7.1 远程访问概述
用户运行远程访问软件,并初始化到远程访问服务器上的连接。远程访问服务器,即运行“路由和远程访问”的服务器,会始终验证用户和服务会话,直到用户或网络管理员将其终止为止。那些在一般情况下适用于 LAN 连接用户的所有服务(包括文件和打印共享、Web 服务器访问和消息)均通过远程访问连接启用。
远程访问客户端使用标准工具来访问资源。例如,在运行“路由和远程访问”的服务器上,客户端可以使用 Windows 资源管理器来进行驱动器连接,并连接到打印机上。连接是持久的:在远程会话期间,用户不需要重新连接到网络资源上。因为对于驱动器标识字母和通用命名约定 (UNC) 所命名的名字,远程访问都支持,所以大多数商业和自定义应用程序不许要修改就可以使用。
运行“路由和远程访问”的服务器可以提供两个不同类型的远程访问连接。
-
拨号网络(dial-up network) 通过使用远程通信提供商(例如模拟电话、ISDN 或 X.25)提供的服务,远程客户端使用非永久的拨号连接到远程访问服务器的物理端口上,这时使用的网络就是拨号网络。拨号网络的最佳范例是拨号网络客户端使用拨号网络拨打远程访问服务器某个端口的电话号码。
模拟电话线上或 ISDN 的拨号网络,是拨号网络客户端和拨号网络服务器之间的直接的物理连接。可以加密通过该连接发送的数据,但并不要求一定这样做。 -
虚拟专用网(×××—virtual private network) 虚拟专用网是穿越专用网络或公用网络(如 Internet)的、安全的、点对点连接的产物。虚拟专用网客户端使用特定的,称为隧道协议的基于 TCP/IP 的协议,来对虚拟专用网服务器的虚拟端口进行依次虚拟呼叫。虚拟专用网的最佳范例是,虚拟网络客户端使用虚拟专用网连接连接到与 Internet 相连的远程访问服务器上。远程访问服务器应答虚拟呼叫,验证呼叫方身份,并在虚拟专用网客户端和企业网络之间传送数据。
与拨号网络相比,虚拟专用网始终是通过公用网络(如 Internet)在虚拟专用网客户端和虚拟专用网服务器之间的一种逻辑的、非直接的连接。要保证隐私权,必须加密在连接上传送的数据。
7.2 ×××概述
随着网络,尤其是网络经济的发展,企业规模日益扩大,客户分布日益广泛,合作伙伴日益增多,在这种情况下,传统企业网基于定地点的专线连接方式,已难以适应现代企业的需求。于是企业在自身的灵活性、安全性、经济性、扩展性等方面提出了更高的要求。虚拟专用网(×××)以其独具特色的优势,赢得了了越来越多的企业的青睐。
有研究机构表明,如果企业采用×××替代租用DDN专线,其整个网络成本可节约21%—45%,若替代拨号连网方式,可节约通信成本上50%—80%,×××的优势显而易见。
虚拟专用网(×××)代表了当今网络发展的新趋势,它综合了传统数据网络的性能优点(安全和Qos)和共享数据网络结构的优点(简单和低成本),能够提供远程访问,内外网的连接,在降低成本的同时满足了对网络带宽、接入和服务不断增加的需求,因此,×××必将成为未来企业传输业务的主要工具。
在Windows server 2003中,我们可以使用“路由和远程访问”以配置 ××× 服务器、查看已连接的用户及监视远程访问通信。
对于从 Internet 上访问虚拟专用网,通常情况下,服务器具有到 Internet 的永久性连接。如果 Internet 服务提供商 (ISP) 支持请求拨号连接,则可能存在到 Internet 上的非永久性连接;在将通信传递给 ××× 服务器时创建连接。然而,这不是常规配置。如果 ××× 服务商提供对网络的访问,则必须安装独立的网络适配器,并将其连接到 ××× 服务器提供访问的网络上。
在 Windows Server 2003 Web Edition 和 Windows Server 2003 Standard Edition 上,您最多可以创建 1,000 个点对点隧道协议 (PPTP) 端口,最多可以创建 1,000 个两层隧道协议 (L2TP) 端口。但是,Windows Server 2003 Web Edition 一次只能接收一个虚拟专用网 (×××) 连接。而Windows Server 2003 Standard Edition 最多可以接受 1,000 个并发的 ××× 连接。如果已经连接了 1,000 个 ××× 客户端,则其他连接尝试将被拒绝,直到连接数目低于 1,000 为止。
7.2.1 ×××的组件
一个虚拟专用网包括以下组件:
-
虚拟专用网 (×××) 服务器 可以配置 ××× 服务器以提供对整个网络的访问,或限制仅可访问作为 ××× 服务器的计算机的资源
-
