RAS远程访问和VPN服务器架构_第1页
RAS远程访问和VPN服务器架构_第2页
RAS远程访问和VPN服务器架构_第3页
RAS远程访问和VPN服务器架构_第4页
RAS远程访问和VPN服务器架构_第5页
已阅读5页,还剩49页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

配置远程访问概述:介绍远程访问的根底结构配置VPN连接配置拨号连接配置无线连接为DHCP集成配置路由和远程访问利用远程访问策略控制用户的远程访问介绍远程访问的根底结构NetworkAccess

ServerIASServerDHCPServerDomainControllerDial-upClientWirelessAccessPointWirelessClientVPNClient建立远程访问连接〔1〕LANProtocolsRemoteAccessProtocolsLocalAreaNetworkLANProtocolsRemoteAccessProtocolsInternetRemoteAccessClientRemoteAccess

Server远程访问客户端TypeofClientDescriptionVPNClientConnectstoanetworkacrossasharedorpublicnetworkEmulatesapoint-to-pointlinkonaprivatenetwork

Dial-upClientConnectstoanetworkbyusingacommunicationsnetwork

Createsaphysicalconnectiontoaportonaremoteaccessserveronaprivatenetwork

UsesamodemorISDNadaptertodialintotheremoteaccessserver

WirelessClientConnectstoanetworkbyinfraredlightandradiofrequencytechnologies

Includesmanydifferenttypesofdevices身份验证

AuthenticationVerifiesaremoteuser'sidentificationtothenetworkservicethattheremoteuserisattemptingtoaccess(interactivelogon)NetworkAccessServerNetworkAccessClientDomainController121

AuthorizationVerifiesthattheconnectionattemptisallowed;authorizationoccursafterasuccessfullogonattempt2概述:介绍远程访问的根底结构配置VPN连接配置拨号连接配置无线连接为DHCP集成配置路由和远程访问利用远程访问策略控制用户的远程访问4配置VPN链接标准架构模式Server版操作系统,两块网卡,客户端另类架构模式单网卡架构VPN效劳器单网卡单公网IP单网卡双IP〔公+私〕虚拟网卡架构VPN效劳器利用MSLOOPBACK虚拟网卡配置方法如同标准架构模式5VPN原理在公共网络上通过建立起点到点链路从而在两台计算机之间发送加密数据。数据封装的目的:建立点到点链路。数据加密的目的:建立私有的链路。5VPN原理VPN的优点节约本钱;移动通信费用的节省;专线费用得节省;设备投资的节省;支持费用的节省。增强平安性:隧道技术Tunneling,加解密技术Encryption&Decryption,密钥管理技术KeyManagement,身份认证技术Authentication。网络协议支持:IP,IPX,NetBEUI。Appletalk,DECNet,SNA等。容易扩展。可随意与合作伙伴联网。更好控制主动权。平安的IP地址。支持新兴应用:IP语音,IP传输,RSIP,IPv6,MPLS,SNMPv3,以及支持ADSL、CableModem、光纤以太网、WLAN等网络链接技术。DomainControllerVPNClientVPNServerVPN连接AVPNextendsthecapabilitiesofaprivatenetworktoencompasslinksacrosssharedorpublicnetworks,suchastheInternet,inamannerthatemulatesapoint-to-pointlink3VPNserverauthenticatesandauthorizestheclient2VPNserveranswersthecall4VPNservertransfersdataVPNclientcallstheVPNserver1VPN连接结构VPNTunnelTunnelingProtocolsTunneledDataVPNClientVPNServerAddressandNameServerAllocationDHCPServerDomainControllerAuthenticationTransitNetworkRemoteUsertoCorpNetRemoteAccessServerBranchOfficetoBranchOfficeRemoteAccessServerVPN连接协议ExamplesofRemoteAccessServerUsingL2TP/IPSec

CategoryDescriptionPPTPEmploysuser-levelPoint-to-PointProtocol(PPP)authenticationmethodsandMicrosoftPoint-to-PointEncryption(MPPE)fordataencryptionL2TP/IPSecEmploysuser-levelPPPauthenticationmethodsoveraconnectionthatisencryptedwithIPSec

