第16章 实现远程访问服务Word文档下载推荐.docx

1、虚拟专用网是穿越专用网络或公用网络（如 Internet）的、安全的、点对点连接的产物。虚拟专用网客户端使用特定的，称为隧道协议的基于 TCP/IP 的协议，来对虚拟专用网服务器的虚拟端口进行依次虚拟呼叫。虚拟专用网的最佳范例是，虚拟网络客户端使用虚拟专用网连接连接到与 Internet 相连的远程访问服务器上。远程访问服务器应答虚拟呼叫，验证呼叫方身份，并在虚拟专用网客户端和企业网络之间传送数据。与拨号网络相比，虚拟专用网始终是通过公用网络（如 Internet）在虚拟专用网客户端和虚拟专用网服务器之间的一种逻辑的、非直接的连接。要保证隐私权，必须加密在连接上传送的数据。16.1.2常用名称

2、解释：设备设备是提供远程访问连接可以用于建立点对点连接的端口的硬件或软件。设备可以是物理的，例如调制解调器；也可以是虚拟的，例如虚拟专用网 （VPN） 协议。设备可以支持单个端口，例如一个调制解调器；也可以多个端口，例如可端接 64 个不同的接入模拟电话呼叫的调制解调器堆硬件。“点对点隧道协议 （PPP）”和“第二层隧道协议 （L2TP）”是虚拟多端口设备的示例。每个隧道协议都支持多个 VPN 连接。端口端口是可以支持单个的点对点连接的设备的信道。对于单一端口设备（如调制解调器），设备与端口不可区分。对于多端口设备，端口只是设备的一部分，通过它可以建立一个单独的点对点连接。例如，主速率接口 （

3、PRI） ISDN 适配器支持两个称作 B 通道的独立通道。ISDN 适配器是一种设备。每个 B 通道都是一个端口，因为通过每个 B 通道都可以建立点对点连接。 16.2作为拨号网络服务器的远程访问服务器“路由和远程访问”提供了传统的拨号远程访问，以支持移动用户或家庭用户拨入到企业 Intranet。安装在运行“路由和远程访问”服务器上的拨号设备会应答传入的来自拨号网络客户端的连接请求。远程访问服务器应答呼叫、身份验证并授权呼叫方，以及在拨号网络客户端和企业 Intranet 之间传送数据。图161 拨号远程访问16.2.1拨号网络组件拨号网络包括下列组件：图162拨号网络组件拨号网络服务器

4、可以配置运行“路由和远程访问”的服务器以提供对整个网络的拨号网络访问，或者限制只能对远程访问服务器上的共享资源的访问。对于拨号网络访问，服务器必须有至少一个调制解调器或一个多端口适配器，以及模拟电话线或其他 WAN 连接。如果服务器提供对网络的访问，则必须安装一个单独的网卡，并将它连接到服务器提供访问的网络上。拨号网络客户端 运行 Windows Server 2003 家族、Windows XP、Windows 2000、运行“远程访问 （RAS）”或“路由和远程访问 （RRAS）”服务的 Windows NT、Windows Millennium Edition、Windows 98、Wi

5、ndows 95 或 Mac OS 的远程访问客户端都可以连接到运行“路由和远程访问”的服务器上。拨号网络客户端连接到运行“路由和远程访问”的服务器的拨号客户端可以是任何 PPP 客户端。客户端必须安装有调制解调器、模拟电话线，或其他 WAN 连接，和远程访问软件。LAN 和远程访问协议 应用程序使用LAN协议传递消息。远程访问协议用于协商连接，并为通过广域网（WAN）链接发送的 LAN 协议数据提供组帧。“路由和远程访问”支持LAN协议，如TCP/IP和AppleTalk，这些协议用于访问Internet、UNIX、Mac OS及Novell NetWare资源。“路由和远程访问”支持远程访

