项目10局域网通过代理服务器接入

《项目10局域网通过代理服务器接入》由会员分享，可在线阅读，更多相关《项目10局域网通过代理服务器接入（47页珍藏版）》请在文档大全上搜索。

1、学习情境四学习情境四 接入接入InternetInternet项目项目10 10 局域网通过代理服务器接入局域网通过代理服务器接入InternetInternet项目项目1 1 双机互连对等网络的组建双机互连对等网络的组建 10.1 10.1 项目提出项目提出 u张飞家中原有的一台计算机已通过张飞家中原有的一台计算机已通过ADSLADSL接入接入InternetInternet，最近又添置了，最近又添置了2 2台计算机，并已通台计算机，并已通过交换机组建成家庭局域网。过交换机组建成家庭局域网。u可是新添置的可是新添置的2 2台计算机如何实现台计算机如何实现InternetInternet接接入

2、呢？张飞找到了诸葛亮，请求帮助解决此入呢？张飞找到了诸葛亮，请求帮助解决此问题。问题。10.2 10.2 项目分析项目分析 u许多家庭网络和单位的办公室网络接入采用许多家庭网络和单位的办公室网络接入采用一个一个InternetInternet信息点接入，这样上网就只能信息点接入，这样上网就只能依靠共享。依靠共享。u现有常见的共享方式有两种：一种是采用硬现有常见的共享方式有两种：一种是采用硬件的共享方式，如宽带路由器等设备；另外件的共享方式，如宽带路由器等设备；另外一种是采用软件方式实现共享上网，如采用一种是采用软件方式实现共享上网，如采用代理服务器来解决网络共享问题是比较便捷代理服务器来解决网

3、络共享问题是比较便捷的，常见的有的，常见的有ICS(ICS(因特网连接共享，因特网连接共享，WindowsWindows中自带的一个服务中自带的一个服务) )、SygateSygate、WingateWingate、CCProxyCCProxy等代理服务器软件。等代理服务器软件。u如果只有两台计算机需要接入如果只有两台计算机需要接入InternetInternet，可，可通过双机互连技术把这两台计算机连接起来，通过双机互连技术把这两台计算机连接起来，其中一台可通过其中一台可通过ADSLADSL等接入等接入InternetInternet，并开，并开启启ICSICS共享服务，另一台计算机则通过共

4、享服务，另一台计算机则通过ICSICS共共享接入享接入InternetInternet。u如果有更多的计算机需要接入如果有更多的计算机需要接入InternetInternet，为，为了节省购买宽带路由器等网络接入设备的开了节省购买宽带路由器等网络接入设备的开支，可通过代理服务器软件共享接入。支，可通过代理服务器软件共享接入。10.3 10.3 相关知识点相关知识点 10.3.1 10.3.1 代理服务器的工作过程代理服务器的工作过程u代理服务器英文全称是代理服务器英文全称是Proxy ServerProxy Server，其功能，其功能就是代理网络用户去取得网络信息。形象的说，就是代理网络用户

5、去取得网络信息。形象的说，它是网络信息的中转站。它是网络信息的中转站。u代理服务器是一台配备了两块以太网网卡的服代理服务器是一台配备了两块以太网网卡的服务器。其中一块网卡接入务器。其中一块网卡接入InternetInternet，另一块网，另一块网卡一般和内部局域网互连，使用代理软件来进卡一般和内部局域网互连，使用代理软件来进行代理业务处理。行代理业务处理。10.3.2 10.3.2 代理服务器的主要功能代理服务器的主要功能 提高访问速度。通常代理服务器都设置一个较大的硬盘缓冲区，提高访问速度。通常代理服务器都设置一个较大的硬盘缓冲区，当有外界的信息通过时，同时也将其保存到缓冲区中，当其他用当

