基于RRAS的虛擬網(wǎng)技術(shù)應(yīng)用在Windows中研究論文
時間:2022-12-17 10:44:00
導(dǎo)語:基于RRAS的虛擬網(wǎng)技術(shù)應(yīng)用在Windows中研究論文一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。
摘要:RRAS和windows虛擬專用網(wǎng)技術(shù)不但可以方便的實現(xiàn)遠(yuǎn)程企業(yè)用戶同企業(yè)內(nèi)部網(wǎng)絡(luò)用戶之間的安全可靠連接,而且能夠以最低的成本確保企業(yè)高效的數(shù)據(jù)傳輸,因此,通過RRAS和虛擬專用網(wǎng)連接技術(shù)在Windows中來實現(xiàn)網(wǎng)絡(luò)的安全訪問能夠解決Windows網(wǎng)絡(luò)面臨的一系列安全問題。
關(guān)鍵詞:RRAS;Windows;虛擬專用網(wǎng)技術(shù);安全
虛擬專用網(wǎng)是公共數(shù)據(jù)網(wǎng)的一種類型,但可以方便的讓企業(yè)外地用戶直接連接到企業(yè)的內(nèi)部網(wǎng)絡(luò)。虛擬專用網(wǎng)可以跨專用網(wǎng)絡(luò)或公用網(wǎng)絡(luò)(如Internet)創(chuàng)建安全的點對點連接,極大地降低了企業(yè)用戶的費用,而且提供了很強(qiáng)的安全性和可用性。虛擬專用網(wǎng)中采用了一些網(wǎng)絡(luò)安全機(jī)制,如隧道技術(shù)、認(rèn)證技術(shù)、加密技術(shù)、解密技術(shù)以及密鑰管理技術(shù)等,這些網(wǎng)絡(luò)安全技術(shù)能夠確保各種數(shù)據(jù)在公用網(wǎng)絡(luò)中傳輸時不被非法用戶獲取,即便被竊取也無法讀取數(shù)據(jù)包中的有效信息。
1構(gòu)建RRAS服務(wù)
RRAS也叫路由和遠(yuǎn)程訪問服務(wù),通過將“路由和遠(yuǎn)程訪問”配置為充當(dāng)遠(yuǎn)程訪問服務(wù)器,可以將企業(yè)的遠(yuǎn)程工作人員或流動工作人員連接到企業(yè)內(nèi)部網(wǎng)絡(luò)上,遠(yuǎn)程用戶可以像其計算機(jī)物理連接到企業(yè)內(nèi)部網(wǎng)絡(luò)上一樣進(jìn)行資源共享和數(shù)據(jù)交換。雖然現(xiàn)在很多企業(yè)網(wǎng)絡(luò)組建都采用了VPN技術(shù),但是基本上是基于網(wǎng)絡(luò)硬件設(shè)備的,比如銳捷硬件VPN、路由器等,而利用WindowsServer2003內(nèi)置的rras組建VPN網(wǎng)絡(luò)價格低廉、管理方便、性能良好,而且容易維護(hù)。
利用路由和遠(yuǎn)程訪問連接的用戶可以使用企業(yè)內(nèi)網(wǎng)的所有服務(wù),其中包括文件服務(wù)的共享、企業(yè)打印機(jī)共享、企業(yè)Web服務(wù)的訪問和郵件服務(wù)及數(shù)據(jù)庫服務(wù)的訪問。例如,在運(yùn)行“路由和遠(yuǎn)程訪問”的服務(wù)器上,客戶端可以使用Windows資源管理器來建立驅(qū)動器連接和連接到打印機(jī)。由于遠(yuǎn)程訪問完全支持驅(qū)動器號和統(tǒng)一資源定位器UNC名稱,因此連接到企業(yè)內(nèi)網(wǎng)的外部用戶的大多數(shù)應(yīng)用程序不必進(jìn)行修改即可直接使用職稱論文。
