chap7-路由与远程访问.ppt

1、第七章 路由和远程访问服务器,7.1 路由概述 7.2 NAT服务器概述及架设 7.3 VPN服务器概述及架设 7.4 IP路由器,2,常见问题,不同网段的计算机如何实现通信？ 只有一个公网地址，如果让内网客户端上Internet？ 如何让外网用户访问内网资源？,7.1 路由概述,所谓“路由”，是指把数据从一个地方（网段）传送到另一个地方（网段）的行为和动作，而路由器，正是执行这种行为动作的机器，它的英文名称为Router，是一种连接多个网络或网段的网络设备，它能将不同网络或网段之间的数据信息进行“翻译”，以使它们能够相互“读懂”对方的数据，从而构成一个更大的网络。,路由器是一种连接多个网络的

2、设备，它工作在OSI模型的第三层（网络层） 路由器的主要工作就是为经过路由器的每个IP数据包寻找一条最佳传输路径，并将该数据包有效地传送到目的站点。 由此可见，选择最佳路径的策略即路由算法是路由器的关键所在。为了完成这项工作，在路由器中保存着各种传输路径的相关数据路由表（Routing Table），供路由选择时使用，也就是说路由器转发IP数据包是根据路由表进行的。,7.1.1 路由器,7.1.2 路由器的工作原理,R1的路由表：,R3的路由表：,7.1.2 路由器的工作原理,在路由表中有四类路由信息：直连路由、默认路由、静态路由和动态路由。 直连路由是与路由器端口直接相连的网络，如果数据包的

3、目的地址在这些网络中，路由器会把它直接发往目的网络。 默认路由是路由器对外的一条路径，路由器会把目的地址在路由表中找不到的数据包通过默认路由转发出去，由其它路由器解决。 静态路由是由网管设置的路由路径,经常用于缺省路径。 动态路由不需要人工设置，用“自学习”的方法学习到的路由。动态路由是通过路由算法和协议来实现的。,7.1.3 路由协议,在路由器间交换彼此的了解的路径信息 周期性的更新或在网络变化时立刻更新，以得到最新的路径,7.1.3 距离向量路由协议,邻居路由器之间定期交换完整的路由表(距离-向量表) 每当接收到一个邻居路由器发来的路由表时，路由器重新计算到每个目的地的距离，并且更新各自的

4、路由表。距离的度量单位可以是延迟、物理距离或者链或其它参数。,7.1.3 链路状态路由协议,解决两个问题 V-D算法只考虑距离，没有考虑链路带宽及负载等因素 V-D算法存在慢收敛问题。,Link-State Packets,SPF Algorithm,Topological Database,Shortest Path First Tree,Routing Table,7.1.3 链路状态路由协议工作过程,路由器之间形成邻居关系 HELLO过程 测量线路开销 ECHO packet：round-trip time/2 构造链路-状态报文 Packet内容：Sequence Number/Age

5、/Neighbors delay metric 何时构造L-S packet：网络出现重大变化：比如路由器或链路的失效或重启才生成路由更新包 广播链路-状态报文 将L-S packet可靠地广播出去 计算最短路径 由于网络上的每个路由器都可以获得所有其它路由器的链路-状态报文，每个路由器都可以构造出网络的拓扑结构图。此时路由器可以根据SPF算法计算出到所有目的节点的最短路径，并把计算结果填到路由器的路由表中。,7.1.4 自治系统,因特网被划分为一个个自治系统。 从路由的角度看，拥有同样的路由策略、在同一管理机构下的由一系列路由器和网络构成的系统称为自治系统AS。 相对其他的自治系统AS 而言

6、，一个自治系统AS 的有独立而统一的内部路由策略，它对外呈现一致的路由状态。 每个自治系统AS都有一个唯一的编号，即AS号。,7.1.4 从不同层次来看Internet,7.1.4 IGP和EGP,内部网关协议IGP 同一个AS内部的路由器之间的路由协议 IGP的目的就是寻找AS内部所有路由器之间的最短路经。 常见的IGP协议有RIP和OSPF。 外部网关协议EGP AS之间的路由协议。EGP的目的是维持AS之间的连通性。 常用的EGP协议有BGP-4。,7.1.5 IGP路由协议,路由信息协议（Routing Information Protocol，RIP） 由施乐公司的帕洛阿托研究中心P

