专题十四 配置路由和远程访问
This presentation is the property of its rightful owner.
Sponsored Links
1 / 65

专题十四 配置路由和远程访问 PowerPoint PPT Presentation


  • 111 Views
  • Uploaded on
  • Presentation posted in: General

专题十四 配置路由和远程访问. 软路由. 虚拟专用网( VPN ). 学习要点. NAT 与基本防火墙. 14.1 软路由. 路由器可分为硬件路由器和软件路由器。 Windows Server 2003 的 “ 路由和远程访问 ” 是全功能的软件路由器。运行 Windows Server 2003 家族成员以及提供 LAN 及 WAN 路由服务的 “ 路由和远程访问 ” 服务的计算机,称作运行 “ 路由和远程访问 ” 的服务器。. 软路由的设置. 要求: 安装多个网卡,每个网卡再配以不同的 IP 地址及子网掩码

Download Presentation

专题十四 配置路由和远程访问

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


5777089

专题十四 配置路由和远程访问

软路由

虚拟专用网(VPN)

学习要点

NAT与基本防火墙


5777089

14.1 软路由

  • 路由器可分为硬件路由器和软件路由器。

  • Windows Server 2003的“路由和远程访问”是全功能的软件路由器。运行Windows Server 2003家族成员以及提供LAN及WAN路由服务的“路由和远程访问”服务的计算机,称作运行“路由和远程访问”的服务器。


5777089

软路由的设置

  • 要求:

    • 安装多个网卡,每个网卡再配以不同的IP地址及子网掩码

    • 操作系统是Windows 2000以上版本,并启动路由和远程访问服务

  • 特点:

    • 多宿主路由器还可以运行应用程序


Windows

多宿主计算机

网卡1

网卡2

子网 1

子网2

服务器

服务器

客户机

客户机

在Windows下实现软路由


5777089

基本概念

  • 路由技术由两项基本活动组成:

    • 决定最优路径,即路径选择

    • 传输信息单元,即数据交换

  • 路由算法用来计算和确定到达目的地的最优路径

  • 路由器内部有一个路由表,这个表标明了如何到达某个地方


5777089

路由表

1、路由表的作用:

路由器利用存储在路由表的数据来确定如何转发数据包。路由表数据包含路由器连接到的所有网络段的IP信息。

2、显示IP路由表

每一个运行TCP/IP的计算机都要进行由路由表控制的路由决策。路由表以计算机当前的TCP/IP配置为基础自动生成。


5777089

检查路由表(1)

  • 使用route print命令可以列出本机路由表

    • C:\>route print

    • ========================================================

    • Interface List

    • 0x1 ........................... MS TCP Loopback interface

    • 0x1000003 ...00 90 27 16 84 10 ...... Intel(R) PRO PCI Adapter

    • ========================================================

    • Active Routes:

    • Network Destination Netmask Gateway Interface Metric

    • 0.0.0.0 0.0.0.0 192.168.1.200 192.168.1.201 1

    • 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1

    • 192.168.0.0 255.255.248.0 192.168.1.201 192.168.1.201 1

    • 192.168.1.201 255.255.255.255 127.0.0.1 127.0.0.1 1

    • 192.168.1.255 255.255.255.255 192.168.1.201 192.168.1.201 1

    • 224.0.0.0 224.0.0.0 192.168.1.201 192.168.1.201 1

    • 255.255.255.255 255.255.255.255 192.168.1.201 192.168.1.201 1

    • Default Gateway: 192.168.1.200

    • ========================================================

    • Persistent Routes:

    • None


5777089

检查路由表(2)


5777089

默认的路由表条目

  • 0.0.0.0:默认路由,代表没有被指定其他路由的IP地址

  • 127.0.0.0:本地回送地址

  • 224.0.0.0:IP多点传送地址

  • 255.255.255.255:IP广播地址


Windows server 2003

启用Windows Server 2003路由


5777089

添加静态路由(1)

  • 1. 利用“路由和远程访问”


5777089

添加静态路由(2)

2. 利用“route add”命令

  • route add 192.168.23.0 mask 255.255.255.0 192.168.25.200 metric 5 if 0x10004

  • route –p add 192.168.23.0 mask 255.255.255.0 192.168.25.200 metric 5 if 0x10004


5777089

手工维护路由表

  • Route print

  • Route print 192*

  • Route add:

  • Route delete:


5777089

筛选进出路由器的数据包

  • Windows Server 2003路由器支持数据包过滤的功能,它可以让我们设置过滤规则,以便决定哪一类的数据包可以通过路由器来传送,还可提高网络的安全性。

  • 数据包过滤功能是防火墙(firewall)的基本功能之一

  • 路由器的每一个网络接口都可以用于设置过滤数据包


5777089

路由接口

路由接口是一个物理接口或逻辑接口,通过他可以转发IP数据包。

路由接口有三种类型:

1、LAN接口:

代表一个局域网连接(如:以太网、令牌环网),该连接利用LAN技术。LAN接口表示一个已经安装好的网络适配器。LAN接口总是活动的,不需身份验证即可连接。

2、按需拨号接口:

代表一个点对点连接,基于物理连接或逻辑连接。要求经过身份验证过程后才进入连接状态。

3、IP中的IP隧道接口(IP in IP):

代表一种隧道式的点对点连接。不要求经过身份验证即可成为连接的


5777089

配置路由接口(设置筛选规则)

数据包筛选

IP数据包筛选——IP路由器提供允许或者不允许转发某些特定类型的IP数据流的能力。

在IP路由接口上配置筛选器

筛选器依据IP、TCP、UDP和ICMP报头中的关键字进行筛选。

1、选择接口

“IP路由选择”-“常规”-右击要添加筛选器的接口,单击“属性”

2、指定输入或输出筛选器

决定将筛选器应用到进入的数据包或者外出的数据包


5777089

配置路由接口

3、在IP路由接口上配置筛选器设置值

配置筛选器:

(1)标识出源网络:

IP地址:源IP网络ID或源IP地址

子网掩码:与源网络ID相对应的子网掩码;或者为源IP地址键入255.255.255.255。

(2)标识出目的网络:

(3)选择协议


5777089

配置路由接口

4、指定筛选器动作

定义了一个筛选器后,选择筛选器动作:

“接收所有除符合下面条件以外的数据包”:

  • 结果:接收除了指定的数据流以外的所有数据流。

  • 用途:保护网络免受某些特定的威胁。

  • 适用于:不需要高等级的安全时,使用这个设置值

    “丢弃所有的包,满足下面条件的除外”:

  • 结果:丢弃除了指定的数据流以外的所有数据流

  • 适用于:需要高等级的安全时,使用这个设置值。


5777089

通信协议号与连接端口号

  • 在设置筛选器时,常用的TCP、UDP需要指定源端口号和目标端口号;ICMP需要指定类型和代码;其余的必须指定通信协议号。

  • 通信协议号

  • 常见服务的默认TCP、UDP端口号


5777089

动态路由

  • 动态路由器可以自动更新路由表并把信息发送给它知道的其他动态路由器,减少了网络管理员的管理工作。

  • Windows Server 2003支持RIP和OSPF路由算法协议。


5777089

动态路由协议

  • RIP(Routing Internet Protocol):路由信息选择协议

    • 距离向量路由协议,基于距离矢量算法的内部网关动态路由协议,通过判断数据包经过的跳数(路由器)来决定跨越最小的路由。

    • 专用于中小型规模网络,动态维护路由表向其他的RIP路由器周期性地发表声明。

      • 优点:配置和部署非常简单;

      • 缺点:最大跃点计数是15跳,需要较多的恢复时间。


5777089

  • RIP2 RIP的改进版本

    • 增加了一个认证域,防止黑客进行RIP攻击

    • 路由项增加下一跳地址,可指定相邻路由器作为到特定目的的下一跳

    • 支持多播


5777089

  • OSPF(Open Shortest Path First)开放式最短路径优先

    • 链路状态路由协议,设计用于大型到特大型网络中交换路由选择信息。

    • 优点:高效率,要求很小的网络开销;

    • 缺点:复杂性,难于配置和管理。


5777089

利用RIP协议实现动态路由

  • 在Windows计算机上添加RIP协议

    • 路由和远程访问控制台常规新路由选择协议


5777089

Router 2 路由表

B, D, A (RIP), C (RIP), E (RIP)

Router 2 路由表

Router 2

B, D

子网B

Router 1

子网D

子网B

子网A

子网C

Router 1 路由表

Router 1 路由表

A, B, C, D (RIP), E (RIP)

A, B, C, D (RIP)

Router 1 Routing Table

子网C

A, B, C

Router 3 路由表

C, E, A (RIP), B (RIP), D (RIP)

子网E

Router 3 路由表

C, E

Router 3

RIP协议工作原理


5777089

为RIP添加、配置接口

1、在计算机上添加支持RIP的接口:

“常规”-右击“RIP”-单击“新接口”-选中使用RIP的接口

2、配置RIP接口:

“常规”选项卡

  • 选择操作模式:

    • 自动静态更新模式:

    • 周期性更新模式:

  • 为RIP声明配置协议:

  • 配置RIP接口的费用:——路由中继段的个数

    配置安全性:设置路由器接受和发出路由的范围

    “邻居”选项卡:为非广播网络配置RIP


14 2 vpn

14.2 VPN虚拟专用网

  • 14.2.1 VPN概述

  • 14.2.2 远程访问VPN服务器

  • ****L2TP VPN(参考)

