高校精品系列-Windows11.ppt

网络操作系统 WindowsServer2003配置与管理 第11章路由和远程访问服务 RRAS基础IP路由配置网络地址转换配置防火墙配置远程访问配置虚拟专用网配置 学习要点 11 1路由和远程访问基础 RRAS简介WindowsServer2003直接集成路由和远程访问服务组件RRAS是一个全功能的软件路由器RRAS是一个功能丰富的远程访问服务器WindowsServer2003的RRAS新特性在L2TP IPSec身份验证中支持预先共享密钥网络地址转换和静 动态包过滤的集成支持在NAT之上的L2TP IPSec连接小型网络的广播域名解析不需要本地WINS或DNS服务器 11 1路由和远程访问基础 RRAS路由功能RRAS的路由选择组件提供了路由 信息包过滤器 线路共享 请求拨号路由等特性 适合作为LAN和WAN路由器它也具有一定的防火墙功能路由功能多协议路由器 支持IP和AppleTalk多种网络协议支持工业标准的IP路由协议OSPF和RIP 包括版本1和版本2 支持IP多播服务对多个网络接口的支持提供IP网络地址转换 NAT 服务支持包过滤防火墙支持请求拨号路由支持虚拟专用网络 VPN 支持DHCP中继代理支持ICMP路由器发现用于路由协议 管理的API以及启用增值开发的用户接口 11 1路由和远程访问基础 RRAS远程访问功能拨号网络通过使用远程通信提供商 例如模拟电话 ISDN或X 25 提供的服务远程客户端使用非永久的拨号线路连接到远程访问服务器的物理端口上最常见的拨号网络是客户端拨打远程访问服务器某个端口的电话号码虚拟专用网虚拟专用网是在公共网络上建立的安全专用网络客户端使用特定的隧道协议对服务器的虚拟端口进行虚拟呼叫常见的应用是客户端通过虚拟专用网隧道连接到与Internet相连的远程访问服务器上与拨号网络相比 虚拟专用网始终是通过公用网络 如Internet 在客户端和服务器之间建立的一种逻辑的 非直接的连接 11 1路由和远程访问基础 启用并配置RRAS通过向导进行配置远程访问 拨号或VPN 网络地址转换 NAT 虚拟专用网 VPN 访问和NAT两个专用网络之间的安全连接 11 1路由和远程访问基础 启用并配置RRAS使用 路由和远程访问 控制台手动配置通过向导配置RRAS服务之后 要修改已有配置选项 或者增加新的服务类型时 都需要在 路由和远程访问 控制台中进行手动设置 路由和远程访问 控制台作为重要的控制中心 管理着RRAS的大部分属性 还可以设置协议 全局的选项和属性以及远程访问策略 11 2IP路由配置 IP路由与路由器IP路由路由是数据从一个节点传输到另一个节点的过程在TCP IP网络中 携带IP报头的数据报 沿着指定的路由传送到目的地同一网络区段中的计算机可以直接通信 不同网络区段中的计算机要相互通信 则必须借助于IP路由器IP路由器路由器是在互联网络中实现路由功能的主要节点设备支持TCP IP协议的路由器称为IP路由器 在TCP IP网络中又叫IP网关每一个节点都有自己的网关 IP包头指定的目的地址不在同一网络区段中 就会将数据包传送给该节点的网关 11 2IP路由配置 IP路由与路由器IP路由表路由器靠路由表来确定数据包的流向 路由表也称为路由选择表路由表表项组成目的地址 NetworkDestination 网络掩码 Netmask 网关地址 GatewayAddress 接口 Interface 路由度量标准 Metric 路由类型网络路由主机路由默认路由特殊路由 11 2IP路由配置 IP路由与路由器路由选择过程路由功能就是指选择一条从源到目的路径 并进行数据包转发如果目的主机位于同一子网 就直接将数据包发送到目的主机如果目的主机位于其他子网 就将数据包转发给同一子网中指定的网关 路由器 11 2IP路由配置 静态路由与动态路由静态路由完全由管理员精确配置 网络之间的传输路径预先设计好路由器之间不需进行路由信息的交换 相应的网络开销较小网络中不必交换路由表信息 安全保密性高对于因网络变化而发生的路由器增加 删除 移动等情况 无法自动适应如果规模较大 管理员将不堪重负 而且还容易出错静态路由的网络环境设计和维护相对简单 并且非常适用于那些路由拓扑结构很少有变化的小型网络环境 有时出于安全方面的考虑也可以采用静态路由动态路由动态路由通过路由协议 