32 Distansarbete, fjärranslutning med RAS, DUN och RRAS

32 Distansarbete, fjärranslutning med RAS, DUN och RRAS Hittills har klienterna i vårt nätverk varit fast anslutna datorer, fast anslutna till det lokala nätverket. Nu skall vi se litet närmare på möjligheter att hantera användare som befinner sig utanför de egna lokalerna. Hantera distansarbetsstationer När man försöker administrera hela sitt nätverk är det lätt hänt att de som ofta arbetar utanför organisationens lokaler inte riktigt kommer med innanför hägnet. Deras arbetsstationer är inte alltid anslutna till nätverket och när de är anslutna sker det ofta över en långsammare förbindelse. Detta gör att administratörerna ofta måste specialbehandla dessa datorer vad gäller uppgraderingar och annat (det är inte så roligt att bli påtvingad några hundra megabyte om man sitter på en ISDN-förbindelse). Det finns flera produkter som försöker lösa hela eller delar av problemen kring distansarbetsplatser: q Livingston Portmaster q Shiva LANRover q US Robotics (numera 3Com) NetServer q Attachmate Remote LAN Node q med flera Det som styr ditt val torde vara välkända saker som: funktionalitet, administration, säkerhet, rapportering, underhåll och service. Låt oss inte glömma borta de inbyggda möjligheterna. I 1183

32 Distansarbete, fjärranslutning med RAS, DUN och RRAS Windows NT finns det en tjänst som heter Remote Access Service (RAS) ibland och Dial-Up Networking (DUN) ibland. Enkelt uttryckt är skillnaden att DUN innehåller Telephony API (TAPI). De inbyggda möjligheterna kan sammanfattas: q Enkel lösning i det mindre företaget q Stöder modem, RAS och X.25 q Kan användas tillsammans med säkerhets-box, innehåller motringning och övervakningsprogram q Stöder krypterade lösenord och krypterad datatrafik (om Microsoft i klienten) Ett exempel: Remote LAN Node Låt oss studera ett exempel, jag har valt Remote LAN Node, RLN. (Tanken är inte så mycket att marknadsföra RLN som att ge dig möjlighet att jämföra.) Remote LAN Node (och självklart flera andra produkter) ger möjlighet att välja olika lösningar på klienten: modem, ISDN eller X.25. Klienterna ansluter till en RLN-server (med flera RLN-servrar kan man bygga ett feltolerant system, där de tar över för varandra vid behov). Från RLN-servern kan sedan klienten koppla till både PC, Unix och stordatorer (med ett tillägg). Remote LAN Node ger möjlighet att ansluta till ett flertal operativsystem Eftersom RLN arbetar på Data Link-nivån kan man ovanför fritt använda SPX/IPX, TCP/IP, NetBEUI, SNA, m.fl.. För att möta säkerhetsbehov kan man komplettera med en s.k. dongle (tillsats på parallellporten) eller dosa för engångslösenord, 1184

Fjärranslutning//Remote Access Service, RAS vilken arbetar med TACACS-standarden. RLN innehåller också programvara för administration och rapportering, serverhantering och rapportering använder SNMP. Fjärranslutning//Remote Access Service, RAS De grundläggande möjligheterna med Fjärranslutning//Remote Access Service i både Windows NT 3.51 och Windows NT 4.0 är: q Fjärranslutning//Remote Access Service tillåter användare att kontakta ett nätverk från sin Windows NT-dator för att kunna arbeta med samma möjligheter som funnes hennes dator fysiskt i det uppringda nätverket. q Fjärranslutning//Remote Access Service tillåter Windows NT att vara server för användare som kontaktar nätverket (med klientdelen av Fjärranslutning//Remote Access Service eller på annat sätt). Fjärranslutning//Remote Access Service innehåller både klient- och serverdel. Eftersom Fjärranslutning//Remote Access Service finns i både Windows NT Workstation och Windows NT Server upptäcker vi att: q RAS-server kan både Windows NT Workstation och Windows NT Server vara q RAS-klient kan både Windows NT Workstation och Windows NT Server vara RAS är inte fjärrstyrning Fjärranslutning//RAS innebär möjlighet för den uppringande användaren att fungera som vanligt i nätverket, som om hon funnes vid ett skrivbord med en dator fast ansluten till nätverket. Det finns inget därutöver i RAS, det ger inga möjligheter att fjärrstyra sin kontors-pc eller annat. Har ni behov av fjärrstyrning finns det stöd i produkter som pcanywhere, ReachOut och Carbon Copy (i samma nätverk kan Systems Management Server, SMS, användas för fjärrstyrning, det blir för långsamt över en uppringd förbindelse). RAS-servern kan betjäna andra operativsystem, inte enbart 1185

