局域网接入Internet设置案例一则(上)_局域网教程

　　　网络技术的飞速发展，使企事业单位局域网接入INTERNET共享资源的方式越来越多，就大多数而言，DDN专线以其性能稳定、扩充性好的优势成为普遍采用的方式，DDN方式的连接在硬件的需求上是简单的，仅需要一台路由器（router）、代理服务器(proxy server)即可，但在系统的配置上对许多的网络治理人员来讲是一个比较棘手的问题。下面以CISCO路由器为例，笔者就几种比较成功的配置方法作以介绍，以供同行借鉴：
　　
　　　　一、直接通过路由器访问INTERNET资源的配置
　　
　　　　1．总体思路和设备连接方法
　　
　　　　一般情况下，单位内部的局域网都使用INTERNET上的保留地址：
　　
　　　　10.0.0.0/8：10.0.0.0～10.255.255.255
　　　　172.16.0.0/12：172.16.0.0～172.31.255.255
　　　　192.168.0.0/16：192.168.0.0～192.168.255.255
　　
　　　　在常规情况下，单位内部的工作站在直接利用路由对外访问时，会因工作站使用的是互联网上的保留地址，而被路由器过滤掉，从而导致无法访问互联网资源。解决这一问题的办法是利用路由操作系统提供的NAT（Network Address Translation）地址转换功能，将内部网的私有地址转换成互联网上的合法地址，使得不具有合法IP地址的用户可以通过NAT访问到外部Internet。这样做的好处是无需配备代理服务器，减少投资，还可以节约合法IP地址，并提高了内部网络的安全性。
　　
　　　　NAT有两种类型：Single模式和global模式。
　　
　　　　使用NAT的single模式，就像它的名字一样，可以将众多的本地局域网主机映射为一个Internet地址。局域网内的所有主机对外部Internet网络而言，都被看做一个Internet用户。本地局域网内的主机继续使用本地地址。
　　
　　　　使用NAT的global模式，路由器的接口将众多的本地局域网主机映射为一定的Internet地址范围（IP地址池）。当本地主机端口与Internet上的主机连接时，IP地址池中的某个IP地址被自动分配给该本地主机，连接中断后动态分配的IP地址将被释放，释放的IP地址可被其他本地主机使用。
　　
　　　　下面以我单位的网络环境为例，将配置方法及过程列示出来，供大家参考。
　　我单位利用联通光缆（V.35）接入INTERNET的，路由器是CISCO2610，局域网采用的是INTEL550百兆交换机，联通向我们提供了下列四个IP地址：
　　
　　　　211.90.137.25（255.255.255.252）用于本地路由器的广域网端口
　　　　211.90.137.26（255.255.255.252）用于对方（联通）的端口
　　　　211.90.139.41（255.255.255.252）供自己支配
　　　　211.90.139.42（255.255.255.252）供自己支配
　　
　　　　2．路由器的配置
　　
　　　　（1）网络连接说明：
　　
　　　　说明：校内所有的工作站都与交换机连接，路由器也通过以太口连接在内部交换机上，路由器上以太口使用内部私有地址，光纤的两端分别使用了联通分配的两个有效IP地址。在这种连接方式下，只要在路由器内部设置NAT，便可以使得单位内部的所有工作站访问INTERNTE了，在每台工作站上只需设置网关指向路由器的以太口（192.168.0.3）即可上网，无需设代理，并节省了两个有效IP地址可供自己自由支配（如建立单位自已的WEB和E-MAIL服务器）。但也存在缺点：不能享受代理服务器提供的CACHE服务来提高访问速度。所以本配置方案适合工作站数量较少的单位，对于单位内部工作站数量较多的情况可以使用后面介绍的两种方法。路由器上具体配置如下：
　　
　　　　（2）路由器的配置
　　
　　　　en
　　　　config t
　　　　ip nat pool c2610 211.90.139.41 211.90.139.42 netmask 255.255.255.252
　　　　(定义一个地址池c2601，其内包含了两个空闲的合法IP地址，供NAT转换时使用)
　　　　int e0/0
　　　　ip address 192.168.0.3 255.255.255.0
　　　　ip nat inside
　　　　exit
　　
　　　　（设置以太口的IP地址，并设置其为连接内部网的端口）
　　
　　　　interface s0/0
　　　　ip address 211.90.137.25 255.255.255.252
　　　　ip nat outside
　　　　exit
　　　　（设置广域网端口的IP地址，并设置其为连接外部网的端口）
　　　　ip route 0.0.0.0 0.0.0.0 211.90.137.26
　　　　（设置动态路由）
　　　　Access-list 2 permit 192.168.0.1 0.0.0.255
　　　　（建立访问控制列表）
　　　　! Dynamic NAT
　　　　!
