Microsoft Word - 5.doc - PDF Free Download

管理路由及遠端存取本章涵蓋的微軟考試目標如下 : 設定路由包括 : 靜態路由持續路由路由資訊通訊協定 (Routing Internet Protocol, RIP) 開放式最短路徑優先 (Open Shortest Path First, OSPF) 設定遠端存取包括 : 虛擬私有網路 (Virtual Private Networks, VPN), 網路位址轉譯 (Network Address Translation, NAT), 路由及遠端存取伺服器 (Routing and Remote Access Server,RRAS), 進入方向 / 離開方向篩選

234 MCTS 70-642 Windows Server 2008 Network Infrastructure Configuration 專業認證手冊由於 TCP/IP 互連網路增長的速度飛快, 因此需要路由器簡易的安裝和設定並非每個想要連接到網際網路或連接兩間分公司的小型企業都負擔得起昂貴的路由器, 或是讓擁有專業認證的技術人員來管理路由器微軟第一次嘗試解決這個問題是在 Windows NT 4.0 Option Pack 裡提供了路由及遠端存取服務 (Routing and Remote Access Services, RRAS) 的版本, 這是 RRAS 元件包含在 Windows Server 2008 的始祖 Windows Server 2008 的 RRAS 是個擁有完整功能的多重協定路由器協力廠商還可以將其擴充, 以便新增網路協定或路由的方法使用 RRAS 進行路由的概念是, 可以在 Windows Server 2008 的機器上啟用 RRAS, 將它當成路由器來使用, 除此之外尚能扮演一些其他角色例如在 Windows Server 2008 電腦上安裝 RRAS 來提供路由安裝網際網路資訊服務 (Internet Information Services, IIS) 以提供簡易郵件傳輸協定 (Simple Mail Transfer Protocol, SMTP) 郵件和 Web 服務, 以及利用該電腦上的兩張網路介面卡 (network interface cards, NIC) 扮演綜合的防火牆 / 路由器 / 網際網路伺服器本章將開始討論路由的運作原理, 並介紹路由整合至 Windows Server 2008 的方法瞭解路由路由 (routing) 是把資料流引領到正確目的地之程序由於封包本身具備了位址, 路由程序牽涉的是將來源封包送到目的地, 瞭解這種 IP 路由最基本的道理是比較簡單的雖然路由產生的機制有點複雜, 但在以下各節中讀者將會清楚的看到路由的功能運作原理以及 Windows Server 2008 如何處理路由路由所做的事所謂互連網路 (internetwork) 就是將多個網路連結在一起一個互連網路裡, 可能包含 5 個不同的網路, 這些網路可根據城市的名稱來命名, 例如, 亞特蘭大波士頓奧蘭多市波特蘭和聖地牙哥互連網路便是這些所有網路的集合, 其中的任何一個網路可能是獨立的互連網路並不等同於網際網路 (internet) 實際上剛好相反我們所談的網際網路是一個非常龐大且十分複雜的互連網路

