《第12章--Windows-Server-2008路由及远程访问》由会员分享,可在线阅读,更多相关《第12章--Windows-Server-2008路由及远程访问(64页珍藏版)》请在金锄头文库上搜索。
1、* 第12章 Windows Server 2008路由及远程访问服务 12.1 远程访问的概述 12.2 VPN的配置与管理 12.3 WINDOWS SERVER 2008路由 12.4 常用网络命令的介绍 【本章提要】 远程访问的概述 VPN的配置与管理 路由配置与管理 常用网络命令 Windows Server 2008集成了功能强大的远程访问服务器 和LAN路由功能,为企业网络的数据通信提供灵活、廉价的 技术解决方案,越来越被当前的企业网络广泛采用。因此了 解Windows Server 2008远程访问服务器和路由器的设计 、配置及测试具有非常强大的实际意义。本章主要介绍 Wind
2、ows Server 2008的路由和远程访问的功能。 另外,网络访问保护 (NAP) ,是一种创建、强制和修正客 户端健康策略的技术。通过 NAP,系统管理员可以设置并 自动强制运行状况策略,策略中可以包含软件要求、安全更 新要求、计算机配置要求以及其他设置。 12.1 远程访问的概述 远程访问就是通常所说的远程接入。通过利用路由 和远程访问技术,可以将Windows Server 2008服 务器配置为远程访问服务器,能将远程或移动办公 的工作人员连接到公司内部的网络上。远程用户最 常用的访问方式是拨号线路PSTN(公共交换电话 网)或ISDN(综合业务数字网)。远程计算机拨入 到公司内部
3、网络之后,可以与本地网中的计算机具 有完全一样的地位,可以共享资源、使用各种内部 的服务。也就是说远程用户使用计算机时,就像是 直接连接到公司内部网络上一样的工作。 12.1 远程访问的概述 远程访问的主要应用有两类:一是远程移动用户接入公司的 内部网络;二是ISP(互联网接入提供商)提供的Internet 接入服务。在实际应用中,通过专门的硬件设备来提供远程 访问服务,如Cisco和3COM等设备制造商都提供多路电话 或ISDN拨号上网的远程访问服务器(RAS),既有规模较 小的适合企业用户的设备,也有规模较大的适合ISP提供 Internet接入的设备。 当然,远程接入服务也可通过软件来实
4、现,Windows Server 2008服务器上集成了远程访问服务器。使用软件方 式,虽然效率不如硬件设备高,但是在要求不是非常高的场 合下却是一种高性价比的解决方案,特别是对远程接入用户 较少的企业非常适合。 路由和远程访问的方式 1拨号网络 通过使用ISP(模拟电话、ISDN)提供的接入服务 ,远程客户端使用非永久的拨号连接到远程访问服 务器的物理端口上,这时使用的网络就是拨号网络 。 2虚拟专用网(VPN) 虚拟专用网是通过专用网络或公用网络(如 Internet)建立的安全的、点对点的连接。 路由和远程访问新增功能 Windows Server 2008 操作系统中路由和远程访 问新
5、增如下功能: 1、服务器管理器 2、SSTP 隧道协议 3、VPN 的网络访问保护强制 4、IPv6 支持 5、新的加密支持 12.2 VPN的配置与管理 12.2.1 VPN的概述 在虚拟专用网络解决方案中,用户通过 Internet 连 接到公司的内部网络上。由于VPN 结合使用隧道、 身份验证和加密技术来建立一个安全的网络连接。 最突出的特点就是以下几个方面: (1)低成本运行。 (2)高安全性。 (3)服务质量保证(QoS)。 (4)可扩充性和灵活性。 (5)可管理性。 12.2.2 VPN协议 VPN技术本身非常复杂,它涉及通信技术、密码技术和身份 认证技术等。整体来说,VPN主要包
