第3章 局域网互连 3.1 网络互连的层次 3.2 网络互连的设备 3.3 实例教学 3.4 VLAN路由配置 3.5 VPN互连远程局域网
网络互连设备是网络硬件平台中最关键的部分。通常,我们将网络互连设备称为网络设备,足见其在网络中的重要性。本章将对各层互连设备的工作原理作一简单介绍,对于各种产品的性能指标以及系统集成时设备的选型知识,限于篇幅,这里不作详细介绍。
3.1网络互连的层次 网络协议是分层的,那么网络互连也一定存在着互连层次的问题。根据网络层次的结构模型,网络互连的层次可以分为:
1.物理层互连 物理层互连的设备是中继器和集线器(HUB),负责在两个节点的物理层上按位传递信息,完成对信号的再生和放大,以此来延长网络的长度。
2.数据链路层互连 数据链路层互连的设备是网桥。网桥在网络互连中起到数据接收、地址过滤与数据转发的作用,它用来实现多个网络系统之间的数据交换。用网桥实现数据链路层互连时,允许互联网络的数据链路层与物理层协议是相同的,也可以使不同的。
3.网络层互连 网络层互连的设备是路由器(Router)。网络层互连主要是解决路由选择、拥塞控制、差错处理与分段技术等问题。如果网络层协议相同,则互连主要解决路由选择问题。如果网络层协议不同,则需要使用多协议路由器。用路由器实现网络互连时,允许网互连络的网络层级以下各层协议是不同的。
4.高层互连 传输层及以上各层协议不同的网络之间的互连属于高层互连。实现高层互连的设备是网关(Gateway)。高层互连使用的网关很多是应用层网关,通常简称为应用网关。如果使用应用网关来实现两个网络高层互连,那么允许两个网络的应用层及以下各层网络协议是不同的。
在网络系统集成技术中,我们常常遇到“互连”、“互通”与“互操作”这三个术语。互连是指两个物理网络之间至少有一条在物理上连接的线路;互通仅仅涉及通信的两台计算机之间的端到端的连接与数据交换;互操作是指网络中不同计算机系统之间具有透明地访问对方资源的能力。因此,互连、互通、互操作表示了三层涵义。互连是基础,互通是手段,互操作则是网络互连的目的。
3.2网络互连的设备 3.2.1中继器(Repeater) 中继器是连接网络线路的一种装置,常用于两个网络节点之间物理信号的双向转发工作。中继器是最简单的网络互连设备,主要完成物理层的功能,负责在两个节点的物理层上按位传递信息,完成信号的复制、调整和放大功能,以此来延长网络的长度。
物理层 数据链路层 网络层 传输层 会话层 表示层 应用层 中继器 OSI/RM上的中继器
3.2.2集线器(Hub) 集线器是中继器的一种形式,区别在于集线器能够提供多端口服务,也称为多口中继器。集线器在OSI/RM中的位置和中继器在 OSI/RM中的位置相同。 A B C D 所有设备共享相同的带宽
接入设备越多冲突机率越大 用CSMA/CD技术
3.2.3 网桥和交换机运行在链路层 数据链路层 1 2 3 4
物理层 数据链路层 网络层 传输层 会话层 表示层 应用层 网桥 OSI/RM上的网桥 数链层
一个典型的网桥是包括具有CPU、存储器和两个网络接口的计算机。网桥最有用的功能是帧过滤,在需要时网桥才转发帧。 缓冲区 每段有自己的冲突域 广播信息向所有段转发
Bridge LANA LANB 104.Data 201 202 103 104 网桥工作原理示意
3.2.5 路由器:运行在网络层 局域网互连 广域网互连
物理层 数据链路层 网络层 传输层 会话层 表示层 应用层 路由器 OSI/RM上的路由器 数链层
101 104 LANA LANC LANB C.104 Data Router 用路由器实现局域网互连的结构
3.2.5网关Gateway 1.网关的基本概念 很常见的一种情况是一个NetWare Client节点要与Linux网中的一台主机Mainframe通信。在这种情况下,由于NetWare与Linux的高层网络协议是不同的,局域网LAN中的NetWareClient不能直接访问Linux网中的大型机。如果二者要进行通信,就必须使用一种叫做Gateway的互连设备,它可以完成不同网络协议之间的转换。
NetWare Client与Mainframe通过Gateway互连结构 Linux network LAN NetWare Client与Mainframe通过Gateway互连结构
2.网关的基本类型 网关通过使用适当的硬件与软件,来实现不同网络协议之间的转换功能。硬件提供不同网络的接口,软件实现不同的互连网协议之间的转换。
①直接将输入网络信息包的格式转换成输出网络信息包的格式 网1 网间 网间 网2 网 关 网 2 网 1 网关实现协议转换的方法主要有两种: ①直接将输入网络信息包的格式转换成输出网络信息包的格式 ②将输入网络信息包的格式转换成一种统一的标准网间信息包的格式
What Is Routing? To route, a router needs to do the following: Know the destination address Identify the sources it can learn from Discover possible routes Select the best route Maintain and verify routing information Slide 1 of 2 Purpose: This figure introduces students to routing. The router must accomplish the items listed in the figure for routing to occur. Emphasize: Path determination occurs at Layer 3, the network layer. The path determination function enables a router to evaluate the available paths to a destination and to establish the best path. Routing services use network topology information when evaluating network paths. This information can be configured by the network administrator (static routes) or collected through dynamic processes (routing protocols) running in the network. Transition: How do you represent the path to the packet’s destination?
