„Проектиране на корпоративна vpn мрежа
Изтегляне 2.17 Mb.
|
- Навигация на страницата:
- 10.2 Scalabil i ty
- 10.3 Remote Authentication Dial-in User Service(RADIUS)
| 10.1 Оторизиране на VPN конекции
За да осигури оторизация за VPN връзки и да даде метод за ограничаването им, Windows Server 2003 VPN конекциите използват комбинация от dial-in характеристики на потребителските акаунти в локална или domain база данни и политики за отдалечен достъп (remote access policies). Remote access policies са група правила, които определят как конекциите се приемат или отхвърлят, а за приетите конекции те дефинират също и ограничения (restrictions). За всяко правило има по едно или няколко условия, група от профилни опции и опция за разрешение за отдалечен достъп (remote access permission). Опитите за осъществяване на връзка се оценяват от remote access политиките последователно, опитвайки се да определят дали опитът отговаря на всички условия на всяка от политиките. Ако това не е изпълнено, конекцията се отказва. Ако една връзка бъде приета и й е даден permission за отдалечен достъп, policy profile-ът определя ограниченията за нея. Тези ограничения включват характеристиките на конекцията (като максимално време на съществуване и idle timeout), филтриране на IP пакетите, автентикационните протоколи и изискваното криптиране. Dial-in свойствата на потребителския акаунт също дават набор от рестрикции. Където е подходящо, ограниченията, зададени от акаунта, покриват тези, които са определени от policy profile-а. 10.2 Scalability Redundancy и load balancing се осъществява или чрез DNS, или чрез Network Load Balancing: • Round-robin DNS се използва за разделени заявки между VPN сървъри, които покриват общ периметър на сигурност (security perimeter). Един security perimeter има едно външно DNS име (например, microsoft.com), но няколко IP адреса и съдържанието е произволно разпределено между тях. • Чрез Network Load Balancing, клъстер от VPN сървърски компютри може да гарантира голяма гъвкавост и load balancing както за PPTP, така и за L2TP/IPSec конекции. 10.3 Remote Authentication Dial-in User Service(RADIUS) Протоколът RADIUS е популярен метод за осъществяване на отдалечен authentication и authorization, който е базиран на UDP. RADIUS сървъри могат да се разположат навсякъде в Интернет и да предоставят автентикация (включвайки PPP PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP) и оторизация за VPN сървъри. Освен това, RADIUS сървърите могат да осигурят proxy услуга за предаване на автентикационни заявки до далечни RADIUS сървъри. Например, много доставчици на Интернет (ISP) имат договореност да разрешават на roaming абонатите да използват локални услуги от най-близкия ISP за dial-up достъп до Интернет. Roaming обединенията се възползват отлично от proxy услугата на RADIUS. Ако един ISP разпознае даден username като потребител на отдалечена мрежа, доставчикът използва RADIUS proxy, за да препрати заявката за достъп до подходящата мрежа. Windows Server 2003 включва RADIUS сървър и прокси с Internet Authentication Service (IAS), изборен мрежови компонент за Windows, който се инсталира от Control Panel – Network. Изтегляне 2.17 Mb. Сподели с приятели:
|