《局域网组建实例课件.ppt》由会员分享,可在线阅读,更多相关《局域网组建实例课件.ppt(88页珍藏版)》请在三一办公上搜索。
1、,1.家庭局域网组建,2.宿舍局域网组建,3.网吧局域网组建,4.企业局域网组建,5.习题,6.实训,第7章 局域网组建实例,对于普通家庭来说,最多只会拥有两台或3台计算机,因此家庭网络属于一种小型网络,组建方法也较为简单。家庭局域网对网络中计算机的配置要求很低,基本上1997年以后购买的计算机都能满足要求。本节将通过对家庭局域网的特殊性和组建家庭局域网所需硬件的介绍,让用户能对家庭局域网有大致的了解。,7.1.1 家庭局域网概述,组建家庭局域网时,常用的硬件包括集线器(Hub)或交换机、宽带路由、网卡、双绞线以及墙座。本节将详细介绍如何合理地选择这些硬件设备。,7.1.1 家庭局域网概述,1
2、.网卡台式机的无线网卡一般为USB接口和PCI接口两种,建议使用PCI接口无线网卡,如图4-1所示。此外,很多笔记本电脑已集成无线网卡,但大多数为54Mb/s,若要获得108Mb/s的速率,则可选择前面介绍过的PCMCIA笔记本无线网卡。2.宽带路由器组建家庭局域网最好的网络设备,它是一个集共享接入网关、防火墙和交换机于一身,性能相对强大,具备完善的网络服务功能的设备。宽带路由器一般有1个WAN接口,数个LAN接口,不需要另外配置服务器和交换机。目前适合家庭使用的宽带路由器,也被称为SOHO路由器,分为无线路由器和有线路由器,如图9-1所示。,7.1.1 家庭局域网概述,3.交换机家中的交换机
3、通常有4端口或8端口,如图所示。此外,如果家中有支持路由功能的ADSL Modem接入Internet,也可以选购交换机而不使用路由器来组建家庭局域网。4.信息模块家中如果采用有线局域网,则需要进行布线,特别是新装修的房子,在装修时应将网线布好,根据需要预留相应的接口数量相同的信息模块和面板,如图所示。将双绞线压制到信息模块还需要专业的打线钳,如图所示。,7.1.1 家庭局域网概述,1、双 机 互 联,组建家庭局域网,经常遇到家里有两台计算机的情况。双机互联是多机互联的特例。双机互联的方式很多:串/并口双机通信、网卡互联、USB互联、通过路由器或交换机互联、通过红外线互联等。1.网卡互联2.U
4、SB电缆互联3.红外线互联,7.1.2 家庭局域网组网方案,使用USB电缆组建家庭局域网时,只需将USB端口互相连接即可,安装十分方便,并且具有较快的传输速度,使用USB集线器,还可以实现多台计算机的互联。下图所示为USB电缆,它与普通的USB连接线相比,中间多了一个转换器,在购买时要加以区别。,2、双 机 互 联-使用USB电缆组建家庭局域网,7.1.2 家庭局域网组网方案,若家中有3台计算机,则可以使用集线器或双网卡方式组成一个小型的星型网络。,3、多机互联,7.1.2 家庭局域网组网方案,多机互联方案,1.总线型家庭局域网总线型局域网是将所有的计算机通过网卡直接与传输介质相连,由于不需要
5、集线设备,因此成本相对比较低廉,但由于网络中所有数据传输都依赖一根传输电缆来完成,一旦出现总线故障,整个网络就瘫痪了,可靠性不高,且不容易扩展。2.星型家庭局域网星型拓扑结构布线简单、网络扩展性好、维护方便,非常适合在家庭局域网中使用。星型局域网中,核心设备是集线器、交换机或路由器,所有的计算机一端都与集线设备相连,另一端与计算机网卡相连。,7.1.2 家庭局域网组网方案,家庭局域网的组建一般遵循以下几个步骤。(1)设备选购。(2)布线、安装网卡。(3)配置网络通信协议和IP地址。(4)配置网络标识。(5)测试网络连通性。设备选购网卡安装在前面的内容中已作介绍,在此不再详述。下面介绍家庭局域网
6、布线。1.布线2.安装网络组件3.配置TCP/IP协议4.设置网上邻居5.TCP/IP 通信协议的测试,家庭局域网的组建,7.1.3 家庭局域网组建,组建网络后,最常使用的网络功能就是共享网络资源。本节将介绍两种最常使用的网络资源共享方法,包括文件和文件夹的共享和打印机的共享。文件资源是网络中最常见的资源之一,Windows Server 2003提供的文件共享服务也是最常使用的服务之一。下面介绍Windows Server 2003中共享文件夹的管理。1.设置共享文件夹 2.系统隐藏共享 3.设置共享驱动器 4.映射网络驱动器,1 共享文件和文件夹,7.1.4 设置共享资源,在网络中映射一个