××× 客户端 ××× 客户端是获得远程访问 ××× 连接的个人用户或获得路由器到路由器 ××× 连接的路由器。运行 Windows Server 2003 家族产品、Windows XP、Windows 2000、Windows NT 4.0、Windows 95、Windows 98 或 Windows Millennium Edition 的 ××× 客户端可以创建到 ××× 服务器的远程访问 ××× 连接。运行 Windows Server 2003 家族产品、Windows 2000 和“路由和远程访问”或 Windows NT Server 4.0 和“路由和远程访问服务 (RRAS)”的计算机可创建路由器到路由器的 ××× 连接。××× 客户端也可以是任何点对点隧道协议 (PPTP) 客户端或使用 Internet 协议安全性 (IPSec) 的第二层隧道协议 (L2TP) 客户端。
-
LAN 和远程访问协议 应用程序使用 LAN 协议传输信息。远程访问协议用于协商连接,并为通过广域网 (WAN) 链接发送的 LAN 协议数据提供组帧。“路由和远程访问”支持 PPP 远程访问协议。Windows Server 2003 Datacenter Edition、Windows Server 2003 Enterprise Edition、Windows Server 2003 Web Edition 和 Windows Server 2003 Standard Edition 都支持诸如 TCP/IP 和 AppleTalk 的 LAN 协议,用这些协议可以访问 Internet、UNIX、Apple Macintosh 和 Novell NetWare 资源。
-
隧道协议 ××× 客户端通过使用 PPTP 或 L2TP 隧道协议,可创建到 ××× 服务器的安全连接。
-
WAN 选项 通过使用诸如 T1 和“帧中继”的永久性 WAN 连接,将 ××× 服务器连接到 Internet。通过使用永久性 WAN 连接,或拨入(使用标准模拟电话线或 ISDN)到本地 Internet 服务提供商 (ISP),将 ××× 服务器连接到 Internet。
-
安全选项 “路由和远程访问”通过支持登录和域安全,以及对安全主机、数据加密、智能卡、IP 数据包筛选和呼叫器 ID 的支持来为 ××× 客户端提供安全网络访问。
7.2.2 ×××隧道协议
×××的隧道协议包含:
-
点对点隧道协议 PPTP 是点对点协议 (PPP) 的扩展,并协调使用 PPP 的身份验证、压缩和加密机制。PPTP 的客户端支持内置于 Windows XP 远程访问客户端。其是在 Windows NT 4.0 和 Windows 98 中首次被支持的隧道协议。
PPTP 的 ××× 服务器支持内置于 Windows Server 2003 家族的成员。PPTP 与 TCP/IP 协议一同安装。根据运行“路由和远程访问服务器安装向导”时所做的选择,PPTP 可以配置为 5 个或 128 个 PPTP 端口。
PPTP 和 Microsoft“点对点加密 (MPPE)”提供了对专用数据封装和加密的主要 ××× 服务。 -
第二层隧道协议 第二层隧道协议 (L2TP) 是基于 RFC 的隧道协议,该协议是一种业内标准,首次是在 Windows 2000 客户端和服务器操作系统中所支持。与 PPTP 不同,运行 Windows Server 2003 的服务器上的 L2TP 不利用 Microsoft 点对点加密 (MPPE) 来加密点对点协议 (PPP) 数据报。L2TP 依赖于加密服务的 Internet 协议安全性 (IPSec)。L2TP 和 IPSec 的组合被称为 L2TP/IPSec。L2TP/IPSec 提供专用数据的封装和加密的主要虚拟专用网 (×××) 服务。
××× 客户端和 ××× 服务器必须支持 L2TP 和 IPSec。L2TP 的客户端支持内置于 Windows XP 远程访问客户端,而 L2TP 的 ××× 服务器支持内置于 Windows Server 2003 家族的成员。
7.2.3 ×××连接
×××通过Internet而不是通过直接的拨号连接,来提供安全的远程访问。×××客户机利用专用网络上的一个×××网关,采用IP互联网来创建加密的、虚拟的、点对点连接。
通常,用户通过因特网服务提供商(ISP—Internet service provider)连接到因特网,然后再创建一个到×××网关的连接。按照这种方式来使用因特网,公司就可以降低他们的长途话费,可以依赖现有的网络基础,而不用再重新建立他们的基础结构。
×××协议将数据包封装进PPP数据包。远程访问服务器执行所有的安全性检查及核实,并且利用数据加密功能,这样使得通过不安全的网络(如因特网)发送数据也是比较安全的。
7.2.4 客户机IP地址的分配方式
当你通过配置×××,使之让客户使用拨号网络连接到公司网络时,×××服务器会为自己和客户均重新分配一个用于通信的IP地址。
你可以选择下列选项中的一种,来确定客户机接收IP地址的方式。
-
静态的IP地址(Static IP Address)由管理员在用户的“拨入”属性中进行手动的设置。你需要保证该IP地址对于客户的网络连接是有效的,并且保证没有其它客户机使用了这个相同的地址。鉴于此,建议对于拨叼网络不使用静态的IP地址。
-
