路由器配置案例

1、.服務(wù)器 路由器配置案例 作者：黑龍江北安 紅魚    轉(zhuǎn)貼自：思科網(wǎng)絡(luò)技術(shù)白皮書    點擊數(shù)：21230    更新時間：2003-12-6    文章錄入：紅魚        INTERNET共享資源的方式越來越多，就大多數(shù)而言，DDN專線以其性能穩(wěn)定、擴充性好的優(yōu)勢成為普遍采用的方式，DDN方式的連接在硬件的需求上是簡單的，僅需要一臺路由器（router）、代

2、理服務(wù)器(proxy server)即可，但在系統(tǒng)的配置上對許多的網(wǎng)絡(luò)管理人員來講是一個比較棘手的問題。下面以CISCO路由器為例，筆者就幾種比較成功的配置方法作以介紹，以供同行借鑒： 一、直接通過路由器訪問INTERNET資源的配置 1 總體思路和設(shè)備連接方法 一般情況下，單位內(nèi)部的局域網(wǎng)都使用INTERNET上的保留地址： 10.0.0.0/8：10.0.0.010.255.255.255 172.16.0.0/12：172.16.0.0172.31.255.255 192.168.0.0/16：192.168.0.0192.168.255.255 在常規(guī)情況下，單位內(nèi)部的工作站在直接利用

3、路由對外訪問時，會因工作站使用的是互聯(lián)網(wǎng)上的保留地址，而被路由器過濾掉，從而導(dǎo)致無法訪問互聯(lián)網(wǎng)資源。解決這一問題的辦法是利用路由操作系統(tǒng)提供的NAT（Network Address Translation）地址轉(zhuǎn)換功能，將內(nèi)部網(wǎng)的私有地址轉(zhuǎn)換成互聯(lián)網(wǎng)上的合法地址，使得不具有合法IP地址的用戶可以通過NAT訪問到外部Internet。這樣做的好處是無需配備代理服務(wù)器，減少投資，還可以節(jié)約合法IP地址，并提高了內(nèi)部網(wǎng)絡(luò)的安全性。 NAT有兩種類型：Single模式和global模式。 使用NAT的single模式，就像它的名字一樣，可以將眾多的本地局域網(wǎng)主機映射為一個Internet地址。局域網(wǎng)內(nèi)

4、的所有主機對外部Internet網(wǎng)絡(luò)而言，都被看做一個Internet用戶。本地局域網(wǎng)內(nèi)的主機繼續(xù)使用本地地址。 使用NAT的global模式，路由器的接口將眾多的本地局域網(wǎng)主機映射為一定的Internet地址范圍（IP地址池）。當(dāng)本地主機端口與Internet上的主機連接時，IP地址池中的某個IP地址被自動分配給該本地主機，連接中斷后動態(tài)分配的IP地址將被釋放，釋放的IP地址可被其他本地主機使用。 下面以我單位的網(wǎng)絡(luò)環(huán)境為例，將配置方法及過程列示出來，供大家參考。 我單位利用聯(lián)通光纜（V.35）接入INTERNET的，路由器是CISCO2610，局域網(wǎng)采用的是INTEL550百兆交換機，聯(lián)通

5、向我們提供了下列四個IP地址： 211.90.137.25（255.255.255.252） 用于本地路由器的廣域網(wǎng)端口 211.90.137.26（255.255.255.252） 用于對方（聯(lián)通）的端口 211.90.139.41（255.255.255.252） 供自己支配 211.90.139.42（255.255.255.252） 供自己支配 2 路由器的配置 （1） 網(wǎng)絡(luò)連接示意圖：  說明：校內(nèi)所有的工作站都與交換機連接，路由器也通過以太口連接在內(nèi)部交換機上，路由器上以太口使用內(nèi)部私有地址，光纖的兩端分別使用了聯(lián)通分配的兩個有效IP地址。在這種連接方式下，只要在路由器內(nèi)

6、部設(shè)置NAT，便可以使得單位內(nèi)部的所有工作站訪問INTERNTE了，在每臺工作站上只需設(shè)置網(wǎng)關(guān)指向路由器的以太口（192.168.0.3）即可上網(wǎng)，無需設(shè)代理，并節(jié)省了兩個有效IP地址可供自己自由支配（如建立單位自已的WEB和E-MAIL服務(wù)器）。但也存在缺點：不能享受代理服務(wù)器提供的CACHE服務(wù)來提高訪問速度。所以本配置方案適合工作站數(shù)量較少的單位，對于單位內(nèi)部工作站數(shù)量較多的情況可以使用后面介紹的兩種方法。路由器上具體配置如下： （2）路由器的配置 en config t ip nat pool c2610 211.90.139.41 211.90.139.42 netmask 255.

