第9講：計(jì)算機(jī)網(wǎng)絡(luò)故障診斷與排除-其他業(yè)務(wù)故障診斷與排除2016-12ppt課件(全)

1、黎連業(yè)計(jì)算機(jī)網(wǎng)絡(luò)故障診斷與排除中科院計(jì)算所計(jì)算機(jī)職業(yè)技能培訓(xùn)中心 計(jì)算機(jī)網(wǎng)絡(luò)故障診斷與排除講座教材 計(jì)算機(jī)網(wǎng)絡(luò)故障診斷與排除第 3 版 清華大學(xué)出版社( 2016.12 ) 第9講：其他業(yè)務(wù)故障診斷與排除 本章重點(diǎn)介紹以下內(nèi)容： IPSec概述; IPSec IKE; IP Sec 管理和故障排除; 防火墻; 有關(guān)包過濾規(guī)則的幾個(gè)概念; 地址過濾常見問題; 規(guī)則表; IP碎片處理; QoS概述; DCC、ISDN簡(jiǎn)介。9.1 IPSec概述 IPSec即因特網(wǎng)協(xié)議安全，是由IETF(Internet Engineering Task Force)定義的一套在網(wǎng)絡(luò)層提供IP安全性的協(xié)議。1. I

2、PSec使用的模式 IPSec可以使用兩種模式：通道模式和傳輸模式。通道模式 通道模式表明數(shù)據(jù)流經(jīng)過通道到達(dá)遠(yuǎn)端網(wǎng)關(guān)，遠(yuǎn)端網(wǎng)關(guān)將對(duì)數(shù)據(jù)進(jìn)行解密/認(rèn)證，把數(shù)據(jù)從通道中提取出來，并發(fā)往最終目的地。這樣，偷聽者只能看到加密數(shù)據(jù)流從VPN的一端發(fā)往另一端。傳輸模式傳輸模式無法使數(shù)據(jù)流通過通道傳輸，因此不適用于VPN通道。但可以用于保證VPN客戶端到安全網(wǎng)關(guān)連接的安全，如IPSec保護(hù)的遠(yuǎn)程配置。大多數(shù)配置中都設(shè)置為“通道”(遠(yuǎn)端網(wǎng)關(guān))。遠(yuǎn)端網(wǎng)關(guān)(Remote Gateway)就是遠(yuǎn)端安全網(wǎng)關(guān)，負(fù)責(zé)進(jìn)行解密/認(rèn)證，并把數(shù)據(jù)發(fā)往目的地。 傳輸模式不適用遠(yuǎn)程網(wǎng)關(guān)。 2. IPSec協(xié)議(IPSec Prot

3、ocols) IPSec協(xié)議描述如何處理數(shù)據(jù)的方法。IPSec可以選擇的兩種協(xié)議是AH(Authentication Header，認(rèn)證頭)和ESP(Encapsulating Security Payload，封裝安全有效載荷)。ESP具有加密、認(rèn)證的功能。建議不僅使用加密功能，因?yàn)樗鼤?huì)大大降低安全性。 AH只有認(rèn)證作用。與ESP認(rèn)證之間的不同之處僅僅在于，AH可以認(rèn)證部分外發(fā)的IP頭，如源和目的地址，保證包確實(shí)來自IP包聲明的來源。 IPSec協(xié)議是用來保護(hù)通過VPN傳輸數(shù)據(jù)流的。使用的協(xié)議及其密鑰是由IKE協(xié)商的。AH AH是一種認(rèn)證數(shù)據(jù)流的協(xié)議。它運(yùn)用加密學(xué)復(fù)述功能，根據(jù)IP包的數(shù)據(jù)生

4、成一個(gè)MAC。此MAC隨包發(fā)送，允許網(wǎng)關(guān)確認(rèn)原始IP包的整體性，確保數(shù)據(jù)在通過因特網(wǎng)的途中不受損壞。除IP包數(shù)據(jù)外，AH也認(rèn)證部分IP頭。 AH協(xié)議把AH頭插在原始IP頭之后，在通道模式里，AH頭是插在外部IP頭之后的，但在原始內(nèi)部IP頭之前。ESP ESP用于IP包的加密和認(rèn)證。還可只用于加密或認(rèn)證。 ESP頭插在原始IP頭之后，在通道模式里，ESP頭是插在外部IP頭之后的，但在原始內(nèi)部IP頭之前。ESP頭之后的所有數(shù)據(jù)是經(jīng)過加密/認(rèn)證的。與AH不同的是，ESP也對(duì)IP包加密。認(rèn)證階段也不同，ESP只認(rèn)證ESP頭之后的數(shù)據(jù)，因此不保護(hù)外部IP頭。 3. IPSec使用期限(IPsec Lif

5、etime)VPN連接的使用期限用時(shí)間(秒)和數(shù)據(jù)量(千字節(jié))表示。只要超出其中任何一個(gè)值，就要重新創(chuàng)建用于加密和認(rèn)證的密鑰。如果最后一個(gè)密鑰期沒有使用VPN連接，那么就會(huì)終止連接并在需要連接時(shí)從頭開始重新打開連接。IPSec多用于企業(yè)網(wǎng)之間的連接，可以保證局域網(wǎng)、專用或公用的廣域網(wǎng)以及Internet上信息傳輸?shù)陌踩?。例如，IPSec可以保證Internet上各分支辦公點(diǎn)的安全連接。公司可以借助Internet或公用的廣域網(wǎng)搭建安全的虛擬專用網(wǎng)絡(luò)，使得公司可以不必耗巨資去建立自己的專用網(wǎng)絡(luò)，而只需依托Internet即可以獲得同樣的效果。IPSec通過認(rèn)證和密鑰交換機(jī)制確保企業(yè)與其他組織的信

6、息往來的安全性和機(jī)密性。IPSec的主要特征在于它可以對(duì)所有IP級(jí)的通信進(jìn)行加密和認(rèn)證，正是這一點(diǎn)才使IPSec可以確保包括遠(yuǎn)程登錄、客戶/服務(wù)器、電子郵件、文件傳輸和Web訪問在內(nèi)的多種應(yīng)用程序的安全。 4. IPSec的優(yōu)點(diǎn) 如果在路由器或防火墻上執(zhí)行了IPSec，它就會(huì)為周邊的通信提供強(qiáng)有力的安全保障。一個(gè)公司或工作組內(nèi)部的通信將不涉及與安全相關(guān)的費(fèi)用。下面介紹IPSec的一些優(yōu)點(diǎn)：(1) IPSec在傳輸層之下，對(duì)于應(yīng)用程序來說是透明的。當(dāng)在路由器或防火墻上安裝IPSec時(shí)，無需更改用戶或服務(wù)器系統(tǒng)中的軟件設(shè)置。即使在終端系統(tǒng)中執(zhí)行IPSec，應(yīng)用程序一類的上層軟件也不會(huì)被影響。(2)

7、 IPSec對(duì)終端用戶來說是透明的，因此不必對(duì)用戶進(jìn)行安全機(jī)制的培訓(xùn)。(3) 如果需要的話，IPSec可以為個(gè)體用戶提供安全保障，這樣做就可以保護(hù)企業(yè)內(nèi)部的敏感信息。 IPSec正向Internet靠攏。已經(jīng)有一些機(jī)構(gòu)部分或全部執(zhí)行了IPSec。IAB的前任總裁Christian Huitema認(rèn)為，關(guān)于如何保證Internet安全的討論是他所見過的最激烈的討論之一。討論的話題之一就是安全是否在恰當(dāng)?shù)膮f(xié)議層上被使用。想要提供IP級(jí)的安全，IPSec必須成為配置在所有相關(guān)平臺(tái)(包括Windows NT、Unix和Macintosh系統(tǒng))的網(wǎng)絡(luò)代碼中的一部分。 實(shí)際上，現(xiàn)在發(fā)行的許多Interne

