INTERNET共享資源的方式越來越多,就大多數(shù)而言,DDN專線以其性能穩(wěn)定、擴(kuò)充性好的優(yōu)勢(shì)成為普遍采用的方式,DDN方式的連接在硬件的需求上是簡單的,僅需要一臺(tái)路由器(router)、代理服務(wù)器(proxy server)即可,但在系統(tǒng)的配置上對(duì)許多的網(wǎng)絡(luò)管理人員來講是一個(gè)比較棘手的問題。下面以CISCO路由器為例,筆者就幾種比較成功的配置方法作以介紹,以供同行借鑒:
一、直接通過路由器訪問INTERNET資源的配置
1. 總體思路和設(shè)備連接方法
一般情況下,單位內(nèi)部的局域網(wǎng)都使用INTERNET上的保留地址:
10.0.0.0/8:10.0.0.0~10.255.255.255
172.16.0.0/12:172.16.0.0~172.31.255.255
192.168.0.0/16:192.168.0.0~192.168.255.255
在常規(guī)情況下,單位內(nèi)部的工作站在直接利用路由對(duì)外訪問時(shí),會(huì)因工作站使用的是互聯(lián)網(wǎng)上的保留地址,而被路由器過濾掉,從而導(dǎo)致無法訪問互聯(lián)網(wǎng)資源。解決這一問題的辦法是利用路由操作系統(tǒng)提供的NAT(Network Address Translation)地址轉(zhuǎn)換功能,將內(nèi)部網(wǎng)的私有地址轉(zhuǎn)換成互聯(lián)網(wǎng)上的合法地址,使得不具有合法IP地址的用戶可以通過NAT訪問到外部Internet。這樣做的好處是無需配備代理服務(wù)器,減少投資,還可以節(jié)約合法IP地址,并提高了內(nèi)部網(wǎng)絡(luò)的安全性。
NAT有兩種類型:Single模式和global模式。
使用NAT的single模式,就像它的名字一樣,可以將眾多的本地局域網(wǎng)主機(jī)映射為一個(gè)Internet地址。局域網(wǎng)內(nèi)的所有主機(jī)對(duì)外部Internet網(wǎng)絡(luò)而言,都被看做一個(gè)Internet用戶。本地局域網(wǎng)內(nèi)的主機(jī)繼續(xù)使用本地地址。
使用NAT的global模式,路由器的接口將眾多的本地局域網(wǎng)主機(jī)映射為一定的Internet地址范圍(IP地址池)。當(dāng)本地主機(jī)端口與Internet上的主機(jī)連接時(shí),IP地址池中的某個(gè)IP地址被自動(dòng)分配給該本地主機(jī),連接中斷后動(dòng)態(tài)分配的IP地址將被釋放,釋放的IP地址可被其他本地主機(jī)使用。
下面以我單位的網(wǎng)絡(luò)環(huán)境為例,將配置方法及過程列示出來,供大家參考。
我單位利用聯(lián)通光纜(V.35)接入INTERNET的,路由器是CISCO2610,局域網(wǎng)采用的是INTEL550百兆交換機(jī),聯(lián)通向我們提供了下列四個(gè)IP地址:
211.90.137.25(255.255.255.252) 用于本地路由器的廣域網(wǎng)端口
211.90.137.26(255.255.255.252) 用于對(duì)方(聯(lián)通)的端口
211.90.139.41(255.255.255.252) 供自己支配
211.90.139.42(255.255.255.252) 供自己支配
2. 路由器的配置
(1) 網(wǎng)絡(luò)連接示意圖:
