《windows-server-2003服務器操作系統(tǒng)》第16章-路由與遠程訪問

1、第16章 路由與遠程訪問主要知識點：一、路由與遠程訪問的功能 （了解）二、配置遠程訪問服務 （掌握）三、Windows Server 2003的路由（掌握）1ppt課件一 路由與遠程訪問的功能 Windows Server 2003中包含有Routing and Remote Access服務組件。最開始時，這項服務在Microsoft Windows NT 4.0中才提供，它能為使用Windows Server 2003的計算機提供集中式多協(xié)議路由與遠程訪問、虛擬專用網服務等功能。 Windows NT操作系統(tǒng)家族對多協(xié)議路由的支持是從Windows NT 3.51 Service Pack

2、 2開始的，其中包括IP RIP組件、IPX RIP組件與IPX SAP組件。 2ppt課件 Windows NT 4.0中也包含有這些組件。1996年6月，微軟公司為Windows NT 4.0發(fā)布了Routing and Remote Access Service （路由與遠程訪問服務，RRAS），它以集成遠程訪問與多協(xié)議路由的單一服務來代替Windows NT 4.0遠程訪問服務、IP RIP 、IPX RIP與IPX SAP。Windows NT 4.0中的RRAS還能支持：IP RIP v2路由協(xié)議IP OSPF（Open Shortest Path First，開放式最短路線優(yōu)先）

3、路由協(xié)議3ppt課件請求撥號路由，它是基于請求或永久WAN鏈接（如模擬電話線、ISDN ）或使用點到點隧道協(xié)議的一種路由方法ICMP（Internet Control Message Protocol，Internet消息控制協(xié)議）路由器發(fā)現(xiàn)RADIUS（Remote Authentication Dial-In User Service，遠程撥號用戶驗證服務）IP報文過濾與IPX報文過濾路由器到路由器VPN（Virtual Private Network虛擬專用網）連接的PPTP（Point-to-Point Tunneling Protocol，點到點隧道協(xié)議）協(xié)議。4ppt課件 Wind

4、ows Server 2003中的Routing and Remote Access服務繼續(xù)支持在Windows平臺上進行多協(xié)議路由與遠程訪問服務的開發(fā)。該服務中的許多新特性都涉及到對現(xiàn)有服務的增強，而不是去創(chuàng)建新的服務，包括： 多協(xié)議路由器帶路由與遠程訪問服務的計算機可以同時進行IP路由、IPX路由（Windows server 2003家族64位版本不支持）與AppleTalk路由。所有的可路由協(xié)議與路由協(xié)議都由相同的管理人員進行配置。5ppt課件請求撥號路由器帶路由與遠程訪問服務的計算機可以基于請求，或在永久WAN鏈路上（模擬式電話線或ISDN都屬于WAN鏈路）進行IP路由與IPX路由，

5、或通過IPSec在PPTP或L2TP上進行VPN連接遠程訪問服務器帶路由與遠程訪問服務的計算機可以當作遠程訪問服務器，使用IP、IPX或AppleTalk來提供對撥號或VPN，遠程訪問客戶的遠程訪問連接 同一計算機上路由與遠程訪問服務的結合可創(chuàng)建Windows Server 2003遠程訪問路由器。6ppt課件 Routing and Remote Access服務的一個優(yōu)點是它與Windows Server 2003操作系統(tǒng)的集成性。該服務可工作于許多硬件平臺以及許多網絡適配器，導致其較低的開銷（相對于許多中等路由器或遠程訪問服務器產品而言）。 Routing and Remote Acce

6、ss服務具有API（Application Programming Interface，應用程序編程接口）可擴展性，這種API接口可被第三方開發(fā)者用來創(chuàng)建自定義網絡解決方案，而其他新的開發(fā)者可將其用于開放式互聯(lián)網不斷增長的業(yè)務中。7ppt課件二遠程訪問概述 利用Windows Server 2003遠程訪問，遠程訪問客戶可以連接到遠程訪問服務器上，并且被透明地連接到遠程訪問服務器上（所謂的點到點遠程訪問連接），或者被透明地連接到遠程訪問服器所在的網絡上（所謂的點到LAN遠程訪問連接）。這種透明連接允許遠程訪問客戶從遠程的某個位置進行撥號并且使用網絡資源，就像它們被物理地連接到網絡上一樣。 Wi

