《chap7-路由与远程访问课件》由会员分享,可在线阅读,更多相关《chap7-路由与远程访问课件(65页珍藏版)》请在金锄头文库上搜索。
1、第七章第七章 路由和远程访问服务器路由和远程访问服务器 7.1 路由概述7.2 NAT服务器概述及架设7.3 VPN服务器概述及架设7.4 IP路由器 2常见问题不同网段的计算机如何实现通信?只有一个公网地址,如果让内网客户端上Internet?如何让外网用户访问内网资源?7.1 路由概述所谓“路由路由”,是指把数据从一个地方(网段)传送到另一个地方(网段)的行为和动作,而路由器路由器,正是执行这种行为动作的机器,它的英文名称为Router,是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行“翻译”,以使它们能够相互“读懂”对方的数据,从而构成一个更大的网络。路由器是一
2、种连接多个网络的设备,它工作在OSI模型的第三层(网络层)路由器的主要工作就是为经过路由器的每个IP数据包寻找一条最佳传输路径,并将该数据包有效地传送到目的站点。由此可见,选择最佳路径的策略即路由算法是路由器的关键所在。为了完成这项工作,在路由器中保存着各种传输路径的相关数据路由表路由表(Routing Table),供路由选择时使用,也就是说路由器转发IP数据包是根据路由表进行的。7.1.1 路由器网络1网络27.1.2 路由器的工作原理n1n2n3n4n5R1R2R3R4R1的路由表:目的网络下一跳n1R1n2R2n3R3n4R3n5R3R3的路由表:目的网络下一跳n1R1n2R2n3R3
3、n4R4n5R47.1.2 路由器的工作原理在路由表中有四类路由信息:直连路由、默认路由、静态路由和动态路由。直连路由直连路由是与路由器端口直接相连的网络,如果数据包的目的地址在这些网络中,路由器会把它直接发往目的网络。默认路由默认路由是路由器对外的一条路径,路由器会把目的地址在路由表中找不到的数据包通过默认路由转发出去,由其它路由器解决。静态路由静态路由是由网管设置的路由路径,经常用于缺省路径。动态动态路由路由不需要人工设置,用“自学习”的方法学习到的路由。动态路由是通过路由算法和协议来实现的。7.1.3 路由协议在路由器间交换彼此的了解的路径信息周期性的更新或在网络变化时立刻更新,以得到最
4、新的路径7.1.3 距离向量路由协议邻居路由器之间定期交换完整的路由表(距离-向量表)每当接收到一个邻居路由器发来的路由表时,路由器重新计算到每个目的地的距离距离,并且更新各自的路由表。距离的度量单位可以是延迟、物理距离或者链或其它参数。A ARoutingTableRoutingTableRoutingTableRoutingTableDistanceHow farVectorIn which directionB BD DC CC CB BA AD D7.1.3 链路状态路由协议解决两个问题lV-D算法只考虑距离,没有考虑链路带宽及负载等因素lV-D算法存在慢收敛问题。Link-State
5、 PacketsSPFAlgorithmTopologicalDatabaseShortest Path First TreeRoutingTableA AB BD DC C7.1.3 链路状态路由协议工作过程路由器之间形成邻居关系HELLO过程测量线路开销ECHO packet:round-trip time/2构造链路-状态报文Packet内容:Sequence Number/Age/Neighbors delay metric何时构造L-S packet:网络出现重大变化:比如路由器或链路的失效或重启才生成路由更新包广播链路-状态报文l将L-S packet可靠地广播出去计算最短路径l由
