资源描述
,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2021/9/7,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2021/9/7,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2021/9/7,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2021/9/7,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2021/9/7,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2021/9/7,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2021/9/7,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2021/9/7,#,项目一 用户与组,Windows Server 2012,系统是一个多用户多任务的分时操作系统,每一个使用者都必须申请账号才能登录进入系统使用资源。用户使用账号登录一方面可以帮助管理员对进入系统的用户账户进行跟踪,并控制他们对系统资源的访问,另一方面也可以利用组账户帮助管理员简化对同类用户的控制操作,降低管理的难度。,1.1,用户与组知识概述,本地用户账户对应对等网的工作组模式,建立在非域控制器的,Windows Server 2012,独立服务器、成员服务器以及其他,Windows,客户端。本地账户只能在本地计算机上登录,无法访问域中其它计算机资源。,本地计算机上都有一个管理账户数据的数据库,称为安全账户管理器,SAM,。,SAM,数据库文件路径为系统盘下,Windowssystem32configSAM,。在,SAM,中,每个账户被赋予唯一的安全识别号,SID,,用户要访问本地计算机,都需要经过该机,SAM,中的,SID,验证。,本地用户账户,Windows Server 2012,中还有一种账户叫内置账户,它与服务器的工作模式无关。当,Windows Server 2012,安装完毕后,系统会在服务器上自动创建一些内置账户,,Administrator,和,Guest,是最重要的两个:,Administrator,(系统管理员)拥有最高的权限,管理着,Windows Server 2012,系统和域。系统管理员的默认名字是,Administrator,,可以更改系统管理员的名字,但不能删除该账户。该账户无法被禁止,永远不会到期,不受登录时间和只能使用指定计算机登录的限制。,Guest,(来宾)是为临时访问计算机的用户提供的,该账户自动生成,且不能被删除,可以更改名字。,Guest,只有很少的权限,默认情况下,该账户被禁止使用。例如当希望局域网中的用户都可以登录到自己的计算机,但又不愿意为每一个用户建立一个账户时,就可以启用,Guest,。,内置账户,为了简化对用户账户的管理工作,,Windows Server 2012,中提供了组的概念。组是指具有相同或者相似特性的用户集合,当要给一批用户分配同一个权限时,就可以将这些用户都归到一个组中,只要给这个组分配此权限,组内的用户就都会自动拥有此权限。这里的组就相当于一个班级或一个部门,班级里的学生、部门里的工作人员就是用户。,在,Windows Server 2012,中,用组账户来表示组,用户只能通过用户账户登录计算机,不能通过组账户登录计算机。,组的概念,内置本地组是在系统安装时默认创建的,并被授予特定权限以方便计算机的管理,常见的内置本地组有下面几个:,Administrators,:在系统内有最高权限,拥有赋予权限,可添加系统组件,升级系统,配置系统参数,配置安全信息等。内置的系统管理员账户是,Administrators,组的成员。如果这台计算机加入到域中,则域管理员自动加入到该组,并且有系统管理员的权限。属于,Administrators,组的用户,都具备系统管理员的权限,拥有对这台计算机最大的控制权,内置的系统管理员,Administrator,就是此本地组的成员,而且无法将其从此组中删除。,Guests,:内置的,Guest,账户是该组的成员。