第6章

實現(xiàn)遠程訪問服務6.1遠程訪問概述6.1.1遠程訪問的方式6.1.2撥號網(wǎng)絡的連接方式6.1.3VPN數(shù)據(jù)傳輸協(xié)議及工作原理遠程訪問服務遠程訪問服務提供了讓遠程用戶訪問局域網(wǎng)的能力Dial-up

Client3RAS進行身份認證2RAS響應4傳輸數(shù)據(jù)客戶端呼叫RAS1RemoteAccess

Server遠程訪問的方式撥號連接撥號連接指通過撥號網(wǎng)絡，(撥號網(wǎng)絡有PSTN公用交換電話網(wǎng)絡、V.92、ISDN綜合業(yè)務數(shù)字網(wǎng)和ADSL非對稱數(shù)字用戶線路),撥號到RAS服務器上，訪問局域網(wǎng)資源.虛擬專用網(wǎng)絡VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)絡（VPN）是遠程客戶機使用基于TCP/IP協(xié)議的專門的隧道協(xié)議（如PPTP、L2TP），通過RAS服務器的虛擬端口，穿越其他網(wǎng)絡（如Internet），實現(xiàn)的一種邏輯上的直接連接。使遠程用戶訪問到局域網(wǎng)中的資源.

撥號連接（modem,ISDN等）使用PSTN等連接到RRAS的一個端口長途話費高，容量低.VPN連接通過Internet連接，而不是直接的撥號先撥號到當?shù)豂SP，再連接到公司網(wǎng)絡的VPN降低電話費用，提高網(wǎng)絡的靈活性提供加密的、虛擬的、點對點連接兩者的比較不管你使用哪種方式,RAS服務器都起到了以下作用:1.身份驗證

2.相當于客戶機和局域網(wǎng)之間的網(wǎng)關

3.使遠程用戶等同于局域網(wǎng)的用戶撥號訪問RADIUSDial-up

Client3RAserverauthenticatesandauthorizestheclient2RAserveranswersthecall4RAservertransfersdataDial-upclientcallstheRAserver1RemoteAccess

ServerRADIUSVPNClientVPNServer虛擬專用網(wǎng)(vpn)3VPNserverauthenticatesandauthorizestheclient2VPNserveranswersthecall4VPNservertransfersdataVPNclientcallstheVPNserver1身份驗證的工作過程NetworkAccessServerNetworkAccessClientDomainControllerAuthentication接受到客戶端的撥號請求之后,把身份驗證工作交由RADIUS服務器來進行.121Authorization在授權之后,連接請求通過,成功建立連接.2虛擬專用網(wǎng)絡ClientServerPPTP基于IP的互聯(lián)網(wǎng)絡不支持報頭壓縮不支持隧道身份驗證采用PPP加密L2TP可以是基于IP、幀中繼,X.25,或ATM的互聯(lián)網(wǎng)絡報頭壓縮隧道身份驗證使用IPSec加密InternetPPTPorL2TP撥號連接方式DirectConnection6.1.2撥號網(wǎng)絡介紹PSTNISDNCableModemADSL6.1.3VPN數(shù)據(jù)傳輸協(xié)議及工作原理Windows2000VPN服務器Internet適配器Intranet適配器公司內(nèi)部網(wǎng)絡VPN遠程訪問客戶機Internet隧道標準的身份驗證協(xié)議協(xié)議安全性PAP低口令明文SPAP中口令加密CHAP高MS-CHAP高何時使用客戶機和服務器不能利用更安全的驗證形式進行協(xié)商時。雙向可逆的加密機制某些客戶運行非MS操作系統(tǒng)，MD5(有非MS客戶）有些用戶運行NT4.0，95/98，2000MS-CHAPv2高有些運行2000的撥號客戶機運行NT4/98的VPN機，2000，98，NT更強的初始數(shù)據(jù)密鑰，不同的密鑰6.2實現(xiàn)遠程訪問服務6.2.1配置遠程撥號服務器端6.2.2配置遠程撥號客戶端6.2.3配置VPN服務端6.2.4配置VPN客戶端6.2.1配置遠程撥號服務器端啟動遠程訪問服務配置遠程訪問服務端口配置用戶撥入設置啟動遠程訪問服務配置遠程訪問服務端口配置用戶撥入設置6.2.2配置遠程撥號客戶端6.2.3配置VPN服務端啟動VPN服務配置VPN協(xié)議撥入端口配置用戶撥入設置啟動VPN服務配置VPN協(xié)議撥入端口配置用戶撥入設置6.2.4配置VPN客戶端6.3遠程訪問策略6.3.1遠程訪問策略的基本要素6.3.2遠程訪問策略的實施過程6.3.3默認的遠程訪問策略介紹6.3.4配置遠程訪問策略6.3.5配置多個遠程訪問策略6.3.1遠程訪問策略的基本要素策略的組件：條件、權限、配置文件條件（Conditions）：指一個遠程訪問連接請求要與之匹配的條件。如連接者連接的時間，所屬的用戶組等，如果一條策略存在多個條件，則這些條件必須全部匹配才表示連接用戶匹配本策略的條件。權限（Permission）：一旦一個遠程訪問連接請求與一個遠程訪問策略的所有條件均匹配，在可以給其分配“允許訪問”或“拒絕訪問”的權限。一旦給一個遠程訪問連接請求分配了“允許訪問”的權限，但到底能否訪問還取決于“配置文件（Profile）”的設置。配置文件（Profile）：指應用到此訪問連接上的一系列的限制和配置。如是否允許此連接使用多多鏈路，是否對連接進行加密等。6.3.2遠程訪問策略的實施過程6.3.3默認的遠程訪問策略介紹沒有策略時，無論用戶的設置如何，都無法遠程訪問網(wǎng)絡默認策略條件設置為所有時間和所有日期權限設置為“拒絕遠程訪問權限”

配置文件設置為默認值6.3.4配置遠程訪問策略在用戶的撥入屬性中，設置遠程訪問權限為“通過遠程訪問策略控制訪問”

修改默認策略，使用戶能夠訪問6.3.5配置多個遠程訪問策略沒有匹配的策略則連接嘗試失??；順序檢查策略，直到找到相匹配的為止，否則拒絕連接；條件匹配則選定策略，如權限和配置文件不匹配，不會繼續(xù)檢查其他策略；可以修改策略的次序?？偨Y6.1遠程訪問概述6.2實現(xiàn)遠程訪問服務6.3遠程訪問策略人有了知識，就會具備各種分析能力，明辨是非的能力。