深入理解路由和远程访问服务中的筛选器和基本防火墙

IP筛选器的属性如下图所示，你可以通过源网络、目标网络和协议来对IP数据包进行筛选器；你可以只设置源IP网络或目标网络，或者都不设置，根据协议来进行筛选。

对于源网络和目标网络的匹配，RRAS是按照以下原则进行：

将IP数据包的源IP地址和目的IP地址分别与IP筛选器中设置的源网络和目标网络的子网掩码进行相与操作，然后再和IP筛选器中的源网络的IP地址和目的网络的IP地址进行比较。

因此，对于筛选器的设置，子网掩码中设置为“0”的位，在IP地址中必须设置为“0”。这是为什么呢？因为在相与操作中，与“0”相与永远为“0”，因此任何IP地址和子网掩码的“0”位相与后均为“0”。而如果你设置的筛选器中IP地址对应的位却设置为“1”，那么你的筛选器将永远都得不到匹配，因此此筛选器就没有任何作用。如果你设置错误，则RRAS会提示你输入的IP地址和子网掩码不兼容，如下图所示：

因此，定义源网络和目标网络的方法为：

?定义某个IP地址时，使用子网掩码255.255.255.255。例如定义源网络为IP地址10.2.1.8，应采用子网掩码255.255.255.255；而10.2.1.0/24网络的子网广播地址，应采用IP地址10.2.1.255、子网掩码

255.255.255.255来定义。

?定义某个网络时，在子网掩码为“0”的位设置IP地址位为“0”。例如要定义网络10.2.1.0/24，则采用IP 地址10.2.1.0、子网掩码255.255.255.0来定义；要定义网络10.2.1.192/27，则采用IP地址10.2.1.192、子网掩码255.255.255.224来定义。

你还可以通过协议来进行筛选。在IP筛选器中，你可以设置为使用TCP、TCP（已建立的）、UDP、ICMP、其他指定协议号的IP协议或者任何IP协议来进行筛选。其中TCP和TCP（已建立的）区别在于是否已经建立好了TCP连接，这是IP筛选器的状态过滤功能。例如，对于一个从外部网络源端口80发送至本地网络目标端口1031的入站IP数据包，如果你入站筛选器中选择的协议类型为TCP（已建立的），那么只有当过去已经从本地端口1031和外部网络端口80创建了TCP连接时（即本地网络先访问了外部网络，这是外部网络返回的数据），此数据包才会匹配此IP筛选器；如果你协议类型选择为TCP，那么不管本地端口是否和远端端口已经创建了连接，均会匹配此IP筛选器。

此外，在路由和远程访问服务中，如果你启用了NAT/基本防火墙服务，则你可以对连接到Internet的公用接口设置基本防火墙。基本防火墙是一个具有状态过滤的防火墙，它的工作原理是这样的：基本防火墙会将每一个从专用网络（内部网络）发往公用接口的IP数据包记录到一个连接状态表中，当从公用接口接收到某个数据包时，基本防火墙将此数据包和连接状态表中的记录进行比较，如果比较结果显示是由专用网络发起的通讯，则允许此IP数据包；如果比较结果显示不是由专用网络发起的通讯，则丢弃此IP数据包。通过这种方式，基本防火墙可使来自公用网络的未经请求的通讯无法到达专用网络，保证了专用网络的安全。

基本防火墙类似于公用接口上的入站筛选器，但是和入站筛选器有些区别，主要在于：

?基本防火墙只能在公用接口上设置，而入站筛选器可以在专用网络接口上设置；

?基本防火墙比入站筛选器具有更高的优先级；

?基本防火墙配置更为简单。你在公用接口属性中的服务和端口、ICMP标签中的配置都会在基本防火墙上开放相应的协议和端口，但不会设置相应的入站筛选器；除此之外，基本防火墙不可配置。

?基本防火墙和入站筛选器是独立的，对于每一个入站IP数据包，必须同时基本防火墙和入站筛选器的设置，否则将被丢弃。

因此对于公用接口，当配置使用基本防火墙时，不建议再配置入站筛选器。

深入理解路由和远程访问服务中的筛选器和基本防火墙

在路由和远程访问服务中，具有两种筛选器：请求拨号筛选器和数据包筛选器。它们的配置方式是一样的，但是作用不同，针对的接口也不同。

请求拨号筛选器只是针对请求拨号接口，它在初始化请求拨号接口之前使用，作用为确定引起请求拨号初始化的IP数据包。当路由和远程访问服务接收到匹配某个请求拨号接口所设置的请求拨号筛选器的IP数据包时，会自动初始化此请求拨号连接，从而进行数据包的路由转发。配置的操作步骤为在RRAS管理控制台中展开服务器，然后点击网络接口，然后在右边窗口中右击请求拨号接口名，然后选择设置IP 请求拨号筛选器，如下图所示：

弹出的设置请求拨号筛选器窗口如下图所示，其中你可以选择仅为下面所设置的筛选器进行请求拨号或者为除了下面所设置的筛选器外的所有通信进行请求拨号，默认情况下，为所有通信初始化请求拨号连接。

而数据包筛选器用于IP数据包的过滤。数据包筛选器分为入站筛选器和出站筛选器，分别对应接收到的数据包和发出的数据包。对于某一个接口而言，入站数据包指的是从此接口接收到的数据包，而不论此数据包的源IP地址和目的IP地址；出站数据包指的是从此接口发出的数据包，而不论此数据包的源IP地址和目的IP地址。类似于请求拨号筛选器，你可以在入站筛选器和出站筛选器中定义RRAS只是允许筛选器中所定义的IP数据包或者允许除了筛选器中定义的IP数据包外的所有数据包，对于没有允许的数据包，RRAS将会丢弃此数据包。

配置Windows Server 2003作为网络间的路由器

在Windows服务器系统中，均提供了路由和远程访问（RRAS）服务。其实路由和远程访问服务是两部分功能的结合：路由服务和远程访问服务。通过RRAS提供的路由功能，你可以把你的Windows服务器配置为一台路由器。

RRAS中提供的路由服务主要有：

?不同网络间数据包的路由功能；

?静态路由支持；

?DHCP中继代理协议支持；

?NAT路由支持；

?IGMP、RIPv2、OSPF路由协议支持；

在这篇文章中，我主要给大家介绍一下如何配置Windows服务器作为不同网络间的路由器。Windows服务器是严格根据自己的路由表来决定如何对数据进行路由的。路由表是根据自己网络接口的配置而产生，并且可以通过手动配置静态路由或者从RIPv2、OSPF的动态路由协议获得更新。

查看系统的路由表的方式有两种：

?在命令提示符下运行route print命令；

?在RRAS管理控制台中查看路由表，具体操作方法为在RRAS管理控制台展开服务器名，然后展开IP路由选择，右击静态路由，选择显示IP路由表。

配置Windows Server 2003作为网络间路由器的过程非常简单：首先，你需要正确配置这台Windows服务器不同网络接口的TCP/IP属性，如IP地址、子网掩码、默认网关等等，然后点击管理工具下的路由和远程访问，在弹出的路由和远程访问管理控制台上，你可以看到服务器名左侧图标上有个红色向下的箭头，这表明服务器未运行。右击服务器名，然后选择配置并启用路由和远程访问，