　　　　ip nat inside source list 2 pool c2610 overload
　　　　（建立动态地址翻译）
　　　　line console 0
　　　　exec-timeout 0 0
　　　　!
　　　　line vty 0 4
　　　　end
　　　　wr
　　　　(保存所作的设置)
　　3．工作站的配置
　　
　　　　要求使用静态IP地址，在TCP/IP属性中进行设置，并设置关网为192.168.0.3（路由器以太口IP地址），设置DNS为接入商提供的地址，浏览器等上网工具中无需作任何非凡设置。

　　
　　　　二、通过代理服务器访问INTERNET资源的配置
　　
　　　　1．总体的思路和设备连接方法
　　
　　　　利用代理服务器方式访问INTERNET资源，优点是可以利用代理服务器提供的CACHE服务来提高INTERNET的访问速度和效率。比较适合工作站较多的单位使用。缺点是需要专门配备一台计算机作为代理服务器，增加了投资成本；且较第一种法方还需多占用两个合法IP地址，网络安全性不高。
　　
　　　　采用这种方案来访问互联网，设备连接方法如下：
　　
　　　　代理服务器上安装两块网卡，一块连接内部网，设置内部私有地址；另一块连接路由器以太口，设置联通分配的合法地址（211.90.139.42），并设置其网关为211.90.139.41（路由器以太口），路由器以太口也设置联通分配的合法IP地址（211.90.139.41）。这样，将设备连接好后，在代理服务器上安装代理软件，并在工作站上设置代理即可访问INTERNET。
　　
　　　　2．路由器的配置
　　
　　　　（1）网络连接说明：
　　
　　　　单位内的所有计算机通过交换机直接与代理服务器上的内部网网卡（192.168.0.4）通讯，然后在代理服务软件的控制之下经过路由器访问INTERNET。
　　
　　　　（2）路由器的配置
　　
　　　　en
　　　　config t
　　　　int e0/0
　　　　ip address 211.90.139.41 255.255.255.252
　　　　exit
　　　　（设置以太口的IP地址）
　　　　interface s0/0
　　　　ip address 211.90.137.25 255.255.255.252
　　　　exit
　　　　（设置广域网端口的IP地址）
　　　　ip route 0.0.0.0 0.0.0.0 211.90.137.26
　　　　ip routing
　　　　（设置动态路由,并激活路由）
　　　　end
　　　　wr
　　　　(保存所作的设置)
　　
　　　　3．代理服务器的设置
　　
　　　　代理服务器必须按装两块网卡，一块用于连接内部局域网，设IP地址为内部私有地址（如：192.168.0.4 netmask 255.255.255.0）无需设网关。另一块用于连接路由器，设置联通分配的合法地址（211.90.139.42 netmask 255.255.255.252），并设置其网关为：211.90.139.41(路由器以太口)。
　　
　　　　按照上面的方法设置好网卡后，再安装一套代理软件即可。（如：MS PROXY SERVER 2.0、WINGATE等，代理软件的安装调试方法请参阅其它资料）