8、t應(yīng)用軟件中已包含了安全特征。例如，Netscape Navigator和Microsoft Internet Explorer支持保護(hù)互聯(lián)網(wǎng)通信的安全套層協(xié)議(SSL)，還有一部分產(chǎn)品支持保護(hù)Internet上信用卡交易的安全電子交易協(xié)議(SET)。然而，VPN需要的是網(wǎng)絡(luò)級(jí)的功能，這也正是IPSec所提供的。IPSec提供3種不同的形式來保護(hù)通過公有或私有IP網(wǎng)絡(luò)未傳送的私有數(shù)據(jù)：(1) 認(rèn)證 可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)是一致的，同時(shí)可以確定申請(qǐng)發(fā)送者在實(shí)際上是真實(shí)發(fā)送者，而不是偽裝的。(2) 數(shù)據(jù)完整 保證數(shù)據(jù)從原發(fā)地到目的地的傳送過程中沒有任何不可檢測(cè)的數(shù)據(jù)丟失與改變。(3)

9、機(jī)密性 使相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容，而無意獲取數(shù)據(jù)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容。 IPSec由3個(gè)基本要素來提供以上3種保護(hù)形式：認(rèn)證協(xié)議頭(AR)、安全加載封裝(ESP)和互聯(lián)網(wǎng)密鑰管理協(xié)議(IKMP)。認(rèn)證協(xié)議頭和安全加載封裝可以通過分開或組合使用來達(dá)到所希望的保護(hù)等級(jí)。對(duì)于VPN來說，認(rèn)證和加密都是必需的，因?yàn)橹挥须p重安全措施才能確保未經(jīng)授權(quán)的用戶不能進(jìn)入VPN，同時(shí)，Internet上的竊聽者無法讀取VPN上傳輸?shù)男畔?。大部分的?yīng)用實(shí)例中都采用了ESP而不是AH。鑰匙交換功能允許手工或自動(dòng)交換密鑰。當(dāng)前的IPSec支持?jǐn)?shù)據(jù)加密標(biāo)準(zhǔn)(DES)，但也可以使用其他多種加密算法。因?yàn)?/p>

10、人們對(duì)DES的安全性有所懷疑，所以用戶會(huì)選擇使用Triple-DES(即三次DES加密)。至于認(rèn)證技術(shù)，將會(huì)推出一個(gè)叫做HMAC(MAC即信息認(rèn)證代碼Message Authentication Code)的新概念。 5. 安全聯(lián)合(SA)SA的概念是IPSec的基礎(chǔ)。IPSec使用的兩種協(xié)議(AH和ESP)均使用SA，IKE協(xié)議(IPSec使用的密鑰管理協(xié)議)的一個(gè)主要功能就是SA的管理和維護(hù)。SA是通信對(duì)等方之間對(duì)策略要素的一種協(xié)定，例如IPSec協(xié)議、協(xié)議的操作模式(傳輸模式和隧道模式)、密碼算法、密鑰、用于保護(hù)它們之間數(shù)據(jù)流的密鑰的生存期。SA是通過像IKE這樣的密鑰管理協(xié)議在通信對(duì)等

11、方之間協(xié)商的。當(dāng)一個(gè)SA的協(xié)商完成時(shí)，兩個(gè)對(duì)等方都在它們的安全聯(lián)合數(shù)據(jù)庫(SAD)中存儲(chǔ)該SA參數(shù)。SA的參數(shù)之一是它的生存期，它以一個(gè)時(shí)間間隔或是IPSec協(xié)議利用該SA來處理的一定數(shù)量的字節(jié)數(shù)的形式存在。SA由一個(gè)三元組惟一地標(biāo)識(shí)，該三元組包含一個(gè)安全參數(shù)索引(SPI)，一個(gè)用于輸出處理SA的目的IP地址或是一個(gè)用于輸入處理SA的源IP地址，以及一個(gè)待定的協(xié)議(如AH或者ESP)。SPI是為了惟一標(biāo)識(shí)SA而生成的一個(gè)32位整數(shù)，它在AH和ESP頭中傳輸。 6. IPSec的實(shí)現(xiàn)方式IPSec的一個(gè)最基本的優(yōu)點(diǎn)是它可以在共享網(wǎng)絡(luò)訪問設(shè)備，甚至是所有的主機(jī)和服務(wù)器上完全實(shí)現(xiàn)，這在很大程度上避免

12、了升級(jí)任何網(wǎng)絡(luò)相關(guān)資源的需要。在客戶端，IPSec架構(gòu)允許使用在遠(yuǎn)程訪問介入路由器或基于純軟件方式使用普通Modem的PC機(jī)和工作站。IPSec通過兩種模式在應(yīng)用上提供更多的彈性：傳輸模式和隧道模式。 (1) 傳輸模式通常當(dāng)ESP在一臺(tái)主機(jī)(客戶機(jī)或服務(wù)器)上實(shí)現(xiàn)時(shí)使用，傳輸模式使用原始明文IP頭，并且只加密數(shù)據(jù)，包括它的TCP和UDP頭。(2) 隧道模式 通常當(dāng)ESP在關(guān)聯(lián)到多臺(tái)主機(jī)的網(wǎng)絡(luò)訪問介入裝置實(shí)現(xiàn)時(shí)使用，隧道模式處理整個(gè)IP數(shù)據(jù)包，包括全部TCP/IP或UDP/IP頭和數(shù)據(jù)，它用自己的地址作為源地址加入到新的IP頭。當(dāng)隧道模式用在用戶終端設(shè)置時(shí)，它可以提供更多的便利來隱藏內(nèi)部服務(wù)器主

13、機(jī)和客戶機(jī)的地址。 ESP支持傳輸模式，這種方式保護(hù)了高層協(xié)議。傳輸模式也保護(hù)了IP包的內(nèi)容，特別是用于兩個(gè)主機(jī)之間的端對(duì)端通信(例如，客戶與服務(wù)器，或是兩臺(tái)工作站)。傳輸模式中的ESP加密有時(shí)會(huì)認(rèn)證IP包內(nèi)容，但不認(rèn)證IP的包頭。這種配置對(duì)于裝有IPSec的小型網(wǎng)絡(luò)特別有用。 但是，要全面實(shí)施VPN，使用隧道模式會(huì)更有效。ESP也支持隧道模式，保護(hù)了整個(gè)舊包。 為此，IP包在添加了ESP字段后，整個(gè)包和包的安全字段被認(rèn)為是新的IP包外層內(nèi)容，附有新的IP外層包頭。原來的(及內(nèi)層)包通過“隧道”從一個(gè)IP網(wǎng)絡(luò)起點(diǎn)傳輸?shù)搅硪粋€(gè)IP網(wǎng)點(diǎn)，中途的路由器可以檢查IP的內(nèi)層包頭。因?yàn)樵瓉淼陌驯淮虬?/p>

14、的包可能有不同的源地址和目的地址，以達(dá)到安全的目的。 隧道模式被用在兩端或是一端是安全網(wǎng)關(guān)的架構(gòu)中，例如裝有IPSec的路由器或防火墻。 使用了隧道模式，防火墻內(nèi)很多主機(jī)不需要安裝IPSec也能安全地通信。這些主機(jī)所生成的未加保護(hù)的網(wǎng)包，經(jīng)過外網(wǎng)，使用隧道模式的安全聯(lián)合規(guī)定(即SA，發(fā)送者與接收者之間的單向關(guān)系，定義裝在本地網(wǎng)絡(luò)邊緣的安全路由器或防火墻中的IPSec軟件IP交換所規(guī)定的參數(shù))傳輸。 7. IPSec認(rèn)證(IPSec Authentication) IPSec認(rèn)證算法用于保護(hù)數(shù)據(jù)流的傳輸。使用不經(jīng)認(rèn)證的ESP(盡管建議不使用未經(jīng)認(rèn)證的ESP)時(shí)不使用IPSec認(rèn)證。 IPSec認(rèn)

