Download presentation
Presentation is loading. Please wait.
1
第14章 安装和配置路由和远程访问服务器 第一节 路由概述
第一节 路由概述 路由器是一种特殊的计算机,可看作是网络交通指挥中心,当源主机和目的主机进行通信时,它根据目的计算机的网络ID,再依据路由表来转发数据包。 路由器可分为硬件路由器和软件路由器。 硬件路由器有为支持路由功能而特别设计并优化的硬件支持部分。软件路由器是指不是特别为进行路由而设计的路由器,但它能够在路由计算机上将路由作为诸多执行的进程之一。
2
Windows Server 2003的“路由和远程访问”是全功能的软件路由器
运行 Windows Server 2003 家族成员以及提供 LAN 及 WAN 路由服务的“路由和远程访问”服务的计算机,称作运行“路由和远程访问”的服务器。 运行“路由和远程访问”的服务器是专门为已经熟悉路由协议和路由服务的系统管理员而设计的。通过“路由和远程访问”服务,管理员可以查看和管理他们网络上的路由器和远程访问服务器。
3
“路由和远程访问”具有如下功能: Internet 协议(IP)和AppleTalk多协议单播路由。 工业标准单播IP路由协议,包括开放式最短路径优先(OSPF)和路由信息协议(RIP) 版本1和2。 启用 IP 多播通信转发的 IP 多播服务(Internet 组管理协议,IGMP)路由器模式和 IGMP 代理模式。 “路由和远程访问服务器安装向导”包含一组常规服务器配置,可帮助满足网络需求。 对多个网络接口的支持。 简化小型办公室或家庭办公室(SOHO)网络与Internet的连接的IP网络地址转换 (NAT)服务。
4
任何公共接口都可以启用的简单的数据包筛选服务,甚至为网络地址转换配置的接口也可以。
用于安全和高性能的静态 IP 数据包筛选。 通过拨号 WAN 链接的请求拨号路由选择。 虚拟专用网(VPN)支持基于Internet协议安全性(IPSec)的点对点隧道协议(PPTP)和第二层隧道协议(L2TP),也称作L2TP/IPSec。 对 IP 动态主机配置协议 (DHCP) 中继代理的工业标准支持。 使用“Internet 控制消息协议(ICMP)”路由器发布的路由器通告的工业标准支持。
5
远程监视与配置的图形用户界面。 运行脚本和自动化配置和远程监视的命令行界面。 对 Windows 电源管理功能的支持。 支持通用“管理信息基础(MIB)”的“简单网络管理协议(SNMP)”管理功能。 广泛支持多种媒体,包括以太网、令牌环、光纤分布式数据接口(FDDI)、异步传输模式(ATM)、综合业务数字网(ISDN))、T载波、帧中继、xDSL、电缆调制解调器、X.25 和模拟调制解调器。 用于路由协议、管理的 API 以及启用增值开发的用户接口。
6
第二节 单播路由概述 单播路由是通过路由器将到网际网络上某一位置的通信从源主机转发到目标主机。 典型的路由器是通过LAN或WAN媒体连接到两个或多个网络。网络上的计算机通过将数据包转发到路由器,可以将数据包发送到其他网络上的计算机。路由器将检查数据包,并使用数据包报头内的目标网络地址来决定转发数据包所使用的接口。通过路由协议(OSPF、RIP 等),路由器可以从相邻的路由器获得网络信息(如网络地址),然后将该信息传播给其他网络上的路由器,从而使所有网络上的所有计算机之间都连接起来。
7
运行“路由和远程访问”的服务器可以路由IP和AppleTalk协议间的通信。
IP 网络协议是一组称为“传输控制协议/Internet 协议(TCP/IP)”的Internet协议的一部分。IP 用来通过任意一组互相连接的IP网络进行通讯。 IP 路由就是通过IP路由器将IP通信从源主机转发到目标主机。在每个路由器上,通过将数据包中的目标IP地址与路由选择表中的最佳路由进行匹配来确定下一个跃点。
8
IP路由器可以是静态路由器(由管理员建立路由,而且只能由管理员进行更改),也可以是动态路由器(通过路由协议来动态地更新路由)。
