在Win2000建基于IPSec的VPN

在Win2000建基于IPSec的VPN

前言：

VPN是虚拟专用网（Virtual Private Network）的缩写，VPN就是利用开放的公众网络建立专用数据传输通到，将企业的分支机构、商业伙伴、移动办公等连接起来，并且提供安全的端到端的数据通信的一种广域网技术。目前，VPN的应用越来越广泛，而且大多数的VPN都是用路由器或防火墙等硬件加软件实现的。实现虚拟专用网技术（VPN）的协议虽然很多，但其具体实现都是采用隧道技术,将企业网的数据封装在隧道中进行传输。隧道协议可分第二层和第三层隧道协议。第二层隧道协议包括：点对点隧道协议PPTP（Point-to-Point Tunneling Protocol）、第二层转发协议L2F(Layer 2 Forwarding)、第二层隧道协议L2TP(Layer 2 Tunneling Protocol)；第三层隧道协议包括：通用路由封装GRE(Generic

Routing Encapsulation)、IPSec(IP Security )。

微软在Windows 2000中全面实现了PPTP 、L2TP、 IPSec协议，在以前的Windows NT4中只实现了PPTP，本文介绍如何在Windows 2000中配置建立基于IPSec的VPN应用。

IPSec 简介：

IPSec实际上是一套协议包而不是单个的协议，IPSec是在IP网络上保证安全通信的开放标准框架，它在IP层提供数据源验证、数据完整性和数据保密性。其中比较重要的有RFC2409 IKE（Internet Key Exchange）互连网密钥交换、RFC2401 IPSec协议、RFC2402 AH（Authentication Header）验证包头、RFC2406 ESP (Encapsulating Security Payload)加密数据等协议。IPSec独立于密码学算法，这使得不同的用户群可以选择不同一套安全算

法。

IPSec主要由AH（认证头）协议，ESP（封装安全载荷）协议以及负责密钥管理的IKE（因特网密钥交换）协议组成。AH为IP数据包提供无连接的数据完整性和数据源身份认证。数据完整性通过消息认证码（如MD5、SHA1）产生的校验值来保证，数据源身份认证通过在待认证的数据中加入一个共享密钥来实现。ESP为IP数据包提供数据的保密性（通过加密机制）、无连接的数据完整性、数据源身份认证以及防重防攻击保护。AH和ESP可以单独使用，也可以配合使用，通过组合可以配置多种灵活的安全机制。密钥管理包括IKE协议和

安全联盟SA（Security Association）等部分。IKE在通信双方之间建立安全联盟，提供密钥确定、密钥管理机制，是一个产生和交换密钥材料并协商IPSec参数的框架。IKE将密钥

协商的结果保留在SA中，供AH和ESP通信时使用。

IPSec工作模式支持传输模式和隧道模式，在公共IP网上建立私有IP地址的VPN就只

能使用隧道模式。

Windows 2000中IPSec 配置

本例主要介绍的是基于IPSec的VPN中网关到网关的模拟环境配置步骤。其中地址均为假设的。图示如下图1，所需环境为：两台安装Windows 2000 Server的PC机，分别安装两块网卡，我们称其为A机和B机，A机所在私有地址段为192.168.5.0/255.255.255.0，

互联网端网卡IP地址为202.1.1.1/255.255.255.0 ，B机所在私有地址段为192.168.6.0/255.255.255.0 , 互联网端网卡IP地址为202.1.1.2/255.255.255.0，用一交叉网线直连A、B两机模拟互联网，另外一台内网PC机地址192.168.6.2/255.255.255.0，

称为C机。目的是通过VPN将两段内部网络互联。

图1：配置IPSec 的模拟网络环境图

IPSec网关A机和B机需要配置的主要内容为：创建IPSec策略；定义IPSec 筛选器列表(filter list）;配置IPSec 筛选器操作（Filter Action）;配置身份验证方法。具体步

骤如下：

A机上的配置步骤：

创建IPSec策略：

a) 在A机上运行IPSec策略管理控制台。（方法：“开始”*“程序”*“管理工具”*“本地安全策略”）右击“IP安全策略，在本地机器”，选择“创建IP安全策略”，出现IP

安全策略向导。 b) 单击“下一步”

c) 命名所建的安全策略，比如“A和B的安全通信”， 单击“下一步”

d) 清除“激活默认响应规则”复选框， 单击“下一步”

e) 选中“编辑属性” 复选框， 单击“完成”，至此已创建名为“A和B的安全通信”的

IP安全策略，以下步骤为设置其属性。

定义IPSec 筛选器列表：

a) 在“A和B的安全通信” 属性框中，清除“使用添加向导”复选框，单击“添加”按钮，

添加IP IPSec 筛选器

b) 命名筛选器，比如为“A到B的筛选器”， 清除“使用添加向导”复选框，单击“添加”

按钮，出现筛选器属性对话框

c) “源地址”选择“一个特定的子网”，“目标地址” 也选择“一个特定的子网”，分别填上IP地址，清除“镜像”复选框，在“协议”标签中“选择协议类型”为“任意”，如下图2所示，单击“确定”，再单击“关闭”，至此已添加好名为“A到B的筛选器”的筛

选器。

图2：“A到B的筛选器”具体配置信息

定义IPSec 筛选器操作：

a) 在“编辑规则属性”对话框中，单击“IP筛选器列表”标签，选中新建的“A到B的筛选器”， 再单击“IP筛选器操作”标签，单击“添加”按钮，在“筛选器操作属性” 对话框中，选择“常规”标签，命名该操作，比如“A和B筛选器操作”， 选择“安全措施”

标签，单击“添加”按钮

b) 选择“自定义”单选框，单击“设置” 按钮

c) 在此对话框中，设置AH完整性算法和ESP完整性算法和加密算法，比如AH选MD5，ESP选SHA1和3DES，单击“确定”，再单击“确定”，出现如下对话框（图3），单击“确定”，

至此已添加好名为“A到B的筛选器操作”的筛选器操作。

图3 筛选器操作属性对话框

配置身份验证方法：

身份验证方法定义在筛选器适用的通讯中需如何验证标识。双方都必须至少有一个通用身份验证方法，否则通讯将失败。Windows 2000 提供Kerberos、公钥证书、指定预共享密钥三种身份验证方法，使用Kerberos需合理设置A、B机之间的域关系，使用公钥证书需申请和安装相应证书，甚至需建立CA（Certification Authority）中心，为简化起见，此处只介绍使用指定预共享密钥的身份验证方法配置步骤。

a) 在“编辑规则属性”对话框中，确保在“IP筛选器列表”标签中选中“A到B筛选器”，在“IP筛选器操作”标签中选中“A到B筛选器操作”， 然后单击“身份验证方法”标签。 b) 单击“添加” 按钮，选择“此字串用来保护密钥交换（预共享密钥）”单选框，输入“123456789”， 单击“确定”。 至此已配置好身份验证方法，如下图4。