Windows Server操作系統(tǒng)維護與管理（第三版）課件：路由和遠程訪問服務(RRAS)管理

路由和遠程訪問服務(RRAS)管理教學重點

●WindowsServer2016路由器及其配置●虛擬專用網(wǎng)VPN的管理10.1

WindowsServer2016路由器及其配置10.1.1任務1：理解路由協(xié)議1.路由選擇信息協(xié)議(RIP,RoutingInformationProtocol)RIP的設計主要是應用于中小型規(guī)模的網(wǎng)絡。RIP路由器能夠定期向網(wǎng)絡中廣播或多播的方式發(fā)送包含路由表信息的數(shù)據(jù)包。若網(wǎng)絡的拓撲結(jié)構(gòu)發(fā)生變化,則立即將更新的信息數(shù)據(jù)進行轉(zhuǎn)發(fā),網(wǎng)絡中的每個路由器接收到更新數(shù)據(jù)后,立刻修改自己的路由表并傳播更新信息。RIP之所以應用在中小型規(guī)模網(wǎng)絡中,主要受限于使用的最大躍點數(shù)是15個(1個躍點數(shù)代表1個設備),超過其值的話,RIP協(xié)議將不可到達。2.開放最短路徑優(yōu)先協(xié)議(OSPF,OpenShortestPathFirstProtocol)OSPF的設計主要是用于大型或特大型規(guī)模的網(wǎng)絡環(huán)境。它不像RIP的路由器那樣交換路由表項,OSPF路由器維護網(wǎng)間的網(wǎng)絡連接狀態(tài)數(shù)據(jù)庫,在網(wǎng)絡拓撲結(jié)構(gòu)更改(即發(fā)生變化)時,隨之更新的是這個數(shù)據(jù)庫和路由表。鄰近的OSPF路由器能形成一個同步連接狀態(tài)數(shù)據(jù)庫的邏輯關(guān)系。10.1

WindowsServer2016路由器及其配置10.1.2任務2：路由表內(nèi)容的組成路由表中的每一項被看作是一項路由,有多種類型的路由,如默認路由、網(wǎng)絡路由、環(huán)回網(wǎng)絡路由、直接連接網(wǎng)絡路由、子網(wǎng)廣播路由和多播路由。其中重要的是網(wǎng)絡路由,它提供到網(wǎng)間特定的網(wǎng)絡ID的路由信息。路由表中的每項都由以下信息字段組成:●NetworkDestination:這個目的地可以是一個網(wǎng)絡或是一個IP地址?！馧etmask:子網(wǎng)掩碼?！馟ateway:如果目的計算機的IP地址與Netmask執(zhí)行邏輯與運算后,結(jié)果等于在NetworkDestination的值,則將信息轉(zhuǎn)發(fā)給Gateway處的IP地址。如果Gateway處的IP地址等于計算機主機地址,則表示信息將不再轉(zhuǎn)送到其他路由器,將直接傳送到目的地計算機?！馡nterface:表示信息是從計算機的IP地址的接口送出?！馦etric:數(shù)據(jù)包信息從源端到目的端需要經(jīng)過多少跳,通常表示通過此路由來傳送信息的成本,以及此路由的穩(wěn)定性等。10.1

WindowsServer2016路由器及其配置10.1.3任務3：WindowsServer2016路由器的設置拓撲結(jié)構(gòu)說明:WindowsServer2016路由器是一臺安裝了WindowsServer2016的雙網(wǎng)卡機器,網(wǎng)卡的IP地址分別為192.168.0.254和192.168.1.254,掩碼為255.255.255.0,其中所連接的兩個子網(wǎng)A和B各有多臺PC,其中子網(wǎng)A的一臺PC設置地址為192.168.0.1,網(wǎng)關(guān)為192.168.0.254,命名為PC0;子網(wǎng)B的一臺PC設置IP地址為192.168.1.1,網(wǎng)關(guān)為192.168.1.254,命名為PC1。下面以圖10-1為例說明如何將服務器(WindowsServer2016)設置成路由器,從而實現(xiàn)兩個子網(wǎng)的連通。10.1

