局域網中代理伺服器、路由器的配置案例

網路技術的飛速發展，使企事業單位局域網接入INTERNET共用資源的方式越來越多，就大多數而言，DDN專線以其性能穩定、擴充性好的優勢成為普遍採用的方式，DDN方式的連接在硬體的需求上是簡單的， 僅需要一台路由器（router）、代理伺服器(proxy server)即可，但在系統的配置上對許多的網路管理人員來講是一個比較棘手的問題。 下面以CISCO路由器為例：一、直接通過路由器訪問INTERNET資源的配置 1． 總體思路和設備連接方法 一般情況下，單位內部的局域網都使用INTERNET上的保留位址： 10.0.0.0/8：10.0.0.0～10.255.255.255 172.16.0.0/ 12：172.16.0.0～172.31.255.255 192.168.0.0/16：192.168.0.0～192.168.255.255 在常規情況下，單位內部的工作站在直接利用路由對外訪問時， 會因工作站使用的是互聯網上的保留位址，而被路由器過濾掉，從而導致無法訪問互聯網資源。 解決這一問題的辦法是利用路由作業系統提供的NAT（Network Address Translation）位址轉換功能，將內部網的私有位址轉換成互聯網上的合法位址， 使得不具有合法IP位址的使用者可以通過NAT訪問到外部Internet。 這樣做的好處是無需配備代理伺服器，減少投資，還可以節約合法IP位址，並提高了內部網路的安全性。 NAT有兩種類型：Single模式和global模式。 使用NAT的single模式，就像它的名字一樣，可以將眾多的本地局域網主機映射為一個Internet位址。 局域網內的所有主機對外部Internet網路而言，都被看做一個Internet使用者。 本地局域網內的主機繼續使用本地位址。 使用NAT的global模式，路由器的介面將眾多的本地局域網主機映射為一定的Internet位址範圍（IP位址集區）。 當本地主機埠與Internet上的主機連接時，IP位址集區中的某個IP位址被自動分配給該本地主機，連接中斷後動態分配的IP位址將被釋放，釋放的IP位址可被其他本地主機使用。 下面以我單位的網路環境為例，將配置方法及過程列示出來，供大家參考。 我單位利用聯通光纜（V.35）接入INTERNET的，路由器是CISCO2610，局域網採用的是INTEL550百兆交換器，聯通向我們提供了下列四個IP位址： 211.90.137.25（255.255.255.252） 用於本地路由器的廣域網路埠 211.90.137.26（255.255.255.252） 用於對方（聯通）的埠 211.90.139.41（255.255.255.252） 供自己支配 211.90.139.42（255.255.255.252） 供自己支配 2． 路由器的配置 en config t ip nat pool c2610 211.90.139.41 211.90.139.42 netmask 255.255.255.252 (定義一個位址集區c2601，其內包含了兩個空閒的合法IP位址，供N AT轉換時使用) int e0/0 ip address 192.168.0.3 255.255.255.0 ip nat inside exit （設置乙太口的IP位址，並設置其為連接內部網的埠） interface s0/0 ip add ress 211.90.137.25 255.255.255.252 ip nat outside exit （設置廣域網路埠的IP位址，並設置其為連接外部網的埠） ip route 0.0.0.0 0.0.0.0 211.90.137.26 （設置動態路由） access-list 2 permit 192.168.0.1 0.0.0.255 （建立存取控制清單） ! Dynamic NAT ! ip nat inside source list 2 pool c2610 overload （建立動態位址翻譯） line console 0 exec-timeout 0 0 ! line vty 0 4 end wr (保存所作的設置)3． 工作站的配置要求使用靜態IP位址，在TCP/IP屬性中進行設置，並設置關網為192.168.0.3（路由器乙太口IP位址），設置DNS為接入商提供的位址，瀏覽器等上網工具中無需作任何特殊設置。 二、 通過代理伺服器訪問INTERNET資源的配置 1． 總體的思路和設備連接方法 利用代理伺服器方式訪問INTERNET資源，優點是可以利用代理伺服器提供的CACHE服務來提高INTERNET的存取速度和效率。 比較適合工作站較多的單位使用。 缺點是需要專門配備一台電腦作為代理伺服器，增加了投資成本；且較第一種法方還需多佔用兩個合法IP位址，網路安全性不高。 採用這種方案來訪問互聯網，設備連接方法如下： 代理伺服器上安裝兩塊網卡，一塊連接內部網，設置內部私有位址；另一塊連接路由器乙太口， 設置聯通分配的合法位址（211.90.139.42），並設置其閘道為211.90.139.41（路由器乙太口） 路由器乙太口也設置聯通分配的合法IP位址（211.90.139.41） 這樣，將設備連接好後， 在代理伺服器上安裝代理軟體，並在工作站上設置代理即可訪問INTERNET。 2． 