第12章 远程访问、NAT技术

本章的任务 了解远程访问技术、VPN技术的基本原理，选择合适的VPN类型 VPN服务器的架设 VPN客户连接到VPN服务器 了解NAT基本技术原理、NAT类型，选择合适的NAT类型 架设NAT服务器

12.1 VPN服务器架设

12.1.1 网络拓扑及需求 员工可能在出差期间或者在家时访问企业内部的服务器、各应用系统、网站，这就需要用到远程访问技术。将在WIN2008-3上配置远程访问，使得VPN客户端能够通过Internet拨入到企业的网络。

12.1.2 VPN简介 1. 两种类型的远程访问技术 拨号远程访问:远程访问客户端使用电信提供商的服务（例如模拟电话和 ISDN）与远程访问服务器上的物理端口建立非永久的拨号连接。基于模拟电话或 ISDN 的拨号网络是拨号网络客户端与拨号网络服务器之间的直接物理连接。这种方式因为速率较低、费用较高（MODEM的费用和通信费用）、安全性差，因此现在基本上不被采用

12.1.2 VPN简介 虚拟专用网络(VPN)： VPN 可以跨公用网络（例如 Internet）创建安全的点对点连接。VPN 客户端使用基于 TCP/IP 的特殊协议（称为隧道协议）对 VPN 服务器上的虚拟端口进行虚拟呼叫。虚拟专用网络的最佳示例是：VPN 客户端与连接到 Internet 的远程访问服务器建立 VPN 连接。远程访问服务器应答虚拟呼叫，对呼叫者进行身份验证，并在 VPN 客户端与公司网络之间传输数据。与拨号远程访问相反，VPN 始终是通过公用网络（例如 Internet）在 VPN 客户端与 VPN 服务器之间建立的逻辑间接连接。为了确保隐私安全，必须对通过该连接发送的数据进行加密。VPN使用时无附加费用、安全性好、速率较大（取决于Internet的速率），因此经常作为远程访问的技术手段。

VPN技术 模拟点对点链路，VPN使用隧道协议来封装数据。其基本思路是把一个数据包封装在另一个数据包中，就像把写有地址的一封信装在另一封信中一样。外部数据包的包头提供路由信息，使数据可以通过公用网络到达其终结点。为了保证数据在公网上的传输安全，对所发送的数据进行加密。封装并加密专用数据的链路称为 VPN 连接。

VPN的两种隧道协议 PPTP L2TP/Ipsec 所谓的VPN 隧道协议是指：将来自一种协议类型的数据包封装在其它协议的数据报内。例如，VPN 使用 PPTP 封装通过公用网络（例如 Internet）传输的 IP 数据包。

PPTP封装 PPTP 将 PPP 帧封装在 IP 数据报中，以便通过网络传输。PPTP 使用 TCP 连接进行隧道管理，使用修订版的通用路由封装 (GRE) 封装隧道数据的 PPP 帧。封装的 PPP 帧的有效负载可以加密、压缩或加密并压缩。

L2TP封装 L2TP 依靠 Internet 协议安全 (IPsec) 传输模式来提供加密服务。L2TP 和 IPsec 的组合称为 L2TP/IPsec。VPN 客户端和 VPN 服务器必须均支持 L2TP 和 IPsec。L2TP 的客户端支持内置在 Windows Vista® 和 Windows XP 远程访问客户端中，L2TP 的 VPN 服务器支持内置在 Windows Server® 2008 和 Windows Server 2003 系列的成员中。L2TP/IPsec 数据包的封装分为两层：第一层的L2TP 封装，PPP 帧（IP 数据报）使用 L2TP 标头和 UDP 标头封装。

使用 IPsec ESP 对 L2TP 通信进行加密 第二层的IPsec 封装使用 IPsec 封装安全有效负载 (ESP) 标头和尾端、提供消息完整性和身份验证的 IPsec 身份验证尾部以及最终的 IP 标头来封装生成的 L2TP 消息。IP 标头中是与 VPN 客户端和 VPN 服务器对应的源 IP 地址和目标 IP 地址。

