Windows Server操作系統(tǒng)維護與管理（第三版）課件：路由和遠(yuǎn)程訪問服務(wù)(RRAS)管理

路由和遠(yuǎn)程訪問服務(wù)(RRAS)管理教學(xué)重點

●WindowsServer2016路由器及其配置●虛擬專用網(wǎng)VPN的管理10.1

WindowsServer2016路由器及其配置10.1.1任務(wù)1：理解路由協(xié)議1.路由選擇信息協(xié)議(RIP,RoutingInformationProtocol)RIP的設(shè)計主要是應(yīng)用于中小型規(guī)模的網(wǎng)絡(luò)。RIP路由器能夠定期向網(wǎng)絡(luò)中廣播或多播的方式發(fā)送包含路由表信息的數(shù)據(jù)包。若網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)發(fā)生變化,則立即將更新的信息數(shù)據(jù)進行轉(zhuǎn)發(fā),網(wǎng)絡(luò)中的每個路由器接收到更新數(shù)據(jù)后,立刻修改自己的路由表并傳播更新信息。RIP之所以應(yīng)用在中小型規(guī)模網(wǎng)絡(luò)中,主要受限于使用的最大躍點數(shù)是15個(1個躍點數(shù)代表1個設(shè)備),超過其值的話,RIP協(xié)議將不可到達。2.開放最短路徑優(yōu)先協(xié)議(OSPF,OpenShortestPathFirstProtocol)OSPF的設(shè)計主要是用于大型或特大型規(guī)模的網(wǎng)絡(luò)環(huán)境。它不像RIP的路由器那樣交換路由表項,OSPF路由器維護網(wǎng)間的網(wǎng)絡(luò)連接狀態(tài)數(shù)據(jù)庫,在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)更改(即發(fā)生變化)時,隨之更新的是這個數(shù)據(jù)庫和路由表。鄰近的OSPF路由器能形成一個同步連接狀態(tài)數(shù)據(jù)庫的邏輯關(guān)系。10.1

WindowsServer2016路由器及其配置10.1.2任務(wù)2：路由表內(nèi)容的組成路由表中的每一項被看作是一項路由,有多種類型的路由,如默認(rèn)路由、網(wǎng)絡(luò)路由、環(huán)回網(wǎng)絡(luò)路由、直接連接網(wǎng)絡(luò)路由、子網(wǎng)廣播路由和多播路由。其中重要的是網(wǎng)絡(luò)路由,它提供到網(wǎng)間特定的網(wǎng)絡(luò)ID的路由信息。路由表中的每項都由以下信息字段組成:●NetworkDestination:這個目的地可以是一個網(wǎng)絡(luò)或是一個IP地址?！馧etmask:子網(wǎng)掩碼?！馟ateway:如果目的計算機的IP地址與Netmask執(zhí)行邏輯與運算后,結(jié)果等于在NetworkDestination的值,則將信息轉(zhuǎn)發(fā)給Gateway處的IP地址。如果Gateway處的IP地址等于計算機主機地址,則表示信息將不再轉(zhuǎn)送到其他路由器,將直接傳送到目的地計算機?！馡nterface:表示信息是從計算機的IP地址的接口送出。●Metric:數(shù)據(jù)包信息從源端到目的端需要經(jīng)過多少跳,通常表示通過此路由來傳送信息的成本,以及此路由的穩(wěn)定性等。10.1

WindowsServer2016路由器及其配置10.1.3任務(wù)3：WindowsServer2016路由器的設(shè)置拓?fù)浣Y(jié)構(gòu)說明:WindowsServer2016路由器是一臺安裝了WindowsServer2016的雙網(wǎng)卡機器,網(wǎng)卡的IP地址分別為192.168.0.254和192.168.1.254,掩碼為255.255.255.0,其中所連接的兩個子網(wǎng)A和B各有多臺PC,其中子網(wǎng)A的一臺PC設(shè)置地址為192.168.0.1,網(wǎng)關(guān)為192.168.0.254,命名為PC0;子網(wǎng)B的一臺PC設(shè)置IP地址為192.168.1.1,網(wǎng)關(guān)為192.168.1.254,命名為PC1。下面以圖10-1為例說明如何將服務(wù)器(WindowsServer2016)設(shè)置成路由器,從而實現(xiàn)兩個子網(wǎng)的連通。10.1

