Windows 2000/2003爲我們提供的“路由和遠程訪問”服務使一臺Windows 2000/2003r的計算機成爲了全功能的軟件路由器。它爲局域網 (LAN) 和廣域網 (WAN) 環境中的商務活動,或使用安全虛擬專用網 (***) 連接的 Internet 上的商務活動提供路由選擇服務。
每一個運行TCP/IP的計算機都要進行由路由表路控制的路由決策。路由表以計算機當前的TCP/IP配置爲基礎自動產生的。爲了顯示一臺運行Windows 2000/2003計算機上的IP路由表,在命令提示符下鍵入“Route Print”命令即可。
6.3.1 企業背景
公司成立了兩個新的部門,這兩個部門的辦公網分屬不同子網。其中部門一的網絡爲10.0.0.0/8,網關爲10.0.0.1;部門二的的網絡爲20.0.0.0/8,網關爲20.0.0.1。
現在有你負責將把一臺運行Windows Server 2003 Enterprise Edition版本的計算機R(R有兩個網卡,分別連接兩個子網,兩個網卡的IP地址分別爲10.0.0.1和20.0.0.1)配置成一個軟件路由器,以便完成這兩個子網同公司的其它子網的連接。
6.3.2 配置步驟
● 啓用路由器功能
● 配置客戶機
● 添加靜態路由
● 添加動態路由
● 配置數據包篩選
6.3.2.1 啓用路由器功能
1、以管理員身份登錄到計算機R,在“理工具中”打開“由和遠程訪問”服務。
2、在控制檯樹中,右擊計算機名,選擇“配置並啓用路由和遠程訪問”,在彈出的頁面中選擇“自定義配置”。 點擊“下一步”。
![clip_image002[4]](http://lgzeng2360.blog.51cto.com/attachment/200811/17/275998_1226924459LbtD.jpg)
3、在“選擇你想在此服務器上啓用的服務”頁中,選擇“LAN路由”前面的複選框,點擊“下一步”,在此臺計算機上啓用路由器功能。
4、在“路由和遠程訪問”的控制檯樹中, 右擊計算機名,選擇“屬性”。在“常規”頁中,選擇“只用局域網路由”和“LAN和按需撥號路由”,單擊“確定”按鈕。
我們首先將部門一和部門二的子網進行連接。在本例中,將以部門一的計算機Client A(其IP地址爲10.0.0.5)和部門二的一臺計算機Client B(其IP地址爲20.0.0.6)爲例進行配置。
1、以管理員身份登錄到部門1和部門2上的客戶機,分別對客戶機進行如下配置:
●Client A的IP 地址:10.0.0.5,子網掩碼:255.0.0.0,網關:10.0.0.1;
●Client B的IP 地址:20.0.0.6,子網掩碼:255.0.0.0,網關:20.0.0.1;
2、在ClientA上用Ping的命令來測試到達另一子網的計算機ClientB的網絡連接性。可以看到可以Ping通。表明路由器R已配置正確,兩個子網能夠通過R進行正常的通信。
公司子網數較少,同R沒有直接相連的一個子網3的網絡爲15.0.0.0/8,爲了使路由器R中有到達這個網絡的路由,我們可以在R上配置一條到達此網絡的靜態路由。
配置步驟如下:
1:以管理員身份登錄到R,打開“路由和遠程訪問”,在其控制檯樹中,雙擊算機名,再雙擊“IP路由” 右擊“IP路由”,選擇“靜態路由”。
2、在“靜態路由”對話框中操作如下:在其“目的地”項中輸入目的地的網絡ID;在“網絡掩碼”項中輸入相應的子網掩碼;在“網關”項中輸入下一個路由器的IP地址;在“計量”項中輸入使用該路由的開銷,單擊“完成”即可。
3、用相同的方法,在子網3的中路由器上也要配置一條返回的靜態路由。
6.3.2.4 添加動態路由
隨着公司網絡中子網數的增加,採用靜態路由已不能滿足網絡管理的需求。公司決定在路由器上啓用動態路由協議RIP。爲了使路由器之間能夠通過動態路由協議RIP動態地學習路由信息,你需要各個路由器上配置RIP。
