第6章 办公局域网的组建
学习目的与要求:
随着计算机和局域网络应用的不断深入,特别是随 着办公自动化的需要,各种计算机软件系统被相继 使用在实际工作中,并且一些设备(如打印机、传 真机等)也是用户所必须使用的。在公司内部,需 要各部门相互间进行信息传递、分析和处理,实现 内部的资源共享,从而降低企业经营成本、提高办 公效率和管理水平。因此,组建办公室局域网络是 非常必要的。 通过对本章的学习,要求学生了解办公局域网的规 划和设计,能够使用ICS和NAT实现共享上网,重 点掌握配置虚拟局域网VPN服务器,建立VPN连接。
3
6.1 办公局域网的规划和设计
根据不同的公司和企业的性质、 根据不同的公司和企业的性质、规模大小等 条件的差异,对网络组建的要求也不相同, 条件的差异,对网络组建的要求也不相同, 因此, 因此,在组建网络时必须遵循一定的组网原 并选择合适的网络结构形式。 则,并选择合适的网络结构形式。
4
6.1.1 办公局域网的应用需求分析和网络规划
1. 办公局域网的应用需求分析
局域网设计人员在设计过程中,首先要做的工作就是指定 设计目标,根据具体情况,办公局域网中计算机网络的规 划、设置和实施中需遵循以下原则。
(1) 功能性 (2) 可扩展性 (3) 适应性 (4) 开放性 (5) 可管理性
2. 确定办公局域网的组网方案
在组建办公局域网时,要考虑成本、可扩充性和安装维护 的方便性等,现在局域网市场几乎已完全被性能优良、价 格低廉、升级和维护方便的以太网所占领,因此可选择以 太网并采用星型结构(小型办公网络)或者混合型结构(大型 办公网络)。
5
6.1.2 IP地址规划和子网划分
1. IP地址规划
组建办公局域网要用到两种IP地址:合法IP地址和 私有IP地址。
2. 子网划分
当局域网内计算机数量较少时,可直接使用交换机 将其连接起来构成一个局域网,网络中所有的计算 机都在同一网段。如果计算机数量较多,再将其设 置在同一网段,由于网络风暴等因素的影响会导致 网络性能急剧下降甚至无法工作。因此,需将其分 割成若干个小的网络,这就是子网划分。
6
6.2 访问Internet
6.2.1 使用ICS实现共享上网 配置ICS的过程很简单,具体步骤如 下。 (1) 右击【网上邻居】图标,在弹 出的快捷菜单中选择【属性】命 令,打开【网络连接】对话框。 (2) 右击连接Internet的那块网卡, 在弹出的快捷菜单中选择【属性】 命令,弹出如图6-2所示的对话框, 切换到【高级】选项卡,选中 【允许其他网络用户通过此计算 机的I
nternet连接来连接】复选框, 单击【确定】按钮。 (3) 系统弹出将连接内部网络的网 卡地址更改为192.138.0.1的提示 框,单击【是】按钮,如果网络 不是使用和此地址相同的网段, 当前计算机将和网络断开连接。 建立完的网卡共享如图6-3所示。
7
6.2.2 使用NAT上网
下面介绍如何在Windows 下面介绍如何在 Server 2003中配置 中配置NAT,步 中配置 , 骤如下。 骤如下。
(1) 单击【开始】→【管理工具】 →【路由和远程访问】命令,在 打开的如图6-4所示的对话框左 侧窗口中右键单击服务器名,在 弹出的快捷菜单中选择【配置并 启用路由和远程访问】命令。 (2) 打开安装向导,单击【下一 步】按钮,在如图6-5所示的 【配置】对话框中,选中【网络 地址转换(NAT)】单选按钮,单 击【下一步】按钮。
8
6.2.2 使用NAT上网
(3) 打开如图 所示对话框,这里 打开如图6-6所示对话框 所示对话框, 要为NAT选择一个 选择一个Internet接口, 接口, 要为 选择一个 接口 如果选中【 如果选中【使用此公共接口连接到 Internet】单选按钮,需在下面的 】单选按钮, 列表框中选择此连接; 列表框中选择此连接;如果使用拨 号连接到Internet,则选中【创建 号连接到 ,则选中【 一个新的到Internet的请求拨号接 一个新的到 的请求拨号接 单选按钮,这里选择前者。 口】单选按钮,这里选择前者。 (4) 单击【下一步】按钮,在打开的 单击【下一步】按钮, 如图6-7所示的 总结】 所示的【 如图 所示的【总结】对话框中单 完成】按钮, 击【完成】按钮,向导开始配置并 启动路由和远程访问服务。 启动路由和远程访问服务。 (5) 配置好之后的控制台界面如图 配置好之后的控制台界面如图68所示,这时客户端可以通过网络 所示, 所示 地址转换服务器访问Internet了。 地址转换服务器访问 了
