淺談基于RRAS與虛擬專用網(wǎng)技術在Windows中的實現(xiàn)
簡要:RRAS和Windows 虛擬專用網(wǎng)技術不但可以方便的實現(xiàn)遠程企業(yè)用戶同企業(yè)內(nèi)部網(wǎng)絡用戶之間的安全可靠連接,而且能夠以最低的成本確保企業(yè)高效的數(shù)據(jù)傳輸,因此,通過RRAS和虛擬專用網(wǎng)連接技
摘要:RRAS和Windows 虛擬專用網(wǎng)技術不但可以方便的實現(xiàn)遠程企業(yè)用戶同企業(yè)內(nèi)部網(wǎng)絡用戶之間的安全可靠連接,而且能夠以最低的成本確保企業(yè)高效的數(shù)據(jù)傳輸,因此,通過RRAS和虛擬專用網(wǎng)連接技術在Windows中來實現(xiàn)網(wǎng)絡的安全訪問能夠解決Windows網(wǎng)絡面臨的一系列安全問題。
關鍵詞:RRAS Windows 虛擬專用網(wǎng)技術 安全
虛擬專用網(wǎng)是公共數(shù)據(jù)網(wǎng)的一種類型,但可以方便的讓企業(yè)外地用戶直接連接到企業(yè)的內(nèi)部網(wǎng)絡。虛擬專用網(wǎng)可以跨專用網(wǎng)絡或公用網(wǎng)絡(如Internet)創(chuàng)建安全的點對點連接,極大地降低了企業(yè)用戶的費用,而且提供了很強的安全性和可用性。虛擬專用網(wǎng)中采用了一些網(wǎng)絡安全機制,如隧道技術、認證技術、加密技術、解密技術以及密鑰管理技術等,這些網(wǎng)絡安全技術能夠確保各種數(shù)據(jù)在公用網(wǎng)絡中傳輸時不被非法用戶獲取,即便被竊取也無法讀取數(shù)據(jù)包中的有效信息。
1 構(gòu)建RRAS服務
RRAS也叫路由和遠程訪問服務,通過將“路由和遠程訪問”配置為充當遠程訪問服務器,可以將企業(yè)的遠程工作人員或流動工作人員連接到企業(yè)內(nèi)部網(wǎng)絡上,遠程用戶可以像其計算機物理連接到企業(yè)內(nèi)部網(wǎng)絡上一樣進行資源共享和數(shù)據(jù)交換。雖然現(xiàn)在很多企業(yè)網(wǎng)絡組建都采用了VPN技術,但是基本上是基于網(wǎng)絡硬件設備的,比如銳捷硬件VPN、路由器等,而利用Windows Server 2003內(nèi)置的RRAS組建VPN網(wǎng)絡價格低廉、管理方便、性能良好,而且容易維護。
利用路由和遠程訪問連接的用戶可以使用企業(yè)內(nèi)網(wǎng)的所有服務,其中包括文件服務的共享、企業(yè)打印機共享、企業(yè)Web服務的訪問和郵件服務及數(shù)據(jù)庫服務的訪問。例如,在運行“路由和遠程訪問”的服務器上,客戶端可以使用Windows資源管理器來建立驅(qū)動器連接和連接到打印機。由于遠程訪問完全支持驅(qū)動器號和統(tǒng)一資源定位器UNC名稱,因此連接到企業(yè)內(nèi)網(wǎng)的外部用戶的大多數(shù)應用程序不必進行修改即可直接使用職稱論文。
RRAS是Windows Server 2003的默認Windows組件,其初始狀態(tài)為停用,因此在構(gòu)建RRAS之前必須將其激活,只有在RRAS管理控制臺中服務器上的箭頭變?yōu)榫G色的向上箭頭,才表明此RRAS服務已經(jīng)被激活,激活狀態(tài)如下圖所示:
2 配置遠程訪問服務器
2.1 遠程訪問服務器屬性的配置
