基于rras與虛擬專用網技術在windows中的實現(xiàn)

1、<p>　　基于RRAS與虛擬專用網技術在Windows中的實現(xiàn)</p><p>　　摘要:RRAS和Windows 虛擬專用網技術不但可以方便的實現(xiàn)遠程企業(yè)用戶同企業(yè)內部網絡用戶之間的安全可靠連接,而且能夠以最低的成本確保企業(yè)高效的數(shù)據(jù)傳輸,因此,通過RRAS和虛擬專用網連接技術在Windows中來實現(xiàn)網絡的安全訪問能夠解決Windows網絡面臨的一系列安全問題。 </p><p&

2、gt;　　關鍵詞:RRAS Windows 虛擬專用網技術 安全 </p><p>　　虛擬專用網是公共數(shù)據(jù)網的一種類型,但可以方便的讓企業(yè)外地用戶直接連接到企業(yè)的內部網絡。虛擬專用網可以跨專用網絡或公用網絡(如Internet)創(chuàng)建安全的點對點連接,極大地降低了企業(yè)用戶的費用,而且提供了很強的安全性和可用性。虛擬專用網中采用了一些網絡安全機制,如隧道技術、認證技術、加密技術、解密技術以及密鑰管理技術等,這些網絡

3、安全技術能夠確保各種數(shù)據(jù)在公用網絡中傳輸時不被非法用戶獲取,即便被竊取也無法讀取數(shù)據(jù)包中的有效信息。 </p><p>　　1 構建RRAS服務 </p><p>　　RRAS也叫路由和遠程訪問服務,通過將“路由和遠程訪問”配置為充當遠程訪問服務器,可以將企業(yè)的遠程工作人員或流動工作人員連接到企業(yè)內部網絡上,遠程用戶可以像其計算機物理連接到企業(yè)內部網絡上一樣進行資源共享和數(shù)據(jù)交換。雖然現(xiàn)在

4、很多企業(yè)網絡組建都采用了VPN技術,但是基本上是基于網絡硬件設備的,比如銳捷硬件VPN、路由器等,而利用Windows Server 2003內置的RRAS組建VPN網絡價格低廉、管理方便、性能良好,而且容易維護。 </p><p>　　利用路由和遠程訪問連接的用戶可以使用企業(yè)內網的所有服務,其中包括文件服務的共享、企業(yè)打印機共享、企業(yè)Web服務的訪問和郵件服務及數(shù)據(jù)庫服務的訪問。例如,在運行“路由和遠程訪問”的

5、服務器上,客戶端可以使用Windows資源管理器來建立驅動器連接和連接到打印機。由于遠程訪問完全支持驅動器號和統(tǒng)一資源定位器UNC名稱,因此連接到企業(yè)內網的外部用戶的大多數(shù)應用程序不必進行修改即可直接使用職稱論文。 </p><p>　　RRAS是Windows Server 2003的默認Windows組件,其初始狀態(tài)為停用,因此在構建RRAS之前必須將其激活,只有在RRAS管理控制臺中服務器上的箭頭變?yōu)榫G色的

6、向上箭頭,才表明此RRAS服務已經被激活,激活狀態(tài)如下圖所示: </p><p>　　2 配置遠程訪問服務器 </p><p>　　2.1 遠程訪問服務器屬性的配置 </p><p>　　2.1.1 常規(guī)屬性設置 在Windows Server 2003的路由和遠程訪問服務中,可以使該服務器作為一個路由器或者是一個遠程訪問服務器。當作為路由器時,它可以作為企業(yè)網和因

7、特網之間的一座橋梁,因此可以通過選中“遠程訪問服務器”復選框來改變該服務器的角色,使其成為一臺VPN服務器。 </p><p>　　2.1.2 安全設置 VPN始終是通過公用網絡如Internet在VPN客戶端與服務器之間建立的邏輯連接。為了確保隱私安全,必須對通過該連接發(fā)送的數(shù)據(jù)進行加密。RRAS中的安全信息包括身份驗證方法和記賬提供程序。身份驗證方法包括默認的Windows身份驗證和RADIUS身份驗證,服務

8、器通過一系列的驗證方法對遠程系統(tǒng)進行身份驗證。 </p><p>　　2.1.3 遠程用戶IP設置 遠程VPN客戶必須通過IP地址連接到服務器從而訪問企業(yè)網絡,通過IP設置可以給遠程客戶機指派IP地址。一般通過兩種方法來指派:第一種是利用企業(yè)網絡內部的DHCP服務器動態(tài)的分配IP地址,另一種方法是指定某個范圍的靜態(tài)地址池,其中“啟用IP路由”可以使遠程企業(yè)用戶訪問到此遠程訪問服務器所連接的整個企業(yè)內部網絡。<

