局域网接入互联网.ppt

局域网接入Internet,内网连入Internet的几种方式,将内网连入Internet的五种方式通过路由器将内网连入Internet通过网络防火墙将内网连入Internet通过代理服务器将内网连入Internet通过NAT网关连入Internet通过VPN使内网经过Internet进行互联,常见实现方式,根据工作原理不同，可分为：软件方式代理服务器方式网关方式硬件方式拥有网络地址转换功能的设备 代理服务器 proxy、ISA、ICS、wingate、Sygate等 NAT/NAPT(网络地址转换/网络地址端口转换)路由器、防火墙、核心交换机、服务器,代理服务器技术,代理服务器工作原理工作在应用层两个网络之间的数据传输全部由代理服务器转发和控制多数代理服务器只支持部分应用程序,代理服务器技术,反向代理为外网用户访问内网提供代理服务通常只用来发布内网web服务器充当web缓冲服务器，以降低实际的web服务器负载,代理服务器技术,代理服务器主要功能共享网络连接资源，支持直接从缓存获取信息充当网络防火墙，可将内网的结构和状态对外屏蔽检测和控制网络访问代理服务器的解决方案以WinGate、SyGate、Winroute等产品为代表的代理服务器软件ISA Server、Squid支持反向代理服务,代理服务器共享上网,代理服务器具有缓存Cache功能,可以加快访问速度对每一种应用独立代理，对用户有很强控制能力对新出现的网络应用无法支持客户端的每种网络应用软件需要配置具有防火墙功能,共享上网配置,内网服务器发布网络配置,使用NAT代理服务器共享上网,网络地址转换（NAT）减少IP地址浪费。透明代理,客户端具有连接互联网能力的机器一样 对客户机网络应用程序控制能力比Proxy差一些。具有防火墙功能虽然NAT可以借助于某些代理服务器来实现，但考虑到运算成本和网络性能，很多时候是在路由器上实现。,NAT/NAPT带来的好处,解决IPv4地址空间不足的问题；私有IP地址网络与公网互联；，非注册IP地址网络与公网互联；建网时分配了全局IP地址但没注册 网络改造中，避免更改地址带来的风险；,NAT技术,NAT工作原理NAT工作在网络层和传输层对进过的数据包进行地址转换后再转发NAT的网络地址转换是双向的内网到外网的NAT应用共享IP地址和网络连接，让内网共用一个公用地址接入Internet保护网络安全，通过隐藏内网IP地址，使黑客无法直接攻击内网,NAT,NAT（网络地址转换），局域网主机访问互联网时，网络出口设备根据特定的规则，将局域网IP地址转换为公网IP,从而实现局域网多台主机利用NAT共享一条线路访问互联网。,NAT工作原理,端口映射外网到内网的NAT将公网IP地址和端口号映射到内网服务器的私有IP地址和端口号,NAT解决方案硬件实现方案：NAT设备软件实现方案：NAT网关或NAT服务器,NAT工作原理,NAPT工作原理,Web服务,NAPT,NAPT：网络端口地址转换将多个内部地址映射为一个合法公网地址，但以不同的协议端口号与不同的内部地址相对应与之间的转换“多对一”的NAT，能够使用一个全球有效IP地址获得通用性通信仅限于TCP或UDP适应场合缺乏全局IP地址只有一个连接ISP的全局IP地址内部网要求上网的主机数很多提高内网的安全性,NAT和NAPT的配置,NAT/NAPT的配置有两种 静态NAT/NAPT 动态NAT/NAPT 静态NAT/NAPT 需要向外网络提供信息服务的主机 永久的一对一IP地址映射关系 动态NAT/NAPT 只访问外网服务，不提供信息服务的主机 内部主机数可以大于全局IP地址数 最多访问外网主机数决定于全局IP地址数 临时的一对一IP地址映射关系,局域网设置方案,案例：某单位使用联通光缆接入Internet，路由器是Cisco2610，局域网采用INTEL550 百兆交换机，联通提供四个IP 地址：（）用于本地路由器的广域网端口（）用于对方（联通）的端口（）供自己支配（）供自己支配 一般情况下，单位内部的局域网都使用Internet上的保留地址：,通过路由器访问Internet,一般情况下，局域网内部的工作站直接利对外访问时，会因工作站使用的是互联网上的保留地址，而被路由器过滤掉，无法访问互联网资源。解决这一问题的办法是利用路由操作系统提供的NAT地址转换功能，将内部网的私有地址转换成互联网上的合法地址，使得不具有合法IP 地址的用户可以通过NAT访问到外部Internet。