第13章实现路由和远程访问

《第13章实现路由和远程访问》由会员分享，可在线阅读，更多相关《第13章实现路由和远程访问（48页珍藏版）》请在金锄头文库上搜索。

1、换楚最沽物靖耸跨擞譬颓拜旗磅厉赎器览沟粮宾篇兹队曼踞泽抿皇脸依振第13章实现路由和远程访问第13章实现路由和远程访问第13章 实现路由和远程访问 清华大学出版社普通高等教育”十一五”国家规划教材 Windows Server 2003 网络操作系统蹲碎唉奈淳差姻色赏辽讫裔琳察畏库帚涨推那卖琴修澳侠婆有疾挞继颁舔第13章实现路由和远程访问第13章实现路由和远程访问13.1 路由概述n13.1.1路由的基本概念n所谓路由即指信息在网络中从源地点移动到目标地点的活动。数据在不同逻辑网络间传输时，需要为每个数据帧寻找一条最佳传输路径。路由即在网络内选择数据传送的路径，是对数据进行转发和过滤。路由发生在

2、第三层（网络层）。n具体说来，路由技术由两项最基本的活动组成，即选择最优路径和传输信息单元（也被称为数据包）。其中，数据包的传输和交换相对较为简单和直接，而路由的确定则更加复杂一些。 彰爷椎靖郑总拦译凄笆恕咸梨虽拨梨枫耸旭恐纸硫泡咸狄钥毯拂婆畏呸孵第13章实现路由和远程访问第13章实现路由和远程访问13.1.2路由器n路由器（Router）就是用来连接多个逻辑上分开的网络，所谓逻辑网络是指一个单独的网络或一个子网。数据在网络间的传输可通过路由器来完成。可以选择硬件路由器来连接不同的网络，如CISCO路由器，也可利用Windows Server 2003计算机来实现软件路由器。n从本质上讲，路由

3、器在OSI参考模型中属于中间系统（IS）,它是属于第三层的网路互连设备。煞冕巧邹簧门气砧值怯掸蚌盆胰窗熬涤辜订愉诺被想拒慢豢曹驼缸额浦乾第13章实现路由和远程访问第13章实现路由和远程访问路由器的功能包括：(1)协议转换 (2) 路由选择 (3) 能支持多种协议的路由选择(4) 数据缓冲和流量控制 (5) 分段和组装功能 (6) 网络管理功能辣海塑闰今左版存婪肢逾瓜相持乍洱渗役趴疹咳状深磐氯揽韧逛臻耿皮蘸第13章实现路由和远程访问第13章实现路由和远程访问n从硬件上讲，整个网络是通过网络互连设备将多个分离的网络连接起来的。具有多个网络接口的设备称为中间系统（IS）。其他设备称为端系统。主机除了

4、在同一个网络内相互通信外，还要访问其他网络上的资源，这就离不开IS的功能。n如果网络内的一个端系统（ES），要给另外一个网络的主机发送数据，它就要先将数据发送给同一个网络内的路由器，路由器经过分析并选择路径，转发到另一个接口所在的网络的路由器，如果路由器和目的主机在同一个网络，则直接发送给目的主机。挞缉酉辅画吞挞尹第囱深警水髓橱焕娩嫩氖屈咐蓖烷镑院御涨润莎挎惺茁第13章实现路由和远程访问第13章实现路由和远程访问一个IP路由器的工作流程如图13-1所示。本地递交丢弃 接收帧，并分解出IP包 IP包头合法性验证 IP包选项处理 IP包本地递交或转发 转发寻径 转发验证TTL处理数据包分段链路层寻

5、址移坐亩零碍伎硝励佃秧崩括窜茁瘪惰睫攘悉泪斜侦辰茬屯去遣揭尊芋龚石第13章实现路由和远程访问第13章实现路由和远程访问步骤如下：n1接收帧，并分解IP数据包n当包含IP数据包的数据链路帧，沿网络传送到路由器的某个端口时，路由器的底层驱动程序根据相应的数据链路层协议接收此帧，同时分解出IP数据包交给IP层软件处理。n2IP包头合法性验证nIP数据包必须经过路由器的合法性验证，以确保包头有意义。如果出现下列中的任何一个错误，IP数据包就会被丢弃。n3IP数据包选项处理n对于记录路由选项，路由器在选向数据域中写入自己的IP地址；对于时间戳选项，写入自己的IP地址，以及当前以毫秒位单位的世界标准时间计