7、255.255.252 (定義一個地址池c2601，其內(nèi)包含了兩個空閑的合法IP地址，供NAT轉(zhuǎn)換時使用) int e0/0 ip address 192.168.0.3 255.255.255.0 ip nat inside exit （設(shè)置以太口的IP地址，并設(shè)置其為連接內(nèi)部網(wǎng)的端口） interface s0/0 ip address 211.90.137.25 255.255.255.252 ip nat outside exit （設(shè)置廣域網(wǎng)端口的IP地址，并設(shè)置其為連接外部網(wǎng)的端口） ip route 0.0.0.0 0.0.0.0 211.90.137.26 （設(shè)置動態(tài)路由） a

8、ccess-list 2 permit 192.168.0.1 0.0.0.255 （建立訪問控制列表） ! Dynamic NAT ! ip nat inside source list 2 pool c2610 overload （建立動態(tài)地址翻譯） line console 0 exec-timeout 0 0 ! line vty 0 4 end wr (保存所作的設(shè)置) 3 工作站的配置 要求使用靜態(tài)IP地址，在TCP/IP屬性中進行設(shè)置，并設(shè)置關(guān)網(wǎng)為192.168.0.3（路由器以太口IP地址），設(shè)置DNS為接入商提供的地址，瀏覽器等上網(wǎng)工具中無需作任何特殊設(shè)置。 二、 通過代理服

9、務(wù)器訪問INTERNET資源的配置 1 總體的思路和設(shè)備連接方法 利用代理服務(wù)器方式訪問INTERNET資源，優(yōu)點是可以利用代理服務(wù)器提供的CACHE服務(wù)來提高INTERNET的訪問速度和效率。比較適合工作站較多的單位使用。缺點是需要專門配備一臺計算機作為代理服務(wù)器，增加了投資成本；且較第一種法方還需多占用兩個合法IP地址，網(wǎng)絡(luò)安全性不高。 采用這種方案來訪問互聯(lián)網(wǎng)，設(shè)備連接方法如下： 代理服務(wù)器上安裝兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)，設(shè)置內(nèi)部私有地址；另一塊連接路由器以太口，設(shè)置聯(lián)通分配的合法地址（211.90.139.42），并設(shè)置其網(wǎng)關(guān)為211.90.139.41（路由器以太口） 路由器以太口也

10、設(shè)置聯(lián)通分配的合法IP地址（211.90.139.41） 這樣，將設(shè)備連接好后，在代理服務(wù)器上安裝代理軟件，并在工作站上設(shè)置代理即可訪問INTERNET。  2 路由器的配置 （1） 網(wǎng)絡(luò)連接示意圖： 說明：在上圖中，單位內(nèi)的所有計算機通過交換機直接與代理服務(wù)器上的內(nèi)部網(wǎng)網(wǎng)卡（192.168.0.4）通訊，然后在代理服務(wù)軟件的控制之下經(jīng)過路由器訪問INTERNET。 （2）路由器的配置 en config t int e0/0 ip address 211.90.139.41 255.255.255.252 exit （設(shè)置以太口的IP地址） interface s0/0 ip ad

11、dress 211.90.137.25 255.255.255.252 exit （設(shè)置廣域網(wǎng)端口的IP地址） ip route 0.0.0.0 0.0.0.0 211.90.137.26 ip routing （設(shè)置動態(tài)路由,并激活路由） end wr (保存所作的設(shè)置) 3 代理服務(wù)器的設(shè)置 代理服務(wù)器必須按裝兩塊網(wǎng)卡，一塊用于連接內(nèi)部局域網(wǎng)，設(shè)IP地址為內(nèi)部私有地址（如：192.168.0.4 netmask 255.255.255.0）無需設(shè)網(wǎng)關(guān)。另一塊用于連接路由器，設(shè)置聯(lián)通分配的合法地址（211.90.139.42 netmask 255.255.255.252），并設(shè)置其網(wǎng)關(guān)為：

