专题十四 配置路由和远程访问
DESCRIPTION
专题十四 配置路由和远程访问. 软路由. 虚拟专用网( VPN ). 学习要点. NAT 与基本防火墙. 14.1 软路由. 路由器可分为硬件路由器和软件路由器。 Windows Server 2003 的 “ 路由和远程访问 ” 是全功能的软件路由器。运行 Windows Server 2003 家族成员以及提供 LAN 及 WAN 路由服务的 “ 路由和远程访问 ” 服务的计算机,称作运行 “ 路由和远程访问 ” 的服务器。. 软路由的设置. 要求: 安装多个网卡,每个网卡再配以不同的 IP 地址及子网掩码 - PowerPoint PPT PresentationTRANSCRIPT
专题十四 配置路由和远程访问
学习要点
软路由
虚拟专用网( VPN )
NAT 与基本防火墙
14.1 软路由•路由器可分为硬件路由器和软件路由器。• Windows Server 2003 的“路由和远程访问”是全功能的软件路由器。运行 Windows Server 2003 家族成员以及提供 LAN 及 WAN 路由服务的“路由和远程访问”服务的计算机,称作运行“路由和远程访问”的服务器。
软路由的设置• 要求:
– 安装多个网卡,每个网卡再配以不同的 IP 地址及子网掩码
– 操作系统是 Windows 2000 以上版本,并启动路由和远程访问服务
• 特点:– 多宿主路由器还可以运行应用程序
在 Windows 下实现软路由
子网 1
服务器
客户机
子网 2
服务器
客户机
网卡 1网卡 1 网卡 2网卡 2多宿主计算机多宿主计算机多宿主计算机多宿主计算机
基本概念 •路由技术由两项基本活动组成 :
–决定最优路径,即路径选择–传输信息单元,即数据交换
•路由算法用来计算和确定到达目的地的最优路径
•路由器内部有一个路由表,这个表标明了如何到达某个地方
路由表1 、路由表的作用: 路由器利用存储在路由表的数据来确定如何转发数据包。路由表数据包含路由器连接到的所有网络段的 IP 信息。
2 、显示 IP 路由表 每一个运行 TCP/IP 的计算机都要进行由路由表控制的路由决策。路由表以计算机当前的 TCP/IP 配置为基础自动生成。
检查路由表( 1 ) • 使用 route print 命令可以列出本机路由表
– C:\>route print– ========================================================– Interface List– 0x1 ........................... MS TCP Loopback interface– 0x1000003 ...00 90 27 16 84 10 ...... Intel(R) PRO PCI Adapter– ========================================================– Active Routes:– Network Destination Netmask Gateway Interface Metric– 0.0.0.0 0.0.0.0 192.168.1.200 192.168.1.201 1– 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1– 192.168.0.0 255.255.248.0 192.168.1.201 192.168.1.201 1– 192.168.1.201 255.255.255.255 127.0.0.1 127.0.0.1 1 – 192.168.1.255 255.255.255.255 192.168.1.201 192.168.1.201 1– 224.0.0.0 224.0.0.0 192.168.1.201 192.168.1.201 1– 255.255.255.255 255.255.255.255 192.168.1.201 192.168.1.201 1– Default Gateway: 192.168.1.200– ========================================================– Persistent Routes:– None