6、问协议，如PPP。WAN 选项 客户端可以使用标准电话线和一个调制解调器或调制解调器池来拨入。使用ISDN可以建立更快速的链接。使用X.25或ATM也可以将远程访问客户端连接到远程访问服务器上。通过RS-232C零调制解调器电缆、并行端口连接、或红外连接，也可以建立直接连接。安全选项 Windows Server 2003 家族提供了登录和域安全，并对拨号客户端的安全网络访问提供了安全主机、数据加密、远程身份验证拨入用户服务 （RADIUS）、智能卡、远程访问帐户锁定、远程访问策略和回拨等支持。16.2.2案例：配置拨号访问服务器启动远程访问服务1单击“开始”“程序”“管理工具”“路由和远程访

7、问”，打开“路由和远程访问”界面，在服务器上单击鼠标右键，在弹出菜单是上选择“配置并启动路由和远程访问”，如图163。图163 路由和远程访问2弹出“路由和远程访问服务器安装向导”界面，如图164，单击“下一步”。图164 路由和远程访问服务器安装向导3在弹出的界面中选择“远程访问（拨号或VPN）”如图165，然后单击“下一步”。图165 配置类型选择4在弹出的界面中选择“拨号”，如图166，然后单击“下一步”。图166 远程访问类型5在界面中选择一个网络接口作为远程客户端将要访问的网络连接。选择“本地连接”，如图167。然后单击“下一步”。图167 网络选择6在“IP地址指定”窗口，您可以选

8、择采用哪种方式对远程客户端指派IP地址，如果我们想要远程客户端使用一个指定的IP地址范围，选择“来自一个指定的地址范围”，如图168。单击“下一步”。图168 指定IP地址7在弹出的页面中单击“新建”按钮，如图169。图169 指定IP地址范围8在弹出的“新建地址范围”窗口中输入IP地址范围，如图1610。然后单击“确定”。返回“指定地址范围”窗口。图1610 新建地址范围9新建的地址范围出现在“地址范围”栏中，如图1611，然后单击“下一步”。图1611 指定地址范围10在窗口中选择“否，使用路由和远程访问来对连接请求进行身份验证”，然后单击“下一步”。如图1612。图1612 设置是否用R

9、ADIUS远程身份验证RADIUS远程身份验证拨号用户服务，是为多个远程访问服务器提供集中的身份验证。11在“正在完成路由和远程访问服务器安装向导”页面中单击“完成”，如图1613。图1613 完成路由和远程访问服务器安装向导12将弹出“路由和远程访问”提示信息窗口，如图1614，提示需要配置DHCP中继代理程序。单击“确定”。图1614 提示信息13系统将开始启动路由和远程访问，如图1615。图1615 启动路由和远程访问服务14经过一段时间后，路由和远程访问服务启动完毕，我们可以看到启动后的界面，如图1616。图1616 路由和远程访问接下来我们就可以对路由和远程访问服务器进行一些必要的配

10、置以满足拨号远程访问的需求。配置远程访问服务端口1在路由和远程访问界面中，展开服务器，在“端口”上单击鼠标右键，选择菜单中的“属性”，如图1617。图1617 配置端口属性2在弹出的“端口属性”窗口中选择拨号连接的设备：安装在服务器上的调制解调器，如图1618。然后单击“配置”按钮。图1618 配置端口属性3在弹出的“配置设备”窗口中，勾选“远程访问连接（仅入站）”，然后在此“此设备的电话号码”栏输入电话号码，如图1619。图1619 配置设备4在返回的端口属性窗口中单击“确定”，如图1620，完成服务端口的配置。图1620 完成配置用户拨入设置1打开“计算机管理”窗口，展开“本地用户和组”（

11、如果是域环境，则在域控制器上打开“Active Directory 用户和计算机”），在允许远程访问的用户上单击鼠标右键，选择“属性”，如图1621。图1621 本地用户和组2在弹出的用户属性窗口中单击“拨入”选项卡，如图1622。在此可以设置远程访问的各种属性。图1622 拨入选项卡“允许访问”：允许此用户使用远程访问。“拒绝访问”：拒绝使用远程访问连接到远程访问服务器“通过远程访问策略控制访问”：默认情况下，独立服务器或Windows 2000本地模式域中的管理员或来宾帐户被设置为“通过远程访问策略控制访问”。“验证呼叫方ID”：服务器将确认呼叫方的电话号码，如果呼叫方的电话号码与服务器预