Windows Server 2003的“路由和远程访问”包括对两个IP单播路由协议的支持:用于 IP 的路由信息协议(RIP)和开放式最短路径优先(OSPF)。 AppleTalk 路由 AppleTalk 主要用于 Apple Macintosh 环境中。
9
一、路由表 路由表是一系列称为路由的项目,其中包含有关网际网络的网络 ID 位置信息。路由表不是对路由器专用的。主机(非路由器)也可能有用来决定优化路由的路由表。 网络路由:网络路由提供到网际网络中特定网络 ID 的路由。 主路由:主路由提供到网际网络地址(网络ID和节点ID)的路由。 默认路由:如果在路由表中没有找到其他路由,则使用默认路由。
10
路由表结构
11
路由表中的每项都由以下信息字段组成: 网络ID:主路由的网络ID或网际网络地址。 转发地址:数据包转发的地址。转发地址是硬件地址或网际网络地址。 接口:当将数据包转发到网络ID时所使用的网络接口。这是一个端口号或其他类型的逻辑标识符。 跃点数:路由首选项的度量。通常,最小的跃点数是首选路由。如果多个路由存在于给定的目标网络,则使用最低跃点数的路由。
12
二、路由配置 Windows Server 2003有三种典型的路由方案: 1. 简单路由方案
13
2. 多个路由器方案
14
3. 请求拨号路由方案
15
三、IP路由协议 在动态IP路由环境中,使用IP路由协议传播IP路由信息。 1. RIP-for-IP“路由信息协议 (RIP)” 用于在小型到中型网际网络中交换路由选择信息。 RIP 的最大优点是其配置和部署非常简单。 RIP的最大缺点是不能将网络扩大到大型或特大型网际网络。RIP 路由器使用的最大跃点数是15。 RIP 的另一个缺点是需要较高的恢复时间。
16
RIP路由器的工作 最初,每个路由器的路由表只包含物理连接的网络。RIP路由器周期性地发送宣告,在宣告中包含其路由表项以通知它可以到达的网络的其他本地 RIP 路由器。 RIP 路由器还可以通过触发更新对路由信息进行通讯。当网络拓扑更改以及发送更新的路由信息时,将发生触发更新以反映那些更改。
17
2. OSPF“开放式最短路径优先 (OSPF)”
用于在大型或特大型网际网络中交换路由选择信息。 OSPF 的最大优点是:高效率,并且即使在非常大的网际网络中OSPF也只要求很小的网络开销。 OSPF的最大缺点是:具有复杂性,并且OSPF需要正确的计划并且更难于配置和管理。 OSPF 使用“最短路径优先(SPF)”算法来计算路由表中的路由。SPF算法计算路由器和所有网际网络的网络之间的最短路径(最低成本)。SPF计算的路由通常是自由循环的。
18
OSPF路由器的工作 OSPF路由器维护网际网络的映射,在对网络拓扑进行任何更改后,都更新该网际网络的映射。该映射称为链接状态数据库,用来同步OSPF 路由器和计算路由表中的路由信息。 对网际网络拓扑的更改被有效地覆盖整个网际网络,以保证每个路由器上的链接状态数据库总是同步且准确的。一旦接收到链接状态数据库更改,就要重新计算路由表。 随着链接状态数据库大小的增加,内存要求和路由计算时间也延长。
19
OSPF网际网络图表
20
OSPF与RIF相比的优势: OSPF计算的路由器通常是不循环的。 OSPF能调整到大型或特大型的网际网络。 对网络拓扑更新的重新配置变得更快。
21
三、设备和端口 路由接口 运行“路由和远程访问”的服务器,使用一个路由接口,转发单播IP或AppleTalk数据包与多播 IP 数据包。有两种类型的路由接口:LAN接口和请求拨号接口。 LAN 接口是一个物理接口,一般表示使用诸如以太网或令牌环之类的局域网技术的局域连接。 请求拨号接口是代表点对点连接的逻辑接口。
22
2. 设备 设备是提供请求拨号和远程访问连接以便用于建立点对点连接的端口的硬件或软件。 设备可以是物理设备(例如调制解调器)或虚拟设备(例如虚拟专用网(VPN)协议)。 3. 端口 端口是支持单个点对点连接的设备隧道。对于单一端口设备(如调制解调器),设备与端口不可区分。对于多端口设备,端口是设备的一个部分,通过它可以进行一个单独的点对点通讯。
