在 ISA Serve 2004 和 Cisco Pix v6.3.1 之间配置 IPSec 隧道模式 VPN
发布日期: 2005年02月25日
本页内容
简介
由于 ISA Server 的网络地址转换 (NAT) 驱动程序和 IPSec 之间不兼容,Internet 协议安全 (IPSec) 的防火墙管理员将无法使用 Microsoft Internet Security and Acceleration (ISA) Server 2000 来实现隧道模式。(在使用“路由和远程访问”中的 NAT 时也会遇到同样的问题。)这只会中断隧道模式下的 IPSec。建议的解决方案是使用第二层隧道协议 (L2TP),因为 L2TP 使用一种传输模式策略,因而不会遇到这个问题。
使用 ISA Server 2004 消除了 NAT 交互的不兼容性,现在就可以实现 IPSec 隧道模式。注意,Microsoft Windows Server 2003 和 Windows 2000 Server 中仍然存在与路由和远程访问 NAT 不兼容的问题。
有关这种情景的更多信息,请参阅以下文章:
本指南不用术语“IPSec 隧道 (IPSec tunnel)”来指代两个网络之间的封装。使用“IPSec 隧道”可能导致混淆,因为该术语用于指代任何类型的 IPSec 保护——不管是传输模式还是隧道模式。更确切地说,为了避免混淆,本指南使用术语“IPSec 隧道模式策略”来指代该配置。
隧道模式下的 IPSec 的网络捕获
本节简要介绍了 IPSec 如何在隧道模式下工作。对于网络拓扑图,请参见本文档后面的图 4。
在这个例子中,流量从 Cisco Pix Internal 网络中的客户端发出,通过 IPSec 隧道模式策略,然后到达 ISA Server 网络。在使用封装式安全措施负载 (ESP) 时,流量通常使用数据加密标准 (DES) 或三重 DES (3DES) 来加密并使用 SHA1 或 MD5 来验证。然而,您可以指定使用“空(无)加密”,以便能够看到数据包。 最开始会配置一个带加密的 IPSec 隧道模式策略,然后指定“空加密”,以便在带 ESP 的数据包通过网络时能够看到其结构。
图 1 显示了一个客户端 (172.25.3.10),此客户端使用 PING 协议搜索一台位于 IPSec 隧道模式策略上的服务器 (172.25.10.10)。这是数据包在 IPSec 保护之前的样子。右下窗格中的数据“abcdefghijklmnop...”是 Windows 客户端用于 Internet 控制消息协议 (ICMP) 的数据。
图 1 从 172.25.3.10 上的网卡进行的捕获
图 2 显示了当 IPSec 在隧道模式中使用由 3DES 加密的 ESP 对 PING 进行保护时的结果。在该图中,源地址和目标地址中,原始客户端源地址和服务器目标地址被替换。现在源地址是 PIX 系统的外部地址 (192.168.55.1),目标地址是 ISA Server 系统 (192.168.55.100)。IP 标头下面的客户端源地址、目标地址和数据“abcdefghijklmnop...”是加密的,因此您不能进一步解密数据包结构。
图 2 从 ISA Server (192.168.55.100) 的外部接口进行的捕获
图 3 显示了在使用空加密的 ESP 以及使用 MD5 进行身份验证时的 PING 的结果。该图显示了所添加的 IPSec IP 标头(使用黑实线来高亮显示),其中包含作为源和目标的隧道模式策略终结点、ESP 标头、原先的 IP 标头(使用黑虚线来高亮显示),以及 ICMP 有效载荷。而且,您还能够读取底部窗格中的数据“abcdefghijklmnop...”——即使其在 ESP 中
图 3 从 ISA Server (192.168.55.100) 的外部接口进行的捕获
查看大图
IPSec 是通过两个步骤实现这点的。第一步称为“主模式”,第二步称为“快速模式”。(还有另外一种代替“主模式”的模式,称为“攻击性模式”,但是没有包括在任何 Windows 操作系统中。)对“主模式”和“快速模式”所完成的工作的综合解释超出了本文档的范围,但是在“Windows Server 2003 资源工具包”中对这部分内容进行了详细的说明 (http://go.microsoft.com/fwlink/?LinkId=32054)。
“主模式”负责验证 IPSec 隧道模式策略的两个方面(使用证书或预共享密钥),并负责生成用于保护第二部分(“快速模式”)的 Diffie-Hellman 密钥。“主模式”期间还会协商其他参数,但是以上这两个任务是主要的功能。
“快速模式”负责协商特定的协议和将要包括在 IPSec 隧道模式策略中的源和目标地址。此外,“快速模式”还协商该流量的保护方式(使用加密算法 DES 或 3DES ,以及使用验证算法 SHA1 或 MD5)。还有其他需要协商的设置,不过主要任务就是这些了。
网络拓扑
本文档所描述的情境基于此图中所显示的网络拓扑。
使用 ISA Server 2004 和 Cisco Pix v6.3.1 的 IPSec 隧道模式——演练
在这个演练中,您将配置 ISA Server 2004,配置 Cisco PIX 501,然后协调 ISA Server 和 PIX 中的 IPSec 策略。
演练第一部分:配置 ISA Server 2004
在 ISA Server 安装完成之后,请在 ISA Server 计算机上执行以下步骤来设置 IPSec 隧道模式的配置:
1. | 创建一个定义 PIX 系统之后的 IP 子网以及 IPSec 隧道模式配置的 IPSec 设置的远程站点网络。 |
2. | 创建一个定义如何向 PIX 网络传递流量(使用 NAT 或传送流量)的网络规则。 |
3. | 创建一个定义哪些流量可以传递到 PIX 网络的防火墙策略访问规则。 |
步骤 1:创建一个远程站点网络
远程站点网络定义了 PIX 系统之后的网络,还定义了隧道模式配置的 IPSec 设置。“新建站点间网络向导”创建了一个 IPSec 设置策略,此策略在“IPSec 策略管理”控制台中不可见。“主模式”和“快速模式”设置将由该向导动态地插入 IPSec 驱动程序。如要创建远程站点网络,请执行以下步骤。