在弹出的欢迎使用路由和远程访问服务器安装向导页，点击下一步；

在配置页，选择自定义配置，然后点击下一步；

在自定义配置页，选择LAN路由，然后点击下一步；

在正在完成路由和远程访问服务器安装向导页，点击完成；此时提示你是否开始RRAS服务，点击是，

等待几秒后，RRAS完成配置后自动开始运行，如下图所示，你可以看到，服务器名左侧的图标上有个绿色向上的箭头，这表明RRAS已经正常运行并提供路由服务了。

默认情况下RRAS只会路由本地局域网中的数据包。在RRAS提供请求拨号服务访问Internet时，你应该配置它同时路由请求拨号接口的数据包，配置方式为右击服务器名，选择属性，然后在常规标签中，选择用于局域网和请求拨号路由选择。不过此选项通常情况下无需你额外配置，在启用NAT服务并使用请求拨号接口时，会自动设置为此选项。

你可以在静态路由中创建静态路由，操作步骤为右击静态路由，选择新建静态路由，如下图所示：

你也可以在命令提示符下通过route add命令来添加静态路由。

其实Windows操作系统均具有数据包路由的功能，只是默认并未启用。你可以修改

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]

路径下的Dword键值IPEnableRouter

当它的值为1时，启用数据包路由功能，默认为0，即为不启用。

通过IPEnableRouter注册表键值启用路由功能和通过RRAS启用路由功能的区别在于RRAS除了提供路由功能外，还提供数据包筛选器的数据包过滤功能。关于数据包筛选器详细的信息，请参见深入理解路由和远程访问服务中的筛选器和基本防火墙一文。

子网掩码

子网掩码(subnet mask)是每个网管必须要掌握的基础知识，只有掌握它，才能够真正理解TCP/IP协议的设置。以下我们就来深入浅出地讲解什么是子网掩码。

IP地址的结构

要想理解什么是子网掩码，就不能不了解IP地址的构成。互联网是由许多小型网络构成的，每个网络上都有许多主机，这样便构成了一个有层次的结构。IP地址在设计时就考虑到地址分配的层次特点，将每个IP地址都分割成网络号和主机号两部分，以便于IP地址的寻址操作。

IP地址的网络号和主机号各是多少位呢？如果不指定，就不知道哪些位是网络号、哪些是主机号，这就需要通过子网掩码来实现。

子网掩码不能单独存在，它必须结合IP地址一起使用。子网掩码只有一个作用，就是将某个IP地址划分成网络地址和主机地址两部分。

子网掩码的设定必须遵循一定的规则。与IP地址相同，子网掩码的长度也是32位，左边是网络位，用二进制数字“1”表示；右边是主机位，用二进制数字“0”表示。只有通过子网掩码，才能表明一台主机所在的子网与其他子网的关系，使网络正常工作。

子网掩码的术语是扩展的网络前缀码不是一个地址，但是可以确定一个网络层地址哪一部分是网络号，哪一部分是主机号，1 的部分代表网络号，掩码为0的部分代表主机号。子网掩码的作用就是获取主机IP的网络地址信息，用于区别主机通信不同情况，由此选择不同路。其中A类地址的默认子网掩码为255.0.0.0；B类地址的默认子网掩码为255.255.0.0；C类地址的默认子网掩码为：255.255.255.0。

如何通过子网掩码来确定网络号或者网络地址？

通过IP 地址的二进制与子网掩码的二进制进行与运算进行定某个设备的网络地址，

也就是说通过子网掩码分辨一个网络的网络部分和主机部分子网掩码一旦设置，网络地址和主机地址就固定了。

相对于使用子网掩码来识别网络地址，早期的使用类别进行网络地址的分类存在着地址大量浪费的不足。

子网一个最显著的特征就是具有子网掩码。与IP地址相同，子网掩码的长度也是32位，也可以使用十进制的形式。例如，为二进制形式的子网掩码：11111111111111111111111100000000，采用十进制的形式为：255.255.255.0。

1.子网掩码的概念

子网掩码是一个32位地址，用于屏蔽IP地址的一部分以区别网络标识和主机标识，并说明该IP地址是在局域网上，还是在远程网上。

2.确定子网掩码数

用于子网掩码的位数决定于可能的子网数目和每个子网的主机数目。在定义子网掩码前，必须弄清楚本来使用的子网数和主机数目。

定义子网掩码的步骤为：

A、确定哪些组地址归我们使用。比如我们申请到的网络号为“210.73.a.b”，该网络地址为c类IP地址，网络标识为“210.73”，主机标识为“a.b”。

B、根据我们现在所需的子网数以及将来可能扩充到的子网数，用宿主机的一些位来定义子网掩码。比如我们现在需要12个子网，将来可能需要16个。用第三个字节的前四位确定子网掩码。前四位都置为“1”（即把第三字节的最后四位作为主机位，其实在这里有个简单的规律，非网络位的前几位置1原网络就被分为2的几次方个网络，这样原来网络就被分成了2的4次方16个子网），即第三个字节为“11110000”，这个数我们暂且称作新的二进制子网掩码。

C、把对应初始网络的各个位都置为“1”，即前两个字节都置为“1”，第四个字节都置为“0”，则子网掩码的间断二进制形式为：“11111111.11111111.11110000.00000000”

D、把这个数转化为间断十进制形式为：“255.255.240.0”

这个数为该网络的子网掩码。

3.IP掩码的标注

A、无子网的标注法

对无子网的IP地址，可写成主机号为0的掩码。如IP地址210.73.140.5，掩码为255.255.255.0，也可以缺省掩码，只写IP地址。

B、有子网的标注法

有子网时，一定要二者配对出现。以C类地址为例。

1.IP地址中的前3个字节表示网络号，后一个字节既表明子网号，又说明主机号，还说明两个IP地址是否属于一个网段。如果属于同一网络区间，这两个地址间的信息交换就不通过路由器。如果不属同一网络区间，也就是子网号不同，两个地址的信息交换就要通过路由器进行。例如：对于IP地址为210.73.140.5的主机来说，其主机标识为00000101，对于IP地址为210.73.140.16的主机来说它的主机标识为00010000，以上两个主机标识的前面三位全是000，说明这两个IP地址在同一个网络区域中，这两台主机在交换信息时不需要通过路由器进行。

10.73.60.1的主机标识为00000001，210.73.60.252的主机标识为11111100，这两个主机标识的前面三位000与011不同，说明二者在不同的网络区域，要交换信息需要通过路由器。其子网上主机号各为1和252。

2.掩码的功用是说明有子网和有几个子网，但子网数只能表示为一个范围，不能确切讲具体几个子网，掩码不说明具体子网号，有子网的掩码格式(对C类地址)。

子网掩码的表示方法

子网掩码通常有以下2种格式的表示方法：

1. 通过与IP地址格式相同的点分十进制表示

如：255.0.0.0 或255.255.255.128

2. 在IP地址后加上"/"符号以及1-32的数字，其中1-32的数字表示子网掩码中网络标识位的长度

如：192.168.1.1/24 的子网掩码也可以表示为255.255.255.0

子网掩码和ip地址的关系

注意这讲的都是有类网！

子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网络的根据。

最为简单的理解就是两台计算机各自的IP地址与子网掩码进行AND运算后，如果得出的结果是相同的，则说明这两台计算机是处于同一个子网络上的，可以进行直接的通讯。就这么简单。

请看以下示例：

运算演示之一：aa

I P 地址192.168.0.1

子网掩码255.255.255.0

AND运算(AND运算法则：1 与1 = 1 ,1 与0 = 0 ,0 与 1 = 0 ,0 与0 = 0 ,即当对应位均为1时结果为1，其余为0。)

