《实现路由和远程访问》由会员分享,可在线阅读,更多相关《实现路由和远程访问(48页珍藏版)》请在金锄头文库上搜索。
1、第13章 实现路由和远程访问 清华大学出版社普通高等教育”十一五”国家规划教材 Windows Server 2003 网络操作系统13.1 路由概述n13.1.1路由的基本概念n所谓路由即指信息在网络中从源地点移动到目标地点的活动。数据在不同逻辑网络间传输时,需要为每个数据帧寻找一条最佳传输路径。路由即在网络内选择数据传送的路径,是对数据进行转发和过滤。路由发生在第三层(网络层)。n具体说来,路由技术由两项最基本的活动组成,即选择最优路径和传输信息单元(也被称为数据包)。其中,数据包的传输和交换相对较为简单和直接,而路由的确定则更加复杂一些。 13.1.2路由器n路由器(Router)就是用
2、来连接多个逻辑上分开的网络,所谓逻辑网络是指一个单独的网络或一个子网。数据在网络间的传输可通过路由器来完成。可以选择硬件路由器来连接不同的网络,如CISCO路由器,也可利用Windows Server 2003计算机来实现软件路由器。n从本质上讲,路由器在OSI参考模型中属于中间系统(IS),它是属于第三层的网路互连设备。路由器的功能包括:(1)协议转换 (2) 路由选择 (3) 能支持多种协议的路由选择(4) 数据缓冲和流量控制 (5) 分段和组装功能 (6) 网络管理功能n从硬件上讲,整个网络是通过网络互连设备将多个分离的网络连接起来的。具有多个网络接口的设备称为中间系统(IS)。其他设备
3、称为端系统。主机除了在同一个网络内相互通信外,还要访问其他网络上的资源,这就离不开IS的功能。n如果网络内的一个端系统(ES),要给另外一个网络的主机发送数据,它就要先将数据发送给同一个网络内的路由器,路由器经过分析并选择路径,转发到另一个接口所在的网络的路由器,如果路由器和目的主机在同一个网络,则直接发送给目的主机。一个IP路由器的工作流程如图13-1所示。本地递交丢弃 接收帧,并分解出IP包 IP包头合法性验证 IP包选项处理 IP包本地递交或转发 转发寻径 转发验证TTL处理数据包分段链路层寻址步骤如下:n1接收帧,并分解IP数据包n当包含IP数据包的数据链路帧,沿网络传送到路由器的某个
4、端口时,路由器的底层驱动程序根据相应的数据链路层协议接收此帧,同时分解出IP数据包交给IP层软件处理。n2IP包头合法性验证nIP数据包必须经过路由器的合法性验证,以确保包头有意义。如果出现下列中的任何一个错误,IP数据包就会被丢弃。n3IP数据包选项处理n对于记录路由选项,路由器在选向数据域中写入自己的IP地址;对于时间戳选项,写入自己的IP地址,以及当前以毫秒位单位的世界标准时间计算值;对于源路由选项,要先写入自己的IP地址。n4IP数据包本地提交和转发n路由器接收到一个数据包时,必须做出判断,即该数据包是在本地提交还是向前转发。nIP广播或组播时,可能这两种情况都发生。具体的判断主要依据
5、如下几种规则:n当IP目的地址或其非转发组播地址中的某个与路由器的某个端口地址相符时,进行本地提交。n当IP数据包中包含一个源路由选项时,被转发。n当IP目的地址是一个广播地址,或者是一个既要本地提交又要转发的组播地址时,进行本地提交和转发。n6转发寻径n当路由器要转发一个IP数据包时,就要选择下一个路由器的地址。n7转发验证n转发IP数据包之前,路由器要进行验证。当监测到不合法的IP源地址或目的地址时,这个数据包会被丢弃;如果是非法的广播或组播数据包,也会被丢弃;可以提供一种安全措施,即通过设置包过滤和访问列表,限制在某些方向上数据包的转发,这样可以使外部系统不能与内部系统在某种特定协议上进
6、行通信,也可以限制在某些系统之间通信。这种安全措施会防止一些安全隐患,如防止外部的主机伪装成内部主机通过路由器建立对话。n7TTL处理nIP包头中有一个Time-to-live(TTL)域,它的功能是限制数据包的生存时间。TTL比特长以秒为单位。数据包每经过一个路由器,都至少将此值减少1。当值减到0时,这个数据包就必须被丢弃。n8数据包分段n这一步实际上是在确定了输出链路层地址之后才进行的,由于各种物理网络对帧的最大长度有不同的规定,称为最大传输单元MTU。当要转发的IP数据包的总长度大于无力网络的MTU时,就要把这个数据包分段。分段的原则是要提高网络的传输效率,节省带宽,且有利于提高传输路径
7、上路由器的处理效率。n9链路层寻址n仅知道下一跳路由器的IP地址并不能直接将数据发送出去,还要通过ARP协议,进一步获得路由器的MAC地址,再将数据打包,源MAC地址写入自身的MAC地址,目的MAC地址写入下一跳路由器的MAC地址,源、目的IP地址不变,再将数据转发出去.13.1.3路由表n有了网络的拓扑结构后,每个路由器就可根据它来构成网络最短路径树,建立自己的路由表了。由于网络分成三个层次:区域、自治系统、自治系统外部,所以路由的计算也分为三个层次。n路由器设置完成后,可以利用route print命令查看路由表,或通过如图13-2的途径。n图13-3所示为一个路由器的路由表内容。图13-
