局域網(wǎng)的互連技術(shù)

1、局域網(wǎng)局域網(wǎng)技術(shù)技術(shù)第第9章章 局域網(wǎng)的互連技術(shù)局域網(wǎng)的互連技術(shù)張蒲生張蒲生 主編主編 20072007年年8 8月月學(xué)習(xí)任務(wù)學(xué)習(xí)任務(wù) p 掌握路由器的連接與配置掌握路由器的連接與配置p 學(xué)會學(xué)會Windows Server 2003軟件路由器配置與測軟件路由器配置與測試方法試方法 。p 學(xué)會學(xué)會Windows Server 2003的的VPN服務(wù)器的配置服務(wù)器的配置與管理與管理。 9.1 使用路由器互連局域網(wǎng)使用路由器互連局域網(wǎng) 9.1.1 路由器的功能及工作原理路由器的功能及工作原理 9.1.2 路由器的基本配置路由器的基本配置 9.1.3 使用路由器模擬互連局域網(wǎng)的實訓(xùn)使用路由器模擬互連

2、局域網(wǎng)的實訓(xùn)9.2 Windows Server 2003軟路由實現(xiàn)兩個網(wǎng)段的互連軟路由實現(xiàn)兩個網(wǎng)段的互連 9.2.1 Windows Server 2003的路由方案的路由方案 9.2.2 Windows Server 2003路由服務(wù)的安裝與配置路由服務(wù)的安裝與配置 9.2.3 靜態(tài)路由和動態(tài)路由配置的實訓(xùn)靜態(tài)路由和動態(tài)路由配置的實訓(xùn)9.3 虛擬專用網(wǎng)虛擬專用網(wǎng) 9.3.1 虛擬專用網(wǎng)概述虛擬專用網(wǎng)概述 9.3.2 VPN服務(wù)器的安裝與配置服務(wù)器的安裝與配置 9.3.3 客戶端客戶端VPN連接的配置連接的配置 9.3.4 通過通過Internet遠程訪問局域網(wǎng)的實訓(xùn)遠程訪問局域網(wǎng)的實訓(xùn)9.

3、1.1 路由器的功能及工作原理路由器的功能及工作原理9.1.2 路由器的基本配置路由器的基本配置9.1.3 使用路由器模擬互連局域網(wǎng)的實訓(xùn)使用路由器模擬互連局域網(wǎng)的實訓(xùn)1引例說明引例說明假設(shè)商貿(mào)公司的辦公局域網(wǎng)是如圖所示的形式，假設(shè)商貿(mào)公司的辦公局域網(wǎng)是如圖所示的形式，A、B、C、D 4個個子網(wǎng)通過路由器連接在一起。如果沒有路由器，只有在同一個子網(wǎng)通過路由器連接在一起。如果沒有路由器，只有在同一個IP子網(wǎng)子網(wǎng)內(nèi)的計算機才能通信。不在同一網(wǎng)段內(nèi)的計算機（如內(nèi)的計算機才能通信。不在同一網(wǎng)段內(nèi)的計算機（如192.168.1.2和和192.168.2.2，使用，使用255.255.255.0作為子網(wǎng)掩

4、碼），即使連接在同一交作為子網(wǎng)掩碼），即使連接在同一交換機上，在只使用換機上，在只使用TCP/IP時，它們也是無法通信的。時，它們也是無法通信的。假設(shè)網(wǎng)絡(luò)假設(shè)網(wǎng)絡(luò)A中一個用戶中一個用戶A1要向要向C網(wǎng)絡(luò)中的網(wǎng)絡(luò)中的C3用戶發(fā)送一個請求信號用戶發(fā)送一個請求信號時，信號傳遞的步驟如下。時，信號傳遞的步驟如下。（1）用戶）用戶A1將目的用戶將目的用戶C3的地址的地址C3，連同數(shù)據(jù)信息以數(shù)據(jù)幀的，連同數(shù)據(jù)信息以數(shù)據(jù)幀的形式通過交換機以廣播的形式發(fā)送給同一網(wǎng)絡(luò)中的所有節(jié)點，當路由形式通過交換機以廣播的形式發(fā)送給同一網(wǎng)絡(luò)中的所有節(jié)點，當路由器器A8端口偵聽到這個地址后，分析得知所發(fā)目的節(jié)點不是本網(wǎng)段的，端