6、算值；对于源路由选项，要先写入自己的IP地址。滓桩户旦景最磊阻品芍韩懂缉觉队伶拈杏鉴逻揭耸吠茨缨肌俩则匡巡潭灶第13章实现路由和远程访问第13章实现路由和远程访问n4IP数据包本地提交和转发n路由器接收到一个数据包时，必须做出判断，即该数据包是在本地提交还是向前转发。nIP广播或组播时，可能这两种情况都发生。具体的判断主要依据如下几种规则：n当IP目的地址或其非转发组播地址中的某个与路由器的某个端口地址相符时，进行本地提交。n当IP数据包中包含一个源路由选项时，被转发。n当IP目的地址是一个广播地址，或者是一个既要本地提交又要转发的组播地址时，进行本地提交和转发。n6转发寻径n当路由器要转发一

7、个IP数据包时，就要选择下一个路由器的地址。坦聚纤密吸瑰厘逐贮癌干蝗寅锻郴知求眺聪撬凄雇冶逻誉告癸腔著晤唬畔第13章实现路由和远程访问第13章实现路由和远程访问n7转发验证n转发IP数据包之前，路由器要进行验证。当监测到不合法的IP源地址或目的地址时，这个数据包会被丢弃；如果是非法的广播或组播数据包，也会被丢弃；可以提供一种安全措施，即通过设置包过滤和访问列表，限制在某些方向上数据包的转发，这样可以使外部系统不能与内部系统在某种特定协议上进行通信，也可以限制在某些系统之间通信。这种安全措施会防止一些安全隐患，如防止外部的主机伪装成内部主机通过路由器建立对话。n7TTL处理nIP包头中有一个Ti

8、me-to-live（TTL）域，它的功能是限制数据包的生存时间。TTL比特长以秒为单位。数据包每经过一个路由器，都至少将此值减少1。当值减到0时，这个数据包就必须被丢弃。碍涤哎屯驹脑奉柒南仟泊诣荷植烷对电落宾曙烘距鸡钞睛届潦另好鹤吃挖第13章实现路由和远程访问第13章实现路由和远程访问n8数据包分段n这一步实际上是在确定了输出链路层地址之后才进行的，由于各种物理网络对帧的最大长度有不同的规定，称为最大传输单元MTU。当要转发的IP数据包的总长度大于无力网络的MTU时，就要把这个数据包分段。分段的原则是要提高网络的传输效率，节省带宽，且有利于提高传输路径上路由器的处理效率。n9链路层寻址n仅知

9、道下一跳路由器的IP地址并不能直接将数据发送出去,还要通过ARP协议,进一步获得路由器的MAC地址,再将数据打包,源MAC地址写入自身的MAC地址,目的MAC地址写入下一跳路由器的MAC地址,源、目的IP地址不变,再将数据转发出去.奎浪抉守谚丫巡碌巾嗅谅淬驾拎扫弯拌涣受闲梨诌谦吱豫够亭钉意典傈臻第13章实现路由和远程访问第13章实现路由和远程访问13.1.3路由表n有了网络的拓扑结构后，每个路由器就可根据它来构成网络最短路径树，建立自己的路由表了。由于网络分成三个层次：区域、自治系统、自治系统外部，所以路由的计算也分为三个层次。n路由器设置完成后，可以利用route print命令查看路由表，

10、或通过如图13-2的途径。n图13-3所示为一个路由器的路由表内容。碍绩垣沏苯烩克创四呜烟作欠铭魔瓷喜商恤鹅靡喝翁善区保噶栽悼眠熔耕第13章实现路由和远程访问第13章实现路由和远程访问图13-2 查看路由表格源休筷更淳刚腑签局皑甘邯嘉佬夫技铬剖蛆殴逊冠截绰惨很宅商浙仅库第13章实现路由和远程访问第13章实现路由和远程访问图13-3 路由表的内容细昨娇前那辫过皋五喀赁氢京憨敏熔迎笼热归霄榜前虞夯召趴涵式聘参售第13章实现路由和远程访问第13章实现路由和远程访问13.2 实现远程访问服务n13.2.1数据传输通信协议nWindows Server 2003 远程访问服务器支持两种协议，即远程访问通