WindowsServer2016路由器及其配置10.1.3任務3：WindowsServer2016路由器的設置1.安裝“路由和遠程訪問服務”在WindowsServer2016中使用路由功能,首先需要安裝“路由和遠程訪問服務”,其安裝的具體步驟如下:步驟1:單擊“服務器管理器”工具,出現(xiàn)“服務器管理器”窗口。步驟2:選擇“管理”菜單，選擇“添加角色和功能”。步驟3:在“添加角色和功能向?qū)А贝翱谥?選擇“遠程訪問”服務復選框,如圖10-2所示。10.1

WindowsServer2016路由器及其配置10.1.3任務3：WindowsServer2016路由器的設置1.安裝“路由和遠程訪問服務”步驟4:單擊“下一步”按鈕,顯示“遠程訪問”窗口,介紹其中包括的功能。然后,單擊“下一步”按鈕,出現(xiàn)如圖10-3所示的“選擇角色服務”窗口。步驟5:選擇“路由和遠程服務”復選框,單擊“下一步”按鈕,顯示確認安裝選擇窗口,單擊“安裝”按鈕,即可開始路由和遠程服務的安裝。10.1

WindowsServer2016路由器及其配置10.1.3任務3：WindowsServer2016路由器的設置2.啟用WindowsServer2016路由器安裝完成之后,安裝的“路由和遠程訪問”服務處于禁用狀態(tài)。若要啟用并配置路由和遠程方法服務器,必須以Administrators組成員的身份進行。步驟1:單擊“服務器管理器|工具|路由和遠程訪問”,打開如圖10-4所示的“路由和遠程訪問”窗口。10.1

WindowsServer2016路由器及其配置10.1.3任務3：WindowsServer2016路由器的設置2.啟用WindowsServer2016路由器步驟2:選中服務器,在“操作”菜單中選擇“配置并啟用路由和遠程訪問”選項,打開“路由和遠程訪問服務器安裝向?qū)А贝翱?。步驟3:單擊“下一步”按鈕,出現(xiàn)圖10-5所示的配置窗口,這里選擇“自定義配置”。10.1

WindowsServer2016路由器及其配置10.1.3任務3：WindowsServer2016路由器的設置2.啟用WindowsServer2016路由器步驟4:單擊“下一步”按鈕,出現(xiàn)圖10-6所示的“自定義配置”窗口,選擇服務器啟用的服務,這里選擇“LAN路由”。步驟5:單擊“下一步”按鈕,出現(xiàn)確認信息窗口,當出現(xiàn)“啟動服務”界面時單擊“啟動服務”按鈕；單擊“完成”按鈕,完成“路由和遠程訪問”服務的啟用和配置。10.1

WindowsServer2016路由器及其配置10.1.3任務3：WindowsServer2016路由器的設置3.基本路由配置與測試(1)添加靜態(tài)路由。除了默認的常規(guī)路由外,還可添加靜態(tài)路由,如讓路由器通過所添加的路由來傳送數(shù)據(jù)包。添加靜態(tài)路由的方式有以下兩種:方式一:如圖10-8所示選擇“新建靜態(tài)路由”,然后輸入新路由。10.1

WindowsServer2016路由器及其配置10.1.3任務3：WindowsServer2016路由器的設置3.基本路由配置與測試(1)添加靜態(tài)路由。除了默認的常規(guī)路由外,還可添加靜態(tài)路由,如讓路由器通過所添加的路由來傳送數(shù)據(jù)包。添加靜態(tài)路由的方式有以下兩種:方式二:使用routeadd命令。假設所要添加的路由,是要傳送到192.168.1.0網(wǎng)絡的一條路由信息,并通過IP地址為192.168.0.254的網(wǎng)絡接口送出,傳遞給192.168.1.254的路由器網(wǎng)關(guān),路由躍點數(shù)為3.在命令提示符下,輸入如下命名:

routeadd192.168.1.0mask255.255.255.0192.168.1.254metric3if0X20004其中,“0X2004”為IP地址為192.168.0.254的網(wǎng)絡接口代碼,可通過“routeprint”命令查看。10.1

