配置TS 网关核心方案
更新时间: 2008年6月111111111111111111111111111111111111111111111111111
应用到: Windows Server 2008
若要成功设置和演示本指南举例介绍的TS 网关核心方案,需要执行以下步骤。可以按照本方案配置
TS 网关服务器,以使远程用户可以通过TS 网关服务器,从Internet 访问内部网络资源。在本方案中,内部网络资源可以是终端服务器、运行RemoteApp 程序的终端服务器或启用了远程桌面的计算机。
1.建议设置三台计算机来评估本方案。这三台计算机分别为:
?TS 网关服务器(在本示例中称为“TSGSERVER”)
?终端服务客户端(在本示例中称为“TSCLIENT”)
?内部网络资源(在本示例中称为“CORPORATERESOURCE”)
计算机必须满足TS 网关核心方案的系统要求中介绍的系统要求。
2.遵照为TS 网关核心方案配置TS 网关服务器的步骤中的说明配置TS 网关服务器。
3.遵照为TS 网关核心方案配置终端服务客户端的步骤中的说明配置终端服务客户端。
4.配置内部网络资源。
5.遵照验证通过TS 网关建立的端对端连接是否运行正常中的说明,演示终端服务客户端可以通过
TS 网关服务器连接到内部网络资源。
TS 网关核心方案的系统要求
在TS 网关核心方案中使用的三台计算机必须满足以下系统要求。
设置TS 网关核心方案
下图展示了TS 网关的核心方案。
备注
有关如何设置终端服务器的信息,请参阅帮助主题“终端服务
器”(https://www.doczj.com/doc/a85334566.html,/fwlink/?LinkId=72052)(可能为英文网页)。
有关设置RemoteApp 程序的信息,请参阅“Windows Server 2008 终端服务RemoteApp 循序渐进指南”(https://www.doczj.com/doc/a85334566.html,/fwlink/?linkId=84895)(可能为英文网页)。
有关如何启用远程桌面的信息,请参阅Windows Server 2008 帮助中的主题“使用远程桌面”。
TS 网关核心方案的连接次序
下面简要介绍了TSCLIENT 通过TSGSERVER 连接到CORPORATERESOURCE 时遵循的次序。
1.终端服务客户端(TSCLIENT) 上的用户可以通过执行以下任一操作来启动连接:
?单击管理员已配置的RDP 文件来访问用户自己的完整桌面。
?单击RemoteApp 程序图标。RemoteApp 程序表示为一个管理员已配置的RDP 文件。
?访问网站(通过Internet 或通过intranet)以访问管理员使用终端服务Web 访问(TS Web 访问) 提供的RemoteApp 程序的列表,然后单击RemoteApp 程序图标。
?打开远程桌面连接客户端并手动指定该连接的相应设置。
2.使用TS 网关服务器的SSL 证书在TSCLIENT 和TSGSERVER 之间建立SSL 隧道。
TSGSERVER 必须首先根据管理员在TSGSERVER 上配置的终端服务连接授权策略
(TS CAP) 对用户进行身份验证和授权,然后才能在TSCLIENT 和TSGSERVER 之间建立连接。
3.成功完成身份验证和授权后,TSGSERVER 会向TSCLIENT 发出信号以继续按次序建立连接。
4.TSCLIENT 请求通过TSGSERVER 连接到CORPORATERESOURCE。在授权该请求之前,
TSGSERVER 会针对在TSGSERVER 上配置的至少一个终端服务资源授权策略(TS RAP) 验证是否同时满足以下两个条件:
?CORPORATERESOURCE 是在TS RAP 中指定的计算机组的成员;并且
?该用户是在TS RAP 中指定的用户组的成员。
如果同时满足这两个要求,TSGSERVER 将授权该请求。
5.在TSCLIENT 和TSGSERVER 之间建立SSL 连接,并在TSGSERVER 和
CORPORATERESOURCE 之间建立RDP 连接。
从这一刻起,TSCLIENT 发送至TSGSERVER 的所有数据包都将转发至
CORPORATERESOURCE,同时CORPORATERESOURCE 发送至TSGSERVER 的所有数据包也将转发至TSCLIENT。
6.TSCLIENT 将尝试在CORPORATERESOURCE 上创建用户会话。CORPORATERESOURCE
执行Windows 身份验证,以验证请求连接的用户的身份,以及该用户对
CORPORATERESOURCE 拥有的权限。(TSCLIENT 请求不使用TSGSERVER 远程连接到CORPORATERESOURCE 时,同样应遵循上述这些步骤。)
7.TSCLIENT 通过端口443 与TSGSERVER 交换封装在SSL 内的加密RDP 数据包。
TSGSERVER 通过端口3389 将RDP 数据包转发至CORPORATERESOURCE。
为TS 网关核心方案配置TS 网关服务器的步骤
若要配置TS 网关服务器,请完成以下任务。
1. 安装TS 网关角色服务
遵照以下步骤来安装TS 网关角色服务。在角色服务安装过程中,可以选择现有证书(或创建新的自签名证书),也可以创建TS CAP 和TS RAP。
安装TS 网关角色服务的步骤
1.打开服务器管理器。要打开“服务器管理器”,请单击“开始”,指向“管理工具”,然后单击“服务
器管理器”。
2.如果未安装“终端服务”角色,请执行下列操作:
a.在服务器管理器中的“角色摘要”下,单击“添加角色”。
b.在“添加角色向导”中,如果显示“开始之前”页,请单击“下一步”。如果已安装了其他角
色并且选中了“默认情况下将跳过此页”复选框,则不会出现此页。
c.在“选择服务器角色”页上的“角色”下,选中“终端服务”复选框,然后单击“下一步”。
d.在“终端服务”页上,单击“下一步”。
e.在“选择角色服务”页上的“角色服务”列表中,选中“TS 网关”复选框。
f.如果系统提示您指定是否要安装TS 网关所需的其他角色服务,请单击“添加必需的角
色服务”。
g.在“选择角色服务”页上,确认已选中TS 网关,然后单击“下一步”。
如果已安装“终端服务”角色,请执行下列操作:
h.在“角色摘要”下,单击“终端服务”。
i.在“角色服务”下,单击“添加角色服务”。
j.在“选择角色服务”页上,选中“TS 网关”复选框,然后单击“下一步”。
k.如果系统提示您指定是否要安装TS 网关必需的其他角色服务,请单击“添加必需的角色服务”。
l.在“选择角色服务”页上,单击“下一步”。
3.在“选择SSL 加密的服务器身份验证证书”页上,指定是为SSL 加密选择现有证书(推荐),
或为SSL 加密创建自签名证书,还是以后再为SSL 加密选择证书。如果正在安装尚未获得证书的新服务器,则请参阅为TS 网关服务器获取证书,了解有关证书要求以及如何获取并安装证书的信息。
在“为SSL 加密选择现有证书(推荐)”选项下,只有适合TS 网关角色服务并且具有特定用途(服务器身份验证)和增强型密钥用法(EKU) [服务器身份验证(1.3.6.1.5.5.7.3.1)] 的证书将出现在证书列表中。如果选择此选项,单击“导入”,然后导入不符合这些要求的新证书,导入的证书不会出现在列表中。
