补充1：远程访问及VPN

http:/,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,Windows,网络管理,Windows,网络管理,计算机工程系,-,网络技术教研室,COMPANY,LOGO,Windows Server 2003,2024/11/1,1,郭翠珍,第七章 远程访问与,VPN,路由和远程访问服务（,Routing and Remote Access Service,）可以让远程用户来连接本地局域网；,虚拟专用网（,Virtual Private,Network,VPN,）可以让远程用户通过,Internet,来安全地访问公司内部的网络资源,2,1.,连接远程访问服务器的方式,2.,数据传输通信协议,3.,拨号连接到远程访问服务器,4.,虚拟专用网,本,章,的主要内容：,5,.,直接连接,6,.,多重连接与带宽分配协议,7,.,验证通信协议,8,.,远程访问策略,3,ATA,网络管理员资格考试试题,你公司利用,VPN,实现远程办公室对公司总部的访问，,（,1,）公司总部,Server B,配置为远程访问服务器，地址池配为,192.168.0.2192.168.0.10,在远程访问服务器上创建远程访问策略，允许,Remotegroup,进行远程连接，并把它设为第一条策略,（,2,）你在远程办公室的,Server A,上创建,VPN,的连接，连接到公司总部的远程访问服务器,Server B,。,4,参考步骤,（,1,）选,ComputerB,：管理工具路由和远程访问右击“,CTEC,（本地）”配置并启动路由和远程访问下一步虚拟专用网络,(VPN),服务器下一步下一步来自一个指定的地址范围下一步新建输入地址（地址数,9,一定要打）确定下一步,(,选择”不,我现在不想,”),下一步完成，,（,2,）右击“远程访问策略”“新建远程访问策略”策略名,(,自己定义一个,比如,Remote),下一步添加（,Windows-Groups,）添加添加,Remotegroup,添加确定下一步授于远程访问权限下一步完成,（,3,）选择”,Allow,Remotegroup,access”,策略按“,(,把此策略设为第一条策略,),(4),选,ComputerA,：右击“网上邻居”属性新建连接区号随便填确定确定下一步选第三条（通过,Internet,连接到专用网络）下一步,remote,下一步（四个）连接完成,5,1,、连接远程访问服务器的方式,网络访问服务器,IAS,Server,DHCP Server,域控制器,网络访问服务,网络访问客户,认证服务,活动目录,（不是必需的）,Dial-up Client,无线访问点,无线,Client,VPN Client,6,网络访问的客户端,客户端类型,描述,VPN Client,穿过一个共享或公用的网络连接到网络,类似于一个在私有网络上的点对点连接,拨号客户端,通过通信网络来连接到一个网络,在私有网络上创建一个物理链接来连接到一台远程访问服务器的一个端口,使用,Modem,或,ISDN,适配器来拨号接入远程访问服务器,无线客户端,通过红外线和射频技术来连接到一个网络,包括许多不同类型的设备,7,用户与网络之间或网络与网络之间连接的类型,通过,PSTN,连接,通过,ISDN,连接,通过,X.25,连接,直接连接,通过虚拟专用网（,VPN,）连接,8,1,）通过,PSTN,连接,客户端通过调制解调器（,Modem,）与,PSTN,（,Public switched Network,公用交换电话网）,PSTN,Modem,Modem,拨号接入设备,PSTN,Modem,企业局域网或,Internet,9,2,）通过,ISDN,连接,ISDN,（,Integrated Services Digital Network,，综合业务数字网）,ISDN,使用的是传统的电话线，但在用户端需加装端口设备（终端适配器,(TA),或智能终端,(NT),），而且必须到当地电信局申请开通这种服务。,NT,PSTN,Internet,或企业局域网,模拟口,数字口,ISDN,入户线,电源插口,ISDN,用户端设备,智能终端,10,3,）通过,X.25,连接,X,25,协议是,CCITT,（,ITU,）建议的一种协议，它定义终端和计算机到分组交换网络的连接。分组交换网络在一个网络上为数据分组选择到达目的地的路由。,x,25,是一种很好实现的分组交换服务，传统上它是用于将远程终端连接到主机系统的。,X,25,适用于需长途连接，对数据传输可靠性要求高，数据传输量不太大的远程连接，如用于银行、保险机构等的网络互连。,11,4,）直接连接,可以利用串行端口（,COM Port,）、并行端口（,Parallel Port,）或红外线接口来直接连接远程访问服务器。,12,5,）通过虚拟专用网（,VPN,）连接,虚拟专用网（,Visual Private Network,，,VPN,）是建立在,Internet,上的专用网。,在,VPN,中，采用一种称为,“,遂道,”,的技术，通过公共路由网络传送数据分组，如通过,Internet,建立一个数据通道，以实现点到点的连接。,Windows Server 2003,支持的,VPN,协议有：,PPTP,（,Point-to-Point Tunneling Protocol,）,L2TP,（,Layer Two tunneling Protocol,）,PSTN,Internet,企业内部网络,ISP,服务器,Modem,通道,通道,13,5,）通过虚拟专用网（,VPN,）连接（续）,VPN,隧道,隧道协议,隧道数据,VPN,客户端,VPN,服务器,地址和名字服务器分配,DHCP,服务器,域控制器,验证,传输网络,14,2,、数据传输通信协议,Windows Server 2003,远程访问服务器通过以下两种通信协议的支持，让远程客户端能够连接与访问本地网络的资源：,远程访问通信协议,PPP,协议,SLIP,协议,Microsoft RAS Protocol,协议,AppleTalk,局域网通信协议,Windows Server 2003,支持的局域网通信协议包含：,TCP/IP,NetBEUI,NWLink,IPX/SPX,AppleTalk,IP,路由器,Windows Server 2003,远程访问服务器具备,IP,路由器的功能，因此只要启用此功能，就可以利用,TCP/IP,通信协议来连接客户端。