6、有外界的信息通过时，同时也将其保存到缓冲区中，当其他用户再访问相同的信息时，则直接由缓冲区中取出信息传给用户，户再访问相同的信息时，则直接由缓冲区中取出信息传给用户，以提高访问速度。以提高访问速度。 起到防火墙的作用。局域网内部使用代理服务器的用户，都必须起到防火墙的作用。局域网内部使用代理服务器的用户，都必须通过代理服务器访问远程站点，因此在代理服务器上设置相应的通过代理服务器访问远程站点，因此在代理服务器上设置相应的限制，过滤或屏蔽掉某些信息，对内网用户访问范围进行限制，限制，过滤或屏蔽掉某些信息，对内网用户访问范围进行限制，起到防火墙的作用。起到防火墙的作用。 隐藏真实的隐藏真实的IPI

7、P地址。无论是上网聊天还是浏览网站，目的网络只地址。无论是上网聊天还是浏览网站，目的网络只知道访问用户来自代理服务器，而用户的真实知道访问用户来自代理服务器，而用户的真实IPIP地址就无法知道，地址就无法知道，通过代理服务器可以隐藏自己的通过代理服务器可以隐藏自己的IPIP地址，免受黑客攻击。地址，免受黑客攻击。10.3.3 10.3.3 代理服务器的类型代理服务器的类型 HTTP HTTP代理：代理客户机的代理：代理客户机的HTTPHTTP访问，主要是代理浏览器访问网访问，主要是代理浏览器访问网页。页。 FTP FTP代理：代理客户机上的代理：代理客户机上的FTPFTP软件访问软件访问FTP

8、FTP服务器。服务器。 RTSP RTSP代理：代理客户机上的代理：代理客户机上的Real PlayerReal Player访问访问RealReal流媒体服务器，流媒体服务器，其端口一般为其端口一般为554554。 POP3 POP3代理：代理客户机上的邮件软件用代理：代理客户机上的邮件软件用POP3POP3方式收发邮件，端方式收发邮件，端口一般为口一般为110110。 SOCKS SOCKS代理：代理：SOCKSSOCKS代理与其他类型的代理不同，它只是简单地代理与其他类型的代理不同，它只是简单地传递数据包，而并不关心是何种应用协议，所以传递数据包，而并不关心是何种应用协议，所以SOCKS

9、SOCKS代理服务代理服务器比其他类型的代理服务器速度要快得多。器比其他类型的代理服务器速度要快得多。10.3.4 10.3.4 常用代理服务器软件常用代理服务器软件1 1ICSICS服务服务uICS(InternetICS(Internet Connection Share) Connection Share)，即因特网连接共，即因特网连接共享，是享，是Windows 2000/XPWindows 2000/XP为家庭网络或小型办公网络接为家庭网络或小型办公网络接入入InternetInternet提供的一种提供的一种InternetInternet连接共享服务。连接共享服务。ICSICS允

10、允许网络中许网络中有一台计算机通过接入设备接入有一台计算机通过接入设备接入InternetInternet，通过启用这台计算机上的通过启用这台计算机上的ICSICS服务，网络中的其他计算服务，网络中的其他计算机机就可以共享这个连接来访问就可以共享这个连接来访问InternetInternet的资源。的资源。uICSICS实际上相当于一种网络地址转换器，实际上相当于一种网络地址转换器，ICSICS使用私有使用私有网络网络192.168.0.0192.168.0.0，子网掩码为，子网掩码为255.255.255.0255.255.255.0。 u对于向外发出的数据包，对于向外发出的数据包，ICSI

11、CS将源将源IPIP地址和源地址和源TCP/UDPTCP/UDP端口号转换成一个公共的源端口号转换成一个公共的源IPIP地址和地址和可能改变的端口号；可能改变的端口号；u对于流入内部网络的数据包，对于流入内部网络的数据包，ICSICS将目的地址将目的地址和和TCP/UCPTCP/UCP端口转换成私有端口转换成私有IPIP地址和最初的地址和最初的TCP/UDPTCP/UDP端口号。端口号。u 代理服务器代理服务器CCProxyCCProxy于于20002000年年6 6月问世，是国内最流行的下载量月问世，是国内最流行的下载量最大的的国产代理服务器软件。主要用于局域网内共享宽带上最大的的国产代理服

