Win2000請求撥號路由服務詳解

在實際工作中常常遇到需要將異地網絡連接起來的情況，針對這一問題我們首先想到的是，購買路由器，租用遠程連接線路。其實如果你的異地網絡已經采用Windows 2000 Server ，使用其免費提供的請求撥號路由服務，是一個較經濟的解決方案。 

一、Windows 2000的請求撥號路由 
　　Microsoft自Windows NT Server 4.0提供多協議路由(MPR Ver 1.0) 服務，到了1996 年 6 月，Microsoft又將NT4.0的路由和遠程訪問服務集成在了一起，并稱為“路由和遠程訪問”（Routing and Remote Aclearcase/" target="_blank" >ccess，RRA）服務，同時對MPR 1.0的功能進行了增強，并啟用了請求撥號連接的路由。到了Windows 2000 Server中的“路由和遠程訪問”服務，進一步添加IP多播、網絡地址轉換(NAT)及其他虛擬專用網絡 (VPN) 服務。使之成為“一個全功能的軟件路由器和一個開放式路由及互聯網絡平臺”。這樣，我們可以不購買專用路由器，利用Windows 2000的路由和遠程訪問服務實現LAN——LAN、LAN——WAN以及VPN的連接。 

　　在通常情況下我們把安裝并運行了Windows 2000路由和遠程訪問服務的計算機，稱為Windows 2000路由器。由于Windows 2000路由器支持基于有連接請求時撥號的WAN 連接路由選擇——請求撥號路由（Demand-dial Routing，DDR），讓我們得以利用非永久的遠程連接（如：電話線）實現網絡互聯。通過使用請求撥號接口，當路由器接收到路由的數據包時，路由器可以開始連接到遠程站點。只有當數據發送到遠程站點時，連接才成為活動的。當數據在指定的時間內沒有在連接上發送時，連接將斷開。顯然，請求撥號路由可以明顯地降低連接成本。 

二、請求撥號路由的安裝設置 
　　請求撥號路由和普通的路由就路由原理上沒有什么實質區別，但由于請求撥號路由使用動態連接線路（如：電話線、ISDN等）。結果導致請求撥號路由的安裝配置比傳統路由器更加復雜。為了清楚地說明Windows 2000路由器的安裝設置過程，下面用一個具體的應用為例介紹安裝步驟。 

　　案例說明：某飼料生產公司，公司總部設在A地，在B地和C地設立從事批發的業務部。要求總公司的若干授權用戶可以隨時掌握各地業務部的銷售情況。各地業務部局域網上的工作站可以查閱公司總部產品庫存情況，以及向生產部門直接下訂單。業務部之間不需直接連接?？紤]業務性質和公司的承受能力擬采用請求撥號路由器，使用公用電話網實現互連。 

　　網絡配置：在A、B、C三地均設一臺運行Windows 2000 Server的計算機，在這三臺服務器上都安裝Windows 2000的路由和遠程訪問服務，扮演請求撥號路由器。三個網絡之間的通訊采用TCP/IP協議。 

　　總公司所在A地網絡（以后稱為A網）的IP地址為192.168.1.0 ，其中Windows 2000 Server計算機(以后稱為A路由器)的IP地址為192.168.1.1，子網掩碼255.255.255.0，A路由器的調制解調器使用的電話號碼為0551-2875576。對于A網絡的其他用戶默認網關均設為“192.168.1.1”。 

　　B地業務部的網絡（以后稱為B網）的IP地址為192.168.2.0 ，其中Windows 2000 Server計算機(以后稱為B路由器)的IP地址為192.168.2.1，子網掩碼255.255.255.0，在其調制解調器使用的電話號碼為0552-4657321。B網的其他用戶默認網關均設為“192.168.2.1”。 

　　同樣，C地業務部的網絡（以后稱為C網）的IP地址為192.168.3.0 ，C路由器的IP地址為192.168.3.1，在其調制解調器的電話號碼為0553-3777333。C網絡的其他用戶默認網關設為“192.168.3.1”。 

　　具體的網絡配置如圖1所示。 

　　安裝步驟：在默認情況下“路由和遠程訪問服務”組件已隨Windows 2000一同安裝，但該服務處于非激活狀態，需要手工啟用和配置。下面介紹的各路由器的安裝步驟，均認為已經安裝了TCP/IP協議，而且按圖1中的IP地址設好，調制解調器也已安裝完畢。 

 　　圖1 請求撥號路由配置 

　　1.配置A路由器的路由和遠程訪問服務 

　　步驟 1：以管理員組用戶登錄A路由器，再經由“管理工具”→“路由和遠程訪問”，屏幕將出現“路由和遠程訪問”窗口。選中該窗口左邊“樹”中的“本地”，然后從“操作”選單選“配置并啟用路由和遠程訪問...”項，屏幕出現“路由和遠程訪問服務安裝向導”歡迎窗，單擊“下一步”按鈕。 

