ID do artigo: 252735 - Última revisão: quarta-feira, 23 de agosto de 2006 - Revisão: 7.0

Como configurar o encapsulamento IPSec no Windows 2000

Exibir os produtos aos quais esse artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.

Nesta página

Expandir tudo | Recolher tudo

Sumário

É possível usar a IPSec (Segurança IP) no modo de encapsulamento para encapsular pacotes IP e, opcionalmente, criptografá-los. A principal razão de se usar o modo de encapsulamento IPSec (às vezes chamado de "encapsulamento IPSec puro") no Microsoft Windows 2000 está na interoperabilidade com roteadores ou gateways de terceiros que não são compatíveis com a tecnologia de encapsulamento L2TP/IPSec ou PPTP VPN (rede virtual privada).
Voltar para o início

Mais Informações

O Windows 2000 é compatível com o encapsulamento IPSec em situações nas quais os pontos de extremidade do encapsulamento têm endereços IP estáticos. Além de ser muito útil em implementações entre gateways, também pode funcionar em situações especializadas de segurança de rede entre um gateway/roteador e um servidor (como um roteador Windows 2000 roteando o tráfego a partir de sua interface externa para um computador com o Windows 2000, protegendo o caminho interno ao estabelecer um encapsulamento IPSec para o servidor interno que está fornecendo aos clientes externos).

O encapsulamento IPSec do Windows 2000 não é compatível com a VPN de acesso remoto do cliente, porque as RFCs IPSec IETF não oferecem, atualmente, uma solução de acesso remoto no protocolo IKE para conexões entre clientes e gateways. A RFC 2661 da IETF para o L2TP foi desenvolvida especialmente pela Cisco, pela Microsoft e por terceiros com o propósito de fornecer conexões VPN de acesso remoto do cliente. No Windows 2000, as conexões VPN de acesso remoto do cliente são protegidas usando uma diretiva IPSec gerada automaticamente, que usa o modo de transporte IPSec (não o modo de encapsulamento) quando o tipo de encapsulamento L2TP é selecionado.

O encapsulamento IPSec do Windows 2000 não é compatível com encapsulamentos de protocolos e portas específicos. Enquanto o snap-in de diretiva IPSec no MMC (Console de gerenciamento Microsoft) é bem amplo e permite que você associe qualquer tipo de filtro a um encapsulamento, verifique se você usa apenas as informações referentes ao endereço na especificação de um filtro para uma regra de encapsulamento.

Detalhes sobre como os protocolos IKE e IPSec funcionam podem ser localizados no Microsoft Windows 2000 Resource Kit e no walkthrough entre extremidades da IPSec do Windows 2000. As informações sobre onde é possível encontrar estes documentos estão incluídas no final deste artigo.

Este artigo explica como configurar um encapsulamento IPSec em um gateway do Windows 2000. Como o encapsulamento IPSec protege apenas o tráfego especificado nos filtros IPSec que você configura, este artigo também descreve como configurar filtros RRAS (Roteamento e acesso remoto) para evitar que o tráfego externo do encapsulamento seja recebido ou encaminhado. Este artigo destaca a seguinte situação para facilitar o acompanhamento das etapas de configuração: 
   RedeA - gateway do Windows 2000 --- Internet --- gateway de terceiros - RedeB
        W2KintIP     W2KextIP         3rdExtIP               3rdIntIP
RedeA é a identificação de rede da rede interna do gateway do Windows 2000.

W2KintIP é o endereço IP atribuído ao adaptador de rede interno do gateway do Windows 2000.

W2KextIP é o endereço IP atribuído ao adaptador de rede externo do gateway do Windows 2000.

3rdExtIP é o endereço IP atribuído ao adaptador de rede externo do gateway de terceiros.

3rdIntIP é o endereço IP atribuído ao adaptador de rede interno do gateway de terceiros.

RedeB é a identificação de rede da rede interna do gateway de terceiros.
O objetivo é para que tanto o gateway do Windows 2000 quanto o de terceiros estabeleçam um encapsulamento IPSec quando o tráfego da RedeA precisar ser roteado para a RedeB, ou quando o tráfego da RedeB precisar ser roteado para a RedeA, de forma que o tráfego seja roteado em uma sessão segura.