32 Distansarbete, fjärranslutning med RAS, DUN och RRAS Windows NT Den RAS-server som finns i både Windows NT Workstation och Windows NT Server kan betjäna ett flertal operativsystem, inte enbart andra Windows NT-datorer. Listan över operativsystem den klarar ser ut så här: q Windows NT 3.51 q Windows NT 4.0 q Windows 95/98 q Windows för Workgroups q MS-DOS q LAN Manager q Alla andra operativsystem med PPP-stöd, ex. Unix Den stora skillnaden mellan olika klienter ligger i säkerhet, Windows-klienter gör att man kan få en säkrare överföring (data kan krypteras mellan RAS-servern och klienten). Samma lista gäller både för Windows NT 3.51 och Windows NT 4.0 (både Server och Workstation). Det finns en enda stor skillnad mellan RAS-servern på Windows NT Workstation och på Windows NT Server: RASservern på Windows NT Workstation kan hantera en enda uppringande klient; RAS-servern på Windows NT Server hanterar upp till 256 uppringande klienter. RAS-klienten är inte begränsad till kontakt med andra Windows NT-datorer RAS-klienten i Windows NT 3.51 och Windows NT 4.0 kan användas för att fjärransluta till ett antal olika operativsystem: q Windows NT 3.51 q Windows NT 4.0 q Windows 95/98 q RAS-servrar med SLIP-stöd q RAS-servrar med PPP-stöd Den stora skillnaden mellan olika klienter ligger i säkerhet, Windows-klienter gör att man kan få en säkrare överföring (data 1186

Fjärranslutning//Remote Access Service, RAS kan krypteras mellan RAS-servern och klienten). Små skillnader mellan Windows NT 3.51 och Windows NT 4.0 Med Windows NT 4.0 kom Telephony API (TAPI) till Windows NT första gången. Det gör att Fjärranslutning//Remote Access Service är mycket lik det som finns i Windows 95. Du stöter på begreppet Dial-Up Networking, DUN, i Windows NT 4.0, aldrig Windows NT 3.51. Enkelt uttryckt är DUN lika med RAS från Windows NT 3.51 plus TAPI. Tydligast är detta i telefonboken där man även i Windows NT 4.0 infört begreppet plats//location (var man ringer i från). Jag var helt nöjd med telefonboken i Windows NT 3.51, jag tyckte dess hantering av växelprefix (för linje, tag 0) och annat är smartare är plats//location i Windows NT 4.0/Windows 95. (Jag kan bara hoppas att det fungerar bättre för er.) Förutom dessa, kanske kosmetiska, nyheter innehåller även RAS i Windows NT 4.0 möjlighet att använda flera modem i samma förbindelse, PPP Multilink. RAS-verifiering När en klient kopplas upp till en RAS-server händer följande om man använder Microsoft-verifiering: 1. RAS-servern skickar ett meddelande/challenge till RASklienten. 2. RAS-klienten skickar svar 3. RAS-servern stämmer av svaret från RAS-klienten mot användarkontodatabasen. 4. Om kontot finns, inte är inaktiverat och lösenordet stämmer kontrollerar RAS-servern att kontot har rättighet att använda RAS. 5. Om användarkontot har rättighet att använda RAS godtas RAS-klienten och en förbindelse etableras (om motringning begärts så sker detta nu och steg 1 till 5 tas om igen). Med alla steg avklarade har användaren samma tillgång till nätverksresurser, ur användarrättighets- och behörighetssynvinkel som sutte hon fysiskt kopplad till nätverket. 1187

