=============
已完成章节
=============
 
在前文中对测试的环境和部署过程中的一些注意事项作了说明。
然后我们来看看,DirectAccess这些配置实现了一些什么:
1、组策略:
组策略一共是两条。如图:
2009-10-28_01556
他们分别应用于,之前配置的DirectAccess客户端用户组和DirectAccess服务器
2009-10-28_01557
2009-10-28_01560
两条策略分别实现了一下配置:
这条是客户端的策略,配置涉及较广,从防火墙到注册表都有涉及:
2009-10-28_01559
DirectAccess服务器的设置仅限于防火墙:
2009-10-28_01561 
2、DirectAccess配置:
6to4
2009-10-28_01562
IPHTTPS
2009-10-28_01563
ISATAP
2009-10-28_01564
Teredo
2009-10-28_01565 

2009-10-28_01567
IPSec
2009-10-28_01569
2009-10-28_01568
======================================================

接下来我们来测试下一下环境实现的效果。
PS:这里为了方便抓包分析,这里仅做ping内网域控的测试。
首先,我将Client01移动至Internet网络
内网网段:192.168.1.0
域控IP:192.168.1.2
DirectAccess外网IP:131.107.0.3~4
测试域名:sxt.com
外网网段:131.107.0.0

Client01上执行ping sxt.com命令,返回如下:
2009-10-27_01539
然后,我们来查看DirectAccess服务器端的状态,可以发现“6to4”和“ISATAP”处于运行状态
2009-10-28_01554 
单击ISTATP“详细信息”,查看性能监视器,我们会发现ISATAP隧道是主要的数据流来源:
2009-10-28_01555
在Client01上,我们进行抓包分析:
2009-10-27_01540 
ICMPv6 Echo requset(ping包),在IPv4的包中显示的目标地址,指向的是DirectAccess的外网IP:131.107.0.3
而在IPv6的包段,指向的内网域控的IPv6地址(请参见ping反馈的信息)
 2009-10-27_01541
ICMPv6 Echo reply包:同理也是一样,IPv4包段中仅包含了外网的信息。
2009-10-27_01544
===========================================================
 
然后我们将Client01移至NAT之后:
继续ping
2009-10-27_01545
DirectAccess状态:
2009-10-28_01570 
2009-10-28_01571
2009-10-28_01572 
捕获的包
2009-10-27_01547 
ICMPv6 Echo requset包,中额可以发现,明显出现一个Teredo的IPv6隧道。。UDP的哦,还有注意一下特殊的端口应用SRC(63276),DST(3544)
3544为Teredo服务器端口
2009-10-27_01548
ICMPv6 Echo reply包:这里端口依旧是Client端(63276),服务器端(3544)
2009-10-27_01550

大概监听了1000多个包的样子,发现机遇IPSec的加密包数目不多,显示如下:
2009-10-27_01553
而在外网时加密的模式是不同的:
2009-10-28_01573
 
==========================================================
由上面的包和配置信息不难分析出DirectAccess实际上就用利用多种IPv6隧道来实现对内网的直接访问。
比较酷的一点是可以直接访问内网的DNS。。一些基于内网DNS的应用,因此就可以在外网正常的玩转了。

抓包使用的工具:
WinPcap 4.1.1
http://www.winpcap.org/

Wireshark 1.2.2
==============================================
深圳市深信通软件有限公司  Http://www.sxt.com.cn
QQ:121096702 MSN:zhangzhaolong007@hotmail.com
==============================================