網络管理讲义chapter6.docVIP

第六章 配置远程访问 一．概述 * 用户坐在公司局域网中的计算机上访问该局域网中的资源，没有任何问题。 * 如果用户希望在另一个地点对公司局域网中的资源进行访问，则往往需要利用已有的广域网（如：PSTN、ISDN、Internet）链路进行访问。 * 从公司局域网的角度来看，把这个用户跨过广域网而对公司局域网所实施的访问称为“远程访问”（Remote Access）；这个用户被称为“远程用户”（Remote User）；他所使用的计算机被称为“远程访问客户机”（Remote Access Client）。 * 为了对用户的远程访问提供支持，需要在公司的局域网中选择一台具有静态IP参数的Win2003计算机，在它上面安装“远程访问服务”（Remote Access Serice，RAS），由它来提供对远程访问的支持。实际上，远程访问服务器是负责接受远程访问的接入平台。 * 用户在执行远程访问时，首先必须跨过广域网与远程访问服务器建立起通信信道（这相当于从公司局域网中拉出一根网线把客户机连接到了局域网中）；然后，由公司的局域网为其分配局域网中的一个有效IP地址（这相当于为该客户机分配了局域网中的一个有效IP地址）；最后，用户提交一个在公司局域网中建立的具有“远程拨入”权利的用户帐号，并以该身份来访问公司局域网中的资源。这种访问与该用户坐在公司局域网中的计算机上访问局域网中的资源完全一样（即：原来在局域网中能够访问什么资源，现在在远程访问客户机上也能访问到这些资源，没有区别）。 * 例如，一个用户在学校的校园网中的计算机上能够访问校园网内部的资源（如：图书馆中的电子期刊）。现在，该用户希望在校外的家里也能访问校园网内部的资源，那么他可以通过广域网（如：PSTN、ISDN、Internet）先连接到学校的远程访问服务器上，当建立起通信信道后，由校园网的远程访问服务器为其分配校园网内部的IP地址，然后该用户便可以使用校园网为其分配的具有“远程拨入”权利的用户帐号，来访问校园网中的资源，感觉上与其在校园网内部的计算机上访问校园网中的资源完全一样。 二．Win2003支持的远程访问连接类型 * Win2003版本的远程访问服务器支持客户机以两种方式建立远程访问连接：“拨号连接”和“VPN连接”。 1．拨号连接 * 当用户希望跨过PSTN、ISDN、X.25网络进行远程访问时，必须建立拨号连接。 * 缺点：成本高。 2．VPN连接（即：虚拟专有网络连接） * 如果希望降低远程访问的成本，可以考虑跨过Internet进行远程访问。 * 当用户希望跨过Internet进行远程访问时，必须建立VPN连接。 * 基于Internet的通信大大降低了通信的成本。 * 但是，由于Internet是公共网络，因此安全问题必须重点考虑。 * 为了在Internet上建立安全的通信信道，需要对通信的数据包进行更加严格的加密并且封装上身份验证信息和一致性校验信息。这样，在两个远程设备之间建立起点到点的、加密的、虚拟的通信信道，数据包在这条通信信道中传输时就像在一条安全的“隧道”（Tunnel）中流动。因此，这样的远程访问连接被称为“虚拟专有网络”（Virtual Private Network，VPN），简称为“VPN连接”。 三．远程访问使用的协议 1．远程访问协议 * 负责在两台远程设备之间跨过广域网来建立、维护和管理远程访问连接的通信信道。 （1）SLIP协议（Serial Line Internet Protocol） * 是PPP的前身，使用较少。 * 只支持TCP/IP数据包。 * 不支持动态IP地址分配。 * 不支持加密，密码明文传输。 （2）PPP协议（Point to Point Protocol） * 在SLIP的基础上发展起来，使用非常广泛。 * 支持TCP/IP、IPX/SPX、NetBEUI数据包。 * 支持动态IP地址分配。 * 支持加密。 2．LAN协议 * 在使用远程访问协议建立起连接后，两个远程设备之间开始传输使用LAN协议封装的数据包。 * 例如：TCP/IP、IPX/SPX、NetBEUI、AppleTalk。 3．VPN协议 * 用于对VPN连接中数据进行保护。 （1）PPTP（Point to Point Tunnel Protocol） * 只能在基于IP的网络（Internet）中使用。 （2）L2TP（Layer 2 Tunnel Protocol） * 可以在基于IP的网络和非IP的网络（如：帧中继）中使用。 * 比PPTP更安全。 四．