×××属于远程访问技术,简单地说就是利用公网链路架设私有网络。例如公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。怎么才能让外地员工访问到内网资源呢?×××的解决方法是在内网中架设一台×××服务器,×××服务器有两块网卡,一块连接内网,一块连接公网。外地员工在当地连上互联网后,通过互联网找到×××服务器,然后利用×××服务器作为跳板进入企业内网。为了保证数据安全,×××服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样。但实际上×××使用的是互联网上的公用链路,因此只能称为虚拟专用网。即:×××实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了×××技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用×××非常方便地访问内网资源,这就是为什么×××在企业中应用得如此广泛。

 

网络拓扑如下图,TMG没有加入域

image

 

实验目标:公网的客户端通过×××拨入公司内部网络后可以任意访问内部网络,***用户为TMG本地用户xiaoming,后续的博文我们测试域用户身份验证。

 

实验思路:

1.分配*** 客户端IP地址

2.启用***访问

3.创建***组,把TMG本地用户xiaoming添加到该组中

4.查看网络规则

5.测试客户端拨入是否成功

6.创建***客户端到内部网络的访问规则,为了让×××客户端顺利和内部网络任意通信,我们允许所有协议从×××客户端到内部,从内部到×××客户端

 

1.分配IP地址

如下图,我们选择启用***客户端访问

image

 

提示“若要启用***访问,您必须先配置地方分配方法”,我们选择“确定”

image

 

选择“配置地址分配方法”

image

 

选择“添加” 选择服务器,指定IP地址的范围 192.168.40.1 ----192.168.40.254

image

 

完成后视图如下,应用,确定

image

 

2.启用***客户端访问

如下图,选择启用***客户端访问

image

 

3.创建***组,添加用户

如下图,创建一个remote access group并把xiaoming添加到该组中

image

 

选择“指定Windows用户”

image

 

如下图,把刚才创建的组进行添加

image

 

协议中默认选择了PPTP,客户端拨入也应该选择这个协议,应用确定

image

 

4.查看网络规则

如下图,选择“查看网络规则”

image

 

TMG默认已经创建了如下的网络规则

image

 

TMG划分了很多网络,我们必须先对这些网络设置网络规则,然后设置防火墙策略,那么TMG到底划分了哪些网络,如下图,有DMZ(默认情况下没有因为我添加了一块网卡并创建了这个网络所以有了这个网络),×××客户端,内部,外部,本地主机,被隔离的***客户端,所以我们的×××客户端也是一个网络,所以必须先定义网络规则,然后才是防火墙策略。

image

 

5.客户端测试拨入

如下图,XP客户端和TMG的外网卡在同一个网段来模拟公网的客户端,选择“创建一个新的连接”

image

 

选择“连接到我的工作场所的网络”

image

 

选择“虚拟专用网络连接”

image

 

公司名根据实际情况,我测试环境就TMG

image

 

输入TMG外网卡地址

image

 

默认情况下×××类型为“自动”

image

 

如下图,客户端拨入成功

image

 

6.防火墙添加一条访问规则,***客户端到内部,内部到***客户端

如下图,这条访问规则允许所有出站通信

image

 

如下图,***客户端ping内部的DC 192.168.20.1,可以ping通

image

 

因为我们的允许了×××客户端到内部网络的协议十分宽泛,***客户端直接可以远程桌面内部网络的DC

image

 

以上我们就完成了×××客户端的拨入使用了PPTP协议