Làm th? nào đ? s? d?ng Internet Protocol Security đ? an toàn m?ng lư?i giao thông gi?a hai máy ch? Windows 2000

ID c?a bài: 301284 - Xem s?n ph?m mà bài này áp d?ng vào.
Máy d?chThông báo: bài vi?t này là bài đư?c d?ch b?i Máy d?ch
Bung t?t c? | Thu g?n t?t c?

? Trang này

TÓM T?T

Bài vi?t này là m?t hư?ng d?n t?ng bư?c ch? d?n đ? kích ho?t nâng cao ngư?i dùng c?u h?nh b?o m?t Internet Protocol (IPSec) đ? h? có th? an toàn thông tin liên l?c gi?a hai máy ch? lưu tr? máy tính.

Thu?t ng? IPSec

Đ?m b?o r?ng b?n bi?t nh?ng đi?u kho?n sau đây có ngh?a là trư?c khi b?n th?c hi?n các hư?ng d?n sau đây:
  • Xác th?c: Quá tr?nh đ? xác đ?nh n?u nh?n d?ng c?a m?t máy tính là h?p pháp. Windows 2000 IPSec h? tr? ba lo?i c?a xác th?c: Kerberos, ch?ng ch?, và preshared phím. Kerberos xác th?c có th? ho?t đ?ng ch? n?u c? hai đi?m cu?i (máy tính) là trong cùng m?t Tên mi?n Windows 2000. Ki?u xác th?c là phương pháp ưa thích. N?u các máy tính có trong l?nh v?c khác nhau, ho?c ít nh?t m?t trong s? h? không ph?i là trong m?t tên mi?n, b?n ph?i s? d?ng ho?c gi?y ch?ng nh?n ho?c preshared phím. Gi?y ch?ng nh?n có th? ho?t đ?ng ch? n?u m?i đi?m cu?i có m?t ch?ng ch? đư?c k? b?i m?t cơ quan đi?m cu?i khác tín thác. Preshared phím có cùng m?t v?n đ? m?t kh?u làm: h? không v?n bí m?t trong m?t kho?ng th?i gian r?t dài. N?u là hai đi?m cu?i đang không ? trong cùng m?t tên mi?n và b?n không th? có đư?c gi?y ch?ng nh?n, preshared phím là l?a ch?n xác th?c duy nh?t c?a b?n.
  • M?t m?: Quá tr?nh làm cho d? li?u không r? ràng trong đ? chu?n b? cho truy?n gi?a hai đi?m cu?i hai. B?ng cách s? d?ng well-tested các thu?t toán, m?i đi?m cu?i xây d?ng và trao đ?i m?t m? phím. Các quá tr?nh đ?m b?o r?ng ch? là hai đi?m cu?i bi?t các phím; và n?u b?t k? khoá trao đ?i tr?nh t? đư?c đánh ch?n, tiêm kích đánh ch?n l?y đư?c g? v? giá tr?.
  • B? l?c: M?t mô t? c?a giao th?c Internet (IP) Đ?a ch? và giao th?c mà có th? kích ho?t các thi?t l?p m?t b?o m?t IPSec Hi?p h?i.
  • L?c hành đ?ng: các yêu c?u b?o m?t có th? có hi?u l?c khi giao thông phù h?p v?i các b? l?c trong l?c danh sách.
  • Danh sách b? l?c: m?t b? sưu t?p c?a các b? l?c.
  • Chính sách b?o m?t Internet Protocol: b? sưu t?p các quy t?c mà mô t? làm th? nào thông tin liên l?c gi?a các máy tính đư?c b?o đ?m.
  • Quy t?c: Các liên k?t gi?a m?t danh sách các b? l?c và m?t hành đ?ng l?c. Khi giao thông phù h?p v?i m?t b? l?c danh sách, hành đ?ng l?c tương ?ng có th? đư?c kích ho?t. M?t chính sách IPSec có th? ch?a nhi?u quy t?c.
  • Hi?p h?i b?o m?t: b? sưu t?p c?a xác th?c và phương pháp m?t m? là hai đi?m cu?i thương lư?ng đ? thi?t l?p m?t an toàn Phiên làm vi?c.

