攻城狮论坛-hcneh3cne hcseh3cse认证hcne hcse之书

第6章请求拨号路由Windows2000为请求拨号路由提供了强大的支持，请求拨号路由是一种点到点链接(例如模拟线、ISDN)的报文路由形式。请求拨号路由可以使用户连接到Internet、分支机构或者实现路由器到路由器的(VirtualPrivateNetwork，虚拟网)连接。关于建立PPP连接与PPP协议的信息，请参见本 7章“服务器”请求拨号路由是在PPP(Point-to-PointProtocol，点到点协议)上发送报文的法。在Windows2000路由器，PPP是作为一个请求拨号接口来表示的。请求拨号接口可以用来在拨号介质、非性介质以及性介质上创建基于请求的连接。在LAN(LocalAreaNetwork，局域网)与性的AN(WideAreaNetwork，广域网)链(或连接状态)。报文可以在没有任何物理连接或者逻辑连接的条件下被正常地发送。但是，请求拨号接口可能处于连接状态或者非连接状态。如果在报文被发送时这个接口正好处于非连接状态，那么必须使这个请求拨号接口在报文转发之前改变为连接状态。建连的程包建理接逻接及PPP，会在报文送的引入一个延迟(所谓的连接建立延迟)。连接建立延迟的时间大小随所建立的连接类型不同而不同(如物理连接或逻辑连接)。例模线在X.25拨号PAD(packetassembler-disassembler，器)上建立的延迟时间大约为10～20秒。而对于ISDN(IntegratedServicesDigitaletork，综合业务数字网)要3～5秒。对于在请求拨号连接上所使用的应用程序，连接建立延迟是一个非常重要的考虑因素。在这里必须考虑应用程序的两个行为：应用程序应该在经过多少时间之后废弃建立网络通信的企图，也即所谓的应用程序过期时间。如果应用程序的过期时间比连接建立延迟时间更长，应用程序就不能成功地建立通信并向用户报告出错消息。应用程序应该进行多少次建立网络连接的企图。在进行第一次网络连接建立企图时，网络流量将被发送到开始进行建立连接的请求拨号路由器。由于路由器中的缓冲器空间大小有限，使得在连接建立过到达的请求拨号连接建立报文有可能会覆盖掉初始应用程序的连接请求报文。如果这个应用程序多次进行建立连接请求，就有可能在连接建立成功之后成功地发送应用程序连接企图。那些具有很长的过期时间或者具有很多重试次数的应用程序有可能不会失败，而一直处于等待变为可用的状态。有的交互式应用程序(例如eb，net)在第一次试图连接时就有可能会失败。但是如果用户重新试图进行，它们将不会成功(这是因为第一次企图中已经创建了请求拨号连接。一旦连接被建立，报文就会通过这个请求拨号连接进行转发。由于请求拨号连接大多数都是按照连接时间进行计费的，因此，在经过所配置的空闲时间之后请求拨号连接将会被断开。请求拨号连接具有的优点是能够允许用户使用更为廉价的请求拨号AN，而且只是在被使用时才为它们。请求拨号路由不同于 ：只是将单个用户连接到网络上，而请求拨号路由则将网连接一起但是路与请拨路由都用PPP作为进行连接验以及数据装一协机正在Windows2000RoutingandRemoteAccess服务中实现的那，连接与请求拨号连接可以分别被开启，但它们具有以下的共同之处：安全特性(包括验证协议与加密方法)使用Windows或RADIUS(RemoteAuthenticationDial-InUserService，验证拨入用户服务)作为验证提供方。IP与IPX 点到点压缩)Multilink(多点)、BAP(BandwidthAllocationProtocol，带宽分配协议)排错机制，包括事件日志、Windows或者RADIUS验证与帐号日志、如果所使用的通信按照使用时间进行计费，那么应该用面向请求的连接。例如，长途模拟呼叫就是按照每分钟的单位来进行缴费。在使用面向请求的连接过，只有在有流量转发时才被建立，经过所设定的空闲时间之后，将被终止。在呼叫方路由器上配置空闲连接中断时，路由器将初始化这个，并将在请求拨号接口属性的General选项卡上设置空闲中断时间。在应答方路由器上配置空闲中断时，路由器将接受连接请求，并在由请求拨号连接所使用的策略的属性中的ial-InConstraints选项卡上设置空闲中断时间。在连接费用固定的情况下，性请求拨号连接将使用拨号的WAN技术，这种连接能够在每天24小时保持活跃状态。关于性请求拨号连接的WAN技术的例子有使用模拟线的本地呼叫、租借模拟链路、ISDN。如果某个性连接被断开，呼叫方路由器将会立即企图重新在RoutingandRemoteAccess插件中，右击RoutingInterface下的请求拨号接口，再单击在Options选项卡上，选择Persistentconnection。在RoutingandRemoteAccess插件中，右击RemoteAccessPolicies下的由请求拨号连接所使用的策略，再单击Properties。单击Editprofile在Dial-inConstraints选项卡上，清除Disconnectifidlefor用户必须对呼叫方路由器与应答方路由器都配置性连接。如果呼叫方路由器被配置为可以进行性连接，但应答方路由器被配置为空闲中断方式，那么应答方路由器就会在指定的空闲时间段后产生中断。这时，呼叫方路由器就必须经常性地重新建立请求拨号连接，从而导致在报文转发过产生与连接建立延迟相当的暂停时间。对于初始化为双向的连接方式，根据连接初始化的设置，各个路由器都可以成为应答方路由器或者呼叫方路由器。两个路由器都必须被配置为可以初始化以及接收请求拨号连接。如果需要来自各个路由器的流量都必须可以创建请求拨号连接，就应该使用初始为双向的连接方式。初始为双向的连接方式需要：两个路由器都被配置为LAN路由器或者WAN路由器用户帐号必须添加在两个路由器上，一边呼叫方路由器的验证信息可以被应答方路由器所接受与验证。请求拨号接口必须在两个路由器上都进行完全配置(而且接口名应该与呼叫方路由器所使用的用户帐号相同)，这些完全配置信息包括应答方路由器的以及呼叫方路由器为了使初始化为双向的请求拨号路由能够正常地工作，呼叫方路由器的用户名必须与连接6-1中显示了这种配置方式的一个例子。表6- 路由 请求拨号接口 用户帐号协协分对于初始化为单向的连接，一个路由器总是为应答方路由器，而另一个路由器则总是为呼叫方路由器。在初始化为单向的连接中，路由配置信息就比较简单，这是因为不需要在连接的双方都进行用户帐号、请求拨号接口、静态IP路由的完全配置。