8、2 查看路由表图13-3 路由表的内容13.2 实现远程访问服务n13.2.1数据传输通信协议nWindows Server 2003 远程访问服务器支持两种协议,即远程访问通信协议与局域网通信协议,以便远程客户端连接访问本地网络的资源。nWindows Server 2003支持的远程访问通信协议有以下几种:nPPP(Point-to-Point Protocol):点对点协议。PPP是当前应用很广的远程通信协议,而且具有安全、可扩充性强的优点。nSLIP(Serial Line Internet Protocol):SLIP一般在UNIX环境下使用,它历史很悠久。虽然Windows Ser
9、ver 2003的远程访问服务器不支持客户端通过SLIP连接,但Windows Server 2003、Windows XP、Windows 2000等Windows客户端支持使用SLIP拨号连接到SLIP服务器。n客户端通过远程访问通信协议连接到远程访问服务器后,要实现与远程访问服务器通信,还需要再使用局域网通信协议,然后再通过远程访问服务器实现与局域网内的其他计算机通信。nWindows Server 2003支持的局域网通信协议有:TCP/IP、NeTBEUI、NWLinK IPX/SPX、AppleTalk。13.2.2 连接远程访问服务器的方式 n客户端连接远程访问服务器的方式有:n
10、通过PSTN连接n通过ISDN连接n通过X.25连接n直接连接n通过虚拟专用网(VPN)连接1通过PSTN连接nPSTN(Public Switched Telephone Network)即公用交换电话网。PSTN使用的是模拟信号,而计算机使用的是数字信号,PSTN与计算机通信时,必须使用调制解调器来完成数字信号和模拟信号之间的转换。因此客户端和远程访问服务器都必须配备调制解调器。客户端可以使用PSTN和调制解调器来连接远程访问服务器。2通过ISDN连接nISDN(Integrated Services Digital Network)即综合业务数字网。它采用PPP连接方式,是一种数字信号的
11、网络。客户端与远程访问服务器都必须安装ISDN适配卡,才能采用ISDN的连接方式。3通过X.25连接nX.25是一种较早的技术,它通过数据包交换网传递信息。X.25的错误帧检测很完善,具有性能可靠的优点。n客户端可以通过两种方式连接X.25网络:即利用调制解调器与PAD连接和利用X.25Smart Card连接。下面分别介绍一下这两种方式。n利用调制解调器与PAD连接X.25网络:PAD(Packet Assembler-Disassembler)的功能是将最初的原始信息包装(Assemble)成X.25格式的数据包,以及将数据包分解(Disassemble)成原始信息。n利用X.25 Sma
12、rt Card(智能卡)连接X.25网络:Smart Card的功能类似于调制解调器,内含PAD的功能。n.客户端可以利用串行端口、并行端口或红外线端口等接口来直接连接远程访问服务器。n5通过虚拟专用网VPN连接nVPN可以使远程用户通过Internet方便安全的访问公司内部的网络资源,从而降低了远程传输的费用。Windows Server 2003支持的VPN通信协议有PPTP(Point-to-Point Tunneling Protocol)与L2TP(Layer Two Tunneling Protocol)。13.3 VPN的实现n13.3.1 VPN原理n1关于VPN:n(1)虚拟
13、专用网络(VIRTUAL PRIVATE NETWORK,VPN)是在专用网络基础上的延伸,它包含了类似Internet的共享或公用网络链接。可以以模拟点对点专用连接的方式通过VPN在两台计算机之间发送数据。n(2)如果说的再通俗一点,VPN实际上是“线路中的线路”,类似于城市大道上的“公交专用线”,所不同的是,由VPN组成的“线路”并不是物理存在的,而是通过技术手段模拟出来的,即是“虚拟”的。不过,这种虚拟的专用网络技术却可以在一条公用线路中为两台计算机建立一个逻辑上的专用“通道”,它具有良好的保密和不受干扰性,使双方能进行自由而安全的点对点连接,因此被网络管理员们非常广泛的关注着。2Win