　　步驟 2：從出現的“公共設置”中選擇“網絡路由器”項，再單擊“下一步”按鈕。 

　　步驟 3：選擇TCP/IP協議，作為路由協議，單擊“下一步”按鈕。 

　　步驟 4：屏幕將出現“你想使用請求撥號訪問遠程網絡嗎？”的詢問，選擇“是”，并單擊“下一步”按鈕。 

　　步驟 5：向導將會要求你指出如何對遠程客戶分配IP地址，選擇“來自一個指定的地址范圍”，你也可以選擇“自動”讓DHCP服務器或者遠程訪問服務器為你自動生成，按“下一步”。 

　　步驟 6：如在上一步選擇了指定遠程客戶的IP地址，你將在這步通過“新建”按鈕，設置遠程客戶靜態的IP地址（如：起始IP地址：192.168.1.80，結束IP地址：192.168.1.89）后，單擊“下一步”按鈕。 

　　步驟 7：單擊“完成”按鈕，激活A路由器“路由和遠程訪問服務”。 

　　2.創建A路由器的請求撥號接口 

　　步驟 1：在屏幕返回“路由和遠程訪問”窗口后，在窗口中的“路由接口”項上單擊鼠標右鍵，選中“新的請求撥號接口...”項，進入“請求撥號接口向導”，單擊“下一步”按鈕。 

　　步驟 2：在編輯框填入“接口名稱”(如：DR_B)，再單擊“下一步”按鈕。 

　　步驟 3：選擇連接類型，選中“使用調制解調器、ISDN適配器或其他設備連接”項，單擊“下一步”按鈕。 

　　步驟 4：從設備列表中選擇用來建立連接的設備（如：接在COM1口的調制解調器），然后單擊“下一步”按鈕（注意：如果用外置的調制解調器一定要事先打開，否則不出現此步驟）。 

　　步驟 5：填入調制解調器的呼叫B路由器的電話號碼（如：05524657321），單擊“下一步”按鈕。 

　　步驟 6：由于我們只用TCP/IP實現連接，所以在此步，僅標記“為此接口上的IP數據包選擇路由”項，單擊“下一步”按鈕。 

　　步驟 7：接下來屏幕將要求你設定連接到遠程路由器時此接口的撥出憑據，填寫“用戶名”（如：DR_A）和“密碼”，單擊“下一步”按鈕。 

　　步驟 8：單擊“完成”按鈕，至此結束A路由器一個請求撥號接口的建立。 

　　步驟 9：重復上述步驟1～8，添加一個“DR_C”端口，調制解調器的呼叫C路由器的電話號碼為0553-3777333，接口的撥出憑據用戶名為“DR_A”。 

 　　圖2 添加靜態路由 

　　3.創建A路由器的靜態路由 

　　步驟 1：返回“路由和遠程訪問”窗口后，在窗口左部“樹”中的“IP路由選擇”→“靜態路由”項上單擊鼠標右鍵，選中“靜態路由...”項，屏幕將出現如圖2所示對話框。 

　　步驟 2：在“接口”下拉列表中選擇“DR_B”，“目標”填入B網IP地址（192.168.2.0），“網絡掩碼”填255.255.255.0，“躍點數”（即路由度量）選擇1，單擊“確定”按鈕。 

　　步驟 3：重復步驟1～2，添加端口“DR_C”靜態路由，此時“目標”應填入C網IP地址（192.168.3.0）。 

　　4.新建A路由器的撥入許可用戶 

　　步驟 1：利用A路由器的“Active Directory用戶和計算機”添加用戶“DR_B”，需要注意：必須標記“用戶不能更改密碼”復選框，而用戶“密碼”與下面B路由器的撥出憑據用戶密碼必須相同。 

　　步驟 2：通過用戶“屬性”的“撥入”標簽，賦予用戶“遠程訪問權限”為“允許訪問”。 

　　步驟 3：重復步驟1～2添加用戶“DR_C”，賦予撥入許可。 

　　至此，路由器A設置完畢。 

　　5. B路由器和C路由器的設置 

　　具體步驟與A路由器基本相同，設置B路由器、C路由器時使用參數如下： 

　　請求撥號接口名稱：DR_A 

　　呼叫A路由器的電話號碼：05512875576 

　　B/C路由器接口的撥出憑據用戶名：DR_B/ DR_C（注意：必須與第2部分步驟2的接口名稱一致） 

　　B/C路由器接口的撥出憑據密碼：與A路由器上對應賬戶設置的密碼相同（第4部分的步驟1） 

　　請求撥號接口DR_A目標：192.168.1.0 

　　網絡掩碼：255.255.255.0 

　　躍點數：1 

　　最后在B路由器和C路由器上分別新建撥入許可用戶“DR_A”（注意：用戶名和密碼必須和第2部分的步驟7中A路由器的撥出憑據一致）。 
三、請求撥號路由的連接過程 
　　為了更深入理解請求撥號路由的工作過程，下面以實例中B網中的192.168.2.22工作站訪問 A網中的192.168.1.11上的庫存記錄時發生的事件順序，介紹請求撥號路由的具體工作過程。 

