项目路由器NAT及VPN服务的架设.ppt

《项目路由器NAT及VPN服务的架设.ppt》由会员分享，可在线阅读，更多相关《项目路由器NAT及VPN服务的架设.ppt（44页珍藏版）》请在三一办公上搜索。

1、Windows Server 2008网络组建项目化教程,课程标准(教学大纲)教学设计方案(教案)PPT电子课件教材习题参考答案模拟试卷及参考答案(4套)IT认证+全国技能大赛资料知识拓展&网络工程解决方案,主编：夏笠芹 方颂,“十二五”职业教育国家规划教材选题立项教材附带的光盘资源,迅达公司的局域网划分成三个子网。为了实现不同子网计算机的通信,需要在不同子网之间架设路由器或具有路由功能的三层交换机。你是一家公司的网管员，负责管理和维护公司的网络。你的公司已搭建了具有若干台计算机的一个局域网，局域网内的使用的均为私网IP地址。现在，需要你将局域网内的所有计算机共享一条线路（ADSL或专线）接入

2、Internet，使企业网中的用户能够访问互联网。你的公司希望为一些员工提供对公司网络的远程访问功能，这样员工在外地出差时仍然能够访问到公司网络中允许他们访问的资源。需要在企业网内开通远程访问功能。,项目11 路由器、NAT和VPN服务器的架设,项目背景,知识目标了解：路由器的功能、分类和基本组成；NAT服务器接入Internet技术的概念及特点；远程访问服务的概念、连接方式熟悉：路由表结构、路由协议的作用、路由器的工作原理；NAT技术的工作过程；VPN的构成与分类、VPN的安全技术及VPN的工作过程掌握：软路由的搭建方法与步骤；NAT服务的安装、配置方法；VPN服务器的搭建方法及用户连接的权

3、限设置、访问策略的设置；VPN客户端的配置及访问方法能力目标会配置并启用路由服务、NAT服务和VPN服务会配置静态路由、默认路由、能配置RIP协议实现动态路由、能配置路由接口的包筛选NAT客户机的配置与测试会配置NAT服务器的属性能对NAT网络接口进行安全设置能通过配置端口映射和地址映射让公网用户访问内网服务器会设置赋予用户VPN连接的权限及远程访问策略会配置VPN客户端、使用VPN连接访问内部网络,教学目标,项目11 路由器、NAT和VPN服务器的架设,11.2 项目知识准备,1.路由器的有关概念路由器：是连接不同网段的主要设备，它能把数据包从一个网段经过合理的路径选择转发到另一个网段上，从

4、而实现不同网段上的计算机之间的通信。,11.2.1 路由及工作原理,C:tracert,11.2.1 路由及工作原理,C:tracert Tracing route to 61.137.89.155over a maximum of 30 hops:1*Request timed out.2 1 ms 1 ms 1 ms 172.16.100.1 3 13 ms 16 ms 19 ms 222.240.168.129 4 20 ms 16 ms 14 ms 222.247.28.13 5 10 ms 21 ms 24 ms 61.137.0.1 6 30 ms 23 ms 24 ms 61.1

5、37.0.238 7 22 ms 14 ms 18 ms 222.246.134.250 8 13 ms 19 ms 20 ms 222.246.134.226 9 11 ms 24 ms 21 ms 220.168.248.54 10 22 ms 21 ms 14 ms 61.137.89.155,11.2.1 路由及工作原理,路由器的类型：软件路由器一台装有Windows Server 2003并启动和配置了“路由和远程访问”服务组件的计算机可以当作一台路由器来使用硬件路由器,11.2.1 路由及工作原理,硬件路由器是一台特殊的计算机，它有CPU、存储介质以及操作系统，只不过这些都与PC上

6、的有点差别而已。硬件主要有：CPU路由器中的CPU和计算机中的CPU所要实现的功能都是一样的。一般来说，计算机的CPU处理能力比路由器强大，但是在一些高端路由器上也会用到频率高到300MHz的CPU。接口它是连接网络最直接的媒介，它的接口主要有以太网口、串口、FDDI、令牌环等。内存和硬盘路由器中也有，只不过它的名字不同软件主要有：路由器的操作系统就是IOS（Internetwork Operating System，互联网际操作系统）。数据库路由表,11.2.1 路由及工作原理,路由表：由多个路由条目组成，每个路由条目记录了到达目的网络的传输路径及优劣评价。包含目标、网络掩码、网关、接口和跃

