局域網(wǎng)中代理路由器的配置

2019-11-05 03:09:59

字體：大中小

供稿：網(wǎng)友

網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，使企事業(yè)單位局域網(wǎng)接入INTERNET共享資源的方式越來越多，就大多數(shù)而言，DDN專線以其性能穩(wěn)定、擴(kuò)充性好的優(yōu)勢成為普遍采用的方式，DDN方式的連接在硬件的需求上是簡單的，僅需要一臺路由器（router）、代理服務(wù)器(PRoxy server)即可，但在系統(tǒng)的配置上對許多的網(wǎng)絡(luò)治理人員來講是一個比較棘手的問題。下面以CISCO路由器為例：

一、直接通過路由器訪問INTERNET資源的配置 

1．總體思路和設(shè)備連接方法 

一般情況下，單位內(nèi)部的局域網(wǎng)都使用INTERNET上的保留地址： 10.0.0.0/8：10.0.0.0～10.255.255.255 172.16.0.0/12：172.16.0.0～172.31.255.255 192.168.0.0/16：192.168.0.0～192.168.255.255 

在常規(guī)情況下，單位內(nèi)部的工作站在直接利用路由對外訪問時，會因工作站使用的是互聯(lián)網(wǎng)上的保留地址，而被路由器過濾掉，從而導(dǎo)致無法訪問互聯(lián)網(wǎng)資源。解決這一問題的辦法是利用路由操作系統(tǒng)提供的NAT（Network Address Translation）地址轉(zhuǎn)換功能，將內(nèi)部網(wǎng)的私有地址轉(zhuǎn)換成互聯(lián)網(wǎng)上的合法地址，使得不具有合法ip地址的用戶可以通過NAT訪問到外部Internet。這樣做的好處是無需配備代理服務(wù)器，減少投資，還可以節(jié)約合法IP地址，并提高了內(nèi)部網(wǎng)絡(luò)的安全性。 NAT有兩種類型：Single模式和global模式。 

使用NAT的single模式，就像它的名字一樣，可以將眾多的本地局域網(wǎng)主機(jī)映射為一個Internet地址。局域網(wǎng)內(nèi)的所有主機(jī)對外部Internet網(wǎng)絡(luò)而言，都被看做一個Internet用戶。本地局域網(wǎng)內(nèi)的主機(jī)繼續(xù)使用本地地址。 

使用NAT的global模式，路由器的接口將眾多的本地局域網(wǎng)主機(jī)映射為一定的Internet地址范圍（IP地址池）。當(dāng)本地主機(jī)端口與Internet上的主機(jī)連接時，IP地址池中的某個IP地址被自動分配給該本地主機(jī)，連接中斷后動態(tài)分配的IP地址將被釋放，釋放的IP地址可被其他本地主機(jī)使用。 下面以我單位的網(wǎng)絡(luò)環(huán)境為例，將配置方法及過程列示出來，供大家參考。 我單位利用聯(lián)通光纜（V.35）接入INTERNET的，路由器是CISCO2610，局域網(wǎng)采用的是INTEL550百兆交換機(jī)，聯(lián)通向我們提供了下列四個IP地址： 211.90.137.25（255.255.255.252）用于本地路由器的廣域網(wǎng)端口 211.90.137.26（255.255.255.252）用于對方（聯(lián)通）的端口 211.90.139.41（255.255.255.252）供自己支配 211.90.139.42（255.255.255.252）供自己支配 

2．路由器的配置 

en config t ip nat pool c2610 211.90.139.41 211.90.139.42 netmask 255.255.255.252 (定義一個地址池c2601，其內(nèi)包含了兩個空閑的合法IP地址，供NAT轉(zhuǎn)換時使用) int e0/0 ip address 192.168.0.3 255.255.255.0 ip nat inside exit （設(shè)置以太口的IP地址，并設(shè)置其為連接內(nèi)部網(wǎng)的端口） interface s0/0 ip address 211.90.137.25 255.255.255.252 ip nat outside exit （設(shè)置廣域網(wǎng)端口的IP地址，并設(shè)置其為連接外部網(wǎng)的端口） ip route 0.0.0.0 0.0.0.0 211.90.137.26 （設(shè)置動態(tài)路由） access-list 2 permit 192.168.0.1 0.0.0.255 （建立訪問控制列表） ! Dynamic NAT ! ip nat inside source list 2 pool c2610 overload （建立動態(tài)地址翻譯） line console 0 exec-timeout 0 0 ! line vty 0 4 end wr (保存所作的設(shè)置) 