一般被用于在域中或计算机中没有固定账户的用户临时访问域或计算机时使用的。该账户默认情况下不允许对域或计算机中的设置和资源做更改。出于安全考虑,Guest,账户在,Windows Server 2012,安装好之后是被禁用的,如果需要可以手动地启用。应该注意分配给该账户的权限,因为该账户经常是黑客攻击的主要对象。,IIS_IUSRS,:这是,Internet,信息服务(,IIS,)使用的内置组。,Users,:是一般用户所在的组,所有创建的本地账户都自动属于此组。,Users,组权限受到很大的限制,对系统有基本的权力,如运行程序,使用网络,但不能关闭,Windows Server 2012,,不能创建共享目录和本地打印机。如果这台机加入到域,则域用户自动被加入该组。,内置本地组,除了以上所述的内置本地组和内置域组外,还有一些内置的特殊组。特殊组存在于每一台,Windows Server 2012,计算机内,用户无法更改这些组的成员,也就是说,无法在“,Active Directory,用户和计算机”或“本地用户与组”内看到、管理这些组。这些组只有在设置权限时才看得到,,,以下列出两个常用的特殊组。,Everyone,:包括所有访问该计算机的用户,如果为,Everyone,指定了权限并启用,Guest,账户时一定要小心,,Windows,会将没有有效账户的用户当成,Guest,账户,该账户自动得到,Everyone,的权限。,Creator Owner,:文件等资源的创建者就是该资源的,Creator Owner,。不过,如果创建是属于,Administrators,组内的成员,则其,Creator Owner,为,Administrators,组。,内置的特殊组,公司为后续部署,windows server 2012,系统在一台计算机上安装了,windows server 2012,系统做系统测试。为满足不同部门网络管理人员对该计算机的访问,需要为这些部门管理员创建访问账户和配置访问权限。,项目描述,windows server 2012,是微软的一个多用户多任务服务器系统,使用者可以通过创建账户实训对该系统的访问。,windows server 2012,内置了大量的组账户,每一个组账户对应着系统特定的权限。因此对用户账户的授权其实是通过设置用户账户隶属组来完成。,项目分析,任务背景,为满足公司网络部员工对,windows server 2012,的初步了解需求,公司希望创建,1,个普通用户账户,test1,供网络部员工访问该服务器,做简单体验,创建一个网络管理账户,test2,供网络部系统管理组用户访问该服务器,做管理体验。,任务分析,在,windows server 2012,的用户和组管理界面可以非常方便的对用户和组做如下操作:,1,、用户账户操作,新建、删除、设置密码、属性的修改等。,2,、组账户操作,新建、删除、修改组的隶属组等。,在本任务中需要创建,2,个账户,,test1,用于界面体验,,test2,用于系统管理体验。新建的账户登录后可以满足界面体验,但要做系统管理就需要将用户加入到管理员组中。,任务,1-1,用户的创建及管理,任务操作,1.,创建本地用户,(,1,),以,【Administrator】,身份登录到服务器,在,【,服务器管理器,】,主窗口中,单击,【,工具,】,按钮,再单击,【,计算机管理,】,,打开,【,计算机管理,】,主窗口,找到,【,本地用户和组,】,,单击,【,用户,】,,如图,1-1,所示。,图,1-1,用户,1.,创建本地用户,(,2,),用鼠标右键单击,【,用户,】,,再单击,【,新用户,(N)】,,弹出,【,新用户,】,对话框,如图,1-2,所示。,图,1-2,新用户,test1,和,test2,该对话框中的选项如下,:,用户名:系统本地登录时使用的名称。,全名:用户的全称,属于辅助性的描述信息,不影响系统的功能。,描述:关于该用户的说明文字,方便管理员识别用户,不影响系统的功能。,密码:用户登录时使用的密码。,确认密码:为防止密码输入错误,需再输入一遍。,用户下次登录时须更改密码:用户首次登录时,使用管理员分配的密码,当用户再次登录时,强制用户更改密码,用户更改后的密码只有自己知道,这样可保证安全使用。当去除,【,用户下次登录时须更改密码,】,前的勾选后,,【,用户不能更改密码,】,和,【,密码永不过期,】,这两个选项将由灰变实。,用户不能更改密码:只允许用户使用管理员分配的密码。