网络操作系统第十二章单元设计.doc

单元设计配置与管理路由、NAT与VPN服务本次课标题：配置与管理路由、NAT与VPN服务授课班级上课时间周 月 日 第 节上课地点网络系统机房 周 月 日 第 节 网络系统机房教学目的IP路由技术提供实现不同网络或异构网络间数据包传输过程中路由选择服务的重要技术。路由与远程访问（Routing and Remote Access）是全功能的软件路由器，也是用于路由和互连网络运行的开放平台，它为局域网（LAN）、广域网（WAN）以及虚拟专用网（VPN）连接的 Internet 上的商务活动提供路由选择服务。网络地址转换技术即NAT(Network Address Translation) ，是为解决互联网IPv4格式中IP地址匮乏问题的一个重要技术，也是一门非常实用的技术。通过采用NAT技术，可以使用较少的互联网合法有效的IP地址，实现单位或部门内部大量私有地址的计算机上网，从而扩展了互联网接入的能力，有效地缓解了地址不足的问题。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。教学目标能力（技能）目标知识目标1掌握IP路由、网络地址转换NAT以及虚拟专用网络VPN基础知识；2掌握配置和部署路由服务、网络地址转换NAT服务；3掌握虚拟专用网络VPN应用技术。1掌握IP路由、网络地址转换NAT以及虚拟专用网络VPN基础知识；2掌握配置和部署路由服务、网络地址转换NAT服务；3掌握虚拟专用网络VPN应用技术。重点难点及解决方法重点：掌握IP路由、网络地址转换NAT以及虚拟专用网络VPN基础知识、掌握配置和部署路由服务、网络地址转换NAT服务、掌握虚拟专用网络VPN应用技术。难点：掌握IP路由、网络地址转换NAT以及虚拟专用网络VPN基础知识、掌握配置和部署路由服务、网络地址转换NAT服务、掌握虚拟专用网络VPN应用技术。解决办法：通过实际配置管理操作以及案例辅助学生自己动手作实验得出结论。参考资料主教材：自编讲义Windows Server 2003配置管理与应用参考书目：计算机网络配置、管理与应用，吴怡主编，高等教育出版社出版社，第一版；参考书目：windows server 2003网络管理实训教程，王隆杰、梁广民、杨名川等 主编，清华大学出版社出版社，第一版；参考书目：windows server 2003，smartraining工作室 商宏图李红岩等主编，机械工业出版社出版社，第一版；课前准备：根据学生人数分组，每组两台机器。操作系统都为Windows Server 2003，10张Windows Server 2003的安装光盘。步骤1：对本章进行整体介绍（20分钟）1先由教师对本章内容进行简单介绍。讲解：IP路由技术提供实现不同网络或异构网络间数据包传输过程中路由选择服务的重要技术。路由与远程访问（Routing and Remote Access）是全功能的软件路由器，也是用于路由和互连网络运行的开放平台，它为局域网（LAN）、广域网（WAN）以及虚拟专用网（VPN）连接的 Internet 上的商务活动提供路由选择服务。网络地址转换技术即NAT(Network Address Translation)，是为解决互联网IPv4格式中IP地址匮乏问题的一个重要技术，也是一门非常实用的技术。通过采用NAT技术，可以使用较少的互联网合法有效的IP地址，实现单位或部门内部大量私有地址的计算机上网，从而扩展了互联网接入的能力，有效地缓解了地址不足的问题。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。步骤2：配置IP路由（180分钟）本步骤主要以教师讲解为主(学生对路由知识了解的太少)1 提问式引导学生：IP路由的基本概念是什么？什么时候需要使用路由？（大家思考，个别回答）讲解：在学生回答的基础上，教师进行讲解，并给学生介绍路由方面的一些常用术语和概念。在网络中，路由是一个非常重要的概念，通过路由可以把不同的局域网联系起来。路由是由一些专门的设备（即路由器，Router）来维护的，Internet就是通过路由器把世界各地的局域网连接起来，所以我们才可以通过路由来访问Internet上的资源。IP地址由网络地址和主机地址两部分组成。如果要进行通信的两台主机的IP地址中的网络地址相同，则说明是同一IP子网内的通信；如果要进行通信的两台主机的IP地址中的网络地址不同，则说明是不同IP子网间的通信，这时就需要一种称为路由的机制，跨越路由器来实现不同子网间的通信。2 路由的类型。路由通常可以分为静态路由、默认路由和动态路由。（简单介绍概念，在实践操作中分别配置静态路由、默认路由和动态路由）路由通常可以分为静态路由、默认路由和动态路由。