在路由器之间相互交换路由信息 自动生成路由表 并根据实际情况动态调整和维护路由表路由器之间通过路由协议相互通信 获知网络拓扑信息 路由器的增加 移动以及网络拓扑的调整 路由器都会自动适应动态路由的主要优点是伸缩性和适应性 具有较强的容错能力复杂程度高 频繁交换的路由信息增加了额外开销 这对低速连接来说无疑难以承受动态路由适用于复杂的中型或大型网络 也适用于经常变动的互联网络环境 11 2IP路由配置 路由协议主流的路由协议边界网关协议 BorderGatewayProtocol BGP 增强的内部网关路由协议 EnhancedInteriorGatewayRoutingProtocol EIGRP 外部网关协议 ExteriorGatewayProtocol EGP 内部网关路由协议 InteriorGatewayRoutingprotocol IGRP 开放最短路径优先 OpenShortestPathFirst OSPF 路由信息协议 RoutingInformationProtocol RIP 11 2IP路由配置 路由协议RIP协议RIP属于距离向量路由协议 主要用于小型到中型互联网络中交换路由选择信息RIP只是同相邻的路由器互相交换路由表交换的路由信息也比较有限 仅包括目的网络地址 下一跃点以及距离RIP目前有两个版本 RIP版本1和RIP版本2RIP的最大优点是配置和部署相当简单RIP的最大缺点是不能将网络扩大到大型或特大型互联网络 11 2IP路由配置 路由协议OSPF协议OSPF路由协议是典型的连接状态路由协议OSPF路由器与区域内的每个路由器通信 从而获知整个互联网络的拓扑结构 根据网络拓扑结构来选择路由OSPF是一个典型的层次体系结构OSPF的最大优点是高效率 OSPF要求很小的网络开销 即使在非常大的互联网络中OSPF的最大缺点是它的复杂性 OSPF需要正确的计划并且更难于配置和管理OSPF设计用于在大型或特大型互联网络中交换路由选择信息 11 2IP路由配置 路由接口LAN接口LAN接口是物理接口 通常指用于局域网连接的网卡充当路由器的计算机上安装的网卡都是LAN接口 安装的WAN适配器有时也表示为LAN接口请求拨号接口请求拨号接口是代表点对点连接的逻辑接口点对点连接基于物理连接 如使用模拟电话线连接的两个路由器 或者逻辑连接 如使用虚拟专用网连接的两个路由器 请求拨号连接可以是请求式 仅在需要时建立点对点连接 也可以是持续型 建立点对点连接然后保持已连接状态请求拨号接口通常需要通过身份验证过程来连接 请求拨号接口所需的设备是设备上的一个端口IP隧道接口IP隧道接口是代表已建立隧道的点对点连接的逻辑接口IP隧道接口不需要通过身份验证过程来建立连接 11 2IP路由配置 配置IP静态路由配置简单的IP路由网络一个路由器连接两个网络是最简单的路由方案不需要路由协议即可转发要路由的数据包 只需设置简单的静态路由 11 2IP路由配置 配置IP静态路由配置简单的IP路由网络配置作为路由器的WindowsServer2003计算机配置网络上其他计算机 非路由器 的IP地址 子网掩码和默认网关 11 2IP路由配置 配置IP静态路由配置静态路由在每台路由器上设置与该路由器没有直接连接的网络的路由项对于局域网网卡 设置的网关接口必须与该网卡位于同一子网 11 2IP路由配置 配置IP静态路由配置静态路由在每台路由器上设置与该路由器没有直接连接的网络的路由项对于局域网网卡 设置的网关接口必须与该网卡位于同一子网 使用routeADD命令添加静态路由routeADD 目的地址 MASK 子网掩码 网关 METRIC 跃点数 IF 网络接口 号 11 2IP路由配置 配置IP动态路由配置RIP路由启用路由功能和IP路由功能添加RIP路由协议添加RIP接口 11 2IP路由配置 配置IP动态路由配置RIP路由配置RIP接口协议查看当前的RIP接口 11 3网络地址转换配置 网络地址转换技术NAT工作原理在网络之间对经过的数据包进行地址转换后再转发共享IP地址和网络连接 让内网计算机共用一个公网地址接入Internet保护网络安全 通过隐藏内网IP地址 使黑客无法直接攻击内网 11 3网络地址转换配置 网络地址转换技术端口映射技术外网到内网的NAT用于从内网向外部用户提供网络服务端口映射将NAT路由器的公网IP地址和端口号映射到内网服务器的私有IP地址和端口号端口映射又称端口转换或目的地址转换 