ID Artikel: 252735 - Kajian Terakhir: 21 September 2011 - Revisi: 2.0

Cara mengkonfigurasi IPSec Tunneling pada Windows 2000

Tampil berdampinganKlik disini untuk menampilkan sumber Inggris dan terjemahan oleh mesin secara berdampingan
Penerjemahan MesinPeringatan: artikel ini adalah terjemahan oleh mesin
Melihat produk di mana artikel ini berlaku.
Tips SistemThis article applies to a different operating system than the one you are using. Article content that may not be relevant to you is disabled.
Pemberitahuan
Artikel ini berlaku untuk Windows 2000. Dukungan untuk Windows 2000 berakhir pada 13 Juli 2010. The Pusat Solusi Windows 2000 akhir dukungan (http://support.microsoft.com/win2000) adalah titik awal untuk perencanaan strategi migrasi dari Windows 2000. Untuk informasi lebih lanjut lihat Microsoft Support Lifecycle Policy (http://support.microsoft.com/lifecycle/) .
Pemberitahuan
Artikel ini berlaku untuk Windows 2000. Dukungan untuk Windows 2000 berakhir pada 13 Juli 2010. The Pusat Solusi Windows 2000 akhir dukungan (http://support.microsoft.com/win2000) adalah titik awal untuk perencanaan strategi migrasi dari Windows 2000. Untuk informasi lebih lanjut lihat Microsoft Support Lifecycle Policy (http://support.microsoft.com/lifecycle/) .

Pada Halaman ini

Perbesar semua | Perkecil semua

RINGKASAN

Anda dapat menggunakan IP Security (IPSec) dalam mode terowongan merangkum Paket Internet Protocol (IP) dan opsional mengenkripsi mereka. The alasan utama untuk menggunakan IPSec terowongan mode (kadang-kadang disebut sebagai "murni IPSec tunnel") pada Microsoft Windows 2000 adalah untuk interoperabilitas dengan pihak ketiga router atau gateway yang tidak mendukung Layer 2 Tunneling Protocol (L2TP) / IPSec atau PPTP Virtual Private Networking (VPN) tunneling teknologi.
Kembali ke atas

INFORMASI LEBIH LANJUT

Windows 2000 mendukung IPSec penerowongan untuk situasi di mana kedua terowongan Endpoint memiliki alamat IP statis. Hal ini terutama berguna dalam gerbang-gerbang implementasi, tetapi mungkin juga bekerja untuk jaringan khusus Keamanan skenario antara gateway/router dan server (seperti Windows 2000 router routing lalu lintas dari antarmuka eksternal ke internal Windows komputer berbasis 2000 mengamankan jalan internal dengan membangun terowongan IPSec untuk internal server memberikan pelayanan kepada klien eksternal).

Windows 2000 IPSec penerowongan tidak didukung untuk klien VPN menggunakan akses remote karena IPSec IETF RFC saat ini tidak menyediakan solusi akses remote dalam protokol Internet Key Exchange (IKE) untuk sambungan klien untuk gerbang. IETF RFC 2661 untuk Layer 2 Tunneling Protocol (L2TP) adalah khusus dikembangkan oleh Cisco, Microsoft, dan lain-lain dengan tujuan untuk menyediakan klien sambungan VPN akses remote. Pada Windows 2000, akses remote klien VPN sambungan terlindung dengan menggunakan kebijakan IPSec otomatis yang menggunakan IPSec transportasi mode (tidak terowongan mode) ketika L2TP terowongan type adalah dipilih.

Windows 2000 IPSec penerowongan juga tidak mendukung protokol dan terowongan pelabuhan khusus. Sementara Microsoft Management Console Kebijakan IPSec (MMC) snap-in sangat umum dan memungkinkan Anda untuk menghubungkan semua jenis filter dengan sebuah terowongan, pastikan Anda menggunakan hanya informasi alamat di Spesifikasi filter aturan terowongan.

Rincian tentang bagaimana Protokol IPSec dan IKE kerja dapat ditemukan di Kit sumber daya Microsoft Windows 2000 dan di Windows 2000 IPSec end-to-end walkthrough. Informasi tentang di mana Anda dapat menemukan ini dokumen disertakan pada akhir ini artikel.