T?m th?y IPSec trong Microsoft Management Console

B?n c?u h?nh IPSec b?ng cách s? d?ng Microsoft Management Console (MMC). Windows 2000 s? t?o ra m?t MMC v?i IPSec-theo trong ti?n tr?nh cài đ?t quá tr?nh. Đ? xác đ?nh v? trí IPSec, b?m B?t đ?u, đi?m đ?n Chương tr?nh, b?m Công c? qu?n tr?, sau đó b?m Chính sách b?o m?t c?c b?. Trong MMC m?, b?m Chính sách b?o m?t IP máy đ?a phương trong ngăn bên trái. Sau đó, MMC hi?n th? hi?n t?i các chính sách m?c đ?nh trong ngăn bên ph?i.

Thay đ?i đ?a ch? IP, tên c?a máy tính và tên ngư?i dùng

Cho các m?c đích c?a ví d? này, Alice là m?t ngư?i s? d?ng có m?t máy tính đư?c đ?t tên "Alicepc" v?i đ?a ch? IP 172.16.98.231 và Bob có m?t máy tính đ?t tên là "Bobslap" v?i đ?a ch? IP 172.31.67.244. H? k?t n?i máy tính c?a h? b?i s? d?ng chương tr?nh Abczz.

Alice và Bob ph?i đ?m b?o r?ng giao thông đư?c m? hóa khi h? tr?c ti?p k?t n?i v?i nhau b?ng cách s? d?ng Abczz chương tr?nh. Khi Abczz làm cho các k?t n?i, xư?ng vi?c s? d?ng m?t c?ng cao ng?u nhiên v? b?n thân và k?t n?i (cho các m?c đích c?a ví d? này) đ?n đích vào c?ng 6667/TCP ho?c 6668/TCP (nơi TCP là vi?t t?t cho truy?n d?n Giao th?c ki?m soát). Thông thư?ng, các c?ng đư?c s? d?ng cho Internet Relay Chat (IRC). B?i v? m?t trong hai Alice ho?c Bob có th? b?t đ?u k?t n?i, các chính sách ph?i t?n t?i trên c? hai đ?u.

T?o danh sách b? l?c

Th?c đơn cho vi?c t?o ra các chính sách IPSec có th? truy c?p n?u b?n Nh?p chu?t ph?i Chính sách b?o m?t IP trong giao di?n đi?u khi?n MMC. L?n đ?u tiên m?c tr?nh đơn là "t?o IP chính sách b?o m?t." M?c dù v? trí này có th? có v? là nơi đ? b?t đ?u, đó là không đúng v? trí. Trư?c khi b?n có th? t?o m?t chính sách và quy t?c liên quan c?a nó, b?n c?n ph?i xác đ?nh b? l?c danh sách và b? l?c hành đ?ng, đó là thành ph?n c?n thi?t c?a b?t k? chính sách IPSec. B?t đ?u công vi?c c?a b?n b?i cách nh?n vào Qu?n l? danh sách b? l?c IP và l?c hành đ?ng.

H?p tho?i s? đư?c hi?n th? có hai tab: m?t cho b? l?c danh sách và các khác cho hành đ?ng l?c. Đ?u tiên, các Qu?n l? danh sách b? l?c IPtab m?. Hi?n đ? có hai danh sách đư?c xác đ?nh trư?c b? l?c mà b?n không s? d?ng. Thay vào đó, b?n có th? t?o m?t danh sách l?c c? th? tương ?ng v?i khác máy tính mà b?n mu?n k?t n?i t?i.

