遠程訪問服務

所謂的遠程訪問是指客戶端利用WAN技術，通過某種遠程連線方式（如Modem+電話線）登錄到本地網路中，至於“遠程”也未必千里之外，可能就在隔壁。顯然，遠程訪問服務（Remote Acess Service，RAS）就是允許計算機通過某種遠程連線來訪問本地的網路資源，為那些沒有條件與本地網路直接相連的用戶提供接入服務。

遠程訪問主要是提供用戶通過電話網撥接（包括ADSL）功能，使得遠程的用戶、網線不易鋪設到的用戶或者出差在外地的用戶都可以通過電話撥號的方式連入網路。RAS-遠程訪問服務：一種微軟公司的實用工具，用來實現一個遠程設備通過撥號線路連線到中央伺服器。RAS支持通過撥號鏈路實現IPX,TCP/IP和NetBEUI連線。RAS能夠在Windows for Workgroups內得到，在WindowsNT中提供更強大的版本。在WIN95/98下同樣方便地集成為遠程網路訪問（RNA）或撥號網路（DUN）。

Windows Server 2003具有遠程訪問功能，該功能使用戶可以遠程訪問企業網路，就像使用物理連線著一樣。目前Windows系統為開發人員提供兩種撥號網路開發接口，一種是遠程訪問服務API，另一種是Windows Internet API。

在Windows Server 2003系統中，“遠程訪問”不再局限於通過數據機、ISDN等撥號工具進行遠程撥號連線，還包括VPN通信方式所進行的的非撥號連線，所依賴的就是“路由和遠程訪問”服務。

Windows Server 2003的遠程訪問網路，一般包括以下幾部分：

Windows Server 2003遠程訪問伺服器就是一台激活了路由和遠程訪問服務的計算機，提供遠程客戶訪問整個網路的共享資源，或者限制只能到遠程訪問伺服器的資源上訪問。伺服器必須有至少一個數據機或一個多連線埠適配器、模擬電話線或其它WAN連線。如果伺服器提供對網路的訪問，還必須安裝網卡，並連入伺服器提供訪問的網路。對經Internet訪問的虛擬專用網路，一般伺服器應有到Internet的永久性連線。

連線到遠程訪問伺服器上的客戶機可以是Windows NT/2000/XP、Windows 9x、MS-DOS以及任何Microsoft客戶機，也可以是使用TCP/IP、IPX、NetBEUI或AppleTalk的非Microsoft客戶機。客戶機必須安裝有數據機、模擬電話線或其它其它WAN連線、遠程訪問軟體。

遠程訪問協定是在WAN上傳輸信息的規範，支持PPP、SLIP（Serial Line Internet Protocal，串列線路網際協定）和Microsoft RAS(NetBEIU)等遠程訪問協定。

Windows Server 2003遠程訪問支持TCP/IP、IPX、Apple Talk和NetBEUI區域網路協定訪問Internet/UNIX、NetWare伺服器和Apple Macintosh。

隧道協定是用來創建VPN客戶機到VPN伺服器上的安全連線。Windows Server 2003遠程伺服器支持PPTP和L2TP兩種隧道協定。

Windows Server 2003遠程訪問允許遠程客戶由數據機或Medem池通過標準的電話線撥入網路，也支持遠程客戶用ISDN、X.25、ATM實現較快的廣域網連線，或串列連線埠連線、並行連線埠連線、紅外連線等直接連線。

Windows Server 2003遠程訪問伺服器可以提供遠程客戶接入Internet服務。

Windows Server 2003具有登錄和域的安全性檢查、安全主機支持、數據加密、遠程身份驗證撥入用戶服務（RADIUS）、智慧卡、回叫複查、賬戶鎖定等安全措施，為遠程客戶提供安全的網路訪問，使得遠程訪問甚至比本地訪問更安全。

實現遠程訪問有多種方式，但主要有以下兩類：

（1）將計算機直接連入公司網路，方式是通過撥號數據機、ISDN等；

（2）通過在Internet上（WIFI、光纜、DSL、乙太網等）開闢專用通道或者VPN連入公司網路。

如果在外地出差的員工想訪問公司LAN內資源，分公司想訪問總公司LAN內資源時，我們該怎么做？ 可以利用windows 2003的RAS服務搭建VPN（虛擬專用網路）實現。

1.專線或者windows2003的RAS(remote access server)遠程訪問服務,允許

客戶機通過VPN或者撥號連線遠程訪問內部網路.