4.在“为TS 网关创建授权策略”页上,指定是在安装TS 网关角色服务过程中还是在安装之后创
建授权策略(TS CAP 和TS RAP)。如果选择“以后”,则按照创建TS CAP中的过程创建此策略。如果选择“现在”,则执行下列操作:
a.在“选择可以通过TS 网关连接的用户组”页上,单击“添加”指定其他用户组。在“选择
组”对话框中,指定用户组的位置和名称,然后根据需要单击“确定”,以检查名称和关
闭“选择组”对话框。
b.若要指定多个用户组,请执行以下两个操作之一:键入每个用户组的名称,用分号分隔
每个组的名称;或通过对每个组重复该步骤的第一个操作来添加不同域中的其他组。
c.指定完其他用户组之后,在“选择可以通过TS 网关连接的用户组”页上,单击“下一步”。
d.在“为TS 网关创建TS CAP”页上,接受TS CAP 的默认名称(TS_CAP_01) 或指
定新名称,选择一个或多个受支持的Windows 身份验证方法,然后单击“下一步”。
e.在“为TS 网关创建TS RAP”页上,接受TS RAP 的默认名称(TS_RAP_01) 或指
定一个新名称,然后执行以下任一操作:指定仅允许用户连接到一个或多个计算机组中
的计算机,然后指定计算机组;或指定用户可以连接到网络中的任何计算机。单击“下一
步”。
5.在“网络策略和访问服务”页上(如果尚未安装此角色服务,则出现该页),查看摘要信息,然后
单击“下一步”。
6.在“选择角色服务”页上,验证是否已选中“网络策略服务器”,然后单击“下一步”。
7.在“Web 服务器(IIS)”页上(如果尚未安装此角色服务,则出现该页),查看摘要信息,然后
单击“下一步”。
8.在“选择角色服务”页上,接受“Web 服务器(IIS)”的默认选择,然后单击“下一步”。
9.在“确认安装选项”页上,确认将安装下列角色、角色服务和功能:
?终端服务\TS 网关
?网络策略和访问服务\网络策略服务器
?Web 服务器(IIS)\Web 服务器\管理工具
?RPC Over HTTP 代理
?Windows 进程激活服务\进程模型\配置API
单击“安装”。
在“安装进度”页上,将注明安装进度。
如果其中任何角色、角色服务或功能已安装,将只注明正在安装的新角色、角色服务或功能的安装进度。
在“安装结果”页上,确认这些角色、角色服务和功能的安装已成功,然后单击“关闭”。
验证角色服务安装已成功和TS 网关服务状态
使用以下过程来验证TS 网关角色服务及从属的角色、角色服务和功能是否已正确安装并且正常运行。
验证安装已成功的步骤
1.打开服务器管理器。要打开“服务器管理器”,请单击“开始”,指向“管理工具”,然后单击“服务
器管理器”。
2.在控制台树中,展开“角色”,然后双击“终端服务”。
3.在“终端服务”摘要页上的“系统服务”区域中,验证终端服务网关的状态是否为“正在运行”,并且
启动类型设置是否为“自动”。
4.关闭服务器管理器。
5.打开Internet 信息服务(IIS) 管理器。若要打开IIS 管理器,请单击“开始”,指向“管理工
具”,然后单击“Internet 信息服务(IIS)管理器”。
6.在控制台树中,展开
7.右键单击“默认网站”,指向“管理网站”,然后单击“高级设置”。
8.在“高级设置”对话框中的“常规”下,验证“自动启动”是否设置为True。如果未设置为True,
则单击下拉箭头以显示列表,然后单击True。
9.单击“确定”。
10.关闭IIS 管理器。
2. 为TS 网关服务器获取证书
本部分假定您了解证书信任链、证书签名以及常规证书配置原则。有关Windows Server 2008 中的PKI 配置的信息,请参阅ITPROADD-204: Windows Vista 和Windows Server 2008 中的PKI 增强功能(https://www.doczj.com/doc/a85334566.html,/fwlink/?LinkId=93995)(可能为英文网页)。有关Windows Server 2003 中的PKI 配置的信息,请参阅公钥基础结构
(https://www.doczj.com/doc/a85334566.html,/fwlink/?LinkID=54917)(可能为英文网页)。
如本指南前面所述,默认情况下,使用TLS 1.0 来加密终端服务客户端与TS 网关服务器之间通过Internet 进行的通信。TLS 是一个标准协议,有助于确保Internet 或Intranet 上的Web 通信的安全。TLS 是SSL 协议的最新且最安全的版本。有关TLS 的详细信息,请参阅:
Windows Server 2003 中的SSL/TLS
(https://www.doczj.com/doc/a85334566.html,/fwlink/?LinkID=19646)(可能为英文网页)
?RFC 2246:TLS 协议版本1.0 (https://www.doczj.com/doc/a85334566.html,/fwlink/?LinkID=40979)(可能为英文网页)
若要正常使用TLS,必须在TS 网关服务器上安装与SSL 兼容的X.509 证书。
TS 网关的证书要求
TS 网关的证书必须满足以下要求:
?除非使用的是通配符证书或SAN 属性的证书,否则,服务器证书主题行中的名称(证书名称或CN)必须与客户端连接到TS 网关服务器时使用的DNS 名称匹配。如果您的组织通过企业证书颁发机构(CA) 颁发证书,则必须配置证书模板,以便在证书请求中提供相应名称。如果您的组织通过独立CA 颁发证书,则不必这样做。
备注
?证书是计算机证书。
?证书的指定用途是服务器身份验证。扩展密钥用法(EKU) 是服务器身份验证
(1.3.6.1.5.5.7.3.1)。
?证书具有相应的私钥。
?证书未过期。我们建议证书自安装之日起,具有一年的有效期。
?不需要证书对象标识符(也称为OID)2.5.29.15。但是,如果计划使用的证书包含对象标识符
2.5.29.15,则仅还在同时设置至少下列密钥用法值之一的情况下,才可以使用该证书:
CERT_KEY_ENCIPHERMENT_KEY_USAGE、
CERT_KEY_AGREEMENT_KEY_USAGE、和
CERT_DATA_ENCIPHERMENT_KEY_USAGE。
有关这些值的详细信息,请参阅高级证书注册和管理
(https://www.doczj.com/doc/a85334566.html,/fwlink/?LinkID=74577)(可能为英文网页)。
?证书在客户端上必须是可信的。即,为TS 网关服务器证书签名的CA 的公用证书必须位于客户端计算机上的受信任根证书颁发机构存储中。
使用现有证书
如果已有一个证书,则可以对TS 网关服务器重复使用该证书,条件是该证书:
?由参与Microsoft 根证书程序成员计划的任一受信任公用CA 颁发[Microsoft 知识库文章931125 中列出了这些CA (https://www.doczj.com/doc/a85334566.html,/fwlink/?LinkID=59547)(可能为英文网页)];并且