7、共享资源的具体步骤如下。(1)打开【我的电脑】,单击【工具】【映射网络驱动器】命令,弹出如图所示【映射网络驱动器】对话框。选择驱动器,系统默认的驱动器为Z,在【文件夹】下拉列表框中输入映射到网络资源路径,也可以单击【浏览】按钮查找,单击【完成】按钮创建映射。(2)创建好映射驱动器后,【我的电脑】中就多了个Z盘,下次访问只需要双击该盘符即可,如图所示。,1 共享文件和文件夹,7.1.4 设置共享资源,设置共享打印机分为两步,第一步是在安装了打印机的计算机上将打印机设置为共享,第二步是在需要使用共享打印机的计算机上添加打印机。1.设置打印机共享2.添加网络打印机,2 共享和使用网络打印机,7.1.
8、4 设置共享资源,3 访问网络中的共享资源(补充),访问共享文件夹的方式有很多,下面介绍几种方法。(1)打开【网上邻居】【整个网络】Microsoft Windows Network,可以看到网络中所有的工作组,打开相应的工作组,找到共享文件夹所在的计算机,双击该计算机,输入正确的用户名和密码,验证通过后就可以访问共享文件夹。(2)如果知道共享文件夹所在的计算机的名称,就可以利用计算机名直接访问共享文件夹。,7.1.4 设置共享资源,3 访问网络中的共享资源(补充),(3)如果想直接访问共享文件夹,可以直接输入“计算机名共享名”,按回车键,使用这种方法可以访问隐藏共享文件夹,只要在共享名后面加
9、上美元符“$”即可。如果不知道对方的计算机名称,只知道对方的IP地址,以上的方法也同样可行,只要将计算机名称改为对方的IP地址即可,如图所示。可以利用计算机名直接访问共享文件夹。,7.1.4 设置共享资源,通过“网络和拨号连接”的Internet连接共享功能,可以使用Windows操作系统将小型办公室网络连接到Internet。,7.1.4 Internet连接共享,必须以Administrators成员登录到该计算机。共享服务器不能是域控制器、DNS服务器、网关或DHCP服务器。共享服务器需要两个连接。启用连接共享后,共享服务器的IP地址将被转换为 192.168.0.1。如果网络中只有一台
10、服务器提供地址分配和名称解析服务,则只能使用网络地址转换(NAT)来实现将网络中用户连接到Internet上的功能。在网络中共享服务器将成为内部网络的动态主机配置协议(DHCP)服务器,为加入到网络中的客户机动态分配IP地址。,7.1.4 Internet连接共享,7.1.4 Internet连接共享-配置服务器端的Internet共享,(1)自动获得IP地址 注意:如果使用自动地址分配应该全部机器都使用自动地址分配,如果部分使用部分不用可能导致地址冲突。(2)人工设置IP地址 说明:人工设置IP地址时需要将IP地址设置成与共享计算机在同一个子网内,并且默认网关和DNS服务器由共享计算机充当。
11、,7.1.4 Internet连接共享-客户端设置,7.2 宿舍局域网组建,网络对今天的企、事业单位已经必不可少,学校更是离不开网络。在学生宿舍中组建局域网来共享资源、上网冲浪、联机游戏也越来越普遍。很多大学新建的宿舍楼都已经组建好局域网,而对于一些老宿舍楼来说,就需要学生自己组建、配置局域网了。,现在大学生中拥有计算机的已不在少数,一般一个宿舍都有两台以上计算机。在某些专业,比如信息技术系,由于学习的需要,几乎人手一台计算机。一般情况下,一个宿舍46个人,也就是说每个宿舍46台计算机,就单台计算机而言,计算机的功能不能完全发挥出来,如果能将邻近的几个宿舍的计算机组成局域网,就可以和同学一起共
