微软系统工程师、微软企业架构专家课程网络访问(VPN).ppt

,微软系统工程师、微软企业架构专家课程（13期）,第八次课程,网络访问,概述,网络访问结构配置VPN连接 配置拨号连接 配置用户访问网络使用IAS集中管理网络访问验证和策略,课程:介绍 NA 结构,NA 组件 NA服务器配置要求网络访问客户端网络访问验证和授权可用的验证方法,网络访问基础组成,Network Access Server,IASServer,DHCP Server,DomainController,网络访问服务网络访问客户端身份验证服务Active Directory（不必填）,Dial-up Client,Wireless Access Point,Wireless Client,VPN Client,配置网络访问服务的必要条件,配置网络访问服务器,需要了解:,验证的方法 客户端访问 IP 地址分配PPP 配置选项登录日志参数,网络访问服务器在网络中充当客户端的网关,网络访问客户端,网络访问的认证和授权,Network Access Server,Network Access Client,Domain Controller,1,2,1,2,验证方式,Remote and wireless authentication methods include:,Recommended method for user authentication is by using smart card certificates,PAP：纯文本（明文）密码，最不安全SPAP：Shiva双向可逆加密机制，不安全CHAP：查问-响应身份验证协议。采用MD5单向加密。高安全性MS-CHAP：MS 的CHAPMS-CHAPv2：MS 的CHAP 版本2。MS-CHAPv2是最安全的身份验形式。eap 参数指定远程访问服务器应使用“扩展身份验证协议”,课程:配置 VPN 连接,VPN 连接工作原理 VPN 连接组建VPN 连接加密协议配置 VPN 服务器的必要条件 如何配置 RAS 服务器为 VPN 连接如何配置远程客户端 VPN 连接 如何配置智能卡验证在 RAS 上,DomainController,VPN Client,VPN Server,VPN 如何连接,VPN 扩展了私有网络包括连接到共享、公共网络如 Internet,在公共网络中仿真成点到点的模式,VPN 连接的组件,VPN 隧道Tunneling ProtocolsTunneled Data,VPN Client,VPN Server,Address and Name Server Allocation,DHCPServer,DomainController,Authentication,VPN 连接的加密协议,Examples of Remote Access Server,VPN Server的必要条件,添加远程访问/VPN server:,使用哪个接口连接 Internet 和连接私有网络 客户端从 DHCP 服务器获取 IP 或者从 VPN 获取IP使用 RADIUS 或者 VPN 服务器验证,如何为 VPN连接配置一个 RAS服务器,DEMO:,配置RAS提供 VPN 连接配置端口数,为远程客户端配置一个VPN 连接,Your instructor will demonstrate how to configure a remote access client for a VPN connection,课程:配置一个拨号连接,拨号网络如何工作拨号连接组成 拨号连接验证模式 使用 RAS配置拨号连接 配置远处访问客户端拨号连接,拨号网络工作原理,DomainController,Dial-up Client,拨号网络 服务给远程客户端提供一个端口远程客户端通过一个零时的拨号连接访问远程服务器,Remote Access Server,拨号连接组件,Authentication methods for dial-up include:,拨号连接验证模式,Remote Access Server,Remote Access User,Strongest method:EAP-TLS with smart cards,Mutual Authentication,配置 RAS 服务器,在添加远程拨号服务器前:,IP 地址分配方法身份验证方法配置用户帐号拨入,配置 RAS,Demo 拨号服务器,远程客户端拨号连接,Demo:,配置远程拨号连接 修改设置,课程:控制用户访问网络,用户帐号拨入许可配置用户帐号网络访问 远程访问策略 远程访问策略实现 如何配置远程访问策略,用户帐号拨入许可,使用拨入配置属性控制远程客户端拨入许可:,远程访问许可 检验拨入号码 回拨选项 分配静态IP地址 应用静态路由,配置用户帐号访问网络,Demo:,提高域级别Windows 2000 纯模式下配置用户帐号拨入许可,远程访问策略,远程访问策略组成:,条件.远程访问许可.配置文件.RAS服务器上配置,远程访问策略,远程访问用户,远程访问策略流程,是否有策略允许?,START,连接尝试并匹配策略条件？,Yes,拒绝连接尝试,将忽略用户拨入属性属性设置为 false?,远程访问权限设置为拒绝访问?,Yes,Yes,No,No,转到下一个策略,No,用户帐户，远程访问权限设置为拒绝访问？,Yes,用户帐户，远程访问权限设置为允许访问?,连接尝试并匹配用户帐户和配置文件设置,Yes,Yes,接受的连接尝试,拒绝连接尝试,No,No,Yes,No,No,如何配置远程访问策略,Demo:,配置远程访问策略配置新的条件,How to Configure a Remote Access Policy Profile,Your instructor will demonstrate how to configure a remote access policy profile,练习:控制用户访问网络,创建远程访问策略和配置文件,课程:使用 IAS 统一验证网络访问和策略管理,RADIUS?IAS?网络访问集中身份验证配置 IAS 服务器实现网络验证 配置远程访问服务使用 IAS 验证,What Is RADIUS?,RADIUS 普遍使用的协议,工业标准,是一个C/S的模式,用来对网络访问集中验证、授权、记账,RADIUS VPN,拨号,无线网络验证标准RADIUS 集中管理多种网络访问 RADIUS 从RADIUS 客户端和代理接收连接请求或者记帐信息,IAS?,IAS,Windows Server 2003 的组件,工业标准的 RADIUS server.IAS 完成集中的验证,授权,记账,包括 VPN,dial-up,和无线连接,集中验证,RADIUS Server,RADIUS Client,Client,Domain Controller,Remote Access Server,配置 IAS Server 网络验证,Demo:,配置 IAS server,配置RAS 使用IAS验证,Demo,练习:使用 IAS 集中管理验证,添加 VPN server 配置 RADIUS 服务器配置RADIUS 客户端,试验 A:配置网络访问,配置网络访问,