（1）静态路由静态路由是由管理员手工进行配置的，在静态路由中必须明确指出从源地址到目标地址所经过的路径，一般来说在网络规模不大、拓扑结构相对稳定的网络中配置静态路由。静态路由的优点：由于由管理员手工配置，因此可以减轻路由器的开销；静态路由的缺点：当网络发生变化时静态路由不能反映网络结构的变化，而且当网络规模很大时，配置静态路由会增加管理员的工作负担。（2）默认路由默认路由是一种特殊的静态路由，也是由管理员手工配置的，为那些在路由表中没有找到明确匹配的路由信息的数据包指定下一跳地址。（3）动态路由当网络规模很大，且网络结构经常发生变化时就需要使用动态路由。通过在路由器上配置路由协议可以自动搜集网络信息，并且反映网络结构的变化，动态地维护路由表中的内容。动态路由的优点：由于动态路由是靠路由协议自动维护的，因此减轻了管理员的工作负担，而且可以自动反映网络结构的变化。动态路由的缺点：增大了路由器为处理路由所花费的开销，对路由器的硬件要求比较高。最常见的动态路由有RIP（Routing Information Protocol路由信息协议）路由、OSPF（Open Shortest Path First开放式最短路径优先）路由等。3 配置IP路由：使用两个网段来简单的配置一个IP路由，使用三种路由配置方法，给学生演示。【案例1】配置并启用路由服务（以图12-3为配置环境）。图12-3 路由配置环境示意图具体操作步骤如下：（1）为作为路由器的Windows Server 2003主机router1安装两块网卡（或邦定两个IP地址）。（2）根据图12-3所示，为路由器及客户端分别配置好相应的IP地址及默认网关。（3）使用具有管理员权限的用户账户登录pc2，打开命令提示符窗口，利用ping 68命令检查到默认网关（router1）的连接，发现连接成功，且TTL值为128；利用ping 88命令检查与远程子网的主机（pc3）的连接，发现返回信息Request timed out,表明连接失败。（4）使用具有管理员权限的用户账户登录router1，单击【开始】|【程序】|【管理工具】|【路由和远程访问】，打开【路由和远程访问】管理控制台。在左侧的控制台树中右击要配置并启用路由服务的计算机，在弹出的菜单中选择【配置并启用路由和远程访问】命令，如图12-4所示。（5）在打开的【路由和远程访问服务器安装向导】对话框中单击【下一步】按钮，将出现【配置】对话框，在此对话框中可以选择将要配置的服务器类型，如图12-5所示。 图12-4 【路由和远程访问】控制台 图12-5 选择配置的服务器类型（6）选择【两个专用网络之间的安全连接】单选按钮，然后单击【下一步】按钮，将出现【请求拨号连接】对话框，对此可以设置是否启用请求拨号的功能，如图12-6所示。（7）选择【否】单选按钮，再单击【下一步】按钮，将出现【完成】对话框。（8）单击【完成】按钮，将启用路由和远程访问服务；启用成功后将返回【路由和远程访问】管理控制台。（9）右击已经配置并启用路由服务的计算机（以下简称为“路由器”）在弹出的菜单中选择【属性】命令，将打开路由器属性对话框，在首先出现的【常规】选择卡中可以看到该计算机已配置为路由器，如图12-7所示。 图12-6 设置是否启用请求拨号功能 图12-7 查看服务器状态（9）在pc2上利用ping命令再次检测与pc3的连接，发现可以正常通信。【案例2】以网络连接结构图12-8为例，配置静态路由。图12-8 路由网络联接示意图具体操作步骤如下：（1）使用具有管理员权限的用户账户登录router1和router2，参考【案例1】分别将二者配置为路由器。（2）在pc3上利用ping命令检查与pc4的连接，发现连接失败，为了实现3个子网的连接，需要在router1和router2上配置静态路由。从拓扑图中看到，router1连接子网为/24和/24，因此只要在router1中添加到子网/24的路由信息即可，同理在router2中应该添加到子网/24的路由信息。（3）在router1上打开【路由和远程访问】管理控制台，在左侧的控制台树中右击【静态路由】，在弹出的菜单中选择【新建静态路由】命令，如图12-9所示。图12-9 在router1上新建静态路由（4）在打开的【静态路由】对话框中设置静态路由：在【接口】文本框中指定IP地址工作的接口，在【目标】文本框中输入目标的网络地址，在【网络掩码】文本框中输入目标地址对应的子网掩码，在【网关】文本框中指定当与目标网络发起连接时转发到的下一跳路由器的接口IP地址，如图12-10所示。（5）由于通信是双向的，数据包发过来还要传回来，因此在router2上也要创建静态路由，采用同样的方法在router2上也添加静态路由，如图12-11所示。 