然后我们来看看,DirectAccess这些配置实现了一些什么:
1、组策略:
他们分别应用于,之前配置的DirectAccess客户端用户组和DirectAccess服务器
两条策略分别实现了一下配置:
这条是客户端的策略,配置涉及较广,从防火墙到注册表都有涉及:
DirectAccess服务器的设置仅限于防火墙:
2、DirectAccess配置:
6to4
接下来我们来测试下一下环境实现的效果。
PS:这里为了方便抓包分析,这里仅做ping内网域控的测试。
域控IP:192.168.1.2
DirectAccess外网IP:131.107.0.3~4
测试域名:sxt.com
外网网段:131.107.0.0
Client01上执行ping sxt.com命令,返回如下:
然后,我们来查看DirectAccess服务器端的状态,可以发现“6to4”和“ISATAP”处于运行状态
单击ISTATP“详细信息”,查看性能监视器,我们会发现ISATAP隧道是主要的数据流来源:
在Client01上,我们进行抓包分析:
ICMPv6 Echo requset(ping包),在IPv4的包中显示的目标地址,指向的是DirectAccess的外网IP:131.107.0.3
而在IPv6的包段,指向的内网域控的IPv6地址(请参见ping反馈的信息)
ICMPv6 Echo reply包:同理也是一样,IPv4包段中仅包含了外网的信息。
===========================================================
继续ping
DirectAccess状态:
捕获的包
ICMPv6 Echo requset包,中额可以发现,明显出现一个Teredo的IPv6隧道。。UDP的哦,还有注意一下特殊的端口应用SRC(63276),DST(3544)
3544为Teredo服务器端口
ICMPv6 Echo reply包:这里端口依旧是Client端(63276),服务器端(3544)
大概监听了1000多个包的样子,发现机遇IPSec的加密包数目不多,显示如下:
由上面的包和配置信息不难分析出DirectAccess实际上就用利用多种IPv6隧道来实现对内网的直接访问。
比较酷的一点是可以直接访问内网的DNS。。一些基于内网DNS的应用,因此就可以在外网正常的玩转了。
抓包使用的工具:
深圳市深信通软件有限公司 Http://www.sxt.com.cn
QQ:121096702 MSN:zhangzhaolong007@hotmail.com
==============================================