Dịch vụ định tuyến và truy cập từ xa

Mục tiêu của bài học• Thảo luận về RRAS & mô tả các tính năng của RRAS • Thảo luận về Remote Access Services RAS • Thảo luận về các tính năng bảo mật của RAS • Giải thích được việc quản

Routing and Remote Access Service

RRAS

(Dịch vụ định tuyến và truy cập từ xa)

Mục tiêu của bài học

• Thảo luận về RRAS & mô tả các tính năng của RRAS

• Thảo luận về Remote Access Services (RAS)

• Thảo luận về các tính năng bảo mật của RAS

• Giải thích được việc quản lý RAS

• Thảo luận về việc quản lý sự xác thực

• Giải thích được Virtual Private Network (Mạng riêng ảo - VPN)

• Giải thích được các giao thức VPN

• Thảo luận về việc quản lý VPN

• Thực thi sự xác thực VPN

• Gở rối một số vấn đề về VPN

Routing and Remote Access Service

thể thực hiện các chức năng sau:

• Multiprotocol Router: Có thể vạch đường đồng

thời cho các giao thức: IP, IPX, và AppleTalk

• Remote Access Server: có thể hoạt động như là

một Remote Access Server để cung cấp kết nối từ xa cho các người dùng thông qua quay số hoặc VPN

• Demand-dial Router: Có thể vạch đường cho các

giao thức IP và IPX theo nhu cầu (on-demand)

Cài đặt và cấu hình RRAS

• RRAS được cài đặt tự động và trong trang thái không hoạt động

• Action\Configure And Enable Routing and Remote Access để kích hoạt.

Các tính năng của RRAS

Hỗ trợ Unicast IP

Các tính năng của RRAS

Hỗ trợ Multicast IP

Các tính năng của RRAS

Hỗ trợ IPX

IPX packet

filtering It defines what kind of data can be exchanged between the interfaces

RIP for IPX It is the distance-vector protocol used for routing in

IPX networking

SAP for IPX SAP is distance-vector based protocol for advertising

services along with their location

NetBIOS over

IPX

To support the file and printer sharing components the NetBIOS over IPX is used

Các tính năng của RRAS

Các tính năng Khác

• AppleTalk: RRAS có thể hoạt động như là Router cho giao thức

Apple Talk

• Demand-Dial Routing: định tuyến các giao thức theo yêu cầu

• Remote Access: cho phép các client kết nối từ xa thông qua

công nghệ quay số

• VPN Server: RRAS cho phép một máy tính trở thành VPN server,

hỗ trợ các giao thức PPTP, L2TP trên IPsec, chấp nhận kết nối từ

xa và kết nối Router-to-Router

• RADIUS Client-Server: hỗ trợ chứng thực thông qua RADIUS

• SNMP MIB Support: hỗ trợ Simple Network Management

Protocol

• API for third party components: cho phép các hãng sản xuất

thứ 03 cung cấp thêm các giao thức định tuyến cung như các

Remote Access

• Windows 2000 Remote Access Server cung cấp hai phương thức kết nối truy cập từ xa:

 Dial-up Remote Access connection: Remote Access

Client sử dụng hạ tầng viễn thông (PSTN) để tạo ra một kết nối vật lý tạm thời kết nối tới RAS Server

 Virtual Private Network Connection (VPN): VPN

client sử dụng liên mạng IP (Internet, Intranet) để tạo một “virtual point-to-point connection” kết nối tới RAS server mà hoạt động như là VPN server

Dial-Up Remote Access Connections

 Remote Access Client (RAC): hầu hết các RAC hỗ trợ

giao thức PPP đều có thể kết nối tới Windows 2000 RAS

 Windows 2000

 Windows NT 3.5 or later

 Windows 98, Windows 95

 Windows for Workgroups, MS-DOS

 Microsoft LAN Manager

 UNIX, Linux and Apple Macintosh sử dụng giao thức PPP

 Remote Access Service Server trên Windows 2000: chấp nhận dial-up connections đồng thời chuyển

các gói tin giữa RACs và network nơi mà RAS được cài đặt

WAN Infrastructure &

Dial-up Equipment

 Kết nối giữa Remote Access Server (RAS) và Remote Access Client (RAC) dựa trên thiết bị quay số được cài đặt tại RAS và RAC và hạ tầng hệ thống viễn thông

 Về cơ bản thiết bị Dial-up và hạ tầng hệ thống viễn thông thay đổi tuỳ thuộc vào kiểu kết nối được dùng:

 Public Switched Telephone Network (PSTN)

 Digital Links and V.90

 Integrated Services Digital Network (ISDN)

 Asymmetric Digital Subscriber Line (ADSL)

 X.25

Public Switched Telephone Network

(PSTN)

Digital Links and V.90

Integrated Services Digital Network

(ISDN)

X.25

Asymmetric Digital Subscriber Line

(ADSL)

Remote Access Protocols

• Remote Access Protocols: Điều khiển việc tạo kết nối

và truyền dữ liệu thông qua các đường truyền WAN:

 PPP (Point-to-Point Protocol): là giao thức chuẩn hiện nay

 Microsoft Remote Access Protocol (Asynchronous

NetBEUI-AsyBEUI)

