| INTERNET共享資源的方式越來越多,就大多數而言,DDN專線以其性能穩定、擴充性好的優勢成爲普遍採用的方式,DDN方式的連接在硬件的需求上是簡單的,僅需要一臺路由器(router)、代理服務器(proxyserver)即可,但在系統的配置上對許多的網絡管理人員來講是一個比較棘手的問題。下面以CISCO路由器爲例,筆者就幾種比較成功的配置方法作以介紹,以供同行借鑑: 一、直接通過路由器訪問INTERNET資源的配置 1.總體思路和設備連接方法一般情況下,單位內部的局域網都使用INTERNET上的保留地址: 10.0.0.0/8:10.0.0.0~10.255.255.255 172.16.0.0/12:172.16.0.0~172.31.255.255 192.168.0.0/16:192.168.0.0~192.168.255.255在常規情況下,單位內部的工作站在直接利用路由對外訪問時,會因工作站使用的是互聯網上的保留地址,而被路由器過濾掉,從而導致無法訪問互聯網資源。解決這一問題的辦法是利用路由操作系統提供的NAT(Network AddressTranslation)地址轉換功能,將內部網的私有地址轉換成互聯網上的合法地址,使得不具有合法IP地址的用戶可以通過NAT訪問到外部Internet。這樣做的好處是無需配備代理服務器,減少投資,還可以節約合法IP地址,並提高了內部網絡的安全性。 NAT有兩種類型:Single模式和global模式。 使用NAT的single模式,就像它的名字一樣,可以將衆多的本地局域網主機映射爲一個Internet地址。局域網內的所有主機對外部Internet網絡而言,都被看做一個Internet用戶。本地局域網內的主機繼續使用本地地址。 使用NAT的global模式,路由器的接口將衆多的本地局域網主機映射爲一定的Internet地址範圍(IP地址池)。當本地主機端口與Internet上的主機連接時,IP地址池中的某個IP地址被自動分配給該本地主機,連接中斷後動態分配的IP地址將被釋放,釋放的IP地址可被其他本地主機使用。 下面以我單位的網絡環境爲例,將配置方法及過程列示出來,供大家參考。 我單位利用聯通光纜(V.35)接入INTERNET的,路由器是CISCO2610,局域網採用的是INTEL550百兆交換機,聯通向我們提供了下列四個IP地址: 211.90.137.25(255.255.255.252) 用於本地路由器的廣域網端口 211.90.137.26(255.255.255.252) 用於對方(聯通)的端口 211.90.139.41(255.255.255.252) 供自己支配 211.90.139.42(255.255.255.252) 供自己支配 2. 路由器的配置 (1) 網絡連接示意圖: 說明:校內所有的工作站都與交換機連接,路由器也通過以太口連接在內部交換機上,路由器上以太口使用內部私有地址,光纖的兩端分別使用了聯通分配的兩個有效IP地址。在這種連接方式下,只要在路由器內部設置NAT,便可以使得單位內部的所有工作站訪問INTERNTE了,在每臺工作站上只需設置網關指向路由器的以太口(192.168.0.3)即可上網,無需設代理,並節省了兩個有效IP地址可供自己自由支配(如建立單位自已的WEB和E-MAIL服務器)。但也存在缺點:不能享受代理服務器提供的CACHE服務來提高訪問速度。所以本配置方案適合工作站數量較少的單位,對於單位內部工作站數量較多的情況可以使用後面介紹的兩種方法。路由器上具體配置如下: (2)路由器的配置 en config t ip nat pool c2610 211.90.139.41 211.90.139.42 netmask 255.255.255.252 (定義一個地址池c2601,其內包含了兩個空閒的合法IP地址,供NAT轉換時使用) int e0/0 ip address 192.168.0.3 255.255.255.0 ip nat inside exit (設置以太口的IP地址,並設置其爲連接內部網的端口) interface s0/0 ip address 211.90.137.25 255.255.255.252 ip nat outside exit (設置廣域網端口的IP地址,並設置其爲連接外部網的端口) ip route 0.0.0.0 0.0.0.0 211.90.137.26 (設置動態路由) access-list 2 permit 192.168.0.1 0.0.0.255 (建立訪問控制列表) ! Dynamic NAT ! ip nat inside source list 2 pool c2610 overload (建立動態地址翻譯) line console 0 exec-timeout 0 0 ! line vty 0 4 end wr (保存所作的設置) 3. 工作站的配置 要求使用靜態IP地址,在TCP/IP屬性中進行設置,並設置關網爲192.168.0.3(路由器以太口IP地址),設置DNS爲接入商提供的地址,瀏覽器等上網工具中無需作任何特殊設置。 二、通過代理服務器訪問INTERNET資源的配置 1. 總體的思路和設備連接方法 利用代理服務器方式訪問INTERNET資源,優點是可以利用代理服務器提供的CACHE服務來提高INTERNET的訪問速度和效率。比較適合工作站較多的單位使用。缺點是需要專門配備一臺計算機作爲代理服務器,增加了投資成本;且較第一種法方還需多佔用兩個合法IP地址,網絡安全性不高。 採用這種方案來訪問互聯網,設備連接方法如下: 代理服務器上安裝兩塊網卡,一塊連接內部網,設置內部私有地址;另一塊連接路由器以太口,設置聯通分配的合法地址(211.90.139.42),並設置其網關爲211.90.139.41(路由器以太口) 路由器以太口也設置聯通分配的合法IP地址(211.90.139.41) 這樣,將設備連接好後,在代理服務器上安裝代理軟件,並在工作站上設置代理即可訪問INTERNET。 