通常，在应答方路由器上需要配置请求拨号接口以及静态路由，而在呼叫方路由器中用户帐号的拨号属性中添加静态路由。连接建立起来之后，呼叫方路由器用户帐号上的静态路由就被添加到应答方路由器的IP表。如果路由协议可以用来传输新的静态路由，那么在连接被建立的时刻与应答方路由器所在的网络上的所有路由器新路由器的存在这个时刻之间有一个时间延迟。因此，呼叫方路由器的网上的主机也会经历一个延迟时间，才能接收到从应答方路由器的网上的主机返回的流量。如果用户的应答方路由器处于Windows2000工作方式或者处于WindowsNT4.0工作方式，那么用户帐号上的静态路由就不可获取。在这种情况下，初始化为单向的连接就被必须具有：两个路由器都被配置为LAN路由器或WAN路由在呼叫方路由器上利用用户帐号的用户配置了一个请求拨号接口。而在应答方路由器上也利用呼叫方路由器所用的相同用户帐号名配置了一个请求拨号接口。应答方路由器的请求拨号接口不能用来进行连接的挂断，因此，应答方路由器也就没有配置呼叫方路由器的或者呼叫方路由器的合法用户口令。请求拨号路由方式中的主要组件是呼叫方路由器、应答方路由器以及它们之间的连接介质，如图6-1RoutingandRemoteAccessService(RoutingandRemoteAccess服务)呼叫方路由器上的RoutingandRemoteAccess服务必须被配置为LAN路由器或WAN路由器，而且必须被配置Port(端口)端口是一种可以支持单个PPP的逻辑通信隧道或者物理通信隧道。物理端口是基于安装在呼叫方路由器上的设备实现的。而(VirtualPrivateNetwork，虚拟Demand-dialinterface(请求拨号接口)呼叫方路由器上的请求拨号接口表示的是PPP，其中包含有各种配置信息(例如，所使用的端口，用来创建连接的编址方式(例如)、验证方法以及加密方法等等)网应答方路由连接介呼叫方路由 网应答方路由连接介呼叫方路由网图6-1请求拨号路由组RoutingandRemoteAccessService(RoutingandRemoteAccess服务)应答方路由器上的RoutingandRemoteAccess服务必须被配置为LAN路由器或WAN路由器，而且必须被配置 端口是一种可以支持单个PPP的逻辑通信隧道或者物理通信隧道。物理端口是基于安装在应答方路由器上的设备实现的。而端口则是属于逻辑端口。Useraccount(用户帐号) Windows2000安全机制来获取。如果应答方路由器被配置为需要进行RADIUS验证，那么在Dial-in选项卡上，必须被设置为Allowaccess或者为ControlaccessthroughRemoteAccessPolicy。在General选项卡或者Account选项卡上，必须将Usermustchangepasswordatnextlogon设置为失效，而将Passwordneverexpires设置为开启。对于初始化为单向的连接，就应该在请求拨号连接建立起来之后对添加到应答方路由器路由表上的静态IP路由进行配置。Demand-dialinterface(请求拨号接口) 的请求拨号接口就代表连接到呼叫方路由器的PPP连接。对于呼叫方路由器的用户帐号上 对于初始化为双向的连接，呼叫方路由器路由表上的IP路由或者IPX路由就IP路由对呼叫方路由器上的用户帐号进行配Remoteaccesspolicy( 策略)为了指定面向请求拨号连接的特定连接参数，用户可以创建一个单独的策略，这个策略使用为这个组所设置的Windows-Group属性(而这个组中具有呼叫方路由器上的所有成员的用户帐号)。用户并不需要为请求PPP要么是在物理介质上建立起来的，要么是在隧道介质上建立起来的。物理介质包括模拟线以及ISDN。隧道介质包括PPP(Point-to-PointProtocol，点到点协议)以及L2TP(LayerTwoTunnelingProtocol，第二层隧道协议)。以下序列列出了请求拨号路由过程的基本框架(Windows2000路由器时如果连接状态为“Disconnected”，IP发送器组件或者RIP发送器组件就利用指令调用动态接口管理器(DynamicInterfaceManager)来获取路由上的请求拨号接口。动态接口管理器检查接口上所配置的挂断时间以及请求拨号过滤器。如果挂断时间或者请求拨号过滤器不允许进行请求拨号连接的初始化，这时连接企图就被中断并且接口被设置为Unreachabilityreason(不可到达的原因)。关于Unreachabilityreason的信息，请参见本章后如果请求拨号连接被，动态结构管理器就从SystemRoot\system32\ras\router.pbk获取到所需请求拨号接口的配置信息。接在直接串行或直接并行配置方式中，没有使用。而是在使用串行端口或者并行对于调制解调器端口或者ISDN端口，就使用所配置端口上的进行拨号。如果这个已配置的端口不能使用，就使用相同类型的另一个端口。如果没有任何相同类型的其他端口可Unreachabilityreason。对于连接，所配置的IP地址或者主机名被用来建立PPTP隧道(对于PPTP连接)或者一个IPSec安全连接以及一个L2TP隧道(对于IPSec连接上的L2TP)。一旦物理连接或者逻辑连接被建立，PPPPPP连接中与请求拨号连接有关的特定行为如下：应答方路由器为请求呼叫方路由器配置一个IP地址，而呼叫方路由器也为应答方路由器配置一个IP地址。为了防止两个路由器所配置的IP地址，应该保证所分配的IP地址处于不同如果呼叫方被配置的IP地址是DNS( NameSystem，系统)服务器或者WINS(WindowsInternetNameService，WindowsInternet名服务)服务器地址，就不需要DNS服务器以及WINS服务器的IP地址。如果呼叫方路由器没有被配置为DNS服务器以及与Windows2000客户不同，呼叫方路由器不会创建缺省的路由或者向应答方路由器发送DHCPINFORM消息。缺省情况下，呼叫方路由器不会使用应答方路由器DNS服务器或者WINS服务器对自己进行，除非值RegisterRoutersWithNameServers(在HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasman\PPP\ControlProtocols\BuiltIn中)被设置呼叫方路由器上的口令信息是基于PPP验证协议在PPP验证过发送的。