《网络服务器配置与管理》课件第7章Windows下的路由器和VPN服务器和管理

2024/4/191第六讲

Windows下的路由器和VPN服务器配置与管理2024/4/192

本讲要点内容要求:路由选择路由表路由协议配置WindowsServer2012路由服务配置静态路由VPN基础VPN服务器配置

建立VPN客户连接重点配置WindowsServer2012路由服务VPN服务器配置难点路由协议配置静态路由VPN服务器配置2024/4/193路由基础路由器：能够进行数据包转发的设备。路由器有两种：一种是硬件路由器，是专门设计用于路由的设备，不能运行应用程序。如Cisco公司的1600、2500系列路由器；另外一种是软件路由器：软路由器又称多宿主计算机（MultihomedComputer）或多宿主路由器，软路由器可以看成带有两个以上网卡（或有两个以上IP地址）的服务器；它的作用与硬件路由器类似，可控制性更强，可以对网络之间的访问进行控制，例如可以设置允许哪些IP地址访问等。WindowsServer2012就可以作为软路由器。WindowsServer2012的“路由和远程访问”服务是一个全功能的软件路由器、一个开放式路由和互联网络平台。它为局域网（LAN）和广域网（WAN）环境中的商务活动、使用安全虚拟专用网络（VPN）连接的Internet的商务活动提供路由选择服务。作为路由器的计算机应该有两个网络接口（网卡），每个接口都配置一个IP地址（在不同的网段）。如果只有一个网络接口，也可以在网络接口上绑定两个IP地址来实现路由的功能2024/4/194路由基础作为路由器的计算机应该有两个网络接口（网卡），每个接口都配置一个IP地址（在不同的网段）。如果只有一个网络接口，也可以在网络接口上绑定两个IP地址来实现路由的功能网络甲网络乙网络丙计算机AIP:192.168.0.1掩码：255.255.255.0网关：192.168.0.254计算机BIP:192.168.0.2掩码：255.255.255.0网关：192.168.0.254IP:192.168.0.254掩码：255.255.255.0网关：192.168.0.253IP:192.168.1.253掩码：255.255.255.0网关：192.168.1.254路由器A路由器BIP:192.168.1.254IP:192.168.2.253IP:192.168.2.1IP:192.168.2.2IP:192.168.1.1IP:192.168.1.22024/4/195路由协议两个概念：路由协议与被路由的协议路由协议：通过提供共享路由选择信息的机制，它将路由选择协议的消息在路由器之间传送。路由选择协议允许路由器与其他路由器通信交换信息，来维护和修改路由表，如RIP协议。被路由的协议：是任何在网络层地址中提供了足够的信息的网络协议，该网络协议允许将数据包从一个主机转发到以地址方案为基础的另一个主机，如IP协议。路由协议外部网关协议（EGP）：是一种向量距离协议，主要用于各本地系统和主干网之间传送路由信息。它为邻接路由器提供了关于独立系统内部的通信流量信息。主要功能有：外部邻站的获取、邻站可达性测试、选路信息更新边界网关协议BGP是自制系统（AS）间的路由协议，它的主要功能是同其他的BGP系统之间交换网络可达信息2024/4/196路由协议

