chap7路由和远程访问.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三

2、级,第四级,第五级,chap7路由和远程访问,2,常见问题,不同网段的计算机如何实现通信？,只有一个公网地址，如果让内网客户端上,Internet,？,如何让外网用户访问内网资源？,7.1,路由概述,所谓“,路由,”，是指把数据从一个地方（网段）传送到另一个地方（网段）的行为和动作，而,路由器,，正是执行这种行为动作的机器，它的英文名称为,Router,，是一种连接多个网络或网段的网络设备，它能将不同网络或网段之间的数据信息进行“翻译”，以使它们能够相互“读懂”对方的数据，从而构成一个更大的网络。,路由器是一种连接多个网络的设备，它工作在,OSI,模型的第三层（网络层）,路由器的主要工作就是为

3、经过路由器的每个,IP,数据包寻找一条最佳传输路径，并将该数据包有效地传送到目的站点。,由此可见，选择最佳路径的策略即路由算法是路由器的关键所在。为了完成这项工作，在路由器中保存着各种传输路径的相关数据,路由表,（,Routing Table,），供路由选择时使用，也就是说路由器转发,IP,数据包是根据路由表进行的。,7.1.1,路由器,网络,1,网络,2,7.1.2,路由器的工作原理,n1,n2,n3,n4,n5,R1,R2,R3,R4,R1,的路由表：,目的网络,下一跳,n1,R1,n2,R2,n3,R3,n4,R3,n5,R3,R3,的路由表：,目的网络,下一跳,n1,R1,n2,R2,

4、n3,R3,n4,R4,n5,R4,7.1.2,路由器的工作原理,在路由表中有四类路由信息：直连路由、默认路由、静态路由和动态路由。,直连路由,是与路由器端口直接相连的网络，如果数据包的目的地址在这些网络中，路由器会把它直接发往目的网络。,默认路由,是路由器对外的一条路径，路由器会把目的地址在路由表中找不到的数据包通过默认路由转发出去，由其它路由器解决。,静态路由,是由网管设置的路由路径,经常用于缺省路径。,动态,路由,不需要人工设置,，,用“自学习”的方法学习到的,路由。,动态路由是通过路由算法和协议来实现,的。,7.1.3 路由协议,在路由器间交换彼此的了解的路径信息,周期性的更新或在网络

5、变化时立刻更新，以得到最新的路径,7.1.3,距离向量路由协议,邻居路由器之间定期交换完整的路由表,(,距离,-,向量表,),每当接收到一个邻居路由器发来的路由表时，路由器重新计算到每个目的地的,距离,，并且更新各自的路由表。距离的度量单位可以是延迟、物理距离或者链或其它参数。,A,Routing,Table,Routing,Table,Routing,Table,Routing,Table,DistanceHow farVectorIn which direction,B,D,C,C,B,A,D,7.1.3 链路状态路由协议,解决两个问题,V-D,算法只考虑,距离，,没有考虑,链路带宽及负载

6、等因素,V-D,算法,存在,慢收敛问题。,Link-State Packets,SPF,Algorithm,Topological,Database,Shortest Path First Tree,Routing,Table,A,B,D,C,7.1.3,链路状态路由协议,工作过程,路由器之间形成邻居关系,HELLO,过程,测量线路开销,ECHO packet,：,round-trip time/2,构造链路,-,状态报文,Packet,内容：,Sequence Number/Age/Neighbors delay metric,何时构造,L-S packet,：网络出现重大变化：比如路由器或

7、链路的失效或重启才生成路由更新包,广播链路,-,状态报文,将,L-S packet,可靠地广播出去,计算最短路径,由于网络上的每个路由器都可以获得所有其它路由器的链路,-,状态报文，每个路由器都可以构造出网络的拓扑结构图。此时路由器可以根据,SPF,算法计算出到所有目的节点的最短路径，并把计算结果填到路由器的路由表中。,7.1.4 自治系统,因特网被划分为一个个自治系统。,从路由的角度看，拥有同样的路由策略、在同一管理机构下的由一系列路由器和网络构成的系统称为,自治系统,AS,。,相对其他的自治系统,AS,而言，一个自治系统,AS,的有独立而统一的内部路由策略，它对外呈现一致的路由状态。,每个

