指定计算机上的IPsec SA设置,使其与您为机器上的IPsec设置指定的设置完全相同。设置方法因计算机操作系统而异。以下步骤是以IPv4环境中的Windows XP作为示例来进行介绍的。
在[开始]菜单中,单击[控制面板]、[性能和维护],然后单击[管理工具]。
双击[本地安全策略]。
单击[本地计算机上的IP安全策略]。
在“操作”菜单中,单击[创建IP安全策略]。
出现IP安全策略向导。
单击[下一步]。
在“名称”中输入安全策略名称,然后单击[下一步]。
清除“激活默认响应规则”复选框,然后单击[下一步]。
选择“编辑属性”,然后单击[完成]。
在“常规”选项卡中,单击[高级]。
在“身份验证和生成新密钥间隔”中,输入在[IKE寿命]中指定的机器上的相同有效期(以分钟为单位),然后单击[方法]。
确认“安全方法首选顺序”中的加密算法(“加密”)、哈希算法(“完整性”)和IKE Diffie-Hellman组(“Diffie-Hellman组”)设置全部与[IKE设置]中指定的机器设置一致。
如果没有显示设置,单击[添加]。
单击[确定]两次。
在“规则”选项卡中单击[添加]。
出现安全规则向导。
单击[下一步]。
选择“此规则不指定通道”,然后单击[下一步]。
选择IPsec的网络类型,然后单击[下一步]。
选择“使用此字符串保护密钥交换(预共享密钥)”,然后输入使用预共享密钥在机器上指定的相同PSK文本。
单击[下一步]。
在IP筛选器列表中单击[添加]。
在[名称]中,输入IP筛选器名称,然后单击[添加]。
出现IP筛选器向导。
单击[下一步]。
在“源地址”中选择“我的IP地址”,然后单击[下一步]。
在“目标地址”中选择“一个特定的IP地址”,输入机器的IP地址,然后单击[下一步]。
对于IPsec的协议类型,请选择“Any”,然后单击[下一步]。
单击[完成]。
单击[确定]。
选择刚创建的IP筛选器,然后单击[下一步]。
选择IPsec安全筛选器,然后单击[编辑]。
在“安全方法”选项卡中,选择“协商安全”,然后单击[添加]。
选择“自定义”,然后单击[设置]。
如果在[IPsec设置]下的[安全协议]中为机器选择了[ESP],请选择[数据完整性和加密(ESP)],然后配置以下设置:
将[完整性算法]的值设置为与机器上指定的[ESP验证算法]相同的值。
将[加密算法]的值设置为与机器上指定的[ESP加密算法]相同的值。
如果在[IPsec设置]下的[安全协议]中为机器选择了[AH],请选择[数据和地址不加密的完整性(AH)],然后配置以下设置:
将[完整性算法]的值设置为与机器上指定的[AH验证算法]相同的值。
清除[数据完整性和加密(ESP)]复选框。
如果在[IPsec设置]下的[安全协议]中为机器选择了[ESP和AH],请选择[数据和地址不加密的完整性(AH)],然后配置以下设置:
将[数据和地址不加密的完整性(AH)]下的[完整性算法]的值设置为与机器上指定的[AH验证算法]相同的值。
将[数据完整性和加密(ESP)]下的[加密算法]的值设置为与机器上指定的[ESP加密算法]相同的值。
在会话密钥设置中,选择“生成新密钥间隔”,然后输入在机器上为[寿命]指定的相同有效期(以秒或KB为单位)。
单击三次[确定]。
单击[下一步]。
单击[完成]。
如果您在Windows Vista或更新版本的Windows中使用IPv6,则必须从步骤13重复此过程,并将ICMPv6指定为例外。执行到步骤24时,请选择[58]作为“其他”目标协议类型的协议编号,然后将[协商安全]设置为[允许]。
单击[确定]。
单击[关闭]。
新的IP安全策略(IPsec设置)即被指定。
选择刚创建的安全策略,右键单击,然后单击[分配]。
启用计算机上的IPsec设置。
要禁用计算机的IPsec设置,选择安全策略,右键单击,然后单击[取消分配]。