與ISP相比,大多數企業還沒有感受到來自IPv4地址資源耗盡帶來的影響,因此到目前為止,部署了IPv6網絡環境的企業也并不多。不過在Windows客戶端和服務器端操作系統中,都已經加入了對于IPv6協議的支持,并且活動目錄也支持IPv6協議。雖然幾乎全部IT專家都認為向IPv6協議遷移是必然的,但是從企業角度說,向IPv6遷移的商業動機并不充分。
微軟在Windows Server 2008 R2操作系統中加入了一個基于IPv6協議的遠程辦公解決方案,叫做DirectAccess (DA)。這個解決方案可以讓遠程電腦通過目前的IPv4公共網絡,訪問企業內部的基于IPv6的網絡資源。由于操作系統限制(只能運行在Windows 2008 R2操作系統)DA的應用范圍有限,并且只支持那些在IPv6網絡運行的服務器。另外,它還有容量方面的限制,因為DA本身并不提供擴容功能。
但是通過微軟的Forefront Unified Access Gateway 2010 (UAG)產品,DA的應用價值得到了巨大的提升。Forefront UAG之所以引人注目,是因為它解決了原始DA的容量限制,并加入了NAT64 網關功能。NAT64網關可以為DA用戶提供直接訪問IPv4網絡資源的能力,這使得那些遠程辦公的DA用戶可以順利的訪問企業IPv4網絡環境中的各種資源。有了基于UAG的 DA,企業就不必遷移域控制器或應用程序服務器到Windows Server 2008 R2系統了。
但是還存在一個關鍵性的限制:Forefront UAG DirectAccess客戶端必須是采用Windows 7 Enterprise 或 Windows 7 Ultimate操作系統,并加入活動目錄域。如果你的公司有能力為所有遠程辦公人員配備高端windows 7系統,并將這些系統加入域中,你就可以采用基于UAG的DA遠程訪問方案了,這將是企業在實施虛擬化技術后的另一個最新技術。
IPv6轉換技術
基于UAG的 DirectAccess方案實際上捆綁了一系列在IPv4架構上傳輸IPv6數據的技術。下面我簡單的將涉及到的技術列出來:
· 6to4 當客戶端采用IPv4協議時會用到此技術。6to4使用IPv4 protocol-41,并將數據包前面加上一個額外的IP頭。
· Teredo 當客戶端處于NAT設備后時會使用此技術。Teredo會對數據打包并在UDP 端口3544上收發。
· IP-HTTPS 當Teredo 被證實無法使用時,會使用此技術。IP-HTTPS 會在端口443建立一個SSL隧道收發數據。
· ISATAP 用來在使用NAT6路由(比如UAG)的內網建立 IPv6到ISATAP主機的連接。
通過活動目錄的組策略,相應的配置可以被推送到Windows7客戶端,如圖所示。當你在UAG服務器上啟用DA,所需的組策略就會在域中自動創建并連接到相應的安全組。
DirectAccess 客戶端通過組策略被分配采用特定的 IPv6轉換技術
遠程辦公隨時連接
DA解決方案的這個功能可能是企業對DA技術最感興趣的一部分。很多企業都在尋找能夠代替VPN系統的遠程辦公系統。而DA正是一個能夠超越VPN技術的遠程接入技術。
目前看來,DA所能達到的無縫遠程連接體驗,是整個行業中最好的。DA通過IPv6轉換技術為遠程用戶提供了全天候的接入服務。DA采用了常見的IPSEC策略進行身份驗證和加密,因此客戶端也不需要添加額外的安全組件。
一般來說,在各種情況下,企業內部網絡資源對于DA客戶端來說都是可以訪問的。只要遠程客戶端電腦能夠連接互聯網,就可以像連接在企業內部網一樣使用相關內網資源,甚至內網的磁盤鏡像也同樣有效。另外,如果企業內網中有供內部員工訪問的Web網站,遠程用戶一樣可以瀏覽。甚至遠程用戶可以通過DA與企業內網同事一起打wow。
無需額外管理
遠程的 DA客戶端電腦可以持續從活動目錄域獲得更新的組策略配置,只要客戶端能夠連接互聯網即可。另外,企業的很多計算機管理應用,如微軟的System Center Configuration Manager (SCCM), 以及Windows Server Update Services (WSUS)都對DA客戶端有效。通過這種所謂的“無需額外管理”特性,企業能夠確保遠程連接的DA終端符合企業的計算機安全規范。對于任何企業來說,這種能夠實時的,全互聯網覆蓋的資產管理工具所帶來的好處是不言而喻的。
為盡早部署IPv6掃清障礙
部署 DirectAccess意味著企業需要在內部首先部署IPv6網絡。 企業AD DNS 將充斥著“AAAA”記錄(IPv6主機)。域控制器和其它關鍵架構都可以通過IPv6地址訪問到,Ping和其它網絡應用在支持IPv6協議的主機間傳送數據也將采用IPv6封裝。而當IPv6時代真正到來時,這些企業的網管們可以很自豪的說,我們早已經提前應用IPv6了。
下面是客戶端使用DA的高級步驟(在部署UAG之后):
1. DA客戶端所需的一切設置都位于組策略對象的 “UAG DirectAccess: Clients (DA-server-FQDN)”部分。組策略對象是在UAG設置時指派的一個活動目錄安全組
2. 添加DA客戶端電腦賬號到活動目錄安全組。
3. 在企業局域網(或通過撥號VPN連接到企業網絡)啟動DA客戶端電腦。
4. 在局域網或VPN環境進行客戶端電腦認證。
5. 在局域網或VPN環境確保組策略刷新成功并得到應用。
6. 該客戶端現在已經成為DirectAccess客戶端。離開企業局域網環境或從VPN斷開,進入互聯網環境。
7. 在互聯網環境對DA客戶端進行一系列測試,比如連接文件共享,或內部Web網頁瀏覽等。
京公網安備 11010502049343號