基于rras與虛擬專用網(wǎng)技術(shù)在windows中的實現(xiàn)

1、<p>　　基于RRAS與虛擬專用網(wǎng)技術(shù)在Windows中的實現(xiàn)</p><p>　　摘要:RRAS和Windows 虛擬專用網(wǎng)技術(shù)不但可以方便的實現(xiàn)遠(yuǎn)程企業(yè)用戶同企業(yè)內(nèi)部網(wǎng)絡(luò)用戶之間的安全可靠連接,而且能夠以最低的成本確保企業(yè)高效的數(shù)據(jù)傳輸,因此,通過RRAS和虛擬專用網(wǎng)連接技術(shù)在Windows中來實現(xiàn)網(wǎng)絡(luò)的安全訪問能夠解決Windows網(wǎng)絡(luò)面臨的一系列安全問題。 </p><p&

2、gt;　　關(guān)鍵詞:RRAS Windows 虛擬專用網(wǎng)技術(shù) 安全 </p><p>　　虛擬專用網(wǎng)是公共數(shù)據(jù)網(wǎng)的一種類型,但可以方便的讓企業(yè)外地用戶直接連接到企業(yè)的內(nèi)部網(wǎng)絡(luò)。虛擬專用網(wǎng)可以跨專用網(wǎng)絡(luò)或公用網(wǎng)絡(luò)(如Internet)創(chuàng)建安全的點對點連接,極大地降低了企業(yè)用戶的費用,而且提供了很強的安全性和可用性。虛擬專用網(wǎng)中采用了一些網(wǎng)絡(luò)安全機制,如隧道技術(shù)、認(rèn)證技術(shù)、加密技術(shù)、解密技術(shù)以及密鑰管理技術(shù)等,這些網(wǎng)絡(luò)

3、安全技術(shù)能夠確保各種數(shù)據(jù)在公用網(wǎng)絡(luò)中傳輸時不被非法用戶獲取,即便被竊取也無法讀取數(shù)據(jù)包中的有效信息。 </p><p>　　1 構(gòu)建RRAS服務(wù) </p><p>　　RRAS也叫路由和遠(yuǎn)程訪問服務(wù),通過將“路由和遠(yuǎn)程訪問”配置為充當(dāng)遠(yuǎn)程訪問服務(wù)器,可以將企業(yè)的遠(yuǎn)程工作人員或流動工作人員連接到企業(yè)內(nèi)部網(wǎng)絡(luò)上,遠(yuǎn)程用戶可以像其計算機物理連接到企業(yè)內(nèi)部網(wǎng)絡(luò)上一樣進行資源共享和數(shù)據(jù)交換。雖然現(xiàn)在

4、很多企業(yè)網(wǎng)絡(luò)組建都采用了VPN技術(shù),但是基本上是基于網(wǎng)絡(luò)硬件設(shè)備的,比如銳捷硬件VPN、路由器等,而利用Windows Server 2003內(nèi)置的RRAS組建VPN網(wǎng)絡(luò)價格低廉、管理方便、性能良好,而且容易維護。 </p><p>　　利用路由和遠(yuǎn)程訪問連接的用戶可以使用企業(yè)內(nèi)網(wǎng)的所有服務(wù),其中包括文件服務(wù)的共享、企業(yè)打印機共享、企業(yè)Web服務(wù)的訪問和郵件服務(wù)及數(shù)據(jù)庫服務(wù)的訪問。例如,在運行“路由和遠(yuǎn)程訪問”的

5、服務(wù)器上,客戶端可以使用Windows資源管理器來建立驅(qū)動器連接和連接到打印機。由于遠(yuǎn)程訪問完全支持驅(qū)動器號和統(tǒng)一資源定位器UNC名稱,因此連接到企業(yè)內(nèi)網(wǎng)的外部用戶的大多數(shù)應(yīng)用程序不必進行修改即可直接使用職稱論文。 </p><p>　　RRAS是Windows Server 2003的默認(rèn)Windows組件,其初始狀態(tài)為停用,因此在構(gòu)建RRAS之前必須將其激活,只有在RRAS管理控制臺中服務(wù)器上的箭頭變?yōu)榫G色的