,密码永不过期:密码默认的有限期为,42,天,超过,42,天系统会提示用户更改密码,选中此项表示系统永远不会提示用户修改密码。,账户已禁用:选中此项表示任何人都无法使用这个账户登录,适用于企业内某员工离职时,防止他人冒用该账户登录。,任务操作,2.,设置本地账号属性,打开,【,计算机管理,】,主窗口,找到,【,本地用户和组,】,,单击,【,用户,】,,在用户账户,【test1】,上右击,在弹出的菜单中根据实际需要选择菜单中的命令对账户进行操作,如图,1-3,所示。,图,1-3,单击用户,zhangsan,弹出右键菜单,任务操作,选择,【,设置密码,】,命令可以更改当前用户账户的密码。,选择,【,删除,】,命令可以删除当前用户账户。,选择,【,重命名,】,命令或更改当前用户账户的名称。,选择,【,属性,】,命令,可以禁用或激活用户,把用户加入某个组等。例如停用,zhangsan,账户,则在,【,常规,】,选项卡中选中,【,账户已禁用,】,复选框,然后单击,【,确定,】,按钮返回计算机管理控制台,可以看到停用的账户是以蓝色的向下箭头来标记。,2.,设置本地账号属性,(1),在,test2,账户的右键菜单中选择,【,属性,】,进入,【test2,属性,】,对话框,在该对话框选择,【,隶属于,】,选项卡,并点击选项卡中的,【,添加,】,按钮可以弹出,【,选择组,】,对话框中,如图,1-4,所示。,图,1-4,配置用户隶属组,任务操作,2.,设置本地账号属性,(2),在,【,选择组,】,对话框中中输入“,administrators”,组完整名称,然后点击,【,检查名称,】,按钮完成管理员组的自动添加,点击,【,确定,】,后就完成用户添加入管理员组的操作,结果如图,1-5,所示。,图,1-5 test2,用户隶属组界面,任务操作,任务验证,(,1,)以,【test1】,账户登录到服务器,可以查看系统的大部分功能,但无法对系统进行配置。例如使用,【test1】,账户修改系统时间时,会提示输入管理员密码,说明,【test1】,没有配置系统时间权限,如图,1-6,所示。,(,2,)以,【test2】,身份登录服务器,则不存在上述警告界面,说明,【test2】,账户具有系统时间管理权限。,(,3,)也可以用,【test1】,和,【test2】,这两个用户做创建用户实验,结果应为,test1,无法创建而,test2,可以创建。,图,1-6,用户,test1,无法修改系统日期界面,任务背景,公司网络部员工试用,windows server 2012,一段时间后,决定现在,windows server 2012,系统上部署业务系统做系统测试,等确定该系统能稳定支撑公司业务后再做业务系统迁移,并在这台服务器上创建共享,并将系统测试文档统一存放在网络共享中。,公司业务系统的管理涉及网络部的网络管理组和系统管理组的所有员工,公司需要为每一位员工创建账户并,授予,管理权限,网络部结构如图,1-7,所示。,任务,1-2,组的创建及管理,图,1-7,网络部结构图,任务分析,本任务需要在,windows server 2012,系统中为网络部所有员工创建账户,并为这些账户授予管理权限,同时为方便对文件共享的访问授权,需要创建组账户,并将用户加入到对应组中。,用户的权限具有继承性特点,即用户的权限是其本身权限和隶属组权限之和。如果有大量的用户需要授权(文件共享的访问),则管理员需要做大量的用户授权的配置,解除授权的操作也是一样,而如果这些用户都隶属于一个组账户,则只需对这个组账户进行授权或解除授权,不仅简化操作并能有效管理和控制。,任务操作,1,、创建用户,以,【Administrator】,身份登录,windows server 2012,服务器,在,【,服务器管理器,】,主窗口中,单击,【,工具,(T)】,按钮,再单击,【,计算机管理,】,,打开,【,计算机管理,】,主窗口,找到,【,本地用户和组,】,,单击,【,用户,】,,创建网络组用户,n1,和,n2,,系统管理组用户,s1,和,s2,,结果如图,1-8,所示。,图,1-8,计算机管理的用户管理界面,任务操作,2,、创建本地组,并将用户加入到本地组中,(,1,)以,【Administrator】,身份登录,windows server 2012,服务器,在,【,服务器管理器,】,主窗口中,单击,【,工具,(T)】,按钮,再单击,【,计算机管理,】,,打开,【,计算机管理,】,主窗口,找到,【,本地用户和组,】,,单击,【,组,】,,在右键菜单中单击,【,新建组,(N)】,,弹出,【,新建组,】,对话框,输入组名,【sysadmins】,,并将用户,【s1】,和,【s2】,加入到,【sysadmins,组,】,,如图,1-9,所示。