15、證包頭(AH)是一個(gè)用于提供IP數(shù)據(jù)報(bào)完整性和認(rèn)證的機(jī)制，即在所有數(shù)據(jù)包頭加入一個(gè)密碼。正如整個(gè)名稱所示，AH通過一個(gè)只有密鑰持有人才知道的“數(shù)字簽名”來對(duì)用戶進(jìn)行認(rèn)證。這個(gè)簽名是數(shù)據(jù)包通過特別的算法得出的獨(dú)特結(jié)果。AH還能維持?jǐn)?shù)據(jù)的完整性，因?yàn)樵趥鬏斶^程中無論多小的變化被加載，數(shù)據(jù)包頭的數(shù)字簽名都能把它檢測(cè)出來。其完整性是保證數(shù)據(jù)報(bào)不被無意的或惡意的方式改變，而認(rèn)證則驗(yàn)證數(shù)據(jù)的來源(識(shí)別主機(jī)、用戶、網(wǎng)絡(luò)等)。AH本身其實(shí)并不支持任何形式的加密，它不能保證通過Internet發(fā)送的數(shù)據(jù)的可信程度。AH只是在加密的出口、進(jìn)口或使用受到當(dāng)?shù)卣拗频那闆r下可以提高全球Internet的安全性。當(dāng)全

16、部功能實(shí)現(xiàn)后，它將通過認(rèn)證IP包并且減少基于IP欺騙的攻擊機(jī)率來提供更好的安全服務(wù)。AH使用的包頭放在標(biāo)準(zhǔn)的IPv4和IPv6包頭，以及下一個(gè)高層協(xié)議幀(如TCP、UDP、ICMP等)之間。 不過，由于AH不能加密數(shù)據(jù)包所加載的內(nèi)容，因而它不保證任何的機(jī)密性。兩個(gè)最普遍的AH標(biāo)準(zhǔn)是MD5和SHA-1。AH協(xié)議通過在整個(gè)IP數(shù)據(jù)報(bào)中實(shí)施一個(gè)消息文摘計(jì)算來提供完整性和認(rèn)證服務(wù)。一個(gè)消息文摘就是一個(gè)特定的單向數(shù)據(jù)函數(shù)，它能夠創(chuàng)建數(shù)據(jù)報(bào)的唯一的數(shù)字指紋。消息文摘算法的輸出結(jié)果放到AH包頭的認(rèn)證數(shù)據(jù)(Authentication Data)區(qū)。消息文摘MD5算法是一個(gè)單向數(shù)學(xué)函數(shù)。當(dāng)應(yīng)用到分組數(shù)據(jù)中時(shí)，

17、它將整個(gè)數(shù)據(jù)分割成若干個(gè)128比特的信息分組。每個(gè)128比特為一組的信息是大分組數(shù)據(jù)的壓縮或摘要的表示。當(dāng)以這種方式使用時(shí)，MD5只提供數(shù)字的完整性服務(wù)。一個(gè)消息文摘在被發(fā)送之前和數(shù)據(jù)被接收到以后都可以根據(jù)一組數(shù)據(jù)計(jì)算出來。如果兩次計(jì)算出來的文摘值是一樣的，那么分組數(shù)據(jù)在傳輸過程中就沒有被改變。這樣就防止了無意或惡意的篡改。 在使用HMAC-MD5認(rèn)證過的數(shù)據(jù)交換中，發(fā)送者使用以前交換過的密鑰來首次計(jì)算數(shù)據(jù)報(bào)的64比特分組的MD5文摘。從一系列的16比特中計(jì)算出來的文摘值被累加成一個(gè)值，然后放到AH包頭的認(rèn)證數(shù)據(jù)區(qū)，隨后數(shù)據(jù)報(bào)被發(fā)送給接收者。接收者也必須知道密鑰值，以便計(jì)算出正確的消息文摘并且

18、將其與接收到的認(rèn)證消息文摘進(jìn)行適配。如果計(jì)算出的和接收到的文摘值相等，那么數(shù)據(jù)報(bào)在發(fā)送過程中就沒有被改變，而且可以相信是由只知道秘密密鑰的另一方發(fā)送的。 8. IPSec加密 安全加載封裝協(xié)議(ESP)提供IP數(shù)據(jù)報(bào)的完整性和可信性服務(wù)。通過對(duì)數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進(jìn)行全加密來嚴(yán)格保證傳輸信息的機(jī)密性，這樣可以避免其他用戶通過監(jiān)聽來打開信息交換的內(nèi)容，因?yàn)橹挥惺苄湃蔚挠脩魮碛忻荑€。 ESP協(xié)議是設(shè)計(jì)以兩種模式工作的：隧道(Tunneling)模式和傳輸(Transport)模式。兩者的區(qū)別在于IP數(shù)據(jù)報(bào)的ESP負(fù)載部分的內(nèi)容不同。在隧道模式中，整個(gè)IP數(shù)據(jù)報(bào)都在ESP負(fù)載中進(jìn)行封裝和加密。

19、完成以后，真正的IP源地址和目的地址都可以被隱藏為Internet發(fā)送的普通數(shù)據(jù)。這種模式的典型用法就是在防火墻防火墻之間通過虛擬專用網(wǎng)連接時(shí)進(jìn)行的主機(jī)或拓?fù)潆[藏。在傳輸模式中，只有更高層協(xié)議幀(TCP、UDP、ICMP等)被放到加密后的IP數(shù)據(jù)報(bào)的ESP負(fù)載部分。在這種模式中，源和目的IP地址以及所有的IP包頭域都是不加密發(fā)送的。 ESP也能提供認(rèn)證和維持?jǐn)?shù)據(jù)的完整性。最主要的ESP標(biāo)準(zhǔn)是數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)，DES是一個(gè)現(xiàn)在使用得非常普遍的加密算法。它最早是由美國(guó)政府公布的，最初是用于商業(yè)應(yīng)用。 到現(xiàn)在所有DES專利的保護(hù)期都已經(jīng)到期了，因此全球都有它的免費(fèi)實(shí)現(xiàn)。DES最高支持56位的密

20、鑰，而Triple-DES使用三套密鑰加密，相當(dāng)于使用到168位的密鑰。IPSec要求在所有的ESP實(shí)現(xiàn)中使用一個(gè)通用的默認(rèn)算法，即DESCBC密碼分組鏈方式(CBC)的DES算法。DESCBC通過在組成一個(gè)完整的IP數(shù)據(jù)包(隧道模式)或下一個(gè)更高的層協(xié)議幀(傳輸模式)的8比特?cái)?shù)據(jù)分組中加入一個(gè)數(shù)據(jù)函數(shù)來工作。DESCBC用8比特一組的加密數(shù)據(jù)(密文)來代替8比特一組的未加密數(shù)據(jù)(明文)。一個(gè)隨機(jī)的、8比特的初始化向量(IV)被用來加密第一個(gè)明文分組，以保證即使在明文信息開頭相同時(shí)也能保證加密信息的隨機(jī)性。DESCBC主要是使用一個(gè)由通信各方公認(rèn)的相同的密鑰。正因?yàn)槿绱?，它被認(rèn)為是一個(gè)對(duì)稱的密

21、碼算法。接收方只有使用由發(fā)送者用來加密數(shù)據(jù)的密鑰才能對(duì)加密數(shù)據(jù)進(jìn)行解密。因此，DESCBC算法的有效性依賴于秘密密鑰的安全，ESP使用的DESCBC的密鑰長(zhǎng)度是56比特。由于ESF實(shí)際上加密所有的數(shù)據(jù)，因而它比AH需要更多的處理時(shí)間，從而導(dǎo)致性能下降。 9. IKE(Internet Key Exchange)密鑰管理包括密鑰確定和密鑰分發(fā)兩個(gè)方面，最多需要4個(gè)密鑰：AH、ESP的發(fā)送和接收密鑰。密鑰本身是一個(gè)二進(jìn)制字符串，通常用十六進(jìn)制表示。例如，一個(gè)56位的密鑰可以表示為5F39DA752EOC25B4。注意全部長(zhǎng)度總共是64位，包括8位的奇偶校驗(yàn)。IPSec支持兩種類型的密鑰管理方式：一