What Is Routing? (Cont.) Slide 2 of 2 Purpose: This figure explains that routers must learn about paths that are not directly connected. Emphasize: The router already knows about directly connected networks. It must learn about those networks that are not connected. This chapter describes how routers learn about those paths. Routers must learn destinations that are not directly connected.
What Is a Routing Protocol? Routing protocols are used between routers to determine paths and maintain routing tables. Once the path is determined, a router can route a routed protocol. Purpose: This figure introduces students to routing protocols and compares routing protocols to routed protocols. Emphasize: If network 10.120.2.0 wants to know about network 172.16.2.0, it must learn it from its S0 (or possibly S1) interface. Note: The two routing protocols that will be taught in this course are RIP and IGRP. They are both distance vector routing protocols.
3.3 实例教学 在园区网中,常用的互连设备有路由器以及三层交换机。 在实验室环境下,通常用多网卡服务器模拟路由器,这种拿软件实现的路由称为软路由。
3.3.1选用何种路由——静态路由 对某一台路由器来讲,如果非直连网段不是很多,并且整个网络拓扑结构基本无变化,为减少路由信息包占用网络带宽,就可以用静态路由一一指定去往所有非直连网段的路由。 当然也可以用汇总路由减少路由条目。
Static Routes Purpose: This figure describes how a static route operates. Emphasize: For intercommunication, static routes must be configured in both directions. Static routes are often used to route traffic to a stub network or other network where only a single route to that network exists. Configure unidirectional static routes to and from a stub network to allow communications to occur.
Static Route Example Purpose: This figure gives an example of a static route configuration. This is a unidirectional route. You must have a route configured in the opposite direction.
默认路由 路由器采用最长前缀匹配的方法寻找最详细的路由条目,如果没有找到,则发给默认路由条目指向的下一跳地址。 也就是说,默认路由条目是路由器的最后选择。当几乎所有的网段(如访问Internet)都是从一个出口出去时,默认路由是最合适的,甚至是必须的。 默认路由是静态路由的特例。
Default Routes Purpose: This figure gives an example of a default route configuration. Emphasize: With an address and subnet mask of 0.0.0.0 0.0.0.0 in the ip route statement, packets for any network not listed in the routing table will be sent to the next hop, 172.16.2.2. This route allows the stub network to reach all known networks beyond router A.
