《局域网组建、管理与维护 教学课件 ppt 作者 马立新 杨云 第12章 企业局域网组建》由会员分享,可在线阅读,更多相关《局域网组建、管理与维护 教学课件 ppt 作者 马立新 杨云 第12章 企业局域网组建(46页珍藏版)》请在金锄头文库上搜索。
1、,1. 企业网的规划和设计,2. 使用ICS实现共享上网,3. 使用NAT访问INTERNET,4. VPN虚拟专用网络,5. 练习题,6. 实训 接入INTERNET实训,第12章 网企业局域网组建,学习目的与要求: 随着计算机和局域网络应用的不断深入,特别是随着办公自动化的需要,各种计算机软件系统被相继使用在实际工作中,并且一些设备(如打印机、传真机等)也是用户所必须使用的。在公司内部,需要各部门相互间进行信息传递、分析和处理,实现内部的资源共享,从而降低企业经营成本、提高办公效率和管理水平。因此,组建办公室局域网络是非常必要的。 通过对本章的学习,要求学生了解办公局域网的规划和设计,能够
2、使用ICS和NAT实现共享上网,重点掌握配置虚拟局域网VPN服务器,建立VPN连接。,第12章 网企业局域网组建,根据不同的公司和企业的性质、规模大小等条件的差异,对网络组建的要求也不相同,因此,在组建网络时必须遵循一定的组网原则,并选择合适的网络结构形式。,12.1 企业局域网的规划和设计,1. 办公局域网的应用需求分析 局域网设计人员在设计过程中,首先要做的工作就是指定设计目标,根据具体情况,办公局域网中计算机网络的规划、设置和实施中需遵循以下原则。 (1) 功能性 (2) 可扩展性 (3) 适应性 (4) 开放性 (5) 可管理性 2. 确定办公局域网的组网方案 在组建办公局域网时,要考
3、虑成本、可扩充性和安装维护的方便性等,现在局域网市场几乎已完全被性能优良、价格低廉、升级和维护方便的以太网所占领,因此可选择以太网并采用星型结构(小型办公网络)或者混合型结构(大型办公网络)。,12.1.1 企业局域网的应用需求分析和网络规划,12.1 企业局域网的规划和设计,1. IP地址规划 组建办公局域网要用到两种IP地址:合法IP地址和私有IP地址。 2. 子网划分 当局域网内计算机数量较少时,可直接使用交换机将其连接起来构成一个局域网,网络中所有的计算机都在同一网段。如果计算机数量较多,再将其设置在同一网段,由于网络风暴等因素的影响会导致网络性能急剧下降甚至无法工作。因此,需将其分割
4、成若干个小的网络,这就是子网划分。,12.1.1 IP地址规划和子网划分,12.1 企业局域网的规划和设计,配置ICS的过程很简单,具体步骤如下。 (1) 右击【网上邻居】图标,在弹出的快捷菜单中选择【属性】命令,打开【网络连接】对话框。 (2) 右击连接Internet的那块网卡,在弹出的快捷菜单中选择【属性】命令,弹出如图6-2所示的对话框,切换到【高级】选项卡,选中【允许其他网络用户通过此计算机的Internet连接来连接】复选框,单击【确定】按钮。 (3) 系统弹出将连接内部网络的网卡地址更改为192.168.0.1的提示框,单击【是】按钮,如果网络不是使用和此地址相同的网段,当前计算
5、机将和网络断开连接。建立完的网卡共享如图所示。,12.2 使用ICS实现共享上网,网络地址转换器NAT(Network Address Translator)位于使用专用地址的Intranet和使用公用地址的Internet之间。 从Intranet传出的数据包由NAT将它们的专用地址转换为公用地址。 从Internet传入的数据包由NAT将它们的公用地址转换为专用地址。,12.3 使用NAT访问Internet,NAT工作过程(1),12.3 使用NAT访问Internet,Client Computers,IP = 192.168.0.2,IP = 192.168.0.3,IP = 192