32 Distansarbete, fjärranslutning med RAS, DUN och RRAS Olika datalänk-protokoll i RAS RAS i Windows NT 3.51 och Windows NT 4.0 använder Pointto-Point Protocol, PPP eller Serial Line Internet Protocol, SLIP vid anslutning. Båda dessa är protokoll på nivå 2, Data Link, i OSI-stacken (samma som Ethernet och de andra). PPP och SLIP gör alltså samma tjänst för den uppringande klienten och den svarande servern som Ethernet/Token Ring gör i det fast hopkopplade nätverket. Både PPP (RFC 1661) och SLIP RFC 1055) är standardprotokoll. I tidigare versioner av Windows NT fanns det ett Microsofteget protokoll kallat AsynchBEUI (Asynchronous NetBEUI), med inriktning på det då förhärskande NetBEUI. Fördelar med PPP q PPP är inte knutet till TCP/IP utan kan användas för anslutning till alla nätverksprotokoll. q PPP medger att klienten får inställningar från servern. Den kan få IP-adress av servern; IP-adress till DNS-server, m.m. q PPP kan hantera flera samtidiga överliggande protokoll (SPX/IPX, TCP/IP, NetBEUI). q PPP har egen felkontroll, med hjälp av checksumma. Nackdelar med SLIP q SLIP kan inte hantera krypterad verifiering. Verifiering i klartext kommer alltid att användas om SLIP används. q SLIP medger inte att klienten och serverdelen av RAS själva förhandlar fram inställningar för nätverksprotokoll, ex. IP-adress, utan användaren måste själv logga in på RASservern. Därför kommer alltid en terminalskärm att visas efter uppkoppling om man använder SLIP. Inställningar för komprimering av pakethuvudet och dynamisk tilldelning av IP-adresser kan inte heller hanteras av SLIP. q SLIP har en hel del andra tillkortakommanden: det kan inte upptäcka fel beroende på brusiga linjer eftersom det inte finns någon checksumma i pakethuvudet. SLIP överlåter all felhantering till det överliggande nätverksprotokollet (TCP). SLIP kan endast användas med TCP/IP så det finns ingen 1188

Fjärranslutning//Remote Access Service, RAS möjlighet att använda andra protokoll om man väljer SLIP. RAS kan användas med modem, X.25, ISDN och seriell kabel RAS i Windows NT 3.51 och Windows NT 4.0 kan använda både modem, X.25 och ISDN som förbindelse. För den som önskar prova RAS mellan två maskiner kan RAS också använda nollmodemkabel. En användning för nollmodemkabeln skulle kunna vara för att tillfälligt koppla till en osäker server (på andra sidan en brandvägg eller slikt) och då använda NetBEUI eller SPX/IPX. Vi antar då att nätbusar alltid använder TCP/IP. RAS i Windows NT 4.0 kan använda flera modem i samma förbindelse, Multilink Windows NT 4.0 kom med ytterligare en nyhet: PPP Multlink. PPP Multlink (RFC 1990) innebär att flera modem eller ISDNenheter kan kopplas för samma förbindelse. Tanken med PPP Multilink är bl.a. att två modem tillsammans kan bli dubbelt så snabba som ett modem. För att PPP Multilink skall fungera måste både den uppringande klienten och den svarande server behärska PPP Multlink (vilket stämmer på Windows NT RAS). Använd två servrar På ditt eget nätverk är det klokt att minst två RAS-servrar så att du inte försöker ringa till nätet bara för att finna att din RAS-server inte är tillgänglig. Som administratör är det förmodligen en god idé att ge dig själv motringningsprivilegier så att du slipper stå för telefonkostnaden när du administrerar nätverket. Installera RAS-servern Du börjar kunna den här visan: RAS är en nätverkstjänst, nätverkstjänster installeras genom verktyget Nätverk//Network i Kontrollpanelen//Control Panel fliken Tjänster//Services (eller Egenskaper//Properties för Nätverket//Network på skrivbordet i Windows NT 4.0). Vi börjar med att installera endast RAS-server (vilket är förvalt på Windows NT Server, på Windows NT är det i stället RAS-klienten som installeras). Den största delen av installationen är samma för både RASserver och RAS-klient. Den intressantaste dialogrutan visas efter 1189

