第11章 路由和远程访问

•了解Windows操作系统“路由和远程访问”角色；•理解IP路由、NAT、VPN的基本概念和基本原理；•理解静态路由、默认路由和动态路由的区别和作用；•理解NAT网络地址转换的工作过程；•理解远程访问VPN的构成和连接过程；•掌握配置并测试静态路由、默认路由和RIP的方法；•掌握配置并测试网络地址转换NAT的方法；•掌握配置并测试远程访问VPN的方法。本章学习要点第11章路由和远程访问11.1部署IP路由11.2配置NAT与基本防火墙11.3部署远程访问VPN11.4排错检查步骤11.5常见故障及解决方法11.1部署IP路由11.1.1IP路由概述11.1.2IP路由的项目设计及准备11.1.3配置并启用路由服务11.1.4配置并测试静态路由11.1.5配置并测试缺省路由11.1.6配置并测试动态路由11.1.7配置路由接口路由器可分为硬件路由器和软件路由器。WindowsServer2003的“路由和远程访问”是全功能的软件路由器。运行2003家族成员以及提供LAN及WAN路由服务的“路由和远程访问”服务的计算机，称作运行“路由和远程访问”的服务器。11.1.1IP路由概述路由的用途WindowsServer2003路由和远程访问是一个执行路由功能的服务，作为它多项处理功能之一。公司网使用请求拨号的远程站点远程站点公司网使用VPN隧道的远程站点内部子网LANLAN公司网软路由的设置要求：安装多个网卡，每个网卡再配以不同的IP地址及子网掩码操作系统是Windows2000以上版本，并启动路由和远程访问服务特点：多宿主路由器还可以运行应用程序在Windows下实现软路由子网1服务器客户机子网2服务器客户机网卡1网卡2多宿主计算机基本概念路由技术由两项基本活动组成:决定最优路径，即路径选择传输信息单元，即数据交换路由算法用来计算和确定到达目的地的最优路径路由器内部有一个路由表，这个表标明了如何到达某个地方路由表1、路由表的作用：路由器利用存储在路由表的数据来确定如何转发数据包。路由表数据包含路由器连接到的所有网络段的IP信息。2、显示IP路由表每一个运行TCP/IP的计算机都要进行由路由表控制的路由决策。路由表以计算机当前的TCP/IP配置为基础自动生成。3、查看路由表：“开始”→“运行”，输入“cmd”，打开命令提示符，输入“routeprint”，即可查看路由表。路由表(routeprint)路由表是一系列的记录，记录了互联的网络中的网络ID的位置信息。三种类型的路由表记录:网络路由主机路由默认路由检测路由表条目（1）数据包就是一个信息报或信息单元IP路由表中显示的每个列：1、Networkdestination网络目的地址。与子网掩码一起用来确定目的地址。网络目的地址范围可以从0.0.0.0(默认的路由)到255.255.255.255(限制性广播)2、Netmask网络掩码。当目的IP与网络目的地址中的值相匹配时，就将网络掩码应用于目的地IP地址。网络掩码用于区分IP地址内的网络标识符(ID)和主机(ID)数据包就是一个信息报或信息单元IP路由表中显示的每个列：3.Gateway(网关)。指明本地主机将IP数据包转发到其它IP网络时所使用的IP地址。网关就是本地网络适配器IP地址，或是本地网络段上一个路由器的IP地址。4.Interface(接口)。指明当本地计算机在网络上转发IP数据包时，它所使用的网络适配器的IP地址。5.Metric(计量)。指明路由的费用。如果到IP目的地地址存在这多个路由，则利用计量来决定将要采用那个路由。检测路由表条目（2）运行TCP/IP的基于WIN2003的计算机的默认路由表条目网络地址说明0.0.0.0即默认路由。代表没有被指定其它路由的所有IP地址。127.0.0.0本地回送(loopback)地址。224.0.0.0IP多点传送地址。255.255.255.255IP广播地址。