分享
 
 
 

如何使用预共享密钥身份验证配置 L2TP/IPSec 连接

王朝other·作者佚名  2006-01-09
窄屏简体版  字體: |||超大  

概要

Windows 2000 会自动创建一个与第二层隧道协议 (L2TP)/IPSec 连接(该连接需要用于 Internet 密钥交换 (IKE) 身份验证的证书)一起使用的 Internet 协议安全 (IPSec) 策略。

尽管 Microsoft 不支持或不推荐在远程访问 L2TP/IPSec 客户端连接上使用预共享密钥来进行 IKE 身份验证(仅应当用于测试),但是 Windows 2000 符合 IKE RFC 2409 标准,它提供了一种实现这种密钥的方法。支持通过使用预共享密钥进行 IKE 身份验证来实现 L2TP/IPSec 网关对网关的 VPN。

为 L2TP/IPSec 连接实现预共享密钥身份验证方法:

您必须向两台基于 Windows 2000 的终结点计算机添加 ProhibitIpSec 注册表值。

必须手动配置一个 IPSec 策略,然后才能在两台基于 Windows 2000 的计算机之间建立 L2TP/IPSec 连接。

本文介绍如何配置两台通过局域网 (LAN) 连接的、基于 Windows 2000 的路由和远程访问服务 (RRAS) 服务器,使它们使用一个采用预共享密钥身份验证的 L2TP/IPSec 连接。本文还介绍了如何配置 IPSec 策略来接受使用多个预共享密钥或 CA 的连接。

Microsoft 不支持 L2TP/IPSec VPN 客户端使用预共享密钥的原因是:

这种密钥会使安全协议受到众所周知的不安全使用问题(选择密码)的影响 -- 公布出来的攻击已经证明预共享密钥的安全性低。

它不能够被安全地部署。由于配置预共享密钥的用户需要访问公司网关,因此许多用户都会知道该密钥,这样它就成了一个“组预共享密钥”。较长的预共享密钥几乎都需要写下来。整个组都换用新的预共享密钥后,才能取消各个系统的访问。

正如 Microsoft 在联机帮助、各资源工具包章节和 Microsoft 知识库文章 Q248711 中所述,Windows 2000 IPSec 预共享密钥仅供用于 RFC 遵从性、interop 测试和不涉及安全性的互操作性方面。预共享密钥存储在只有本地管理员才有读访问权的本地注册表中,但本地管理员必须知道它、设置它,这样任何本地管理员以后才能看到或更改它。

在使用预共享密钥时,客户和 Microsoft 的支持成本都很高。

当基于 Windows 2000 的客户端是 Windows 2000 域的成员(一般来说这也是部署基于 IPSec 的 VPN 时使用的安全方法)时,使用 Windows 2000 组策略自动注册来获取一个基于 Windows 2000 的计算机证书就像请求一个 Web 页一样容易,甚至更容易。

Microsoft 确实会为使用预共享密钥的 VPN L2TP/IPSec 网关对网关隧道提供支持,因为它必须由一个知识渊博的网关管理员针对每个静态 IP 在该网关上进行本地配置。IPSec 隧道仅在使用静态 IP 地址时受支持,并且仅支持基于地址的策略选择,而不支持基于端口和协议的策略。Microsoft 建议为网关对网关使用 L2TP/IPSec。只有在不能选用 L2TP/IPSec 时,才为网关对网关使用 IPSec 隧道模式。

更多信息

警告:“注册表编辑器”使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因“注册表编辑器”使用不当而导致的问题。使用“注册表编辑器”需要您自担风险。

必须向 L2TP/IPSec 连接上的每台基于 Windows 2000 的终结点计算机添加 ProhibitIpSec 注册表值,才能禁止创建用于 L2TP/IPSec 通信的自动筛选器。ProhibitIpSec 注册表值设置为 1 时,基于 Windows 2000 的计算机不会创建使用 CA 身份验证的自动筛选器,而是检查本地 IPSec 策略或 Active Directory IPSec 策略。要向基于 Windows 2000 的计算机添加 ProhibitIpSec 注册表值,请使用注册表编辑器 (Regedt32.exe) 在注册表中找到下面的项:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters

向该项添加下面的注册表值:

数值名称:ProhibitIpSec

数据类型:REG_DWORD

值: 1

请注意,您必须重新启动基于 Windows 2000 的计算机,这些更改才能生效。

如何为使用预共享密钥的 L2TP/IPSec 连接创建 IPSec 策略注意:下列步骤假定本文中前面介绍的 ProhibitIpSec 注册表值已经添加到两个基于 Windows 2000 的 RRAS 终结点服务器上,并且基于 Windows 2000 的 RRAS 终结点服务器已经启动。

1.

单击开始,单击运行,键入 mmc,然后单击确定。

2.

依次单击控制台、“添加/删除管理单元”、添加、IP 安全策略管理、完成、关闭,然后单击确定。

3.