É necessário configurar uma diretiva IPSec. É necessário criar dois filtros: um para os pacotes que saem da RedeA para a RedeB (encapsulamento 1) e um para os pacotes que saem da RedeB para a RedeA (encapsulamento 2). É necessário configurar uma ação de filtro para especificar como o encapsulamento deve ser protegido (um encapsulamento é representado por uma regra, por isso são criadas duas regras).
Voltar para o início

Como criar a diretiva IPSec

Normalmente, um gateway do Windows 2000 não é membro de um domínio, por isso uma diretiva IPSec local é criada. Se o gateway do Windows 2000 for membro de um domínio que tenha, por padrão, a diretiva IPSec aplicada a todos os seus membros, isto evitará que o gateway do Windows 2000 tenha uma diretiva IPSec local. Neste caso, é possível criar uma unidade organizacional no Active Directory, tornar o gateway do Windows 2000 um membro desta unidade organizacional e atribuir a diretiva IPSec ao GPO (Objeto de diretiva de grupo) da unidade organizacional. Para obter mais informações, consulte a seção "Atribuindo a diretiva IPSec" na ajuda online do Windows 2000.
  1. Use o MMC para trabalhar no snap-in de Gerenciamento de diretivas de segurança IP (uma maneira rápida de carregá-lo é clicar em Iniciar, em Executar e digitar secpol.msc).
  2. Clique com o botão direito do mouse em Diretivas de segurança IP em máquina local e clique em Criar diretiva de segurança IP.
  3. Clique em Avançar e digite um nome para a diretiva (por exemplo, Encapsulamento IPSec com gateway de terceiros).

    OBSERVAÇÃO: Você também pode inserir mais informações na caixa Descrição.
  4. Desmarque a caixa de seleção Ativar a regra de resposta padrão e clique em Avançar.
  5. Clique em Concluir (mantenha a caixa de seleção Editar selecionada).
OBSERVAÇÃO: A diretiva IPSec é criada usando as configurações padrão para o modo IKE principal (fase 1) na guia Geral, em Intercâmbio de chaves. O encapsulamento IPSec consiste em duas regras, cada uma delas especificando um ponto de extremidade final do encapsulamento. Como há dois pontos de extremidade final do encapsulamento, há duas regras. Os filtros de cada regra devem representar os endereços IP de origem e de destino nos pacotes IP enviados para essa regra do ponto de extremidade final do encapsulamento.
Voltar para o início

Como criar uma lista de filtros da RedeA para a RedeB

  1. Nas propriedades da nova diretiva, desmarque a caixa de seleção Usar o assistente para adicionar e clique em Adicionar para criar uma nova regra.
  2. Na guia Lista de filtros IP, clique em Adicionar.
  3. Digite um nome apropriado para a lista de filtros, desmarque a caixa de seleção Usar o Assistente para adicionar e clique em Adicionar.
  4. Na área Endereço de origem, clique em Uma sub-rede IP específica e preencha as caixas Endereço IP e Máscara de sub-rede de acordo com a RedeA.
  5. Na área Endereço de destino, clique em Uma sub-rede IP específica e preencha as caixas Endereço IP e Máscara de sub-rede de acordo com a RedeB.
  6. Desmarque a caixa de seleção Espelhado.
  7. Na guia Protocolo, verifique se o tipo de protocolo está definido para Qualquer endereço IP, já que os encapsulamentos IPSec não são compatíveis com os filtros de protocolo ou de porta específicos.
  8. Se você quiser digitar uma descrição para o filtro, clique na guia Descrição. Dar ao filtro o mesmo nome usado para a lista de filtros costuma ser muito útil. O nome do filtro é exibido no monitor IPSec quando o encapsulamento estiver ativo.
  9. Clique em OK e em Fechar.
Voltar para o início

Como criar uma lista de filtros da RedeB para a RedeA

  1. Na guia Lista de filtros IP, clique em Adicionar.
  2. Digite um nome apropriado para a lista de filtros, desmarque a caixa de seleção Usar o Assistente para adicionar e clique em Adicionar.
  3. Na área Endereço de origem, clique em Uma sub-rede IP específica e preencha as caixas Endereço IP e Máscara de sub-rede de acordo com a RedeB.
  4. Na área Endereço de destino, clique em Uma sub-rede IP específica e preencha as caixas Endereço IP e Máscara de sub-rede de acordo com a RedeA.
  5. Desmarque a caixa de seleção Espelhado.
  6. Se você quiser digitar uma descrição para o filtro, clique na guia Descrição.
  7. Clique em OK e em Fechar.
Voltar para o início

