第15章 遠(yuǎn)程訪問(wèn)與虛擬專用網(wǎng)_第1頁(yè)
第15章 遠(yuǎn)程訪問(wèn)與虛擬專用網(wǎng)_第2頁(yè)
第15章 遠(yuǎn)程訪問(wèn)與虛擬專用網(wǎng)_第3頁(yè)
第15章 遠(yuǎn)程訪問(wèn)與虛擬專用網(wǎng)_第4頁(yè)
第15章 遠(yuǎn)程訪問(wèn)與虛擬專用網(wǎng)_第5頁(yè)
已閱讀5頁(yè),還剩25頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

第15章遠(yuǎn)程訪問(wèn)與虛擬專用網(wǎng)了解連接到遠(yuǎn)程訪問(wèn)服務(wù)器的方式以及數(shù)據(jù)通信協(xié)議;掌握如何配置遠(yuǎn)程訪問(wèn)服務(wù)器,以及如何配置客戶端使之能撥號(hào)連接到遠(yuǎn)程訪問(wèn)服務(wù)器;掌握VPN服務(wù)器的配置以及多重連接與帶寬分配協(xié)議的應(yīng)用;了解常見的身份驗(yàn)證協(xié)議并熟悉遠(yuǎn)程訪問(wèn)策略的流程。15.1連接到遠(yuǎn)程訪問(wèn)服務(wù)器的方式

通過(guò)配置路由和遠(yuǎn)程訪問(wèn)(RoutingandRemoteAccessService,RRAS),可以讓遠(yuǎn)程用戶可以連接本地的局域網(wǎng)。虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetwork,VPN)可以讓遠(yuǎn)程用戶通過(guò)Internet來(lái)安全地訪問(wèn)公司內(nèi)部的網(wǎng)絡(luò)資源。1.通過(guò)PSTN連接通過(guò)PSTN接入是指用戶利用現(xiàn)有的PSTN(PublishedSwitchedTelephoneNetwork,公共交換電話網(wǎng))并通過(guò)調(diào)制解調(diào)器(Modem)撥號(hào)接入到Internet或局域網(wǎng),如圖15-1所示。2.通過(guò)ADSLMODEM連接通過(guò)ADSLModem實(shí)現(xiàn)撥號(hào)接入到Internet或局域網(wǎng),必須確定有網(wǎng)卡、ADSLModem及配套的分離器(或稱濾波器),如圖15-2所示。3.直接電纜連接直接電纜連接是指利用計(jì)算機(jī)的串行端口(COM)或并行端口(LPT)在計(jì)算機(jī)之間來(lái)實(shí)現(xiàn)數(shù)據(jù)的傳輸,有兩種連接的方式:串行端口客戶端可以直接利用一條RS-232C調(diào)制解調(diào)器電纜來(lái)連接遠(yuǎn)程訪問(wèn)服務(wù)器,這條電纜的兩端分別連接到這兩臺(tái)計(jì)算機(jī)的COM端口。這種方式連接速度也較慢,并要求兩臺(tái)計(jì)算機(jī)之間的距離也不宜超過(guò)15m,否則信號(hào)會(huì)失真。并行端口也就是通過(guò)打印機(jī)的連接端口(LPT)來(lái)連接,并要求并口電纜長(zhǎng)度最好不超過(guò)3米。直接電纜連接無(wú)須網(wǎng)卡,因此連接的成本低廉,但連接距離較短,傳輸速度較慢。4.通過(guò)虛擬專用網(wǎng)(VPN)連接虛擬專用網(wǎng)(VirtualPrivateNetwork,VPN)讓遠(yuǎn)程用戶可以通過(guò)Internet安全地訪問(wèn)公司內(nèi)部的網(wǎng)絡(luò)資源。VPN是專用網(wǎng)絡(luò)的延伸,通過(guò)公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施(例如Internet)為用戶創(chuàng)建隧道,并提供與專用網(wǎng)絡(luò)一樣的安全功能。WindowsServer2003支持的VPN通信協(xié)議有PPTP(Point-to-PointTunnelingProtocol)與L2TP(LayerTwoTunnelingProtocol)。VPN最大的好處是方便用戶訪問(wèn)公司內(nèi)部網(wǎng)絡(luò),并降低訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)的成本。15.2數(shù)據(jù)傳輸通信協(xié)議