6、含以下两种技术:隧道 技术与安全技术。 1隧道技术 隧道技术的基本过程是在发送端与公网的接口处将数据作为 负载封装在一种可以在公网上传输的标准数据格式中,在接 收端的公网接口处将数据解封装,取出负载。目前VPN隧道 协议有4种: (1)点到点隧道协议PPTP (Point to Point Tunneling Protocol) ; (2)第二层隧道协议L2TP(Layer 2 Forwarding); (3)网络层隧道协议IPSec; (4)SOCKS v5协议。 各种隧道协议在OSI模型中的层次 OSI参考模型安全技术安全协议 应用层/表示层应用代理技术 会话层/传输层会话层代理技术Soc
7、kSV5/SSL 网络层 包过滤技术 IPsec 数据链路层 L2F/PPTP/L2T P 物理层 IPSec协议 IPSec协议是一个广泛应用的、开放的VPN安全协 议,工作在OSI模型中的第三层。它提供网络层上 的数据保护和透明的安全通信。 IPSec协议可以有两种模式运行:一种是隧道模式 ,另一种是传输模式。在隧道模式下,IPSec把IP 数据包加密后封装在标准的IP帧中。传输模式是为 了保护端到端的安全性,不会隐藏路由信息。 SOCKS v5协议 SOCKS v5(第5版)工作在OSI模型中的会话层, 是建立高度安全的VPN的基础。SOCKS v5协议的 优势在访问控制,因此适用于安全
8、性较高的VPN。 SOCKS v5现在被IETF建议作为建立VPN的标准。 其特点是:非常精细的访问控制。由于工作在会话 层,能同低层协议(如IPv4、IPSec、PPTP、 L2TP)一起使用;用SOCKS v5的代理服务器可隐 藏网络地址结构;能提供认证、加密和密钥管理等 模块,让用户自由地采用所需要的技术。SOCKS v5可根据规则有效地过滤数据流。但是其性能比低 层次协议要低一些,并且必须制定非常复杂的安全 管理策略,管理比较复杂。 安全技术 VPN 是在开放的Internet环境中通信,通信的内容 可能被窃取,为了保证数据的安全性,VPN中通常 采用加密、认证、密钥交换与管理等技术来
9、保证传 输数据的安全。 (1)认证技术。 (2)加密技术。 (3)密钥交换和管理。 12.2.3 VPN的分类 VPN技术本身非常复杂,使用也比较灵活,故可以 应用到多种不同的场合。平时见到的VPN种类繁多 ,为了便于读者明白清楚各种不同的说法,下面讨 论几种主要的划分方法。 1根据应用范围划分 按照这种划分方式,可以将VPN划分为远程接入 VPN(Accesss VPN)、Intranet VPN和 Extranet VPN等3种。远程接入VPN用于实现 SOHO(Small Office and Home Office的缩写, 也称家庭办公族)用户或远程办公安全访问公司内 部网络的需要。应
10、用的场合可以在商家要提供B2C 的安全访问实现SOHO办公。 Access VPN (1)Access VPN通过一个拥有与专用网络相同策 略的设施,提供对企业内部网或外部网的远程访问 。Access VPN能让用户随时、随地以任何方式接 入Internet访问公司内部资源,如图12.1所示。 图12.1 Access VPN结构示意图 Intranet VPN 越来越多的大企业需要在全国乃至世界范围内建立 分公司,各个分公司之间使用传统的网络连接方式 访问公司内部网络资源显然不安全。利用VPN在 Internet上组建全国甚至世界范围内的Intranet VPN网络,可以很好地解决安全和费用
11、的问题,如 图12.2所示。 图12.2 Intranet VPN结构示意图 Extranet VPN (3)Extranet VPN用于企业与客户、厂商联盟之 间或者是企业与银行建立安全的互联网络。随着 Internet的迅猛发展,各个企业越来越重视通过 Internet给客户提供快捷方便的各种服务,同时了 解客户的需要;并且企业之间、企业与银行之间通 过Internet的合作关系也越来越紧密。利用VPN技 术可以组建安全的Extranet,既可以向客户、合作 伙伴和银行等提供快捷的通信服务,又可以保证整 个网络的安全,如图12.3所示。 Extranet VPN 2按照接入方式划分 在组建