Gi? s? r?ng b?n t?o các chính sách trên máy tính mà thu?c v? Alice:
  1. Nh?p vào Thêm đ? t?o danh sách b? l?c m?i. Tên danh sách "Abczz đ? c?a Bob PC".
  2. Nh?p vào Thêm đ? thêm m?t b? l?c m?i. Thu?t s? b?t đ?u.
  3. Nh?p vào Đ?a ch? IP c?a tôi như là ngu?n g?c.
  4. B?m vào m?t đ?a ch? IP c? th? v? các đi?m, và sau đó nh?p đ?a ch? IP (172.31.67.244) c?a máy tính mà thu?c v? Bob. Ngoài ra, n?u máy tính mà thu?c v? Bob đăng k? ? tên mi?n H? th?ng tên (DNS) ho?c d?ch v? tên Internet Windows (th?ng), b?n có th? ch?n m?t c? th? DNS tên, và sau đó nh?p tên máy tính mà thu?c v? Bob Thay vào đó, mà là "Bobslap".
  5. Abczz s? d?ng TCP cho truy?n thông c?a nó, v? v?y h?y nh?p vào TCP như các lo?i giao th?c.
  6. Đ?i v?i các giao th?c IP c?ng, b?m vào T? b?t k? c?ng. Nh?p vào T?i c?ng này, lo?i: 6667, sau đó b?m K?t thúc hoàn t?t thu?t s?.
  7. L?p l?i các bư?c trư?c, ngo?i tr? lo?i th?i gian này:6668 s? hi?u c?ng và sau đó nh?p vào Đóng.
Danh sách b? l?c c?a b?n có hai b? l?c: m?t cho truy?n thông t? Alice đ? Bob trên c?ng 6667 (trong đó thu?c v? Bob) và m?t c?ng 6668 (mà thu?c v? Bob). (Bob có c? hai c?ng 6667 và 6668 thi?t l?p ngày c?a m?nh máy tính: m?t c?ng là cho đi giao ti?p và m?t cho cuoäc goïi ñeán thông tin liên l?c.) Các b? l?c này đang đư?c nhân đôi, đó là nói chung c?n thi?t b?t c? lúc nào b?n t?o ra m?t b? l?c IPSec. Đ?i v?i m?i b? l?c mà đư?c nhân đôi, danh sách có th? ch?a (nhưng không hi?n th?) m?t chính xác đ?i di?n v?i b? l?c nơi ngu?n và Đ?a ch? đích đư?c đ?o ngư?c. Mà không đư?c nhân đôi các b? l?c IPSec thông tin liên l?c là thư?ng không thành công.

T?o hành đ?ng l?c

B?n đ? xác đ?nh lo?i lưu lư?ng truy c?p đó ph?i đư?c b?o m?t. Bây gi? b?n ph?i ch? đ?nh các cơ ch? b?o m?t. B?m vào các Qu?n l? các hành đ?ng l?c tab. Hi?n có ba giá tr? m?c đ?nh đư?c li?t kê. Ch? không ph?i là b?ng cách s? d?ng các Yêu c?u b?o m?t hành đ?ng, b?n ph?i t?o m?t hành đ?ng m?i là nghiêm ng?t hơn.

T?o hành đ?ng m?i:
  1. Nh?p vào Thêm đ? t?o m?t hành đ?ng b? l?c m?i. Thu?t s? b?t đ?u. Tên các hành đ?ng "M? hóa Abczz".
  2. Đ?i v?i các T?ng quát tùy ch?n, b?m vào Đàm phán an ninh, và sau đó nh?p vào Không giao ti?p v?i máy tính không h? tr? IPSec.
  3. B?m vào các Cao cho b?o m?t IP giao thôngtùy ch?n, và sau đó nh?p vào K?t thúc đ? đóng thu?t s?.
  4. B?m đúp vào hành đ?ng l?c m?i (mà b?n trư?c đây đ?t tên là "M? hóa Abczz").
  5. Nh?n vào đây đ? xóa các Ch?p nh?n không có b?o đ?m giao ti?p, nhưng luôn luôn đáp ?ng b?ng cách s? d?ng IPSec h?p ki?m. Bư?c này đ?m b?o r?ng các máy tính ph?i đàm phán IPSec trư?c khi m?t gói d? li?u Abczz đư?c g?i.
  6. Nh?p vào Bí m?t quan tr?ng phiên phía trư?c hoàn h?ođ? đ?m b?o r?ng tài li?u quan tr?ng không tái s? d?ng, h?y nh?p vào Ok, sau đó b?m Đóng.

T?o ra các chính sách IPSec

B?n đ? thu đư?c các y?u t? chính sách. Bây gi? b?n có th? t?o các chính sách riêng c?a m?nh. Nh?p chu?t ph?i vào c?a s? bên ph?i c?a MMC và b?m T?o ra chính sách b?o m?t IP. Khi thu?t s? b?t đ?u:
  1. Tên chính sách "Alice's IPSec".
  2. Nh?n vào đây đ? xóa các Kích ho?t các ph?n ?ng m?c đ?nh quy t?c h?p ki?m.
  3. Nh?p vào S?a thu?c tính N?u nó không đư?c ch?n, và sau đó k?t thúc thu?t s?. Các Thu?c tính h?p tho?i c?a chính sách s? m? ra.
Đ?i v?i m?t chính sách IPSec đ? làm vi?c, nó ph?i ch?a ít nh?t m?t quy t?c mà m?t danh sách b? l?c liên k?t đ?n m?t hành đ?ng l?c.