将连接属性发送给所配置的RADIUS服务器。如果RADIUS服务器是一个Windows2000IAS(InternetAuthenticationService，Internet验证服务)服务器，它将检查适当的用户帐号数据库以及策略来接受这个连接。如果呼叫方路由器上的用户帐号配置了静态路由，这些路由将在应答方路由器的IP路由应答方路由器将在SystemRoot\System32\ras\route.pbk上查找与呼叫方路由器上的用户帐号名相匹配的请求拨号接口名。如果找到了与呼叫方路由器用户名相匹配的请求拨号接口名，请求拨号接口将变成一旦PPP(通过在请求拨号接如果呼叫方路由器上的用户名不能与请求拨号接口名相匹配，呼叫方路由器将作为访问客户而被终止。如果没有任何静态路由配置在用户帐号上，那么这种失败就可能是路由问题导致的。例如，如果应答方路由器使用了一与呼叫方路由上的请求拨号接口不相对应的用户，这时，呼叫方路由器就将被认为是 客户而非路由器。来自呼叫方路由器网络上的报文被通过请求拨号连接转发，然后由呼叫方路由器转发。但是，如果发送给呼叫方路由器网络的响应报文被应答方路由器所接收，那么呼叫方路由Disconnected”状态，应答方路由器就会试图与呼叫方路由器建立一个请求拨号连接。如果这时正好有另一个相同类型的端口可以使用，就可能会建立第二个请求拨号连接。如果没有任何相同类型的端口可以使用，报文将被废弃并且设置为不可到达状态。因此，这样的结果是，要么建立了两个请求拨号连接(但这时只需要一个)，要么报文被废弃。典型情况下，路由器到路由器连接被用来将两个连接到一起(如果两个路由器都通过性WAN，如T1或Frame连接到Internet上)。在这种配置方式下，连接是永久性的，每天24小时有效。但是，如果这种性的WAN不可能建立或者不实际，用户就图6-2表示了一种面向请求的路由器到路由器隧隧网分路由拨号连图6-2面向请求的路由器到路由器连一个面向请求的路由器到路由器连接包括有两个在客户方(呼叫方路由器)上所配置拨号到本地ISP为路由器到路由器当用户需要将某个流量路由到特定的位置时，就会自动建立一个面向请求的路由器到路由器连接。例如，在一个分支配置中，如果接收到一个需要被路由到协作中的报文，分支路由器就将使用拨号来连接到本地ISP上，然后与位于Internet上的协作办公室路由器创建一个路由器到路由器连接。意在里的论中假设作路器(应方路由器已通过A链接连接到Internet上。用户也可以通过使用拨号AN将两个路由器连接到Internet上。但是，这种情况只有在Interne服务提供者为用户提供了面向需求的拨号路由支持时才有效。在IPISPISP用户可以按照以下的步骤，在分支路由器上配置面向需求的路由器到路由器为所配置的设备(调制解调器或者IN设备)创建进行nteret连接的请求拨号接口，并设置本地I用及以行ntere能力。为配置为端口(PPTP端口或者L2TP端口)的结构路由器的连接创建请求拨号接口，因为协作路由器设置进行Internet的接口IP地址，以及设置可以由服务器验证用户名与用户口令。其中，用户名必须与协作路由器上的请求拨号接口名相对应。为使用ISP请求拨号接口的协作路由器的Internet接口创建静态主机路由IP地址为使用请求拨号接口的协作网的IP网络创建静态路由。为那些配置为端口(PPTP端口或者L2TP端口)的分支的连接创建请求拨号接口。请求拨号接口的接口名必须与分支路由器中用来创建连接的用户验证信为那些使用请求拨号接口的分支上的IP网络ID创建静态路由路由器到路由器连接是通过以下的方法由分支路由器自动进行初始化的那些从分支某台计算机上发送给协作网络的报文被发送给分支路由器分支路由器检查自己的路由表并查找一条到达协作网的路由(使用请求号接口)分支路由器检 请求拨号接口的状态，并发现它处于非连接状态分支路由器检索 请求拨号接口的配置信息 请求拨号接口的配置信息，分支路由器将试图对位于Internet上的协作办 服务器的协作路由器发送一个TCP报文(通过使用PPTP)或者一个UDP报文(通过使用IPSecL2TP)。这样，就创建了 为了将 建立报文发送给协作路由器，分支路由器将检查自己的路由表并查找使用ISP请求拨号接口的主机路由。分支路由器检查ISP请求拨号接口的状态，并发现它处于非连接状态分支路由器获取到ISP请求拨号接口的位置信息基于ISP请求拨号接口的配置信息，分支路由器将使用自己的调制解调器或ISDN设备与自己的本地ISP进行拨号并建立一旦ISP连接被建立 建立报文就被发送给协作路由器在分支路由器与协作路由器之间就建立起了路由器到路由器的 协作路由器检查自己的请求拨号接口并发现有一个接口名与所发送的验证信息的用户名相匹配，就将这个接口状态改变为连接状态。分支路由器通过 当这个网对分支上的用户所发送的报文进行响应之后，报文就被发送给协作协作路由器检查自己的路由表并发现一个到达使用 协作路由器监 请求拨号接口的状态，并发现它处于连接状态响应报文通过Internet被转发(使 连接)响应报文被分支路由器接收并发送给原始用户通过手动测试请求拨号连接，用户可以测试到PPP是否可以被建立。手动测试可以确认在RoutingandRemoteAccess插件中，双击RoutingInterfaces单击Connect一旦请求拨号接口被建立，请求拨号接口中的ConnectionStatus列的值就从Disconnected状通过自动测试请求拨号连接，用户可以测试到请求拨号连接是否在当与所配置的路由相匹配的报文被发送给请求拨号路由器时被自动地初始化。在进行自动测试之前，应该确保呼叫方路由器以及应答方路由器上都配置了适当的静态路由。为了测试自动连接，应该确保被测试的请求拨号接口处于非连接状态。然后，为那些通过请求拨号连接可以存在的位置产生一个网络流量。一种简单的产生IP流量的方法是使用命令或者tracert在使用命令或者tracert命令的过，由于连接立延迟的存在，第一次使用这些命令可能会导致失败。但是，通过这些接口所发送的第一个报文可以建立起请求拨号接口。从而使得在这些连接建立起来之后所发生的后续命令可以获得成功。从应用程序的角度在查看这种连接建立程的是，用带命令选项“-t”的命令来连续不断地发送ICMPEchoRequestRequesttimedout然后就可以得到响应报文。