RecommendedauthenticationmethodforVPNnetworkaccessisL2TP/IPSecwithcertificates配置虚拟专用网端口路由和远程访问操作(A)查看(V)路由和远程访问服务器状态SERVERX(本地)Ports远程访问客户端(0)IP路由远程访问策略名称设备注释状态端口WAN微型端口(PPTP)(VPN3-4)VPN不活动WAN微型端口(PPTP)(VPN3-3)VPN不活动WAN微型端口(PPTP)(VPN3-2)VPNInactiveWAN微型端口(PPTP)(VPN3-1)VPNInactiveWAN微型端口(PPTP)(VPN3-0)VPN不活动WAN微型端口(L2TP)(VPN2-4)VPN不活动WAN微型端口(L2TP)(VPN2-3)VPNInactiveWAN微型端口(L2TP)(VPN2-2)VPNInactiveWAN微型端口(L2TP)(VPN2-1)VPN不活动WAN微型端口(L2TP)(VPN2-0)VPN不活动DirectParallel(LPT1)PARALLELInactiveModem(COM3)MODEMInactivePPTP端口L2TP端口调制解调器和电缆端口7.2.2配置虚拟专用网端口配置用户拨入设置权限呼叫方ID回拨IP路由7.2.4配置用户拨入设置验证VPN效劳器概述:介绍远程访问的根底结构配置VPN连接配置拨号连接配置无线连接为DHCP集成配置路由和远程访问利用远程访问策略控制用户的远程访问拨号连接DomainControllerDial-up

ClientDial-upnetworkingistheprocessofaremoteaccessclientmakingatemporarydial-upconnectiontoaphysicalportonaremoteaccessserverbyusingtheserviceofatelecommunicationsprovider3RAserverauthenticatesandauthorizestheclient2RAserveranswersthecall4RAservertransfersdataDial-upclientcallstheRAserver1RemoteAccess

Server配置拨号链接和无线链接StandardDescription802.11又称为Wi-Fi。由IEEE的一个工作组为WLAN开发的一组规范。定义了OSI中物理层和数据链路层中的媒体访问子层MAC部分内容。所有的802.11标准的MAC子层均相同,但它们的物理实现方式有所不同。802.11b两种速率:5.5Mbps和11Mbps,比802.11有更高的数据传输率,支持较大的工作距离,但易收到无线电信号干扰。适合于家庭和小型企业使用。802.11a传输速率高达54Mbps,工作距离小。使用12个互不重叠的信道,所以适合在高流量的场合中使用。由于使用的无线电频谱喻802.11、802.11b、802.11g不同,所以它们之间不能实现互操作。802.11g是802.11b的增强版本,二者兼容。只需升级一个固件即可。速度达到54Mbps,但工作距离比802.11b反而短,且更易收到无线电信号的干扰。802.1x是802.11的扩展。定义了在允许访问网络之前需要进行身份验证的方式。同时,也可适用于有线网络。可以使用EAP-TLS、EAP-MS-CHAPv2、PEAP的密码验证方式。PEAP可与TLS或MS-CHAPv2一起使用。PEAP-TLS是推荐验证方式,提供在严格的验证方式和确定密钥方式拨号访问连接结构Dial-upClientAddressandNameServerAllocationDHCPServerDomainControllerAuthenticationRemoteAccessServerWANOptions:Telephone,ISDN,X.25,orATMLANandRemoteAccessProtocolsNetworkAccess

ServerIASServerDHCPServerDomainControllerWirelessAccessPointWirelessClient无线网络访问Awirelessnetworkusestechnologythatenablesdevicestocommunicatebyusingstandardnetworkprotocolsandelectromagneticwaves—notnetworkcabling—tocarrysignalsoverpartorallofthenetworkinfrastructureStandardDescriptionInfrastructureWLANClientsconnecttowirelessaccesspointsPeer-to-peerWLANNetworkwirelessclientscommunicatedirectlywitheachotherwithouttheuseofcables无线连接的结构DHCPServerRemote