5、口偵聽到這個地址后，分析得知所發(fā)目的節(jié)點不是本網(wǎng)段的，需要路由轉(zhuǎn)發(fā)，就把數(shù)據(jù)幀接收下來。需要路由轉(zhuǎn)發(fā)，就把數(shù)據(jù)幀接收下來。（2）路由器）路由器A8端口接收到用戶端口接收到用戶A1的數(shù)據(jù)幀后，先從報頭中取出的數(shù)據(jù)幀后，先從報頭中取出目的用戶目的用戶C3的的IP地址，并根據(jù)路由表計算出發(fā)往用戶地址，并根據(jù)路由表計算出發(fā)往用戶C3的最佳路徑。的最佳路徑。因為從分析得知到因為從分析得知到C3的網(wǎng)絡(luò)的網(wǎng)絡(luò)ID號與路由器的號與路由器的C8網(wǎng)絡(luò)網(wǎng)絡(luò)ID號相同，所以號相同，所以由路由器的由路由器的A8端口直接發(fā)向路由器的端口直接發(fā)向路由器的C8端口應(yīng)是信號傳遞的最佳途端口應(yīng)是信號傳遞的最佳途經(jīng)。經(jīng)。（3）路由

6、器的）路由器的C8端口再次取出目的用戶端口再次取出目的用戶C3的的IP地址，找出地址，找出C3的的IP地址中的主機地址中的主機ID號，如果在網(wǎng)絡(luò)中有交換機則可先發(fā)給交換機，由號，如果在網(wǎng)絡(luò)中有交換機則可先發(fā)給交換機，由交換機根據(jù)交換機根據(jù)MAC地址表找出具體的網(wǎng)絡(luò)節(jié)點位置；如果沒有交換機地址表找出具體的網(wǎng)絡(luò)節(jié)點位置；如果沒有交換機設(shè)備則根據(jù)其設(shè)備則根據(jù)其IP地址中的主機地址中的主機ID直接把數(shù)據(jù)幀發(fā)送給用戶直接把數(shù)據(jù)幀發(fā)送給用戶C3，這樣，這樣一個完整的數(shù)據(jù)通信轉(zhuǎn)發(fā)過程也完成了。一個完整的數(shù)據(jù)通信轉(zhuǎn)發(fā)過程也完成了。2靜態(tài)路由和動態(tài)路由靜態(tài)路由和動態(tài)路由路由器的路由可以分為靜態(tài)路由和動態(tài)路由兩類

7、。靜態(tài)路由器的路由可以分為靜態(tài)路由和動態(tài)路由兩類。靜態(tài)路由是通過人工設(shè)定的，而動態(tài)路由是路由器自己學(xué)習(xí)得路由是通過人工設(shè)定的，而動態(tài)路由是路由器自己學(xué)習(xí)得到的。選擇路由有路由表，靜態(tài)路由表為事先設(shè)置固定不到的。選擇路由有路由表，靜態(tài)路由表為事先設(shè)置固定不變的路徑表；動態(tài)路由表是根據(jù)網(wǎng)絡(luò)拓撲、負載的改變等變的路徑表；動態(tài)路由表是根據(jù)網(wǎng)絡(luò)拓撲、負載的改變等情況自動調(diào)整的路徑表。情況自動調(diào)整的路徑表。（1）靜態(tài)路由）靜態(tài)路由靜態(tài)路由是由人工來管理的。根據(jù)互聯(lián)網(wǎng)絡(luò)的拓撲結(jié)構(gòu)靜態(tài)路由是由人工來管理的。根據(jù)互聯(lián)網(wǎng)絡(luò)的拓撲結(jié)構(gòu)和連接方式，網(wǎng)絡(luò)管理人員可以為路由器建立靜態(tài)路由。和連接方式，網(wǎng)絡(luò)管理人員可以為路