动态路由 对某一台路由器来讲,如果非直连网段很多,而且网络拓扑结构复杂并且经常性变化,在这种情况下,用静态路由是很难描述的,并且很难做到最优,也无法适应网络拓扑结构的变化,因此,使用动态路由是合适的,有时是必须的。
3.3.2 路由的配置 对于两个直连网段来讲,只需要启动路由就可以了。 对于非直连网段,不仅要启动路由,还要通过静态或动态的方法让路由器了解到如何到达非直连网段。
两个直连网段
第一步,首先要明白,路由器既然是不同网段之间的存储转发设备,则其必定有多个网络接口,也就是说,其必然要安装多块网卡,才能在多个网段之间起到“桥梁”的作用,而且路由器工作在TCP/IP的网络环境中,每一块网卡都要绑定各自独立的IP地址。在本实例中,我们要连接两个网段,则必须在Windows 2000 Server中安装两块网卡,并给每块网卡安装TCP/IP协议。给每一块网卡绑定IP地址,一块做为work1的网络接口,绑定10.0.0.1,另一块网卡做为work2的网络接口,绑定192.168.0.1(注意:“本地连接”对应第一块网卡,“本地连接2”对应第二块网卡,不要弄混)。
【注意】对于多网卡服务器来讲,建议每一块网卡的默认网关都不设置。并不表示不能设置,而是作为一种良好的习惯不去设置,对于单网卡主机来讲,默认网关是否设置要视该主机是否要访问其他网段。
第二步,启动路由。单击“开始”|“程序”|“管理工具”|“路由和远程访问”,打开路由和远程访问管理器,会见到以此台计算机名命名的服务器图标。选中该服务器,单击鼠标右键,选择“配置并启用路由和远程访问”,随后就会出现“路由和远程访问服务器安装向导”,按照提示一步一步做下去,在“公共设置”中选择“网络路由器”,接着就会选择路由的协议,协议框内至少应保证有TCP/IP,选中它,然后是“请求拨号连接”,当出现“您想请求拨号访问远程网络吗?”时,因为是配置本地的静态路由,所以选择“否”,最后单击“完成”,路由服务安装完毕。
启动路由服务后,可以看到“路由接口”的子项“内部”,“环回”,“本地连接”,“本地连接2”的状态均为“已启用”,连接状态均为“已连接上”,其中“本地连接”,“本地连接2”的“设备名”就是我们的网卡型号,证明这两个接口可以用来连接局域网中的两个网段。在“IP路由选择”的“常规”子项中给出了这两个接口分别各自所属的子网以及他们各自的流量统计。
在两网段其他计算机的Windows 2000系统中,配置TCP/IP协议如下,第一个网段要添加的网关为10 此时,路由器已初步发挥作用,可用来连接10.0.0.2-10.0.0.5与192.168.0.2-192.168.0.5两个不同网段。我们必须进行测试,具体方法为在第一网段内任选一台计算机发送数据包至第二网段内任一台计算机,在DOS命令下键入ping 192.168.0.2,如果丢包率为0%,则证明两网段连通,否则配置上存在问题。
两个非直连网段
一、静态路由配置 图示是某一个局域网通过广域网线路与异地的另一个局域网相连,出于实验方面的考虑,我们假设局域网之间是以太网连接。
为了进一步简化网络拓扑,使得所需的计算机台数和网卡数量尽可能少,我们巧妙地用Microsoft Loopback Adapter虚拟网卡来模拟真实的网卡,这样使得实验环境大为简单,但实验效果丝毫不减(注:还是有区别的。主要区别在于当在A上要ping通172.16.2.0网段时,需要在A上设置指向该网段的静态路由条目,同时B上启动路由。当在B上要ping通172.16.1.0网段时,需要在B上设置指向该网段的静态路由条目,同时A上启动路由。然而在4台计算机组成的完整环境中,要在C上ping通D,则一次性可以说明A和B上的路由配置都是正确的,而简化环境只能说明一半),如图所示为简化后模型。
【指导】Loopback地址是应用最为广泛的一种虚拟接口,一般Down不掉,因此,有一些特殊的用途,几乎在每台路由器上都会使用。在本书中,我们巧妙的利用Loopback地址来模拟网段,大大节省了实验所需计算机的数量。 实验简化环境(虚拟网卡模拟)
1.虚拟网卡 进入“控制面板”选择“添加/删除硬件”,选择一个硬设备中选择“添加新设备”,查找新硬件中选择“否,我想从列表中选择硬件”,从硬件类型列表中选择“网卡”,在选择网卡中找到制造商“Microsoft”,从右侧选中“Microsoft Loopback Adapter”,如图所示,然后默认下一步,完成即可。
添加虚拟网卡
这样,虚拟网卡就添加完成了,虚拟网卡和真实网卡在配置上完全相同,但由于虚拟网卡没有物理存在,因此,它不可能用来与其他的网卡或设备相连,只能用来模拟网段,因此只在实验中会用到,在实际的网络配置中使用虚拟网卡是没有丝毫意义的。 添加了虚拟网卡之后,原来的单网卡计算机就成为了多网卡计算机,当启动软路由之后就成了一台软路由器。 【注意】虚拟网卡可以添加多个,每一块都可以模拟一个独立的网段,由于虚拟网卡的特殊性,在TCP/IP协议配置中不需要设置“默认网关”。