22、種是手工方式，由安全管理員在各個(gè)系統(tǒng)上分別配置所需的SA，這種方式適用于小規(guī)模、靜態(tài)環(huán)境；另一種是自動(dòng)方式，適用于大規(guī)模、動(dòng)態(tài)的環(huán)境。IPSec的自動(dòng)管理密鑰協(xié)議的默認(rèn)名字是ISAKMP/Oakley?；ヂ?lián)網(wǎng)安全組織和密鑰管理協(xié)議(Internet Security Association and Key Management Protocol，ISAKMP)對(duì)互聯(lián)網(wǎng)密鑰管理的架構(gòu)以及特定的協(xié)議提供支持。Oakley密鑰使用的協(xié)議基于Diffle-Hellman算法，但它也提供額外的安全功能。特別是Oakley包括認(rèn)證用戶的機(jī)制。Internet密鑰交換協(xié)議(IKE)用于在兩個(gè)通信實(shí)體協(xié)商和建

23、立安全聯(lián)合(SA)。密鑰交換安全聯(lián)合(Security Association，SA)是IPSec中的一個(gè)重要概念。一個(gè)SA表示兩個(gè)或多個(gè)通信實(shí)體之間經(jīng)過了身份認(rèn)證，且這些通信實(shí)體都能支持相同的加密算法，成功地交換了會(huì)話密鑰，可以開始利用IPSec進(jìn)行安全通信。IPSec協(xié)議本身沒有提供在通信實(shí)體間建立安全聯(lián)合的方法，利用IKE建立安全聯(lián)合。IKE定義了通信實(shí)體間進(jìn)行身份認(rèn)證、協(xié)商加密算法和生成共享的會(huì)話密鑰的方法。具體實(shí)現(xiàn)時(shí)IKE可以采用共享密鑰或數(shù)字簽名的方式進(jìn)行身份認(rèn)證，并采用公開密鑰算法中的Diffle Hellman協(xié)議交換密鑰。IKE采用ISAKMP協(xié)議中定義的語言，并根據(jù)ISAK

24、MP中所定義的將協(xié)商過程分成了兩個(gè)階段，其第一個(gè)階段是對(duì)如何保證進(jìn)一步的協(xié)商事務(wù)取得一致意見，主要是建立一個(gè)IKE自身的安全聯(lián)合，并用它來保護(hù)這個(gè)協(xié)商；第二個(gè)階段則利用IKE自身的安全聯(lián)合為其他安全協(xié)議協(xié)商一個(gè)或多個(gè)安全聯(lián)合。使用這個(gè)SA，一個(gè)協(xié)議可保護(hù)許多交換的分組或數(shù)據(jù)。通常情況下，在第一階段的協(xié)商下可進(jìn)行多次第二階段的協(xié)商。安全聯(lián)合也可以通過手工方式建立，但是當(dāng)VPN中節(jié)點(diǎn)增多時(shí)，手工配置將非常困難。 10. IPSEC和VPN由于企業(yè)和政府用戶需要把專用WAN/LAN架構(gòu)與互聯(lián)網(wǎng)連接，以便訪問互聯(lián)網(wǎng)的服務(wù)，所以他們非常熱衷于部署安全的lP。用戶需要把它們的網(wǎng)絡(luò)與互聯(lián)網(wǎng)分隔，但同時(shí)要在網(wǎng)

25、上發(fā)送和接收網(wǎng)包。安全的IP就可以提供網(wǎng)上的認(rèn)證和隱私機(jī)制。因?yàn)镮P安全機(jī)制是獨(dú)立定義，其用途與現(xiàn)在的IP或IPv6不同，IP安全機(jī)制不需要依靠IPv6部署?？梢钥吹剑踩獻(xiàn)P的功能先被廣泛使用，比IPv6先流行起來，因?yàn)閷?duì)IP層的安全需求遠(yuǎn)比增加IPv6功能的需求多得多。有了IPSec，管理人員就有了實(shí)施VPN的安全標(biāo)準(zhǔn)。此外，所有在IPSec中使用的加密和認(rèn)證算法已經(jīng)過仔細(xì)的研究和幾年的驗(yàn)證，所以用戶大可放心地將安全問題交付給IPSec。 11. PKI(Public Key Infrastructure)PKI是一個(gè)用公鑰概念與基礎(chǔ)來實(shí)施和提供安全服務(wù)的安全基礎(chǔ)設(shè)置。PKI的基本機(jī)制是定

26、義和建立身份認(rèn)證和授權(quán)規(guī)則，然后分發(fā)、交換這些規(guī)則，并在網(wǎng)絡(luò)之間解釋和管理這些規(guī)則。PKI對(duì)數(shù)據(jù)加密、數(shù)字簽名、防抵賴、數(shù)據(jù)完整性以及身份鑒別所需要的密鑰和認(rèn)證實(shí)施統(tǒng)一地集中管理，支持通信的參與者在網(wǎng)絡(luò)環(huán)境下建立和維護(hù)平等的信任關(guān)系，保證通信的安全。PKI是建立在公共密鑰機(jī)制基礎(chǔ)上的，它是一種提供密鑰管理和數(shù)字簽名服務(wù)的平臺(tái)。為了保證有效性，必須使在網(wǎng)上通信的雙方確信他們的身份和密鑰是合法的和可信賴的。但是，在大范圍的網(wǎng)絡(luò)環(huán)境中，指望每一個(gè)用戶都和其他用戶建立聯(lián)系是不可能的，也是不現(xiàn)實(shí)的。為此，PKI引入了第三方信任和證書的概念。第三方信任是指在特定的范圍內(nèi)，即使通信雙方以前并沒有建立關(guān)系，他

27、們也可以毫無保留地信任對(duì)方。 雙方之所以相互信任，是因?yàn)樗麄兒鸵粋€(gè)共同的第三方建立了信任關(guān)系，第三方為通信的雙方提供信任擔(dān)保。證書是指PKI用戶已經(jīng)注冊(cè)的以數(shù)字化形式存儲(chǔ)的身份。數(shù)字證書是由大家共同信任的第三方 認(rèn)證中心(CA)頒發(fā)的，CA有權(quán)簽發(fā)并廢除證書并且對(duì)證書的真實(shí)性負(fù)責(zé)。在PKI架構(gòu)中，CA扮演的角色很像頒發(fā)證件的權(quán)威機(jī)構(gòu)，如身份證的辦理機(jī)構(gòu)。證書包含用戶的身份信息、公鑰和CA的數(shù)字簽名。任何一個(gè)信任CA的通信方，都可以通過驗(yàn)證對(duì)方數(shù)字證書上的CA數(shù)字簽名來建立起與對(duì)方的信任關(guān)系，并且獲得對(duì)方的公鑰以備使用。為了保證CA所簽發(fā)的證書的通用性，通常證書格式遵循X.509 V3標(biāo)準(zhǔn)，該標(biāo)