23
第三节 多播转发和路由概述 多播是将网络通信发送到一组终结点。只有监听多播通信的终结点组(多播组)的成员才可以处理多播通信。 一、多播转发 使用多播转发,路由器会将多播通信转发到其他多播设备正在侦听的网络上。多播转发可以防止多播通信转发到节点没有侦听的网络上。
24
1. 可以进行多播的节点 可以进行多播的节点必须能够发送和接收多播数据包。通过本地路由器注册节点侦听的多播地址,以便多播数据包可以转发到该节点所在的网络上。 所有运行 Microsoft Windows Server 2003 家族成员的计算机都可以进行IP多播,并且能够发送和接收IP多播通信。
25
2. 可进行多播的路由器 可进行多播的路由器必须能够: 侦听所连接的所有网络上的所有多播通信。一旦接收到多播通信,就将该多播数据包转发到所连接的有侦听节点的网络,或其下游路由器上有侦听节点的网络。 其次,还要侦听“IGMP 成员身份报告”报文,并更新 TCP/IP 多播转发表。 最后,进行多播的路由器通过多播路由协议,将侦听信息的多播组传播到其他可进行多播的路由器。
26
3. IGMP 路由协议组件 维护TCP/IP多播转发表中的条目是通过IGMP路由协议组件来实现的,使用“路由和远程访问”可以将该组件添加为IP路由协议。添加了IGMP路由协议后,即可将路由器接口添加到IGMP中。 可以使用IGMP路由器模式和IGMP代理模式。两种操作模式中的任一种来配置添加到IGMP路由协议组件的每个接口。
27
IGMP路由器模式: 在Windows Server 2003家族中,以IGMP路由器模式运行的接口提供了侦听“IGMP成员身份报告”数据包并跟踪组成员身份的功能。必须在分配了侦听多播主机的接口上启用 IGMP 路由器模式。 IGMP代理模式: 以IGMP代理模式运行的接口充当着代理多播主机的作用,它将某个接口上的“IGMP 成员身份报告”报文发送出去,以接收IGMP路由器模式下运行的所有其他接口上所接收的“IGMP成员身份报告”报文。
28
二、多播路由 多播路由,即多播侦听信息传播,由多播路由协议提供。
Windows Server 2003 家族不提供任何多播路由协议。但可以使用 IGMP 路由协议以及IGMP 路由器模式和 IGMP 代理模式,在单路由器 Intranet 中或将单路由器 Intranet 连接到 Internet 时提供多播转发。 对于通过单个路由器连接多个网络的 Intranet,可以在所有的路由器接口启用IGMP路由器模式,来提供多播资源和任意网络上的多播侦听主机之间的多播转发支持。 如果运行“路由和远程访问”的服务器通过Internet服务提供商(ISP)连接到MBone(支持多播的Internet部分)上,则可以使用IGMP代理模式与Internet进行多播通信的收发。
29
IGMP代理和路由器模式
30
用户运行远程访问软件,并初始化到远程访问服务器上的连接。远程访问服务器,会始终验证用户和服务会话,直到用户或网络管理员将其终止为止。
第四节 远程访问 远程访问功能使远程人员或经常变换地点的工作者可通过使用拨号通讯链接来访问企业网络,就像他们是直接连接到企业一样。远程访问也提供虚拟专用网(VPN)服务,以便用户可以在Internet上访问企业网络。 用户运行远程访问软件,并初始化到远程访问服务器上的连接。远程访问服务器,会始终验证用户和服务会话,直到用户或网络管理员将其终止为止。 适用于LAN连接用户的所有服务(包括文件和打印共享、Web 服务器访问和消息)均通过远程访问连接启用。
31
运行“路由和远程访问”的服务器可以提供两个不同类型的远程访问连接:拨号网络和虚拟专用网络。
通过使用远程通信提供商(例如模拟电话、ISDN或X.25)提供的服务,远程客户端使用非永久的拨号连接到远程访问服务器的物理端口上,这时使用的网络就是拨号网络。 拨号网络的最佳范例是拨号网络客户端使用拨号网络拨打远程访问服务器某个端口的电话号码。
32