8、由器建立靜態(tài)路由。由于靜態(tài)路由在正常工作時不會發(fā)生自動變化。因此，到由于靜態(tài)路由在正常工作時不會發(fā)生自動變化。因此，到達某一個目的網(wǎng)絡(luò)的達某一個目的網(wǎng)絡(luò)的IP數(shù)據(jù)報的路徑就固定下來了，當網(wǎng)數(shù)據(jù)報的路徑就固定下來了，當網(wǎng)絡(luò)的拓撲結(jié)構(gòu)發(fā)生變化時，網(wǎng)絡(luò)管理人員必須手工對路由絡(luò)的拓撲結(jié)構(gòu)發(fā)生變化時，網(wǎng)絡(luò)管理人員必須手工對路由器的靜態(tài)路由做出更新。器的靜態(tài)路由做出更新。靜態(tài)路由的優(yōu)點是安全可靠、簡單直觀、效率高，避免靜態(tài)路由的優(yōu)點是安全可靠、簡單直觀、效率高，避免了動態(tài)路由選擇的開銷。由于需要網(wǎng)絡(luò)管理員進行手工配了動態(tài)路由選擇的開銷。由于需要網(wǎng)絡(luò)管理員進行手工配置和更新，因此它在互聯(lián)網(wǎng)絡(luò)結(jié)構(gòu)不太復(fù)雜的情

9、況下使用置和更新，因此它在互聯(lián)網(wǎng)絡(luò)結(jié)構(gòu)不太復(fù)雜的情況下使用是一種很好的選擇。是一種很好的選擇。（2）動態(tài)路由）動態(tài)路由與靜態(tài)路由不同，動態(tài)路由可以通過路由器自身的學(xué)習(xí)，與靜態(tài)路由不同，動態(tài)路由可以通過路由器自身的學(xué)習(xí)，自動修改和刷新路由表。當網(wǎng)絡(luò)管理員通過配置命令啟動自動修改和刷新路由表。當網(wǎng)絡(luò)管理員通過配置命令啟動動態(tài)路由后，無論何時從互聯(lián)網(wǎng)絡(luò)中收到新的路由信息，動態(tài)路由后，無論何時從互聯(lián)網(wǎng)絡(luò)中收到新的路由信息，路由器都會利用路由管理進程自動更新路由表。路由器都會利用路由管理進程自動更新路由表。為了使用動態(tài)路由，路由器必須運行相同的路由選擇協(xié)為了使用動態(tài)路由，路由器必須運行相同的路由選擇協(xié)議

10、，執(zhí)行相關(guān)的路由選擇算法。目前，應(yīng)用最廣泛的路由議，執(zhí)行相關(guān)的路由選擇算法。目前，應(yīng)用最廣泛的路由選擇協(xié)議有兩種，一種叫做路由信息協(xié)議（選擇協(xié)議有兩種，一種叫做路由信息協(xié)議（RIP），另一），另一種叫做開放式最短路徑優(yōu)先協(xié)議（種叫做開放式最短路徑優(yōu)先協(xié)議（OSPF）。）。RIP利用向量利用向量-距離算法，而距離算法，而OSPF則使用鏈路則使用鏈路-狀態(tài)算法。狀態(tài)算法。1路由器端口路由器端口2控制終端與路由器的連接控制終端與路由器的連接（1）安裝超級終端仿真程序）安裝超級終端仿真程序在在Windows中缺省安裝超級終端組件，如果未安裝，則可按照中缺省安裝超級終端組件，如果未安裝，則可按照Wind

11、ows中添加中添加Windows組件的方法安裝即可（選擇組件的方法安裝即可（選擇“開始開始”“設(shè)設(shè)置置”“控制面板控制面板”“添加添加/刪除程序刪除程序”“添加添加Windows組件組件”，雙擊雙擊“附件與工具附件與工具”，雙擊，雙擊“通信通信”，選擇，選擇“超級終端超級終端”）。（2）建立超級終端會話）建立超級終端會話運行超級終端程序，出現(xiàn)運行超級終端程序，出現(xiàn) “連接到連接到”窗口，在窗口，在“連接連接時使用時使用”對話框中，選擇所連接端口對話框中，選擇所連接端口COM1，然后單擊，然后單擊“確定確定”，彈出，彈出 “端口設(shè)置端口設(shè)置”窗口。窗口。（3）端口設(shè)置）端口設(shè)置在在“端口屬性端口