RRAS是WindowsServer2003的默認(rèn)Windows組件,其初始狀態(tài)為停用,因此在構(gòu)建RRAS之前必須將其激活,只有在RRAS管理控制臺中服務(wù)器上的箭頭變?yōu)榫G色的向上箭頭,才表明此RRAS服務(wù)已經(jīng)被激活,激活狀態(tài)如下圖所示:
2配置遠(yuǎn)程訪問服務(wù)器
2.1遠(yuǎn)程訪問服務(wù)器屬性的配置
2.1.1常規(guī)屬性設(shè)置在WindowsServer2003的路由和遠(yuǎn)程訪問服務(wù)中,可以使該服務(wù)器作為一個路由器或者是一個遠(yuǎn)程訪問服務(wù)器。當(dāng)作為路由器時,它可以作為企業(yè)網(wǎng)和因特網(wǎng)之間的一座橋梁,因此可以通過選中“遠(yuǎn)程訪問服務(wù)器”復(fù)選框來改變該服務(wù)器的角色,使其成為一臺VPN服務(wù)器。
2.1.2安全設(shè)置VPN始終是通過公用網(wǎng)絡(luò)如Internet在VPN客戶端與服務(wù)器之間建立的邏輯連接。為了確保隱私安全,必須對通過該連接發(fā)送的數(shù)據(jù)進(jìn)行加密。RRAS中的安全信息包括身份驗證方法和記賬提供程序。身份驗證方法包括默認(rèn)的Windows身份驗證和RADIUS身份驗證,服務(wù)器通過一系列的驗證方法對遠(yuǎn)程系統(tǒng)進(jìn)行身份驗證。
2.1.3遠(yuǎn)程用戶IP設(shè)置遠(yuǎn)程VPN客戶必須通過IP地址連接到服務(wù)器從而訪問企業(yè)網(wǎng)絡(luò),通過IP設(shè)置可以給遠(yuǎn)程客戶機(jī)指派IP地址。一般通過兩種方法來指派:第一種是利用企業(yè)網(wǎng)絡(luò)內(nèi)部的DHCP服務(wù)器動態(tài)的分配IP地址,另一種方法是指定某個范圍的靜態(tài)地址池,其中“啟用IP路由”可以使遠(yuǎn)程企業(yè)用戶訪問到此遠(yuǎn)程訪問服務(wù)器所連接的整個企業(yè)內(nèi)部網(wǎng)絡(luò)。
2.2遠(yuǎn)程訪問服務(wù)器端口的配置在企業(yè)網(wǎng)絡(luò)遠(yuǎn)程訪問過程中,網(wǎng)絡(luò)設(shè)備是建立點到點連接所使用端口的硬件或軟件,而端口是用來支持單個點對點連接的設(shè)備的信道,在路由和遠(yuǎn)程訪問管理控制臺中可以監(jiān)視和管理各種端口,而且可以更改各端口的配置,例如:對WAN微型端口(PPTP)和(L2TP)的數(shù)量的更改。在WAN微型端口(PPTP)中,“遠(yuǎn)程訪問連接(僅入站)”是為企業(yè)用戶啟用遠(yuǎn)程訪問,“請求撥號路由選擇連接(入站和出站)”是為企業(yè)用戶啟用請求撥號路由。
2.3用戶撥入的配置企業(yè)遠(yuǎn)程訪問服務(wù)器同時也具備域控制器的功能,它是通過“ActiveDirectory用戶和計算機(jī)”來管理企業(yè)遠(yuǎn)程客戶的,而它所管理的用戶對象屬性中存在“撥入”選項卡,“撥入”屬性可以允許或禁止遠(yuǎn)程企業(yè)用戶連接到企業(yè)內(nèi)部服務(wù)器上。其中“回?fù)苓x項”可以為遠(yuǎn)程用戶撥入實現(xiàn)多種不同的功能,當(dāng)用戶撥號到企業(yè)RRAS服務(wù)器后,只要賬戶正確就允許與企業(yè)網(wǎng)絡(luò)建立連接,則選擇“不回?fù)堋?當(dāng)遠(yuǎn)程企業(yè)用戶撥入到RRAS服務(wù)器后,輸入正確的賬戶,服務(wù)器會要求用戶輸入回?fù)艿碾娫捥柎a,然后掛斷電話,并由服務(wù)器對用戶進(jìn)行撥號,為遠(yuǎn)程用戶節(jié)省電話費用,則選擇“由呼叫方設(shè)置(僅路由和遠(yuǎn)程訪問服務(wù))”。
