第11章 路由與遠(yuǎn)程訪問.ppt

1、了解Windows操作系統(tǒng)“路由和遠(yuǎn)程訪問”角色； 理解IP路由、NAT、VPN的基本概念和基本原理； 理解靜態(tài)路由、默認(rèn)路由和動(dòng)態(tài)路由的區(qū)別和作用； 理解NAT網(wǎng)絡(luò)地址轉(zhuǎn)換的工作過程； 理解遠(yuǎn)程訪問VPN的構(gòu)成和連接過程； 掌握配置并測(cè)試靜態(tài)路由、默認(rèn)路由和RIP的方法； 掌握配置并測(cè)試網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的方法； 掌握配置并測(cè)試遠(yuǎn)程訪問VPN的方法。,本章學(xué)習(xí)要點(diǎn),第11章 路由和遠(yuǎn)程訪問,11.1 部署IP路由 11.2 配置NAT與基本防火墻 11.3 部署遠(yuǎn)程訪問VPN 11.4 排錯(cuò)檢查步驟 11.5 常見故障及解決方法,11.1 部署IP路由,11.1.1 IP路由概述 11.1.

2、2 IP路由的項(xiàng)目設(shè)計(jì)及準(zhǔn)備 11.1.3 配置并啟用路由服務(wù) 11.1.4 配置并測(cè)試靜態(tài)路由 11.1.5 配置并測(cè)試缺省路由 11.1.6 配置并測(cè)試動(dòng)態(tài)路由 11.1.7 配置路由接口,路由器可分為硬件路由器和軟件路由器。 Windows Server 2003的“路由和遠(yuǎn)程訪問”是全功能的軟件路由器。 運(yùn)行2003家族成員以及提供LAN及WAN路由服務(wù)的“路由和遠(yuǎn)程訪問”服務(wù)的計(jì)算機(jī)，稱作運(yùn)行“路由和遠(yuǎn)程訪問”的服務(wù)器。,11.1.1 IP路由概述,路由的用途,Windows Server 2003 路由和遠(yuǎn)程訪問是一個(gè)執(zhí)行路由功能的服務(wù)，作為它多項(xiàng)處理功能之一。,軟路由的設(shè)置,要求

3、： 安裝多個(gè)網(wǎng)卡，每個(gè)網(wǎng)卡再配以不同的IP地址及子網(wǎng)掩碼 操作系統(tǒng)是Windows 2000以上版本，并啟動(dòng)路由和遠(yuǎn)程訪問服務(wù) 特點(diǎn)： 多宿主路由器還可以運(yùn)行應(yīng)用程序,在Windows下實(shí)現(xiàn)軟路由,基本概念,路由技術(shù)由兩項(xiàng)基本活動(dòng)組成: 決定最優(yōu)路徑，即路徑選擇 傳輸信息單元，即數(shù)據(jù)交換 路由算法用來(lái)計(jì)算和確定到達(dá)目的地的最優(yōu)路徑 路由器內(nèi)部有一個(gè)路由表，這個(gè)表標(biāo)明了如何到達(dá)某個(gè)地方,路由表,1、路由表的作用： 路由器利用存儲(chǔ)在路由表的數(shù)據(jù)來(lái)確定如何轉(zhuǎn)發(fā)數(shù)據(jù)包。路由表數(shù)據(jù)包含路由器連接到的所有網(wǎng)絡(luò)段的IP信息。 2、顯示IP路由表 每一個(gè)運(yùn)行TCP/IP的計(jì)算機(jī)都要進(jìn)行由路由表控制的路由決策。

4、路由表以計(jì)算機(jī)當(dāng)前的TCP/IP配置為基礎(chǔ)自動(dòng)生成。 3、 查看路由表：“開始”“運(yùn)行”，輸入“cmd”，打開命令提示符，輸入“route print”，即可查看路由表。,路由表(route print),路由表是一系列的記錄，記錄了互聯(lián)的網(wǎng)絡(luò)中的網(wǎng)絡(luò)ID的位置信息。,檢測(cè)路由表?xiàng)l目（1）,數(shù)據(jù)包就是一個(gè)信息報(bào)或信息單元 IP路由表中顯示的每個(gè)列： 1、Network destination 網(wǎng)絡(luò)目的地址。與子網(wǎng)掩碼一起用來(lái)確定目的地址。網(wǎng)絡(luò)目的地址范圍可以從(默認(rèn)的路由)到55(限制性廣播) 2、Netmask網(wǎng)絡(luò)掩碼。當(dāng)目的IP與網(wǎng)絡(luò)目的地址中的值相