Artikel ini menjelaskan cara mengkonfigurasi IPSec terowongan pada Windows 2000 gateway. Karena terowongan IPSec mengamankan hanya lalu lintas yang ditentukan dalam IPSec filter Anda mengkonfigurasi, artikel ini juga menjelaskan bagaimana mengkonfigurasi penyaring dalam Routing dan layanan akses jauh (RRAS) untuk mencegah lalu lintas di luar terowongan dari menerima atau diteruskan. Artikel ini menguraikan skenario berikut untuk membuatnya mudah untuk mengikuti konfigurasi langkah-langkah: 
   NetA - Windows 2000 gateway --- Internet --- third-party gateway - NetB
        W2KintIP     W2KextIP         3rdExtIP               3rdIntIP
NetA adalah ID jaringan jaringan internal gateway Windows 2000.

W2KintIP alamat IP ditugaskan untuk adaptor jaringan internal gateway Windows 2000.

W2KextIP alamat IP ditugaskan untuk adaptor jaringan eksternal gateway Windows 2000.

3rdExtIP alamat IP ditugaskan untuk adaptor jaringan eksternal gateway pihak ketiga.

3rdIntIP alamat IP ditugaskan untuk adaptor jaringan internal gateway pihak ketiga.

NetB adalah ID jaringan jaringan internal gateway pihak ketiga.
Tujuannya adalah untuk Windows 2000 gateway dan pihak ketiga Gateway untuk membangun terowongan IPSec ketika lalu lintas dari NetA perlu akan Dialihkan NetB atau ketika lalu lintas dari NetB perlu diteruskan ke NetA jadi lalu lintas adalah diteruskan selama sesi aman.

Anda perlu mengkonfigurasi kebijakan IPSec. Anda harus membangun dua filter; satu untuk mencocokkan paket akan dari NetA NetB (terowongan 1), dan satu untuk mencocokkan paket akan dari NetB NetA (terowongan 2). Anda perlu mengkonfigurasi penyaring tindakan untuk menentukan bagaimana terowongan harus diamankan (sebuah terowongan diwakili oleh aturan, jadi dua aturan dibuat).
Kembali ke atas

Cara membuat kebijakan IPSec

Biasanya, gerbang Windows 2000 bukanlah anggota domain, jadi kebijakan IPSec lokal dibuat. Jika Windows 2000 gateway adalah anggota domain yang telah diterapkan untuk semua anggota domain secara default, kebijakan IPSec Hal ini mencegah pintu gerbang Windows 2000 dari memiliki kebijakan IPSec lokal. Dalam Hal ini, Anda dapat membuat Unit organisasi (OU) di Active Directory, membuat gerbang Windows 2000 anggota OU ini, dan menetapkan kebijakan IPSec untuk Objek kebijakan grup (GPO) ou. Untuk informasi lebih lanjut, lihat "Menetapkan kebijakan IPSec" bagian dari Windows 2000 bantuan online.
  1. Penggunaan MMC untuk bekerja pada manajemen kebijakan keamanan IP snap-in (cara cepat untuk memuat ini adalah klik Mulai, klik Menjalankan, kemudian ketik secpol.MSC).
  2. Klik kanan Kebijakan keamanan IP pada lokal Mesin, lalu klik Membuat kebijakan keamanan IP.
  3. Klik Berikutnya, kemudian ketik nama untuk kebijakan Anda (misalnya, IPSec Tunnel dengan pihak ketiga Gateway).

    CATATAN: Anda juga bisa mengetik informasi lebih lanjut dalam Deskripsi kotak.
  4. Klik untuk menghapus Mengaktifkan respon default aturan Periksa kotak, dan kemudian klik Berikutnya.
  5. Klik Menyelesaikan (terus Mengedit Pilih kotak centang).
CATATAN: Kebijakan IPSec dibuat dengan pengaturan default untuk IKE utama mode (tahap 1) pada General tab, dalam Pertukaran kunci. Terowongan IPSec terdiri dari dua aturan, masing-masing yang menentukan endpoint terowongan. Karena ada dua terowongan Endpoint, ada dua aturan. Filter di setiap aturan harus mewakili alamat IP sumber dan tujuan dalam paket IP yang dikirim ke aturan bahwa terowongan endpoint.
Kembali ke atas