NAT有两种类型：Single模式、global模式Single模式：可以将众多的本地局域网主机映射为一个Internet 地址。局域网内的所有主机对外部Internet 网络而言，都被看做一个Internet用户。Global模式：路由器的接口将众多的本地局域网主机映射为一定的Internet 地址范围“IP 地址池”。当本地主机端口与Internet 上的主机连接时，IP 地址池中的某个IP 地址被自动分配给该本地主机，连接中断后动态分配的IP 地址将被释放，释放的IP 地址可被其他本地主机使用。,网络连接示意图：,所有的工作站都与交换机连接 路由器通过以太口连接在内部交换机上 路由器上以太口使用内部私有地址 光纤的两端分别使用了联通分配的两个有效IP 地址,在这种连接方式下，只要在路由器内部设置NAT，便可以使得局域网内部的所有工作站访问Internet，在每台工作站上只需设置网关指向路由器的以太口（）即可上网，无需设置代理，并节省了两个有效IP 地址可供自由支配（如建立单位自已的WEB 和E-MAIL服务器）,缺点：不能享受代理服务器提供的Cache 服务来提高访问速度。所以本配置方案适合工作站数量较少的局域网。,工作站配置：要求使用静态IP 地址，在TCP/IP 属性中进行设置，并设置网关为（路由器以太口IP 地址），设置DNS为接入商提供的地址。,通过代理服务器访问Internet,网络连接示意图：,代理服务器上安装两块网卡，一块连接内部网，设置内部私有地址；另一块连接路由器以太口，设置联通分配的合法地址（），并设置其网关为（路由器以太口）路由器以太口也设置联通分配的合法IP 地址（）将设备连接好后，在代理服务器上安装代理软件，并在工作站上设置代理即可访问Internet,代理服务器的设置：代理服务器必须按装两块网卡，一块用于连接内部局域网，设IP 地址为内部私有地址（如：192.168.0.4 掩码）无需设网关。另一块用于连接路由器，设置联通分配的合法地址（211.90.139.42 掩码），并设置其网关为：211.90.139.41(路由器以太口)。按照上面的方法设置好网卡后，再安装一套代理软件即可。,工作站的设置：工具菜单-internet 选项-连接-局域网设置-使用代理服务器-地址:192.168.0.4 端口:80-确定。,利用代理服务器方式访问Internet，优点是可以利用代理服务器提供的Cache服务来提高Internet的访问速度和效率。比较适合工作站较多的局域网使用。缺点是需要专门配备一台计算机作为代理服务器，增加了投资成本；且较上一种方法多占用两个合法IP 地址。,局域网内的所有计算机通过交换机直接与代理服务器上的内部网卡通讯，然后在代理服务软件的控制之下经过路由器访问Internet。,直接访问与代理访问并存,网络连接示意图：,集成了前两种方法的优点，即节省了IP 地址，又能通过代理服务器提供的Cache 来提高Internet 的访问效率。,代理服务器上安装两块网卡，两块网卡均连接在交换机上，在设置IP 地址时，两块网卡均设置内部私有地址，但这两个地址应不属于一个网络（即IP 地址的网络地址不同），一块用于与内部网通信（网卡1），一块用于与路由器通信（网卡2），否则代理无法实现。在代理服务器上不要安装NETBEUI 协议，仅安装TCP/IP 协议。路由器以太口也设置一个内部私有地址，该地址因与网卡2 的地址在同一个网络（即IP 地址的网络地址与网卡2 相同）,代理服务器的设置：代理服务器上安装两块网卡，两块网卡均连接在交换机上，网卡1 设IP 地址为：，不设网关；网卡2 设IP 地址为：，设其网关为（路由器以太口）。按照上面的方法设置好网卡后，再安装一套代理软件即可。在安装代理软件时在指定LAT 表时，应将地址范围192.168.0.0-192.168.255.255 排除在外，否则代理无法正常工作。,工作站的设置：若只通过代理上网，设置方法与方法二完全一致若只通过网关上网，要求工作站必须设置静态IP 地址，IP 地址应设为，与路由器以太口在同一个网段，并设置网关为：，设置DNS 为接入商提供的地址若想两种方法并存，则需在TCP/IP 中设置两个静态IP 地址：192.168.0.X 和，并设置网关为：192.168.1.1，DNS 为接入商提供的地址。使用时只需在浏览器等软件中打开或关闭代理设置即可在代理与网关上网之间进行切换。,