利用Rasmon请求拨号接口的连接状态可以从RoutingandRemoteAccess插件的RoutingInterfaces看到。但是，关于请求拨号连接的详细信息(例如，速度、设备统计信息、连接统计信息、设备出错信息)就不能在这里看到。为了查看这些由路由器所初始化的请求拨号连接信息，可以运行请求拨号路由器上的RasmonResourceKit工具。只有被充当呼叫方路由器的路由器所初始Rasmon中出现。而那些充当应答方路由器的路由器上请求拨号接口RasmonResourceKit工具与WindowsNT4.0中的Rasmon工具相等价。•呼叫方关于回调、呼叫方ID以及帐户锁定的信息，请参见本“服务器”以及Windows2000ServerHelp。呼叫方路由器上的用户帐号必须是应答方路由器上或者RADIUS服务器(如果使用了RADIUS验证方式)安全数据库中的合法帐号。而且，这个用户帐号要么被允许进行，要么在用户帐号中被特别可以进行(也就是说，用户帐号上拨号属性的 为Allowaccess)，或者，在策略的项中被特别(用户帐号上拨号属性的项被设置为ControlaccessthroughRemoteAccessPolicy并且相匹配的策略被设置为Grantremoteaccess)。作为PPP连接建立过程的一部，呼方路器的用必须验证用户验证可通过以下某种PPP验证方法进行：PAP(PasswordAuthenticationProtocol，口令验证协议SPAP(ShivaPasswordAuthenticationProtocol，Shiva口令验证协议CHAP(ChallengeHandshakeAuthenticationProtocol，竞争握手验证协议MS-CHAPv1( ChallengeHandshakeAuthenticationProtocolversion1，MS-CHAPv2( ChallengeHandshakeAuthenticationProtocolversion2，EAP-MD5(ExtensibleAuthenticationProtocol-MessageDigest5CHAP，可扩展协议-消息EAP-TLS(ExtensibleAuthenticationProtocol-TransportLayerSecurity，可扩展协议-传输层在除了EAP-TLS之外的上述所有验证方法中，呼叫方路由器上的验证信息都包括用户名、域、口令。在除了AP之外的上述所有验证方法中，口令都是在加密之后或者以散列方法在连接在EAP- TLS验证方法中，呼叫方路由器的这信息包括由应答路由器所指定的用户EAP-TLS需要有一个PKI(PublicKeyInfrastructure，公共密钥结构)来发送以及验证这个当IPSec被用来进行IPSecL2TP请求拨号连接时，就会在IPSec安全建立的过通过计算机(也就是所谓的机器)交换来执行计算机级验证。EAP-TLS验证方法时，应答方路由器将通过发送自己的计算机证计算机需要PKI(PublicKeyInfrastructure，公共密钥结构)来发送与验证自己的单向在单向验证方式中，呼叫方路由器向应答方路由器对自己进行验证。AP、SPAP、CHAP、MS-CHAPv1以及EAP-MD5验证方法都只提供从呼叫方路由器到应答方路由器的验证信息的传输。在单向验证方式中，呼叫方路由器不能接收到任何验证信息用来表明应答方路由器是所需要的路由器。单向验证方法不能提供对非或者应答方路由器的保护。相互在相互验证方式中，呼叫方路由器向应答方路由器对自己进行验证，同时，应答方路由器向呼叫方路由器对自己行验证。也就是，连接在端都需要对另一端的进行验证。MS-CHAPv2以及EAP-TLS在MS-CHAPv2验证方式下，连接的双方都发送一个散列字符串以及用户口令。如果这个过在EAP-TLS验证方式下，呼叫方路由器发送一个可以被应答方路由器验证的用户，应答方路由器则发送一个可以被呼叫方路由器验证的计算机。EAP-TLS是最为安全的相互验证方式，但是它需要PKI支持。注意带有RRAS的WindowsNT4.0这是一个称为双向验证的功能。在双向验证方式中，方路由器必须对自己的进行验证。Windows2000呼叫方路由器不会要求Windows4.0RRAS应答方路由器进行验证。但是，在WindowsNT4.0RRAS呼叫方路由器请求的情况为应答方路由器的Windows2000应答路由器就必须对自己的进行验证。在请求拨号连接方式下，有两种形式的加密方法可以使用：MPPE( 点到点加密)以及IPSec(InternetProtocolSecurity，Internet协议安全)。所有的PPP(包括PPTP，但不包括L2TP)，可以使用MPPE( Point-to-PointEncryption， 点到点加密)。MPPE使用RSA(Rivest-Shamir-Adleman)RC4流而且只在使用了EAP-TLS验证方法、MS-CHAPv1或者MS-CHAPv2验证方法的情况下才使用。MPPE可以使用40位、56位或者128位的加密。40位的加密主要是为了向后兼容而设计的。缺省情况下，呼叫方路由器与应答方路由器所支持的最高位数是在连接建立的过被确定的。如果应答方路由器需要一个比呼叫方路由器所能够支持的最长位数更长的对于使用IPSecL2TP的请求拨号连接，这时的加密方法是由IPSecSA(SecurityAssociate，带有56位的请参见本第9章“虚拟网”。关于IPSec的信息，请参见本套书第3卷《TCP/IP连网技术》中的“InternetProtocol安全”。请求拨号接口上的IP报文过滤器以及IPX(滤器)以及也许从接口中发出(通过输出过滤器)的流量类型。只有在请求拨号接口处于连接状态时，IP报文过滤功能以及IPX报文过滤功能才有效。对于外部网，报文过滤功能非常有用(因为，外部网是网的一部分而且这部分网络可以被商业通过请求拨号接口)。例如，当某个商业建立一个请求拨号连接时，请求拨号接口上的报文过滤器就能够将TCP/IP流量限制在特定的IP地址与TCP端或者UDP端TCP/IP报文过滤器除了可以进行请求拨号接口报文过滤之外，还可以在配置为呼叫方路由器的策略的配文件中进行配置虽然基于置文件的策略TCP/IP报文过滤器主要是为了限制 连接的流量而设计的，但它也可以用来进行请求拨号路由。如果所有的请求拨号连接都享相同的RIP报文过滤器以及 策略，用户就可以不用在许多请求拨号接口上配置相同的IP报文过滤器，这是因为 策略Profile报文过滤器允许用户为所有的请求拨号连接进行一次IP报文过滤器配置。