图12-10 在router1上配置静态路由 图12-11 在router2上配置静态路由（6）在router1上单击【确定】按钮返回【路由和远程访问】管理控制台。右击【静态路由】，然后选择【显示IP路由表】命令，在打开的IP路由表窗口中可以看到新创建的静态路由，如图12-12所示。图12-12 在router1上查看IP路由表【案例3】配置默认路由（以图12-8为网络环境）。具体操作步骤如下：（1）使用具有管理员权限的用户账户登录router1，打开【路由和远程访问】管理控制台，右击【案例2】中添加的静态路由，在弹出的菜单中选择【删除】命令（如图12-13所示），将其删除。图12-13 删除原来的静态路由（2）按照同样的方法在router2上删除【案例2】中原来添加的静态路由。（3）在pc3上用ping命令测试与pc4的连接，发现连接失败。（4）参考【案例2】，分别在router1和router2上添加默认路由，如图12-14和图12-15所示。 图12-14 router1上添加默认路由 图12-15 router2上添加默认路由（5）在pc3上再次用ping命令测试与pc4的连接，发现连接成功，且TTL值为126，说明在router1和router2上配置的默认路由生成。【案例4】配置动态路由（以图12-8为网络环境）。具体操作步骤如下：（1）使用具有管理员权限的用户账户登录router1和router2，并删除router1和router2上的静态路由和默认路由。（2）在router1上打开【路由和远程访问】管理控制台，右击【常规】，在弹出的菜单中选择【新增路由协议】命令，如图12-16所示。（3）在打开的【新路由协议】对话框中选择【用于Internet协议的RIP版本2】，如图12-17所示。 图12-16 在router1上新添路由协议 图12-17 选择动态路由协议RIP2（4）单击【确定】按钮返回【路由和远程访问】管理控制台，可以看到新增加的RIP协议。右击RIP，选择【新增接口】命令（如图12-18所示），将打开【用于Internet协议的RIP版本2的新接口】对话框，在此对话框中指定RIP协议工作在router1的哪个接口（如图12-19所示）。 图12-18 为RIP指定接口（1） 图12-19 为RIP指定接口（2）说明：由于在案例4的实施过程中，router1和router2都是通过在一个网卡绑定多个IP地址来实现的，因此在如图所示对话框中只看到一个物理连接。如果router1和router2是用两块网卡来实现的，则可以看到两个物理连接。在选择RIP协议的工作接口时一定要注意，对router1来说一定要选择IP地址的网络连接，对router2来说一定要选择IP地址的网络连接，因为路由器要通过这两个接口来交换路由信息。（5）单击【确定】按钮，将打开RIP接口属性对话框，首先出现的是【常规】选项卡，如图12-20所示。图12-20 RIP属性对话框在此对话框中可以设置下列选项：操作模式指定运行RIP协议的路由器进行路由信息交换的方式。由于RIP路由器将路由表中所有的条目复制给其他路由器，所以可以根据路由表的大小和网络的性能决定路由表复制的模式。周期性更新模式：RIP路由器周期性地发送路由信息，发送周期可以在【高级】选项卡（如图12-21所示）中设置。LAN接口默认采用周期性更新模式。图12-21 RIP属性【高级】选项卡自动-静态更新模式：使该RIP路由器只在其他路由器请求时才发送路由信息。通过RIP获得的路由被标记为静态路由保存在路由表中，使用请求拨号接口的RIP默认采用自动-静态更新模式。由于只在需要时才发送路由信息，所以该模式将降低对网络带宽的使用。传出数据包协议RIP1版广播：将RIPv1的信息以广播的形式发送出去。如果网络中只有RIPv1的路由器，应该选择该选项。RIP2版多播：将RIPv2的信息以多播的形式发送出去。请求拨号接口默认采用的协议，只有该接口连接到RIPv2的路由器时，才选择该选项。RIP2版广播：将RIPv2的信息以广播的形式发送出去。LAN接口默认采用的协议，如果网络中既有RIPv1又有RIPv2，应该选择该选项。静态RIP：只监听和接受其他RIP路由器的路由信息，自己并不向外发送。传入数据包协议RIP1和2版：接受RIPv1和RIPv2的路由信息，默认采用该模式。忽略传入数据包：不接受其他RIP路由器发送的路由信息。只是RIP1版：只接受RIPv1路由信息。只是RIP2版：只接受RIPv2路由信息。路由的附加开销路由中继段的个数。激活身份验证激活身份验证后将在发送RIP声明时包含所设置的密码，所有与此接口相连的路由器也要使用相同的密码，否则就不能够进行正常的路由交换。（6）单击【安全】标签，将打开RIP接口属性对话框的【安全】选项卡，在此选项卡中可以设置该路由器接受和发送路由器的范围，如图12-22所示。