转化为二进制进行运算：

I P 地址11000000.10101000.00000000.00000001

子网掩码11111111.11111111.11111111.00000000

AND运算

11000000.10101000.00000000.00000000

转化为十进制后为：

192.168.0.0

运算演示之二：

I P 地址192.168.0.254

子网掩码255.255.255.0

AND运算

转化为二进制进行运算：

I P 地址11000000.10101000.00000000.11111110

子网掩码11111111.11111111.11111111.00000000

AND运算

11000000.10101000.00000000.00000000

转化为十进制后为：

192.168.0.0

运算演示之三：

I P 地址192.168.0.4

子网掩码255.255.255.0

AND运算

转化为二进制进行运算：

I P 地址11000000.10101000.00000000.00000100

子网掩码11111111.11111111.11111111.00000000

AND运算

11000000.10101000.00000000.00000000

转化为十进制后为：

192.168.0.0

通过以上对三组计算机IP地址与子网掩码的AND运算后，我们可以看到它运算结果是一样的。均为192.168.0.0 所以计算机就会把这三台计算机视为是同一子网络，然后进行通讯的。我现在单位使用的代理服务器，内部网络就是这样规划的。

也许你又要问，这样的子网掩码究竟有多少了IP地址可以用呢？你可以这样算。

根据上面我们可以看出，局域网内部的ip地址是我们自己规定的（当然和其他的ip地址是一样的），这个是由子网掩码决定的通过对255.255.255.0的分析。可得出：

前三位IP码由分配下来的数字就只能固定为192.168.0所以就只剩下了最后的一位了，那么显而易见了，ip 地址只能有（2的8次方-1），即256-1=255一般末位为0或者是255的都有其特殊的作用。

那么你可能要问了:如果我的子网掩码不是255.255.255.0呢？你也可以这样做啊假设你的子网掩码是255.255.128.0

那么你的局域网内的ip地址的前两位肯定是固定的了

这样，你就可以按照下边的计算来看看同一个子网内到底能有多少台机器

1、十进制128 = 二进制1000 0000

2、IP码要和子网掩码进行AND运算

3、

I P 地址11000000.10101000.1*******.********

子网掩码11111111.11111111.10000000.00000000

AND运算

11000000.10101000.10000000.00000000

转化为十进制后为：

192 . 168. 128 . 0

4、可知我们内部网可用的IP地址为：

11000000.10101000.10000000.00000000

到

11000000.10101000.11111111.11111111

5、转化为十进制：

192 . 168.128.0 到192 . 168.255.255

6、0和255通常作为网络的内部特殊用途。通常不使用。

7、于是最后的结果如下：我们单位所有可用的IP地址为：

192.168.128.1-192.168.128.254

192.168.129.1-192.168.129.254

192.168.130.1-192.168.130.254

192.168.131.1-192.168.131.254

. . . . . . . . . . . . .

192.168.139.1-192.168.139.254

192.168.140.1-192.168.140.254

192.168.141.1-192.168.141.254

192.168.142.1-192.168.142.254

192.168.143.1-192.168.143.254

. . . . . . . . . . . . .

192.168.254.1-192.168.254.254

192.168.255.1-192.168.255.254

8、总数为(255-128+1)*(254-1+1) =128 * 254 = 32512

子网内包含的机器数目应该是2^n-2，比如说上面的子网掩码是255.255.128.0，那么他的网络号是17位，主机号是15位，只要主机号不全是0或者1就是可以的，所以ip地址是192.168.192.0(11000000.10101000.11000000.00000000)也允许，除掉全0全1，结果为2^15-2=32766,上面的落了好多地址

9、看看的结果是否正确

(1)、设定IP地址为192.168.128.1

Ping 192.168.129.233通过测试

访问http://192.168.129.233可以显示出主页

(2)、设定IP地址为192.168.255.254

Ping 192.168.129.233通过测试

访问http://192.168.129.233可以显示出主页

10、结论

以上证明我们的结论是对的。

现在你就可以看你的子网中能有多少台机器了

255.255.255.128

分解：

11111111.11111111.11111111.1000000

所以你的内部网络的ip地址只能是

xxxxxxxx.xxxxxxxx.xxxxxxxx.0???????

到

xxxxxxxx.xxxxxxxx.xxxxxxxx.01111111

子网掩码

(1)子网TCP/IP网间网技术产生于大型主流机环境中，它能发展到今天的规模是当初的设计者们始料未及的。网间网规模的迅速扩展对IP地址模式的威胁并不是它不能保证主机地址的唯一性，而是会带来两方面的负担：第一，巨大的网络地址管理开销；第二，网关寻径急剧膨胀。其中第二点尤为突出，寻径表的膨胀不仅会降低网关寻径效率（甚至可能使寻径表溢出，从而造成寻径故障），更重要的是将增加内外部路径刷新时的开销，从而加重网络负担。

因此，迫切需要寻求新的技术，以应付网间网规模增长带来的问题。仔细分析发现，网间网规模的增长在内部主要表现为网络地址的增减，因此解决问题的思路集中在：如何减少网络地址。于是IP网络地址的多重复用技术应运而生。

通过复用技术，使若干物理网络共享同一IP网络地址，无疑将减少网络地址数。

子网编址（subnet addressing）技术，又叫子网寻径（subnet routing），英文简称subnetting，是最广泛使用的IP网络地址复用方式，目前已经标准化，并成为IP地址模式的一部分。一般的，32位的IP地址分为两部分，即网络号和主机号，我们分别把他们叫做IP地址的“网间网部分”和“本地部分”。子网编址技术将本地部分进一步划分为“物理网络”部分和“主机”部分，如图：网间网部分物理网络主机

|←网间网部分→|←————本地部分—————→|

|←物理网络→|←—主机部分——→|

其中“物理网络”用于标识同一IP网络地址下的不同物理网络即是“子网”。

(2)子网掩码IP协议标准规定：每一个使用子网的网点都选择一个32位的位模式，若位模式中的某位置1，则对应IP地址中的某位为网络地址（包括网间网部分和物理网络号）中的一位；若位模式中的某位置0，则对应IP地址中的某位为主机地址中的一位。例如位模式：

11111111 11111111 11111111 00000000中，前三个字节全1，代表对应IP地址中最高的三个字节为网络地址；后一个字节全0，代表对应IP地址中最后的一个字节为主机地址。这种位模式叫做子网模（subnet mask）或“子网掩码”。

为了使用的方便，常常使用“点分整数表示法”来表示一个IP地址和子网掩码，例如c类地址子网掩码（11111111 11111111 11111111 00000000）为：255.255.255.0 IP协议关于子网掩码的定义提供一种有趣的灵活性，允许子网掩码中的“0”和“1”位不连续。但是，这样的子网掩码给分配主机地址和理解寻径表都带来一定困难，并且，极少的路由器支持在子网中使用低序或无序的位，因此在实际应用中通常各网点采用连续方式的子网掩码。像255.255.255.64和255.255.255.160等一类的子网掩码不推荐使用。

(3)子网掩码与IP地址子网掩码与IP地址结合使用，可以区分出一个网络地址的网络号和主机号。

例如：有一个C类地址为：192．9．200．13其缺省的子网掩码为：255．255．255．0则它的网络号和主机号可按如下方法得到：

①将IP地址192．9．200．13转换为二进制11000000 00001001 11001000 00001101

②将子网掩码255．255．255．0转换为二进制11111111 11111111 11111111 00000000

③将两个二进制数逻辑与（AND）运算后得出的结果即为网络部分

11000000 00001001 11001000 00001101 AND 11111111 11111111 11111111 00000000

11000000 00001001 11001000 00000000结果为192.9.200.0，即网络号为192.9.200.0。

④将子网掩码取反再与IP地址逻辑与（AND）后得到的结果即为主机部分11000000 00001001 11001000 00001101 AND 00000000 00000000 00000000 11111111 00000000 00000000 00000000 00001101结果为0.0.0.13，即主机号为13。

