局域網(wǎng)接入互聯(lián)網(wǎng)

局域網(wǎng)接入Internet內(nèi)網(wǎng)連入Internet的幾種方式將內(nèi)網(wǎng)連入Internet的五種方式通過路由器將內(nèi)網(wǎng)連入Internet通過網(wǎng)絡(luò)防火墻將內(nèi)網(wǎng)連入Internet通過代理服務(wù)器將內(nèi)網(wǎng)連入Internet通過NAT網(wǎng)關(guān)連入Internet通過VPN使內(nèi)網(wǎng)經(jīng)過Internet進(jìn)行互聯(lián)常見實(shí)現(xiàn)方式根據(jù)工作原理不同，可分為：軟件方式代理服務(wù)器方式網(wǎng)關(guān)方式硬件方式擁有網(wǎng)絡(luò)地址轉(zhuǎn)換功能的設(shè)備

代理服務(wù)器

proxy、ISA、ICS、wingate、Sygate等

NAT/NAPT(網(wǎng)絡(luò)地址轉(zhuǎn)換/網(wǎng)絡(luò)地址端口轉(zhuǎn)換)

路由器、防火墻、核心交換機(jī)、服務(wù)器代理服務(wù)器技術(shù)代理服務(wù)器工作原理工作在應(yīng)用層兩個(gè)網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸全部由代理服務(wù)器轉(zhuǎn)發(fā)和控制多數(shù)代理服務(wù)器只支持部分應(yīng)用程序代理服務(wù)器技術(shù)反向代理為外網(wǎng)用戶訪問內(nèi)網(wǎng)提供代理服務(wù)通常只用來發(fā)布內(nèi)網(wǎng)web服務(wù)器充當(dāng)web緩沖服務(wù)器，以降低實(shí)際的web服務(wù)器負(fù)載代理服務(wù)器技術(shù)代理服務(wù)器主要功能共享網(wǎng)絡(luò)連接資源，支持直接從緩存獲取信息充當(dāng)網(wǎng)絡(luò)防火墻，可將內(nèi)網(wǎng)的結(jié)構(gòu)和狀態(tài)對(duì)外屏蔽檢測(cè)和控制網(wǎng)絡(luò)訪問代理服務(wù)器的解決方案以WinGate、SyGate、Winroute等產(chǎn)品為代表的代理服務(wù)器軟件ISAServer、Squid支持反向代理服務(wù)代理服務(wù)器共享上網(wǎng)

代理服務(wù)器具有緩存Cache功能,可以加快訪問速度對(duì)每一種應(yīng)用獨(dú)立代理，對(duì)用戶有很強(qiáng)控制能力對(duì)新出現(xiàn)的網(wǎng)絡(luò)應(yīng)用無法支持客戶端的每種網(wǎng)絡(luò)應(yīng)用軟件需要配置具有防火墻功能Internet代理服務(wù)器Intranet共享上網(wǎng)配置內(nèi)網(wǎng)服務(wù)器發(fā)布網(wǎng)絡(luò)配置使用NAT代理服務(wù)器共享上網(wǎng)

網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）減少IP地址浪費(fèi)。透明代理,客戶端具有連接互聯(lián)網(wǎng)能力的機(jī)器一樣對(duì)客戶機(jī)網(wǎng)絡(luò)應(yīng)用程序控制能力比Proxy差一些。具有防火墻功能雖然NAT可以借助于某些代理服務(wù)器來實(shí)現(xiàn)，但考慮到運(yùn)算成本和網(wǎng)絡(luò)性能，很多時(shí)候是在路由器上實(shí)現(xiàn)。InternetNAT服務(wù)器Intranet60.1.1.1192.168.0.1192.168.0.0NAT/NAPT帶來的好處解決IPv4地址空間不足的問題；私有IP地址網(wǎng)絡(luò)與公網(wǎng)互聯(lián)；10.0.0.0/8，172.16.0.0/12，192.168.0.0/16非注冊(cè)IP地址網(wǎng)絡(luò)與公網(wǎng)互聯(lián)；建網(wǎng)時(shí)分配了全局IP地址－但沒注冊(cè)網(wǎng)絡(luò)改造中，避免更改地址帶來的風(fēng)險(xiǎn)；NAT技術(shù)NAT工作原理NAT工作在網(wǎng)絡(luò)層和傳輸層對(duì)進(jìn)過的數(shù)據(jù)包進(jìn)行地址轉(zhuǎn)換后再轉(zhuǎn)發(fā)NAT的網(wǎng)絡(luò)地址轉(zhuǎn)換是雙向的內(nèi)網(wǎng)到外網(wǎng)的NAT應(yīng)用共享IP地址和網(wǎng)絡(luò)連接，讓內(nèi)網(wǎng)共用一個(gè)公用地址接入Internet保護(hù)網(wǎng)絡(luò)安全，通過隱藏內(nèi)網(wǎng)IP地址，使黑客無法直接攻擊內(nèi)網(wǎng)NAT

NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換），局域網(wǎng)主機(jī)訪問互聯(lián)網(wǎng)時(shí)，網(wǎng)絡(luò)出口設(shè)備根據(jù)特定的規(guī)則，將局域網(wǎng)IP地址轉(zhuǎn)換為公網(wǎng)IP,從而實(shí)現(xiàn)局域網(wǎng)多臺(tái)主機(jī)利用NAT共享一條線路訪問互聯(lián)網(wǎng)。IP：AInternetIP：BIP：C（公網(wǎng)）IP：D（公網(wǎng)）server局域網(wǎng)A的數(shù)據(jù)到路由器后，路由器將A的IP轉(zhuǎn)換為公網(wǎng)IP(C)，發(fā)送給服務(wù)器服務(wù)器返回?cái)?shù)據(jù)到路由器后，路由器將公網(wǎng)IP(C)轉(zhuǎn)換為A的IP,轉(zhuǎn)發(fā)給主機(jī)ANAT工作原理端口映射外網(wǎng)到內(nèi)網(wǎng)的NAT將公網(wǎng)IP地址和端口號(hào)映射到內(nèi)網(wǎng)服務(wù)器的私有IP地址和端口號(hào)NAT解決方案硬件實(shí)現(xiàn)方案：NAT設(shè)備軟件實(shí)現(xiàn)方案：NAT網(wǎng)關(guān)或NAT服務(wù)器200.8.7.3/24200.8.7.4/2463.5.8.1192.168.1.5192.168.1.7源IP:192.168.1.7

目的IP:63.5.8.1NAT工作原理內(nèi)部本地地址內(nèi)部全局地址192.168.1.7200.8.7.3192.168.1.5200.8.7.4

源IP:200.8.7.3

目的IP:63.5.8.1

源IP:63.5.8.1

目的IP:200.8.7.3

源IP:63.5.8.1

目的IP:192.168.1.7NAPT工作原理內(nèi)部本地地址：端口內(nèi)部全局地址:端口外部全局地址:端口192.168.1.7:1024200.8.7.3:102463.5.8.1：80192.168.1.5:1136200.8.7.3:113663.5.8.1：80200.8.7.3/2463.5.8.1192.168.1.5192.168.1.7源IP:192.168.1.7:1024

目的IP:63.5.8.1:80

源IP:200.8.7.3:1023

目的IP:63.5.8.1:80

源IP:63.5.8.1:80

目的IP:200.8.7.3:1024

源IP:63.5.8.1:80

目的IP:192.168.1.7:1024Web服務(wù)NAPTNAPT：網(wǎng)絡(luò)端口地址轉(zhuǎn)換將多個(gè)內(nèi)部地址映射為一個(gè)合法公網(wǎng)地址，但以不同的協(xié)議端口號(hào)與不同的內(nèi)部地址相對(duì)應(yīng)<內(nèi)部地址+內(nèi)部端口>與<外部地址+外部端口>之間的轉(zhuǎn)換“多對(duì)一”的NAT，能夠使用一個(gè)全球有效IP地址獲得通用性通信僅限于TCP或UDP適應(yīng)場(chǎng)合缺乏全局IP地址只有一個(gè)連接ISP的全局IP地址內(nèi)部網(wǎng)要求上網(wǎng)的主機(jī)數(shù)很多提高內(nèi)網(wǎng)的安全性NAT和NAPT的配置