,图,1-9,新建组,任务操作,2,、创建本地组,并将用户加入到本地组中,(,2,)单击,【,创建,】,完成,【sysadmins】,组及成员的加入操作,以类似操作完成,【netadmins】,组及成员的创建与加入操作,结果如图,1-10,所示。,图,1-10,组账户管理视图,任务操作,在组管理界面中,除了可以新建组,还可以对现有组进行编辑修改,点击需要修改的组,在右键菜单中可以进行,【,添加到组,】,、,【,删除,】,等操作,具体操作说明如下:,选择,【,添加到组,】,命令可以更改当前组的成员,增加成员或删除成员。,选择,【,删除,】,命令可以删除当前组账户。,选择,【,重命名,】,命令或更改当前组账户的名称。,选择,【,属性,】,命令,可以修改组的,【,描述,】,,更改当前组的成员,增加成员或删除成员。,任务验证,用户创建后,注销,【administrator】,后,在,windows server 2012,登录界面可以看到,【s1】,、,【s2】,、,【n1】,、,【n2】,账户,点击任意一个账户,录入密码后就可以以管理员身份管理该服务器了。如图,1-11,所示,图,1-11,windows server 2012,登录界面,项目二 文件共享服务,文件共享是指在计算机上共享的文件供局域网其它计算机使用。在,windows server 2012,的文件夹右键快捷菜单中提供了目录的共享设置链接,在配置用户共享时,系统会自动安装文件共享服务角色和功能。在网络中专门用于提供文件共享服务的服务器称为文件服务器。,1,、文件共享,在文件服务器上部署共享可以提供多种用户访问权限,常见的有读取和写入权限。,读取权限:允许用户浏览和下载共享目录及子目录的文件。,写入权限:用户除具备读取权限的权限外,还可以新建、删除和修改共享目录及子目录的文件和文件夹。,2,、文件共享权限,文件服务器针对访问用户账户设置了两种类型:匿名账户和实名账户。,匿名账户:在,windows,系统中匿名账户一般指“,guest,”账户,但在匿名共享目录中授权时通常用“,everyone,”账户进行授权。,实名账户:顾名思义,用户在访问共享目录时需要输入特定的账户名称和密码。默认情况下这些账户都是由文件服务器创建的,并用于共享目录的授权。如果有大量的账户则一般会新建组账户,然后在共享中只需对组账户授权即可(用户账户继承组的权限)。,3,、文件共享的访问账户类型,在文件服务器中可以通过文件共享权限配置用户对共享目录的访问权限,但是如果该共享目录所在磁盘为,NTFS,文件系统磁盘,则该目录的访问权限还会受到,NTFS,权限的限制。此时,用户对共享目录的访问权限为文件共享权限和,NTFS,权限的并集,例如:用户,user,对共享目录,share,具有写入权限,但,NTFS,权限限制,user,写入,则用户,user,将不具备该共享目录的写入权限,也就是只有文件共享权限和,NTFS,权限都允许是,用户才允许,其它情况为拒绝。,在实际应用中,经常在文件共享权限中配置较大的权限,然后通过,NTFS,做针对性的限制权限来实现用户对文件服务器共享目录的访问权限配置。,4,、文件共享权限与,NTFS,权限,项目描述,图,2-1,公司网络部结构,公司网络部由网络管理组和系统管理组构成,负责公司基础网络和应用服务的日常维护与管理。,维护与管理公司网络的过程需要填写大量的纸质日志记录和文档,为方便这些日志和文档的管理,部门决定采用电子文档方式存放在公司的文件服务器上。公司网络部结构如图,2-1,所示。,在文件服务器建立共享目录,并配置写入权限,用户可以随时上传文件(文档)到该目录中,这样就可以实现网络管理组和系统管理组员工将日常维护与管理文档集中存放在文件服务器上。,项目分析,任务背景,公司网络部需要在文件服务器上创建网络共享存储,并将日常运维工具放置在该共享存储上,以方便员工在维护和管理公司网络和计算机时下载安装。,任务分析,在,Windows Server 2012,文件服务器上创建文件夹,并将该文件夹共享并赋予,Everyone,用户读取写入权限,使得网络部所有用户都能够访问读取并且具备写入权限。