虚拟专用网络 虚拟专用网是穿越专用网络或公用网络(如Internet)的、安全的、点对点连接的产物。虚拟专用网客户端使用特定的,称为隧道协议的基于TCP/IP的协议,来对虚拟专用网服务器的虚拟端口进行依次虚拟呼叫。 虚拟专用网的最佳范例是,虚拟网络客户端使用虚拟专用网连接连接到与 Internet 相连的远程访问服务器上。远程访问服务器应答虚拟呼叫,验证呼叫方身份,并在虚拟专用网客户端和企业网络之间传送数据。
33
一、拨号网络
34
1. 拨号网络组件 拨号网络服务器 拨号网络客户端 LAN 和远程访问协议 WAN 选项 安全选项
35
构建拨号网络的组件
36
管理员可以使用“路由和远程访问”来配置服务器以提供远程访问、查看连接用户及监视远程访问通信。
2. 拨号网络客户端 连接到运行“路由和远程访问”的服务器的拨号客户端可以是任何PPP客户端。客户端必须安装有调制解调器、模拟电话线,或其他 WAN 连接,和远程访问软件。 基于Windows的PPP客户端 其他 PPP 客户端 3. 拨号网络服务器 管理员可以使用“路由和远程访问”来配置服务器以提供远程访问、查看连接用户及监视远程访问通信。
37
二、虚拟专用网络
38
1. 虚拟专用网的组件 虚拟专用网(VPN)服务器 VPN 客户端 LAN 和远程访问协议 隧道协议 WAN 选项 安全选项
39
虚拟专用网的组件和配置
40
2. 虚拟专用网客户端 连接到“路由和远程访问”的虚拟专用网客户端可以是运行 Windows Server 2003 家族产品、Windows XP、Windows 2000、Windows NT 4.0、Windows 95、Windows 98 或 Windows Millennium Edition 的计算机。客户端必须可以将 TCP/IP 数据包通过 Internet 发送到远程访问服务器上。因此,需要有网络适配器或带有模拟电话线的调制解调器,或其他到 Internet 的 WAN 连接。
41
第五节 创建路由和远程访问服务器
42
选择总结
43
路由和远程访问服务器向导欢迎界面
44
配置
45
自定义配置
46
完成界面
47
安装完成后提示是否启动服务
48
此服务器已经是远程访问/VPN服务器
49
第六节 管理路由和远程访问服务器 一、修改服务器属性
50
1.“常规”选项卡
51
2.“安全”选项卡
52
身份验证方法
53
3.“IP”选项卡
54
4.“PPP”选项卡
55
5.“日志”选项卡
56
二、新建网络接口 服务器作为路由器,如果要与其他网络的路由器通信就必须建立能够连接到其他路由器或网络的网络接口。
57
请求拨号接口欢迎界面
58
输入接口名称
59
设置连接类型
60
VPN类型
61
目标地址
62
协议及安全措施
63
远程网络的静态路由
64
拨入凭据
65
拨出凭据
66
完成界面
67
创建好的网络接口
68
第七节 IP路由选择 一、常规设置
69
常规属性——多播作用域
70
二、静态路由配置
71
静态路由
72
显示IP路由表
73
三、DHCP中继代理程序配置
74
DHCP中继代理程序属性——常规选项卡
75
DHCP中继代理——新增接口
76
DHCP中继代理程序——选择接口
77
DHCP中继站——常规选项卡
78
四、IGMP多播路由配置
79
IGMP路由器以及代理服务器的新接口
80
IGMP属性
81
五、NAT/基本防火墙配置
82
NAT的新接口
83
NAT属性——NAT/基本防火墙
84
NAT属性——地址池
85
地址保留
86
NAT属性——服务和端口
87
NAT属性——ICMP
88
第八节 远程访问策略 远程访问策略是一组定义如何授权或拒绝连接的有序规则。 每个规则有一个或多个条件、一组配置文件设置和一个远程访问权限设置。
89
新建远程访问策略
90
新建远程访问策略欢迎界面
91
策略配置方法
92
策略状况
93
选择属性
94
权限
95
配置文件
96
编辑拨入配置文件
97
完成新建远程访问策略
98
新建的远程访问策略
Similar presentations