Xác đ?nh quy đ?nh trong các Thu?c tính h?p tho?i:
  1. Nh?p vào Thêm đ? t?o m?t quy t?c m?i. Khi thu?t s? b?t đ?u, b?m Đi?u này quy t?c không xác đ?nh m?t đư?ng h?m.
  2. Nh?p vào M?ng c?c (b? LAN) Đ?i v?i các lo?i m?ng.
  3. Nh?p vào M?c đ?nh Windows 2000 (Kerberos V5 giao th?c) Đ?i v?i phương th?c xác th?c n?u c? hai máy tính c?a Alice và Bob đang ? trong cùng m?t tên mi?n Windows 2000. N?u không, b?m vào S? d?ng này chu?i đ? b?o v? vi?c trao đ?i chính (khoá), và sau đó nh?p m?t chu?i (s? d?ng m?t chu?i dài mà b?n có th? nh? và g? không làm sai l?m).
  4. Ch?n l?c danh sách mà b?n t?o ra trư?c đó. Trong này Ví d?, danh sách b? l?c là "Abczz c?a Bob PC". Sau đó, ch?n hành đ?ng l?c r?ng b?n t?o ra trư?c đó. Trong ví d? này, các hành đ?ng l?c là "m? hoá Abczz".
  5. Hoàn thành thu?t s? và b?m Đóng.

C?u h?nh là hai đi?m cu?i khác

L?p l?i trên máy tính mà thu?c v? Bob t?t c? các ngay trư?c th? t?c này có đư?c áp d?ng cho máy tính mà thu?c v? Alice. Các thay đ?i c?n thi?t là r? ràng, ví d?, "Abczz c?a Bob PC" ph?i đư?c thay đ?i đ? "Abczz c?a Alice PC".

Ch? đ?nh các chính sách

B?n đ? xác đ?nh các chính sách trên c? hai đ?u. Bây gi? b?n ph?i gán h?:
  1. Trong các Thi?t đ?t an ninh đ?a phương MMC, Nh?p chu?t ph?i vào chính sách)Abczz trong ví d? này).
  2. Nh?p vào Ch? đ?nh.
Ch? có m?t chính sách IPSec có th? đư?c ch? đ?nh t?i m?t th?i gian, nhưng đ?a đơn chính sách có th? có quy t?c như nhi?u như b?n c?n. Ví d?, n?u Alice c?ng có nhu c?u an toàn thông tin liên l?c v?i Eve b?ng cách s? d?ng m?t giao th?c khác nhau, b?n ph?i t?o danh sách b? l?c thích h?p và hành đ?ng, và sau đó thêm m?t quy t?c cho các IPSec (mà thu?c v? Alice) liên k?t v?i nhau r?ng danh sách c? th? l?c và l?c hành đ?ng. Nh?p vào S? d?ng m?t khóa dùng chung khác nhau cho vi?c này quy t?c. Chính sách cho Alice hi?n nay có hai quy t?c: m?t cho Abczz liên l?c v?i Bob và m?t cho liên l?c v?i Eve. B?i v? Bob và Eve không c?n đ? giao ti?p m?t cách an toàn v?i nhau, chính sách đ?i v?i Bob không có b?t c? đi?u g? thêm vào nó, và chính sách cho Eve ch?a m?t quy t?c duy nh?t đ? liên l?c v?i Alice.

Khắc phục sự cố

S? d?ng IPSecMon đ? ki?m tra chính sách c?a b?n

Windows 2000 bao g?m m?t ti?n ích (IPSecMon.exe) mà b?n có th? s? d?ng đ? th? nghi?m cho dù m?t hi?p h?i b?o m?t IPSec thành công l?p. Đ? b?t đ?u IPSecMon:
  1. Nh?p vào B?t đ?u, sau đó b?m Ch?y.
  2. Loại: ipsecmon, vaø sau ñoù baám NH?P.
  3. Nh?p vào Tuỳ chọn.
  4. Thay đ?i kho?ng th?i gian làm m?i đ? 1.
B?n ph?i thi?t l?p giao ti?p t? m?t trong nh?ng đi?m cu?i đ? các khác. Có th? có m?t s? ch?m tr? v? ph?i m?t m?t vài giây cho là hai đi?m cu?i đ? trao đ?i thông tin m?t m? và hoàn thành các Hi?p h?i an ninh. B?n có th? quan sát hành vi này t?i IPSecMon. Khi là hai đi?m cu?i m?i xây d?ng c?a h? các Hi?p h?i b?o m?t, b?n có th? quan sát m?t m?c nh?p trong IPSecMon hi?n th? đây hành vi.

