简介
由于 ISA Server 的网络地址转换 (NAT) 驱动程序和 IPSec 之间不兼容,Internet 协议安全 (IPSec) 的防火墙管理员将无法使用 Microsoft Internet Security and Acceleration (ISA) Server 2000 来实现隧道模式。(在使用“路由和远程访问”中的 NAT 时也会遇到同样的问题。)这只会中断隧道模式下的 IPSec。建议的解决方案是使用第二层隧道协议 (L2TP),因为 L2TP 使用传输模式策略,因而不会遇到这个问题。
使用 ISA Server 2004 可消除 NAT 交互的不兼容性,并可以实现 IPSec 隧道模式。注意,Microsoft Windows Server 2003 和 Windows 2000 Server 中仍然存在与路由和远程访问 NAT 不兼容的问题。
有关本情境的更多信息,请参阅以下文章:
| • |
HOW-TO:在 Windows Server 2003 中配置 IPSec 隧道 (http://go.microsoft.com/fwlink/?LinkId=32056) |
| • |
如何在 Windows 2000 中配置 IPSec 隧道 (http://go.microsoft.com/fwlink/?LinkId=32055) |
| • |
结合网络地址转换和 Internet Security Acceleration Server 使用 Internet 协议安全 (IPSec) (http://go.microsoft.com/fwlink/?LinkId=32057) |
本指南不用术语“IPSec 隧道 (IPSec tunnel)”来指代两个网络之间的封装。使用“IPSec 隧道”可能导致混淆,因为该术语用于指代任何类型的 IPSec 保护——不管是传输模式还是隧道模式。更确切地说,为了避免混淆,本指南使用术语“IPSec 隧道模式策略”来指代该配置。
隧道模式下的 IPSec 的网络捕获
本节简要介绍了 IPSec 如何在隧道模式下工作。对于网络拓扑图,请参见本文档后面的图 4。
在这个例子中,流量从 SmoothWall Internal 网络的客户端发出,通过 IPSec 隧道模式策略,然后到达 ISA Server 网络。在使用封装式安全措施负载 (ESP) 时,流量通常使用数据加密标准 (DES) 或三重 DES (3DES) 来加密并使用 SHA1 或 MD5 来验证。然而,您可以指定使用“空(无)加密”,以便能够看到数据包。最开始会配置一个带加密的 IPSec 隧道模式策略,然后指定“空加密”,以便在带 ESP 的数据包通过网络时能够看到其结构。
图 1 显示了一个客户端 (172.25.3.10),此客户端正在 ping 一台位于 IPSec 隧道模式策略对面的服务器 (172.25.10.10)。这是数据包在 IPSec 保护之前的样子。右下窗格中的数据“abcdefghijklmnop...”是 Windows 客户端用于 Internet 控制消息协议 (ICMP) 的数据。
图 1 从 172.25.3.10 上的网卡进行的捕获
图 2 显示了由 IPSec 在隧道模式中使用由 3DES 加密的 ESP 对搜索进行保护的结果。在此图中,在“源地址”和“目标地址”中替换了原始的客户端源地址和服务器目标地址。现在源是 SmoothWall 防火墙 (192.168.55.1),目标是 ISA Server (192.168.55.100)。IP 标头下面的客户端源地址、目标地址和数据“abcdefghijklmnop...”是加密的,因此您不能进一步解密数据包结构。
图 2 从 ISA Server (192.168.55.100) 的外部接口进行的捕获
图 3 显示了在使用采用了空加密的 ESP 以及使用 MD5 进行身份验证时的搜索结果。该图显示了所添加的 IPSec IP 标头(使用黑实线来高亮显示),其中包含作为源和目标的隧道模式策略端点、ESP 标头、原先的 IP 标头(使用黑虚线来高亮显示),以及 ICMP 有效载荷。而且,您还能够读取底部窗格中的数据“abcdefghijklmnop...”——即使此数据位于 ESP 中。
图 3 从 ISA Server (192.168.55.100) 的外部接口进行的捕获
查看大图
注意 图 3 来自 Windows Server 2003 中内置的“网络监视器”。早于该版本的“网络监视器”不能在使用“空加密”时解密 ESP。
IPSec 是通过两个步骤实现这点的。第一步称为“主模式”(Main Mode),第二步称为“快速模式”(Quick Mode)。(还有另外一种代替“主模式”的模式,称为“攻击性模式”(Aggressive Mode),但是这种模式没有包括在任何 Windows 操作系统中。)对“主模式”和“快速模式”所完成的工作的综合解释超出了本文档的范围,但是在“Windows Server 2003 资源工具包”中对这部分内容进行了详细的说明 (http://go.microsoft.com/fwlink/?LinkId=32056).
