7.1 遠程訪問概述
用戶運行遠程訪問軟件,並初始化到遠程訪問服務器上的連接。遠程訪問服務器,即運行“路由和遠程訪問”的服務器,會始終驗證用戶和服務會話,直到用戶或網絡管理員將其終止爲止。那些在一般情況下適用於 LAN 連接用戶的所有服務(包括文件和打印共享、Web 服務器訪問和消息)均通過遠程訪問連接啓用。
遠程訪問客戶端使用標準工具來訪問資源。例如,在運行“路由和遠程訪問”的服務器上,客戶端可以使用 Windows 資源管理器來進行驅動器連接,並連接到打印機上。連接是持久的:在遠程會話期間,用戶不需要重新連接到網絡資源上。因爲對於驅動器標識字母和通用命名約定 (UNC) 所命名的名字,遠程訪問都支持,所以大多數商業和自定義應用程序不許要修改就可以使用。
運行“路由和遠程訪問”的服務器可以提供兩個不同類型的遠程訪問連接。
-
撥號網絡(dial-up network) 通過使用遠程通信提供商(例如模擬電話、ISDN 或 X.25)提供的服務,遠程客戶端使用非永久的撥號連接到遠程訪問服務器的物理端口上,這時使用的網絡就是撥號網絡。撥號網絡的最佳範例是撥號網絡客戶端使用撥號網絡撥打遠程訪問服務器某個端口的電話號碼。
模擬電話線上或 ISDN 的撥號網絡,是撥號網絡客戶端和撥號網絡服務器之間的直接的物理連接。可以加密通過該連接發送的數據,但並不要求一定這樣做。 -
虛擬專用網(×××—virtual private network) 虛擬專用網是穿越專用網絡或公用網絡(如 Internet)的、安全的、點對點連接的產物。虛擬專用網客戶端使用特定的,稱爲隧道協議的基於 TCP/IP 的協議,來對虛擬專用網服務器的虛擬端口進行依次虛擬呼叫。虛擬專用網的最佳範例是,虛擬網絡客戶端使用虛擬專用網連接連接到與 Internet 相連的遠程訪問服務器上。遠程訪問服務器應答虛擬呼叫,驗證呼叫方身份,並在虛擬專用網客戶端和企業網絡之間傳送數據。
與撥號網絡相比,虛擬專用網始終是通過公用網絡(如 Internet)在虛擬專用網客戶端和虛擬專用網服務器之間的一種邏輯的、非直接的連接。要保證隱私權,必須加密在連接上傳送的數據。
7.2 ×××概述
隨着網絡,尤其是網絡經濟的發展,企業規模日益擴大,客戶分佈日益廣泛,合作伙伴日益增多,在這種情況下,傳統企業網基於定地點的專線連接方式,已難以適應現代企業的需求。於是企業在自身的靈活性、安全性、經濟性、擴展性等方面提出了更高的要求。虛擬專用網(×××)以其獨具特色的優勢,贏得了了越來越多的企業的青睞。
有研究機構表明,如果企業採用×××替代租用DDN專線,其整個網絡成本可節約21%—45%,若替代撥號連網方式,可節約通信成本上50%—80%,×××的優勢顯而易見。
虛擬專用網(×××)代表了當今網絡發展的新趨勢,它綜合了傳統數據網絡的性能優點(安全和Qos)和共享數據網絡結構的優點(簡單和低成本),能夠提供遠程訪問,內外網的連接,在降低成本的同時滿足了對網絡帶寬、接入和服務不斷增加的需求,因此,×××必將成爲未來企業傳輸業務的主要工具。
在Windows server 2003中,我們可以使用“路由和遠程訪問”以配置 ××× 服務器、查看已連接的用戶及監視遠程訪問通信。
對於從 Internet 上訪問虛擬專用網,通常情況下,服務器具有到 Internet 的永久性連接。如果 Internet 服務提供商 (ISP) 支持請求撥號連接,則可能存在到 Internet 上的非永久性連接;在將通信傳遞給 ××× 服務器時創建連接。然而,這不是常規配置。如果 ××× 服務商提供對網絡的訪問,則必須安裝獨立的網絡適配器,並將其連接到 ××× 服務器提供訪問的網絡上。