Chapter 5 管理路由及遠端存取 235 複雜的互連網路像網際網路一樣需要路由想想看, 當你試著在網際網路上傳送一個檔案時會發生什麼事假設你在美國東岸, 而目的地在加州如果有看過網際網路的實際拓樸地圖, 就會知道從這到達那裡的大量可能路徑有些路徑可能比其他路徑來得好 ; 例如有一條路徑從美國的東岸開始, 攜帶著封包沿途經過大西洋歐洲俄羅斯及太平洋, 最後抵達美國的西岸雖然這是合法的途徑, 但路途太過遙遠而顯得沒有效率路由在傳送訊息封包時還關聯到路徑成本路由系統允許管理者附加公制 (metric) 或成本 (cost) 至每一條路徑接著, 就會看到路由系統如何利用公制資訊, 為封包計算出最有效率的路徑路由的運作原理事實上, 公制資訊係根據所使用的路由通訊協定來做計算這些路由通訊協定包括路由資訊通訊協定 (Routing Information Protocol, RIP) 第 1 版 RIPv2 和開放式最短路徑優先 (Open Shortest Path First, OSPF)(Windows Server 2008 的 RRAS 已不再支援 OSPF) 有一點需要記住的是, 在任何情況下, 這三種路由通訊協定 ( 本章將有更詳細的討論 ) 都是使用公制來計算最佳 (best) 路徑路由程序的基礎觀念是, 在網路上的每個封包裡, 有一個來源位址和一個目的位址, 這意味著任何收到封包的設備可檢查該封包的標頭, 以確定封包來自於何處, 以及正要往哪裡去如果這些的設備本身也有一些關於網路的設計和實作的資訊例如, 封包經過特定的鏈路需要花多久的時間能聰明地改變路由以減少總成本圖 5.1 為假想的網路, 此網路由 6 個互相連接的本地網路所組成這些網路 ( 命名為 A~F), 透過各種不同速率和成本的鏈路來連接這個網路準確地反映出真實世界裡所發生的情況, 有多種方式可在二點之間建立連結, 這對內部網路 ( 或 ISP) 來說相當常見假設網路 B 的用戶端電腦, 想要傳送資料到網路 E 的電腦最明顯的路徑可能是 B F E, 但也可以使用 B C D E 的路徑注意一下成本 :B-F-E 的總成本為 12, 而表面上成本較長的 B-C-D-E 實際有著較低的成本值 8 起初你會不知道成本的作用, 因為你只看到表面上後者的路徑較長而已但當你得知成本的真正含義時, 你就會明白成本的用途了指定鏈路的成本完全取決於管理者通常管理者會針對如何讓資料流傳送, 來指定反映優先順序的成本昂貴或慢速的鏈路, 可能會付出比廉價或更快的鏈路還要高的代價 ; 假設在昂貴的鏈路上 ( 例如, 以量計價的 ISDN 連線 ) 指定了高成本, 如果出現了成本效率更佳的鏈路, 那麼過於昂貴的連結將不被使用現在再看一次圖 5.1, 假設每個圓圈都是一個真實的路由器你可以不考慮路由器背後之網路所有的複雜性, 只看路由器負責移動封包的部分假設用戶端

236 MCTS 70-642 Windows Server 2008 Network Infrastructure Configuration 專業認證手冊電腦叫做 X 且伺服器稱作 Y 當 X 要傳送資料給 Y 時,X 已經知道目標之目的地 IP 位址 X 將建立一個封包, 封包裡含 X 的 IP 位址 ( 代表來源 ) 和 Y 的位址 ( 代表目的地 ) 接著 X 將透過其配置的預設閘道, 傳送封包給路由器 B 圖 5.1 假想的網路根據 OSI 模型, 閘道和路由器指的是兩件事然而在微軟, 這二者是可以通用的第一章瞭解 Windows Server 2008 的網路已討論過 OSI 模型路由器 B 收到封包, 得知來源和目的地位址之資訊透過檢查 IP 位址, 它並不知道要通往 Y 所屬網路的直接路徑然而, 兩個中間節點需要知道如何到達 Y:C 和 F 因為 C 有最低的連結成本, 在一個簡易的路由演算法裡, 路由器 B 將傳送封包給路由器 C 當 C 收到封包, 它會透過同樣的程序, 轉送封包給 D... 最後, 封包抵達目的地讓我們來看看一些具體方法, 這些方法是在前面的範例中,RRAS 實際執行的步驟路由表路由表是一個儲存路徑資訊的資料庫考慮互連網路的路徑地圖路由表列出了存在於網路之間的路徑, 因此, 當路由器或主機遇到要前往不屬於自己本身網路的封包時, 路由器或主機可以查閱所需的資訊在路由表裡的每個項目包含了以下 5 個資訊 : 網路位址 ( 遠端主機或遠端網路的網路位址 ) 網路遮罩 ( 與該項目有關的網路遮罩 ) 轉送位址 ( 為遠端網路所要傳送的資料流提供轉送位址 )