12、VPN网络时,根据用户计算机或网络连接到ISP的方 式,可分为两种类型。 (1)专线VPN。通过专用线路连接到ISP,如DDN、帧中 继等都是专线连接。 (2)拨号接入VPN。简称VPDN,使用拨号连接到ISP(如 模拟电话、ISDN和ADSL等),是目前主流的连接方式。 图12.3 Extranet VPN结构示意图 3按隧道协议划分 按隧道协议的网络分层,VPN可划分为第2层隧道 协议和第3层隧道协议。PPTP、L2P和L2TP都属 于第2层隧道协议,IPSec属于第3层隧道协议, MPLS则跨越了第2层和第3层。但是实际上,VPN 的实现往往将第2层和第3层协议配合使用,以达到 更高的安
13、全等级,如L2TP/IPSec。当然,还可根 据具体的协议来进一步划分VPN类型,如PPTP VPN、L2TP VPN、IPSec VPN和MPLS VPN等。 12.2.4 VPN服务器的配置 前面介绍了VPN的基本概念和相关技术,下面将介 绍如何在Windows Server 2008服务器上创建VPN 服务器,以实现Windows VPN网络的应用。 Windows Server 2008对VPN的配置提供了向导程 序,所以配置VPN服务非常简单,可以按照以下的 步骤来完成。 VPN服务器的配置 1、添加路由和远程访问角色并配置VPN服务器 选择“开始 | 管理工具 | 服务器管理器”,
14、 如图12.4 所示。单击“添加角色”,打开“添加角色向导”如图 12.5所示。 图12.5 添加角色向导 图12.4 服务器管理器 VPN服务器的配置 (2)单击“下一步”,在出现的“选择服务器角色” 对话框的角色列表中选择“网络策略与服务”,然后 单击“下一步”,如图12.6所示。 图12.6 选择角色 VPN服务器的配置 (3)单击“下一步”按钮,在出现的“选择角色服务 ”对话框中的角色服务栏中点击选择“路由和远程访 问服务”,如图12.7所示。 图12.7 选择角色服务对框 VPN服务器的配置 (4)单击“下一步”,在出现如图12.8所示的“确认 安装选择”对话框中,单击“安装”按钮,
15、出现正在 安装“网络策略和访问服务”安装进度对话框,如图 12.9所示。安装完毕出现如图12.10所示的安装结 果对话框。 图12.8确认安装选择对话框 VPN服务器的配置 图12.9网络策略和访问服务安装进度图12.10安装结果 VPN服务器的配置 (5) 单击“关闭”按钮,返回“服务器管理器”对话框 ,可以看到角色摘要下显示“网络策略和访问服务” 已安装,如图12.11所示.然后展开 “网络策略和访问 服务”如图12.12所示。 图12.11服务器管理器 VPN服务器的配置 图12.12展开”网络策略和访问服务”显示情况 VPN服务器的配置 (6) 右击“网络策略和访问”在出现的菜单条中选
16、择“ 配置并启用路由和远程访问”,如图12.13所示,出 现如图12.14所示”“路由和远程访问服务器安装向 导”对话框。 图12.13配置并启用路由和远程访问图12.14路由和远程访问服务器安装向导 VPN服务器的配置 (7)在出现的“路由和远程访问服务器安装向导” 窗口中单击“下一步”按钮,进入服务选择窗口,如 图12.15所示。这里是要使用VPN服务器,选择第 三项,然后连续单击“下一步”按钮 图12.15路由和远程访问服务器服务配置 VPN服务器的配置 (8)向导弹出如图12.16所示的窗口,选择其中一 个连接,这里选择“本地连接2”,单击“下一步”, 在出现的如图12.17所示的对话框中选择