Como configurar uma regra para um encapsulamento entre as redes A e B

  1. Na guia Lista de filtros IP, clique na lista de filtros que você criou.
  2. Na guia Configuração de encapsulamento, clique na caixa A extremidade do encapsulamento é especificada por este endereço IP e digite 3rdextip (no qual 3rdextip é o endereço IP atribuído ao adaptador de rede externo do gateway de terceiros).
  3. Na guia Tipo de conexão, clique em Todas as conexões de rede (ou clique em Rede local (LAN) caso W2KextIP não seja ISDN, PPP ou conexão serial direta).
  4. Na guia Ação de filtro, desmarque a caixa de seleção Usar o Assistente para adicionar e clique em Adicionar para criar uma nova ação de filtro, já que as ações padrão permitem o tráfego enquanto desmarca.
  5. Mantenha a opção Exigir segurança habilitada e desmarque a caixa de seleção Aceitar comunicação não segura, mas sempre responder usando IPSec. É necessário fazer isso para assegurar uma operação segura.

    OBSERVAÇÃO: Nenhuma das caixas de seleção na parte inferior da caixa de diálogo Ação de filtro deve ser marcada como configuração inicial para uma ação de filtro que se aplique às regras de encapsulamento. Apenas a caixa de seleção Sigilo total na transferência de chave mestre (PFS) é uma configuração válida para os encapsulamentos se a outra extremidade do encapsulamento também estiver configurada para usar PFS. As outras duas caixas de seleção não são válidas para ações de filtro do encapsulamento.
  6. Clique em Adicionar e mantenha a opção Alta (ESP) selecionada (ou você pode selecionar a opção Personalizada (para usuários avançados) caso queira definir algoritmos específicos e tempo de vida útil das sessões principais). O protocolo ESP é um dos dois protocolos IPSec.
  7. Clique em OK. Na guia Geral, digite um nome para a nova ação de filtro (por exemplo, encapsulamento de segurança IP: ESP DES/MD5) e clique em OK.
  8. Selecione a ação de filtro que você acabou de criar.
  9. Na guia Métodos de autenticação, configure o método de autenticação desejado (use a chave pré-compartilhada para testar; caso contrário, use os certificados). Kerberos é tecnicamente possível se ambas as extremidades do encapsulamento estiverem em domínios confiáveis e o endereço IP confiável do domínio (endereço IP de um controlador de domínio) puder ser alcançado na rede por ambas as extremidades do encapsulamento durante a negociação IKE do encapsulamento (antes que ele seja estabelecido). Este é um caso raro.
  10. Clique em Fechar.
Voltar para o início

Como configurar uma regra para um encapsulamento entre as redes B e A

  1. Nas propriedades da diretiva IPSec, clique em Adicionar para criar uma nova regra.
  2. Na guia Lista de filtros IP, clique na lista de filtros que você criou (da RedeB para a RedeA).
  3. Na guia Configuração de encapsulamento, clique na caixa A extremidade do encapsulamento é especificada por este endereço IP e digite w2kextip (no qual w2kextip é o endereço IP atribuído ao adaptador de rede externo do gateway do Windows 2000).
  4. Na guia Tipo de conexão, clique em Todas as conexões de rede (ou clique em Rede local (LAN) caso W2KextIP não seja ISDN, PPP ou conexão serial direta). Qualquer tráfego de saída no tipo de interface que corresponda aos filtros tenta ser encapsulado para o ponto de extremidade final de encapsulamento especificado na regra. O tráfego de entrada que corresponde aos filtros é descartado, porque ele deve ser recebido de forma segura por um encapsulamento IPSec.
  5. Na guia Ação de filtro, clique na ação de filtro que você criou.
  6. Na guia Métodos de autenticação, configure o mesmo método usado na primeira regra (é necessário usar o mesmo método nas duas regras).
  7. Clique em Fechar, verifique se as duas regras criadas estão habilitadas na diretiva e clique em Fechar.
Voltar para o início

Como atribuir sua nova diretiva IPSec ao gateway do Windows 2000

Nas diretivas de segurança IP no snap-in MMC do computador local, clique com o botão direito do mouse na nova diretiva e clique em Atribuir. Uma seta verde aparece no ícone de pasta próximo à diretiva.

