2远程访问服务(Remote Access Service,RAS)允许客户机通过拨号连接或虚拟专用连接登陆的网络。
3Windows Server 2003远程访问服务提供了两种远程登陆的方式:拨号网络、虚拟专用网。
4拨号网络的组件:拨号网络客户端、远程访问服务器、wan结构、远程访问协议、lan协议。
5Vpn组件:客户端(可能是计算机和路由器)、服务器、隧道、连接、隧道协议(pptp和L2tp)、传输互联网络。
6远程访问服务器的属性包括常规、安全、ip、ppp和日志。
7在客户端建立连接时要输入服务器的ip地址,输入的是服务器的外网地址。
8常用的拨号方式:PPTP、L2TP。
9身份验证的方法:智能卡(EAP服务器与客户端必须全有智能卡)、CHAP1、CHAP2
10相同的帐户可以在不同的计算机上同时登陆,但是他们所用的端口是不同的。
11PPTP和L2TP的端口默认是128个,但是可以自己修改。
12服务器可以随时断开与客户的连接。
13在服务器上应用远程访问策略可以是连接更加安全,策略包括条件、权限和配置文件。
14远程访问的权限:允许访问、拒绝访问、通过远程访问策略控制访问。
15回拨选项:不回拨(由拨叫方付费)、有呼叫方设置(由服务器端付费)、总是回拨到(由服务器端付费,更安全)。
16只有提升域的安全级别才能够采用“通过远程访问策略”来验证权限,第一次提升域功能级别要重启计算机。
17远程访问策略的配置文件包括:拨入限制、ip、多重链接、身份验证(PAP、CHAP、MS-CHAP、MS-CHAP v2、EAP)、加密(无加密、基本加密、增强加密、最强加密)、高级。
18Windows默认的远程访问策略是不能删除的,如果删除即使不用远程访问策略也不能访问。
19远程访问的排错:检查硬件是否正常、远程访问服务是否启动、如果服务启动,检查服务器的配置、用户帐户的拨入属性配置是否正确、远程访问策略是否正确、客户端配置是否正确。
20常见故障及解决方法:
1>在客户机拨入时,显示“本帐户没有拨入权限”。
可能的原因:用户帐户拨入属性中设置拒绝权限、远程访问策略的条件不满足、远程访问策略中配置拒绝访问的权限、没有远程访问策略。
2>在客户机拨入时,总是d出对话框提示重新输入用户名和密码。
可能的原因:密码输入错误、用户名输入错误。
3>在客户机拨入时,显示身份验证协议问题。
可能原因:客户端域远程访问服务器的身份验证方式不匹配。标签(空格分隔): 开发工具 前端
[toc]
前端开发,有时候需要给外网的测试人员浏览,此时若没有专门的测试服务器,那么使用内网穿透就是最简便通用的方式了。一个常见的选择就是 ngrok 。 也有 frp
ngrok官网
本地客户端跑起,搭建内网端口隧道给外网服务器,用户访问外网服务器对应地址,自动映射到本地对应地址。
这个方案很简单,也很慢,超慢,无法忍受的慢。
官网教程参看 >
通过隧道(Tunnel)或虚电路(VirtualCircuit)实现网络互联;支持用户安全管理;能够进行网络监控、故障诊断。
1、建网快速方便用户只需将各网络节点采用专线方式本地接入公用网络,并对网络进行相关配置即可。
2、降低建网投资由于是利用公用网络为基础而建立的虚拟专网,因而可以避免建设传统专用网络所需的高额软硬件投资。
3、节约使用成本用户采用组网,可以大大节约链路租用费及网络维护费用,从而减少企业的运营成本。
4、网络安全可靠实现主要采用国际标准的网络安全技术,通过在公用网络上建立逻辑隧道及网络层的加密,避免网络数据被修改和盗用,保证了用户数据的安全性及完整性。
5、简化用户对网络的维护及管理工作大量的网络管理及维护工作由公用网络服务提供商来完成。
扩展资料
的基本处理过程如下:
1、要保护主机发送明文信息到其他设备。
2、设备根据网络管理员设置的规则,确定是对数据进行加密还是直接传输。
3、对需要加密的数据,设备将其整个数据包(包括要传输的数据、源IP地址和目的lP地址)进行加密并附上数据签名,加上新的数据报头(包括目的地设备需要的安全信息和一些初始化参数)重新封装。
4、将封装后的数据包通过隧道在公共网络上传输。
5、数据包到达目的设备后,将其解封,核对数字签名无误后,对数据包解密。
参考资料来源:百度百科-虚拟专用网络
参考资料来源:百度百科-虚拟专网
