-
局域网中代理服务器、路由器的配置方案
网络
技术的飞速发展,
使企事业单位局域网接入
INTERNET<
/p>
共享资源的方式越来越多,
就大多数而言,
DDN
专线以其性能稳定、扩充性好的优势成为普遍采用的方式,
DDN
方式
的连接在硬件的需求上是简单的,仅需要一台路
由器(
router
)、代理服务器
(
proxy server)
即可,
但在系统的配置上对许多的
网络管理人员来讲是一个比较棘手的问题。
下面以
CISCO<
/p>
路由器为例,笔者就几种比较成功的配置方法作以介绍,以供同行借鉴:
< br>
一、直接通过路由器访问
I
NTERNET
资源的配置
1.
总体思路和设备连接方法
一般情况下,单位内部的局域网都使用
INTERNET
上的保留地址:
10.0.0.0/8
:
10.0.0
.0
~
10.255.255.255
172.16.0.0/12
:
172.16.0.0
~
172.31.2
55.255
192.168.0.0/16
:
192.168.0.0
~
192.168.255.255
在常规情况下,
单位内部的工作站在直接利用路由对外访问时,
会因工作站使用的是互
联网上的保留地址,
而被路由器过滤掉,
从而导致无法访问互联网资源。
解决这一问题的办
法是利用路
由操作系统提供的
NAT
(
Netwo
rk Address Translation
)地址转换功能,将内部
网的私有地址转换成互联网上的合法地址,
使得不具有合法
< br>IP
地址的用户可以通过
NAT
访
问到外部
Internet
。这样做
的好处是无需配备代理服务器,减少投资,还可以节约合法
IP
地
址,并提高了内部网络的安全性。
NAT
有两种类型:
Single
模式和
global
模式。
使用
NAT
的
single
模式,就像它的名字一样,可以将众
多的本地局域网主机映射为一
个
Internet
地址。
局域网内的所有主机对外部
Internet
网络而言,
都被看做一个
Intern
et
用户。
本地局域网内的主机继续使用本地地址。
使用
NAT
的
global
模式,
路由器的接口将众多的本地局域网主机映射为一定的
Internet
< br>地址范围
(
IP
地址池)。
当本地主机端口与
Internet
上的主
机连接时,
IP
地址池中的某个
IP<
/p>
地址被自动分配给该本地主机,
连接中断后动态分配的
IP
地址将被释放,释放的
IP
< br>地址可
被其他本地主机使用。
下面以我单位的网络环境为例,将配置方法及过程列示出来,供大家参考。
我单位利用联通光缆(
V.35
)接入
INTERNET
的,
路由器是
CISCO2610
,局域网采用
的是
INTEL550
百兆交换机,联通向我们提供了下列
四个
IP
地址:
211.90.137.25
(
255.255.255.252
)
用于本地路由器的
广域网端口
211.90.137.26
(
255.2
55.255.252
)
用于对方(联通)
的端口
211.90.139.41
(
255.255
.255.252
)
供自己支配
211.90.139
.42
(
255.255.255.252
)
供自己支配
2.
路由器的配置
(
1
)
网络连接示意图:
说明:校内所有的工作站都与交换机连接,路由器也通过以太
口连接在内部交换机上,
路由器上以太口使用内部私有地址,光纤的两端分别使用了联通
分配的两个有效
IP
地址。
在这种连接
方式下,只要在路由器内部设置
NAT
,便可以使得单位内部的
所有工作站访问
INTERNTE
了,
在每台工作站上只需设置网关指向路由器的以太口
(
192.1
68.0.3
)
即可上网,
无需设代理
,并节省了两个有效
IP
地址可供自己自由支配(如建立单位自
已的
WEB
和
E-MAIL
服务器)。但也存在缺点:不能享受代理服务器提供的
CACHE
服务来提高访问速
度。
所以本配置方案适合工作
站数量较少的单位,
对于单位内部工作站数量较多的情况可以
使
用后面介绍的两种方法。路由器上具体配置如下:
(
2
)路由器的配置
en
config t
ip nat pool c2610 211.90.139.41
211.90.139.42
netmask 255.255.255.252
(
定义一个地址池
c2601
,
其内包含了两个空闲的合法
IP
地址,
供
NAT
转换时使用
)
int e0/0
ip address 192.168.0.3 255.255.255.0
ip nat inside
exit
(设置以太口的
IP
地址,
并
设置其为连接内部网的端口)
interface
s0/0
ip address 211.90.137.25
255.255.255.252
ip nat outside
exit
(设置广域网端口的
IP
地址,并设置其为连接外部网的
端口)
ip route 0.0.0.0 0.0.0.0 211.90.137.26
(设置动态路由)
access-
list 2 permit 192.168.0.1 0.0.0.255
(建立访问控制列表)
!
Dynamic NAT
!
ip nat
inside source list 2 pool c2610 overload
(建立动态地址翻译)
line
console 0
exec-timeout 0 0
!
line vty 0 4
end
wr
(
保存所作的设置
)
3.
工作站的配置
要求使用静态
IP
< br>地址,在
TCP/IP
属性中进行设置,
并设置关网为
192.168.0.3
(路由器以太<
/p>
口
IP
地址),设置
DNS
为接入商提供的地址,浏览器等上网工具中无需作任何特殊设置。
二、通过代理服务器访问
INTERNET
资源的配置
1.
总体的思路和设备连接方法
利用代理服务器方式访问
INTER
NET
资源,优点是可以利用代理服务器提供的
CACHE
服
务来提高
INTERNET
的访问速度和效率。比较适合工作站较多的单位使用。缺点是需要专
门配备一
台计算机作为代理服务器,
增加了投资成本;
且较第一种法方还
需多占用两个合法
IP
地址,网络安全性不高。
采用这种方案来访问互联网,设备连接方法如下:
代理服务器上安装两块网卡,
一块连
接内部网,
设置内部私有地址;
另一块连接路由器以太
口,设置联通分配的合法地址(
211.90.139.42
),并设置其网关为
211.90.139.41
(路由器以
太口)
路由器以太口也设置联通分配的合法
IP
地址(
211.90.139.41
)
这样,将设备连接好后,在代理服务器上安装代理软件,并在
工作站上设置代理即可访问
INTERNET
。
2.
路由器的配置