××× 技术的类型
Windows 2000 中包括三种类型的 ××× 技术:
Windows 2000 中包括三种类型的 ××× 技术:
点对点隧道协议 (PPTP)
PPTP 是在 Windows NT 4.0 中引入的,它利用点对点协议 (PPP) 用户身份验证和
Microsoft 点对点加密 (MPPE) 来封装和加密 IP、IPX 以及 NetBEUI 通信。
由于有第 2 版的 Microsoft 质询握手身份验证协议 (MS-CHAP v2) 和强密码,
PPTP 是一种安全的 ××× 技术。对于不是基于密码的身份验证来说,
Windows 2000 可用扩展身份验证协议 — 传输层安全性 (EAP-TLS) 来支持智能卡。
PPTP 已受到广泛支持,它易于部署且可跨网络地址转换器 (NAT) 使用。
PPTP 是在 Windows NT 4.0 中引入的,它利用点对点协议 (PPP) 用户身份验证和
Microsoft 点对点加密 (MPPE) 来封装和加密 IP、IPX 以及 NetBEUI 通信。
由于有第 2 版的 Microsoft 质询握手身份验证协议 (MS-CHAP v2) 和强密码,
PPTP 是一种安全的 ××× 技术。对于不是基于密码的身份验证来说,
Windows 2000 可用扩展身份验证协议 — 传输层安全性 (EAP-TLS) 来支持智能卡。
PPTP 已受到广泛支持,它易于部署且可跨网络地址转换器 (NAT) 使用。
第二层隧道协议 (L2TP)
L2TP 利用 PPP 用户身份验证和 IP 安全 (IPSec) 加密来封装和加密 IP、IPX 以及 NetBEUI 通信。
这种组合(称为 L2TP/IPSec)使用基于证书的计算机身份验证来创建安全的和加密
的通道(IPSec 安全关联),然后使用基于 PPP 的用户身份验证来创建 L2TP 隧道。
L2TP/IPSec 为每个数据包都提供数据完整性和数据身份验证。
但是,L2TP/IPSec 需要使用公钥基本结构 (PKI) 来分配计算机证书,
且只被 Windows 2000 ××× 客户端支持。
L2TP 利用 PPP 用户身份验证和 IP 安全 (IPSec) 加密来封装和加密 IP、IPX 以及 NetBEUI 通信。
这种组合(称为 L2TP/IPSec)使用基于证书的计算机身份验证来创建安全的和加密
的通道(IPSec 安全关联),然后使用基于 PPP 的用户身份验证来创建 L2TP 隧道。
L2TP/IPSec 为每个数据包都提供数据完整性和数据身份验证。
但是,L2TP/IPSec 需要使用公钥基本结构 (PKI) 来分配计算机证书,
且只被 Windows 2000 ××× 客户端支持。
IPSec 隧道模式
IPSec 隧道模式在隧道模式下使用封装安全有效负载 (ESP) 来封装和
加密单路广播 IP 通信。Windows 2000 IPSec 隧道模式只用于路由器对路由
器 ××× 连接,这是因为当前的 IPSec 标准并未指定用于为远程访问连
接提供用户身份验证和地址分配的方法。
IPSec 隧道模式在隧道模式下使用封装安全有效负载 (ESP) 来封装和
加密单路广播 IP 通信。Windows 2000 IPSec 隧道模式只用于路由器对路由
器 ××× 连接,这是因为当前的 IPSec 标准并未指定用于为远程访问连
接提供用户身份验证和地址分配的方法。
网络规划的考虑事项
在开始部署 Windows 2000 ××× 服务器之前,应对基本结构中的以下要素进行评估:
在开始部署 Windows 2000 ××× 服务器之前,应对基本结构中的以下要素进行评估:
路由基本结构
路由基本结构必须支持将 IP 数据包从 ××× 服务器传送到 Internet 上的任何位置以
及您的 Intranet 上的所有相应位置。如果计划中的 ××× 服务器位于周边网络
(Intranet 和 Internet 之间的网络,也称为 DMZ)上,则它必须同时配置周边网
络上相邻路由器的默认网关以及一个或多个汇总 Intranet 地址空间的路由系列。
路由基本结构必须支持将 IP 数据包从 ××× 服务器传送到 Internet 上的任何位置以
及您的 Intranet 上的所有相应位置。如果计划中的 ××× 服务器位于周边网络
(Intranet 和 Internet 之间的网络,也称为 DMZ)上,则它必须同时配置周边网
络上相邻路由器的默认网关以及一个或多个汇总 Intranet 地址空间的路由系列。