12、屬性”設(shè)置窗口中，提供了終端會話參數(shù)的設(shè)設(shè)置窗口中，提供了終端會話參數(shù)的設(shè)置，包括波特率（每秒位數(shù)），數(shù)據(jù)位等。一般路由器的置，包括波特率（每秒位數(shù)），數(shù)據(jù)位等。一般路由器的初始化配置中要求還原為默認值。即波特率為初始化配置中要求還原為默認值。即波特率為9600，數(shù)據(jù)，數(shù)據(jù)位為位為8位，無奇偶校驗，位，無奇偶校驗，1位停止位，無數(shù)據(jù)流控制。單擊位停止位，無數(shù)據(jù)流控制。單擊COM1屬性窗口中的屬性窗口中的“確定確定”后，出現(xiàn)連接描述窗口。后，出現(xiàn)連接描述窗口。（4）連接描述窗口）連接描述窗口在連接描述窗口中輸入連接的名稱，單擊在連接描述窗口中輸入連接的名稱，單擊“確定確定”就進就進入到終端會話形

13、式。在終端會話形式下，如果路由器已正入到終端會話形式。在終端會話形式下，如果路由器已正常啟動，則單擊常啟動，則單擊“回車回車”鍵就可以進入到路由器的命令行鍵就可以進入到路由器的命令行狀態(tài)。狀態(tài)。3路由器的命令行路由器的命令行（1）路由器的操作模式）路由器的操作模式（2）路由器不同模式之間的切換）路由器不同模式之間的切換 用戶模式與特權(quán)模式的轉(zhuǎn)換用戶模式與特權(quán)模式的轉(zhuǎn)換RouterenablePassword:student Router#disable 其他模式之間的轉(zhuǎn)換命令其他模式之間的轉(zhuǎn)換命令RouterRouterenableRouter#Router# configure termin

14、alRouter(config)#Router(config)#line console 0Router(config-line)#Router(config-line)#exit Router(config)#Router(config)#interface f0/0Router(config-if)# Router(config-if)# exitRouter(config)#Router(config)#router ripRouter(config-router)# Router(config-router)# end Router# （3）幫助命令的使用）幫助命令的使用?字母字母+？

15、命令名命令名+空格空格+ ？（4）查看命令的使用）查看命令的使用show historyshow version4靜態(tài)路由的配置靜態(tài)路由的配置靜態(tài)路由配置硬件連接圖靜態(tài)路由配置硬件連接圖4靜態(tài)路由的配置靜態(tài)路由的配置路由器的相關(guān)配置參數(shù)路由器的相關(guān)配置參數(shù)依據(jù)網(wǎng)絡(luò)環(huán)境及相關(guān)配置參數(shù)配置靜態(tài)路由依據(jù)網(wǎng)絡(luò)環(huán)境及相關(guān)配置參數(shù)配置靜態(tài)路由(具體配置具體配置過程請參見教材過程請參見教材262-264頁內(nèi)容頁內(nèi)容)，使得網(wǎng)絡(luò)中的所有計算，使得網(wǎng)絡(luò)中的所有計算機通過靜態(tài)路由能夠彼此通信。機通過靜態(tài)路由能夠彼此通信。1實訓(xùn)目的實訓(xùn)目的（1）學(xué)會路由器配置環(huán)境的搭建。）學(xué)會路由器配置環(huán)境的搭建。（2）掌握路由器

16、的基本配置，包括路由器名、密碼、）掌握路由器的基本配置，包括路由器名、密碼、接口的配置。接口的配置。（3）掌握靜態(tài)路由和動態(tài)路由協(xié)議的配置及其測試。）掌握靜態(tài)路由和動態(tài)路由協(xié)議的配置及其測試。2實訓(xùn)設(shè)備與條件實訓(xùn)設(shè)備與條件路由器路由器Router3臺、網(wǎng)線若干、微機臺、網(wǎng)線若干、微機3臺、反接線或配置臺、反接線或配置電纜電纜3條。路由器的條。路由器的S0/0端口充當端口充當DCE端，快速以太網(wǎng)端端，快速以太網(wǎng)端口口F0/0與計算機相連，反接線一端通過與計算機相連，反接線一端通過RJ-45到到DB-9連接連接器與計算機的串行口（如器與計算機的串行口（如COM1口）相連，另一端與路由口）相連，另一

