局域網接入Internet設置案例一則(上)

2019-11-05 03:11:20

字體：大中小

來源：轉載

供稿：網友

　　　網絡技術的飛速發展，使企事業單位局域網接入INTERNET共享資源的方式越來越多，就大多數而言，DDN專線以其性能穩定、擴充性好的優勢成為普遍采用的方式，DDN方式的連接在硬件的需求上是簡單的，僅需要一臺路由器（router）、代理服務器(PRoxy server)即可，但在系統的配置上對許多的網絡治理人員來講是一個比較棘手的問題。下面以CISCO路由器為例，筆者就幾種比較成功的配置方法作以介紹，以供同行借鑒：
　　
　　　　一、直接通過路由器訪問INTERNET資源的配置
　　
　　　　1．總體思路和設備連接方法
　　
　　　　一般情況下，單位內部的局域網都使用INTERNET上的保留地址：
　　
　　　　10.0.0.0/8：10.0.0.0～10.255.255.255
　　　　172.16.0.0/12：172.16.0.0～172.31.255.255
　　　　192.168.0.0/16：192.168.0.0～192.168.255.255
　　
　　　　在常規情況下，單位內部的工作站在直接利用路由對外訪問時，會因工作站使用的是互聯網上的保留地址，而被路由器過濾掉，從而導致無法訪問互聯網資源。解決這一問題的辦法是利用路由操作系統提供的NAT（Network Address Translation）地址轉換功能，將內部網的私有地址轉換成互聯網上的合法地址，使得不具有合法ip地址的用戶可以通過NAT訪問到外部Internet。這樣做的好處是無需配備代理服務器，減少投資，還可以節約合法IP地址，并提高了內部網絡的安全性。
　　
　　　　NAT有兩種類型：Single模式和global模式。
　　
　　　　使用NAT的single模式，就像它的名字一樣，可以將眾多的本地局域網主機映射為一個Internet地址。局域網內的所有主機對外部Internet網絡而言，都被看做一個Internet用戶。本地局域網內的主機繼續使用本地地址。
　　
　　　　使用NAT的global模式，路由器的接口將眾多的本地局域網主機映射為一定的Internet地址范圍（IP地址池）。當本地主機端口與Internet上的主機連接時，IP地址池中的某個IP地址被自動分配給該本地主機，連接中斷后動態分配的IP地址將被釋放，釋放的IP地址可被其他本地主機使用。
　　
　　　　下面以我單位的網絡環境為例，將配置方法及過程列示出來，供大家參考。
　　我單位利用聯通光纜（V.35）接入INTERNET的，路由器是CISCO2610，局域網采用的是INTEL550百兆交換機，聯通向我們提供了下列四個IP地址：
　　
　　　　211.90.137.25（255.255.255.252）用于本地路由器的廣域網端口
　　　　211.90.137.26（255.255.255.252）用于對方（聯通）的端口
　　　　211.90.139.41（255.255.255.252）供自己支配
　　　　211.90.139.42（255.255.255.252）供自己支配
　　
　　　　2．路由器的配置
　　
　　　　（1）網絡連接說明：
　　
　　　　說明：校內所有的工作站都與交換機連接，路由器也通過以太口連接在內部交換機上，路由器上以太口使用內部私有地址，光纖的兩端分別使用了聯通分配的兩個有效IP地址。在這種連接方式下，只要在路由器內部設置NAT，便可以使得單位內部的所有工作站訪問INTERNTE了，在每臺工作站上只需設置網關指向路由器的以太口（192.168.0.3）即可上網，無需設代理，并節省了兩個有效IP地址可供自己自由支配（如建立單位自已的WEB和E-MAIL服務器）。但也存在缺點：不能享受代理服務器提供的CACHE服務來提高訪問速度。所以本配置方案適合工作站數量較少的單位，對于單位內部工作站數量較多的情況可以使用后面介紹的兩種方法。路由器上具體配置如下：
　　
　　　　（2）路由器的配置
　　
　　　　en
　　　　config t
　　　　ip nat pool c2610 211.90.139.41 211.90.139.42 netmask 255.255.255.252
　　　　(定義一個地址池c2601，其內包含了兩個空閑的合法IP地址，供NAT轉換時使用)
　　　　int e0/0
　　　　ip address 192.168.0.3 255.255.255.0
　　　　ip nat inside
　　　　exit
　　
　　　　（設置以太口的IP地址，并設置其為連接內部網的端口）
　　
　　　　interface s0/0
　　　　ip address 211.90.137.25 255.255.255.252
　　　　ip nat outside
　　　　exit
　　　　（設置廣域網端口的IP地址，并設置其為連接外部網的端口）
　　　　ip route 0.0.0.0 0.0.0.0 211.90.137.26
　　　　（設置動態路由）
　　　　access-list 2 permit 192.168.0.1 0.0.0.255
　　　　（建立訪問控制列表）
　　　　! Dynamic NAT
　　　　!
　　　　ip nat inside source list 2 pool c2610 overload
　　　　（建立動態地址翻譯）
　　　　line console 0
　　　　exec-timeout 0 0
　　　　!
　　　　line vty 0 4
　　　　end
　　　　wr
　　　　(保存所作的設置)
　　3．工作站的配置
　　
　　　　要求使用靜態IP地址，在TCP/IP屬性中進行設置，并設置關網為192.168.0.3（路由器以太口IP地址），設置DNS為接入商提供的地址，瀏覽器等上網工具中無需作任何非凡設置。