除了SSH端口转发外,另一个办法就是SSH反向隧道。SSH反向隧道这个概念其实很简单。为此,你需要在限制性家用网络外面有另一个主机,即所谓的“中继主机”(relay host),你可以从所在地方通过SSH连接到该主机。你可以使用带公共IP地址的虚拟专用服务器(VPS)实例来建立中继主机。然后要做的就是建立一条持久性SSH隧道,从你家用网络的服务器通向公共中继主机。有了这条隧道,你就可以从中继主机“连回”到家用服务器(这就是为什么它叫“反向”隧道)。无论你人在什么地方,或者你家用网络中的NAT或防火墙限制多严格,只要你可以连接到中继主机,就可以连接到家用服务器。在Linux上建立SSH反向隧道
不妨看看我们如何可以建立并使用一条SSH反向隧道。我们假设下列设置。我们将建立一条从家用服务器(homeserver)到中继服务器(relayserver)的SSH反向隧道,那样我们就可以从另一台名为clientcomputer的计算机,通过中继服务器以SSH的方式连接到家用服务器。中继服务器的公共IP地址是1111。
在家用服务器上,打开通向中继服务器的SSH连接,如下所示。
homeserver~$ ssh -fN -R 10022:localhost:22 relayserver_user@1111
这里的端口10022是你可以选择的任何随意的端口号。只要确保该端口没有被中继服务器上的其他程序所使用就行。
“-R 10022:localhost:22”选项定义了反向隧道。它通过中继服务器的端口1022,将流量转发到家用服务器的端口22。
若使用“-fN”选项,一旦你成功验证了身份、登录到SSH服务器,SSH就会径直进入后台。如果你不想在远程SSH服务器上执行任何命令,只想转发端口,就像在本文的示例中,这个选项很有用。
运行上述命令后,你将直接回到家用服务器的命令提示符。
登录进入到中继服务器,核实127001:10022绑定到sshd。如果是这样,那意味着反向隧道已正确建立起来。
relayserver~$ sudo netstat -nap | grep 10022
tcp 0 0 127001:10022 0000: LISTEN 8493/sshd
现在可以从其他任何计算机(比如clientcomputer),登录进入到中继服务器。然后访问家用服务器,如下所示。
relayserver~$ ssh -p 10022 homeserver_user@localhost
需要注意的一个地方就是,你为localhost输入的SSH登录信息/密码应该适用于家用服务器,而不是适用于中继服务器,因为你是通过隧道的本地端点登录进入到家用服务器。所以别为中继服务器输入登录信息/密码。成功登录后,你就接入到了家用服务器。
通过SSH反向隧道,直接连接到NAT后面的服务器
虽然上述方法让你可以连接到NAT后面的家用服务器,但是你需要登录两次,先登录到中继服务器,然后登录到家用服务器。这是由于中继服务器上SSH隧道的端点绑定到回送地址(127001)。
但实际上,只要单次登录到中继服务器,就可以直接连接到NAT后面的家用服务器。为此,你需要让中继服务器上的sshd不仅可以从回送地址转发端口,还可以从外部主机转发端口。这可以通过在中继服务器上运行的sshd里面指定GatewayPorts选项来实现。
打开中继服务器的/etc/ssh/sshd_conf,添加下面这一行。
relayserver~$ vi /etc/ssh/sshd_conf
GatewayPorts clientspecified
重启sshd。
基于Debian的系统:
relayserver~$ sudo /etc/initd/ssh restart
基于红帽的系统:
relayserver~$ sudo systemctl restart sshd
现在不妨从家用服务器开始建立SSH反向隧道,如下所示。
homeserver~$ ssh -fN -R 1111:10022:localhost:22 relayserver_user@1111
登录进入到中继服务器,用netstat命令核实SSH反向隧道已成功建立起来。
relayserver~$ sudo netstat -nap | grep 10022
tcp 0 0 1111:10022 0000: LISTEN 1538/sshd: dev
不像之前的情况,隧道的端点现在是1111:10022(中继服务器的公共IP地址),而不是127001:10022。这意味着,可以从外部主机连接到隧道端点。