12、务器软件。主要用于局域网内共享宽带上网，网，ADSLADSL共享上网、专线代理共享、共享上网、专线代理共享、ISDNISDN代理共享、卫星代理代理共享、卫星代理共享、蓝牙代理共享和二级代理等共享代理上网。总体来说，共享、蓝牙代理共享和二级代理等共享代理上网。总体来说，CCProxyCCProxy可以完成两项大的功能：代理共享上网和客户端代理权可以完成两项大的功能：代理共享上网和客户端代理权限管理。只要局域网内有一台机器能够上网，其他机器就可以限管理。只要局域网内有一台机器能够上网，其他机器就可以通过这台机器上安装的通过这台机器上安装的CCProxyCCProxy来代理共享上网，最大程度的减来代

13、理共享上网，最大程度的减少了硬件费用和上网费用。只需要在服务器上少了硬件费用和上网费用。只需要在服务器上CCProxyCCProxy代理服务代理服务器软件里进行帐号设置，就可以方便的管理客户端代理上网的器软件里进行帐号设置，就可以方便的管理客户端代理上网的权限。在提高员工工作效率和企业信息安全管理方面，权限。在提高员工工作效率和企业信息安全管理方面，CCProxyCCProxy充当了重要的角色。全中文界面操作和符合中国用户操作习惯充当了重要的角色。全中文界面操作和符合中国用户操作习惯的设计思路，的设计思路，CCProxyCCProxy完全可以成为中国用户代理上网首选的代完全可以成为中国用户代理

14、上网首选的代理服务器软件。理服务器软件。 2 2SygateSygate代理软件代理软件u SygateSygate代理软件特别适用于中小网络，它支持代理软件特别适用于中小网络，它支持Windows Windows 2000/XP2000/XP、UNIXUNIX等多种操作系统。等多种操作系统。SygateSygate具有以下特点：具有以下特点： 安装和设置简单。安装和设置简单。SygateSygate的安装可以在几分钟内完成，最重的安装可以在几分钟内完成，最重要的是几乎不需要附加的设置。不用安装客户端也可以通过要的是几乎不需要附加的设置。不用安装客户端也可以通过代理服务器共享上网。代理服务器共

15、享上网。 能根据访问要求提供自动拨号功能，以及超时自动断线。能根据访问要求提供自动拨号功能，以及超时自动断线。 安全性好。可以自由设定安全规则，防止信息泄漏。安全性好。可以自由设定安全规则，防止信息泄漏。 界面友好。界面友好。10.4 10.4 项目实现项目实现 10.4.1 10.4.1 任务任务1:1:双机用双机用ICSICS共享共享ADSLADSL接入接入InternetInternetn1 1任务目标任务目标n了解代理服务器连接技术。了解代理服务器连接技术。n掌握掌握ICSICS使用方法。使用方法。 2 2项目所需设备准备项目所需设备准备n装有装有Windows XPWindows X

16、P操作系统的操作系统的PCPC机机2 2台，其中一台安台，其中一台安装双网卡。装双网卡。nADSL MODEM 1ADSL MODEM 1台。台。n直通线直通线1 1根。根。n交叉线交叉线1 1根。根。3 3网络拓扑结构网络拓扑结构4 4项目实施步骤项目实施步骤(1) (1) 硬件连接硬件连接u步骤步骤1 1：如图：如图10-210-2所示，用交叉双绞线将所示，用交叉双绞线将PC1PC1的的网卡网卡1 1、PC2PC2计算机双机互连起来。计算机双机互连起来。u步骤步骤2 2：用直通双绞线连接：用直通双绞线连接ADSL MODEMADSL MODEM的的EthernetEthernet端口和端口

17、和PC1PC1的网卡的网卡2 2。u步骤步骤3 3：打开：打开ADSL MODEMADSL MODEM电源，如果电源，如果ADSL ADSL MODEMMODEM上的上的LAN-LinkLAN-Link指示绿灯亮，表明指示绿灯亮，表明ADSL ADSL MODEMMODEM与与PC1PC1计算机硬件连接成功。计算机硬件连接成功。(2) TCP/IP(2) TCP/IP协议配置协议配置u步骤步骤1 1：将：将PC1(PC1(代理服务器代理服务器) )的两个网卡的的两个网卡的IPIP地址都配置为地址都配置为“自动获得自动获得IPIP地址地址”。u步骤步骤2 2：由于配置：由于配置ICSICS后，后