Chapter 5 管理路由及遠端存取 237 網路介面 ( 此介面負責將封包傳送到轉送位址 ) 成本 ( 或公制, 表示指定給這個路徑的相對優先權 ) 例如, 可以把聖地牙哥亞特蘭大的路徑寫為 10.1.1.0:255.255.255.128: 10.10.1.254:ATL:1, 假設介面名稱是 ATL, 而想要使用的公制為 1 儲存這些項目的實際格式並不重要 ( 事實上在 RRAS 裡看不到 ); 重要的是, 你要知道每一個路由表項目所包含的資訊路由表實際上可以包含以下三種不同的路徑 : 網路路徑 (Network route): 網路路徑提供了一個可以到達整個網路的路徑例如, 從聖地牙哥到亞特蘭大的路徑是一個網路路徑, 因為該路徑可將聖地牙哥裡的任意主機之資料流, 路由到亞特蘭大裡的任意主機主機路徑 (Host route): 主機路徑提供了一個可以到達單一系統或到達一個廣播位址的路徑可將其視為捷徑為了讓路由器知道如何將資料流傳送到遠端機器, 這些路徑提供了一個較為有效的方式, 所以當你想透過特定機器將資料流導向到遠端網路時, 就能使用它們預設路徑 (Default route): 當封包沒有明確的路徑時, 則使用預設路徑預設路徑類似於用來設定 IP 用戶端的預設閘道 (default gateway) 當封包要前往某個遠端網路時, 路由器將會先搜尋路由表 ; 如果路由器無法找出網路路徑或主機路徑, 就會使用預設路徑對於每個想要通訊的網路, 可省去網路路徑或主機路徑的設定靜態路由在表格裡提供預先定義的路徑即為靜態路由 (static routing), 而這個表格便稱之為靜態路由表 (static routing table) 網路上的靜態路由系統並不會試圖找出其他路由器或系統的行為相反的, 管理者要以手動設定方式, 來告訴路由引擎如何得到資料以到達其他網路 ; 具體來說, 透過指定每個網路的網路位址子網路遮罩 (subnet mask) 以及公制, 告訴路由引擎可以從你的網路到達其他什麼樣的網路這些資訊便會記錄到系統的路由表當封包抵達路由引擎, 該引擎可以檢查路由表, 選擇成本最低的路徑到達目的地如果在路由表裡沒有可以到達目的地網路的明確項目, 該封包將被送往預設閘道, 由預設閘道將封包送到需要去的地方靜態路由比動態路由更快, 而且更有效率靜態路由適合應用在不會大幅改變的小型網路中你可以先確認遠端網路想要經過的路徑, 然後新增靜態路由以到達遠端網路, 來反映成本和你的網路拓樸在 Windows Server 2008 裡, 可以利用 route 命令維護靜態路由, 此命令可以看到路由表的內容, 或者對個別網路新增或移除靜態路由來修改路由表動態路由不同於靜態路由, 動態路由 (dynamic routing) 並不依賴你所新增固定不變而到達遠端網路的路徑相反地, 動態路由引擎為了探索出周圍環境, 需要尋找互連網路裡的其他鄰近路由器, 以便進行通訊

238 MCTS 70-642 Windows Server 2008 Network Infrastructure Configuration 專業認證手冊這個程序, 通常被稱為路由器探索 (router discovery), 能讓新加入的 ( 或重新啟動 ) 路由器設定本身自己有點像是當你搬入一個新的鄰里區域時所發生的事情在你抵達的很短時間內, 你可能遇見生活在你周遭的大部分的人們, 因為, 不是你去找他們, 就是他們來找你在這一點上, 你就會擁有關於周遭環境中已經生活在此處的鄰居之有用資訊在 Windows Server 2008 裡所使用的動態路由通訊協定是 RIP 在過去的版本中,OSPF 協定也被使用, 但 Windows Server 2008 不再支援 OSPF RIP 有其優點和缺點每個路由器 ( 無論是硬體設備, 例如一個 Windows Server 2008 的機器, 或是其他型式 ) 至少連接至兩個獨立的實體網路當路由器啟動時, 唯一的資訊來自於內部的路由表通常, 這意味著路由器知道關於所有的附屬網路, 再加上像是事先就已經定義好的靜態路徑隨後路由器收到關於網路的狀態及拓樸方面的設定資訊隨著時間的流逝, 網路的實體拓樸有可能改變如圖 5.2 的網路如果網路 G 意外地失去了連線, 路由器在站台 A D 和 E, 需要重新調整它們的路由表, 因為它們可能無法再把資料流直接路由到 G 這個調整程序所發生的事是, 讓路由動態地運作, 這也是二個 IP 的動態路由通訊協定之間的最大區別圖 5.2 一個較為複雜的動態路由網路在以下的章節中, 我們將更詳細地探討 RIP 和 OSPF 儘管 OSPF 沒有在 Windows Server 2008 裡使用, 我們在討論上還是會包含它, 因為許多協力廠商路由器使用它 ; 而且,OSPF 可能會在微軟的考試中出現