1. | 如要启动该向导,请在“ISA Server”控制台中选择“虚拟专用网络 (VPN)”节点,然后选择“远程站点”选项卡。在“任务”选项卡上,单击“添加远程站点网络”。 
|
2. | 在这个例子中,将创建一个指定在 PIX 系统之后通过 IPSec 隧道模式配置可访问的 IP 地址范围的网络定义。输入名称“PIXNet”,然后单击“下一步”。 |
3. | 选择“IP 安全协议 (IPSec) 隧道模式”,然后单击“下一步”。
|
4. | 输入隧道模式终结点地址。PIX 系统是远程 VPN 网关,ISA Server 是本地 VPN 网关。然后单击“下一步”。
|
5. | 选择您想要对“主模式”协商执行的身份验证类型。对于这个例子,请选择“使用预共享密钥执行身份验证”,并输入“123456789”来进行初始测试。然后单击“下一步”。
|
6. | 单击“添加”以添加可通过隧道模式配置访问的 IP 地址范围(该子网在 PIX 系统之后)。
|
7. | 如果希望包含发送到 PIX 系统的外部接口的流量,则指定其地址。在下面的例子中,子网 (172.25.3.0) 定义在 PIX 系统的后面。单击“下一步”。
|
8. | 单击“完成”来完成该向导。在完成该向导之后,单击“应用”来激活配置更改。
|
在应用了这些更改之后,可以从 ISA Server 处或者通过使用命令行实用工具来查看 IPSec 设置。存在两种从 ISA Server 查看该设置的方法。若要使用第一种方法来查看 IPSec 设置,请执行以下步骤。
1. | 在“远程站点”选项卡上,选择您刚才创建的远程站点网络对象。
查看大图 |
2. | 在“任务”选项卡上,单击“查看远程站点的 IPSec 策略”。下面的对话框将会出现。
|
或者,若要使用另一种方法来查看 IPSec 设置,请执行以下步骤。
1. | 在“任务”选项卡上,单击“配置远程站点”。
查看大图
|
2. | 选择“连接”选项卡,然后单击“IPSec 设置”。将显示阶段 I 设置。
|
3. | 单击“阶段 II”选项卡。
|
还可以使用命令行实用程序 NETSH 来查看“主模式”和“快速模式”策略和筛选器:
| ? | 主模式策略“c:\netsh ipsec dynamic show mmpolicy all” IKE MM 策略名称 :ISA Server PIXNet MM 策略 IKE Soft SA 生存周期:28800 secs 加密 完整性 DH 生存周期 (Kb:secs) QM Limit Per MM ------------------------------------------------------------------------------------------------------------------------------------------------------- 3DES SHA1 2 0:1728000 0 |
| ? | 主模式筛选器“c:\netsh ipsec dynamic show mmfilter all” “主模式”筛选器:通用 ------------------------------------------------------------------------------- 筛选器名称 :IPSec{4ECE7FAD-F0A7-45FB-BAF7-4E193EB814F6} 连接类型 :全部 源地址 :<My IP Address> (255.255.255.255) 目标地址 :192.168.55.100?????? (255.255.255.255) 身份验证方法:预共享密钥 安全性方法 :1 3DES/SHA1/DH2/1728000/QMlimit=0 ------------------------------------------------------------------------------- 筛选器名称 :IPSec{163EABB5-9F2B-44ED-B80E-4D7C462E4846} 连接类型 :全部 源地址 :<My IP Address> (255.255.255.255) 目标地址 :192.168.55.1??????(255.255.255.255) 身份验证方法:预共享密钥 安全性方法 :1 3DES/SHA1/DH2/1728000/QMlimit=0 2 个通用筛选器 |
| ? | 快速模式策略“c:\netsh ipsec dynamic show qmpolicy all” QM 协商策略名称:ISA Server PIXNet QM 策略 安全性方法 生存周期 (Kb:secs) PFS DH 组 ------------------------------------------------------------------------------------------------------------------- ESP[3DES,SHA1] 0:3600 Medium (2) |
| ? | 快速模式筛选器“c:\>netsh ipsec dynamic show qmfilter all” 快速模式筛选器(隧道):通用 ------------------------------------------------------------------------------- 筛选器名称 :IPSec{F886828B-A23B-4659-9F29-0B6129A3C9F8} 连接类型 :全部 源地址 :172.25.10.0?????? (255.255.255.0??) 目标地址 :172.25.3.0????????(255.255.255.0??) 隧道源 :<Any IP Address> 隧道目标 :192.168.55.1 协议 :任意 源端口:0 目标端口:0 镜像 :否 快速模式策略:ISA Server PIXNet QM 策略 入站操作 :协商 出站操作 :协商 |