现在可以从其他任何计算机(比如clientcomputer),输入下列命令,访问NAT后面的家用服务器。
clientcomputer~$ ssh -p 10022 homeserver_user@1111
在上述命令中,虽然1111是中继服务器的公共IP地址,但homeserver_user必须是与家用服务器关联的用户帐户。这是由于,你实际登录进入的主机是家用服务器,而不是中继服务器。后者只是将你的SSH流量中继转发到家用服务器而已。
在Linux上建立持久性SSH反向隧道
想必你已明白了如何建立一条SSH反向隧道,现在不妨让隧道具有“持久性”,那样隧道随时建立并运行起来(无论面对什么样的情况:暂时网络拥塞、SSH超时还是中继主机重启等)。毕竟,要是隧道没有始终建立起来,你也就无法可靠地连接到家用服务器。
为了建立持久性隧道,我要使用一款名为autossh的工具。顾名思义,万一SSH会话由于任何原因而断开,这个程序让你可以自动重启SSH会话。所以,让SSH反向隧道保持持久连接很有用。
第一步,不妨建立无需密码的SSH登录机制,从家用服务器登录到中继服务器。那样一来,autossh就能重启断开的SSH反向隧道,不需要用户干预。
下一步,将autossh安装到发起隧道的家用服务器上。
从家用服务器运行带下列变量的autossh,从而建立一条通向中继服务器的持久性SSH隧道。
homeserver~$ autossh -M 10900 -fN -o "PubkeyAuthentication=yes" -o "StrictHostKeyChecking=false" -o "PasswordAuthentication=no" -o "ServerAliveInterval 60" -o "ServerAliveCountMax 3" -R 1111:10022:localhost:22 relayserver_user@1111
“-M 10900”选项指定了中继服务器上的一个监控端口,将用来交换测试数据,以监控SSH会话。该端口不应该被中继服务器上的任何程序所使用。
“-fN”选项传递给ssh命令,让SSH隧道可以在后台运行。
“-o XXXX”选项指令ssh执行下列 *** 作:
•使用密钥验证,而不是密码验证。
•自动接受(未知的)SSH主机密钥。
•每60秒就交换持久连接(keep-alive)消息。
•最多发送3个持久连接消息,而不接受任何响应。
与SSH反向隧道有关的其余选项仍与之前一样。
如果你希望SSH隧道一启动就自动建立起来,可以在/etc/rclocal中添加上述的autossh命令。□ 信息产业部电信规划研究院 翟海生
一、IP 隧道协议
目前IP网上较为常见的隧道协议大致有两类:第二层隧道协议(包括PPTP、L2F、L2TP)和第三层隧道协议(包括GRE、IPSec、MPLS)。二层和三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装。第二层隧道技术的起始点在网络接入服务器(NAS),终点在用户网设备(CPE)上。另外,在隧道内整个PPP帧都封装在内,PPP会话要贯穿到CPE界内的网关或服务器上。第三层隧道技术的起点及终点均在ISP界内,PPP会话终止于NAS内,只携带第三层报文体,终接设备同时也作为CPE的网关。
1.第二层隧道协议
第二层隧道协议可以支持多种路由协议(如IP、IPX和AppleTalk),也可以支持多种广域网技术(如FR、ATM、X25或SDH/SONET),还可以支持任意局域网技术(如以太网、令牌环和FDDI等)。
PPTP
PPTP(点到点隧道协议)是由PPTP论坛开发的点到点的安全隧道协议,为使用电话上网的用户提供安全业务,1996年成为IETF草案。PPTP是PPP协议的一种扩展,提供了在IP网上建立多协议的安全的通信方式,远端用户能够通过任何支持PPTP的ISP访问企业的专用网络。PPTP提供PPTP客户机和PPTP服务器之间的保密通信。PPTP客户机是指运行该协议的PC机,PPTP服务器是指运行该协议的服务器。
通过PPTP,客户可以采用拨号方式接入公共的IP网。拨号客户首先按常规方式拨号到ISP的接入服务器,建立PPP连接;在此基础上,客户进行二次拨号建立到PPTP服务器的连接,该连接称为PPTP隧道。PPTP隧道实质上是基于IP协议的另一个PPP连接,其中IP包可以封装多种协议数据,包括TCP/IP、IPX和NetBEUI。对于直接连接到IP网的客户则不需要第一次的PPP拨号连接,可以直接与PPTP服务器建立虚拟通路。