Chapter 5 管理路由及遠端存取 239 路由資訊通訊協定 RIP 是一種簡單且易於設定的距離向量 (distance-vector) 路由通訊協定但是它在中大型網路的使用上, 其效能會大打折扣基本上,RIP 路由器一開始使用一個空的路由表, 但會立即開始發出其所知網路的通告, 給其所直接連接的網路 RIP 使用 UDP 作為傳輸協定 ( 預設使用 520 埠 ) RIP 通告可能是廣播 (broadcast) 或多點傳播 (multicast) 網路上收到這些通告的路由器, 可以將通告路徑新增至它們自己的路由表裡這個程序的運作是雙向的, 當然, 你的路由器將會聆聽來自於其他路由器的通告和新增的通告路徑, 進而讓路由器知道, 如何到達這些網路不幸的是,RIP 最多只支援 15 個躍點數 (hop count, 封包所通過的路由器數目 ) 在 Server 2008 的 RIP 實作中支援了 RIPv2 讀者最好要知道 RIPv1 與 RIPv2 之間的重要差異 : RIPv1 與 RIPv2 之間, 最主要或者說最重要的差異是 RIPv2 支援可變長度子網路遮罩 (variable-length subnet masking, VLSM) VLSM 將網路切割成比較小的區塊 ( 依照需求切割 ), 有助於節省 IP 位址空間 RIPv2 支援簡易的 ( 即 : 明碼 ) 使用者名稱 / 密碼驗證, 以防止路由表中不必要的變更 RIPv2 路由器新增了接收觸發更新的能力當網路拓樸發生變化 ( 也許是因為新增連線到另一個網路 ), 就會傳送出包含變更的相關資訊之觸發該觸發強迫所有你擁有的 RIP 路由器立即學到這些變更觸發更新的優點在於路由器若發現鏈路或路由器故障時, 可以更新它們的路由表, 並通告其變更, 使它們的鄰居早一點知道這件事, 而不是延遲通知可以使用 Routing And Remote Access 嵌入式管理單元 (snap-in), 建立兩種篩選出某些 RIP 更新類型的篩選器 : 路由篩選器 (route filter) 允許你選擇想要認識且想要接受通告的網路對等篩選器 (peer filter) 允許你控制鄰近的路由器, 而該鄰近的路由器則是你的路由器所聆聽的對象 RIP 也包含了試圖避免路由迴圈的功能在圖 5.2 中, 網路的拓樸有可能導致路由迴圈例如,E 想要傳送封包給 A 裡的一台機器, 但 G-A 和 D-C 的鏈路是不通的 E 傳送封包給 G,G 知道不能到達 A, 然而 G 仍認為路徑 D-C-B-A 是有效的, 於是 G 傳送封包給 D 當封包到達 D,D 知道不能與 C 交談, 但 D 認為 E-G-A 是條有效的路徑, 因此傳送封包給 E 從這裡就能看到封包將永遠無法到達目的地, 不斷地重複而形成迴圈這例子看起來像是人為故意的, 但在現實生活中, 互連網路的鏈路往往集中在少數的實體鏈路裡, 確實造成了問

