局域網接入互聯網

局域網接入Internet12021/5/9內網連入Internet的幾種方式將內網連入Internet的五種方式通過路由器將內網連入Internet通過網絡防火墻將內網連入Internet通過代理服務器將內網連入Internet通過NAT網關連入Internet通過VPN使內網經過Internet進行互聯22021/5/9常見實現方式根據工作原理不同，可分為：軟件方式代理服務器方式網關方式硬件方式擁有網絡地址轉換功能的設備

代理服務器

proxy、ISA、ICS、wingate、Sygate等

NAT/NAPT(網絡地址轉換/網絡地址端口轉換)

路由器、防火墻、核心交換機、服務器32021/5/9代理服務器技術代理服務器工作原理工作在應用層兩個網絡之間的數據傳輸全部由代理服務器轉發(fā)和控制多數代理服務器只支持部分應用程序42021/5/9代理服務器技術反向代理為外網用戶訪問內網提供代理服務通常只用來發(fā)布內網web服務器充當web緩沖服務器，以降低實際的web服務器負載52021/5/9代理服務器技術代理服務器主要功能共享網絡連接資源，支持直接從緩存獲取信息充當網絡防火墻，可將內網的結構和狀態(tài)對外屏蔽檢測和控制網絡訪問代理服務器的解決方案以WinGate、SyGate、Winroute等產品為代表的代理服務器軟件ISAServer、Squid支持反向代理服務62021/5/9代理服務器共享上網

代理服務器具有緩存Cache功能,可以加快訪問速度對每一種應用獨立代理，對用戶有很強控制能力對新出現的網絡應用無法支持客戶端的每種網絡應用軟件需要配置具有防火墻功能Internet代理服務器Intranet72021/5/9共享上網配置82021/5/9內網服務器發(fā)布網絡配置92021/5/9使用NAT代理服務器共享上網

網絡地址轉換（NAT）減少IP地址浪費。透明代理,客戶端具有連接互聯網能力的機器一樣對客戶機網絡應用程序控制能力比Proxy差一些。具有防火墻功能雖然NAT可以借助于某些代理服務器來實現，但考慮到運算成本和網絡性能，很多時候是在路由器上實現。InternetNAT服務器Intranet60.1.1.1192.168.0.1192.168.0.0102021/5/9NAT/NAPT帶來的好處

解決IPv4地址空間不足的問題；

私有IP地址網絡與公網互聯；10.0.0.0/8，172.16.0.0/12，192.168.0.0/16

非注冊IP地址網絡與公網互聯；建網時分配了全局IP地址－但沒注冊

網絡改造中，避免更改地址帶來的風險；112021/5/9NAT技術NAT工作原理NAT工作在網絡層和傳輸層對進過的數據包進行地址轉換后再轉發(fā)NAT的網絡地址轉換是雙向的內網到外網的NAT應用共享IP地址和網絡連接，讓內網共用一個公用地址接入Internet保護網絡安全，通過隱藏內網IP地址，使黑客無法直接攻擊內網122021/5/9NAT

NAT（網絡地址轉換），局域網主機訪問互聯網時，網絡出口設備根據特定的規(guī)則，將局域網IP地址轉換為公網IP,從而實現局域網多臺主機利用NAT共享一條線路訪問互聯網。IP：AInternetIP：BIP：C（公網）IP：D（公網）server局域網A的數據到路由器后，路由器將A的IP轉換為公網IP(C)，發(fā)送給服務器服務器返回數據到路由器后，路由器將公網IP(C)轉換為A的IP,轉發(fā)給主機A132021/5/9NAT工作原理142021/5/9端口映射外網到內網的NAT將公網IP地址和端口號映射到內網服務器的私有IP地址和端口號NAT解決方案硬件實現方案：NAT設備軟件實現方案：NAT網關或NAT服務器152021/5/9200.8.7.3/24200.8.7.4/2463.5.8.1192.168.1.5192.168.1.7源IP:192.168.1.7

目的IP:63.5.8.1NAT工作原理內部本地地址內部全局地址192.168.1.7200.8.7.3192.168.1.5200.8.7.4

源IP:200.8.7.3

目的IP:63.5.8.1

源IP:63.5.8.1

目的IP:200.8.7.3

源IP:63.5.8.1

目的IP:192.168.1.7162021/5/9NAPT工作原理內部本地地址：端口內部全局地址:端口外部全局地址:端口192.168.1.7:1024200.8.7.3:102463.5.8.1：80192.168.1.5:1136200.8.7.3:113663.5.8.1：80200.8.7.3/2463.5.8.1192.168.1.5192.168.1.7源IP:192.168.1.7:1024

目的IP:63.5.8.1:80

源IP:200.8.7.3:1023

目的IP:63.5.8.1:80

源IP:63.5.8.1:80

目的IP:200.8.7.3:1024

源IP:63.5.8.1:80

目的IP:192.168.1.7:1024Web服務172021/5/9NAPTNAPT：網絡端口地址轉換將多個內部地址映射為一個合法公網地址，但以不同的協(xié)議端口號與不同的內部地址相對應<內部地址+內部端口>與<外部地址+外部端口>之間的轉換“多對一”的NAT，能夠使用一個全球有效IP地址獲得通用性通信僅限于TCP或UDP適應場合缺乏全局IP地址只有一個連接ISP的全局IP地址內部網要求上網的主機數很多提高內網的安全性182021/5/9NAT和NAPT的配置

