第13章网络操作系统(Windows Server 2003)-电子教案

网络操作系统（WindowsServer2003）第13章实现路由和远程访问本章学习目标通过本章的学习，读者应该掌握以下内容：路由的基本概念路由器的功能路由表NAT与VPN原理设置路由服务器的方法设置NAT网络地址转换的方法搭建VPN服务器与VPN客户端建立连接的方法13.1路由概述13.1.1路由与路由器路由是把信息从源主机传递到目的主机的行为，在这条路径上至少遇到一个中间节点。路由发生在网络体系结构中的网络层。在网络中承担路由任务的节点，就是路由器，它是完成网络互联的重要设备，这种互联既可以是同种网络的互联，也可以是异种网络的互联，如图13-1所示。从本质上讲，路由器在OSI参考模型中属于网络层上的网路互连设备。可以选择硬件路由器来连接不同的网络，如CISCO路由器，也可利用安装了WindowsServer2003操作系统的计算机来实现软件路由。图13-1路由器完成异种网络互联互联网局域网局域网广域网路由器图13-2直接交付与间接交付间接交付间接交付间接交付ABC直接交付直接交付路由包含两个基本动作：确定最佳路径和通过网络传输信息，后者也称为数据转发。1．路径选择度量值（Metric）是路由算法用以确定到达目的地最佳路径的计量标准，如路径长度。为了帮助选路，路由算法初始化并维护包含路径信息的路由表，路径信息根据使用的路由算法不同而不同。路由表的产生有多种方式，可以是动态的，也可以是静态的。当数据报到达路由器时，路由器会从数据报的IP头部解析出相关地址信息，与路由表中的信息比对，选出一条可到达目的主机的路径，如有多条路径存在，则选择一条最佳路径。在此环节，通往目的主机的下一跳路由器的IP地址便产生了。2．数据转发数据转发算法相对而言较简单，对大多数路由协议是相同的。通过上面的路径选择环节，路由器得出下一跳路由器的IP地址，下一步便是通过ARP协议获取下一跳路由器的MAC地址，随之将数据报打包，将源MAC地址填充上自己的物理地址，将目的MAC地址变换为下一跳路由器的MAC地址，源IP、目的IP保持不变写入数据报头中。继而完成转发动作，整个过程如图13-3所示。图13-3数据转发端口1端口2IP:AMAC:macAIP:BMAC:macBIP:CMAC:macCIP:DMAC:macD目的MAC源MAC目的IP源IPmacBmacADA目的MAC源MAC目的IP源IPmacDmacCDA从主机A发出给路由器的数据帧从路由器发出给主机D的数据帧13.1.2路由表每个路由表中都存放着通向网络中任何一台主机或网络的路由信息列表。在支持分类IP地址的网络中，每条路由信息中最主要的是两个字段：目的网络地址和下一跳路由器的地址图13-4路由器的路由网110.0.0.0网440.0.0.0网330.0.0.0网220.0.0.010.0.0.440.0.0.430.0.0.220.0.0.920.0.0.7目的主机所在的网络下一跳路由器的地址20.0.0.030.0.0.010.0.0.040.0.0.020.0.0.730.0.0.1直接交付，接口1直接交付，接口0路由器R2的路由表30.0.0.1R2R3R101随着划分子网及无分类编址网络的出现，路由器中的字段又多了一项，变为：目的网络地址，子网掩码，下一跳路由器的地址，如表13-1所示。表13-1路由表的构成目的网络地址子网掩码下一跳路由器的地址128.30.33.0128.30.33.128128.30.36.0255.255.255.128255.255.255.128255.255.255.0接口0接口1R2不同路由器的的路由表表现形式是多样的，但最核心的表项是一致的，例如在WindowsServer2003操作系统中的路由与远程访问组件中的路由表如图13-5所示。路由信息根据产生方式及作用的不同可分为以下几种：1．直连路由192.168.1.1/24192.168.2.1/24192.168.3.1/24F0F2F12．静态路由静态路由指由网络管理员手工配置的路由信息。除非网络管理员干预，否则静态路由不会发生变化。由于静态路由不能对网络的改变做出反应，一般用于网络规模不大、拓扑结构固定的网络中。静态路由的优点是简单、高效、可靠及保密性好。在所有的路由中，静态路由的优先级最高。默认情况下当动态路由与静态路由发生冲突时，以静态路由为准。3．动态路由动态路由是由路由选择协议（比如RIP协议）产生的，其产生是一个由路由器之间相互通信、传递路由信息、利用收到的路由信息更新路由表的过程。如果路由更新信息表明发生了网络变化，路由选择软件就会重新计算路由，并发出新的路由更新信息。这些信息通过各个网络，引起各路由器重新启动其路由算法，并更新各自的路由表以动态地反映网络拓扑结构变化。动态路由适用于网络规模大、网络拓扑结构复杂的网络。当然，各种动态路由协议会不同程度地占用网络带宽和CPU资源。13.2路由服务器的实现WindowsServer2003“路由和远程访问”服务组件提供构建软路由的功能，在小型网络中可以安装一台WindowsServer2003服务器并设置成路由器，来代替昂贵的硬件路由器。而且基于WindowsServer2003构建的路由器具有图形化管理界面，管理方便、易用。13.2.1配置路由服务器图13-7路由服务器连接两个网段图13-8配置TCP/IP属性下面我们便通过WindowsServer2003的路由和远程访问组件来配置该服务器的路由功能。图13-9“路由和远程访问”管理控制台窗口图13-10路由和远程访问服务安装向导图13-11MSI本地属性13.2.2设置静态路由静态路由的特点是简单、高效、可靠，适合小型、单路径、静态IP网络。在所有路由中，静态路由优先级最高。静态路由要求手工构造和更新路由表。图13-12网络拓扑示意图图13-13配置静态路由图13-14静态路由配置结果图13-15路由表13.2.3设置动态路由动态路由是由路由选择协议产生的。