如果用户已经利用了RoutingandRemoteAccess插件中的Demand-Dializard来创建请求拨号接口，那么这个向导上的ProtocolsandSecurity页上的Addauseraccountsoaremoteroutercandialin选项就可以用来创建一个由呼叫方路由器所使用的新用户帐号。当这个选项被选中之后，就会在请求拨号接口被创建的路由器上所使用的安全帐号数据库中创建一个与请求拨号接口同名的用户帐号。表6- 用户帐号被Demand-DialWizard所创建的位路由 帐号所创建的位单独的帐 这是一个本地帐号，可以看成是由LocalUsersandGroups插件所创建 这是一个域帐号，可以看成是由ActiveDirectoryUsersandGroups插件所创建的 这是一个本地帐号，可以看成是由LocalUsersandGroups插件所创建的，Windows2000本地模式域路由器或者单独帐号路由器中新帐号的访问权都被置为Allowaccess，而新创建的帐号的缺省则被设置为ControlaccessthroughRemoteAccessPolicy。如果用户通过策略管理模块来使用这些权限，这种设置将有可能会产生一些。因此，在策略管理模块中，所有用户帐号的权限都被设置为ControlaccessthroughRemoteAccessPolicy，而单个策略的权限则被设置为Grantremoteaccess或者enyremoteaccess。在用户帐号被创建之后，它所使用的是当前缺省口令设置以及为自己的域所设置的策略。(表属性的cout选项卡中进行设置)：Usermutchangepasswordatnextlogon过Demand-DialWizard所创建的帐号手工关闭这一项设置。否则，就有一个请求拨号路由器不能利用这个帐号进行连接。当呼叫方路由器发送它的验证消息时，呼叫方路由器将被询问是否改变口令。由于请求拨号连接的初始化过程不是可以进行包括用户在内的交互式过程，因此呼叫方路由器就不能改变口令以及取消连接企图。开启Passwordneverexpires由于请求拨号连接过程不是交互的，因此，如果有口令过期虽然面向请求的请求拨号路由能够提供比AN更低的开销，但是请求拨号路由器所进行的每次连接都会引入开销。例如，号模拟线路的开销就与时间以及距有关。对于ISDN，用户除了必须为时间以及距离之外，还必须为每次呼叫。为了防止请求拨号连接发生(从而减少进行每次连接的开销)，Windows2000请求拨号路由允为了创建连接，请求拨号过滤器被用来指定为什么类型的TCP/IP流量创建连接或者忽略这个流量。例如，如果用户只希望为eb流量进行请求拨号连接的初始化，就可以将请求拨号过滤器设置为只有到达TCP目标端口80的流量可以初始化这个接口。请求拨号过滤器是相对于处于非连接状态的请求拨号接口而。在RoutingandRemoteAccess插件中，双击RoutingInterfaces单击SetIPDemand-Dialfilters单击Add，配置过滤器设置信息，再单击OKOnlyforthefollowingtraffic置的过滤器相匹配的流量进行请求拨号连接初始化；要么是Foralltrafficexcept，这时就可以对注意请求拨号过滤器不同于PIPP，建议用户先要配置那CP/IP流量从请求拨号接口流出的IP出报文过滤器激活，再配置与请求拨号过滤器相同的其他过滤器。这样，就不会建立那种被P拨号挂断时间用来说明在什么时候请求拨号连接可以被创建。利用拨号挂断时间，用户可以指定在一天的什么时候以及在一星期的哪一天求拨号连接应该被允许或者被例如，如果某个特定的请求拨号连接只希望在平日的深夜12点到凌晨４点之间被接通用来进行数据备份，用户就可以将拨号挂断时间设置为只允许在那些天的那些时间段进行正常的连接。在RoutingandRemoteAccess插件中，双击RoutingInterfaces单击Dial-outHours在Dial-outHours框中，选择允许或者进行连接的日期以及时间段，再单击OK。用来与所配置的拨号挂断时间进行比较的日期与时间是以请求拨号接口所在 2000路由器的当前日期与时间为基准的。缺省情况下，所有日期的所有时间都被允许进行连接。如果当前时间与在拨号挂断时间中的请求拨号接口被的时间相对应，这种处于连接状态的请求拨号接口不会自动地被断开连接。也就是说，拨号挂断时间只作用于那些处于非连接状态的请求拨号接口。Windows2000RoutingandRemoteAccessService(IPRIP、OSPF、IPXRIP、IPXSAP)中所提供的路由协议具有一个周期性的行为，这个行为可能会使每个都创建接或者在间隔时间小于空闲挂断时间的情况下连接一直处于接通的状态。正是由于典型的拨号AN在时间、距离以及开方面的考虑，在面向请求的连接上运行路由协议是一种不可取的方法。请求拨号路由的静态路由或者是手工配置的，或者是利用自动静态更新来自动进行配置的，这将在本节后面进行讨论。静态路由的手工配置就是添加那些通过请求拨号接口可以的静态路由(利用RoutingandRemoteAccess插件)。对于TCP/IP流量，用户必须向其中添加静态IP路由。添加使用请求拨号接口的静态IP在RoutingandRemoteAccess插件中，右击IPRouting，再右击Staticroutes选择New，再单击Staticroute在Interface分别为Destination、Networkmask与MetricUsethisroutetoinitiatedemand-dialconnections。注意在请求拨号接口被选择时，Gateway域并不可使用。请求拨号接口是一种点到点的对于IPX流量，必须添加静态IPX路由以及静态SAP服务在面向请求的连接上使用缺省IP用户在使用缺省IP路由时(0.0.0.0/0)必须非常。虽然缺省路由可以用来简化面向请求连接的静态路由的配置过程，但是用户必须了解到这其中的隐含意义。缺省IP路由能够有效地综合所有的IPIP报文。在使用缺省路由的过，实际上是作了这样的假设，即所有的其他目标都在缺省路由的这个方向上。如果用户使用请求拨号接口连接到Internet上，这是一个有效的假设。但是，如果用户使用请求拨号接口将分支连接到网的协作上，使用缺省路由就必须经过仔细的考虑。