检查路由表( 2 )
默认的路由表条目• 0.0.0.0 :默认路由,代表没有被指定其他路由的 IP 地址
• 127.0.0.0 :本地回送地址• 224.0.0.0 : IP 多点传送地址• 255.255.255.255 : IP 广播地址
启用 Windows Server 2003 路由
添加静态路由( 1 )• 1. 利用“路由和远程访问”
添加静态路由( 2 )2. 利用“ route add” 命令• route add 192.168.23.0 mask 255.255.2
55.0 192.168.25.200 metric 5 if 0x10004
• route –p add 192.168.23.0 mask 255.255.255.0 192.168.25.200 metric 5 if 0x10004
手工维护路由表• Route print• Route print 192*• Route add :• Route delete :
筛选进出路由器的数据包 • Windows Server 2003 路由器支持数据包过滤的功能,它可以让我们设置过滤规则,以便决定哪一类的数据包可以通过路由器来传送,还可提高网络的安全性。
• 数据包过滤功能是防火墙( firewall )的基本功能之一
• 路由器的每一个网络接口都可以用于设置过滤数据包
路由接口路由接口是一个物理接口或逻辑接口,通过他可以转发 IP数据包。路由接口有三种类型:1、 LAN接口: 代表一个局域网连接(如:以太网、令牌环网),该连接利用 LAN技术。 LAN接口表示一个已经安装好的网络适配器。LAN接口总是活动的,不需身份验证即可连接。2、按需拨号接口: 代表一个点对点连接,基于物理连接或逻辑连接。要求经过身份验证过程后才进入连接状态。3、 IP中的 IP隧道接口( IP in IP):代表一种隧道式的点对点连接。不要求经过身份验证即可成为连接的
配置路由接口(设置筛选规则)数据包筛选 IP ——数据包筛选 IP路由器提供允许或者不允许转发
某些特定类型的 IP数据流的能力。在 IP路由接口上配置筛选器 筛选器依据 IP、 TCP、 UDP和 ICMP报头中的关
键字进行筛选。1、选择接口 “IP ” “ ”路由选择 - 常规 -右击要添加筛选器的接口,单
“ ”击 属性2、指定输入或输出筛选器 决定将筛选器应用到进入的数据包或者外出的数据包
配置路由接口3、在 IP路由接口上配置筛选器设置值配置筛选器:( 1)标识出源网络: IP地址:源 IP网络 ID或源 IP地址 子网掩码:与源网络 ID相对应的子网掩码;或者为源 IP地址键入 255.255.255.255。( 2)标识出目的网络:( 3)选择协议
配置路由接口4、指定筛选器动作定义了一个筛选器后,选择筛选器动作:“ ”接收所有除符合下面条件以外的数据包 : 结果:接收除了指定的数据流以外的所有数据流。 用途:保护网络免受某些特定的威胁。 适用于:不需要高等级的安全时,使用这个设置值“ ”丢弃所有的包,满足下面条件的除外 : 结果:丢弃除了指定的数据流以外的所有数据流 适用于:需要高等级的安全时,使用这个设置值。
通信协议号与连接端口号• 在设置筛选器时,常用的 TCP 、 UDP 需要指定源端口号和目标端口号; ICMP 需要指定类型和代码;其余的必须指定通信协议号。
• 通信协议号• 常见服务的默认 TCP 、 UDP 端口号
动态路由•动态路由器可以自动更新路由表并把信息发送给它知道的其他动态路由器,减少了网络管理员的管理工作。
• Windows Server 2003 支持 RIP 和 OSPF 路由算法协议。
动态路由协议• RIP ( Routing Internet Protocol ):路由信息选择协议
– 距离向量路由协议,基于距离矢量算法的内部网关动态路由协议,通过判断数据包经过的跳数 ( 路由器 ) 来决定跨越最小的路由。
– 专用于中小型规模网络,动态维护路由表向其他的 RIP路由器周期性地发表声明。
优点 : 配置和部署非常简单;缺点 : 最大跃点计数是 15 跳,需要较多的恢复时间。
