《用路由和远程访问来对连接请求进行身份验证优秀PPT.ppt》由会员分享,可在线阅读,更多相关《用路由和远程访问来对连接请求进行身份验证优秀PPT.ppt(65页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第12章 远程访问、NAT技术本章的任务了解远程访问技术、VPN技术的基本原理,选择合适的VPN类型VPN服务器的架设VPN客户连接到VPN服务器了解NAT基本技术原理、NAT类型,选择合适的NAT类型架设NAT服务器12.1 VPN服务器架设12.1.1 网络拓扑及需求员工可能在出差期间或者在家时访问企业内部的服务器、各应用系统、网站,这就须员工可能在出差期间或者在家时访问企业内部的服务器、各应用系统、网站,这就须要用到远程访问技术。将在要用到远程访问技术。将在WIN2008-3上配置远程访问,使得上配置远程访问,使得VPN客户端能够通过客户端能够通过Internet拨入到企业的网络。拨入到
2、企业的网络。12.1.2 VPN简介1.1.两种两种类类型的型的远远程程访问访问技技术术拨拨号号远远程程访问访问:远远程程访问访问客客户户端运用端运用电电信供信供应应商的服商的服务务(例如模(例如模拟电话拟电话和和 ISDN ISDN)与)与远远程程访问访问服服务务器上的物理端口建立非永久的器上的物理端口建立非永久的拨拨号号连连接。基于模接。基于模拟电话拟电话或或 ISDN ISDN 的的拨拨号网号网络络是是拨拨号网号网络络客客户户端与端与拨拨号网号网络络服服务务器之器之间间的干脆物理的干脆物理连连接。接。这这种方式因种方式因为为速率速率较较低、低、费费用用较较高(高(MODEMMODEM的的
3、费费用和通信用和通信费费用)用)、平安性差,因此、平安性差,因此现现在基本上不被接受在基本上不被接受12.1.2 VPN简介虚拟专用网络(VPN):VPN 可以跨公用网络(例如 Internet)创建平安的点对点连接。VPN 客户端运用基于 TCP/IP 的特殊协议(称为隧道协议)对 VPN 服务器上的虚拟端口进行虚拟呼叫。虚拟专用网络的最佳示例是:VPN 客户端与连接到 Internet 的远程访问服务器建立 VPN 连接。远程访问服务器应答虚拟呼叫,对呼叫者进行身份验证,并在 VPN 客户端与公司网络之间传输数据。与拨号远程访问相反,VPN 始终是通过公用网络(例如 Internet)在
4、VPN 客户端与 VPN 服务器之间建立的逻辑间接连接。为了确保隐私平安,必需对通过该连接发送的数据进行加密。VPN运用时无附加费用、平安性好、速率较大(取决于Internet的速率),因此常常作为远程访问的技术手段。VPN技术模拟点对点链路,VPN运用隧道协议来封装数据。其基本思路是把一个数据包封装在另一个数据包中,就像把写有地址的一封信装在另一封信中一样。外部数据包的包头供应路由信息,使数据可以通过公用网络到达其终结点。为了保证数据在公网上的传输平安,对所发送的数据进行加密。封装并加密专用数据的链路称为 VPN 连接。VPN的两种隧道的两种隧道协议PPTPL2TP/Ipsec所谓的VPN
5、隧道协议是指:将来自一种协议类型的数据包封装在其它协议的数据报内。例如,VPN 运用 PPTP 封装通过公用网络(例如 Internet)传输的 IP 数据包。PPTP封装PPTP 将 PPP 帧封装在 IP 数据报中,以便通过网络传输。PPTP 运用 TCP 连接进行隧道管理,运用修订版的通用路由封装(GRE)封装隧道数据的 PPP 帧。封装的 PPP 帧的有效负载可以加密、压缩或加密并压缩。L2TP封装L2TP 依靠 Internet 协议平安(IPsec)传输模式来供应加密服务。L2TP 和 IPsec 的组合称为 L2TP/IPsec。VPN 客户端和 VPN 服务器必需均支持 L2T
6、P 和 IPsec。L2TP 的客户端支持内置在 WindowsVista 和 WindowsXP 远程访问客户端中,L2TP 的 VPN 服务器支持内置在 WindowsServer2008 和 Windows Server2003 系列的成员中。L2TP/IPsec 数据包的封装分为两层:第一层的L2TP 封装,PPP 帧(IP 数据报)运用 L2TP 标头和 UDP 标头封装。运用 IPsec ESP 对 L2TP 通信进行加密其次层的IPsec 封装运用 IPsec 封装平安有效负载(ESP)标头和尾端、供应消息完整性和身份验证的 IPsec 身份验证尾部以及最终的 IP 标头来封装生