WindowsServer2016路由器及其配置10.1.3任務3：WindowsServer2016路由器的設置3.基本路由配置與測試(2)建立Windows路由器之后,也要進行測試,確定路由器是否已經(jīng)正常工作。可進行如下命令的測試:●首先在WindowsServer2016路由器上停用路由和遠程訪問服務,然后在PC0上輸入Ping192.168.1.1,此時Ping失敗。●在WindowsServer2016路由器上啟用路由和遠程訪問服務,然后在PC0上輸入Ping192.168.1.1,此時Ping成功。10.1

WindowsServer2016路由器及其配置10.1.4任務4：熟練使用網(wǎng)絡測試命令1.Ping命令Ping命令用于驗證網(wǎng)絡的連通性,也就是檢驗本機的TCP/IP協(xié)議棧是否工作正常,或者用于檢驗兩個主機之間的是否可以連通。2.ipconfig該命令主要查看本機網(wǎng)絡配置的,命令在Windows早期版本中是使用winipcfg,而Windows2000以后的版本才使用ipconfig。3.Tracert命令Tracert命令是內(nèi)置于Windows的TCP/IP應用程序之一。通過向目標發(fā)送不同IP生存時間值TTL的“Internet控制消息協(xié)議(ICMP)”回應數(shù)據(jù)包,Tracert診斷程序可確定目標所采取的路由。10.1

WindowsServer2016路由器及其配置10.1.4任務4：熟練使用網(wǎng)絡測試命令4.Net命令Net命令是Windows所提供的一個功能強大的網(wǎng)絡命令,其參數(shù)和子命令非常多:

●net/?:查看所有的net命令的列表?！駈ethelpcommand:在命令行獲得net命令的語法幫助。例如,關(guān)于netaccounts命令的幫助信息,輸入nethelpaccounts即可。5.Netstat命令該命令主要用于顯示活動的連接、計算機監(jiān)聽的端口、以太網(wǎng)的統(tǒng)計信息等。10.2遠程訪問服務的實現(xiàn)10.2.1任務1：理解遠程訪問服務的基本功能1.遠程訪問和路由功能集成RRAS的正式應用是通過PPP協(xié)議(點到點協(xié)議)將路由服務和遠程訪問服務組合起來的,這樣可以將服務器實現(xiàn)成為多協(xié)議路由器(此時運行RRAS的計算機可同時路由多種協(xié)議,且這些路由協(xié)議均可在同一管理程序中進行配置)和請求撥號路由器(此時運行RRAS的計算機可為廣域網(wǎng)鏈路安排路由,通過VPN建立連接)。2.網(wǎng)絡地址轉(zhuǎn)換網(wǎng)絡地址轉(zhuǎn)換(NAT,NetworksAddressTranslator)是將內(nèi)部IP地址映射為全局合法IP地址的IP地址管理技術(shù),RRAS集成了NAT技術(shù)來實現(xiàn)快速的Internet連接。3.標準的管理界面所有的網(wǎng)絡連接,包括本地連接和撥號連接都使用通用標準的管理接口界面——“網(wǎng)絡和撥號連接”窗口,該窗口為每一個連接設置一個圖標,并由其屬性來管理和配置對應的連接,而且修改參數(shù)后很少重新啟動系統(tǒng)即可生效。10.2遠程訪問服務的實現(xiàn)10.2.2任務2：遠程訪問服務的連接分類運行“路由和遠程訪問”的WindowsServer2016服務器一般可以提供兩種不同類型的遠程訪問連接。1.通過撥號網(wǎng)絡連接通過使用ISP(如公共電話網(wǎng)PSTN、綜合業(yè)務數(shù)字網(wǎng)ISDN)提供的接入服務,遠程客戶端使用非永久的撥號連接到遠程訪問服務器的物理端口上,這時使用的網(wǎng)絡就是撥號網(wǎng)絡。例如,遠程客戶端使用公用電話網(wǎng)撥號遠程訪問服務器某個端口對應的電話號碼以建立連接。2.通過虛擬專用網(wǎng)(VPN)連接通過撥號線路或ISP提供的公共網(wǎng)絡(如Internet)將移動辦公計算機結(jié)點連接到企業(yè)網(wǎng)絡,移動結(jié)點計算機要首先擁有本地Internet提供商的網(wǎng)絡連接,并擁有合法用戶身份,這樣就可以使用點到點隧道協(xié)議或者第二層隧道協(xié)議,在Internet中建立到企業(yè)網(wǎng)絡的安全、加密通道。與撥號網(wǎng)絡相比,虛擬專用網(wǎng)絡是通信雙方之間邏輯的專業(yè)連接,其私密性和安全性是通過對傳送數(shù)據(jù)的加密來實現(xiàn)的。10.3