Cara membuat daftar Filter dari NetA untuk NetB

  1. Dalam sifat-sifat kebijakan baru, klik untuk mengosongkan Penggunaan menambahkan Wizard Periksa kotak, dan kemudian klik Tambahkan untuk membuat aturan baru.
  2. Pada IP saringan tab, klik Tambahkan.
  3. Ketik nama yang sesuai untuk daftar filter, klik untuk jelas Penggunaan menambahkan Wizard Periksa kotak, dan kemudian klik Tambahkan.
  4. Dalam Alamat sumber daerah, klikSubnet IP tertentu, dan kemudian mengisi Alamat IP dan Subnet mask kotak untuk mencerminkan NetA.
  5. Dalam Alamat tujuan daerah, klikSubnet IP tertentu, dan mengisi Alamat IP dan Subnet mask kotak untuk mencerminkan NetB.
  6. Klik untuk menghapus Cermin kotak centang.
  7. Pada Protokol tab, memastikan jenis protokol Setiap, karena IPSec terowongan tidak mendukung protokol khusus atau pelabuhan khusus filter.
  8. Jika Anda ingin ketik keterangan filter, klik The Deskripsi tab. Hal ini umumnya ide yang baik untuk memberikan filter nama yang sama Anda digunakan untuk daftar penyaring. Nama Penyaring ditampilkan di IPSec monitor Ketika terowongan aktif.
  9. Klik Oke, lalu klik Tutup.
Kembali ke atas

Cara membuat daftar Filter dari NetB untuk NetA

  1. Pada IP saringan tab, klik Tambahkan.
  2. Ketik nama yang sesuai untuk daftar filter, klik untuk jelas Penggunaan menambahkan Wizard Periksa kotak, dan kemudian klik Tambahkan.
  3. Dalam Alamat sumber daerah, klikSubnet IP tertentu, dan kemudian mengisi Alamat IP dan Subnet mask kotak untuk mencerminkan NetB.
  4. Dalam Alamat tujuan daerah, klikSubnet IP tertentu, dan mengisi Alamat IP dan Subnet mask kotak untuk mencerminkan NetA.
  5. Klik untuk menghapus Cermin kotak centang.
  6. Jika Anda ingin ketik keterangan filter, klik The Deskripsi tab.
  7. Klik Oke, lalu klik Tutup.
Kembali ke atas

Cara mengkonfigurasi aturan untuk terowongan NetA-NetB

  1. Pada IP saringan tab, klik daftar penyaring yang Anda buat.
  2. Pada Terowongan pengaturan tab, klik Terowongan endpoint ditentukan oleh alamat IP ini kotak, dan kemudian ketik3rdextip (di mana3rdextip alamat IP ditugaskan untuk adapter jaringan eksternal pihak ketiga gateway).
  3. Pada Jenis sambungan tab, klik Semua sambungan jaringan (atau klikSambungan LAN Jika W2KextIP bukan ISDN, PPP, atau langsung menghubungkan serial koneksi).
  4. Pada Penyaring tindakan tab, klik untuk menghapus Penggunaan menambahkan Wizard Periksa kotak, dan kemudian klik Tambahkan untuk membuat penyaring tindakan baru karena tindakan bawaan memungkinkan lalu lintas yang masuk di jelas.
  5. Tetap Bernegosiasi keamanan pilihan diaktifkan, dan klik untuk menghapus Menerima komunikasi yang tidak aman, tetapi selalu menanggapi menggunakan IPSec kotak centang. Anda harus melakukan hal ini untuk memastikan operasi yang aman.