9
6.2.3 客户端设置
服务器设置好ICS或NAT之后,客 或 之后, 服务器设置好 之后 户端也要经过相应设置才能访问 Internet。客户端的 地址和服务 。客户端的IP地址和服务 器的IP地址必须在同一网段 地址必须在同一网段, 器的 地址必须在同一网段,网关 指向服务器的内部地址, 指向服务器的内部地址,DNS服务 服务 器指向服务器地址, 器指向服务器地址,如果服务器没 有安装DNS服务则可指向 服务则可指向Internet 有安装 服务则可指向 上的DNS服务器。 服务器。 上的 服务器 客户端的IP设置如图 所示, 设置如图6-9所示 客户端的 设置如图 所示,网 关指向服务器192.168.0.1,因为 关指向服务器 , 服务器安装了DNS服务,因此首选 服务, 服务器安装了 服务 DNS指向
服务器 指向服务器192.168.0.1,备 指向服务器 , 指向Internet上的 上的DNS服务 用DNS指向 指向 上的 服务 器202.101.172.35。Internet上的 。 上的 DNS服务器 地址可以通过查看 服务器IP地址可以通过查看 服务器 ICS或者 或者NAT服务器上外部网卡的 或者 服务器上外部网卡的 IP地址信息,也可以利用 地址信息, 地址信息 ipconfig→all命令查看。 命令查看。 命令查看
10
6.3 虚拟专用网络
VPN(Virtual Private Network,虚拟专用 , 网络)是一种新型的网络技术 是一种新型的网络技术, 网络 是一种新型的网络技术,虚拟专用网 络被定义为通过一个公用网络(通常是 络被定义为通过一个公用网络 通常是 Internet)建立一个临时的、安全的连接, 建立一个临时的、 建立一个临时的 安全的连接, 是一条穿过混乱的公用网络的安全、 是一条穿过混乱的公用网络的安全、稳定 的隧道。 的隧道。
11
6.3.1 VPN简介
用与ISP 的本地连接代替与远程用户和租用线路的 在VPN 中,用与 拨号连接或帧中继连接。 拨号连接或帧中继连接。VPN允许专用企业内部网安全地在 允许专用企业内部网安全地在 Internet 或其他网络服务上扩展,使电子商务以及外部网与商业 或其他网络服务上扩展, 伙伴、供应商和顾客的连接更加方便、可靠。 伙伴、供应商和顾客的连接更加方便、可靠。VPN的目的是以 的目的是以 更低的成本,采用更灵活的与ISP(服务供应商 的连接方式,提 服务供应商)的连接方式 更低的成本,采用更灵活的与 服务供应商 的连接方式, 供在传统WAN环境下的可靠性、安全性和高性能,如图 环境下的可靠性、 供在传统 环境下的可靠性 安全性和高性能,如图6-10所 所 示。
12
6.3.1 VPN简介
VPN通信过程分 个步骤: 通信过程分4个步骤 通信过程分 个步骤:
(1) 客户机向VPN服务器发出请求。 (2) VPN服务器响应请求并向客户机发出身份质询, 客户机将加密的用户身份验证响应信息发送到VPN 服务器。 (3) VPN服务器检测该响应,若账户有效,则检查 是否具有远程访问权限,如果有远程访问权限, VPN服务器将接受此连接。 (4) VPN服务器将在身份验证过程中产生的客户机 和服务器公有密钥对数据进行加密,然后通过VPN 隧道技术进行封装、加密,传输到目的内部网络。
13
6.3.1 VPN简介
VPN的特点如下。 的特点如下。 的特点如下
(1) 节约成本。 (2) 统一的资源定位机制。 (3) 专用硬件平台,加密、验证和IP 报转发分别采用专用芯 片,以求达到最大的网络吞吐量和最小的网络延时。 (4) 基于IPSec(IP Security,IP安全协议)标准的网络数据加 密和网管数据加密。 (5
) 集成的防火墙功能。 (6) 冗余备份隧道。 (7) 先进的动态密钥管理和密钥交换机制。 (8) 网络地址转换(NAT)。 (9) 自动网络拓扑学习。 (10) 友好的管理界面简单、安全、易用。
14
6.3.2 创建VPN服务器
在Windows Server 2003中, 中 VPN服务称之为“路由和远程访 服务称之为“ 服务称之为 默认状态已经安装, 问”,默认状态已经安装,只需对 此服务进行必要的配置使其生效即 创建VPN服务器的步骤如下。 服务器的步骤如下。 可,创建 服务器的步骤如下