虛擬專用網(wǎng)VPN的管理10.3.1任務1：理解虛擬專用網(wǎng)VPN工作原理WindowsServer2016的虛擬專用網(wǎng)(VPN,VirtualPrivateNetwork)可以讓遠程用戶與局域網(wǎng)LAN通過Internet(或其他的公眾網(wǎng)絡)建立起一個安全的通信管道。不過需要在局域網(wǎng)內(nèi)建設一臺VPN服務器,以便與遠程的VPN客戶端連接。當遠程的VPN客戶端通過Internet連接到VPN服務器時,它們之間所傳送的信息會被加密,即使信息在Internet傳送的過程中被攔截,也會因為信息已經(jīng)加密而無法識別,可以確保信息的安全性。10.3

虛擬專用網(wǎng)VPN的管理10.3.2任務2：虛擬專用網(wǎng)VPN服務的操作實現(xiàn)1.VPN服務器的配置(1)安裝“路由和遠程訪問”服務角色后,選擇“服務管理器|工具|路由和遠程訪問”,打開“路由和遠程訪問”服務窗口,在如圖10-12所示的窗口左邊的列表區(qū),選中本地服務器名,然后單擊鼠標右鍵,選擇“配置并啟用路由和遠程訪問”。10.3

虛擬專用網(wǎng)VPN的管理10.3.2任務2：虛擬專用網(wǎng)VPN服務的操作實現(xiàn)1.VPN服務器的配置(2)在出現(xiàn)的配置向?qū)Т翱谥袉螕簟跋乱徊健卑粹o,進入服務選擇窗口,如圖10-13所示。這里是要使用VPN服務器只供遠程用戶通過Internet連接VPN服務器,而內(nèi)部局域網(wǎng)則通過一個公共IP使用Internet,選擇第三項,然后單擊“下一步”按鈕。10.3

虛擬專用網(wǎng)VPN的管理10.3.2任務2：虛擬專用網(wǎng)VPN服務的操作實現(xiàn)1.VPN服務器的配置(3)向?qū)б笾付ㄏ嚓P(guān)的IP地址。此處指定的IP地址范圍是VPN客戶端通過虛擬專用網(wǎng)連接到VPN服務器所使用的IP地址范圍,這個地址范圍應該與VPN服務器的內(nèi)部網(wǎng)卡的IP地址是同一個IP網(wǎng)段,以保證VPN的連通。由于要讓客戶端能夠登錄,必須給客戶端指定相應的用戶名和密碼,在WindowsServer2016中,必須使用Windows的域用戶賬戶和密碼作為VPN的登錄憑證。建立域用戶的操作步驟:單擊“服務器管理器|管理工具|ActiveDirectory用戶和計算機”,選擇“Users”中的“新建|用戶”項,按照前面章節(jié)關(guān)于新建域用戶的方法增加VPN用戶。10.3

虛擬專用網(wǎng)VPN的管理10.3.2任務2：虛擬專用網(wǎng)VPN服務的操作實現(xiàn)2.VPN用戶客戶端