WindowsServer2016路由器及其配置10.1.3任務(wù)3：WindowsServer2016路由器的設(shè)置1.安裝“路由和遠(yuǎn)程訪問服務(wù)”在WindowsServer2016中使用路由功能,首先需要安裝“路由和遠(yuǎn)程訪問服務(wù)”,其安裝的具體步驟如下:步驟1:單擊“服務(wù)器管理器”工具,出現(xiàn)“服務(wù)器管理器”窗口。步驟2:選擇“管理”菜單，選擇“添加角色和功能”。步驟3:在“添加角色和功能向?qū)А贝翱谥?選擇“遠(yuǎn)程訪問”服務(wù)復(fù)選框,如圖10-2所示。10.1

WindowsServer2016路由器及其配置10.1.3任務(wù)3：WindowsServer2016路由器的設(shè)置1.安裝“路由和遠(yuǎn)程訪問服務(wù)”步驟4:單擊“下一步”按鈕,顯示“遠(yuǎn)程訪問”窗口,介紹其中包括的功能。然后,單擊“下一步”按鈕,出現(xiàn)如圖10-3所示的“選擇角色服務(wù)”窗口。步驟5:選擇“路由和遠(yuǎn)程服務(wù)”復(fù)選框,單擊“下一步”按鈕,顯示確認(rèn)安裝選擇窗口,單擊“安裝”按鈕,即可開始路由和遠(yuǎn)程服務(wù)的安裝。10.1

WindowsServer2016路由器及其配置10.1.3任務(wù)3：WindowsServer2016路由器的設(shè)置2.啟用WindowsServer2016路由器安裝完成之后,安裝的“路由和遠(yuǎn)程訪問”服務(wù)處于禁用狀態(tài)。若要啟用并配置路由和遠(yuǎn)程方法服務(wù)器,必須以Administrators組成員的身份進行。步驟1:單擊“服務(wù)器管理器|工具|路由和遠(yuǎn)程訪問”,打開如圖10-4所示的“路由和遠(yuǎn)程訪問”窗口。10.1

WindowsServer2016路由器及其配置10.1.3任務(wù)3：WindowsServer2016路由器的設(shè)置2.啟用WindowsServer2016路由器步驟2:選中服務(wù)器,在“操作”菜單中選擇“配置并啟用路由和遠(yuǎn)程訪問”選項,打開“路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А贝翱?。步驟3:單擊“下一步”按鈕,出現(xiàn)圖10-5所示的配置窗口,這里選擇“自定義配置”。10.1

WindowsServer2016路由器及其配置10.1.3任務(wù)3：WindowsServer2016路由器的設(shè)置2.啟用WindowsServer2016路由器步驟4:單擊“下一步”按鈕,出現(xiàn)圖10-6所示的“自定義配置”窗口,選擇服務(wù)器啟用的服務(wù),這里選擇“LAN路由”。步驟5:單擊“下一步”按鈕,出現(xiàn)確認(rèn)信息窗口,當(dāng)出現(xiàn)“啟動服務(wù)”界面時單擊“啟動服務(wù)”按鈕；單擊“完成”按鈕,完成“路由和遠(yuǎn)程訪問”服務(wù)的啟用和配置。10.1

WindowsServer2016路由器及其配置10.1.3任務(wù)3：WindowsServer2016路由器的設(shè)置3.基本路由配置與測試(1)添加靜態(tài)路由。除了默認(rèn)的常規(guī)路由外,還可添加靜態(tài)路由,如讓路由器通過所添加的路由來傳送數(shù)據(jù)包。添加靜態(tài)路由的方式有以下兩種:方式一:如圖10-8所示選擇“新建靜態(tài)路由”,然后輸入新路由。10.1

WindowsServer2016路由器及其配置10.1.3任務(wù)3：WindowsServer2016路由器的設(shè)置3.基本路由配置與測試(1)添加靜態(tài)路由。除了默認(rèn)的常規(guī)路由外,還可添加靜態(tài)路由,如讓路由器通過所添加的路由來傳送數(shù)據(jù)包。添加靜態(tài)路由的方式有以下兩種:方式二:使用routeadd命令。假設(shè)所要添加的路由,是要傳送到192.168.1.0網(wǎng)絡(luò)的一條路由信息,并通過IP地址為192.168.0.254的網(wǎng)絡(luò)接口送出,傳遞給192.168.1.254的路由器網(wǎng)關(guān),路由躍點數(shù)為3.在命令提示符下,輸入如下命名:

routeadd192.168.1.0mask255.255.255.0192.168.1.254metric3if0X20004其中,“0X2004”為IP地址為192.168.0.254的網(wǎng)絡(luò)接口代碼,可通過“routeprint”命令查看。10.1