240 MCTS 70-642 Windows Server 2008 Network Infrastructure Configuration 專業認證手冊題 RIP 提供了幾種方法來解決和防止迴圈, 包括水平分割 (split-horizon) 和逆向毒害 (poison-reverse) 演算法 ( 儘管他們的名字很酷, 但這並不重要, 重要的是要瞭解這些演算法的運作, 並藉此通過考試即 :RIP 執行水平分割和逆向毒害, 以防止路由迴圈 ) RIP 有二個運作模式 : 在定期更新 (periodic update) 模式裡, 路由器固定每隔一段時間 ( 由管理者定義 ) 傳送出已知路徑清單路由器會將從其他路由器所學到的 RIP 路徑標記起來, 這意味著路由器運作時這些路徑才會有作用如果路由器停止運作, 那麼路徑就會消失這個模式是 RIP 在 LAN 介面上的預設模式, 但它不適合指定撥號 (demand-dial) 連線, 因為你不會希望路由器啟用連線後就通告它的存在在自動靜態更新 (autostatic update) 模式裡, 只有在遠端路由器向 RRAS 路由器詢問的時候,RRAS 路由器才會廣播自身的路由表內容更棒的是,RRAS 路由器向它的 RIP 鄰居學來的路徑, 在路由表裡會被標記成靜態路徑, 它們將持續地存在於路由表中 ( 即使路由器停止及重新啟動, 或者 RIP 的介面被停用 ), 直到你手動刪除它們指定撥號介面的預設模式為 Autostatic 模式 RIPv1 與 RIPv2 這二個版本都有著一個同樣的缺點, 就是每次更新, 路由器都得傳送完整的一份路由表這樣會產生大量的資料流, 使得 RIP 不適用於當今許多的網路另一種路由通訊協定 :OSPF, 僅需傳送變更部分的路徑更新, 便可解決這個問題開放式最短路徑優先 RIP 專為小型的網路所設計, 其僅能處理至多 15 個路由器至路由器躍點 (routerto-router hop) 如果網路裡有超過 16 個以上的路由器時,RIP 將無法為路由器快取路徑, 而且網路的某些部分看起來會像是無法到達 ( 或者實際上是無法到達 ) OSPF 路由通訊協定是一種連結狀態 (link-state) 協定, 被設計適用於中大型或超大型的網路 OSPF 比 RIP 更有效率, 但它也需要更多的專業知識和經驗才能夠設定和管理此外, 如前面所述,OSPF 協定並不再由 Windows Server 2008 的 RRAS 所支援 RIP 係透過路由器與路由器之間互相地交換路由資料, 可能使得不正確的路徑項目散播開來然而 OSPF 並非交換路由資料, 每個 OSPF 路由器維護一個互連網路的狀態地圖該地圖稱為連結狀態地圖 (link-state map), 提供一個不間斷的更新, 這個更新涉及每個互連網路的連結狀態鄰近的路由器組成了所謂相鄰關係 (adjacency, 類似芳鄰 ) 在相鄰關係裡, 路由器會將變更同步到任何連結狀態地圖當網路拓樸改變時, 路由器首先將變更通知泛洪 (flood) 到互連網路每個接收到通知的路由器開始更新連結地圖的複本, 然後重新計算自己內部的路由表 OSPF 裡的最短路徑優先 (shortest path first) 是指 OSPF 系統用來計算路徑的演算法計算出優先使用的最短路徑 ( 最低成本的路徑 ) SPF 計算出來的路徑必定不會產生迴圈, 這是比 RIP 還要強大的另一個優勢 OSPF 的網路被分割成若干個子部分, 稱之為區域 (area); 一個區域就是一個互相連接的網路聚集可以把