Após a atribuição da diretiva, você tem dois filtros ativos adicionais (o RRAS cria automaticamente filtros IPSec para o tráfego L2TP). Para consultar os filtros ativos, digite o seguinte comando em um prompt de comando:
netdiag /test:ipsec /debug
Também é possível redirecionar a saída deste comando para um arquivo de texto para que você possa exibi-la em um editor de textos (como o Bloco de notas), digitando o seguinte comando:
netdiag /test:ipsec /debug > nome_do_arquivo.txt
O comando netdiag fica disponível após a instalação do Microsoft Windows 2000 Resource Kit, que pode ser instalado a partir do CD-ROM do Windows 2000. Para instalar o kit, localize a pasta Support\Tools e clique duas vezes no arquivo Setup.exe. Após a instalação, pode ser necessário executar o comando netdiag a partir da pasta %SystemRoot%\Arquivos de programas\Support Tools (em que %SystemRoot% é a unidade na qual o Windows 2000 está instalado).

Os filtros de encapsulamento são similares aos do seguinte exemplo:
Ativação da diretiva IPSec local: 'Encapsulamento IPSec com {ponto de extremidade final do encapsulamento}' Caminho de diretiva de segurança IP:
SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{-longnumber-}

Há dois filtros
Da RedeA para a RedeB
Identificação do filtro: {-número longo-}
Identificação da diretiva: {-número longo-}
IPSEC_POLICY PolicyId = {-número longo-}
Sinalizadores: 0x0
Endereço de encapsulamento: 0.0.0.0
PHASE 2 OFFERS Count = 1
Offer #0:
ESP[ DES MD5 HMAC]
Rekey: 0 segundos / 0 bytes.
AUTHENTICATION INFO Count = 1
Método = Chave pré-compartilhada: -chave real-
Endereço de origem: RedeA Origem de máscara: -máscara de sub-rede-
Endereço de destino: RedeB Máscara de destino: -máscara de sub-rede-
Endereço de encapsulamento: 3rdExtIP Porta de origem: 0 Porta de destino: 0
Protocolo: 0 Filtro de encapsulamento: Sim
Sinalizadores: Saída
Da RedeB para a RedeA
Identificação do filtro: {-número longo-}
Identificação da diretiva: {-número longo-}
IPSEC_POLICY PolicyId = {-número longo-}
Sinalizadores: 0x0
Endereço de encapsulamento: 0.0.0.0
PHASE 2 OFFERS Count = 1
Offer #0:
ESP[ DES MD5 HMAC]
Rekey: 0 segundos / 0 bytes.
AUTHENTICATION INFO Count = 1
Método = Chave pré-compartilhada: -chave real-
Endereço de origem: RedeB Origem de máscara: -máscara de sub-rede-
Endereço de destino: RedeA Máscara de destino: -máscara de sub-rede-
Endereço de encapsulamento: W2KextIP Porta de origem: 0 Porta de destino: 0
Protocolo: 0 Filtro de encapsulamento: Sim
Sinalizadores: Entrada
Voltar para o início