32 Distansarbete, fjärranslutning med RAS, DUN och RRAS en stund (flera andra visas före, hur många beror på om du redan installerat modem, ISDN eller X.25): Den centrala dialogrutan i Remote Access Service. Dialogrutan i bilden ovan syns i endast under installation, den är ett av inställningsverktygen för RAS. Efter installation visas den när du öppnar verktyget Nätverk//Network i Kontrollpanelen/ /Control Panel (eller Egenskaper//Properties för Nätverket/ /Network på skrivbordet), fliken Tjänster//Services och till sist Egenskaper//Properties för Remote Access Service. Från denna dialogruta når du andra. Ett tryck på knappen Nätverk//Network i dialogrutan ovan visar nästa dialogruta i vilken du styr vilka av de på RAS-servern installerade nätverksprotokollen som klienter tillåts använda: Dialogruta för att välja nätverksprotokoll och andra inställningar. RASservern använder själv alla tre nätverksprotokollen, men tillåter endast RAS-klienter använda TCP/IP (bilden något ändrad). Denna är viktig eftersom den låter dig göra flera olika 1190

Fjärranslutning//Remote Access Service, RAS inställningar: q Tillåta klienter ansluta med ett eller flera av de nätverksprotokoll som är installerade på RAS-servern q Styra på vilket sätt inloggning sker (om lösenord får skickas i klartext eller om de måste skyddas på olika sätt) q Om klient och server använder Microsoft-inloggning (MS- CHAP) kan data som sänds krypteras av RAS-tjänsten (fristående från PPTP) q Styra användning av PPP Multilink Vi trycker till sist på knappen Konfigurera//Configure (TCP/IP-inställningar): TCP/IP-inställningar för RAS. I dialogrutan ställer du in: q Tillåta klienter nå endast RAS-servern eller hela nätverket (detta görs för varje protokoll för sig) q För PPP-klienter kan RAS-servern förmedla DHCP-anrop till en DHCP-server q Låta RAS-servern själv tilldela PPP-klienter IP-adress q Tillåta klienten själv bestämma IP-adress 1191

32 Distansarbete, fjärranslutning med RAS, DUN och RRAS Installationen avslutas När alla inställningar är klara och datorn fått starta om är den beredd att betjäna RAS-klienter. Förmodligen har du ännu inte givit någon användare tillstånd att använda RAS. Vi skall strax se på hur du gör det. Det är inte alltid ett igenkänt modem fungerar Bli inte överraskad om modemet inte fungerar trots att allt verkat gått bra vid installationen. En del modem som Windows NT känner igen automatiskt fungerar inte med standardinställningarna. Ett så pass bra modem som US Robotics Courier Dual Standard fungerar inte för mig om jag låter Windows NT använda standardinställningarna för det. I stället upplyser jag Windows NT om att det är ett vanligt Standardmodem, varpå allt fungerar. Något förvånad blev jag eftersom jag vet vilket hästjobb Microsoft i USA och Norden lagt ned på att testa nordiska modem (det går inte att bara skicka modem till USA för test, de måste testas i sina egna telefonnät). Administrera RAS-servern Remote Access-hanteraren//Remote Access Admin Huvudfönstret i Remote Access-hanteraren//Remote Access Admin. Denna dator har två portar för RAS, ingen av dem används just nu. Remote Access-hanteraren//Remote Access Admin innehåller möjlighet att styra och övervaka RAS-servern. Med dess hjälp kan du: q Ansluta till alla RAS-servrar i domänen q Start, pausera, fortsätta och stoppa RAS-tjänsten på ansluten RAS-server q Skicka meddelande till uppkopplade RAS-klienter q Avbryta pågående uppkoppling för RAS-klienter 1192