7、ndows Server 2003遠程訪問提供兩種不同類型的遠程訪問連接：8ppt課件（1）撥號遠程訪問 利用撥號遠程訪問，遠程訪問客戶可以使用電信通訊設備來創(chuàng)建一個臨時的物理電路或者虛擬電路，連接到遠程訪問服務器的某個端口上。一旦這個物理電路或者虛擬電路被創(chuàng)建，那么連接中的其他參數(shù)就可被配置。（2）虛擬專用網（VPN）遠程訪問 利用VPN遠程訪問，VPN客戶使用IP互聯(lián)網來與作為VPN服務器的遠程訪問服務器建立虛擬點到點連接。一旦這個虛擬點到點連接被建立，那么連接中的其他參數(shù)就可被配置。9ppt課件1、遠程訪問與遠程控制 遠程訪問與遠程控制之間的區(qū)別主要在于： 遠程訪問服務器是一個基于軟件的

8、多協(xié)議路由器；而遠程控制則是通過在遠程鏈接上共享屏幕、鍵盤以及鼠標來實現(xiàn)的。在遠程訪問中，應用程序運行于遠程訪問客戶計算機上。 在遠程控制方式中，用戶共享服務器上的一個CPU或者多個CPU。在遠程控制方式中，應用程序運行在服務器上。遠程訪問服務器的CPU是用來處理遠程訪問客戶與網絡資源之間的流量的，而不是用來運行應用程序的。10ppt課件2、撥號遠程訪問連接的要素 如下圖所示，撥號遠程訪問連接包括遠程訪問客戶、遠程訪問服務器以及WAN結構。 撥號遠程訪問連接的要素 11ppt課件（1）遠程訪問客戶 Windows Server 2003、Windows 2000、Windows NT 3.5

9、及其后續(xù)版本、Windows 95、Windows 98、Windows for Workgroups、MS-DOS以及LAN Manager遠程訪問客戶都可以連接到Windows Server 2003遠程訪問服務器上。幾乎任何的第三方PPP（Point-to-Point Protocol，點到點協(xié)議）遠程訪問客戶（包括UNIX以及Apple Macintosh）都可以連接到Windows Server 2003遠程訪問服務器上。12ppt課件（2） 遠程訪問服務器 Windows Server 2003遠程訪問服務器可以接受撥號連接并且在遠程訪問客戶與遠程訪問服務器所在的網絡之間進行報文的

10、傳送。（3） 撥號設備以及WAN結構 遠程訪問服務器與遠程訪問客戶之間所建立的物理連接或者邏輯連接是通過安裝在遠程訪問客戶上的撥號設備，遠程訪問服務器以及電信通信設備進行的。依據(jù)所使用的連接類型不同，撥號設備與電信通信設備的類型也不相同。13ppt課件（4） 遠程訪問協(xié)議 遠程訪問協(xié)議可以用來控制連接建立以及數(shù)據(jù)在WAN鏈路上的傳輸。遠程訪問客戶與遠程訪問路由器上所使用的操作系統(tǒng)與LAN協(xié)議決定了客戶所能夠使用的遠程訪問協(xié)議。Windows Server 2003遠程訪問支持三種類型的遠程訪問協(xié)議：PPP（Point-to-Point Protocol，點到點協(xié)議）是一種可以提供最佳的安全性能

11、、多協(xié)議訪問以及互操作性的工業(yè)標準協(xié)議。SLIP（Serial Line Internet Protocol，串行線路網際協(xié)議）是一種在老式遠程訪問服務器上所使用的協(xié)議。14ppt課件Microsoft RAS協(xié)議（也就是所謂的Asynchronous NetBEUI或AsyBEUI）是一種在運行Microsoft操作系統(tǒng)（例如Windows NT 3.1、Windows for Workgroups、MS-DOS與LAN Manager）的合法遠程訪問客戶計算機上所使用的遠程訪問協(xié)議。（5） LAN協(xié)議 LAN協(xié)議是被遠程訪問客戶用來訪問連接到遠程訪問服務器上的網絡資源而使用的一種協(xié)議。Wi