• RIP2 RIP 的改进版本– 增加了一个认证域,防止黑客进行 RIP攻击
– 路由项增加下一跳地址,可指定相邻路由器作为到特定目的的下一跳
– 支持多播
• OSPF(Open Shortest Path First)开放式最短路径优先– 链路状态路由协议,设计用于大型到特大型网络中交换路由选择信息。
– 优点:高效率,要求很小的网络开销;– 缺点:复杂性,难于配置和管理。
利用 RIP 协议实现动态路由• 在 Windows 计算机上添加 RIP 协议
– 路由和远程访问控制台常规新路由选择协议
RIP 协议工作原理
Router 1
子网 A子网 A
子网 B子网 B
子网 C子网 C
Router 1 Routing TableRouter 1 Routing TableRouter 1 Routing TableRouter 1 Routing Table
A, B, CA, B, C
Router 2
子网 B子网 B
子网 D子网 D
Router 2 Router 2 路由表路由表Router 2 Router 2 路由表路由表B, DB, D
Router 3
子网 C子网 C
Router 3 Router 3 路由表路由表Router 3 Router 3 路由表路由表 子网 E子网 E
C, EC, E
Router 2 Router 2 路由表路由表Router 2 Router 2 路由表路由表B, D, A (RIP), C (RIP), E (RIP)B, D, A (RIP), C (RIP), E (RIP)
Router 3 Router 3 路由表路由表Router 3 Router 3 路由表路由表C, E, A (RIP), B (RIP), D (RIP)C, E, A (RIP), B (RIP), D (RIP)
Router 1 Router 1 路由表路由表Router 1 Router 1 路由表路由表A, B, C, D (RIP)A, B, C, D (RIP)
Router 1 Router 1 路由表路由表Router 1 Router 1 路由表路由表A, B, C, D (RIP), E (RIP)A, B, C, D (RIP), E (RIP)
为 RIP 添加、配置接口1 、在计算机上添加支持 RIP 的接口: “常规”-右击“ RIP”-单击“新接口”-选中使
用 RIP 的接口2 、配置 RIP 接口:“常规”选项卡• 选择操作模式:
– 自动静态更新模式:– 周期性更新模式:
• 为 RIP声明配置协议:• 配置 RIP 接口的费用:——路由中继段的个数配置安全性:设置路由器接受和发出路由的范围“邻居”选项卡:为非广播网络配置 RIP
14.2 VPN 虚拟专用网• 14.2.1 VPN概述• 14.2.2 远程访问VPN服务器• **** L2TP VPN(参考)• 14.2.3 验证通信协议• 14.2.4 远程访问策略
14.2.1 VPN 概述• 虚拟专用网( VPN )是专用网络的延伸
• 通过 VPN 可以通过公共网络以模拟点对点的方式在两台计算机之间发送数据
VPN 概述•利用公共网络来构建的私人专用网络 •虚拟私有网络与传统所有网络的区别:
–对于广域网连接,传统方式是通过远程拨号和专线连接来实现的。
– VPN 是利用服务提供商所提供的公共网络来实现远程的广域连接。
VPN 概述
Windows VPN 服务器
Internet 适配器
Intranet 适配器
公司内部网络
VPN 远程访问客户机
InternetInternet
隧道隧道
VPNVPN 数据传输协议及工作原理数据传输协议及工作原理
VPN 概述 • VPN 通过 Internet 而不是通过直接的拨号连接,来提供安全的远程访问。
实现: VPN 客户机利用专用网络上的一个 VPN 网关,采用 IP互联网来创建加密的、虚拟的、点对点的连接。用户连接到互联网,然后创建一个到 VPN 网关的 VPN 连接。
功能:降低了用户的长途电话费用,不用再建立他们自己的基础结构。出差的雇员可以拨号到当地的 ISP ,然后创建一个到该公司网络的 VPN 连接。
VPN 与拨号的区别: VPN 是逻辑的、非直接的连接。