6、.168.0.4,Computer Running NAT Internal IP = 192.168.0.1 External IP = 202.162.4.1,NAT计算机再次替换信息包的标题,并把该消息包发送给客户机。,运行NAT的计算机将从内部客户机接收到的信息包的标题替换成自己的端口号和外部的IP地址,发给Internet上目的主机。,Web主机将回答信息发送给运行NAT的计算机,Internet,Web Server IP = 202.202.163.1,NAT工作过程(2),12.3 使用NAT访问Internet,NAT工作过程中的两次地址转换: 对于来自NAT协议的传出数据包
7、,源IP地址(专用地址)被映射到ISP分配的地址(公用地址),并且TCP/UDP端口号也会被映射到不同的TCP/UDP端口号。 对于到NAT协议的传入数据包,目标IP地址(公用地址)被映射到源Internet地址(专用地址),并且TCP/UDP端口号被重新映射回源TCP/UDP端口号。,NAT工作过程(3),12.3 使用NAT访问Internet,企业对Internet访问和外部对私有网络的访问受到限制 私有网络是由任意数量的客户组成 私有网络上的计算机使用私有地址,NAT的适用情况,12.3 使用NAT访问Internet,配置启用NAT的计算机 安装NAT“常规 新路由选择协议” 配置N
8、AT“NAT属性页” 配置NAT路由接口“NAT 新接口”,配置启用NAT的计算机,12.3 使用NAT访问Internet,安装NAT,12.3 使用NAT访问Internet,配置NAT路由器接口,12.3 使用NAT访问Internet,两种设置方式: (1)自动获得TCP/IP 此时客户端会自动向NAT服务器或DHCP服务器来索取IP地址、默认网关、DNS服务器的IP地址等设置。 (2)手工设置TCP/IP 客户端的IP地址与NAT局域网接口的IP地址的网络号必须相同; 默认网关必须设置为NAT局域网接口的IP地址; 首选DNS服务器可以设置为NAT局域网接口的IP地址或是任何一台合法
9、的DNS服务器的IP地址。,配置NAT客户端,12.3 使用NAT访问Internet,DHCP分配器,12.3 使用NAT访问Internet,DNS代理,12.3 使用NAT访问Internet,NAT网络接口与防火墙 端口映射 地址映射,内部网络的开放与防火墙,12.3 使用NAT访问Internet,14.2.1 VPN概述 14.2.2 远程访问VPN服务器 * L2TP VPN(参考) 14.2.3 验证通信协议 14.2.4 远程访问策略,12.4 VPN虚拟专用网,虚拟专用网(VPN)是专用网络的延伸 通过VPN可以通过公共网络以模拟点对点的方式在两台计算机之间发送数据,12.
10、4.1 VPN概述,12.4 VPN虚拟专用网,利用公共网络来构建的私人专用网络 虚拟私有网络与传统所有网络的区别: 对于广域网连接,传统方式是通过远程拨号和专线连接来实现的。 VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。,12.4.1 VPN概述,12.4 VPN虚拟专用网,VPN数据传输协议及工作原理,12.4.1 VPN概述,12.4 VPN虚拟专用网,VPN通过Internet而不是通过直接的拨号连接,来提供安全的远程访问。 实现:VPN客户机利用专用网络上的一个VPN网关,采用IP互联网来创建加密的、虚拟的、点对点的连接。用户连接到互联网,然后创建一个到VPN网关的V
11、PN连接。 功能:降低了用户的长途电话费用,不用再建立他们自己的基础结构。出差的雇员可以拨号到当地的ISP,然后创建一个到该公司网络的VPN连接。 VPN与拨号的区别:VPN是逻辑的、非直接的连接。,12.4.1 VPN概述,12.4 VPN虚拟专用网,VPN是指在公共网络(通常为Internet中)建立一个虚拟的、专用的网络,是Internet与Intranet之间的专用通道,为企业提供一个高安全、高性能、简便易用的环境。它具有以下特点: (1)费用低廉 (2)安全性高 (3)支持最常用的网络协议 (4)有利于IP地址安全 (5)网络构架弹性大 (6)管理方便灵活 (7)完全控制主动权,12