“主模式”负责验证 IPSec 隧道模式策略的两个方面(使用证书或预共享密钥),并负责生成用于保护第二部分(“快速模式”)的 Diffie-Hellman 密钥。“主模式”期间还会协商其他参数,但是以上这两个任务是主要的功能。
“快速模式”负责协商特定的协议和将要包括在 IPSec 隧道模式策略中的源和目标地址。此外,“快速模式”还协商该流量的保护方式(使用加密算法 DES 或 3DES ,以及使用验证算法 SHA1 或 MD5)。还有其他需要协商的设置,不过主要任务就是这些了。
图表
本文档所描述的情境如下图所示。
图 4 网络拓扑
查看大图
 返回页首 配置 ISA Server 2004
在 ISA Server 安装完成之后,请在 ISA Server 计算机上执行以下步骤来设置 IPSec 隧道模式的配置:
|
1. |
创建一个定义 SmoothWall Express 系统之后的 IP 子网以及 IPSec 隧道模式配置的 IPSec 设置的远程站点网络。 |
|
2. |
创建一个定义如何向 SmoothWall Express 网络传递流量(使用 NAT 或路由流量)的网络规则。 |
|
3. |
创建一个定义哪些流量可以传递到 SmoothWall Express 网络的防火墙策略访问规则。 |
创建一个远程站点网络
远程站点网络定义了 SmoothWall 系统之后的网络,还定义了隧道模式配置的 IPSec 设置。“新建站点间网络向导”创建了一个 IPSec 设置策略,此策略在“IPSec 策略管理”控制台中不可见。“主模式”和“快速模式”设置将由该向导动态地插入 IPSec 驱动程序。为了创建远程站点网络,请执行以下步骤。
|
1. |
为了启动该向导,请在“ISA Server”控制台中选择“虚拟专用网络 (VPN)”节点,然后选择“远程站点”选项卡。在“任务”选项卡上,单击“添加远程站点网络”。
|
|
2. |
在这个例子中,将创建一个指定在 SmoothWall Express 系统之后通过 IPSec 隧道模式配置可访问的 IP 地址范围的网络定义。输入名称“SmoothwallNet”,然后单击“下一步”。 |
|
3. |
选择“IP 安全协议 (IPSec) 隧道模式”,然后单击“下一步”。
|
|
4. |
输入隧道模式端点地址。SmoothWall Express 系统是远程 VPN 网关,ISA Server 是本地 VPN 网关。然后单击“下一步”。
|
|
5. |
选择希望对“主模式”协商执行的身份验证类型。对于这个例子,请选择“使用预先共享的密钥执行身份验证”,并输入 123456789 来进行初始测试。然后单击“下一步”。
|
|
6. |
单击“添加”以添加可通过隧道模式配置访问的 IP 地址范围(该子网在 SmoothWall Express 系统之后)。
|
|
7. |
如果希望包含发送到 SmoothWall Express 系统的外部接口的流量,请指定其地址。在下面的例子中,子网 (172.25.3.0) 定义在 SmoothWall Express 系统的后面。单击“确定”。
|
|
8. |
|
|
9. |
单击“完成”来完成该向导。在完成该向导之后,单击“应用”来激活配置更改。
|
在应用了这些更改之后,可以从 ISA Server 处或者通过使用命令行实用工具来查看 IPSec 设置。存在两种从 ISA Server 查看该设置的方法。若要使用第一种方法来查看 IPSec 设置,请执行以下步骤。
|
1. |
在“远程站点”选项卡上,选择您刚才创建的远程站点网络对象。
|
|
2. |
在“任务”选项卡上,单击“查看远程站点的 IPSec 策略”。下面的对话框将会出现。
|
或者,若要使用另一种方法来查看 IPSec 设置,请执行以下步骤。
|
1. |
|
|
2. |
选择“连接”选项卡,然后单击“IPSec 设置”。
|
|
3. |
单击“阶段 II”选项卡。将出现阶段 II(“快速模式”)设置。
|
还可以使用命令行实用工具 NETSH 来查看以下“主模式”和“快速模式”策略和筛选器:
| • |
主模式策略“c:\netsh ipsec dynamic show mmpolicy all”
IKE MM 策略名称 :ISA Server SmoothwallNet MM 策略
IKE Soft SA 生存周期:28800 secs
加密 完整性 DH 生存周期 (Kb:secs) QM Limit Per MM
-------------------------------------------------------------------------------------------------------------------------------------------------------
|
| • |
主模式筛选器“c:\netsh ipsec dynamic show mmfilter all”
-------------------------------------------------------------------------------
筛选器名称 :IPSec{4ECE7FAD-F0A7-45FB-BAF7-4E193EB814F6}
源地址 :<My IP Address> (255.255.255.255)