28、準(zhǔn)把用戶的公鑰與用戶名等信息綁定在一起。為了建立信任關(guān)系，CA用它的私鑰對(duì)數(shù)字證書簽名。CA的數(shù)字簽名提供了三個(gè)重要的保證：(1) 認(rèn)證中有效的數(shù)字簽名保證了認(rèn)證信息的完整性。(2) 因?yàn)镃A是唯一有權(quán)使用它私鑰的實(shí)體，任何驗(yàn)證數(shù)字證書的用戶都可以信任CA的簽名，從而保證了證書的權(quán)威性。(3) 由于CA簽名的唯一性，CA不能否認(rèn)自己所簽發(fā)的證書，并承擔(dān)相應(yīng)的責(zé)任。一個(gè)較完備的PKI支持SET、SSL、IPSec/VPN等協(xié)議，支持各種安全網(wǎng)絡(luò)應(yīng)用，可以說，PKI是當(dāng)今網(wǎng)絡(luò)安全的核心技術(shù)之一。典型的PKI系統(tǒng)由5個(gè)基本的部分組成：證書申請(qǐng)者(Subscriber)、注冊(cè)機(jī)構(gòu)(Registrati

29、on Authority，RA)、認(rèn)證中心(Certificate Authority，CA)、證書庫(Certificate Repository，CR)和證書信任方(Relying Party)。其中，認(rèn)證中心、注冊(cè)機(jī)構(gòu)和證書庫3部分是PKI的核心，證書申請(qǐng)者和證書信任方則是利用PKI進(jìn)行網(wǎng)上交易的參與者。9.1.2 Internet密鑰交換協(xié)議1. Internet密鑰交換協(xié)議的主要任務(wù) IKE的主要任務(wù)有3項(xiàng)：為端點(diǎn)間的認(rèn)證提供方法；建立新的IPSec連接(創(chuàng)建一對(duì)SA)；管理現(xiàn)有連接。 IKE跟蹤連接的方法是給每個(gè)連接分配一組安全聯(lián)盟(SA)。SA描述與特殊連接相關(guān)的所有參數(shù)，包括使

30、用的IPSec協(xié)議、加密/解密和認(rèn)證/確認(rèn)傳輸數(shù)據(jù)使用的對(duì)話密鑰。SA本身是單向的，每個(gè)連接需要一個(gè)以上的SA。大多數(shù)情況下，只使用ESP或AH，每個(gè)連接要?jiǎng)?chuàng)建兩個(gè)SA，一個(gè)描述入站數(shù)據(jù)流，一個(gè)描述出站數(shù)據(jù)流。同時(shí)使用ESP和AH的情況下就要?jiǎng)?chuàng)建4個(gè)SA。 2. Internet密鑰交換協(xié)議加密和認(rèn)證數(shù)據(jù)比較直接，唯一需要的是加密和認(rèn)證算法，及其使用的密鑰。因特網(wǎng)密鑰交換協(xié)議IKE用作分配這些對(duì)話用密鑰的一種方法，而且在VPN端點(diǎn)間，規(guī)定了如何保護(hù)數(shù)據(jù)的方法。IKE提議是如何保護(hù)數(shù)據(jù)的建議。發(fā)起IPSec連接的VPN網(wǎng)關(guān)，作為發(fā)起者會(huì)發(fā)出提議列表，提議表建議了不同的保護(hù)連接的方法。協(xié)商連接可以

31、通過VPN來保護(hù)數(shù)據(jù)流的IPSec連接，或是IKE連接，保護(hù)IKE協(xié)商本身。響應(yīng)的VPN網(wǎng)關(guān)，在接收到此提議表后，就會(huì)根據(jù)自己的安全策略選擇最適合的提議，并根據(jù)已選擇的提議做出響應(yīng)。 3. IKE 參數(shù)在IKE中要使用許多參數(shù)：端點(diǎn)身份(Endpoint Identification)；本地和遠(yuǎn)端網(wǎng)絡(luò)/主機(jī)(Local and Remote Networks/Hosts)；通道/傳輸模式(Tunnel/Transport Mode)；遠(yuǎn)端網(wǎng)關(guān)(Remote Gateway)；主/挑戰(zhàn)模式(Main/Aggressive Mode)；IPSec協(xié)議(ESP/AH/二者兼有)；IKE加密(IKE

32、Encryption)；IKE認(rèn)證(IKE Authentication)；IKE DH組(IKE DH Group)；IKE使用期限(IKE Lifetime)。 下面具體介紹。(1) 操作模式IKE參數(shù)中有兩種操作模式：主模式和挑戰(zhàn)模式。二者的不同之處在于，挑戰(zhàn)模式可以用更少的包發(fā)送更多信息，這樣做的優(yōu)點(diǎn)是快速建立連接，而代價(jià)是以清晰的方式發(fā)送安全網(wǎng)關(guān)的身份。使用挑戰(zhàn)模式時(shí)，有的配置參數(shù)如Diffie-Hellman和PFS不能進(jìn)行協(xié)商，因此兩端擁有兼容的配置是至關(guān)重要的。(2) IKE加密(IKE Encryption)指定IKE協(xié)商使用的加密算法，如算法種類和使用的密鑰長(zhǎng)度。(3) I

33、KE認(rèn)證(IKE Authentication)指定IKE協(xié)商使用的認(rèn)證算法。(4) IKE DH (Diffie-Hellman) 組指定IKE交換密鑰時(shí)使用的Diffie-Hellman組。密鑰交換的安全性隨著DH組的擴(kuò)大而增加，但交換的時(shí)間也增加了。(5) IKE使用期限(IKE Lifetime)IKE連接的使用期限。使用期限以時(shí)間(秒)和數(shù)據(jù)量(KB)計(jì)算。超過其中任何一個(gè)期限時(shí)，就會(huì)進(jìn)行新的階段的交換。如果上一個(gè)IKE連接中沒有發(fā)送數(shù)據(jù)，就不建立新連接，直到有人希望再次使用VPN連接。 (6) IKE認(rèn)證方法(手工，PSK，證書)手工密鑰配置VPN最簡(jiǎn)單的辦法是使用手工密鑰的方法。

34、使用這種方法時(shí)根本不需要使用IKE，在VPN通道兩端直接配置加密和認(rèn)證密鑰以及其他參數(shù)。優(yōu)點(diǎn)：因?yàn)樵撁荑€很直接，所以共同操作性很大。目前大多數(shù)共同操作問題都出在IKE上。手冊(cè)密鑰完全避開IKE，只設(shè)置自己的IPSec SA。缺點(diǎn)：這種方法陳舊，是IKE產(chǎn)生之前使用的方法，缺少IKE具有的所有功能。因此此法有諸多限制，如總要使用相同的加密/認(rèn)證密鑰，無防止重放攻擊服務(wù)，非常死板，不夠靈活。也無法保證遠(yuǎn)端主機(jī)和網(wǎng)關(guān)的真實(shí)性。這種連接也易受某些重放攻擊的攻擊，這意味著訪問加密數(shù)據(jù)流的惡意實(shí)體能夠記錄一些包，并把包儲(chǔ)存下來并在以后發(fā)到目的地址。目的VPN端點(diǎn)無法辨別此包是不是重放的包。用IKE就可避免

35、這種攻擊。 Pre-Shared密鑰(PSK)Pre-Shared密鑰是VPN端點(diǎn)間共享一個(gè)密鑰的方法，是由IKE提供的服務(wù)，所以具有IKE的所有優(yōu)點(diǎn)，比手工密鑰靈活許多。優(yōu)點(diǎn)：Pre-Shared密鑰具有比手工密鑰多得多的優(yōu)點(diǎn)。包括端點(diǎn)認(rèn)證，PSK是真正進(jìn)行端點(diǎn)認(rèn)證的。還包括IKE的所有優(yōu)點(diǎn)。相反，在使用固定加密密鑰時(shí)，一個(gè)新的對(duì)話密鑰在使用后，有一定的時(shí)間周期限制。缺點(diǎn)：使用Pre-Shared密鑰時(shí)需要考慮的一件事是密鑰的分配。如何把Pre-Shared密鑰分配給遠(yuǎn)端VPN客戶和網(wǎng)關(guān)呢？這個(gè)問題很重要，因?yàn)镻SK系統(tǒng)的安全性是基于PSK的機(jī)密性的。如果在某些情況下危及到PSK的安全性，就

