1、配置远程访问,概述:,介绍远程访问的基础结构配置VPN连接 配置拨号连接 配置无线连接 为DHCP集成配置路由和远程访问利用远程访问策略控制用户的远程访问,介绍远程访问的基础结构,Network Access Server,IASServer,DHCP Server,DomainController,Dial-up Client,Wireless Access Point,Wireless Client,VPN Client,建立远程访问连接(1),Local Area Network,Remote Access Protocols,Remote Access Client,Remote Ac
2、cess Server,远程访问客户端,身份验证,Network Access Server,Network Access Client,Domain Controller,1,2,1,2,概述:,介绍远程访问的基础结构配置VPN连接 配置拨号连接 配置无线连接 为DHCP集成配置路由和远程访问利用远程访问策略控制用户的远程访问,4 配置VPN链接,标准架构模式Server版操作系统,两块网卡,客户端另类架构模式单网卡架构VPN服务器单网卡单公网IP单网卡双IP(公+私)虚拟网卡架构VPN服务器利用MS LOOPBACK 虚拟网卡配置方法如同标准架构模式,5 VPN原理,在公共网络上通过建立起
3、点到点链路从而在两台计算机之间发送加密数据。数据封装的目的:建立点到点链路。数据加密的目的:建立私有的链路。,5 VPN原理,VPN的优点节约成本;移动通信费用的节省;专线费用得节省;设备投资的节省;支持费用的节省。增强安全性:隧道技术Tunneling,加解密技术Encryption & Decryption,密钥管理技术Key Management,身份认证技术Authentication。网络协议支持:IP,IPX,NetBEUI。Appletalk,DECNet,SNA等。容易扩展。可随意与合作伙伴联网。更好控制主动权。安全的IP地址。支持新兴应用:IP语音,IP传输,RSIP,IPv
4、6,MPLS,SNMPv3,以及支持ADSL、Cable Modem、光纤以太网、WLAN等网络链接技术。,DomainController,VPN Client,VPN Server,VPN 连接,A VPN extends the capabilities of a private network to encompass links across shared or public networks, such as the Internet, in a manner that emulates a point-to-point link,VPN连接结构,VPN TunnelTunneli
5、ng ProtocolsTunneled Data,VPN Client,VPN Server,Address and Name Server Allocation,DHCPServer,DomainController,Authentication,VPN连接协议,Examples of Remote Access Server Using L2TP/IPSec,配置虚拟专用网端口,7.2.2 配置虚拟专用网端口,配置用户拨入设置,权限,呼叫方 ID,回拨,IP 路由,7.2.4 配置用户拨入设置,验证服务器,概述:,介绍远程访问的基础结构配置VPN连接 配置拨号连接 配置无线连接 为DHC
6、P集成配置路由和远程访问利用远程访问策略控制用户的远程访问,拨号连接,DomainController,Dial-up Client,Dial-up networking is the process of a remote access client making a temporary dial-up connection to a physical port on a remote access server by using the service of a telecommunications provider,Remote Access Server,配置拨号链接和无线链接,拨号访
7、问连接结构,Network Access Server,IASServer,DHCP Server,DomainController,Wireless Access Point,Wireless Client,无线网络访问,A wireless network uses technology that enables devices to communicate by using standard network protocols and electromagnetic wavesnot network cablingto carry signals over part or all of
8、the network infrastructure,无线连接的结构,配置身份验证协议,标准的身份验证可扩展的身份验证,Available Methods of Authentication,Remote and wireless authentication methods include:,Recommended method for user authentication is by using smart card certificates,身份验证协议,PAP(密码身份验证协议)使用简单文字组成的密码,它是最简单的身份验证协议SPAP(shiva密码身份验证协议)一种简单的加密密码的
9、身份验证协议被shive远程访问服务器支持CHAP(质询握手身份验证协议)被各种类型的远程访问服务器和客户端使用Microsoft路由和远程访问服务支持CHAP,身份验证协议,MS-CHAP (microsoft质询握手身份验证协议)被microsoft windows95客户端使用只支持microsoft客户端MS-CHAP V2 (Microsoft 质询握手身份验证协议)执行交互的身份验证作为windows2000和更新版本操作系统的默认远程访问协议EAP-TLS(可扩展身份验证协议-传输层安全)PEAP(受保护的可扩展身份验证协议),标准的身份验证,Protocol,Security,
