网络工程师讲义张智勇
ST04 分布办公网络构建
CEAC国家信息化计算机教育认证项目
www.ceac.org.cn
网络工程师讲义张智勇构建分布式办公网络构建分布式办公网络网络世界自由翱翔
Copyright by He Xuhui,2002,All rights reserved,版权所有版权所有拷贝不究拷贝不究划分和路由
WenjieStudy
.Com
2002年11月网络工程师讲义张智勇
Quit
分布式网络概念
2002年11月轻松建网互连无限
CEAC
Training
Content
配置路由和远程访问服务器在远程访问服务中实现IP路由多重链接与远程访问一起实现DHCP
实现虚拟私有网络管理和监视远程访问网络工程师讲义张智勇
Quit
Overview
2002年11月轻松建网互连无限
CEAC
Training
Part I 分布式网络概念分布式网络概念路由和远程访问配置和启用路由和远程访问远程访问vs远程控制与远程访问一起实现DHCP
Summary
网络工程师讲义张智勇远程访问远程访问基本概念远程访问将远程或移动的工作者连接到组织网络上。远程用户可以象计算机物理地连接到网络上一样工作。
远程访问服务器提供两种不同的远程访问连接:
拨号网络(Dial-up Network)
模拟电话线、ISDN
虚拟专用网络(Virtual Private
Network)
虚拟专用网络客户机使用特定的,称为隧道协议的基于TCP/IP 的协议,来对虚拟专用网络服务器的虚拟端口进行依次虚拟呼叫。
OVER VIEW
网络工程师讲义张智勇
LAN 协议s
远程访问协议本地网
L
A
N
协议协议远程访问协议远程访问协议
Internet
远程访问客户端远程访问服务器网络工程师讲义张智勇远程访问协议远程访问协议
Windows 2000
Windows 2000 拨号网络特性作为拨号网络服务器作为拨号网络客户机
LAN 和远程访问协议
WAN 选项
Internet支持安全选项网络工程师讲义张智勇作为拨号网络服务器作为拨号网络服务器提供到整个网络的拨号网络访问,或者限制只能到远程访问服务器的共享资源上访问
Windows 2000 拨号网络特性网络工程师讲义张智勇支持的拨号网络客户机支持的拨号网络客户机
Windows NT
Windows 2000
Windows 98
Windows 95
Windows for Workgroups
MS-DOS
LAN Manager
Apple Macintosh
Windows 2000 拨号网络特性网络工程师讲义张智勇
LAN 和远程访问协议和远程访问协议
Windows 2000 远程访问支持访问
Internet、UNIX、Apple Macintosh 和
Novell NetWare 的LAN 协议
�?TCP/IP
�?IPX
�?AppleTalk
�?NetBEUI
Windows 2000 拨号网络特性网络工程师讲义张智勇
Internet支持支持
Windows 2000 拨号网络提供Intenet访问的全部服务。
Windows 2000 拨号网络特性网络工程师讲义张智勇安全选项安全选项
Windows 2000 登录和域安全对安全主机的支持数据加密远程身份验证拨入用户服务(RADIUS)
智能卡远程访问策略和回拨
Windows 2000 拨号网络特性网络工程师讲义张智勇向远程访问客户机指派向远程访问客户机指派IP 地址地址远程访问服务器给客户机分配的IP地址来源:
�?来自DHCP服务器(DHCP中继代理)
远程访问服务器从指定的DHCP服务器申请
10个地址,将第一个留给自己使用,随后的IP
分配给客户机,在断开连接时回收。当10个IP
地址不够时,再次申请10个。
�?静态IP 地址池手工指定分配给客户机的IP地址范围。要确保与DHCP无冲突或子网路由。
TCP/IP与远程访问网络工程师讲义张智勇名称解析名称解析
Windows 2000 网络上可使用的名称解析选项:
�?用于主机名称解析的DNS 和Hosts 文件。
�?用于NetBIOS 名称解析的WINS 和
Lmhosts文件
TCP/IP与远程访问网络工程师讲义张智勇远程访问策略是一组条件和连接设置
�?日期、时间
�?每星期的日期
�?用户所在的Windows 2000 组
