windows-server-2008路由及远程访问.ppt-道客多多

资源描述

1、2018年3月2日,第12章 Windows Server 2008路由及远程访问服务,12.1 远程访问的概述12.2 VPN的配置与管理12.3 WINDOWS SERVER 2008路由12.4 常用网络命令的介绍,【本章提要】,远程访问的概述VPN的配置与管理路由配置与管理常用网络命令Windows Server 2008集成了功能强大的远程访问服务器和LAN路由功能，为企业网络的数据通信提供灵活、廉价的技术解决方案，越来越被当前的企业网络广泛采用。因此了解Windows Server 2008远程访问服务器和路由器的设计、配置及测试具有非常强大的实际意义。本章主要介绍Windows

2、Server 2008的路由和远程访问的功能。另外，网络访问保护 (NAP) ，是一种创建、强制和修正客户端健康策略的技术。通过 NAP，系统管理员可以设置并自动强制运行状况策略，策略中可以包含软件要求、安全更新要求、计算机配置要求以及其他设置。,12.1 远程访问的概述,远程访问就是通常所说的远程接入。通过利用路由和远程访问技术，可以将Windows Server 2008服务器配置为远程访问服务器，能将远程或移动办公的工作人员连接到公司内部的网络上。远程用户最常用的访问方式是拨号线路PSTN（公共交换电话网）或ISDN（综合业务数字网）。远程计算机拨入到公司内部网络之后，可以与本地网中的计

3、算机具有完全一样的地位，可以共享资源、使用各种内部的服务。也就是说远程用户使用计算机时，就像是直接连接到公司内部网络上一样的工作。,12.1 远程访问的概述,远程访问的主要应用有两类：一是远程移动用户接入公司的内部网络；二是ISP（互联网接入提供商）提供的Internet接入服务。在实际应用中，通过专门的硬件设备来提供远程访问服务，如Cisco和3COM等设备制造商都提供多路电话或ISDN拨号上网的远程访问服务器（RAS），既有规模较小的适合企业用户的设备，也有规模较大的适合ISP提供Internet接入的设备。当然，远程接入服务也可通过软件来实现，Windows Server 2008服务器

4、上集成了远程访问服务器。使用软件方式，虽然效率不如硬件设备高，但是在要求不是非常高的场合下却是一种高性价比的解决方案，特别是对远程接入用户较少的企业非常适合。,路由和远程访问的方式,1拨号网络通过使用ISP（模拟电话、ISDN）提供的接入服务，远程客户端使用非永久的拨号连接到远程访问服务器的物理端口上，这时使用的网络就是拨号网络。2虚拟专用网（VPN）虚拟专用网是通过专用网络或公用网络（如 Internet）建立的安全的、点对点的连接。,路由和远程访问新增功能,WindowsServer 2008 操作系统中路由和远程访问新增如下功能：1、服务器管理器2、SSTP 隧道协议3、VPN 的网络

5、访问保护强制4、IPv6 支持5、新的加密支持,12.2 VPN的配置与管理,12.2.1 VPN的概述在虚拟专用网络解决方案中，用户通过 Internet 连接到公司的内部网络上。由于VPN 结合使用隧道、身份验证和加密技术来建立一个安全的网络连接。最突出的特点就是以下几个方面：（1）低成本运行。（2）高安全性。（3）服务质量保证（QoS）。（4）可扩充性和灵活性。（5）可管理性。,12.2.2 VPN协议,VPN技术本身非常复杂，它涉及通信技术、密码技术和身份认证技术等。整体来说，VPN主要包含以下两种技术：隧道技术与安全技术。 1隧道技术隧道技术的基本过程是在发送端与公网的接口处将

6、数据作为负载封装在一种可以在公网上传输的标准数据格式中，在接收端的公网接口处将数据解封装，取出负载。目前VPN隧道协议有4种：（1）点到点隧道协议PPTP （Point to Point Tunneling Protocol）；（2）第二层隧道协议L2TP（Layer 2 Forwarding）；（3）网络层隧道协议IPSec；（4）SOCKS v5协议。,各种隧道协议在OSI模型中的层次,IPSec协议,IPSec协议是一个广泛应用的、开放的VPN安全协议，工作在OSI模型中的第三层。它提供网络层上的数据保护和透明的安全通信。IPSec协议可以有两种模式运行：一种是隧道模式，另一种是传输模式

