基于RRAS和虛擬專用網技術在Windows中的實現

摘要:RRAS和Windows 虛擬專用網技術不但可以方便的實現遠程企業用戶同企業內部網絡用戶之間的安全可靠連接，而且能夠以最低的成本確保企業高效的數據傳輸，因此，通過RRAS和虛擬專用網連接技術在Windows中來實現網絡的安全訪問能夠解決Windows網絡面臨的一系列安全問題。

關鍵詞:RRAS Windows 虛擬專用網技術 安全

虛擬專用網是公共數據網的一種類型，但可以方便的讓企業外地用戶直接連接到企業的內部網絡。虛擬專用網可以跨專用網絡或公用網絡(如Internet)創建安全的點對點連接，極大地降低了企業用戶的費用，而且提供了很強的安全性和可用性。虛擬專用網中采用了一些網絡安全機制，如隧道技術、認證技術、加密技術、解密技術以及密鑰管理技術等，這些網絡安全技術能夠確保各種數據在公用網絡中傳輸時不被非法用戶獲取，即便被竊取也無法讀取數據包中的有效信息。

1 構建RRAS服務

RRAS也叫路由和遠程訪問服務，通過將“路由和遠程訪問”配置為充當遠程訪問服務器，可以將企業的遠程工作人員或流動工作人員連接到企業內部網絡上，遠程用戶可以像其計算機物理連接到企業內部網絡上一樣進行資源共享和數據交換。雖然現在很多企業網絡組建都采用了VPN技術，但是基本上是基于網絡硬件設備的，比如銳捷硬件VPN、路由器等，而利用Windows Server 2003內置的RRAS組建VPN網絡價格低廉、管理方便、性能良好，而且容易維護。

利用路由和遠程訪問連接的用戶可以使用企業內網的所有服務，其中包括文件服務的共享、企業打印機共享、企業Web服務的訪問和郵件服務及數據庫服務的訪問。例如，在運行“路由和遠程訪問”的服務器上，客戶端可以使用Windows資源管理器來建立驅動器連接和連接到打印機。由于遠程訪問完全支持驅動器號和統一資源定位器UNC名稱，因此連接到企業內網的外部用戶的大多數應用程序不必進行修改即可直接使用。

RRAS是Windows Server 2003的默認Windows組件，其初始狀態為停用，因此在構建RRAS之前必須將其激活，只有在RRAS管理控制臺中服務器上的箭頭變為綠色的向上箭頭，才表明此RRAS服務已經被激活，激活狀態如下圖所示:

2 配置遠程訪問服務器

2.1 遠程訪問服務器屬性的配置

2.1.1 常規屬性設置 在Windows Server 2003的路由和遠程訪問服務中，可以使該服務器作為一個路由器或者是一個遠程訪問服務器。當作為路由器時，它可以作為企業網和因特網之間的一座橋梁，因此可以通過選中“遠程訪問服務器”復選框來改變該服務器的角色，使其成為一臺VPN服務器。

2.1.2 安全設置 VPN始終是通過公用網絡如Internet在VPN客戶端與服務器之間建立的邏輯連接。為了確保隱私安全，必須對通過該連接發送的數據進行加密。RRAS中的安全信息包括身份驗證方法和記賬提供程序。身份驗證方法包括默認的Windows身份驗證和RADIUS身份驗證，服務器通過一系列的驗證方法對遠程系統進行身份驗證。

2.1.3 遠程用戶IP設置 遠程VPN客戶必須通過IP地址連接到服務器從而訪問企業網絡，通過IP設置可以給遠程客戶機指派IP地址。一般通過兩種方法來指派:第一種是利用企業網絡內部的DHCP服務器動態的分配IP地址，另一種方法是指定某個范圍的靜態地址池，其中“啟用IP路由”可以使遠程企業用戶訪問到此遠程訪問服務器所連接的整個企業內部網絡。

