7.1 遠程訪問概述
-
撥號網絡(dial-up network) 通過使用遠程通信提供商(例如模擬電話、ISDN 或 X.25)提供的服務,遠程客戶端使用非永久的撥號連接到遠程訪問服務器的物理端口上,這時使用的網絡就是撥號網絡。撥號網絡的最佳範例是撥號網絡客戶端使用撥號網絡撥打遠程訪問服務器某個端口的電話號碼。
模擬電話線上或 ISDN 的撥號網絡,是撥號網絡客戶端和撥號網絡服務器之間的直接的物理連接。可以加密通過該連接發送的數據,但並不要求一定這樣做。 -
虛擬專用網(×××—virtual private network) 虛擬專用網是穿越專用網絡或公用網絡(如 Internet)的、安全的、點對點連接的產物。虛擬專用網客戶端使用特定的,稱爲隧道協議的基於 TCP/IP 的協議,來對虛擬專用網服務器的虛擬端口進行依次虛擬呼叫。虛擬專用網的最佳範例是,虛擬網絡客戶端使用虛擬專用網連接連接到與 Internet 相連的遠程訪問服務器上。遠程訪問服務器應答虛擬呼叫,驗證呼叫方身份,並在虛擬專用網客戶端和企業網絡之間傳送數據。
與撥號網絡相比,虛擬專用網始終是通過公用網絡(如 Internet)在虛擬專用網客戶端和虛擬專用網服務器之間的一種邏輯的、非直接的連接。要保證隱私權,必須加密在連接上傳送的數據。
7.2 ×××概述
7.2.1 ×××的組件
-
虛擬專用網 (×××) 服務器 可以配置 ××× 服務器以提供對整個網絡的訪問,或限制僅可訪問作爲 ××× 服務器的計算機的資源
-
××× 客戶端 ××× 客戶端是獲得遠程訪問 ××× 連接的個人用戶或獲得路由器到路由器 ××× 連接的路由器。運行 Windows Server 2003 家族產品、Windows XP、Windows 2000、Windows NT 4.0、Windows 95、Windows 98 或 Windows Millennium Edition 的 ××× 客戶端可以創建到 ××× 服務器的遠程訪問 ××× 連接。運行 Windows Server 2003 家族產品、Windows 2000 和“路由和遠程訪問”或 Windows NT Server 4.0 和“路由和遠程訪問服務 (RRAS)”的計算機可創建路由器到路由器的 ××× 連接。××× 客戶端也可以是任何點對點隧道協議 (PPTP) 客戶端或使用 Internet 協議安全性 (IPSec) 的第二層隧道協議 (L2TP) 客戶端。
-
LAN 和遠程訪問協議 應用程序使用 LAN 協議傳輸信息。遠程訪問協議用於協商連接,併爲通過廣域網 (WAN) 鏈接發送的 LAN 協議數據提供組幀。“路由和遠程訪問”支持 PPP 遠程訪問協議。Windows Server 2003 Datacenter Edition、Windows Server 2003 Enterprise Edition、Windows Server 2003 Web Edition 和 Windows Server 2003 Standard Edition 都支持諸如 TCP/IP 和 AppleTalk 的 LAN 協議,用這些協議可以訪問 Internet、UNIX、Apple Macintosh 和 Novell NetWare 資源。
-
隧道協議 ××× 客戶端通過使用 PPTP 或 L2TP 隧道協議,可創建到 ××× 服務器的安全連接。
-
WAN 選項 通過使用諸如 T1 和“幀中繼”的永久性 WAN 連接,將 ××× 服務器連接到 Internet。通過使用永久性 WAN 連接,或撥入(使用標準模擬電話線或 ISDN)到本地 Internet 服務提供商 (ISP),將 ××× 服務器連接到 Internet。
-
安全選項 “路由和遠程訪問”通過支持登錄和域安全,以及對安全主機、數據加密、智能卡、IP 數據包篩選和呼叫器 ID 的支持來爲 ××× 客戶端提供安全網絡訪問。
7.2.2 ×××隧道協議
-
點對點隧道協議 PPTP 是點對點協議 (PPP) 的擴展,並協調使用 PPP 的身份驗證、壓縮和加密機制。PPTP 的客戶端支持內置於 Windows XP 遠程訪問客戶端。其是在 Windows NT 4.0 和 Windows 98 中首次被支持的隧道協議。
PPTP 的 ××× 服務器支持內置於 Windows Server 2003 家族的成員。PPTP 與 TCP/IP 協議一同安裝。根據運行“路由和遠程訪問服務器安裝嚮導”時所做的選擇,PPTP 可以配置爲 5 個或 128 個 PPTP 端口。
PPTP 和 Microsoft“點對點加密 (MPPE)”提供了對專用數據封裝和加密的主要 ××× 服務。 -
第二層隧道協議 第二層隧道協議 (L2TP) 是基於 RFC 的隧道協議,該協議是一種業內標準,首次是在 Windows 2000 客戶端和服務器操作系統中所支持。與 PPTP 不同,運行 Windows Server 2003 的服務器上的 L2TP 不利用 Microsoft 點對點加密 (MPPE) 來加密點對點協議 (PPP) 數據報。L2TP 依賴於加密服務的 Internet 協議安全性 (IPSec)。L2TP 和 IPSec 的組合被稱爲 L2TP/IPSec。L2TP/IPSec 提供專用數據的封裝和加密的主要虛擬專用網 (×××) 服務。
××× 客戶端和 ××× 服務器必須支持 L2TP 和 IPSec。L2TP 的客戶端支持內置於 Windows XP 遠程訪問客戶端,而 L2TP 的 ××× 服務器支持內置於 Windows Server 2003 家族的成員。
7.2.3 ×××連接
7.2.4 客戶機IP地址的分配方式
-
靜態的IP地址(Static IP Address)由管理員在用戶的“撥入”屬性中進行手動的設置。你需要保證該IP地址對於客戶的網絡連接是有效的,並且保證沒有其它客戶機使用了這個相同的地址。鑑於此,建議對於撥叼網絡不使用靜態的IP地址。
-
來自一個IP地址範圍(From a Range of IP Addresses)由管理員在×××服務器中添加一個有足夠數目並可供分配的IP地址範圍。
-
從DHCP服務器獲取(From the DHCP Server)×××服務器可以從網絡中某個DHCP服務器獲取IP地址,默認的情況下每次會從DHCP服務器處獲取10個地址,並總是把第一個IP地址分配給自己,其餘的IP地址分配給遠程撥入用戶。當用完了這10個IP後,×××服務器會再從DHCP服務器處獲取10個IP地址以分配給撥入的客戶。
7.3 ×××的配置
7.3.1 企業背景
7.3.2 配置步驟
7.3.2 .1 在服務器上創建入站連接
7.3.2 .2配置用戶的撥入權限
7.3.2 .3在客戶端創建出站連接
7.3.2 .4建立並斷開連接