36、需要改動(dòng)配置，使用新的PSK。證書每個(gè)VPN網(wǎng)關(guān)都有自己的證書，和一或多個(gè)可信任根證書。優(yōu)點(diǎn)：增加了靈活性。例如許多VPN客戶端在沒有配置相同Pre-Shared密鑰時(shí)也能夠得到管理，使用Pre-Shared密鑰和漫游客戶端時(shí)經(jīng)常是這種情況。相反，如果某客戶端不安全，就可以輕松地取消該客戶端證書。無需對(duì)每個(gè)客戶進(jìn)行重新配置。缺點(diǎn)：增加了復(fù)雜性。基于證書的認(rèn)證可作為龐大的公有密鑰體系結(jié)構(gòu)的一部分，使VPN客戶端和網(wǎng)關(guān)可依賴于第三方。換言之，要配置更多內(nèi)容，也可能會(huì)出現(xiàn)更多錯(cuò)誤。9.2 IPSec IKE 9.3 IP Sec 管理和故障排除9.3.1 IPSec工具和故障排除基本檢測(cè)方法1. I

37、PSec管理工具(1) 管理工具 IP Security Policy Management 管理單元?jiǎng)?chuàng)建和編輯策略(也可以使用Group Policy Editor)；IPSecurity。 (2) IPSec監(jiān)控和排除故障工具 IP安全監(jiān)視器(ipsecmon.exe)在命令提示中啟動(dòng)。這一工具可以監(jiān)控IP SA、密鑰重設(shè)、協(xié)商錯(cuò)誤和其他IPSec統(tǒng)計(jì)信息。 2. IPSec故障排除基本檢測(cè)方法 IPsec VPN出現(xiàn)故障時(shí)，最直接的表現(xiàn)是無法通過IPsec VPN訪問遠(yuǎn)端內(nèi)部網(wǎng)絡(luò)。按照故障具體的情況又分為： IPsec隧道無法建立; IPsec隧道建立但無法訪問遠(yuǎn)端內(nèi)部網(wǎng)絡(luò); IPsec

38、隧道時(shí)斷時(shí)連。 IPSec故障排除基本檢測(cè)方法一般有三種: IPsec VPN隧道無法建立檢測(cè)方法：使用show cry ike proposal 和sh cry ipsec proposal 命令查看ike和ipsec的策略兩端是否相同。使用sh cry policy 查看兩端數(shù)據(jù)流是否匹配。 IPsec隧道建立但無法訪問遠(yuǎn)端內(nèi)部網(wǎng)絡(luò)檢測(cè)方法：sh ip esp查看是否有in和out的數(shù)據(jù)；查看訪問列表是否deny了受保護(hù)的數(shù)據(jù)流。 IPsec隧道時(shí)斷時(shí)連檢測(cè)方法：查看物理線路是否時(shí)通時(shí)斷；查看是否有網(wǎng)點(diǎn)沖突。9.3.2 IKE統(tǒng)計(jì)信息 下面的IKE統(tǒng)計(jì)信息可以使用IP安全監(jiān)視器來衡量：Oa

39、kley Main Modes 這是在第一階段協(xié)商中創(chuàng)建的成功的IKE SA的總量。Oakley Quick Modes 這是在第二階段協(xié)商中創(chuàng)建的成功的IPSec SA的總量。因?yàn)檫@些SA可能以不同的速率終止，此數(shù)量不必與Main Modes 數(shù)字相匹配。Soft Assocations 導(dǎo)致協(xié)議使用明文發(fā)送的第二階段協(xié)商中創(chuàng)建的總量。這通常反映有非IPSec感知的計(jì)算機(jī)組成的協(xié)會(huì)的總量。Authention Failures 身份識(shí)別失敗(Kerberos、用戶證書、手工創(chuàng)建的密碼)總量。這是與Packets Not Authenticated(通過打散數(shù)據(jù)進(jìn)行的消息身份驗(yàn)證)不同的統(tǒng)計(jì)信

40、息。針對(duì)上述問題，可采用以下幾種措施： 1. 本地計(jì)算機(jī) IPSec 策略該策略使用 IPSec 傳輸(而不是隧道)來保護(hù)源計(jì)算機(jī)和目標(biāo)計(jì)算機(jī)之間的通信安全。它并不涉及在 Active Directory 中使用組策略分發(fā) IPSec 策略。IPSec 策略配置是非常靈活的，也是非常強(qiáng)大的，盡管要想設(shè)置正確需要理解 IKE 和 IPSec 協(xié)議本身。有許多安全配置問題必須加以注意。請(qǐng)閱讀聯(lián)機(jī)幫助，并搜索 Microsoft 知識(shí)庫以查找與 IPSec 相關(guān)的文章。然后閱讀下面的說明以幫助弄清哪些功能在策略配置中故意不受支持。 IPSec 策略應(yīng)設(shè)計(jì)成不管配置多少策略，始終只有一個(gè)身份驗(yàn)證方法可

41、以在一對(duì)主機(jī)之間使用。如果有多個(gè)規(guī)則應(yīng)用到同一對(duì)計(jì)算機(jī)(只看源 IP 地址和 IP 地址)，必須確信哪些規(guī)則允許該計(jì)算機(jī)使用相同的身份驗(yàn)證方法。還必須要確保用于該身份驗(yàn)證方法的憑據(jù)是有效的。例如，IPSec 管理單元能使您配置一個(gè)規(guī)則，該規(guī)則使用 Kerberos 只驗(yàn)證在兩個(gè)主機(jī) IP 地址之間的 TCP 數(shù)據(jù)，創(chuàng)建帶有相同地址的第二條規(guī)則，但指定 UDP 數(shù)據(jù)使用證書進(jìn)行身份驗(yàn)證。此策略不會(huì)正常工作，因?yàn)楫?dāng)出站數(shù)據(jù)通信設(shè)法查找策略中的匹配規(guī)則以便以主要模式(該模式只可以使用 IKE 數(shù)據(jù)包的源 IP 地址)響應(yīng)時(shí)，出站數(shù)據(jù)通信可以比在目標(biāo)計(jì)算機(jī)上使用的 IKE 協(xié)商更準(zhǔn)確地選擇一條規(guī)則(因

42、為它匹配協(xié)議 UDP，而不只是地址)。因此，此策略配置在一對(duì) IP 地址(主機(jī))之間使用了兩個(gè)不同的身份驗(yàn)證方法。為避免這種問題，不要使用協(xié)議或端口特有的篩選器來協(xié)商通信安全。相反，將協(xié)議和端口特有的篩選器主要用于允許和閉鎖操作。 2. 不允許對(duì)通信進(jìn)行單向 IPSec 保護(hù) IPSec 策略不允許采用 IPSec 對(duì)通信進(jìn)行單向保護(hù)。如果創(chuàng)建一條規(guī)則以保護(hù)主機(jī) A 和 B 的 IP 地址之間的通信，那么必須在同一篩選器列表中指定從 A 到 B 之間的通信和從 B 到 A 之間的通信?？梢栽谕缓Y選器列表中創(chuàng)建兩個(gè)篩選器來完成這件事?；蛘撸梢缘?IPSec 管理單元的篩選器規(guī)范屬性對(duì)話框中選

43、擇鏡像框。此選項(xiàng)在默認(rèn)情況下是選中的，因?yàn)楸Ｗo(hù)必須雙向協(xié)商，即使大部分情況下數(shù)據(jù)通信本身只向一個(gè)方向流動(dòng)。 可以創(chuàng)建單向篩選器以閉鎖或允許通信，但不能用來保護(hù)通信安全。要保護(hù)通信安全，必須手工指定篩選器鏡像或使用鏡像復(fù)選框讓系統(tǒng)自動(dòng)生成。 3. 計(jì)算機(jī)證書必須有私鑰 若獲取證書不當(dāng)，就可能導(dǎo)致這樣一種情況，即，證書存在，且被選擇用于 IKE 身份驗(yàn)證，但無法發(fā)揮作用。因?yàn)樵诒镜赜?jì)算機(jī)上與證書的公鑰對(duì)應(yīng)的私鑰不存在。 4. 驗(yàn)證證書是否有私鑰 (1) 在“開始”菜單上，單擊“運(yùn)行”，然后在文本框中輸入“mmc”。單擊“確定”按鈕。 (2) 在“控制臺(tái)”菜單上，單擊“添加/刪除管理單元”，然后單擊

