Windows Server操作系统教程 课件 项目12 路由与远程服务的配置与管理

WindowsServer2019版WindowsServer操作系统教程项目12路由与远程服务的配置与管理目录PART01学习目标PART02项目描述PART03知识准备PART04项目实施PART05项目小结PART06项目拓展学习目标01学习目标知识目标理解VPN的工作过程。了解静态和动态路由协议。掌握路由与路由器的基本概念。熟悉路由表和路由条目的概念。010302熟悉NAT的技术分类及工作过程。0405学习目标技能目标掌握配置静态路由的方法。掌握NAT服务的配置方法。掌握配置VNP服务器的方法。掌握配置RIP路由的方法。学习目标了解IPv4存在的问题与IPv6的应用前景。增强信息安全意识，提高VPN服务器的可靠性。增强服务意识，为用户方便使用网络提供技术支持。素养目标项目描述02项目描述企业网络需求在现代化高质量发展时代环境下，KIARUI科技有限公司的业务规模也不断扩大，公司的内部网络已经基本搭建完成并已联入Internet，越来越多的员工也有了远程办公的需求。如果直接向网络运营商租用专线会导致成本太高，因此公司购置了几台服务器，用于打通公司内部网络，使员工能通过远程连接方式访问公司内部资源知识准备03路由与路由器路由路由（routing）是指数据信息（数据包）从信源（产生信息的实体设备）通过网络传递到信宿（接收信息的实体设备）的行为和动作。在数据包的传递过程中，以太网交换机工作在OSI参考模型的数据链路层（第2层），用于在同一网络中的设备之间数据信息的转发。当数据包要在不同的网络之间进行传输时，需要使用路由器进行数据的转发。路由器工作在OSI参考模型的网络层（第3层），通过转发数据包实现网络互连。如图所示的网络环境中，主机1和主机2进行通信时，就要经过中间路由器，当这两台主机之间存在多条链路时，就要进行链路选择实现数据包的转发，如数据包是沿着R1→R2→R4还是沿着R1→R3→R3的路径进行转发。路由器路由器（Router）又称之为网关设备，是连接两个或多个网络的硬件设备，在网络间起网关的作用，是读取每一个数据包中的地址然后决定如何传送的专用智能性的网络设备。路由器也可以由软件来实现，用软件实现的路由器也称为主机路由器或软件路由器。路由器把计算机网络划分为逻辑上分开的子网，不同子网间用户的通信必须通过路由器。路由器收到一个子网发送的数据包后，根据数据包的相关信息决定从哪个接口把数据转发出去，实现信息的传递。路由表路由表（routingtable）也称为路由择域信息库（RIB，RoutingInformationBase），是存储在路由器或者联网计算机中反映网络结构的数据集，由很多称为路由条目的表项组成。每个路由条目一般包括网络目标、网络掩码、网关（下一跳地址）、接口、跃点数等字段。当路由器收到数据包时，首先检查数据包里的网络目标是否包含在路由表中，如果是，就根据相应的接口和下一跳地址将数据包进行转发，否则就交给默认网关处理。路由表对于路由器确定数据包的转发路径非常重要，而路径的选择可以通过路由选择协议静态配置或动态获得。路由的类型静态路由静态路由（Staticrouting）是由网络管理员手动配置的，路由器之间不需要相互交换路由信息，网络安全保密性高。在配置时，必须指出从源地址到目标地址的路径。静态路由主要用于网络规模不大、拓扑结构相对稳定的网络中，当网络拓扑结构和链路状态发生变化时，路由器中的静态路由信息需要大范围进行调整，增加了工作的难度和复杂度。当网络发生变化或网络发生故障时，不能重选路由，路由器只能根据原来的路由信息转发信息，容易造成路由失败。默认路由默认路由（Defaultroute）是一种特殊的静态路由，也是由网络管理员手动配置的，主要是为那些在路由表中没有找到明确匹配的路由信息的数据包指定下一跳地址。主机里的默认路由一般就是默认网关。动态路由动态路由是指在路由器上运行某种路由协议，使用该路由协议能够自动地建立路由表，并且每台路由器能够根据自身及其他路由器的路由信息适时对路由表进行调整。动态路由的动作机制依赖路由器的两个基本功能：路由信息的交换、维护路由表。即当网络拓扑结构发生变化时，路由器彼此之间能通过交换路由信息获知这些变化，并重新计算和生成路由条目，基本不需要网络管理员参与。路由协议基本概念路由协议（Routingprotocol）是运行在路由器上用于确定合适的路径来实现数据包转发的网上协议。在小规模网络中，由网络管理员配置静态路由的工作压力比较小，但在大规模网络中，如果通过人工指定静态路由，将会给网络管理员带来巨大的工作量，并且在管理与维护路由表时变得十分困难。动态路由协议可以让路由器自动学习到其他路由器的网络，并且网络拓扑发生改变化会自动更新路由表，网络管理员只需要配置动态路由协议，大大减少工作量。常见的路由协议包括RIP、OSPF、IS-IS、BGP等。