6、于网络上的每个路由器都可以获得所有其它路由器的链路-状态报文,每个路由器都可以构造出网络的拓扑结构图。此时路由器可以根据SPF算法计算出到所有目的节点的最短路径,并把计算结果填到路由器的路由表中。7.1.4 自治系统因特网被划分为一个个自治系统。从路由的角度看,拥有同样的路由策略、在同一管理机构下的由一系列路由器和网络构成的系统称为自治系统自治系统AS。相对其他的自治系统AS 而言,一个自治系统AS 的有独立而统一的内部路由策略,它对外呈现一致的路由状态。每个自治系统AS都有一个唯一的编号,即AS号。 7.1.4 从不同层次来看Internet7.1.4 IGP和EGP内部网关协议内部网关协议
7、IGPl同一个AS内部的路由器之间的路由协议lIGP的目的就是寻找AS内部所有路由器之间的最短路经。l常见的IGP协议有RIP和OSPF。外部网关协议外部网关协议EGPlAS之间的路由协议。EGP的目的是维持AS之间的连通性。l常用的EGP协议有BGP-4。 7.1.5 IGP路由协议路由信息协议(Routing Information Protocol,RIP) l由施乐公司的帕洛阿托研究中心PARC在70年代设计的,距离向量路由协议l简单,容易配置、维护和使用。l最大问题是收敛慢,并且在收敛过程中,可能产生路由环问题l不适合于大的、复杂的网络。开放最短路由优先协议(Open Shortes
8、t Path First, OSPF) lIETF于1988年开发的一种基于链路状态路由算法的路由协议。l使用事件(链路中断或路由器崩溃等事件)来驱动链路-状态更新,而且当网络拓扑结构发生变化时能够快速收敛。l具有良好的扩展性,能够运用于大规模网络。l对链路带宽以及路由器的处理能力和存储空间都要求比较高。7.1.6 路由器的功能路由器的基本功能是路径选择路径选择功能(路由)。路由器的其它主要功能:过滤掉广播信息;通过设定隔离和安全参数,禁止某些数据的传输;网络地址翻译(网络地址翻译(NATNAT);诊断内部或其它连接问题并发出报警信号。对于连接在路由器某个端口的局域网,该网络中各主机的IP地址
9、应该与路由器的端口IP在同一个网络中,各主机的默认网关应该设置为该端口的IP地址。E0/0:200.200.0.1/24E0/1:200.200.1.1/24IP:200.200.0.0/24网关:200.200.0.1IP:200.200.1.0/24网关:200.200.1.17.1.7 路由器的配置7.1.8 路由器的分类v接入级路由器:主要用于家庭或小型企业用户。用于将家庭或企业的小型局域网接入到ISP的网络中。v企业级路由器:用于将规模较大的局域网接入Internet。它支持多种协议,有多种接口,还有防火墙的功能。v骨干级路由器:用于大型网络的互联。具有高速率和高可靠性,具有热备份、
10、双电源、双数据通道等安全性保障。7.1.9 路由器种类路由器可分为硬件路由器和软件路由器。硬件路由器硬件路由器有为支持路由功能而特别设计并优化的硬件支持部分。软软件件路路由由器器是指不是特别为进行路由而设计的路由器,但它能够在路由计算机上将路由作为诸多执行的进程之一。运行 Windows Server 2003 的“路路由由和和远远程程访访问问”服务的计算机,是全功能的软件路由器软件路由器 。7.1.10 “路由和远程访问”服务器具有以下功能:lInternet 协议(IP)和AppleTalk多协议单播路由。l工业标准单单播播IP路路由由协协议议,包括开放式最短路径优先(OSPF)和路由信息