12、ndows Server 2003遠程訪問支持TCP/IP、IPX以及AppleTalk。 15ppt課件三配置遠程訪問服務器 1、啟用RAS 在安裝Windows Server 2003服務器時，“遠程訪問”組件就已經自動安裝了。在Windows Server 2003中，這個組件實際上由兩部分組成：路由和遠程訪問。在Windows Server 2003 RAS中是可以進行路由功能的。盡管RAS是默認安裝的，但是它在人工進行啟動之前是保持停用狀態(tài)的。 16ppt課件 我們通過“路由和遠程訪問”實用程序安裝與配置RAS服務器，步驟如下：第1步 選擇 【開始】【所有程序】【管理工 具】【路由和

13、遠程訪問】第2步 “路由和遠程訪問”實用程序啟動，如下圖所 示，在“路由和遠程訪問”實用程序左窗格 中，右鍵單擊服務器并在彈出菜單中選擇 【配置并啟用路由和遠程訪問】。17ppt課件啟動“路由和遠程訪問安裝向導 18ppt課件第3步 “路由和遠程訪問服務器安裝向導”啟動，單 擊【下一步】按鈕繼續(xù)。第4步 出現(xiàn)【配置】對話框，選擇【遠程訪問（撥 號或VPN）】選項，如下圖所示，單擊【下 一步】按鈕繼續(xù)。19ppt課件選擇“遠程訪問（撥號或VPN）” 20ppt課件第5步 出現(xiàn)【遠程訪問】對話框，可以選擇【撥 號】或【VPN】。目前選擇【撥號】，如下 圖，單擊【下一步】按鈕繼續(xù)。選擇連接的方式 2

14、1ppt課件第6步 出現(xiàn)【IP地址指定】對話框，如果網絡中存 在DHCP服務器，可以選擇【自動】來自動為 客戶端分配IP地址，否則請選擇【來自一個 指定的地址范圍】來使用靜態(tài)地址范圍，如 下圖所示。單擊【下一步】按鈕繼續(xù)。第7步 出現(xiàn)【管理多個遠程訪問服務器】對話框， 這個對話框可以指定是否使用Remote （RADIUS）服務器。如果選擇這個選項后， 向導會指導你選擇一個RADIUS服務器和一個 共享的機密。單擊【下一步】按鈕繼續(xù)。22ppt課件選擇分配IP地址的方式 23ppt課件第8步 出現(xiàn)【正在完成路由和遠程訪問服務器安裝 向導】對話框，然后單擊【完成】按鈕，安 裝完成。 “路由和遠程

15、訪問”管理器不僅可以管理本地的RAS服務器，還可以管理網絡上的任意一臺Windows Server 2003 RAS服務器。管理之前要先將其他的服務器添加到管理窗口中，方法是：右鍵單擊“路由和遠程訪問”圖標，然后在彈出的菜單中選擇“添加服務器”，在該對話框中，可以選擇是添加本地計算機或網絡上的另一臺計算機，24ppt課件 如果是后者，就需要輸入該計算機的服務器名稱和IP地址，甚至可以選擇“域中的所有路由和遠程訪問服務器”，從而一次性的將域中所有的RAS服務器添加進來，一并進行管理，如后圖所示。在“路由和遠程訪問”管理器中，還可以隨時查看當前服務器的運行狀態(tài)，方法是雙擊“路由和遠程訪問”圖標，然

16、后單擊“服務器狀態(tài)”，這時就可以在右側的窗口中進行查看運行狀態(tài)了；還可以隨時對管理的服務器進行“停用”和“禁止”操作，方法是右鍵單擊該服務器，并在所有任務菜單中選取相應的項即可。25ppt課件添加服務器 26ppt課件2、配置協(xié)議 RAS服務器可以支持的客戶協(xié)議與Windows 2000不同的是：Windows Server 2003只支持TCP/IP協(xié)議和IPX協(xié)議，在運行路由和遠程訪問的 Windows Server 2003服務器上，不支持 NetBEUI 協(xié)議。 為了使遠程計算機能夠通過使用TCP/IP來訪問RAS服務器，應該在RAS服務器上配置TCP/IP協(xié)議。配置的方法是在“路由和

