网络技术的飞速发展,使企事业单位局域网接入INTERNET共享资源的方式越来越多,就大多数而言,DDN专线以其性能稳定、扩充性好的优势成为普遍采用的方式,DDN方式的连接在硬件的需求上是简单的,仅需要一台由器(router)、代理服务器(proxy server)即可,但在系统的配置上对许多的网络管理人员来讲是一个比较棘手的问题。下面以CISCO由器为例,笔者就几种比较成功的配置方法作以介绍,以供同行借鉴:
在常规情况下,单位内部的工作站在直接利用由对外访问时,会因工作站使用的是互联网上的保留地址,而被由器过滤掉,从而导致无法访问互联网资源。解决这一问题的办法是利用由操作系统提供的NAT(Network Address Translation)地址转换功能,将内部网的私有地址转换成互联网上的地址,使得不具有IP地址的用户可以通过NAT访问到外部Internet。这样做的好处是无需配备代理服务器,减少投资,还可以节约IP地址,并提高了内部网络的安全性。
使用NAT的global模式,由器的接口将众多的本地局域网主机映射为一定的Internet地址范围(IP地址池)。当本地主机端口与Internet上的主机连接时,IP地址池中的某个IP地址被自动分配给该本地主机,连接中断后动态分配的IP地址将被,的IP地址可被其他本地主机使用。
说明:校内所有的工作站都与交换机连接,由器也通过以太口连接在内部交换机上,由器上以太口使用内部私有地址,光纤的两端分别使用了联通分配的两个有效IP地址。在这种连接方式下,只要在由器内部设置NAT,便可以使得单位内部的所有工作站访问INTERNTE了,在每台工作站上只需设置网关指向由器的以太口(192.168.0.3)即可上网,无需设代理,并节省了两个有效IP地址可供自己支配(如建立单位自已的WEB和E-MAIL服务器)。但也存在缺点:不能享受代理服务器提供的CACHE服务来提高访问速度。所以本配置方案适合工作站数量较少的单位,对于单位内部工作站数量较多的情况可以使用后面介绍的两种方法。由器上具体配置如下:
代理服务器上安装两块网卡,一块连接内部网,设置内部私有地址;另一块连接由器以太口,设置联通分配的地址(211.90.139.42),并设置其网关为211.90.139.41(由器以太口)
通过介绍的两种方法进行配置,都能顺利地实现INTERNET的访问,但每种方法即有优点,又存在一定的缺点,且两种方法的优点是互补的。哪能不能将两种方法的优点合二为一,方法三就是一种鱼和熊掌能够兼得的方案。集成了一、二两种方法的优点,即节省了IP地址,又能通过代理服务器提供的CACHE来提高INTERNET的访问效率。
与由器以太口在同一个网段,并设置网关为:192.168.1.1,设置DNS为接入商提供的地址。
网友评论 ()条 查看