（1）静态路由（2）默认路由（3）动态路由路由的类型（1）内部网关协议和外部网关协议内部网关协议，如RIP、IGRP、EIGRP、OSPF等。外部网关协议，如BGP。（2）距离矢量路由协议和链路状态路由协议距离矢量路由协议。链路状态路由协议。（3）RIP（4）OSPF协议路由协议路由协议RIP专用在中小规模的互联网中交换路由信息维护使用一个路由表简单的配置和管理RIP的周期声明可能会导致网络上过多的网络流量通常用在最多50个服务器OSPF为大型的，异构的Internet网络使用链路状态数据库和路由表复杂的配置和管理它可以有效地操作大型的网路RIP操作路由器1网络A网络B网络C路由器1路由表A,B,C路由器2网络B网络D路由器2路由表B,D路由器3网络C网络E路由器3路由表C,E路由器1路由表A,B,C,D(RIP)路由器1路由表A,B,C,D(RIP),E(RIP)路由器3路由表C,E,A(RIP),B(RIP),D(RIP)路由器2路由表B,D,A(RIP),C(RIP),E(RIP)11.1.2IP路由的项目设计及准备1.项目设计-设计环境111.1.2IP路由的项目设计及准备1.项目设计-设计环境2部署路由服务应满足下列需求:使用提供路由服务的WindowsServer2003标准版、企业版或数据中心版等服务器端操作系统。准备配置为路由器的主机应该拥有多个网络接口（即安装了多块网卡）并连接不同的IP子网，以便实现这些子网之间的路由。如果准备配置为路由器的主机末安装多块网卡，则可以通过在一块网卡上绑定多个IP地址来实现路由服务。2.准备11.1.3配置并启用路由服务ToConfigureRouting启用“路由和远程访问”向导选择网络路由配置选项确认有针对的路由功能的网络协议可用选择“按需拨号连接”，如果想利用按需拨号连接选择给远程客户机分配IP地址的方法1.启用WindowsServer2003路由（1）选择“管理工具”→“路由和远程访问”，右击服务器，选择“配置并启动路由和远程访问”。（2）在“欢迎使用路由和远程访问服务器安装向导”中单击“下一步”按钮。（3）选择“两个专用网络之间的安全连接”，然后选择“否”以便不使用“请求拨号”连接。（4）出现“完成路由和远程访问服务器安装向导”画面时，单击完成按钮。11.1.3配置并启用路由服务2、检查路由表11.1.3配置并启用路由服务添加静态路由可以通过以下两种方式来添加静态路由：（1）利用“路由和远程访问”选择“新建静态路由”，然后输入新路由。（2）利用“routeadd”命令进入命令提示符，执行以下命令：route–padd192.168.3.0mask255.255.255.0192.168.2.2metric5if0x10004上面命令：加“-P”的作用是什么？11.1.4配置并测试静态路由静态路由参数接口目的地网络掩码网关计量当使用这一路由时,用来发送数据包的口目的地网络ID,它可以是基于类的网络ID、子网式网络ID、父网式网络ID,或主机ID。相应的子网掩码,它必须包含目的网络ID中的所有各位。路由器的IP地址,针对该目的地数据包将被转发到这个路由器。使用该路由器的费用,这一个数据能够反映出使用这路由的网络中继段数和优越性参数说明手工维护路由表RouteprintRouteprint192*Routeadd：Routedelete：利用“路由和远程访问”，选择“新建静态路由”，然后输入缺省路由。11.1.5配置并测试缺省路由（1）在“路由和远程访问”控制台中右击“常规”，选择“新增路由协议”命令。（2）在“新路由协议”对话框中选择“用于Internet协议的RIP版本2”。（3）返回“路由和远程访问”，右击RIP,选择“新增接口”，打开“新接口”对话框，选择接口。11.1.6配置并测试动态路由（4）单击“确定”按钮，将打开RIP接口属性对话框。配置相关参数。在此对话框中可以设置下列选项。