6、向上箭頭,才表明此RRAS服務(wù)已經(jīng)被激活,激活狀態(tài)如下圖所示: </p><p>　　2 配置遠(yuǎn)程訪問服務(wù)器 </p><p>　　2.1 遠(yuǎn)程訪問服務(wù)器屬性的配置 </p><p>　　2.1.1 常規(guī)屬性設(shè)置 在Windows Server 2003的路由和遠(yuǎn)程訪問服務(wù)中,可以使該服務(wù)器作為一個路由器或者是一個遠(yuǎn)程訪問服務(wù)器。當(dāng)作為路由器時,它可以作為企業(yè)網(wǎng)和因

7、特網(wǎng)之間的一座橋梁,因此可以通過選中“遠(yuǎn)程訪問服務(wù)器”復(fù)選框來改變該服務(wù)器的角色,使其成為一臺VPN服務(wù)器。 </p><p>　　2.1.2 安全設(shè)置 VPN始終是通過公用網(wǎng)絡(luò)如Internet在VPN客戶端與服務(wù)器之間建立的邏輯連接。為了確保隱私安全,必須對通過該連接發(fā)送的數(shù)據(jù)進行加密。RRAS中的安全信息包括身份驗證方法和記賬提供程序。身份驗證方法包括默認(rèn)的Windows身份驗證和RADIUS身份驗證,服務(wù)

8、器通過一系列的驗證方法對遠(yuǎn)程系統(tǒng)進行身份驗證。 </p><p>　　2.1.3 遠(yuǎn)程用戶IP設(shè)置 遠(yuǎn)程VPN客戶必須通過IP地址連接到服務(wù)器從而訪問企業(yè)網(wǎng)絡(luò),通過IP設(shè)置可以給遠(yuǎn)程客戶機指派IP地址。一般通過兩種方法來指派:第一種是利用企業(yè)網(wǎng)絡(luò)內(nèi)部的DHCP服務(wù)器動態(tài)的分配IP地址,另一種方法是指定某個范圍的靜態(tài)地址池,其中“啟用IP路由”可以使遠(yuǎn)程企業(yè)用戶訪問到此遠(yuǎn)程訪問服務(wù)器所連接的整個企業(yè)內(nèi)部網(wǎng)絡(luò)。<

9、;/p><p>　　2.2 遠(yuǎn)程訪問服務(wù)器端口的配置 在企業(yè)網(wǎng)絡(luò)遠(yuǎn)程訪問過程中,網(wǎng)絡(luò)設(shè)備是建立點到點連接所使用端口的硬件或軟件,而端口是用來支持單個點對點連接的設(shè)備的信道,在路由和遠(yuǎn)程訪問管理控制臺中可以監(jiān)視和管理各種端口,而且可以更改各端口的配置,例如:對WAN微型端口(PPTP)和(L2TP)的數(shù)量的更改。在WAN微型端口(PPTP)中,“遠(yuǎn)程訪問連接(僅入站)”是為企業(yè)用戶啟用遠(yuǎn)程訪問,“請求撥號路由選擇連接(

10、入站和出站)”是為企業(yè)用戶啟用請求撥號路由。 </p><p>　　2.3 用戶撥入的配置 企業(yè)遠(yuǎn)程訪問服務(wù)器同時也具備域控制器的功能,它是通過“Active Directory 用戶和計算機”來管理企業(yè)遠(yuǎn)程客戶的,而它所管理的用戶對象屬性中存在“撥入”選項卡,“撥入”屬性可以允許或禁止遠(yuǎn)程企業(yè)用戶連接到企業(yè)內(nèi)部服務(wù)器上。其中“回?fù)苓x項”可以為遠(yuǎn)程用戶撥入實現(xiàn)多種不同的功能,當(dāng)用戶撥號到企業(yè)RRAS服務(wù)器后,只要