18、，PC1PC1连接内部局域网连接内部局域网的网卡的网卡1 1自动配置自动配置IPIP地址为地址为192.168.0.1192.168.0.1，所，所以可设置以可设置PC2PC2的的IPIP地址为地址为192.168.0.2192.168.0.2，子网，子网掩码为掩码为255.255.255.0255.255.255.0，默认网关为，默认网关为192.168.0.1192.168.0.1。(3) (3) 建立虚拟拨号连接建立虚拟拨号连接u在在PC1PC1计算机中，按照项目计算机中，按照项目9 9任务任务1 1中的方法建中的方法建立虚拟拨号连接立虚拟拨号连接( (连接名为连接名为“中国电信宽中国电

19、信宽带带”) )。(4) (4) 代理服务器代理服务器ICSICS设置设置u步骤步骤1 1：在：在PC1PC1中，右击桌面上的中，右击桌面上的“网上邻居网上邻居”图标，在快捷菜单中选择图标，在快捷菜单中选择“属性属性”命令，打命令，打开开“网络连接网络连接”对话框。对话框。u步骤步骤2 2：在：在“网络连接网络连接”对话框对话框中，右击虚拟拨号连接图标中，右击虚拟拨号连接图标(“(“中国电信宽带中国电信宽带”) )，在快捷，在快捷菜单中选择菜单中选择“属性属性”命令，打命令，打开开“中国电信宽带属性中国电信宽带属性”对话对话框，如图框，如图10-310-3所示。所示。u步骤步骤3 3：选择：选

20、择“高级高级”选项卡，选项卡，选中选中“允许其他网络用户通过允许其他网络用户通过此计算机的此计算机的InternetInternet连接来连连接来连接接”复选框，并选择复选框，并选择“家庭网家庭网络连接络连接”为为“本地连接本地连接2”(2”(网网卡卡2)2)。u步骤步骤4 4：单击：单击“确定确定”按键，按键，完成虚拟拨号属性设置后，完成虚拟拨号属性设置后，PC1PC1连接局域网的网卡连接局域网的网卡1 1的的IPIP地址被自动配置为地址被自动配置为192.168.0.1192.168.0.1，该地址不可，该地址不可以更改，如图以更改，如图10-410-4所示。所示。u步骤步骤5 5：双击：

21、双击ADSLADSL虚拟拨号虚拟拨号连接连接(“(“中国电信宽带中国电信宽带”) )上网，用上网，用pingping命令或访问命令或访问网页的方式测试网页的方式测试PC2PC2是否可是否可以访问以访问InternetInternet。10.4.2 10.4.2 任务任务2:2:局域网通过代理服务器局域网通过代理服务器(Sygate(Sygate) )共享接入共享接入Internet Internet n1 1任务目标任务目标n了解代理服务器连接技术。了解代理服务器连接技术。n掌握局域网通过代理服务器掌握局域网通过代理服务器(Sygate(Sygate) )共享接入共享接入InternetInt

22、ernet的方法。的方法。2 2项目所需设备准备项目所需设备准备n装有装有Windows XPWindows XP操作系统的操作系统的PCPC机机3 3台。台。n代理服务器代理服务器1 1台台( (双网卡双网卡) )。n交换机交换机1 1台。台。nADSL MODEM 1ADSL MODEM 1台。台。n直通线直通线5 5根。根。n代理软件代理软件SygateSygate Home Network 4.5 Home Network 4.5中文版中文版1 1套。套。3 3网络拓扑结构网络拓扑结构 4 4项目实施步骤项目实施步骤(1) (1) 硬件连接硬件连接u步骤步骤1 1：如图：如图10-51