(完整版)防火墙和路由器的区别

防火墙和路由器的区别目前市面上的路由器基本都带有简单的防火墙功能，不论是消费级还是企业级，可以实现一些诸如包过滤，IP过滤这样的功能。所以有些用户就开始质疑硬件防火墙的存在价值。那么我们就来详细的比较一下这两设备有什么差别。一、背景路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网段的数据包进行有效的路由管理，路由器所关心的是：能否将不同的网段的数据包进行路由从而进行通讯。防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点，重点是这个数据包是否应该通过、通过后是否会对网络造成危害。二、目的路由器的根本目的是：保持网络和数据的“通”。防火墙根本的的目的是：保证任何非允许的数据包“不通”。三、核心技术路由器核心的ACL列表是基于简单的包过滤，属于OSI第三层过滤。从防火墙技术实现的角度来说，防火墙是基于状态包过滤的应用级信息流过滤。内网的一台服务器，通过路由器对内网提供服务，假设提供服务的端口为TCP 80。为了保证安全性，在路由器上需要配置成：只允许客户端访问服务器的TCP 80端口，其他拒绝。这样的设置存在的安全漏洞如下： 1、IP地址欺骗（使连接非正常复位） 2、TCP欺骗（会话重放和劫持）存在上述隐患的原因是，路由器不能监测TCP的状态。如果在内网的客户端和路由器之间放上防火墙，由于防火墙能够检测TCP的状态，并且可以重新随机生成TCP的序列号，则可以彻底消除这样的漏洞。同时，有些防火墙带有一次性口令认证客户端功能，能够实现在对应用完全透明的情况下，实现对用户的访问控制，其认证支持标准的Radius协议和本地认证数据库，可以完全与第三方的认证服务器进行互操作，并能够实现角色的划分。 3.安全策略

远程访问OPC服务器设置

远程访问OPC服务器设置 OPC客户端一方面可以访问本机上的OPC服务器，另一方面，它还可以利用微软的DCOM机制，通过网络来访问其它计算机上的OPC服务器，从而达到远程数据连接的目的。访问本地服务器比较简单，只要检索本地的OPC服务器，并配置相应的组(Group)和数据项(Item)即可，通过网络访问时需要考虑较多的网络连接因素，大体上来说大概有如下的几个需要配置的方面(以WINXP Xp2为例)：一. 运行OPC客户端的计算机和运行OPC服务器的计算机需要彼此能互相访问。 1.1要保证其物理连接，也就是网线正确的连接着两台计算机。 1.2在这两台计算机上分别建立同一个账号及密码，比如用户名[opcuser]，密码[123456](注意：用户密码最好不要设置为空)，在这两台计算上使用这个账户都可以登录系统。关于增加账号及密码请参考对应Windows操作系统的帮助文档。 1.3启用各自Windows操作系统的Guest权限。完成上面几步后，应该达到的效果是：从任何一台计算机搜索另一台计算机，都可以搜索到，并且可以访问对方计算机的共享目录及共享打印机等资源。如下图：即便用户没有共享任何东西，也会显示空的共享文件夹，而不会产生诸如”不能访问”

等信息。如果不能访问对方的计算机，首先用ping命令来保证网络的连通，如果必要的情况下，可以关闭这两台计算机的防火墙(无论是winxp xp2自带的防火墙还是专用的防火墙)以及杀毒软件，以杜绝可能产生的问题。如果访问另一台计算机产生”拒绝访问”的错误，可从网络查找相关资源进行解决。二. 配置OPCServer所在的计算机 2.1 注册OPCEnum.exe。 opcenum.exe是运行在服务器端的用于枚举本机OPC服务器的服务程序，由OPC基金会提供。注册opcenum有如下几种方式：a)将opcenum.exe拷贝到系统目录下，然后用命令行运行opcenum /regserver 来注册它。b)安装一些OPC服务器程序时会自动安装并注册这个服务程序，比如iconics的模拟OPC服务器程序。c)运行OPC基金会的OPC Core Redistributable安装包，其中包含必要的模块程序。考虑到远程访问OPC服务器应用较少，以及opcenum.exe对一般用户在系统安全方面带来的混淆，在HMIBuilder中的OPC服务器本身不带OPCEnum.exe，用户根据自己的需要自行注册。 2.2 配置本机的DCOM安全 2.2.1 在命令行运行dcomcnfg，如下图：产生配置界面如下：

路由器防火墙的设置方法

路由器防火墙的设置方法对于大多数企业局域网来说，路由器已经成为正在使用之中的最重要的安全设备之一。一般来说，大多数网络都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。经过恰当的设置，边缘路由器能够把几乎所有的最顽固的坏分子挡在网络之外。如果你愿意的话，这种路由器还能够让好人进入网络。不过，没有恰当设置的路由器只是比根本就没有安全措施稍微好一点。在下列指南中，我们将研究一下你可以用来保护网络安全的9个方便的步骤。这些步骤能够保证你拥有一道保护你的网络的砖墙，而不是一个敞开的大门。 1.修改默认的口令! 据卡内基梅隆大学的CERT/CC(计算机应急反应小组/控制中心)称，80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。你可以肯定在某些地方的某个人会知道你的生日。https://www.360docs.net/doc/bb2954746.html,网站维护一个详尽的可用/不可用口令列表，以及一个口令的可靠性测试。 2.关闭IP直接广播(IP Directed Broadcast) 你的服务器是很听话的。让它做什么它就做什么，而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中，攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。参考你的路由器信息文件，了解如何关闭IP直接广播。例如，“Central(config)#no ip source-route”这个指令将关闭思科路由器的IP直接广播地址。 3.如果可能，关闭路由器的HTTP设置正如思科的技术说明中简要说明的那样，HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而，遗憾的是，HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。虽然这种未加密的口令对于你从远程位置(例如家里)设置你的路由器也许是非常方便的，但是，你能够做到的事情其他人也照样可以做到。特别是如果你仍在使用默认的口令!如果你必须远程管理路由器，你一定要确保使用SNMPv3以上版本的协议，因为它支持更严格的口令。 4.封锁ICMP ping请求 ping的主要目的是识别目前正在使用的主机。因此，ping通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收ping请求的应答能力，你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”(script kiddies)。请注意，这样做实际上并不能保护你的网络不受攻击，但是，这将使你不太可能成为一个攻击目标。 5.关闭IP源路由 IP协议允许一台主机指定数据包通过你的网络的路由，而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是，这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网络进行镜像，或者用于攻击者在你的专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障，否则应该关闭这个功能。

内网通过路由器端口映射实现外网的远程访问

宽带路由器端口映射远程控制电脑利用宽带路由器端口映射或者是DMZ主机，再配合微软自带的终端服务实现在家里远程操作办公室电脑。图解宽带路由器端口映射远程控制电脑，关于很多的宽带路由器端口映射问题，都是涉及到远程控制电脑的，所以要先了解远程控制电脑的一些基本知识才能为以后的日志配置做好准备。宽带路由器端口映射方案一：由于小李的电脑在局域网内，只有利用反弹型远程控制软件（如：灰鸽子等）；但是，考虑到它属于后门程序，使用也比较复杂，便放弃这个方案。宽带路由器端口映射方案二：利用宽带路由器端口映射或者是DMZ主机，再配合微软自带的终端服务实现在家里远程操作办公室电脑。宽带路由器端口映射实现步骤： 1、查看小李办公室电脑IP网关地址（一般情况下网关地址就是路由器LAN口地址，这个就是要访问的内网电脑），在浏览器里面输入http://192.168.1.1。输入相应的用户以及密码进入路由器（默认情况下都是admin），如下图所示：

