路由与远程访问服务器

1、.1 第七章第七章 路由和远程访问服务器路由和远程访问服务器 7.1 路由概述 7.2 NAT服务器概述及架设 7.3 VPN服务器概述及架设 7.4 IP路由器 .2 常见问题 不同网段的计算机如何实现通信？ 只有一个公网地址，如果让内网客户端上 Internet？ 如何让外网用户访问内网资源？ .3 7.1 路由概述 所谓“路由路由”，是指把数据从一个地方（网 段）传送到另一个地方（网段）的行为和动 作，而路由器路由器，正是执行这种行为动作的机 器，它的英文名称为Router，是一种连接多 个网络或网段的网络设备，它能将不同网络 或网段之间的数据信息进行“翻译”，以使 它们能够相互“读懂”

2、对方的数据，从而构 成一个更大的网络。 .4 路由器是一种连接多个网络的设备，它工作在OSI模型的第三层 （网络层） 路由器的主要工作就是为经过路由器的每个IP数据包寻找一条最 佳传输路径，并将该数据包有效地传送到目的站点。 由此可见，选择最佳路径的策略即路由算法是路由器的关键所在 。为了完成这项工作，在路由器中保存着各种传输路径的相关数 据路由表路由表（Routing Table），供路由选择时使用，也就是 说路由器转发IP数据包是根据路由表进行的。 7.1.1 路由器 网络1 网络2 .5 7.1.2 路由器的工作原理 n1 n2 n3n4n5 R1 R2 R3 R4 R1的路由表： 目的

3、网络下一跳 n1R1 n2R2 n3R3 n4R3 n5R3 R3的路由表： 目的网络下一跳 n1R1 n2R2 n3R3 n4R4 n5R4 .6 7.1.2 路由器的工作原理 在路由表中有四类路由信息：直连路由、默认路由、 静态路由和动态路由。 直连路由直连路由是与路由器端口直接相连的网络，如果数 据包的目的地址在这些网络中，路由器会把它直接 发往目的网络。 默认路由默认路由是路由器对外的一条路径，路由器会把目 的地址在路由表中找不到的数据包通过默认路由转 发出去，由其它路由器解决。 静态路由静态路由是由网管设置的路由路径,经常用于缺省 路径。 动态路由动态路由不需要人工设置，用“自学习”

4、的方法学 习到的路由。动态路由是通过路由算法和协议来实 现的。 .7 7.1.3 路由协议 在路由器间交换彼此的了解的路径信息 周期性的更新或在网络变化时立刻更新，以 得到最新的路径 7.1.3 距离向量路由协议 邻居路由器之间定期交换完整的路由表(距离-向量表) 每当接收到一个邻居路由器发来的路由表时，路由器重新计算 到每个目的地的距离距离，并且更新各自的路由表。距离的度量单位 可以是延迟、物理距离或者链或其它参数。 Routing Table Routing Table Routing Table Routing Table DistanceHow far VectorIn which d

5、irection .9 7.1.3 链路状态路由协议 解决两个问题 lV-D算法只考虑距离，没有考虑链路带宽及负载等因素 lV-D算法存在慢收敛问题。 Link-State Packets SPF Algorithm Topological Database Shortest Path First Tree Routing Table .10 7.1.3 链路状态路由协议工作过程 路由器之间形成邻居关系 HELLO过程 测量线路开销 ECHO packet：round-trip time/2 构造链路-状态报文 Packet内容：Sequence Number/Age/Neighbors de

6、lay metric 何时构造L-S packet：网络出现重大变化：比如路由器或链路的 失效或重启才生成路由更新包 广播链路-状态报文 l将L-S packet可靠地广播出去 计算最短路径 l由于网络上的每个路由器都可以获得所有其它路由器的链路- 状态报文，每个路由器都可以构造出网络的拓扑结构图。此时 路由器可以根据SPF算法计算出到所有目的节点的最短路径， 并把计算结果填到路由器的路由表中。 .11 7.1.4 自治系统 因特网被划分为一个个自治系统。 从路由的角度看，拥有同样的路由策略、在同一管 理机构下的由一系列路由器和网络构成的系统称为 自治系统自治系统AS。 相对其他的自治系统AS