8、自治系统,AS,都有一个唯一的编号，即,AS,号。,7.1.4 从不同层次来看Internet,7.1.4 IGP和EGP,内部网关协议,IGP,同一个,AS,内部的路由器之间的路由协议,IGP,的目的就是寻找,AS,内部所有路由器之间的最短路经。,常见的,IGP,协议有,RIP,和,OSPF,。,外部网关协议,EGP,AS,之间的路由协议。,EGP,的目的是维持,AS,之间的连通性。,常用的,EGP,协议有,BGP-4,。,7.1.5 IGP,路由协议,路由信息协议（,Routing Information Protocol,，,RIP,）,由施乐公司的帕洛阿托研究中心,PARC,在,70,

9、年代设计的，距离向量路由协议,简单，容易配置、维护和使用。,最大问题是收敛慢，并且在收敛过程中，可能产生路由环问题,不适合于大的、复杂的网络。,开放最短路由优先协议,(Open Shortest Path First,OSPF),IETF,于,1988,年开发的一种基于链路状态路由算法的路由协议。,使用事件（链路中断或路由器崩溃等事件）来驱动链路,-,状态更新，而且当网络拓扑结构发生变化时能够快速收敛。,具有良好的扩展性，能够运用于大规模网络。,对链路带宽以及路由器的处理能力和存储空间都要求比较高。,7.1.6,路由器的功能,路由器的基本功能是,路径选择,功能（路由）,。,路由器的其它主要功能

10、过滤掉广播信息；,通过设定隔离和安全参数，禁止某些数据的传输；,网络地址翻译（,NAT,）,；,诊断,内部或其它连接问题并发出报警信号。,对于连接在路由器某个端口的局域网，该网络中各主机的,IP,地址应该与路由器的端口,IP,在同一个网络中，各主机的默认网关应该设置为该端口的,IP,地址。,E0/0,：,200.200.0.1/24,E0/1,：,200.200.1.1/24,IP,：,200.200.0.0/24,网关：,200.200.0.1,IP,：,200.200.1.0/24,网关：,200.200.1.1,7.1.7,路由器的配置,7.1.8,路由器的分类,接入级路由器：,主要

11、用于家庭或小型企业用户。用于将家庭或企业的小型局域网接入到,ISP,的网络中。,企业级路由器：,用于将规模较大的局域网接入,Internet,。它支持多种协议，有多种接口，还有防火墙的功能。,骨干级路由器：,用于大型网络的互联。具有高速率和高可靠性，具有热备份、双电源、双数据通道等安全性保障。,7.1.9 路由器种类,路由器可分为硬件路由器和软件路由器。,硬件路由器,有为支持路由功能而特别设计并优化的硬件支持部分。,软件路由器,是指不是特别为进行路由而设计的路由器，但它能够在路由计算机上将路由作为诸多执行的进程之一。,运行,Windows Server 2003,的,“,路由和远程访问,”,服

12、务的计算机，,是全功能的,软件路由器,。,7.1.10 “路由和远程访问”服务器,具有以下功能：,Internet,协议（,IP,）和,AppleTalk,多协议单播路由。,工业标准,单播,IP,路由协议,，包括开放式最短路径优先（,OSPF,）和路由信息协议（,RIP,）版本,1,和,2,。,启用,IP,多播通信转发的,IP,多播服务,（,Internet,组管理协议，,IGMP),路由器模式和,IGMP,代理模式。,“路由和远程访问服务器安装向导”包含一组常规服务器配置，可帮助满足网络需求。,对多个网络接口的支持。,简化小型办公室或家庭办公室（,SOHO,）网络与,Internet,的连接