现在您已创建了一个远程站点网络,并且已查看了对 IPSec 设置的更改。既然已经定义了远程站点网络,下一步就是定义 ISA Server 内部网络和 PIX 远程网络之间的关系。在下一节中,您将定义是让流量使用 NAT 还是被路由到远程网络。
步骤 2:创建网络规则
如要创建网络规则,请执行以下步骤。
1. | 在“ISA Server”控制台中,选择“配置”,选择“网络”,选择“网络规则”选项卡,然后在“任务”选项卡上,单击“创建网络规则”。
|
2. | 对于该情境,输入名称“ISANet to PIXNet”,然后单击“下一步”。 |
3. | 在“网络流量源”页面上,单击“添加”。
|
4. | 展开“网络” 节点。 |
5. | 选择“内部”网络,单击“添加”,然后单击“关闭”。
|
6. | 在“网络流量源”页面上,单击“下一步”。 |
7. | 在“网络流量目标”页面上,单击“添加”。
|
8. | 展开“网络” 节点。 |
9. | 选择“PIXNet” 网络,单击“添加”,然后单击“关闭”。
|
10. | 在“网络流量目标”页面上,单击“下一步”。 注意:在这个例子中,流量是在两个网络之间传送的。这是因为 IP 子网是不同的。如果您的方案具有两个重叠的 IP 子网(本地和远程子网都是 192.168.0.x),应该考虑对流量使用 NAT,或者重新定义 IP 子网以避免存在重叠。 |
11. | 在摘要页面上检查规则细节,然后单击“完成”。 |
12. | 在该向导完成之后,单击“应用”来使配置更改生效。
|
这样就创建了一个网络规则。下一步是创建访问规则。
步骤 3:创建访问规则
现在已经定义了远程站点和网络规则,您需要定义哪些流量将通过 IPSec 隧道模式配置进行传递。这是通过防火墙策略来控制的,即创建一个访问规则来指定您想要允许的流量。如要创建访问规则,请执行以下步骤。
1. | 在“ISA Server”控制台中,选择“防火墙策略”,右键单击,选择“新建”,然后单击“访问规则”。
|
2. | 提供准确描述源和目标网络的名称和允许的流量。对于该情境,输入名称“Allow ISANet to PIXNet – All Protocols”,然后单击“下一步”。 |
3. | 在“规则操作”页面上,选择“允许”,然后单击“下一步”。
|
4. | 在“协议”页面上,在“此规则适用于”中,选择“所有出站协议”,然后单击“下一步”。
|
5. | 单击“添加”。
|
6. | 展开“网络”节点。
|
7. | 选择“内部”网络。如果想要允许 ISA Server 向远程网络发送流量,您可以有选择地包括“本地主机”。单击“添加”,单击“关闭”,然后单击“下一步”。
|
8. | 在“访问规则源”页面上,单击“下一步”。
|
9. | 在“访问规则目标”页面上,单击“添加”。
|
10. | 展开“网络”节点。
|
11. | 选择“PIXNet”网络。单击“添加”,然后单击“关闭”。
|
12. | 单击“下一步”。
|
13. | 选择要允许的用户,然后单击“下一步”。
|
14. | 检查摘要屏幕中的设置,然后单击“完成”来完成该向导。 |
15. | 在该向导完成之后,单击“应用”来使配置更改生效。
|
注意:必须完成相同的过程以允许流量从 PIXNet 子网到 ISANet 子网,因为访问规则是“单向的”。
这样就创建了一个远程站点网络、一个网络规则和一个访问规则。现在已经配置了 ISA Server,接下来将配置 PIX 设备。
演练第二部分:配置 Cisco PIX 501
在此演练中,您将访问 PIX 设备管理器 (PDM),然后将使用 VPN 向导来设置隧道模式保护。
步骤 1:访问 PIX 设备管理器
此向导将为演练使用 PIX 设备管理器 (PDM)。如果您希望使用 Cisco CLI 命令,请参见本文档后面的“Cisco CLI 和 Windows Server 2003 NETSH 命令”。
如要访问 PIX 设备管理器,请执行以下步骤。
1. | 打开 Internet Explorer 并输入https://172.25.3.1. 如果服务器没有响应此 HTTPS 请求,也许要验证 HTTP 服务是否在 PIX 上运行。通过控制台访问 PIX 并输入以下命令: pixfirewall>enable
|
2. | 提供“启用”密码,然后将进入“启用”模式(以 PIX 的主机名之后的“#”符号表示): pixfirewall#
|
3. | 现在键入: pixfirewall#show config
|
4. | PIX 配置将出现在显示器上。查看以下几行的输出: http server enable http 172.25.3.0 255.255.255.0 inside 第一行显示 HTTP 服务已启用,第二行显示允许哪些 IP 地址在哪个 PIX 接口上访问 HTTP 服务。 |
5. | 如果没有看到以上条目,请考虑临时启用 HTTP 服务以帮助配置 IPSec 隧道模式设置。如要做到这一点,输入以下命令: pixfirewall# configure terminal pixfirewall (config)# http server enable pixfirewall (config)# http 172.25.3.10 255.255.255.255 inside |
6. | 在完成此操作后,您应该可以从您所指定的客户端访问 PIX 设备管理器。您也许会从 Internet Explorer 收到一个证书警告。确认此错误并继续。您应该看到以下屏幕。
|
7. | 单击“是”。
|
步骤 2:VPN 向导
如要开始进行隧道模式保护设置,请执行以下步骤。
1. | 单击“向导”菜单,然后单击“VPN 向导”。
|
2. | 此向导将开始。选择“站点间 VPN”,在框中选择“外部”,然后单击“下一步”。
|
3. | 在“对等 IP 地址”中,输入 ISA Server 外部 IP 地址“192.168.55.100”.在“预共享密钥”和“重输入密钥”中,输入“123456789”,然后单击“下一步”。