Chapter 5 管理路由及遠端存取 241 區域當作是一個互連網路的子部分各區域透過骨幹 (backbone) 相互連接每一個 OSPF 路由器維持著一份連結狀態資料庫, 這個資料庫僅記錄該路由器在區域內的連結狀態有一種特殊的 OSPF 路由器稱為區域邊界路由器 (area border routers), 用於區域之間的相互連接圖 5.3 顯示了區域之間的連接情形圖 5.3 一個單純的 OSPF 網路邊界路由內部路由 (Internal routing) 係指互連網路內部所發生的路由相較之下, 邊界路由 (border routing) 則是當封包離開你的互連網路, 並前往另一個地方的路由器所發生的事仔細想一下當你使用自家的電腦瀏覽某個網站時所發生的事 TCP/IP 封包從你的機器進入到你的 ISP( 可能是透過 PPP 類比 cable DSL 或 ISDN 連接 ) ISP 檢查封包的目的位址, 並決定它們應該到的一些其他網路, 通常 ISP 不維護直接連接的網路例如, 當你要從微軟的網站上擷取一個網頁, 基本上你是從本地的 ISP 承租一個 Internet 連線, 這個連線很可能是從另一個更大的供應商那邊承租來的, 這個更大的供應商在國際存取點 (National Access Points, NAPs) 上維護著芳鄰路由器的連線這些芳鄰的連線維護網際網路上各種網路的路由表它們將你的封包轉送到下一個最近的躍點, 然後再送到下一個最近的躍點, 直到封包到達目的地圖 5.4 顯示本書其中一位作者在 ISP 工作所使用的範例 : 核心數位通訊服務 (later ExecPC/Voyager) 本地路由器表示一位家庭使用者或家庭辦公室連接到 ISP 接著 Stevens Point 路由器將封包轉送通過 DS3( 一種網路名稱 ) 到 Appleton; 接著傳送到 Milwaukee 以及 Chicago 的 NAP 在邊界之間的粗體線表示一同參與邊界區域的骨幹鏈路儘管這個網路的擁有者是 ExecPC/Voyager, 其運用不同的 OSPF 區域, 直到使用邊界閘道通訊協定 (Border Gateway Protocol, BGP) 的 NAP 為止這個網路的真正邊界是在 NAP

242 MCTS 70-642 Windows Server 2008 Network Infrastructure Configuration 專業認證手冊圖 5.4 由骨幹將網路分割成區域連結在一個邊界路由網路裡, 一些路由器負責處理區域內部的封包, 而其他路由器則是管理與其他區域的網路通訊這些邊界路由器負責儲存經由骨幹到到其他邊界的路徑多點傳播路由 IP 多點傳播的運作方式透過傳送單一 IP 位址的封包, 讓多台主機能同時讀取到此封包的資料主機除了有各自的 IP 位址之外, 且同時隸屬共用單一且不同的 IP 位址之多點傳播群組正如你看到的第 4 章管理動態主機設定通訊協定 (DHCP), 多點傳播群組的成員是動態的, 群組可以不受限制地包含個別 IP 網路上的主機, 使得網路之間的路由器可以支援多點傳播資料流事實上, 即使電腦不屬於某個多點傳播群組的成員, 仍可以傳送多點傳播封包多點傳播使用一種特別的 IP 位址範圍, 稱為 D 級位址空間 (Class D address space), 這是專門預留給多點傳播使用的多點傳播位址的範圍從 224.0.0.0 至 239.255.255.255 每一個多點傳播群組使用 D 級位址空間裡的單一位址此外, 正如慣用的 IP 位址, 多點傳播位址範圍裡保留著少數幾個特別的位址供其他用途表 5.1 包含了這些特殊多點傳播位址的部分清單表 5.1 特殊的多點傳播位址位址敘述 224.0.0.0 基本位址 ( 保留 ) 224.0.0.1 所有主機係相同網路區段上的所有系統 224.0.0.2 所有路由器係相同網路區段上的所有路由器 224.0.0.5 所有 OSPF 路由器用於傳送路由資訊給網路上的所有 OSPF 路由器