7、 而言，一个自治系统AS 的 有独立而统一的内部路由策略，它对外呈现一致的 路由状态。 每个自治系统AS都有一个唯一的编号，即AS号。 .12 7.1.4 从不同层次来看Internet .13 7.1.4 IGP和EGP 内部网关协议内部网关协议IGP l同一个AS内部的路由器之间的路由协议 lIGP的目的就是寻找AS内部所有路由器之间的 最短路经。 l常见的IGP协议有RIP和OSPF。 外部网关协议外部网关协议EGP lAS之间的路由协议。EGP的目的是维持AS之间 的连通性。 l常用的EGP协议有BGP-4。 .14 7.1.5 IGP路由协议 路由信息协议（Routing Infor

8、mation Protocol，RIP） l由施乐公司的帕洛阿托研究中心PARC在70年代设计的，距离向量路 由协议 l简单，容易配置、维护和使用。 l最大问题是收敛慢，并且在收敛过程中，可能产生路由环问题 l不适合于大的、复杂的网络。 开放最短路由优先协议(Open Shortest Path First, OSPF) lIETF于1988年开发的一种基于链路状态路由算法的路由协议。 l使用事件（链路中断或路由器崩溃等事件）来驱动链路-状态更新， 而且当网络拓扑结构发生变化时能够快速收敛。 l具有良好的扩展性，能够运用于大规模网络。 l对链路带宽以及路由器的处理能力和存储空间都要求比较高。

9、.15 7.1.6 路由器的功能 路由器的基本功能是路径选择路径选择功能（路由）。 路由器的其它主要功能： 过滤掉广播信息； 通过设定隔离和安全参数，禁止某些数据的传输； 网络地址翻译（网络地址翻译（NATNAT）； 诊断内部或其它连接问题并发出报警信号。 .16 对于连接在路由器某个端口的局域网，该网络中各主 机的IP地址应该与路由器的端口IP在同一个网络中， 各主机的默认网关应该设置为该端口的IP地址。 E0/0： /24 E0/1： /24 IP：/24 网关： IP：/24 网

10、关： 7.1.7 路由器的配置 .17 7.1.8 路由器的分类 v接入级路由器：主要用于家庭或小型企业用户。用 于将家庭或企业的小型局域网接入到ISP的网络中。 v企业级路由器：用于将规模较大的局域网接入 Internet。它支持多种协议，有多种接口，还有防 火墙的功能。 v骨干级路由器：用于大型网络的互联。具有高速 率和高可靠性，具有热备份、双电源、双数据通 道等安全性保障。 .18 7.1.9 路由器种类 路由器可分为硬件路由器和软件路由器。 硬件路由器硬件路由器有为支持路由功能而特别设计并优化的 硬件支持部分。 软件路由器软件路由器是指不是特别为进行路由而设计的路

11、由 器，但它能够在路由计算机上将路由作为诸多执行 的进程之一。 运行 Windows Server 2003 的“路由和远程访路由和远程访 问问”服务的计算机，是全功能的软件路由器软件路由器 。 .19 7.1.10 “路由和远程访问”服务器 具有以下功能： lInternet 协议（IP）和AppleTalk多协议单播路由。 l工业标准单播单播IP路由协议路由协议，包括开放式最短路径优先（ OSPF）和路由信息协议（RIP） 版本1和2。 l 启用 IP 多播通信转发的 IP 多播服务多播服务（Internet 组管理协 议，IGMP)路由器模式和 IGMP 代理模式。 l “路由和远程访问