17、遠程訪問”管理器中，右鍵單擊想要配置TCP/IP協(xié)議的服務器，然后從彈出的菜單中選擇“屬性”，從而打開“服務器屬性”對話框。在此需要單擊“IP”標簽。任何一個使用TCP/IP來訪問RAS服務器的客戶都必須有一個IP地址，而且每個計算機27ppt課件 的IP地址必須是惟一的，可以有兩種方法賦予客戶機IP地址，一種是在對話中選擇“靜態(tài)地址池”，即在相應的“地址”、“子網掩碼”欄中輸入數(shù)據(jù)，其“范圍”和“地址數(shù)”中的數(shù)據(jù)也隨之發(fā)生變化；如果選擇“動態(tài)主機配置協(xié)議（DHCP）”，則遠程客戶將依靠DHCP服務器為它來提供IP地址了。還可以對遠程訪問的客戶進行訪問范圍的控制，選擇“允許遠程系統(tǒng)運行”，然后

18、可以選取為“只訪問此計算機”還是“訪問整個網絡”，從而達到控制訪問范圍的目的，按下“確定”按鈕完成設置。28ppt課件3、身份鑒別 在Windows Server 2003中，對于一個獨立服務器或域控制器來說，它的用戶對象屬性中包含一組撥入屬性，使用這些屬性可以允許或者禁止用戶的連接企圖。這項工作在成員服務器的“本地用戶和組”實用程序中或Windows Server 2003域控制器的“Active Directory用戶和計算機”實用程序中進行?？梢酝ㄟ^用戶屬性對話框對訪問RAS服務器的用戶指定權限，要打開用戶屬性對話框，需訪問相應的實用程序，打開“用戶”文件夾，并雙擊用戶帳戶。29ppt課

19、件 以本地用戶為例，單擊“管理工具”中的“計算機管理計”項，選擇“本地用戶和組”，雙擊左側用戶所在的控制器，再雙擊“用戶”圖標，然后在右側的窗口中找到相應的用戶名，雙擊打開其屬性窗口，在該窗口中單擊“撥入”標簽。在該對話框中，有一系列的撥入屬性，其中：“遠程訪問權限”顯示允許或者禁止遠程用戶的訪問。而“回撥”選項可以實現(xiàn)這種功能：不回撥是指當用戶撥號進來后，只要賬號正確，就可立即與網絡連接，它是默認選項；而“由呼叫方設置”是指當RAS工作站撥入RAS服務器之后，輸入正確的賬號，服務器會要求用戶輸入回叫的電話號碼， 30ppt課件 然后掛斷電話，并由服務器端對用戶進行撥號，這種方法的顯著優(yōu)點是為

20、遠程用戶端節(jié)省了電話費用；“總是回撥到”是指服務器端對該用戶的回叫號碼事先作了規(guī)定，這樣即使該用戶被別人盜用，可只要他使用的電話號碼與服務器設置的不一樣，他就依然無法進行訪問，該設置大大提高遠程訪問的安全性。如果“撥號”標簽選項不可用，則說明計算機沒有配置成支持這個選項。 通過在“服務器屬性”中對“安全”選項卡的設置，就可以遠程訪問服務器配置、鑒別和加密設置。這樣遠程撥號用戶和RAS服務器之間的通信就有進一步的安全保證，31ppt課件 方法是右鍵單擊要配置安全屬性的服務器，從彈出的菜單中選擇“屬性”，單擊“安全”標簽，再單擊“身份驗證方法”按鈕。下圖是為使用“安全”標簽設置身份驗證方式。設置身

21、份驗證方式 32ppt課件4、管理服務端口 在遠程訪問過程中，使用的設備是指可以為遠程訪問建立點對點連接提供端口的硬件或者軟件，而端口就是一個支持單一點對點連接的設備。對于單個設備來說，比如調制解調器，設備就是指端口；而對于多端口設備，一個設備被分成多個端口來看待，每個端口可以有獨立的點對點的連接。例如：ISDN適配器在一臺設備上就支持兩個B通道端口，由于在每個通道上可以獨立產生一個點對點的連接，所以每個通道也就是一個端口。33ppt課件 可以通過“路由和遠程訪問”實用程序監(jiān)視與管理通信端口。在“路由和遠程訪問”管理器中雙擊要進行配置的服務器，然后用右擊在打開的目錄樹中“端口”，并從彈出菜單選