　　1.B網的192.168.2.22發向192.168.1.11的數據包被轉發到B路由器； 

　　2.B路由器接收到由192.168.2.22發來的數據包，并檢查自己的路由表，找到了一個通向192.168.2.22的路由，得知該路由使用 DR_A 接口； 

　　3.B路由器接著檢查 DR_A 請求撥號接口的狀態，發現它處于斷開狀態； 

　　4.B路由器進一步檢索獲取 DR_A接口的配置； 

　　5.B路由器使用DR_A接口的連接設備調制解調器撥 05512875576； 

　　6.A路由器應答由B路由器撥入的呼叫； 

　　7.A路由器要求驗證撥入的身份； 

　　8.B路由器將用戶名 DR_B 和密碼發送給A路由器； 

　　9.A路由器驗證B路由器傳來的用戶名和密碼，同時檢查該用戶是否允許撥入； 

　　10.A路由器搜索其請求撥號接口的列表，檢查撥入者是否真正要求創建請求撥號連接的路由器； 

　　11.A路由器找到與用戶名匹配的請求撥號接口DR_B, 將其狀態更改為連接狀態； 

　　12.B路由器將 192.168.2.22 處的數據包轉發到A路由器； 

　　13.A路由器接收數據包，并向192.168.1.11處的計算機轉發； 

　　14.192.168.1.11對192.168.2.22的連接請求作應答，轉發到A路由器； 

　　15.A路由器收到發往192.168.2.22 計算機的數據包，檢查自己的路由表，發現用DR_B可以找到通向192.168.1.11的路由； 

　　16.A路由器檢查 DD_B 接口的狀態，發現已經處于連接狀態； 

　　17.A路由器直接向B路由器轉發數據包； 

　　18.B路由器再將數據包轉發到 192.168.2.22 處的計算機中。 

　　以上就是B網和A網的一次請求通訊和應答過程，在此過程中關鍵是10.，如果找不到請求撥號接口名與用戶名稱憑據匹配，呼叫方不被認為是遠程訪問客戶，這將導致192.168.1.11不能應答192.168.2.22，造成路由故障。 

四、使用請求撥號路由的技巧 
　　使用Windows 2000 Server的請求撥號路由，目的是節省連接經費，實現網絡互連，但在實際使用時應注意它的特點，否則非但節約不了費用，還會給您的網絡帶來安全漏洞。下面列出請求撥號路由的一些技巧： 

　　1.注意適用范圍。請求撥號路由是一種非持續的連接，它比較適用于網絡間流量不大且連接時間有限的情況，例如實例中的查詢和定時上傳數據。 

　　2.使用靜態路由。典型的路由協議靠周期性公告過程來交換路由信息(如：IP RIP)，這種周期性公告路由可能會導致路由器每隔一定時間（如：30秒）呼叫其他路由器，從而大量增加電話費。而靜態路由是永久性的，即使接口斷開或者路由器重新啟動，它們仍保存在路由表中。 

　　3.使用單向啟動的請求撥號路由。如果你的連接總是由一個路由器發起，另一個總是作應答路由器，那么在應答路由器上配置的請求撥號接口，不用配置呼叫路由器的電話號碼或有效用戶憑據。這樣可以限制不必要的呼叫，減少連接費用，也提高了網絡的安全。 

　　4.應用請求撥號篩選器。此條非常重要，利用它可以方便地篩選允許建立連接的IP 通信類型，限制初始化請求連接。具體操作是通過對“路由接口”的設置實現。 

 　　圖3 連接端口狀態 

　　5.限制撥出時間。使用撥出時間控制許可或拒絕呼叫路由器，減少請求撥號連接的時間。它也是通過對“路由接口”設置實現。 

　　6.啟用遠程訪問策略。由于請求撥號路由通過公用通訊網絡傳播數據，所以對網絡的安全影響較大，這條要格外重視。我們一般通過創建遠程訪問策略，使用特定的身份驗證方法和使用強密碼等手段加強安全。 

　　7.監視請求撥號連接。在日常管理中，請求撥號接口的當前連接狀態可以從“路由和遠程訪問”中查看。圖3所示的就是192.168.2.22訪問192.168.1.11資源時，在A路由器的COM1端口看到的接口“狀態”情況，對話框中顯示諸多（如：線路速度、設備統計、連接統計和設備錯誤等）信息，在此你甚至可以斷開端口連接。 

　　綜上所述，我們可以得出請求撥號路由雖然設置較復雜，但具有硬件投入小、連接費用低的特點，只要有電話線就可以實現遠程的網絡連接。不過，對于需要持續的網絡間的聯接，請求撥號路由顯然不是適合的，使用電話線的請求撥號路由也不能用于需要高速連接的場合，這種情況下你最好還是采用傳統的專線+路由器的方案，如果你的每個異地網絡在Inte.net上均有固定的IP地址，則最好采用“路由器到路由器”的VPN。 

原文轉自：http://www.kjueaiud.com