在配置動態路由協議的時候,要注意首先要添加協議,然後再爲協議添加接口,這樣才能完成RIP協議的配置。
配置步驟如下:
1、 登錄到R上,打開“路由和遠程訪問”,在其控制檯樹中,雙擊計算機名,再展開“IP路由”點擊“常規”,然後 “新建路由協議”。
2、 從路由協議的列表中,我們可以看到“DHCP中繼代理”、“網絡地址轉換”以及動態路由協議RIP和OSPF選項了。
3、 在這裏,我們將選擇“用於Internet協議的RIP版2”(注意:我們在這第二章講述的在路由環境中的“DHCP中繼代理”的添加便在這裏進行。在配置DHCP中斷代理時,注意要添加上DHCP服務器的IP地址),點擊“確定”按鈕。
4、 在控制檯樹中,雙擊計算機名,再展開“IP路由選擇”,我們可以看到已經添加的RIP協議和DHCP中繼代理協議。
5、 右擊RIP,然後單擊“新的接口”。在彈出的對話框中單擊想添加的接口,然後單擊“確定”。
6、 在彈出的接口屬性頁中,將要求我們進行RIP協議的配置。在“操作模式”中選擇“週期性的更新模式”,這樣,在缺省的情況下每隔30秒此路由器會向自己的鄰居廣播自己的路由表以進行路由信息的交換和更新。
7、 在“傳出數據包協議”中選擇“RIP版本2廣播”。這樣可以使網絡中其它運行RIP版本1和版本2的鄰居路由器都可以接受此路由器廣播的路由表。
8、 在“傳入數據包協議”中選擇“RIP1和 2 版”。這樣可以使網絡中其它運行RIP版本1和版本2的鄰居路由器都可以向此路由器廣播的路由表。
9、 在路由的“附加開銷”中輸入到達目標網絡所經過的數由器的數目。
10、 爲了保護路由器之間安全的通信,可以爲路由器配置身份驗證。在這裏我們選中“激活身份驗證(Active authentication)”複選框,然後在“密碼”框中鍵入一個密碼。(其它路由器也要作此配置,並且所配置的密碼應相同)。
11、 點擊“確定”完成動態路由的配置。
12、 在網絡中的其它的路由器上也啓用RIP協議。啓用成功後,我們可以看到在“RIP”的詳細窗格中顯示配置了RIP協議的路由器之間正在週期性的更新路由信息。
IP路由器可以提供允許或者不允許轉發某些特定類型的IP數據流的能力。這種能力稱爲IP數據包篩選(IP packet filtering)。IP數據包篩選爲網絡管理員提供了一種方法,可以用來準確定義允許什麼樣的IP數據流通過路由器。特別是當你的公司的Intranet連接到公用網絡(比如Internet)時,這項功能就顯得尤其重要了。
下面以阻止ICMP流量爲例進行數據包篩選的配置:
1、 以管理員身份登錄到R,打開“路由和遠程訪問”,在其控制檯樹中,雙擊計算機名,再展開“IP路由”,點擊“常規”,在詳細資料窗體中,右擊想配置的路由接口,然後單擊“屬性”。
2、 在彈出的“屬性” 對話框中,單擊“輸出過濾器”。在彈出的“輸出過濾器” 對話框中,單擊“添加”。
3、 在彈出的“添加IP過濾器” 對話框中,選中“目標網絡”複選框,輸入網絡ID爲10.0.0.0,在掩碼框中輸入255.0.0.0,在“協議”項中選擇“ICMP”,在“ICMP類型”項中輸入“8”,在“ICMP代碼”項中輸入“0”,然後單擊“確定”。
4、 接下來將會要求你指定一個篩選動作。當需要高等級別的安全時,應該允許少數流量通過,同時拒絕大多數流量,在這種情況下應選擇“除了滿足下面的準則的數據報外,丟棄所有的數據包”項。而在不需要高等級的安全時,這個時候應允許大部分的流量通過,而只拒絕少部分流量。在本例中,只需阻止ICMP流量,故安全性要求不是很高,應選擇“除了滿足下面的準則的數據報外,接收所有的數據包”項,然後依次單擊“確定”,完成數據包篩選的配置。
5、 爲了測試數據包篩選配置成功沒有,我們先登錄到Client B,在命令提示符下輸入Ping 10.0.0.5命令,可以看到ICMP流量被拒絕。而當登錄在Client A,在命令提示符下輸入Ping 20.0.0.6命令,可以看到ICMP流量被允許。由此可見,數據包篩選配置成功。