12、设的电话号码不同，则服务器将拒绝此次连接。“不回拨”：服务器将不回拨客户端。启用回拨是指服务器在收到用户的远程访问请求后，将连接挂断，再回拨用户重新建立连接。启用回拨可以提高安全性：通过回拨到设定的用户电话号码，可保证此用户确实能使用远程访问，而非未授权的用户。“总是回拨到”：输入固定的电话号码“使用静态IP地址”：当用户通过远程访问连接到服务器时，服务器将把一个静态的IP地址分配给该用户。“应用静态路由”：网络管理员需定义一系列静态IP路由，当生成一个连接时就会将这些静态路由添加到远程访问服务器的路由表中，此选项与请求拨号路由一同使用。3单击“允许访问”，然后单击“确定”，如图1623。完成

13、用户拨入设置。图1623 设置拨入属性16.2.3案例：客户端访问1. “开始”“设置”“网络连接”“新建连接向导”，启动新建连接向导，如图1624，单击“下一步”。图16-24新建连接向导2选择网络连接类型“连接到我的工作场所的网络”，单击“下一步”，如图16-25。图16-25连接到我的工作场所的网络3选“拨号连接”，单击“下一步” ，如图16-26。图16-26 拨号连接4输入连接的名称，如图1627，然后单击“下一步”，输入远程服务器的电话号码，单击“下一步” ，如图16-28。图1627 连接名称图16-28电话号码5出于安全考虑，选择“只是我使用”如图1629。图1629 可用连接

14、6在完成新建连接向导页面单击“完成”，如图1630。图1630 完成7我们可以在“网络连接”页面看到新创建的拨号连接，如图1631。图1631 拨号连接8双击创建的拨号连接，在弹出的“连接名骄实业”窗口中输入在服务器端给予了拨号访问权限的用户名和密码，如图1632。单击“拨号”，开始对服务器远程访问。图16 32 连接16.3把远程访问服务器当作虚拟专用网服务器虚拟专用网连接模拟点对点连接。要模拟点对点连接，必须将数据封装或打包，并附加一个 IP 报头以提供到达虚拟专用网服务器的路由信息。用来封装数据的那部分虚拟专用网连接称为隧道。对于安全的虚拟专用网，将在封装之前加密数据。如果没有密钥，则无

15、法理解被截取的数据包。用于加密数据的那部分虚拟专用网连接称为虚拟专用网（VPN）连接。通过使用称为“隧道协议”的特殊协议，可以创建、管理和终止 VPN 连接。虚拟专用网客户端和虚拟专用网服务器都必须支持相同的隧道协议，以创建虚拟专用网连接。对于“点对点隧道协议 （PPTP）”和“第二层隧道协议 （L2TP）”这两种隧道协议而言，运行“路由和远程访问”的服务器就是一个虚拟专用网服务器。图1633展示了一个VPN连接。图1633 VPN16.3.1虚拟专用网的组件一个虚拟专用网包括以下组件：如图1634。图1634虚拟专用网组件虚拟专用网 （VPN） 服务器 可以配置 VPN 服务器以提供对整个网

16、络的访问，或限制仅可访问作为 VPN 服务器的计算机的资源。对于从 Internet 上访问虚拟专用网，通常情况下，服务器具有到 Internet 的永久性连接。如果 Internet 服务提供商 （ISP） 支持请求拨号连接，则可能存在到 Internet 上的非永久性连接；在将通信传递给 VPN 服务器时创建连接。然而，这不是常规配置。如果 VPN 服务商提供对网络的访问，则必须安装独立的网络适配器，并将其连接到 VPN 服务器提供访问的网络上。在 Windows Server 2003 Web Edition 和 Windows Server 2003 Standard Edition

