《网络操作系统——Windows Server 2003配置与管理 教学课件 ppt 作者 陈景亮 高校精品系列-Windows11》由会员分享,可在线阅读,更多相关《网络操作系统——Windows Server 2003配置与管理 教学课件 ppt 作者 陈景亮 高校精品系列-Windows11(60页珍藏版)》请在金锄头文库上搜索。
1、网络操作系统Windows Server 2003配置与管理,第11章 路由和远程访问服务,RRAS基础 IP路由配置 网络地址转换配置 防火墙配置 远程访问配置 虚拟专用网配置,学 习 要 点,11.1 路由和远程访问基础,RRAS简介 Windows Server 2003直接集成路由和远程访问服务组件 RRAS是一个全功能的软件路由器 RRAS是一个功能丰富的远程访问服务器 Windows Server 2003的RRAS新特性 在L2TP/IPSec身份验证中支持预先共享密钥 网络地址转换和静、动态包过滤的集成 支持在NAT之上的L2TP/IPSec连接 小型网络的广播域名解析不需要本
2、地WINS或DNS服务器,11.1 路由和远程访问基础,RRAS路由功能 RRAS的路由选择组件提供了路由、信息包过滤器、线路共享、请求拨号路由等特性,适合作为LAN和WAN路由器 它也具有一定的防火墙功能 路由功能 多协议路由器,支持IP和AppleTalk多种网络协议 支持工业标准的IP路由协议OSPF和RIP(包括版本1和版本2) 支持IP多播服务 对多个网络接口的支持 提供IP网络地址转换(NAT)服务 支持包过滤防火墙 支持请求拨号路由 支持虚拟专用网络(VPN) 支持DHCP中继代理 支持ICMP路由器发现 用于路由协议、管理的API以及启用增值开发的用户接口,11.1 路由和远程
3、访问基础,RRAS远程访问功能 拨号网络 通过使用远程通信提供商(例如模拟电话、ISDN或 X.25)提供的服务 远程客户端使用非永久的拨号线路连接到远程访问服务器的物理端口上 最常见的拨号网络是客户端拨打远程访问服务器某个端口的电话号码 虚拟专用网 虚拟专用网是在公共网络上建立的安全专用网络 客户端使用特定的隧道协议对服务器的虚拟端口进行虚拟呼叫 常见的应用是客户端通过虚拟专用网隧道连接到与Internet相连的远程访问服务器上 与拨号网络相比,虚拟专用网始终是通过公用网络(如Internet)在客户端和服务器之间建立的一种逻辑的、非直接的连接,11.1 路由和远程访问基础,启用并配置RRA
4、S 通过向导进行配置 远程访问(拨号或VPN) 网络地址转换(NAT) 虚拟专用网(VPN)访问和NAT 两个专用网络之间的安全连接,11.1 路由和远程访问基础,启用并配置RRAS 使用“路由和远程访问”控制台手动配置 通过向导配置RRAS服务之后,要修改已有配置选项,或者增加新的服务类型时,都需要在“路由和远程访问”控制台中进行手动设置 “路由和远程访问”控制台作为重要的控制中心,管理着RRAS的大部分属性,还可以设置协议、全局的选项和属性以及远程访问策略,11.2 IP路由配置,IP路由与路由器 IP路由 路由是数据从一个节点传输到另一个节点的过程 在TCP/IP网络中,携带IP报头的数
5、据报,沿着指定的路由传送到目的地 同一网络区段中的计算机可以直接通信,不同网络区段中的计算机要相互通信,则必须借助于IP路由器 IP路由器 路由器是在互联网络中实现路由功能的主要节点设备 支持TCP/IP协议的路由器称为IP路由器,在TCP/IP网络中又叫IP网关 每一个节点都有自己的网关,IP包头指定的目的地址不在同一网络区段中,就会将数据包传送给该节点的网关,11.2 IP路由配置,IP路由与路由器 IP路由表 路由器靠路由表来确定数据包的流向。路由表也称为路由选择表 路由表表项组成 目的地址(Network Destination) 网络掩码(Netmask) 网关地址(Gateway