�?通过请求的连接类型
�?配置限制最大会话时间的设置
�?指定授权和加密强度
�?设置带宽分配协议(BAP) 策略远程访问策略只有在连接尝试的设置至少与远程访问只有在连接尝试的设置至少与远程访问策略中的一个相匹配时,才会授权连接策略中的一个相匹配时,才会授权连接网络工程师讲义张智勇用户帐户的拨入属性用户帐户的拨入属性远程访问权限(拨入或VPN)
验证呼叫方ID
回拨选项指派静态IP 地址应用静态路由远程访问策略对于Windows 2000混合模式域,只有“远程访问权限(拨入或VPN)”(“允许访问”和
“拒绝访问”选项)和“回拨选项”拨入属性是可用的网络工程师讲义张智勇身份验证方法身份验证和授权数据加密远程访问拨入权限呼叫方ID 和回拨安全主机帐户锁定远程访问安全性网络工程师讲义张智勇数据加密数据加密可以使用数据加密来保护在远程访问客户机和服务器之间发送的数据。
对于拨号网络连接,可以通过在远程访问客户机和服务器之间的通讯链接上加密数据来保护它。当在远程访问客户机和服务器之间的通讯链接上有未经授权地截取传输的危险时,应该使用数据加密。
远程访问安全性只有使用MS-CHAP(版本1 或版本2)或EAP-TLS 作为身份验证协议时,PPP 或PPTP 连接才可以使用数据加密。
网络工程师讲义张智勇远程访问拨入权限远程访问拨入权限在安装了远程访问服务器之后,必须指定远程访问服务器可以接受哪些用户的连接。
连接后,用户的域凭据便可用来访问有权访问的资源。远程访问客户必须服从Windows
2000 安全设置,就象他们在办公室中一样。
远程访问安全性如果用户没有指定登陆的域,则登录到远程访问服务器所在的域。
网络工程师讲义张智勇呼叫方呼叫方
ID 和回拨和回拨远程访问安全性网络工程师讲义张智勇
Contents
VPN-虚拟专用网络虚拟专用网络(VPN) 是专用网络的延伸,
它包含了类似Internet 的共享或公共网络链接。通过VPN 可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。虚拟专用联网是创建和配置虚拟专用网络的行为。
网络工程师讲义张智勇
�z虚拟专用网络组件
Windows 2000 VPN 的连接包括下列组件:
VPN 服务器——接受VPN 客户VPN 连接的计算机。
�z VPN 客户将VPN 连接初始化为VPN 服务器的计算机。VPN 客户可能是一台单独的计算机,也可能是路由器。
�z隧道连接中封装数据的部分。
�z VPN 连接连接中加密数据的部分。对典型的安全VPN 连接,数据沿连接的相同部分进行加密和压缩。
VPN网络组件网络工程师讲义张智勇虚拟专用网络的类型虚拟专用网络的类型远程访问VPN 的注意事项
�?基于Internet 的VPN
�?基于Intranet 的VPN 。
网络工程师讲义张智勇虚拟专用网络的类型虚拟专用网络的类型
�?基于Internet 的VPN
网络工程师讲义张智勇虚拟专用网络的类型虚拟专用网络的类型
�?基于Intranet 的VPN
网络工程师讲义张智勇
VPN安全性安全性
�?授权
�?身份验证
�?数据加密
�?数据包筛选网络工程师讲义张智勇
VPN远程实验示例网络工程师讲义张智勇网络工程师讲义张智勇网络工程师讲义张智勇网络工程师讲义张智勇网络工程师讲义张智勇网络工程师讲义张智勇网络工程师讲义张智勇网络工程师讲义张智勇网络工程师讲义张智勇
VPN与拔号连接的异同:
�z1,VPN可用来实现一个用户对一个LAN的访问,也可以实现两个或多个LAN间的相互访问;远程访问则有所限制。
�z2,拔号网络连接和VPN连接本质上是一样的;不同的只是连接的介质一个是PSTN,
一个是TCP/IP网络;一个拔的是电话号码,一个拔的是IP地址。
网络工程师讲义张智勇
VPN的优点:
�z1,当有了固定快速的INTERNET的连接时,连接公司的内部网络或者连接公司的两个地点不再需要通过PSTN或ISDN拔号访问了。
�z2,也可以与拔号一样设置回拔功能,可以实现大量的用户访问。
网络工程师讲义张智勇对用户的接入控制:
�z1,远程访问策略:是根据一系列的条件和连接设置来审核用户,赋予每个用户不同的远程访问权限的技术。
�z2,IP数据包过滤;路由器中一般称之为访问列表控制,W2K中称之为IP数据包选择。
�z3,用户的权限控制。(考点)