2.静态路由 显然在网络中,网段172.16.2.0/24与服务器A非直连,因此,在A上必须设置一条静态路由条目使其指向该网段,同样,网段172.16.1.0/24与服务器B非直连,因此,在B上也必须设置一条静态路由条目使其指向该网段。 静态路由配置接口可以描述为:要到达哪一个目标网络(目标和子网掩码),应该从本路由器的哪一个口(接口,填写接口名称)出去,即将进入相邻路由器的哪个接口(网关,填写该接口的IP地址),中间要经过几个路由器(跃点数)。
首先在服务器A和B上启动路由,在“公共设置”中选择“网络路由器”。添加静态路由时,有几个参数需要搞清楚。首先是接口,接口是针对本路由器而言的,意即数据包要达到目的地从本路由器的哪个接口出去,目标是要达到网段的网络地址,网络掩码是和目标关联的,因为有了子网划分和构造超网以后,目标可以不是标准的A类、B类或C类网络。网关是与接口相对的下一跳路由器的IP地址,跃点数是指从本路由器到达目标网络中间经过的路由器数目。跃点数是用来评价路由优劣的,如果到达目标网络只有一条路径,跃点数可以缺省为1,但对于到达目标网络有多条路径的情况,跃点数不能再缺省为1了,必须设置一个正确的值,路由器将优先选择跃点数最小的路径。
A上的路由配置 B上的路由配置
3.默认路由配置 实际上,当在A上ping B时,A就相当于一台主机,虚拟网卡可认为不存在,此时,要么设置一条指向B上虚拟网卡所在网段的静态路由条目,要么把A当主机给它设置一条默认路由。因此,上述静态路由可以改成下面的默认路由条目,如图所示,可以实现同样的功能。默认路由实际上也属于静态路由,只不过目标和网络掩码比较特殊,为全0。
默认路由配置
值得注意的是,在网络配置过程中,建议不要轻易使用默认路由,能用静态路由的就用静态路由,当无法用静态路由实现时,再使用默认路由,如该路由器需要指向Internet。
如果用扩展ping命令,将源地址指定为A上的虚拟网卡IP地址,则在A上ping B就可以一次性测试A、B上的路由配置是否正确,否则还要在B上ping A才能测试A上的路由配置是否正确。注意:目标是一个网络地址,而不是一个具体的IP地址,接口是一个名称,而不是一个IP地址。 【指导】在windows 2000路由配置实验中,检查路由配置状况的最常用的命令是route print命令,它显示当前正在运行的完整的路由表;为了重新生成路由表,需要将旧的路由条目在不重启计算机的情况下删除,使用命令route delete,它可用于删除一条或全部路由条目。
4.动态路由配置 我们已经学会了静态路由的使用,但是当局域网的拓扑结构复杂时,配置静态路由是非常麻烦的,而且不能自动更新路由表,动态路由选择协议可以很好解决这个问题。RRAS支持注意RIP和OSPF最具代表性的动态路由选择协议,通常情况下,在中小型网络中建议选择RIP协议,在大型网络中则选择OSPF协议。下面以RIP协议为例讲述动态路由协议的配置方法。
搭建实验环境,其中的2台计算机均安装Windows 2000 Server以及RRAS服务,计算机B中安装两块网卡,按图中所示设置格块网卡的IP地址,切忌在路由配置中设置默认网关,如果配置不当,会造成路由。 注意:在自行搭建实验环境时,必须保证同一台计算机的两块网卡分别处于不同的网段,同时整个网络中的所有网段不允许重复,比如,不能出现两个192.168.1.0/24网段,可以不是标准的A、B、C类网段,可以进行子网划分后使用子网。
1)在“路由和远程访问”窗口中,打开左侧目录树“IP路由选择”,右击“常规”,并在快捷菜单中选择“新路由选择协议”,显示“新路由选择协议”对话框。
2)在“路由选择协议”列表中选中“用于Internet协议的RIP版本2”,并单击“确定”按钮。
3)在左侧目录树中右击RIP,并在快捷菜单中选择“新接口”,显示“用于Internet协议的RIP版本2的新接口”对话框,如图所示。
4)在“接口”列表框中选择第一个网络接口,即B1,单击“确定”按钮,显示“RIP属性”对话框,如图所示。RIP属性有4个选项,完全默认即可,在实际环境中根据网络拓扑结构以及安全性的要求,还可以对某些选项进行配置。
5)重复以上(3)和(4)的操作步骤,为RIP添加第二个网络接口,即B2。 按照同样的方法,在其他的多网卡服务器上添加RIP协议,并把所有的接口添加到RIP协议中,经过短暂的时间以后,服务器之间通过RIP协议就会学到到达非直连网段的路由。 建议在配置动态路由时,不要同时配置静态路由,以免混乱。
