1、网络工程师讲义张智勇ST04 分布办公网络构建CEAC国家信息化计算机教育认证项目网络工程师讲义张智勇网络世界网络世界 自由翱翔自由翱翔 IP地址分配地址分配 NETBIOS名城解析名城解析 DNS域名解析域名解析 子网划分和路由子网划分和路由 IP地址分配地址分配 NETBIOS名城解析名城解析 DNS域名解析域名解析 子网划分和路由子网划分和路由 2002年年11月月网络工程师讲义张智勇Quit分布式网络概念分布式网络概念2002年年11月月轻松建网 互连无限配置路由和远程访问服务器配置路由和远程访问服务器在远程访问服务中实现在远程访问服务中实现IP路由路由多重链接多重链接与远程访问一起实
2、现与远程访问一起实现DHCP实现虚拟私有网络实现虚拟私有网络管理和监视远程访问管理和监视远程访问网络工程师讲义张智勇QuitOverview2002年年11月月轻松建网 互连无限路由和远程访问路由和远程访问配置和启用路由和远程访问配置和启用路由和远程访问远程访问远程访问 vs 远程控制远程控制与远程访问一起实现与远程访问一起实现DHCPSummary网络工程师讲义张智勇基本概念远程访问远程访问 将远程或移动的工作者连接到组织网络上。将远程或移动的工作者连接到组织网络上。远程用户可以象计算机物理地连接到网络上一远程用户可以象计算机物理地连接到网络上一样工作。样工作。远程访问服务器提供两种不同的远
3、程访问远程访问服务器提供两种不同的远程访问连接:连接:拨号网络拨号网络(Dial-up Network)模拟电话线、模拟电话线、ISDN虚拟专用网络虚拟专用网络(Virtual Private Network)虚拟专用网络客户机使用特定的,称为虚拟专用网络客户机使用特定的,称为隧道协议的基于隧道协议的基于 TCP/IP 的协议,来的协议,来对虚拟专用网络服务器的虚拟端口进对虚拟专用网络服务器的虚拟端口进行依次虚拟呼叫。行依次虚拟呼叫。OVER VIEW 网络工程师讲义张智勇LAN 协议协议s远程访问协议远程访问协议本地网本地网LAN 协议协议远程访问协议远程访问协议Internet远程访问客户
4、端远程访问客户端远程访问远程访问服务器服务器网络工程师讲义张智勇Windows 2000Windows 2000 拨号网络特性拨号网络特性作为拨号网络服务器作为拨号网络服务器 作为拨号网络客户机作为拨号网络客户机 LAN 和远程访问协议和远程访问协议WAN 选项选项Internet支持支持安全选项安全选项 网络工程师讲义张智勇提供到整个网络的拨号网提供到整个网络的拨号网络访问,或者限制只能到络访问,或者限制只能到远程访问服务器的共享资远程访问服务器的共享资源上访问源上访问 Windows 2000 拨号网络特性拨号网络特性网络工程师讲义张智勇Windows NTWindows 2000Wind
5、ows 98Windows 95Windows for WorkgroupsMS-DOSLAN ManagerApple MacintoshWindows 2000 拨号网络特性拨号网络特性网络工程师讲义张智勇Windows 2000 远程访问支持访问远程访问支持访问 Internet、UNIX、Apple Macintosh 和和 Novell NetWare 的的 LAN 协议协议uTCP/IPuIPXuAppleTalkuNetBEUI Windows 2000 拨号网络特性拨号网络特性网络工程师讲义张智勇Windows 2000 拨号网络提供拨号网络提供 Intenet 访问访问的全部
6、服务。的全部服务。Windows 2000 拨号网络特性拨号网络特性网络工程师讲义张智勇Windows 2000 登录和域安全登录和域安全对安全主机的支持对安全主机的支持数据加密数据加密远程身份验证拨入用户服务远程身份验证拨入用户服务(RADIUS)智能卡智能卡远程访问策略和回拨远程访问策略和回拨Windows 2000 拨号网络特性拨号网络特性网络工程师讲义张智勇 远程访问服务器给客户机分配的远程访问服务器给客户机分配的IP地址来源地址来源:u来自来自DHCP服务器(服务器(DHCP中继代理中继代理)远程访问服务器从指定的远程访问服务器从指定的DHCP服务器申请服务器申请10个地址,将第一个
7、留给自己使用,随后的个地址,将第一个留给自己使用,随后的IP分配给客户机,在断开连接时回收。当分配给客户机,在断开连接时回收。当10个个IP地址不够时,再次申请地址不够时,再次申请10个。个。u静态静态 IP 地址池地址池 手工指定分配给客户机的手工指定分配给客户机的IP地址范围。要地址范围。要确保与确保与DHCP无冲突或子网路由。无冲突或子网路由。TCP/IP与远程访问与远程访问网络工程师讲义张智勇Windows 2000 网络上可使用的名称解析选网络上可使用的名称解析选项:项:u用于主机名称解析的用于主机名称解析的 DNS 和和 Hosts 文件。文件。u用于用于 NetBIOS 名称解析
8、的名称解析的 WINS 和和 Lmhosts 文件文件 TCP/IP与远程访问与远程访问网络工程师讲义张智勇远程访问策略是一组条件和连接设置远程访问策略是一组条件和连接设置u日期、时间日期、时间u每星期的日期每星期的日期u用户所在的用户所在的 Windows 2000 组组u通过请求的连接类型通过请求的连接类型u配置限制最大会话时间的设置配置限制最大会话时间的设置u指定授权和加密强度指定授权和加密强度u设置带宽分配协议设置带宽分配协议(BAP)策略策略远程访问策略远程访问策略 网络工程师讲义张智勇远程访问权限(拨入或远程访问权限(拨入或 VPN)验证呼叫方验证呼叫方 ID 回拨选项回拨选项 指