目标地址 :192.168.55.100?????? (255.255.255.255)
安全性方法 :1 3DES/SHA1/DH2/28000/QMlimit=0
-------------------------------------------------------------------------------
筛选器名称 :IPSec{163EABB5-9F2B-44ED-B80E-4D7C462E4846}
源地址 :<My IP Address> (255.255.255.255)
目标地址 :192.168.55.1??????(255.255.255.255)
安全性方法 :1 3DES/SHA1/DH2/28000/QMlimit=0
|
| • |
快速模式策略“c:\netsh ipsec dynamic show qmpolicy all”
QM 协商策略名称:ISA Server SmoothwallNet QM 策略
安全性方法 生存周期 (Kb:secs) PFS DH 组
-------------------------------------------------------------------------------------------------------------------
ESP[3DES,SHA1] 0:3600 Medium (2) |
| • |
快速模式筛选器“c:\>netsh ipsec dynamic show qmfilter all”
-------------------------------------------------------------------------------
筛选器名称 :IPSec{F886828B-A23B-4659-9F29-0B6129A3C9F8}
源地址 :172.25.10.0?????? (255.255.255.0??)
目标地址 :172.25.3.0????????(255.255.255.0??)
快速模式策略:ISA Server SmoothwallNet QM 策略
-------------------------------------------------------------------------------
筛选器名称 :IPSec{DBC53B1F-5A48-47BF-9A2E-081793CE6555}
源地址 :172.25.3.0????????(255.255.255.0??)
目标地址 :172.25.10.0?????? (255.255.255.0??)
快速模式策略:ISA Server SmoothwallNet QM 策略
-------------------------------------------------------------------------------
筛选器名称 :IPSec{34C43528-2089-4CA8-B801-4D2A822F38C2}
源地址 :192.168.55.100?????? (255.255.255.255)
目标地址 :172.25.3.0????????(255.255.255.0??)
快速模式策略:ISA Server SmoothwallNet QM 策略
-------------------------------------------------------------------------------
筛选器名称 :IPSec{EA90C1F4-4CC2-44E4-BB88-D4B1E89B953C}
源地址 :172.25.3.0????????(255.255.255.0??)
目标地址 :192.168.55.100?????? (255.255.255.255)
快速模式策略:ISA Server SmoothwallNet QM 策略
|
现在已经创建了一个远程站点网络,并查看了 IPSec 设置。因为已经定义了远程站点网络,下一步是定义 ISA Server 内部网络和 SmoothWall Express 远程网络之间的关系。在下一节中,将定义是让流量使用 NAT 还是将其路由到远程网络。
创建网络规则
为了创建网络规则,请执行以下步骤。
|
1. |
在“ISA Server”控制台中,选择“配置”,选择“网络”,选择“网络规则”选项卡,然后在“任务”选项卡上,单击“创建网络规则”。
|
|
2. |
对于该情境,输入名称“SmoothwallNet to ISANet - Route”,然后单击“下一步”。 |
|
3. |
|
|
4. |
|
|
5. |
选择“内部”网络,单击“添加”,然后单击“关闭”。 |
|
6. |
|
|
7. |
在“网络流量目标”页面上,重复与前面相同的过程,但是选择网络对象“SmoothwallNet”。
|
|
8. |
|
|
9. |
在“网络关系”页面上,选择“路由”,然后单击“下一步”。
注意 在这个例子中,流量是在两个网络之间进行路由的。这是因为 IP 子网是不同的。如果是具有两个重叠的 IP 子网(本地和远程子网都是 192.168.0.x)的情境,应该考虑对流量使用 NAT,或者重新定义 IP 子网以避免存在重叠。 |
|
10. |
|
|
11. |
|
这样就创建了一个网络规则。下一步是创建访问规则。