23、0-5所示，用直通双绞线将所示，用直通双绞线将PC1PC1、PC2PC2、PC3PC3和代理服务器的网卡和代理服务器的网卡1 1连接到交换机上。连接到交换机上。u步骤步骤2 2：用直通双绞线连接：用直通双绞线连接ADSL MODEMADSL MODEM的的EthernetEthernet端口端口和代理服务器的网卡和代理服务器的网卡2 2。u步骤步骤3 3：打开：打开ADSL MODEMADSL MODEM和交换机的电源，如果和交换机的电源，如果ADSL ADSL MODEMMODEM上的上的LAN-LinkLAN-Link指示灯亮，表明指示灯亮，表明ADSL MODEMADSL MODEM与代

24、理与代理服务器连接成功；如果交换机相应的服务器连接成功；如果交换机相应的LANLAN端口指示灯亮，端口指示灯亮，表明计算机和代理服务器与交换机连接成功。表明计算机和代理服务器与交换机连接成功。(2) (2) 代理服务器接入代理服务器接入InternetInternetu在代理服务器中，按照项目在代理服务器中，按照项目9 9任务任务1 1中的方法中的方法建立并进行虚拟拨号，接入建立并进行虚拟拨号，接入InternetInternet。也可。也可通过其他方法接入通过其他方法接入InternetInternet，如接入已连接，如接入已连接InternetInternet的校园网。的校园网。(3) (

25、3) 下载并安装下载并安装SygateSygate 4.5 4.5软件软件u步骤步骤1 1：在代理服务器中，可以到：在代理服务器中，可以到SygateSygate的官方站点的官方站点(http:/(http:/) )下载最新版本下载最新版本4.54.5版，文件版，文件大小为大小为4.28MB4.28MB，为直接安装的可执行文件。也可到华，为直接安装的可执行文件。也可到华军软件园网站军软件园网站(http:/(http:/) )下载最新版。下载最新版。u步骤步骤2 2：双击下载的：双击下载的Sygate45chs.exeSygate45chs.exe文件，运行文件，运行SygateSygate安

26、装程序，弹出欢迎窗口，单击安装程序，弹出欢迎窗口，单击“下一步下一步”按按钮继续，然后弹出钮继续，然后弹出SygateSygate安装使用协议书，单击安装使用协议书，单击“是是”按钮接受协议。按钮接受协议。u 步骤步骤3 3：选择：选择SygateSygate的安装路的安装路径，默认安装路径是径，默认安装路径是“C:ProgramC:Program FilesSygateFilesSygateSSHN”HN”，要改变默认安装路径，要改变默认安装路径，则单击则单击“浏览浏览”按钮修改默认按钮修改默认安装路径。否则，单击安装路径。否则，单击“下一下一步步”按钮，如图按钮，如图10-610-6所示。

27、所示。u 步骤步骤4 4：显示：显示SygateSygate将新建程将新建程序组序组“SygateSygate HomeHome Network”Network”，取默认值，单击取默认值，单击“下一步下一步”按按钮。钮。u步骤步骤6 6：安装完：安装完SygateSygate后，它会自动检测后，它会自动检测InternetInternet连接，如连接，如InternetInternet连接正常，则会显示连接正常，则会显示“SygateSygate NetworkNetwork DiagnosticsDiagnostics finished”finished”提示，提示，如图如图10-810-8

28、所示，否则会显示检测连接失败。单击所示，否则会显示检测连接失败。单击“确定确定”按钮。按钮。u步骤步骤7 7：然后弹出感谢试用：然后弹出感谢试用SygateSygate的对话框，的对话框，如图如图10-910-9所示，单击所示，单击“确定确定”进入试用模式。进入试用模式。u步骤步骤8 8：安装完成，要求重启计算机生效，单：安装完成，要求重启计算机生效，单击击“是是”按钮，重新启动计算机。按钮，重新启动计算机。(4) (4) 配置配置SygateSygate服务器服务器u步骤步骤1 1：进入：进入SygateSygate管理主窗口。选择管理主窗口。选择“开开始始”“程序程序”“Sygate Sy

29、gate HomeHome Network”“SygateNetwork”“Sygate管理器管理器”命令，进入命令，进入SygateSygate管理主窗口，如图管理主窗口，如图10-1010-10所示。所示。u 步骤步骤2 2：单击工具栏中的：单击工具栏中的“开始开始”按钮，启动按钮，启动SygateSygate代理服务。代理服务。单击单击“高级高级”按钮，显示按钮，显示SygateSygate高级特性管理窗口，如图高级特性管理窗口，如图10-1110-11所示。所示。 “状态状态”栏显示是栏显示是“连接类型：连接类型：High-High-SpeedSpeed Connection”Conn