,IPX,路由器,NetBIOS,网关,15,3,、拨号连接到远程访问服务器,客户端拨号到,Windows Server2003,远程访问服务器的步骤：,1,）架设远程访问服务器,2,）给予用户远程访问的权限,3,）客户端的设置,16,1,）架设远程访问服务器,首先，确保远程访问服务器上安装有调制解调器。,其次，停用,“,Internet,连接防火墙,”,架设远程访问服务器：,开始,-,管理工具,-,路由和远程访问,右击服务器节点,-,单击,“,配置并启用路由和远程访问,”,根据路由和远程安装向导提示完成安装,17,2,）给予用户远程访问的权限,默认情况下，系统内所有用户都没有拨号连接远程访问服务器的权限。,在,Active Directory,用户和计算机中选择允许拨入的帐户，设置其允许访问。,18,3,）客户端的设置,创建拨号连接！,19,4,、虚拟专用网,通过,VPN,可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。,要模拟点对点链路，应压缩或包装数据，并加上一个,提供路由信息的报头,，该报头使数据能够通过共享或公用网络到达其终点。,若要模拟专用链接，数据应,加密,以进行保密。没有加密密钥，在共享或公用网络上截取的数据包是无法破译的。封装和加密专用数据之处的链接是虚拟专用网,(VPN),连接。,20,1,）,VPN,原理,Windows,Server,2003,中有两种基于点对点协议：,点对点隧道协议,(Point-to-Point Tunneling Protocol,，,PPTP),PPTP,使用用户级别的,PPP,身份验证方法和用于数据加密的,Microsoft,点对点加密,(MPPE),。,带有,Internet,协议安全性,(IPSec),的第二层隧道协议,(Layer 2 Tunneling Protocol,，,L2TP),L2TP,将用户级别的,PPP,身份验证方法和计算机级别的证书与用于数据加密的,IPSec,或隧道模式中的,IPSec,（,IPSec,本身在其中仅对,IP,通信提供封装）一起使用。,远程用户连接公司网络,远程访问,服务器,分公司之间的连接,远程访问,服务器,远程访问服务器使用,L2TP/IPSec,的例子,21,域控制器,VPN,客户端,VPN,服务器,2,）,PPTP VPN,演示示例,客户端与总公司之间通过,Internet,来建立,VPN,，其中,VPN,服务器为,Windows Server 2003,，并且利用,ADSL,固定连接到,Internet,。,3,VPN,服务器验证和授权,客户端,2,VPN,服务器应答,4,VPN,服务器传输数据,VPN,客户端呼叫,VPN,服务器,1,22,A,、架设,VPN,服务器,VPN,服务器需要有两个网络接口，一个连接,ATU-R,，另一个连接局域网。,创建步骤：,开始,-,管理工具,-,路由和远程访问,-,右击服务器,-,选择配置并启用路由和远程访问。,按照向导提示完成安装。如下图：,23,B,、给予用户远程访问的权限,系统默认所有用户没有拨号连接,VPN,服务器的权限，必须手动开放权限给用户。,24,C,、,VPN,客户端建立,Internet,连接,假设客户端利用,ADSL,拨号来连接,Internet,。,步骤：,1,、创建一个新连接；,2,、选择,“,连接到,Internet,”,-,”,手动设置我的连接,”,；,3,、设置,ISP,的名称；,4,、输入用来连接,ISP,的用户名和密码。,25,D,、在,VPN,客户端建立,VPN,拨号连接,步骤：,1,、创建一个新连接；,2,、选择,“,连接到我的工作场所,”,-,”,虚拟专用网络连接,”,；,3,、设置连接名称；,4,、在设置拨号连接此,VPN,前，先自动通过上面建立的连接来连接到,Internet,，然后再拨号连接此,VPN,；,5,、输入,VPN,服务器的主机或,IP,地址；,6,、完成,26,3,）,L2TP VPN,实例演示,-,使用,IPSec,证书,IPSec,用来验证计算机身份的方法有：,Kerberos,证书,预共享密钥,L2TP/IPSec-,使用证书实现的步骤：,向企业申请,IPSec,证书,向独立,CA,申请,IPSec,证书,VPN,用户端与,VPN,服务器建立,L2TP/IPSec VPN,27,5,、验证通信协议,Windows Server 2003,支持用来验证用户身份的验证通信协议有：,CHAP,PAP,SPAP,MS-CHAP,MS-CHAP v2,EAP-TLS,PEAP,MD-5 Challenge,推荐用户使用智能卡验证方法,28,6,、远程访问策略,远程访问策略是一组定义如何授权或拒绝连接的有序规则。,每个规则有,：,一个或多个条件,一组配置文件设置,一个远程访问权限设置。,远程访问策略在授权连接之前会对一些连接设置进行验证，包括：,远程访问权限,组成员身份,连接类型,当天的时间,身份验证方法等,对连接进行授权之后，也可使用远程访问策略指定连接限制，包括：,空闲超时时间,最大会话时间,加密强度,IP,数据包筛选器,29,远程访问策略图示,Dial-in,（拨入）限制,IP,属性,IP,地址分配,IP,过滤,多重连接,验证,加密,高级设置,远程访问用户,30,远程访问的详细流程,这些策略要处理吗,?,START,这些连接试图要匹配策略条件