    CATATAN: Tidak ada kotak centang di bagian bawah Penyaring tindakan kotak dialog harus diperiksa sebagai konfigurasi awal untuk Penyaring tindakan yang berlaku untuk terowongan aturan. Hanya Kerahasiaan maju sempurna (PFS) kotak centang adalah sah pengaturan untuk terowongan jika ujung terowongan juga dikonfigurasi untuk menggunakan PFS. Dua kotak centang ini tidak sah untuk terowongan penyaring tindakan.
  6. Klik Tambahkan, dan tetap Tinggi (ESP) opsi yang dipilih (atau Anda dapat memilih Custom (untuk ahli pengguna) pilihan jika Anda ingin mendefinisikan algoritma tertentu dan sesi tahan kunci). Encapsulating keamanan muatan (ESP) adalah salah satu dari dua IPSec protokol.
  7. Klik Oke. Pada General tab, ketik sebuah nama untuk aksi penyaring baru (misalnya, IPSec terowongan: ESP DES/MD5), lalu klik Oke.
  8. Pilih penyaring tindakan yang baru saja Anda buat.
  9. Pada Metode otentikasi tab, mengkonfigurasi metode otentikasi yang Anda inginkan (menggunakan preshared kunci untuk pengujian, jika tidak, menggunakan sertifikat). Kerberos teknis mungkin Jika kedua ujung terowongan di domain yang terpercaya, dan yang dipercaya domain IP alamat (alamat IP pengendali domain) dicapai pada jaringan oleh kedua ujung terowongan selama negosiasi IKE terowongan (sebelum didirikan). Ini adalah kasus langka.
  10. Klik Tutup.
Kembali ke atas

Cara mengkonfigurasi aturan untuk terowongan NetB NetA

  1. Pada IPSec kebijakan properti, klik Tambahkan untuk membuat aturan baru.
  2. Pada IP saringan tab, klik daftar penyaring yang Anda buat (dari NetB untuk NetA).
  3. Pada Terowongan pengaturan tab, klik Terowongan endpoint ditentukan oleh IP ini Alamat kotak, dan kemudian ketikw2kextip (di manaw2kextip alamat IP ditetapkan untuk Windows 2000 gateway eksternal adaptor jaringan).
  4. Pada Jenis sambungan tab, klik Semua sambungan jaringan (atau klikSambungan LAN Jika W2KextIP bukan ISDN, PPP, atau langsung menghubungkan serial koneksi). Lalu lintas keluar pada jenis antarmuka yang sesuai filter cuba dilintasi ke terowongan Endpoint ditetapkan dalam aturan. Lalu lintas masuk yang sesuai dengan filter dibuang karena itu harus menerima aman oleh terowongan IPSec.
  5. Pada Penyaring tindakan tab, klik penyaring tindakan yang Anda buat.
  6. Pada Metode otentikasi tab, mengkonfigurasi metode yang sama digunakan dalam aturan pertama (sama metode harus digunakan dalam kedua aturan).
  7. Klik Tutup, pastikan kedua aturan yang Anda buat diaktifkan pada kebijakan Anda, dan kemudian klik Tutup.
Kembali ke atas

Cara menetapkan kebijakan IPSec Anda baru untuk Anda Windows 2000 Gateway

Dalam kebijakan keamanan IP pada lokal mesin snap-in MMC, Klik kanan kebijakan baru Anda, dan kemudian klik Menetapkan. Panah hijau muncul dalam folder icon sebelah kebijakan Anda.

Setelah kebijakan Anda ditetapkan, Anda memiliki dua tambahan aktif filter (RRAS secara otomatis membuat IPSec filter untuk L2TP lalu lintas). Untuk melihat filter aktif, ketik perintah berikut pada prompt perintah:
netdiag /test:ipsec /debug
Anda dapat mengarahkan output perintah ini opsional untuk teks berkas sehingga Anda dapat melihat dengan editor teks (seperti Notepad) dengan mengetik perintah berikut:
netdiag /test:ipsec /debug mengatakan nama berkas.txt
The Netdiag perintah tersedia setelah Anda menginstal Microsoft Windows 2000 Kit sumber daya, yang dapat Anda instal dari Windows 2000 CD-ROM. Untuk menginstal kit, menemukan Dukungan\Alat, dan kemudian klik dua kali Setup.exe file. Setelah instalasi, Anda mungkin perlu untuk menjalankan Netdiag perintah dari folder Files\Support alat %SystemRoot%\Program (di mana % SystemRoot % adalah pengandar di mana Windows 2000 diinstal).