11、賬戶正確就允許與企業(yè)網(wǎng)絡(luò)建立連接,則選擇“不回?fù)堋?當(dāng)遠(yuǎn)程企業(yè)用戶撥入到RRAS服務(wù)器后,輸入正確的賬戶,服務(wù)器會要求用戶輸入回?fù)艿碾娫捥柎a,然后掛斷電話,并由服務(wù)器對用戶進行撥號,為遠(yuǎn)程用戶節(jié)省電話費用,則選擇“由呼叫方設(shè)置(僅路由和遠(yuǎn)程訪問服務(wù))”。 </p><p>　　由于企業(yè)的規(guī)模各不相同,因此企業(yè)內(nèi)部節(jié)點數(shù)量和網(wǎng)絡(luò)帶寬等也不同,當(dāng)遠(yuǎn)程客戶端通過VPN連接自動獲取到一個和企業(yè)內(nèi)網(wǎng)同一網(wǎng)段的IP地址后,就

12、可以像在公司內(nèi)部一樣安全、方便、快速、高效地與Intranet交換機密的商務(wù)信息,從而實現(xiàn)企業(yè)網(wǎng)絡(luò)用戶跨因特網(wǎng)的安全訪問。 </p><p><b>　　參考文獻: </b></p><p>　　[1]Ivan Pepelnjak Jim Guichard. MPLS和VPN體系結(jié)構(gòu)[M].北京:人民郵電出版社,2004. </p><p>　

13、　[2](美)羅等,劉偉琴,米強譯.第二層VPN體系結(jié)構(gòu)[M].北京:人民郵電出版社,2006. </p><p>　　[3]徐祗祥.Windows網(wǎng)絡(luò)服務(wù)[M].北京:科學(xué)技術(shù)文獻出版社,2008. </p><p>　　[4]瑪尼爾(Ruest,D.),尼爾森(Ruest,N.).Windows Server 2003企業(yè)部署原理與實踐[M].北京:清華大學(xué)出版社,2006.遠(yuǎn)程訪問服

14、務(wù)器可以根據(jù)企業(yè)自身的狀況選擇以下三種不同的方式來部署: </p><p>　　2.3.1 單接口VPN服務(wù)器。此時用企業(yè)的核心路由器或硬件防火墻負(fù)責(zé)轉(zhuǎn)發(fā)IP數(shù)據(jù)包到因特網(wǎng)并對外網(wǎng)提供各種服務(wù),企業(yè)客戶端在呼叫服務(wù)器時的地址就是核心路由器或硬件防火墻的公網(wǎng)地址。 </p><p>　　2.3.2 雙接口VPN服務(wù)器。適用于企業(yè)網(wǎng)絡(luò)中具有多個公網(wǎng)地址。這種方式可以減少核心路由器或者硬件防火墻

15、的網(wǎng)絡(luò)負(fù)載,因為雙接口VPN服務(wù)器網(wǎng)絡(luò)中,客戶端直接通過VPN服務(wù)器訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。 </p><p>　　2.3.3 代理服務(wù)器做VPN服務(wù)器。如果企業(yè)原先通過代理服務(wù)器構(gòu)建企業(yè)網(wǎng)絡(luò),可以在代理服務(wù)器上啟用VPN服務(wù)器,或者是直接采用ISA Server作為代理服務(wù)器,在ISA Server上啟用VPN服務(wù)器并且代替原來的防火墻與路由器。 </p><p>　　3 構(gòu)建遠(yuǎn)程客戶機的網(wǎng)絡(luò)

16、連接 </p><p>　　虛擬專用網(wǎng)絡(luò)VPN客戶端能使用“點對點隧道協(xié)議”(PPTP)、“第二層隧道協(xié)議”(L2TP) 和“IP安全協(xié)議(IPSec)”來創(chuàng)建一個通往VPN服務(wù)器的安全隧道。通過這種方法,客戶端就變成了專用網(wǎng)絡(luò)上的一個遠(yuǎn)程節(jié)點。PPTP是一種常用的VPN協(xié)議,它使用支持56位密鑰的MPPE增強加密方式,因此非常安全,而且易于進行配置和維護。在純microsoft環(huán)境和混合環(huán)境中,基于PPTP的V