在A计算机上ping 172. 16. 2. 1,在B计算机上ping 172. 16. 1 在A计算机上ping 172.16.2. 1,在B计算机上ping 172.16.1.1,如果都能够ping通,则实验成功,也就是服务器之间通过RIP协议的确学习到了到达非直连网段的路由条目。 通过route print命令可以查看路由表,该命令可以帮助我们进行故障诊断,在路由配置中非常有用。
【注意】 (1)安装网卡时,要在计算机关闭状态下进行,因为计算机不支持网卡的热插拔。 (2)计算机充当路由器时,为避免混乱,默认网关最好不要在TCP/IP协议中设置,而统一采用添加静态路由条目的方式设置。 (3)实验过程中,要注意必要时重新启用网卡以使新的设置生效。
3.4 VLAN路由配置 VLAN之间的路由有3种常用的方法,一种是通过软件实现软路由;一种是通过外部路由器实现多臂或单臂路由,在园区网中,最为常用的是通过三层交换机实现VLAN之间的高速路由。
VLAN的默认设置是VLAN之间不允许通信,要想实现VLAN 间的通信,必须使用路由器,但是路由器是三层设备,不仅涉及到硬件设计还有其中的软件设计,因此价格昂贵,而且路由器要把每一个数据包的目的地址与自己的路由表项对比来决定数据包的去向,处理速度十分缓慢(相对于LAN的速度来说)。要在大型的网络核心里使用路由器来进行VLAN的数据交换会使整个网络的效率大打折扣,于是人们将交换机的快速交换能力和路由器的路由寻址能力结合起来,出现了三层交换的概念。
第三层交换工作在OSI七层网络模型中的第三层即网络层,是利用第三层协议中的IP包的包头信息来对后续数据业务流进行标记,具有同一标记的业务流的后续报文被交换到第二层数据链路层,从而打通源IP地址和目的IP地址之间的一条通路。这条通路经过第二层链路层。有了这条通路,三层交换机就没有必要每次将接收到的数据包进行拆包来判断路由,而是直接将数据包进行转发,将数据流进行交换。
三层交换与路由的最大区别在于:路由要对每一个数据包进行路由转发,而三层交换只对每次通信的握手连接进行路由查找,对真正的用户数据只进行二层转发,速度快了很多。三层交换机既然具有路由能力,也就支持常用的路由协议,如静态路由、RIP、OSPF等,可以把三层交换机做为纯粹的多以太网端口路由器使用。另外,三层交换机中的软件与路由器中的也大不相同,只是保留了部分对LAN有用处的功能,如访问控制列表,省略掉了很多控制功能,路由效率大大提高。 【思考】在没有路由设备的时候,如何让交换机上两个不同VLAN端口的计算机可以相互访问?用交叉线连起来。
VLAN之间的路由可以认为是不同网段之间的路由,因此,从原理上讲,凡是具有路由功能的软硬件设备均可担任VLAN之间的互连任务。Windows 2000 Server的RRAS服务组件可以很好的实现不同VLAN之间的路由,只不过受性能和PCI插槽的限制,一般只在实验条件或临时使用一下,不作为园区网VLAN互连的解决方案。实际在工程中常用的是下面的两种解决方案:三层交换和单臂路由。
3.4.1 三层交换 以Cisco Catalyst 3550为例讲述三层交换的配置方法。Catalyst 3550系列智能化以太网交换机是一个新型的、可堆叠的、多层企业级交换机系列,可以提供高水平的可用性、可扩展性、安全性和控制能力,从而提高网络的运行效率。因为具有多种快速以太网和千兆以太网配置,因此Catalyst 3550系列既可以作为一个功能强大的接入层交换机,用于中型企业的布线室;也可以作为一个骨干网交换机,用于中型网络。
三层交换拓扑结构
配置如下: switch>enable switch#config term switch (config)#hostname C3550 C3550(config)#enable secret cisco C3550(config)#vlan 2 C3550(config-vlan)#name Teaching C3550(config-vlan)#vlan 3 C3550(config-vlan)#name Finance C3550(config-vlan)#vlan 4 C3550(config-vlan)#name Research C3550(config-vlan)#exit C3550(config)#interface range f0/1 - 4
C3550(config-if)#switchport mode access C3550(config-if)#switchport access vlan 2 C3550(config-if)#interface range f0/5 - 8 C3550(config-if)#switchport access vlan 3 C3550(config-if)#interface range f0/9 - 12 C3550(config-if)#switchport access vlan 4 C3550(config-if)#exit C3550(config)#interface vlan 2 C3550(config-if)#no shutdown C3550(config-if)#ip address 192.168.2.254 255.255.255.0