7、点数等列信息。,路由表,接口,网关,11.2.1 路由及工作原理,路由表信息的产生方式有两种：静态路由：在系统安装时根据网络的拓扑结构和配置情况由网管员手工设定的。动态路由：动态路由则是网络中的路由器之间相互通信，传递路由信息，利用收到的路由信息自动更新路由表的过程,11.2.1 路由及工作原理,路由协议的作用：用来建立以及维护路由表并根据一定的量度标准来决定最佳路径。动态路由协议分为：内部网关协议（IGP）：自治域内部采用的路由选择协议称为内部网关协议，常用的有RIP（路由信息协议）、OSPF（开放式最短路径优先协议）；自治域指一个具有统一管理机构、统一路由策略的网络。外部网关协议（EGP）

8、：外部网关协议主要用于多个自治域之间的路由选择，常用的是BGP（边界网关协议）和BGP-4等。,11.2.1 路由及工作原理,2.路由器的工作原理主机A将主机B的地址，连同数据信息以数据帧的形式通过集线器或交换机以广播的形式发送给同一网段中的所有节点，当路由器R1的e1端口侦听到这个地址后，分析得知所发目的节点不是本网段的，需要路由转发，于是就把数据帧接收下来。路由器R1的e1接口接收到主机A的数据帧后，先从报头中取出目的主机B的IP地址，并根据路由表计算出发往主机B的最佳路径：R1-R2-R5-网络2，然后将数据帧发往路由器R2。R2重复R1的工作，并将数据帧转发给R5。路由器R5同样取出目

9、的地址，发现210.42.200.0就在该路由器某个端口所连接的网段上，如果在网络中有交换机则可先发给交换机，由交换机根据MAC地址表找出具体的网络节点位置；如果没有交换机设备则根据其IP地址中的主机ID直接把数据帧发送给主机B。主机B收到主机A的数据帧。,11.2.2 公网IP地址和私网IP地址,IP分为公网地址和私网地址，其中私网地址（局域网用的）范围为：A类地址：10.0.0.010.255.255.255B类地址：172.16.0.0172.16.255.255C类地址：192.168.0.0192.168.255.255,11.2.3 NAT服务的工作过程,NAT的工作过程：当内网中

10、使用私有IP地址的客户端需要与Internet上的计算机（目标主机）通信时，客户端将数据发送到NAT。NAT将收到的数据包中的源客户机的私有IP地址和TCP/UDP端口号更改为ISP分配的公有IP地址和可能改变的TCP/UDP端口号。NAT将替换地址信息后的数据包发送给Internet上的目标主机。目标主机将处理结果的数据包返回给NAT。当NAT收到目标主机返回的数据后，再使用内部客户机的私有IP地址和端口号代替数据包中的目标IP地址和端口号。NAT将数据包发送给内网的客户机。,11.2.3 NAT服务的工作过程,11.2.4 VPN远程访问服务构成与分类,1.什么是远程访问服务远程访问服务（

11、Remote Access Service，RAS）是用来为远程办公人员、外出人员，以及监视和管理多个异地的服务器的网络管理员等远程用户，通过某种远程连接方式，对企业内部网络的共享软硬件资源实现访问的服务。,11.2.4 VPN远程访问服务构成与分类,远程访问连接的方式拨号网络连接：通过使用远程通信提供商提供的PSTN、ISDN、ADSL或X.25等连接方式。VPN连接（Virtual Private Network，虚拟专用网络）：这是一条穿越公用网络（如：Internet），能在异地的两台计算机或局域网之间传输加密数据并在数据包中封装了身份验证信息和一致性校验信息的信息隧道。,2.VPN服

12、务系统的组成VPN服务器:用于接收并响应远程访问客户机的连接请求,并建立连接,进而提供远程客户访问内部网络资源。VPN客户端:用于发起VPN连接请求的主机。隧道协议:是用来创建VPN客户机到VPN服务器上的安全连接。Windows Server 2003远程服务器支持PPTP(Point-to-Point Tunneling Protocol,端对端隧道协议)和L2TP(Layer Two Tunneling Protocol,第二层隧道协议)两种隧道协议。Internet连接:VPN服务器和客户机都必须连入Internet。,11.2.4 VPN远程访问服务构成与分类,3.VPN分类,11.