ST04 分布办公网络构建
CEAC国家信息化计算机教育认证项目
www.ceac.org.cn
网络工程师讲义张智勇构建分布式办公网络构建分布式办公网络网络世界自由翱翔
Copyright by He Xuhui,2002,All rights reserved,版权所有版权所有拷贝不究拷贝不究划分和路由
WenjieStudy
.Com
2002年11月网络工程师讲义张智勇
Quit
分布式网络概念
2002年11月轻松建网互连无限
CEAC
Training
Content
配置路由和远程访问服务器在远程访问服务中实现IP路由多重链接与远程访问一起实现DHCP
实现虚拟私有网络管理和监视远程访问网络工程师讲义张智勇
Quit
Overview
2002年11月轻松建网互连无限
CEAC
Training
Part I 分布式网络概念分布式网络概念路由和远程访问配置和启用路由和远程访问远程访问vs远程控制与远程访问一起实现DHCP
Summary
网络工程师讲义张智勇远程访问远程访问基本概念远程访问将远程或移动的工作者连接到组织网络上。远程用户可以象计算机物理地连接到网络上一样工作。
远程访问服务器提供两种不同的远程访问连接:
拨号网络(Dial-up Network)
模拟电话线、ISDN
虚拟专用网络(Virtual Private
Network)
虚拟专用网络客户机使用特定的,称为隧道协议的基于TCP/IP 的协议,来对虚拟专用网络服务器的虚拟端口进行依次虚拟呼叫。
OVER VIEW
网络工程师讲义张智勇
LAN 协议s
远程访问协议本地网
L
A
N
协议协议远程访问协议远程访问协议
Internet
远程访问客户端远程访问服务器网络工程师讲义张智勇远程访问协议远程访问协议
Windows 2000
Windows 2000 拨号网络特性作为拨号网络服务器作为拨号网络客户机
LAN 和远程访问协议
WAN 选项
Internet支持安全选项网络工程师讲义张智勇作为拨号网络服务器作为拨号网络服务器提供到整个网络的拨号网络访问,或者限制只能到远程访问服务器的共享资源上访问
Windows 2000 拨号网络特性网络工程师讲义张智勇支持的拨号网络客户机支持的拨号网络客户机
Windows NT
Windows 2000
Windows 98
Windows 95
Windows for Workgroups
MS-DOS
LAN Manager
Apple Macintosh
Windows 2000 拨号网络特性网络工程师讲义张智勇
LAN 和远程访问协议和远程访问协议
Windows 2000 远程访问支持访问
Internet、UNIX、Apple Macintosh 和
Novell NetWare 的LAN 协议
�?TCP/IP
�?IPX
�?AppleTalk
�?NetBEUI
Windows 2000 拨号网络特性网络工程师讲义张智勇
Internet支持支持
Windows 2000 拨号网络提供Intenet访问的全部服务。
Windows 2000 拨号网络特性网络工程师讲义张智勇安全选项安全选项
Windows 2000 登录和域安全对安全主机的支持数据加密远程身份验证拨入用户服务(RADIUS)
智能卡远程访问策略和回拨
Windows 2000 拨号网络特性网络工程师讲义张智勇向远程访问客户机指派向远程访问客户机指派IP 地址地址远程访问服务器给客户机分配的IP地址来源:
�?来自DHCP服务器(DHCP中继代理)
远程访问服务器从指定的DHCP服务器申请
10个地址,将第一个留给自己使用,随后的IP
分配给客户机,在断开连接时回收。当10个IP
地址不够时,再次申请10个。
�?静态IP 地址池手工指定分配给客户机的IP地址范围。要确保与DHCP无冲突或子网路由。
TCP/IP与远程访问网络工程师讲义张智勇名称解析名称解析
Windows 2000 网络上可使用的名称解析选项:
�?用于主机名称解析的DNS 和Hosts 文件。
�?用于NetBIOS 名称解析的WINS 和
Lmhosts文件
TCP/IP与远程访问网络工程师讲义张智勇远程访问策略是一组条件和连接设置
�?日期、时间
�?每星期的日期
�?用户所在的Windows 2000 组
�?通过请求的连接类型