  • 14.2.3 验证通信协议

  • 14.2.4 远程访问策略


14 2 1 vpn

14.2.1 VPN概述

  • 虚拟专用网(VPN)是专用网络的延伸

  • 通过VPN可以通过公共网络以模拟点对点的方式在两台计算机之间发送数据


5777089

VPN概述

  • 利用公共网络来构建的私人专用网络

  • 虚拟私有网络与传统所有网络的区别:

    • 对于广域网连接,传统方式是通过远程拨号和专线连接来实现的。

    • VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。


5777089

公司

内部网络

Intranet 适配器

Internet 适配器

Windows VPN 服务器

Internet

隧道

VPN 远程访问客户机

VPN概述

VPN数据传输协议及工作原理


5777089

VPN概述

  • VPN通过Internet而不是通过直接的拨号连接,来提供安全的远程访问。

    实现:VPN客户机利用专用网络上的一个VPN网关,采用IP互联网来创建加密的、虚拟的、点对点的连接。用户连接到互联网,然后创建一个到VPN网关的VPN连接。

    功能:降低了用户的长途电话费用,不用再建立他们自己的基础结构。出差的雇员可以拨号到当地的ISP,然后创建一个到该公司网络的VPN连接。

    VPN与拨号的区别:VPN是逻辑的、非直接的连接。


5777089

VPN的特点

  • VPN是指在公共网络(通常为Internet中)建立一个虚拟的、专用的网络,是Internet与Intranet之间的专用通道,为企业提供一个高安全、高性能、简便易用的环境。它具有以下特点:

    (1)费用低廉

    (2)安全性高

    (3)支持最常用的网络协议

    (4)有利于IP地址安全

    (5)网络构架弹性大

    (6)管理方便灵活

    (7)完全控制主动权


5777089

VPN应用场合

一般来说,VPN使用在以下两种场合:

(1)远程客户端通过VPN连接到局域网

(2)两个局域网通过VPN互联


5777089

VPN协议

  • 在Windows Server 2003中有两种基于点对点协议PPP的VPN技术:

    • 点对点隧道协议 (PPTP)

    • 第二层隧道协议L2TP


14 2 2 vpn

14.2.2 远程访问VPN服务器

  • VPN服务器需要有两个网络接口,如果VPN服务器是利用固定连接式的ADSL来连接Internet,则其需要有两个网卡,一个连接ATU-R(也就是ADSL调制解调器),另一个是用来连接局域网。


5777089

架设VPN服务器

三步走:

  • 服务器端配置

    • 启用VPN服务

    • VPN协议:PPTP、L2TP/IPSec

    • 配置VPN拨入端口

  • 设置远程拨入用户

  • 客户端配置


5777089

服务器端:启用远程访问服务(以PPTP为例)


5777089

验证VPN服务器


5777089

配置VPN拨入端口


5777089

配置用户拨入设置


5777089

客户端配置

  • 创建VPN虚拟专用网络连接


5777089

客户端建立VPN连接

  • 客户端建立VPN连接

  • 设置拨号用户


L2tp vpn

L2TP VPN

  • WindowsServer2003的L2TP/IPSec支持两种方法:

    1.证书“L2TP/IPSec-使用证书”分为2大步骤:一是向CA申请IPSec证书,二是VPN客户端与VPN服务器建立L2TP/IPSec VPN

    2.域共享密钥利用“预共享密钥”来验证计算机身份的L2TP/IPSec VPN,在VPN客户端与VPN服务器两端都要事先设置相同的共享密钥。使用“预共享密钥”的好处是不需要向CA申请证书,设置简单,不过它的安全性比用IPSec证书的方式差。


14 2 3

14.2.3 验证通信协议

  • Windows Server 2003支持用来验证用户身份的验证通信协议有:

    (1)PAP(Password Authentication Protoco1)

    (2)SPAP(Shiva Password Authentication Protoco1)

    (3)CHAP(Challenge Handshake Authentication Protoc01)

    (4)MS-CHAP(Microsoft Challenge Handshake Authentication Protoco1)

    (5)MS-CHAP version 2

    (6)EAP(Extended Authemieation Protoco1)


14 2 4

14.2.4 远程访问策略

  • “路由和远程访问”访问使用远程访问策略来确定是接受连接尝试还是拒绝连接尝试。

  • 远程访问策略是一组条件和连接设置,使网络管理员在授予远程访问权限时,更具灵活性。

  • 远程访问策略存放在远程访问服务器上,而没有存放在活动目录中。

  • Windows Server 2003内建有2个远程访问策略


5777089

远程访问策略的基本要素

1、条件:远程访问策略是一系列参数,例如:用户的连接时间、所属的用户组、IP地址等,这些参数与连接到服务器的客户机的参数项匹配。

2、权限:

  • 指远程用户的“授予远程访问权限”或“拒绝远程访问权限”的拨入权限。

  • 远程访问策略中的权限与用户属性中的拨入权限协同配置。

    3、配置文件:指应用到此访问连接上的一系列的限制和配置。包含如下设置值:拨入限制、IP、多链路、身份验证、加密、高级


5777089

远程访问策略的实施过程


5777089

默认的远程访问策略介绍

  • 如果没有其他策略,则默认策略对所有用户生效。

  • 默认策略的配置

    • 条件设置为所有时间和所有日期

    • 权限设置为“拒绝远程访问权限”

    • 配置文件设置为默认值

  • 注:没有策略时,无论用户的设置如何,都无法远程访问网络


5777089

新建远程访问策略

  • 在用户的拨入属性中,设置远程访问权限为“通过远程访问策略控制访问”


14 3 nat

14.3 NAT 与基本防火墙

  • 网络地址转换器NAT(Network Address Translator)位于使用专用地址的Intranet和使用公用地址的Internet之间。

    • 从Intranet传出的数据包由NAT将它们的专用地址转换为公用地址。

    • 从Internet传入的数据包由NAT将它们的公用地址转换为专用地址。


Nat 1

NAT的工作过程(1)


Nat 2

  • 客户机发出一个数据包到运行NAT的计算机

NAT的工作过程(2)

Client Computers

Internet

Computer Running NATInternal IP = 192.168.0.1External IP = 202.162.4.1

IP = 192.168.0.2

Web ServerIP = 202.202.163.1

IP = 192.168.0.3

  • 运行NAT的计算机将从内部客户机接收到的信息包的标题替换成自己的端口号和外部的IP地址,发给Internet上目的主机。

  • Web主机将回答信息发送给运行NAT的计算机

  • NAT计算机再次替换信息包的标题,并把该消息包发送给客户机。

IP = 192.168.0.4


Nat 3

NAT的工作过程(3)

  • NAT工作过程中的两次地址转换:

    • 对于来自NAT协议的传出数据包,源IP地址(专用地址)被映射到ISP分配的地址(公用地址),并且TCP/UDP端口号也会被映射到不同的TCP/UDP端口号。

    • 对于到NAT协议的传入数据包,目标IP地址(公用地址)被映射到源Internet地址(专用地址),并且TCP/UDP端口号被重新映射回源TCP/UDP端口号。


5777089

NAT适用情况

  • 企业对Internet访问和外部对私有网络的访问受到限制

  • 私有网络是由任意数量的客户组成

  • 私有网络上的计算机使用私有地址


5777089

配置启用NAT的计算机

  • 配置启用NAT的计算机

    • 安装NAT——“常规 \ 新路由选择协议”

    • 配置NAT——“NAT属性页”

    • 配置NAT路由接口——“NAT \ 新接口”


5777089

安装NAT


5777089

配置NAT路由器接口


5777089

NAT客户端设置

两种设置方式:

(1)自动获得TCP/IP

此时客户端会自动向NAT服务器或DHCP服务器来索取IP地址、默认网关、DNS服务器的IP地址等设置。

(2)手工设置TCP/IP

  • 客户端的IP地址与NAT局域网接口的IP地址的网络号必须相同;

  • 默认网关必须设置为NAT局域网接口的IP地址;

  • 首选DNS服务器可以设置为NAT局域网接口的IP地址或是任何一台合法的DNS服务器的IP地址。


5777089

DHCP分配器


5777089

DNS代理


5777089

内部网络的开放与防火墙

  • NAT网络接口与防火墙

  • 端口映射

  • 地址映射


5777089

NAT与路由的比较

  • NAT可将大量未注册的网络内部的专用地址转换为个别的公用地址,降低了网络成本。

  • NAT提供了路由所不支持的网络安全性。

  • 因为要进行地址转换,所以NAT要比路由占用更多的网络资源,并且不是支持所有的协议。


5777089

NAT与代理服务器

  • 二者都提供地址转换功能且提供网络的安全性。

  • 代理服务器需配置端口,且提供对客户访问数据的缓存功能。


Nat internet

NAT与 Internet共享

  • NAT与Internet共享功能相同,只是Internet共享的配置简单。

  • Internet共享只适用于小型的网络。需要固定的内部IP地址、只能使用一个公用IP地址,只允许单个内部网络接口。


5777089

本章小结

  • 软路由

    • 路由表

    • 静态路由

    • 动态路由

    • 筛选器

  • VPN

    • 概述

    • PPTP

    • L2TP(证书、域共享密钥)

    • 远程访问策略


  • Login