17、端與路由器的器的Console端口相連。端口相連。 路由器配置實訓(xùn)硬件連接圖路由器配置實訓(xùn)硬件連接圖計算機上安裝超級終端仿真軟件，使其能夠遠程登錄到計算機上安裝超級終端仿真軟件，使其能夠遠程登錄到路由器。路由器。3實訓(xùn)內(nèi)容和步驟實訓(xùn)內(nèi)容和步驟實訓(xùn)內(nèi)容和具體配置步驟請參見教材實訓(xùn)內(nèi)容和具體配置步驟請參見教材264-266頁內(nèi)容。頁內(nèi)容。9.2.1 Windows Server 2003的路由方案的路由方案9.2.2 Windows Server 2003路由服務(wù)的安裝與配置路由服務(wù)的安裝與配置9.2.3 靜態(tài)路由和動態(tài)路由配置的實訓(xùn)靜態(tài)路由和動態(tài)路由配置的實訓(xùn)1Windows Server 20

18、03的軟路由特點的軟路由特點（1）支持多種協(xié)議）支持多種協(xié)議支持的協(xié)議有：網(wǎng)際協(xié)議（支持的協(xié)議有：網(wǎng)際協(xié)議（IP）、網(wǎng)際包交換（）、網(wǎng)際包交換（IPX）、）、AppleTalk的多協(xié)議單播路由、工業(yè)標準單播的多協(xié)議單播路由、工業(yè)標準單播IP路由協(xié)議、路由協(xié)議、開放式最短路徑優(yōu)先（開放式最短路徑優(yōu)先（OSPF）及路由信息協(xié)議（）及路由信息協(xié)議（RIP）。）。（2）提供多種服務(wù)）提供多種服務(wù)提供的服務(wù)有：工業(yè)標準提供的服務(wù)有：工業(yè)標準IPX路由協(xié)議和服務(wù)、路由協(xié)議和服務(wù)、IPX路由路由信息協(xié)議（信息協(xié)議（RIP）和）和IPX服務(wù)廣告協(xié)議（服務(wù)廣告協(xié)議（SAP）、）、IP多播通多播通信轉(zhuǎn)發(fā)的信轉(zhuǎn)發(fā)的

19、IP多播服務(wù)多播服務(wù)“Internet組管理協(xié)議（組管理協(xié)議（IGMP）”路路由器模式和由器模式和IGMP代理模式、代理模式、IP網(wǎng)絡(luò)地址轉(zhuǎn)換（網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）服務(wù)。）服務(wù)。1Windows Server 2003的軟路由特點的軟路由特點（3）具有多種功能）具有多種功能其功能有：其功能有：IP和和IPX數(shù)據(jù)幀安全性和性能篩選，通過撥號數(shù)據(jù)幀安全性和性能篩選，通過撥號WAN鏈接的請求撥號路由選擇，虛擬專用網(wǎng)絡(luò)（鏈接的請求撥號路由選擇，虛擬專用網(wǎng)絡(luò)（VPN）支）支持，支持基于網(wǎng)際安全協(xié)議（持，支持基于網(wǎng)際安全協(xié)議（IPSec）的點對點隧道協(xié)議）的點對點隧道協(xié)議（PPTP）和第二層隧道協(xié)議（）

20、和第二層隧道協(xié)議（L2TP）。對）。對IP動態(tài)主機配置動態(tài)主機配置協(xié)議（協(xié)議（DHCP）中繼代理的支持，使用）中繼代理的支持，使用“Internet控制消息控制消息協(xié)議（協(xié)議（ICMP）”路由器發(fā)現(xiàn)的路由器發(fā)布的支持，使用路由器發(fā)現(xiàn)的路由器發(fā)布的支持，使用IP中的中的IP隧道支持，支持通用隧道支持，支持通用“管理信息基礎(chǔ)（管理信息基礎(chǔ)（MIB）”的簡的簡單網(wǎng)絡(luò)管理協(xié)議（單網(wǎng)絡(luò)管理協(xié)議（SNMP）。）。2Windows Server 2003路由的方案路由的方案（1）軟件路由配置的條件）軟件路由配置的條件要將要將Windows Server 2003配置成路由器，須具備以下條配置成路由器，須具備