5、匹配時(shí)，就將網(wǎng)絡(luò)掩碼應(yīng)用于目的地IP地址。網(wǎng)絡(luò)掩碼用于區(qū)分IP地址內(nèi)的網(wǎng)絡(luò)標(biāo)識(shí)符(ID)和主機(jī)(ID),數(shù)據(jù)包就是一個(gè)信息報(bào)或信息單元 IP路由表中顯示的每個(gè)列： Gateway(網(wǎng)關(guān))。指明本地主機(jī)將IP數(shù)據(jù)包轉(zhuǎn)發(fā)到其它IP網(wǎng)絡(luò)時(shí)所使用的IP地址。網(wǎng)關(guān)就是本地網(wǎng)絡(luò)適配器IP地址，或是本地網(wǎng)絡(luò)段上一個(gè)路由器的IP地址。 Interface(接口)。指明當(dāng)本地計(jì)算機(jī)在網(wǎng)絡(luò)上轉(zhuǎn)發(fā)IP數(shù)據(jù)包時(shí)，它所使用的網(wǎng)絡(luò)適配器的IP地址。 Metric(計(jì)量)。指明路由的費(fèi)用。如果到IP目的地地址存在這多個(gè)路由，則利用計(jì)量來(lái)決定將要采用那個(gè)路由。,檢測(cè)路由表?xiàng)l目（2）,運(yùn)行TCP/IP的基于WIN2003的計(jì)算

6、機(jī)的默認(rèn)路由表?xiàng)l目,（1）靜態(tài)路由 （2）默認(rèn)路由 （3）動(dòng)態(tài)路由,路由的類型,（1）內(nèi)部網(wǎng)關(guān)協(xié)議和外部網(wǎng)關(guān)協(xié)議 內(nèi)部網(wǎng)關(guān)協(xié)議，如RIP、IGRP、EIGRP、OSPF等。 外部網(wǎng)關(guān)協(xié)議，如BGP。 （2）距離矢量路由協(xié)議和鏈路狀態(tài)路由協(xié)議 距離矢量路由協(xié)議。 鏈路狀態(tài)路由協(xié)議。 （3）RIP （4）OSPF協(xié)議,路由協(xié)議,路由協(xié)議,RIP 操作,路由器 1,網(wǎng)絡(luò)A,網(wǎng)絡(luò)B,網(wǎng)絡(luò)C,路由器 1 路由表,A, B, C,路由器 2,網(wǎng)絡(luò)B,網(wǎng)絡(luò)D,路由器 2 路由表,B, D,路由器 3,網(wǎng)絡(luò)C,網(wǎng)絡(luò)E,路由器 3 路由表,C, E,11.1.2 IP路由的項(xiàng)目設(shè)計(jì)及準(zhǔn)備1. 項(xiàng)目設(shè)計(jì)-設(shè)計(jì)環(huán)境

7、1,11.1.2 IP路由的項(xiàng)目設(shè)計(jì)及準(zhǔn)備1. 項(xiàng)目設(shè)計(jì)-設(shè)計(jì)環(huán)境2,部署路由服務(wù)應(yīng)滿足下列需求: 使用提供路由服務(wù)的Windows Server 2003標(biāo)準(zhǔn)版、企業(yè)版或數(shù)據(jù)中心版等服務(wù)器端操作系統(tǒng)。 準(zhǔn)備配置為路由器的主機(jī)應(yīng)該擁有多個(gè)網(wǎng)絡(luò)接口（即安裝了多塊網(wǎng)卡）并連接不同的IP子網(wǎng)，以便實(shí)現(xiàn)這些子網(wǎng)之間的路由。 如果準(zhǔn)備配置為路由器的主機(jī)末安裝多塊網(wǎng)卡，則可以通過在一塊網(wǎng)卡上綁定多個(gè)IP地址來(lái)實(shí)現(xiàn)路由服務(wù)。,2. 準(zhǔn)備,11.1.3 配置并啟用路由服務(wù),To Configure Routing,啟用“路由和遠(yuǎn)程訪問”向?qū)?選擇網(wǎng)絡(luò)路由配置選項(xiàng),確認(rèn)有針對(duì)的路由功能的網(wǎng)絡(luò)協(xié)議可用,選擇“按需