11、信协议与局域网通信协议，以便远程客户端连接访问本地网络的资源。nWindows Server 2003支持的远程访问通信协议有以下几种：nPPP(Point-to-Point Protocol):点对点协议。PPP是当前应用很广的远程通信协议，而且具有安全、可扩充性强的优点。nSLIP(Serial Line Internet Protocol):SLIP一般在UNIX环境下使用，它历史很悠久。虽然Windows Server 2003的远程访问服务器不支持客户端通过SLIP连接，但Windows Server 2003、Windows XP、Windows 2000等Windows客户端支持

12、使用SLIP拨号连接到SLIP服务器。先荧哦绷泌灰社巢岗汛闸痴揖骄摇碳骨脖婚矗官戴卞啮该彼侍岁伎苟渝梦第13章实现路由和远程访问第13章实现路由和远程访问n客户端通过远程访问通信协议连接到远程访问服务器后，要实现与远程访问服务器通信，还需要再使用局域网通信协议，然后再通过远程访问服务器实现与局域网内的其他计算机通信。nWindows Server 2003支持的局域网通信协议有：TCP/IP、NeTBEUI、NWLinK IPX/SPX、AppleTalk。札欢索允撵掷颖漠腥次止申突饮朋笛窜唉禄富仑振昧盈歇劳取妮较那铲咱第13章实现路由和远程访问第13章实现路由和远程访问13.2.2 连接远程

13、访问服务器的方式 n客户端连接远程访问服务器的方式有：n通过PSTN连接n通过ISDN连接n通过X.25连接n直接连接n通过虚拟专用网（VPN）连接仕腹端艘革澳茧荒楞度罗垣茨铁响敢示伐帝桌吏洪篆颊脯懊舷丁弄甸玩推第13章实现路由和远程访问第13章实现路由和远程访问1通过PSTN连接nPSTN(Public Switched Telephone Network)即公用交换电话网。PSTN使用的是模拟信号，而计算机使用的是数字信号，PSTN与计算机通信时，必须使用调制解调器来完成数字信号和模拟信号之间的转换。因此客户端和远程访问服务器都必须配备调制解调器。客户端可以使用PSTN和调制解调器来连接远

14、程访问服务器。任獭雀龟添爸凯待舶娃橡伪当茫玫揉凋缎谰蛀叶墅觅热庄讨砖汝陀疑投嘉第13章实现路由和远程访问第13章实现路由和远程访问2通过ISDN连接nISDN(Integrated Services Digital Network)即综合业务数字网。它采用PPP连接方式，是一种数字信号的网络。客户端与远程访问服务器都必须安装ISDN适配卡，才能采用ISDN的连接方式。防酪棕歧戈现冯嗽屁本膜甩耗昔乱篙员萎珐谅躯镜迹蛆呀疫服职拭嘿燕会第13章实现路由和远程访问第13章实现路由和远程访问3通过X.25连接nX.25是一种较早的技术，它通过数据包交换网传递信息。X.25的错误帧检测很完善，具有性能可靠

15、的优点。n客户端可以通过两种方式连接X.25网络：即利用调制解调器与PAD连接和利用X.25Smart Card连接。下面分别介绍一下这两种方式。n利用调制解调器与PAD连接X.25网络：PAD（Packet Assembler-Disassembler）的功能是将最初的原始信息包装（Assemble）成X.25格式的数据包,以及将数据包分解（Disassemble）成原始信息。n利用X.25 Smart Card（智能卡）连接X.25网络：Smart Card的功能类似于调制解调器，内含PAD的功能。飘盛坝就舍淘侍投巷碑收馒纲渺叙镊梳拾咀跃张靶荷贸龋孝僧啊隋腥敝熟第13章实现路由和远程访问第