创建访问规则
现在已经定义了远程站点和网络规则,您需要定义哪些流量将通过 IPSec 隧道模式配置进行传递。这是通过防火墙策略来控制的,即创建一个访问规则来指定想要允许的流量。为了创建访问规则,请执行以下步骤。
|
1. |
在“ISA Server ”控制台中,选择“防火墙策略”,右键单击,选择“新建”,然后单击“访问规则”。
|
|
2. |
提供准确描述源和目标网络的名称和允许的流量。对于该情境,输入名称“SmoothwallNet to ISANet – Allow All”,然后单击“下一步”。 |
|
3. |
在“规则操作”页面上,选择“允许”,然后单击“下一步”。
|
|
4. |
在“协议”页面上,在“此规则适用于”中,选择“所有出站协议”,然后单击“下一步”。
|
|
5. |
|
|
6. |
|
|
7. |
单击“内部”。如果想要允许 ISA Server 向远程网络发送流量,那么可以选择包括“本地主机”。单击“添加”,单击“关闭”,然后单击“下一步”。
|
|
8. |
|
|
9. |
对于目标网络,单击“SmoothwallNet”。单击“添加”,单击“关闭”,然后单击“下一步”。
|
|
10. |
|
|
11. |
检查摘要屏幕中的设置,然后单击“完成”来完成该向导。 |
|
12. |
|
注意 必须完成相同的过程以允许流量从 SmoothwallNet 子网到达 ISANet 子网。路由规则(在本文档的前面所创建的)会被映射,但是访问规则是“单向的”。
这样就创建了一个远程站点网络、一个网络规则和一个访问规则。现在已经配置了 ISA Server,接下来将配置 SmoothWall Express 系统。
返回页首 配置 SmoothWall Express 系统
本指南假设您已经安装了 SmoothWall Express 系统。
可以使用 SmoothWall Express 系统中的 IPSec 设置的命令行配置。在本指南中,Web 界面是用来建立初始策略的。如果希望获得有关如何配置不同选项的信息,请参见 http://www.smoothwall.org/. (SmoothWall 使用 IPSec 的 Open Source FreeS/WAN 实现。更多信息,请参见 http://www.freeswan.org/.)
为了配置 SmoothWall Express 系统,请执行以下步骤。
|
1. |
通过访问 https://172.25.3.1:441 来访问 SmoothWall Express Web 界面。(这将使用 SmoothWall Express 安装期间接受的默认 SSL 端口。)用户将会看到以下屏幕。
|
|
2. |
单击“有关 smoothie”选项卡。在该页面上可以看到 VPN 服务当前已停止。 |
|
3. |
现在选择“VPN”选项卡。对于初始测试,在“全局设置”、“本地 VPN IP”中,保留该文本框为空。正如该页面中所提到的,如果该文本框为空,则将使用“红”接口。
|
|
4. |
在“VPN”选项卡上,单击“连接”导航按钮。左右概念对于形象化 VPN 的安装非常有用。可以是左侧也可以是右侧,只要在输入各自的子网值时保持一致。在此安装中,SmoothWall Express 系统将在左侧,ISA Server 将在右侧。
|
|
5. |
在“名称”中输入“ISANet”,在“左侧”输入“192.168.55.1”,在“左侧子网”中输入“172.25.3.0/24”。在“右侧”输入“192.168.55.100”,在“右侧子网”中输入“172.25.10.0/24”。在“机密”和“再次输入”中键入“123456789”。然后单击“添加”。
|
|
6. |
在完成这些步骤之后,在“VPN”选项卡上单击“控制”导航按钮。应该查看刚才在“手动控制和状态”中创建的连接。其连接状态应是“已关闭”。单击“重新启动”。
|
|
7. |
现在单击“关于 smoothie”选项卡,然后选择“高级”导航按钮。现在 VPN 服务应该正在运行。
|
这样就配置了 SmoothWall Express 系统。
返回页首 协调 ISA Server 和 SmoothWall Express IPSec 隧道模式策略
下一个步骤是协调 IPSec 隧道模式策略。这包括更改 ISA Server 计算机上的一个设置。为了协调 IPSec 隧道模式策略,请执行以下步骤。
|
1. |
在“ISA Server”控制台中选择“虚拟专用网络 (VPN)”节点,然后单击“远程站点”选项卡。选择“SmoothwallNet”,然后在“任务”选项卡上单击“配置远程站点”。
|
|
2. |
|
|
3. |
单击“连接”选项卡,然后单击“IPSec 设置”。
|
|
4. |
|
|
5. |
在“生成新密钥间隔”中,将秒数更改为“28800”,以与 SmoothWall Express 设置相匹配。
|
此设置在 SmoothWall Express Web 界面中是不可见的。检查运行 Windows Server 2003 的计算机上的 Oakley 日志,这将显示 SmoothWall Express 系统发送了一个与 ISA Server 向导中的设置不同的“会话密钥生存周期”设置。下面是对 Oakley 日志的一段摘录的解释,这段摘录显示“快速模式”失败。
| • |
