Використання служби RADIUS
Служба RADIUS (Remote Authentication Dial-in User Service) є проміжною ланкою між сервером віддаленого доступу (який в даному випадку називають клієнтом RADIUS) і службою каталогів в корпоративній мережі. Сервер RADIUS дозволяє вирішити два основні завдання:
- інтеграція в єдину систему серверів віддаленого доступу від різних виробників;
- централізоване управління доступом в корпоративну мережу (служба RRAS в системі Windows Server настроюється індивідуально для кожного сервера RRAS).
Служба RADIUS працює за наступною схемою:
- спочатку встановлюється телефонне (або інше) з'єднання між клієнтом і сервером видаленого доступу;
- користувач пересилає серверу RAS запит на аутентифікацію (свої ім'я і пароль);
- сервер віддаленого доступу (що є клієнтом сервера RADIUS) пересилає даний запит серверу RADIUS;
- сервер RADIUS перевіряє запит на аутентифікацію в службі каталогів (наприклад, в службі Active Directory) і посилає у відповідь RAS-серверу дозвіл або заборону даному користувачеві на підключення до сервера віддаленого доступу;
- сервер віддаленого доступу або підключає користувача до корпоративної мережі, або видає відмову в підключенні.
Реалізація служби RADIUS в системі Windows Server називається службою IAS (Internet Authentication Service).
Розділ "Інтерфейси мережі" консолі "Маршрутизація і видалений доступ"
У даному розділі консолі перераховуються всі мережеві інтерфейси, встановлені на сервері (мережеві адаптери, модеми). Нагадаємо, що інтерфейс "Внутрішній" — це інтерфейс, до якого підключаються всі клієнти віддаленого доступу, незалежно від типу підключення (по комутованих телефонних лініях, через віртуальну приватну мережу і так далі).
Розділ "Клієнти видаленого доступу" консолі "Маршрутизація і віддалений доступ"
У даному розділі здійснюється моніторинг в реальному часі клієнтів, що підключилися до сервера віддаленого доступу.
Розділ "Порти" консолі "Маршрутизація і видалений доступ"
У розділі "Порти" перераховуються всі доступні точки підключення до служби віддаленого доступу:
- паралельний порт (для прямого з'єднання двох комп'ютерів через порт LPT);
- модеми, доступні для служби віддаленого доступу;
- порти, доступні для підключень за допомогою віртуальних приватних мереж (якщо адміністратор при налаштуванні сервера вказав, що використовуватимуться віртуальні приватні мережі, то на сервер автоматично додаються по 128 портів для кожного з протоколів PPTP і L2TP, надалі адміністратор може змінити кількість портів, доступних для того або іншого протоколу).
Розділ "IP-маршрутизація" консолі "Маршрутизація і віддалений доступ"
У цьому розділі додаються, видаляються і настроюються як статичні маршрути, так і необхідні динамічні протоколи маршрутизації:
- Агент ретрансляції DHCP-запитів (DHCP Relay Agent) — використання агента ретрансляції запитів DHCP детально обговорювалося в пункті, присвяченому службі DHCP, налаштування даного агента проводиться саме в даному розділі служби RRAS;
- Протокол IGMP — даний протокол призначений для маршрутизації multicast-пакетів протоколу TCP/IP (даний вид пакетів і адреса використовується в основному при передачі мультимедіа-інформації);
- Служба трансляції мережевих адрес (NAT, Network Address Translation) — дана служба дозволяє обмінюватися інформацією між мережами з внутрішніми IP-адресами і мережами з адресами, зареєстрованими в мережі Інтернет (спрощений варіант проксі-сервера);
- Протокол RIP версії 2 для IP — протокол динамічної маршрутизації IP-пакетіов;
- Протокол OSPF (Open Shortest Path First) — також протокол динамічної маршрутизації IP-пакетів, складніший в налаштуванні в порівнянні з RIP, але ефективніший у великих мережах.