(1) 单击【开始】→【程序】→ 【管理工具】→【路由和远程访 问】命令,启动服务器配置向导。 (2) 单击【下一步】按钮,弹出 【预备步骤】对话框,单击【下 一步】按钮,弹出如图6-11所示 的【服务器角色】对话框,选择 【远程访问/VPN服务器】选项, 单击【下一步】按钮。 (3) 弹出【选择总结】对话框,单 击【下一步】按钮,系统启动 【路由和远程访问服务器安装向 导】对话框,如图6-12所示,单 击【下一步】按钮。
15
6.3.2 创建VPN服务器
(4) 弹出如图 弹出如图6-13所示的【配置】 所示的【 所示的 配置】 对话框, 对话框,如果服务器只有一块网 则选中【自定义配置】 卡,则选中【自定义配置】单选 按钮,因为标准VPN需要两块网 按钮,因为标准 需要两块网 卡;如果服务器有两块网卡,则 如果服务器有两块网卡, 可有针对性地选中【 可有针对性地选中【远程访问 (拨号或 拨号或VPN)】单选按钮,单击 拨号或 】单选按钮, 下一步】按钮。 【下一步】按钮。 (5) 弹出如图 弹出如图6-14所示的【远程 所示的【 所示的 访问】对话框,选中VPN复选框, 访问】对话框,选中 复选框, 复选框 单击【下一步】按钮。 单击【下一步】按钮。
16
6.3.2 创建VPN服务器
(6) 接下来向导会列出系统中 所有的网络接口。 所有的网络接口。选择与 Internet相连的网络接口, 相连的网络接口, 相连的网络接口 如图6-15所示,单击【下一 所示, 如图 所示 单击【 按钮。 步】按钮。 (7) 弹出如图6-16所示的【IP 弹出如图 所示的【 所示的 地址指定】对话框, 地址指定】对话框,选择如 何为远程客户端分配IP地址 地址。 何为远程客户端分配 地址。 如果局域网中配置了DHCP 如果局域网中配置了 服务器,则可由DHCP服务 服务器,则可由 服务 器从地址池中为远程客户分 地址, 配IP地址,否则需要手工设 地址 置一个IP地址范围 地址范围, 置一个 地址范围,用于分 配给远程客户端使用。 配给远程客户端使用。这里 选中【自动】单选按钮, 选中【自动】单选按钮,单 下一步】按钮。 击
【下一步】按钮。
17
6.3.2 创建VPN服务器
(8) 弹出如图 弹出如图6-17所示的 所示的 【管理多个远程访问服 务器】对话框, 务器】对话框,选中 【否,使用路由和远程 访问来对连接请求进行 身份验证】单选按钮, 身份验证】单选按钮, 单击【下一步】按钮。 单击【下一步】按钮。 (9) 系统开始配置 系统开始配置VPN服 服 务,配置完成后打开如 所示的对话框, 图6-18所示的对话框, 所示的对话框 单击【完成】按钮即可 单击【完成】 完成设置。 完成设置。
18
6.3.3 配置VPN 客户端
如果想连接到VPN服务器,客户端 服务器, 如果想连接到 服务器 必须先连接到Internet上,然后再 必须先连接到 上 连接到VPN服务器上。VPN客户端 服务器上。 连接到 服务器上 客户端 配置相对简单, 配置相对简单,只需要建立一个到 VPN服务端的专用连接即可。这里 服务端的专用连接即可。 服务端的专用连接即可 以Windows XP客户端为例进行介 客户端为例进行介 绍。
(1) 右击【网上邻居】图标,在弹 出的快捷菜单中选择【属性】命 令。在弹出的【网络连接】对话 框左侧单击【创建一个新的连 接】,弹出【新建连接向导】对 话框,单击【下一步】按钮,弹 出如图6-19所示的【网络连接类 型】对话框,选中【连接到我的 工作场所的网络】单选按钮,单 击【下一步】按钮。 (2) 弹出如图6-20所示的【网络连 接】对话框,选中【虚拟专用网 络连接】单选按钮,单击【下一 步】按钮。
19
6.3.3 配置VPN 客户端
(3) 弹出【连接名】对话 弹出【连接名】 如图6-21所示,在 所示, 框,如图 所示 公司名】 【公司名】文本框中输 入需要连接到服务器名, 入需要连接到服务器名, 单击【下一步】按钮。 单击【下一步】按钮。 (4) 打开如图 打开如图6-22所示的 所示的 【VPN服务器选择】对 服务器选择】 服务器选择 话框, 主机名或IP 话框,在【主机名或 地址】 地址】文本框中输入服 务器IP地址 单击【 地址, 务器 地址,单击【下 一步】按钮。 一步】按钮。