右键单击“本地计算机上的 IP 安全策略”,单击创建 IP 安全策略,然后单击下一步。

4.

在 IP 安全策略名称对话框中,在名称框内键入 IP 安全策略的名称,然后单击下一步。

5.

在“安全通讯请求”对话框中,单击清除“激活默认响应规则”复选框,然后单击下一步。

6.

单击选中编辑属性复选框,然后单击完成。

7.

在新 IP 安全策略属性对话框中的规则选项卡上,单击添加,然后单击下一步。

8.

在隧道终结点对话框中,单击“此规则不指定隧道”,然后单击下一步。

9.

在网络类型对话框中,单击“所有网络连接”,然后单击下一步。

10.

在身份验证方法对话框中,单击“此字串用来保护密钥交换(预共享密钥)”,键入一个预共享密钥,然后单击下一步。

11.

在 IP 筛选器列表对话框中,单击添加,在名称框中键入 IP 筛选器列表的名称,单击添加,然后单击下一步。

12.

在 IP 通信源对话框中,在“源地址”框内单击“一个特定的 IP 地址”。在 IP 地址框中,键入基于 Windows 2000 的源 RRAS 服务器的传输控制协议/Internet 协议 (TCP/IP) 地址,然后单击下一步。

注意:在各台基于 Windows 2000 的 RRAS 终结点服务器上使用的源地址必须相匹配。例如,如果源地址是 1.1.1.1,则您必须在两台基于 Windows 2000 的 RRAS 终结点服务器上都使用 1.1.1.1 作为源地址。

13.

在 IP 通信目标对话框中,单击“一个特定的 IP 地址”。在“目标地址”框中,键入基于 Windows 2000 的目标 RRAS 服务器的传输控制协议/Internet 协议 (TCP/IP) 地址,然后单击下一步。

注意:在各台基于 Windows 2000 的 RRAS 终结点服务器上使用的目标地址必须相匹配。例如,如果目标地址是 2.2.2.2,则您必须在两台基于 Windows 2000 的 RRAS 终结点服务器上都使用 2.2.2.2 作为目标地址。

14.

在 IP 协议类型对话框中,在“选择协议类型”框中单击 UDP,然后单击下一步。

15.

在 IP 协议端口对话框中,单击“从此端口”。在“从此端口”框中键入 1701,单击“到任意端口”,然后单击下一步。

16.

单击选中“编辑属性”复选框,单击完成,单击选中筛选器属性对话框中的“镜像。同时匹配具有正好相反的源和目标地址的数据包”复选框,单击确定,然后单击关闭。

17.

在 IP 筛选器列表对话框中,单击您刚才创建的 IP 筛选器,然后单击下一步。

18.

在筛选器操作对话框中,单击添加创建一个新的筛选器操作,指定要使用的完整性和加密算法。

注意:此新建的筛选器操作必须禁用“接受不安全的通讯,但总是用 IPSec 响应”才能保证安全。

19.

单击下一步,单击完成,然后单击关闭。

20.

右键单击您刚才创建的 IPSec 策略,然后单击分配。

注意:您必须用完全相同的方式配置两台基于 Windows 2000 的 RRAS 终结点服务器。在第一台基于 Windows 2000 的 RRAS 终结点服务器上设置好 IPSec 筛选器后,即可在连接的一端可以看到它,接着会在第二台基于 Windows 2000 的 RRAS 终结点服务器上创建它的一个副本。根据本文上面介绍的示例,如果第一台基于 Windows 2000 的 RRAS 终结点服务器有一个 1.1.1.1 TCP/IP 地址,第二台基于 Windows 2000 的 RRAS 终结点服务器有一个 2.2.2.2 TCP/IP 地址,则这两台基于 Windows 2000 的 RRAS 终结点服务器上的 IPSec 策略内会创建一个源地址为 1.1.1.1、目标地址为 2.2.2.2 的筛选器。这使得每台基于 Windows 2000 的 RRAS 终结点服务器都可以启动该连接。

如何配置 IPSec 策略以接受使用多个预共享密钥或 CA 的连接创建一个带有使用预共享密钥的筛选器的策略后,有必要在 IPSec 策略内为其他需要不同的预共享密钥或 CA 的连接创建其他规则。

有关 Windows 2000 创建的、使用 CA 的自动筛选器的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

248750 Description of the Automatic Filter Created for Use with L2TP/IPSec

253498 安装用于 IP 安全的证书

此外,请查看下面的 Microsoft Web 站点上的白皮书:

http://www.microsoft.com/windows2000/techinfo/howitworks/security/ip_security.asp

http://www.microsoft.com/windows2000/techinfo/planning/security/ipsecsteps.asp

这篇文章中的信息适用于:

Microsoft Windows 2000 Server

Microsoft Windows 2000 Advanced Server

Microsoft Windows 2000 Professional Edition

Microsoft Windows 2000 Datacenter Server

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有