7、ARC在70年代设计的，距离向量路由协议 简单，容易配置、维护和使用。 最大问题是收敛慢，并且在收敛过程中，可能产生路由环问题 不适合于大的、复杂的网络。 开放最短路由优先协议(Open Shortest Path First, OSPF) IETF于1988年开发的一种基于链路状态路由算法的路由协议。 使用事件（链路中断或路由器崩溃等事件）来驱动链路-状态更新，而且当网络拓扑结构发生变化时能够快速收敛。 具有良好的扩展性，能够运用于大规模网络。 对链路带宽以及路由器的处理能力和存储空间都要求比较高。,7.1.6 路由器的功能,路由器的基本功能是路径选择功能（路由）。,路由器的其它主要功能：

8、过滤掉广播信息； 通过设定隔离和安全参数，禁止某些数据的传输； 网络地址翻译（NAT）； 诊断内部或其它连接问题并发出报警信号。,对于连接在路由器某个端口的局域网，该网络中各主机的IP地址应该与路由器的端口IP在同一个网络中，各主机的默认网关应该设置为该端口的IP地址。,7.1.7 路由器的配置,7.1.8 路由器的分类,接入级路由器：主要用于家庭或小型企业用户。用于将家庭或企业的小型局域网接入到ISP的网络中。,企业级路由器：用于将规模较大的局域网接入Internet。它支持多种协议，有多种接口，还有防火墙的功能。,骨干级路由器：用于大型网络的互联。具有高速率和高可靠性，具有热备份、双电源、

9、双数据通道等安全性保障。,7.1.9 路由器种类,路由器可分为硬件路由器和软件路由器。 硬件路由器有为支持路由功能而特别设计并优化的硬件支持部分。 软件路由器是指不是特别为进行路由而设计的路由器，但它能够在路由计算机上将路由作为诸多执行的进程之一。 运行 Windows Server 2003 的“路由和远程访问”服务的计算机，是全功能的软件路由器 。,7.1.10 “路由和远程访问”服务器,具有以下功能： Internet 协议（IP）和AppleTalk多协议单播路由。 工业标准单播IP路由协议，包括开放式最短路径优先（OSPF）和路由信息协议（RIP） 版本1和2。 启用 IP 多播通信

10、转发的 IP 多播服务（Internet 组管理协议，IGMP)路由器模式和 IGMP 代理模式。 “路由和远程访问服务器安装向导”包含一组常规服务器配置，可帮助满足网络需求。 对多个网络接口的支持。 简化小型办公室或家庭办公室（SOHO）网络与Internet的连接的IP网络地址转换 （NAT）服务。,7.2 NAT服务器概述及架设,网络地址转换(NAT，Network Address Traslation)将局域网内每台计算机的私网IP地址转换成一个公网合法的IP地址，以使得局域网计算机能访问Internet资源。 简单的说，NAT就是在局域网内部网络中使用内部地址，而当内部计算机要与外部

11、网络进行通信时，就在网关处将内部地址替换成公用地址，从而在外部公网上正常使用，NAT可以使多台计算机共享Internet连接，这一功能很好的解决了公用IP地址紧缺的问题。,7.2.1 NAT工作原理,7.2.2 NAT四种地址翻译方式,静态翻译：是在内部局部地址和内部全局地址之间建立一对一的映射。 动态翻译: 是在一个内部局部地址和外部地址池之间建立一种映射。 端口地址翻译: 通过允许路由器为多个局部地址分配一个全局地址，也就是将多个局部地址映射为一个全局地址的某一端口，因此也被称为端口地址翻译（PAT）。 重叠地址翻译: 翻译重叠地址是当一个内部网中使用的内部局部地址与另外一个内部网中的地址