44、“添加”按鈕。 (3) 在“管理單元列表”中，雙擊證書。單擊“關(guān)閉”按鈕，然后單擊“確定”按鈕。 (4) 展開證書-用戶(本地計(jì)算機(jī))，然后展開個(gè)人。 (5) 單擊“證書文件夾”按鈕。 (6) 在右窗格中，雙擊想檢查的證書。 (7) 在“常規(guī)”選項(xiàng)卡中，應(yīng)看到這樣的文字：您有一個(gè)與該證書對(duì)應(yīng)的私鑰。如果看不到此消息，那么系統(tǒng)就不能順利地將此證書用于 IPSec。 這取決于該證書的申請(qǐng)方式，以及在主機(jī)的本地證書存儲(chǔ)中的填充方式，此私鑰值可能不存在，或可能在 IKE 協(xié)商期間不可用。如果個(gè)人文件夾中的證書沒有對(duì)應(yīng)的私鑰，那么證書注冊(cè)失敗。如果證書是從 Microsoft Certificate S

45、erver 中獲得，且設(shè)置了強(qiáng)私鑰保護(hù)選項(xiàng)，則每次使用私鑰在 IKE 協(xié)商中給數(shù)據(jù)簽名時(shí)，都必須輸入 PIN 號(hào)碼以訪問私鑰。由于IKE協(xié)商是在后臺(tái)由系統(tǒng)服務(wù)執(zhí)行的，服務(wù)沒有窗口可用來提示用戶。因此，以此選項(xiàng)獲得的證書不能用于 IKE 身份驗(yàn)證。 5. 建立和測(cè)試最簡(jiǎn)單的端對(duì)端策略 大多數(shù)問題，特別是互操作性問題，都可以通過創(chuàng)建最簡(jiǎn)單的策略而不是使用默認(rèn)策略來解決。當(dāng)創(chuàng)建新策略時(shí)，不要啟用 IPSec 隧道，或默認(rèn)響應(yīng)規(guī)則。在“常規(guī)”選項(xiàng)卡上編輯策略，編輯密鑰交換，以便只有一個(gè)選項(xiàng)目標(biāo)計(jì)算機(jī)可以接受。例如，使用RFC2049要求的DES選項(xiàng)SHA1和Low(1) 1 Diffie Hellma

46、n組。創(chuàng)建篩選器列表，并帶有一個(gè)鏡像篩選器，指出“我的 IP 地址”的源地址和您嘗試與其安全地通信的 IP 地址的目標(biāo)地址。建議通過創(chuàng)建只包含 IP 地址的篩選器進(jìn)行測(cè)試。創(chuàng)建自己的篩選器操作以只使用一個(gè)安全措施來協(xié)商安全。如果想用數(shù)據(jù)包嗅探器查看采用 IPSec 格式的數(shù)據(jù)包的通信，可使用“中等安全”(AH 格式)。否則，選擇自定義，并建立一個(gè)單一的安全措施。例如，使用 RFC 2049 要求的參數(shù)集，如使用選中 SHA1 的 DES 的格式 ESP，不指定生存周期，且沒有“完全向前保密 (PFS)”。要確保在安全措施中兩個(gè)復(fù)選框都被清除，以便它為目標(biāo)計(jì)算機(jī)要求 IPSec，并不會(huì)與非 IP

47、Sec 計(jì)算機(jī)通信，且不接收不安全的通信。在規(guī)則中使用預(yù)先共享的密鑰的身份驗(yàn)證方法，并要確保在字符中沒有空格。目標(biāo)計(jì)算機(jī)必須使用完全相同的預(yù)先共享的密鑰。 備注： 必須在目標(biāo)計(jì)算機(jī)上進(jìn)行相同的配置，只是源和目標(biāo)的 IP 地址顛倒一下。 應(yīng)在計(jì)算機(jī)上指派此策略，然后從該計(jì)算機(jī) ping 目標(biāo)計(jì)算機(jī)?？梢钥吹?ping 返回協(xié)商安全。這表明在匹配策略的篩選器，IKE 應(yīng)為 ping 數(shù)據(jù)包嘗試與目標(biāo)計(jì)算機(jī)協(xié)商安全。如果從ping目標(biāo)計(jì)算機(jī)的多次嘗試中繼續(xù)看到協(xié)商IP安全，那么可能沒有策略問題，而是可能有 IKE 問題。 6排除 IKE 協(xié)商中的故障 IKE 服務(wù)作為IPSec策略代理程序服務(wù)的一部

48、分運(yùn)行。要確保此服務(wù)在運(yùn)行。 要確保為審核屬性審核登錄事件啟用了成功和失敗審核。IKE 服務(wù)將列出審核項(xiàng)目，并在安全事件日志中提供協(xié)商為什么失敗的解釋。 (1) 清除 IKE 狀態(tài)：重新啟動(dòng)IPSec策略代理程序服務(wù) 要想完整地清除 IKE 協(xié)商的狀態(tài)，當(dāng)作為本地管理員登錄時(shí)，必須使用下面的命令，從命令行解釋器提示符停止和啟動(dòng)策略代理程序服務(wù)： net stop policyagentnet start policyagent (2) 反復(fù)嘗試這些步驟以保護(hù)通信安全 注意：當(dāng)停止IPSec策略代理程序服務(wù)時(shí)，IPSec篩選器保護(hù)將被停用?；顒?dòng)的VPN隧道將不再受到IPSec保護(hù)。如果也在運(yùn)行路

49、由或遠(yuǎn)程訪問服務(wù)，或啟用了傳入VPN連接，那么在重新啟動(dòng)IPSec策略代理程序服務(wù)之后，必須停止和重新啟動(dòng)遠(yuǎn)程訪問服務(wù)，命令為 net start remoteaccess。 (3) 使用安全日志以查看 IKE 錯(cuò)誤 當(dāng)IKE協(xié)商失敗時(shí)，安全事件日志會(huì)記錄失敗的原因。使用這些消息以檢測(cè)失敗的協(xié)商及其原因，必須使用本指南開始時(shí)的步驟啟用審核。 (4) 使用數(shù)據(jù)包嗅探器 為進(jìn)行更詳細(xì)的調(diào)查，可使用數(shù)據(jù)包嗅探器(如 Microsoft 網(wǎng)絡(luò)監(jiān)視器)，以捕獲正在交換的數(shù)據(jù)包。記住，在 IKE 協(xié)商中使用的數(shù)據(jù)包的大多數(shù)內(nèi)容都是加密的，且不能由數(shù)據(jù)包嗅探器解釋。另外，還應(yīng)嗅探計(jì)算機(jī)上所有來來往往的通信，

50、以確保您看到應(yīng)該看到的通信。Windows 2000 Server 上提供了 Microsoft 網(wǎng)絡(luò)監(jiān)視器的有限制的版本。在默認(rèn)情況下它不安裝，因此您必須依次選擇“控制面板”“添加/刪除 Windows 組件”“管理和監(jiān)視工具”，然后選擇“網(wǎng)絡(luò)監(jiān)視工具”，按照所要求的步驟操作。 (5) 使用 IKE 調(diào)試追蹤(專家用戶) 安全日志是判斷IKE協(xié)商失敗原因的最好位置。但是，對(duì)于IKE協(xié)議協(xié)商方面的專家來說，應(yīng)使用注冊(cè)表項(xiàng)啟用IKE協(xié)商的調(diào)試追蹤選項(xiàng)。日志在默認(rèn)情況下是被禁用的。要啟用調(diào)試日志，必須停止IPSec策略代理程序服務(wù)，然后再啟動(dòng)。 (6) 啟用由 IKE 進(jìn)行的調(diào)試日志 從 Wind

