简介
远程访问是指能够通过透明方式将位于工作场所以外或远程位置上的特定计算机连接到网络中的一系列相关技术。通常情况下,组织机构通过远程访问方式在员工笔记本电脑或家用计算机与组织机构内部网络之间建立连接,以便允许其阅读电子邮件或访问共享文件;Internet服务提供商则通过远程访问方式将客户连接到Internet上。
用户运行远程访问客户端软件并面向特定远程访问服务器发起连接。远程访问服务器对用户身份进行验证并为用户会话提供服务,直到相应会话被用户或网络管理员中断为止。依靠远程访问连接方式,局域网用户能够享受的所有常用服务(包括文件与打印共享、Web服务器访问、消息通信等)都将得到支持。
远程访问客户端使用标准工具访问各种资源。举例来说,在运行Windows 2000操作系统的计算机上,远程访问客户端可以使用Windows资源管理器来建立驱动器连接并连接打印机。这种连接将长期保留:用户在其远程访问会话期间无需与相应网络资源重新建立连接。由于远程访问技术全面支持驱动器盘符和统一命名规范(UNC)名称,因此,大多数商业应用程序和自定义应用程序无需任何修改即可正常工作。
图1显示了远程访问客户端同远程访问服务器建立连接时的逻辑对等关系。
图1 远程访问连接逻辑对等关系
Windows 2000远程访问功能提供了两种不同类型的远程访问连接方式:
拨号远程访问方式:通过拨号远程访问方式,远程访问客户端可以利用电信基础设施(通常情况下为模拟电话线路)来创建通向远程访问服务器的临时物理电路或虚拟电路。一旦这种物理电路或虚拟电路被创建,其余连接参数将通过协商方式加以确定。
虚拟专用网络(VPN)远程访问方式:通过虚拟专用网络远程访问方式,VPN客户端可以使用IP网络与充当VPN服务器的远程访问服务器建立虚拟点对点连接。一旦这种虚拟点对点连接被创建,其余连接参数将通过协商方式加以确定。
高级远程访问特性
远程访问与远程控制是两种不同概念。远程访问服务器是一种基于软件的多协议路由器,远程控制解决方案则通过在远程链接基础上共享屏幕、键盘与鼠标的方式进行工作。远程访问与远程控制解决方案的不同之处在于:
在远程访问过程中,应用程序在远程访问客户端计算机上运行。通常情况下,一台运行Windows 2000 Server和路由与远程访问服务的计算机可以充当远程访问服务器,而一台运行Windows 2000 Professional的计算机则可充当远程访问客户端。
在远程控制解决方案中,所有用户共享服务器上的单颗或多颗CPU。在远程控制过程中,应用程序在服务器上运行。远程访问服务器上的CPU将专门用于承担远程访问客户端与网络资源之间的通信任务,而不参与应用程序运行。通常情况下,一台运行Windows 2000 Server和终端服务的计算机可以充当远程控制服务器,而一台运行Windows 2000 Professional和终端服务客户端的计算机则可充当远程控制客户端。
拨号远程访问连接组成元素
如图2所示,拨号远程访问连接由远程访问客户端、远程访问服务器和广域网(WAN)基础架构所组成。
图2 拨号远程访问连接组成元素
远程访问客户端
Windows XP、Windows 2000、Microsoft® Windows NT® 4.0、Microsoft® Windows® Millennium Edition以及Microsoft® Windows® 98远程访问客户端均可与Windows 2000远程访问服务器以及其它大多数拨号远程访问服务器建立连接。包括UNIX和Apple Macintosh在内的几乎所有第三方端对端协议(PPP)远程访问客户端均可与Windows 2000远程访问服务器建立连接。
远程访问服务器
Windows 2000远程访问服务器能够接受拨号网络连接并在远程访问客户端与远程访问服务器所处网络之间转发数据包。
拨号设备与WAN基础架构
远程访问服务器与远程访问客户端之间的物理或逻辑连接需要通过安装在远程访问客户端、远程访问服务器和电信基础设施上的拨号设备加以建立。基于所需建立的连接类型,具体使用的拨号设备与电信基础设施特性将各有不同。
远程访问协议
远程访问协议用以在广域网(WAN)链接上对连接建立与数据传输过程进行控制。远程访问客户端与服务器上所采用的操作系统及LAN协议将决定您的客户端能够使用哪些远程访问协议。 目前,包括Windows XP、Windows 2000和Windows Millennium Edition在内的各种Microsoft操作系统所支持的首要远程访问协议为端对端协议(PPP),作为一组行业标准协议集合,PPP提供了安全特性、多协议支持以及交互操作能力。
LAN协议
LAN协议是指远程访问客户端在访问与远程访问服务器连接的网络上的相关资源时所使用的协议。Microsoft远程访问功能支持TCP/IP、IPX和AppleTalk。