2、依次点击网络参数——WAN口设置。一般情况下WAN口连接类型是PPPoE，请注意选定“自动连接，在开机和断线后自动进行连接”，再点击保存，如下图所示：

3、为了方便，不使用第二步，直接点击设置向导：如下图点击下一步，出现：如果是宽带拨号上网选择第二个，PPPoE（ADSL虚拟拨号），下一步输入上网账号和密码：

输入完成，点击下一步，设置无线上网账号和密码：完成： 4、接下来设置路由器映射：依次点击转发规则——虚拟服务器，添加端口和IP地址

继续添加远程桌面端口3389。同时，还可以通过DMZ主机实现；但是，这个方法有很大的风险，容易受到来自外部的攻击。打开DMZ主机的方法如下；依次点击转发规则——DMZ主机，填写相应的IP地址，并勾选启用，如下图所示： 5、在上图中，我们看到了553端口对应的IP为：192.168.1.9；而3389端口对应的IP为：192.168.1.168。其原因在于，系统不可能为不同的IP转发相同的端口，我们可以通过修改一些电脑的服务端口，来实现分别为不同用户可以在家里远程控制办公室电脑。（实现多个桌面远程控制） ◆修改终端服务端口号的方法如下，依次注册表：

配置远程访问服务

配置远程访问服务一、远程访问服务概述远程访问服务（Remote Access Servic，RAS）允许客户端通过拨号连接或虚拟专用连接登录网络。远程客户机一旦得到RAS服务器的确认，就可以访问网络资源，就好象客户机已经直接连接在局域网上一样。 1.远程访问连接方式远程访问服务适合的环境是：在各地有分公司和出差的员工需要访问总部网络的资源。Windows Servic 2003 远程访问服务提供了两种远程访问连接方式：拨号网络：通过使用电信提供商（例如电话、ISDN或）提供服务，远程客户端使用非永久的拨号连接到远程访问服务器的物理接口上，这时使用的网络就是拨号网络。例如：拨号网络客户端需要安装Modem，使用拨号网络拨打远程访问服务器某个端口的电话号码。虚拟专用网（Virtual Private NetWork，VPN）：VPN是穿越公用网络（如Internet）的、安全的、点对点连接。虚拟专用网客户端使用特定的，称为隧道协议的基于TCP/IP的协议，与虚拟专用网服务器建立连接。例如，虚拟网络客户端使用虚拟专用网连接（连接目标是IP地址）连接到与Internet相连的远程访问服务器上，验证呼叫方身份后，在虚拟专用网客户端和企业网络之间传送资料。这两种连接比专线连接，提供了低成本远程访问服务。拨号的远程访问是通过电话线传输资料，虽然传输速率不高，但是对于那些只有少数资料需要传输的用户，特别是在家庭中办公的用户来说是一个很好的方案。

使用虚拟专用连接不但提供了高的传输效率，而且降低了投资成本和维护成本。相对于拨号连接来说，它节约了通信费用，特别是对于外地的分公司来说，解决了一大笔长途电话的费用。 2.拨号网络组件 a、拨号网络客户端：拨号网络客户端，即远程访问客户端。 b、远程访问服务器：Windows Server 2003 远程访问服务器可以接收拨号连接，并且在远程访问客户机与远程访问服务器所在的网络之间进行资料传送。 c、WAN结构：RAS服务器与客户机之间可以建立不同类型的拨号连接，不同的连接类型提供了不同的速度。这些连接类型包括：公共交换电话网（Public Switch Telephone Network，PSTN）、综合业务数字网（Integrated Services Digital Network，ISDN）、非对称数字用户线（Asymmetric Digital Subscriber Line，ADSL）等。 d、远程访问协议：远程访问协议用来控制连接的建立以及资料在WAN链路上的传输。远程访问客户端与远程访问服务器上所使用的操作系统与LAN协议决定了客户机所能够使用的远程访问协议。Windows Server 2003远程访问支持3中类型的远程访问协议：点到点协议（point-to-point Protocol，PPP）是一种应用非常广泛的工业标准协议，它支持多个厂商的远程访问软件并支持多种网络协议，可以提供最佳的安全性能、多协议访问以及互操作性。串行线路网际协议（Serial Line Internet Protocol，SLIP）是一种在运行老式UNIX 操作系统远程访问服务器上使用的协议。 Microsoft RAS协议是一种在运行Microsoft操作系统远程访问客户机上使用的远程访问协议。 e、LAN协议：LAN协议是远程访问客户用来访问连接到远程访问服务器上的网络资源而使用的协议。Windows Server 2003中的远程访问服务支持TCP/IP、IPX以及NetBEUI等协议。 3.VPN组件通俗地讲，VPN就是基于公共网络（如Internet），在两个或两个以上的局域网之间创建传输资料的网络隧道。当传输资料通过网络隧道时，进行安全的VPN资料加密，从而确保了用户资料的安全性、完整性和真实性。要使用VPN远程访问，需将RAS服务用作VPN服务器。VPN服务器和客户机通过本地的Internet 服务提供商（Internet Service Provider，ISP）在Internet上建立虚拟点到点的连接，就像是客户机直接连接到服务器的网络上一样。 a、VPN的组成要素有： VPN客户端：VPN客户端可能是一台单独的计算机，也可能是路由器。一般的，VPN 客户端需要通过当地ISP连上公共网络（如Internet）以便和VPN服务器连接。 VPN服务器：接收VPN客户端VPN连接的计算机。该计算机一般是使用专线连接公共网络，有固定IP地址。隧道：连接中封装资料的部分