如果某个缺省IP路由被配置为使用请求拨号接口，请求拨号连接就可以被设置为对那些不可到达的IP报文进行始化例，如有某组织IP网络10.0.0.0/8作为它的地址空间，而某个分支使用10.1.1.0/24作为分支主机的地址空间，那么，分支路由器上的静态路由就可以按照以下的方法进行配置：10.0.0.0/8希向IP地址为192.168.0.1的目标发送流量，这时分支上的路由器在它的路由表中并没有为这个报文准备路由。这样，这个报文就会被废弃并发送给发送方主机一个ICMPDestinationnreachable-Hotnreachable消息。0.0.0.0/0如果分支中希望向IP地址为192.168.0.1的目标发送流量，这时分支上的路由器将会初始化这个连接并通过请求拨号连接向协作路由器发送报文。协作路由器以及协作专用网络上的其他任何路由器在它们的路由表中都没有这个报文的路由。这个报文将会被废弃并发送给发送方主机一个ICMPetinationnrachabe-otnreacable在分支连接方式中使用缺省路由时，对于那些不可到达的流量可能会产生不可预测的结果。在静态路由的数目很少的情况下，利用手工输入这些静态路由也许是一种可以采取的方法，但是，当路由器的数目很多或者路由会发生改变时，采用手工配置的方法就不再是一种可行的管理策略。为了能够向Windows2000RoutingandRemoteAccess服务支持在请求拨号接口上进行自动路由更新的功能。自动静态更新要求在连接的另一方路由器上看到所有已知的路由与服务，并将它们添加到请求路由器的路由表中。自动静态更新是一种单一时间、单一方法的路由信息交换。当路由发送去之，这个路器之不会期性它们的息即使仍然保持为连接状态)。注意这里自动静态(autostatic)中的“auto”是指在路由表中静态路由被自动地添加。在为了能够使用IP路由的自动静态更新功能，请求拨号接口必须被添加到RIP路由协议中。请求拨号接口上RIP的缺省操作模式是Autostaticupdatemode。缺省发送报文协议是RIPversion2multicast。在利用另一个Windows2000路由器来初始化接口时，这些缺省设置是正确的。为了能够使用IPX路由与SAP服务的自动静态更新功能，请求拨号接口必须被添加到RIPforIPX路由协议与SAPforIPX路由协议中。请求拨号接口上IPXRIP的缺省更新模式是Noupdate。用户必须将这种更新模式改变为Autostatic。请求拨号接口上IPXSAP的缺省更新模式是No在RoutingandRemoteAccess插件中，双击IPXRouting对于IPXRIP，单击RIPforIPX，右击适当的请求拨号接口，单击Updatemode下的对于IPXSAP，单击SAPforIPX，右击适当的请求拨号接口，单击Updatemode下的注意当被要求进行自动静态更新时，那些通过先前的自动静态更新来获取的现存路由将就不能取代那些被删除的路由。因此，这样就有可能导致到达网络上的连接信息的用户可以按照以下方法在请求拨号接口上对静 IP路由进行手工更新在RoutingandRemoteAccess插件中，双击IPXRouting，再双击General右击适当的请求拨号接口，再单击UpdateRoutes如果请求拨号接口处于非连接状态，连接将自动建立。在处于连接状态之后，就开始进行自动静态更新。自动静态更新只是从呼叫方路由器向应答方路由器传输路由信息，并在应答方路由器上执行后续的过程。IP路由信息的传输通过IPRIPGeneralRIPReques消息。在连接的另一方的路由器将利用RIPRequest消息作为响应(在这个响应消息中，包含有IP路由表上所有适当的路由信息)。请求方路由器所接收到的RIP路由将被作为静态路由自动地加请方由的IP路由表中。关于RIP消息的信息，请参见本书中第3章“单点传送IP用户可以按照以下的方法，在请求拨号接口上手工地更新静态IPX路由与SAP服务在RoutingandRemoteAccess插件中，双击IPXRouting并打开General右击适当的请求拨号接口，再单击 Routes与IP自动静态更新一样，如果请求拨号接口处于非连接状态，连接将会被自动建立。处于连接状态之后，自动静态更新就开始工作。自动静态更新只是从应答方路由器向呼叫方路由器传输路由信息与服务信息。如果要从呼叫方路由器向应答方路由器传输路由信息与服务信息，就必须在应答方路由器上执行上述过程。IPX路由信息的传输是通过IPXRIP来进行的。更新动作已经被初始化的路由器将发送一个RIPGeneralRequest消息。处于连接另一端的路由器将利用RIPResponse消息进行响应(这个响应消息中包含有路由表中所有适当的路由信息)。被请求方路由器所接收到的IPXRIP路由将被作为静态路由添加到请求方路由器的IPX路由表中。关于RIP消息的信息，请参见本第5章SAP服务信息的传输是通过IPXSAP来进行的。更新动作已经被初始化的路由器将发送一个SAPGeneralRequestSAPResponse消息进行响应(这个响应消息中包含有SAP服务表中所有适当的服务信息)。被请求方路由器所接收到的SAP服务将被作为静态服务添加到请求方路由器的SAP服务表中。关于SAP消息的信息，请参见本书通过利用批处理文件或者netsh与Windows2000ScheduledTasks的结合，可以创建一可周期性发生的自动静态更新动作。为了利用IPRIP与netsh进行自动静态更新，必须运行netshinterfacesetinterfacename=<Demand-Dialinterfacename>netshroutingipripupdate<Demand-Dialinterfacename>netshinterfacesetinterfacename=<Demand-Dialinterfacename>例如，为了利用一个名为opub的请求拨号接口对P路由进行更新，所应该使用的neth命netshinterfacesetinterfacename=CorpHubconnect=CONNECTEDnetshroutingipripupdateCorpHubnetshinterfacesetinterfacename=CorpHubnetsh命令可以从Windows2000批处理文件中运行或者放置在netsh文件中运行。