|
4. | 将“加密”更改为“3DES”,将“身份验证”更改为“SHA”,在“DH 组”中,选择“Group 2(1024 位)”。这是在 PIX 和 Windows Server 2003 之间最常见的 Diffie-Hellman 组。这些项对应于 ISA Server 中的“主模式”(阶段 I)设置。单击下一步。
注意:PIX 也可以为 Diffie-Hellman 密钥长度使用更强的 Group 5 (1536)。Windows Server 2003 可以为密钥长度使用 Group 2048 (2048)。密钥长度应该在两端匹配,所以在两端都使用 Group 2。(在创建 IPSec 策略时,ISA Server 向导默认为 Group 2)。同样,PIX 可以使用更强的加密算法 AES-128、192 或 256(高级加密标准),但是 Windows Server 2003 并不包含对使用 IPSec 的 AES 的支持。 |
5. | 在“转换集”页面上,在“加密”中选择“3DES”,在“身份验证”中选择“SHA”,然后单击“下一步”。
|
6. | 在“IPSec 流量选择器”页面上选择“IP 地址”,然后在“接口”中选择“内部”。在“IP 地址”中键入“172.25.3.0”,在“掩码”中选择“255.255.255.0”。单击“>>”按钮,将此地址范围移动到“选定的”框中,然后单击“下一步”。
|
7. | 在“IPSec 流量选择器(继续)”页面中,用户将指定目标 IP 子网 (ISANet)。在“接口”中选择“外部”,在“IP 地址”中键入“172.25.10.0”,然后在“掩码”中选择“255.255.255.0”。单击“>>”按钮,将此地址范围移动到“选定的”框中,然后单击“下一步”。
|
8. | 第一次在 ISA Server 之后添加远程网络时,将提示定义此网络。选择“确定”。
|
9. | 在“创建主机/网络”页面上,在“IP 地址”中键入“172.25.10.0”,在“掩码”中选择“255.255.255.0”。在“接口”中选择“外部”,在“名称(推荐)”中键入“ISANet”以帮助识别此网络。然后单击“下一步”。
通常不需要“静态路由”页面。在此测试情境中,ISA Server 计算机和 PIX 互相指向对方作为其默认网关,所以不需要此页面。此页面在以下屏幕中完成以显示要输入的内容(如果需要此页面)。
例如,如果 ISA Server 计算机和 PIX 在同一个子网中(在实验室期间)并且指向一个公共的默认网关,则需要定义此设置。在两端都需要添加静态路由。这是因为即使 IPSec 拥有一个定义了哪些流量将通过隧道模式配置的 ACL,这也只会使安全关联联机。如果它不知道如何路由到目标,流量将不会通过它。 在生产环境中,ISA Server 和 PIX 将指向它们各自的默认网关,并且每个系统将使用此主机或系统将流量路由到远程子网。
|
10. | 单击“完成”。 |
11. | 这样就完成了此向导,“ISANet”将在“选定的”框中列出。您可以完成 VPN 向导。单击“完成”。
|
演练第三部分:协调 ISA Server 和 PIX 上的 IPSec 策略
在 ISA Server 和 PIX IPSec 隧道模式配置中需要进行一些修改。ISA Server 向导默认的 rekey 值与 PIX VPN 向导的不同。在此情境中,将为简化设置而使两端相互匹配。
在 PIX 上,需要对以下项目进行更改以匹配 ISA Server 配置:
1. | 主模式 (IKE) 将 IKE SA 生存周期(从 VPN 向导的值 86400)更改为 28800 秒。 |
2. | 快速模式 (IPSec) 将 IPSec SA 生存周期更改为 100000 千字节和 1 小时。 启用“完全向前保密”。 |
通过执行以下步骤完成这些任务。
1. | 在 PDM 中,在工具栏上选择“配置”按钮,然后选择“VPN”选项卡。在“类别”下,展开“IPSec”,然后选择“隧道策略”。找到刚才创建的策略,选择此策略,然后单击“编辑”(或双击此策略)。
您应该看到以下对话框。PIX VPN 向导默认的“快速模式”安全关联生存周期为 4608000 千字节 (KB) 和 8 小时,并且不启用“完全向前保密”。 ISA Server 向导默认为每隔 100000 秒重新生成密钥,并且在不启用基于通讯量的密钥重新生成的情况下启用“完全向前保密” (PFS)。 |
2. | 将数据和时间的生存周期分别更改为 100000 KB 和 1 小时。选择“启用完全向前保密”和“Diffie-Hellman Group 2”。单击“确定”。
|
3. | 选择“IKE”,选择“策略”,选择刚才创建的策略,然后选择“编辑”来显示“编辑 IKE 策略”页面。 |
4. | 将 IKE 的“生存周期”从 86400 秒更改为“28800”秒然后选择“确定”。
|
现在已经配置了 PIX,请执行以下步骤以更改 ISA Server 上的一个设置。
1. | 在 ISA Server 控制台中选择“虚拟专用网络 (VPN)”节点,然后单击“远程站点”选项卡。选择 PIXNet 远程站点对象,然后在“任务”选项卡上单击“配置远程站点”。 |
2. | 单击“连接”选项卡,然后单击“IPSec 设置”。将显示阶段 I 设置。
|
3. | 单击“阶段 II”选项卡。选择“生成新密钥间隔”,然后在“秒”中键入“100000”。
|
应该可以从 ISA Server 之后的一个客户端进行 PING,并建立 IPSec 安全关联。如果要从 ISA Server 进行 PING 并建立 IPSec 安全关联,则必须将一个 IPSec 规则添加到 PIX。指定 ISA Server 的外部 IP 地址作为隧道模式配置的一部分。当前只定义了 ISA Server 之后的子网。当 ISA Server 对 PIXNet 进行 PING 时,它将源自它的外部地址,此地址没有在 PIX 中定义。
如要做到这一点,请执行以下步骤。