7、成的 L2TP 消息。IP 标头中是与 VPN 客户端和 VPN 服务器对应的源 IP 地址和目标 IP 地址。12.1.3 VPN服务器配置安装VPN服务安装VPN服务安装VPN服务安装VPN服务安装VPN服务安装VPN服务启用“路由和远程访问服务”启用“路由和远程访问服务”启用“路由和远程访问服务”启用“路由和远程访问服务”启用“路由和远程访问服务”可选择如何对远程客可选择如何对远程客户端安排户端安排IP地址的方地址的方法。假如选择法。假如选择“自动自动”选项,则选项,则VPN服务服务器将从安装在同一计器将从安装在同一计算机上的算机上的DHCP服务服务器获得器获得IP地址后再安地址后再安排
8、给客户端。排给客户端。启用“路由和远程访问服务”IP地址应当是私有IP地址,并且不得和企业内部的地址段192.168.0.0/255.255.255.0在同一网段启用“路由和远程访问服务”用路由和远程访问用路由和远程访问来对连接恳求进行来对连接恳求进行身份验证身份验证”,这时,这时用户名和密码存放用户名和密码存放于于VPN服务器上或服务器上或者者VPN服务器所在服务器所在域的域限制器上域的域限制器上启用“路由和远程访问服务”在在VPN服务器上,创建用户服务器上,创建用户“user1”,并打开用户的,并打开用户的“属性属性”窗口,选择窗口,选择“拨入拨入”选项卡,选择选项卡,选择“允许访问允许访
9、问”选项,单击选项,单击“确定确定”按钮保存。留意:不能要求按钮保存。留意:不能要求user1用户下次登录时必需修用户下次登录时必需修改密码。改密码。启用“路由和远程访问服务”配置路由和远程访问服务WIN2008-3上进行配置路由和远程访问服务Windows 身份验证:服务器运用本地帐户数据库或域帐户数据库来对远程访问连接或恳求拨号连接的凭据进行身份验证。RADIUS 身份验证:远程访问服务器运用远程身份验证拨入用户服务(RADIUS)服务器来对远程访问连接-或恳求拨号连接的凭据进行身份验证。自定义IPSec 策略允许为 L2TP 连接允许自定义 IPSec 策略”选项:指定 L2TP 连接是
10、否可以运用自定义 IPSec 策略。假如选中此复选框,必需指定预共享密钥,供运用此自定义 IPSec 策略的全部连接运用,VPN客户端计算机上也必需配置相同的共享密钥。须要重启路由和远程访问服务,预共享密码才生效。身份认证方法所谓的认证方法是:客户端要连接到服务器时,服务器要识别客户端是否合法,最简洁的方式就是客户端要供应用户名和密码,然而客户端不能以明码的方式干脆把用户名和密码发送到服务器,否则对于现在的黑客来说就等于是没有密码,因此要接受平安的方法把用户名和密码发送到服务器端进行认证,整个认证的过程就是认证方法。身份认证方法EAP 方法:单击可以查看已安装的 EAP 方法。默认是PEAP,
11、PEAP 运用传输层平安性(TLS)在身份验证 PEAP 客户端(例如无线计算机)与 PEAP 身份验证器(例如网络策略服务器(NPS)或远程身份验证拨入用户服务(RADIUS)服务器)之间创建加密通道。Microsoft 加密身份验证第 2 版(MS-CHAP v2):指定服务器是否运用 Microsoft 质询握手身份验证协议(MS-CHAP)第 2 版对远程访问连接和恳求拨号连接进行身份验证。MS-CHAP v2 供应相互身份验证和更强大的加密,加密的点对点(PPP)连接或点对点隧道协议(PPTP)连接要求运用 MS-CHAP v2。加密的身份验证(CHAP):指定服务器是否运用 Mes