21、以下條件。件。 有連接有連接LAN或或WAN的設(shè)備。的設(shè)備。 Windows Server 2003須安裝路由器路由的協(xié)議（如須安裝路由器路由的協(xié)議（如IP、IPX或或AppleTalk）。）。 根據(jù)不同的路由的協(xié)議，須安裝相應(yīng)的路由協(xié)議（如根據(jù)不同的路由的協(xié)議，須安裝相應(yīng)的路由協(xié)議（如IP或或IPX的的RIP、OSPF，IPX的的SAP）。）。（2）簡單路由方案）簡單路由方案簡單路由方案的網(wǎng)絡(luò)拓撲。在此網(wǎng)絡(luò)拓撲中，簡單路由方案的網(wǎng)絡(luò)拓撲。在此網(wǎng)絡(luò)拓撲中，Windows Server 2003服務(wù)器作為路由器，該路由器連接兩個服務(wù)器作為路由器，該路由器連接兩個LAN子子網(wǎng)（網(wǎng)（LAN1和和LA

22、N2）。）。（3）多路由器方案）多路由器方案多路由方案的網(wǎng)絡(luò)拓撲。多路由方案的網(wǎng)絡(luò)拓撲。LAN1中的用戶要想訪問中的用戶要想訪問LAN3中的資源，必須經(jīng)過中的資源，必須經(jīng)過Router1和和Router2的路由的路由協(xié)議轉(zhuǎn)換，所以此方案需協(xié)議轉(zhuǎn)換，所以此方案需要路由協(xié)議。要路由協(xié)議。 （4）請求撥號路由方案）請求撥號路由方案請求撥號路由方案的網(wǎng)絡(luò)拓撲。子網(wǎng)請求撥號路由方案的網(wǎng)絡(luò)拓撲。子網(wǎng)1和子網(wǎng)和子網(wǎng)2實際的距離實際的距離非常遠，兩個子網(wǎng)之間必須通過諸如電話線調(diào)制解調(diào)器或非常遠，兩個子網(wǎng)之間必須通過諸如電話線調(diào)制解調(diào)器或ADSL等設(shè)備相接。在此拓撲結(jié)構(gòu)中等設(shè)備相接。在此拓撲結(jié)構(gòu)中Router1

23、和和Router2分別分別連接在模擬電話線路上。連接在模擬電話線路上。1Windows Server 2003路由服務(wù)的安裝路由服務(wù)的安裝安裝的具體步驟請參見教材安裝的具體步驟請參見教材268-269頁內(nèi)容。頁內(nèi)容。2Windows Server 2003路由服務(wù)的配置路由服務(wù)的配置為使為使LAN1中中PC1與與LAN2中中PC2之間通信，其之間通信，其Windows Server 2003路由服務(wù)的配置過程請參見教材路由服務(wù)的配置過程請參見教材269-271頁內(nèi)容。頁內(nèi)容。1實訓(xùn)目的實訓(xùn)目的（1）掌握）掌握Windows Server 2003系統(tǒng)靜態(tài)路由和動態(tài)路由的系統(tǒng)靜態(tài)路由和動態(tài)路由的

24、配置技術(shù)，理解路由表、配置技術(shù)，理解路由表、IP路由選擇算法的原理。路由選擇算法的原理。（2）掌握常用網(wǎng)絡(luò)命令）掌握常用網(wǎng)絡(luò)命令tracert的使用方法。的使用方法。2實訓(xùn)設(shè)備與條件實訓(xùn)設(shè)備與條件（1）實訓(xùn)方案的選擇）實訓(xùn)方案的選擇雙網(wǎng)卡雙網(wǎng)卡(或多網(wǎng)卡或多網(wǎng)卡)方案方案 單網(wǎng)卡多單網(wǎng)卡多IP地址方案地址方案（2）實訓(xùn)連接結(jié)構(gòu)圖）實訓(xùn)連接結(jié)構(gòu)圖實訓(xùn)的硬件連接圖實訓(xùn)的硬件連接圖 實訓(xùn)的虛擬機配置圖實訓(xùn)的虛擬機配置圖3實訓(xùn)內(nèi)容與步驟實訓(xùn)內(nèi)容與步驟實訓(xùn)內(nèi)容與具體步驟請參見教材實訓(xùn)內(nèi)容與具體步驟請參見教材271-275頁內(nèi)容。頁內(nèi)容。9.3.1 虛擬專用網(wǎng)概述虛擬專用網(wǎng)概述9.3.2 VPN服務(wù)器的安