C3550(config-if)#interface vlan 3 C3550(config-if)#no shutdown C3550(config-if)#ip address 192.168.3.254 255.255.255.0 C3550(config-if)#interface vlan 4 C3550(config-if)#ip address 192.168.4.254 255.255.255.0 C3550(config-if)#exit C3550(config)#ip routing C3550#copy running-config startup-config
3.4.2 单臂路由 外部路由器可以实现多臂路由也可以实现单臂路由,如果VLAN数量多于路由器外部可用物理接口的数量,此时只能采用单臂路由,因为一个物理接口可以划分多个逻辑接口,而逻辑接口的数量原理上可以随意设置。 【指导】可以把一个物理的接口划分成多个逻辑子接口,逻辑子接口通常用于外部路由器实现VLAN之间的路由。
Network layer devices combine multiple broadcast domains. Purpose: This figure shows a router on a stick being used to interconnect VLANs. Emphasize: The VLANs are on different networks. Without a network layer device they could not communicate. Review the protocols operating at each of the OSI layers. Network layer devices combine multiple broadcast domains.
Inter-VLAN Routing: Multiple Router Interfaces Multiple links between switch and router required to pass traffic between VLANs.
Dividing a Physical Interface into Subinterfaces Physical interfaces can be divided into multiple subinterfaces. Purpose: This figure shows a subinterface example. Subinterfaces will be covered later in this course. Emphasize: At this point, it is important for students to understand that if they want to connect multiple VLANs, they need a separate connection for each VLAN. This can be accomplished by establishing a physical connection for each VLAN that will interconnect with other VLANs, or by splitting a trunk into multiple, logical subinterfaces.
Routing Between VLANs with ISL Trunks Purpose: This figure shows the configuration of the router on a stick. Emphasize: Highlight the two different interconnecting networks, 10.1.1.0 and 10.2.2.0.
Routing Between VLANs with 802.1Q Trunks Purpose: This figure shows the configuration of the router on a stick. Emphasize: Highlight the two different interconnecting networks, 10.1.1.0 and 10.2.2.0.