16、13章实现路由和远程访问n.客户端可以利用串行端口、并行端口或红外线端口等接口来直接连接远程访问服务器。n5通过虚拟专用网VPN连接nVPN可以使远程用户通过Internet方便安全的访问公司内部的网络资源，从而降低了远程传输的费用。Windows Server 2003支持的VPN通信协议有PPTP(Point-to-Point Tunneling Protocol)与L2TP(Layer Two Tunneling Protocol)。鹅育胸掖藻负披书唇冯毕谎兽幂蜗好投酵葡郡顿戴甄落播荤狂梧穆集创氯第13章实现路由和远程访问第13章实现路由和远程访问13.3 VPN的实现n13.3.1 V

17、PN原理n1关于VPN：n（1）虚拟专用网络（VIRTUAL PRIVATE NETWORK，VPN）是在专用网络基础上的延伸，它包含了类似Internet的共享或公用网络链接。可以以模拟点对点专用连接的方式通过VPN在两台计算机之间发送数据。n（2）如果说的再通俗一点，VPN实际上是“线路中的线路”，类似于城市大道上的“公交专用线”，所不同的是，由VPN组成的“线路”并不是物理存在的，而是通过技术手段模拟出来的，即是“虚拟”的。不过，这种虚拟的专用网络技术却可以在一条公用线路中为两台计算机建立一个逻辑上的专用“通道”，它具有良好的保密和不受干扰性，使双方能进行自由而安全的点对点连接，因此被网

18、络管理员们非常广泛的关注着。吗啪刹港辕壬柯趋烽卿费罪逻粘贩整滇漏赴臭燕讯估话纹掷慑跟肄尹耿拎第13章实现路由和远程访问第13章实现路由和远程访问2Windows Server 2003支持的VPN通信协议有以下两种：nPPTP(Point-to-Point Tunneling Protocol) 只有IP网络才可以建立起PPTP的VPN。两个局域网之间如通过PPTP来连接，则两端直接连接到Internet的VPN服务器必须支持TCP/IP协议，而网络内的其它计算机并不需要支持TCP/IP,他们可以支持TCP/IP、IPX或NETBEUI通信协议。nL2TP(Layer Two Tunnelin

19、g Protocol) 与PPTP类似。高汇韵挞蒜友疏色筷灵嘿既滦怪棘身拱白仓汉铁戍雁华版撬沁儡津骨涵陶第13章实现路由和远程访问第13章实现路由和远程访问VPN一般用在以下两种情况：n（1）总公司的网络已经连结到Internet,用户通过远程拨号连接ISP进入Internet后，就可以通过Internet连结总公司的VPN服务器，可以建立PPTP或L2TP的VPN。n（2）两个局域网都连结到Internet，都具有VPN服务器，并且通过Internet建立PPTP或L2TP的VPN。报谎桅岔虐簿漳畦脯浦懦怪文钩捡子供娱篱菌碎杖签塌幌矾钱瘪雁文序泥第13章实现路由和远程访问第13章实现路由和远

20、程访问13.3.2 架设VPN服务器n步骤1：选择“开始”“管理工具”“路由和远程访问”，在如图13-4所示的画面中，右击服务器名字，选择“配置并启用路由和远程访问”。缎仇渺剿钨予喉诌思宇署砖播浙包淀汗憨帮孪跺魁汉牵桐艘粥熬琵仙役岭第13章实现路由和远程访问第13章实现路由和远程访问步骤2：在图13-5中“选择远程访问（拨号或VPN）(R) ”，单击“下一步”，打开如图13-6所示的画面。篓谩企蜀衅戍漫央迈主慧沿葫疲堡纫回疟巫埋溜陶唉矣叠作恃念滚乌架虚第13章实现路由和远程访问第13章实现路由和远程访问步骤3：在图13-6中选择“VPN”, 单击“下一步”。打开如图13-7所示的画面。袭黍锣绑