AccessServerDomainControllerWirelessClient(Station)WirelessAccessPointAddressandNameServerAllocationAuthenticationPorts配置身份验证协议标准的身份验证可扩展的身份验证AvailableMethodsofAuthenticationRemoteandwirelessauthenticationmethodsinclude:CHAPPAPSPAPMS-CHAPMS-CHAPv2EAP-TLSPEAPMD-5ChallengeRecommendedmethodforuserauthenticationisbyusingsmartcardcertificates身份验证协议PAP(密码身份验证协议)使用简单文字组成的密码,它是最简单的身份验证协议SPAP(shiva密码身份验证协议)一种简单的加密密码的身份验证协议被shive远程访问效劳器支持CHAP(质询握手身份验证协议)被各种类型的远程访问效劳器和客户端使用Microsoft路由和远程访问效劳支持CHAP身份验证协议MS-CHAP(microsoft质询握手身份验证协议)被microsoftwindows95客户端使用只支持microsoft客户端MS-CHAPV2(Microsoft质询握手身份验证协议)执行交互的身份验证作为windows2000和更新版本操作系统的默认远程访问协议EAP-TLS(可扩展身份验证协议-传输层平安)PEAP(受保护的可扩展身份验证协议)标准的身份验证

ProtocolSecurity密码身分验证协议LowShiva密码身份验证协议MediumHighUsewhen客户机和效劳器不能利用更平安的验证形式进行协商时。连接到ShivaLANRover时,或者当Shiva客户机连接到基于Windows2000的远程访问效劳器时。某些客户机运行的不是Microsoft操作系统时盘问沟通身份验证协议HighMS-CHAPMS-CHAPv2High你的客户机运行WindowsNTversion4.0andlateror,MicrosoftWindows95或以后的版本有些运行Windows2000的拨号客户机,运行WindowsNT4.0或Windows98的VPN客户机时可扩展的身份验证允许客户机和效劳器协商他们将使用的身份验证方法支持所使用的身份验证1、MD5-CHAP2、传输层平安性3、附加的第三方的身份验证方法确保支持通过API进行身份验证的方法概述:介绍远程访问的根底结构配置VPN连接配置拨号连接配置无线连接为DHCP集成配置路由和远程访问利用远程访问策略控制用户的远程访问利用DHCP将IP地址分配给远程访问客户机如果DHCP效劳器是有效的远程效劳器在最初从DHCP效劳器获取10个IP地址如果DHCP效劳器是无效的远程效劳器使用“自动专用IP寻址”地址确保DHCP效劳器总是可用为使用DHCP而配置路由和远程访问GeneralSecurityIPPPPEventLoggingEnableIProutingAllowIP-basedremoteaccessanddemand-dialconnectionsIPaddressassignmentThisservercanassignIPaddressesbyusing:DynamicHostConfigurationProtocol(DHCP)StaticaddresspoolFromToNumberIPAdd…MaskAdd…Edit…RemoveUsethefollowingadaptertoobtainDHCP,DNS,andWINSaddressesfordial-upclients.Adapter:OKCancelApplyLONDON(local)PropertiesCorpnet:概述:介绍远程访问的根底结构配置VPN连接配置拨号连接配置无线连接为DHCP集成配置路由和远程访问利用远程访问策略控制用户的远程访问WhatIsaRemoteAccessPolicy?Aremoteaccesspolicyisanamedrulethat

consistsofthefollowingelements:Conditions.远程访问策略的条件是一系列参数,例如一天中的时间,用户组,主叫ID或者ip地址。这些参数与连接到效劳器的客户机的参数项匹配。Remoteaccesspermission.对用户帐号的拨入属性和远程访问策略加以组合,在此根底上才允许远程访问连接。Profile.每个策略包括一个配置文件,里面有一些设置值〔例如身份验证和加密协议〕,这个配置文件被应用于相应的连接。配子文件中的设置值立即应用于连接,并且可能会导致该连接拒绝。WhatIsaRemoteAccessPolicyProfile?Dial-inConstraintsIPPropertiesIPAddressAssignmentIPFiltersMultilinkAuthenticationEncryptionAdvancedSettingsRemote