8、撥號(hào)連接”，如果想利用按需撥號(hào)連接,選擇給遠(yuǎn)程客戶機(jī)分配IP地址的方法,啟用Windows Server 2003路由 （1）選擇“管理工具”“路由和遠(yuǎn)程訪問”，右擊服務(wù)器，選擇“配置并啟動(dòng)路由和遠(yuǎn)程訪問”。 （2）在“歡迎使用路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А敝袉螕簟跋乱徊健卑粹o。 （3）選擇“兩個(gè)專用網(wǎng)絡(luò)之間的安全連接”，然后選擇“否”以便不使用“請(qǐng)求撥號(hào)”連接。 （4）出現(xiàn)“完成路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А碑嬅鏁r(shí)，單擊完成按鈕。,11.1.3 配置并啟用路由服務(wù),2、檢查路由表,11.1.3 配置并啟用路由服務(wù),添加靜態(tài)路由 可以通過以下兩種方式來(lái)添加靜態(tài)路由： （1）利用“路由和遠(yuǎn)程訪問

9、” 選擇“新建靜態(tài)路由”，然后輸入新路由。 （2）利用“route add”命令 進(jìn)入命令提示符，執(zhí)行以下命令： route p add mask metric 5 if 0 x10004 上面命令：加“-P”的作用是什么？,11.1.4 配置并測(cè)試靜態(tài)路由,靜態(tài)路由參數(shù),接口 目的地 網(wǎng)絡(luò)掩碼 網(wǎng)關(guān) 計(jì)量,當(dāng)使用這一路由時(shí),用來(lái)發(fā)送數(shù)據(jù)包的口 目的地網(wǎng)絡(luò)ID,它可以是基于類的網(wǎng)絡(luò)ID、 子網(wǎng)式網(wǎng)絡(luò)ID、父網(wǎng)式網(wǎng)絡(luò)ID,或主機(jī)ID。 相應(yīng)的子網(wǎng)掩碼,它必須包含目的網(wǎng)絡(luò)ID 中的所有各位。 路由器的IP地址,針對(duì)該目的地

10、數(shù)據(jù)包將被 轉(zhuǎn)發(fā)到這個(gè)路由器。 使用該路由器的費(fèi)用,這一個(gè)數(shù)據(jù)能夠反 映出使用這路由的網(wǎng)絡(luò)中繼段數(shù)和優(yōu)越性,參數(shù) 說(shuō)明,手工維護(hù)路由表,Route print Route print 192* Route add： Route delete：,利用“路由和遠(yuǎn)程訪問”，選擇“新建靜態(tài)路由”，然后輸入缺省路由。,11.1.5 配置并測(cè)試缺省路由,（1）在“路由和遠(yuǎn)程訪問”控制臺(tái)中右擊“常規(guī)”，選擇“新增路由協(xié)議”命令。 （2）在“新路由協(xié)議”對(duì)話框中選擇“用于Internet協(xié)議的RIP版本2”。 （3）返回“路由和遠(yuǎn)程訪問”，右擊RIP,選擇“新增接口”，打開“新接口”對(duì)話框，選擇接口。,11.

11、1.6 配置并測(cè)試動(dòng)態(tài)路由,（4）單擊“確定”按鈕，將打開RIP接口屬性對(duì)話框。配置相關(guān)參數(shù)。在此對(duì)話框中可以設(shè)置下列選項(xiàng)。 1）“操作模式” 周期性更新模式： 自動(dòng)-靜態(tài)更新模式： 2）“傳出數(shù)據(jù)包協(xié)議” 3）“傳入數(shù)據(jù)包協(xié)議”,11.1.6 配置并測(cè)試動(dòng)態(tài)路由,（5）“安全”選項(xiàng)卡，設(shè)置該路由器接受和發(fā)送路由的范圍。 （6）“鄰居”選項(xiàng)卡，設(shè)置路由器與鄰居路由器進(jìn)行路由信息交換的方式。 （7）“高級(jí)”選項(xiàng)卡，設(shè)置RlP廣播的周期間隔、啟用水平分割及禁用于網(wǎng)總計(jì)等選項(xiàng)。,11.1.6 配置并測(cè)試動(dòng)態(tài)路由,入站篩選器的設(shè)置 出站篩選器的設(shè)置,11.1.7 配置路由接口,數(shù)據(jù)包的篩選,在IP路由