Como configurar a filtragem RRAS

Se você quiser evitar o tráfego que não tem endereços de origem ou de destino correspondentes às redes A ou B, crie um filtro de saída para a interface externa no MMC RRAS para que ele descarte todo o tráfego, exceto os pacotes da RedeA para a RedeB, e um filtro de entrada para que ele descarte todo o tráfego, exceto os pacotes da RedeB para a RedeA. Você também precisa permitir o tráfego de/para W2KextIP e 3rdExtIP para permitir a negociação IKE quando o encapsulamento estiver sendo criado. A filtragem RRAS é feita no IPSec; não é necessário permitir o protocolo IPSec, porque ele nunca alcançará a camada de filtragem dos pacotes IP. O seguinte exemplo é uma representação bem simples da arquitetura TCP/IP do Windows 2000:
Camada de aplicativo
Camada de transporte (TCP|UDP|ICMP|RAW)
---- Início da camada de rede ----
Filtragem de pacotes IP (no qual ocorre a filtragem NAT/RRAS)
IPSec (no qual os filtros IPSec são implementados)
Fragmentação/Remontagem
---- Fim da camada de rede ----
Interface NDIS
Camada de vínculo de dados
Camada física
Para configurar os filtros em RRAS, carregue o MMC RRAS e use as seguintes etapas:
  1. Expanda a árvore do servidor em Roteamento e acesso remoto, a subárvore Roteamento IP e clique em Geral.
  2. Clique com o botão direito do mouse em W2KextIP e clique em Propriedades.
  3. Clique em Filtros de saída e em Adicionar.
  4. Marque as caixas de seleção Rede de origem e Rede de destino.
  5. Na área Rede de origem, preencha as caixas Endereço IP e Máscara de sub-rede de acordo com a RedeA.
  6. Na área Rede de destino, preencha as caixas Endereço IP e Máscara de sub-rede de acordo com a RedeB.
  7. Mantenha o protocolo definido para Qualquer endereço IP e clique em OK.
  8. Clique em Adicionar e marque as caixas de seleção Rede de origem e Rede de destino.
  9. Na área Rede de origem, preencha as caixas Endereço IP e Máscara de sub-rede de acordo com W2KextIP.
  10. Na área Rede de destino, preencha as caixas Endereço IP e Máscara de sub-rede de acordo com 3rdExtIP (para a negociação IKE com máscara de sub-rede 255.255.255.255).
  11. Mantenha o protocolo definido para Qualquer endereço IP e clique em OK.
  12. Marque a caixa de seleção Ignorar todos os pacotes que atenderem aos critérios abaixo e clique em OK.
  13. Clique em Filtros de entrada, em Adicionar e marque as caixas de seleção Rede de origem e Rede de destino.
  14. Na área Rede de origem, preencha as caixas Endereço IP e Máscara de sub-rede de acordo com a RedeB.
  15. Na área Rede de destino, preencha as caixas Endereço IP e Máscara de sub-rede de acordo com a RedeA.
  16. Mantenha o protocolo definido para Qualquer endereço IP e clique em OK.
  17. Clique em Adicionar e marque as caixas de seleção Rede de origem e Rede de destino.
  18. Na área Rede de origem, preencha as caixas Endereço IP e Máscara de sub-rede de acordo com 3rdExtIP.
  19. Na área Rede de destino, preencha as caixas Endereço IP e Máscara de sub-rede de acordo com W2KextIP (para a negociação IKE com máscara de sub-rede 255.255.255.255).
  20. Mantenha o protocolo definido para Qualquer endereço IP e clique em OK.
  21. Marque a caixa de seleção Ignorar todos os pacotes que atenderem aos critérios abaixo e clique em OK duas vezes.
OBSERVAÇÃO: Se o servidor RRAS tiver mais de uma interface conectada à Internet ou se você tiver vários encapsulamentos IPSec, digite filtros RRAS isolados para cada encapsulamento IPSec (cada sub-rede de origem e de destino IP) para todas as interfaces da Internet.
Voltar para o início