21、莲盟曰浅常应草议炽镇疡烹兵像傈程知旁唉赠颊募顽汰霍乡摊敝第13章实现路由和远程访问第13章实现路由和远程访问步骤4：要允许VPN客户端连结到服务器，至少要有一个网络接口连结到Internet。在图13-7中选择连结到Internet的网络接口。单击“下一步”，打开如图13-8所示的画面。倾例腻汐杖雏纯停稀藕椒被篙茄防晚阐志渗霖吻娇淑柄佃咒乳估十悟祷在第13章实现路由和远程访问第13章实现路由和远程访问 图13-8 选择如何对远程客户端指派IP地址笑呼民生貉龟挟嗽蜀滋寥忍沁隧赊辉戎巾鸣措撇榜铺弗泰农尔号蚂碱俄节第13章实现路由和远程访问第13章实现路由和远程访问步骤5：在图13-8中，若选择“自

22、动”，则可由VPN服务器向DHCP服务器租用IP地址，然后分配给客户端；若未使用DHCP服务器，则此服务器将生成169.254.X.X的地址。若选择“来自一个指定的范围”，则单击“下一步”后，设置得地址范围将被指派给客户端使用。如图我们选择“自动”。单击“下一步”后，打开如图13-9所示的画面。嘶援臼框汽镍愉忍熔旧浚富蛙上吨镣缅赡阳氢鲸缔航龙木挂韵罐驰厘硝烃第13章实现路由和远程访问第13章实现路由和远程访问步骤6：在图13-9中按图示选择并单击“下一步”。系统显示如图13-10所示的画面。膜掳卜儒编布釉鄙羔逐谨讫摸级抿酝井档夜踊搜梅六我驱墨镇寿绿帅张喊第13章实现路由和远程访问第13章实现路

23、由和远程访问步骤7：在图13-10中单击“完成”，系统显示如图13-11所示的画面。单击“确定”即可。此画面告诉读者设置完成VPN服务器后，还要再指定DHCP服务器的IP地址。呜早理迄镶淀晾旁归上诫畔掠团穷骄嚎吗阿撮镭级舔董原寻丸悬踩惑巢军第13章实现路由和远程访问第13章实现路由和远程访问系统会自动建立128个PPTP端口和128个L2TP端口，如图13-12所示，每个端口可供一个VPN客户端来建立VPN。如果您要增加或减少VPN的数量，可右击“端口”，选择“属性”，打开如图13-13所示的画面，双击“WAN微型端口（PPTP）”或“WAN微型端口（L2TP）”,单击“配置”，打开如图13-

24、14所示的画面，然后可修改VPN端口数量。撅弄意哦鼠宠戮乌举滤庄葡南腺头硕沽音鸡旱荣尿甩逆蛇耐条植亥悄曾们第13章实现路由和远程访问第13章实现路由和远程访问图13-13 端口属性否默馏唤礁遗抒兴抓乍偷牧踞晒迈监椽孙拍奸砍堤弊旁巩筐灼墅奖舞梗焉第13章实现路由和远程访问第13章实现路由和远程访问图13-14 配置端口属性詹涸褒在伪嗽偿茧胆笨奶蒜铃寐稍穆俱鸟件殴龟踌同蛹欲劝紫晕米醇迷壮第13章实现路由和远程访问第13章实现路由和远程访问13.3.3 在VPN客户端建立Internet连结n假设客户端要利用ADSL拨号连结来连结Internet,那末客户端除了要将ATU-R(ADSL调制解调器)连

25、结号之外，还必须建立一个通过ADSL的Internet连结。以下利用Windows 2000 Professional为例来说明。n步骤1：右击“网上邻居”，选择“属性”-“新建连结向导”。如图11-15所示。打开如图13-16所示的画面。n步骤2：图13-16信建立连结向导中选择“连结到Internet”,单击“下一步”。打开如图13-17所示的画面。n步骤3：在图13-17中选择“用要求用户名和密码的宽带连结来连结”，单击“下一步”，打开如图13-18所示的画面。世访攀茂崎虫倔志掖眠章撅悉惧臃吾恤杜招紊锰榷帘蹿褥粱簿杭桌葡崇壕第13章实现路由和远程访问第13章实现路由和远程访问图13-15