VPN 的特点• VPN 是指在公共网络(通常为 Internet 中)建立一个虚拟
的、专用的网络,是 Internet 与 Intranet 之间的专用通道,为企业提供一个高安全、高性能、简便易用的环境。它具有以下特点:
( 1)费用低廉( 2)安全性高( 3)支持最常用的网络协议( 4)有利于 IP地址安全( 5)网络构架弹性大( 6)管理方便灵活( 7)完全控制主动权
VPN 应用场合
一般来说, VPN 使用在以下两种场合:( 1)远程客户端通过 VPN 连接到局域网
( 2)两个局域网通过 VPN互联
VPN 协议 •在 Windows Server 2003 中有两种基于点对点协议 PPP 的 VPN 技术:–点对点隧道协议 (PPTP)–第二层隧道协议 L2TP
14.2.2 远程访问 VPN 服务器• VPN 服务器需要有两个网络接口 ,如果 VPN服务器是利用固定连接式的 ADSL来连接 Internet ,则其需要有两个网卡,一个连接ATU-R (也就是 ADSL 调制解调器),另一个是用来连接局域网。
架设 VPN 服务器三步走:•服务器端配置
–启用 VPN 服务– VPN 协议: PPTP 、 L2TP/IPSec–配置 VPN拨入端口
•设置远程拨入用户•客户端配置
服务器端:启用远程访问服务(以 PPTP为例)
验证VPN服务器
配置 VPN拨入端口
配置用户拨入设置
客户端配置• 创建 VPN 虚拟专用网络连接
客户端建立 VPN 连接• 客户端建立VPN连接• 设置拨号用户
L2TP VPN
• WindowsServer2003 的 L2TP/IPSec支持两种方法:1.证书
“ L2TP/IPSec- 使用证书”分为 2大步骤:一是向 CA申请 IPSec 证书,二是 VPN 客户端与 VPN 服务器建立 L2TP/IPSec VPN
2.域共享密钥利用“预共享密钥”来验证计算机身份的 L2TP/IPSec VPN ,在 VPN 客户端与 VPN 服务器两端都要事先设置相同的共享密钥。使用“预共享密钥”的好处是不需要向 CA申请证书,设置简单,不过它的安全性比用 IPSec 证书的方式差。
14.2.3 验证通信协议• Windows Server 2003 支持用来验证用户身份的验证通信
协议有:( 1) PAP ( Password Authentication Protoco1 )( 2) SPAP ( Shiva Password Authentication Protoco
1 )( 3) CHAP ( Challenge Handshake Authentication Prot
oc01 )( 4) MS-CHAP ( Microsoft Challenge Handshake Authen
tication Protoco1 )( 5) MS-CHAP version 2( 6) EAP ( Extended Authemieation Protoco1 )
14.2.4 远程访问策略• “路由和远程访问”访问使用远程访问策略来确定是接受
连接尝试还是拒绝连接尝试。• 远程访问策略是一组条件和连接设置,使网络管理员在授予远程访问权限时,更具灵活性。
• 远程访问策略存放在远程访问服务器上,而没有存放在活动目录中。
• Windows Server 2003 内建有 2个远程访问策略
远程访问策略的基本要素1 、条件:远程访问策略是一系列参数,例如:用户的连接时间、所属的用户组、 IP地址等,这些参数与连接到服务器的客户机的参数项匹配。
2、权限:• 指远程用户的“授予远程访问权限”或“拒绝远程访问权限”的拨入权限。
• 远程访问策略中的权限与用户属性中的拨入权限协同配置。3、配置文件:指应用到此访问连接上的一系列的限制和配置。
包含如下设置值:拨入限制、 IP、多链路、身份验证、加密、高级
远程访问策略的实施过程连接尝试是否
与策略的条件匹配
否拒绝连接尝试
用户帐号的远程访问许可是否被设置为拒绝访问
否
是
是
拒绝连接尝试
用户帐号的远程访问许可是否被设置为允许访问
策略的远程访问许可是否被设置为禁止访问
否 是
是 否
拒绝连接尝试
连接尝试是否与配置文件的参数匹配
否拒绝连接尝试