12.1.3 VPN服务器配置

安装VPN服务

安装VPN服务

安装VPN服务

安装VPN服务

安装VPN服务

安装VPN服务

启用“路由和远程访问服务”

启用“路由和远程访问服务”

启用“路由和远程访问服务”

启用“路由和远程访问服务”

启用“路由和远程访问服务” 可选择如何对远程客户端分配IP地址的方法。如果选择“自动”选项，则VPN服务器将从安装在同一计算机上的DHCP服务器获得IP地址后再分配给客户端。

启用“路由和远程访问服务” IP地址应该是私有IP地址，并且不得和企业内部的地址段192.168.0.0/255.255.255.0在同一网段

启用“路由和远程访问服务” 用路由和远程访问来对连接请求进行身份验证”，这时用户名和密码存放于VPN服务器上或者VPN服务器所在域的域控制器上

启用“路由和远程访问服务” 在VPN服务器上，创建用户“user1”，并打开用户的“属性”窗口，选择“拨入”选项卡，选择“允许访问”选项，单击“确定”按钮保存。注意：不能要求user1用户下次登录时必须修改密码。

启用“路由和远程访问服务”

配置路由和远程访问服务 WIN2008-3上进行

配置路由和远程访问服务 Windows 身份验证：服务器使用本地帐户数据库或域帐户数据库来对远程访问连接或请求拨号连接的凭据进行身份验证。 RADIUS 身份验证：远程访问服务器使用远程身份验证拨入用户服务 (RADIUS) 服务器来对远程访问连接-或请求拨号连接的凭据进行身份验证。

自定义IPSec 策略 允许为 L2TP 连接允许自定义 IPSec 策略”选项：指定 L2TP 连接是否可以使用自定义 IPSec 策略。如果选中此复选框，必须指定预共享密钥，供使用此自定义 IPSec 策略的所有连接使用，VPN客户端计算机上也必须配置相同的共享密钥。需要重启路由和远程访问服务，预共享密码才生效。

身份认证方法 所谓的认证方法是：客户端要连接到服务器时，服务器要识别客户端是否合法，最简单的方式就是客户端要提供用户名和密码，然而客户端不能以明码的方式直接把用户名和密码发送到服务器，否则对于现在的黑客来说就等于是没有密码，因此要采用安全的方法把用户名和密码发送到服务器端进行认证，整个认证的过程就是认证方法。

身份认证方法 EAP 方法： 单击可以查看已安装的 EAP 方法。默认是PEAP，PEAP 使用传输层安全性 (TLS) 在身份验证 PEAP 客户端（例如无线计算机）与 PEAP 身份验证器（例如网络策略服务器 (NPS) 或远程身份验证拨入用户服务 (RADIUS) 服务器）之间创建加密通道。 Microsoft 加密身份验证第 2 版 (MS-CHAP v2)： 指定服务器是否使用 Microsoft 质询握手身份验证协议 (MS-CHAP) 第 2 版对远程访问连接和请求拨号连接进行身份验证。MS-CHAP v2 提供相互身份验证和更强大的加密，加密的点对点 (PPP) 连接或点对点隧道协议 (PPTP) 连接要求使用 MS-CHAP v2。 加密的身份验证 (CHAP)： 指定服务器是否使用 Message Digest 5 (MD-5) 质询握手身份验证协议 (CHAP) 对远程访问连接和请求拨号连接进行身份验证。基于安全原因，不建议选择此项。 未加密的密码 (PAP)： 指定服务器是否使用密码身份验证协议 (PAP) 对远程访问连接和请求拨号连接进行身份验证。在 PAP 身份验证期间，密码以纯文本形式（而不是加密形式）发送。只有必须支持 PAP 远程访问客户端时，才应使用此身份验证协议。基于安全原因，不建议选择此项。 允许远程系统不经过身份验证而连接： 指定服务器是否允许不经过身份验证的连接。不经过身份验证的连接不要求提供用户名和密码。

