INTERNET共享資源的方式越來越多,就大多數(shù)而言,DDN專線以其性能穩(wěn)定、擴充性好的優(yōu)勢成為普遍采用的方式,DDN方式的連接在硬件的需求上是簡單的,僅需要一臺路由器(router)、代理服務(wù)器(proxy server)即可,但在系統(tǒng)的配置上對許多的網(wǎng)絡(luò)管理人員來講是一個比較棘手的問題。下面以CISCO路由器為例,筆者就幾種比較成功的配置方法作以介紹,以供同行借鑒:
一、直接通過路由器訪問INTERNET資源的配置
1. 總體思路和設(shè)備連接方法
一般情況下,單位內(nèi)部的局域網(wǎng)都使用INTERNET上的保留地址:
10.0.0.0/8:10.0.0.0~10.255.255.255
172.16.0.0/12:172.16.0.0~172.31.255.255
192.168.0.0/16:192.168.0.0~192.168.255.255
在常規(guī)情況下,單位內(nèi)部的工作站在直接利用路由對外訪問時,會因工作站使用的是互聯(lián)網(wǎng)上的保留地址,而被路由器過濾掉,從而導(dǎo)致無法訪問互聯(lián)網(wǎng)資源。解決這一問題的辦法是利用路由操作系統(tǒng)提供的NAT(Network Address Translation)地址轉(zhuǎn)換功能,將內(nèi)部網(wǎng)的私有地址轉(zhuǎn)換成互聯(lián)網(wǎng)上的合法地址,使得不具有合法IP地址的用戶可以通過NAT訪問到外部Internet。這樣做的好處是無需配備代理服務(wù)器,減少投資,還可以節(jié)約合法IP地址,并提高了內(nèi)部網(wǎng)絡(luò)的安全性。
NAT有兩種類型:Single模式和global模式。
使用NAT的single模式,就像它的名字一樣,可以將眾多的本地局域網(wǎng)主機映射為一個Internet地址。局域網(wǎng)內(nèi)的所有主機對外部Internet網(wǎng)絡(luò)而言,都被看做一個Internet用戶。本地局域網(wǎng)內(nèi)的主機繼續(xù)使用本地地址。
使用NAT的global模式,路由器的接口將眾多的本地局域網(wǎng)主機映射為一定的Internet地址范圍(IP地址池)。當本地主機端口與Internet上的主機連接時,IP地址池中的某個IP地址被自動分配給該本地主機,連接中斷后動態(tài)分配的IP地址將被釋放,釋放的IP地址可被其他本地主機使用。
下面以我單位的網(wǎng)絡(luò)環(huán)境為例,將配置方法及過程列示出來,供大家參考。
我單位利用聯(lián)通光纜(V.35)接入INTERNET的,路由器是CISCO2610,局域網(wǎng)采用的是INTEL550百兆交換機,聯(lián)通向我們提供了下列四個IP地址:
211.90.137.25(255.255.255.252) 用于本地路由器的廣域網(wǎng)端口
211.90.137.26(255.255.255.252) 用于對方(聯(lián)通)的端口
211.90.139.41(255.255.255.252) 供自己支配
211.90.139.42(255.255.255.252) 供自己支配
2. 路由器的配置
(1) 網(wǎng)絡(luò)連接示意圖:
說明:校內(nèi)所有的工作站都與交換機連接,路由器也通過以太口連接在內(nèi)部交換機上,路由器上以太口使用內(nèi)部私有地址,光纖的兩端分別使用了聯(lián)通分配的兩個有效IP地址。在這種連接方式下,只要在路由器內(nèi)部設(shè)置NAT,便可以使得單位內(nèi)部的所有工作站訪問INTERNTE了,在每臺工作站上只需設(shè)置網(wǎng)關(guān)指向路由器的以太口(192.168.0.3)即可上網(wǎng),無需設(shè)代理,并節(jié)省了兩個有效IP地址可供自己自由支配(如建立單位自已的WEB和E-MAIL服務(wù)器)。但也存在缺點:不能享受代理服務(wù)器提供的CACHE服務(wù)來提高訪問速度。所以本配置方案適合工作站數(shù)量較少的單位,對于單位內(nèi)部工作站數(shù)量較多的情況可以使用后面介紹的兩種方法。路由器上具體配置如下:
(建立動態(tài)地址翻譯)
line console 0
exec-timeout 0 0
!
line vty 0 4
end
wr
(保存所作的設(shè)置)
2. 代理服務(wù)器的設(shè)置
代理服務(wù)器上安裝兩塊網(wǎng)卡,兩塊網(wǎng)卡均連接在交換機上,網(wǎng)卡1設(shè)IP地址為:192.168.0.4,不設(shè)網(wǎng)關(guān);網(wǎng)卡2設(shè)IP地址為:192.168.1.2,設(shè)其網(wǎng)關(guān)為192.168.1.1(路由器以太口)。
按照上面的方法設(shè)置好網(wǎng)卡后,再安裝一套代理軟件即可。(如:MS PROXY SERVER 2.0、WINGATE等,代理軟件的安裝調(diào)試方法請參閱其它資料)
注意:在安裝代理軟件時(以MS-PROXY 2.0為例),在指定LAT表時,應(yīng)將地址范圍192.168.0.0-192.168.255.255排除在外,否則代理無法正常工作。
3. 工作站的設(shè)置
在這種配置之下,工作站既可以通過設(shè)置代理上網(wǎng),也可以通過設(shè)置網(wǎng)關(guān)直接上網(wǎng)。
若只通過代理上網(wǎng),設(shè)置方法與方法二完全一致。
若只通過網(wǎng)關(guān)上網(wǎng),要求工作站必須設(shè)置靜態(tài)IP地址,IP地址應(yīng)設(shè)為192.168.1.X,
與路由器以太口在同一個網(wǎng)段,并設(shè)置網(wǎng)關(guān)為:192.168.1.1,設(shè)置DNS為接入商提供的地址。
若想兩種方法并存,則需要在TCP/IP中設(shè)置兩個靜態(tài)IP地址:192.168.0.X和192.168.1.X,并設(shè)置網(wǎng)關(guān)為:192.168.1.1 ,DNS為接入商提供的地址。使用時只需在瀏覽器等軟件中打開或關(guān)閉代理設(shè)置即可在代理與網(wǎng)關(guān)上網(wǎng)之間進行切換。
北京 | 天津 | 上海 | 江蘇 | 山東 |
安徽 | 浙江 | 江西 | 福建 | 深圳 |
廣東 | 河北 | 湖南 | 廣西 | 河南 |
海南 | 湖北 | 四川 | 重慶 | 云南 |
貴州 | 西藏 | 新疆 | 陜西 | 山西 |
寧夏 | 甘肅 | 青海 | 遼寧 | 吉林 |
黑龍江 | 內(nèi)蒙古 |