12、接口上配置篩選器,To Configure a Filter,選擇一個(gè)接口,指定輸入或輸出篩選器,指定篩選器動(dòng)作,在IP路由接口上配置篩選器設(shè)置值,To Configure Filter Settings,表示出源網(wǎng)絡(luò),表示出目的網(wǎng)絡(luò),選擇協(xié)議,“路由和遠(yuǎn)程訪問”服務(wù)中路由接口,LAN接口 代表一個(gè)局域網(wǎng)連接，該連接利用LAN技術(shù)，LAN接口表示為一個(gè)已經(jīng)安裝好的網(wǎng)絡(luò)適配器。 按需撥號(hào)接口 代表一個(gè)點(diǎn)對(duì)點(diǎn)的連接,這個(gè)連接可以基于物理連接（如兩個(gè)路由器利用 Modem進(jìn)行連接），也可以基于邏輯連接（如兩個(gè)路由器利用Internet通過VPN連接）,路由接口,路由接口：用于轉(zhuǎn)發(fā)IP數(shù)據(jù)包的網(wǎng)絡(luò)接口

13、 （物理或邏輯接口）,配置路由接口（設(shè)置篩選規(guī)則）,數(shù)據(jù)包篩選 IP數(shù)據(jù)包篩選IP路由器提供允許或者不允許轉(zhuǎn)發(fā)某些特定類型的IP數(shù)據(jù)流的能力。 在IP路由接口上配置篩選器 篩選器依據(jù)IP、TCP、UDP和ICMP報(bào)頭中的關(guān)鍵字進(jìn)行篩選。 1、選擇接口 “IP路由選擇”“常規(guī)”右擊要添加篩選器的接口，單擊“屬性” 2、指定輸入或輸出篩選器 決定將篩選器應(yīng)用到進(jìn)入的數(shù)據(jù)包或者外出的數(shù)據(jù)包,配置路由接口,3、在IP路由接口上配置篩選器設(shè)置值 配置篩選器： （1）標(biāo)識(shí)出源網(wǎng)絡(luò)： IP地址：源IP網(wǎng)絡(luò)ID或源IP地址 子網(wǎng)掩碼：與源網(wǎng)絡(luò)ID相對(duì)應(yīng)的子網(wǎng)掩碼；或者為源IP地址鍵入

14、55。 （2）標(biāo)識(shí)出目的網(wǎng)絡(luò)： （3）選擇協(xié)議,配置路由接口,4、指定篩選器動(dòng)作 定義了一個(gè)篩選器后，選擇篩選器動(dòng)作： “接收所有除符合下面條件以外的數(shù)據(jù)包”： 結(jié)果：接收除了指定的數(shù)據(jù)流以外的所有數(shù)據(jù)流。 用途：保護(hù)網(wǎng)絡(luò)免受某些特定的威脅。 適用于：不需要高等級(jí)的安全時(shí)，使用這個(gè)設(shè)置值“丟棄所有的包，滿足下面條件的除外”： 結(jié)果：丟棄除了指定的數(shù)據(jù)流以外的所有數(shù)據(jù)流 適用于：需要高等級(jí)的安全時(shí)，使用這個(gè)設(shè)置值。,通信協(xié)議號(hào)與連接端口號(hào),在設(shè)置篩選器時(shí)，常用的TCP、UDP需要指定源端口號(hào)和目標(biāo)端口號(hào)；ICMP需要指定類型和代碼；其余的必須指定通信協(xié)議號(hào)。 通信協(xié)議號(hào) 常見服務(wù)的默認(rèn)TCP、U

15、DP端口號(hào),11.2 配置NAT與基本防火墻,11.2.1 NAT概述 11.2.2 項(xiàng)目設(shè)計(jì)及準(zhǔn)備 11.2.3 配置并啟用NAT服務(wù) 11.2.4 配置NAT客戶端 11.2.5 設(shè)置DHCP分配器和DNS代理 11.2.6 開放內(nèi)部網(wǎng)絡(luò)與防火墻,網(wǎng)絡(luò)地址轉(zhuǎn)換器NAT（Network Address Translator）位于使用專用地址的Intranet和使用公用地址的Internet之間。 從Intranet傳出的數(shù)據(jù)包由NAT將它們的專用地址轉(zhuǎn)換為公用地址。 從Internet傳入的數(shù)據(jù)包由NAT將它們的公用地址轉(zhuǎn)換為專用地址。,11.2.1 NAT概述,NAT的工作過程（1）,Cl