Chapter 5 管理路由及遠端存取 243 表 5.1 特殊的多點傳播位址 ( 續 ) 位址敘述 224.0.0.6 所有的指定 OSPF 路由器 (Designated OSPF Routers) 用於傳送路由資訊給所有指定 OSPF 路由器 224.0.0.9 所有 RIPv2 的路由器用於傳送路由資訊給所有在網路上 RIPv2 的路由器 224.0.1.24 用於支援 WINS 伺服器的覆寫真實案例 : 多介面電腦 (Multihomed Computer) 可以取代真正的路由器嗎? 近幾年來, 公司的規模一直穩定成長, 從一個擁有 50 台 Windows NT 工作站和 5 台 Windows NT 伺服器的小網路, 成長至擁有超過 200 台 Vista XP Professional 工作站和超過 10 台 Windows Server 2008 伺服器的中型網路一切看似運作正常, 但效能上已經開始受到影響在分析了網路的資料流之後, 你意識到需要將網路切割成子網路, 用以控制資料流並提昇效能然而在購買路由器專用設備時, 可以考慮使用多介面電腦以節省經費 Windows Server 2008 支援了 RIP 路由通訊協定但是, 在成本考慮下使用安裝有 Windows Server 2008 的多介面電腦之前, 需要更謹慎的考慮儘管增加了一些成本, 但在網路的連接點使用專用的路由電腦仍是利多於弊當你的網路頻寬過使用率過高時, 會懷疑多介面主機是否能夠提供所需的服務水準一般用途的作業系統如 Windows Server 2008, 與那些被設計用來執行特殊任務的電腦比起來就相形見拙了此外, 利用基本的路由通訊協定, 你可以使用許多工具和服務, 保證提供的服務在一定的水平之上, 並能夠設定篩選器和存取控制清單 Windows Server 2008 對小型辦公室來說, 功能雖比不上真正的路由器若與基本的路由器相比, 其成本還是很低的請確定這些 Windows Server 2008 的路由服務能適用於你公司網路規模和負載情形

244 MCTS 70-642 Windows Server 2008 Network Infrastructure Configuration 專業認證手冊網際網路群組管理協定 (Internet Group Management Protocol, IGMP) 係用於具有多點傳播功能的路由器之間交換多點傳播群組成員的資訊 RRAS 的設定有兩種模式 : IGMP 路由器模式 (IGMP router mode) 聆聽 IGMP 成員的報告封包並追蹤群組成員該模式必須設定於, 連接配置為多點傳播的主機網路之任一介面上 IGMP 代理伺服器模式 (IGMP proxy mode) 實質上扮演了像是多點傳播主機的角色, 然而無法將 IGMP 成員報告封包轉送至 IGMP 路由器其提供一份啟用多點傳播功能的主機清單給上游路由器, 通常這種的路由器不會查覺到主機的存在一般情況下,IGMP 代理伺服器用於連接到 Internet 的單一路由器網路上 IGMP 代理伺服器會傳送多點傳播主機清單給 Internet 上具有多點傳播能力的設備, 稱為網際網路多點傳播骨幹 (Internet multicast backbone)( 或 MBone), 所以主機可以收到多點傳播封包在傳送多點傳播資料流時可能會需要讓資料流穿越不支援多點傳播功能的路由器透過使用 IP-in-IP 介面 ( 或 IP-in-IP 通道 ) 以達到穿越的目的一個 IP-in-IP 介面實際上是以額外的 IP 標頭來封裝封包被封裝的封包能夠穿越任何路由器, 因為它們顯示的是原始的 IP 封包在 RRAS 裡建立和管理 IP-in-IP 介面與設定其他介面的方法相同在 Windows Server 2008 裡的路由 RRAS 提供了一個多重協定路由器換句話說,RRAS 路由引擎可以處理多個網路協定和在多重 NIC 上的多種路由方法當會談轉變為網路路由時,RRAS 提供了一些特殊功能 : 當路由器收到來自特定網路的封包時, 指定撥號路由可連線至這些網路該功能可供我們依需求使用鏈路, 而不是永久的連線對 ISDN 來說特別適用, 在大部分快速建立通話的地方, 其費用依每分鐘來計算點對點通道通訊協定 (Point-to-Point Tunneling Protocol, PPTP) 的連線也可以是指定撥接, 或是當有需求的時候, 使用指定撥接的介面來進行遠距離的連線可建立指定封包所應前往的特定網路之靜態路由該功能最常見的使用地方是將你的 LAN 連結到遠端網路經由靜態路徑可到達遠端網路, 其基本上表示任何要離開本地子網路的資料流需要傳送到路由器, RRAS 就能處理這些封包使用 RIPv1 和 RIPv2 的動態路由通訊協定, 讓路由器能與網路空間裡其他靠近它的路由器分享路由資訊封包篩選器可在二個方向上篩選不受歡迎的封包例如, 可建立一個封包篩選器阻止 FTP 資料流, 或者在指定撥號介面上新增篩選器, 並只開放與網頁或電子郵件相關資料流如果連線已經是開通狀態, 那麼其他類型的資料流可以通過 ; 但如果 RRAS 尚未開通, 那麼其他類型的資料流將無法令 RRAS 開啟連線 ( 在本章設定 TCP/IP 封包篩選器一節將會深入討論 )