1. | 在 PDM 中,在工具栏上选择“配置”按钮,然后选择“VPN”选项卡。展开“IPSec”,选择“IPSec 规则”,右键单击一个空白区域,然后单击“添加”。
|
2. | 在“IP 地址”中键入“172.25.3.0”作为本地网络,在“远端主机/网络”下输入如以下屏幕所示的 ISA Server 外部地址。
|
在将此添加到 IPSec 规则中之后,来自 ISA Server 并发往 172.25.3.0 子网的流量将包含在隧道模式配置中。
这就完成了配置 ISA Server 和 Cisco PIX501 以使用 IPSec 隧道模式的预共享密钥身份验证的过程。
用户应该可以从 IPSec 隧道模式策略的两端发送和接收流量。在安全关联联机时将会在通信中有一个简短的延迟,但是这将只持续很短的时间。
如果在使用此配置时遇到了通信问题,请参考以下 Microsoft 知识库 (KB) 文章以帮助解决问题:
如果失败的是“主模式”,则可能是不匹配的预共享密钥、不匹配的“主模式”生存周期或不匹配的 Diffie-Hellman Group 设置。
如果失败的是“快速模式”,则可能是在一端指定了无效的网络筛选器列表(或 ACL)或不匹配的 Diffie-Hellman 设置、“快速模式”安全关联生存周期或加密设置。
测试 ISA Server 隧道模式策略
如要测试 ISA Server 隧道模式策略,请执行以下步骤。
1. | 打开 IPSec 监视器管理单元。单击“开始”,单击“运行”,键入“mmc”,然后单击“确定”。展开“控制台根节点”以查看“主模式”和“快速模式”的安全关联。在“主模式”下,单击“安全关联”。
查看大图
|
2. | 在“快速模式”下,单击“安全关联”。
查看大图 |
测试过程使用不同的应用程序层和传输层协议以确保数据在通过 IPSec 隧道时被正确地加密和解密。下面的数据传输测试可以用来确定 IPSec 隧道模式策略是否成功:
| ? | FTP 传输 FTP 进程使用一个 100 兆字节 (MB) 文件的 FTP GET,重命名该文件,然后使用一个 FTP PUT 将新文件传输回 FTP 服务器。在两次传输完成之后,该进程将在 FTP 服务器上使用来自“Windows 2000 Server 资源工具包”的 Windiff.exe 来执行比较,以确保两个文件是完全相同的。命令行 FTP.exe 实用工具(用于“主动模式”连接)和 Internet Explorer(用于“被动模式”)都用作客户端应用程序。运行 Windows Server 2003 的一台 FTP 服务器位于 Check Point NG 系统之后的网络上。 |
| ? | TFTP 传输 TFTP 复制进程重复 FTP 测试,唯一的区别是 TFTP 传输的是 20 MB 的文件,而不是使用 FTP 传输的 100 MB 的文件。由于 Windows Server 2003、Windows XP 和 Windows 2000 Server 不包含 TFTP 服务器,所以一台第三方 TFTP 服务器(SolarWinds TFTP 服务器 http://www.)将用作测试的 TFTP 服务器。一台 Windows XP 主机是使用命令行实用工具 TFTP.exe 的客户端。 |
| ? | CIFS 传输 CIFS 复制进程在两台计算机之间传输一个包含总共 311 个文件(大约为 50 MB 大小)的三个子文件夹的文件夹结构。使用资源工具包提供的实用工具 ROBOCOPY.exe 并通过 Windows 资源管理器内部的复制将数据从源计算机传输到目标计算机。然后那些文件将从目标计算机复制到源计算机中的一个不同的文件夹结构中。然后使用 Windows 2000 资源工具包的 Windiff.exe 来比较这两个文件夹,以确保数据在传输期间没有被损坏。 |
| ? | 使用特定数据包大小的 PING PING 数据包使用特定的数据包大小从目标计算机发送到源计算机,以通过 IPSec 隧道测试数据包分割和重组。具体来说,所使用的数据包大小为: 2、3、4、5、6、7、8、9、10、20、40、80、160、320、640、1280、1460、1461、1462、1463、1464、1465、1466、1467、1468、1469、1470、1471、1472、1473、1474、1475、1476、1477、1478、1479、1480、1500、3000、6000、12000、24000、48000 和 65500 字节。 |
参考资料
更多信息请参见“Cisco PIX 防火墙和 VPN 配置指南(版本 6.3)”
附录 A
本附录提供了有关配置证书和简单证书注册协议 (SCEP)、通过 SCEP 获取 PIX 的证书以及 Cisco CLI 和 Windows Server 2003 NETSH 命令等的信息。
证书和 SCEP 配置
若要对证书进行配置,请执行以下步骤。
1. | 访问“添加/删除程序”并选择“添加/删除 Windows 组件”。
|
2. | 选择“证书服务”。您应该看到以下提示。单击“是”并返回组件向导。
|
3. | 如要选择 IIS 组件,选择“应用程序服务”并单击“详细信息”。 |
4. | 在下一个对话框中,选择“Internet 信息服务”并选择“详细信息”。
|
5. | 在下一个对话框中,选择“万维网服务”并单击“详细信息”。
|
6. | 在下一个对话框中,选择“Active Server Pages”,选择“万维网服务”,然后单击三次“确定”。如果选择了“万维网发布服务”,则也会默认选择“公共文件”和“Internet 服务管理器”。
|
7. | 在返回主屏幕之后,单击“下一步”继续安装。 |
8. | 在安装证书颁发机构 (CA) 期间应该收到以下提示。选择要实施的 CA 的类型。(决定 CA 类型的详细信息在本文档的范围之外。)单击下一步。
|
9. | 在“此 CA 的公用名”中键入希望使用的名称。对于此情境,在“可分辨名称后缀”中键入“CN=CA,DC=ISAPIXLAB,DC=LOCAL”。然后单击“下一步”。
|