9、;/p><p>　　2.2 遠程訪問服務器端口的配置 在企業(yè)網絡遠程訪問過程中,網絡設備是建立點到點連接所使用端口的硬件或軟件,而端口是用來支持單個點對點連接的設備的信道,在路由和遠程訪問管理控制臺中可以監(jiān)視和管理各種端口,而且可以更改各端口的配置,例如:對WAN微型端口(PPTP)和(L2TP)的數(shù)量的更改。在WAN微型端口(PPTP)中,“遠程訪問連接(僅入站)”是為企業(yè)用戶啟用遠程訪問,“請求撥號路由選擇連接(

10、入站和出站)”是為企業(yè)用戶啟用請求撥號路由。 </p><p>　　2.3 用戶撥入的配置 企業(yè)遠程訪問服務器同時也具備域控制器的功能,它是通過“Active Directory 用戶和計算機”來管理企業(yè)遠程客戶的,而它所管理的用戶對象屬性中存在“撥入”選項卡,“撥入”屬性可以允許或禁止遠程企業(yè)用戶連接到企業(yè)內部服務器上。其中“回撥選項”可以為遠程用戶撥入實現(xiàn)多種不同的功能,當用戶撥號到企業(yè)RRAS服務器后,只要

11、賬戶正確就允許與企業(yè)網絡建立連接,則選擇“不回撥”;當遠程企業(yè)用戶撥入到RRAS服務器后,輸入正確的賬戶,服務器會要求用戶輸入回撥的電話號碼,然后掛斷電話,并由服務器對用戶進行撥號,為遠程用戶節(jié)省電話費用,則選擇“由呼叫方設置(僅路由和遠程訪問服務)”。 </p><p>　　由于企業(yè)的規(guī)模各不相同,因此企業(yè)內部節(jié)點數(shù)量和網絡帶寬等也不同,當遠程客戶端通過VPN連接自動獲取到一個和企業(yè)內網同一網段的IP地址后,就

12、可以像在公司內部一樣安全、方便、快速、高效地與Intranet交換機密的商務信息,從而實現(xiàn)企業(yè)網絡用戶跨因特網的安全訪問。 </p><p><b>　　參考文獻: </b></p><p>　　[1]Ivan Pepelnjak Jim Guichard. MPLS和VPN體系結構[M].北京:人民郵電出版社,2004. </p><p>　

13、　[2](美)羅等,劉偉琴,米強譯.第二層VPN體系結構[M].北京:人民郵電出版社,2006. </p><p>　　[3]徐祗祥.Windows網絡服務[M].北京:科學技術文獻出版社,2008. </p><p>　　[4]瑪尼爾(Ruest,D.),尼爾森(Ruest,N.).Windows Server 2003企業(yè)部署原理與實踐[M].北京:清華大學出版社,2006.遠程訪問服

14、務器可以根據(jù)企業(yè)自身的狀況選擇以下三種不同的方式來部署: </p><p>　　2.3.1 單接口VPN服務器。此時用企業(yè)的核心路由器或硬件防火墻負責轉發(fā)IP數(shù)據(jù)包到因特網并對外網提供各種服務,企業(yè)客戶端在呼叫服務器時的地址就是核心路由器或硬件防火墻的公網地址。 </p><p>　　2.3.2 雙接口VPN服務器。適用于企業(yè)網絡中具有多個公網地址。這種方式可以減少核心路由器或者硬件防火墻

15、的網絡負載,因為雙接口VPN服務器網絡中,客戶端直接通過VPN服務器訪問企業(yè)內部網絡。 </p><p>　　2.3.3 代理服務器做VPN服務器。如果企業(yè)原先通過代理服務器構建企業(yè)網絡,可以在代理服務器上啟用VPN服務器,或者是直接采用ISA Server作為代理服務器,在ISA Server上啟用VPN服務器并且代替原來的防火墻與路由器。 </p><p>　　3 構建遠程客戶機的網絡

16、連接 </p><p>　　虛擬專用網絡VPN客戶端能使用“點對點隧道協(xié)議”(PPTP)、“第二層隧道協(xié)議”(L2TP) 和“IP安全協(xié)議(IPSec)”來創(chuàng)建一個通往VPN服務器的安全隧道。通過這種方法,客戶端就變成了專用網絡上的一個遠程節(jié)點。PPTP是一種常用的VPN協(xié)議,它使用支持56位密鑰的MPPE增強加密方式,因此非常安全,而且易于進行配置和維護。在純microsoft環(huán)境和混合環(huán)境中,基于PPTP的V