例如，interfacesetinterfacename=CorpHubconnect=CONNECTEDroutingipripupdateCorpHubinterfacesetinterfacename=CorpHubnetsh-f在创建Windows2000批处理文件或者netsh文件之后，就可以通过Windows2000ScheduledTasks将它配置为周期性地运行。6.6.2性连对于性的请求拨号连接，路由协议可以被开启为与LAN接口方式一样工作，提供对路由表的动态更新。表6-3中列出了性请求拨号连接上路由协议的特定配置方法。表6- 路由协 配置改IP 将缺省值操作模式改变为PeriodicOSPF 在OSPF接口的General选项卡中选择点到点网络类型。这是请求拨号接口的缺省值网络类型。对于性路由器到路由器连接，用户也许会希望增加传输延迟、重新传输间隔时间、呼叫间隔时间以及取消动作的间隔时间(这需要在OSPF接口的General选项卡中设定)，以便适应OSPF报文在Internet上传输的时间要求IPX 将更新模式改变为IPX 将更新模式改变为在各种情况下(包括自动静态更新)，由Windows2000RoutingandRemoteAccess服务所提供的路由协议都必须运行的连接。 PPP连接过，这个的连接被赋 IP地址或者RoutingandRemoteAccess服务可以支持非的连接，但路由协议不能在其上正常工作。非的连接通常被用来对ISP进行号因它想费到连的IP地址。Internet连接之所以可以进行非的连接，是因为用户一般都会设置缺省静态IP路由，而不是运行路由协议。使用多链路以及请求拨号路由过可以使用多链路以及BAP(BandwidthAllocationProtocol，带宽分配协议)来自动地向多链路PPP连接中添加物理连接(网络流量增加)或删除物理连接(网络流量减少)在RoutingandRemoteAccess插件中，双击RoutingInterfaces右击RoutingInterfaces，指向New，再单击Demand-dialinterface右击请求拨号接口，再单击Properties在Connectusing下的General选项卡中，选择进行连接所需要使用的调制解调器或者端口，如果每个单独的物理连接都调用不同的号码，则应该清除Alldevicescallthesa 在Multipledevices下的Options选项卡中，单击Dialdevicesonlyasneeded单击Configure用来指定什么时候需要建立新的物理连接以及什么时候现存的物理连接应该被断开。图6-3显示了AutomaticDialingandHangingUp框。在Automaticdialing下，选择进行新的链路拨号的适当条件。缺省设置是现有MP连接容量在Automatichangup下，选择挂断某个链路的适当条件。缺省设置是现有MP连接容量图6-3AutomaticDialingandHangingUp注意如果在使用不带BAP的多链路时有一多链的断开这个将会动被新接为对这已断的接进重接，必使用BAP将的设置信息配置为总是在请求拨号连接被创建时对进行初始化，并且总是在被ctivityatleat设置为%Durationatlea3基于IPX的请求拨号连接与其他的请求拨号连接方式有两点不同(IPX连接协商的参数)，分IPXCP(IPXControlProtocol，IPX控制协议)是一种PPP连接上的IPXLCP(LinkControlProtocol，链路控制协议)，关于这种协议，在RFC1552中有详细说明。IPXCP是IPX连接的缺省控制协议。关于IPXCP的信息，请参见本第7章“服务器”。IPXIPXWAN是一种被NovellNetWare以及相兼容的其他服务器与路由器所使用的控制协议。用户在使用NovellNetWare服务器(路由器)或者其他支持IPXWAN控制协议的其他路由器时可以使用IPXWAN。利用RoutingandRemoteAccess插件打开IPXRouting，然后再单击General单击IPXCP或者IPXWAN，再单击OK。NCPWatchdog电子NovellNetWare用户利用一种文件共享协议(所谓的NCP(NetWareCoreProtocol，NetWare心协议))与NovellNetWare服务器进行通信。NCP是一种面向连接的、可靠性很高的协议，它能够在NetWare网络提文件享以共。NCP连接被建立起来之后，这个连接就必须使用NCPatchdog协议来。NCPWatchdog，Netare服务器使用这种协议建立Netare客，来证户否及在开的NCP连接上操作。NCPWatchdog报文是一种NetWare服务器上的适配器向Netare客户所发送的消息，这个消息中包含有NCP连接号以及签名字符(0x3F)。如果客户在连接上仍然处于活跃状态，客户将向NetWare服务器返回自己的连接号以及签名字符。缺省情况下，如果某个用户在4分56.6秒的时间内没有发送任何NCP连接数据，NetWare服务器就将发送一个NCPWatchdog报文。如果没有接收到这个报文的响应消息，NetWare服务器将以59.3秒为时间间隔再发送10个NCPWatchdog报文。这种行为可以在NetWare服务器上进行配置。关于信息，请参见NetWare服务器文档。NCPNCPWatchdog协议仍然保持请求拨号连接处于打开状态。为了使NCPWatchdog协议能够适应面向请求的连接应用，2000RoutingandRemoteAccess服务可以代表NetWare客户对服务器进行，也就是通过请求拨号连接对NCPWatchdog报文作出响应。如果请求拨号路由器接收到了一个NCPWatchdog报文(而且这个报文是从NetWare服务器通过使用请求拨号接口中的路由可以到达NetWare客户的报文)，请求拨号路由器将代表NetWare客户对NCPWatchdog报文进行响应。通过对NCPWatchdog协议使用电子，NCPWatchdog报文就能够不保持请求拨号连接一直处于打开状态，从而节省了额外的开销。对NCPWatchdog报文代进行了空闲时间配置之后，请求拨号连接就会被中断而Windows2000RoutingandRemoteAccess服务会继续对NCPWatchdog报文进行电子。如果NetWare服务器或者NetWare客户在以下各节将给出一些排错方法，用来讨论导致请求拨号路由问题的配置问题或者基本结构问题。