10. | 向导将开始生成加密密钥。在此操作完成之后,单击“下一步”。
|
11. | 确保数据库的默认位置可访问,然后单击“下一步”。
|
12. | 对于以下提示,确保您理解在 Web 服务器上启用 Active Server Pages (ASP) 的含义。在安装了独立的 CA 之后,检索证书的唯一方式是通过使用 CA 网站,此网站必须使用 ASP。在获得证书之后,可以禁止 ASP 的使用,并在以后根据需要再启用。单击“是”。
|
若要配置简单证书注册协议 (SCEP),请执行以下步骤。
若要启用证书,请执行以下步骤。
1. | 如要打开 Certtmpl.msc 文件,单击“开始”,单击“运行”,键入“certtmpl.msc”,然后单击“确定”。 |
2. | 找到 IPSec(脱机申请)证书模板。
|
3. | 转到模板的属性,然后选择“安全”选项卡。添加前面创建的用户 (SCEPUser),并为此用户分配读取和注册权限。 |
4. | 转到 Active Directory 用户和计算机(如果未安装 Active Directory 或 CA 不是域的一部分,则转到计算机管理)。找到 IIS_WPG 用户组并将 SCEPUser 添加到这个组中。 |
完成这些任务将使 SCEPUser 帐户可以为 SCEP 客户端检索证书。
若要在 ISA Server 2004 上的本地机器存储区上安装证书,请执行以下步骤。
1. | 若要访问网站,将 Internet Explorer 指向 ISA Server 的内部 IP 地址作为代理设置。通过访问 http://ca-ip-addresss/certsrv 来访问 CA。您应该看到以下屏幕。选择“申请一个证书”。
|
2. | 选择“提交高级证书申请”。
|
3. | 选择“创建并向此 CA 提交一个申请”。
|
4. | 在“高级证书申请”页面上,输入以下内容: 在“识别信息”中,在“名称”、“电子邮件”、“公司”、“部门”、“城市”、“省”和“国家/地区”框中键入相应信息。 在“需要的证书类型”中,选择“IPSec 证书”。 在“密钥选项”中,保持“CSP”和“密钥用法”字段为默认值。将“密钥大小”更改为“512”,选中“自动密钥容器名称”并选择“标记密钥为可导出”(可选)。选择“将证书保存在本地计算机存储区中”。 在“附加选项”中保留“申请格式”为“CMC”,保留“哈希算法”为“SHA-1”。不要选择“保存请求到一个文件”。在“好记的名称”中键入一个类似“isa.isapixlab.local”的名称。 然后,单击“提交”。
|
5. | 在申请证书时将收到以下警告。若要继续,请选择“是”。
查看大图
在提交申请时应该看到 ActiveX 提示“正在等待服务器响应”。
应该看到以下具有证书申请 ID 的屏幕。
|
6. | 打开“证书颁发机构”控制台,浏览到“挂起的申请”节点。找到 ID 为 9 的证书申请,选择“所有任务”,然后选择“颁发”。然后证书应该移动到“颁发的证书”节点。
|
7. | 从 ISA Server 返回到http://ca-ip-address/certsrv 网站并选择“查看挂起的证书申请的状态”。
|
8. | 选择显示的证书。在最初访问此网站时,一个标识哪个证书属于您的 Cookie 将发送到您的客户端。
|
9. | 选择“安装此证书”。
|
10. | 将出现一个“潜在的脚本冲突”警告。在阅读并理解了此警告之后,选择“是”来安装证书。
|
11. | 将出现以下屏幕,让您知道证书已安装完毕。关闭 Internet Explorer。
|
若要添加并随后导入一个证书,请执行以下步骤。
1. | 单击“开始”,单击“运行”,键入“MMC”,然后单击“确定”。从“文件”菜单中单击“添加\删除管理单元”。从提供的列表中选择“证书”并单击“添加”。将提示选择证书存储区。选择“计算机帐户”。 |
2. | 通过展开 Local Computer\Personal\Certificates 浏览到证书,您将看到刚才创建的证书。双击证书以查看其属性。
以下屏幕显示了证书的属性。由于 Windows 无法验证此证书到受信的颁发机构,所以当前此证书无效。需要为此系统安装证书颁发机构的证书以信任此证书。
|
3. | 打开 Internet Explorer 并访问http://ca-ip-address/certsrv 网站。选择“下载 CA 证书、证书链或 CRL”。
|
4. | 选择“下载 CA 证书”。不要选择“安装此 CA 证书链”。否则,受信任的根 CA 证书将安装到当前登录用户的证书存储区中。对于 IPSec 证书,“受信任的根 CA”必须安装到本地计算机上下文中。
|
5. | 在“文件下载”中,选择“保存”,并将 certnew.cer 文件保存到桌面。
|
6. | 进入到前面创建的控制台并右键单击“受信任的根证书颁发机构”节点。单击“所有任务”,然后单击“导入”。
|
7. | 将打开“证书导入向导”。单击下一步。
|
8. | 浏览到保存 certnew.cer 文件的位置并单击“下一步”。
|
9. | 在“证书存储区”中,应该选中“受信任的根证书颁发机构”存储区。单击“下一步”。
|
10. | 在此向导最后的屏幕中,单击“完成”。
|
11. | 应该收到一个导入已成功的提示。单击“确定”。
|
12. | 返回控制台并浏览到证书的 Local Computer\Certificates 节点。现在应该看到受信任的根 CA 已安装。它将在下面的屏幕中突出显示。
|
13. | 浏览到证书的 Local Computer\Personal\Certificate 并打开前面安装的 IPSec 的证书。在此证书中应该没有任何错误。若要关闭控制台,单击“确定”。
|
为了开始使用此证书和 IPSec 隧道模式配置,请执行以下步骤。
1. | 在 ISA Server 控制台中,选择“虚拟专用网络 (VPN)”节点。单击“远程站点”选项卡,选择“PIXNet 远程站点”,然后单击“配置远程站点网络”。 |
2. | 当属性出现时,单击“身份验证”选项卡。选择“使用由此证书颁发机构 (CA) 颁发的证书”。单击“浏览”并浏览列表以找到证书颁发机构的名称。