内部网关协议（IGP）是内部网关协议，是在一个本地系统内部使用的选路协议，它描述了独立系统(AutonomousSystem，AS)之间的通信流量。IGP由本地系统独立地进行选择，而与在互连网中的其他本地系统选择何种路由协议无关。距离向量路由协议RIP选路信息协议RIP（RoutingInformationProtocol）就是基于距离向量的选路协议，只与直接连接到网络中的路申器交换信息。每个路由器都将信息转发到直接连接的路由器，RIP允许一个通路最多只能由15个路由段组成，路由段数为16即相当于不可达，所以RIP只适用于小型网络。IGRP内部网关路由协议IGRP（InteriorGatewayRoutingProtocol）是由CICSO公司开发的一种距离向量路由协议。同RIP相比，IGRP将网络的带宽、时延、可靠性和负载等因素综合起来，提供一种混合的选路度量。IGRP也有跳数的概念，但它的最大跳数是255，所以它可以应用在大规模的网络中。2024/4/197路由协议链路状态路由协议开放最短通路优先（OSPF）另一种更现代的交换路由信息的方法是链接状态路由协议。它使每个路由器都与网络中的其他路由器交换路由表。能够在发生变化时马上交换信息，从而减少饱和时间。一种公开发表的链路状态向量协议，是任何人都可以使用的免费协议。用IP数据报传送(其首部的协议字段值为89)，并且数据报很短，减少了路由信息的通信量。OSPF协议有两个要点一是每个路由器不断地测试所有相邻路由器的状态二是周期性地向所有其他路由器广播链路的状态。链路状态报文只包括到相邻路由器的连通状态，因而报文的大小与网络数无关。当网络很大时，OSPF协议要比RIP协议好的多2024/4/198路由表路由器将分组在某个网络中走过的通路(由进入网络开始到离开网络为止)从逻辑上看成是一个路由单位，并将此路由单位称为一个路由段(hop)，或简称为段若一结点通过一个网络与另一个结点连接，则说此两个结点相隔一个路由段。一个路由器到本网络中的某个主机的路由段数为零路由器进行路由选择时经常要查找路由表路由表是一系列称为路由的项，其中包含有关网际网络的网络ID位置信息路由表包含了一个数据库，该数据库存储了路由器如何在网络中寻径的信息。其每一行包含了网络地址、距离和下一个接收包的路由器地址路由器将到来的网络地址与本表比较，就可以决定将包转发到哪儿在DOS窗口，输入“routeprint”命令，可以看到本机路由表的内容2024/4/199网络目的地址：目标主机所属的网络地址。

网络掩码：用来划分IP地址的网络ID和主机ID。

网关：本地主机将IP数据包转发到其他网络时所经过的IP地址。可以是本地网络适配器的IP地址或是同一网段内的路由器的IP地址。

接口：本地主机在网络种转发数据包时所使用的IP地址。跃点数：路由器经过的路由器数。若没有指定开销，则使用1。2024/4/1910配置WindowsServer2012路由服务设备代表创建物理或逻辑点到点连接的硬件或软件设备是提供请求拨号和远程访问连接以用于建立点对点连接的端口的硬件或软件。端口是支持单个点到点连接的通信信道端口是支持单个点对点连接的设备隧道。对于单端口设备(例如调制解调器)，设备和端口是不能区分的。对于多端口设备，端口是设备的一个部分，通过它可以进行一个单独的点对点通讯2024/4/1911配置静态路由

以一个具体的例子来将静态路由的配置。在如图所示的结构中，服务器B、C是启用路由功能的WindowsServer2012，图中计算机的IP地址采用CIDR（无类域间路由）表示法。24表示子网掩码中“1”的个数。10.0.0.1/24即为：IP地址10.0.0.1，子网掩码255.255.255.0。2024/4/1912配置静态路由在计算机B上添加一条到计算机D的静态路由，如图所示2024/4/1913配置静态路由在计算机C上添加一条到计算机A的静态路由，如图所示2024/4/1914配置动态路由网络拓扑结构与静态路由同路由协议采用RIP为计算机B指定RIP路由协议指定接口为计算机C指定RIP路由协议指定接口为RIP路由协议指定接口2024/4/1915VPN基础