3．工作站的配置

 要求使用靜態(tài)IP地址，在TCP/IP屬性中進(jìn)行設(shè)置，并設(shè)置關(guān)網(wǎng)為192.168.0.3（路由器以太口IP地址），設(shè)置DNS為接入商提供的地址，瀏覽器等上網(wǎng)工具中無需作任何非凡設(shè)置。 

二、通過代理服務(wù)器訪問INTERNET資源的配置 

1．總體的思路和設(shè)備連接方法 

利用代理服務(wù)器方式訪問INTERNET資源，優(yōu)點(diǎn)是可以利用代理服務(wù)器提供的CACHE服務(wù)來提高INTERNET的訪問速度和效率。比較適合工作站較多的單位使用。缺點(diǎn)是需要專門配備一臺計(jì)算機(jī)作為代理服務(wù)器，增加了投資成本；且較第一種法方還需多占用兩個合法IP地址，網(wǎng)絡(luò)安全性不高。 

采用這種方案來訪問互聯(lián)網(wǎng)，設(shè)備連接方法如下： 代理服務(wù)器上安裝兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)，設(shè)置內(nèi)部私有地址；另一塊連接路由器以太口，設(shè)置聯(lián)通分配的合法地址（211.90.139.42），并設(shè)置其網(wǎng)關(guān)為211.90.139.41（路由器以太口） 路由器以太口也設(shè)置聯(lián)通分配的合法IP地址（211.90.139.41） 這樣，將設(shè)備連接好后，在代理服務(wù)器上安裝代理軟件，并在工作站上設(shè)置代理即可訪問INTERNET。 2．路由器的配置 en config t int e0/0 ip address 211.90.139.41 255.255.255.252 exit （設(shè)置以太口的IP地址） interface s0/0 ip address 211.90.137.25 255.255.255.252 exit （設(shè)置廣域網(wǎng)端口的IP地址） ip route 0.0.0.0 0.0.0.0 211.90.137.26 ip routing （設(shè)置動態(tài)路由,并激活路由） end wr (保存所作的設(shè)置) 

3．代理服務(wù)器的設(shè)置 

代理服務(wù)器必須按裝兩塊網(wǎng)卡，一塊用于連接內(nèi)部局域網(wǎng)，設(shè)IP地址為內(nèi)部私有地址（如：192.168.0.4 netmask 255.255.255.0）無需設(shè)網(wǎng)關(guān)。另一塊用于連接路由器，設(shè)置聯(lián)通分配的合法地址（211.90.139.42 netmask 255.255.255.252），并設(shè)置其網(wǎng)關(guān)為：211.90.139.41(路由器以太口)。 按照上面的方法設(shè)置好網(wǎng)卡后，再安裝一套代理軟件即可。（如：MS PROXY SERVER 2.0、WINGATE等，代理軟件的安裝調(diào)試方法請參閱其它資料） 

4．工作站的設(shè)置 

（1） INTERNET EXPLORER設(shè)置 

工具菜單->internet選項(xiàng)->連接->局域網(wǎng)設(shè)置->使用代理服務(wù)器->地址:192.168.0.4端口:80->確定

（2）其他軟件的設(shè)置請參閱軟件說明。 

三、直接訪問與代理訪問并存的配置 

1．總體思路和設(shè)備連接方法 

通過上面介紹的兩種方法進(jìn)行配置，都能順利地實(shí)現(xiàn)INTERNET的訪問，但每種方法即有優(yōu)點(diǎn)，又存在一定的缺點(diǎn)，且兩種方法的優(yōu)點(diǎn)是互補(bǔ)的。哪能不能將兩種方法的優(yōu)點(diǎn)合二為一，方法三就是一種魚和熊掌能夠兼得的方案。集成了一、二兩種方法的優(yōu)點(diǎn)，即節(jié)省了IP地址，又能通過代理服務(wù)器提供的CACHE來提高INTERNET的訪問效率。