 Serial Line Internet Protocol (SLIP): cũ, Windows 2000 không hỗ trợ

 AppleTalk Remote Access Protocol (ARAP)

• LAN Protocols: Được sử dụng bởi RAC để truy xuất tới

tài nguyên trên mạng nơi RAS được cài đặt, ví dụ như: TCP/IP, IPX, AppleTalk, and NetBEUI

Bảo mật trong truy cập từ xa (1)

Bảo mật việc xác thực người dùng

Bảo mật trong truy cập từ xa (2)

• Ví dụ: cấu hình cấp địa chỉ IP động từ DHCP cho RAC trong

Quản lý truy cập từ xa (2)

Quản lý truy cập: Cấu hình dựa trên tài khoản người dùng

Quản lý truy cập từ xa (3)

Quản lý truy cập: Cấu hình dựa trên chính sách truy cập

Quản lý truy cập từ xa (4)

Quản lý tài khoản bị khoá

Quản lý sự xác thực

hoặc là RADIUS như là nhà cung cấp xác thực

• Xác thực sử dụng Windows:

thường của Windows sẽ chứng thực giấy phép của người dùng

• Xác thực sử dụng RADIUS:

người dùng được gởi đến RADIUS server, thông qua một loạt các thông điệp

Cấu hình sự xác thực

Virtual Private Networks

(Các mạng riêng ảo)

• Dedicated Lines: Các chi nhánh và trụ sở chính kết nối

VPN với nhau thông qua Internet bằng các đường truyền

cố định tới các nhà cung cấp dịch vụ Internet (ISP)

• Dial-Up Lines: Các chi nhánh hoặc nhân viên từ xa kết

nối đến các nhà cung cấp dịch vụ Internet thông qua quay số, sau đó một kết nối VPN được thiết lập tới trụ sở chính

• VPN sử dụng một phương thức được gọi là đường hầm

(Tunneling) để truyền tải các khung hoặc các gói dữ liệu

qua một liên mạng.

• Trong kỹ thuật Tunneling các gói tin được mã hóa và được đóng gói lại để truyền qua một liên mạng trung gian.

Các kiểu Tunnel

Voluntary Tunnels

Compulsory Tunnels

 PPTP thừa hưởng mã hoá dữ liệu từ PPP.

hợp với IPsec

VPN Protocols

Layer 2 Tunneling Protocol (L2TP)

 L2TP: là sự kết hợp PPTP và Layer 2 Forwarding (L2F) (L2F là một công nghệ được đưa ra bởi Cisco Corporation)

X.25, Frame Relay, ATM

hầm và truyền dữ liệu

PPP fames

VPN Protocols

L2TP và PPTP

VPN Protocols

IPSec và IP-IP

• IPSec:

đối với mỗi IP datagram

 Encapsulating Security Payload (ESP): đóng gói và mã hoá IP datagram vào một IP datagram khác(xác thực, riêng tư và toàn vẹn)

 Authentication Header (AH): không hỗ trợ mã hoá (xác thực, toàn vẹn nhưng không riêng tư)

• IP-IP:

 IP-IP hay IP in IP là một phương thức tunneling đơn giản.

Gở rối Trong VPN (1)

• Kết nối bị từ chối trong khi nó phải được chấp nhận:

• Kiểm tra cấu hình về IP của VPN server

• Kiểm tra hoạt động của RRAS

• Kiểm tra các phương thức xác thực trên Server và Client

• Kiểm tra xem các Port PPTP hoặc L2TP trên VPN server xem đã sử dụng hết chưa

• Kiểm tra tunneling protocol của VPN client xem có được hỗ trợ bởi VPN server hay không

• …

Gở rối Trong VPN (2)

chối:

• Kiểm tra các thông số về chính sách kết nối

nơi server VPN được cài đặt:

• Kiểm tra các giao thức LAN trên VPN Client

• Kiểm tra việc định địa chỉ IP cho VPN client

• Kiểm tra cấu hình địa chỉ IP

• Kiểm tra việc lọc các gói tin trên Router

RRAS Tools

Routing And Remote Access Snap-In

RRAS Tools

Net Shell Command-Line Utility

-a <Alias File> Chỉ định một alias file có thể được sử dụng,

alias file chứa các lệnh của Netsh -c <Context> Chỉ định ngữ cảnh của lệnh tương ứng tới trợ

giúp đã được

-f <ScriptFile> Chỉ định tất cả các lệnh của netsh trong file

script sẽ được thực thi.

• Net Shell là một tiện ích dòng lệnh (command-line) và scripting của Windows 2000 networking, được sử dụng cho local hoặc remote computer

RRAS Tools

Authentication and Accounting Logging

 Event Logging:

 Bộ định tuyến thực hiện việc lưu lỗi trong system event log.

 Thông tin về các lỗi được sử dụng để gỡ rối cho RRAS

 Authentication and Accounting Logging:

 RRAS hỗ trợ việc lưu thông tin về authentication và accounting trong kết nối PPP-based

 Các thông tin được lưu trữ được sử dụng cho việc gỡ rối các chính sách truy xuất