12、211.90.139.41(路由器以太口)。 按照上面的方法設(shè)置好網(wǎng)卡后，再安裝一套代理軟件即可。（如：MS PROXY SERVER 2.0、WINGATE等，代理軟件的安裝調(diào)試方法請參閱其它資料） 4 工作站的設(shè)置 （1） INTERNET EXPLORER設(shè)置 工具菜單->internet選項->連接->局域網(wǎng)設(shè)置->使用代理服務(wù)器->地址:192.168.0.4端口:80->確定 (2)其他軟件的設(shè)置請參閱軟件說明。 三、 直接訪問與代理訪問并存的配置 1 總體思路和設(shè)備連接方法 通過上面介紹的兩種方法進行配置，都能順利地實現(xiàn)INTERNET的訪問，

13、但每種方法即有優(yōu)點，又存在一定的缺點，且兩種方法的優(yōu)點是互補的。哪能不能將兩種方法的優(yōu)點合二為一，方法三就是一種魚和熊掌能夠兼得的方案。集成了一、二兩種方法的優(yōu)點，即節(jié)省了IP地址，又能通過代理服務(wù)器提供的CACHE來提高INTERNET的訪問效率。 采用這種方案來訪問互聯(lián)網(wǎng)，設(shè)備連接方法如下： 代理服務(wù)器上安裝兩塊網(wǎng)卡，兩塊網(wǎng)卡均連接在交換機上，在設(shè)置IP地址時，兩塊網(wǎng)卡均設(shè)置內(nèi)部私有地址，但這兩個地址應(yīng)不屬于一個網(wǎng)絡(luò)（即IP地址的網(wǎng)絡(luò)地址不同），一塊用于與內(nèi)部網(wǎng)通信（網(wǎng)卡1），一塊用于與路由器通信（網(wǎng)卡2），否則代理無法實現(xiàn)。 在代理服務(wù)器上不要安裝NETBEUI協(xié)議，僅安裝TCP/IP協(xié)

14、議。（注意：這一步必須要做，否則會因為代理服務(wù)器與交換機之間連接線路冗余而導(dǎo)致代理服務(wù)器NETBIOS計算機名沖突而影響正常通信） 路由器以太口也設(shè)置一個內(nèi)部私有地址，該地址因與網(wǎng)卡2的地址在同一個網(wǎng)絡(luò)（即IP地址的網(wǎng)絡(luò)地址與網(wǎng)卡2相同） 2 路由器的設(shè)置 （1） 網(wǎng)絡(luò)連接示意圖  （2）路由器的配置 en config t ip nat pool c2610 211.90.139.41 211.90.139.42 netmask 255.255.255.252 (定義一個地址池c2601，其內(nèi)包含了兩個空閑的合法IP地址，供NAT轉(zhuǎn)換時使用) int e0/0 ip address

15、 192.168.1.1 255.255.255.0 ip nat inside exit （設(shè)置以太口的IP地址，并設(shè)置其為連接內(nèi)部網(wǎng)的端口） interface s0/0 ip address 211.90.137.25 255.255.255.252 ip nat outside exit （設(shè)置廣域網(wǎng)端口的IP地址，并設(shè)置其為連接外部網(wǎng)的端口） ip route 0.0.0.0 0.0.0.0 211.90.137.26 （設(shè)置動態(tài)路由） access-list 2 permit 192.168.0.1 0.0.0.255 （建立訪問控制列表） ! Dynamic NAT ! ip n

16、at inside source list 2 pool c2610 overload （建立動態(tài)地址翻譯） line console 0 exec-timeout 0 0 ! line vty 0 4 end wr (保存所作的設(shè)置) 2 代理服務(wù)器的設(shè)置 代理服務(wù)器上安裝兩塊網(wǎng)卡，兩塊網(wǎng)卡均連接在交換機上，網(wǎng)卡1設(shè)IP地址為：192.168.0.4，不設(shè)網(wǎng)關(guān)；網(wǎng)卡2設(shè)IP地址為：192.168.1.2，設(shè)其網(wǎng)關(guān)為192.168.1.1（路由器以太口）。 按照上面的方法設(shè)置好網(wǎng)卡后，再安裝一套代理軟件即可。（如：MS PROXY SERVER 2.0、WINGATE等，代理軟件的安裝調(diào)試方法請參閱其它資料） 注意：在安裝代理軟件時（以MS-PROXY 2.0為例），在指定LAT表時，應(yīng)將地址范圍192.168.0.0-192.168.255.255排除在外，否則代理無法正常工作。 3 工作站的設(shè)置 在這種配置之下，工作站既可以通過設(shè)置代理上網(wǎng)，也可以通過設(shè)置網(wǎng)