25、裝與配置服務(wù)器的安裝與配置9.3.3 客戶端客戶端VPN連接的配置連接的配置9.3.4 通過通過Internet遠程訪問局域網(wǎng)的實訓(xùn)遠程訪問局域網(wǎng)的實訓(xùn)虛擬專用網(wǎng)（虛擬專用網(wǎng)（VPN）是在公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上構(gòu)建的一）是在公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上構(gòu)建的一種安全的專用網(wǎng)絡(luò)。種安全的專用網(wǎng)絡(luò)。VPN的安全性和管理政策與專用網(wǎng)絡(luò)的安全性和管理政策與專用網(wǎng)絡(luò)相同，是在遠程用戶和局域網(wǎng)之間建立點對點連接的最合相同，是在遠程用戶和局域網(wǎng)之間建立點對點連接的最合算的方法。算的方法。1虛擬專用網(wǎng)的特點虛擬專用網(wǎng)的特點（1）降低成本費用）降低成本費用（2）用戶遠程訪問局域網(wǎng)的安全性）用戶遠程訪問局域網(wǎng)的安全性（3）模擬

26、點到點專用鏈路）模擬點到點專用鏈路2建立建立VPN所必備的基本條件所必備的基本條件（1）所有的遠程終端用戶能夠接入）所有的遠程終端用戶能夠接入Internet。（2）至少有一個局域網(wǎng)使用公共）至少有一個局域網(wǎng)使用公共IP地址接入地址接入Internet。（3）各個局域網(wǎng)所使用的內(nèi)部網(wǎng)段必須彼此獨立；移）各個局域網(wǎng)所使用的內(nèi)部網(wǎng)段必須彼此獨立；移動用戶終端的動用戶終端的IP地址既不能彼此相同，也不能屬于某個局地址既不能彼此相同，也不能屬于某個局域網(wǎng)所使用的網(wǎng)段。域網(wǎng)所使用的網(wǎng)段。3VPN使用的兩種隧道協(xié)議使用的兩種隧道協(xié)議網(wǎng)絡(luò)隧道技術(shù)是構(gòu)建網(wǎng)絡(luò)隧道技術(shù)是構(gòu)建VPN過程中的關(guān)鍵技術(shù)，它主要利過程中

27、的關(guān)鍵技術(shù)，它主要利用網(wǎng)絡(luò)隧道協(xié)議來實現(xiàn)兩個網(wǎng)絡(luò)協(xié)議之間的傳輸。用網(wǎng)絡(luò)隧道協(xié)議來實現(xiàn)兩個網(wǎng)絡(luò)協(xié)議之間的傳輸。（1）二層隧道協(xié)議）二層隧道協(xié)議二層隧道協(xié)議主要有二層隧道協(xié)議主要有3種。種。點到點隧道協(xié)議點到點隧道協(xié)議PPTP、二層轉(zhuǎn)發(fā)協(xié)議、二層轉(zhuǎn)發(fā)協(xié)議L2F、第二層隧、第二層隧道協(xié)議道協(xié)議L2TP。（2）三層隧道協(xié)議）三層隧道協(xié)議用于傳輸三層網(wǎng)絡(luò)協(xié)議的隧道協(xié)議叫三層隧道協(xié)議。用于傳輸三層網(wǎng)絡(luò)協(xié)議的隧道協(xié)議叫三層隧道協(xié)議。4VPN應(yīng)用實現(xiàn)的形式應(yīng)用實現(xiàn)的形式（1）通過）通過Internet遠程訪問局域網(wǎng)遠程訪問局域網(wǎng)4VPN應(yīng)用實現(xiàn)的形式應(yīng)用實現(xiàn)的形式（2）通過）通過Internet實現(xiàn)局域網(wǎng)互連