采用這種方案來訪問互聯(lián)網(wǎng)，設(shè)備連接方法如下： 代理服務(wù)器上安裝兩塊網(wǎng)卡，兩塊網(wǎng)卡均連接在交換機(jī)上，在設(shè)置IP地址時，兩塊網(wǎng)卡均設(shè)置內(nèi)部私有地址，但這兩個地址應(yīng)不屬于一個網(wǎng)絡(luò)（即IP地址的網(wǎng)絡(luò)地址不同），一塊用于與內(nèi)部網(wǎng)通信（網(wǎng)卡1），一塊用于與路由器通信（網(wǎng)卡2），否則代理無法實(shí)現(xiàn)。 在代理服務(wù)器上不要安裝NETBEUI協(xié)議，僅安裝TCP/IP協(xié)議。（注重：這一步必須要做，否則會因?yàn)榇矸?wù)器與交換機(jī)之間連接線路冗余而導(dǎo)致代理服務(wù)器NETBIOS計(jì)算機(jī)名沖突而影響正常通信） 路由器以太口也設(shè)置一個內(nèi)部私有地址，該地址因與網(wǎng)卡2的地址在同一個網(wǎng)絡(luò)（即IP地址的網(wǎng)絡(luò)地址與網(wǎng)卡2相同）

2．路由器的設(shè)置 en config t ip nat pool c2610 211.90.139.41 211.90.139.42 netmask 255.255.255.252 (定義一個地址池c2601，其內(nèi)包含了兩個空閑的合法IP地址，供NAT轉(zhuǎn)換時使用) int e0/0 ip address 192.168.1.1 255.255.255.0 ip nat inside exit （設(shè)置以太口的IP地址，并設(shè)置其為連接內(nèi)部網(wǎng)的端口） interface s0/0 ip address 211.90.137.25 255.255.255.252 ip nat outside exit （設(shè)置廣域網(wǎng)端口的IP地址，并設(shè)置其為連接外部網(wǎng)的端口） ip route 0.0.0.0 0.0.0.0 211.90.137.26 （設(shè)置動態(tài)路由） access-list 2 permit 192.168.0.1 0.0.0.255 （建立訪問控制列表） ! Dynamic NAT ! ip nat inside source list 2 pool c2610 overload （建立動態(tài)地址翻譯） line console 0 exec-timeout 0 0 ! line vty 0 4 end wr (保存所作的設(shè)置) 

2．代理服務(wù)器的設(shè)置 

代理服務(wù)器上安裝兩塊網(wǎng)卡，兩塊網(wǎng)卡均連接在交換機(jī)上，網(wǎng)卡1設(shè)IP地址為：192.168.0.4，不設(shè)網(wǎng)關(guān)；網(wǎng)卡2設(shè)IP地址為：192.168.1.2，設(shè)其網(wǎng)關(guān)為192.168.1.1（路由器以太口）。 按照上面的方法設(shè)置好網(wǎng)卡后，再安裝一套代理軟件即可。（如：MS PROXY SERVER 2.0、WINGATE等，代理軟件的安裝調(diào)試方法請參閱其它資料） 注重：在安裝代理軟件時（以MS-PROXY 2.0為例），在指定LAT表時，應(yīng)將地址范圍192.168.0.0-192.168.255.255排除在外，否則代理無法正常工作。

3．工作站的設(shè)置 

在這種配置之下，工作站既可以通過設(shè)置代理上網(wǎng)，也可以通過設(shè)置網(wǎng)關(guān)直接上網(wǎng)。 若只通過代理上網(wǎng)，設(shè)置方法與方法二完全一致。 若只通過網(wǎng)關(guān)上網(wǎng)，要求工作站必須設(shè)置靜態(tài)IP地址，IP地址應(yīng)設(shè)為192.168.1.X， 與路由器以太口在同一個網(wǎng)段，并設(shè)置網(wǎng)關(guān)為：192.168.1.1，設(shè)置DNS為接入商提供的地址。 若想兩種方法并存，則需要在TCP/IP中設(shè)置兩個靜態(tài)IP地址：192.168.0.X和192.168.1.X，并設(shè)置網(wǎng)關(guān)為：192.168.1.1 ，DNS為接入商提供的地址。使用時只需在瀏覽器等軟件中打開或關(guān)閉代理設(shè)置即可在代理與網(wǎng)關(guān)上網(wǎng)之間進(jìn)行切換。

上一篇：網(wǎng)管心得:局域網(wǎng)加速之另類妙招

下一篇：教你如何輕松搭建無線局域網(wǎng)