17、上，您最多可以创建 1,000 个点对点隧道协议 （PPTP） 端口，最多可以创建 1,000 个两层隧道协议 （L2TP） 端口。但是，Windows Server 2003 Web Edition 一次只能接收一个虚拟专用网 （VPN） 连接。VPN 客户端 VPN 客户端是获得远程访问 VPN 连接的个人用户或获得路由器到路由器 VPN 连接的路由器。运行 Windows Server 2003 家族产品、Windows XP、Windows 2000、Windows NT 4.0、Windows 95、Windows 98 或 Windows Millennium Edition 的

18、VPN 客户端可以创建到 VPN 服务器的远程访问 VPN 连接。运行 Windows Server 2003 家族产品、Windows 2000 和“路由和远程访问”或 Windows NT Server 4.0 和“路由和远程访问服务 （RRAS）”的计算机可创建路由器到路由器的 VPN 连接。VPN 客户端也可以是任何点对点隧道协议 （PPTP） 客户端或使用 Internet 协议安全性 （IPSec） 的第二层隧道协议 （L2TP） 客户端。客户端必须可以将 TCP/IP 数据包通过 Internet 发送到远程访问服务器上。因此，需要有网络适配器或带有模拟电话线的调制解调器，或其他

19、到 Internet 的 WAN 连接。应用程序使用 LAN 协议传输信息。远程访问协议用于协商连接，并为通过广域网 （WAN） 链接发送的 LAN 协议数据提供组帧。“路由和远程访问”支持 PPP 远程访问协议。Windows Server 2003 Datacenter Edition、Windows Server 2003 Enterprise Edition、Windows Server 2003 Web Edition 和 Windows Server 2003 Standard Edition 都支持诸如 TCP/IP 和 AppleTalk 的 LAN 协议，用这些协议可以访问

20、Internet、UNIX、Apple Macintosh 和 Novell NetWare 资源。隧道协议 VPN 客户端通过使用 PPTP 或 L2TP 隧道协议，可创建到 VPN 服务器的安全连接。通过使用诸如 T1 和“帧中继”的永久性 WAN 连接，将 VPN 服务器连接到 Internet。通过使用永久性 WAN 连接，或拨入（使用标准模拟电话线或 ISDN）到本地 Internet 服务提供商 （ISP），将 VPN 服务器连接到 Internet。“路由和远程访问”通过支持登录和域安全，以及对安全主机、数据加密、智能卡、IP 数据包筛选和呼叫器 ID 的支持来为 VPN 客户端

21、提供安全网络访问。16.3.2 VPN 隧道协议简介点对点隧道协议点对点隧道协议 （PPTP） 是在 Windows NT 4.0 和 Windows 98 中首次被支持的隧道协议。PPTP 是点对点协议 （PPP） 的扩展，并协调使用 PPP 的身份验证、压缩和加密机制。PPTP 的客户端支持内置于 Windows XP 远程访问客户端。PPTP 的 VPN 服务器支持内置于 Windows Server 2003 家族的成员。PPTP 与 TCP/IP 协议一同安装。根据运行“路由和远程访问服务器安装向导”时所做的选择，PPTP 可以配置为 5 个或 128 个 PPTP 端口。PPTP

22、和 Microsoft“点对点加密 （MPPE）”提供了对专用数据封装和加密的主要 VPN 服务。封装使用一般路由封装 （GRE） 报头和 IP 报头包装 PPP 帧（包含一个 IP、IPX 或 Appletalk 数据报）。响应 VPN 客户端和 VPN 服务器的源 IP 地址及目标 IP 地址位于 IP 报头中。图1635显示 PPP 帧的 PPTP 封装。 图1635 PPTP 封装加密通过使用从 MS-CHAP、MS-CHAP v2 或 EAP-TLS 身份验证过程中生成的加密密钥，PPP 帧以“Microsoft 点对点加密 （MPPE）”方式进行加密。为了加密 PPP 帧的有效负载