PPTP的最大优势是Microsoft公司的支持。NT40已经包括了PPTP客户机和服务器的功能,并且考虑了Windows95环境。另外一个优势是它支持流量控制,可保证客户机与服务器间不拥塞,改善通信性能,最大限度地减少包丢失和重发现象。PPTP把建立隧道的主动权交给了客户,但客户需要在其PC机上配置PPTP,这样做既会增加用户的工作量,又会造成网络的安全隐患。另外,PPTP仅工作于IP,不具有隧道终点的验证功能,需要依赖用户的验证。
L2F
L2F(Layer 2 Forwarding)是由Cisco公司提出的,可以在多种介质(如 ATM、FR、IP)上建立多协议的安全的通信方式。它将链路层的协议(如 HDLC、PPP、ASYNC等)封装起来传送,因此网络的链路层完全独立于用户的链路层协议。该协议1998年提交给IETF,成为RFC2341。
L2F远端用户能够通过任何拨号方式接入公共IP网络。首先,按常规方式拨号到ISP的接入服务器(NAS),建立PPP连接;NAS根据用户名等信息发起第二次连接,呼叫用户网络的服务器,这种方式下,隧道的配置和建立对用户是完全透明的。
L2F允许拨号服务器发送PPP帧,并通过WAN连接到L2F服务器。L2F服务器将包去封装后,把它们接入到企业自己的网络中。与PPTP和L2F所不同的是,L2F没有定义客户。L2F的主要缺陷是没有把标准加密方法包括在内,因此它基本上已经成为一个过时的隧道协议。
L2TP
L2TP协议是由Cisco、Ascend、Microsoft、3Com和Bay等厂商共同制订的,1999年8月公布了L2TP的标准RFC2661。上述厂商现有的设备已具有L2TP的互 *** 作性。
L2TP结合了L2F和PPTP的优点,可以让用户从客户端或接入服务器端发起连接。L2TP定义了利用公共网络设施封装传输链路层PPP帧的方法。目前用户拨号访问因特网时,必须使用IP协议,并且其动态得到的IP地址也是合法的。L2TP的好处就在于支持多种协议,用户可以保留原来的IPX、AppleTalk等协议或企业原有的IP地址,企业在原来非IP网上的投资不致于浪费。另外,L2TP还解决了多个PPP链路的捆绑问题。
L2TP主要由LAC(接入集中器)和LNS(L2TP网络服务器)构成。LAC支持客户端的L2TP,用于发起呼叫、接收呼叫和建立隧道。LNS是所有隧道的终点。在传统的PPP连接中,用户拨号连接的终点是LAC,L2TP使得PPP协议的终点延伸到LNS。
在安全性考虑上L2TP支持MP(Multilink Protocol),把多个物理通道捆绑为单一逻辑信道
pptp使用M$的拨号网络作为客户端,使用gre做tunnel封装,mppe进行加密。
l2tp也使用M$的拨号网络做为客户端,在lac进行一次证,在lns进行二次认证,tunnel是处于lac与lns之间。加密方式可以选择mppe和ipsec。
ipsec使用ESP/AH做为tunnel封装,一般需要专用的客户端。如cisco的*** client或其它厂商的client
PPTP和L2TP都使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似,但是仍存在以下几方面的不同:
1PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP(使用UDP),桢中继永久虚拟电路(PVCs),X25虚拟电路(VCs)或ATM VCs网络上使用。
2PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP,用户可以针对不同的服务质量创建不同的隧道。
3L2TP可以提供包头压缩。当压缩包头时,系统开销(overhead)占用4个字节,而PPTP协议下要占用6个字节。
4L2TP可以提供隧道验证,而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPSEC共同使用时,可以由IPSEC提供隧道验证,不需要在第2层协议上验证隧道。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)