在 Windows Server 2003 Web Edition 和 Windows Server 2003 Standard Edition 上,您最多可以創建 1,000 個點對點隧道協議 (PPTP) 端口,最多可以創建 1,000 個兩層隧道協議 (L2TP) 端口。但是,Windows Server 2003 Web Edition 一次只能接收一個虛擬專用網 (×××) 連接。而Windows Server 2003 Standard Edition 最多可以接受 1,000 個併發的 ××× 連接。如果已經連接了 1,000 個 ××× 客戶端,則其他連接嘗試將被拒絕,直到連接數目低於 1,000 爲止。
7.2.1 ×××的組件
一個虛擬專用網包括以下組件:
-
虛擬專用網 (×××) 服務器 可以配置 ××× 服務器以提供對整個網絡的訪問,或限制僅可訪問作爲 ××× 服務器的計算機的資源
-
××× 客戶端 ××× 客戶端是獲得遠程訪問 ××× 連接的個人用戶或獲得路由器到路由器 ××× 連接的路由器。運行 Windows Server 2003 家族產品、Windows XP、Windows 2000、Windows NT 4.0、Windows 95、Windows 98 或 Windows Millennium Edition 的 ××× 客戶端可以創建到 ××× 服務器的遠程訪問 ××× 連接。運行 Windows Server 2003 家族產品、Windows 2000 和“路由和遠程訪問”或 Windows NT Server 4.0 和“路由和遠程訪問服務 (RRAS)”的計算機可創建路由器到路由器的 ××× 連接。××× 客戶端也可以是任何點對點隧道協議 (PPTP) 客戶端或使用 Internet 協議安全性 (IPSec) 的第二層隧道協議 (L2TP) 客戶端。
-
LAN 和遠程訪問協議 應用程序使用 LAN 協議傳輸信息。遠程訪問協議用於協商連接,併爲通過廣域網 (WAN) 鏈接發送的 LAN 協議數據提供組幀。“路由和遠程訪問”支持 PPP 遠程訪問協議。Windows Server 2003 Datacenter Edition、Windows Server 2003 Enterprise Edition、Windows Server 2003 Web Edition 和 Windows Server 2003 Standard Edition 都支持諸如 TCP/IP 和 AppleTalk 的 LAN 協議,用這些協議可以訪問 Internet、UNIX、Apple Macintosh 和 Novell NetWare 資源。
-
隧道協議 ××× 客戶端通過使用 PPTP 或 L2TP 隧道協議,可創建到 ××× 服務器的安全連接。
-
WAN 選項 通過使用諸如 T1 和“幀中繼”的永久性 WAN 連接,將 ××× 服務器連接到 Internet。通過使用永久性 WAN 連接,或撥入(使用標準模擬電話線或 ISDN)到本地 Internet 服務提供商 (ISP),將 ××× 服務器連接到 Internet。
-
安全選項 “路由和遠程訪問”通過支持登錄和域安全,以及對安全主機、數據加密、智能卡、IP 數據包篩選和呼叫器 ID 的支持來爲 ××× 客戶端提供安全網絡訪問。
7.2.2 ×××隧道協議
×××的隧道協議包含:
-
點對點隧道協議 PPTP 是點對點協議 (PPP) 的擴展,並協調使用 PPP 的身份驗證、壓縮和加密機制。PPTP 的客戶端支持內置於 Windows XP 遠程訪問客戶端。其是在 Windows NT 4.0 和 Windows 98 中首次被支持的隧道協議。
PPTP 的 ××× 服務器支持內置於 Windows Server 2003 家族的成員。PPTP 與 TCP/IP 協議一同安裝。根據運行“路由和遠程訪問服務器安裝嚮導”時所做的選擇,PPTP 可以配置爲 5 個或 128 個 PPTP 端口。