7、。在隧道模式下，IPSec把IP数据包加密后封装在标准的IP帧中。传输模式是为了保护端到端的安全性，不会隐藏路由信息。,SOCKS v5协议,SOCKS v5（第5版）工作在OSI模型中的会话层，是建立高度安全的VPN的基础。SOCKS v5协议的优势在访问控制，因此适用于安全性较高的VPN。SOCKS v5现在被IETF建议作为建立VPN的标准。其特点是：非常精细的访问控制。由于工作在会话层，能同低层协议（如IPv4、IPSec、PPTP、L2TP）一起使用；用SOCKS v5的代理服务器可隐藏网络地址结构；能提供认证、加密和密钥管理等模块，让用户自由地采用所需要的技术。SOCKS v5可根

8、据规则有效地过滤数据流。但是其性能比低层次协议要低一些，并且必须制定非常复杂的安全管理策略，管理比较复杂。,安全技术,VPN 是在开放的Internet环境中通信，通信的内容可能被窃取，为了保证数据的安全性，VPN中通常采用加密、认证、密钥交换与管理等技术来保证传输数据的安全。（1）认证技术。（2）加密技术。（3）密钥交换和管理。,12.2.3 VPN的分类,VPN技术本身非常复杂，使用也比较灵活，故可以应用到多种不同的场合。平时见到的VPN种类繁多，为了便于读者明白清楚各种不同的说法，下面讨论几种主要的划分方法。1根据应用范围划分按照这种划分方式，可以将VPN划分为远程接入VPN（Acc

9、esss VPN）、Intranet VPN和Extranet VPN等3种。远程接入VPN用于实现SOHO（Small Office and Home Office的缩写，也称家庭办公族）用户或远程办公安全访问公司内部网络的需要。应用的场合可以在商家要提供B2C的安全访问实现SOHO办公。,Access VPN,（1）Access VPN通过一个拥有与专用网络相同策略的设施，提供对企业内部网或外部网的远程访问。Access VPN能让用户随时、随地以任何方式接入Internet访问公司内部资源，如图12.1所示。,图12.1 Access VPN结构示意图,Intranet VPN,越来越多

10、的大企业需要在全国乃至世界范围内建立分公司，各个分公司之间使用传统的网络连接方式访问公司内部网络资源显然不安全。利用VPN在Internet上组建全国甚至世界范围内的Intranet VPN网络，可以很好地解决安全和费用的问题，如图12.2所示。,图12.2 Intranet VPN结构示意图,Extranet VPN,（3）Extranet VPN用于企业与客户、厂商联盟之间或者是企业与银行建立安全的互联网络。随着Internet的迅猛发展，各个企业越来越重视通过Internet给客户提供快捷方便的各种服务，同时了解客户的需要；并且企业之间、企业与银行之间通过Internet的合作关系也越来

11、越紧密。利用VPN技术可以组建安全的Extranet，既可以向客户、合作伙伴和银行等提供快捷的通信服务，又可以保证整个网络的安全，如图12.3所示。,Extranet VPN,2按照接入方式划分在组建VPN网络时，根据用户计算机或网络连接到ISP的方式，可分为两种类型。（1）专线VPN。通过专用线路连接到ISP，如DDN、帧中继等都是专线连接。（2）拨号接入VPN。简称VPDN，使用拨号连接到ISP（如模拟电话、ISDN和ADSL等），是目前主流的连接方式。,图12.3 Extranet VPN结构示意图,3按隧道协议划分,按隧道协议的网络分层，VPN可划分为第2层隧道协议和第3层隧道协议。P

12、PTP、L2P和L2TP都属于第2层隧道协议，IPSec属于第3层隧道协议，MPLS则跨越了第2层和第3层。但是实际上，VPN的实现往往将第2层和第3层协议配合使用，以达到更高的安全等级，如L2TP/IPSec。当然，还可根据具体的协议来进一步划分VPN类型，如PPTP VPN、L2TP VPN、IPSec VPN和MPLS VPN等。,12.2.4 VPN服务器的配置,前面介绍了VPN的基本概念和相关技术，下面将介绍如何在Windows Server 2008服务器上创建VPN服务器，以实现Windows VPN网络的应用。Windows Server 2008对VPN的配置提供了向导程序，

13、所以配置VPN服务非常简单，可以按照以下的步骤来完成。,VPN服务器的配置,1、添加路由和远程访问角色并配置VPN服务器选择“开始 | 管理工具 | 服务器管理器”，如图12.4所示。单击“添加角色”，打开“添加角色向导”如图12.5所示。,图12.5 添加角色向导,图12.4 服务器管理器,VPN服务器的配置,（2）单击“下一步”，在出现的“选择服务器角色”对话框的角色列表中选择“网络策略与服务”，然后单击“下一步”，如图12.6所示。,图12.6 选择角色,VPN服务器的配置,（3）单击“下一步”按钮，在出现的“选择角色服务”对话框中的角色服务栏中点击选择“路由和远程访问服务”，如图12