20
6.3.3 配置VPN 客户端
(5) 弹出如图6-23所示的 弹出如图 所示的 正在完成新建连接向导】 【正在完成新建连接向导】 对话框,单击【完成】 对话框,单击【完成】按 钮。 (6) 弹出如图6-24所示的 弹出如图6-24所示的 连接】对话框, 【连接】对话框,输入用 户名和密码,单击【连接】 户名和密码,单击【连接】 按钮即可连入VPN网络。 网络。 按钮即可连入 网络
21
6.3.4 设置远程访问策略
在一台远程服务器上可以同时建立多个远程访问策略, 在一台远程服务器上可以同
时建立多个远程访问策略, 每个远程访问策略都可以设置一个或多个条件, 每个远程访问策略都可以设置一个或多个条件,并配 置允许或拒绝访问权限。用户拨入时, 置允许或拒绝访问权限。用户拨入时,只有符合远程 访问策略的条件才可以连接到远程访问服务器; 访问策略的条件才可以连接到远程访问服务器;如果 不符合远程访问策略的条件,则跳过当前策略, 不符合远程访问策略的条件,则跳过当前策略,判断 下一条策略的条件,直到遇到一个符合条件的位置; 下一条策略的条件,直到遇到一个符合条件的位置; 如果所有策略的条件都不符合,就拒绝访问。 如果所有策略的条件都不符合,就拒绝访问。 默认情况下, 默认情况下,Windows Server 2003已经建立了两条 已经建立了两条 远程访问策略, 远程访问策略,当所有用户的远程访问权限都设置为 通过远程访问策略控制访问” “通过远程访问策略控制访问”时,这两条策略将拒 绝任何用户访问远程服务器。 绝任何用户访问远程服务器。
22
6.3.4 设置远程访问策略
通过远程访问策略可以达到以下目的。 通过远程访问策略可以达到以下目的。 通过时间来控制客户端访问。如只允许用户 在每周一到周五的8点30分到17点30分之间 访问服务器。 通过组来控制客户端的访问。如只允许某一 个组或者某几个组的用户可以访问远程服务 器。 通过配置文件可以限定客户端访问远程服务 器的时间。如用户访问远程服务器的时间不 能超过1小时,空闲时间不能超过15分钟。
23
6.3.5 访问VPN服务器
客户端先连接到Internet,再拨通学院的VPN连接。拨 ,再拨通学院的 连接。 客户端先连接到 连接 通后在屏幕右下角的任务栏上会有两个连接到图标, 通后在屏幕右下角的任务栏上会有两个连接到图标, 在网络连接对话框中也会显示其连接状态,如图6-33 在网络连接对话框中也会显示其连接状态,如图 所示。 所示。
24
6.3.5 访问VPN服务器
客户端和VPN服务器连接后,客户端可以通过 服务器连接后, 客户端和 服务器连接后 以下两种方式访问VPN服务器中的资源。 以下两种方式访问 服务器中的资源。 服务器中的资源
(1) 搜索计算机。右击【网上邻居】图标,在弹出 的快捷菜单中选择【搜索计算机】命令,打开【搜 索结果—计算机】对话框,在【计算机名】文本框 中输入IP地址即可找到要搜索的计算机。 (2) 利用IP地址。可以通过IP地址直接访问服务器, 单击【开始】→【运行】命令,在打开的【运行】 对话框中输入“\\IP地址”即可找到要搜索的计算 机。
25
实训 配置虚拟专用网
1. 实训目的
(1) 了解虚拟专用网(VPN)的基本概念和工作原理。 (2) 掌握在Windows Server 2003上虚拟专用网的 配置方法。
2. 实训设备
两台计算机,一台作为服务器,另一台作为客户机。
3. 背景知识
(1) VPN服务器配置。 (2) VPN客户端配置。
26
实训 配置虚拟专用网
4. 实训内容和要求
通过VPN服务器配置,建立一台VPN服务器,同时 进行赋予远程用户VPN拨入权限的配置,使客户机 能与此VPN服务器建立VPN连接,从而进行安全通 信。
5. 实训步骤
(1) 配置VPN服务器,赋予用户拨入权限。 (2) 配置VPN客户机。 (3) 验证连接是否成功。 6. 实训结果和讨论
6. 实训结果和讨论
27
习
1. 选择题
(1) 下列( )不是VPN的优势。
B. 增强安全性 D. 管理不方便 A. 节约成本 C. 容易扩展
题
(2)
NAT服务器需要(
A. 1 C. 3
)块网卡。
B. 2 D. 4
2. 思考题
(1) (2) (3) 网络地址转换NAT的功能是什么? NAT的工作过程是什么? VPN服务器有何作用?