电脑网络基础知识：无线局域网、防火墙、交换机、路由器

电脑网络基础知识：无线局域网、防火墙、交换机、路由器 366小游戏https://www.360docs.net/doc/bb2954746.html,/ 无线局域网计算机局域网是把分布在数公里范围内的不同物理位置的计算机设备连在一起，在网络软件的支持下可以相互通讯和资源共享的网络系统。通常计算机组网的传输媒介主要依赖铜缆或光缆，构成有线局域网。但有线网络在某些场合要受到布线的限制：布线、改线工程量大；线路容易损坏；网中的各节点不可移动。特别是当要把相离较远的节点联结起来时，敷设专用通讯线路布线施工难度之大，费用、耗时之多，实是令人生畏。这些问题都对正在迅速扩大的联网需求形成了严重的瓶颈阻塞，限制了用户联网。 WLAN就是解决有线网络以上问题而出现的。WLAN利用电磁波在空气中发送和接受数据，而无需线缆介质。WLAN的数据传输速率现在已经能够达到11Mbps，传输距离可远至20km以上。无线联网方式是对有线联网方式的一种补充和扩展，使网上的计算机具有可移动性，能快速、方便的解决以有线方式不易实现的网络联通问题。与有线网络相比，WLAN具有以下优点：安装便捷：一般在网络建设当中，施工周期最长、对周边环境影响最大的就是网络布线的施工了。在施工过程时，往往需要破墙掘地、穿线架管。而WLAN最大的优势就是免去或减少了这部分繁杂的网络布线的工作量，一般只要在安放一个或多个接入点(Access Point)设备就可建立覆盖整个建筑或地区的局域网络。使用灵活：在有线网络中，网络设备的安放位置受网络信息点位置的限制。而一旦WLAN 建成后，在无线网的信号覆盖区域内任何一个位置都可以接入网络，进行通讯。经济节约：由于有线网络中缺少灵活性，这就要求网络的规划者尽可能地考虑未来的发展的需要，这就往往导致需要预设大量利用率较低的信息点。而一旦网络的发展超出了设计规划时的预期，又要花费较多费用进行网络改造。而WLAN可以避免或减少以上情况的发生。易于扩展：WLAN又多种配置方式，能够根据实际需要灵活选择。这样，WLAN能够胜任只有几个用户的小型局域网到上千用户的大型网络，并且能够提供像"漫游(Roaming)"等有线网络无法提供的特性。由于WLAN具有多方面的优点，其发展十分迅速。在最近几年里，WLAN 已经在医院、商店、工厂和学校等不适合网络布线的场合得到了广泛的应用。据权威调研机构Cahners In-Stat Group预计，全球无线局域网市场将在2000年至2004年保持快速增长趋势，每年平均增长率高达25%。无线局域网市场的网卡、接入点设备及其他相关设备的总销售额也将在2000年轻松突破10亿美元大关，在2004年达到21.97亿美元。网卡网络接口卡(NIC -Network Interface Card)又称网络适配器 (NIA-Network Interface Adapter)，简称网卡。用于实现联网计算机和网络电缆之间的物理连接，为计算机之间相互通信提供一条物理通道，并通过这条通道进行高速数据传输。在局域网中，每一台联网计算机都需要安装一块或多块网卡，通过介质连接器将计算机接入网络电缆系统。网卡完成物理层和数据链路层的大部分功能，包括网卡与网络电缆的物理连接、介质访问控制(如：CSMA/CD)、数据帧的拆装、帧的发送与接收、错误校验、数据信号的编/解码(如：曼彻斯特代码的转换)、数据的串、并行转换等功能。 Modem MODEM就是调制解调器。是调制器和解调器的合称。网友们通常戏称为"猫"。它是拨号上网的必备设备。通过Modem将计算机的数字信息变成音频信息才得以在电话线上传播。 Modem一般分内置和外置两种。内置式插入计算机内不占用桌面空间，使用电脑内部的电源，价格一般比外置式便宜。外置式安装简易，无需打开机箱，也无需占用电脑中的扩展槽。它有几个指示灯，能够随时报告Modem正在进行的工作。防火墙 1.什么是防火墙防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共

路由器和防火墙的选型

路由器和防火墙任务描述：了解路由器和防火墙的主要在定义、工作、功能及分类。背景知识： 1、什么是路由器？路由器的主要工作？路由器是互联网的主要节点设备，他可以连接不通传输速率并运行在不同环境下的局域网和广域网。路由器的主要工作：路由器工作在OSI模型的网络层，主要功能就是为经过路由器的每个数据选择最佳的路径。不想前面所讲的网桥和交换机，路由器是依靠与协议的。典型的路由器都带有自己的处理器、内存、电源和为各种不同类型的为网络连接器而准备的输入输出插座。其最重要的功能就是实现路由选择。 2、防火墙的功能和分类？防火墙是网络安全的屏障：一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低危机。由于只有经过精心选择的使用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保卫网络，这样外部的攻击者就不可能运用这些脆弱的协议来攻击内部网络。防火墙同时可以保卫网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。防火墙可以强化网络安全策略：通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全疑问分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。防火墙的种类防火墙技能可根据防备的形式和侧重点的不同而分为很多种类型，但总体来讲可分为二大类：分组过滤、使用代理。分组过滤（Packet filtering）：作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定能不能允

内网通过路由器端口映射实现外网的远程访问

宽带路由器端口映射远程控制电脑利用宽带路由器端口映射或者是DMZ主机，再配合微软自带的终端服务实现在家里远程操作办公室电脑。图解宽带路由器端口映射远程控制电脑，关于很多的宽带路由器端口映射问题，都是涉及到远程控制电脑的，所以要先了解远程控制电脑的一些基本知识才能为以后的日志配置做好准备。宽带路由器端口映射方案一：由于小的电脑在局域网，只有利用反弹型远程控制软件（如：灰鸽子等）；但是，考虑到它属于后门程序，使用也比较复杂，便放弃这个方案。宽带路由器端口映射方案二：利用宽带路由器端口映射或者是DMZ 主机，再配合微软自带的终端服务实现在家里远程操作办公室电脑。宽带路由器端口映射实现步骤： 1、查看小办公室电脑IP网关地址（一般情况下网关地址就是路由器LAN口地址，这个就是要访问的网电脑），在浏览器里面输入192.168.1.1。输入相应的用户以及密码进入路由器（默认情况下都是admin），如下图所示：

输入完成，点击下一步，设置无线上网账号和密码：完成： 4、接下来设置路由器映射：依次点击转发规则——虚拟服务器，添加端口和IP地址

继续添加远程桌面端口3389。同时，还可以通过DMZ主机实现；但是，这个方法有很大的风险，容易受到来自外部的攻击。打开DMZ主机的方法如下；依次点击转发规则——DMZ主机，填写相应的IP地址，并勾选启用，如下图所示：

远程访问服务器设置

远程访问服务器设置 1设置TCP/IP协议如果安装了多种网络协议，可以通过限制远程用户使用的网络协议来控制远程客户访问的网络资源。TCP/IP是最流行的LAN协议。对于TCP/IP协议来说"还需给远程客户分配IP地址以及其他TCP/IP配置，如DNS服务器和WINS服务器、默认闷关等。打开[路由和远程访问服务]控制台，在目录树中选择相应的服务器，单击鼠标右键，从弹出的快捷菜单中选择[属性]打开属性设置对话框，切换到如图4.43所示的[IP]选项卡，设置IP选项。 1.允许远程客户使用TCP/IP协议

选中[允许基于IP的远程访问和请求拨号连接]复选框，将允许远程访问客户机使用IP协议来访问服务器。如果清除此项，使用IP协议的客户端将不能连接远程访问服务器。 2.限制远程客户访问的网络范围如果希望基于即的远程访问客户机能够访问到远程访问服务器所连接的网络，应选中[启用IP路由]复选框，激活路由功能。如果清除该选项。使用IP协议的客户机将只能访问远程访问服务器本身的资源，而不能访问网络中的其他资源。 3.向远程客户机指派lP地址每个通过PPP连接到Windows2000远程访问服务器的远程计算机，都会被自动提供一个IP地址。远程访问服务器获得分配给远程访问客户机的IP地址有两种方式。通过DHCP服务器获得。由管理员指派给远程访问服务器的静态IP地址范围。远程访问服务器也会从获得的IP地址中留出一个自己使用。在[IP]选项卡的[IP地址分配]区域中设置向远程客户机分配IP地址的方式和范围。通过DHCP服务器分配IP地址如果选择[动态主机配置协议]单选钮。将由DHCP服务器为远程客户指定IP地址。远程访问将从DHCP服务器上一次性获得10个IP 地址，如图4.44所示。远程访问服务器将从DHCP获得的第一个IP 地址留给自己使用，并且在与基于TCP/IP的远程访问客户机连接时，

华为路由器防火墙配置

华为路由器防火墙配置一、access-list 用于创建访问规则。 (1)创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] (2)创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source- mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] (3)删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。 listnumber1 是1到99之间的一个数值，表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值，表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念;为IP时