N?u b?n mong đ?i m?t hi?p h?i an ninh đư?c xây d?ng, nhưng không có g? x?y ra, quay tr? l?i và xem xét danh sách b? l?c trên m?i đi?m cu?i. Đ?m b?o b?n đ? nh?n đư?c đ?nh ngh?a chính xác cho các giao th?c mà b?n s? d?ng như b?n có th? d? dàng đ?o ngư?c các đ?a ch? ngu?n và đích ho?c đ?o ngư?c các c?ng. B?n có th? xem xét vi?c t?o ra m?t b? l?c m?i danh sách đó ch? đ?nh t?t c? lưu lư?ng truy c?p. Ngoài ra, b?n có th? thêm m?t quy t?c m?i chính sách s? d?ng danh sách b? l?c này, và sau đó vô hi?u hóa quy t?c hi?n có. Th?c hi?n các bư?c trên c? hai đi?m cu?i. Sau đó, b?n có th? s? d?ng các Ping l?nh đ? ki?m tra k?t n?i: các Ping l?nh có th? hi?n th? "Negotiating IP b?o m?t" trong b?o m?t Hi?p h?i giai đo?n, và sau đó hi?n th? k?t qu? b?nh thư?ng c?a nó khi b?o m?t Hi?p h?i đư?c thành l?p.

NAT và IPSec không tương thích

N?u có b?t k? b?n d?ch đ?a ch? m?ng (NAT) gi?a hai hai đi?m cu?i, IPSec không ho?t đ?ng. IPSec embeds đi?m cu?i đ?a ch? như là m?t ph?n c?a các t?i tr?ng chi?n đ?u. IPSec c?ng s? d?ng ngu?n đ?a ch? khi nó tính gói kh? trư?c khi g?i các gói trên dây. NAT có th? thay đ?i đ?a ch? ngu?n c?a các gói d? li?u ra bên ngoài, và các đi?m đ?n s? d?ng các đ?a ch? trong tiêu đ? khi nó tính kh? riêng c?a m?nh. Ban đ?u ngu?n tính kh?, đ?u trang b? các gói d? li?u, không kh?p kh? tính đích, và các đi?m đ?n có th? th? các gói. B?n không th? s? d?ng IPSec v?i b?t k? lo?i NAT thi?t b?.
Quay l?i đ?u trang | Cung cấp Phản hồi

Thu?c tính

ID c?a bài: 301284 - L?n xem xét sau cùng: 26 Tháng Tám 2011 - Xem xét l?i: 2.0
Áp d?ng
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
T? khóa: 
kbhowtomaster kbmt KB301284 KbMtvi
Máy d?ch
QUAN TRỌNG: Bài vi?t này đư?c d?ch b?ng ph?n m?m d?ch máy c?a Microsoft ch? không ph?i do con ngư?i d?ch. Microsoft cung c?p các bài vi?t do con ngư?i d?ch và c? các bài vi?t do máy d?ch đ? b?n có th? truy c?p vào t?t c? các bài vi?t trong Cơ s? Ki?n th?c c?a chúng tôi b?ng ngôn ng? c?a b?n. Tuy nhiên, bài vi?t do máy d?ch không ph?i lúc nào c?ng hoàn h?o. Lo?i bài vi?t này có th? ch?a các sai sót v? t? v?ng, cú pháp ho?c ng? pháp, gi?ng như m?t ngư?i nư?c ngoài có th? m?c sai sót khi nói ngôn ng? c?a b?n. Microsoft không ch?u trách nhi?m v? b?t k? s? thi?u chính xác, sai sót ho?c thi?t h?i nào do vi?c d?ch sai n?i dung ho?c do ho?t đ?ng s? d?ng c?a khách hàng gây ra. Microsoft c?ng thư?ng xuyên c?p nh?t ph?n m?m d?ch máy này.
Nh?p chu?t vào đây đ? xem b?n ti?ng Anh c?a bài vi?t này:301284
(http://support.microsoft.com/kb/301284/en-us/ )
Quay l?i đ?u trang | Cung cấp Phản hồi

Cung cấp Phản hồi

 
Quay l?i đ?u trangQuay l?i đ?u trang