12、相同，通过翻译，使两个网络连接后的通信保持正常。,7.2.3 架设NAT服务器,NAT服务器必须要有2张或2张以上的网卡，内部IP地址为0，接入Internet的IP地址为 ,“使用此公共接口连接到INTERNET”：如果NAT服务器的INTERNET接入采用固定永久的连接方式，如专线或以太网连接等。则选择此项。 “创建一个新的到INTERNET的请求拨号接口”：如果NAT服务器INTERNET接入采用非固定永久的连接方式，而是在需要时才连接，例如传统拨号、ISDN或ADSL连接等。则选择此项，并根据向导设置连接时所需要的接入号码、用户名和密码等相关

13、参数。,7.2.3 架设NAT服务器,选第一项：表明NAT服务器提供DNS服务、为NAT客户端分配默认网关和DNS服务器的IP地址均为其连接内部网的IP地址。,7.2.3 架设NAT服务器,7.2.3 架设NAT服务器,7.2.4 NAT属性配置,7.2.4 NAT属性配置-NAT外网接口属性,在“NAT/基本防火墙”中打开外网接口的属性（注：只有对外连接的公用接口才可启用基本防火墙），如图：,7.2.4 NAT属性配置-数据包筛选,7.2.4 NAT属性配置-地址池,如果NAT服务器拥有多个公用地址，则需要在此选项卡中添加这些地址。,7.2.4 NAT属性配置-地址保留,可以将指定的公用地址

14、保留给内部网的某专用地址，即建立静态的映射关系。 如果地址为是内部的一台WEB服务器。如果允许INETERNET用户访问内部WEB服务器，则要选允许将会话传入到此地址。,7.2.4 NAT属性配置-服务和端口,如果在网络中提供INTERNET用户可以访问内部服务器，如WEB服务器。但基本防火墙阻止了这些来自INTERNET的访问，则可以在此选项卡中将特定的类型的通信配置排除在外。,7.2.4 NAT属性配置- ICMP,通过此选项卡可配置当前接口是否接受并响应指定的ICMP请示，为了保护NAT服务器安全，如果不是特别需要，通常情况下应拒绝任何ICMP请示。,7.3 VPN

15、服务器概述及架设,虚拟专用网络（Virtual Private Network, VPN）是专用网络的延伸，它模拟点对点专用连接的方式通过Internet或Intranet在两台计算机之间传送数据，是“线路中的线路”，具有良好的保密性和抗干扰能力。 虚拟专用网是穿越专用网络或公用网络（如Internet）的、安全的、点对点连接的产物。 虚拟专用网客户端使用特定的，称为隧道协议的基于TCP/IP的协议，来对虚拟专用网服务器的虚拟端口进行依次虚拟呼叫。VPN服务器应答虚拟呼叫，验证呼叫方身份，并在虚拟专用网客户端和企业网络之间传送数据。,7.3.1 VPN工作原理,7.3.2 VPN应用,总公司的

16、网络已经连接到Internet，用户在远程拨号连接到Internet网络后，就可以通过Internet来与总公司的VPN服务器建立PPTP或L2TP的VPN连接，并通过VPN安全地传输数据。 两个物理上分离的局域网的VPN服务器都连接到Internet网络，并且通过Internet建立PPTP或L2TP的VPN连接，就可以实现两个局域网之间的安全数据传输。,7.3.3 VPN隧道协议,PPTP（Point-to-Point Tunneling Protocol，点对点隧道协议）是PPP（点对点）协议的扩展，并协调使用PPP的身份验证、压缩和加密机制。它允许对IP、IPX或NETBEUI数据流进

17、行加密，然后封装在IP包头中通过诸如Internet这样的公共网络发送，从而实现多功能通信。 L2TP（Layer Two Tunneling Protocol，第二层隧道协议）是基于RFC的隧道协议，该协议依赖于加密服务的Internet安全性（IPSec）。它允许客户通过其间的网络建立隧道，L2TP还支持信道认证，但它没有规定信道保护的方法。 IPSec是由IETF（Internet Engineering Task Force）定义的一套在网络层提供IP安全性的协议。主要用于确保网络层之间的安全通信。它使用IPSec协议集保护IP网和非IP网上的L2TP业务。在IPSec协议中，一旦IP