××× 服务器在 ××× 客户端连接时将 IP 地址分配给它们。IP 地址可来自:
子网上的地址范围,即连接到 ××× 服务器的 Intranet 子网的地址范围。
子网以外的地址范围,即表示逻辑上连接到 ××× 服务器的不同子网的地址范围。
如果您使用的是子网以外的地址范围,则必须将汇总地址范围的路由添加到
××× 服务器所连接的 Intranet 子网上相邻的路由器中,以便可将通信传送到 ××× 客户端。
子网以外的地址范围,即表示逻辑上连接到 ××× 服务器的不同子网的地址范围。
如果您使用的是子网以外的地址范围,则必须将汇总地址范围的路由添加到
××× 服务器所连接的 Intranet 子网上相邻的路由器中,以便可将通信传送到 ××× 客户端。
名称解析基本结构
如果您使用域名系统 (DNS) 来解析主机名或使用 Windows Internet 名称服务 (WINS) 来解
析 NetBIOS 名称,则需确保 ××× 服务器配有相应 DNS 和 WINS 服务器的 IP 地址。
××× 客户端继承 ××× 服务器上配置的 DNS 和 WINS 服务器地址。连接后,
Windows 2000 ××× 客户端还发送动态主机配置协议 (DHCP) 消息,以便从 DHCP 服
务器接受更新后的 DNS 和 WINS 服务器地址。一般来说,如果名称解析在
××× 服务器上不奏效,则它在 ××× 客户端上也不奏效。
如果您使用域名系统 (DNS) 来解析主机名或使用 Windows Internet 名称服务 (WINS) 来解
析 NetBIOS 名称,则需确保 ××× 服务器配有相应 DNS 和 WINS 服务器的 IP 地址。
××× 客户端继承 ××× 服务器上配置的 DNS 和 WINS 服务器地址。连接后,
Windows 2000 ××× 客户端还发送动态主机配置协议 (DHCP) 消息,以便从 DHCP 服
务器接受更新后的 DNS 和 WINS 服务器地址。一般来说,如果名称解析在
××× 服务器上不奏效,则它在 ××× 客户端上也不奏效。
地址分配基本结构
DHCP 通常用于自动分配 IP 地址和其它配置参数。可将 ××× 服务器配置为
从 DHCP 为 ××× 客户端获取 IP 地址。在这种情况下,总是将子网内的地址
分配给 ××× 客户端,而不必添加其它路由。然而,要确保 Intranet 子网上
DHCP 作用域中的 IP 地址足以允许连接最大数量的 ××× 客户端。如果 DHCP
服务器因地址不足而无法分配给 ××× 服务器,或者如果 DHCP 服务器不再
可用,则可连接其它 ××× 客户端,但是这些客户端将无法访问 Intranet 资源。
DHCP 通常用于自动分配 IP 地址和其它配置参数。可将 ××× 服务器配置为
从 DHCP 为 ××× 客户端获取 IP 地址。在这种情况下,总是将子网内的地址
分配给 ××× 客户端,而不必添加其它路由。然而,要确保 Intranet 子网上
DHCP 作用域中的 IP 地址足以允许连接最大数量的 ××× 客户端。如果 DHCP
服务器因地址不足而无法分配给 ××× 服务器,或者如果 DHCP 服务器不再
可用,则可连接其它 ××× 客户端,但是这些客户端将无法访问 Intranet 资源。
公钥基本结构
如果使用的是 L2TP/IPSec,则必须部署 PKI,PKI 可将计算机证书分配给 ××× 服
务器和 ××× 客户端。如果远程身份验证拨入用户服务 (RADIUS) 用于用户身
份验证和授权,则 RADIUS 服务器上必须装有计算机证书以便对使用智能
卡的连接进行身份验证。利用 Active Directory,可将组策略配置为自动将计
算机证书分配给加入该域的所有计算机。有关详细信息,请参阅 Windows
2000 Server 联机帮助 ( [url]http://windows.microsoft.com/windows2000/en/server/help/[/url])。
如果使用的是 L2TP/IPSec,则必须部署 PKI,PKI 可将计算机证书分配给 ××× 服
务器和 ××× 客户端。如果远程身份验证拨入用户服务 (RADIUS) 用于用户身
份验证和授权,则 RADIUS 服务器上必须装有计算机证书以便对使用智能
卡的连接进行身份验证。利用 Active Directory,可将组策略配置为自动将计
算机证书分配给加入该域的所有计算机。有关详细信息,请参阅 Windows