22、擇“屬性”。在端口屬性對話框中，可以查看RAS的設備配置。以調制解調設備為例，在設備的列表中，可以看到當前安裝的調制解調器的型號、類型與端口數(shù)。對調制解調來說，可用的端口只能是一個，而如果已經允許了該調制解調器用于RAS遠程訪問，則其使用情況就會為“RAS”，否則為“無”。一定要在啟動RAS服務器之前，配置好所用的調制解調器或者ISDN卡以及X.25卡，否則即使在選擇了相應的設備后，遠程訪問也有可能出錯。另外，窗口中還有“WAN微型端口（PPTP）”、“WAN微型端口（L2TP）”和“直接并行”的設置參數(shù)。34ppt課件 如果RAS設備的使用情況為“無”，可以選擇該設備，并單擊“配置”按鈕。在

23、此可以通過選擇“遠程訪問連接（僅入站）”允許向內訪問RAS服務器，或者選擇“請求撥號路由選擇連接”允許用戶通過RAS服務器向外撥號訪問外部資源。最后在“此設備的電話號碼”處添入該設備的電話號碼，單擊“確定”即可。然后在“路由和遠程訪問”中的“端口”項中就可以看到當前被用于RAS遠程服務的設備。雙擊該設備可以查看該設備的狀態(tài)，其中包括：設備名稱、設備狀態(tài)（當沒有訪問時，它為正接聽），當連接成功后，可以查看連接線路的速度、連接的持續(xù)時間、輸入/輸出的字節(jié)數(shù)、傳輸過程中的錯誤類型、錯誤幀數(shù)，還可以看到該客戶進行網絡注冊后所使用的IP地址。單擊“刷新”按鈕可以即時刷新該設備的狀態(tài)。35ppt課件5、遠

24、程訪問策略 （1） 創(chuàng)建新的遠程訪問策略 創(chuàng)建遠程訪問策略時，啟動“路由和遠程訪問”實用程序，保證展開計算機，并右鍵單擊“遠程訪問策略”，從彈出菜單中選擇“新建遠程訪問策略”，出現(xiàn)“新建遠程訪問策略向導”對話框，單擊【下一步】按鈕，選擇“設置自定義策略”，輸入“策略名”，這里為“組限制”。然后單擊【下一步】按鈕，進入“策略狀況”選擇框，通過單擊【添加】按鈕可以指定所要符合下列的條件。36ppt課件“NAS-IP-ADDRESS”是指網絡訪問服務器的IP地址“NAS-PORT-TYPE”是指呼叫方使用的媒體類型，包括模擬電話線、ISDN等“CLIENT-IP-ADDRESS”是指呼叫方的IP地址

25、“day-and-time-restrictions”是經常用到的策略，如圖16-11所示。它可以限制遠程訪問的時間段，這里需要添加它，然后在對話框中，用鼠標劃出一段時間范圍，再選擇“允許”或“拒絕”就可以了。37ppt課件添加遠程訪問策略 38ppt課件（2） 添加其他的策略 一個策略定義完成后，還可以添加其他的策略，單擊“下一步”，可以選擇如果用戶符合前面指定的策略時，是授予還是拒絕遠程訪問權限。單擊“下一步”可以為用戶指定配置文件。訪問配置文件是應用于連接的一組屬性，如果通過用戶對象的遠程訪問權限設置或通過遠程訪問配置文件夾的撥入權限設置授予了客戶的權限，服務器就會使用配置文件。單擊“編

26、輯配置文件”之后，39ppt課件 可以設置“在斷開前服務器可以保持為空閑的時間數(shù)”、“客戶端可以連接的時間（會話超時）”、“僅允許在這些日期和時間訪問”、“僅允許訪問此號碼”（用來使呼叫方必須撥打特定的號碼才允許進行連接）及“僅允許通過這些媒體訪問”。按下“確定”按鈕完成遠程訪問策略的設置，此時的窗口中應該出現(xiàn)你定義的若干條策略，通過調整它們的上下順序可以使策略實施的優(yōu)先級發(fā)生變化。40ppt課件（3） 修改現(xiàn)有遠程訪問策略 缺省情況下，有個遠程訪問策略叫“撥號訪問”。要訪問這個遠程訪問策略，雙擊“路由和遠程訪問”實用程序窗口中的“遠程訪問策略”。要管理這個策略的屬性，右鍵單擊該策略并從彈出菜單選擇“屬性”，出現(xiàn)策略屬性對話框的“設置”標簽。41ppt課件四路由功能 RAS計算機，是局域網與Internet通信的橋梁，也就是說，假設你向ISP（Internet服務提供商）申請一個賬號（利用PPP連接），當你利用RA