?满足TS 网关服务器的证书要求。
如果Microsoft 根证书程序成员计划不信任该证书(例如,如果在TS 网关服务器上创建并安装了自签名证书,但没有手动将该证书配置为信任终端服务客户端计算机),则当客户端尝试通过TS 网关服务器建立连接时,将出现一条警告,表明您没有受信任的证书,进而连接失败。为了防止出现此错误,在客户端尝试通过TS 网关服务器建立连接之前,应先将该证书安装到客户端计算机上的计算机证书存储中。
证书安装和配置过程概述
为TS 网关服务器获取、安装和配置证书的过程涉及以下步骤:
1. 通过执行以下任一操作为TS 网关服务器获取证书:
?如果您的公司有一个独立CA 或企业CA,并且该CA 配置为颁发满足TS 网关要求的与SSL 兼容的X.509 证书,则可以通过多种方式生成并提交证书请求,具体方式取决于组织CA 的策略和配置。获取证书的方法包括:
?从“证书”管理单元启动自动注册。
?使用证书申请向导申请证书。
?通过Web 申请证书。
备注
?使用Certreq 命令行工具。
有关使用上述任一方法为Windows Server 2008 获取证书的详细信息,请参阅“证书”管理单元帮助中的“获取证书”主题以及Windows Server 2008 Command Reference 中的
“Certreq”主题。若要查看“证书”管理单元帮助主题,依次单击“开始”、“运行”,键入
hh certmgr.chm,然后单击“确定”。有关如何为Windows Server 2003 申请证书的信息,请参阅Requesting Certificates (https://www.doczj.com/doc/a85334566.html,/fwlink/?LinkID=19638)(可能为英文网页)。
必须由参与Microsoft 根证书程序成员计划的受信任公用CA
(https://www.doczj.com/doc/a85334566.html,/fwlink/?LinkID=59547) 为独立CA 或企业CA 颁发的证书共同签名。否则,通过家用计算机或展台计算机建立连接的用户可能无法连接到TS 网关服务器。
由于不属于域成员的计算机(例如,家用计算机或展台计算机)可能不信任企业CA 颁发的根证书,因此这些连接可能会失败。
?如果您的公司没有配置为颁发与SSL 兼容的X.509 证书的独立CA 或企业CA,可以向参与Microsoft 根证书程序成员计划的受信任公用CA
(https://www.doczj.com/doc/a85334566.html,/fwlink/?LinkID=59547) 购买证书。其中某些供应商可能会无偿提供试用版证书。
?或者,如果您的公司没有独立CA 或企业CA,并且您没有受信任公用CA 颁发的兼容证书,则可以为TS 网关服务器创建并导入自签名证书,以便进行技术评估和测试。有关循序渐进指南,请参阅为TS 网关创建自签名证书。
在本指南介绍的示例配置中,将使用自签名证书。
重要事项
备注
如果使用前两种方法中的任一方法获取证书,并且终端服务客户端计算机信任颁发证书的CA,则不必在客户端计算机证书存储中安装颁发服务器证书的CA 的证书。例如,如果在TS 网关服务器上安装了VeriSign 或其他公用受信任CA 证书,则不必在客户端计算机证书存储中安装颁发证书的CA 的证书。
如果使用第三种方法来获取证书(即,如果创建自签名证书),则一定要将颁发服务器证书的CA 的证书复制到客户端计算机中。然后,必须在客户端计算机上的受信任根证书颁发机构存储中安装该证书。有关详细信息,请参阅在终端服务客户端上的受信任根证书颁发机构存储中安装TS 网关服务器根证书。
2. 安装证书。
在TS 网关服务器上安装证书。使用此过程(本指南稍后将介绍)在TS 网关服务器上安装证书。
3. 映射证书。
映射TS 网关证书。使用此过程(本指南稍后将介绍)可以指定TS 网关服务器使用现有证书。
为TS 网关创建自签名证书
此过程描述了如何使用TS 网关管理器创建自签名证书,以便进行技术评估和测试(如果在安装TS 网关角色时,未使用添加角色向导创建自签名证书)。
重要事项
如果是在安装TS 网关角色服务期间使用添加角色向导或在安装之后使用TS 网关管理器来创建自签名证书(如本过程所述),则不必安装证书或将证书映射到TS 网关服务器。
为TS 网关服务器创建自签名证书的步骤
1.打开TS 网关管理器。若要打开TS 网关管理器,请单击“开始”,依次指向“管理工具”和“终端
服务”,然后单击“TS 网关管理器”。
2.在控制台树中,通过单击选择代表您的TS 网关服务器的节点,该节点以运行TS 网关服务器的
计算机命名。
3.在结果窗格中的“配置状态”下,单击“查看或修改证书属性”。
4.在“SSL 证书”选项卡上,单击“为SSL 加密创建自签名证书”,然后单击“创建证书”。
5.在“创建自签名证书”对话框中,执行下列操作:
a.在“证书名称”下,验证是否已为自签名证书指定了正确的公用名(CN),或指定一个新
名称。除非使用的是通配符证书或证书的SAN 属性,否则,CN 必须与客户端连接到
TS 网关服务器时使用的DNS 名称匹配。
b.在“证书位置”下,若要将根证书存储在指定位置,以便可以手动将根证书分发到客户端,
请验证是否选中了“存储根证书”复选框,然后指定存储证书的位置。默认情况下将选中
此复选框,并将证书存储在%Windir%\Users\<用户名>\Documents 文件夹下。
c.单击“确定”。
6.如果选中了“存储根证书”复选框并指定了证书的位置,将出现一条消息,表明TS 网关已成功
地创建自签名证书,并确认已存储的证书的位置。单击“确定”关闭该消息。
7.再次单击“确定”关闭TS 网关服务器的“属性”对话框。
3. 为TS 网关服务器配置证书
为TS 网关服务器配置证书的过程涉及以下步骤:
在TS 网关服务器上安装证书
映射TS 网关服务器证书
在TS 网关服务器上安装证书
获取证书之后,使用此过程在TS 网关服务器上的正确位置安装该证书(如果尚未安装该证书)。完成此过程之后,必须映射该证书。
备注
在TS 网关服务器上安装证书的步骤
1.打开“证书”管理单元控制台。如果尚未添加“证书”管理单元控制台,可以执行以下操作进行添加:
a.依次单击“开始”、“运行”,键入mmc,然后单击“确定”。
b.在“文件”菜单上,单击“添加/删除管理单元”。
c.在“添加或删除管理单元”对话框的“可用的管理单元”列表中,单击“证书”,然后单击
“添加”。
d.在“证书管理单元”对话框中,单击“计算机帐户”,然后单击“下一步”。
e.在“选择计算机”对话框中,单击“本地计算机:(运行该控制台的计算机)”,然后单击
“完成”。
f.在“添加或删除管理单元”对话框中,单击“确定”。
2.在“证书”管理单元控制台的控制台树中,展开“证书(本地计算机)”,然后单击“个人”。
3.右键单击“个人”文件夹,指向“所有任务”,然后单击“导入”。
4.在“欢迎使用证书导入向导”页上,单击“下一步”。
5.在“要导入的文件”页上的“文件名”框中,指定要导入的证书的名称,然后单击“下一步”。
6.在“密码”页上,执行以下操作:
a.如果以前曾为与证书关联的私钥指定了密码,则键入该密码。