有特殊含义，代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。 operator[可选] 端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有:等于(eq) 、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range，则后面需要跟两个端口。 port1 在协议类型为TCP或UDP时出现，可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。 port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或 0~65535之间的一个数值。 icmp-type[可选] 在协议为ICMP时出现，代表ICMP报文类型;可以是关键字所设定的预设值(如echo- reply)或者是0~255之间的一个数值。 icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码，是0~255之间的一个数值。 log [可选] 表示如果报文符合条件，需要做日志。 listnumber 为删除的规则序号，是1~199之间的一个数值。

配置远程访问服务

第五章实验报告实验任务： (1) 一、RAS+DC+PPTP (1) 1．建立共享目录发布到活动目录 (1) 2．远程客户端访问活动目录资源 (1) 二、RAS+DC+PPTP高级设置 (1) 1．设置用户通过远程访问策略拨入 (1) 2．设置远程访问策略 (1) ?限制拨入时间 (1) ?限制拨入的组 (1) ?限制验证方法 (1) ?设置加密方法 (1) 实验要求： (1) 1．完成以上实验配置 (1) 2．要求截图 (1) 实验操作过程： (2) 一、RAS+DC+PPTP (2) 1．配置路由和远程访问服务器 (2) 2．新建拨号用户 (3) 3．验证 (4) 二、RAS+DC+PPTP高级设置 (5) 1．用户拨入属性设置 (5) 2．验证 (7) 3．设置验证方法 (8) 4．设置加密方法 (9) 实验任务：一、RAS+DC+PPTP 1．建立共享目录发布到活动目录 2．远程客户端访问活动目录资源二、RAS+DC+PPTP高级设置 1．设置用户通过远程访问策略拨入 2．设置远程访问策略 ?限制拨入时间 ?限制拨入的组 ?限制验证方法 ?设置加密方法实验要求： 1．完成以上实验配置 2．要求截图

实验操作过程：一、RAS+DC+PPTP 操作步骤： 1．配置路由和远程访问服务器配置路由和远程访问服务→远程访问（拨号域VPN）→选择“VPN”→选择外部网络连接，如图1-1所示：图1-1 选择“来自一个指定的地址范围”→设置地址池的范围，如图1-2所示：

图1-2 2．新建拨号用户在RAS服务器上建立用户“shadow”并设置拨入权限，如图1-3所示：

桥接模式与路由模式区别

桥接模式与路由模式区别早期国内的ADSL线路接入都是桥接方式，由ADSL MODEM和电脑配合，在电脑上分配固定IP地址，开机就能接入局端设备进入互联网。但是这样在用户不开机上网时，IP是不会被利用，会造成目前日益缺少的公网IP资源的浪费，因此出现了PPPoE拨号的ADSL接入。 PPPoE拨号可以使用户开机时拨号接入局端设备，由局端设备分配给一个动态公网IP，这样公网IP紧张的局面就得到了缓解。目前国内的ADSL上网方式中，基本上是PPPoE拨号的方式。PPPoE 拨号出现以后，ADSL的接入设备——ADSL MODEM(ADSL调制解调器)就有一个新的兄弟产品，叫做ADSL ROUTER(ADSL路由器)。这种设备具有ADSL MODEM的最基本的桥接功能，所以个别产品也叫ADSL BRIDGE/ROUTER(ADSL桥接路由器)，俗称为“带路由的ADSL MODEM”。 ADSL ROUTER 具有自带的PPPoE拨号软件，并能提供DHCP服务，RIP-1路由等功能，因此它被移植了少量的路由器的功能。但是，并不是说PPPoE拨号就没有桥接，常见的这类组网有如：ADSL MODEM + PPPoE拨号软件(如EnterNet 300)。有个别地方的电信营运商仍主推一般的ADSL MODEM，这样就没有路由功能，实际上就是不鼓励用户“一线多机”。但是，现在的ADSL接入设备生产商竞争实在激烈，所以ADSL MODEM已基本停产，而转生产ADSL ROUTER，这就是现在所称的大多数的ADSL MODEM都“带路由”的原因，也就是ADSL 接入设备基本是ADSL ROUTER。由于组网方案的不同，ADSL ROUTER就有了桥接模式和路由模式的工作模式。若是有少量客户机的家庭用户或SOHO用户，就可以直接用PPPOE ROUTED——路由模式，由ADSL ROUTER来进行PPPoE拨号并进行路由。也可以用RFC 1483 BRIDGED，然后接入PC，在PC上运行PPPOE拨号软件进行拨号，或接入宽带路由器，由宽带路由器的内置PPPOE拨号工具进行拨号。若是在多用户环境，客户机的数量较多时，如：网吧、企业、社区，往往是ADSL ROUTER 加宽带路由器的组网形式，这时多数会让ADSL ROUTER工作在桥接模式下，由宽带路由器来进行拨号功能，并承担路由的工作，这是因为ADSL ROUTER的路由能力较低，在处理大数量客户机的路由请求时会出现性能下降或产生死机故障。所以说，桥接模式和路由模式其实是针对于ADSL ROUTER来说的。什么是桥接模式 ADSL ROUTER桥接模式有个正式专业的名称叫做RFC1483 桥接。RFC1483标准是为了实现在网络层上多协议数据包在ATM网络上封装传送而制定的，现已被广泛用于ATM技术中，成为在ATM网络上处理多协议数据包的封装标准。

路由防火墙

路由器防火墙功能应用实例企业用户使用路由器共享上网，常常需要对内网计算机的上网权限进行限制，如限制某些计算机不能上网，限制某些计算机可以收发邮件但是不可以浏览网页，限制计算机不能访问某个站点，而一些计算机有高级权限，不受任何限制。路由器具有防火墙功能，功能可以灵活组合成一系列控制规则，形成完整的控制策略，有效管理员工上网，能方便您对局域网中的计算机进行进一步管理。“数据包过滤”功能可以控制局域网中计算机对互联网上某些网站的访问；“MAC地址过滤”是通过MAC地址过滤来控制局域网中计算机对Internet的访问；“域名过滤”可以限制局域网中的计算机对某些网站的访问。下面以TL-R490路由器为例，说明设置的方法。局域网内有8台计算机，计算机1（IP:192.168.1.2）不能上网，计算机2（IP:192.168.1.3）可以收发邮件但是不可以浏览网页，计算机3（IP:192.168.1.4）不能访问这个站点（219.134.132.61），计算机4（IP:192.168.1.5）不可以收发邮件但是可以浏览网页，其他计算机不受任何限制。以下是通过数据包过滤的方式对访问互联网的权限进行设置，因为对于其他的计算机是不做任何限制，所以把缺省过滤规则设置为允许通过；如果不允许其他计算机上网，那么应该把缺省过滤规则设为禁止通过(当然你的IP过滤条目的操作方法应该是允许通过的)：

上面的第一条条目的是让计算机都能够通过DNS服务器解释到某个域名的IP地址，这样电脑才能够正常连接，当然本例不添加也行，因为默认规则是允许通过。在缺省过滤规则是禁止通过的情形下这个条目是一定要添加上去。对于限制某些计算机不能上网的情况，除了上面介绍的“数据包过滤”设置外，还可以通过“MAC地址过滤”方式实现。 FTP端口服务对应表： --21 ， HTTP（浏览网页）---80，SMTP（发送邮件）---25，POP（接收邮件）----110，DNS(域名服务)--------53。其他配置 1）安全设置当可以正常上网了，可能出于不同的原因，您想要对内部局域网的电脑上网操作，开放不同的权限，比如只允许登录某些网站、只能收发E-mail、一部分有限制、一部分不限制；用户在这方面需求差异较大，有些通过路由器可以实现，有些用路由器是没办法完全实现的，比如“IP地址和网卡地址绑定”这个功能，路由器不能完全做到；我们上网的操作，其实质是电脑不断发送请求数据包，这些请求数据包必然包含一些参数比如：源IP、目的IP、源端口、目的端口等等；路由器正是通过对这些参数的限制，来达到控制内部局域网的电脑不同上网权限的目的；下面我们会列举具有代表性的配置举例，来说明路由器“防火墙设置”、“IP地址过滤”这些