来自一个IP地址范围(From a Range of IP Addresses)由管理员在×××服务器中添加一个有足够数目并可供分配的IP地址范围。
-
从DHCP服务器获取(From the DHCP Server)×××服务器可以从网络中某个DHCP服务器获取IP地址,默认的情况下每次会从DHCP服务器处获取10个地址,并总是把第一个IP地址分配给自己,其余的IP地址分配给远程拨入用户。当用完了这10个IP后,×××服务器会再从DHCP服务器处获取10个IP地址以分配给拨入的客户。
7.3 ×××的配置
7.3.1 企业背景
你的公司有一些雇员,他们出差到了较远的地方。你没有足够的资源来建立一个全球范围的网络,以便允许拨号连接到这些地方。这样你就准备在因特网上配置一个×××服务器,从而可以让员工通过×××连接来连接到你的网络上。
7.3.2 配置步骤
l 在服务器上创建入站连接
l 配置用户的拨入权限
l 在客户端创建出站连接
l 建立并断开连接
7.3.2 .1 在服务器上创建入站连接
当你在远程访问服务器(如×××服务器)上配置入站连接时,就会启用一个端口,通过该端口,客户机可以连接到你的服务器。
配置步骤如下:
1、以管理员身份登录到一台运行Windows Server 2003 Enterprise Edition版的服务器上,在“管理工具”,选择“路由和远程访问”。
2、在控制台树中,右击服务器名称,再单击“配置并启用路由和远程访问”。然后启动“ 路由和远程访问”。
3、在“配置并启用路由和远程访问向导“页中,单击“下一步”,进入“配置”页。在此页, “远程访问和服务器”为我们列出了可以选择的的各种服务,在这里,我们应该项选择的是“远程访问(拨号或×××)”,单击“下一步”。
4、在“远程访问”页中选区中“×××”。单击“下一步”。
5、在接下来的网络连接接口选择中,根据实际的连接选择正确的连接内网和外网的网络适配器。
6、在“IP地址指定”页中,选择“来自一个指定的地址范围”,然后单击“下一步”。
7、在“地址范围指定”页中,建立地址静态池。点击“新建”,输入地址静态池起始和结束的IP地址,这些IP地址将用于分配给拨入的客户机。地址池可以建立多个子网的IP范围,然后单击“下一步”。
8、在“管理多个远程访问服务器”页中,在不设置此服务器使用RADIUS的情况下,单击“下一步”。
9、按默认设置来完成路由和远程访服务器安装向导。
10、在“路由和远程访问”控制台中,右击服务器下拉菜单中的“端口”,然后单击“属性”。×××默认的PPTP和L2TP协议的端口数均为128个,在这里可以根据企业实际要求进行修改,如修改为5个。
7.3.2 .2配置用户的拨入权限
为了让远程用户能够拨入,你必须在服务器端为之建立一个帐户,并允许其以某种方式进行拨入连接。
配置步骤如下:
1、以管理员身份登录到×××服务器,在“管理工具”中打开“计算机管理”(如在域中,则需打开“活动目录用户和计算机”)。并为将要拨入的用户创建一个用户帐号(如用户名为U1)。
2、在用户“属性”对话框中,选中“拨入”选项卡,在“远程访问权限”的设置值中选中“允许访问”单选框。
7.3.2 .3在客户端创建出站连接
出站连接是那些从客户端到服务器的连接。具体的配置步骤如下:
1、以管理员身份登录到一台客户机,右键桌面上的“网上邻居”图标,然后单击“属性”。
2、在“网络和拨号连接”窗口中,双击“新建立连接向导”。在“网络连接类型”页中选中“连接到我的工作场所”单选框,然后单击“下一步”按钮。
3、在接下来的步骤中,按要求输入公司的名称COP和电话号码。
4、在“目标地址”页中,输入×××服务器的IP地址,然后单击“下一步”按钮。
5、如果想要这一连接可用于这台计算机的所有用户,请单击“用于所有用户”,然后单击“下一步”按钮。
6、按默认设置完成用户出站连接的配置,并在桌面上创建一个出站连接的快捷图标。
7.3.2 .4建立并断开连接
在服务器端我们完成了入站连接,并对用户分配了拨入权限,在客户端我们也完用户建立了拨出连接,使远程用户可以通过这个出站连接连接到公司的×××服务器。现在我们以下面步骤对上面的配置作一个验证。
1、登录到已配置了出站连接的客户机上,右键桌面上的“网上邻居”图标,然后单击“属性”。
2、在“网络和拨号连接”窗口中,右键单击“虚拟专用网络”图标,在弹出的下拦菜单中选中“连接”。出现正在注册你的计算机的消息框。
3、在连接成功后,会在任务栏的右下方产生一个小图标,并指示×××连接已经成功。
4、在命令提示符下,键入ipconfig,然后按Enter 键。可以看到网络和拨号连接PPP adapter 的相关信息。可以看到获取了一个PPP adapter的IP地址。(在服务器端也可用个命令查看是否也获取了一个PPP adapter地址)
5、仔细比较,看服务器将那个IP分配给了自己,将哪些IP分配给了客户。
6、用Ping命令ping服务器端分配的PPP adapter的IP地址,也可用之访问服务器上的共享资源。
7、在任务栏的系统方格中,双击连接图标。
8、在“虚拟专用连接状态”对话框中,单击“断开连接”。
9、关闭所有打开的窗口。