WindowsServer2016路由器及其配置10.1.3任務(wù)3：WindowsServer2016路由器的設(shè)置3.基本路由配置與測試(2)建立Windows路由器之后,也要進行測試,確定路由器是否已經(jīng)正常工作?？蛇M行如下命令的測試:●首先在WindowsServer2016路由器上停用路由和遠(yuǎn)程訪問服務(wù),然后在PC0上輸入Ping192.168.1.1,此時Ping失敗?！裨赪indowsServer2016路由器上啟用路由和遠(yuǎn)程訪問服務(wù),然后在PC0上輸入Ping192.168.1.1,此時Ping成功。10.1

WindowsServer2016路由器及其配置10.1.4任務(wù)4：熟練使用網(wǎng)絡(luò)測試命令1.Ping命令Ping命令用于驗證網(wǎng)絡(luò)的連通性,也就是檢驗本機的TCP/IP協(xié)議棧是否工作正常,或者用于檢驗兩個主機之間的是否可以連通。2.ipconfig該命令主要查看本機網(wǎng)絡(luò)配置的,命令在Windows早期版本中是使用winipcfg,而Windows2000以后的版本才使用ipconfig。3.Tracert命令Tracert命令是內(nèi)置于Windows的TCP/IP應(yīng)用程序之一。通過向目標(biāo)發(fā)送不同IP生存時間值TTL的“Internet控制消息協(xié)議(ICMP)”回應(yīng)數(shù)據(jù)包,Tracert診斷程序可確定目標(biāo)所采取的路由。10.1

WindowsServer2016路由器及其配置10.1.4任務(wù)4：熟練使用網(wǎng)絡(luò)測試命令4.Net命令Net命令是Windows所提供的一個功能強大的網(wǎng)絡(luò)命令,其參數(shù)和子命令非常多:

●net/?:查看所有的net命令的列表?！駈ethelpcommand:在命令行獲得net命令的語法幫助。例如,關(guān)于netaccounts命令的幫助信息,輸入nethelpaccounts即可。5.Netstat命令該命令主要用于顯示活動的連接、計算機監(jiān)聽的端口、以太網(wǎng)的統(tǒng)計信息等。10.2遠(yuǎn)程訪問服務(wù)的實現(xiàn)10.2.1任務(wù)1：理解遠(yuǎn)程訪問服務(wù)的基本功能1.遠(yuǎn)程訪問和路由功能集成RRAS的正式應(yīng)用是通過PPP協(xié)議(點到點協(xié)議)將路由服務(wù)和遠(yuǎn)程訪問服務(wù)組合起來的,這樣可以將服務(wù)器實現(xiàn)成為多協(xié)議路由器(此時運行RRAS的計算機可同時路由多種協(xié)議,且這些路由協(xié)議均可在同一管理程序中進行配置)和請求撥號路由器(此時運行RRAS的計算機可為廣域網(wǎng)鏈路安排路由,通過VPN建立連接)。2.網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,NetworksAddressTranslator)是將內(nèi)部IP地址映射為全局合法IP地址的IP地址管理技術(shù),RRAS集成了NAT技術(shù)來實現(xiàn)快速的Internet連接。3.標(biāo)準(zhǔn)的管理界面所有的網(wǎng)絡(luò)連接,包括本地連接和撥號連接都使用通用標(biāo)準(zhǔn)的管理接口界面——“網(wǎng)絡(luò)和撥號連接”窗口,該窗口為每一個連接設(shè)置一個圖標(biāo),并由其屬性來管理和配置對應(yīng)的連接,而且修改參數(shù)后很少重新啟動系統(tǒng)即可生效。10.2遠(yuǎn)程訪問服務(wù)的實現(xiàn)10.2.2任務(wù)2：遠(yuǎn)程訪問服務(wù)的連接分類運行“路由和遠(yuǎn)程訪問”的WindowsServer2016服務(wù)器一般可以提供兩種不同類型的遠(yuǎn)程訪問連接。1.通過撥號網(wǎng)絡(luò)連接通過使用ISP(如公共電話網(wǎng)PSTN、綜合業(yè)務(wù)數(shù)字網(wǎng)ISDN)提供的接入服務(wù),遠(yuǎn)程客戶端使用非永久的撥號連接到遠(yuǎn)程訪問服務(wù)器的物理端口上,這時使用的網(wǎng)絡(luò)就是撥號網(wǎng)絡(luò)。例如,遠(yuǎn)程客戶端使用公用電話網(wǎng)撥號遠(yuǎn)程訪問服務(wù)器某個端口對應(yīng)的電話號碼以建立連接。2.通過虛擬專用網(wǎng)(VPN)連接通過撥號線路或ISP提供的公共網(wǎng)絡(luò)(如Internet)將移動辦公計算機結(jié)點連接到企業(yè)網(wǎng)絡(luò),移動結(jié)點計算機要首先擁有本地Internet提供商的網(wǎng)絡(luò)連接,并擁有合法用戶身份,這樣就可以使用點到點隧道協(xié)議或者第二層隧道協(xié)議,在Internet中建立到企業(yè)網(wǎng)絡(luò)的安全、加密通道。與撥號網(wǎng)絡(luò)相比,虛擬專用網(wǎng)絡(luò)是通信雙方之間邏輯的專業(yè)連接,其私密性和安全性是通過對傳送數(shù)據(jù)的加密來實現(xiàn)的。10.3

