身份验证方法定义在筛选器适用的通讯中需如何验证标识。双方都必须至少有一个通用身份验证方法,否则通讯将失败。Windows 2000 提供Kerberos、公钥证书、指定预共享密钥三种身份验证方法,使用Kerberos需合理设置A、B机之间的域关系,使用公钥证书需申请和安装相应证书,甚至需建立CA(Certification Authority)中心,为简化起见,此处只介绍使用指定预共享密钥的身份验证方法配置步骤。
a) 在“编辑规则属性”对话框中,确保在“IP筛选器列表”标签中选中“A到B筛选器”,在“IP筛选器操作”标签中选中“A到B筛选器操作”, 然后单击“身份验证方法”标签。
b) 单击“添加” 按钮,选择“此字串用来保护密钥交换(预共享密钥)”单选框,输入“123456789”, 单击“确定”。 至此已配置好身份验证方法,如下图4。
 |
| 图4 身份验证方法属性对话框 |
a) 在“编辑规则属性”对话框中,单击“隧道设置”标签。
b) 选择“隧道终点有此IP地址指定”,并输入B机互联网端地址202.1.1.2。如图5
|
| 图5:设置隧道终点界面 |
3.1.6 配置入站筛选器
IPSec 需要在筛选器列表中指定的计算机之间同时有入站和出站筛选器。入站筛选器适用于传入的通讯,并允许接收端的计算机响应安全通讯请求;或者按照 IP 筛选器列表匹配通讯。出站筛选器适用于传出的通讯,并触发一个在通讯发送之前进行的安全协商。例如,如果计算机 A 要与计算机 B 安全地交换数据:
计算机 A 上的活动 IPSec 策略必须有针对计算机 B 的任何出站包的筛选器。Source=A 且 Destination=B。
计算机 A 上的活动 IPSec 策略必须有针对计算机 B 的任何入站包的筛选器。Source=B 且 Destination=A。
每方都必须有反向的筛选器:
计算机 B 上的活动 IPSec 策略必须有针对计算机 A 的任何入站包的筛选器。Source=A 且 Destination=B。
计算机 B 上的活动 IPSec 策略必须有针对计算机 A 的任何出站包的筛选器。Source=B 且 Destination=A。
因此,至此还只是设置好了A机上的出站筛选器,还需在A机按2至5的步骤设置A机上的入站筛选器,只需将源和目的IP子网地址互换,且此时的隧道终点IP地址为202.1.1.1即可。此处略。
3.2 B机上的配置步骤
完全按在A机的配置过程,在B机上做同样配置,只枳⒁庠春湍康腎P子网地址及隧道终点IP地址不要设置混淆即可。
4 测试IPSec策略
按要求分别在A、B两机配置好IPSec策略后,需测试其是否正常工作,在测试前需将A、B两机配置成路由器,并起用IP路由功能,以在两网卡间路由IP包(起用方法在“管理工具”中的“路由和远程访问”工具中起用)。同时需在A机上添加到B机所在内网段的路由项,在B机上添加到A机所在内网段的路由项。在做好这些准备工作后,IPSec策略测试步骤如下:
a) 运行IPSec策略管理控制台,在左边窗口选择“IP安全策略,在本地机器”,在右边窗口出现创建的名为“A和B的安全通信”的IPSec策略,右击“A和B的安全通信”,选择“指派”,则其“策略已指派”栏由“否”变为“是”。在A、B两机上均需做此操作。
b) 在C机上打开命令窗口,做PING操作(即ping –t 192.168.5.1)。该操作中源和目的IP地址匹配我们在A、B两机上设置的筛选器,其将触发B、A之间的安全通信。
c) 在B机上打开IP安全监控工具(方法:“开始”*“运行”*”ipsecmon”即可)。此时在其窗口上可看到目前在用A、B机之间建立的SA详细信息及发送和接收的身份验证字节数和加密的字节数等。图示如下面图6。
| |
| 图6:在B机上打开的IP安全监控工具窗口信息 |
5 结束语
Windows 2000 的IPSec服务为我们建立基于IPSec的VPN提供了非常方便的手段,利用它建立起来的安全通信对应用程序是完全透明的,应用程序不需做任何修改就可以获得安全通信功能。同时,Windows2000中的IPSec功能在内部局域网中建立关键主机之间的安全加密通信也是非常方便有效的。她是通过采用IPSec的传输模式工作方式来实现的,不需改变或增加IP地址,可以非常方便地实现对关键主机之间的不同类型流量实施不同的安全策略。