NAT/NAPT的配置有兩種靜態(tài)NAT/NAPT

動態(tài)NAT/NAPT

靜態(tài)NAT/NAPT

需要向外網絡提供信息服務的主機永久的一對一IP地址映射關系

動態(tài)NAT/NAPT

只訪問外網服務，不提供信息服務的主機內部主機數可以大于全局IP地址數最多訪問外網主機數決定于全局IP地址數臨時的一對一IP地址映射關系192021/5/9局域網設置方案案例：某單位使用聯通光纜接入Internet，路由器是Cisco2610，局域網采用INTEL550百兆交換機，聯通提供四個IP地址：211.90.137.25（255.255.255.252）用于本地路由器的廣域網端口211.90.137.26（255.255.255.252）用于對方（聯通）的端口211.90.139.41（255.255.255.252）供自己支配211.90.139.42（255.255.255.252）供自己支配一般情況下，單位內部的局域網都使用Internet上的保留地址：10.0.0.0/8：10.0.0.0～10.255.255.255172.16.0.0/12：172.16.0.0～172.31.255.255192.168.0.0/16：192.168.0.0～192.168.255.255202021/5/9通過路由器訪問Internet一般情況下，局域網內部的工作站直接利對外訪問時，會因工作站使用的是互聯網上的保留地址，而被路由器過濾掉，無法訪問互聯網資源。解決這一問題的辦法是利用路由操作系統(tǒng)提供的NAT地址轉換功能，將內部網的私有地址轉換成互聯網上的合法地址，使得不具有合法IP地址的用戶可以通過NAT訪問到外部Internet。NAT有兩種類型：Single模式、global模式Single模式：可以將眾多的本地局域網主機映射為一個Internet地址。局域網內的所有主機對外部Internet網絡而言，都被看做一個Internet用戶。Global模式：路由器的接口將眾多的本地局域網主機映射為一定的Internet地址范圍“IP地址池”。當本地主機端口與Internet上的主機連接時，IP地址池中的某個IP地址被自動分配給該本地主機，連接中斷后動態(tài)分配的IP地址將被釋放，釋放的IP地址可被其他本地主機使用。212021/5/9網絡連接示意圖：所有的工作站都與交換機連接

路由器通過以太口連接在內部交換機上路由器上以太口使用內部私有地址光纖的兩端分別使用了聯通分配的兩個有效IP地址在這種連接方式下，只要在路由器內部設置NAT，便可以使得局域網內部的所有工作站訪問Internet，在每臺工作站上只需設置網關指向路由器的以太口（192.168.0.3）即可上網，無需設置代理，并節(jié)省了兩個有效IP地址可供自由支配（如建立單位自已的WEB和E-MAIL服務器）222021/5/9缺點：不能享受代理服務器提供的Cache服務來提高訪問速度。所以本配置方案適合工作站數量較少的局域網。工作站配置：要求使用靜態(tài)IP地址，在TCP/IP屬性中進行設置，并設置網關為192.168.0.3（路由器以太口IP地址），設置DNS為接入商提供的地址。232021/5/9通過代理服務器訪問Internet網絡連接示意圖：代理服務器上安裝兩塊網卡，一塊連接內部網，設置內部私有地址；另一塊連接路由器以太口，設置聯通分配的合法地址（211.90.139.42），并設置其網關為211.90.139.41（路由器以太口）路由器以太口也設置聯通分配的合法IP地址（211.90.139.41）

將設備連接好后，在代理服務器上安裝代理軟件，并在工作站上設置代理即可訪問Internet242021/5/9代理服務器的設置：代理服務器必須按裝兩塊網卡，一塊用于連接內部局域網，設IP地址為內部私有地址（如：192.168.0.4掩碼255.255.255.0）無需設網關。另一塊用于連接路由器，設置聯通分配的合法地址（211.90.139.42掩碼255.255.255.252），并設置其網關為：211.90.139.41(路由器以太口)。按照上面的方法設置好網卡后，再安裝一套代理軟件即可。工作站的設置：工具菜單->internet選項->連接->局域網設置->使用代理服務器->地址:192.168.0.4端口:80->確定。252021/5/9利用代理服務器方式訪問Internet，優(yōu)點是可以利用代理服務器提供的Cache服務來提高Internet的訪問速度和效率。比較適合工作站較多的局域網使用。缺點是需要專門配備一臺計算機作為代理服務器，增加了投資成本；且較上一種方法多占用兩個合法IP地址。局域網內的所有計算機通過交換機直接與代理服務器上的內部網卡通訊，然后在代理服務軟件的控制之下經過路由器訪問Internet。262021/5/9直接訪問與代理訪問并存網絡連接示意圖：集成了前兩種方法的優(yōu)點，即節(jié)省了IP地址，又能通過代理服務器提供的Cache來提高Internet的訪問效率。代理服務器上安裝兩塊網卡，兩塊網卡均連接在交換機上，在設置IP地址時，兩塊網卡均設置內部私有地址，但這兩個地址應不屬于一個網絡（即IP地址的網絡地址不同），一塊用于與內部網通信（網卡1），一塊用于與路由器通信（網卡2），否則代理無法實現。在代理服務器上不要安裝NETBEUI協(xié)議，僅安裝TCP/IP