“IPv4”选项卡 在窗口下方的“适配器”下拉框中选择“本地连接” 使得VPN服务会把自己的“本地连接”网卡上的DNS、WINS设置分配给用户（即：DNS和WINS均为192.168.0.1）

“端口 属性”

12.1.4 VPN客户端配置和测试 PPTP客户端

12.1.4 VPN客户端配置和测试

12.1.4 VPN客户端配置和测试

12.1.4 VPN客户端配置和测试 在实际应用中，通常是使用域名的，因此需要在Internet上的DNS服务器上添加主机记录，主机记录的IP指向61.0.0.1。

12.1.4 VPN客户端配置和测试

12.1.4 VPN客户端配置和测试

12.1.4 VPN客户端配置和测试

12.1.4 VPN客户端配置和测试

L2TP客户端 从安全性来说L2TP应该比PPTP要安全，建议采用L2TP进行连接。然而默认时VPN客户端优先采用PPTP进行连接，如果要强制使用L2TP。

L2TP客户端

L2TP客户端 使用L2TP，必须启动IPSec服务（默认时是启动的），从“开始”“管理工具”“服务”菜单中打开“服务”窗口，找到“IPSec Service”服务，可启动该服务。

VPN客户端的DNS问题 正常情况下，VPN客户端是接到Internet的，它的DNS应该指向当地ISP的DNS服务器 因此要给客户端分配企业内部的DNS服务器地址，结果如图12-39。这时VPN客户端有两个DNS服务器地址，Internet上的DNS负责解析Internet主机的域名；而企业内部的DNS负责解析企业内主机的域名，得到的是企业内部主机的私有IP地址。要保证以上效果，VPN服务器按照图12-28（窗口最下方的“适配器”下拉框）进行设置是至关重要的。

12.1.5 管理远程访问客户端

12.1.5 管理远程访问客户端

12.2 NAT服务器架设

12.2.1 为什么需要NAT? IPv4所提供的40亿个地址已经基本用尽。 IPv6应该是最终的解决手段。

12.2.2 NAT的基本原理 静态转换：每一个需要转换的内部地址创建了固定的转换条目，映射了惟一的全局地址。 然而静态转换并不能节约合法IP地址。

动态NAT 定义一个NAT池（NAT pool），内部主机如要与外界进行通信，路由器从NAT池中选择一未使用的外部地址对IP数据包的源IP地址（内部地址）进行转化。每个转换条目在连接建立时动态建立，而在连接终止时会被回收，这样大大减少了所需的外部地址。

端口地址转换 端口地址转换(PAT)是动态转换的一种变形，在静态转换和动态转换中NAT只转换IP地址，并不转换端口号，端口地址转换除此之外还转换端口号。它可以使得多个内部主机同时共享一个外部IP地址。真正大幅度节约合法IP地址。

12.2.3 NAT服务器的架设 配置动态端口转换（PAT） 新增路由协议

新增接口

选择专用接口（接内网）

选择公用接口（接外网）

测试内网访问外网

配置端口重定向 端口重定向使得外网的计算机能够访问内网。

61.0.0.1:80 192.168.0.2:80 找到“Web服务器（HTTP）”

12.2.4 NAT管理 显示映射

NAT属性 “常规”选项卡：可以指明事件日志记录什么内容

NAT属性 “转换”选项卡： 可以设置TCP和UDP映射最长的存在时间。当然如果用户程序断开了TCP连接，则映射会立即被删除，并不需要等到最长时间。

NAT属性 地址分配 如果企业内部的网络没有DHCP服务器存在，可以在这里设置一个IP地址范围，为计算机分配IP地址。

Thank You.