12、服务器安装向导”包含一组常规服务器配 置，可帮助满足网络需求。 l对多个网络接口的支持。 l简化小型办公室或家庭办公室（SOHO）网络与Internet的 连接的IP网络地址转换网络地址转换 （NAT）服务。 .20 7.2 NAT服务器概述及架设 网络地址转换(NAT，Network Address Traslation)将局域网内每台计算机的私网IP地址 转换成一个公网合法的IP地址，以使得局域网计算 机能访问Internet资源。 简单的说，NAT就是在局域网内部网络中使用内部 地址，而当内部计算机要与外部网络进行通信时， 就在网关处将内部地址替换成公用地址，从而在外 部公网上正常使用，

13、NAT可以使多台计算机共享 Internet连接，这一功能很好的解决了公用IP地址 紧缺的问题。 .21 7.2.1 NAT工作原理 .22 7.2.2 NAT四种地址翻译方式 静态翻译静态翻译：是在内部局部地址和内部全局地址之间建 立一对一的映射。 动态翻译动态翻译: 是在一个内部局部地址和外部地址池之间 建立一种映射。 端口地址翻译端口地址翻译: 通过允许路由器为多个局部地址分配 一个全局地址，也就是将多个局部地址映射为一个全 局地址的某一端口，因此也被称为端口地址翻译（ PAT）。 重叠地址翻译重叠地址翻译: 翻译重叠地址是当一个内部网中使用 的内部局部地址与另外一个内部网中的地址相同，

14、通 过翻译，使两个网络连接后的通信保持正常。 .23 7.2.3 架设NAT服务器 NAT服务器必须要有2张或2张以上的网卡，内部IP地址为 0，接入Internet的IP地址为 .24 “使用此公共接口连接到 INTERNET”：如果NAT服务 器的INTERNET接入采用固 定永久的连接方式，如专线 或以太网连接等。则选择此 项。 “创建一个新的到 INTERNET的请求拨号接口 ”：如果NAT服务器 INTERNET接入采用非固定 永久的连接方式，而是在需 要时才连接，例如传统拨号 、ISDN或ADSL连接等。则 选择此项，并根据向导设置 连

15、接时所需要的接入号码、 用户名和密码等相关参数。 7.2.3 架设NAT服务器 .25 选第一项：表明 NAT服务器提供 DNS服务、为NAT 客户端分配默认网 关和DNS服务器的 IP地址均为其连接 内部网的IP地址。 7.2.3 架设NAT服务器 .26 7.2.3 架设NAT服务器 .27 7.2.4 NAT属性配置 .28 7.2.4 NAT属性配置-NAT外网接口 属性 在“NAT/基本防 火墙”中打开外 网接口的属性（ 注：只有对外连 接的公用接口才 可启用基本防火 墙），如图： .29 7.2.4 NAT属性配置-数据包筛选 .30 7.2.4 NAT属性配置-地址池 如果NAT

16、服务器 拥有多个公用地 址，则需要在此 选项卡中添加这 些地址。 .31 7.2.4 NAT属性配置-地址保留 可以将指定的公用地 址保留给内部网的某专 用地址，即建立静态的 映射关系。 如果地址为 是内部的一台WEB服 务器。如果允许 INETERNET用户访问 内部WEB服务器，则 要选允许将会话传入到 此地址。 .32 7.2.4 NAT属性配置-服务和端口 如果在网络中提供INTERNET用户可以访问内部服务器，如WEB 服务器。但基本防火墙阻止了这些来自INTERNET的访问，则可 以在此选项卡中将特定的类型的通信配置排除在外。 .33 7.2.4 NAT属性配

17、置- ICMP 通过此选项卡可配 置当前接口是否接 受并响应指定的 ICMP请示，为了 保护NAT服务器安 全，如果不是特别 需要，通常情况下 应拒绝任何ICMP 请示。 .34 7.3 VPN服务器概述及架设 虚拟专用网络（Virtual Private Network, VPN ）是专用网络的延伸，它模拟点对点专用连接点对点专用连接的方 式通过Internet或Intranet在两台计算机之间传送 数据，是“线路中的线路”，具有良好的保密性和 抗干扰能力。 虚拟专用网是穿越专用网络或公用网络（如 Internet）的、安全的、点对点连接的产物。 虚拟专用网客户端使用特定的，称为隧道协议隧道