由于企業(yè)的規(guī)模各不相同,因此企業(yè)內(nèi)部節(jié)點數(shù)量和網(wǎng)絡(luò)帶寬等也不同,遠(yuǎn)程訪問服務(wù)器可以根據(jù)企業(yè)自身的狀況選擇以下三種不同的方式來部署:
2.3.1單接口VPN服務(wù)器。此時用企業(yè)的核心路由器或硬件防火墻負(fù)責(zé)轉(zhuǎn)發(fā)IP數(shù)據(jù)包到因特網(wǎng)并對外網(wǎng)提供各種服務(wù),企業(yè)客戶端在呼叫服務(wù)器時的地址就是核心路由器或硬件防火墻的公網(wǎng)地址。
2.3.2雙接口VPN服務(wù)器。適用于企業(yè)網(wǎng)絡(luò)中具有多個公網(wǎng)地址。這種方式可以減少核心路由器或者硬件防火墻的網(wǎng)絡(luò)負(fù)載,因為雙接口VPN服務(wù)器網(wǎng)絡(luò)中,客戶端直接通過VPN服務(wù)器訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。公務(wù)員之家
2.3.3服務(wù)器做VPN服務(wù)器。如果企業(yè)原先通過服務(wù)器構(gòu)建企業(yè)網(wǎng)絡(luò),可以在服務(wù)器上啟用VPN服務(wù)器,或者是直接采用ISAServer作為服務(wù)器,在ISAServer上啟用VPN服務(wù)器并且代替原來的防火墻與路由器。
3構(gòu)建遠(yuǎn)程客戶機(jī)的網(wǎng)絡(luò)連接
虛擬專用網(wǎng)絡(luò)VPN客戶端能使用“點對點隧道協(xié)議”(PPTP)、“第二層隧道協(xié)議”(L2TP)和“IP安全協(xié)議(IPSec)”來創(chuàng)建一個通往VPN服務(wù)器的安全隧道。通過這種方法,客戶端就變成了專用網(wǎng)絡(luò)上的一個遠(yuǎn)程節(jié)點。PPTP是一種常用的VPN協(xié)議,它使用支持56位密鑰的MPPE增強(qiáng)加密方式,因此非常安全,而且易于進(jìn)行配置和維護(hù)。在純microsoft環(huán)境和混合環(huán)境中,基于PPTP的VPN客戶端部署方便,而且可以通過使用遠(yuǎn)程訪問策略的規(guī)則進(jìn)行PPTP連接的允許或拒絕,使遠(yuǎn)程客戶機(jī)能夠在規(guī)定的時間訪問公司局域網(wǎng),并且可以實現(xiàn)各種安全的身份驗證方式和加密方式。在客戶端建立一個基于VPN的WAN微型端口(PPTP)連接后,就可以通過此連接自動獲取一個VPN服務(wù)器上分配的IP地址,從而實現(xiàn)客戶端與企業(yè)內(nèi)部網(wǎng)絡(luò)構(gòu)成同一個局域網(wǎng)。當(dāng)遠(yuǎn)程客戶端通過VPN連接自動獲取到一個和企業(yè)內(nèi)網(wǎng)同一網(wǎng)段的IP地址后,就可以像在公司內(nèi)部一樣安全、方便、快速、高效地與Intranet交換機(jī)密的商務(wù)信息,從而實現(xiàn)企業(yè)網(wǎng)絡(luò)用戶跨因特網(wǎng)的安全訪問。
參考文獻(xiàn):
[1]IvanPepelnjakJimGuichard.MPLS和VPN體系結(jié)構(gòu)[M].北京:人民郵電出版社,2004.
[2](美)羅等,劉偉琴,米強(qiáng)譯.第二層VPN體系結(jié)構(gòu)[M].北京:人民郵電出版社,2006.
[3]徐祗祥.Windows網(wǎng)絡(luò)服務(wù)[M].北京:科學(xué)技術(shù)文獻(xiàn)出版社,2008.
[4]瑪尼爾(Ruest,D.),尼爾森(Ruest,N.).WindowsServer2003企業(yè)部署原理與實踐[M].北京:清華大學(xué)出版社,2006.