远程接入技术简述

远程接入技术允许家庭用户、移动用户和远程办公用户访问一个公司网络或在ISP情况下的
因特网上的资源。远程接入方法应该允许远程用户就像直接连接到网络上一样并使用相同的协议访问某个网络。下面讨论的是访问公司网络,但与使用ISP连接访问因特网有许多相似之处。 有两种类型的远程操作: 远程控制：在此模式中,拨号用户远程控制连接到公司网络上的计算机。只有键盘命令和屏幕更新通过拨号连接。 远程节点：在此模式中,用户的远程计算机成为网络的另一节点。所有请求和响应通过拨号连接,通常借助于封装TCP/IP协议的PPP链路。 远程控制方法可以为用户提供更好的性能,
但是必须在公司LAN上安装一台专用计算机供远程用户控制使用。仿真
同一机箱中许多PC的接入服务器是可用的。远程控制公司站点上的计算机降低了带宽需求。 远程节点连接允许用户使用本机协议(如TCP/IP或IPX)连接到网络,这是多
数人通过拨号和通过ISP连接访问因特网的方法。 典型的远程接入情况包括通过拨号或另—接入方法访问公司资源的家庭用户,这些用户可以直接拨入公司网络。另一情况是从业务伙伴的位置通过外联网连接或永久租用线路访问公司网络的用户,用户可以从他们自己的计算机或通过业务伙伴拥
有的计算机访问公司网络。 NAS(网络接入服务器) 网络接入存储采用网络（TCP/IP、ATM、FDDI）技术，通过网络交换机连接存储系统和服务器主机，建立专用于数据存储的存储私网。 远程用户通常与NAS(网络接入服务器)连接,NAS终接呼叫并提供PPP会话的端点。
然后，RADIUS服务器处理AAA(身份验证、授权和记帐)功能。RADIUS服务器是验证安全服务器。
例如在路由器上，可以将所有的各种类型的访问都指向RADIUS 服务器，由RADIUS 根据原来的配置允许或者拒绝访问，从而保证网络等资源的安全性。 RADIUS 是一种用于在需要认证其链接的网络访问服务器（NAS）和共享认证服务器之间进行认证、授权和记帐信息的文档协议。RADIUS 使用 UDP 作为其传输协议。此外 RADIUS 也负责传送网络接入服务器和共享计费服务器之间的计费信息。 NAS是进入另一网络的网关,它控制一个外部调制解调器池或是一个包括好几百个调制解调器的模块化平台。前者通常应用在只有几个远程用户需要拨入的公司站点上,具有大量移动人员的组织常常使用后者。ISP(因特网服务提供商)还使用接入服务器为全体社团提供对于因特网的拨号访问。 通常的接入服务器响应远程用户的拨入呼叫并执行登录/身份验证以核实用户。由于安全原因和长途呼叫反向计费问题,接入服务器可以挂断连接并以预定的号码回呼用户。如上所述,在许多接入服务器上,身份验证由RADIUS执行。一个称为DIAMETER的较新协议正在出现。Microsoft RAS(远程接入业务)对在Windows NT/Windows 2000 用户数据库具有帐户的用户进行身份验证。 如果用户在地理上是远程的，因特网隧道(如L2TP(第二层隧道协议))可以允许用户拨本地ISP并通过因特网连接公司网络以节省长途费用。虽然L2TP非常适用，但它通过公共因特网发送没有加密的数据。IPSec(IP安全)是一个隧道和VPN协议,它为远程访问用户提供了高安全等级。IPSec可以为路由器之间、防火墙之间或者路由器和防火墙之间提供
经过加密和认证的通信。虽然它的实现会
复杂一些，但其安全性比其他协议都完善得多。 一个称为NetworK Access Server Requirements(网络接入服务器要求)( nasreq)的IETF工作组正在起草一个NAS(网络接入服务器)的功能规范和提供该功能的协议要求。 现在,大型服务提供商和电信公司向较小的ISP和其他需要支持在遥远位置的大量用户的组织批量销售拨号和接入业务。服务提供商在其PoP的许多机架上安装调制解调器、身份验证服务器和其他接入设备。较小的ISP向该服务提供商寻求外包,租用一些调制解调器。远程用户呼入本地的PoP,并通过因特网建立对公司站点的L2TP或IPSec会话。 容纳NAS和调制解调器的实际设备已经变得非常复杂,成百甚至
上千个调制解调器集中在机架单元内,并且是可从一个中心设备进行软件编程的,从而支持快速升级。Texas Instruments公司在Web ProForum Web站点上有一篇叫做“The Evolution of the Remote Access Server (RAS) to a Universal Port-Enabled Platform”论文,对此进行了进一步描述。TI的GoldenPort解决方案可以自动判断并适应任何可用端口的任何呼叫类型,它通过多数据分组网络(包括IP、帧中继和ATM)传输来自传统POTS接口的话音、传真和调制解调器呼叫。