16、ient Computers,IP = ,IP = ,Computer Running NATInternal IP = External IP = ,NAT計(jì)算機(jī)再次替換信息包的標(biāo)題，并把該消息包發(fā)送給客戶機(jī)。,運(yùn)行NAT的計(jì)算機(jī)將從內(nèi)部客戶機(jī)接收到的信息包的標(biāo)題替換成自己的端口號(hào)和外部的IP地址，發(fā)給Internet上目的主機(jī)。,Web主機(jī)將回答信息發(fā)送給運(yùn)行NAT的計(jì)算機(jī),Internet,Web ServerIP = ,NAT的工作過程（2）,NAT工作過程中的兩次地址轉(zhuǎn)換

17、： 對(duì)于來(lái)自NAT協(xié)議的傳出數(shù)據(jù)包，源IP地址(專用地址)被映射到ISP分配的地址(公用地址)，并且TCP/UDP端口號(hào)也會(huì)被映射到不同的TCP/UDP端口號(hào)。 對(duì)于到NAT協(xié)議的傳入數(shù)據(jù)包，目標(biāo)IP地址(公用地址)被映射到源Internet地址(專用地址)，并且TCP/UDP端口號(hào)被重新映射回源TCP/UDP端口號(hào)。,NAT適用情況,企業(yè)對(duì)Internet訪問和外部對(duì)私有網(wǎng)絡(luò)的訪問受到限制 私有網(wǎng)絡(luò)是由任意數(shù)量的客戶組成 私有網(wǎng)絡(luò)上的計(jì)算機(jī)使用私有地址,NAT不支持的協(xié)議,簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議 輕型目錄訪問協(xié)議 組件客體模型COM或分布式組件客體模式 Kerberos v5 Microsoft遠(yuǎn)

18、程程序調(diào)用RPC IPSEC,11.2.2 項(xiàng)目設(shè)計(jì)及準(zhǔn)備,部署NAT服務(wù)應(yīng)滿足下列需求： 使用提供NAT服務(wù)的Windows Server 2003標(biāo)準(zhǔn)版、企業(yè)版和數(shù)據(jù)中心版等服務(wù)器端操作系統(tǒng)。 NAT服務(wù)器必須與內(nèi)部網(wǎng)絡(luò)相連，因此需要配置與內(nèi)部網(wǎng)絡(luò)連接所需要的專用IP地址，該地址應(yīng)手工指定。 NAT必須接入到Internet，擁有公用IP地址。,11.2.2 項(xiàng)目設(shè)計(jì)及準(zhǔn)備,（1）選擇“開始”/程序”/管理工具”/“路由和遠(yuǎn)程訪問”，選擇要啟用NAT的服務(wù)器，右鍵單擊，選擇“配置并啟用路由和遠(yuǎn)程訪問”。 （2）彈出“路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А保x擇“網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）”，單擊“下一

19、步”。 （3）在“NAT Internet連接”對(duì)話框中，選擇用來(lái)連接互聯(lián)網(wǎng)的接口。單擊“下一步”，完成安裝。 （4）添加NAT接口。,11.2.3 配置并啟用NAT服務(wù),配置啟用NAT的計(jì)算機(jī),配置啟用NAT的計(jì)算機(jī) 安裝NAT“常規(guī) 新路由選擇協(xié)議” 配置NAT“NAT屬性頁(yè)” 配置NAT路由接口“NAT 新接口”,安裝NAT,配置NAT路由器接口,可以選擇以下兩種設(shè)置方式： （1）自動(dòng)獲得TCP/IP 此時(shí)客戶端會(huì)自動(dòng)向NAT服務(wù)器或DHCP服務(wù)器來(lái)索取IP地址、默認(rèn)網(wǎng)關(guān)、DNS服務(wù)器的IP地址等設(shè)置。 （2）手工設(shè)置TCP/IP 手工設(shè)置IP地址要求客戶端的IP地址必須與NAT局域網(wǎng)接