对于那些使用请求拨号接口的静态路由，检查复选框Usethisroutetoinitiatedemand-dial检查请求拨号接口是否不是处于状态。如果要启请求拨号接口，可以右击这个请求拨号接口并选择Enable。检查是否RoutingandRemoteAccess服务既运行在呼叫方路由器上也运行在应答方路由器检查是否带有本地路由与路由(LAN路由器与WAN路由器)功能的路由在呼叫方路由器检查是否被呼叫方路由器与应答方路由器所使用的拨号端口被配置为允许进行请求拨号路由(包括输入路由与输出路由)。检查是否呼叫方路由器与应答方路由器(带有策略)上被设置为至少使用一个公用检查是否呼叫方路由器与应答方路由器(带有策略)上被设置为至少使用一个公用检查是否呼叫方路由器的(包括用户名、口令、)正确，并且可以被应答方路对于那些使用MS-CHAPv1并且试图采用40位MPPE加密方法的请求拨号连接，检查是否用检查是否呼叫方路由器上的用户帐号没有被关闭，或者没有被锁定(在用户帐号的属性中进行锁定)。如果用户帐号上的口令无效，检查客户所使用的是否是MS-CHAPv1或者MS-CHAPv2。MS-CHAPv1与MS-CHAPv2是Windows2000中所提供的唯一允许用对于某个其口令已经改变的系统管理员级帐号，用户可以将口令设置为使用另一个系统管理员级帐号。检查是否呼叫方路由器上的用户帐没有因为帐号的锁定而被锁定。关于它的更多息请见“务。检查是否呼叫方路由器上用户帐号的Account选项卡上的帐号选项被设置为在进行下一次检查是否连接企图的参数被当前所置的呼叫方路器与策略的用户帐号上的拨Windows验证方法，那么就会使用存放在应答方路由器上的策略。如果应答方路由器被配置为使用RADIUS验证方法，并RADIUS服务器是Windows2000IAS(InternetAuthenticationService，Internet验证服务)服务器，那么就会使用IAS服务器上的策略。必须与至少一 策略中的所有条件相匹配必须被进行(或者通过用户帐号上的(Allowaccess)，或者用户帐号被设置为ControlaccessthroughRemoteAccessPolicy并且相匹配的策略的访问被设置为Grantremoteaccesspermission。检查是否策略配置文件上的所有设置不会与应答方路由器上的属性设置相。BAP(BandwidthAllocationProtocol，带宽分配协议如果 策略中的设置与应答方路由器上的设置相，连接企图将被。例如，假所配略置件定使用EAP-TLS验证协议，但是EAP-TLS并没有在应答方路由器上的属性中被开启，那么应答方路由器将这个连接企图。如果应答方路由器被某个静 IP地址池所配置，就应该检查在这个地址池中是否有足够如果静态池中的所有地址都被分配到已经连接的请求拨号路由器或者客户上，应答方路由器就不能分配IP地址。如果呼叫方路由器仅仅被静态IP报文所配置，连接企图将被忽略。应答方路由器可以被配置为使用Windows验证方法或者RADIUS验证方法来对呼叫方路由器的进行验证。如果使用的是RADIUS验证方法，就应该验证应答方路由器上的如果应答方路由器是出于固定模式或者本地模式的Windows2000域被配置为进行Windows2000验证)的服务器上的成员，就应该验证： 服务中存在RASandIASServers安全组。否则，创建这个组并且将这个 RASandIASServers安全组具有对RASandIASServersAccessCheck对象的Read许应答方路由器上的计算机帐号是RASandIASServers安全组的成员。用户可以在Windows2000命令一行方式下使用命令netshrasshowregisteredserver要求查看当前信息。也可以利用命令netshaddregisteredserver在某个特定的域上服务器。如果用户将应答方路由器添加到RASandIASServers安全组中，应答方路由器也许不会立即对输入的连接请求进行验证(因为Windows2000会对验证信息进行缓存)。如果需要立即如果应答方路由器正好是Windows2000本地模式域下的成员，验证应答方路由器被加入到对于是Windows2000固定模式域下的成员的WindowsNT4.0ServicePack4(或者更新版本)的应答方路由器，或者对于是WindowsNT4.0域中成员的Windows2000应答方路由器(可以在Windows2000域模式下使用用户帐号用户帐号属性)，检查是否使用了命令netlocalgroup“Pre-Windows2000CompatibleAccess”将Everyone组加入到Pre-Windows2000CompatibleAccess组中。否则，就应该在域控制器计算机上使用命令netlocalgroup“Pre-Windows2000CompatibleAccess”everyone/add，然后重新启动域控制器中计算机。对于Wndos2000固定模式域下的某个成员的WindosT4.0ervceack3(本)的应答方路由器，验证组中的每个成员都被允许进行查看列表的内容、所有的属，的信根有。对于RADIUS验证方式，检查是否应答方路由器上的计算机可以与RADIUS如果应答方路由器使用的是Windowsauthentication并且应答方路由器是Windows2000模式域下的一个成员，如果固定模式域被升级成本地模式域，在应答方路由器可以正确地进行对呼叫方路由器以及进行验证之前必须重新启动应答方路由器上的计算机。如果Windows2000Fax服务以及RoutingandRemoteAccess检查是否这个调制解调器可以支持选择性应答。如果调制解调器不能支持选择性应答，而且需要接收输入的请求拨号路由与连接就必须关闭支持调制解调器的传真功能。(离线请求)对于初始化为双向的请求拨号连接，验证这个请求拨号连接没有被解释为连接。为了能够使应答方路由器判断输入叫请求是一个由器而不是客户，呼叫方路由器上的用户名必须与应答方路由器上所配置的请求拨号接口名相匹配。如果输入请求者是一个路由器，那么接收到这个请求的端口将被显示为Active状态，而且相应的请求拨号接口则处于Connected状态。如果呼叫方路由器的用户名在RemoteAccess对于初始化为双向的连接，两个路由器都可以成为呼叫方路由器或者被呼叫路由器。这时，用户名与请求拨号接口名就必须正确地匹配。例如，初始化为双向的连接应该在以下的配置方式下工作：路由器1有一个名为NEW-YO