7.1 远程访问概述
-
拨号网络(dial-up network) 通过使用远程通信提供商(例如模拟电话、ISDN 或 X.25)提供的服务,远程客户端使用非永久的拨号连接到远程访问服务器的物理端口上,这时使用的网络就是拨号网络。拨号网络的最佳范例是拨号网络客户端使用拨号网络拨打远程访问服务器某个端口的电话号码。
模拟电话线上或 ISDN 的拨号网络,是拨号网络客户端和拨号网络服务器之间的直接的物理连接。可以加密通过该连接发送的数据,但并不要求一定这样做。 -
虚拟专用网(×××—virtual private network) 虚拟专用网是穿越专用网络或公用网络(如 Internet)的、安全的、点对点连接的产物。虚拟专用网客户端使用特定的,称为隧道协议的基于 TCP/IP 的协议,来对虚拟专用网服务器的虚拟端口进行依次虚拟呼叫。虚拟专用网的最佳范例是,虚拟网络客户端使用虚拟专用网连接连接到与 Internet 相连的远程访问服务器上。远程访问服务器应答虚拟呼叫,验证呼叫方身份,并在虚拟专用网客户端和企业网络之间传送数据。
与拨号网络相比,虚拟专用网始终是通过公用网络(如 Internet)在虚拟专用网客户端和虚拟专用网服务器之间的一种逻辑的、非直接的连接。要保证隐私权,必须加密在连接上传送的数据。
7.2 ×××概述
7.2.1 ×××的组件
-
虚拟专用网 (×××) 服务器 可以配置 ××× 服务器以提供对整个网络的访问,或限制仅可访问作为 ××× 服务器的计算机的资源
-
××× 客户端 ××× 客户端是获得远程访问 ××× 连接的个人用户或获得路由器到路由器 ××× 连接的路由器。运行 Windows Server 2003 家族产品、Windows XP、Windows 2000、Windows NT 4.0、Windows 95、Windows 98 或 Windows Millennium Edition 的 ××× 客户端可以创建到 ××× 服务器的远程访问 ××× 连接。运行 Windows Server 2003 家族产品、Windows 2000 和“路由和远程访问”或 Windows NT Server 4.0 和“路由和远程访问服务 (RRAS)”的计算机可创建路由器到路由器的 ××× 连接。××× 客户端也可以是任何点对点隧道协议 (PPTP) 客户端或使用 Internet 协议安全性 (IPSec) 的第二层隧道协议 (L2TP) 客户端。
-
LAN 和远程访问协议 应用程序使用 LAN 协议传输信息。远程访问协议用于协商连接,并为通过广域网 (WAN) 链接发送的 LAN 协议数据提供组帧。“路由和远程访问”支持 PPP 远程访问协议。Windows Server 2003 Datacenter Edition、Windows Server 2003 Enterprise Edition、Windows Server 2003 Web Edition 和 Windows Server 2003 Standard Edition 都支持诸如 TCP/IP 和 AppleTalk 的 LAN 协议,用这些协议可以访问 Internet、UNIX、Apple Macintosh 和 Novell NetWare 资源。
-
隧道协议 ××× 客户端通过使用 PPTP 或 L2TP 隧道协议,可创建到 ××× 服务器的安全连接。
-
WAN 选项 通过使用诸如 T1 和“帧中继”的永久性 WAN 连接,将 ××× 服务器连接到 Internet。通过使用永久性 WAN 连接,或拨入(使用标准模拟电话线或 ISDN)到本地 Internet 服务提供商 (ISP),将 ××× 服务器连接到 Internet。
-
安全选项 “路由和远程访问”通过支持登录和域安全,以及对安全主机、数据加密、智能卡、IP 数据包筛选和呼叫器 ID 的支持来为 ××× 客户端提供安全网络访问。
7.2.2 ×××隧道协议
-
点对点隧道协议 PPTP 是点对点协议 (PPP) 的扩展,并协调使用 PPP 的身份验证、压缩和加密机制。PPTP 的客户端支持内置于 Windows XP 远程访问客户端。其是在 Windows NT 4.0 和 Windows 98 中首次被支持的隧道协议。
PPTP 的 ××× 服务器支持内置于 Windows Server 2003 家族的成员。PPTP 与 TCP/IP 协议一同安装。根据运行“路由和远程访问服务器安装向导”时所做的选择,PPTP 可以配置为 5 个或 128 个 PPTP 端口。
PPTP 和 Microsoft“点对点加密 (MPPE)”提供了对专用数据封装和加密的主要 ××× 服务。 -
第二层隧道协议 第二层隧道协议 (L2TP) 是基于 RFC 的隧道协议,该协议是一种业内标准,首次是在 Windows 2000 客户端和服务器操作系统中所支持。与 PPTP 不同,运行 Windows Server 2003 的服务器上的 L2TP 不利用 Microsoft 点对点加密 (MPPE) 来加密点对点协议 (PPP) 数据报。L2TP 依赖于加密服务的 Internet 协议安全性 (IPSec)。L2TP 和 IPSec 的组合被称为 L2TP/IPSec。L2TP/IPSec 提供专用数据的封装和加密的主要虚拟专用网 (×××) 服务。
××× 客户端和 ××× 服务器必须支持 L2TP 和 IPSec。L2TP 的客户端支持内置于 Windows XP 远程访问客户端,而 L2TP 的 ××× 服务器支持内置于 Windows Server 2003 家族的成员。
7.2.3 ×××连接
7.2.4 客户机IP地址的分配方式
-
静态的IP地址(Static IP Address)由管理员在用户的“拨入”属性中进行手动的设置。你需要保证该IP地址对于客户的网络连接是有效的,并且保证没有其它客户机使用了这个相同的地址。鉴于此,建议对于拨叼网络不使用静态的IP地址。
-
来自一个IP地址范围(From a Range of IP Addresses)由管理员在×××服务器中添加一个有足够数目并可供分配的IP地址范围。
-
从DHCP服务器获取(From the DHCP Server)×××服务器可以从网络中某个DHCP服务器获取IP地址,默认的情况下每次会从DHCP服务器处获取10个地址,并总是把第一个IP地址分配给自己,其余的IP地址分配给远程拨入用户。当用完了这10个IP后,×××服务器会再从DHCP服务器处获取10个IP地址以分配给拨入的客户。
7.3 ×××的配置
7.3.1 企业背景
7.3.2 配置步骤
7.3.2 .1 在服务器上创建入站连接
7.3.2 .2配置用户的拨入权限
7.3.2 .3在客户端创建出站连接
7.3.2 .4建立并断开连接