RIP（RoutingInformationProtocol）是应用较早、使用较普遍的路由选择协议，适用于小型网络，是典型的距离向量协议。图13-16添加新路由协议13.3NAT的实现13.3.1NAT原理由于IP地址的紧缺，一个机构能够申请到的IP地址数往往小于本机构所拥有的主机数。实际上，出于安全等原因，一个机构内的很多主机并不需要接入到外部的Internet，它们主要是利用内部的其他主机进行通信（例如，在大型商场或宾馆中有很多用于营业和管理的计算机。显然这些计算机并不需要和Internet相连）。假定一个机构内部的计算机通信也是采用TCP/IP协议，从原则上讲，对于这些仅在机构内部使用的计算机就可以由本机构自行分配其IP地址。这就是说，让这些计算机使用仅在本机构有效的IP地址（这种地址称为本地地址），而不需要向Internet的管理机构申请全球唯一的IP地址（这种地址称为全球地址）。这样就可以节约宝贵的全球IP地址资源。RFC1918指明了一些专用地址（PrivateAddress）。这些地址只能用于一个机构的内部通信，而不能用于和Internet上的主机通信。换言之，专用地址只能用作本地地址而不能用作全球地址。在Internet的所有路由器对目的地址是专用地址的数据报一律不进行转发。RFCl918指明的专用地址是：（1）10.0.0.0到10.255.255.255（或记为l0/8，是一个24位块）。（2）172.16.0.0到172.31.255.255（或记为172.16/12，是一个20位块）。（3）192.168.0.0到192.168.255.255（或记为192.168/16，是一个16位块）。在专用网内部的一些主机本来已经分配到了本地IP地址，但现在又想和Internet上的主机通信，应当采取什么措施呢？最简单的办法就是设法再申请一些全球IP地址。但这在很多情况下是不容易做到的，因为全球IP地址已所剩不多了。目前使用得最多的方法是采用网络地址转换。网络地址转换NAT（NetworkAddressTranslation）方法是在1994年提出的。这种方法需要在专用网连接到Internet的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器，它至少有一个有效的内部全球地址IPG。这样，所有使用本地地址的主机和外界通信时都要在NAT路由器上将其本地地址转换成IPG才能和Internet连接。NAT技术中最常用的有两种实现模式：静态NAT和动态NAT。静态NAT是建立内部本地地址和内部全球地址的一对一的永久映射。当外部网络需要通过固定的全局可路由地址访问内部主机时，静态NAT就显得十分重要。动态NAT是建立内部本地地址和内部全球地址池的临时对应关系，如果经过一段时间，内部本地地址没有向外的请求或者数据流，该对应关系将被删除。图13-17NAT转换过程部门AR1125.1.2.3194.4.5.6X10.1.0.1IPXIPGY源地址：125.1.2.3目的地址：194.4.5.6源地址：10.1.0.1目的地址：194.4.5.6源地址：194.4.5.6目的地址：10.1.0.1源地址：194.4.5.6目的地址：125.1.2.3IPY13.2.2架设NAT服务器InternetNAT计算机内部IP=192.168.0.1外部IP=202.194.21.155客户机IP=192.168.0.2IP=192.168.0.3IP=192.168.0.4WebServerIP=202.194.60.1配置NAT实现局域网上网（1）硬件连接通过这种方式共享上网时，首先需要配置一台NAT服务器。NAT服务器需要安装两块网卡，其中一块网卡连接外网，在此称“外网卡”，另一块连接局域网的交换机或集线器，在此称“内网卡”。网络整体连接方式如图13-19所示。（2）IP地址的配置NAT计算机的IP地址配置：在图所示的网络中，NAT计算机的外网卡需要配置公共IP地址。NAT计算机的内网卡通常配置为192.168.0.1即可，其默认网关不用配置。局域网计算机的IP地址配置：局域网计算机的IP地址配置为192.168.0.X（2-254）,默认网关配置为192.168.0.1。当然，如局域网中有DHCP服务器，局域网计算机的IP地址也可以配置为自动获得。图13-19网络拓扑结构图InternetNAT计算机客户机客户机客户机客户机3．配置NAT服务器图13-20“路由和远程访问”窗口图13-21“服务配置”对话框图13-22“NATInternet连接”配置对话框图13-23“名称和地址转换服务”配置对话框图13-24NAT配置后的界面图13-25远程连接属性图13-26本地连接属性13.4VPN的实现13.4.1VPN原理有时一个很大的机构有许多部门分布在相距很远的一些地点，而任何一个地点都有自己的专用网。假定这些分布在不向地点的专用网需要经常进行通信。这时，可以有两种方法。第一种方法是租用电信公司的线路为本机构专用。这种方法的好处是简单方便，但线路的租金太高。第二种方法是利用Internet（即公用互联网）来实现本机构的专用网，这样的专用网又称为虚拟专用网VPN（VirtualPrivateNetwork）。虚拟即“好像是”但实际上不是，因为现在是Internet（而并没有用专线）来连接分散在各地的本地网络。VPN只是在效果上和真正的专用网一样。图13-27说明如何使用隧道技术实现虚拟专用网。图13-27用隧道技术实现虚拟专用网X10.1.0.1部门AInternet部门BR1R2隧道Y10.2.0.3（a）使用隧道技术加密的从X到Y的内部数据报外部数据报的数据部分源地址：125.1.2.3目的地址：194.4.5.6数据报首部125.1.2.3194.4.5.6部门A部门BXYR1R2125.1.2.3194.4.5.610.1.