13、的,IP,网络地址转换,（,NAT,）服务。,7.2 NAT服务器概述及架设,网络地址转换,(NAT,，,Network Address Traslation),将局域网内每台计算机的私网,IP,地址转换成一个公网合法的,IP,地址，以使得局域网计算机能访问,Internet,资源。,简单的说，,NAT,就是在局域网内部网络中使用内部地址，而当内部计算机要与外部网络进行通信时，就在网关处将内部地址替换成公用地址，从而在外部公网上正常使用，,NAT,可以使多台计算机共享,Internet,连接，这一功能很好的解决了公用,IP,地址紧缺的问题。,7.2.1 NAT工作原理,7.2.2 NAT四种地

14、址翻译方式,静态翻译,：是在内部局部地址和内部全局地址之间建立一对一的映射。,动态翻译,:,是在一个内部局部地址和外部地址池之间建立一种映射。,端口地址翻译,:,通过允许路由器为多个局部地址分配一个全局地址，也就是将多个局部地址映射为一个全局地址的某一端口，因此也被称为端口地址翻译（,PAT,）。,重叠地址翻译,:,翻译重叠地址是当一个内部网中使用的内部局部地址与另外一个内部网中的地址相同，通过翻译，使两个网络连接后的通信保持正常。,7.2.3 架设NAT服务器,NAT,服务器必须要有,2,张或,2,张以上的网卡，内部,IP,地址为,192.168.0.10,，接入,Internet,的,IP

15、地址为,200.200.0.1,“使用此公共接口连接到,INTERNET”,：如果,NAT,服务器的,INTERNET,接入采用固定永久的连接方式，如专线或以太网连接等。则选择此项。,“创建一个新的到,INTERNET,的请求拨号接口”：如果,NAT,服务器,INTERNET,接入采用非固定永久的连接方式，而是在需要时才连接，例如传统拨号、,ISDN,或,ADSL,连接等。则选择此项，并根据向导设置连接时所需要的接入号码、用户名和密码等相关参数。,7.2.3 架设NAT服务器,选第一项：表明,NAT,服务器提供,DNS,服务、为,NAT,客户端分配默认网关和,DNS,服务器的,IP,地址均为

16、其连接内部网的,IP,地址。,7.2.3 架设NAT服务器,7.2.3 架设NAT服务器,7.2.4 NAT属性配置,7.2.4 NAT属性配置-NAT外网接口属性,在,“,NAT/,基本防火墙,”,中打开外网接口的属性（注：只有对外连接的公用接口才可启用基本防火墙），如图：,7.2.4 NAT属性配置-数据包筛选,7.2.4 NAT属性配置-地址池,如果,NAT,服务器拥有多个公用地址，则需要在此选项卡中添加这些地址。,7.2.4 NAT属性配置-地址保留,可以将指定的公用地址保留给内部网的某专用地址，即建立静态的映射关系。,如果地址为,192.168.0.8,是内部的一台,WEB,服务器。

17、如果允许,INETERNET,用户访问内部,WEB,服务器，则要选允许将会话传入到此地址。,7.2.4 NAT属性配置-服务和端口,如果在网络中提供,INTERNET,用户可以访问内部服务器，如,WEB,服务器。但基本防火墙阻止了这些来自,INTERNET,的访问，则可以在此选项卡中将特定的类型的通信配置排除在外。,7.2.4 NAT属性配置-ICMP,通过此选项卡可配置当前接口是否接受并响应指定的ICMP请示，为了保护NAT服务器安全，如果不是特别需要，通常情况下应拒绝任何ICMP请示。,7.3 VPN服务器概述及架设,虚拟专用网络（,Virtual Private Network,VPN,

18、是专用网络的延伸，它模拟,点对点专用连接,的方式通过,Internet,或,Intranet,在两台计算机之间传送数据，是“线路中的线路”，具有良好的保密性和抗干扰能力。,虚拟专用网是穿越专用网络或公用网络（如,Internet,）的、安全的、点对点连接的产物。,虚拟专用网客户端使用特定的，称为,隧道协议,的基于,TCP/IP,的协议，来对虚拟专用网服务器的虚拟端口进行依次虚拟呼叫。,VPN,服务器应答虚拟呼叫，验证呼叫方身份，并在虚拟专用网客户端和企业网络之间传送数据。,7.3.1 VPN工作原理,VPN,服务器,Internet,适配器,Intranet,适配器,公司,内部网络,VPN,