10、密码身分验证协议,Low,Shiva密码身份验证协议,Medium,High,Use when,客户机和服务器不能利用更安全的验证形式进行协商时。,连接到 Shiva LANRover 时,或者当Shiva 客户机连接到基于Windows 2000的远程访问服务器时。,某些客户机运行的不是Microsoft操作系统时,盘问沟通身份验证协议,High,MS-CHAP,MS-CHAPv2,High,你的客户机运行 Windows NT version 4.0 and later or, Microsoft Windows 95 或以后的版本,有些运行 Windows 2000的拨号客户机,运行 W
11、indows NT 4.0 或 Windows 98的VPN客户机时,可扩展的身份验证,允许客户机和服务器协商他们将使用的身份验证方法支持所使用的身份验证 1、MD5-CHAP 2、传输层安全性 3、附加的第三方的身份验证方法确保支持通过API进行身份验证的方法,概述:,介绍远程访问的基础结构配置VPN连接 配置拨号连接 配置无线连接 为DHCP集成配置路由和远程访问利用远程访问策略控制用户的远程访问,利用DHCP将IP地址分配给远程访问客户机,如果DHCP服务器是有效的远程服务器在最初从DHCP服务器获取10个IP地址如果DHCP服务器是无效的远程服务器使用“自动专用IP寻址”地址确保DHC
12、P服务器总是可用,为使用DHCP而配置路由和远程访问,概述:,介绍远程访问的基础结构配置VPN连接 配置拨号连接 配置无线连接 为DHCP集成配置路由和远程访问利用远程访问策略控制用户的远程访问,What Is a Remote Access Policy?,A remote access policy is a named rule that consists of the following elements:,Conditions. 远程访问策略的条件是一系列参数,例如一天中的时间,用户组,主叫ID或者ip地址。这些参数与连接到服务器的客户机的参数项匹配。 Remote access p
13、ermission. 对用户帐号的拨入属性和远程访问策略加以组合,在此基础上才允许远程访问连接。Profile.每个策略包括一个配置文件,里面有一些设置值 (例如身份验证和加密协议),这个配置文件被应用于相应的连接。配子文件中的设置值立即应用于连接,并且可能会导致该连接拒绝。,What Is a Remote Access Policy Profile?,Remote Access User,检测远程访问策略,A Remote Access Policy:,存储在本地,而不在活动目录策略组件条件权限配置 文件,检测远程访问策略评估,遵循策略评估的逻辑检测默认策略和检测多个策略,遵循策略评估的逻
14、辑,Connection,No,Deny,Connection,Conditions,Permissions,Profile,Yes,Allow,Deny,Use RemoteAccess Policy,No,Yes,实验7-1,如何架设windows2003远程访问服务器,远程访问的集中身份验证IAS,概述,介绍IAS (Internet Authentication Service)安装和配置 IAS,Introduction to IAS,Windows 2003网络 中的IAS and RADIUSIAS的用途和用法RADIUS (Remote Authentication Dial-
15、In User Service),How Centralized Authentication Works,RADIUS Server,RADIUS Client,Client,Domain Controller,Remote Access Server,Installing and Configuring IAS,安装 IAS Server配置 IAS Server为利用RADIUS的身份验证功能配置远程访问服务器为利用RADIUS的记帐功能配置远程访问服务器为记帐信息配置日志,Installing an IAS Server,Configuring an IAS Server,Use an
16、 IP address, if possible,Select Microsoft if using Routing and Remote Access,Configuring a Remote Access Server to Use RADIUS Authentication,Change to RADIUS Authentication,Enter the Server Name,Configuring a Remote Access Server to Use RADIUS Accounting,Enter the Server Name,Change to RADIUS Accoun
17、ting,Configuring Logs for Accounting Information,Configure Settings for Accounting Logs: Select Events to Log Log accounting requests Log authentication requestsLog periodic status Select Log File Format Database-compatible format IAS format New Log Time Period Log File Directory,总结:,介绍IAS (Internet Authentication Service)安装和配置 IAS,实验7-2,配置 VPN 拨入控制及IAS,