PPTP 和 Microsoft“點對點加密 (MPPE)”提供了對專用數據封裝和加密的主要 ××× 服務。 -
第二層隧道協議 第二層隧道協議 (L2TP) 是基於 RFC 的隧道協議,該協議是一種業內標準,首次是在 Windows 2000 客戶端和服務器操作系統中所支持。與 PPTP 不同,運行 Windows Server 2003 的服務器上的 L2TP 不利用 Microsoft 點對點加密 (MPPE) 來加密點對點協議 (PPP) 數據報。L2TP 依賴於加密服務的 Internet 協議安全性 (IPSec)。L2TP 和 IPSec 的組合被稱爲 L2TP/IPSec。L2TP/IPSec 提供專用數據的封裝和加密的主要虛擬專用網 (×××) 服務。
××× 客戶端和 ××× 服務器必須支持 L2TP 和 IPSec。L2TP 的客戶端支持內置於 Windows XP 遠程訪問客戶端,而 L2TP 的 ××× 服務器支持內置於 Windows Server 2003 家族的成員。
7.2.3 ×××連接
×××通過Internet而不是通過直接的撥號連接,來提供安全的遠程訪問。×××客戶機利用專用網絡上的一個×××網關,採用IP互聯網來創建加密的、虛擬的、點對點連接。
通常,用戶通過因特網服務提供商(ISP—Internet service provider)連接到因特網,然後再創建一個到×××網關的連接。按照這種方式來使用因特網,公司就可以降低他們的長途話費,可以依賴現有的網絡基礎,而不用再重新建立他們的基礎結構。
×××協議將數據包封裝進PPP數據包。遠程訪問服務器執行所有的安全性檢查及覈實,並且利用數據加密功能,這樣使得通過不安全的網絡(如因特網)發送數據也是比較安全的。
7.2.4 客戶機IP地址的分配方式
當你通過配置×××,使之讓客戶使用撥號網絡連接到公司網絡時,×××服務器會爲自己和客戶均重新分配一個用於通信的IP地址。
你可以選擇下列選項中的一種,來確定客戶機接收IP地址的方式。
-
靜態的IP地址(Static IP Address)由管理員在用戶的“撥入”屬性中進行手動的設置。你需要保證該IP地址對於客戶的網絡連接是有效的,並且保證沒有其它客戶機使用了這個相同的地址。鑑於此,建議對於撥叼網絡不使用靜態的IP地址。
-
來自一個IP地址範圍(From a Range of IP Addresses)由管理員在×××服務器中添加一個有足夠數目並可供分配的IP地址範圍。
-
從DHCP服務器獲取(From the DHCP Server)×××服務器可以從網絡中某個DHCP服務器獲取IP地址,默認的情況下每次會從DHCP服務器處獲取10個地址,並總是把第一個IP地址分配給自己,其餘的IP地址分配給遠程撥入用戶。當用完了這10個IP後,×××服務器會再從DHCP服務器處獲取10個IP地址以分配給撥入的客戶。
7.3 ×××的配置
7.3.1 企業背景
你的公司有一些僱員,他們出差到了較遠的地方。你沒有足夠的資源來建立一個全球範圍的網絡,以便允許撥號連接到這些地方。這樣你就準備在因特網上配置一個×××服務器,從而可以讓員工通過×××連接來連接到你的網絡上。
7.3.2 配置步驟
l 在服務器上創建入站連接
l 配置用戶的撥入權限
l 在客戶端創建出站連接
l 建立並斷開連接
7.3.2 .1 在服務器上創建入站連接
當你在遠程訪問服務器(如×××服務器)上配置入站連接時,就會啓用一個端口,通過該端口,客戶機可以連接到你的服務器。
配置步驟如下:
1、以管理員身份登錄到一臺運行Windows Server 2003 Enterprise Edition版的服務器上,在“管理工具”,選擇“路由和遠程訪問”。