18、Sec通道建立，在通信双方网络层之上的所有协议（如TCP、UDP、SNMP、HTTP、POP等）就要经过加密，而不管这些通道构建时所采用的安全和加密方法如何。,7.3.4 架设VPN服务器-部署环境,在VPN服务器上安装两块网卡，一个网卡的IP地址与内部的局域网在同一网段，本例IP地址为，子网掩码为，连接到局域网内。另一个IP地址为公网的IP地址和子网掩码，必须专门申请，如，子网掩码为48，通过专线或光纤连到Internet。,7.3.4 架设VPN服务器,选择此项,单击“开始”“所有程序”“管

19、理工具”“路由和远程访问”管理控制台，弹出“路由和远程访问”窗口 。,在“路由和远程访问”对话框中选中要安装VPN服务器名称，单击鼠标右键弹出右键菜单，选择“配置并启用路由和远程访问”项，弹出“路由和远程访问向导”对话框 。,7.3.4 架设VPN服务器,7.3.4 架设VPN服务器,选择“远程访问（拨号或VPN）”,选择“VPN”,选中外网的网卡,选择对远程客户端指派IP地址的方法：建议指定地址范围,7.3.4 架设VPN服务器,单击“新建”按钮,选择起始和结束IP地址,7.3.4 架设VPN服务器地址范围指定,由于没有安装认证服务器，故选择此项,7.3.4 架设VPN服务器,7.3.4 架

20、设VPN服务器 -设置远程访问端口数量,单击“开始”“所有程序”“管理工具”“路由和远程访问”，弹出“路由和远程访问”窗口，展开服务器名称。,端口是支持单个点对点连接的设备隧道。对于单一端口设备（如调制解调器），设备与端口不可区分。对于多端口设备，端口是设备的一个部分，通过它可以进行一个单独的点对点通讯。,选中“端口”单击鼠标右键，弹出右键菜单，选择“属性”项，弹出属性”对话框。,单击“配置”按钮,7.3.4 架设VPN服务器 -设置远程访问端口数量,单击“开始”“所有程序”“管理工具”“Active Directory用户和计算机”，弹出“Active Directory用户和计算机”窗口，

21、在该窗口的左端选择“Users”，在右端的窗口中选择要远程访问VPN服务器的用户“t08”，单击鼠标右键弹出右键菜单。,7.3.4 架设VPN服务器 -设置远程用户访问权限,选择“拨入”选项卡，在“远程访问权限（拨入或VPN）”区域中，选中“允许访问（W）”单选按钮，单击“确定”按钮。这时就能够以“t08”用户在远程登录VPN服务器了。当然，如果想访问服务器资源，必须给“t08”用户相应权限，具体操作见第四单元。,7.3.4 架设VPN服务器 -设置远程用户访问权限,7.3.4 架设VPN服务器 - VPN服务器的停止与启动,7.3.5 设置VPN客户端- 建立ADSL连接,在任何一台能够使用

22、ADSL上网装有Windows XP系统的计算机上，依次打开“开始”“所有程序”“附件”“通讯”“新建连接向导”命令，打开“新建连接向导”对话框。,7.3.5 设置VPN客户端- 建立ADSL连接,7.3.5 设置VPN客户端- 建立ADSL连接,7.3.5 设置VPN客户端-建立VPN拨号连接,单击“开始”“所有程序”“附件”“通讯”“新建连接向导”命令，打开“新建连接向导”对话框。,7.3.5 设置VPN客户端-建立VPN拨号连接,7.3.6 连接VPN服务器,安装成功后在桌面上双击“VPN连接”图标，会提示要连接VPN服务器必须首先连接Internet。,输入ADSL上网用户名和密码,输入VPN用户名和密码,7.3.7 断开VPN连接,断开VPN连接很简单，只需双击桌面上的“VPN连接”图标，弹出如图12-38所示的“VPN连接状态”对话框，在“常规”选项卡中单击“断开”按钮，即可断开客户机与VPN服务器的连接。同时就断开了Inter