20、口的IP地址在相同的網(wǎng)段內(nèi)，也就是NetworkID必須相同；默認(rèn)網(wǎng)關(guān)必須設(shè)置為NAT局域網(wǎng)接口的IP地址；首選DNS服務(wù)器可以設(shè)置為NAT局域網(wǎng)接口的IP地址或是任何一臺(tái)合法的DNS服務(wù)器的IP地址。,11.2.4 配置NAT客戶端,NAT服務(wù)器另外還具備以下兩個(gè)功能： DHCP分配器（DHCP Allocator）：用來(lái)分配IP地址給內(nèi)部的局域網(wǎng)客戶端計(jì)算機(jī)。 DNS代理（DNS proxy）：可以替局域網(wǎng)內(nèi)的計(jì)算機(jī)來(lái)查詢IP地址。,11.2.5 設(shè)置DHCP分配器和DNS代理,1.DHCP分配器 啟動(dòng)或改變DHCP分配器的設(shè)置： 通過 “路由和遠(yuǎn)程訪問”，選擇服務(wù)器，并選擇“IP路由選擇

21、”，右擊“NAT/基本防火墻”，選擇“屬性”，單擊 “地址指派”，在該選項(xiàng)卡中啟動(dòng)或是改變DHCP分配器的設(shè)置。,11.2.5 設(shè)置DHCP分配器和DNS代理,兩種方法架設(shè)DHCP服務(wù)器： （1）在NAT服務(wù)器這臺(tái)計(jì)算機(jī)上安裝DHCP服務(wù)器，并且替每一個(gè)專用接口各建立一個(gè)IP作用域，以便每一個(gè)子網(wǎng)內(nèi)的計(jì)算機(jī)來(lái)索取IP地址時(shí)，都能夠索取到該子網(wǎng)的IP地址。 （2）在每一個(gè)子網(wǎng)絡(luò)內(nèi)各安裝一臺(tái)DHCP服務(wù)器，并且在各DHCP服務(wù)器內(nèi)建立該子網(wǎng)絡(luò)所需要的IP作用域，以便由各DHCP服務(wù)器來(lái)分配該網(wǎng)絡(luò)所需要的IP地址。,11.2.5 設(shè)置DHCP分配器和DNS代理,DHCP分配器,2. DNS代理 DN

22、S代理可以替局域網(wǎng)內(nèi)的計(jì)算機(jī)來(lái)查詢網(wǎng)站、FTP站點(diǎn)、電子郵件服務(wù)器等主機(jī)的IP地址。 啟動(dòng)或改變DNS代理的設(shè)置： 單擊“名稱解析”選項(xiàng)卡，對(duì)話框中選“使用域名系統(tǒng)（DNS）的客戶端”，表示要啟用DNS代理的功能，以后NAT服務(wù)器會(huì)代替客戶端來(lái)向DNS服務(wù)器查詢主機(jī)的IP地址。,11.2.5 設(shè)置DHCP分配器和DNS代理,DNS代理,NAT網(wǎng)絡(luò)接口與防火墻 端口映射 地址映射,11.2.6 開放內(nèi)部網(wǎng)絡(luò)與防火墻,Windows Server 2003的NAT服務(wù)器具有以下功能： 基本防火墻：用來(lái)加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全性。 TCP/UDP端口映射：讓外界的用戶可以訪問內(nèi)部的網(wǎng)站、郵件服務(wù)器等。 多

23、個(gè)public IP與地址映射：讓外界特殊的應(yīng)用程序可以通過NAT來(lái)與內(nèi)部的應(yīng)用程序通信。,11.2.6 開放內(nèi)部網(wǎng)絡(luò)與防火墻,11.3 部署遠(yuǎn)程訪問VPN,11.3.1 VPN概述 11.3.2 項(xiàng)目設(shè)計(jì)及準(zhǔn)備 11.3.3 配置并啟用VPN服務(wù) 11.3.4 配置VPN端口 11.3.5 配置VPN用戶帳戶 11.3.6 配置VPN客戶端 11.3.7 建立并測(cè)試VPN連接 11.3.8 配置驗(yàn)證通信協(xié)議 11.3.9 配置遠(yuǎn)程訪問策略,Internet VPN通道,節(jié)約成本，提高了安全性,11.3.1 VPN概述,虛擬專用網(wǎng)（VPN）是專用網(wǎng)絡(luò)的延伸 通過VPN可以通過公共網(wǎng)絡(luò)以模擬點(diǎn)對(duì)