转发点对点隧道协议(PPTP)到路由和远程访问服

转发点对点隧道协议(PPTP)到路由和远程访问服务(RRAS)在RV016、RV042、RV042G和RV082 VPN路由器客观点对点隧道协议(PPTP)是实现VPN方法。 PPTP使用在传输控制协议(TCP)的一条在点对点协议(PPP)信息包的控制通道和通用路由封装(GRE)。路由和远程访问服务(RRAS)是该的服务器软件enable (event)功能的服务器作为网络路由器。当PPTP转发到RRAS时，允许RRAS服务器能控制转发PPTP的网络。本文目标将解释如何转发点对点隧道协议(PPTP)到路由和远程访问服务(RRAS)。可适用的设备 ?RV016 ?RV042 ?RV042G ?RV082 转发PPTP到RRAS 步骤1.登陆到Web配置工具并且选择设置>转发。转发页的视图如下所示。 Step 2.从服务下拉列表，请选择点到点隧道协议的PPTP。第 3 步：在IP Address字段，请输入主机VPN服务服务器的IP地址。IP地址需要是从相同子网(您能使用子网计算器验证)。第 4 步：检查Enable复选框对enable (event)在VPN路由器的端口范围转发。步骤5.点击添加列出。步骤6.点击“Save”。带宽配置

带宽管理测量和控制关于网络链路的通信。带宽管理在比特/秒(bps)或字节被测量每秒(Bps)。带宽配置设置允许上行和下行数据流，以及服务质量(QoS)设置多种流量类型的。第 1 步：在Web配置工具中，请选择系统管理>带宽管理。带宽管理页打开： Step 2.对于类型，请点击速率控制单选按钮。第 3 步：检查广域网接口复选框在您要运用配置的接口字段的第 4 步：从服务下拉列表，请选择GRE。GRE是一个封装的协议使用的内部的虚拟点对点链接和要求转发PPTP到RRAS。第 5 步：在IP字段，请输入服务器将使用IP地址的可适用的范围。第6.步。从方向下拉列表，请选择下行。第 7 步：在Min. Rate字段，请在带宽的Kbit/sec输入最低速率。第8.步。在最大。对字段估计，在带宽的Kbit/sec输入最大速率。第9.步。检查Enable (event)对带宽管理调节创建的enable (event)。步骤10.点击添加列出。

PCS7远程访问OPC服务器设置

OPC服务器设置 OPC客户端一方面可以访问本机上的OPC服务器，另一方面，它还可以利用微软的DCOM机制，通过网络来访问其它计算机上的OPC服务器，从而达到远程数据连接的目的。访问本地服务器比较简单，只要检索本地的OPC服务器，并配置相应的组(Group)和数据项(Item)即可，通过网络访问时需要考虑较多的网络连接因素，大体上来说大概有如下的几个需要配置的方面(以WINXP Xp2为例)：一. 运行OPC客户端的计算机和运行OPC服务器的计算机需要彼此能互相访问。 1.1要保证其物理连接，也就是网线正确的连接着两台计算机。 1.2在这两台计算机上分别建立同一个账号及密码，比如用户名[opcuser]，密码[123456](注意：用户密码最好不要设置为空)，在这两台计算上使用这个账户都可以登录系统。关于增加账号及密码请参考对应Windows操作系统的帮助文档。 1.3启用各自Windows操作系统的Guest权限。完成上面几步后，应该达到的效果是：从任何一台计算机搜索另一台计算机，都可以搜索到，并且可以访问对方计算机的共享目录及共享打印机等资源。如下图：即便用户没有共享任何东西，也会显示空的共享文件夹，而不会产生诸如”不能访问”

路由和远程访问要点

网络现状：计算机中心机房共有计算机240台，已互连为局域网，希望访问校内资源时通过校园网接口，而访问外部资源时通过ADSL接口。解决： Windows XP和Windows 2003都自带ADSL宽带拨号程序，这里只要使用Windows 2003的“路由和远程访问”程序稍加配置，就可搞掂一切。 1、前提计算机一台（配置不用很高，只要能安装Windows 2003就行），安装有Windows2003操作系统，内插3块网卡，网卡1：连接内部局域网，IP：192.168.1.1，子网掩码：255.255.255.0，网关：空，DNS：空；网卡2：连接ADSL，IP：自动获取，DNS：自动获取；网卡3：连接校园网，IP：202.203.230.2，子网掩码：255.255.255.0，网关：202.203.230.1，DNS：202.203.220.2（假设校园网网段为202.203.220.0—202.203.230.0之间，DNS服务器为202.203.220.2）； 2、服务器配置 Step1.单击“开始”—“管理工具”—“路由和远程访问”，启动配置向导；选择本地服务器，单击“操作”—“配置并启用路由和远程访问”（图一）。单击“下一步”，选择“自定义配置”—“下一步”；复选“请求拨号连接（由分支办公室路由使用）”和“LAN 路由”—“下一步”—“完成”，即可启动路由和远程访问。 Step2.选择“网络接口”，单击“操作”—“新建请求拨号接口”—“下一步”—“下一步”，选择“使用以太网上的PPP（PPPoE）连接”—“下一步”—“下一步”，弹出“协议及安全措施”选项，去掉所有钩选，单击“下一步”，输入ADSL帐号和密码，“下一步”—“完成”。）。 Step3.新建一批处理文件route.bat，并把其快捷方式添加到“开始”—“程序”—“启动”下，编辑route.bat内容如下： cdroute delete 0.0.0.0

配置windows 2008 R2远程桌面授权,激活授权许可服务器

微软的终端服务客户端访问许可证 (TS CAL)有下面两种： TS 每设备 CAL TS 每用户 CAL 如果使用每设备授权模式，并且客户端计算机或设备初次连接到终端服务器，默认情况下，向该客户端计算机或设备颁发一个临时证书。在客户端计算机或设备第二次连接到终端服务器时，如果许可证服务器已激活，并且有足够的 TS 每设备 CAL 可用，许可证服务器将向该客户端计算机或设备颁发一个永久 TS 每设备 CAL。 TS 每用户 CAL 为一个用户授予通过无限数目的客户端计算机或设备访问终端服务器的权限。TS 授权不强制使用 TS 每用户 CAL。因此，无论许可证服务器上安装了多少个 TS 每用户 CAL，均可以建立客户端连接。但这并未使管理员免于考虑 Microsoft 软件许可条款对每个用户都需要有效的 TS 每用户 CAL 的要求。如果使用每用户授权模式，并且不是每个用户都有 TS 每用户 CAL，则违反了许可条款。我们将使用TS 每用户 CAL来配置。（1）首先，检查Remote Desktop Users组和TS Web Acess Computers的成员，如果没有“Domain Users”,则添加。把Domain Admins组添加到TS Web Administrators组中。注意：TS Web Acess Computers的成员就是组，而微软的帮助文件和官方网站的说明中都是加入计算机，显然是错误的。

（2）开始—运行，输入control system，选择“远程控制”。

选择“仅允许运行使用网络级别身份验证的远程桌面的计算机连接（更安全）”。“应用”。（3）在角色服务中添加“远程桌面授权”服务器角色