WindowsServer2003遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)中的客戶端和服務(wù)器必須支持兩類數(shù)據(jù)傳輸通信協(xié)議:一類是遠(yuǎn)程訪問(wèn)通信協(xié)議,用來(lái)控制廣域網(wǎng)連接上的數(shù)據(jù)傳輸;另一類是局域網(wǎng)通信協(xié)議,用于控制遠(yuǎn)程客戶端訪問(wèn)服務(wù)器及其所在網(wǎng)絡(luò)。典型的遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)的結(jié)構(gòu),如圖15-3所示。15.2.1遠(yuǎn)程訪問(wèn)通信協(xié)議

WindowsServer2003遠(yuǎn)程訪問(wèn)服務(wù)器支持的遠(yuǎn)程訪問(wèn)通信協(xié)議有:(1)PPP(Point-to-PointProtocol)PPP作為一種工業(yè)標(biāo)準(zhǔn),是目前應(yīng)用廣泛的遠(yuǎn)程訪問(wèn)通信協(xié)議,而且其安全措施完善、擴(kuò)充性較強(qiáng),能夠滿足當(dāng)前與未來(lái)的需求,是微軟推薦的遠(yuǎn)程訪問(wèn)協(xié)議。(2)SLIP(SerialLineInternetProtoco1)SLIP全稱為串行線路網(wǎng)際協(xié)議,主要應(yīng)用在UNIX遠(yuǎn)程訪問(wèn)服務(wù)器下,作為較舊的遠(yuǎn)程訪問(wèn)協(xié)議,還存在一些問(wèn)題。WindowsServer2003遠(yuǎn)程訪問(wèn)服務(wù)器不支持客戶端利用SLIP來(lái)連接,但是WindowsNT、WindowsXP、Windows2000等遠(yuǎn)程訪問(wèn)客戶端支持SLIP,可以連接到符合SLIP標(biāo)準(zhǔn)的遠(yuǎn)程訪問(wèn)服務(wù)器。(3)ARAP(AppleTalkRemoteAccessProtocol)該協(xié)議支持Apple的Macintosh遠(yuǎn)程訪問(wèn)客戶端連接到WindowsServer2003遠(yuǎn)程訪問(wèn)服務(wù)器,但WindowsServer2003遠(yuǎn)程訪問(wèn)客戶端不支持利用ARAP協(xié)議來(lái)連接支持ARAP的遠(yuǎn)程訪問(wèn)服務(wù)器。(4)MicrosoftRASProtocol(MicrosoftRemoteAccessServiceProtocol)該協(xié)議是Microsoft專有的數(shù)據(jù)傳輸通信協(xié)議,是早期Windows操作系統(tǒng)所廣泛采用的專用遠(yuǎn)程訪問(wèn)通信協(xié)議,只能配合NetBEUI局域網(wǎng)通信協(xié)議使用,因此遠(yuǎn)程訪問(wèn)服務(wù)器和客戶端都必須安裝NetBEUI局域網(wǎng)通信協(xié)議。15.2.2局域網(wǎng)通信協(xié)議

客戶端利用遠(yuǎn)程訪問(wèn)通信協(xié)議連接到遠(yuǎn)程訪問(wèn)服務(wù)器后,需要再利用局域網(wǎng)通信協(xié)議與遠(yuǎn)程訪問(wèn)服務(wù)器通信,并通過(guò)遠(yuǎn)程訪問(wèn)服務(wù)器與局域網(wǎng)內(nèi)的其它計(jì)算機(jī)通信。WindowsServer2003遠(yuǎn)程訪問(wèn)支持的局域網(wǎng)通信協(xié)議有TCP/IP、NWLink、IPX/SPX、AppleTalk和NetBEUI等。局域網(wǎng)通信協(xié)議可以限制遠(yuǎn)程訪問(wèn)客戶端是訪問(wèn)整個(gè)網(wǎng)絡(luò)還是只能訪問(wèn)遠(yuǎn)程訪問(wèn)服務(wù)器本身。15.3連接到遠(yuǎn)程訪問(wèn)服務(wù)器