虛擬專用網(wǎng)VPN的管理10.3.1任務(wù)1：理解虛擬專用網(wǎng)VPN工作原理WindowsServer2016的虛擬專用網(wǎng)(VPN,VirtualPrivateNetwork)可以讓遠(yuǎn)程用戶與局域網(wǎng)LAN通過Internet(或其他的公眾網(wǎng)絡(luò))建立起一個安全的通信管道。不過需要在局域網(wǎng)內(nèi)建設(shè)一臺VPN服務(wù)器,以便與遠(yuǎn)程的VPN客戶端連接。當(dāng)遠(yuǎn)程的VPN客戶端通過Internet連接到VPN服務(wù)器時,它們之間所傳送的信息會被加密,即使信息在Internet傳送的過程中被攔截,也會因為信息已經(jīng)加密而無法識別,可以確保信息的安全性。10.3

虛擬專用網(wǎng)VPN的管理10.3.2任務(wù)2：虛擬專用網(wǎng)VPN服務(wù)的操作實現(xiàn)1.VPN服務(wù)器的配置(1)安裝“路由和遠(yuǎn)程訪問”服務(wù)角色后,選擇“服務(wù)管理器|工具|路由和遠(yuǎn)程訪問”,打開“路由和遠(yuǎn)程訪問”服務(wù)窗口,在如圖10-12所示的窗口左邊的列表區(qū),選中本地服務(wù)器名,然后單擊鼠標(biāo)右鍵,選擇“配置并啟用路由和遠(yuǎn)程訪問”。10.3

虛擬專用網(wǎng)VPN的管理10.3.2任務(wù)2：虛擬專用網(wǎng)VPN服務(wù)的操作實現(xiàn)1.VPN服務(wù)器的配置(2)在出現(xiàn)的配置向?qū)Т翱谥袉螕簟跋乱徊健卑粹o,進入服務(wù)選擇窗口,如圖10-13所示。這里是要使用VPN服務(wù)器只供遠(yuǎn)程用戶通過Internet連接VPN服務(wù)器,而內(nèi)部局域網(wǎng)則通過一個公共IP使用Internet,選擇第三項,然后單擊“下一步”按鈕。10.3

虛擬專用網(wǎng)VPN的管理10.3.2任務(wù)2：虛擬專用網(wǎng)VPN服務(wù)的操作實現(xiàn)1.VPN服務(wù)器的配置(3)向?qū)б笾付ㄏ嚓P(guān)的IP地址。此處指定的IP地址范圍是VPN客戶端通過虛擬專用網(wǎng)連接到VPN服務(wù)器所使用的IP地址范圍,這個地址范圍應(yīng)該與VPN服務(wù)器的內(nèi)部網(wǎng)卡的IP地址是同一個IP網(wǎng)段,以保證VPN的連通。由于要讓客戶端能夠登錄,必須給客戶端指定相應(yīng)的用戶名和密碼,在WindowsServer2016中,必須使用Windows的域用戶賬戶和密碼作為VPN的登錄憑證。建立域用戶的操作步驟:單擊“服務(wù)器管理器|管理工具|ActiveDirectory用戶和計算機”,選擇“Users”中的“新建|用戶”項,按照前面章節(jié)關(guān)于新建域用戶的方法增加VPN用戶。10.3

虛擬專用網(wǎng)VPN的管理10.3.2任務(wù)2：虛擬專用網(wǎng)VPN服務(wù)的操作實現(xiàn)2.VPN用戶客戶端