b.如果希望将证书的私钥标记为可导出,则确保选中“将此密钥标记为可导出”。
c.如果希望包括证书的所有扩展属性,则确保选中“包括所有扩展属性”。
d.单击“下一步”。
7.在“证书存储”页上接受默认选项,然后单击“下一步”。
8.在“正在完成证书导入向导”页上,确认已选择了正确的证书。
9.单击“完成”。
10.成功地完成了证书导入之后,将出现一条消息,确认导入已成功。单击“确定”。
11.在控制台树中选中“证书”的情况下,在详细信息窗格中,验证TS 网关服务器上的证书列表中
是否出现正确的证书。该证书必须在本地计算机的“个人”存储下。
映射TS 网关服务器证书
必须使用TS 网关管理器来映射TS 网关服务器证书。如果使用任何其他方法来映射TS 网关服务器证书,TS 网关将无法正常工作。
备注
将证书映射到本地TS 网关服务器的步骤
1.打开TS 网关管理器。若要打开TS 网关管理器,请单击“开始”,依次指向“管理工具”和“终端
服务”,然后单击“TS 网关管理器”。
2.在TS 网关管理器控制台树中,右键单击本地TS 网关服务器,然后单击“属性”。
3.在“SSL 证书”选项卡上,单击“为SSL 加密选择现有证书(推荐)”,然后单击“浏览证书”。
4.在“安装证书”对话框中,单击要使用的证书,然后单击“安装”。
5.单击“确定”关闭TS 网关服务器的“属性”对话框。
6.如果这是初次映射该TS 网关证书,在完成证书映射之后,可以通过在TS 网关管理器中查看
“TS 网关服务器状态”区域,验证映射是否成功。在“配置状态和配置任务”下,不再显示表明尚未安装或选择服务器证书的警告以及“查看或修改证书属性”超链接。
了解TS 网关的授权策略
在安装了TS 网关角色服务并为该TS 网关服务器配置了证书之后,必须创建终端服务连接授权策略(TS CAP)、计算机组和终端服务资源授权策略(TS RAP)。
TS CAP
通过TS CAP,可以指定可连接到TS 网关服务器的用户。可以指定存在于本地TS 网关服务器上或Active Directory 域服务中的用户组。还可以指定用户访问TS 网关服务器时必须满足的其他条件。例如,可以指定通过TS 网关服务器连接到承载人力资源(HR) 数据库的特定终端服务器的所有用户必须是“HR Users”安全组的成员。还可以指定启动连接的客户端计算机必须是内部网络中Active Directory 安全组的成员,才能连接到TS 网关服务器。通过要求计算机必须是内部网络中特定Active Directory 安全组的成员,可以排除尝试从不受信任的展台计算机、机场计算机或家用计算机连接到内部网络的用户。
为了在客户端通过TS 网关连接到内部网络时增强安全性,还可以指定是禁用终端服务客户端支持的所有设备的客户端设备重定向,还是仅禁用特定设备类型(如磁盘驱动器或受支持的即插即用设备)的客户端设备重定向。如果禁用客户端支持的所有设备的客户端设备重定向,则除音频重定向和智能卡重定向以外的所有设备重定向都将被禁用。
在选择了禁用特定设备类型的设备重定向还是禁用除智能卡以外的所有设备类型的选项后,TS 网关服务器会将请求发送回客户端,包含要禁用的设备类型的列表。此列表只是建议;客户端可能会修改该列表中的设备重定向设置。
警告
此外,还可以指定远程客户端是必须使用智能卡身份验证,还是必须使用密码身份验证才能通过TS 网关服务器访问内部网络资源。如果选中全部两个选项,则允许使用任一身份验证方法的客户端建立连接。
最后,如果组织已经部署了网络访问保护(NAP),则可以指定客户端必须发送健康声明(SoH)。有关如何为NAP 配置TS 网关的信息,请参阅配置TS 网关NAP 方案。
重要事项
TS RAP
通过TS RAP,可以指定远程用户可通过TS 网关服务器连接到的内部网络资源。在创建TS RAP 时,可以创建计算机组(内部网络上希望远程用户连接到的一组计算机)并将其与TS RAP 关联。例如,可以指定属于“HR Users”用户组成员的用户仅可连接到属于“HR Computers”计算机组成员的计算机,而属于“Finance Users”用户组成员的用户仅可连接到属于“Finance Computers”计算机组成员的计算机。
如果通过TS 网关服务器连接到内部网络的远程用户至少满足一个TS CAP 和一个TS RAP 中指定的条件,将被授予访问网络上的计算机的权限。
备注
TS CAP 和TS RAP 相结合,提供两个不同的授权级别,使您可以为内部网络上的计算机配置更具体的访问控制级别。
与TS RAP 关联的安全组和受TS 网关管理的计算机组
远程用户可以通过TS 网关连接到计算机组中的内部网络资源。该计算机组成员可以是下列之一:
?现有安全组的成员。该安全组可以存在于TS 网关服务器上的本地用户和组中,也可以存在于Active Directory 域服务中。
?受TS 网关管理的现有计算机组或受TS 网关管理的新计算机组的成员。可以在安装之后使用TS 网关管理器配置受TS 网关管理的计算机组。
受TS 网关管理的计算机组不会出现在TS 网关服务器上的本地用户和组中,也无法使用本地用
户和组进行配置。
?任意网络资源。在这种情况下,用户可以连接到使用远程桌面连接时可连接的内部网络上的任何计算机。
4. 为TS 网关服务器创建TS CAP
此过程描述如何使用TS 网关管理器创建自定义TS CAP。此外,还可以使用授权策略向导为TS 网关快速创建TS CAP 和TS RAP。
重要事项
为TS 网关服务器创建TS CAP 的步骤
1.打开TS 网关管理器。
2.在控制台树中,单击选择代表TS 网关服务器的节点,该节点以运行TS 网关服务器的计算机命
名。
3.在控制台树中,展开“策略”,然后单击“连接授权策略”。
4.右键单击“连接授权策略”文件夹,再单击“新建策略”,然后单击“自定义”。
5.在“常规”选项卡上,键入该策略的名称,然后验证是否已选中“启用此策略”复选框。
6.在“要求”选项卡上的“受支持的Windows 身份验证方法”下,选中下列任一或全部两个复选框:
?密码
?智能卡
如果选中全部两个选项,则允许使用任一身份验证方法的客户端建立连接。
7.在“用户组成员身份(必需)”下,单击“添加组”,然后指定其成员可连接到TS 网关服务器的用
户组。必须至少指定一个用户组。
8.在“选择组”对话框中,指定用户组的位置和名称,然后根据需要单击“确定”,以检查名称并关闭
“选择组”对话框。若要指定多个用户组,请执行以下任一操作:
?键入每个用户组的名称,使用分号分隔每个组的名称。
?通过对每个组重复此步骤,添加不同域中的其他组。
9.若要指定客户端计算机应满足的计算机域成员身份条件(可选),在“要求”选项卡上的“客户端
计算机组成员身份(可选)”下,单击“添加组”,然后指定计算机组。在示例配置中,未指定任何计算机组。
若要指定计算机组,可以采用指定用户组时使用的相同步骤。
10.在“设备重定向”选项卡上,选择下列任一选项,启用或禁用远程客户端设备的重定向:
?若要允许所有客户端设备在通过TS 网关服务器连接时进行重定向,请单击“启用所有客户端设备的设备重定向”。默认情况下选择此选项。
?若要禁止除智能卡以外的所有客户端设备在通过TS 网关服务器连接时进行设备重定向,请选中“禁用除智能卡之外的所有客户端设备的设备重定向”。