Filter terowongan terlihat serupa dengan contoh berikut:
Lokal IPSec kebijakan aktif: 'IPSec tunnel dengan {terowongan endpoint}' jalan kebijakan keamanan IP:
SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {- longnumber-}

Ada dua filter
Dari NetA untuk NetB
Penyaring ID: {- angka-}
Kebijakan ID: {- angka-}
IPSEC_POLICY PolicyId = {- angka-}
Bendera: 0x0
Terowongan Addr: 0.0.0.0
Tahap 2 menawarkan Count = 1
Penawaran # 0:
ESP [DES MD5 HMAC]
Rekey: detik 0/0 bytes.
OTENTIKASI INFO Count = 1
Metode = Preshared kunci: - sebenarnya kunci -
Src Addr: NetA Src Mask: - subnet mask -
Dest / Addr: Dest / NetB Mask: - subnet mask -
Terowongan Addr: 3rdExtIP Src Port: 0 dest / Port: 0
Protokol: 0 TunnelFilter: Ya
Bendera: keluar
Dari NetB untuk NetA
Penyaring ID: {- angka-}
Kebijakan ID: {- angka-}
IPSEC_POLICY PolicyId = {- angka-}
Bendera: 0x0
Terowongan Addr: 0.0.0.0
Tahap 2 menawarkan Count = 1
Penawaran # 0:
ESP [DES MD5 HMAC]
Rekey: detik 0/0 bytes.
OTENTIKASI INFO Count = 1
Metode = Preshared kunci: - sebenarnya kunci -
Src Addr: NetB Src Mask: - subnet mask -
Dest / Addr: NetA dest / Mask: - subnet mask -
Terowongan Addr: W2KextIP Src Port: 0 dest / Port: 0
Protokol: 0 TunnelFilter: Ya
Bendera: masuk
Kembali ke atas

Cara mengkonfigurasi RRAS penyaringan

Jika Anda ingin mencegah lalu lintas yang tidak memiliki sumber atau alamat tujuan pencocokan NetA atau NetB, buat filter output untuk antarmuka eksternal di RRAS MMC sehingga tetes semua lalu lintas kecuali paket dari NetA NetB, dan penyaring masukan sehingga tetes semua lalu lintas kecuali paket dari NetB untuk NetA. Anda juga perlu untuk membolehkan lalu lintas ke/dari W2KextIP dan 3rdExtIP untuk memungkinkan IKE negosiasi terowongan yang sedang dibuat. RRAS penyaringan adalah dilakukan di atas IPSec, Anda tidak harus memungkinkan protokol IPSec karena itu tidak pernah mencapai lapisan filter paket IP. Contoh berikut adalah sangat penggambaran sederhana arsitektur Windows 2000 TCP/IP:
Lapisan aplikasi
Lapisan transportasi (TCP|UDP|ICMP|MENTAH)
----Jaringan lapisan awal----
IP Packet Filter (di mana NAT/RRAS penyaringan dilakukan)
IPSec (di mana IPSec filter diimplementasikan)
Fragmentasi/Reassembly
----Jaringan lapisan akhir------
NDIS antarmuka
Datalink lapisan
Lapisan fisik
Untuk mengkonfigurasi penyaring di RRAS, memuat RRAS MMC dan menggunakan langkah-langkah berikut:
  1. Memperluas pohon server Anda di bawah Routing dan Remote akses, memperluas IP Routing sub pohon, dan kemudian klik General.
  2. Klik kanan W2KextIP, lalu klik Properti.
  3. Klik Filter output, lalu klik Tambahkan.
  4. Klik untuk memilih Sumber jaringan danTujuan jaringan kotak centang.
  5. Dalam Sumber jaringan daerah, mengisiAlamat IP dan Subnet mask kotak untuk mencerminkan NetA.
  6. Dalam Tujuan jaringan daerah, mengisi The Alamat IP dan Subnet mask kotak mencerminkan NetB.
  7. Menjaga protokol yang mengatur Setiap, lalu klik Oke.
  8. Klik Tambahkan, dan kemudian klik untuk memilih Sumber jaringan danTujuan jaringan kotak centang.
  9. Dalam Sumber jaringan daerah, mengisiAlamat IP dan Subnet mask kotak untuk mencerminkanW2KextIP.
  10. Dalam Tujuan jaringan daerah, mengisi The Alamat IP dan Subnet mask kotak mencerminkan 3rdExtIP (untuk IKE negosiasi menggunakan subnet topeng 255.255.255.255).
  11. Menjaga protokol yang mengatur Setiap, lalu klik Oke.
  12. Klik untuk memilih Drop paket semua kecuali yang yang memenuhi kriteria di bawah ini Periksa kotak, dan kemudian klik Oke.
  13. Klik Masukan filter, klik Tambahkan, dan kemudian klik untuk memilih Sumber jaringan danTujuan jaringan kotak centang.
  14. Dalam Sumber jaringan daerah, mengisiAlamat IP dan Subnet mask kotak untuk mencerminkan NetB.
  15. Dalam Tujuan jaringan daerah, mengisi The Alamat IP dan Subnet mask kotak mencerminkan NetA.
  16. Menjaga protokol yang mengatur Setiap, lalu klik Oke.
  17. Klik Tambahkan, dan kemudian klik untuk memilih Sumber jaringan danTujuan jaringan kotak centang.
  18. Dalam Sumber jaringan daerah, mengisiAlamat IP dan Subnet mask kotak untuk mencerminkan3rdExtIP.
  19. Dalam Tujuan jaringan daerah, mengisi The Alamat IP dan Subnet mask kotak mencerminkan W2KextIP (atau IKE negosiasi menggunakan subnet mask dari 255.255.255.255).
  20. Menjaga protokol yang mengatur Setiap, lalu klik Oke.
  21. Klik untuk memilih Drop paket semua kecuali yang yang memenuhi kriteria di bawah ini Periksa kotak, dan kemudian klik Oke dua kali.
CATATAN: Jika RRAS server memiliki lebih dari satu antarmuka yang terhubung ke Internet, atau jika Anda memiliki beberapa IPSec terowongan, ketik RRAS membebaskan filter untuk setiap IPSec terowongan (setiap sumber dan tujuan subnet IP) untuk setiap Internet antarmuka.
Kembali ke atas