51、ows 桌面，選擇“開始”“運(yùn)行”，然后在文本框中輸入regedt32。單擊“確定”按鈕就啟動(dòng)了注冊(cè)表編輯器。 瀏覽到本地機(jī)器上的 HKEY_LOCAL_MACHINE。 瀏覽到下列位置：SystemCurrentControlSetServicesPolicyAgent。 雙擊 PolicyAgent。 如果 Oakley 項(xiàng)不存在，選擇“編輯”“添加”項(xiàng)。 輸入項(xiàng)名稱(區(qū)分大小寫)：Oakley。 讓類別保留空白，然后單擊“確定”按鈕。 選擇新項(xiàng) Oakley。 在編輯菜單上，單擊添加數(shù)值。 輸入值名稱(區(qū)分大小寫)：EnableLogging 選擇數(shù)據(jù)類型REG_DWORD 并單擊“確定

52、”按鈕。 輸入值1。選中十六進(jìn)制作為基數(shù)，單擊“確定”按鈕。 從注冊(cè)表編輯器退出。 在Windows 2000命令提示符下，輸入net stop policyagent，然后輸入net start policyagent 以重新啟動(dòng)與 IPSec 相關(guān)的服務(wù)。 在默認(rèn)情況下該文件將被寫到 windirdebugoakley.log，在策略代理程序服務(wù)重新啟動(dòng)之后，文件 oakley.log.sav 是日志的上一個(gè)版本。 日志中的項(xiàng)目限于 50 000，這樣通常可將文件大小限制到6MB以下。 (7) 其他信息 有關(guān) Microsoft Windows 2000 操作系統(tǒng)的最新信息，可訪問萬維網(wǎng)站

53、點(diǎn) 和 Microsoft 網(wǎng)絡(luò)上的 Windows NT Server Forum (GO WORD: MSNTS)。 (8) IPSec 工具和信息 在Windows 2000操作平臺(tái)CD上 用于策略配置的IPSec管理單元顯示活動(dòng)狀態(tài)的 IPSecmon.exe 監(jiān)視器，顯示：網(wǎng)絡(luò)連接 UI IPSec 屬性； 事件日志管理單元；顯示本地安全審核策略的組策略管理單元； oakley.log 中的 IKE日志； 聯(lián)機(jī)幫助；上下文相關(guān)的幫助。 9.3.3 IPsec VPN調(diào)試命令參數(shù)解釋debug crypto ike命令命令說明: 打開IKE調(diào)試開關(guān)命令格式:vpn#debug cryp

54、to ike all | crypt | dns | downloaded-script | emitting | event | kernel | lifecycle | natt | normal | parsing | private | raw | syslogvpn#no debug crypto ike all | crypt | dns | downloaded-script | emitting | event | kernel | lifecycle | natt | normal | parsing | private | raw | syslog參數(shù)說明:all: 所有I

55、KE調(diào)試信息crypt: IKE算法相關(guān)的調(diào)試信息dns: IKE協(xié)商過程中與DNS相關(guān)的調(diào)試信息downloaded-script: 配置下載過程的調(diào)試信息emitting: IKE協(xié)商過程中發(fā)出報(bào)文的詳細(xì)內(nèi)容event: IKE的時(shí)鐘事件相關(guān)調(diào)試信息kernel: IKE與內(nèi)核之間的調(diào)試信息lifecycle: IKE協(xié)商過程中與生存期相關(guān)的調(diào)試信息natt: IKE協(xié)商過程中與NAT穿越相關(guān)的調(diào)試信息normal: IKE協(xié)商過程中通常使用的調(diào)試信息parsing: IKE協(xié)商過程中接收到的報(bào)文內(nèi)容調(diào)試信息raw: IKE協(xié)商報(bào)文的原始內(nèi)容調(diào)試信息syslog: IKE發(fā)送給SYSLOG

56、服務(wù)器的調(diào)試信息 2. debug crypto ipsec 命令命令說明: 顯示IPsec 調(diào)試信息命令格式: vpn#debug crypto ipsec all | normal | pfa | ipcomp | address tx|rx | packet tx|rx |fragmentvpn#no debug crypto ipsec參數(shù)說明:All: 打開所有IPsec調(diào)試信息Normal: 打開通常使用IPsec調(diào)試信息Pfa: 打開IPsec PFA的調(diào)試信息Ipcomp: 打開IPComp的調(diào)試信息address tx|rx: 打開IP報(bào)文地址調(diào)試信息，tx:顯示外出報(bào)文地址

57、信息，rx：顯示內(nèi)入報(bào)文地址信息，不指定則顯示雙向地址信息。packet tx|rx: 打開IP報(bào)文內(nèi)容調(diào)試信息，tx:顯示外出報(bào)文內(nèi)容信息，rx：顯示內(nèi)入報(bào)文內(nèi)容信息，不指定則顯示雙向內(nèi)容信息。Fragment: 打開IP報(bào)文為分片時(shí)調(diào)試處理信息9.3.4 IPsec VPN常見故障處理1. 故障一：IPsec VPN隧道無法建立可能的原因:(1) 兩端VPN設(shè)備無法互通判斷方法和解決方案:從一端VPN設(shè)備ping另外一端，看是否能否ping通。如果不通，檢查網(wǎng)絡(luò)連接情況。(2) 兩端VPN可以ping通，但是相互收不到IKE協(xié)商報(bào)文判斷方法和解決方案: 檢查VPN是否配置ACL或者前端是否

58、有防火墻，禁止了IKE協(xié)商報(bào)文，需要在ACL或者防火墻上開放UDP500/4500端口； 檢查發(fā)起方VPN的內(nèi)網(wǎng)口是否UP，特別是3005C-104以SW接口作為內(nèi)網(wǎng)口，LAN口上沒有接PC，SW口無法UP，將導(dǎo)致擴(kuò)展ping不通對(duì)端。(3) 兩端VPN采用證書認(rèn)證方式，但是沒有證書或者證書無效；采用預(yù)共享密鑰方式認(rèn)證沒有配置密碼判斷方法和解決方案: 通過show cry ike sa查看IKE隧道狀態(tài)沒有任何信息； 打開debug cry ike normal，提示%IKE-ERR: cant initiate, no available authentication material (c

59、ert/psk) ； sh crypto ca certificates，查看證書是否有效。 (4) 兩端IKE和IPsec策略不一致判斷方法和解決方案: 如果采用主模式，查看IKE狀態(tài)停止在STATE_MAIN_I1，采用積極模式，IKE狀態(tài)停止在STATE_AGGR_I1，說明可能是兩端策略不一致，通過show cry ike proposal和show cry ipsec proposal查看兩端策略是否相同； 打開debug cry ike normal，提示ignoring notification payload, type NO_PROPOSAL_CHOSEN 。(5) 兩端VP

60、N設(shè)備配置了ID不是IP地址作為身份標(biāo)識(shí)，而是域名或者其他，但是采用IKE協(xié)商采用主模式 判斷方法和解決方案: 查看IKE KEY配置了identity，但是tunnel配置中配置了set mode main； 查看IKE狀態(tài)停止在STATE_MAIN_I1狀態(tài)。(6) 對(duì)端VPN設(shè)備配置錯(cuò)誤ID或者沒有配置ID判斷方法和解決方案:查看IKE KEY配置了identity，但是tunnel配置中沒有配置ID；查看IKE狀態(tài)停止在STATE_AGGR_I1狀態(tài)；有%IKE-ERR: Aggressive Mode packet from :500 has invalid ID報(bào)錯(cuò)。 (7) 兩端