远程访问是指通过透明的方式将位于本地网络以外（远程网络）位置上的特定计算机连接到本地网络中的一系列相关技术。当启用远程访问时，远程客户可以通过远程访问技术像直接连接到本地网络一样来使用本地网络中的资源。在Windows服务器操作系统中均包含了远程访问服务，它是作为路由和远程访问服务中的一个组件2024/4/1916VPN基础运行WindowsServer2012的远程访问服务器提供两种不同的远程访问连接拨号网络：通过使用远程通信提供商(例如模拟电话、ISDN或X.25)提供的服务，远程客户机使用非永久的拨号连接到远程访问服务器的物理端口上，这时使用的网络就是拨号网络。拨号网络的最佳范例是，拨号网络客户机使用拨号网络拨打远程访问服务器某个端口的电话号码。模拟电话线上或ISDN的拨号网络是拨号网络客户机和拨号网络服务器之间的直接的物理连接。可以加密在连接上传送的数据，但是这不是必须的。虚拟专用网络（VPN）：虚拟专用网络是穿越专用网络的安全的点对点连接，或像Internet一样的公共网络的产物。虚拟专用网络客户机使用特定的称为隧道协议的基于TCP/IP的协议，来对虚拟专用网络服务器的虚拟端口进行依次虚拟呼叫。虚拟专用网络的最佳范例是，虚拟网络客户机使用虚拟专用网络连接到与Internet相连的远程访问服务器上。远程访问服务器应答虚拟呼叫，验证呼叫方身份，并在虚拟专用网络客户机和企业网络之间传送数据。与拨号网络相比，虚拟专用网络总是虚拟专用网络客户机和虚拟专用网络服务器之间逻辑的、非直接的连接。两种方式IntranetServerClientsDial-upRemoteAccessVirtualPrivateNetworkInternetTunnel2024/4/1917VPN隧道协议点对点隧道协议端到端隧道协议（PPTP）是微软基于PPP协议开发的隧道协议，在RFC2637中进行定义，在Windows系统中广泛使用。PPTP首先在WindowsNT4.0中提供支持，并且随TCP/IP协议一起自动进行安装。PPTP是对端到端协议（PPP）的一种扩展，它采用了PPP所提供的身份验证、压缩与加密机制，并且通过Microsoft端到端加密（MPPE）技术来对数据包进行加密、封装和隧道传输第二层隧道协议微软PPTP隧道协议和CISCO第二层转发协议（L2F）的结合体，在RFC2661中进行定义（最新的版本是L2TPv3，在RFC3931中定义）。与PPTP利用MPPE进行数据包加密不同，L2TP依靠Internet协议安全性（IPSec）技术提供加密服务。L2TP与IPSec的结合产物称为L2TP/IPSec，VPN客户端与VPN服务器都必须支持L2TP和IPSec才能使用L2TP/IPSec。L2TP将随同路由与远程访问服务一起自动进行安装。2024/4/1918VPN连接的属性通过IPSec使用PPTP和L2TP的VPN连接有下列属性封装：将用提供路由信息的数据头加密数据，它允许数据经过网际网络传输VPN连接的身份验证通过PPP身份验证的用户级别身份验证。如果要建立VPN连接，VPN服务器将使用点对点协议（PPP）的用户级身份验证方法来验证试图使用该连接的VPN客户的身份，并验证该VPN客户是否有适当的访问权限。使用ISAKMP进行的机器级身份验证。如果要建立IPSec安全关联，VPN客户端和VPN服务器将使用机器证书和Internet安全关联和密钥管理协议（ISAKMP）以及Oakley密钥生成协议。数据验证和完整性。要验证VPN连接上发送的数据从连接的另一端开始并且在传送过程中没有更改，数据包含基于只有发件人和收件人才知道加密关键字的加密检验和。数据验证和完整性仅对IPSec连接上的L2TP启用数据加密：数据由发送者加密而由接收者解密。加密和解密过程依赖于发送方和接收方均使用共同的加密密钥2024/4/1919VPN配置VPN服务器如图所示实例配置步骤：在Munich上启用路由和远程访问服务中的远程访问VPN服务创建VPN专用的用户帐号VPNuser，并设置该用户的属性，单击“拨入”选项卡，选中“远程访问权限（拨入或VPN）”中的“允许访问”；在Perth上创建PPTP模式的VPN连接并进行测试；2024/4/1920启用VPN服务在Munich上以管理员身份登录，然后点击管理工具，选择路由和远程访问，在弹出的路由和远程访问管理控制台，右击服务器名，选择配置并启用路由和远程访问；

2024/4/1921选择连接到Internet的网络接口

2024/4/19222024/4/1923VPN配置

默认情况下VPN具有PPTP协议和L2TP协议端口各128个，这代表它允许连接的PPTP协议和L2TP协议类型的VPN客户数量，但是VPN客户的并发连接数还受到Windows系统版本的限制。对于允许的最多端口数和VPN客户并发连接数，根据Windows服务器操作系统版本的不同有以下不同。对于WindowsServer2012Web版本和标准版本，PPTP和L2TP允许的最多端口数均为1000，但是Web版本只支持1个VPN客户并发连接，而不论协议类型；标准版本支持1000个VPN客户并发连接，而不论协议类型。WindowsServer2012企业版最多支持30000个L2TP端口，16384个PPTP端口，支持的VPN客户并发连接数理论上只是受到端口数量的限制。2024/4/1924用户远程拨入在此例中，外部客户Perth将使用Munich上的Administrator用户账号来拨入VPN，所以，我们首先需要允许Administrator用户账户的远程拨入

2024/4/1925在Perth上创建PPTP模式的VPN连接演示创建VPN客户连接测试VPN服务器输入用于拨入VPN的用户名和密码，然后点击连接按钮。默