12、享资源、看电影甚至打游戏。1.组建宿舍局域网的原则2.接入方式和组网模式3.宿舍局域网组建方案,7.2.1 宿舍局域网的组建方案,宽带路由器作为一种网络共享设备,越来越多地出现在人们的生活、工作、学习中,它具有组网方便、安全可靠等优点。支持ADSL、HFC或者小区宽带的Internet共享接入,很多宿舍在共享上网时都会选择宽带路由器。,7.2.2 使用宽带路由器共享Internet连接,宽带路由器集成了路由器、防火墙、带宽控制和管理等功能,具备快速转发能力、灵活的网络管理和丰富的网络状态等特点。与传统使用代理服务器软件共享上网,宽带路由器具有很多优势,宽带路由器一般具有以下功能。1.网络地址转
13、换(NAT)功能2.DHCP功能3.防火墙功能4.虚拟专用网(VPN)功能5.网站过滤功能 6.虚拟拨号功能7.Web界面管理,1 宽带路由器的功能,7.2.2 使用宽带路由器共享Internet连接,宽带路由器的安装非常简单,只需要按照说明书进行操作即可轻松连接。根据用户接入Internet的方式,宽带路由器的连接主要包括与计算机、交换机的连接以及与ADSL Modem或其他Internet接入的连接。1.宽带路由器的安装2.宽带路由器的配置,2 安装和配置宽带路由器,7.2.2 使用宽带路由器共享Internet连接,本例以D-LINK的DI-504宽带路由器为例,介绍在以ADSL方式接入
14、Internet后,通过宽带路由器共享Internet接入的配置方法。用户只需在连接宽带路由器的计算机上打开浏览器,输入宽带路由器的IP地址就可以进入设置页面进行设置。DI-504的出厂默认IP地址是192.168.0.1,子网掩码为255.255.255.0。,2 安装和配置宽带路由器,7.2.2 使用宽带路由器共享Internet连接,随着Internet的迅速发展,网吧也已风靡全国各地。网吧的增多加剧了行业之间的竞争,为了在日益残酷的商业竞争中立于不败之地,确保网吧中的计算机有良好的系统运行速度和稳定性,获得较高的性价比,制定一套合理的组网方案是非常必要的。,7.3 网吧局域网组建,网吧
15、是对外提供网络服务的营业场所,相对于家庭局域网与宿舍局域网来说,网吧局域网的计算机数量明显增多,其组建方法也略有不同。,7.3.1 网吧局域网概述,在组建网吧局域网前,首先应对整个网络有个合理的规划。在规划网吧时,应注意以下几点。稳定性 高效性 可扩展性,1 网吧局域网规划,7.3.1 网吧局域网概述,要开网吧,首先要了解当地Internet接入服务商的政策和收费标准。用户可以拨打当地Internet接入服务商的客服电话来咨询具体价格。如果网吧速度不是很快,会留不住来过的客户。在条件允许的情况下,最好是采用光纤接入方式,为客户提供最稳定和快速的上网方式。,2 接入Internet的方式,7.3
16、.1 网吧局域网概述,星形拓扑结构是组建网吧的最理想选择。采用星形网络,就是通过集线器将每台计算机连接起来,然后所有的集线器通过交换机接到Internet。根据选择的组网方式,需要采购的硬件有网卡、网线、水晶头、集线器、相应数量的网卡。注意,由于网吧的计算机较多,因为选择网线时应该选择一些较好的网线,最好使用名牌的超5类网线。另外,集线器和网卡的选购也很重要,尽量选择一些质量较好的产品。,3 选择网络结构与硬件设备,7.3.1 网吧局域网概述,目前市场上网络产品层出不穷,网吧组建方案也是五花八门。根据网吧业主的需求不同,右表给出小、中、大3种网吧组建方案。网吧业主可以参考给出的方案来设计适合自
17、己网吧的组建方案。,4 网吧组建方案,7.3.1 网吧局域网概述,在开始网络布线之前,首先要画一张施工简图,确认每台计算机的摆放方式和地点,然后在图上标明节点位置。根据节点的分布确定网络集线器的摆放地点。接下来要做的就是网络相连,把为每台计算机准备的网线的一端插入计算机后面的网卡上,把另一端插入集线器中。一定要按照计算机的编号顺序依次插入,即1号机插集线器的第1个RJ-45插槽,2号机插集线器的第2个RJ-45插槽,依此类推。所有的网络线都连接好了以后,给集线器通上电源,并打开所有的计算机。等到每台计算机都正常启动完毕之后,观察集线器上的指示灯,检查是否出错。,7.3.2 网吧局域网布线,目前