14、.7所示。,图12.7 选择角色服务对框,VPN服务器的配置,（4）单击“下一步”，在出现如图12.8所示的“确认安装选择”对话框中，单击“安装”按钮，出现正在安装“网络策略和访问服务”安装进度对话框，如图12.9所示。安装完毕出现如图12.10所示的安装结果对话框。,图12.8确认安装选择对话框,VPN服务器的配置,图12.9网络策略和访问服务安装进度,图12.10安装结果,VPN服务器的配置,(5) 单击“关闭”按钮，返回“服务器管理器”对话框，可以看到角色摘要下显示“网络策略和访问服务”已安装,如图12.11所示.然后展开 “网络策略和访问服务”如图12.12所示。,图12.11服务器管

15、理器,VPN服务器的配置,图12.12展开”网络策略和访问服务”显示情况,VPN服务器的配置,(6) 右击“网络策略和访问”在出现的菜单条中选择“配置并启用路由和远程访问”，如图12.13所示，出现如图12.14所示”“路由和远程访问服务器安装向导”对话框。,图12.13配置并启用路由和远程访问,图12.14路由和远程访问服务器安装向导,VPN服务器的配置,（7）在出现的“路由和远程访问服务器安装向导”窗口中单击“下一步”按钮，进入服务选择窗口，如图12.15所示。这里是要使用VPN服务器，选择第三项，然后连续单击“下一步”按钮,图12.15路由和远程访问服务器服务配置,VPN服务器的配置,（

16、8）向导弹出如图12.16所示的窗口，选择其中一个连接，这里选择“本地连接2”，单击“下一步”，在出现的如图12.17所示的对话框中选择“来自一个指定的地址范围”。要求指定相关的IP地址。,12.17选择“来自一个指定的地址范围”,12.16选择本地连接网卡,此处指定的IP地址范围是作为VPN客户端通过虚拟专网连接到VPN服务器时所使用的IP地址池。单击“新建”按钮，出现IPv4地址范围对话框，在起始IP地址文本框中输入“172.16.22.11”，在“结束IP地址”文本框中输入“172.16.22.22”，如图12.18所示。,图12.18为客户端指定IP地址,VPN服务器的配置,（9）单击

17、“确定”按钮，可以看到已经指定了一段IP地址，如图12.19所示。单击“下一步”按钮，出现“管理多个远程访问服务器”对话框，在该对话框中可以指定身份验证的方法是路由和远程访问服务器还是RADIUS服务器，在此选择“否，使用路由和远程访问来对连接请求进行身份验证”复选框，如图12.20所示。,图12.19地址范围分配后的效果,图12.20管理多个远程访问服务器,VPN服务器的配置,单击“下一步”按钮，完成VPN配置，如图12.21所示。单击“完成”按钮，出现如图12.22所示的对话框，表示需要配置DHCP中继代理程序，最后单击“确定”按钮。,图12.21完成VPN配置,图12.22 DHCP中继

18、代理信息,VPN服务器的配置,(10)这时看到“服务器管理器”角色中“路由和远程访问”已启动（显示为向上的绿色箭头）,如图12.23所示。至此，Windows Server VPN服务器的配置完成。,12.23 VPN配置完成后的效果,2、配置用户帐户允许VPN连接,在域控制器上设置A使用VPN连接到VPN服务器上，具体步骤如下：（1）以域管理员账户登录到域控制器上，打开“Active Directory用户和计算机”控制台，如图12.24所示。,图12.24Active Directory用户和计算机控制台,2、配置用户帐户允许VPN连接,（2）依次展开“”和“user”结点，右键单击“Ad

19、ministrator”，在弹出的菜单中选择“属性”，打开如图所示的“Administrator属性”对话框，在“拨入”选项卡中选中“允许访问”，如图12.25所示。最后单击“确定”按钮即可。,图12.25设置网络访问权限,3、VPN客户端的配置,VPN客户端配置非常得简单，只需建立一个到服务器的虚拟专用连接，然后通过该虚拟专用的连接拨号建立连接即可。下来将以Windows Server 2003客户端为例进行说明，配置步骤如下：鼠标右键单击桌面上的“网上邻居”图标，选择“属性”，双击“新建连接向导”打开向导窗口，如图12.26所示单击“下一步”按钮，接着在“网络连接类型”窗口中选第二项“通过