路由器的配置en config t int e0/0 ip address 211.90.139.41 255.255.255.252 exit （設置乙太口的IP位址） interface s0/0 ip address 211.90.137 .25 255.255.255.252 exit （設置廣域網路埠的IP位址） ip route 0.0.0.0 0.0.0.0 211.90.137.26 ip routing （設置動態路由,並啟動路由） end wr (保存所作的設置) 3． 代理伺服器的設置 代理伺服器必須按裝兩塊網卡，一塊用於連接內部局域網，設IP位址為內部私有位址（如：192.168.0.4 netmask 255.255.255.0）無需設閘道。 另一塊用於連接路由器，設置聯通分配的合法位址（211.90.139.42 netmask 255.255.255.252），並設置其閘道為：211.90.139.41(路由器乙太口)。 按照上面的方法設置好網卡後，再安裝一套代理軟體即可。 （如：MS PROXY SERVER 2.0、WINGATE等，代理軟體的安裝調試方法請參閱其它資料） 4． 工作站的設置 （1） INTERNET EXPLORER設置 工具功能表->internet選項->連接->局域網設置->使用代理伺服器->位址:192.168.0.4埠:80-> 確定（2）其他軟體的設置請參閱軟體說明。 三、 直接存取與代理訪問並存的配置 1． 總體思路和設備連接方法 通過上面介紹的兩種方法進行配置，都能順利地實現INTERNET的訪問，但每種方法即有優點，又存在一定的缺點，且兩種方法的優點是互補的。 哪能不能將兩種方法的優點合二為一，方法三就是一種魚和熊掌能夠兼得的方案。 集成了一、二兩種方法的優點，即節省了IP位址，又能通過代理伺服器提供的CACHE來提高INTERNET的訪問效率。 採用這種方案來訪問互聯網，設備連接方法如下： 代理伺服器上安裝兩塊網卡，兩塊網卡均連接在交換器上，在設置IP位址時，兩塊網卡均設置內部私有位址，但這兩個位址應不屬於一個網路（即IP位址的網路位址不同）， 一塊用於與內部網通信（網卡1），一塊用於與路由器通信（網卡2），否則代理無法實現。 在代理伺服器上不要安裝NETBEUI協定，僅安裝TCP/IP協定。 （注意：這一步必須要做，否則會因為代理伺服器與交換器之間連接線路冗余而導致代理伺服器NETBIOS電腦名稱衝突而影響正常通信） 路由器乙太口也設置一個內部私有位址， 該位址因與網卡2的位址在同一個網路（即IP位址的網路位址與網卡2相同）2． 路由器的設置 en config t ip nat pool c2610 211.90.139.41 211.90.139.42 netmask 255.255.255.252 (定義一個位址集區c2601，其內包含了兩個空閒的合法IP位址，供N AT轉換時使用) int e0/0 ip address 192.168.1.1 255.255.255.0 ip nat inside exit （設置乙太口的IP位址，並設置其為連接內部網的埠） interface s0/0 ip add ress 211.90.137.25 255.255.255.252 ip nat outside exit （設置廣域網路埠的IP位址，並設置其為連接外部網的埠） ip route 0.0.0.0 0.0.0.0 211.90.137.26 （設置動態路由） access-list 2 permit 192.168.0.1 0.0.0.255 （建立存取控制清單） ! Dynamic NAT ! ip nat inside source list 2 pool c2610 overload （建立動態位址翻譯） line console 0 exec-timeout 0 0 ! line vty 0 4 end wr (保存所作的設置) 3． 代理伺服器的設置 代理伺服器上安裝兩塊網卡，兩塊網卡均連接在交換器上，網卡1設IP位址為：192.168.0.4，不設閘道；網卡2設IP位址為：192.168.1.2，設其閘道為192.168.1.1（路由器乙太口）。 按照上面的方法設置好網卡後，再安裝一套代理軟體即可。 （如：MS PROXY SERVER 2.0、WINGATE等，代理軟體的安裝調試方法請參閱其它資料） 注意：在安裝代理軟體時（以MS-PROXY 2.0為例），在指定LAT表時， 應將位址範圍192.168.0.0-192.168.255.255排除在外，否則代理無法正常工作。 4． 工作站的設置 在這種配置之下，工作站既可以通過設置代理上網，也可以通過設置閘道直接上網。 若只通過代理上網，設置方法與方法二完全一致。 若只通過閘道上網，要求工作站必須設置靜態IP位址，IP位址應設為192.168.1.X， 與路由器乙太口在同一個網段，並設置閘道為：192.168.1.1，設置DNS為接入商提供的位址。 若想兩種方法並存，則需要在TCP/IP中設置兩個靜態IP位址：192.168.0.X和192.168.1.X，並設置閘道為：192.168.1.1 ，DNS為接入商提供的位址。 使用時只需在瀏覽器等軟體中打開或關閉代理設置即可在代理與閘道上網之間進行切換。