第 1 行是在第 3 和第 4 行中设置了“初始程序”和“响应程序”cookie 的 SmoothWall 系统所提供的“传入快速模式”。 |
| • |
第 12 行是指定 ESP 的使用的 Proposal 0。(这些 Proposal 可以包含许多不同的转换,这些转换是加密算法 DES 或 3DES、哈希算法 MD5 或 SHA1、Diffie-Hellman 设置以及与 IPSec 隧道模式策略有关的 IP 地址等的组合。) |
| • |
第 13 到第 18 行包含了 Transform 0 的设置,并有以下设置:
| • |
|
| • |
“完全向前保密”(PFS) 是第 2 组,该组是 Diffie-Hellman 组(第 14 行) |
| • |
|
| • |
“会话密钥生存周期”为 28800 秒(第 16 和 17 行) |
| • |
| |
| • |
第 19 到第 20 行包含对 Transform 1 的设置,该设置具有除指定为 SHA1 的哈希算法以外的所有相同的设置。 |
下面是一段 Oakley 日志的摘录,这段摘录显示“快速模式”失败:
12-09: 22:36:20:818:fec Receive:(get) SA = 0x0137ec60 from 192.168.55.1.500
12-09:22:36:20:818:fec ISAKMP Header:(V1.0), len = 316
12-09:22:36:20:818:fec I-COOKIE 5e20729eafbcf84d
12-09:22:36:20:818:fec R-COOKIE d02a42ac5868c79c
12-09:22:36:20:818:fec exchange:Oakley Quick Mode
12-09:22:36:20:818:fec flags:1 ( encrypted )
12-09:22:36:20:818:fec next payload:HASH
12-09:22:36:20:818:fec message ID:d4629cf2
12-09:22:36:20:858:fec Negotiated Proxy ID:Src 172.25.3.0.0 Dst 172.25.10.0.0
12-09:22:36:20:858:fec Src id for subnet. Mask 255.255.255.0
12-09:22:36:20:858:fec Dst id for subnet. Mask 255.255.255.0
12-09:22:36:20:858:fec Checking Proposal 0:Proto= ESP(3), num trans=2 Next=0
12-09:22:36:20:858:fec Checking Transform # 0:ID=Triple DES CBC(3)
12-09:22:36:20:858:fec group description for PFS is 2
12-09:22:36:20:858:fec tunnel mode is Tunnel Mode(1)
12-09:22:36:20:858:fec SA life type in seconds
12-09:22:36:20:858:fec SA life duration 28800
12-09:22:36:20:858:fec HMAC algorithm is MD5(1)
12-09:22:36:20:858:fec Checking Transform # 1:ID=Triple DES CBC(3)
12-09:22:36:20:858:fec group description for PFS is 2
12-09:22:36:20:858:fec tunnel mode is Tunnel Mode(1)
12-09:22:36:20:858:fec SA life type in seconds
12-09:22:36:20:858:fec SA life duration 28800
12-09:22:36:20:858:fec HMAC algorithm is SHA(2)
12-09:22:36:20:858:fec Finding Responder Policy for SRC=172.25.3.0.0000 DST=172.25.10.0.0000, SRCMask=255.255.255.0, DSTMask=255.255.255.0, Prot=0 InTunnelEndpt 6437a8c0 OutTunnelEndpt 137a8c0
12-09:22:36:20:868:fec Failed to get TunnelPolicy 13015
12-09:22:36:20:868:fec Responder failed to match filter(Phase II) 13015
12-09:22:36:20:908:fec Data Protection Mode (Quick Mode)