9、派静态指派静态 IP 地址地址 应用静态路由应用静态路由远程访问策略远程访问策略对于对于Windows 2000混合模式域,只有混合模式域,只有“远远程访问权限(拨入或程访问权限(拨入或 VPN)”(“允许访问允许访问”和和“拒绝访问拒绝访问”选项)和选项)和“回拨选项回拨选项”拨入拨入属性是可用的属性是可用的 网络工程师讲义张智勇 身份验证方法身份验证方法 身份验证和授权身份验证和授权 数据加密数据加密 远程访问拨入权限远程访问拨入权限 呼叫方呼叫方 ID 和回拨和回拨 安全主机安全主机 帐户锁定帐户锁定 远程访问安全性远程访问安全性网络工程师讲义张智勇 可以使用数据加密来保护在远程访问客可
10、以使用数据加密来保护在远程访问客户机和服务器之间发送的数据。户机和服务器之间发送的数据。对于拨号网络连接,可以通过在远程访对于拨号网络连接,可以通过在远程访问客户机和服务器之间的通讯链接上加密数问客户机和服务器之间的通讯链接上加密数据来保护它。当在远程访问客户机和服务器据来保护它。当在远程访问客户机和服务器之间的通讯链接上有未经授权地截取传输的之间的通讯链接上有未经授权地截取传输的危险时,应该使用数据加密。危险时,应该使用数据加密。远程访问安全性远程访问安全性只有使用只有使用 MS-CHAP(版本(版本 1 或版本或版本 2)或)或 EAP-TLS 作为身作为身份验证协议时,份验证协议时,PP
11、P 或或 PPTP 连接才可以使用数据加密。连接才可以使用数据加密。网络工程师讲义张智勇 在安装了远程访问服务器之后,必须指定远在安装了远程访问服务器之后,必须指定远程访问服务器可以接受哪些用户的连接。程访问服务器可以接受哪些用户的连接。连接后,用户的域凭据便可用来访问有权访连接后,用户的域凭据便可用来访问有权访问的资源。远程访问客户必须服从问的资源。远程访问客户必须服从 Windows 2000 安全设置,就象他们在办公安全设置,就象他们在办公室中一样。室中一样。远程访问安全性远程访问安全性如果用户没有指定登陆的域,则登录到远程访问服务器所在的域。如果用户没有指定登陆的域,则登录到远程访问服
12、务器所在的域。网络工程师讲义张智勇远程访问安全性远程访问安全性网络工程师讲义张智勇VPN-虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络(VPN)是专用网络的延伸,是专用网络的延伸,它包含了类似它包含了类似 Internet 的共享或公共网络的共享或公共网络链接。通过链接。通过 VPN 可以以模拟点对点专用链可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算接的方式通过共享或公共网络在两台计算机之间发送数据。虚拟专用联网是创建和机之间发送数据。虚拟专用联网是创建和配置虚拟专用网络的行为。配置虚拟专用网络的行为。网络工程师讲义张智勇l 虚拟专用网络组件虚拟专用网络组件Windows 2
13、000 VPN 的连接包括下列组件:VPN 服务器 接受 VPN 客户 VPN 连接的计算机。l VPN 客户 将 VPN 连接初始化为 VPN 服务器的计算机。VPN 客户可能是一台单独的计算机,也可能是路由器。l 隧道 连接中封装数据的部分。l VPN 连接 连接中加密数据的部分。对典型的安全 VPN 连接,数据沿连接的相同部分进行加密和压缩。VPN网络组件网络工程师讲义张智勇远程访问远程访问 VPN 的注意事项的注意事项 n基于基于 Internet 的的 VPN n基于基于 Intranet 的的 VPN。网络工程师讲义张智勇n基于基于 Internet 的的 VPN 网络工程师讲义张
14、智勇n基于基于 Intranet 的的 VPN 网络工程师讲义张智勇n授权 n身份验证 n数据加密 n数据包筛选 网络工程师讲义张智勇VPN远程实验 示例网络工程师讲义张智勇网络工程师讲义张智勇网络工程师讲义张智勇网络工程师讲义张智勇网络工程师讲义张智勇网络工程师讲义张智勇网络工程师讲义张智勇网络工程师讲义张智勇网络工程师讲义张智勇VPN与拔号连接的异同:l1,VPN可用来实现一个用户对一个LAN的访问,也可以实现两个或多个LAN间的相互访问;远程访问则有所限制。l2,拔号网络连接和VPN连接本质上是一样的;不同的只是连接的介质一个是PSTN,一个是TCP/IP网络;一个拔的是电话号码,一个拔的是IP地址。网络工程师讲义张智勇VPN的优点:l1,当有了固定快速的INTERNET的连接时,连接公司的内部网络或者连接公司的两个地点不再需要通过PSTN或ISDN拔号访问了。l2,也可以与拔号一样设置回拔功能,可以实现大量的用户访问。网络工程师讲义张智勇对用户的接入控制:l1,远程访问策略:是根据一系列的条件和连接设置来审核用户,赋予每个用户不同的远程访问权限的技术。l2,IP数据包过滤;路由器中一般称之为访问列表控制,W2K中称之为IP数据包选择。l3,用户的权限控制。(考点)