2.路由器的配置 (1) 網絡連接示意圖: 說明:在上圖中,單位內的所有計算機通過交換機直接與代理服務器上的內部網網卡(192.168.0.4)通訊,然後在代理服務軟件的控制之下經過路由器訪問INTERNET。 (2)路由器的配置 en config t int e0/0 ip address 211.90.139.41 255.255.255.252 exit (設置以太口的IP地址) interface s0/0 ip address 211.90.137.25 255.255.255.252 exit (設置廣域網端口的IP地址) ip route 0.0.0.0 0.0.0.0 211.90.137.26 ip routing (設置動態路由,並激活路由) end wr (保存所作的設置) 3. 代理服務器的設置 代理服務器必須按裝兩塊網卡,一塊用於連接內部局域網,設IP地址爲內部私有地址(如:192.168.0.4 netmask 255.255.255.0)無需設網關。另一塊用於連接路由器,設置聯通分配的合法地址(211.90.139.42 netmask 255.255.255.252),並設置其網關爲:211.90.139.41(路由器以太口)。 按照上面的方法設置好網卡後,再安裝一套代理軟件即可。(如:MS PROXY SERVER 2.0、WINGATE等,代理軟件的安裝調試方法請參閱其它資料) 4.工作站的設置 (1) INTERNET EXPLORER設置 工具菜單->internet選項->連接->局域網設置->使用代理服務器->地址:192.168.0.4端口:80->確定 (2)其他軟件的設置請參閱軟件說明。 三、 直接訪問與代理訪問並存的配置 1. 總體思路和設備連接方法 通過上面介紹的兩種方法進行配置,都能順利地實現INTERNET的訪問,但每種方法即有優點,又存在一定的缺點,且兩種方法的優點是互補的。哪能不能將兩種方法的優點合二爲一,方法三就是一種魚和熊掌能夠兼得的方案。集成了一、二兩種方法的優點,即節省了IP地址,又能通過代理服務器提供的CACHE來提高INTERNET的訪問效率。 採用這種方案來訪問互聯網,設備連接方法如下: 代理服務器上安裝兩塊網卡,兩塊網卡均連接在交換機上,在設置IP地址時,兩塊網卡均設置內部私有地址,但這兩個地址應不屬於一個網絡(即IP地址的網絡地址不同),一塊用於與內部網通信(網卡1),一塊用於與路由器通信(網卡2),否則代理無法實現。 在代理服務器上不要安裝NETBEUI協議,僅安裝TCP/IP協議。(注意:這一步必須要做,否則會因爲代理服務器與交換機之間連接線路冗餘而導致代理服務器NETBIOS計算機名衝突而影響正常通信) 路由器以太口也設置一個內部私有地址,該地址因與網卡2的地址在同一個網絡(即IP地址的網絡地址與網卡2相同) 2. 路由器的設置 (1) 網絡連接示意圖 (2)路由器的配置 en config t ip nat pool c2610 211.90.139.41 211.90.139.42 netmask 255.255.255.252 (定義一個地址池c2601,其內包含了兩個空閒的合法IP地址,供NAT轉換時使用) int e0/0 ip address 192.168.1.1 255.255.255.0 ip nat inside exit (設置以太口的IP地址,並設置其爲連接內部網的端口) interface s0/0 ip address 211.90.137.25 255.255.255.252 ip nat outside exit (設置廣域網端口的IP地址,並設置其爲連接外部網的端口) ip route 0.0.0.0 0.0.0.0 211.90.137.26 (設置動態路由) access-list 2 permit 192.168.0.1 0.0.0.255 (建立訪問控制列表) ! Dynamic NAT ! ip nat inside source list 2 pool c2610 overload (建立動態地址翻譯) line console 0 exec-timeout 0 0 ! line vty 0 4 end wr (保存所作的設置) 2. 代理服務器的設置 代理服務器上安裝兩塊網卡,兩塊網卡均連接在交換機上,網卡1設IP地址爲:192.168.0.4,不設網關;網卡2設IP地址爲:192.168.1.2,設其網關爲192.168.1.1(路由器以太口)。 按照上面的方法設置好網卡後,再安裝一套代理軟件即可。(如:MS PROXY SERVER 2.0、WINGATE等,代理軟件的安裝調試方法請參閱其它資料) 注意:在安裝代理軟件時(以MS-PROXY 2.0爲例),在指定LAT表時,應將地址範圍192.168.0.0-192.168.255.255排除在外,否則代理無法正常工作。 3. 工作站的設置 在這種配置之下,工作站既可以通過設置代理上網,也可以通過設置網關直接上網。 若只通過代理上網,設置方法與方法二完全一致。 若只通過網關上網,要求工作站必須設置靜態IP地址,IP地址應設爲192.168.1.X, 與路由器以太口在同一個網段,並設置網關爲:192.168.1.1,設置DNS爲接入商提供的地址。 若想兩種方法並存,則需要在TCP/IP中設置兩個靜態IP地址:192.168.0.X和192.168.1.X,並設置網關爲:192.168.1.1 ,DNS爲接入商提供的地址。使用時只需在瀏覽器等軟件中打開或關閉代理設置即可在代理與網關上網之間進行切換。 |