2.1.1 常規(guī)屬性設置 在Windows Server 2003的路由和遠程訪問服務中,可以使該服務器作為一個路由器或者是一個遠程訪問服務器。當作為路由器時,它可以作為企業(yè)網(wǎng)和因特網(wǎng)之間的一座橋梁,因此可以通過選中“遠程訪問服務器”復選框來改變該服務器的角色,使其成為一臺VPN服務器。
2.1.2 安全設置 VPN始終是通過公用網(wǎng)絡如Internet在VPN客戶端與服務器之間建立的邏輯連接。為了確保隱私安全,必須對通過該連接發(fā)送的數(shù)據(jù)進行加密。RRAS中的安全信息包括身份驗證方法和記賬提供程序。身份驗證方法包括默認的Windows身份驗證和RADIUS身份驗證,服務器通過一系列的驗證方法對遠程系統(tǒng)進行身份驗證。
2.1.3 遠程用戶IP設置 遠程VPN客戶必須通過IP地址連接到服務器從而訪問企業(yè)網(wǎng)絡,通過IP設置可以給遠程客戶機指派IP地址。一般通過兩種方法來指派:第一種是利用企業(yè)網(wǎng)絡內(nèi)部的DHCP服務器動態(tài)的分配IP地址,另一種方法是指定某個范圍的靜態(tài)地址池,其中“啟用IP路由”可以使遠程企業(yè)用戶訪問到此遠程訪問服務器所連接的整個企業(yè)內(nèi)部網(wǎng)絡。
2.2 遠程訪問服務器端口的配置 在企業(yè)網(wǎng)絡遠程訪問過程中,網(wǎng)絡設備是建立點到點連接所使用端口的硬件或軟件,而端口是用來支持單個點對點連接的設備的信道,在路由和遠程訪問管理控制臺中可以監(jiān)視和管理各種端口,而且可以更改各端口的配置,例如:對WAN微型端口(PPTP)和(L2TP)的數(shù)量的更改。在WAN微型端口(PPTP)中,“遠程訪問連接(僅入站)”是為企業(yè)用戶啟用遠程訪問,“請求撥號路由選擇連接(入站和出站)”是為企業(yè)用戶啟用請求撥號路由。
2.3 用戶撥入的配置 企業(yè)遠程訪問服務器同時也具備域控制器的功能,它是通過“Active Directory 用戶和計算機”來管理企業(yè)遠程客戶的,而它所管理的用戶對象屬性中存在“撥入”選項卡,“撥入”屬性可以允許或禁止遠程企業(yè)用戶連接到企業(yè)內(nèi)部服務器上。其中“回撥選項”可以為遠程用戶撥入實現(xiàn)多種不同的功能,當用戶撥號到企業(yè)RRAS服務器后,只要賬戶正確就允許與企業(yè)網(wǎng)絡建立連接,則選擇“不回撥”;當遠程企業(yè)用戶撥入到RRAS服務器后,輸入正確的賬戶,服務器會要求用戶輸入回撥的電話號碼,然后掛斷電話,并由服務器對用戶進行撥號,為遠程用戶節(jié)省電話費用,則選擇“由呼叫方設置(僅路由和遠程訪問服務)”。
由于企業(yè)的規(guī)模各不相同,因此企業(yè)內(nèi)部節(jié)點數(shù)量和網(wǎng)絡帶寬等也不同,當遠程客戶端通過VPN連接自動獲取到一個和企業(yè)內(nèi)網(wǎng)同一網(wǎng)段的IP地址后,就可以像在公司內(nèi)部一樣安全、方便、快速、高效地與Intranet交換機密的商務信息,從而實現(xiàn)企業(yè)網(wǎng)絡用戶跨因特網(wǎng)的安全訪問。
參考文獻:
[1]Ivan Pepelnjak Jim Guichard. MPLS和VPN體系結(jié)構(gòu)[M].北京:人民郵電出版社,2004.
(美)羅等,劉偉琴,米強譯.第二層VPN體系結(jié)構(gòu)[M].北京:人民郵電出版社,2006.
徐祗祥.Windows網(wǎng)絡服務[M].北京:科學技術文獻出版社,2008.
瑪尼爾(Ruest,D.),尼爾森(Ruest,N.).Windows Server 2003企業(yè)部署原理與實踐[M].北京