30、ection”、“InternetInternet共享：共享：Online”Online”，窗口右下，窗口右下角的指示灯显示绿色，角的指示灯显示绿色，“网络流量信息网络流量信息”栏显示信息传输状况，栏显示信息传输状况，“INTERNETRINTERNETR接口状态接口状态”栏显示线路、用户、连接栏显示线路、用户、连接InternetInternet网卡网卡情况。情况。u步骤步骤3 3：暂停：暂停/ /恢复恢复SygateSygate服务。服务。u有时由于某种原因，需要暂停有时由于某种原因，需要暂停SygateSygate代理服务，暂停代理服务，暂停服务的方法是：在服务的方法是：在SygateS

31、ygate管理主界面中，单击工具栏管理主界面中，单击工具栏左边的左边的“停止停止”按钮或选择菜单按钮或选择菜单“服务服务”“停止停止”命令，弹出对话窗口，询问是否真的想暂停命令，弹出对话窗口，询问是否真的想暂停SygateSygate服服务，单击务，单击“是是”按钮。此时按钮。此时“状态状态”栏显示栏显示“连接类连接类型：型：None”None”、“InternetInternet共享：共享：Service Off”Service Off”，同，同时管理主窗口右下角的指示灯变为红色。时管理主窗口右下角的指示灯变为红色。u如想恢复如想恢复SygateSygate服务，只需单击管理主界面中的服务，

32、只需单击管理主界面中的“开开始始”按钮或选择菜单按钮或选择菜单“服务服务”“开始开始”命令。命令。u 步骤步骤4 4：配置网卡。如果：配置网卡。如果SygateSygate代理服务器只有两块网卡，代理服务器只有两块网卡，在安装在安装SygateSygate时将会自动配置。时将会自动配置。u 在在SygateSygate高级特性管理窗口中，单击高级特性管理窗口中，单击“配置配置”按钮，打开按钮，打开“配置配置”对话框，如图对话框，如图10-1210-12所示。配置完毕后，单击所示。配置完毕后，单击“确定确定”按钮，重新启动服务使配置生效。按钮，重新启动服务使配置生效。u步骤步骤5 5：自动启动：

33、自动启动SygateSygate服务。在服务。在“配置配置”对话框中，对话框中，选中选中“系统启动时开启系统启动时开启InternetInternet共享共享”复选框，如图复选框，如图10-1210-12所示。所示。u步骤步骤6 6：启用：启用SygateSygate内嵌的内嵌的DHCPDHCP服务，自动分配服务，自动分配IPIP地地址。址。u 步骤步骤7 7：管理：管理SygateSygate的黑名单。的黑名单。u 黑名单，即不允许这些用户在指定的时间访问指定的站点，黑名单，即不允许这些用户在指定的时间访问指定的站点，而其他用户则无此限制，这里的指定时间和指定站点可以而其他用户则无此限制，这

34、里的指定时间和指定站点可以是全部时间和全部站点。是全部时间和全部站点。u 下面将以禁止下面将以禁止IPIP地址为地址为192.168.0.100192.168.0.100的用户，在每周一的用户，在每周一的的9 9：0000周三周三9 9：0000期间禁止上网为例进行说明。期间禁止上网为例进行说明。 u步骤步骤8 8：管理：管理SygateSygate的白名单。的白名单。u白名单，即在白名单，即在SygateSygate代理服务器中，允许这些用户在代理服务器中，允许这些用户在指定的时间访问指定的站点，这里的指定时间和指定指定的时间访问指定的站点，这里的指定时间和指定站点可以是全部时间和全部站点。