18、,网吧局域网有两种类型:无盘工作站网吧与有盘工作站网吧。目前,网吧局域网有两种类型:无盘工作站网吧与有盘工作站网吧。无盘工作站虽可节省一定的经费,但由于其技术比较复杂且需要一个高性能的服务器,因此,有盘工作站成为组建网吧的主流。,7.3.3 组建网吧局域网,根据网络规模,有盘工作站网吧一般采用总线型、星型或树型拓扑结构。总线型是早期网吧组建使用的拓扑结构,一般应用于较小型的网吧;星型拓扑结构应用于小型网吧中,通过网络集线器将每台计算机连接起来,然后所有的集线器通过交换机连接到Internet上;树型结构应用于中、大型网吧,网络节点根据位置连接到一台交换机上,然后通过交换机级联实现交换机的连接。
19、,7.3.3 组建网吧局域网,前面所介绍的两种网络地址转换共享上网的方式是Windows 2000 Server操作系统内置的。除此之外,还有一些第三方的网络地址转换类的软件,如WinRoute、SyGate、Internet GateWay Server、iShare等。其中SyGate支持所有的网络应用协议,支持各种联网方式,其Office专业版还可以控制每个客户端使用的网络带宽,用得更多的是Home版本,设置使用简单方便,控制管理能力弱些。下载网址是:http:/www.SyG。SyGate介绍安装SyGate配置SyGate服务器配置SyGate客户端,7.3.4 用SyGate实现共
20、享上网,SyGate用一条电话线,一个Modem,一个Internet帐号,就能将整个局域网中的所有PC连接至Internet中,特别适用于中小型公司、企事业单位的办公室及拥有多台电脑的家庭用户,大大节约上网费用。使用SyGate实现局域网用户共享上网可以采取的方案有单网卡和双网卡两种方案。单网卡方案适用网卡方案适用与客户端比较少(局域网小于10台共享上网),双网卡适用比较大的局域网共享上网。使用单网卡时,软件会自动虚拟出一块网卡进行内网的连接并充当网关,不过实际的数据流还是从一块网卡上经过,网卡负荷较大。,SyGate介绍,7.3.4 用SyGate实现共享上网,安装SyGate,7.3.4
21、 用SyGate实现共享上网,打开SyGate服务器控制台,点击“高级”按钮才能打开扩展名设置对服务器进行设置,然后单击“配置”按钮,进入SyGate的设置窗口。其中“本地网络连接”选择“手工连接”,并且选择连接局域网的网卡,此例“NVIDIA”网卡,同时选中使用“单一网卡模式”,如果是双网卡,不选择“单一网卡模式”,同时在“直接Internet/ISP连接”中选择连接方式,“以太网”连接进一步指定网卡。选择栏中选中“启用地址服务DHCP”,给局域网用户动态分配IP,选中“启用DNS转发”,对局域网用户进行域名解析。IP地址可以按照输入的IP地址的范围进行分配,也可以由服务器自动指定IP地址范
22、围。,配置SyGate服务器,7.3.4 用SyGate实现共享上网,配置SyGate服务器,7.3.4 用SyGate实现共享上网,在局域网的其他工作站上,可以不安装SyGate客户端软件,只需正确设置IP地址,便能通过SyGate服务器共享上网了。如果SyGate服务器启动了DHCP功能,IP地址设为自动获取。否则进行手工配置,IP地址与服务器虚拟网卡IP地址在同一网段,网关和DNS都为服务器的虚拟网卡IP地址。安装SyGate的客户端可以利用他的其他一些加强功能,例如:从客户机上远程管理SyGate服务器。客户端的安装与服务器一样,只是在其中一步选择“客户端安装”即可。在安装过程中SyG
23、ate服务器会自动配置TCP/IP,一般不需要手工配置。,配置SyGate客户端,7.3.4 用SyGate实现共享上网,客户访问控制:又称为黑白名单的管理,用于控制局域网用户的上网。其规则如下:(1)启用黑名单,即除了黑名单列出的网址外,其他网址都能访问。(2)启用白名单,即除了白名单列出的网址外,其他网址都不能访问。(3)任何时刻,只能启动黑白名单的一种,不能同时启用。,黑白名单的管理,7.3.4 用SyGate实现共享上网,使用网吧管理软件,可以帮助网吧管理员更方便地管理网吧。目前最常使用的网吧管理软件为“美萍网管大师”与“美萍安全卫士”,前者为服务器端程序用于管理和计费,后者为客户端程
