第12章 远程访问、NAT技术.ppt

12.2.3 NAT服务器的架设 配置动态端口转换（PAT） 新增路由协议 新增接口 选择专用接口（接内网） 选择公用接口（接外网） 测试内网访问外网 配置端口重定向 端口重定向使得外网的计算机能够访问内网。 :80 ??:80 找到“Web服务器（HTTP）” 12.2.4 NAT管理 显示映射 NAT属性 “常规”选项卡：可以指明事件日志记录什么内容 NAT属性 “转换”选项卡： 可以设置TCP和UDP映射最长的存在时间。当然如果用户程序断开了TCP连接，则映射会立即被删除，并不需要等到最长时间。 NAT属性 地址分配 如果企业内部的网络没有DHCP服务器存在，可以在这里设置一个IP地址范围，为计算机分配IP地址。 Thank You. 启用“路由和远程访问服务” 启用“路由和远程访问服务” 可选择如何对远程客户端分配IP地址的方法。如果选择“自动”选项，则VPN服务器将从安装在同一计算机上的DHCP服务器获得IP地址后再分配给客户端。 启用“路由和远程访问服务” IP地址应该是私有IP地址，并且不得和企业内部的地址段/在同一网段 启用“路由和远程访问服务” 用路由和远程访问来对连接请求进行身份验证”，这时用户名和密码存放于VPN服务器上或者VPN服务器所在域的域控制器上 启用“路由和远程访问服务” 在VPN服务器上，创建用户“user1”，并打开用户的“属性”窗口，选择“拨入”选项卡，选择“允许访问”选项，单击“确定”按钮保存。注意：不能要求user1用户下次登录时必须修改密码。 启用“路由和远程访问服务” 配置路由和远程访问服务 WIN2008-3上进行 配置路由和远程访问服务 Windows 身份验证：服务器使用本地帐户数据库或域帐户数据库来对远程访问连接或请求拨号连接的凭据进行身份验证。 RADIUS 身份验证：远程访问服务器使用远程身份验证拨入用户服务 (RADIUS) 服务器来对远程访问连接-或请求拨号连接的凭据进行身份验证。 自定义IPSec 策略 允许为 L2TP 连接允许自定义 IPSec 策略”选项：指定 L2TP 连接是否可以使用自定义 IPSec 策略。如果选中此复选框，必须指定预共享密钥，供使用此自定义 IPSec 策略的所有连接使用，VPN客户端计算机上也必须配置相同的共享密钥。需要重启路由和远程访问服务，预共享密码才生效。 身份认证方法 所谓的认证方法是：客户端要连接到服务器时，服务器要识别客户端是否合法，最简单的方式就是客户端要提供用户名和密码，然而客户端不能以明码的方式直接把用户名和密码发送到服务器，否则对于现在的黑客来说就等于是没有密码，因此要采用安全的方法把用户名和密码发送到服务器端进行认证，整个认证的过程就是认证方法。 身份认证方法 EAP 方法： 单击可以查看已安装的 EAP 方法。默认是PEAP，PEAP 使用传输层安全性 (TLS) 在身份验证 PEAP 客户端（例如无线计算机）与 PEAP 身份验证器（例如网络策略服务器 (NPS) 或远程身份验证拨入用户服务 (RADIUS) 服务器）之间创建加密通道。 Microsoft 加密身份验证第 2 版 (MS-CHAP v2)： 指定服务器是否使用 Microsoft 质询握手身份验证协议 (MS-CHAP) 第 2 版对远程访问连接和请求拨号连接进行身份验证。MS-CHAP v2 提供相互身份验证和更强大的加密，加密的点对点 (PPP) 连接或点对点隧道协议 (PPTP) 连接要求使用 MS-CHAP v2。 加密的身份验证 (CHAP)： 指定服务器是否使用 Message Digest 5 (MD-5) 质询握手身份验证协议 (CHAP) 对远程访问连接和请求拨号连接进行身份验证。基于安全原因，不建议选择此项。 未加密的密码 (PAP)： 指定服务器是否使用密码身份验证协议 (PAP) 对远程访问连接和请求拨号连接进行身份验证。在 PAP 身份验证期间，密码以纯文本形式（而不是加密形式）发送。只有必须支持 PAP 远程访问客户端时，才应使用此身份验证协议。基于安全原因，不建议选择此项。 允许远程系统不经过身份验证而连接： 指定服务器是否允许不经过身份验证的连接。不经过身份验证的连接不要求提供用户名和密码。 “IPv4”选项卡 在窗口下方的“适配器”下拉框中选择“本地连接” 使得VPN服务会把自己的“本地连接”网卡上的DNS、WINS设置分配给用户（即：DNS和WINS均为） “端口 属性” 12.1.4 VPN客户端配置和测试 PPTP客户端 12.1.4 VPN客户端配置和测试 12.1.4 VPN客户端配置和测试 12.1.4 VPN客户端配置和测试 在实际应用中，通常是使用域名的，因此需要在Inter