24、點(diǎn)的方式在兩臺(tái)計(jì)算機(jī)之間發(fā)送數(shù)據(jù),11.3.1 VPN概述,利用公共網(wǎng)絡(luò)來(lái)構(gòu)建的私人專用網(wǎng)絡(luò) 虛擬私有網(wǎng)絡(luò)與傳統(tǒng)所有網(wǎng)絡(luò)的區(qū)別： 對(duì)于廣域網(wǎng)連接，傳統(tǒng)方式是通過遠(yuǎn)程撥號(hào)和專線連接來(lái)實(shí)現(xiàn)的。 VPN是利用服務(wù)提供商所提供的公共網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)遠(yuǎn)程的廣域連接。,11.3.1 VPN概述,VPN數(shù)據(jù)傳輸協(xié)議及工作原理,11.3.1 VPN概述,VPN通過Internet而不是通過直接的撥號(hào)連接，來(lái)提供安全的遠(yuǎn)程訪問。 實(shí)現(xiàn)：VPN客戶機(jī)利用專用網(wǎng)絡(luò)上的一個(gè)VPN網(wǎng)關(guān)，采用IP互聯(lián)網(wǎng)來(lái)創(chuàng)建加密的、虛擬的、點(diǎn)對(duì)點(diǎn)的連接。用戶連接到互聯(lián)網(wǎng)，然后創(chuàng)建一個(gè)到VPN網(wǎng)關(guān)的VPN連接。 功能：降低了用戶的長(zhǎng)途電話費(fèi)用，

25、不用再建立他們自己的基礎(chǔ)結(jié)構(gòu)。出差的雇員可以撥號(hào)到當(dāng)?shù)氐腎SP，然后創(chuàng)建一個(gè)到該公司網(wǎng)絡(luò)的VPN連接。 VPN與撥號(hào)的區(qū)別：VPN是邏輯的、非直接的連接。,11.3.1 VPN概述,VPN是指在公共網(wǎng)絡(luò)（通常為Internet中）建立一個(gè)虛擬的、專用的網(wǎng)絡(luò)，是Internet與Intranet之間的專用通道，為企業(yè)提供一個(gè)高安全、高性能、簡(jiǎn)便易用的環(huán)境。它具有以下特點(diǎn)： （1）費(fèi)用低廉 （2）安全性高 （3）支持最常用的網(wǎng)絡(luò)協(xié)議 （4）有利于IP地址安全 （5）網(wǎng)絡(luò)構(gòu)架彈性大 （6）管理方便靈活 （7）完全控制主動(dòng)權(quán),11.3.1 VPN概述,（1）遠(yuǎn)程訪問VPN服務(wù)器 （2）VPN客戶端 （

26、3）隧道協(xié)議 PPTP（點(diǎn)對(duì)點(diǎn)隧道協(xié)議） L2TP（第二層隧道協(xié)議） （4）Internet連接,11.3.1 VPN概述-VPN的構(gòu)成,VPN應(yīng)用場(chǎng)合,一般來(lái)說(shuō)，VPN使用在以下兩種場(chǎng)合： （1）遠(yuǎn)程客戶端通過VPN連接到局域網(wǎng) （2）兩個(gè)局域網(wǎng)通過VPN互聯(lián),（1）客戶端向服務(wù)器連接Internet的接口發(fā)送建立VPN連接的請(qǐng)求； （2）服務(wù)器接收到客戶端建立連接的請(qǐng)求之后，將對(duì)客戶端的身份進(jìn)行驗(yàn)證； （3）如果身份驗(yàn)證末通過，則拒絕客戶端的連接請(qǐng)求； （4）如果身份驗(yàn)證通過，則允許客戶端建立VPN連接，并為客戶端分配一個(gè)內(nèi)部網(wǎng)絡(luò)的IP地址； （5）客戶端將獲得的IP地址與VPN連接組件綁