接受连接尝试
默认的远程访问策略介绍• 如果没有其他策略,则默认策略对所有用户生效。
• 默认策略的配置–条件设置为所有时间和所有日期 –权限设置为“拒绝远程访问权限” –配置文件设置为默认值
• 注:没有策略时,无论用户的设置如何,都无法远程访问网络
新建远程访问策略• 在用户的拨入属性中,设置远程访问权限为“通过远程访问策略控制访问”
14.3 NAT 与基本防火墙• 网络地址转换器 NAT ( Network Address Translator )位于使用专用地址的 Intranet 和使用公用地址的 Internet 之间。–从 Intranet 传出的数据包由 NAT将它们的专用地址转换为公用地址。
–从 Internet 传入的数据包由 NAT将它们的公用地址转换为专用地址。
NAT 的工作过程( 1 )
NAT 的工作过程( 2 )Client ComputersClient Computers
IP = 192.168.0.2
IP = 192.168.0.3
IP = 192.168.0.4
Computer Running NATInternal IP = 192.168.0.1External IP = 202.162.4.1
1. 客户机发出一个数据包到运行 NAT 的计算机
4. NAT 计算机再次替换信息包的标题,并把该消息包发送给客户机。
2. 运行 NAT 的计算机将从内部客户机接收到的信息包的标题替换成自己的端口号和外部的 IP 地址,发给 Internet 上目的主机。
3. Web 主机将回答信息发送给运行 NAT 的计算机
Internet
Web ServerIP = 202.202.163.1
NAT 的工作过程( 3 )• NAT 工作过程中的两次地址转换:
– 对于来自 NAT 协议的传出数据包,源 IP地址 (专用地址 )被映射到 ISP分配的地址 ( 公用地址 ),并且 TCP/UDP 端口号也会被映射到不同的 TCP/UDP 端口号。
– 对于到 NAT 协议的传入数据包,目标 IP地址 ( 公用地址 )被映射到源 Internet 地址 (专用地址 ),并且 TCP/UDP 端口号被重新映射回源 TCP/UDP 端口号。
NAT适用情况•企业对 Internet 访问和外部对私有网络的访问受到限制
•私有网络是由任意数量的客户组成•私有网络上的计算机使用私有地址
配置启用 NAT 的计算机 •配置启用 NAT 的计算机
–安装 NAT——“常规 \ 新路由选择协议”–配置 NAT——“NAT属性页”–配置 NAT 路由接口——“ NAT \ 新接口”
安装 NAT
配置 NAT 路由器接口
NAT客户端设置两种设置方式:( 1)自动获得 TCP/IP 此时客户端会自动向 NAT 服务器或 DHCP 服务器来索取 IP 地址、默认网关、 DNS 服务器的 IP地址等设置。
( 2)手工设置 TCP/IP– 客户端的 IP地址与 NAT局域网接口的 IP地址的网络号必须相同;
– 默认网关必须设置为 NAT局域网接口的 IP地址;– 首选 DNS 服务器可以设置为 NAT局域网接口的 IP地址或是任何一台合法的 DNS 服务器的 IP地址。
DHCP分配器
DNS 代理
内部网络的开放与防火墙 • NAT 网络接口与防火墙•端口映射•地址映射
NAT 与路由的比较 • NAT 可将大量未注册的网络内部的专用地址转换为个别的公用地址,降低了网络成本。
• NAT 提供了路由所不支持的网络安全性。 • 因为要进行地址转换,所以 NAT 要比路由占用更多的网络资源,并且不是支持所有的协议。
NAT 与代理服务器 •二者都提供地址转换功能且提供网络的安全性。
•代理服务器需配置端口,且提供对客户访问数据的缓存功能。
NAT 与 Internet共享• NAT 与 Internet 共享功能相同,只是 Internet 共享的配置简单。
• Internet 共享只适用于小型的网络。需要固定的内部 IP 地址、只能使用一个公用 IP地址,只允许单个内部网络接口。
本章小结• 软路由
– 路由表– 静态路由– 动态路由– 筛选器
• VPN
– 概述– PPTP
– L2TP (证书、域共享密钥)– 远程访问策略