6、Address) 接口(Interface) 路由度量标准(Metric) 路由类型 网络路由 主机路由 默认路由 特殊路由,11.2 IP路由配置,IP路由与路由器 路由选择过程 路由功能就是指选择一条从源到目的路径,并进行数据包转发 如果目的主机位于同一子网,就直接将数据包发送到目的主机 如果目的主机位于其他子网,就将数据包转发给同一子网中指定的网关(路由器),11.2 IP路由配置,静态路由与动态路由 静态路由 完全由管理员精确配置,网络之间的传输路径预先设计好 路由器之间不需进行路由信息的交换,相应的网络开销较小 网络中不必交换路由表信息,安全保密性高 对于因网络变化而发生的路由器增加
7、、删除、移动等情况,无法自动适应 如果规模较大,管理员将不堪重负,而且还容易出错 静态路由的网络环境设计和维护相对简单,并且非常适用于那些路由拓扑结构很少有变化的小型网络环境。有时出于安全方面的考虑也可以采用静态路由 动态路由 动态路由通过路由协议,在路由器之间相互交换路由信息,自动生成路由表,并根据实际情况动态调整和维护路由表 路由器之间通过路由协议相互通信,获知网络拓扑信息。路由器的增加、移动以及网络拓扑的调整,路由器都会自动适应 动态路由的主要优点是伸缩性和适应性,具有较强的容错能力 复杂程度高,频繁交换的路由信息增加了额外开销,这对低速连接来说无疑难以承受 动态路由适用于复杂的中型或大
8、型网络,也适用于经常变动的互联网络环境,11.2 IP路由配置,路由协议 主流的路由协议 边界网关协议(Border Gateway Protocol,BGP) 增强的内部网关路由协议(Enhanced Interior Gateway Routing Protocol,EIGRP) 外部网关协议(Exterior Gateway Protocol,EGP) 内部网关路由协议(Interior Gateway Routing protocol,IGRP) 开放最短路径优先(Open Shortest Path First,OSPF) 路由信息协议(Routing Information Pro
9、tocol,RIP),11.2 IP路由配置,路由协议 RIP协议 RIP属于距离向量路由协议,主要用于小型到中型互联网络中交换路由选择信息 RIP只是同相邻的路由器互相交换路由表 交换的路由信息也比较有限,仅包括目的网络地址、下一跃点以及距离 RIP目前有两个版本:RIP版本1和RIP版本2 RIP的最大优点是配置和部署相当简单 RIP的最大缺点是不能将网络扩大到大型或特大型互联网络,11.2 IP路由配置,路由协议 OSPF协议 OSPF路由协议是典型的连接状态路由协议 OSPF路由器与区域内的每个路由器通信,从而获知整个互联网络的拓扑结构,根据网络拓扑结构来选择路由 OSPF是一个典型的
10、层次体系结构 OSPF的最大优点是高效率;OSPF要求很小的网络开销,即使在非常大的互联网络中 OSPF的最大缺点是它的复杂性;OSPF需要正确的计划并且更难于配置和管理 OSPF设计用于在大型或特大型互联网络中交换路由选择信息,11.2 IP路由配置,路由接口 LAN接口 LAN接口是物理接口,通常指用于局域网连接的网卡 充当路由器的计算机上安装的网卡都是LAN接口,安装的WAN适配器有时也表示为LAN接口 请求拨号接口 请求拨号接口是代表点对点连接的逻辑接口 点对点连接基于物理连接(如使用模拟电话线连接的两个路由器)或者逻辑连接(如使用虚拟专用网连接的两个路由器) 请求拨号连接可以是请求式
11、,仅在需要时建立点对点连接,也可以是持续型,建立点对点连接然后保持已连接状态 请求拨号接口通常需要通过身份验证过程来连接。请求拨号接口所需的设备是设备上的一个端口 IP隧道接口 IP隧道接口是代表已建立隧道的点对点连接的逻辑接口 IP隧道接口不需要通过身份验证过程来建立连接,11.2 IP路由配置,配置IP静态路由 配置简单的IP路由网络 一个路由器连接两个网络是最简单的路由方案 不需要路由协议即可转发要路由的数据包,只需设置简单的静态路由,11.2 IP路由配置,配置IP静态路由 配置简单的IP路由网络 配置作为路由器的Windows Server 2003计算机 配置网络上其他计算机(非路