Fjärranslutning//Remote Access Service, RAS q Studera statistik för de portar som används av RAS-tjänsten Ge användare tillstånd att använda fjärranslutning Du kan ge användare möjlighet att utnyttja en RAS-server på två sätt (med samma resultat): med Kontohanteraren för domäner//user Manager for Domains eller direkt i Remote Access-hanteraren//Remote Access Admin. I den senare väljer du Behörigheter//Permissions i menyn Användare//Users varvid denna dialogruta visas (om RAS-servern är installerad på en reservdomänkontrollant känner Remote Access-hanteraren/ /Remote Access Admin av detta och kopplar sig till den primära domänkontrollanten): Användarkontot ceciliac tilldelas behörighet att använda RAS-servern. Dessutom ges kontot den farliga möjligheten att själv styra motringning. Motringning Motringning innebär att RAS-servern efter uppkoppling bryter förbindelsen och själv ringer tillbaka till RAS-klienten. Detta är en mycket trevlig funktion som kan missbrukas av datorbusar. Får slika tag på ett konto med fri motringning kan de använda detta konto från vilken plats de önskar, möjligen med stora kostnader för er som följd. Inte minst kan de låta er RAS-server busringa till andra, vilket gör det hela ytterligare obehagligt. Det finns tre inställningar för motringning: q Ingen motringning//no Callback 1193

32 Distansarbete, fjärranslutning med RAS, DUN och RRAS q Anges av användaren//set By Caller q Förinställt till//preset To ett visst nummer Av dessa är avgjort Ingen motringning//no Callback att föredra. Möjligen kan ni tillåta Förinställt till//preset To ett visst nummer, men det skulle inte förvåna mig om phreakers (telefonsystemsbusar) klarar att byta det förinställda numret på något sätt. Använda särskild säkerhetsutrustning (och säkerhet i modemen) Windows NT RAS kan användas tillsammans med särskild säkerhetsutrustning för att ytterligare höja säkerheten. Dessutom finns det i flera modem i dag möjlighet att styra filtrering på telefonnummer och även motringning. Ju längre bort från vårt nätverk vi kan hejda nätbusarna, desto bättre. Installera RAS-klienten Du installerar RAS-klienten på samma sätt som RAS-servern. Minns att på Windows NT Server installeras alltid endast RASservern om du inte ändrar något, på Windows NT Workstation installeras alltid RAS-klienten. Både Windows NT Server och Windows NT Workstation kan dock verka som RAS-server och RAS-klient (även samtidigt, men inte med samma anslutning). RAS-klienten använder en telefonbok Den synligaste skillnaden mellan RAS-klienten och RAS-server är att RAS-klienten använder en teledonbok (både i Windows NT 3.51 och Windows NT 4.0). RAS-skript Redan tidigt i RAS fanns det skriptmöjligheter. Skript används för att automatisera uppkoppling, hantering av extra säkerhetsutrustning och annat. Med bästa vilja kan jag inte påstå att det var lätt att skriva dessa skript (före Windows NT 4.0). Förmodligen har en och annan svordom uttalats av den som varit tvungen att använda RAS-skript före Windows NT 4.0. Förutom att TAPI följde med DUN från Windows 95 till Windows NT 4.0 följde också de alldeles utmärkta skriptmöjligheterna med. Mitt råd blir därför, om du använder Windows NT 3.51 och har välfungerande RAS-skript: rör ingenting. 1194

Fjärranslutning//Remote Access Service, RAS Dig som kanske brottas med RAS-skript föreslår jag att ni använder Windows NT 4.0 och de nya RAS-skripten (båda finns i Windows NT 4.0). Använda RAS-klienten för Internetkoppling Det är enkelt att använda RAS-klienten för Internetkoppling, all den stund Internet-leverantören använder PPP (det torde alla göra nuförtiden). Guiden för att upprätta en ny post i telefonboken har ett val just för Internet. Skript-exempel med nya skript-språket i Windows NT 4.0 Detta är delar av ett skript från tiden före min Internet-leverantör (inga namn) började använda PPP:... transmit $USERID, raw transmit "^M" ; Wait for the password prompt waitfor szpw until npwtimeout if FALSE == $SUCCESS then goto TryAgain endif ; Send the password transmit $PASSWORD, raw transmit "^M" ; Wait for the prompt waitfor szprompt transmit spppcommand... Vilket kan anas i skriptet är det den del som skickar kontonamnet, sedan väntar på ledtext för att till sista skicka lösenordet. Efter inloggning väntar skriptet på en ledtext från en meny i vilken den gör ett val genom att skicka ett förutbestämt kommando. Uppringd inloggning Med RAS-klienten installerad kan en Windows NT-dator ringa till domänen för inloggning redan i inloggningsdialogen: 1195