35、站点可以是全部时间和全部站点。uSygateSygate的白名单与黑名单类似，它们是相互对应的，的白名单与黑名单类似，它们是相互对应的，但黑名单的优先级要高些，比如在白名单中允许的设但黑名单的优先级要高些，比如在白名单中允许的设置，只要在黑名单中禁止，则置，只要在黑名单中禁止，则SygateSygate将采用黑名单中将采用黑名单中的设置。它们的操作方法类似，这里不再赘述。的设置。它们的操作方法类似，这里不再赘述。u步骤步骤9 9：SygateSygate客户端的设置。客户端的设置。u一般不必在工作站安装一般不必在工作站安装SygateSygate的客户端软件。要安装的客户端软件。要安装只是为了

36、增加诊断和特殊管理功能。只是为了增加诊断和特殊管理功能。u客户端设置比较简单。最简单的办法是将客户端设置比较简单。最简单的办法是将“TCP/IPTCP/IP属属性性”设置为设置为“自动获得自动获得IPIP地址地址”。如果进行手工配置，。如果进行手工配置，客户端的客户端的IPIP地址和代理服务器连接局域网的网卡的地址和代理服务器连接局域网的网卡的IPIP地址要在同一网段，网关指向代理服务器连接局域网地址要在同一网段，网关指向代理服务器连接局域网的网卡的的网卡的IPIP地址，地址，DNSDNS服务器配置为服务器配置为InternetInternet上的上的DNSDNS服务器或代理服务器连接局域网的

37、网卡的服务器或代理服务器连接局域网的网卡的IPIP地址。地址。u步骤步骤1010：用：用pingping命令或访问网页的方式，测试命令或访问网页的方式，测试PC1PC1、PC2PC2、PC3PC3客户机是否可以访问客户机是否可以访问InternetInternet。10.5 10.5 拓展知识：网络地址转换拓展知识：网络地址转换(NAT)(NAT) u网络地址转换网络地址转换(Network Address (Network Address TranslationTranslation，NAT)NAT)属接入广域网技术，是一属接入广域网技术，是一种将私有种将私有( (保留保留) )地址转化为公

38、有地址转化为公有IPIP地址的转地址的转换技术，它被广泛应用于各种类型换技术，它被广泛应用于各种类型InternetInternet接入方式和各种类型的网络中。接入方式和各种类型的网络中。uNATNAT不仅完美地解决了不仅完美地解决了IPIP地址不足的问题，而地址不足的问题，而且还能够有效地避免来自网络外部的攻击，且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。隐藏并保护网络内部的计算机。1 1NATNAT简介简介u借助于借助于NATNAT，私有，私有( (保留保留) )地址的地址的“内部内部”网络网络通过路由器发送数据包时，私有地址被转换通过路由器发送数据包时，私有地址被转

39、换成合法的成合法的IPIP地址，一个局域网只需使用少量地址，一个局域网只需使用少量合法的合法的IPIP地址地址( (甚至是甚至是1 1个个) )即可实现私有地址即可实现私有地址网络内所有计算机与网络内所有计算机与InternetInternet的通信需求。的通信需求。uNATNAT将自动修改将自动修改IPIP报文的源报文的源IPIP地址和目的地址和目的IPIP地地址，址，IPIP地址校验则在地址校验则在NATNAT处理过程中自动完成。处理过程中自动完成。2 2NATNAT实现方式实现方式u NATNAT的实现方式有三种，即静态的实现方式有三种，即静态NATNAT、动态、动态NATNAT和网络地

40、址端口转和网络地址端口转换换(port-level NAT)NAPT(port-level NAT)NAPT。u 静态静态NATNAT是指将内部网络的私有是指将内部网络的私有IPIP地址转换为公有地址转换为公有IPIP地址，地址，IPIP地地址对是一对一的，是一成不变的。址对是一对一的，是一成不变的。u 动态动态NATNAT是指将内部网络的私有是指将内部网络的私有IPIP地址转换为公用地址转换为公用IPIP地址时，地址时，IPIP地址是不确定的，是随机的，私有地址是不确定的，是随机的，私有IPIP地址可随机转换为任何指地址可随机转换为任何指定的合法定的合法IPIP地址。地址。u 网络地址端口转