Cara mengkonfigurasi rute statis di RRAS

Windows 2000 gateway harus memiliki rute dalam tabel rute untuk NetB, Anda dapat mengkonfigurasi dengan menambahkan rute statis di RRAS MMC. Jika gerbang Windows 2000 adalah multihomed dengan dua atau lebih adapter jaringan pada jaringan eksternal yang sama (atau dua atau lebih jaringan yang dapat mencapai tujuan terowongan IP 3rdExtIP), ada potensi untuk berikut:
  • Lalu lintas terowongan keluar daun pada satu antarmuka, dan inbound terowongan lalu lintas yang diterima pada antarmuka yang berbeda. Bahkan jika Anda menggunakan IPSec offload adapter jaringan, menerima pada antarmuka yang berbeda (daripada lalu lintas terowongan keluar dikirim) tidak memungkinkan jaringan menerima adaptor untuk proses enkripsi di hardware, karena hanya keluar antarmuka mendapat offload keamanan Association (SA).
  • Lalu lintas terowongan keluar daun pada antarmuka yang berbeda dari antarmuka yang memiliki alamat IP endpoint terowongan. The sumber IP paket terobosan akan menentukan adalah sumber IP pada antarmuka keluar. Jika Hal ini tidak IP sumber yang diharapkan oleh ujung, terowongan bukanlah didirikan (atau paket dijatuhkan oleh endpoint terpencil jika terowongan telah ditetapkan).
Untuk mengatasi masalah mengirimkan lalu lintas terowongan keluar salah antarmuka, menentukan rute statis untuk mengikat lalu lintas untuk NetB untuk antarmuka eksternal yang sesuai:
  1. Dalam RRAS MMC, memperluas pohon server Anda, memperluas IP Routing subtree, klik kanan Rute statis, lalu klik Rute statis yang baru.
  2. Dalam Antarmuka daerah, klik W2KextIP (jika ini adalah antarmuka yang ingin selalu digunakan untuk keluar lalu lintas terowongan).
  3. Mengisi Tujuan dan Jaringan Mask kotak untuk mencerminkan NetB.
  4. Dalam Gerbang kotak, jenis3rdextip.
  5. Tetap Metrik nilai untuk nilai (1), dan kemudian klik Oke.
CATATAN: Untuk mengatasi masalah menerima lalu lintas terowongan inbound pada antarmuka yang salah, tidak mengiklankan alamat IP antarmuka menggunakan routing protokol dan mengkonfigurasi penyaring dalam RRAS untuk menjatuhkan paket untuk NetA atau W2KextIP seperti ditunjukkan dalam "bagaimana untuk mengkonfigurasi RRAS Penyaringan"bagian dari artikel ini.
Kembali ke atas