24、序用于登录系统。,7.3.5 美萍网吧管理软件,“美萍网管大师”集实时计费管理、记账等功能于一体,并且具有会员管理、网吧商品管理等功能,是管理网吧等场所的纯软件解决方案。,1 美萍网管大师,7.3.5 美萍网吧管理软件,“美萍安全卫士”安装在网吧客户机上,配合“美萍网管大师”来管理网吧中的计算机。“美萍安全卫士”的安装文件可以通过http:/。,2 美萍安全卫士,7.3.5 美萍网吧管理软件,学习目的与要求:随着计算机和局域网络应用的不断深入,特别是随着办公自动化的需要,各种计算机软件系统被相继使用在实际工作中,并且一些设备(如打印机、传真机等)也是用户所必须使用的。在公司内部,需要各部门相互
25、间进行信息传递、分析和处理,实现内部的资源共享,从而降低企业经营成本、提高办公效率和管理水平。因此,组建办公室局域网络是非常必要的。通过对本节的学习,要求学生了解办公局域网的规划和设计,能够使用ICS和NAT实现共享上网,重点掌握配置虚拟局域网VPN服务器,建立VPN连接。,7.4 网企业局域网组建,根据不同的公司和企业的性质、规模大小等条件的差异,对网络组建的要求也不相同,因此,在组建网络时必须遵循一定的组网原则,并选择合适的网络结构形式。,7.4.1 企业局域网的规划和设计,1.办公局域网的应用需求分析局域网设计人员在设计过程中,首先要做的工作就是指定设计目标,根据具体情况,办公局域网中计
26、算机网络的规划、设置和实施中需遵循以下原则。(1)功能性(2)可扩展性(3)适应性(4)开放性(5)可管理性 2.确定办公局域网的组网方案在组建办公局域网时,要考虑成本、可扩充性和安装维护的方便性等,现在局域网市场几乎已完全被性能优良、价格低廉、升级和维护方便的以太网所占领,因此可选择以太网并采用星型结构(小型办公网络)或者混合型结构(大型办公网络)。,1 企业局域网的应用需求分析和网络规划,7.4.1 企业局域网的规划和设计,1.IP地址规划组建办公局域网要用到两种IP地址:合法IP地址和私有IP地址。2.子网划分当局域网内计算机数量较少时,可直接使用交换机将其连接起来构成一个局域网,网络中
27、所有的计算机都在同一网段。如果计算机数量较多,再将其设置在同一网段,由于网络风暴等因素的影响会导致网络性能急剧下降甚至无法工作。因此,需将其分割成若干个小的网络,这就是子网划分。,1 IP地址规划和子网划分,7.4.1 企业局域网的规划和设计,配置ICS的过程很简单,具体步骤如下。(1)右击【网上邻居】图标,在弹出的快捷菜单中选择【属性】命令,打开【网络连接】对话框。(2)右击连接Internet的那块网卡,在弹出的快捷菜单中选择【属性】命令,弹出如图6-2所示的对话框,切换到【高级】选项卡,选中【允许其他网络用户通过此计算机的Internet连接来连接】复选框,单击【确定】按钮。(3)系统弹
28、出将连接内部网络的网卡地址更改为192.168.0.1的提示框,单击【是】按钮,如果网络不是使用和此地址相同的网段,当前计算机将和网络断开连接。建立完的网卡共享如图所示。,7.4.2 使用ICS实现共享上网,网络地址转换器NAT(Network Address Translator)位于使用专用地址的Intranet和使用公用地址的Internet之间。从Intranet传出的数据包由NAT将它们的专用地址转换为公用地址。从Internet传入的数据包由NAT将它们的公用地址转换为专用地址。,7.4.3 使用NAT访问Internet,NAT工作过程(1),7.4.3 使用NAT访问Inter
29、net,Client Computers,IP=192.168.0.2,IP=192.168.0.3,IP=192.168.0.4,Computer Running NATInternal IP=192.168.0.1External IP=202.162.4.1,NAT计算机再次替换信息包的标题,并把该消息包发送给客户机。,运行NAT的计算机将从内部客户机接收到的信息包的标题替换成自己的端口号和外部的IP地址,发给Internet上目的主机。,Web主机将回答信息发送给运行NAT的计算机,Internet,Web ServerIP=202.202.163.1,NAT工作过程(2),7.4.3