表1列出各种远程访问协议及其用途
表1 LAN协议及其用途
VPN远程访问连接组成元素
如图3所示,VPN远程访问连接由远程访问客户端、远程访问服务器和Internet三部分所组成。
图3 VPN远程访问连接组成元素
远程访问VPN客户端
VPN客户端既可以是获得远程访问VPN连接的独立用户,也可以是获得路由器到路由器VPN连接的路由器。Windows XP、Windows 2000、Windows NT 4.0、Windows Millennium Edition和Windows 98 VPN客户端均可与将Windows 2000作为VPN服务器或运行其它大多数VPN服务器的远程访问服务器建立远程访问VPN连接。此外,VPN客户端也可以是任意一种非Microsoft端对端隧道协议(Point-to-Point Tunneling Protocol,PPTP)客户端或使用Internet协议安全性(IPSec)的第二层隧道协议(Layer Two Tunneling Protocol,L2TP)。运行Windows 2000 Server或Windows NT Server 4.01的计算机均可创建路由器到路由器VPN连接。
远程访问VPN服务器
Windows 2000远程访问服务器能够接受基于PPTP或L2TP/IPSec的VPN连接,并在远程访问客户端与远程访问服务器所处网络之间转发数据包。
VPN协议
Windows 2000远程访问服务器与客户端支持两种针对远程访问VPN连接VPN协议:
端对端隧道协议
第二层隧道协议
端对端隧道协议
端对端隧道协议(PPTP)是Windows NT 4.0中首先提供支持的隧道协议。PPTP是对端对端协议(PPP)的一种扩展,它采用了PPP所提供的身份验证、压缩与加密机制。PPTP能够随TCP/IP协议一道自动进行安装。PPTP与Microsoft端对端加密(MPPE)技术提供了用以对保密数据进行封装与加密的首要VPN服务。
一个PPP帧(一个IP或IPX数据包)将通过通用路由封装(Generic Routing Encapsulation,GRE)报头和IP报头进行封装。IP报头中提供了与VPN客户端和VPN服务器相对应的源IP地址和目标IP地址。
MPPE将通过由MS-CHAP、MS-CHAP v2或EAP-TLS身份验证过程所生成的加密密钥对PPP帧进行加密。为对PPP帧中所包含的有效数据进行加密,虚拟专用网络客户端必须使用MS-CHAP、MS-CHAP v2或EAP-TLS身份验证协议。PPTP将利用底层PPP加密功能并直接对原先经过加密的PPP帧进行封装。
图4显示了针对PPP帧的PPTP封装与加密方式。
如果您所使用的浏览器产品不支持嵌入式框架, 请点击此处以便在独立页面中进行浏览。
图4 针对PPP帧的PPTP封装与加密方式
第二层隧道协议
第二层隧道协议(L2TP)是一种Internet工程任务组(IETF)标准隧道协议。与PPTP不同,Windows 2000所支持的L2TP协议并非利用MPPE对PPP帧进行加密。L2TP依靠Internet协议安全性(IPSec)技术提供加密服务。L2TP与IPSec的结合产物称为L2TP/IPSec。VPN客户端与VPN服务器都必须支持L2TP和IPSec。L2TP将随同路由与远程访问服务一道自动进行安装。
L2TP/IPSec提供了针对保密数据进行封装与加密的首要VPN服务。
在IPSec数据包基础上所进行的L2TP封装由两个层次组成:
L2TP封装: PPP帧(IP或IPX数据包)将通过L2TP报头和UDP报头进行封装。
IPSec封装: 上述封装后所得到的L2TP报文将通过IPSec封装安全性有效载荷(ESP)报头、用以提供消息完整性与身份验证的IPSec身份验证报尾以及IP报头再次进行封装。IP报头中将提供与VPN客户端和VPN服务器相对应的源IP地址和目标IP地址。IPSec加密机制将通过由IPSec身份验证过程所生成的加密密钥对L2TP报文进行加密。
图5显示了针对PPP数据报的L2TP/IPSec封装与加密方式。
图5 针对PPP数据报的L2TP/IPSec封装与加密方式
Internet
VPN远程访问客户端与VPN远程访问服务器之间可以采用任意一种基于TCP/IP的网络作为中间媒介,通常情况下,这种中间媒介为Internet。VPN远程访问客户端通常使用ISP所提供的拨号远程访问连接方式对Internet进行访问。之后,他们将通过VPN远程访问连接对其组织机构网络进行访问。
高级远程访问特性
当前所使用的Microsoft操作系统支持以下针对远程访问连接的高级特性:
RADIUS客户端支持能力
多点传送转发支持能力