,任务,2-1,部署匿名共享,(1),在,IP,为,192.168.1.1,的文件服务器的,D,盘下创建名为,【share】,的文件夹,对,share,右键,【,共享,】,选择,【,特定用户,】,,如图,2-2,所示。,任务操作,图,2-2,共享特定用户选项,(2),在下拉列表中将,【Everyone】,添加到共享用户列表中,并在赋予,【Everyone】,用户组具备读取,/,写入权限,如图,2-3,所示。,任务操作,图,2-3,共享特定用户选项,(3),点击共享,在弹出的,【,网络发现和文件共享,】,中选择,【,是,启用所有公用网络的网络发现和文件共享,】,。再点击,share,文件夹,右键选择,【,属性,】,,我们可能看到,【Everyone】,具备完全控制权限,如图,2-4,所示。,任务操作,图,2-4,查看,Everyone,的,NTFS,权限,在,PC1,上输入,192.168.1.1,访问文件服务器上,share,共享文件夹,并将,test.txt,文件上传到,share,共享目录中,如图,2-5,所示。,任务验证,图,2-5,测试访问共享,任务,2-2,部署非匿名共享,任务背景,公司网络部员工在维护公司内部网络和计算机时,还需要填写维护日志文档,员工希望在该文件服务器上建立个人目录用于存放该文档。,为满足员工需求存储文档的需求,文件服务器将为部门的每一位员工创建共享,用户可以将文件上传至自己的共享文件夹,并且该共享文件夹只有用户本人具备读取,/,写入权限,其他人不能访问。,任务分析,要实现本任务的文件共享服务,需要通过以下几个步骤来完成:,(1),在文件服务器为每一位员工创建用户账户,本任务中将创建,n1,、,n2,、,s1,和,s2,账户。,(2),在文件服务器创建【维护日志文档】目录用于存放员工的个人文档,然后在该目录下为每一位员工创建个人文件夹,文件夹建议以用户名命名。,(3),将这些个人文件夹配置为共享,并配置共享权限:仅允许对应账户读取和写入。,(4),用户访问共享目录,测试是否符合工作需求。,任务操作,1,、创建用户,在文件服务器上创建网络组用户,n1,和,n2,,系统管理组用户,s1,和,s2,,结果如图,2-6,所示。,图,2-6,计算机管理的用户管理界面,2,、创建文件夹,在文件服务器的,D,盘下创建名为,【,维护日志文档,】,的目录,并在该目录下创建,【n1】,、,【n2】,、,【s1】,和,【s2】4,个子文件夹,结果如图,2-7,所示。,任务操作,图,2-7【,维护日志文档,】,目录及其子目录界面,3,、为每一个文件夹配置共享,权限为仅允许对应账户读取和写入,下面仅以,【n1】,目录为例。,(,1,)配置,【n1】,目录只有,n1,用户能对其有读取,/,写入权限,如图,2-8,所示。,任务操作,图,2-8,配置,n1,用户具备读取写入权限,3,、为每一个文件夹配置共享,权限为仅允许对应账户读取和写入,下面仅以,【n1】,目录为例。,(,2,)查看,n1,文件夹的,NTFS,权限,如图,2-9,所示。,(,3,)用同样的方法新建,n2,、,s1,、,s2,文件夹,并只允许同名用户具备读取写入权限。,任务操作,图,2-9,查看,n1,用户的,NTFS,权限,在,PC1,上用,n2,用户访问文件服务器上,n1,共享文件夹,系统将提示“你没有权限访问,192.168.1.1n1.”,,如图,2-10,所示。,任务验证,图,2-10 n2,用户访问共享文件夹,n1,在,PC1,上用,n2,用户访问文件服务器上,n2,共享文件夹,可以正常访问,并可以写入和删除数据,如图,2-11,所示。,任务验证,图,2-11 n2,用户访问的共享文件夹,n2,任务,2-3,部署部门(组)资源共享,任务背景,网络部有网络管理组和系统管理组两个组,每个组在运维时也希望通过网络共享存储存放相关日志文档,各组的日志文档权限为:组内部成员具备读取和写入权限,其它组成员仅具备读取权限。,任务分析,要实现本任务的文件共享服务,需要通过以下几个步骤来完成:,(,1,),在文件服务器为每一位员工创建用户组账户,本任务中将创建,netadmins,和,sysadmins,两个组账户。,(,2,),将,n1,和,n2,用户加入到,netadmins,组,将,s1,和,s2,用户加入到,sysadmins,组。,(,3,),在文件服务器创建【网络部日志文档】目录用于存放网络部的日志文档,然后在该目录下创建【网络管理组】和【系统管理组】子目录用于存放对应小组的日志文档。