2.WINDOWS中的安全用戶驗證協定;

EAP(可擴展驗證協定) 是PPP協定的一種擴展

CHAP(握手身份驗證協定) 伺服器傳送一個查問到客戶機，客戶機傳送回響

回伺服器（包含HASH過後的查問回響和密碼），伺服器對存在其上的查問回響

和密碼進行HASH運算後對比。相同，則通過驗證。（該協定比較流行）

PAP協定(口令驗證協定) 伺服器要求客戶機提供用戶名和密碼，在

網路中明文傳輸，不夠安全。

3.RAS客戶端與RAS伺服器連線類型:

PSTN（公共電話交換網）;兩端都需要Modem,伺服器端需要做Modem池,供很多客戶

連線.

ISDN（綜合業務數字網）;兩端需要ISDN適配器.

1.VPN在LAN間創建傳輸數據的網路隧道,數據傳輸時被加密,保證安全性.

2.VPN基於兩種協定,PPTP(點到點隧道協定),L2TP(第二層隧道協定).

PPTP將PPP楨封裝成IP數據包,基與TCP連線,創建,維護,終止隧道並將PPP楨加密

或壓縮.由於windows採用 MPPE協定加密(microsoft點到點協定)必須採用EAP,或

者MS-CHAP的身份驗證協定.

L2TP將PPP幀封裝成UDP訊息,可作為internet或者專用網路的隧道協定.利用IPSEC

進行信息加密.（IPSEC是網路層協定,它提供了IP報文安全性.）

2003已將RAS安裝,但未激活.

1.管理工具--路由和遠程訪問......激活RAS服務.

2.添加RAS伺服器

3.配置伺服器屬性."安全"選擇"windows身份驗證" "IP" 中設定客戶端IP的獲得方式

4.管理用戶撥入屬性.有域存在,在"AD用戶與計算機"中的"USER"修改用戶屬性中的

"撥入"項 為 "允許訪問"

5.配置遠程訪問策略

根據需求不同有三種方式

1.內連網VPN 企業總部與分支機構通過internet構建的虛擬網

2.撥號VPN 企業員工通過撥號構建的虛擬網

3.外連網VPN 不同企業間通過internet構建的虛擬網

VPN伺服器必須有雙網卡,一塊連外網,一塊連內.

1)創建一個撥號連線

WINNIN RAS2600遠程訪問伺服器以低廉的價格提供複雜的遠程訪問與本地LAN之間的連線通過完全支持RADIUS認證和計帳以及PPP、PAP、CHAP、SLIP和CSLIP,RAS2600成為企業或Internet服務商的理想的遠程訪問伺服器。它對所有通過PPP撥接的的客戶提供固定回叫。並對通過Windows NT4.0或Windows95撥接的客戶提供漫遊回叫。RAS2600將PPP功能併入一體化的主機中，並集16個V90 56K MODEM於一體，使用簡潔、 結構緊湊、性能可靠,顯示出極強的競爭力。通過網路瀏覽器，在網上任何地點，JETset Web GUI都能進行完整的連線埠管理，從而使得維護和調試非常方便。RAS2600還提供其它管理工具，如SNMP、BOOTP、FLASH存儲器和一個本地管理連線埠。

固定回叫：用戶拔號登錄後,RAS2600自動斷線,然後按指定的號碼拔出

漫遊回叫：程用記拔號後,RAS2600接收遠程用戶輸入的號碼,自動斷線,然後RAS26000按照指定的號碼拔出

閒置斷線時間(idle timer)：指定的時間內未輸入按鍵時RAS2600自動斷線

允許訪問時間(session timer)：許用戶訪問伺服器的時間

證券營業部遠程訪問系統

稅務、銀行、保險系統

郵電撥號、備份網路

CISCO、華為、博達、2509/2511配套

SPECIALIX、CHASE、GTS、MOXA配套