种网络安全服务：

●私有性-IPsec在传输数据报之前将其加密，以保证数据的私有性。

●完整性-IPsec在目的地要验证数据报，以保证该数据报在传输过程中没有被替换。

●真实性-IPsec端要验证所有受IPsec保护的数据包。

●反重复-IPsec防止了数据报被捕捉并重新投放到网上，即目的地会拒绝老的或重复的数据报。它通过与AH或ESP一起工作的序列号实现。

2）预定义IPSec策略。以在Windows 2003 Server的I P安全为例，其中包含3种预定义的可能会满足需要的IPSec策略，这些安全策略可以以默认方式工作。通过检查默认的选项，且对照其设置，可以在创建安全策略时，更好地理解需要完成的工作。默认的IPSec策略包括：客户（仅仅响应），服务器（请求安全性）以及加密服务器（需要安全性）。

①客户（仅仅响应）。在客户（仅仅响应）配置模式下，客户告诉Windows 2003 Server不使用默认的IPSec选项。仅当另外一个系统或者网络设备请求它实现IPSec策略时，才打开该功能。在该配置模式下，客户系统不会打开IPSec安全选项，仅当出现外界的请求时，才使用IPSec策略。默认的策略出自默认的响应规则，该默认的响应规则应用于数据流入/流出的连接，默认的配置设置如下。

IP过滤列表（IP Filter List）：

过滤动作（Filter Action）：Default Response。

认证（Authentication）：Kerberos。

隧道设置（Tunnel Setting）：None。

连接类型（Connection Type）：All。

如果上面的默认设置不能满足用户的需求，可以修改它们，或者创建新策略。例如，如果需要，用户可以把认证类型从Kerberos改为PKI，或者可以把连接类型从All改成LAN，或者仅允许远程访问。

②服务器（请求安全性）。服务器（请求安全性）选项比客户选项提供了更多安全性。在该配置中，系统在初始时请求IPSec加密传输方式，但是如果其他系统不支持IPSec，也会采取折中的方式，并允许进行不安全的通信。此时，如果系统没有开启IPSec，整个通信不受保护。要了解该策略是如何制定的，需要仔细查看创建策略的规则。有以下3种规则。

规则1：

IP过滤列表（IP Filter List）：All IP Traffic。

过滤动作（Filter Action）：Request Security（Optional）。

认证（Authentication）：Kerberos。

隧道设置（Tunnel Setting）：None。

连接类型（Connection Type）：All。

规则2：

IP过滤列表（IP Filter List）：All ICMP Traffic。

过滤动作（Filter Action）：Permit。

认证（Authentication）：N/A。

隧道设置（Tunnel Setting）：None。

连接类型（Connection Type）：All。

规则3（与客户选项相同）

IP过滤列表（IP Filter List）：

过滤动作（Filter Action）：Default Response。

认证（Authentication）：Kerberos。

隧道设置（Tunnel Setting）：None。

连接类型（Connection Type）：All。

③加密服务器（需要安全性）。加密服务器（需要安全性）选项提供了最高级别的安全性。加密服务器策略对所有采用IPSec策略传输的网络数据进行加密。该策略将拒绝所有来自非IPSec客户的数据报。该策略有一条规则需求对所有IP传输数据进行加密，但是注意该规则允许ICMP类型的传输数据，另外，默认的响应规则类似于其他预定义策略。有以下3种规则。

规则1：

IP过滤列表（IP Filter List）：All IP Traffic。

过滤动作（Filter Action）：Require Security。

认证（Authentication）：N/A。

隧道设置（Tunnel Setting）：None。

连接类型（Connection Type）：All。

规则2：

IP过滤列表（IP Filter List）：All ICMP Traffic。

过滤动作（Filter Action）：Permit。

认证（Authentication）：Kerberos。

隧道设置（Tunnel Setting）None。

连接类型（Connection Type）：All。

规则3（与客户选项相同）

IP过滤列表（IP Filter List）：

过滤动作（Filter Action）：Default Response。

认证（Authentication）：Kerberos。

隧道设置（Tunnel Setting）None。

连接类型（Connection Type）：All。

4）创建IPSec。其创建步骤如下。

①打开控制面板，依次双击右键“管理工具”→“本地安全策略”→右击左窗格中“IP安全策略，在本地计算机”，然后单击“创建IP安全策略”，“IP安全策略向导”启动，依次单击“下一步”按钮。

②在“IP安全策略名称”页上的名称框中输入“Secure SNMP”。在说明框中，输入“Force IPSec for SNMP Communications”，然后单击“下一步”按钮。

③单击“激活默认响应规则”复选框，将按钮其清除，然后单击“下一步”按钮。

④在“正在完成IP安全策略向导”页上，确认“编辑属性”复选框已被选中，然后单击“完成”按钮。

⑤在安全“NMP属性”对话框中，单击使用“添加向导”复选框，将其清除，然后单击“添加”按钮。

⑥单击IP“筛选器列表”选项卡，然后单击“SNMP消息（161/162）”。

⑦单击“筛选器操作”选项卡，然后单击“需要安全”。

⑧单击“身份验证方法”选项卡。默认的身份验证方法为Kerberos。如果用户需要另一种身份验证方法，则请单击“添加”按钮。在新身份验证方法属性对话框中，从下面的列表中选择要使用的身份验证方法，然后单击“确定”按钮。

⑨ActiveDirectory默认值（KerberosV5协议）使用此字符串（预共享密钥），在新规则属性对话框中，单击“应用”按钮，然后单击“确定”按钮。

⑩在SNMP“属性”对话框中，确认SNMP“消息（161/162）”复选框已被选中，然后单击“确定”按钮，在“本地安全设置”控制台的右窗格中，右键单击安全SNMP规则，然后单击“确定”按钮。在所有运行SNMP服务的基于Windows 2003Server的计算机上完成此过程。

完成上述步骤后，配置IPSec策略就完成了。