2、在控制檯樹中,右擊服務器名稱,再單擊“配置並啓用路由和遠程訪問”。然後啓動“ 路由和遠程訪問”。
3、在“配置並啓用路由和遠程訪問嚮導“頁中,單擊“下一步”,進入“配置”頁。在此頁, “遠程訪問和服務器”爲我們列出了可以選擇的的各種服務,在這裏,我們應該項選擇的是“遠程訪問(撥號或×××)”,單擊“下一步”。
4、在“遠程訪問”頁中選區中“×××”。單擊“下一步”。
5、在接下來的網絡連接接口選擇中,根據實際的連接選擇正確的連接內網和外網的網絡適配器。
6、在“IP地址指定”頁中,選擇“來自一個指定的地址範圍”,然後單擊“下一步”。
7、在“地址範圍指定”頁中,建立地址靜態池。點擊“新建”,輸入地址靜態池起始和結束的IP地址,這些IP地址將用於分配給撥入的客戶機。地址池可以建立多個子網的IP範圍,然後單擊“下一步”。
8、在“管理多個遠程訪問服務器”頁中,在不設置此服務器使用RADIUS的情況下,單擊“下一步”。
9、按默認設置來完成路由和遠程訪服務器安裝嚮導。
10、在“路由和遠程訪問”控制檯中,右擊服務器下拉菜單中的“端口”,然後單擊“屬性”。×××默認的PPTP和L2TP協議的端口數均爲128個,在這裏可以根據企業實際要求進行修改,如修改爲5個。
7.3.2 .2配置用戶的撥入權限
爲了讓遠程用戶能夠撥入,你必須在服務器端爲之建立一個帳戶,並允許其以某種方式進行撥入連接。
配置步驟如下:
1、以管理員身份登錄到×××服務器,在“管理工具”中打開“計算機管理”(如在域中,則需打開“活動目錄用戶和計算機”)。併爲將要撥入的用戶創建一個用戶帳號(如用戶名爲U1)。
2、在用戶“屬性”對話框中,選中“撥入”選項卡,在“遠程訪問權限”的設置值中選中“允許訪問”單選框。
7.3.2 .3在客戶端創建出站連接
出站連接是那些從客戶端到服務器的連接。具體的配置步驟如下:
1、以管理員身份登錄到一臺客戶機,右鍵桌面上的“網上鄰居”圖標,然後單擊“屬性”。
2、在“網絡和撥號連接”窗口中,雙擊“新建立連接嚮導”。在“網絡連接類型”頁中選中“連接到我的工作場所”單選框,然後單擊“下一步”按鈕。
3、在接下來的步驟中,按要求輸入公司的名稱COP和電話號碼。
4、在“目標地址”頁中,輸入×××服務器的IP地址,然後單擊“下一步”按鈕。
5、如果想要這一連接可用於這臺計算機的所有用戶,請單擊“用於所有用戶”,然後單擊“下一步”按鈕。
6、按默認設置完成用戶出站連接的配置,並在桌面上創建一個出站連接的快捷圖標。
7.3.2 .4建立並斷開連接
在服務器端我們完成了入站連接,並對用戶分配了撥入權限,在客戶端我們也完用戶建立了撥出連接,使遠程用戶可以通過這個出站連接連接到公司的×××服務器。現在我們以下面步驟對上面的配置作一個驗證。
1、登錄到已配置了出站連接的客戶機上,右鍵桌面上的“網上鄰居”圖標,然後單擊“屬性”。
2、在“網絡和撥號連接”窗口中,右鍵單擊“虛擬專用網絡”圖標,在彈出的下攔菜單中選中“連接”。出現正在註冊你的計算機的消息框。
3、在連接成功後,會在任務欄的右下方產生一個小圖標,並指示×××連接已經成功。
4、在命令提示符下,鍵入ipconfig,然後按Enter 鍵。可以看到網絡和撥號連接PPP adapter 的相關信息。可以看到獲取了一個PPP adapter的IP地址。(在服務器端也可用個命令查看是否也獲取了一個PPP adapter地址)
5、仔細比較,看服務器將那個IP分配給了自己,將哪些IP分配給了客戶。
6、用Ping命令ping服務器端分配的PPP adapter的IP地址,也可用之訪問服務器上的共享資源。
7、在任務欄的系統方格中,雙擊連接圖標。
8、在“虛擬專用連接狀態”對話框中,單擊“斷開連接”。
9、關閉所有打開的窗口。