11、协议(RIP) 版本1和2。l 启用 IP 多播通信转发的 IP 多多播播服服务务(Internet 组管理协议,IGMP)路由器模式和 IGMP 代理模式。l “路由和远程访问服务器安装向导”包含一组常规服务器配置,可帮助满足网络需求。l对多个网络接口的支持。 l简化小型办公室或家庭办公室(SOHO)网络与Internet的连接的IP网络地址转换网络地址转换 (NAT)服务。7.2 NAT服务器概述及架设网络地址转换(NAT,Network Address Traslation)将局域网内每台计算机的私网IP地址转换成一个公网合法的IP地址,以使得局域网计算机能访问Internet资源。简单
12、的说,NAT就是在局域网内部网络中使用内部地址,而当内部计算机要与外部网络进行通信时,就在网关处将内部地址替换成公用地址,从而在外部公网上正常使用,NAT可以使多台计算机共享Internet连接,这一功能很好的解决了公用IP地址紧缺的问题。 7.2.1 NAT工作原理 7.2.2 NAT四种地址翻译方式静态翻译静态翻译:是在内部局部地址和内部全局地址之间建立一对一的映射。 动态翻译动态翻译: 是在一个内部局部地址和外部地址池之间建立一种映射。端口地址翻译端口地址翻译: 通过允许路由器为多个局部地址分配一个全局地址,也就是将多个局部地址映射为一个全局地址的某一端口,因此也被称为端口地址翻译(PA
13、T)。重叠地址翻译重叠地址翻译: 翻译重叠地址是当一个内部网中使用的内部局部地址与另外一个内部网中的地址相同,通过翻译,使两个网络连接后的通信保持正常。 7.2.3 架设NAT服务器NAT服务器必须要有2张或2张以上的网卡,内部IP地址为,接入Internet的IP地址为“使用此公共接口连接到INTERNET”:如果NAT服务器的INTERNET接入采用固定永久的连接方式,如专线或以太网连接等。则选择此项。“创建一个新的到INTERNET的请求拨号接口”:如果NAT服务器INTERNET接入采用非固定永久的连接方式,而是在需要时才连接,例如传统拨号、ISDN或ADSL连接等。则选择此项,并根据
14、向导设置连接时所需要的接入号码、用户名和密码等相关参数。7.2.3 架设NAT服务器选第一项:表明NAT服务器提供DNS服务、为NAT客户端分配默认网关和DNS服务器的IP地址均为其连接内部网的IP地址。7.2.3 架设NAT服务器7.2.3 架设NAT服务器7.2.4 NAT属性配置7.2.4 NAT属性配置-NAT外网接口属性在“NAT/基本防火墙”中打开外网接口的属性(注:只有对外连接的公用接口才可启用基本防火墙),如图:7.2.4 NAT属性配置-数据包筛选7.2.4 NAT属性配置-地址池如果NAT服务器拥有多个公用地址,则需要在此选项卡中添加这些地址。7.2.4 NAT属性配置-地
15、址保留可以将指定的公用地址保留给内部网的某专用地址,即建立静态的映射关系。如果地址为是内部的一台WEB服务器。如果允许INETERNET用户访问内部WEB服务器,则要选允许将会话传入到此地址。7.2.4 NAT属性配置-服务和端口 如果在网络中提供INTERNET用户可以访问内部服务器,如WEB服务器。但基本防火墙阻止了这些来自INTERNET的访问,则可以在此选项卡中将特定的类型的通信配置排除在外。7.2.4 NAT属性配置- ICMP通过此选项卡可配置当前接口是否接受并响应指定的ICMP请示,为了保护NAT服务器安全,如果不是特别需要,通常情况下应拒绝任何ICMP请示。7.3 VPN服务器
16、概述及架设虚拟专用网络(Virtual Private Network, VPN)是专用网络的延伸,它模拟点对点专用连接点对点专用连接的方式通过Internet或Intranet在两台计算机之间传送数据,是“线路中的线路”,具有良好的保密性和抗干扰能力。虚拟专用网是穿越专用网络或公用网络(如Internet)的、安全的、点对点连接的产物。虚拟专用网客户端使用特定的,称为隧道协议隧道协议的基于TCP/IP的协议,来对虚拟专用网服务器的虚拟端口进行依次虚拟呼叫。VPN服务器应答虚拟呼叫,验证呼叫方身份,并在虚拟专用网客户端和企业网络之间传送数据。 7.3.1 VPN工作原理 VPN 服务器服务器I