AccessUser检测远程访问策略ARemoteAccessPolicy:存储在本地,而不在活动目录策略组件条件权限配置文件检测远程访问策略评估遵循策略评估的逻辑检测默认策略和检测多个策略遵循策略评估的逻辑ConnectionNoDenyAllowProfile

EvaluationConditionsPermissionsProfileAllowDenyUseRemoteAccessPolicyConnectionYesNoConnectionNoDenyAllowProfile

EvaluationConnectionConditionsPermissionsProfileYesAllowDenyUseRemoteAccessPolicyNoYes实验7-1如何架设windows2003远程访问效劳器远程访问的集中身份验证IAS概述介绍IAS(InternetAuthenticationService)安装和配置IASIntroductiontoIASWindows2003网络中的IASandRADIUSIAS的用途和用法RADIUS(RemoteAuthenticationDial-InUserService)HowCentralizedAuthenticationWorksRADIUSServerRADIUSClientClientDialsintoalocalRADIUSclienttogainnetworkconnectivity1ForwardsrequeststoaRADIUSserver2Authenticatesrequestsandstoresaccountinginformation3DomainControllerCommunicatestotheRADIUSclienttograntordenyaccess4Remote

AccessServer

InstallingandConfiguringIAS安装IASServer配置IASServer为利用RADIUS的身份验证功能配置远程访问效劳器为利用RADIUS的记帐功能配置远程访问效劳器为记帐信息配置日志InstallinganIASServerWindowsComponentsWizardWindowsComponentsYoucanaddorremovecomponentsofWindows2000.Toaddorremoveacomponent,clickthecheckbox.Ashadedboxmeansthatonlypartofthecomponentwillbeinstalled.Toseewhat'sincludedinacomponent,clickDetails.Components:ManagementandMonitoringToolsMessageQueuingServicesOtherNetworkFileandPrintServicesNetworkingServices3.5MB0.0MB5.0MB2.6MBDescription:Containsavarietyofspecialized,network-relatedservicesandprotocols.Totaldiskspacerequired:Spaceavailableondisk:0.8MB5962.6MBDetails…<BackNext>CancelNetworkingServicesToaddorremoveacomponent,clickthecheckbox.Ashadedboxmeansthatonlypartofthecomponentwillbeinstalled.Toseewhat'sincludedinacomponent,clickDetails.Totaldiskspacerequired:Spaceavailableondisk:0.8MB5962.6MBDetails…CancelOKDescription:Enablesauthentication,authorizationandaccountingofdial-upandPNusers.IASsupportstheRADIUSprotocolSubcomponentsofNetworkingServices:COMInternetServicesProxyDomainNameSystem(DNS)DynamicHostConfigurationProtocol(DHCP)InternetAuthenticationServiceQoSAdmissionControlServiceSimpleTCP/IPServices0.0MB1.1MB0.0MB0.0MB0.0MB0.0MBConfiguringanIASServerAddRADIUSClientClientInformationSpecifyinformationregardingtheclient.Clientaddress(IPorDNS):192.168.1.200Client-VendorMicrosoftClientmustalwayssendthesignatureattributeintherequestSharedsecret:Confirmsharedsecret:<BackFinishCancelVerify…Usean

IPaddress,ifpossibleSelectMicrosoftifusingRoutingandRemoteAccessConfiguringaRemoteAccess

ServertoUseRADIUSAuthentication

PHOENIX(local)PropertiesGeneralSecurityIPPPPEventLoggingTheauthenticationprovidervalidatecredentialsforremoteaccessclientsanddemand-dialrouters.Authenticationprovider:RADIUSAuthenticationAuthenticationMethods…Configure…Configure…WindowsAccountingAccountingprovider:Theaccountingprovidermaintainsalogofconnectionrequestsandsessions.OKCancelApplyChangetoRADIUSAut

人人文库> 全部分类> 行业资料 > 管理策划

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论