23、，虚拟专用网客户端必须使用 MS-CHAP、MS-CHAP v2 或 EAP-TLS 身份验证协议。PPTP 利用下面的 PPP 加密，并封装以前加密的 PPP 帧。第二层隧道协议第二层隧道协议 （L2TP） 是基于 RFC 的隧道协议，该协议是一种业内标准，首次是在 Windows 2000 客户端和服务器操作系统中所支持。与 PPTP 不同，运行 Windows Server 2003 的服务器上的 L2TP 不利用 Microsoft 点对点加密 （MPPE） 来加密点对点协议 （PPP） 数据报。L2TP 依赖于加密服务的 Internet 协议安全性 （IPSec）。L2TP 和 I

24、PSec 的组合被称为 L2TP/IPSec。L2TP/IPSec 提供专用数据的封装和加密的主要虚拟专用网 （VPN） 服务。VPN 客户端和 VPN 服务器必须支持 L2TP 和 IPSec。L2TP 的客户端支持内置于 Windows XP 远程访问客户端，而 L2TP 的 VPN 服务器支持内置于 Windows Server 2003 家族的成员。L2TP 与 TCP/IP 协议一同安装。根据运行“路由和远程访问服务器安装向导”时所做的选择，L2TP 可以配置为 5 个或 128 个 L2TP 端口。L2TP/IPSec 数据包的封装由两层组成：L2TP 封装使用 L2TP 头文件和

25、 UDP 头文件包装 PPP 帧（包含一个 IP 数据包或一个 IPX 数据包）。IPSec 封装使用 IPSec 封装式安全措施负载 （ESP） 头文件和尾文件、提供消息完整性和身份验证的 IPSec 身份验证尾文件及最后的 IP 头文件包装 L2TP 结果消息。在 IP 头文件中有与 VPN 客户端和 VPN 服务器对应的源和目标 IP 地址。图1636显示了 PPP 数据包的 L2TP 和 IPSec 封装。 图1636 L2TP和IPSec 封装使用 Internet 密钥交换 （IKE） 协商进程中生成的加密密钥，L2TP 消息可用数据加密标准 （DES） 或三级 DES （3DES

26、） 进行加密。16.3.3案例：配置VPN访问服务器启动VPN服务1单击“开始”“程序”“管理工具”“路由和远程访问”，打开“路由和远程访问”界面，在服务器上单击鼠标右键，在弹出菜单是上选择“配置并启动路由和远程访问”，如图1637。图1637路由和远程访问2弹出“路由和远程访问服务器安装向导”界面，如图1638，单击“下一步”。图1638路由和远程访问服务器安装向导3在弹出的界面中选择“远程访问（拨号或VPN）”如图1639，然后单击“下一步”。图1639 配置4在弹出的界面中选择“VPN”，如图1640，然后单击“下一步”。图1640 VPN5在“VPN连接”页面中选择和Internet连

27、接的网络接口，如图1641，选择配置公网IP地址202.106.171.13的网络接口。图1641 VPN连接6在“IP地址指定”窗口，您可以选择采用哪种方式对远程客户端指派IP地址，我们选择“自动”，让DHCP服务器分配IP地址，如图1642。图1642 IP地址指定7在窗口中选择“否，使用路由和远程访问来对连接请求进行身份验证”，然后单击“下一步”。如图1643。图1643 选择身份验证方式8在“正在完成路由和远程访问服务器安装向导”页面中单击“完成”，如图1644。图1644 完成向导9将弹出“路由和远程访问”提示信息窗口，如图1645，提示需要配置DHCP中继代理程序。图1645 提示信息10系统将开始启动路由和远程访问，如图1646。图1646 启动服务11经过一段时间后，路由和远程访问服务启动完毕，我们可以看到启动后的界面，如图1647。图1647 路由和远程访问配置VPN服务器端口属性VPN服务安装完毕，