NAT/NAPT的配置有兩種靜態(tài)NAT/NAPT

動(dòng)態(tài)NAT/NAPT

靜態(tài)NAT/NAPT

需要向外網(wǎng)絡(luò)提供信息服務(wù)的主機(jī)永久的一對(duì)一IP地址映射關(guān)系

動(dòng)態(tài)NAT/NAPT

只訪問外網(wǎng)服務(wù)，不提供信息服務(wù)的主機(jī)內(nèi)部主機(jī)數(shù)可以大于全局IP地址數(shù)最多訪問外網(wǎng)主機(jī)數(shù)決定于全局IP地址數(shù)臨時(shí)的一對(duì)一IP地址映射關(guān)系局域網(wǎng)設(shè)置方案案例：某單位使用聯(lián)通光纜接入Internet，路由器是Cisco2610，局域網(wǎng)采用INTEL550百兆交換機(jī)，聯(lián)通提供四個(gè)IP地址：211.90.137.25（255.255.255.252）用于本地路由器的廣域網(wǎng)端口211.90.137.26（255.255.255.252）用于對(duì)方（聯(lián)通）的端口211.90.139.41（255.255.255.252）供自己支配211.90.139.42（255.255.255.252）供自己支配一般情況下，單位內(nèi)部的局域網(wǎng)都使用Internet上的保留地址：10.0.0.0/8：10.0.0.0～10.255.255.255172.16.0.0/12：172.16.0.0～172.31.255.255192.168.0.0/16：192.168.0.0～192.168.255.255通過路由器訪問Internet一般情況下，局域網(wǎng)內(nèi)部的工作站直接利對(duì)外訪問時(shí)，會(huì)因工作站使用的是互聯(lián)網(wǎng)上的保留地址，而被路由器過濾掉，無法訪問互聯(lián)網(wǎng)資源。解決這一問題的辦法是利用路由操作系統(tǒng)提供的NAT地址轉(zhuǎn)換功能，將內(nèi)部網(wǎng)的私有地址轉(zhuǎn)換成互聯(lián)網(wǎng)上的合法地址，使得不具有合法IP地址的用戶可以通過NAT訪問到外部Internet。NAT有兩種類型：Single模式、global模式Single模式：可以將眾多的本地局域網(wǎng)主機(jī)映射為一個(gè)Internet地址。局域網(wǎng)內(nèi)的所有主機(jī)對(duì)外部Internet網(wǎng)絡(luò)而言，都被看做一個(gè)Internet用戶。Global模式：路由器的接口將眾多的本地局域網(wǎng)主機(jī)映射為一定的Internet地址范圍“IP地址池”。當(dāng)本地主機(jī)端口與Internet上的主機(jī)連接時(shí)，IP地址池中的某個(gè)IP地址被自動(dòng)分配給該本地主機(jī)，連接中斷后動(dòng)態(tài)分配的IP地址將被釋放，釋放的IP地址可被其他本地主機(jī)使用。網(wǎng)絡(luò)連接示意圖：所有的工作站都與交換機(jī)連接

路由器通過以太口連接在內(nèi)部交換機(jī)上路由器上以太口使用內(nèi)部私有地址光纖的兩端分別使用了聯(lián)通分配的兩個(gè)有效IP地址在這種連接方式下，只要在路由器內(nèi)部設(shè)置NAT，便可以使得局域網(wǎng)內(nèi)部的所有工作站訪問Internet，在每臺(tái)工作站上只需設(shè)置網(wǎng)關(guān)指向路由器的以太口（192.168.0.3）即可上網(wǎng)，無需設(shè)置代理，并節(jié)省了兩個(gè)有效IP地址可供自由支配（如建立單位自已的WEB和E-MAIL服務(wù)器）缺點(diǎn)：不能享受代理服務(wù)器提供的Cache服務(wù)來提高訪問速度。所以本配置方案適合工作站數(shù)量較少的局域網(wǎng)。工作站配置：要求使用靜態(tài)IP地址，在TCP/IP屬性中進(jìn)行設(shè)置，并設(shè)置網(wǎng)關(guān)為192.168.0.3（路由器以太口IP地址），設(shè)置DNS為接入商提供的地址。通過代理服務(wù)器訪問Internet網(wǎng)絡(luò)連接示意圖：代理服務(wù)器上安裝兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)，設(shè)置內(nèi)部私有地址；另一塊連接路由器以太口，設(shè)置聯(lián)通分配的合法地址（211.90.139.42），并設(shè)置其網(wǎng)關(guān)為211.90.139.41（路由器以太口）路由器以太口也設(shè)置聯(lián)通分配的合法IP地址（211.90.139.41）