17、nternet 适配器适配器Intranet 适配器适配器公司公司内部网络内部网络VPN 远程访问客户机远程访问客户机InternetInternet隧道隧道隧道隧道7.3.2 VPN应用总公司的网络已经连接到Internet,用户在远程拨号连接到Internet网络后,就可以通过Internet来与总公司的VPN服务器建立PPTP或L2TP的VPN连接,并通过VPN安全地传输数据。两个物理上分离的局域网的VPN服务器都连接到Internet网络,并且通过Internet建立PPTP或L2TP的VPN连接,就可以实现两个局域网之间的安全数据传输。 7.3.3 VPN隧道协议 PPTP(Poin
18、t-to-Point Tunneling Protocol,点对点隧道协议)是PPP(点对点)协议的扩展,并协调使用PPP的身份验证、压缩和加密机制。它允许对IP、IPX或NETBEUI数据流进行加密,然后封装在IP包头中通过诸如Internet这样的公共网络发送,从而实现多功能通信。L2TP(Layer Two Tunneling Protocol,第二层隧道协议)是基于RFC的隧道协议,该协议依赖于加密服务的Internet安全性(IPSec)。它允许客户通过其间的网络建立隧道,L2TP还支持信道认证,但它没有规定信道保护的方法。 IPSec是由IETF(Internet Engineer
19、ing Task Force)定义的一套在网络层提供IP安全性的协议。主要用于确保网络层之间的安全通信。它使用IPSec协议集保护IP网和非IP网上的L2TP业务。在IPSec协议中,一旦IPSec通道建立,在通信双方网络层之上的所有协议(如TCP、UDP、SNMP、HTTP、POP等)就要经过加密,而不管这些通道构建时所采用的安全和加密方法如何。7.3.4 架设VPN服务器-部署环境 在VPN服务器上安装两块网卡,一个网卡的IP地址与内部的局域网在同一网段,本例IP地址为,子网掩码为,连接到局域网内。另一个IP地址为公网的IP地址和子网掩码,必须专门申请,如,子网掩码为,通过专线或光纤连到I
20、nternet。 7.3.4 架设VPN服务器选择此项 单击“开始”“所有程序”“管理工具”“路由和远程路由和远程访问访问”管理控制台,弹出“路由和远程访问”窗口 。 在“路由和远程访问”对话框中选中要安装VPN服务器名称,单击鼠标右键弹出右键菜单,选择“配置并启用路由配置并启用路由和远程访问和远程访问”项,弹出“路由和远程访问向导”对话框 。7.3.4 架设VPN服务器7.3.4 架设VPN服务器选择“远程访问(拨号或远程访问(拨号或VPN)”选择“VPN”选中外网的网卡外网的网卡选择对远程客户端指派IP地址的方法:建议指定地址范围7.3.4 架设VPN服务器单击“新建”按钮选择起始和结束I
21、P地址7.3.4 架设VPN服务器地址范围指定由于没有安装认证服务器,故选择此项7.3.4 架设VPN服务器7.3.4 架设VPN服务器 -设置远程访问端口数量 单击“开始”“所有程序”“管理工具”“路由和远程访问”,弹出“路由和远程访问”窗口,展开服务器名称。 端口是支持单个点对点连接的设备隧道。对于单一端口设备(如调制解调器),设备与端口不可区分。对于多端口设备,端口是设备的一个部分,通过它可以进行一个单独的点对点通讯。 选中“端口”单击鼠标右键,弹出右键菜单,选择“属性”项,弹出属性”对话框。单击“配置”按钮7.3.4 架设VPN服务器 -设置远程访问端口数量 单击“开始”“所有程序”“