?若要仅禁止特定设备类型在通过TS 网关服务器连接时进行设备重定向,请单击“禁用以下客户端设备类型的设备重定向”,然后选中与应禁用设备重定向的客户端设备类型
对应的复选框。
重要事项
11.单击“确定”。
12.新建的TS CAP 将出现在TS 网关管理器结果窗格中。单击该TS CAP 的名称后,策略详细信
息将出现在下方的窗格中。
5. 创建TS RAP 并指定用户可通过TS 网关服务器连接到的计算机
此过程介绍如何使用TS 网关管理器来创建自定义TS RAP,并指定用户可通过TS 网关服务器连接到的计算机。或者,也可以使用授权策略向导来完成这些任务。
重要事项
创建TS RAP 并指定用户可通过TS 网关服务器连接到的计算机的步骤
1.打开TS 网关管理器。
2.在控制台树中,单击选择代表TS 网关服务器的节点,该节点以运行TS 网关服务器的计算机命
名。
3.在控制台树中,展开“策略”,然后单击“资源授权策略”。
4.右键单击“资源授权策略”文件夹,再单击“新建策略”,然后单击“自定义”。
5.在“常规”选项卡上的“策略名称”框中,输入不长于64 个字符的名称。
6.在“说明”框中,输入对新TS RAP 的说明。
7.在“用户组”选项卡上,单击“添加”选择要应用此TS RAP 的用户组。
8.在“选择组”对话框中,键入用户组的位置和名称,然后单击“确定”。若要指定多个用户组,请执
行下列任一操作:
?键入每个用户组的名称,使用分号分隔每个组的名称。
?通过对每个组重复步骤7,添加不同域中的其他组。
9.在“计算机组”选项卡上,通过执行以下任一操作,指定用户可通过TS 网关连接到的计算机组:
?若要指定现有安全组,单击“选择现有Active Directory 安全组”,然后单击“浏览”。
在“选择组”对话框中,键入用户组的位置和名称,然后单击“确定”。请注意,可以在本
地用户和组中选择安全组,而不要在Active Directory 域服务中选择安全组。
?若要指定受TS 网关管理的计算机组,请单击“选择现有受TS 网关管理的计算机组或新建受TS 网关管理的计算机组”,然后单击“浏览”。在“选择受TS 网关管理的计算
机组”对话框中,执行以下任一操作:
通过单击要使用的计算机组的名称,选择现有受TS 网关管理的计算机组,然后单击“确
定”以关闭对话框。
通过单击“新建组”,新建一个受TS 网关管理的计算机组。在“常规”选项卡上,键入新
组的名称和说明。在“网络资源”选项卡上,键入要添加的计算机或终端服务场的名称或
IP 地址,然后单击“添加”。根据需要重复此步骤,以指定其他计算机,然后单击“确定”
关闭“新建TS 网关管理的计算机组”对话框。在“选择受TS 网关管理的计算机组”对
话框中,单击新计算机组的名称,然后单击“确定”以关闭对话框。
重要事项
?若要指定任意网络资源,单击“允许用户连接到任意网络资源”,然后单击“确定”。
10.指定了计算机组后,新建的TS RAP 将出现在TS 网关管理器结果窗格中。单击该TS RAP 的
名称后,策略详细信息将出现在下方的窗格中。
6. 限制通过TS 网关同时建立连接的最大连接数(可选)。
默认情况下,除了运行Windows Server? 2008 Standard 的TS 网关服务器之外,不会对客户端可通过TS 网关服务器与内部网络资源建立的同时连接数设置任何限制。为了优化TS 网关服务器性能或为了确保与组织的连接/安全策略兼容,可以对客户端可通过TS 网关服务器与网络资源建立的同时连接数设置限制。
你想不想成为思科的网络认证专家呢?答案肯定是想了。你想不想参加思科的认证培训呢? 那更不用说,更是想了。但是,即使参加一个短期培训班,最少也要几千块钱,一本原版的英文思科认证培训教材,就要RMB300大洋,实在不适合我们这些腰包还不鼓的老百姓。再说参加培训,一般还得脱产学习,谁能搭上这个时间。 有没有一种花钱少,培训时间比较短,学习时间由自己把握的培训方式呢?答案仍然是肯定的,那就是自学。 通过自学,完全可以掌握所有知识,通过CCNA认证。 自学CCNA,一条很重要的经验就是选择一本好的教材。市面上CCNA教材林林种种、鱼龙混杂,既有思科自己出的英文原版教材,也有一些水货出版社跟风出的XX指南,每一本书的价格都不菲,让人望而却步。建议大家从网上下载一个电子版本的CCNA教材,本人稍做计算,即使把每一页都用打印机打下来,也比买一本书划的来。 推荐下载的电子图书有:《TROY TECHNOLOGIES USA: CCNA STUDY GUIDE 3》(以下简称《CCNA STUDY 3》)、《CCNA2.0学习指南》中文版、思科出的英文原版教材等。 CISCO的英文原版教材,写得最好,也最详细,但全是E文,英文不好的还是省省吧。《CCNA STUDY 3》也很不错,但有的地方太省略了,初学者看得时候会很不适应。《CCNA 学习指南》则是全中文版,写得非常详细,重点安排的又很合理,我极力推荐大家下载这本书,做为我们自学时的主要参考书。 自学的时候,以《CCNA学习指南》、《CCNA STUDY 3》为主。《CCNA学习指南》讲的比较详细,在每一章中,有针对认证目标的详细说明、有关认证的总结信息、2分钟练习和自我测试题,可帮助读者更好地理解认证的内容;《CCNA STUDY 3》短小精悍,它所强调的地方,都是考试重点、难点;思科的原版教材为辅,它书里的试题不做也罢,没什么实际价值。 《CCNA学习指南》、《CCNA STUDY 3》都附有详细的测试题及答案,建议每天抽出3个小时看书、做题。通过做题、研究错题,把我们那些在看书的时候模模糊糊、一知半解的地方,强化、弄懂、搞通。再带着问题,去反复研究教材。CCNA的考试比较灵活,死记硬背的地方很少。千万不能指望看了一遍书,做了两道题就可以参加考试了。为了能更好的通过考试,我们还需要大量的做题。 另外要指出一点,思科认证一直被认为是比较难过的,不是因为别的,就是因为思科的路由器比较贵,动辄成千上万,非普通老百姓所能承受起的。可是考CCNA,一定要考思科路由器的操作,没有见过思科的路由器怎么参加考试?好在有人发明了路由器模拟软件,操作起来跟真的思科路由器没什么两样。下载boson Software Router EMU这个软件。这个软件最多可以把五个路由器有效的连接起来,构成一个虚拟的路由环境,为大家自学CCNA 提供方便。
CCNA培训心得 杨绍松 转眼间,CCNA培训班的课程已经结束了,经过10天的学习,我想我与我的几位同事都有了不同的但很大的收获。对于我个人,我认为这次培训班举办的非常有意义,非常有必要,因为它不仅让我充实了更多网络方面的理论知识,更让学习到了CISCO交换机与路由器理论方面的知识。无论是从课上到课下,从听课到交谈,还是从所听到所闻,每时每刻、每一堂课,都让我有莫大的收获,现将这10天来的心得体会总结如下: (1)充实网络方面理论知识 网络一直是我非常喜欢的领域,以致于我经常利用业务时间翻阅网络方面的书籍。在自学计算机网络时,难免有很多困惑我的地方。这次培训让我以前困惑我的知识点变得明朗了,同时我也学到了以前不曾接触的知识。现只针对网络理论知识方面的学习总结以下几点: 1、之前我对IOS七层模型中的表示层与会话层一直不是很了解,只知道这两层的存在,但是不知道这两层的功能与作用。通过这次培训我不仅对这两层有了一个全新的认识,对整个IOS模型也有了更深层次的理解。 2、帧中继网络在此之前对于我来说一直都是一个盲点,之前也没有主动的了解它,因为我一直把这种网络技术当成一种陈旧的技术。在这个培训中,通过老师的介绍我才知道原来这项技术是非常实