,(,4,),将【网络部日志文档】文件夹配置为共享,并配置,netadmins,和,sysadmins,两个组具有读取权限。,(,5,),对【网络管理组】和【系统管理组】子目录配置权限,增加对应组账户读取和写入权限。,(,6,),用户访问共享目录,测试是否符合工作需求。,1,、创建用户组,创建网络管理组和系统管理组的组账户,netadmins,和,sysadmins,,并将,n1,和,n2,添加到网络管理组中,将,s1,和,s2,添加到系统管理组中,如图,2-12,所示。,任务操作,图,2-12,创建组账户,2,、在文件服务器创建【网络部日志文档】目录和【网络管理组】和【系统管理组】子目录。,在文件服务器的,D,盘创建,【,网络部日志文档,】,目录,并在该目录下创建,【,网络管理组,】,和,【,系统管理组,】,子目录,结果如图,2-13,所示。,任务操作,图,2-13,文件服务器新建的目录,3,、配置共享和权限,(1),将,【,网络部日志文档,】,目录配置为共享,并授权给两个组账户读取权限,如图,2-14,所示。,任务操作,图,2-14【,网络部日志文档,】,的共享权限设置,3,、配置共享和权限,(2),管理【网络管理组】文件夹的,NTFS,权限,为,netadmins,组增加写入权限,使得网络管理组用户具备读取和写入程序。,在【网络管理组】子目录的右键菜单中点击【属性】打开【网络管理组】目录的属性对话框中,并点击【安全】选项卡,点击【编辑】按钮进入【网络管理组的权限】对话框中,在该对话框中选择,netadmins,组,并追加修改和写入权限,如图,2-15,所示,。,注意:,在,NTFS,权限中,子目录默认继承父目录的权限,因此【网络管理组】子目录无需再对,netadmins,和,sysadmins,组授权,仅需增加,netadmins,组的读取和写入权限即可。,在本任务中也可以预先给【网络部日志文档】目录配置读取和写入权限,而在图,2-15,所示的对话框中配置,sysadmins,组拒绝修改和写入权限。,任务操作,图,2-15,设置,【,网络管理组,】,目录,sysadmins,组的,NTFS,权限,任务操作,图,2-16,配置,【,系统管理组,】,目录中,sysadmins,组的权限,3,、配置共享和权限,(3),同理,为,【,系统管理组,】,目录增加,sysadmins,组的读取和写入权限,结果如图,2-16,所示。,在,PC1,上输入,192.168.1.1,访问文件服务器上,【,网络部日志文档,】,共享文件夹,在弹出的对话框中输入用户,n1,的账户名和密码。访问,【,系统管理组,】,文件夹并尝试删除该目录的文件时,系统会提示拒绝,如图,2-17,所示。这是由于,netadmins,组仅能读取,【,系统管理组,】,目录的文件,但拒绝写入和修改文件,而,n1,隶属于,netadmins,组。,任务验证,图,2-17,系统管理组用户无法删除文件,访问,【,系统管理组,】,文件夹,并能成功上传一个测试文档,这是由于,netadmins,组对该目录具有读取和写入权限,显然,n1,用户继承了组的权限,如图,2-18,所示。,任务验证,图,2-18,网络管理组用户可以写入文件,项目三,路由和远程访问服务的部署,3.1,路由和路由器的概念,图,3-2,主机,1,到主机,2,的路由选择,3.1.1,路由,简言之,从源主机到目标主机的数据包转发过程就称为路由。在图,3-2,所示的网络环境中,主机,1,和主机,2,进行通信时就要经过中间的路由器,当这两台和主机中间有多台路由器时,就会面临着一个选择:是沿着,R1,R2,R4,的路径,还是按,R1,R3,R4,的路径进行转发。,在实际应用中,,Internet,上路由器的数目会更多,两台主机之间数据包转发存在的路径也就更多,为了,尽,可能地提高网络访问速度就需要一种方法来判断从源主机到达目标主机所经过的最佳路径,从而进行数据转发,这就是路由技术。,路由器时用来进行数据包转发的设备,是网络的中转站,用来连接不同的逻辑子网,路由器可以分为硬件路由器和软件路由器。,(,1,)硬件路由器:专门设计用于路由的设备。例如思科、锐捷等公司生产的系列路由器产品。硬件路由器实质上也是一台计算机,不同于普通计算机的是它运行的,操作,系统主要用来进行路由维护,不能运行程序。硬件路由器的优点是路由效率高,但其缺点是价格较昂贵,配置也较为复杂。,(,2,)软件路由器:通过对一台计算机进行配置让其拥有路由器的功能,这台计算机就称为软件路由器。