|
3. | 不要查找颁发给您的证书的名称。当进行 IPSec 协商时,一条消息将从初始程序发送到名为“证书申请负载 (CRP)”的响应程序,此程序包含初始程序希望选择的受信根。响应程序将检查以确定它是否具有使用此受信根的 IPSec 主模式规则。选择证书,然后单击“确定”。
|
4. | 以下屏幕显示了具有证书颁发机构的可分辨名称的“身份验证”选项卡。单击“确定”,然后单击“应用”以使更改生效。
|
这样就完成了 ISA Server 的证书安装过程。
通过 SCEP 获取 PIX 的证书
为了通过 SCEP 获取 PIX 的证书,请执行以下步骤。
1. | 必须确保每台机器上的时间匹配。在 PIX 上使用“显示时钟”命令以确保时间正确。 |
2. | 如果证书颁发机构 (CA) 位于 ISA Server 计算机之后的子网上,则需要添加以下命令以从 PIX 访问 CA: | ? | pix501(config)# access-list outside_cryptomap_20 permit ip interface outside 172.25.10.0 255.255.255.0 | | ? | pix501(config)# access-list outside_cryptomap_20 permit ip interface outside host 192.168.55.1 |
|
3. | 在添加了这些命令之后,就应该可以搜索远程子网上的 CA 了。 此过程来自《Cisco PIX 防火墙和 VPN 配置指南》。 pix501(config)# ca zeroize rsa pix501(config)# hostname pix501 pix501(config)# domain-name isapixlab.local pix501(config)# ca generate rsa key 512 Keypair generation process begin. .Success. pix501(config)# ca identity ca.isapixlab.local 172.25.3.20:/certsrv/mscep/mscep.dll pix501(config)# ca configure ca.isapixlab.local ra 1 20 |
4. | 若要获取证书的指纹和密语,请访问http://ca-ip-address/certsrv/mscep/mscep.dll 网站。 |
5. | 您将看到以下屏幕。将提示您进行身份验证。确保提供管理员凭据以访问此站点。
|
6. | 现在已获得了指纹和密语,您需要转到 PIX 并输入以下内容。(包括了来自 CA 的响应作为参考。) pix501(config)# ca authenticate ca.isapixlab.local 54E7EEFEFAFC3E11CC74B7FB24AACA79 Certificate has the following attributes: pix501(config)# 7eefe fafc3e11 cc74b7fb 24aaca79 |
7. | 单击“回车键”以返回启用提示,然后输入以下内容: >pix501(config)# ca enroll ca.isapixlab.local 81F47ECA6CE8DDEB serial ipaddress 您将收到以下内容... % % Start certificate enrollment .. % The subject name in the certificate will be:pix501.isapixlab.local % Certificate request sent to Certificate Authority % The certificate request fingerprint will be displayed. pix501(config)# Fingerprint: 40c6bd6e 940f0dd3 da2b648a 5fc96fa5 CRYPTO_PKI:status = 102:certificate request pending |
8. | 看到“certificate request pending”响应(如前一步所示)时,转到 CA 并检查“挂起的申请”节点,并颁发此证书。这通常需要 10~15 秒钟才会显示。
查看大图 |
9. | 如果无法确定哪个申请来自 PIX,滚动到右边的“颁发的公用名”列以查找正确的证书。应该出现在 hostname 和 domain-name 命令中声明的名称。
|
10. | 右键单击证书,单击“所有任务”,然后单击“颁发”。
|
11. | 然后证书应该移动到“颁发的证书”节点。返回 PIX 控制台,应该看到以下响应: CRYPTO_PKI:status = 102:certificate request pending CRYPTO_PKI:status = 102:certificate request pending The certificate has been granted by CA! pix501(config)# show ca certificate Certificate Status:Available Certificate Serial Number:2e560ef300000000000a Key Usage:General Purpose Subject Name: CN = pix501.isapixlab.local UNSTRUCTURED NAME = pix501.isapixlab.local UNSTRUCTURED IP = 192.168.55.1 Serial Number = <xxxxxxx> Validity Date: start date:22:57:23 UTC Oct 30 2003 end date:23:07:23 UTC Oct 30 2004 RA