12、.4.1 VPN概述-VPN的特点,12.4 VPN虚拟专用网,一般来说,VPN使用在以下两种场合: (1)远程客户端通过VPN连接到局域网 (2)两个局域网通过VPN互联,12.4.1 VPN概述-VPN的应用场合,12.4 VPN虚拟专用网,在Windows Server 2003中有两种基于点对点协议PPP的VPN技术: 点对点隧道协议 (PPTP) 第二层隧道协议L2TP,12.4.1 VPN概述-VPN协议,12.4 VPN虚拟专用网,14.2.2 远程访问VPN服务器,VPN服务器需要有两个网络接口,如果VPN服务器是利用固定连接式的ADSL来连接Internet,则其需要有两个网
13、卡,一个连接ATU-R(也就是ADSL调制解调器),另一个是用来连接局域网。,12.4.2 远程访问VPN服务器,12.4 VPN虚拟专用网,三步走: 服务器端配置 启用VPN服务 VPN协议:PPTP、L2TP/IPSec 配置VPN拨入端口 设置远程拨入用户 客户端配置,1. 架设VPN服务器,12.4 VPN虚拟专用网,服务器端:启用远程访问服务(PPTP),12.4 VPN虚拟专用网,服务器端:启用远程访问服务,12.4 VPN虚拟专用网,IP选项卡,12.4 VPN虚拟专用网,验证VPN服务器,12.4 VPN虚拟专用网,配置VPN拨入端口,12.4 VPN虚拟专用网,配置用户拨入设
14、置,12.4 VPN虚拟专用网,客户端配置,12.4 VPN虚拟专用网,客户端建立VPN连接 设置拨号用户,12.4 VPN虚拟专用网,WindowsServer2003的L2TP/IPSec支持两种方法: 1.证书 “L2TP/IPSec-使用证书”分为2大步骤:一是向CA申请IPSec证书,二是VPN客户端与VPN服务器建立L2TP/IPSec VPN 2.域共享密钥 利用“预共享密钥”来验证计算机身份的L2TP/IPSec VPN,在VPN客户端与VPN服务器两端都要事先设置相同的共享密钥。 使用“预共享密钥”的好处是不需要向CA申请证书,设置简单,不过它的安全性比用IPSec证书的方式
15、差。,L2TP VPN,12.4 VPN虚拟专用网,Windows Server 2003支持用来验证用户身份的验证通信协议有: (1)PAP(Password Authentication Protoco1) (2)SPAP(Shiva Password Authentication Protoco1) (3)CHAP(Challenge Handshake Authentication Protoc01) (4)MS-CHAP(Microsoft Challenge Handshake Authentication Protoco1) (5)MS-CHAP version 2 (6)EAP
16、(Extended Authemieation Protoco1),12.4.3 验证通信协议,12.4 VPN虚拟专用网,“路由和远程访问”访问使用远程访问策略来确定是接受连接尝试还是拒绝连接尝试。 远程访问策略是一组条件和连接设置,使网络管理员在授予远程访问权限时,更具灵活性。 远程访问策略存放在远程访问服务器上,而没有存放在活动目录中。 Windows Server 2003内建有2个远程访问策略,12.4.4 远程访问策略,12.4 VPN虚拟专用网,1、条件:远程访问策略是一系列参数,例如:用户的连接时间、所属的用户组、IP地址等,这些参数与连接到服务器的客户机的参数项匹配。 2、权限: 指远程用户的“授予远程访问权限”或“拒绝远程访问权限”的拨入权限。 远程访问策略中的权限与用户属性中的拨入权限协同配置。 3、配置文件:指应用到此访问连接上的一系列的限制和配置。包含如下设置值:拨入限制、IP、多链路、身份验证、加密、高级,远程访问策略的基本要素,12.4 VPN虚拟专用网,远程访问策略的实施过程,12.4 VPN虚拟专用