19、远程访问客户机,Internet,隧道,7.3.2 VPN应用,总公司的网络已经连接到,Internet,，用户在远程拨号连接到,Internet,网络后，就可以通过,Internet,来与总公司的,VPN,服务器建立,PPTP,或,L2TP,的,VPN,连接，并通过,VPN,安全地传输数据。,两个物理上分离的局域网的,VPN,服务器都连接到,Internet,网络，并且通过,Internet,建立,PPTP,或,L2TP,的,VPN,连接，就可以实现两个局域网之间的安全数据传输。,7.3.3 VPN隧道协议,PPTP,（,Point-to-Point Tunneling Protocol,，

20、点对点隧道协议）是,PPP,（点对点）协议的扩展，并协调使用,PPP,的身份验证、压缩和加密机制。它允许对,IP,、,IPX,或,NETBEUI,数据流进行加密，然后封装在,IP,包头中通过诸如,Internet,这样的公共网络发送，从而实现多功能通信。,L2TP,（,Layer Two Tunneling Protocol,，第二层隧道协议）是基于,RFC,的隧道协议，该协议依赖于加密服务的,Internet,安全性（,IPSec,）。它允许客户通过其间的网络建立隧道，,L2TP,还支持信道认证，但它没有规定信道保护的方法。,IPSec,是由,IETF,（,Internet Engineer

21、ing Task Force,）定义的一套在网络层提供,IP,安全性的协议。主要用于确保网络层之间的安全通信。它使用,IPSec,协议集保护,IP,网和非,IP,网上的,L2TP,业务。在,IPSec,协议中，一旦,IPSec,通道建立，在通信双方网络层之上的所有协议（如,TCP,、,UDP,、,SNMP,、,HTTP,、,POP,等）就要经过加密，而不管这些通道构建时所采用的安全和加密方法如何。,7.3.4,架设,VPN,服务器,-,部署环境,在,VPN,服务器上安装两块网卡，一个网卡的,IP,地址与内部的局域网在同一网段，本例,IP,地址为,192.168.0.8,，子网掩码为,255.2

22、55.255.0,，连接到局域网内。另一个,IP,地址为公网的,IP,地址和子网掩码，必须专门申请，如,221.192.212.5,，子网掩码为,255.255.255.248,，通过专线或光纤连到,Internet,。,7.3.4,架设,VPN,服务器,选择此项,单击“开始”“所有程序”“管理工具”“,路由和远程访问,”管理控制台，弹出“路由和远程访问”窗口。,在“路由和远程访问”对话框中选中要安装,VPN,服务器名称，单击鼠标右键弹出右键菜单，选择“,配置并启用路由和远程访问,”项，弹出“路由和远程访问向导”对话框。,7.3.4,架设,VPN,服务器,7.3.4 架设VPN服务器,选择“,

23、远程访问（拨号或,VPN,）,”,选择“,VPN,”,选中,外网的网卡,选择对远程客户端指派,IP,地址的方法：建议指定地址范围,7.3.4,架设,VPN,服务器,单击“新建”按钮,选择起始和结束,IP,地址,7.3.4,架设,VPN,服务器,地址范围指定,由于没有安装认证服务器，故选择此项,7.3.4,架设,VPN,服务器,7.3.4 架设VPN服务器-设置远程访问端口数量,单击“开始”“所有程序”“管理工具”“路由和远程访问”，弹出“路由和远程访问”窗口，展开服务器名称。,端口是支持单个点对点连接的设备隧道。对于单一端口设备（如调制解调器），设备与端口不可区分。对于多端口设备，端口是设备的