Como configurar rotas estáticas no RRAS

O gateway do Windows 2000 precisa ter um roteador na sua tabela de roteiros para a Rede B, que pode ser configurada adicionando uma rota estática no MMC RRAS. Se o gateway do Windows 2000 tiver hospedagem múltipla com dois ou mais adaptadores de rede na mesma rede externa (ou duas ou mais redes que possam alcançar o encapsulamento IP de destino 3rdExtIP), o potencial existe nos seguintes casos:
  • O tráfego de encapsulamento de saída deixa uma interface, enquanto o tráfego de encapsulamento de entrada é recebido em uma interface diferente. Mesmo que você use adaptadores de rede de descarregamento IPSec, receber em uma interface diferente (do tráfego de encapsulamento de saída) não permite que o adaptador de rede de recebimento processe a criptografia no hardware, já que apenas a interface de saída descarrega as associações de segurança.
  • O tráfego de encapsulamento de saída deixa uma interface diferente daquela que tem o endereço IP do ponto de extremidade final do encapsulamento. O IP de origem do pacote encapsulado é o IP de origem contido na interface de saída. Se este não for o IP de origem esperado pela outra extremidade, o encapsulamento não é estabelecido (ou os pacotes são descartados pelo ponto de extremidade final remoto no caso do encapsulamento já ter sido estabelecido).
Para corrigir o problema de envio do tráfego de saída pela interface errada, defina uma rota estática para ligar o tráfego da RedeB à interface externa correta:
  1. No MMC RRAS, expanda a árvore de servidor, a sub-árvore Roteamento IP, clique com o botão direito do mouse em Rotas estáticas e clique em Nova rota estática.
  2. Na área Interface, clique em W2KextIP (se esta for a interface que você deseja usar sempre para o tráfego de encapsulamento de saída).
  3. Preencha as caixas Destino e Máscara de rede de acordo com a RedeB.
  4. Na caixa Gateway, digite 3rdextip.
  5. Mantenha o valor de Métrica definido para o seu padrão (1) e clique em OK.
OBSERVAÇÃO: Para corrigir o problema de recebimento do tráfego de encapsulamento de entrada na interface errada, não anuncie o endereço IP da interface usando um protocolo de roteamento e configure um filtro no RRAS para descartar pacotes para a RedeA ou W2KextIP , conforme indicado na seção "Como configurar a filtragem RRAS" deste artigo.
Voltar para o início

Testando o encapsulamento IPSec

É possível iniciar o encapsulamento executando ping a partir de um computador na RedeA para um computador na RedeB (ou da RedeB para a RedeA). Se você criou os filtros corretamente e atribuiu a diretiva correta, os dois gateways estabelecem um encapsulamento IPSec, para que possam enviar o tráfego ICMP a partir do comando ping no formato criptografado.

Mesmo que o comando ping funcione, é necessário verificar se o tráfego ICMP foi enviado no formato criptografado de um gateway para outro. É possível usar as seguintes ferramentas para conseguir fazer isto:

Habilitar auditoria para eventos de logon e acesso a objetos

Isto registra eventos no log de segurança informando se foi tentada uma negociação de associação de segurança IKE e se teve êxito ou não.
  1. Se você usar o snap-in de diretiva de grupo MMC, expanda Diretiva do computador local e vá para Configuração do computador/Configurações do Windows/Configurações de segurança/Diretivas locais/Diretiva de auditoria.
  2. Habilite a auditoria de êxito ou de falha para "Auditoria de eventos de logon" e "Auditoria de acesso a objeto".
OBSERVAÇÃO: Se o gateway do Windows 2000 for membro de um domínio e você estiver usando uma diretiva de domínio para a auditoria, a diretiva de domínio substitui a diretiva local. Neste caso, modifique a diretiva de domínio.

Monitor de segurança IP

Esta ferramenta mostra as estatísticas IPSec e as associações de segurança ativas. Após você tentar estabelecer o encapsulamento usando o comando ping, é possível ver se uma associação de segurança foi criada (se o encapsulamento tiver sido criado, uma associação de segurança é exibida). Se o comando ping funcionar mas não houver uma associação de segurança, o tráfego ICMP não é protegido pela IPSec. Se você notar uma "associação suave" que não existia antes, o IPSec concordou em permitir que este tráfego fosse transmitido (sem criptografia).

Para carregar o Monitor de segurança IP, clique em Iniciar, em Executar e digite ipsecmon.

Monitor de rede

É possível usar o Monitor de rede para capturar o tráfego que sai pela interface W2KextIP enquanto você tenta executar ping no computador. Se você conseguir ver os pacotes ICMP na captura com endereços IP de origem e de destino correspondentes aos endereços IP do computador, a partir do qual você está executando ping, e do computador para o qual você está tentando executar ping, o IPSec não está protegendo o tráfego. Se você não vir este tráfego ICMP, mas vir os pacotes ISAKMP e ESP, o IPSec está protegendo o tráfego. Se estiver usando apenas o protocolo IPSec AH, você verá o tráfego ISAKMP acompanhado pelos pacotes ICMP. Os pacotes ISAKMP são a negociação IKE que está acontecendo, enquanto os pacotes ESP são os dados de carga útil criptografados pelo protocolo IPSec.