22、管理工具”“Active Directory用户和计算机”,弹出“Active Directory用户和计算机”窗口,在该窗口的左端选择“Users”,在右端的窗口中选择要远程访问VPN服务器的用户“t08”,单击鼠标右键弹出右键菜单。7.3.4 架设VPN服务器 -设置远程用户访问权限 选择“拨入”选项卡,在“远程访问权限(拨入远程访问权限(拨入或或VPN)”区域中,选中“允许访问(W)”单选按钮,单击“确定”按钮。这时就能够以“t08”用户在远程登录VPN服务器了。当然,如果想访问服务器资源,必须给“t08”用户相应权限,具体操作见第四单元。7.3.4 架设VPN服务器 -设置远程用户访问
23、权限 7.3.4 架设VPN服务器 - VPN服务器的停止与启动 7.3.5 设置VPN客户端- 建立ADSL连接 在任何一台能够使用ADSL上网装有Windows XP系统的计算机上,依次打开“开始”“所有程序”“附件”“通讯”“新建连接向导”命令,打开“新建连接向导”对话框。7.3.5 设置VPN客户端- 建立ADSL连接 7.3.5 设置VPN客户端- 建立ADSL连接 7.3.5 设置VPN客户端-建立VPN拨号连接 单击“开始”“所有程序”“附件”“通讯”“新建连接向导”命令,打开“新建连接向导”对话框。7.3.5 设置VPN客户端-建立VPN拨号连接 7.3.6 连接VPN服务器
24、安装成功后在桌面上双击“VPN连接”图标,会提示要连接VPN服务器必须首先连接Internet。输入ADSL上网用户名和密码输入VPN用户名和密码7.3.7 断开VPN连接 断开VPN连接很简单,只需双击桌面上的“VPN连接”图标,弹出如图12-38所示的“VPN连接状态”对话框,在“常规”选项卡中单击“断开”按钮,即可断开客户机与VPN服务器的连接。同时就断开了Internet连接。7.4 IP路由选择规划路由服务器连接两个网段实例7.4 IP路由选择查看路由表信息查看路由表信息 7.4.1 设置RIP路由 RIP(Routing Information Protocol)是一种内部网关协议
25、,适用于小型网络,是典型的距离向量协议。运行运行“路由和远程访问路由和远程访问”管管理控制台,展开理控制台,展开 “IP路由选路由选择择”子树,鼠标右击子树,鼠标右击“常规常规”,选择,选择“新增路由协议新增路由协议”选项,在选项,在“路由协议路由协议”列表列表中选中中选中“用于用于Internet协议协议的的RIP版本版本2”。7.4.1 设置RIP路由 在“接口”列表框中选择第一个网络接口,如“本地连接-外”,单击“确定”按钮,显示“RIP属性”对话框。RIP的属性取系统默认值即可,单击“确定”按钮返回。重复上述操作,为RIP添加第二个网络接口,即“本地连接-内”。配置了动态路由协议后,子
26、网A、子网B和外网Internet可以实现自由互访。RIP协议实现了路由设备之间路由表的动态交换与更新。 7.4.2 设置OSPF路由器 OSPF(Open Shortest Path First)也是一个内部网关协议,用于在单一自治系统内决策路由。与RIP相对,OSPF是链路状态路由协议。运行“路由和远程访问”管理控制台,选择“IP路由选择”子目录树,右击“常规”选项,选择“新增路由协议”选项,弹出 “新路由协议”对话框,在“路由协议”列表中选中“开放式最短路径优先(OSPF)”, 7.4.2 设置OSPF路由器 添加添加OSPFOSPF路由访问协议路由访问协议 7.4.2 设置OSPF路由器 OSPFOSPF常规属性设置常规属性设置OSPFOSPF地区属性设置地区属性设置 7.4.2 设置OSPF路由器 OSPFOSPF虚拟接口配置虚拟接口配置“OSPFOSPF虚拟接口配置虚拟接口配置”对话框对话框 7.4.2 设置OSPF路由器 配置接口属性配置接口属性配置接口配置接口NBMANBMA属性对话框属性对话框