12-09:22:36:20:908:fec Source IP Address 172.25.10.0 Source IP Address Mask 255.255.255.0 Destination IP Address 172.25.3.0 Destination IP Address Mask 255.255.255.0 Protocol 0 Source Port 0 Destination Port 0 IKE Local Addr 192.168.55.100 IKE Peer Addr 192.168.55.1 IKE Source Port 500 IKE Destination Port 500 Peer Private Addr
12-09:22:36:20:908:fec Preshared key ID. Peer IP Address:192.168.55.1
12-09: 22:36:20:908:fec Me
12-09:22:36:20:908:fec No policy configured
12-09:22:36:20:908:fec ISAKMP Header:(V1.0), len = 68
12-09:22:36:20:908:fec I-COOKIE 5e20729eafbcf84d
12-09:22:36:20:918:fec R-COOKIE d02a42ac5868c79c
12-09:22:36:20:918:fec exchange:ISAKMP Informational Exchange
12-09:22:36:20:918:fec flags:1 ( encrypted )
12-09:22:36:20:918:fec next payload:HASH
12-09:22:36:20:918:fec message ID:ab623176
12-09:22:36:20:918:fec Ports S:f401 D:f401
如果将这些设置与 ISA Server IPSec 策略的阶段 I 和阶段 II 的设置相比较,则阶段 II 的会话密钥是唯一需要更改的不匹配的设置,如前所示。
在进行此更改之后,就可以添加“IPSec 监视器”管理单元并查看这些设置。请执行以下步骤。
|
1. |
在运行 Windows Server 2003 的计算机上,单击“开始”,单击“运行”,键入“mmc”,然后单击“确定”。 |
|
2. |
在“文件”菜单上,单击“添加/删除管理单元”,添加 IPSec 监视器管理单元。 |
|
3. |
展开“控制台根节点”以查看“主模式”和“快速模式”的安全关联。在“主模式”下,单击“安全关联”。您将看到以下屏幕,此屏幕详细描述了“主模式”(阶段 I)的安全关联。
|
|
4. |
在“快速模式”下,单击“安全关联”。您将看到以下屏幕,此屏幕详细描述了“快速模式”(阶段 II)的安全关联。
|
注意 “快速模式”(阶段 II)实际上有两个安全关联——“入站”和“出站”,但是 IPSec 监视器只显示了“出站”安全关联。每个系统之后的客户端都应该能够通过 IPSec 隧道模式策略访问远程站点。(如果不能访问,则需要考虑客户端上的路由表。)
返回页首 测试
测试过程使用不同的应用程序层和传输层协议以确保数据在通过 IPSec 隧道时被正确加密和解密。下面的数据传输测试可以用来确定 IPSec 隧道连接是否成功:
| • |
FTP 进程使用一个 100 兆字节 (MB) 文件的 FTP GET,重命名该文件,然后使用一个 FTP PUT 将新文件传输回 FTP 服务器。在两次传输完成之后,该进程将在 FTP 服务器上使用来自“Windows 2000 Server 资源工具包”的 Windiff.exe 来执行比较,以确保两个文件是完全相同的。 |
| • |
TFTP 复制进程重复 FTP 测试,唯一的区别是 TFTP 传输的是 20 MB 的文件,而不是使用 FTP 传输的 100 MB 的文件。由于 Windows Server 2003、Windows XP 和 Windows 2000 Server 不包含 TFTP 服务器,所以第三方 TFTP 服务器(SolarWinds TFTP 服务器 http://www.solarwinds.com)被用作测试的 TFTP 服务器,而一台使用命令行实用工具 TFTP.EXE 的 Windows XP 主机被用作客户端。 |
| • |
CIFS 复制进程在两台计算机之间传输一个包含总共 311 个文件(大约为 50 MB 大小)的三个子文件夹的文件夹结构。使用资源工具包实用工具 ROBOCOPY.exe 并通过 Windows 资源管理器内部的复制将数据从源计算机传输到目标计算机。然后那些文件将从目标计算机复制到源计算机中的一个不同的文件夹结构中。然后使用 Windows 2000 资源工具包的 Windiff.exe 来比较这两个文件夹,以确保数据在传输期间没有被损坏。 |
| • |
PING 数据包使用特定的数据包大小从目标计算机发送到源计算机,以通过 IPSec 隧道测试数据包分割和重组。具体来说,所使用的数据包大小为:2、3、4、5、6、7、8、9、10、20、40、80、160、320、640、1280、1460、1461、1462、1463、1464、1465、1466、1467、1468、1469、1470、1471、1472、1473、1474、1475、1476、1477、1478、1479、1480、1500、3000、6000、12000、24000、48000 和 65500 字节。 |
|
用户登录 
新用户注册 