2000 Server 联机帮助 ( [url]http://windows.microsoft.com/windows2000/en/server/help/[/url])。
防火墙配置
如果您用防火墙(还称为安全网关)将 ××× 服务器和 Internet 隔开,则防
火墙必须配置为允许 ××× 通信进出周边网络上的 ××× 服务器。这就需要
在防火墙接口上设置输入和输出数据包筛选器,这样由防火墙转发给
××× 服务器的唯一通信就是 ××× 通信。有关详细信息,请参阅 Windows 2000 Server
资源工具包中“虚拟专用网络”一章 ( [url]http://www.microsoft.com/technet/win2000/win2ksrv/reskit/intch09.asp[/url])。
如果您用防火墙(还称为安全网关)将 ××× 服务器和 Internet 隔开,则防
火墙必须配置为允许 ××× 通信进出周边网络上的 ××× 服务器。这就需要
在防火墙接口上设置输入和输出数据包筛选器,这样由防火墙转发给
××× 服务器的唯一通信就是 ××× 通信。有关详细信息,请参阅 Windows 2000 Server
资源工具包中“虚拟专用网络”一章 ( [url]http://www.microsoft.com/technet/win2000/win2ksrv/reskit/intch09.asp[/url])。
××× 服务器规划的考虑事项
在安装 Windows 2000 ××× 服务器之前,应该评估 ××× 服务器配置的以下要素:
在安装 Windows 2000 ××× 服务器之前,应该评估 ××× 服务器配置的以下要素:
身份验证和授权
Windows 2000 ××× 服务器可通过联系域控制器来执行身份验证,并可通过本地
配置的远程访问策略进行授权。另外,身份验证和授权可卸载到 RADIUS
服务器上。Windows 2000 中包括一个称为 Internet 身份验证服务 (IAS) 的 RADIUS
服务器。利用 IAS 服务器,您可以将多个 Windows 2000 ××× 和拨入远程访问服
务器以及第三方网络访问服务器的身份验证、计帐和远程访问策略的管理集中起来。
Windows 2000 ××× 服务器可通过联系域控制器来执行身份验证,并可通过本地
配置的远程访问策略进行授权。另外,身份验证和授权可卸载到 RADIUS
服务器上。Windows 2000 中包括一个称为 Internet 身份验证服务 (IAS) 的 RADIUS
服务器。利用 IAS 服务器,您可以将多个 Windows 2000 ××× 和拨入远程访问服
务器以及第三方网络访问服务器的身份验证、计帐和远程访问策略的管理集中起来。
身份验证协议
虽然 Windows 2000 支持许多新的和旧的 PPP 身份验证协议,但是 PPTP 的 MPPE 加密
仍需要使用 MS-CHAP、MS-CHAP v2 或 EAP-TLS。如果没有智能卡,建议使用 MS-CHAP v2。
尽管由于 PPP 身份验证过程受 IPSec 加密的保护而使 L2TP 无需特定的身份验证协
议,但是仍建议使用 MS-CHAP v2 和 EAP –TLS。
虽然 Windows 2000 支持许多新的和旧的 PPP 身份验证协议,但是 PPTP 的 MPPE 加密
仍需要使用 MS-CHAP、MS-CHAP v2 或 EAP-TLS。如果没有智能卡,建议使用 MS-CHAP v2。
尽管由于 PPP 身份验证过程受 IPSec 加密的保护而使 L2TP 无需特定的身份验证协
议,但是仍建议使用 MS-CHAP v2 和 EAP –TLS。
加密级别
安全的 ××× 连接要求对封装数据进行加密。要确保加密,请为 ××× 连接创建
远程访问策略(NAS 端口类型设置为虚拟 (×××)),并清除该策略的配置文件
设置的加密选项卡上的不加密复选框。此外,您可通过选择或清除基本
(对于 PPTP 和 L2TP来说,分别是 40 位 MPPE 和 56 位数据加密标准 [DES])、强
(对于 PPTP 和 L2TP 来说,分别是 56 位 MPPE 和 56 位 DES)或最强(对于 PPTP 和
L2TP 来说,分别是 128 位 MPPE 和 3DES),来指定所需的加密级别。最强
只能和 Windows 2000 High Encryption Pack 结合使用。
安全的 ××× 连接要求对封装数据进行加密。要确保加密,请为 ××× 连接创建
远程访问策略(NAS 端口类型设置为虚拟 (×××)),并清除该策略的配置文件