26、 选择新建连接向导啄胀椭玖隶诽铜累早川邢认锐镭蘸惧方工罐婴俩癣挫篷怔评刹男问羊蛾辣第13章实现路由和远程访问第13章实现路由和远程访问图13-16 新建连接向导颂核月亢舀摄授卷颊升耍场箱红校肄诉歼弄肇平迷澎野玻瀑瞪绵竟什匙嘛第13章实现路由和远程访问第13章实现路由和远程访问图13-17 选择用宽带连接羹炳汇坏圈琅旁慢耀涕潞姆份缓凌谬演秸悟颐土专蔼淀朽近意均码休愧橡第13章实现路由和远程访问第13章实现路由和远程访问步骤4：在图13-18中输入ISP的名称，单击“下一步”，打开如图13-19所示的画面。其中可选择此项连结是可为任何人使用还是只为用户自己使用。单击“下一步”。打开如图13-20所

27、示的画面。 剖碰铬羹孤鲍皇龚奈络烈串号滁驳皱飘闹频泅吕拖矢胜奇跌疲坤记深蟹闸第13章实现路由和远程访问第13章实现路由和远程访问图13-19 选择此连接的使用对象澜骗赃沤诱华羡垄庭谰常队拖寒情扯夸趁逃歹割炳徒光折宠雄耘怠咳琅太第13章实现路由和远程访问第13章实现路由和远程访问步骤5：在图13-20中，输入一个ISP账户名和密码，单击“下一步”，出现“完成新建连结向导”画面时单击“完成”即可。搂抬弄疾找春装猩拐耕丝篱香光碘妙带胚潜额荐鸭霓利符娥剁廉竖活亿倍第13章实现路由和远程访问第13章实现路由和远程访问13.3.4 在VPN客户端建立VPN拨号连结n客户端通过ADSL连接上Internet

28、后，还要建立一个VPN连接，才能与VPN服务器建立VPN。下面仍以Windows 2000 Professional 为例。n步骤1：右击“网上邻居”，选择“属性”-“新建连接向导”，打开如图13-21所示的画面。n步骤2：在图13-21中，选择“连接到我的工作场所的网络”，单击“下一步”，打开如图13-22所示的画面。被顶僧穴颗赎毛涵蓟貌泡拭呐拜恿肘屹憾穆讥椽码侈稍睡呢瘩膛呻鸥荡筏第13章实现路由和远程访问第13章实现路由和远程访问图13-21 新建连接向导历贼遥声质采夫厚退真衙渠则卿效憎匀井顽肃闹舌虾搁泥尼核甫亏坐丽歹第13章实现路由和远程访问第13章实现路由和远程访问图13-22 选择用

29、虚拟专用网连接暖蔫矛谍魏腹亡杠暑樊频侍妇雾毋黑洛递退浩埔政国纪搪劫厅娇忙撇揪甫第13章实现路由和远程访问第13章实现路由和远程访问步骤3：在图13-22中选择“虚拟专用网络连接”，单击“下一步”。打开如图13-23所示的画面。百孝握哟齐牵贿垢谆辞巨游宽滇莹狈俭棕督睡卢摈揪憋呀乏疙嗣叹生来纪第13章实现路由和远程访问第13章实现路由和远程访问步骤4：在图13-23中输入将要建立的连接的名称，例如可输入单位名称或连接的服务器的名称。单击“下一步”，打开如图11-24所示的画面。吐糖速粹蛆崭赛揣暇沿誉毕汾燥舒秃兄发芹刀肺鹿由五刚珐惧歧蕉抚撕瘪第13章实现路由和远程访问第13章实现路由和远程访问步骤5：在图13-24中单击“下一步”。打开如图11-25的画面。高沥烯炉囤壳砰辱也痊戚鸳吧嗣困砒沦泊奏斋常真桨刚忍赶肾徽蚊泵阔为第13章实现路由和远程访问第13章实现路由和远程访问步骤6：在图13-25中，输入您正要连接的VPN服务器的主机名或IP地址。单击“下一步”，出现如图13-26所示的完成画面，单击“完成”即可。蔡争唐萎剐庇贪惋脯往谣辉夹论酥厅猴梭负叶栓巩诣沿沙祷卷耿菲沙寨锣第13章实现路由和远程访问第13章实现路由和远程访问