12-6深入理解远程访问策略..docVIP

深入理解远程访问策略 在虚拟专用网络（VPN）连接基础一文中我们曾经提及，你可以通过以下两种方式来控制用户的远程拨入： 在用户账户的拨入属性中设置为允许访问或拒绝访问来显式控制VPN客户的远程拨入； 在用户账户的拨入属性中设置为通过远程访问策略控制访问，然后创建远程访问策略来控制用户的远程拨入。 那么，它们之间有什么区别呢？ 它们之间的主要区别在于：显式控制方式只能针对单个用户进行设置，而通过远程访问策略控制访问可以针对多个用户或用户组进行设置。 远程访问策略（RAP）是定义是否授权VPN客户远程访问的一系列规则集合，每个RAP具有一个或多个匹配条件、一组配置文件设置和一个远程访问权限设置。 如果设置为通过远程访问策略控制访问，当VPN客户发起连接请求时，VPN服务器按照优先级顺序（顺序值 越低的RAP具有越高的优先级）对RAP进行评估，并且应用第一个匹配VPN客户连接请求的RAP中的授权设置。当VPN客户的连接请求匹配某个远程访问 策略的所有匹配条件时，VPN服务器根据此远程访问策略的授权设置来决定是否允许VPN客户的拨入，并且根据此RAP的配置文件来决定如何处理此VPN客 户的远程拨入。 如果使用显式控制方式，当VPN客户发起连接请求时，VPN服务器只是根据发起连接请求的用户账户的拨入属性来简单的允许或拒绝VPN客户的远程访问。而采用通过远程访问策略控制访问时，VP