由于路由器必须有多个接口连接不同的,IP,子网,所以充当软件路由器的计算机一般安装有多个网卡。软件路由器的优点是价格相对较低,且配置简单,但其缺点是路由效率低,一般只在较小型网络中使用。,3.1.2,路由器,3.1.3,路由表,图,3-3,路由器中的路由表,在每台计算机中都维护着去往一些网络的传输路径,这就是路由表。在现实生活中,人们如果想去某一个地方,在大脑中就会有一张地图,其中包含到达目的可以走的多条路。路由器中的路由表就相当于人脑中的地图。这是由于路由表的存在,路由器才可以依据路由表进行数据包的转发,如图,3-3,所示。,在路由表中有该路由器掌握的所有目的网络地址,以及通过路由器到达这些网络的最佳路径。最佳路径指的是路由器的某个接口或与其相邻的下一跳路由器的接口地址。当路由器收到一个数据包时,它会将数据包目标,IP,地址的网络地址和路由表中的路由条目进行对比,如果有去往目标网路的路由条目,就根据该路由条目将数据包转发到相应的接口;如果没有相应的路由条目,则根据路由器的配置将数据包转发到默认接口或者丢弃。,利用,route print,命令查看路由表,3.1.4,路径选择过程,有,无,否,有无与目的主机地址完全匹配的条目,返回“主机不可到达”或“网络不可达”的信息,开始搜索路由表,有无与目的网络地址相匹配的条目,有无默认路由条目,无,无,有,有,路由搜索结束,将报文发送给该条目指定的下一站路由器或直接连接的网络接口,3.2,路由的类型,图,3-6,利用,route add,命令添加静态路由,图,3-7,利用,route delete,命令删除静态路由,3.2.1,静态路由,静态路由是由管理员手工进行配置的,在静态路由中必须明确指出从源到目标所经过的路径,一般来所在网络规模不大,拓扑结构相对稳定的网络中配置静态路由,其优缺点如下:,静态路由的优点:由于由管理员手工配置,因此可以减轻路由器的开销,。,静态路由的缺点:当网络发生变化时,静态路由不能反映网络结构的变化,而且网络规模很大时,配置静态路由会增加管理员的工作负担。,使用具有管理员权限的用户账户登录,Windows Server 2012,计算机,打开命令提示窗口,利用,route add,命令可以添加静态路由,如图,3-6,所示。,利用,route delete,命令可以手工删除一条路由条目,如图,3-7,所示。,C:route add 192.168.2.0 mask 255.255.255.0 192.168.1.1 metric 3,C:route print,.(,省略部分显示信息,),192.168.2.0 255.255.255.0,在链路上,192.168.1.1 3,.(,省略部分显示信息,),C:,route delete 192.168.2.0,3.2.2,默认路由,图,3-8,利用,route add,命令添加默认路由,默认路由是一种特殊的静态路由,也是由管理员手工配置的,为那些在路由表中没有找到明确匹配的路由信息的数据包指定下一跳地址。,在,Windows Server 2012,的计算机上配置默认网关时就为该计算机指定了默认路由,获知利用,route add,命令也可以添加默认路由,如图,3-8,所示。,C:route add 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 3,C:route print,.(,省略部分显示信息,),0.0.0.0 0.0.0.0 192.168.1.254 192.168.1.1 33,.(,省略部分显示信息,),当网络规模很大,且网络结构经常发生变化时就需要使用动态路由。通过在路由器上配置路由协议可以自动搜集网络信息,并且放映网络结构的变化,动态地维护路由表中的内容。其优缺点如下:,动态路由的优点:由于动态路由是靠路由协议自动维护的,因此减轻了管理员的工作负担,而且可以自动反映网络结构的变化,。,动态路由的缺点:增大了路由器为处理路由所花费的开销,对路由器的硬件要求比较高。,3.2.3,动态路由,路由协议(,Routing Protocol,)运行在路由器上,它通过提供一种共享路由选择信息的机制,允许路由器与其它路由器通信以更新和维护自己的路由表,并确定最佳的路径。通过路由协议,路由器可以了解未直接连接的网络的状态,当网络发生变化时,路由表中的信息可以随时更新,以保证网络上的路径处于可用状态。