Skip to main content
IAS 和隧道

更新时间: 2005年1月

应用到: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

IAS 和隧道

隧道,也称为封装,它是一种使用一个协议的 Internet 网络基础结构传输负载的方法。有时,负载由另一个协议的帧(或数据包)组成。帧不是在原始主机形成帧时发送的,而是用其他标头进行封装的。其他标头提供了所需的路由信息,使封装的负载可以传送中间 Internet 网络(也称为中转 Internet 网络)。然后,通过中转 Internet 网络在隧道端点之间路由封装的数据包。封装的负载数据包到达中转 Internet 网络上各自的目的地之后,帧将解除封装并被转发到其最终目的地。

数据包的封装、传输和解除封装的全过程称为隧道操作。封装的数据包通过其传输的中转 Internet 网络中的本地路径称为隧道。

使用远程访问虚拟专用网 (VPN) 连接,可以进行两种类型的隧道操作:

  1. 主动性隧道操作

  2. 强制性隧道操作

主动性隧道操作

用户或客户机可以发出 VPN 请求,配置和创建主动性隧道。在这种情况下,用户计算机不仅是隧道端点,而且是隧道客户端。在工作站或者路由器使用隧道操作客户端软件创建同目标隧道服务器的 VPN 连接时,将会执行主动性隧道操作。要完成此项操作,必须在客户机上安装相应的隧道操作协议。在最常用的拨号情况下,客户端必须先建立同 Internet 网络的拨号连接,然后才能对隧道进行设置。例如,如果是拨号 Internet 用户,他们必须通过拨打 ISP 获得 Internet 连接,然后才能创建通过 Internet 的隧道。

主动性隧道操作与其他类型的网络访问没有什么区别,IAS 可用于身份验证、授权和记帐。

强制性隧道操作

强制性隧道操作就是由其他计算机或网络设备代表客户机创建安全隧道。强制性隧道是自动为用户配置和创建的,无需通知他们也无需他们的参与。使用强制性隧道,用户计算机不是隧道端点。用户计算机和隧道服务器之间的另一台设备是隧道端点,它充当隧道客户端。

有些出售拨号访问服务器的供应商代表拨号客户端创建隧道。为客户机提供隧道的计算机或网络设备称为 PPTP 中的前端处理器 (FEP)、L2TP 中的 L2TP 访问连接器 (LAC) 或 IPSec 中的 IP 安全网关。术语 FEP 用于描述隧道创建功能,与使用的协议无关。要执行其功能,FEP 必须安装了相应的隧道操作协议,且可以在客户机尝试连接时建立隧道。Windows Server 2003,Standard Edition、Windows Server 2003,Enterprise Edition、Windows Server 2003,Datacenter Edition 和 Windows 2000 路由和远程访问服务不能用作 FEP。

组织可以与 ISP 签定在全国部署 FEP 的合同。这些 FEP 可建立从 Internet 到连接至组织专用网络的 VPN 服务器的隧道,因此可以将呼叫从分散的地理位置整合到组织网络上的单个 Internet 连接。

强制性隧道操作分为两种。在第一种类型中,隧道是在对访问客户端进行身份验证之前创建的。根据领域名或访问客户端的呼叫方 ID,FEP 可以将“访问-请求”发送到 IAS 服务器。IAS 服务器立即发送回包含 RADIUS 属性的“访问-接受”消息,以便创建隧道而无需执行身份验证和授权。创建隧道之后,访问客户端可以对隧道服务器进行身份验证。

在第二种类型的强制性隧道操作中,隧道是在 FEP 对访问客户端进行身份验证之后创建的。在这种情况下,FEP 会向 IAS 服务器发送带客户端凭据的“访问-请求”消息。IAS 服务器对连接尝试进行身份验证和授权,并在“访问-请求”消息中返回 RADIUS 属性,这些属性指定可 NAS 如何初始化与 VPN 服务器之间的隧道。隧道端点(隧道终止处的 VPN 服务器)可以根据远程访问策略中的条件进行更改。例如,隧道端点可以根据用户名或用户帐户组成员身份进行更改。通过控制强制性的隧道与远程访问策略,可以提供比静态隧道操作(需要专用的网络访问服务器)或基于领域的隧道操作(要求给定领域中的所有用户使用相同的隧道设置)更大的灵活性。

用于强制性隧道操作的 RADIUS 属性

以下是用于载送从 IAS 服务器到 FEP 的强制性隧道操作信息的 RADIUS 属性列表。无论强制性隧道的类型如何,使用的属性设置均相同。

  • 仅用于授权的属性:

    • Tunnel-Preference

    • Tunnel-Password

      该属性不能与 RADIUS 代理一同使用。

  • 在授权和记帐管理中使用的属性:

    • Tunnel-Type(例如 PPTP 和 L2TP)

    • Tunnel-Medium-Type(例如 X.25、ATM、帧中继和 IP)

    • Tunnel-Client-Endpoint

    • Tunnel-Server-Endpoint

    • Tunnel-Private-Group-ID

    • Tunnel-Assignment-ID

    • Tunnel-Client-Auth-ID

    • Tunnel-Server-Auth-ID

  • 仅用于记帐管理的属性:

    • Acct-Tunnel-Connection-ID

强制性隧道操作示例

下表列出了指定强制性隧道的强制性隧道操作 RADIUS 属性组。此隧道使用第二层隧道操作协议 (L2TP) 和 IP 地址为 131.107.9.41 的 VPN 服务器,隧道密码为 og*37y#cW@95?4xT。

 

属性

Framed-Protocol

PPP

Service-Type

Outbound-User

Tunnel-Medium-Type

IP(IP 4 版)

Tunnel-Password

og*37y#cW@95?4xT

Tunnel-Server-Endpt

131.107.9.41

Tunnel-Type

Layer Two Tunneling Protocol (L2TP)

要配置 IAS,请在相应远程访问策略的配置文件属性页的“高级”选项卡中,添加这些属性的所有版本及其相应的值。详细信息,请参阅 将 RADIUS 属性添加到远程访问策略

注意

  • 使用 RADIUS“访问-接受”数据包,可以发送描述多重隧道的隧道属性。但是,IAS 仅返回单个隧道的信息。

  • IAS 仅支持一个强制性隧道,以供每个连接请求和远程访问策略使用。