24、一个部分，通过它可以进行一个单独的点对点通讯。,选中“端口”单击鼠标右键，弹出右键菜单，选择“属性”项，弹出属性”对话框。,单击“配置”按钮,7.3.4 架设VPN服务器-设置远程访问端口数量,单击“开始”“所有程序”“管理工具”“,Active Directory,用户和计算机”，弹出“,Active Directory,用户和计算机”窗口，在该窗口的左端选择“,Users”,，在右端的窗口中选择要远程访问,VPN,服务器的用户“,t08”,，单击鼠标右键弹出右键菜单。,7.3.4,架设,VPN,服务器,-,设置远程用户访问权限,选择“拨入”选项卡，在“,远程访问权限（拨入或,VPN,）,”

25、区域中，选中“允许访问（,W,）”单选按钮，单击“确定”按钮。这时就能够以“,t08”,用户在远程登录,VPN,服务器了。当然，如果想访问服务器资源，必须给“,t08”,用户相应权限，具体操作见第四单元。,7.3.4,架设,VPN,服务器,-,设置远程用户访问权限,7.3.4 架设VPN服务器-VPN服务器的停止与启动,7.3.5,设置,VPN,客户端,-,建立,ADSL,连接,在任何一台能够使用,ADSL,上网装有,Windows XP,系统的计算机上，依次打开“开始”“所有程序”“附件”“通讯”“新建连接向导”命令，打开“新建连接向导”对话框。,7.3.5,设置,VPN,客户端,-,建立,

26、ADSL,连接,7.3.5,设置,VPN,客户端,-,建立,ADSL,连接,7.3.5 设置VPN客户端-建立VPN拨号连接,单击“开始”“所有程序”“附件”“通讯”“新建连接向导”命令，打开“新建连接向导”对话框。,7.3.5,设置,VPN,客户端,-,建立,VPN,拨号连接,7.3.6 连接VPN服务器,安装成功后在桌面上双击“,VPN,连接”图标，会提示要连接,VPN,服务器必须首先连接,Internet,。,输入,ADSL,上网用户名和密码,输入,VPN,用户名和密码,7.3.7 断开VPN连接,断开,VPN,连接很简单，只需双击桌面上的“,VPN,连接”图标，弹出如图,12-38,所

27、示的“,VPN,连接状态”对话框，在“常规”选项卡中单击“断开”按钮，即可断开客户机与,VPN,服务器的连接。同时就断开了,Internet,连接。,7.4 IP,路由选择,规划路由服务器连接两个网段实例,7.4 IP,路由选择,查看路由表信息,7.4.1,设置,RIP,路由,RIP,（,Routing Information Protocol,）是一种内部网关协议，适用于小型网络，是典型的距离向量协议。,运行“,路由和远程访问,”管理控制台，展开“,IP,路由选择,”子树，鼠标右击“常规”，选择“新增路由协议”选项，在“路由协议”列表中选中“用于,Internet,协议的,RIP,版本,2”

28、7.4.1,设置,RIP,路由,在“接口”列表框中选择第一个网络接口，如“本地连接,-,外”，单击“确定”按钮，显示“,RIP,属性”对话框。,RIP,的属性取系统默认值即可，单击“确定”按钮返回。,重复上述操作，为,RIP,添加第二个网络接口，即“本地连接,-,内”。,配置了动态路由协议后，子网,A,、子网,B,和外网,Internet,可以实现自由互访。,RIP,协议实现了路由设备之间路由表的动态交换与更新。,7.4.2,设置,OSPF,路由器,OSPF,（,Open Shortest Path First,）也是一个内部网关协议，用于在单一自治系统内决策路由。与,RIP,相对，,OSPF,是链路状态路由协议。,运行“路由和远程访问”管理控制台，选择“,IP,路由选择”子目录树，右击“常规”选项，选择“新增路由协议”选项，弹出“新路由协议”对话框，在“路由协议”列表中选中“开放式最短路径优先（,OSPF,）”，,7.4.2,设置,OSPF,路由器,添加,OSPF,路由访问协议,7.4.2,设置,OSPF,路由器,OSPF,常规属性设置,OSPF,地区属性设置,7.4.2,设置,OSPF,路由器,OSPF,虚拟接口配置 “,OSPF,虚拟接口配置”对话框,7.4.2,设置,OSPF,路由器,配置接口属性 配置接口,NBMA,属性对话框,