1）“操作模式”周期性更新模式：自动-静态更新模式：2）“传出数据包协议”3）“传入数据包协议”11.1.6配置并测试动态路由（5）“安全”选项卡，设置该路由器接受和发送路由的范围。（6）“邻居”选项卡，设置路由器与邻居路由器进行路由信息交换的方式。（7）“高级”选项卡，设置RlP广播的周期间隔、启用水平分割及禁用于网总计等选项。11.1.6配置并测试动态路由入站筛选器的设置出站筛选器的设置11.1.7配置路由接口用户2适配器C输出过滤器用户1用户3适配器A输入过滤器适配器B输出过滤器ICMP所有其它协议用户2适配器C输出过滤器用户1用户3适配器A输入过滤器适配器B输出过滤器所有其它协议SNMP用户2适配器C输出过滤器用户1用户3适配器A输入过滤器ICMP所有其它协议所有其它协议SNMP适配器B输出过滤器数据包的筛选在IP路由接口上配置筛选器ToConfigureaFilter选择一个接口指定输入或输出筛选器指定筛选器动作在IP路由接口上配置筛选器设置值ToConfigureFilterSettings表示出源网络表示出目的网络选择协议“路由和远程访问”服务中路由接口LAN接口代表一个局域网连接，该连接利用LAN技术，LAN接口表示为一个已经安装好的网络适配器。按需拨号接口代表一个点对点的连接,这个连接可以基于物理连接（如两个路由器利用Modem进行连接），也可以基于逻辑连接（如两个路由器利用Internet通过VPN连接）路由接口两种类型的路由接口:局域网接口按需拨号接口（Demand-Dial）路由接口：用于转发IP数据包的网络接口（物理或逻辑接口）配置路由接口（设置筛选规则）数据包筛选IP数据包筛选——IP路由器提供允许或者不允许转发某些特定类型的IP数据流的能力。在IP路由接口上配置筛选器筛选器依据IP、TCP、UDP和ICMP报头中的关键字进行筛选。1、选择接口“IP路由选择”－“常规”－右击要添加筛选器的接口，单击“属性”2、指定输入或输出筛选器决定将筛选器应用到进入的数据包或者外出的数据包配置路由接口3、在IP路由接口上配置筛选器设置值配置筛选器：（1）标识出源网络：IP地址：源IP网络ID或源IP地址子网掩码：与源网络ID相对应的子网掩码；或者为源IP地址键入255.255.255.255。（2）标识出目的网络：（3）选择协议配置路由接口4、指定筛选器动作定义了一个筛选器后，选择筛选器动作：“接收所有除符合下面条件以外的数据包”：结果：接收除了指定的数据流以外的所有数据流。用途：保护网络免受某些特定的威胁。适用于：不需要高等级的安全时，使用这个设置值“丢弃所有的包，满足下面条件的除外”：结果：丢弃除了指定的数据流以外的所有数据流适用于：需要高等级的安全时，使用这个设置值。通信协议号与连接端口号在设置筛选器时，常用的TCP、UDP需要指定源端口号和目标端口号；ICMP需要指定类型和代码；其余的必须指定通信协议号。通信协议号常见服务的默认TCP、UDP端口号11.2配置NAT与基本防火墙11.2.1NAT概述11.2.2项目设计及准备11.2.3配置并启用NAT服务11.2.4配置NAT客户端11.2.5设置DHCP分配器和DNS代理11.2.6开放内部网络与防火墙网络地址转换器NAT（NetworkAddressTranslator）位于使用专用地址的Intranet和使用公用地址的Internet之间。从Intranet传出的数据包由NAT将它们的专用地址转换为公用地址。从Internet传入的数据包由NAT将它们的公用地址转换为专用地址。11.2.1NAT概述NAT的工作过程（1）ClientComputersIP=192.168.0.2IP=192.168.0.3ComputerRunningNATInternalIP=192.168.0.1ExternalIP=202.162.4.11.客户机发出一个数据