　　
　　　　二、通過代理服務器訪問INTERNET資源的配置
　　
　　　　1．總體的思路和設備連接方法
　　
　　　　利用代理服務器方式訪問INTERNET資源，優點是可以利用代理服務器提供的CACHE服務來提高INTERNET的訪問速度和效率。比較適合工作站較多的單位使用。缺點是需要專門配備一臺計算機作為代理服務器，增加了投資成本；且較第一種法方還需多占用兩個合法IP地址，網絡安全性不高。
　　
　　　　采用這種方案來訪問互聯網，設備連接方法如下：
　　
　　　　代理服務器上安裝兩塊網卡，一塊連接內部網，設置內部私有地址；另一塊連接路由器以太口，設置聯通分配的合法地址（211.90.139.42），并設置其網關為211.90.139.41（路由器以太口），路由器以太口也設置聯通分配的合法IP地址（211.90.139.41）。這樣，將設備連接好后，在代理服務器上安裝代理軟件，并在工作站上設置代理即可訪問INTERNET。
　　
　　　　2．路由器的配置
　　
　　　　（1）網絡連接說明：
　　
　　　　單位內的所有計算機通過交換機直接與代理服務器上的內部網網卡（192.168.0.4）通訊，然后在代理服務軟件的控制之下經過路由器訪問INTERNET。
　　
　　　　（2）路由器的配置
　　
　　　　en
　　　　config t
　　　　int e0/0
　　　　ip address 211.90.139.41 255.255.255.252
　　　　exit
　　　　（設置以太口的IP地址）
　　　　interface s0/0
　　　　ip address 211.90.137.25 255.255.255.252
　　　　exit
　　　　（設置廣域網端口的IP地址）
　　　　ip route 0.0.0.0 0.0.0.0 211.90.137.26
　　　　ip routing
　　　　（設置動態路由,并激活路由）
　　　　end
　　　　wr
　　　　(保存所作的設置)
　　
　　　　3．代理服務器的設置
　　
　　　　代理服務器必須按裝兩塊網卡，一塊用于連接內部局域網，設IP地址為內部私有地址（如：192.168.0.4 netmask 255.255.255.0）無需設網關。另一塊用于連接路由器，設置聯通分配的合法地址（211.90.139.42 netmask 255.255.255.252），并設置其網關為：211.90.139.41(路由器以太口)。
　　
　　　　按照上面的方法設置好網卡后，再安裝一套代理軟件即可。（如：MS PROXY SERVER 2.0、WINGATE等，代理軟件的安裝調試方法請參閱其它資料）

上一篇：局域網用戶通過ISDN撥入首都在線訪問Internet

下一篇：局域網接入Internet設置案例一則(下)