RRAS内置的NAT转换组件 用于实现数据包转换服务寻址组件 用于为内部网络计算机提供DHCP服务名称解析组件 用于为内部网络计算机提供DNS名称解析服务 11 3网络地址转换配置 通过NAT实现Internet连接共享网络拓扑 11 3网络地址转换配置 通过NAT实现Internet连接共享设置NAT服务器配置为专用接口和公用接口配置IP地址添加 NAT 基本防火墙 路由协议为NAT添加公用接口 Internet接口 为NAT添加专用接口 内网接口 11 3网络地址转换配置 通过NAT实现Internet连接共享设置NAT服务器启用NAT寻址功能启用NAT名称解析功能 配置NAT客户端如果NAT服务器启用DHCP功能 只需将内部专用网络其他计算机上配置为DHCP客户端如果手工配置 将默认网关和DNS服务器都设置为NAT服务器内部接口的IP地址 11 3网络地址转换配置 让Internet用户通过NAT访问内部服务实际上是通过端口映射发布内网服务器在内部网络中确定要提供Internet服务的资源服务器并进行配置启用路由和远程访问服务 添加 NAT 基本防火墙 路由协议并添加公用端口和专用端口添加要发布的服务 11 3网络地址转换配置 让Internet用户通过NAT访问内部服务自定义服务 查看NAT映射表显示当前处于活动状态的地址和端口映射记录 11 4防火墙配置 配置基本防火墙基本防火墙的工作原理基本防火墙监视通过已启用基本防火墙的接口传递的所有通信如果接口为内部专用网络通信所配置并提供NAT 则每个数据包的源地址和目标地址将被记录在表中如果接口只为专用网络通信配置 则基本防火墙仅路由专用网络上计算机之间的通信基本防火墙只提供对公用接口的保护 不能在专用接口上启用基本防火墙在部署基本防火墙的情况下要允许特定的外来通信 可通过端口映射设置这些例外的通信配置基本防火墙启用路由和远程访问服务 添加 NAT 基本防火墙 路由协议并添加公用端口可以在公用接口上启用防火墙而不启用NAT可以在公用接口上同时启用防火墙和NAT 11 4防火墙配置 配置IP数据包过滤包过滤原理通过包过滤来允许和禁止某些网络应用程序或服务程序 从而控制网络通信包过滤路由器在网络层对数据包进行选择包过滤规则包过滤器的配置实际上就是包过滤规则的配置包过滤规则决定是否允许数据包通过包过滤规则包括条件和动作两个部分条件部分又包括数据包的包头信息和通信方向两个部分通信方向只有两种 向内 Incoming 即数据包到达网络接口 也称 传入 入站 输入 向外 Outgoing 即数据包离开网络接口 也称 传出 出站 输出 包过滤动作 允许 Permit 拒绝 Deny 也称 阻止 Block 丢弃 Drop 11 4防火墙配置 配置IP数据包过滤定义包过滤规则的注意事项选择默认规则 一般采用排除法来定义包过滤规则注意通信协议的双向性一般采用更为严格和复杂的过滤条件 根据应用程序和服务来进行过滤对一个网络接口上传入和传出的数据包分别定义规则多个网络接口应弄清每个接口上数据通信的方向尽量减少规则数量 降低每条规则的复杂度 11 4防火墙配置 配置IP数据包过滤配置RRAS的包过滤可以设置每个网络接口的数据包筛选器入站筛选器用来过滤传入数据包 即通信方向为 向内 出站筛选器用来过滤传出数据包 即通信方向为 向外 要使包筛选器生效 必须启用路由器配置过程设置网络接口属性添加IP筛选器 11 4防火墙配置 配置IP数据包过滤配置RRAS的包过滤配置过程设置筛选器动作编辑IP筛选器 11 5远程访问配置 WindowsServer2003拨号网络组件配置RRAS的包过滤拨号网络服务器拨号网络客户端拨号连接介质 拨号连接 WAN选项 拨号网络协议 LAN和远程访问协议 安全选项 11 5远程访问配置 部署远程访问服务器安装并配置拨号设备选择调制解调器 ISDN适配器 X 25智能卡或直接电缆连接来作为拨号设备一般通过控制面板安装和配置拨号设备配置远程访问服务器运行路由和远程访问服务安装向导 只要选择 远程访问 拨号或VPN 选项手动启用远程服务器配置远程用户拨入属性为远程用户设置拨入属性 授予适当的远程访问权限设置拨入属性为用户配置远程访问权限配置呼叫方ID和回拨配置静态IP地址分配为拨入用户配置静态路由 11 5远程访问配置 设置身份验证和记账功能选择身份验证和记账提供程序从 