,3.2.4,路由协议,(,1,),内部网关协议和外部网关协议,根据工作范围,路由协议可以分为内部网关协议(,IGP,)和外部网关协议(,EGP,)。,内部网关协议:在一个自治系统内进行路由信息交换的路由协议,如:,RIP,、,IGRP,、,EIGRP,、,OSPF,、,ISIS,等,。,外部网关协议:在不同自治系统间进行路由信息交换的路由协议,如,BGP,。,(,2,),距离矢量路由协议和链路状态路由协议,根据工作原理,路由协议可以分为距离矢量路由协议和链路状态路由协议。,距离矢量路由协议:通过判断数据包从源主机到目的主机所经过的路由器的个数来决定选择哪条路由,如,RIP,、,IGRP,等,。,链路状态路由协议:不是根据路由器的数目选择路径,而是综合考虑从源主机到目的主机间的各种情况(如带宽、延迟、可靠性、承载能力和最大传输单元等),最终选择一条最优路径,如,OSPF,、,ISIS,等。,RIP,协议,RIP,协议最初是为,Xerox,网络系统的,Xerox parc,通用协议而设计的,是,Internet,中常用的路由协议。,RIP,通过技术从源主机到目标主机经过的最少跳数(,hop,)来选择最佳路径,它支持的最大跳数为,15,跳,即从源主机到目标主机的数据包最多可以被,15,个路由器转发,如果超过,15,跳,,RIP,协议就认为目的地不可达。由于单纯,地,以跳数作为路由的依据,不能充分描述路径特性,可能会导致所选的路径不是最优,因此,RIP,协议只适用于中小型的网络中。,运行,RIP,协议的路由器默认情况下每隔,30,秒会自动向它的邻居发送自己的全部路由表信息,因此会浪费较多的带宽资源。同时,由于路由信息是一跳一跳地进行传递,因此,RIP,协议的收敛速度会比较慢。当网络拓扑结构发送变化时,,RIP,协议通过触发更新的方式进行路由更新,而不必等待下一个发送周期。例如,当如路由器检测到某条链路失败时,它将立即更新自己的路由表并发送新的路由,每个接收到该触发更新的路由器都会立即修改其路由表,并继续转发该触发更新。,OSPF,协议,0SPF,是一种基于链路状态的路由协议,需要每个路由器向其同一管理域的所有其它路由器发送链路状态广播信息。在,OSPF,的链路状态广播中包括所有接口信息、所有的量度和其它一些变量。利用,OSPF,的路由器首先必须收集有关的链路状态信息,并根据一定的算法计算出到每个节点的最短路径。而基于距离向量的路由协议仅向其邻接路由器发送有关路由更新信息。,与,RIP,不同,,OSPF,将一个自治域再划分为区,相应地即有两种类型的路由选择方式:当源和目的地在同一区时,采用区内路由选择;当源和目的地在不同区时,则采用区间路由选择。这就大大减少了网络开销,并增加了网络的稳定性。当一个区内的路由器出了故障时并不影响自治域内其它区路由器的正常工作,这也给网络的管理、维护带来方便。,项目描述,图,3-1,公司网络拓扑,某公司拥有业务部、行政部和生产部,每个部门都建好了局域网,为满足公司业务发展需求,公司希望能将各局域网互联及接入互联网,实现公司内部的相互通信、资源共享和,Internet,接入,公司网络拓扑如图,3-1,所示。,在网络中,路由器用于实现局域网的互联,通过在各局域网部署路由器可以轻松实现不同局域网的互联。通过路由器互联起来的各部门网络实现了部门间的相互通信和资源共享。,本项目中公司内的各部门建立了自身的局域网,可以使用,windows server 2012,的路由和远程访问服务可以作为公司的路由器来互联各部门局域网,实现各部门的相互通信和资源共享。,项目分析,任务背景,公司内的技术部和业务部都各自组建了局域网,您是该公司的网络管理员,公司希望通过一台装有,windows server 2012,的双网卡计算机实现这两个局域网的互联,公司网络拓扑图 如图,3-9,所示。,任务,3-1,实现两个局域网的互联,图,3-9,任务,3-1,的网络环境,通过在双网卡计算机上安装,windows server 2012,,同时部署和启用路由与远程访问服务,可将该计算机配置为路由器,并实现两个局域网的互联(直连网络)。,任务分析,1.PC1,和,PC2,的配置,(,1,)使用具有管理员权限的用户账户登录,PC1,和,PC2,,将,IP,地址、子网掩码和网关配置到本地连接中,如图,3-10,和图,3-11,所示。,任务操作,图,3-10
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