28、實現(xiàn)局域網(wǎng)互連1安裝安裝Windows Server 2003的的VPN服務(wù)器服務(wù)器具體安裝步驟請參見教材具體安裝步驟請參見教材277頁的內(nèi)容。頁的內(nèi)容。2配置配置Windows Server 2003的的VPN服務(wù)器服務(wù)器（1）配置遠程訪問控制策略）配置遠程訪問控制策略（2）修改同時連接的數(shù)目）修改同時連接的數(shù)目（3）配置用戶的屬性）配置用戶的屬性具體配置過程請參見教材具體配置過程請參見教材280頁的內(nèi)容。頁的內(nèi)容。如果要連接到如果要連接到VPN服務(wù)器，客戶端必須先連接到服務(wù)器，客戶端必須先連接到Internet上。當客戶端連接到上。當客戶端連接到Internet后，然后再連接到后，然后再連

29、接到VPN服務(wù)器上。所以，在客戶機上，需要先確認與服務(wù)器上。所以，在客戶機上，需要先確認與Internet的連接配置正確，然后再在客戶機上新建的連接配置正確，然后再在客戶機上新建“虛擬虛擬專用網(wǎng)絡(luò)專用網(wǎng)絡(luò)”連接。連接。 通過通過Windows XP進行進行VPN訪問連接訪問連接 與與VPN服務(wù)器的連接操作服務(wù)器的連接操作經(jīng)過上面的操作，完成了經(jīng)過上面的操作，完成了VPN連接配置。當客戶端建立連接配置。當客戶端建立好撥號連接或者好撥號連接或者VPN連接后，就可以連接到服務(wù)器了。當連接后，就可以連接到服務(wù)器了。當客戶端和客戶端和VPN服務(wù)器連接后，客戶端可以通過服務(wù)器連接后，客戶端可以通過“搜索計

30、算搜索計算機機”、“利用利用IP地址地址”兩種方式訪問兩種方式訪問VPN服務(wù)器的資源。服務(wù)器的資源。1實訓(xùn)目的實訓(xùn)目的掌握在掌握在Windows Server 2003下下VPN服務(wù)器的安裝及設(shè)服務(wù)器的安裝及設(shè)置訪問遠程用戶，掌握在客戶端建立訪問置訪問遠程用戶，掌握在客戶端建立訪問VPN服務(wù)器連接服務(wù)器連接以及訪問服務(wù)器。以及訪問服務(wù)器。2實訓(xùn)設(shè)備和條件實訓(xùn)設(shè)備和條件（1）實訓(xùn)環(huán)境的配置要求）實訓(xùn)環(huán)境的配置要求實訓(xùn)環(huán)境的網(wǎng)絡(luò)硬件連接實訓(xùn)環(huán)境的網(wǎng)絡(luò)硬件連接實訓(xùn)環(huán)境的虛擬網(wǎng)絡(luò)搭建實訓(xùn)環(huán)境的虛擬網(wǎng)絡(luò)搭建（2）實訓(xùn)參數(shù)的要求）實訓(xùn)參數(shù)的要求Windows Server 2003服務(wù)器：與服務(wù)器：與Windows 2000 Professional客戶機相連的網(wǎng)卡客戶機相連的網(wǎng)卡IP地址為地址為10.150.8.1，子網(wǎng)，子網(wǎng)掩碼為掩碼為255.255.255.0，網(wǎng)關(guān)為，網(wǎng)關(guān)為10.150.8.1；與；與Windows 98客客戶機相連的網(wǎng)卡戶機相連的網(wǎng)卡IP地址為地址為10.150.9.1，子網(wǎng)掩碼為，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān)為，網(wǎng)關(guān)為10.150.9.1。Windows 2000 Professional客戶機：客戶機：IP地址為地址為10.150.8.2，子網(wǎng)掩碼為子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān)為，網(wǎng)關(guān)為10.150.8