Signature Certificate Status:Available Certificate Serial Number:6120d313000000000002 Key Usage:Signature EA =<16> ra@isapixlab.local CN = RACert OU = ISAPIXLAB Testing O = ISAPIXLABs L = Redmond ST = WA C = US Validity Date: start date:23:36:42 UTC Oct 21 2003 end date:23:46:42 UTC Oct 21 2004 CA Certificate Status:Available Certificate Serial Number:7dfcce0a1b5df8bf4f9b7a037356076a Key Usage:Signature CN = CA OID.0.9.2342.19200300.100.1.25 =<16> ISAPIXLAB OID.0.9.2342.19200300.100.1.25 =<16> LOCAL Validity Date: start date:23:18:05 UTC Oct 21 2003 end date:23:21:51 UTC Oct 21 2008 RA KeyEncipher Certificate Status:Available Certificate Serial Number:6120d5a3000000000003 Key Usage:Encryption EA =<16> ra@isapixlab.local CN = RACert OU = ISAPIXLAB Testing O = ISAPIXLABs L = Redmond ST = WA C = US Validity Date: start date:23:36:43 UTC Oct 21 2003 end date:23:46:43 UTC Oct 21 2004 |
12. | 在 PIX 上,完成这些命令以将证书提交到配置: pix501(config)# ca save all pix501(config)# wr mem Building configuration... Cryptochecksum:65bca87c 39fa1373 b941190a 2778d0f9 [OK] |
13. | 在 CA 处可以通过转到“颁发的证书”并双击此证书来查看此证书的属性。您将看到以下对话框。
|
14. | 在 PIX 处,运行以下命令以将 PIX 更改为使用此证书: pix501(config)# no isakmp policy 20 pix501(config)# isakmp policy 20 authen rsa-sig pix501(config)# isakmp policy 20 encrypt 3des pix501(config)# isakmppolicy 20 hash sha pix501(config)# isakmppolicy 20 group 2 pix501(config)# isakmppolicy 20 lifetime 28800 pix501(config)# isakmpidentity address |
在完成此操作之后,IPSec 协商将成功完成。如果没有成功完成,在 PIX 上使用“debug crypto isakmp”和“debug crypto ca”命令以确定主模式协商在哪里失败。没有任何理由来使用“debug crypto ipsec”,这是因为证书的使用只在“主模式”中协商(这是由“debug crypto isakmp”监视的)。
Cisco CLI 和 Windows Server 2003 NETSH 命令
对于 IPSec 隧道模式配置,所有以下命令都在配置提示符处完成:(pixfirewall (config)#)
>isakmp key 123456789 address 192.168.55.100 netmask 255.255.255.255 no-xauth no config-mode
>isakmp policy 20 authentication pre-share
>isakmp policy 20 encryption 3des
>isakmp policy 20 hash sha
>isakmp policy 20 group 2
>isakmp enable outside
>name 172.25.10.0 ISANet
>pdm location 172.25.10.0 255.255.255.0 outside
>access-list inside_outbound_nat0_acl line 1 permit ip 172.25.3.0 255.255.255.0 172.25.10.0 255.255.255.0
>nat (inside) 0 access-list inside_outbound_nat0_acl
>access-list outside_cryptomap_20 permit ip 172.25.3.0 255.255.255.0 172.25.10.0 255.255.255.0
>crypto map outside_map 20 set peer 192.168.55.100
>crypto map outside_map 20 match address outside_cryptomap_20
>crypto map outside_map 20 set transform-set ESP-3DES-SHA
>crypto map outside_map 20 set security-association lifetime seconds 28800 kilobytes 4608000
>crypto map outside_map interface outside
>sysopt connection permit-ipsec