（7）单击【邻居】标签，将打开RIP接口属性对话框的【邻居】选项卡，在此选项卡中可以设置该路由器与邻居路由器进行路由信息交换的方式，如图12-23所示。 图12-22 RIP属性【安全】选项卡 图12-23 RIP属性【邻居】选项卡（8）单击【高级】标签，将打开【RIP属性】对话框的【高级】选项卡，在此选项卡中可以设置RIP广播的周期间隔、启用【水平分割】及【启用子网总计】等选项，见图12-21所示。（9）单击【确定】按钮返回控制台，按照同样的方法在router2上也启用RIP路由协议。（10）在pc3上用ping命令与pc4发起连接，发现连接成功，而且TTL的值为126，说明在router1和router2上通过RIP协议进行了路由交换，动态路由生效。（11）右击【RIP】，在弹出的菜单中选择【属性】命令，将打开【RIP属性】对话框。在首先出现的【常规】选项卡中可以设置最大延迟时间，以及在事件日志中记录的事件种类，如图12-24所示；在【安全】选项卡中可以设置该路由器可以接受哪些路由器的路由通告，如图12-25所示。 图12-24 RIP属性【常规】选项卡 图12-25 RIP属性【安全】选项卡（12）单击RIP，在右侧的控制台窗口中右击用于RIP的接口【本地连接】，在弹出的菜单中选择【属性】命令，将打开如图12-20所示的RIP接口属性对话框的【常规】选项卡，在此选项卡中配置RIPv2协议，并启用身份验证功能（设置密码windows2003），如图12-26所示。图12-26 【本地连接】属性对话框（13）单击【确定】按钮返回【路由和远程访问】管理控制台。按照同样的方法在router2上重新启用RIP协议，并设置相同的身份验证密码。（14）在pc3上用ping命令与pc4发起连接，发现连接成功，而且TTL的值为126，说明在pc1和pc2上的RIP协议身份验证成功，进行了路由交换。（15）在router2上重新启用RIP协议，激活身份验证并设置一个与上面不同的密码。（16）在pc3上用ping命令与pc4发起连接，发现连接失败，说明激活身份验证后只有使用相同密码时才能进行路由交换。注意：在此案例中，可以对【RIP属性】不做任何修改就可以达到pc3和pc4通信的目的（可以不用设置身份验证密码）。【RIP属性】要根据实际网络需要进行设置。4 实行一次过程性考核：给学生一个案例：三个网段，两个路由，要求学生分成两个组，分别用三种路由的方法配置IP路由教师总结（强调团队意识）步骤3：路由接口筛选（45分钟）以案例的形式给学生讲解路由接口筛选（在学生机上操作演示）【案例5】配置路由接口筛选。以图12-8为网络环境，将在router1和router2上配置路由接口筛选，实现禁止/24子网到子网的ICMP数据包，但允许其他协议数据包通过。具体操作步骤如下：（1）在pc1上利用ping命令连接pc4，确保连接成功。（2）使用具有管理员权限的用户账户登录router1，打开【路由和远程访问】管理控制台，双击展开路由器，再双击展开【IP路由选择】，然后单击【常规】，在右侧的窗口中右击准备设置路由筛选的接口，在弹出的菜单中选择【属性】命令，如图12-27所示。图12-27 【路由和远程访问】管理控制台（3）在打开接口属性对话框的【常规】选项卡中单击【入站筛选器】按钮，将打开【入站筛选器】对话框；单击【新建】按钮，打开【添加IP筛选器】对话框；在此对话框的【源网络】选项区域中指定源的网络地址和子网掩码；在【目标网络】选项区域中指定目标的网络地址和子网掩码；在【协议】文本框中指定ICMP协议，类型和代码未指定时使用默认值255，即任何端口和任何代码，如图12-28所示。重点：在指定源和目的地址时，如果输入的是IP地址，而不是网络地址，则相应的子网掩码应为55。（4）单击【确定】按钮，将返回【入站筛选器】对话框；在此可以设置筛选的动作，根据本案例的目的，此处选择【接收所有符合下列条件以外的数据包】单选按钮，如图12-29所示。 图12-28 【添加IP筛选器】对话框 图12-29 【入站筛选器】对话框注意：此处如果选择【丢弃所有的包，满足下面条件的除外】单选按钮，则在router1上将只允许子网从/24到/24的ICMP数据包通过，其他协议数据包都被拒绝。（5）单击【确定】按钮，完成筛选器设置。（6）在pc3上再次用ping命令与pc4建立连接，发现连接失败（Request timed out）；用ftp命令与pc4建立连接，发现连接成功，说明在router1上的筛选器生效。（7）在router1上删除该筛选器，按照同样的方法在router2上创建一个出站筛选器，也可以达到同样的目的，由此表明，可以针对每个路由器在每个方向上为特定的协议设置数据包过滤。步骤