20、Internet连接到专用网络”，继续“下一步”，如图12.27所示。在如图12.28所示的“网络连接”对话框中，选择“虚拟专用网络连接”，然后单击“下一步”按钮继续。,VPN客户端的配置,图12.28网络和共享中心界面,图12.27网络连接类型选择,3、VPN客户端的配置,单击“下一步”按钮，在此对话框中公司名中输入“foshan”如图12.29所示。单击“下一步”按钮，在出现的”VPN服务器选择”对话框中的“主机名或IP地址”文本框中输入“192.16.22.9”，如图12.30所示。,图12.30 VPN服务选择对话框,图12.29设置连接名,3、VPN客户端的配置,单击“下一步”，在出

21、现“可用连接”对话框，选择“只是我使用”，如图12.31所示。单击“下一步”按钮，接着出现如图12.32所示的“完成新建连接向导”对话框。,图12.32完成新建连接向导,3、VPN客户端的配置,单击“完成”按钮，出现“连接foshan”对话框，如图12.33所示。输入用户名和密码,单击“连接”按钮，经过身份验证后即可连接到VPN服务器。（7）打开“网络连接”界面，可以看到新建成功的VPN连接“foshan” 。,图12.33键入用户名和密码,3、VPN客户端的配置,(8)在客户端的命令行提示符下输入：ipconfig/all,可以看到该客户端获得的虚拟IP地址“172.16.22.13”，如图

22、12.34所示。,图12.34 DOS下查看客户端建立起VPN的情况,12.2.5 VPN的测试,测试的网络拓扑结构以如图12.36所示为例，其中所有的IP地址的掩码都是255.255.255.0。,图12.36 VPN测试环境拓扑结构,基于PPTP的远程访问的测试：,（1）这里以在VPN的客户端Client1上配置VPN虚拟连接的时候，单击属性，出现如图12.37所示的窗口，在网络选项卡中，单击“我正在呼叫的VPN服务器的类型”选择PPTP协议，确保客户端是通过PPTP协议与VPN服务器连接的。,图12.37 基于PPTP协议的登录测试,基于PPTP的远程访问的测试：,（2）通过PPTP建立

23、到VPN服务器的连接之后，可以在建立好连接的客户机上运行Web 浏览器。在Web浏览器中，输入http:/192.168.0.1/wnetStndS_v_s_rgb.gif。应看到Windows Server 2003 标准版界面。这时说明客户机通过PPTP到服务器的连接是正常的。（3）也可使用网络命令来测试，在确保没有禁止ICMP协议的前提下，在Client1上单击“开始 | 运行”，输入“CMD”命令并回车，出现命令提示符窗口。在命令提示符状态下输入ping 192.168.0.1命令，结果如图12.38所示。,12.3 Windows Server 2008路由,12.3.1 路由的概述

24、路由和远程访问（Routing and Remote Access）是Windows Server 2008系统提供的软件路由器，也是一个用于路由和互连网络工作的开放平台。它为局域网（LAN）和广域网（WAN）环境中的IP通信提供路由选择服务，通过路由器将到网际网络上某一位置的通信从源主机转发到目标主机。路由协议典型的路由选择方式有两种：静态路由和动态路由。,12.3.2 路由器的工作原理,1RIP协议2OSPF路由协议3间接路由4默认路由5管理距离6路由协议分类,12.3.3 配置Windows Server 2008为路由器,要将Windows Server 2008 配置为局域网路由器

25、，必须启用局域网路由。可按照下列步骤操作：单击“开始| 管理工具 | 路由和远程访问”以启动路由和远程访问服务向导。配置过程类似VPN服务器的配置，向导完成之后，可以看到如图12.39所示。,图12.39 IP路由配置窗口,12.3.3 配置Windows Server 2008为路由器,在控制台树中，鼠标右键单击服务器，然后单击快捷菜单上的“配置并启用路由和远程访问”。在接下来的公共设置窗口如图12.40所示，选择第5项“自定义配置”，以便可以灵活地设置该服务器。,图12.40 “设置”对话框,2.3.3 配置Windows Server 2008为路由器,在图12.41中，根据实际情况选择

26、适合的服务，选择“LAN路由”，这样便设置了Windows Server 2008计算机成为一台路由器，配置完毕之后的管理界面如图12.42所示。,图12.42 LAN路由配置界面,图12.41 选择服务器上要启动的服务,基本路由配置与测试,建立好Windows路由器之后，也要进行测试，确定路由器是否已经正常工作。设置如图12.43所示的测试拓扑结构。,图12.43 路由测试拓扑图,基本路由配置与测试,现在进行如下测试：（1）先在Windows路由器上停用路由和远程访问服务，然后在PC0上使用ping 192.168.1.1，此时ping失败。（2）在Windows 路由器上启用路由和远程访问