用的。而且也了解了这项网络技术的工作原理,学会了他的构建方法与维护技术。 3、常用的路由协议有很多,之前只了解静态路由、RIP、OSPF 这几个路由协议,在路由器上也是做一些简单的配置,EIGRP是我这次培训的最大收获。得到最大收获的同时,我也再次温习了RIP、OSPF 等路由选择协议,之前总以为OSPF配置命令中的0.0.0.255是反掩码,现在才知道其真实的意义是通配符。 4、现在的我感觉出了以前的我的那种青涩,对任何事物的了解一定在做到知其然,又知其所以然。之前的我对很多东西的了解只做到了知其然,而不知其所以然。例如:配置CISCO设备时最常用的保存配置的命令write,之前只知道这个命令是保存配置用的,可是不知道它的工作机制。经过老师的讲解之后,我才知道这个命令是把RAM中的运行配置保存到FLASH中的STARTUP-CONFIG中去,与命令COPY RUNNING-CONFIT STARTUP-CONFIG等价。 5、之前的我对交换机端口安全、NAT技术、PAT技术的原理有大致的了解,只是把这些技术停留在理论的层次上,根本无法把这些技术应用到实际的工作中。通过这次培训,我对这些技术的理论知识认识又上升了一个层次,此外,在老师的指导下,我成功的把这些技术应用到了实际的网络中。 6、技术方面的收获有很多,以上只是几个典型的。除了理论方面的学习,在这次培训中,每次理论课程之后都安排了上机实验,上机时都是分组进行的,这样就培养了我们的动手能力与网络排错能
网络的组成和分类 计算机网络:通过通信线路和通信设备将不同地理位置上的计算机系统互连起来的一个计算机系统的集合,通过运行特定的操作系统和通信协议来实现数据通信和资源共享。 组成部分: 1.通信线路双绞线、同轴电缆、光纤、电磁波...... 2.通信设备网卡、交换机、路由器、硬件防火墙 3.计算机系统:PC、服务器 4.操作系统: PC:Windows 7 / XP 服务器: Windows server 2008、Unix、Linux 交换机:CISCO – IOS,H3C-Comware。华为VRP(Versatile Routing Platform)通用路由平台。 路由器:同上 5.通信协议:(计算机网络的语言) OSI 协议 OSI七层参考模型 TCP/IP Internet 企业网教育网行业网 IPX/SPX 6.网络应用软件: IE IIS、SMTP POP3、FTP、QQ、 OA办公系统 网络的分类 局域网LAN 企业内部办公网络,目前主要采用的是以太网技术。 速率:10M/100M/1000M 10G 40G 100G 双工:半双工/全双工
广域网WAN 为不同城市间的局域网提供远程连接服务,由电信运营商组建和维护,为用户提供服务。 接入技术: 1.异步拔号Modem 33K----56K 2.ISDN(综合业务数字线)64K----128K 以上两种方式通过公用交换电话网PSTN实现,带宽较低, 现在已淘汰。 3. 帧中继64K----2048K 现在已淘汰 4. DDN(数字数据网)铜缆64k-----2048k 5. SDH 专线光纤2M---155M---622M 2.5G 10G 6. VPN(虚拟专用网络)通过Internet来实现两个远程站点间的安全连接。
CCNA培训笔记总结 1、CCNA基础:熟悉一些常用的网络设备、熟悉常用的网络电缆、熟悉简单的LAN技术和 拓扑结构、熟悉简单的WAN技术和拓扑结构、知道一些简单的宽带技术、精通OSI参考模型、熟悉TCP/IP参考模型、会进行IP地址计算 2、CCNA:routing and switching support CCNP: routing and switching support CCIE: routing and switching Security communications and services 3、CISCO IOS 执行模式:USER EXEC(用户执行模式)PRIVILEGE EXEC(特权模式) 4、熟悉应用交换机命令行帮助工具:上下文提示帮助(提供命令列表和具体命令可供选择 的参数)、历史命令缓存(重新回放原来输入的命令,对比较复杂的命令尤其有效)、控制台错误信息(如果输入命令错误,指出错误原因,并提示你修改) 5、Configuration mode(配置模式):global Configuration mode(全局配置模式)和interface Configuration mode(接口配置模式) 6、为交换机命名hostname sw1、配置管理地址ip address 192.168.1.5对于特殊交换机只能 为VLAN1 配置IP地址、配置缺省网关ip default-gateway 172.16.10.1 、使用SHOW命令显示交换机的配置show version、show running-configuration、show interface type/nummber(0/1)、show ip 7、路由器启动后如果在NVRAM中发现配置文件,其就会进入用户模式提示符,如果没有 发现,就会进入SETUP初始化状态 8、Enable secret(安全使能密钥)和enable password(使能密钥)不能相同,如果设定安全使 能密钥的话,使能密钥就没什么用了 9、路由器基于上写文的帮助功能:对不识别的符号进行解析、命令提示、回放最后一次输 入的命令以及历史命令方便路由器的配置节省时间 10、快捷键诠释:CTRL+A(把光标快速移动到整行的最开始)CTRL+E (把光标快速移 动到整行的最末尾)CTRL+B(后退一个字符)CTRL+F(前进一个字符)CTRL+D(删除单独一个字符)show history 显示历史缓冲区中的内容 11、把RAM中正在运行的配置保存在NVRAM中copy running-config startup-config 12、配置路由器的密码:line console o/vty 0 4/—login—password cisco或者是以前的老 命令enable password/secret cisco 取消密码命令no login—no enable password 13、Interface type slot/port 配置接口命令适合于模块化的设备接口 14、设定时钟速率(仅仅在DCE接口上)Router(con-if)#clock rate 6400 15、Serial 口一般是连接在CSU/DCE等类型的提供时钟频率的设备上,但是,假如你的 试验环境里采用了背对背的配置,那么需要将一端作为DCE设备提供时钟频率。默认的思科的ROUTER都是DTE,所以你必须让一个serial接口来提供时钟频率,采用的命令是clock rate transparent 透明模式 16、思科的router的默认serial连接带宽是T-1(1.544Mbps),有的路由协议要以带宽 作为度来进行衡量,所以我们可以给接口配置带宽,使用bandwidth命令,注意参数单位是kbyte,设定带宽,出于管理目的,如路由选择,QOS管理 17、开启和关闭一个接口使用no shutdown或者shutdown命令(在接口配置模式下) 18、IP地址是软件或逻辑地址,MAC地址是硬件地址,MAC地址是烧录在NIC里的, MAC地址用于在本地网络查找主机,IP地址在公共网络上要求必须是唯一的,也叫做网络地址(network address),硬件地址也可以叫做节点地址(node address) 19、如果没有一个三层设备路由VLAN间的流量,不同VLAN的网络设备无法通讯。