Pengujian IPSec Tunnel

Anda dapat memulai terowongan oleh ping dari komputer di NetA untuk komputer di NetB (atau dari NetB untuk NetA). Jika Anda membuat filter dengan benar dan diberikan kebijakan yang tepat, iptables membangun terowongan IPSec jadi mereka dapat mengirimkan lalu lintas ICMP dari ping perintah dalam format terenkripsi.

Bahkan jika ping perintah bekerja, Anda harus memastikan bahwa lalu lintas ICMP dikirim dalam dienkripsi format dari gateway untuk gerbang. Anda dapat menggunakan alat berikut untuk mencapai hal ini.

Mengaktifkan audit untuk Logon acara dan objek akses

Ini log peristiwa pada log Keamanan memberitahu Anda jika IKE Keamanan Asosiasi negosiasi dilakukan, dan jika ini berhasil atau tidak.
  1. Menggunakan snap-in MMC kebijakan grup, memperluas Kebijakan komputer lokal, dan pergi ke konfigurasi/Windows pengaturan/keamanan komputer Pengaturan/lokal kebijakan/Audit kebijakan.
  2. Mengaktifkan keberhasilan dan kegagalan audit untuk "Audit logon peristiwa"dan"Audit objek akses."
CATATAN: Jika gerbang Windows 2000 adalah anggota domain dan jika Anda menggunakan domain kebijakan untuk audit, domain kebijakan menimpa lokal Anda kebijakan. Dalam kasus ini, mengubah domain kebijakan.

Monitor Keamanan IP

Alat ini menunjukkan statistik IPSec dan SAs aktif. Setelah Anda berupaya membangun terowongan menggunakan ping perintah, Anda dapat melihat apakah SA diciptakan (jika penciptaan terowongan adalah sukses, SA ditampilkan). Jika ping perintah berhasil tapi ada tidak ada SA, ICMP lalu lintas tidak dilindungi oleh IPSec. Jika Anda melihat "Asosiasi lembut" yang melakukan tidak sebelumnya ada, maka IPSec setuju untuk mengizinkan lalu lintas ini terus jelas (tanpa enkripsi).

Untuk me-load IP keamanan Monitor, klik Mulai, klik Menjalankan, kemudian ketik ipsecmon.

Monitor Jaringan

Anda dapat menggunakan Monitor Jaringan untuk menangkap lalu lintas akan melalui W2KextIP antarmuka saat Anda mencoba untuk melakukan ping ke komputer. Jika Anda dapat melihat paket ICMP menangkap dengan sumber dan alamat IP tujuan sesuai dengan alamat IP komputer dari yang Anda ping dan komputer Anda mencoba untuk melakukan ping ke, maka IPSec adalah tidak melindungi lalu lintas. Jika Anda tidak melihat lalu lintas ICMP ini tapi melihat ISAKMP dan paket ESP sebaliknya, IPSec melindungi lalu lintas. Jika Anda menggunakan hanya Otentikasi protokol IPSec Header (AH), Anda akan melihat lalu lintas ISAKMP diikuti oleh ICMP paket. ISAKMP paket yang sebenarnya IKE negosiasi berlangsung, dan paket ESP adalah muatan data dienkripsi oleh IPSec protokol.

Anda dapat menginstal Monitor Jaringan dari Windows 2000 Server CD-ROM. Ianya tidak tersedia pada Windows 2000 Professional CD-ROM, tetapi Anda dapat menginstal alat ini pada komputer yang menjalankan Windows 2000 Professional jika Anda memiliki Server manajemen sistem Microsoft (SMS).