Chapter 5 管理路由及遠端存取 245 在單點傳播路由裡, 一台機器可直接傳送封包到某個目的地位址在多點傳播路由裡, 一台機器則是傳送給整個網路 RRAS 支援這兩種方法網路位址轉譯 (Network Address Translation, NAT) 是一種服務, 其允許 LAN 裡多個用戶端共用單一的公共 IP 位址, 並連接至 Internet 真實案例 : 關於 NAT NAT 的優點之一是提供了路由功能 NAT( 亦稱網路偽裝 ) 允許路由器將 IP 位址轉譯成另一個例如, 假設有兩個網路 (10.10.0.0 和 192.168.1.0), 並設定各自的 TCP/IP 位址路由器可利用 NAT 讓使用者從 10.10.0.0 的網路連線到 192.168.1.0 的網路, 並得到該網路的有效 IP 位址基本上, 是 NAT 把 10.10.0.0 的位址替換成 192.168.1.0 的位址 NAT 也常用於 Internet 的連接例如, 假設 ISP 只分配 6 個有效的 Internet TCP/IP 位址供你的網路使用你可以建立 NAT 並設定程序, 讓 NAT 來使用這 6 個有效位址然後, 當一個使用者從網路來存取 Internet 時,NAT 便會將使用者的內部 IP 位址替換為這 6 個有效 IP 位址中的其中一個安裝 RRAS 欲使用 RRAS, 需在運作 Windows Server 2008 的電腦上安裝 RRAS 元件, 因為它們在預設上並沒有安裝可以透過 Server Manager MMC 的 Add Roles Wizard 進行安裝練習 5.1 帶領你完成安裝 RRAS 路由器的過程練習 5.1: 為 IP 路由安裝 RRAS 1. 開啟 Server Manager: 按下 Start Administrative Tools Server Manager 2. 在左側窗格中, 選擇 Roles ; 然後在右側窗格中, 按下 Add Roles 3. 在 Select Server Roles 頁面上, 勾選 Network Policy And Access Service 核取方塊, 並按 Next

246 MCTS 70-642 Windows Server 2008 Network Infrastructure Configuration 專業認證手冊練習 5.1: 為 IP 路由安裝 RRAS( 續 ) 4. 在 Introduction 頁面上, 按下 Next 5. 在 Select Role Services 頁面上, 勾選 Routing And Remote Access Services 核取方塊, 並按 Next

Chapter 5 管理路由及遠端存取 247 練習 5.1: 為 IP 路由安裝 RRAS( 續 ) 6. 在 Confirm Installation Selections 頁面上, 按下 Install 7. 在 Installation Results 頁面上, 確認完成安裝程序後, 請按 Close 8. 關閉 Server Manager 9. 開啟 Routing And Remote Access 嵌入式管理單元 : 選擇 Start Administrative Tools Routing And Remote Access 10. 在 MMC 的左側窗格裡, 選擇你想要設定的伺服器對著該伺服器按右鍵, 接著選擇 Configure And Enable Routing And Remote Access 於是出現 Routing And Remote Access Server Setup Wizard, 請按 Next

248 MCTS 70-642 Windows Server 2008 Network Infrastructure Configuration 專業認證手冊練習 5.1: 為 IP 路由安裝 RRAS( 續 ) 11. 在 Configuration 頁面上, 選擇 Secure Connection Between Two Private Networks 後, 按下 Next 12. Demand-Dial Connections 頁面出現後, 只詢問是否使用指定撥號連線 ; 你得在完成 Routing And Remote Access Server Setup Wizard 後, 將連線設定起來 ( 透過手動或是使用 Demand-Dial Wizard) 選擇 Yes 便會使用指定撥號連線接著按下 Next