思科认证考试CCNA培训主要内容 CCNA培训主要内容包括: 1.网络基础:OSI七层参考模型;数据的封装与解封装;以太网;TCP/IP协议,TCP/IP协议的体系结构,IP地址的分类,子网划分,ARP协议,TCP协议,UDP协议。 2.路由:路由原理;静态路由,默认路由;RIP协议,OSPF 协议,EIGRP协议。访问控制列表的应用,基本的访问控制列表,扩展的访问控制列表,命名的访问控制列表。 3.交换:交换机的工作原理,MAC表的建立;静态VLAN,动态VLAN;VLAN的中继,VTP协议;VLAN间的通信;生成树协议STP。 4.远程接入:PPP协议;帧中继Frame-relay;网络地址转换NAT。 5.无线局域网WLAN:无线局域网的工作原理CSMA/CA;WLAN类型;WLAN标准;WLAN安全(验证,加密)。 6.综合实验:组建中小企业网络。 CCNA认证: CCNA认证标志着具备安装、配置、运行中型路由和交换网络,并进行故障排除的能力。获得CCNA认证的专业人士拥有相应的知识和技能,能够通过广域网与远程站点建立连接, 消除基本的安全威胁,了解无线网络接入的要求。CCNA培
训包括(但不限于)以下这些协议的使用:IP、EIGRP、串行线路接口协议、帧中继、RIPv2、VLAN、以太网和访问控制列表(ACL) 通过CCNA+课程的学习,您可以完成如下任务: 在什么情况下应用集线器、交换机和路由器 利用Cisco软件确认端口、协议、地址和可连接性 根据要求互连交换机和路由器 配置交换机和路由器以支持LAN和WAN 服务 设置IP子网以便于有效地管理网络 通过配置访问列表来控制对网络段或网络资源的访问 确认交换机、路由器及其配置的网络服务是按我们的预期在运作 判断网络故障的原因并解决之 对一些实际工程案例有一定的分析和解决能力
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章、作者信息和本声明。否则将追究法律责任。 前记:虽然只有短短的五天CCNA培训,但学习的东西还挺多的,压力也很大.老师课堂上又讲得太快,笔记都记得一塌糊涂.只能回来后慢慢整理一下,在这里写出来和大家分享一下,匆促落笔,难免有错误,不足之处,望大家不吝批评指正. CCNA培训课笔记(一) 一. 建议学好Cisco+windows+Linux这方面的知识,将来就会有好前途.考过CCNA之后,因为现在的CCNP太多人考,市场需求也基本饱和,所建议以后学CCSP、CCVP比较有市场. 二. 开始课程的学习: 学习CCNA主要是学习两大板块的知识,即route+switch.关于教材方面,如果个人自己英文好的话建议买英文的原版教材看.因为中文的教材一般都是直接直译过来的. (1) 首先学习的是OSI参考模型, 由上到下分别为七层: 应用层(第七层,Application layer):文件、打印、消息、数据库和应用服务 表示层(第六层,Presentation layer):数据加密、压缩和转换服务器 会话层(第五层,Session layer):会话控制 传输层(第四层,Transport layer):端到端连接 网络层(第三层,Network layer)路由选择 数据链路层(第二层,Data layer):组帧,由MAC、LLC组成 物理层(第一层,Physical layer):物理拓扑 注意:工作在网络层的路由器为广播域, 每个接口各自为冲突域; 工作在数据链路层的交换机为一个广播域,每个接口各自为冲突域 工作在物理层的集线器为一个广播域,一个冲突域. (2) 接下来学习的是TCP/IP参考模型(协议书) 由上到下分为四层: 应用层:用户能够用到的,比如http,https,ftp,telnet,snmp等 传输层: TCP(可靠的连接保证),UDP(不可靠的连接) 网络层:(host-to-host) IP:RIPv2、EIGRP(思科专有)、OSPF(华为重点掌握,面试常考) 接入层:ARP(地址解释协议):IP地址->MAC地址,ICMP(互联控制管理协
思科认证工程师培训 思科还提供了多种专门的思科合格专家认证,以显示专业人士在特定的技术、解决方案或者职务角色方面的知识。以下是的思科认证工程师培训,欢迎大家了解! sp认证介绍 CCSP(CiscoCertifiedSecurityProfessional)思科认证网络安全工程师,是思科安全方向的专业认证,在思科认证体系的金字塔模型中属于第二层,上面的一层是CCIESecurity。CCSP的内容主要涉及到Cisco硬件以及应用软件等范围。包括使用网络边界或者 DMZ(demilitarizedzone,非军事区)中的路由器以及防火墙;为远程访问用户建立VPN(VirtualPrivateNetwork,虚拟专用网)集中器;入侵检测系统能够暗中保护网络上的一些标志;如何配置及管理系统; 使用Cisco系统组件,这些组件包括 VMS(VPN/SecuritymanagementSolution,VPN/Security管理方案)以及CSACS(CiscoSecureAessControlServer,Cisco安全访问控制服务器);使用Web浏览器应用程序来配置保护网络的硬件设备;确保在基于SAFE蓝图的中小型网络中的安全连接等。 sp考试方式 新版CCSP的考试共有五门必考科目,这五门科目的考试号为:642-501、642-511、642-521、642-531、642-541。证书有效期为3年。 CCSP考试条件必须持有有效的CAorCCIP证书
CCSP考试&考试科目考试号考试课程 642-501SECUR SecuringCiscoIOSNetworks(SECUR) 642-521CSPFA CiscoSecurePIXFirewallAdvanced(CSPFA) 642-531CSIDS CiscoSecureIntrusionDetectionSystem(CSIDS) 642-511CSVPN CiscoSecureVPN(CSVPN) 642-541CSI CiscoSAFEImplementation(CSI) 其他课程 DesigningVPNSecurity(DVS) DesigningPerimeterSecurity(DPS) NetworkAdministrationControl(NAC) SecuringHostsUsingCiscoSecurityAgent(HIPS) CCSP再认证 CCSP证书有效期三年。再认证方法:通过 642-541CSI考试或通过一门CCIE笔试。 sp认证的益处 目前国内网络安全人才,在网络安全需求的扩大中显得越来越 匮乏,思科公司也加大了对网络安全培训及人才就业的投入。思科在xx年年中的调查也显示思科安全培训越来越重要:75%的被调查者希望在未来的6个月内参加一个诸如SECUR、CSPFA、CSVPN、CSIDS等 思科的安全培训课程;61%的被调查者表示将通过网络安全认证作为 他们参加这些课程的最主要的动力。而这个需求的动力就是人才需求空缺,加上网络安全明晰化后,对于网络职位的岗位上对于安全应用的需求也出现增长的趋势,所以网络人才一条必然的出路摆在了眼前—网络安全工程师! sp的专业技能:
ccna实训心得体会 篇一:CCNA培训心得 CCNA培训心得 杨绍松 转眼间,CCNA培训班的课程已经结束了,经过10天的学习,我想我与我的几位同事都有了不同的但很大的收获。对于我个人,我认为这次培训班举办的非常有意义,非常有必要,因为它不仅让我充实了更多网络方面的理论知识,更让学习到了CISCO交换机与路由器理论方面的知识。无论是从课上到课下,从听课到交谈,还是从所听到所闻,每时每刻、每一堂课,都让我有莫大的收获,现将这10天来的心得体会总结如下: (1)充实网络方面理论知识 网络一直是我非常喜欢的领域,以致于我经常利用业务时间翻阅网络方面的书籍。在自学计算机网络时,难免有很多困惑我的地方。这次培训让我以前困惑我的知识点变得明朗了,同时我也学到了以前不曾接触的知识。现只针对网络理论知识方面的学习总结以下几点: 1、之前我对IOS七层模型中的表示层与会话层一直不是很了解,只知道这两层的存在,但是不知道这两层的功能与作用。通过这次培训我不仅对这两层有了一个全新的认识,对整个IOS模型也有了更深层次的理解。
2、帧中继网络在此之前对于我来说一直都是一个盲点,之前也没有主动的了解它,因为我一直把这种网络技术当成一种陈旧的技术。在这个培训中,通过老师的介绍我才知道原来这项技术是非常实 用的。而且也了解了这项网络技术的工作原理,学会了他的构建方法与维护技术。 3、常用的路由协议有很多,之前只了解静态路由、RIP、OSPF这几个路由协议,在路由器上也是做一些简单的配置,EIGRP是我这次培训的最大收获。得到最大收获的同时,我也再次温习了RIP、OSPF等路由选择协议,之前总以为OSPF 配置命令中的是反掩码,现在才知道其真实的意义是通配符。 4、现在的我感觉出了以前的我的那种青涩,对任何事物的了解一定在做到知其然,又知其所以然。之前的我对很多东西的了解只做到了知其然,而不知其所以然。例如:配置CISCO设备时最常用的保存配置的命令write,之前只知道这个命令是保存配置用的,可是不知道它的工作机制。经过老师的讲解之后,我才知道这个命令是把RAM中的运行配置保存到FLASH中的STARTUP-CONFIG中去,与命令COPY RUNNING-CONFIT STARTUP-CONFIG等价。 5、之前的我对交换机端口安全、NAT技术、PAT技术的原理有大致的了解,只是把这些技术停留在理论的层次上,根本无法把这些技术应用到实际的工作中。通过这次培训,
网络得组成与分类 计算机网络:通过通信线路与通信设备将不同地理位置上得计算机系统互连起来得一个计算机系统得集合,通过运行特定得操作系统与通信协议来实现数据通信与资源共享。 组成部分: 1、通信线路双绞线、同轴电缆、光纤、电磁波、、、、、、 2、通信设备网卡、交换机、路由器、硬件防火墙 3、计算机系统: PC、服务器 4、操作系统: PC: Windows 7 / XP 服务器: Windows server 2008、Unix、Linux 交换机:CISCO – IOS, H3C-ware。华为VRP(Versatile Routing Platform)通用路由平台。 路由器: 同上 5、通信协议:(计算机网络得语言) OSI 协议 OSI七层参考模型 TCP/IP Internet 企业网教育网行业网 IPX/SPX 6、网络应用软件: IE IIS、SMTP POP3、、 OA办公系统 网络得分类 局域网LAN 企业内部办公网络,目前主要采用得就是以太网技术。 速率:10M/100M/1000M 10G 40G 100G 双工:半双工/全双工
广域网WAN 为不同城市间得局域网提供远程连接服务,由电信运营商组建与维护,为用户提供服务。 接入技术: 1.异步拔号Modem 33K56K 2.ISDN(综合业务数字线)64K128K 以上两种方式通过公用交换电话网PSTN实现,带宽较低, 现在已淘汰。 3、帧中继64K2048K 现在已淘汰 4、DDN(数字数据网) 铜缆64k2048k 5、SDH 专线光纤2M155M622M 2、5G 10G 6、VPN(虚拟专用网络) 通过Internet来实现两个远程站点间得安全连接。 CISCO设备得基本操作 网络设备 交换机、路由器、防火墙、VPN……、、 共同特性有智能,能识别数据报文中得控制信息,对数据进行定向转发。 交换机能识别数据帧中得MAC地址信息,在同一网段转发数据。效率比集线器高。默认工作在第二层。主要用于组建局域网。
CISCO培训内容 周四, 2011-04-14 温馨提示: 1 CCIE认证官方授权讲师授课,thinkpab笔记本免费提供。 2 真实机架实验练习,手把手辅导实验,授课已实际工程动身,授课讲师均代实际工程案例。 3 因此科目,均能够试听,亲身感受京东翰林职业教育的师资的雄厚。 4 外地学员,能够提供住宿,20M带宽免费提供! 京东翰林职业教育CCNA培训课程;原价800元 ;暑期期间团体6折优待; 活动截至日期2011年9月1号;参加培训学院有均能够,顺利通过“CCNA认证网络工程师”(CCNA)认证考试。 在京东翰林教育学习,内部学员报名CCNA考试费1650元,送CCNA题库,送CCNA讲题班课程;一次只是,京东翰林教育承担第二次考试费 CCNA认证介绍(思科认证网络支持工程师) 获得CCNA认证必备条件 CCNA考试& 举荐CCNA培训课程;考试(考试号640-802) CCNA 重新认证 CCNA培训课程 预备知识CCNA学员必须具备差不多的网络概念,同时接触过IP和IPX网络,最好具有实际网络工作体会。详细的预备知识包括对如下内容的差不多了解:差不多的网络设备(例如集线器、网桥、路由器、交换机) 二进制和十六进制的运算及与十进制数字转换( 建议把握) OSI网络模型
培训课程 介绍 培训课程 内容 考试科目及价格 科目CCNA 考试号640-802 55 考题数 考试时刻(分钟)120 通过分数825 CISCO CCNP 学习考试培训题库 温馨提示: 1 CCIE认证官方授权讲师授课,thinkpab笔记本免费提供。 2 真实机架实验练习,手把手辅导实验,授课已实际工程动身,授课讲师均代实际工程案例。 3 因此科目,均能够试听,亲身感受京东翰林职业教育的师资的雄厚。 4 外地学员,能够提供住宿,20M带宽免费提供! 京东翰林职业教育CCNP培训课程;原价5800元 ;暑期期间团体6折优待; 活动截至日期2011年9月1号;参加培训学院有均能够,顺利通过“CCNP认证网络工程师”(CCNP)认证考试。 在京东翰林教育学习,内部学员报名CCNP考试费1450/门元,送CCNP题库,送CCNA标准课程 CCNP认证介绍(思科认证网络支持工程师)