RIP路由协议RIP（RouteInformationProtocol）路由协议也叫路由信息协议，它是一个距离矢量路由协议，最大跳数为15跳，超过15跳的网络则认为目标网络不可达，因此RIP协议一般用于网络架构比较简单的小型网络环境。RIP协议每隔30秒广播一次路由表，用来维护相邻路由器的位置关系，同时根据收到的路由表信息计算并更新本身的路由表信息，这也是造成网络广播风暴的原因之一。路由协议OSPF路由协议OSPF（OpenShortestPathFirst）协议也叫开放式最短路径优先协议，属于链路状态路由协议。RIP用来确定最佳路由的唯一度量参数是跳数，而在拥有速度各异且有多条路径的大型网络中无法很好地扩展，因此开发了OSPF协议。OSPF与RIP相比，既能快速收敛，又能扩展到更大型的网络。OSPF提出了“区域（area）”的概念，每个区域中所有路由器维护着一个相同的链路状态数据库（LSDB），以此对路由更新流量实施控制。链路指的是路由器上的接口，也指两台路由器间直连的网段，或者末节网络。有关各条链路的状态的信息称为链路状态，包含网络前缀、前缀长度和开销等内容。IS-IS路由协议IS-IS（Intermediatesystemtointermediatesystem）也叫中间系统到中间系统协议，是一种内部网关协议，同时也属于链路状态路由协议。与OSPF相同，IS-IS也使用了“区域”的概念，同样维护着一份链路状态数据库，通过最短生成树算法（SPF）计算出最佳路径。BGP路由协议BGP（BorderGatewayProtocol）是一个用于在自治系统（AutonomousSystem,AS）之间交换路由信息的路径向量路由协议。它允许网络管理员控制哪些路由信息应当被发布、哪些路由应当从其他自治系统接收，以及当存在多个路径到达同一目标时，应当如何选择最佳路径。NAT简介基本概念网络地址转换器（NetworkAddressTranslation，NAT）是一种地址转换技术，用于缓解IPv4公网地址枯竭的问题。NAT技术主要用于实现内部网络（简称内网，使用私有IP地址）访问外部网络（简称外网，使用公有IP地址）的功能。当内网的主机要访问外网时，通过NAT技术可以将其内网地址转换为公网地址，从而实现多个内网用户共用一个公网地址来访问外部网络，这样既可保证网络互通，又节省了公网地址。NAT技术实现方式静态转换：将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备（如服务器）的访问。动态转换：将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。端口多路复用（PortaddressTranslation，PAT）：改变外出数据包的源端口并进行端口转换，即端口地址转换（PAT）。采用端口多路复用方式时内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自Internet的攻击。VPN简介虚拟专用网（VPN，VirtualPrivateNetwork）是一种在公共网络（通常是Internet）虚拟的、专用的网络，使用加密通讯技术，为企业提供一个高安全、高性能、简便易用的环境。通过部署VPN，企业员工在外出差或在其他地方要进行办公时，可以通过公共网络远程安全访问公司内部网络资源。基本概念VPN接入类型客户端通过公共网络连接到VPN服务器的点对点连接，VPN的作用就是为VPN客户端和VPN服务器提供一条逻辑的专用链路。远程接入VPN（AccessVPN）内联网VPN又称为站点到站点VPN、网关到网关VPN或网络到网络VPN，这是公司总部与分支机构之间通过公共网络建立的安全连接。内联网VPN（IntranetVPN）公司与合作伙伴建立战略联盟后，企业之间通过公共网络构建的虚拟网。外联网VPN（ExtranetVPN）010203VPN工作过程LAN1的VPN网关在接收到发送方（客户端）发来的数据包后对其目的地址进行检查，如果目的地址属于LAN2，则将该数据包进行封装，封装的方式根据所采用的VPN技术不同而不同，同时VPN网关会构造一个新的VPN数据包，并将封装后的原数据包作为VPN数据包的负载，其目的地址为LAN2的VPN网关外网地址。LAN2的VPN网关将数据包发送到公共网络上，由于该数据包的目的地址是LAN2的VPN网关外部地址，所以该数据包被Internet中的路由发送到LAN2的VPN网关。LAN2的VPN网关接收到数据包后对其进行检查，如果发现该数据包是从LAN1的VPN网关发出的，则对该数据包进行解封处理，将数据包反向处理还原成原始的数据包。LAN2的VPN网关将还原后的原始数据包发送至目的地址设备（接收方）。从接收方返回发送方的数据包处理过程与上述过程一样，这样两个网络内的终端就可以相互进行通信了。项目实施04项目规划架设路由访问服务器（Router），方便内网不同网段之间的通信。架设VPN服务服务器，方便内网不同网段之间的通信。路由与远程访问服务器IP地址规划网络拓扑图01020304计算机服务器角色网卡IP地址网关Router路由访问服务器1192.168.10.1/24（子网1）N/A2192.168.11.1/24（子网2）N/AVPN服务器3220.170.40.1/24（Internet）220.170.40.254PC1子网1客户端