32 Distansarbete, fjärranslutning med RAS, DUN och RRAS Inloggningsdialogen när RAS-klienten är installerad. AutoDial ställen utanför det egna nätet I RAS-klienten till Windows NT 4.0 finns det en ny tjänst, kallad AutoDial (tjänstenamn är RasAuto). AutoDial ringer automatiskt upp en tidigare anslutning om du kopplat en nätverksenhet (ibland ringer den även om enheten inte var kopplad över RAS-klienten). Inställningar sparas per användare i Registret//Registry, AutoDial bygger på TAPI. AutoDial fungerar med TCP/IP och NetBEUI inte SPX/IPX Installera RAS-klient på en befintlig RAS-server och omvänt Det är mycket enkelt att installera RAS-klienten om du redan installerat RAS-servern på en dator (och omvänt). Du kallar fram huvuddialogen, den som visas när du öppnar verktyget Nätverk//Network i Kontrollpanelen//Control Panel, väljer fliken Tjänster//Services och till sist Egenskaper//Properties för Remote Access Service: Egenskaper//Properties för Remote Access Service. Markerar den port du vill använda för RAS-klienten, på en RAS-server (eller omvänt), tryck på knappen Konfigurera/ /Configure: 1196

Säkrare förbindelse med Point-to-Point Tunneling Protocol, PPTP Dialogruta för att välja mellan antingen RAS-klient, RAS-server eller båda. I dialogrutan väljer du att den markerade porten skall användas för: q Ring endast ut//dial out only q Ta endast emot samtal//receive calls only q Ring ut och ta emot samtal/- /Dial out and Receive calls RAS-klient RAS-server Både och Säkrare förbindelse med Point-to-Point Tunneling Protocol, PPTP Point-to-Point Tunneling Protocol, PPTP används för säker förbindelse över Internet PPTP:s grundläggande funktion är ett upprätta en säker (säkrare) förbindelse mellan två punkter genom ett osäkert nätverk. Den åstadkommer detta genom att kryptera användardata i PPPpaketen och låta dem tunnla genom det osäkra området, ut på andra sidan. IP-delen av TCP/IP utgör PPTP:s tunnel. PPTP upprättar en säker förbindelse mellan två punkter genom ett osäkert område. Denna säkra förbindelse (det finns inget som är helt säkert) 1197

32 Distansarbete, fjärranslutning med RAS, DUN och RRAS kan användas för flera saker: q LAN-till-LAN-koppling över Internet, d.v.s. ett Virtuellt Privat Nätverk, VPN q Säker uppringd anslutning till Internet-leverantör och vidare till hemma-lan q Säker uppringd anslutning till hemma-lan För att PPTP skall kunna användas för VPN måste de inblandade routrarna kunna hantera VPN. Windows NT Server 4.0 är en sådan router. Krypteringen i PPTP utför med användares lösenord. Jag hoppas att det inte är den enda nyckel eftersom lösenord i bland kan vara korta. I och för sig motsvarar ett sex tecken långt lösenord 48 bitar, men eftersom tecknen i lösenordet är valda ur ANSI-tabellen kan man inte göra denna direkta jämförelse med bitlängd. Dessutom är nyckellängden begränsad till 40 bitar i PPTP. Framtiden för PPTP heter L2TP Microsoft hittade på PPTP på egen hand, vilket även Cisco gjort med ett liknande protokoll, Layer 2 Forwarding Protocol, L2F. Till glädje för oss avnämare samarbetar Microsoft, Cisco och IETF för att komma fram till ett gemensamt och ännu bättre protokoll: Layer 2 Tunneling Protocol, L2TP. Installera PPTP PPTP är ett inbyggt tillbehör till Windows NT 4.0 och installeras på samma sätt som andra nätverkstjänster. Efter installation har det tillkommit en enhet som RAS kan använda: Efter installation av PPTP kan RAS använda en ny typ av anslutning: 1198