18、协议的基 于TCP/IP的协议，来对虚拟专用网服务器的虚拟 端口进行依次虚拟呼叫。VPN服务器应答虚拟呼叫 ，验证呼叫方身份，并在虚拟专用网客户端和企业 网络之间传送数据。 .35 7.3.1 VPN工作原理 VPN 服务器服务器 Internet 适配器适配器 Intranet 适配器适配器 公司公司 内部网络内部网络 VPN 远程访问客户机远程访问客户机 Internet 隧道隧道 .36 7.3.2 VPN应用 总公司的网络已经连接到Internet，用户在远程拨 号连接到Internet网络后，就可以通过Internet来 与总公司的VPN服务器建立PPTP或L2TP的VPN连 接，并

19、通过VPN安全地传输数据。 两个物理上分离的局域网的VPN服务器都连接到 Internet网络，并且通过Internet建立PPTP或 L2TP的VPN连接，就可以实现两个局域网之间的 安全数据传输。 .37 7.3.3 VPN隧道协议 PPTP（Point-to-Point Tunneling Protocol，点对点隧道协议 ）是PPP（点对点）协议的扩展，并协调使用PPP的身份验证、压 缩和加密机制。它允许对IP、IPX或NETBEUI数据流进行加密， 然后封装在IP包头中通过诸如Internet这样的公共网络发送，从 而实现多功能通信。 L2TP（Layer Two Tunneling

20、 Protocol，第二层隧道协议）是 基于RFC的隧道协议，该协议依赖于加密服务的Internet安全性 （IPSec）。它允许客户通过其间的网络建立隧道，L2TP还支持 信道认证，但它没有规定信道保护的方法。 IPSec是由IETF（Internet Engineering Task Force）定义的 一套在网络层提供IP安全性的协议。主要用于确保网络层之间的安 全通信。它使用IPSec协议集保护IP网和非IP网上的L2TP业务。 在IPSec协议中，一旦IPSec通道建立，在通信双方网络层之上的 所有协议（如TCP、UDP、SNMP、HTTP、POP等）就要经过加 密，而不管这些通道构

21、建时所采用的安全和加密方法如何。 .38 7.3.4 架设VPN服务器-部署环境 .39 7.3.4 架设VPN服务器 选择此项 .40 7.3.4 架设VPN服务器 .41 7.3.4 架设VPN服务器 选择“远程访问（拨号或远程访问（拨号或VPN）” 选择“VPN” .42 选中外网的网卡外网的网卡 选择对远程客户端指派IP地址 的方法：建议指定地址范围 7.3.4 架设VPN服务器 .43 单击“新建”按钮 选择起始和 结束IP地址 7.3.4 架设VPN服务器地址范围指定 .44 由于没有安装认证服务 器，故选择此项 7.3.4 架设VPN服务器 .45 7.3.4 架设VPN服务器

22、-设置远程访 问端口数量 端口是支持单个点对点连接的设备隧道。对于单 一端口设备（如调制解调器），设备与端口不可区分。 对于多端口设备，端口是设备的一个部分，通过它可 以进行一个单独的点对点通讯。 .46 单击“配置”按钮 7.3.4 架设VPN服务器 -设置远程访 问端口数量 .47 7.3.4 架设VPN服务器 -设置远程用 户访问权限 .48 7.3.4 架设VPN服务器 -设置远程用 户访问权限 .49 7.3.4 架设VPN服务器 - VPN服务 器的停止与启动 .50 7.3.5 设置VPN客户端- 建立ADSL 连接 .51 7.3.5 设置VPN客户端- 建立ADSL 连接 .52 7.3.5 设置VPN客户端- 建立ADSL 连接 .53 7.3.5 设置VPN客户端-建立VPN拨 号连接 .54 7.3.5 设置VPN客户端-建立VPN拨 号连接 .55 7.3.6 连接VPN服务器 输入ADSL上网 用户名和密码 输入VPN用户 名和密码 .56 7.3.7 断开VPN连接 .57 7.4 IP路由选择