將設(shè)備連接好后，在代理服務(wù)器上安裝代理軟件，并在工作站上設(shè)置代理即可訪問Internet代理服務(wù)器的設(shè)置：代理服務(wù)器必須按裝兩塊網(wǎng)卡，一塊用于連接內(nèi)部局域網(wǎng)，設(shè)IP地址為內(nèi)部私有地址（如：192.168.0.4掩碼255.255.255.0）無需設(shè)網(wǎng)關(guān)。另一塊用于連接路由器，設(shè)置聯(lián)通分配的合法地址（211.90.139.42掩碼255.255.255.252），并設(shè)置其網(wǎng)關(guān)為：211.90.139.41(路由器以太口)。按照上面的方法設(shè)置好網(wǎng)卡后，再安裝一套代理軟件即可。工作站的設(shè)置：工具菜單->internet選項(xiàng)->連接->局域網(wǎng)設(shè)置->使用代理服務(wù)器->地址:192.168.0.4端口:80->確定。利用代理服務(wù)器方式訪問Internet，優(yōu)點(diǎn)是可以利用代理服務(wù)器提供的Cache服務(wù)來提高Internet的訪問速度和效率。比較適合工作站較多的局域網(wǎng)使用。缺點(diǎn)是需要專門配備一臺(tái)計(jì)算機(jī)作為代理服務(wù)器，增加了投資成本；且較上一種方法多占用兩個(gè)合法IP地址。局域網(wǎng)內(nèi)的所有計(jì)算機(jī)通過交換機(jī)直接與代理服務(wù)器上的內(nèi)部網(wǎng)卡通訊，然后在代理服務(wù)軟件的控制之下經(jīng)過路由器訪問Internet。直接訪問與代理訪問并存網(wǎng)絡(luò)連接示意圖：集成了前兩種方法的優(yōu)點(diǎn)，即節(jié)省了IP地址，又能通過代理服務(wù)器提供的Cache來提高Internet的訪問效率。代理服務(wù)器上安裝兩塊網(wǎng)卡，兩塊網(wǎng)卡均連接在交換機(jī)上，在設(shè)置IP地址時(shí)，兩塊網(wǎng)卡均設(shè)置內(nèi)部私有地址，但這兩個(gè)地址應(yīng)不屬于一個(gè)網(wǎng)絡(luò)（即IP地址的網(wǎng)絡(luò)地址不同），一塊用于與內(nèi)部網(wǎng)通信（網(wǎng)卡1），一塊用于與路由器通信（網(wǎng)卡2），否則代理無法實(shí)現(xiàn)。在代理服務(wù)器上不要安裝NETBEUI協(xié)議，僅安裝TCP/IP協(xié)議。路由器以太口也設(shè)置一個(gè)內(nèi)部私有地址，該地址因與網(wǎng)卡2的地址在同一個(gè)網(wǎng)絡(luò)（即IP地址的網(wǎng)絡(luò)地址與網(wǎng)卡2相同）代理服務(wù)器的設(shè)置：代理服務(wù)器上安裝兩塊網(wǎng)卡，兩塊網(wǎng)卡均連接在交換機(jī)上，網(wǎng)卡1設(shè)IP地址為：192.168.0.4，不設(shè)網(wǎng)關(guān)；網(wǎng)卡2設(shè)IP地址為：192.168.1.2，設(shè)其網(wǎng)關(guān)為192.168.1.1（路由器以太口）。按照上面的方法設(shè)置好網(wǎng)卡后，再安裝一套代理軟件即可。在安裝代理軟件時(shí)在指定LAT表時(shí)，應(yīng)將地址范圍192.168.0.0-192.168.255.255排除在外，否則代理無法正常工作。工作站的設(shè)置：若只通過代理上網(wǎng)，設(shè)置方法與方法二完全一致若只通過網(wǎng)關(guān)上網(wǎng)，要求工作站必須設(shè)置