Nya möjligheter med Routing and RAS, RRAS (Steelhead) VPN Till skillnad från modem, ISDN och X.25 lägger man inte bara till en ny VPN-port. VPN-portarna kan ju endast fungera tillsammans med (ovanpå) en modem-, ISDN- eller X.25-anslutning. Hur många VPN-anslutningar som kan användas styr du med Egenskaper//Properties för PPTP: För varje ny VPN får RAS en ny VPN-anslutning. Nya möjligheter med Routing and RAS, RRAS (Steelhead) Routing and RAS, RRAS är ett tillägg till Windows NT Server 4.0. Det är kostnadsfritt och kan hämtas på Microsofts webbställe. Vid installation ersätter det Windows NT RAS-server (de kan inte båda används samtidigt). Med RRAS vill Microsoft flera saker, en de gärna framhåller är att RRAS gör Windows NT Server till en fullvuxen (nåja) router. RRAS (projektnamn Steelhead) innehåller många nya och förbättrade möjligheter (jag har lånat listan ur kapitel 1 av den dokumentation som följer med RRAS: q Multiprotokoll-routing för IP och IPX (de route-bara delarna av TCP/IP och SPX/IPX) q Behovsstyrd uppringd routerfunktion för WAN q Flera och förbättrade routingprotokoll: OSPF (från Bay 1199

32 Distansarbete, fjärranslutning med RAS, DUN och RRAS Networks) RIPv1, RIPv2, DHCP Relay Agent, IPX RIP och Service Advertising Protocol (SAP, för NetWare-tjänster) q Stöd för 10 MB, 100 MB Ethernet, Token Ring, ATM, FDDI, ISDN, Frame Relay, X.25 och modem q Nytt administrationsverktyg: Routing and RAS Admin q Kommandoradsverktyg för administration q Skriptmöjligheter q Filtrering av nätverkspaket (packet filtering) q Publicerade API:er (finns till RAS sedan tidigare) Installera Routing and RAS, RRAS Windows NT 4.0 med Service Pack 3 (eller senare) krävs på den dator du vill installera RRAS. Installationen tar bort de äldre produkterna, såsom RIP, SAP, DHCP Relay Agent, m.fl. Under installation kommer du så småningom att få välja vilka delar av RRAS du vill installera: Val mellan tre olika delar i RRAS. De tre olika delar du väljer mellan (du kan välja alla) är: q RAS (den nya RAS i RRAS) q LAN Routing (Multi-protocol router (MPR), OSPF, RIPv1, RIPv2, SAP, m.m.) q Demand dial routing (Behovsstyrd uppringd routerfunktion för WAN) 1200

Hjälpfrågor Administrera RRAS RRAS har ett nytt, mycket snyggt, grafiskt administrationsprogram: Administrationsverktyget för RRAS: Routing and RAS Admin. Hjälpfrågor 1. Nämn några saker som bidrar till säkerheten i Windows NT RAS: 2. Nämn någon skillnad mellan RAS-server på Windows NT Workstation och RAS-server på Windows NT Server? 3. Hur måste man installera RAS för att både klient- och serverdelen skall installeras? 4. Vilket nätverksprotokoll måste användas på klienten om man vill använda ftp över RAS? 5. Vilket nätverksprotokoll måste användas på klienten om man vill ansluta till en Novell NetWare-server över RAS? 6. Vad är ett Virtuellt Privat Nätverk, VPN? 7. Vad är PPTP och vad innebär det? 1201

32 Distansarbete, fjärranslutning med RAS, DUN och RRAS 8. Vilka möjligheter finns i Routing and RAS, RRAS? 9. Vilka anslutningsmöjligheter finns med RAS i Windows NT 4.0? 10. Innehåller RAS fjärrstyrning? 11. Kan man använda en RAS-klient på en Windows NT Server för att ringa till en RAS-server på en Windows NT Workstation? 12. Vilka är fördelarna med PPP? 13. På vilken nivå i OSI-stacken finns PPP? 14. Kan man använda endast VPN-portar (PPTP), utan modem? 1202