30、 使用NAT访问Internet,NAT工作过程中的两次地址转换:1.对于来自NAT协议的传出数据包,源IP地址(专用地址)被映射到ISP分配的地址(公用地址),并且TCP/UDP端口号也会被映射到不同的TCP/UDP端口号。2.对于到NAT协议的传入数据包,目标IP地址(公用地址)被映射到源Internet地址(专用地址),并且TCP/UDP端口号被重新映射回源TCP/UDP端口号。,NAT工作过程(3),7.4.3 使用NAT访问Internet,企业对Internet访问和外部对私有网络的访问受到限制私有网络是由任意数量的客户组成私有网络上的计算机使用私有地址,NAT的适用情况,7.4.
31、3 使用NAT访问Internet,配置启用NAT的计算机安装NAT“常规 新路由选择协议”配置NAT“NAT属性页”配置NAT路由接口“NAT 新接口”,配置启用NAT的计算机,7.4.3 使用NAT访问Internet,安装NAT,7.4.3 使用NAT访问Internet,配置NAT路由器接口,7.4.3 使用NAT访问Internet,两种设置方式:(1)自动获得TCP/IP 此时客户端会自动向NAT服务器或DHCP服务器来索取IP地址、默认网关、DNS服务器的IP地址等设置。(2)手工设置TCP/IP客户端的IP地址与NAT局域网接口的IP地址的网络号必须相同;默认网关必须设置为NA
32、T局域网接口的IP地址;首选DNS服务器可以设置为NAT局域网接口的IP地址或是任何一台合法的DNS服务器的IP地址。,配置NAT客户端,7.4.3 使用NAT访问Internet,DHCP分配器,7.4.3 使用NAT访问Internet,DNS代理,7.4.3 使用NAT访问Internet,NAT网络接口与防火墙端口映射地址映射,内部网络的开放与防火墙,7.4.3 使用NAT访问Internet,14.2.1 VPN概述14.2.2 远程访问VPN服务器*L2TP VPN(参考)14.2.3 验证通信协议14.2.4 远程访问策略,7.4.4 VPN虚拟专用网,虚拟专用网(VPN)是专用
33、网络的延伸通过VPN可以通过公共网络以模拟点对点的方式在两台计算机之间发送数据,1 VPN概述,7.4.4 VPN虚拟专用网,利用公共网络来构建的私人专用网络 虚拟私有网络与传统所有网络的区别:对于广域网连接,传统方式是通过远程拨号和专线连接来实现的。VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。,1 VPN概述,7.4.4 VPN虚拟专用网,VPN数据传输协议及工作原理,1 VPN概述,7.4.4 VPN虚拟专用网,VPN通过Internet而不是通过直接的拨号连接,来提供安全的远程访问。实现:VPN客户机利用专用网络上的一个VPN网关,采用IP互联网来创建加密的、虚拟的、点对
34、点的连接。用户连接到互联网,然后创建一个到VPN网关的VPN连接。功能:降低了用户的长途电话费用,不用再建立他们自己的基础结构。出差的雇员可以拨号到当地的ISP,然后创建一个到该公司网络的VPN连接。VPN与拨号的区别:VPN是逻辑的、非直接的连接。,1 VPN概述,7.4.4 VPN虚拟专用网,VPN是指在公共网络(通常为Internet中)建立一个虚拟的、专用的网络,是Internet与Intranet之间的专用通道,为企业提供一个高安全、高性能、简便易用的环境。它具有以下特点:(1)费用低廉(2)安全性高(3)支持最常用的网络协议(4)有利于IP地址安全(5)网络构架弹性大(6)管理方便