12、由器)的IP地址、子网掩码和默认网关,11.2 IP路由配置,配置IP静态路由 配置静态路由 在每台路由器上设置与该路由器没有直接连接的网络的路由项 对于局域网网卡,设置的网关接口必须与该网卡位于同一子网,11.2 IP路由配置,配置IP静态路由 配置静态路由 在每台路由器上设置与该路由器没有直接连接的网络的路由项 对于局域网网卡,设置的网关接口必须与该网卡位于同一子网,使用route ADD命令添加静态路由 route ADD 目的地址 MASK 子网掩码 网关 METRIC 跃点数 IF 网络接口(号),11.2 IP路由配置,配置IP动态路由 配置RIP路由 启用路由功能和IP路由功能
13、添加RIP路由协议 添加RIP接口,11.2 IP路由配置,配置IP动态路由 配置RIP路由 配置RIP接口协议 查看当前的RIP接口,11.3 网络地址转换配置,网络地址转换技术 NAT工作原理 在网络之间对经过的数据包进行地址转换后再转发 共享IP地址和网络连接,让内网计算机共用一个公网地址接入Internet 保护网络安全,通过隐藏内网IP地址,使黑客无法直接攻击内网,11.3 网络地址转换配置,网络地址转换技术 端口映射技术 外网到内网的NAT用于从内网向外部用户提供网络服务 端口映射将NAT路由器的公网IP地址和端口号映射到内网服务器的私有IP地址和端口号 端口映射又称端口转换或目的
14、地址转换,RRAS内置的NAT 转换组件:用于实现数据包转换服务 寻址组件:用于为内部网络计算机提供DHCP服务 名称解析组件:用于为内部网络计算机提供DNS名称解析服务,11.3 网络地址转换配置,通过NAT实现Internet连接共享 网络拓扑,11.3 网络地址转换配置,通过NAT实现Internet连接共享 设置NAT服务器 配置为专用接口和公用接口配置IP地址 添加“NAT/基本防火墙”路由协议 为NAT添加公用接口(Internet接口) 为NAT添加专用接口(内网接口),11.3 网络地址转换配置,通过NAT实现Internet连接共享 设置NAT服务器 启用NAT寻址功能 启用
15、NAT名称解析功能,配置NAT客户端 如果NAT服务器启用DHCP功能,只需将内部专用网络其他计算机上配置为DHCP客户端 如果手工配置,将默认网关和DNS服务器都设置为NAT服务器内部接口的IP地址,11.3 网络地址转换配置,让Internet用户通过NAT访问内部服务 实际上是通过端口映射发布内网服务器 在内部网络中确定要提供Internet服务的资源服务器并进行配置 启用路由和远程访问服务,添加“NAT/基本防火墙”路由协议并添加公用端口和专用端口 添加要发布的服务,11.3 网络地址转换配置,让Internet用户通过NAT访问内部服务 自定义服务,查看NAT映射表 显示当前处于活动
16、状态的地址和端口映射记录,11.4 防火墙配置,配置基本防火墙 基本防火墙的工作原理 基本防火墙监视通过已启用基本防火墙的接口传递的所有通信 如果接口为内部专用网络通信所配置并提供NAT,则每个数据包的源地址和目标地址将被记录在表中 如果接口只为专用网络通信配置,则基本防火墙仅路由专用网络上计算机之间的通信 基本防火墙只提供对公用接口的保护,不能在专用接口上启用基本防火墙 在部署基本防火墙的情况下要允许特定的外来通信,可通过端口映射设置这些例外的通信 配置基本防火墙 启用路由和远程访问服务,添加“NAT/基本防火墙”路由协议并添加公用端口 可以在公用接口上启用防火墙而不启用NAT 可以在公用接口上同时启用防火墙和NAT,