Untuk tambahan informasi tentang menginstal Monitor Jaringan pada Windows 2000, klik sejumlah artikel berikut untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
243270  (http://support.microsoft.com/kb/243270/ ) Cara menginstal Monitor Jaringan pada Windows 2000

Pengujian yang sebenarnya

  1. Sebelum Anda mencoba untuk melakukan ping dari komputer pada subnet satu untuk (NetA atau NetB), jenis lain ipconfig perintah prompt. Antarmuka jaringan yang diinisialisasi di TCP/IP stack adalah ditampilkan.
  2. Menjalankan alat IP keamanan Monitor.
  3. Memuat Monitor Jaringan, klik Menangkap/jaringan, lalu klik antarmuka W2KextIP (Anda dapat mulai menangkap dengan mengklik Menangkap/Start).
  4. Usaha untuk melakukan ping komputer. Paket-paket gema ICMP pertama mungkin waktu sementara IPSec terowongan dibangun. Jika usaha ping tidak sukses, periksa log keamanan dan sistem.
  5. Jika ping usaha ini berhasil, berhenti Monitor Jaringan menangkap dan melihat jika lalu lintas ICMP melanjutkan jelas atau jika Anda hanya melihat ISAKMP dan IPSec protokol paket. Periksa IP keamanan Monitor untuk melihat apakah SA dibuat menggunakan NetA ke filter NetB yang Anda buat. Juga memeriksa keamanan log. Anda harus melihat acara ID 541 (IKE keamanan Asosiasi didirikan).
  6. Jenis ipconfig pada prompt perintah lagi sehingga Anda melihat bahwa ada tidak ada tambahan TCP/IP antarmuka sementara terowongan terserah. Hal ini karena IPSec adalah benar-benar melindungi lalu lintas yang akan melalui (antarmuka fisikW2KextIP).
Jika gerbang jauh juga node Windows 2000, perlu diingat informasi berikut:
  • Gateway default untuk klien di NetA harusW2KextIP; gateway default untuk klien di NetB harus 3rdIntIP.
  • Terowongan IPSec tidak mengubah cara lalu lintas diarahkan di gerbang Windows 2000 (yang mampu rute paket karena routing diaktifkan di RRAS; sebenarnya LAN atau WAN antarmuka metrik yang masih digunakan.
Catatan IPSec terowongan modus tidak bekerja secara langsung dengan endpoint yang menjalankan Network Address Translation (NAT) atau Microsoft Internet Security Acceleration Server (ISA). Untuk informasi tambahan tentang pembatasan ini, klik sejumlah artikel berikut untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
314764  (http://support.microsoft.com/kb/314764/ ) Menggunakan Internet protokol keamanan dengan Network Address Translation and Internet keamanan Acceleration Server
Untuk informasi lebih lanjut tentang RRAS, lihat Windows 2000 Tolong. Akses ke bantuan online, kunjungi Web site Microsoft berikut:
http://technet.Microsoft.com/en-US/windowsserver/2000/bb735359.aspx (http://technet.microsoft.com/en-us/windowsserver/2000/bb735359.aspx)
Anda dapat menemukan Resource Kit Windows 2000, walkthroughs, dan dokumentasi teknis lain pada Website Microsoft berikut:
http://technet.Microsoft.com/en-US/windowsserver/2000/default.aspx (http://technet.microsoft.com/en-us/windowsserver/2000/default.aspx)
Untuk informasi tambahan tentang asosiasi lembut, klik nomor artikel berikut ini untuk melihat artikel dalam Pengetahuan Microsoft Base:
234580  (http://support.microsoft.com/kb/234580/ ) 'Asosiasi lembut' antara komputer berkemampuan IPSec dan non-IPSec-diaktifkan
Keterangan standar IETF, merujuk kepada situs Web yang sesuai: Microsoft menyediakan informasi kontak pihak ketiga untuk membantu Anda menemukan dukungan teknis. Informasi kontak ini dapat berubah tanpa pemberitahuan. Microsoft tidak menjamin keakuratan kontak pihak ketiga ini informasi.
Kembali ke atas
Berlaku bagi:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Kembali ke atas
Kata kunci: 
kb3rdparty kbhowto kbnetwork kbmt KB252735 KbMtid
Kembali ke atas
Penerjemahan MesinPenerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:252735  (http://support.microsoft.com/kb/252735/en-us/ )
Kembali ke atas