41、换网络地址端口转换NAPTNAPT是指改变外出数据包的源端口并进行端是指改变外出数据包的源端口并进行端口转换，采用端口多路复用方式。内部网络的所有主机均可共口转换，采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部享一个合法外部IPIP地址实现对地址实现对InternetInternet的访问，从而可以最大的访问，从而可以最大限度地节约限度地节约IPIP地址资源。同时，又可隐藏网络内部的所有主机，地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自有效避免来自InternetInternet的攻击。因此，目前网络中应用最多的的攻击。因此，目前网络中应用最多的还是网络地址端口转换。

42、还是网络地址端口转换。3 3NATNAT实现举例实现举例u在配置网络地址转换之前，必须先搞清楚内部接口和在配置网络地址转换之前，必须先搞清楚内部接口和外部接口，以及在哪个外部接口上启用外部接口，以及在哪个外部接口上启用NATNAT。u假设内部网络使用的假设内部网络使用的IPIP地址段为地址段为10.10.10.110.10.10.110.10.10.25410.10.10.254，路由器局域网端口，路由器局域网端口( (即默认网关即默认网关) )的的IPIP地址为地址为10.10.10.110.10.10.1，子网掩码为，子网掩码为255.255.255.0255.255.255.0。网。网络

43、分配的合法络分配的合法IPIP地址为地址为202.99.160.2202.99.160.2，子网掩码为，子网掩码为255.255.255.252255.255.255.252。要求将内部网址。要求将内部网址10.10.10.210.10.10.210.10.10.254 10.10.10.254 转换为合法转换为合法IPIP地址地址202.99.160.2202.99.160.2。第一步：设置外部端口。第一步：设置外部端口。interface serial 0interface serial 0ipip address 202.99.160.2 255.255.255.252 address

44、202.99.160.2 255.255.255.252ip natip nat outside outside第二步：设置内部端口。第二步：设置内部端口。 interface ethernetinterface ethernet 0 0ipip address 10.10.10.1 255.255.255.0 address 10.10.10.1 255.255.255.0ip natip nat inside inside第三步：定义合法第三步：定义合法IPIP地址池。地址池。ip nat pool onlyone 202.99.160.2 202.99.160.2 netmaskip n

45、at pool onlyone 202.99.160.2 202.99.160.2 netmask 255.255.255.252255.255.255.252u指明指明IPIP地址缓冲池的名称为地址缓冲池的名称为onlyoneonlyone，IPIP地址范围为地址范围为202.99.160.2202.99.160.2202.99.160.2202.99.160.2，子网掩码为，子网掩码为255.255.255.252255.255.255.252。u由于本例只有一个合法由于本例只有一个合法IPIP地址可用，所以，起始地址可用，所以，起始IPIP地地址与终止址与终止IPIP地址均为地址均为20

46、2.99.160.2202.99.160.2。如果有多个。如果有多个IPIP地地址，则应当分别键入起止的址，则应当分别键入起止的IPIP地址。地址。第四步：定义内部访问列表。第四步：定义内部访问列表。access-list 1 permit 10.10.10.0 0.0.0.255access-list 1 permit 10.10.10.0 0.0.0.255u 允许访问允许访问InternetInternet的网段为的网段为10.10.10.010.10.10.010.10.10.25510.10.10.255，子网，子网掩码为掩码为255.255.255.0255.255.255.0。需

47、要注意的是，在这里子网掩码的顺序。需要注意的是，在这里子网掩码的顺序跟平常所写的顺序相反，即跟平常所写的顺序相反，即0.0.0.2550.0.0.255。第五步：设置网络地址端口转换。第五步：设置网络地址端口转换。u 设置在内部私有地址与外部合法设置在内部私有地址与外部合法IPIP地址之间建立复用动态地址地址之间建立复用动态地址转换。转换。ip nat inside source list 1 pool onlyoneip nat inside source list 1 pool onlyone overload overloadu 以端口复用方式，将访问列表以端口复用方式，将访问列表1 1中的私有中的私有IPIP地址转换为地址转换为onlyoneonlyone地址池中定义的合法地址池中定义的合法IPIP地址。注意：地址。注意：overloadoverload是网络地址端口是网络地址端口复用的关键词。复用的关键词。