远程访问与VPN.ppt

远程访问与VPN 学习目标 了解远程访问的基本方式 了解VPN远程访问连接的组成元素 了解VPN的工作原理 掌握VPN服务器的配置 掌握VPN客户端的配置 远程访问概述 远程访问：通过透明的方式将位于本地网络以外（远程网络）位置上的特定计算机连接到本地网络中的一系列相关技术。 当启用远程访问时，远程客户可以通过远程访问技术像直接连接到本地网络一样来使用本地网络中的资源。 在Windows服务器操作系统中均包含了远程访问服务，它是作为路由和远程访问服务中的一个组件。 远程访问概述 远程访问服务支持远程访问客户端使用拨号网络连接和虚拟专用网络连接这两种方式的远程访问： 拨号网络：通过拨号远程访问方式，远程访问客户端可以利用电信基础设施（通常情况下为模拟电话线路）来创建通向远程访问服务器的临时物理电路或虚拟电路。一旦这种物理电路或虚拟电路被创建，其余连接参数将通过协商方式加以确定。 虚拟专用网络（VPN）：通过虚拟专用网络远程访问方式，VPN客户端可以通过IP网络（例如Internet）与充当VPN服务器的远程访问服务器建立虚拟点对点连接。一旦这种虚拟点对点连接被创建，其余连接参数将通过协商方式加以确定。 由于IP网络的流行，拨号网络连接远程访问方式已经基本不再使用。 　 　 VPN远程访问连接的组成元素 远程访问VPN客户端 可以是独立的计算机，也可以是建立站点到站点VPN连接的VPN服务器 远程访问VPN服务器 基于Windows服务器操作系统的远程访问服务器 支持的协议：能够接受基于PPTP或L2TP/IPSec的远程访问VPN连接，或者基于PPTP、L2TP/IPSec或IPSec隧道模式的站点到站点VPN连接 VPN承载链路 远程访问VPN客户端必须能够通过IP网络访问到远程访问VPN服务器，如果VPN服务器位于某个内部网络而VPN客户端位于Internet之上，那么必须在VPN服务器连接到Internet的网关上为VPN服务器做端口映射。 　 　 VPN隧道协议 VPN协议 端到端隧道协议（PPTP） 第二层隧道协议（L2TP） 对于站点到站点VPN连接，还可使用IPSec隧道模式 端到端隧道协议（PPTP） 是基于PPP协议开发的隧道协议，在Windows系统中广泛使用。PPTP首先在Windows NT 4.0中提供支持，并且随TCP/IP协议一起自动进行安装。 PPTP是对端到端协议（PPP）的一种扩展，它采用了PPP所提供的身份验证、压缩与加密机制，并且通过Microsoft端到端加密（MPPE）技术来对数据包进行加密、封装和隧道传输。 端到端隧道协议PPTP的特性 PPTP帧通过通用路由封装（Generic Routing Encapsulation，GRE，协议ID 47）报头和IP报头（TCP 1723）进行封装，在IP报头中提供了与VPN客户端和VPN服务器相对应的源IP地址和目标IP地址； 使用Microsoft端到端加密（MPPE）技术来对多种协议的数据包进行加密、封装和在IP网络上进行隧道传输； PPTP隧道连接协商身份验证、压缩与加密； PPTP支持VPN客户端IP地址的动态分配； MPPE使用RSA/RC4算法和40位、56位或128位的密钥进行加密； MPPE将通过由MS-CHAP、MS-CHAP v2或EAP-TLS身份验证过程所生成的加密密钥对PPP帧进行加密，因此为对PPP帧中所包含的有效数据进行加密，虚拟专用网络客户端必须使用MS-CHAP、MS-CHAP v2或EAP-TLS身份验证协议；PPTP将利用底层PPP加密功能并直接对原先经过加密的PPP帧进行封装； 初始加密密钥在用户身份验证时产生并且定期刷新； 在PPTP数据包中，只有数据负载才进行了加密。 如果使用PPTP协议的VPN客户端部署在NAT网关之后，那么要求NAT网关具有理解PPTP协议的NAT编辑器，否则VPN客户将不能创建VPN连接。目前的绝大部分NAT网关中都具有PPTP NAT编辑器，均可以很好的支持PPTP协议。 第二层隧道协议（L2TP） 第二层隧道协议（L2TP）是微软PPTP隧道协议和CISCO第二层转发协议（L2F）的结合体。 与PPTP利用MPPE进行数据包加密不同，L2TP依靠Internet协议安全性（IPSec）技术提供加密服务。 L2TP与IPSec的结合产物称为L2TP/IPSec，VPN客户端与VPN服务器都必须支持L2TP和IPSec才能使用L2TP/IPSec。L2TP将随同路由与远程访问服务一起自动进行安装。 在IPSec数据包基础上所进行的L2TP封装由两个层次组成： L2TP封装： PPP帧（IP或IPX数据包）将通过L2TP报头和UDP报头进