第3章 路由与网络互连 - 徐远超个人网站（计算机系统结构---系统详解.pptVIP

1. 隧道技术 第3层隧道技术通常假定所有配置问题已经通过手工过程完成。这些协议不对隧道进行维护。与第3层隧道协议不同，第2层隧道协议（PPTP和L2TP）必须包括对隧道的创建、维护和终止。 * 1. 隧道技术 隧道一旦建立，数据就可以通过隧道发送。隧道客户端和服务器使用隧道数据传输协议准备传输数据。例如，当隧道客户端向服务器端发送数据时，客户端首先给负载数据加上一个隧道数据传送协议包头，然后把封装的数据通过互联网络发送，并由互联网络将数据路由到隧道的服务器端。隧道服务器端收到数据包之后，去除隧道数据传输协议包头，然后将负载数据转发到目标网络。 * 2. 加密技术 加密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。第2层隧道协议支持基于PPP的数据加密机制。微软的PPTP方案支持在RSA/RC4算法的基础上选择使用MPPE。第3层隧道协议可以使用类似方法，例如，IPSec通过ISAKMP/Oakley协商确定几种可选的数据加密方法。微软的L2TP协议使用IPSec加密保障隧道客户端和服务器之间数据流的安全。 * 3. 密钥管理 密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的算法，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用、私用。 * 4. 身份认证 身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。 第2层隧道协议继承了PPP协议的用户验证方式。许多第3层隧道技术都假定在创建隧道之前，隧道的两个端点相互之间已经了解或已经经过验证。一个例外情况是IPSec协议的ISAKMP协商提供了隧道端点之间进行的相互验证。 为便于管理，大多数的管理人员采用在目录服务器，主域控制器或RADIUS服务器上建立一个主，账号数据库的方法，进行有效管理。 * 3.10.3 RRAS中的VPN配置 1. 场景描述 2. 服务器端配置 3. 赋予用户拨入权限 4. 内联网VPN连接 5. 因特网VPN连接 * 3.10.3 RRAS中的VPN配置 VPN的实现方式很多，有专门的硬设备，也有软件实现。为了便于实验教学，首先采用Windows 2000 Serve集成的RRAS（路由和远程访问服务）组件进行简单的VPN演示和实验，体会一下VPN互连网络的思想，复杂功能可查阅帮助文档。 * 1. 场景描述 一主机已经可以通过普通网络访问到某一局域网的接入服务器，现在想进一步访问该局域网内的其他主机资源。利用VPN可以很容易实现该功能，只需要把该局域网接入服务器配置成VPN服务器就可以了。如图3-23所示，下面详细讲述一下关键配置。 * 1. 场景描述 图3-23 VPN互连场景图 * 2. 服务器端配置 要想让Windos 2000计算机能接受客户机的VPN拨入，必须对VPN服务器进行配置。如图3-24，在左边窗口中选中XUYC（服务器名），单击右键，选“配置并启用路由和远程访问”。如果以前已经配置过RRAS，则需要先禁用，然后再重新配置。 * 2. 服务器端配置 图3-24 启用RRAS * 2. 服务器端配置 当进入配置向导之后，在“公共设置”中，选中“虚拟专用网络（VPN）服务器”，以便让用户能通过公共网络（比如Internet）来访问此服务器。 在“远程客户协议”的对话框中，一般来说，这里面至少应该已经有了TCP/IP协议，只需直接选“是，所有可用的协议都在列表上”再按“下一步”按钮即可。 * 2. 服务器端配置 接着系统会要求再选择一个此服务器所使用的Internet连接，在其下的列表中选择所用的连接方式，比如已建立好的拨号连接或通过指定的网卡进行连接等，再按“下一步”。 在回答“您想如何对远程客户机分配IP地址”的询问时，除非已在服务器端安装好了DHCP服务器，否则请在此处选“来自一个指定的IP地址范围”（推荐）。 * 2. 服务器端配置 然后再根据提示输入要分配给客户端使用的起始IP地址，“添加”进列表中，比如此处为00~20，子网掩码为。注意，此IP地址范围要同服务器专用网络适配卡的IP地址处于同一网段，即网络地址要相同。 最后再选“不，我现在不想设置此服务器使用RADIUS”选项即可完成最后的设置。 * 3. 赋予用户拨入权限 默认的，任何用户均被拒绝拨入到服务器上。欲给一个用户赋予拨入到此服务器的权限，需打开管理工具中的用户管理器（在“计算机管理”项或“Active Directory用户和计算机”中），选中所需要的用户，单击右键，选“属性”。在该用户属性窗口中选“拨入”项，然后点击“允许访问”项，再“确定”即可完成赋予此用