27、定，并使用該地址與內(nèi)部網(wǎng)絡(luò)進(jìn)行通信。,VPN連接過程,建立遠(yuǎn)程訪問連接,本地網(wǎng),遠(yuǎn)程訪問協(xié)議,遠(yuǎn)程訪問客戶端,遠(yuǎn)程訪問 服務(wù)器,數(shù)據(jù)傳輸協(xié)議,遠(yuǎn)程訪問 服務(wù)器,遠(yuǎn)程訪問 客戶端,11.3.2 項(xiàng)目設(shè)計(jì)及準(zhǔn)備,（1）VPN服務(wù)器至少要有兩個(gè)網(wǎng)絡(luò)連接。 （2）VPN服務(wù)器必須與內(nèi)部網(wǎng)絡(luò)相連。 （3）VPN服務(wù)器必須同時(shí)與Internet相連。 （4）合理規(guī)劃分配給VPN客戶端的IP地址。 （5）客戶端在請(qǐng)求VPN連接時(shí)，服務(wù)器要對(duì)其進(jìn)行身份驗(yàn)證，因此應(yīng)合理規(guī)劃需要建立VPN連接的用戶賬戶。,11.3.2 項(xiàng)目設(shè)計(jì)及準(zhǔn)備,Internet網(wǎng)絡(luò)接口,設(shè)置為Windows身份驗(yàn)證,11.3.3 配置并啟

28、用VPN服務(wù),配置遠(yuǎn)程訪問服務(wù)器的屬性,常規(guī) 安全 IP PPP 日志,身份驗(yàn)證方式采用Windows身份驗(yàn)證,IP地址的分配有2種 動(dòng)態(tài)主機(jī)配置協(xié)議和靜態(tài)地址池,11.3.4 配置VPN端口,11.3.5 配置VPN用戶帳戶,11.3.6 配置VPN客戶端,客戶端獲得專用IP地址,輸入U(xiǎn)NC路徑“doc”訪問局域網(wǎng)中的文件服務(wù)器,11.3.7 建立并測(cè)試VPN連接,客戶端在連接到遠(yuǎn)程訪問服務(wù)器時(shí)，必須輸入用戶賬戶名稱與密碼，以便用來(lái)驗(yàn)證用戶的身份。 遠(yuǎn)程訪問服務(wù)器驗(yàn)證方法的選擇可通過在“路由和遠(yuǎn)程訪問”主控制窗口中右擊服務(wù)器，選擇“屬性”“安全”，單擊“身份驗(yàn)證方法”按鈕，默

29、認(rèn)只支持MS-CHAP、MS-CHAP v2與EAP。 客戶端的驗(yàn)證方法是右擊“網(wǎng)上鄰居”，選擇“屬性”，然后右擊“連接”，選擇“屬性”“安全”。,11.3.8 配置驗(yàn)證通信協(xié)議,階段總結(jié),遠(yuǎn)程訪問服務(wù)（RAS）提供了兩種連接方式 撥號(hào)網(wǎng)絡(luò) 虛擬專用網(wǎng)絡(luò) 配置遠(yuǎn)程訪問服務(wù)器 身份驗(yàn)證方式、給客戶端分配IP地址的方式 配置端口（種類、數(shù)量、入站和出站） 配置用戶撥入屬性 配置客戶機(jī)網(wǎng)絡(luò)連接,階段練習(xí),背景 Bobby公司出差的員工需要訪問公司局域網(wǎng)的文件服務(wù)器上的共享文件夾doc 文件服務(wù)器的IP地址為 出差的員工使用VPN連接到公司局域網(wǎng)，VPN服務(wù)器的IP為 出差員工的計(jì)算機(jī)的OS為Windows XP ，IP地址為1（假設(shè)以上2個(gè)IP地址為互聯(lián)網(wǎng)的IP地址） 出差員工如何能使用UNC路徑“doc”訪問局域網(wǎng)中的文件服務(wù)器 目標(biāo) 激活路由和遠(yuǎn)程訪問服務(wù) 配置用戶撥入屬性 配置客戶機(jī)網(wǎng)絡(luò)連接 驗(yàn)證能夠利用VPN訪問局域網(wǎng),11.3.9 配置遠(yuǎn)程訪問策略,遠(yuǎn)程訪問策略是一組定義允許或拒絕連接的有序規(guī)則 條件 “Windows-Groups”表示用戶所屬的組 “Day-And-Time-Restrictions”表示每周允許用戶連接的日期和時(shí)間 遠(yuǎn)程訪問