27、服务，然后在PC0上使用ping 192.168.1.1，此时ping成功。说明通过Windows的路由器，能将一个IP网段（192.168.0.0）的数据，转发到另一个IP网段（192.168.1.0）。,使用动态路由实现各个网段互访,要使用动态路由协议实现各个网段之间的互访，必须首先添加某种动态路由协议，可以打开路由和远程访问管理控制台，如图12.46所示。,图12.45 添加新路由选择协议,使用动态路由实现各个网段互访,单击左边的“IP路由选择”，然后在右边的常规中，单击右键选中“新路由选择协议”窗口，如图12.47示。选择的路由协议可以是OSPF和RIP。注意在同一个网络中的各个路由添

28、加的路由协议最好是一致的，否则可能存在路由的重新发布问题。这里选择添加RIP协议，因为其设置比较简单，适合小型网络.,图12.47 添加路由协议,使用动态路由实现各个网段互访,确定之后，会在IP路由选择下出现一个新的RIP项，如图12.48所示。,图12.48 新增RIP协议,使用动态路由实现各个网段互访,要配置RIP协议，则可以双击“RIP”，打开RIP配置窗口。在空白区域单击右键，选择“新接口”，将需要参与RIP路由的网络接口添加上去。各个接口具体的配置选项可以选中某个接口，然后单击右键，选择“属性”，进行详细的配置，如图12.49所示。,图12.49 RIP接口属性,12.4 常用网络命

29、令的介绍,1ping命令ping命令用于验证网络的连通性。ping命令的格式如下：ping -t -a -n count -l size destination-IP使用ping来测试网络的连通性时，按照以下步骤能较好地确定网络的故障范围：（1）ping 127.0.0.1用于验证是否在本地计算机上安装TCP/IP协议，以及配置是否正确。（2）ping 本机 IP 地址用于验证是否正确地连接到网络。（3）ping 默认网关的IP地址用于验证默认网关是否运行以及能否与本地网络上的本地主机通信。（4）ping 远程主机的IP地址验证能否通过路由器通信。（5）ping 某主机的DNS域

30、名验证本机DNS配置是否正常。,12.4 常用网络命令的介绍,2查看本机网络配置：ipconfig该命令在Windows 95/98中是使用winipcfg，而Windows 2000以后的版本才使用ipconfig。主要参数如下：/all：用于检查本机的全部配置信息，可以使用显示计算机的所有TCP/IP相关配置信息。/release：用于释放DHCP配置参数，包括已经分配到的IP地址、子网掩码和默认网关等。/renew：用于更新DHCP配置参数。此命令执行完之后，将获得新的IP地址。,常用网络命令的介绍,3net命令net命令是Windows所提供的一个功能强大的网络命令，其参数和子命令非

32、 -s Interval以上几个主要参数的含义是：-a：显示所有活动的 TCP 连接以及计算机侦听的 TCP 和 UDP 端口。 -e：显示以太网统计信息，如发送和接收的字节数、数据包数。该参数可以与 -s 结合使用。 -n：显示活动的 TCP 连接，不过，只以数字形式表现地址和端口号，却不尝试确定名称。,常用网络命令的介绍,5nbtstat命令用于显示基于TCP/IP的NetBIOS（NetBT）协议统计资料、本地计算机和远程计算机的 NetBIOS名称表和NetBIOS名称缓存。nbtstat可以刷新NetBIOS名称缓存和使用Windows Internet名称服务 (WINS) 注册的

33、名称。使用不带参数的nbtstat命令将显示帮助。,习题 12,12.1 什么是VPN？VPN中涉及的协议有哪些？分别在什么层次？12.2 VPN有几种应用场合，各有什么特点？12.3 某单位的办公局域网使用私有地址，通过防火墙接入Internet，现在为了方便公司的员工能在外地出差时，能访问公司内部的数据库服务器提取和上报资料，最好的解决方案是什么？请给出建议方案。12.4 什么是动态路由协议？12.5 什么是管理距离？它有什么用处？12.6 主机的默认路由起什么作用？是否可以不使用？12.7 某公司随着规模的扩大，由原来的一个办公网扩展成多个部门，现在你作为公司的网络管理员，请设计一个方案，保证各个部门都在一个小局域网，并且公司的各个部门之间也能进行通信。,实训12 Windows Server 2008中VPN的配置和实现,12.1 在Windows Server 2008服务器上配置VPN服务器。12.2 在Windows客户机上建立VPN连接。12.3 建立连接并进行VPN测试。,

展开阅读全文