12、sage Digest 5(MD-5)质询握手身份验证协议(CHAP)对远程访问连接和恳求拨号连接进行身份验证。基于平安缘由,不建议选择此项。未加密的密码(PAP):指定服务器是否运用密码身份验证协议(PAP)对远程访问连接和恳求拨号连接进行身份验证。在 PAP 身份验证期间,密码以纯文本形式(而不是加密形式)发送。只有必需支持 PAP 远程访问客户端时,才应运用此身份验证协议。基于平安缘由,不建议选择此项。允许远程系统不经过身份验证而连接:指定服务器是否允许不经过身份验证的连接。不经过身份验证的连接不要求供应用户名和密码。“IPv4”选项卡在窗口下方的“适配器”下拉框中选择“本地连接”使得V
13、PN服务会把自己的“本地连接”网卡上的DNS、WINS设置安排给用户(即:DNS和WINS均为192.168.0.1)“端口 属性”12.1.4 VPN客户端配置和测试 PPTP客户端12.1.4 VPN客户端配置和测试12.1.4 VPN客户端配置和测试12.1.4 VPN客户端配置和测试在实际应用中,通常是运用域名的,因此须要在Internet上的DNS服务器上添加主机记录,主机记录的IP指向61.0.0.1。12.1.4 VPN客户端配置和测试12.1.4 VPN客户端配置和测试12.1.4 VPN客户端配置和测试12.1.4 VPN客户端配置和测试 L2TP客户端从平安性来说L2TP应
14、当比PPTP要平安,建议接受L2TP进行连接。然而默认时VPN客户端优先接受PPTP进行连接,假如要强制运用L2TP。L2TP客户端 L2TP客户端运用L2TP,必需启动IPSec服务(默认时是启动的),从“起先”“管理工具”“服务”菜单中打开“服务”窗口,找到“IPSec Service”服务,可启动该服务。VPN客户端的DNS问题正常状况下,VPN客户端是接到Internet的,它的DNS应当指向当地ISP的DNS服务器然而这样会有一个问题:VPN连接拨通后,客户端应当还是用域名来访问企业内部的服务器或者应用系统,而只有用企业内部的DNS(192.168.0.1)才能解析这些域名。因此要给
15、客户端安排企业内部的DNS服务器地址,结果如图12-39。这时VPN客户端有两个DNS服务器地址,Internet上的DNS负责解析Internet主机的域名;而企业内部的DNS负责解析企业内主机的域名,得到的是企业内部主机的私有IP地址。要保证以上效果,VPN服务器依据图12-28(窗口最下方的“适配器”下拉框)进行设置是至关重要的。12.1.5 管理管理远程程访问客客户端端12.1.5 管理管理远程程访问客客户端端12.2 NAT服服务器架器架设12.2.1 为什么须要NAT?IPv4所供应的40亿个地址已经基本用完。IPv6应当是最终的解决手段。但是由于现有网络都是运用IPv4,要升级设
16、备须要大量的资金,而且改造整个网络也是一项浩大而且须要很长时间的工程。就须要一种过渡的解决手段,来短暂的解决IP地址耗尽的问题。NAT(网络地址转换)就是这样一种过渡的解决方案。12.2.2 NAT的基本原理静态转换:每一个须要转换的内部地址创建了固定的转换条目,映射了惟一的全局地址。然而静态转换并不能节约合法IP地址。动态NAT定义一个NAT池(NAT pool),内部主机如要与外界进行通信,路由器从NAT池中选择一未运用的外部地址对IP数据包的源IP地址(内部地址)进行转化。每个转换条目在连接建立时动态建立,而在连接终止时会被回收,这样大大削减了所需的外部地址。端口地址转换端口地址转换(P
17、AT)是动态转换的一种变形,在静态转换和动态转换中NAT只转换IP地址,并不转换端口号,端口地址转换除此之外还转换端口号。它可以使得多个内部主机同时共享一个外部IP地址。真正大幅度节约合法IP地址。12.2.3 NAT服务器的架设 配置动态端口转换(PAT)新增路由协议新增路由协议新增接口选择专用接口(接内网)选择公用接口(接外网)测试内网访问外网配置端口重定向端口重定向使得外网的计算机能够访问内网。61.0.0.1:80 192.168.0.2:80找到找到“Web服务器(服务器(HTTP)”12.2.4 NAT管理显示映射NAT属性“常规”选项卡:可以指明事务日志记录什么内容NAT属性“转换”选项卡:可以设置TCP和UDP映射最长的存在时间。当然假如用户程序断开了TCP连接,则映射会马上被删除,并不须要等到最长时间。NAT属性地址安排假如企业内部的网络没有DHCP服务器存在,可以在这里设置一个IP地址范围,为计算机安排IP地址。Thank You.