远程访问和VPN_虚拟专用网教程.pptVIP

远程访问和VPN 用户连接到网络的方式 PSTN() ISDN X.25 直接连接 VPN 数据传输通信协议 远程访问通信协议 PPP（point-to-point Protocol） SLIP（Serial Line Internet Protocol） Mcrosoft RAS Protocol AppleTalk Remote Access Protocol 局域网通信协议 TCP/IP /NetBEUI /NWlink IPX/SPX /AppleTalk 拨号 VPN VPN原理 PPTP VPN设置 L2TP VPN-使用IPSec证书 L2TP VPN-使用“预共享密钥” 支持的两种VPN协议 PPTP（Point-to-Point Tunneling Protocol） 只有IP网络才能建立PPTP的VPN。其他协议会被封装到PPP数据包内，通过IP网络传送；到达目的地后，再由远程的VPN服务器将其还原 加密采用Microsoft Point-to-Point Encryption算法 L2TP（Layer Two Tunneling Protocol） 还具有身份验证、加密、数据压缩的功能。 验证和加密都采用IPSec PPTP 端口 TCP 1723；L2TP端口UDP 1701 。同时要在防火墙上允许IP ? protocol ? 47,50,51。 VPN应用场合 PPTP VPN设置 架设VPN服务器 给予用户远程访问的权限 在VPN客户端建立Internet连接 在VPN客户端建立VPN拨号连接 VPN客户端连接上Internet并建立PPTP VPN L2TP VPN—使用IPSec证书 L2TP需要使用IPsec提供身份验证、信息加密等功能。客户端和服务器会自动启动IPSec策略。 IPSec验证计算机身份的方法有： kerberos 证书 共享密钥（preshared key） windows2003支持“证书”和“共享密钥”两种。 “共享密钥”无需向CA申请证书，设置简单，但安全性不及证书方式。/ 堂品网 验证用户身份的协议 PAP（Password Anthentication Protocol） 以明文方式传递账户名和密码 SPAP（ Shiva Password Anthentication Protocol ） CHAP（challenge Handshake Anthentication Protocol ） 采用MD5加密方式，比SPAP、PAP更安全 MS-CHAP（） 采用MPPE（Microsoft Point-to-Point Encryption)加密，前三个更安全。针对Windows系统。 验证身份时支持用户修改密码功能 不仅将密码加密，而且将数据加密 MS-CHAP v2 不但可以让远程访问服务器验证用户的身份，可以让用户来确认所连接是正确的远程访问服务器 EAP（Extended Authentication Protocol） 允许自定义验证方法。 （一） 配置端口 在第一部分启用VPN访问选项之后，在端口中就已经有了PPTP和L2TP端口，默认情况下各自分配了128个，可以根据实际情况自行调整数量，调整方法是右击端口项进入属性窗口，双击其中的L2TP端口进行调整。现在你还可以保留一定量的PPTP端口，因为后面申请证书时可能要用，如果不需要PPTP端口，把它的数量设置为0。 （二）配置VPN客户端要使用的IP范围 右击服务器图标进入属性窗口，选择IP标签，在IP地址指派栏选择静态地址池，添加一段静态IP。之所以不用DHCP分配IP，是因为静态IP范围更容易识别VPN客户端。 （三）启用用户拨入权限或创建远程访问策略 要启用用户拨入权限，如果是域，请在AD用户和计算机管理工具中右击相应用户，在属性窗口中选择拨入标签，在远程访问权限中选择允许访问或通过远程访问策略控制访问（如图5），如果不用域帐户验证，就在VPN服务器的计算机管理工具下的本地用户和组中启用用户的拨入权限。如果上面选择的是通过远程访问策略控制访问（此选项只有域是windows 2003本地模式时才会启用），可以再创建一个组，以包含所有有远程拨入权限的用户，然后进入路由与远程访问窗口，右击远程访问策略，新建一个远程访问策略，在访问方法中选择VPN项，用户或组访问中选择刚创建的组，在身份验证方法中默认选择了MS-CHAPv2，也可以把MS-CHAP选上，在策略加密级别中默认全部都选上了的，这是因为以前的操作系统版本可能不支持高位加密，这里根据客户端情况选择。 L2TP-IPSec VPN建立步骤 1， 启用路由与远程访问 2， 配置VPN 3， 安装独立根CA 4， 为VPN服务器安装服务器