设置的加密选项卡上的不加密复选框。此外,您可通过选择或清除基本
(对于 PPTP 和 L2TP来说,分别是 40 位 MPPE 和 56 位数据加密标准 [DES])、强
(对于 PPTP 和 L2TP 来说,分别是 56 位 MPPE 和 56 位 DES)或最强(对于 PPTP 和
L2TP 来说,分别是 128 位 MPPE 和 3DES),来指定所需的加密级别。最强
只能和 Windows 2000 High Encryption Pack 结合使用。
客户端配置
Microsoft ××× 客户端可手动配置 ××× 连接,或者用 Windows 2000 附带的连接管理器
管理工具包 (CMAK) 来配置。要手动配置 Windows 2000 ××× 客户端,请使用网络
和拨号连接文件夹中的新建连接向导,创建到 Internet 上的 ××× 服务器的
IP 地址或 DNS 名称的 ××× 连接。有关 CMAK 的详细信息,请参阅 Windows 2000
Server 联机帮助 ( [url]http://windows.microsoft.com/windows2000/en/server/help/[/url])。
Microsoft ××× 客户端可手动配置 ××× 连接,或者用 Windows 2000 附带的连接管理器
管理工具包 (CMAK) 来配置。要手动配置 Windows 2000 ××× 客户端,请使用网络
和拨号连接文件夹中的新建连接向导,创建到 Internet 上的 ××× 服务器的
IP 地址或 DNS 名称的 ××× 连接。有关 CMAK 的详细信息,请参阅 Windows 2000
Server 联机帮助 ( [url]http://windows.microsoft.com/windows2000/en/server/help/[/url])。
配置 ××× 服务器
在您配置了基本结构并作出了 ××× 服务器的设计决策之后,请运行“
路由和远程访问服务器设置”向导,配置 Windows 2000 ××× 服务器:
在您配置了基本结构并作出了 ××× 服务器的设计决策之后,请运行“
路由和远程访问服务器设置”向导,配置 Windows 2000 ××× 服务器:
依次单击开始、程序、管理工具和路由和远程访问。
右键单击服务器名,然后单击配置并启用路由和远程访问。
在公共配置中,单击虚拟专用网络 (×××) 服务器,然后单击下一步。
在远程客户协议中,验证远程访问 ××× 客户端所使用的所有数据协
议都存在。必要时添加数据协议,然后单击下一步。
在 Internet 连接中,单击与连接到 Internet 或周边网络上的接口相对应
的连接,然后单击下一步。
如果 ××× 服务器要用 DHCP 来获取远程访问 ××× 客户端的 IP 地址,则
在 IP 地址分配中单击自动。或者,单击来自一个指定的地址范围
来使用一个或多个静态地址范围。如果某个静态地址范围为子网
以外的地址范围,则必须在路由基本结构中添加路由,以便可到
达 ××× 客户端。完成 IP 地址分配后,单击下一步。
在管理多个远程访问服务器中,如果用 RADIUS 进行份验证和授权,
则单击是,我想使用一个 RADIUS 服务器,然后单击下一步。
右键单击服务器名,然后单击配置并启用路由和远程访问。
在公共配置中,单击虚拟专用网络 (×××) 服务器,然后单击下一步。
在远程客户协议中,验证远程访问 ××× 客户端所使用的所有数据协
议都存在。必要时添加数据协议,然后单击下一步。
在 Internet 连接中,单击与连接到 Internet 或周边网络上的接口相对应
的连接,然后单击下一步。
如果 ××× 服务器要用 DHCP 来获取远程访问 ××× 客户端的 IP 地址,则
在 IP 地址分配中单击自动。或者,单击来自一个指定的地址范围
来使用一个或多个静态地址范围。如果某个静态地址范围为子网
以外的地址范围,则必须在路由基本结构中添加路由,以便可到
达 ××× 客户端。完成 IP 地址分配后,单击下一步。
在管理多个远程访问服务器中,如果用 RADIUS 进行份验证和授权,
则单击是,我想使用一个 RADIUS 服务器,然后单击下一步。
在 RADIUS 服务器选择中,配置主要(强制) RADIUS 服务器、辅助
(可选) RADIUS 服务器和共享密码,然后单击下一步。
单击完成。
其它信息
有关 Windows 2000 ××× 技术、设计、部署的详细信息(包括详细示例),
请查阅以下资源:
(可选) RADIUS 服务器和共享密码,然后单击下一步。
单击完成。
其它信息
有关 Windows 2000 ××× 技术、设计、部署的详细信息(包括详细示例),
请查阅以下资源:
虚拟专用网络:概述(
[url]http://www.microsoft.com/windows2000/library/howitworks[/url]
/communications/remoteaccess/***overview.asp )
基于 Windows 2000 的虚拟专用网络:支持 ××× 互操作性
( [url]http://www.microsoft.com/windows2000/library/howitworks/communications[/url]
/remoteaccess/l2tp.asp )
Microsoft 保密的网络访问:虚拟专用网络和 Intranet 安全
( [url]http://www.microsoft.com/TechNet/win2000/win2ksrv/technote/msppna.asp[/url] )
Windows 2000 虚拟专用网络方案
( [url]http://www.microsoft.com/windows2000/library/howitworks/communications[/url]
/remoteaccess/w2k***scenario.asp )
虚拟专用网络(Microsoft Internet 服务网络)
( [url]http://www.microsoft.com/ISN/ind_solutions/virtual_private_networking.asp[/url] )
Windows 2000 Server 资源工具包中“虚拟专用网络”一章
( [url]http://www.microsoft.com/technet/win2000/win2ksrv/reskit/intch09.asp[/url] )
Windows 2000 Server 文档 ( [url]http://windows.microsoft.com/windows2000/en[/url]
/server/help/ ) (Networking\Virtual Private Networking)
/communications/remoteaccess/***overview.asp )
基于 Windows 2000 的虚拟专用网络:支持 ××× 互操作性
( [url]http://www.microsoft.com/windows2000/library/howitworks/communications[/url]
/remoteaccess/l2tp.asp )
Microsoft 保密的网络访问:虚拟专用网络和 Intranet 安全
( [url]http://www.microsoft.com/TechNet/win2000/win2ksrv/technote/msppna.asp[/url] )
Windows 2000 虚拟专用网络方案
( [url]http://www.microsoft.com/windows2000/library/howitworks/communications[/url]
/remoteaccess/w2k***scenario.asp )
虚拟专用网络(Microsoft Internet 服务网络)
( [url]http://www.microsoft.com/ISN/ind_solutions/virtual_private_networking.asp[/url] )
Windows 2000 Server 资源工具包中“虚拟专用网络”一章
( [url]http://www.microsoft.com/technet/win2000/win2ksrv/reskit/intch09.asp[/url] )
Windows 2000 Server 文档 ( [url]http://windows.microsoft.com/windows2000/en[/url]
/server/help/ ) (Networking\Virtual Private Networking)
转载于:https://blog.51cto.com/762485/153121
扫一扫
1556
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