验证提供程序 列表中选择是由Windows系统还是RADIUS服务器来验证客户端的账户名称和密码从 记账提供程序 列表中选择连接日志记录保存的位置设置身份验证方法 11 5远程访问配置 设置身份验证和记账功能设置身份验证方法 11 5远程访问配置 设置网络协议允许远程客户端使用TCP IP协议限制远程客户访问的网络范围向远程客户端指派IP地址在 适配器 列表中指定远程客户端获取IP参数的网卡 11 5远程访问配置 设置远程访问协议PPP协议通过PPP建立连接需要4个阶段PPP设置身份验证回拨协议设置设置PPP选项 11 5远程访问配置 设置远程访问策略远程访问策略简介远程访问策略是针对远程连接设置的一组条件和权限 用于规定用户的远程访问权限远程访问策略组成条件 应用远程访问策略的前提远程访问权限 由用户账户远程访问权限和远程访问策略权限共同决定配置文件 用来进一步限制连接远程访问策略应用流程 11 5远程访问配置 设置远程访问策略创建远程访问策略为策略指定名称选择要添加的条件类型决定是否授予远程访问权限编辑拨入配置文件管理多个远程访问策略 11 6虚拟专用网配置 VPN技术VPN应用模式远程访问远程网络互联 11 6虚拟专用网配置 VPN技术基于隧道的VPN第二层隧道协议第三层隧道协议第四层隧道协议 11 6虚拟专用网配置 VPN技术PPTP协议PPTP是点对点协议PPP的扩展 它增强了PPP的身份验证 压缩和加密机制PPTP协议允许对IP IPX或NetBEUI数据流进行加密 然后封装在IP包头中通过企业IP网络或公共网络发送PPP和Microsoft点对点加密 MPPE 为VPN连接提供了数据封装和加密服务PPTP使用通用路由封装协议 GenericRoutingEncapsulation GRE 协议ID47 报头和IP报头 TCP1723 封装PPP帧 11 6虚拟专用网配置 VPN技术L2TP协议L2TP使用IPSecESP 封装安全有效荷载 协议来加密数据L2TP和IPsec的组合称为L2TP IPsecL2TP IPSec对PPP帧提供两层封装第一层 L2TP封装 对PPP帧使用L2TP报头 包含L2TP隧道控制信息 和UDP报头 端口1701 封装第二层 IPsec封装 使用IPSecESP报头和报尾 提供消息完整性和身份验证的IPSec身份验证报尾及最后的IP报头来封装L2TP数据包 11 6虚拟专用网配置 WindowsServer2003虚拟专用网组件VPN服务器VPN客户机LAN协议远程访问协议隧道协议 11 6虚拟专用网配置 规划虚拟专用网网络拓朴结构内外网模拟实验环境 11 6虚拟专用网配置 规划虚拟专用网VPN网络IP规划确定VPN路由器之间初始化连接单向初始化连接双向初始化连接 11 6虚拟专用网配置 配置总部VPN路由器和远程访问服务器安装和配置总部VPN服务器选择自定义配置选项启用路由器和远程访问服务器 11 6虚拟专用网配置 配置总部VPN路由器和远程访问服务器安装和配置总部VPN服务器设置VPN服务器的IP选项 11 6虚拟专用网配置 配置总部VPN路由器和远程访问服务器配置请求拨号接口每一个分支机构路由器 都要创建请求拨号接口设置目标地址设置协议和安全措施 11 6虚拟专用网配置 配置总部VPN路由器和远程访问服务器配置请求拨号接口设置静态路由设置拨入账户 11 6虚拟专用网配置 配置总部VPN路由器和远程访问服务器配置请求拨号接口设置拨出账户 11 6虚拟专用网配置 配置总部VPN路由器和远程访问服务器配置IP筛选器 包过滤 添加IP筛选器 11 6虚拟专用网配置 配置总部VPN路由器和远程访问服务器配置IP筛选器 包过滤 PPTP入站筛选器PPTP出站筛选器 11 6虚拟专用网配置 部署分支机构VPN路由器安装和配置分支机构VPN服务器可以不选中 远程访问服务器 复选框添加的地址范围在分支机构内网同一网段内配置请求拨号接口接口名称设置为TOCorp 目标地址设置为总部VPN路由器的公网接口IP地址设置协议及安全措施时不必选中 添加一个用户账户使远程路由器可以拨入 复选框 这样不用设置拨入凭据 远程网络的静态路由设置为指向总部内网的路由拨出凭据设置为用于拨入总部的用户账户的名称 域名和密码 与总部路由器请求拨号接口的拨入凭证相同配置IP筛选器分支机构的VPN路由器要作为PP