�?配置限制最大会话时间的设置
�?指定授权和加密强度
�?设置带宽分配协议(BAP) 策略远程访问策略只有在连接尝试的设置至少与远程访问只有在连接尝试的设置至少与远程访问策略中的一个相匹配时,才会授权连接策略中的一个相匹配时,才会授权连接网络工程师讲义张智勇用户帐户的拨入属性用户帐户的拨入属性远程访问权限(拨入或VPN)
验证呼叫方ID
回拨选项指派静态IP 地址应用静态路由远程访问策略对于Windows 2000混合模式域,只有“远程访问权限(拨入或VPN)”(“允许访问”和
“拒绝访问”选项)和“回拨选项”拨入属性是可用的网络工程师讲义张智勇身份验证方法身份验证和授权数据加密远程访问拨入权限呼叫方ID 和回拨安全主机帐户锁定远程访问安全性网络工程师讲义张智勇数据加密数据加密可以使用数据加密来保护在远程访问客户机和服务器之间发送的数据。
对于拨号网络连接,可以通过在远程访问客户机和服务器之间的通讯链接上加密数据来保护它。当在远程访问客户机和服务器之间的通讯链接上有未经授权地截取传输的危险时,应该使用数据加密。
远程访问安全性只有使用MS-CHAP(版本1 或版本2)或EAP-TLS 作为身份验证协议时,PPP 或PPTP 连接才可以使用数据加密。
网络工程师讲义张智勇远程访问拨入权限远程访问拨入权限在安装了远程访问服务器之后,必须指定远程访问服务器可以接受哪些用户的连接。
连接后,用户的域凭据便可用来访问有权访问的资源。远程访问客户必须服从Windows
2000 安全设置,就象他们在办公室中一样。
远程访问安全性如果用户没有指定登陆的域,则登录到远程访问服务器所在的域。
网络工程师讲义张智勇呼叫方呼叫方
ID 和回拨和回拨远程访问安全性网络工程师讲义张智勇
Contents
VPN-虚拟专用网络虚拟专用网络(VPN) 是专用网络的延伸,
它包含了类似Internet 的共享或公共网络链接。通过VPN 可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。虚拟专用联网是创建和配置虚拟专用网络的行为。
网络工程师讲义张智勇
�z虚拟专用网络组件
Windows 2000 VPN 的连接包括下列组件:
VPN 服务器——接受VPN 客户VPN 连接的计算机。
�z VPN 客户将VPN 连接初始化为VPN 服务器的计算机。VPN 客户可能是一台单独的计算机,也可能是路由器。
�z隧道连接中封装数据的部分。
�z VPN 连接连接中加密数据的部分。对典型的安全VPN 连接,数据沿连接的相同部分进行加密和压缩。
VPN网络组件网络工程师讲义张智勇虚拟专用网络的类型虚拟专用网络的类型远程访问VPN 的注意事项
�?基于Internet 的VPN
�?基于Intranet 的VPN 。
网络工程师讲义张智勇虚拟专用网络的类型虚拟专用网络的类型
�?基于Internet 的VPN
网络工程师讲义张智勇虚拟专用网络的类型虚拟专用网络的类型
�?基于Intranet 的VPN
网络工程师讲义张智勇
VPN安全性安全性
�?授权
�?身份验证
�?数据加密
�?数据包筛选网络工程师讲义张智勇
VPN远程实验示例网络工程师讲义张智勇网络工程师讲义张智勇网络工程师讲义张智勇网络工程师讲义张智勇网络工程师讲义张智勇网络工程师讲义张智勇网络工程师讲义张智勇网络工程师讲义张智勇网络工程师讲义张智勇
VPN与拔号连接的异同:
�z1,VPN可用来实现一个用户对一个LAN的访问,也可以实现两个或多个LAN间的相互访问;远程访问则有所限制。
�z2,拔号网络连接和VPN连接本质上是一样的;不同的只是连接的介质一个是PSTN,
一个是TCP/IP网络;一个拔的是电话号码,一个拔的是IP地址。
网络工程师讲义张智勇
VPN的优点:
�z1,当有了固定快速的INTERNET的连接时,连接公司的内部网络或者连接公司的两个地点不再需要通过PSTN或ISDN拔号访问了。
�z2,也可以与拔号一样设置回拔功能,可以实现大量的用户访问。
网络工程师讲义张智勇对用户的接入控制:
�z1,远程访问策略:是根据一系列的条件和连接设置来审核用户,赋予每个用户不同的远程访问权限的技术。
�z2,IP数据包过滤;路由器中一般称之为访问列表控制,W2K中称之为IP数据包选择。
�z3,用户的权限控制。(考点)