3.5 VPN互连远程局域网 虚拟专用网络(Virtual Private Network,VPN)是专用网络的延伸,如图所示,它包含了类似Internet的共享或公共网络链接。通过VPN可以以模拟点对点专用连接的方式通过共享或公共网络在两台计算机之间发送数据。
VPN实际上是“线路中的线路”,类似城市大道上的“公交专用线”。所不同的是,由VPN组成的“线路”并不是物理存在的,而是通过技术手段模拟出来,即是“虚拟”的。不过,这种虚拟的专用网络技术却可以在一条公用线路中为两台计算机建立一个逻辑上的专用“信道”,它具有良好的保密和不受干扰性,使双方能进行自由而安全的点对点连接,因此被广泛使用。 虚拟专用网络允许远程通信方、销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。虚拟专用网络对客户端透明,用户好象使用一条专用线路在客户计算机和企业服务器之间建立点对点连接,进行数据的传输。
虚拟专用网络技术同样支持企业通过Internet等公共互联网络与分支机构或其他公司建立连接,安全地通信。这种跨越Internet建立的VPN连接逻辑上等同于两地之间使用广域网建立的连接。 虽然VPN通信建立在公共互联网络的基础上,但是用户在使用VPN时感觉如同在使用专用网络进行通信,所以得名虚拟专用网络。 使用VPN技术可以以最低的成本实现远程用户的接入以及远程局域网之间的互连。
3.5.1 VPN的用途 1. 实现远程访问 2. 实现网络互连 3. 连接企业内网
1. 实现远程访问 虚拟专用网络支持以安全的方式通过公共互联网络远程访问企业资源。 与使用专线拨打长途电话连接企业的网络接入服务器不同,虚拟专用网络用户首先拨通本地ISP的NAS,然后VPN软件利用与本地ISP建立的连接在拨号用户和企业VPN服务器之间创建一个跨越Internet或其他公共互联网络的虚拟专用网络。
2. 实现网络互连 可以采用以下两种方式使用VPN连接远程局域网络,一种是专线连接,一种是拨号连接。 应当注意在以上两种方式中,是使用本地设备通过Internet在分支机构和企业部门之间建立连接。无论是在客户端还是服务器端都是通过拨打本地电话建立的连接,因此VPN可以大大节省连接的费用。建议VPN服务器使用专线连接本地ISP。
3. 连接企业内网 在企业的内部网络中,考虑到一些部门可能存储有重要数据,为确保数据的安全性,传统的方式只能是把这些部门同整个企业网络断开形成孤立的小网络。这样做虽然保护了部门的重要信息,但是由于物理上的中断,使其他部门的用户无法访问,造成通信上的困难。
采用VPN方案,通过使用一台VPN服务器既能够实现与整个企业网络的连接,又可以保证保密数据的安全性。路由器虽然也能够实现网络之间的互联,但是并不能对流向敏感网络的数据进行限制。企业网络管理人员通过使用VPN服务器,指定只有符合特定身份要求的用户才能连接VPN服务器获得访问敏感信息的权利。此外,可以对所有VPN数据进行加密,从而确保数据的安全性。没有访问权利的用户无法看到部门的局域网络。
3.5.2 RRAS中的VPN配置 VPN的实现方式很多,有专门的硬设备,也有软件实现。为了便于实验教学,首先采用Windows 2000 Serve集成的RRAS(路由和远程访问服务)组件进行简单的VPN演示和实验,体会一下VPN互连网络的思想,复杂功能可查阅帮助文档。 1. 场景描述 2. 服务器端配置 3. 赋予用户拨入权限 4. 内联网VPN连接 5. 因特网VPN连接
1. 场景描述 一主机已经可以通过普通网络访问到某一局域网的接入服务器,现在想进一步访问该局域网内的其他主机资源。利用VPN可以很容易实现该功能,只需要把该局域网接入服务器配置成VPN服务器就可以了。如图所示,下面详细讲述一下关键配置。
2. 服务器端配置 要想让Windos 2000计算机能接受客户机的VPN拨入,必须对VPN服务器进行配置。如图所示,在左边窗口中选中服务器名,单击右键,选“配置并启用路由和远程访问”。如果以前已经配置过RRAS,则需要先禁用,然后再重新配置。