13、2.4 VPN远程访问服务构成与分类,11.2.5 VPN的安全技术,1.隧道技术(Tunneling)VPN实现的关键技术是隧道,VPN的隧道技术类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成并实现数据封装的。2.加密与解密技术(Encryption&Decryption)加密与解密技术的主要任务是如何在公共数据网上安全地传输数据和密钥而不被他人窃取。加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。3.用户认证技术(Authentication)用户认证技术最常用的是用户名称与密码或卡片式认证等方式。,11.2.6

14、VPN的工作过程,11.3 项目实施,任务11-1 安装、配置并启用路由服务,任务11-1 安装、配置并启用路由服务,1.服务器上启用“路由和远程访问”,任务11-1 安装、配置并启用路由服务,2.查看路由表,任务11-1 安装、配置并启用路由服务,3.路由表的结构【目标】：是通过此条路由所要到达的目标网络的网络地址。其中有几条特殊的目标地址的含义如下：0.0.0.0称为缺省路由，当一个数据包的目的网段不在路由表中时的路由处理。255.255.255.255当路由器收到一个绝对广播数据包时的路由处理。127.0.0.0本地回送地址。224.0.0.0当路由器收到一个组播数据包时的路由处理【网络

15、掩码】：是目标网络的子网掩码。【网关】：数据包从本路由器到下一跳路由器的入口IP地址。【接口】：为到达目的网络的本路由器的出口IP地址。【跃点数】：表明该条路由记录的质量，常用指标为跃点，或到达目标位置所通过的路由器数目。如果路由表中有多个相同目标位置的路由记录时，则使用最低跃点数的路由。【协议】：获得路由的方式。如果“协议”栏列出RIP、OSPF或任何非“本地”的内容，那么该路由器正在接收路由。,任务11-2 配置静态路由,任务11-2 配置静态路由,任务11-3 默认路由的配置,任务11-4 配置RIP协议实现动态路由,任务11-5 使用NAT服务实现共享上网,任务11-5 使用NAT服务

16、实现共享上网,1.配置并启用NAT服务,任务11-5 使用NAT服务实现共享上网,2.NAT客户机的配置与测试,任务11-6 配置NAT服务器的属性,1.配置事件日志的类型,任务11-6 配置NAT服务器的属性,2.配置映射保留时间,任务11-6 配置NAT服务器的属性,3.配置DHCP的功能,任务11-6 配置NAT服务器的属性,4.配置DNS的代办功能,任务11-7 让公网用户访问内网服务器,1.端口映射的配置,任务11-7 让公网用户访问内网服务器,2.地址映射的配置,任务11-8 配置并启用VPN服务器,任务11-8 配置并启用VPN服务器,任务11-9 赋予用户VPN连接的权限,任务

17、11-10 使用VPN客户端访问内部网络,任务11-10 使用VPN客户端访问内部网络,项目知识准备路由概述路由器的工作原理公用地址和专用地址NAT服务的工作过程项目实施配置并启用路由服务配置静态路由默认路由的配置配置RIP协议实现动态路由配置路由接口的包筛选功能配置并启用NAT服务NAT客户机的配置与测试配置NAT服务器的属性NAT网络接口的安全设置让公网用户访问内网服务器,小结,项目11 软路由、NAT和VPN服务器的架设,项目知识准备远程访问服务概述VPN的构成与分类VPN的安全技术VPN的工作过程项目实施配置并启用VPN服务器赋予用户VPN连接的权限配置远程访问策略配置VPN客户端使用VPN连接访问内部网络,实训（交实训报告书）实训11 软路由、NAT和VPN的配置习题（课堂小组活动）一、选择题：112二、简答题：,作业,项目11 软路由、NAT和VPN服务器的架设,