客戶端通過(guò)調(diào)制解調(diào)器撥號(hào)連接到WindowsServer2003遠(yuǎn)程訪問(wèn)服務(wù)器。要實(shí)現(xiàn)從客戶端連接到遠(yuǎn)程訪問(wèn)服務(wù)器,需要完成以下三步:安裝遠(yuǎn)程訪問(wèn)服務(wù)器。授予用戶遠(yuǎn)程訪問(wèn)的權(quán)限??蛻舳说脑O(shè)置。15.3.1安裝遠(yuǎn)程訪問(wèn)服務(wù)器

要配置WindowsServer2003遠(yuǎn)程訪問(wèn)服務(wù)器,服務(wù)器上要事先安裝調(diào)制解調(diào)器。如果WindowsServer2003服務(wù)器啟用了“Internet連接防火墻(InternetConnectionFirewall,ICF)”,請(qǐng)先停用ICF,否則無(wú)法安裝遠(yuǎn)程訪問(wèn)服務(wù)器。15.3.2授予用戶遠(yuǎn)程訪問(wèn)的權(quán)限

默認(rèn)情況下,域用戶帳戶或本地用戶帳戶都沒(méi)有撥號(hào)連接到遠(yuǎn)程訪問(wèn)服務(wù)器的權(quán)限。要使這些用戶能夠和遠(yuǎn)程訪問(wèn)服務(wù)器建立連接,必須為這些用戶授予撥入權(quán)限,并且這些用戶帳戶的密碼均不能為空,否則撥入驗(yàn)證不會(huì)成功。1.授予域用戶遠(yuǎn)程訪問(wèn)的權(quán)限2.授予本地用戶遠(yuǎn)程訪問(wèn)的權(quán)限15.3.3客戶端的設(shè)置

連接到WindowsServer2003遠(yuǎn)程訪問(wèn)服務(wù)器上的撥號(hào)客戶端可以是WindowsServer2003、WindowsNT、Windows2000、WindowsXP等客戶端。這些客戶端必須安裝撥號(hào)設(shè)備(如調(diào)制解調(diào)器),配備撥號(hào)線路(如模擬電話線或其他WAN連接)。15.4虛擬專用網(wǎng)

越來(lái)越多的企業(yè)通過(guò)接入Internet,實(shí)現(xiàn)位于各地的分公司的內(nèi)部網(wǎng)絡(luò)互通,達(dá)到信息資源的共享,但是傳輸?shù)倪@些數(shù)據(jù)有很多是屬于內(nèi)部機(jī)密,因此有必要采取一些措施來(lái)保障這些數(shù)據(jù)的安全。虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetwork,VPN)通過(guò)特定的加密協(xié)議,使位于不同地方的多個(gè)內(nèi)部網(wǎng)之間利用現(xiàn)有公共網(wǎng)絡(luò)基礎(chǔ)架構(gòu)(例如Internet)通過(guò)隧道技術(shù)實(shí)現(xiàn)數(shù)據(jù)的安全傳輸。15.4.1VPN原理

WindowsServer2003服務(wù)器利用自帶的VPN服務(wù)組件,使遠(yuǎn)程用戶通過(guò)Internet等公共網(wǎng)絡(luò)與某個(gè)局域網(wǎng)之間建立一條安全的通信隧道。1.兩種VPN通信協(xié)議(1)PPTP(Point-to-PointTunnelingProtocol,點(diǎn)對(duì)點(diǎn)隧道協(xié)議)(2)L2TP(LayerTwoTunnelingProtoco1,第二層隧道協(xié)議)2.VPN應(yīng)用的場(chǎng)合

一般來(lái)說(shuō),VPN應(yīng)用在以下兩種場(chǎng)合:圖15-22在兩個(gè)局域網(wǎng)之間建立VPN圖15-21在客戶端與總公司的網(wǎng)絡(luò)之間建立VPN15.4.2PPTPVPN

