【IT168 专稿】保护企业的局域网和广域网的通信数据远离那些爱窥探隐私的眼睛,这是一件需要长期坚持不懈去努力的事情。在我们实施IPSec的过程中遇到麻烦怎么办?以下是当你在测试的过程中遇到麻烦时的一些排障小技巧,供朋友们参考。
我们如果把大多数IPSec问题追根寻源的话,通常是发生认证的Internet密钥交换期间的问题。
计算机要经过一个过程来互相验证对方的身份并形成一个安全连接。这个身份认证通过一个预共享的密钥、一个数字证书或Kerberos(Windows Server 2003的默认方式)。
1、判断IPSec是否在运行
不过,在你开始对这个认证过程进行排查前,让我们先从头开始。首先,请确认IPSec正在运行。
判断IPSec是否在一个计算机上运行的最简单的方法就是打开网络监控器,抓一些数据包,看一下哪些协议的数据包通过了你的以太网卡。如果这台计算机配置了IPSec的话,你应该只能在捕获的数据包中看到压缩安全负载(ESP)和互联网控制消息协议(ICMP)。
图1、查看数据包确认IPSec在运行
如果你看到轻量级目录访问协议(LDAP)和服务器信息块(SMB)通信数据,那么IPSec可能没有正常起作用。
2、快速重启IPSec
为了重新启动IPSec,你可以通过重启计算机来实现。但是如果你刚刚进行一些比较重大的策略修改但却不能重启计算机的话,你可以通过命令行停止和重启IPSec。在命令行中简单的运行以下命令即可:
Net stop policyagent
Net start policyagent
图2、快速重启IPSec
现在,你的IPSec策略应该已经生效了,但是如果还存在问题的话,你需要继续进行排查。接下来需要查看的是认证方法和策略本身。
3、查看IPSec策略及其认证方法
从验证哪一个策略正运行在计算机上开始,然后它是否有一个兼容的认证方法——如果其他的使用了一个预共享的密钥的话,策略不能使用Kerberos。你需要检查哪一个策略是被激活的,并找出正在使用的策略使用了什么认证方法。
要想完成这个任务,从开始菜单中点击运行,然后输入mmc,点击OK,运行微软管理控制台(MMC)。从文件|添加删除管理单元中,点击增加,然后在弹出的对话框中选择上IP安全策略管理,点击确认。这样你将可以看到哪一个安全策略是激活的,以及它使用了什么认证方法。
图3、添加IPSec管理单元
根据你看到的内容不一样,你可能需要简单的应用这个策略或修改其认证方法。让我们看一下几种可能性:
·如果你的策略使用了一个预共享的密钥,确保这些密钥是相同的。把这些密钥在记事本中打出来,剪切并粘贴在策略中。
·如果你的策略使用数字证书,确认你已经安装这个证书 而且它已经被验证。IPSec每两年过期一次,而且它们不自动更新。
·如果你的策略在使用Kerberos,最大的可能是你的活动目录(AD)有问题,你应该首先对它进行故障排查。你可以到Windows Server 2003活动目录技术中心(http://support.microsoft.com/default.aspx?scid=fh;en-us;winsvr2003ad)查阅相关文章,并修复你的AD问题。
现在,你的IP安全策略应该一切正常了。如果还没有,你或许应该先禁用IPSec,然后重新看一下使用IPSec的文章,从头开始重新建立IPSec了。
人们在IPSec策略实施的过程中所犯的最常见错误之一是,对网络上的所有计算机都应用客户端(只响应)策略,这是IPSec策略模板中的默认设置。对开始生效的IPsec来说,搭档中的一个需要请求使用IPsec的策略。如果所有的主机都指定的是客户端(只响应)策略,那么没有主机会请求使用IPsec——那么你的所有网络通信依然处于未加密状态。要解决该问题,可以在计算机上修改其中一个策略为请求或响应,然后运行组策略更新来激活这个策略修改。
总结:
运行IPSec来增强你的网络通信数据的安全性,可以为你的网络提供一个非常强壮的保护层。但是在你部署IPSec策略之前很重要的一点的是,要对它们进行测试并且验证它们是否正常运行。