35、灵活(7)完全控制主动权,1 VPN概述-VPN的特点,7.4.4 VPN虚拟专用网,一般来说,VPN使用在以下两种场合:(1)远程客户端通过VPN连接到局域网(2)两个局域网通过VPN互联,1 VPN概述-VPN的应用场合,7.4.4 VPN虚拟专用网,在Windows Server 2003中有两种基于点对点协议PPP的VPN技术:点对点隧道协议(PPTP)第二层隧道协议L2TP,1 VPN概述-VPN协议,7.4.4 VPN虚拟专用网,VPN服务器需要有两个网络接口,如果VPN服务器是利用固定连接式的ADSL来连接Internet,则其需要有两个网卡,一个连接ATU-R(也就是ADSL调
36、制解调器),另一个是用来连接局域网。,2 远程访问VPN服务器,7.4.4 VPN虚拟专用网,三步走:服务器端配置启用VPN服务VPN协议:PPTP、L2TP/IPSec配置VPN拨入端口设置远程拨入用户客户端配置,3.架设VPN服务器,7.4.4 VPN虚拟专用网,服务器端:启用远程访问服务(PPTP),7.4.4 VPN虚拟专用网,服务器端:启用远程访问服务,7.4.4 VPN虚拟专用网,IP选项卡,7.4.4 VPN虚拟专用网,验证VPN服务器,7.4.4 VPN虚拟专用网,配置VPN拨入端口,7.4.4 VPN虚拟专用网,配置用户拨入设置,7.4.4 VPN虚拟专用网,客户端配置,7.
37、4.4 VPN虚拟专用网,客户端建立VPN连接设置拨号用户,7.4.4 VPN虚拟专用网,WindowsServer2003的L2TP/IPSec支持两种方法:1.证书“L2TP/IPSec-使用证书”分为2大步骤:一是向CA申请IPSec证书,二是VPN客户端与VPN服务器建立L2TP/IPSec VPN 2.域共享密钥利用“预共享密钥”来验证计算机身份的L2TP/IPSec VPN,在VPN客户端与VPN服务器两端都要事先设置相同的共享密钥。使用“预共享密钥”的好处是不需要向CA申请证书,设置简单,不过它的安全性比用IPSec证书的方式差。,L2TP VPN,7.4.4 VPN虚拟专用网,
38、Windows Server 2003支持用来验证用户身份的验证通信协议有:(1)PAP(Password Authentication Protoco1)(2)SPAP(Shiva Password Authentication Protoco1)(3)CHAP(Challenge Handshake Authentication Protoc01)(4)MS-CHAP(Microsoft Challenge Handshake Authentication Protoco1)(5)MS-CHAP version 2(6)EAP(Extended Authemieation Protoco1
39、),验证通信协议,7.4.4 VPN虚拟专用网,“路由和远程访问”访问使用远程访问策略来确定是接受连接尝试还是拒绝连接尝试。远程访问策略是一组条件和连接设置,使网络管理员在授予远程访问权限时,更具灵活性。远程访问策略存放在远程访问服务器上,而没有存放在活动目录中。Windows Server 2003内建有2个远程访问策略,远程访问策略,7.4.4 VPN虚拟专用网,1、条件:远程访问策略是一系列参数,例如:用户的连接时间、所属的用户组、IP地址等,这些参数与连接到服务器的客户机的参数项匹配。2、权限:指远程用户的“授予远程访问权限”或“拒绝远程访问权限”的拨入权限。远程访问策略中的权限与用户
40、属性中的拨入权限协同配置。3、配置文件:指应用到此访问连接上的一系列的限制和配置。包含如下设置值:拨入限制、IP、多链路、身份验证、加密、高级,远程访问策略的基本要素,7.4.4 VPN虚拟专用网,远程访问策略的实施过程,7.4.4 VPN虚拟专用网,如果没有其他策略,则默认策略对所有用户生效。默认策略的配置条件设置为所有时间和所有日期 权限设置为“拒绝远程访问权限”配置文件设置为默认值注:没有策略时,无论用户的设置如何,都无法远程访问网络,默认的远程访问策略介绍,7.4.4 VPN虚拟专用网,在用户的拨入属性中,设置远程访问权限为“通过远程访问策略控制访问”,新建远程访问策略,7.4.4 VPN虚拟专用网,