2.2 遠程訪問服務器端口的配置 在企業網絡遠程訪問過程中，網絡設備是建立點到點連接所使用端口的硬件或軟件，而端口是用來支持單個點對點連接的設備的信道，在路由和遠程訪問管理控制臺中可以監視和管理各種端口，而且可以更改各端口的配置，例如:對WAN微型端口(PPTP)和(L2TP)的數量的更改。在WAN微型端口(PPTP)中，“遠程訪問連接(僅入站)”是為企業用戶啟用遠程訪問，“請求撥號路由選擇連接(入站和出站)”是為企業用戶啟用請求撥號路由。

2.3 用戶撥入的配置 企業遠程訪問服務器同時也具備域控制器的功能，它是通過“Active Directory 用戶和計算機”來管理企業遠程客戶的，而它所管理的用戶對象屬性中存在“撥入”選項卡，“撥入”屬性可以允許或禁止遠程企業用戶連接到企業內部服務器上。其中“回撥選項”可以為遠程用戶撥入實現多種不同的功能，當用戶撥號到企業RRAS服務器后，只要賬戶正確就允許與企業網絡建立連接，則選擇“不回撥”;當遠程企業用戶撥入到RRAS服務器后，輸入正確的賬戶，服務器會要求用戶輸入回撥的電話號碼，然后掛斷電話，并由服務器對用戶進行撥號，為遠程用戶節省電話費用，則選擇“由呼叫方設置(僅路由和遠程訪問服務)”。

由于企業的規模各不相同，因此企業內部節點數量和網絡帶寬等也不同，遠程訪問服務器可以根據企業自身的狀況選擇以下三種不同的方式來部署:

2.3.1 單接口VPN服務器。此時用企業的核心路由器或硬件防火墻負責轉發IP數據包到因特網并對外網提供各種服務，企業客戶端在呼叫服務器時的地址就是核心路由器或硬件防火墻的公網地址。

2.3.2 雙接口VPN服務器。適用于企業網絡中具有多個公網地址。這種方式可以減少核心路由器或者硬件防火墻的網絡負載，因為雙接口VPN服務器網絡中，客戶端直接通過VPN服務器訪問企業內部網絡。

2.3.3 代理服務器做VPN服務器。如果企業原先通過代理服務器構建企業網絡，可以在代理服務器上啟用VPN服務器，或者是直接采用ISA Server作為代理服務器，在ISA Server上啟用VPN服務器并且代替原來的防火墻與路由器。

3 構建遠程客戶機的網絡連接

虛擬專用網絡VPN客戶端能使用“點對點隧道協議”(PPTP)、“第二層隧道協議”(L2TP) 和“IP安全協議(IPSec)”來創建一個通往VPN服務器的安全隧道。通過這種方法，客戶端就變成了專用網絡上的一個遠程節點。PPTP是一種常用的VPN協議，它使用支持56位密鑰的MPPE增強加密方式，因此非常安全，而且易于進行配置和維護。在純microsoft環境和混合環境中，基于PPTP的VPN客戶端部署方便，而且可以通過使用遠程訪問策略的規則進行PPTP連接的允許或拒絕，使遠程客戶機能夠在規定的時間訪問公司局域網，并且可以實現各種安全的身份驗證方式和加密方式。在客戶端建立一個基于VPN 的WAN微型端口(PPTP)連接后，就可以通過此連接自動獲取一個VPN服務器上分配的IP地址，從而實現客戶端與企業內部網絡構成同一個局域網。

當遠程客戶端通過VPN連接自動獲取到一個和企業內網同一網段的IP地址后，就可以像在公司內部一樣安全、方便、快速、高效地與Intranet交換機密的商務信息，從而實現企業網絡用戶跨因特網的安全訪問。

參考文獻:

[1]Ivan Pepelnjak Jim Guichard. MPLS和VPN體系結構[M].北京:人民郵電出版社，2004.

[2](美)羅等，劉偉琴，米強譯.第二層VPN體系結構[M].北京:人民郵電出版社，2006.

[3]徐祗祥.Windows網絡服務[M].北京:科學技術文獻出版社，2008.

[4]瑪尼爾(Ruest，D.)，尼爾森(Ruest，N.).Windows Server 2003企業部署原理與實踐[M].北京:清華大學出版社，2006.