192.168.10.2/24192.168.10.1PC2子网2客户端

192.168.11.2/24192.168.11.1PC3VPN客户端

220.170.40.253220.170.40.254路由器是一种连接多个网络或网段的网络设备，它实现了在IP层的数据包交换，从而实现了不同网络地址段的互联通信。在WindowsServer服务器中要实现路由功能，首行要在服务器中安装“远程访问”服务。网络策略和访问服务能够有效保护网络以及服务器的安全，因此在安装“远程访问”服务时，同时将“网络策略和访问服务”功能一起进行安装。任务1安装远程访问、网络策略和访问服务任务2配置静态路由静态路由是由管理人员手动建立和更新的，一般用于小型网络中，其优点是简单、高效、可靠。在配置静态路由时，管理员可以配置通往特定网络的静态路由，而在数据包与路由表中的任何其他更有针对性的路由不匹配时，管理员可以配置默认静态路由，将0.0.0.0/0作为目标地址的下一跳地址。子任务1配置表态路由配置默认路由配置表态路由子任务2路由与远程访问服务测试可以利用ping命令检测子网之间是否连通，验证路由与远程访问服务配置是否成功。任务3配置RIP路由RIP是内部网关协议IGP中最先得到广泛使用的协议，它是一种分布式的基于距离向量的路由选择协议，是因特网的标准协议，其最大优点就是实现简单，开销较小。由于RIP路由器允许的最大跳数为15，所以RIP协议只适用于小型网络。任务4架设NAT服务器架设NAT服务器子任务2内网与外网连通性测试NAT技术主要用于实现内网访问外网。当内网的主机访问外网时，通过NAT技术可以将其内网地址转换为公网地址，从而实现多个内网用户共用一个公网地址来访问外网。子任务1架设NAT服务器任务5架设VPN服务器VPN是一种在公网或专用网络上创建安全的点对点连接技术。通过部署VPN技术，员工可以通过公用网络远程访问公司内部网络资源，或者在家办公时可以安全访问公司刚问服务器。VPN是一种在公网或专用网络上创建安全的点对点连接技术。通过部署VPN技术，员工可以通过公用网络远程访问公司内部网络资源，或者在家办公时可以安全访问公司刚问服务器。子任务1架设VPN服务器客户端在发起VPN连接时必须使用具有VPN拨入权限的帐户。如果VPN没有加入域，那么用户身份的验证是以VPN本地帐户的身份进行的，否则是以域帐户的身份进行的。在本任务中架设的VPN服务器已经加入域，因此客户端是以域帐户的身份进行验证。子任务2VPN服务器测试项目小结05项目小结通过部署VPN，企业员工在外出差或在其他地方要进行办公时，可以通过公共网络远程安全访问公司内部网络资源，既方便了员工办公，又保障内部网络信息的安全。当内网要访问外网时，通过NAT技术可以将内网地址转换为公网地址，从而实现多个内网用户共用一个公网地址来访问外部网络，这样既可保证网络互通，又节省了公网地址。本项目首先介绍了IP路由及路由器相关的基本概念。位于不同网络的计算机不能直接相互通信，需要借助路由器转发数据包。路由器是根据路由表来确定数据包的转发路径。生成路由表的方式有静态路由和动态路由两种。项目拓展06IPv4IPv4网际协议版本4（InternetProtocol4，IPv4）又称为互联网通信协议第四版，是网际协议开发过程中的第四个版本。IPv4是互联网的核心，也是使用最广泛的网际协议版本。IPv4地址是使用32位二进制位的地址，每个IPv4地址由网络地址和主机地址两部分构成。为了便于对IP地址进行管理，把IPv4地址分为五类。其中A、B、C三类又分为公有地址和私有地址，通过公有地址可以直接访问Internet，私有地址属于非注册地址，专门为组织机构内部使用。D、E类为特殊地址。类别最大网络数IP地址范围单个网段最大主机数私有IP地址范围A1261.0.0.1-126.255.255.2541677721410.0.0.0-10.255.255.255B16384128.0.0.1-191.255.255.25465534172.16.0.0-172.31.255.255C2097152192.0.0.1-223.255.255.254254192.168.0.0-192.168.255.255IPv6具有更大的地址空间。IPv4中规定IP地址长度为32，即有232-1个地址；而IPv6中IP地址的长度为128，即有2128-1个地址。IPv6是