当进入配置向导之后,在“公共设置”中,选中“虚拟专用网络(VPN)服务器”,以便让用户能通过公共网络(比如Internet)来访问此服务器。 在“远程客户协议”的对话框中,一般来说,这里面至少应该已经有了TCP/IP协议,只需直接选“是,所有可用的协议都在列表上”再按“下一步”按钮即可。 接着系统会要求再选择一个此服务器所使用的Internet连接,在其下的列表中选择所用的连接方式,比如已建立好的拨号连接或通过指定的网卡进行连接等,再按“下一步”。 在回答“您想如何对远程客户机分配IP地址”的询问时,除非已在服务器端安装好了DHCP服务器,否则请在此处选“来自一个指定的IP地址范围”(推荐)。
然后再根据提示输入要分配给客户端使用的起始IP地址,“添加”进列表中,比如此处为172. 16. 1. 100-172. 16. 1 然后再根据提示输入要分配给客户端使用的起始IP地址,“添加”进列表中,比如此处为172.16.1.100-172.16.1.120,子网掩码为255.255.255.0。注意,此IP地址范围要同服务器专用网络适配卡的IP地址处于同一网段,即网络地址要相同。 最后再选“不,我现在不想设置此服务器使用RADIUS”选项即可完成最后的设置。
3. 赋予用户拨入权限 默认的,任何用户均被拒绝拨入到服务器上。欲给一个用户赋予拨入到此服务器的权限,需打开管理工具中的用户管理器(在“计算机管理”项或“Active Directory用户和计算机”中),选中所需要的用户,单击右键,选“属性”。在该用户属性窗口中选“拨入”项,然后点击“允许访问”项,再“确定”即可完成赋予此用户拨入权限的工作。
4. 内联网VPN连接 所谓内联网VPN连接,是指VPN服务器的公用接口和VPN客户端的公用接口可以为保留IP,只要VPN客户端在不使用VPN的情况下能够访问到VPN服务器就可以。 打开桌面“网上邻居“|“属性”|“新建连接”对话框,在网络连接类型中选择“通过Internet连接到专用网络”选项,如图所示。 接着出现目标地址,在文本框中输入前面配置的VPN服务器的域名或IP地址,比如此处为192.168.0.1,如图所示,再根据提示选择默认“下一步”即可建立成功。
选择网络连接类型
VPN服务器的IP地址
然后在“虚拟专用连接”中输入相应的用户名(需具有拨入服务器的权限)和密码,如图所示,再按“连接”按钮。
如果成功连接到了VPN服务器,此时就会像普通拨号上网成功一样,在任务栏右下角会出现两个小计算机的图标,表明连接成功。
5. 因特网VPN连接 因特网VPN连接首先得保证VPN服务器已经连入了Internet,并且没有设置访问控制,同时保证VPN客户端能够访问到该服务器。 用命令IPConfig查出其在Internet上合法的IP地址,按照前面的方法在客户机上建立一个VPN连接,在相应处输入VPN服务器在Internet上的合法IP地址。 然后将客户机连入到Internet,可以是拨号,也可以是其他专线方式,再双击所建立的VPN连接,输入相应的具有拨入权限的用户名和密码再点“连接”按钮。 连接成功之后可以看到,双方的任务栏右侧均会出现两个拨号网络成功运行的图标,其中一个是到Intenet的连接,另一个则是VPN的连接。
当双方建立好了通过Internet的VPN连接后,即相当于又在Internet上建立好了一个双方专用的虚拟信道,而通过此信道,双方可以在网上邻居中进行互访,也就是说相当于又组成了一个局域网络。这个网络是双方专用的,而且具体良好的保密性能。 VPN建立成功之后,双方便可以通过IP地址或“网上邻居”来实现互访从而达到使用对方所共享出来的软硬件资源的目的。 需要说明的是,无论客户端采取的是拨号方式还是专线方式连入Internet,对于VPN来讲,都认为是拨入访问,即使是直接电缆连接也是如此。
路由器 路由器是在网络层上实现多个网络互连的设备。 网络层互连主要是解决路由选择、拥塞控制、差错处理与分段技术等问题。 路由器由内部结构以及接口interface组成,一般的每个接口连接一个网段。
三层交换机 由硬件结合实现数据的高速转发。这就不是简单的二层交换机和路由器的叠加,三层路由模块直接叠加在二层交换的高速背板总线上,突破了传统路由器的接口速率限制,速率可达几十Gbit/s。 一次路由多次转发。
多网卡服务器 Windows 2000 server提供了路由和远程访问服务(RRAS)组件。该服务是一个全功能的软件路由器。 该组件功能强大,可以实现路由、远程访问、VPN以及NAT等诸多功能。