É possível instalar o monitor de rede a partir do CD-ROM do Windows 2000 Server. Ela não está disponível no CD-ROM do Windows 2000 Professional, mas é possível instalar a ferramenta em um computador executando o Windows 2000 Professional se você tiver o SMS (Microsoft Systems Management Server).

Para obter informações adicionais sobre como instalar o monitor de rede no Windows 2000, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
243270  (http://support.microsoft.com/kb/243270/ ) Como instalar o monitor de rede no Windows 2000

Teste real

  1. Antes de tentar executar ping a partir de um computador em uma sub-rede para a outra (RedeA ou RedeB), digite ipconfig em um prompt de comando. As interfaces de rede inicializadas na pilha TCP/IP são exibidas.
  2. Execute a ferramenta Monitor de segurança IP.
  3. Carregue o monitor de rede, clique em Captura/rede e na interface W2KextIP (é possível iniciar uma captura, clicando em Captura/iniciar).
  4. Tente executar ping no computador. Os primeiros pacotes de eco ICMP podem expirar enquanto o encapsulamento IPSec está sendo criado. Se não for possível executar ping, verifique os logs de segurança e do sistema.
  5. Se a tentativa de execução de ping tiver êxito, interrompa a captura do monitor de rede e verifique se o tráfego ICMP não apresentou problemas ou se apenas os pacotes dos protocolos ISAKMP e IPSec foram exibidos. Verifique o monitor de segurança IP para ver se uma associação de segurança foi criada, usando o filtro da RedeA para a RedeB que você criou. Além disso, verifique o log de segurança. Você deve ver a identificação de evento 541 (associação de segurança IKE estabelecida).
  6. Digite ipconfig em um prompt de comando novamente para verificar se não há nenhuma interface TCP/IP adicional enquanto o encapsulamento estiver ativado. Isto porque o IPSec está, na verdade, protegendo o tráfego que passa pela interface física (W2KextIP).
Se o gateway remoto também for um nó do Windows 2000, não se esqueça de que:
  • O gateway padrão para os clientes na RedeA deve ser W2KextIP; o gateway padrão para os clientes na RedeB deve ser 3rdIntIP.
  • Um encapsulamento IPSec não altera a forma com que o tráfego é roteado no gateway do Windows 2000 (que é capaz de rotear pacotes porque o roteamento está habilitado em RRAS; a métrica real das interfaces LAN ou WAN ainda são usadas.
Observação O modo de encapsulamento IPSec não funciona diretamente com um ponto de extremidade final executando NAT (Conversão de endereço de rede) ou ISA (Microsoft Internet Security Acceleration Server). Para obter informações adicionais sobre esta limitação, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
314764  (http://support.microsoft.com/kb/314764/ ) Usando o IPSec com o NAT (conversão de endereços de rede) e o ISA (Internet Security Acceleration Server)
Para obter mais informações sobre o RRAS, consulte a Ajuda do Windows 2000. Para acessar a Ajuda online, visite o seguinte site da Microsoft (em inglês):
http://www.microsoft.com/windows2000/techinfo/proddoc/default.mspx (http://www.microsoft.com/windows2000/techinfo/proddoc/default.mspx)
É possível localizar o Windows 2000 Resource Kit, passo-a-passo e outras documentações técnicas no seguinte site da Microsoft (em inglês):
http://www.microsoft.com/technet/prodtechnol/windows2000serv/default.mspx (http://www.microsoft.com/technet/prodtechnol/windows2000serv/default.mspx)
Para obter informações adicionais sobre associações simples, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
234580  (http://support.microsoft.com/kb/234580/ ) 'Associações simples' entre computadores com IPSec habilitado e com IPSec não habilitado
Para obter informações sobre os padrões da IETF, consulte os seguintes sites (em inglês): A Microsoft fornece informações para contato com terceiros para ajudá-lo a encontrar o suporte técnico. Estas informações podem ser alteradas sem notificação prévia. A Microsoft não garante a precisão destas informações.
Voltar para o início
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Voltar para o início
Palavras-chave: 
kb3rdparty kbhowto kbnetwork KB252735
Voltar para o início