14、dows Server 2003支持的VPN通信协议有以下两种:nPPTP(Point-to-Point Tunneling Protocol) 只有IP网络才可以建立起PPTP的VPN。两个局域网之间如通过PPTP来连接,则两端直接连接到Internet的VPN服务器必须支持TCP/IP协议,而网络内的其它计算机并不需要支持TCP/IP,他们可以支持TCP/IP、IPX或NETBEUI通信协议。nL2TP(Layer Two Tunneling Protocol) 与PPTP类似。VPN一般用在以下两种情况:n(1)总公司的网络已经连结到Internet,用户通过远程拨号连接ISP进入Int
15、ernet后,就可以通过Internet连结总公司的VPN服务器,可以建立PPTP或L2TP的VPN。n(2)两个局域网都连结到Internet,都具有VPN服务器,并且通过Internet建立PPTP或L2TP的VPN。13.3.2 架设VPN服务器n步骤1:选择“开始”“管理工具”“路由和远程访问”,在如图13-4所示的画面中,右击服务器名字,选择“配置并启用路由和远程访问”。步骤2:在图13-5中“选择远程访问(拨号或VPN)(R) ”,单击“下一步”,打开如图13-6所示的画面。步骤3:在图13-6中选择“VPN”, 单击“下一步”。打开如图13-7所示的画面。步骤4:要允许VPN客户
16、端连结到服务器,至少要有一个网络接口连结到Internet。在图13-7中选择连结到Internet的网络接口。单击“下一步”,打开如图13-8所示的画面。 图13-8 选择如何对远程客户端指派IP地址步骤5:在图13-8中,若选择“自动”,则可由VPN服务器向DHCP服务器租用IP地址,然后分配给客户端;若未使用DHCP服务器,则此服务器将生成169.254.X.X的地址。若选择“来自一个指定的范围”,则单击“下一步”后,设置得地址范围将被指派给客户端使用。如图我们选择“自动”。单击“下一步”后,打开如图13-9所示的画面。步骤6:在图13-9中按图示选择并单击“下一步”。系统显示如图13-
17、10所示的画面。步骤7:在图13-10中单击“完成”,系统显示如图13-11所示的画面。单击“确定”即可。此画面告诉读者设置完成VPN服务器后,还要再指定DHCP服务器的IP地址。系统会自动建立128个PPTP端口和128个L2TP端口,如图13-12所示,每个端口可供一个VPN客户端来建立VPN。如果您要增加或减少VPN的数量,可右击“端口”,选择“属性”,打开如图13-13所示的画面,双击“WAN微型端口(PPTP)”或“WAN微型端口(L2TP)”,单击“配置”,打开如图13-14所示的画面,然后可修改VPN端口数量。图13-13 端口属性图13-14 配置端口属性13.3.3 在VPN
18、客户端建立Internet连结n假设客户端要利用ADSL拨号连结来连结Internet,那末客户端除了要将ATU-R(ADSL调制解调器)连结号之外,还必须建立一个通过ADSL的Internet连结。以下利用Windows 2000 Professional为例来说明。n步骤1:右击“网上邻居”,选择“属性”-“新建连结向导”。如图11-15所示。打开如图13-16所示的画面。n步骤2:图13-16信建立连结向导中选择“连结到Internet”,单击“下一步”。打开如图13-17所示的画面。n步骤3:在图13-17中选择“用要求用户名和密码的宽带连结来连结”,单击“下一步”,打开如图13-18
19、所示的画面。图13-15 选择新建连接向导图13-16 新建连接向导图13-17 选择用宽带连接步骤4:在图13-18中输入ISP的名称,单击“下一步”,打开如图13-19所示的画面。其中可选择此项连结是可为任何人使用还是只为用户自己使用。单击“下一步”。打开如图13-20所示的画面。 图13-19 选择此连接的使用对象步骤5:在图13-20中,输入一个ISP账户名和密码,单击“下一步”,出现“完成新建连结向导”画面时单击“完成”即可。13.3.4 在VPN客户端建立VPN拨号连结n客户端通过ADSL连接上Internet后,还要建立一个VPN连接,才能与VPN服务器建立VPN。下面仍以Win
20、dows 2000 Professional 为例。n步骤1:右击“网上邻居”,选择“属性”-“新建连接向导”,打开如图13-21所示的画面。n步骤2:在图13-21中,选择“连接到我的工作场所的网络”,单击“下一步”,打开如图13-22所示的画面。图13-21 新建连接向导图13-22 选择用虚拟专用网连接步骤3:在图13-22中选择“虚拟专用网络连接”,单击“下一步”。打开如图13-23所示的画面。步骤4:在图13-23中输入将要建立的连接的名称,例如可输入单位名称或连接的服务器的名称。单击“下一步”,打开如图11-24所示的画面。步骤5:在图13-24中单击“下一步”。打开如图11-25的画面。步骤6:在图13-25中,输入您正要连接的VPN服务器的主机名或IP地址。单击“下一步”,出现如图13-26所示的完成画面,单击“完成”即可。