說明:校內(nèi)所有的工作站都與交換機(jī)連接,路由器也通過以太口連接在內(nèi)部交換機(jī)上,路由器上以太口使用內(nèi)部私有地址,光纖的兩端分別使用了聯(lián)通分配的兩個(gè)有效IP地址。在這種連接方式下,只要在路由器內(nèi)部設(shè)置NAT,便可以使得單位內(nèi)部的所有工作站訪問INTERNTE了,在每臺(tái)工作站上只需設(shè)置網(wǎng)關(guān)指向路由器的以太口(192.168.0.3)即可上網(wǎng),無需設(shè)代理,并節(jié)省了兩個(gè)有效IP地址可供自己自由支配(如建立單位自已的WEB和E-MAIL服務(wù)器)。但也存在缺點(diǎn):不能享受代理服務(wù)器提供的CACHE服務(wù)來提高訪問速度。所以本配置方案適合工作站數(shù)量較少的單位,對(duì)于單位內(nèi)部工作站數(shù)量較多的情況可以使用后面介紹的兩種方法。路由器上具體配置如下:
三、 直接訪問與代理訪問并存的配置
1. 總體思路和設(shè)備連接方法
通過上面介紹的兩種方法進(jìn)行配置,都能順利地實(shí)現(xiàn)INTERNET的訪問,但每種方法即有優(yōu)點(diǎn),又存在一定的缺點(diǎn),且兩種方法的優(yōu)點(diǎn)是互補(bǔ)的。哪能不能將兩種方法的優(yōu)點(diǎn)合二為一,方法三就是一種魚和熊掌能夠兼得的方案。集成了一、二兩種方法的優(yōu)點(diǎn),即節(jié)省了IP地址,又能通過代理服務(wù)器提供的CACHE來提高INTERNET的訪問效率。
采用這種方案來訪問互聯(lián)網(wǎng),設(shè)備連接方法如下:
代理服務(wù)器上安裝兩塊網(wǎng)卡,兩塊網(wǎng)卡均連接在交換機(jī)上,在設(shè)置IP地址時(shí),兩塊網(wǎng)卡均設(shè)置內(nèi)部私有地址,但這兩個(gè)地址應(yīng)不屬于一個(gè)網(wǎng)絡(luò)(即IP地址的網(wǎng)絡(luò)地址不同),一塊用于與內(nèi)部網(wǎng)通信(網(wǎng)卡1),一塊用于與路由器通信(網(wǎng)卡2),否則代理無法實(shí)現(xiàn)。
在代理服務(wù)器上不要安裝NETBEUI協(xié)議,僅安裝TCP/IP協(xié)議。(注意:這一步必須要做,否則會(huì)因?yàn)榇矸⻊?wù)器與交換機(jī)之間連接線路冗余而導(dǎo)致代理服務(wù)器NETBIOS計(jì)算機(jī)名沖突而影響正常通信)
路由器以太口也設(shè)置一個(gè)內(nèi)部私有地址,該地址因與網(wǎng)卡2的地址在同一個(gè)網(wǎng)絡(luò)(即IP地址的網(wǎng)絡(luò)地址與網(wǎng)卡2相同)
2. 路由器的設(shè)置
(1) 網(wǎng)絡(luò)連接示意圖
(2)路由器的配置
en
config t
ip nat pool c2610 211.90.139.41 211.90.139.42 netmask 255.255.255.252
(定義一個(gè)地址池c2601,其內(nèi)包含了兩個(gè)空閑的合法IP地址,供NAT轉(zhuǎn)換時(shí)使用)
int e0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
exit
(設(shè)置以太口的IP地址,并設(shè)置其為連接內(nèi)部網(wǎng)的端口)
interface s0/0
ip address 211.90.137.25 255.255.255.252
ip nat outside
exit
(設(shè)置廣域網(wǎng)端口的IP地址,并設(shè)置其為連接外部網(wǎng)的端口)
ip route 0.0.0.0 0.0.0.0 211.90.137.26
(設(shè)置動(dòng)態(tài)路由)
access-list 2 permit 192.168.0.1 0.0.0.255
(建立訪問控制列表)
! Dynamic NAT
!
北京 | 天津 | 上海 | 江蘇 | 山東 |
安徽 | 浙江 | 江西 | 福建 | 深圳 |
廣東 | 河北 | 湖南 | 廣西 | 河南 |
海南 | 湖北 | 四川 | 重慶 | 云南 |
貴州 | 西藏 | 新疆 | 陜西 | 山西 |
寧夏 | 甘肅 | 青海 | 遼寧 | 吉林 |
黑龍江 | 內(nèi)蒙古 |