1.VPN服務(wù)器的安裝2.在VPN客戶端建立VPN撥號(hào)連接15.4.3L2TPVPN

L2TPVPN服務(wù)器的安裝、客戶端Internet連接的建立、VPN客戶端連接的建立等過(guò)程都與PPTP相同。要實(shí)現(xiàn)VPN客戶端和VPN服務(wù)器之間的L2TPVPN通信,L2TP還需要配合IPSec來(lái)提供身份驗(yàn)證與數(shù)據(jù)加密等功能,因此VPN客戶端與VPN服務(wù)器都必須要啟用IPSec策略。VPN服務(wù)器會(huì)自動(dòng)啟用IPSec策略,而VPN客戶端計(jì)算機(jī)在利用L2TP來(lái)連接VPN服務(wù)器時(shí),也會(huì)自動(dòng)啟用IPSec策略。IPSec用來(lái)驗(yàn)證計(jì)算機(jī)身份的方法有Kerberos、證書和預(yù)共享密鑰(Presharedkey)3種,WindowsServer2003的L2TP/IPSec支持“證書”與“預(yù)共享密鑰”兩種方法。1.證書概述2.證書的申請(qǐng)3.頒發(fā)證書4.客戶端重新下載并安裝證書5.在客戶端啟用L2TP/IPSecVPN15.5多重鏈接與帶寬分配協(xié)議

多重鏈接協(xié)議(MultilinkProtocol,MP)可以將多個(gè)PPP的物理連接合并為一個(gè)邏輯的連接,以提高網(wǎng)絡(luò)的帶寬。在遠(yuǎn)程訪問(wèn)服務(wù)器與客戶端都必須啟用多重鏈接協(xié)議。多重鏈接是將多個(gè)物理連接固定合并為一個(gè)邏輯傳輸信道,而帶寬分配協(xié)議(BandwidthAllocationProtocol,BAP)則是根據(jù)數(shù)據(jù)流量的情況,來(lái)動(dòng)態(tài)地決定是否要另外增加或減少所使用的連接設(shè)備。BAP可以動(dòng)態(tài)地、有效地利用現(xiàn)有的連接設(shè)備,忙時(shí)自動(dòng)啟用其他的連接設(shè)備,以增加網(wǎng)絡(luò)的帶寬。閑時(shí)自動(dòng)釋放所使用的設(shè)備,避免占用過(guò)多的連接設(shè)備。15.5.1服務(wù)器端的多重鏈接設(shè)置

15.5.2客戶端的多重鏈接設(shè)置

15.6身份驗(yàn)證協(xié)議

客戶端在連接到遠(yuǎn)程訪問(wèn)服務(wù)器時(shí),必須輸入用戶名與密碼,以便用來(lái)驗(yàn)證用戶的身份。WindowsServer

2003身份驗(yàn)證使用戶使用一個(gè)密碼或智能卡進(jìn)行登錄,并通過(guò)身份驗(yàn)證后,就可以連接到遠(yuǎn)程訪問(wèn)服務(wù)器并訪問(wèn)有權(quán)限訪問(wèn)的所有資源。15.6.1身份驗(yàn)證協(xié)議

1.標(biāo)準(zhǔn)身份驗(yàn)證協(xié)議WindowsServer2003支持的標(biāo)準(zhǔn)身份驗(yàn)證協(xié)議有:密碼身份驗(yàn)證協(xié)議(PAP)質(zhì)詢握手身份驗(yàn)證協(xié)議(CHAP)Shiva密碼身份驗(yàn)證協(xié)議(SPAP)Microsoft質(zhì)詢握手身份驗(yàn)證協(xié)議(MS-CHAP)Microsoft質(zhì)詢握手身份驗(yàn)證協(xié)議第二版(MS-CHAPv2)2.可擴(kuò)展身份驗(yàn)證協(xié)議可擴(kuò)展的身份驗(yàn)證協(xié)議(EAP)是為了適應(yīng)身份驗(yàn)證方法的不斷變化而推出的,EAP允許自定義身份驗(yàn)證的方法,WindowsServer2003遠(yuǎn)程訪問(wèn)服務(wù)器內(nèi)置了多種EAP身份驗(yàn)證方法,例如EAP-MD5CHAP、EAP-TLS、PEAP等。15.6.2身份驗(yàn)證方法的選擇

1.服務(wù)器端身份驗(yàn)證方法的選擇2.客戶端身份驗(yàn)證方法的選擇15.7遠(yuǎn)程訪問(wèn)策略

遠(yuǎn)程訪問(wèn)策略決定用戶是否有權(quán)限連接遠(yuǎn)程訪問(wèn)服務(wù)器。通過(guò)定義遠(yuǎn)程訪問(wèn)策略,可以限制用戶允許連接的時(shí)間

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論