Hjälpfrågor Förslag till svar på frågor 1. Nämn några saker som bidrar till säkerheten i Windows NT RAS: Motringning, krypterad verifiering och inloggning, behörigheten att använda RAS-tjänsten måste delas ut av administratör, övervakning via Remote Access Admin-hanteraren//Remote Access Admin, säkerhetssystem från andra leverantörer. 2. Nämn någon skillnad mellan RAS-server på Windows NT Workstation och RAS-server på Windows NT Server? RAS-servern i Windows NT Workstation (3.51 och 4.0) kan hantera en enda RAS-anslutning, RAS-servern i Windows NT Server (3.51 och 4.0) kan hantera upp till 256 samtidiga RAS-anslutningar. 3. Hur måste man installera RAS för att både klient- och serverdelen skall installeras? Man ställer in RAS att hantera både inkommande och utgående samtal. Detta görs ett stycke in i installationen. 4. Vilket nätverksprotokoll måste användas på klienten om man vill använda ftp över RAS? TCP/IP. 5. Vilket nätverksprotokoll måste användas på klienten om man vill ansluta till en Novell NetWare-server över RAS? IPX (samt Client Service for NetWare). 6. Vad är ett Virtuellt Privat Nätverk, VPN? Ett VPN är två LAN sammankopplade över en osäker förbindelse med hjälp av något skydd för data. PPTP är ett exempel på ett protokoll (kan närmast ses som ett tillägg till PPP) som kan användas för att skydda förbindelser. 1203

32 Distansarbete, fjärranslutning med RAS, DUN och RRAS 7. Vad är PPTP och vad innebär det? Point-to-Point Tunneling Protocol, PPTP, är ett tilläggsprotokoll till PPP. PPTP krypterar PPP-trafik och använder IP (i TCP/IP) som en tunnel för denna trafik. PPTP upprättar en säker förbindelse mellan två punkter vilken kan användas som ett sätt att förbinda två LAN genom Internet eller för säker uppringd förbindelse mellan en RAS-klient och en RAS-server. PPTP kan överföra både SPX/IPX, TCP/IP och NetBEUI. 8. Vilka möjligheter finns i Routing and RAS, RRAS? Med RRAS kan en Windows NT Server fungera som en fullfjädrad router, tack vare OSPF och RIPv2. Den kan hantera både TCP/IP och SPX/IPX. Vidare innehåller RRAS behovsstyrd uppringd routerfunktion för WAN (Demand dial routing), vilken kan användas för att ansluta ett LAN till Internet vid behov eller två LAN till varandra vid behov. 9. Vilka anslutningsmöjligheter finns med RAS i Windows NT 4.0? RAS i Windows NT 4.0 kan använda modem, ISDN och X.25. 10. Innehåller RAS fjärrstyrning? Windows NT RAS innehåller inte fjärrstyrning (inte heller RRAS). Den enda Microsoft-produkt som innehåller fjärrstyrning är Systems Management Server, SMS, men den använder man inte gärna över uppringd förbindelse. 11. Kan man använda en RAS-klient på en Windows NT Server för att ringa till en RAS-server på en Windows NT Workstation? Både Windows NT Workstation och Windows NT Server innehåller både RAS-server och RAS-klient. Det går alltså utmärkt att använda RAS-klienten på en Windows NT Server för att ringa till en RAS-server på en Windows NT Workstation. 12. Vilka är fördelarna med PPP? q PPP är inte knutet till TCP/IP utan kan användas för anslutning till alla nätverksprotokoll. q PPP medger att klienten får inställningar från servern. Den kan få IP-adress av servern; IP-adress till DNS-server, 1204

Förslag till svar på frågor m.m. q PPP kan hantera flera samtidiga överliggande protokoll (SPX/IPX, TCP/IP, NetBEUI). q PPP har egen felkontroll, med hjälp av checksumma. 13. På vilken nivå i OSI-stacken finns PPP? Point-to-Point Protocol, PPP finns på nivå 2 i OSI-stacken. Detta är samma nivå som Ethernet, Token Ring och de andra (under nätverksprotokollen). PPP gör alltså samma tjänst för nätverksprotokollen (TCP/IP, SPX/IPX, NetBEUI) vid uppringd förbindelse som Ethernet, Token Ring, m.fl. gör vid fast förbindelse. 14. Kan man använda endast VPN-portar (PPTP), utan modem? PPTP är ett tilläggsprotokoll till PPP. Man kan säga att det rider på PPP. På samma sätt rider VPN-portarna (vilka är logiska portar) ovanpå fysiska portar. D.v.s. för att kunna använda en VPN-förbindelse måste man först koppla en PPP-förbindelse över modem, ISDN eller X.25 på vanligt sätt i Windows NT RAS. 1205

32 Distansarbete, fjärranslutning med RAS, DUN och RRAS 1206