第 4 章 局域网共享上网
DESCRIPTION
第 4 章 局域网共享上网. 回忆. 第二章 组建局域网 , 硬件连接 , 协议配置 , 连通性测试 IP 地址的有效性 , 默认网关的内涵 ,DNS 的作用及故障检测方法 第三章 把多个局域网互连 在实验室环境下 , 哪些电脑需要配路由 , 启动路由 , 配路由条目 , 数目 , 如何检查 . 难点 : 必须所有的路由配置都对 . 双向互通才是真正意义上的连通. 问题的提出?. 在计算机网络中,有很多诸如机房、网吧、实验室、多媒体教室、小型分支机构等之类的网络( SOHO 局域网),具有两个共同的特点: - PowerPoint PPT PresentationTRANSCRIPT
第 4 章 局域网共享上网
第二章 组建局域网 , 硬件连接 , 协议配置 , 连通性测试 IP 地址的有效性 , 默认网关的内涵 ,DNS 的作用
及故障检测方法 第三章
把多个局域网互连 在实验室环境下 , 哪些电脑需要配路由 , 启动路
由 , 配路由条目 , 数目 , 如何检查 . 难点 : 必须所有的路由配置都对 . 双向互通才是
真正意义上的连通 .
回忆
在计算机网络中,有很多诸如机房、网吧、实验室、多媒体教室、小型分支机构等之类的网络( SOHO 局域网),具有两个共同的特点:
( 1 )计算机数量 >>Internet 出口 ( 很多情况下只有一个出口)——〉要求多台计算机共享上网。
( 2 ) ISP 分配的合法 IP 十分有限,意味着局域网内几乎所有设备不得不使用保留 IP ( ? )。
—— 〉如何让局域网内的计算机同时上网?直接接一个交换机可以吗 ?
(共享上网)
问题的提出?
内容简介 4.1 Internet 接入 4.2 共享上网的两种模式 (**) 4.3 CCProxy 共享上网 (*) 4.4 RRAS 共享上网 (***) 4.5 Sygate 共享上网 4.6 路由器共享上网 4.7 上机练习
4.1 Internet 接入 接入技术要解决的问题是如何将用户连
接到各种网络上。 目前主要的接入技术有以下几种: 1. 光纤接入 2. 同轴接入 3. 铜线接入 4. 无线接入
1. 光纤接入 传输速率最高
主干网中已大量采用
宽带业务
目前的 CATV 网就是一种混合光纤同轴网络,主干部分采用光纤,用同轴电缆经分支器接入各家各户。
混合光纤 / 同轴( HFC )接入技术的一大优点是可以利用现有的 CATV 网,从而降低网络接入成本。
2. 同轴接入
3. 铜线接入 铜线接入是指以现有的铜线作为传输介
质,利用各种先进的调制技术、编码技术和数字信号处理技术来提高铜线的传输速率和传输距离。
但铜线的传输带宽毕竟有限 传输速率和传输距离一直是一对矛盾
4. 无线接入 无线接入可分为固定无线接入 (WLAN,WiMAX)和移动无线接入( GPRS,CDMA1X—— 〉 3G)
优点有初期投入小、能迅速提供业务、不需要铺设线路。比较灵活,可以随时按照需要进行变更、扩容;抗灾难性比较强
缺点,性能不如有线方式、质量不稳定、受环境影响大,目前还难以提供高宽带的接入
最常用且最经济的接入技术
ADSL(非对称数字用户环路)
LAN ( Local Area Network)
4.1.1 ADSL接入 ADSL( Asymmetrical Digital Subscriber Li
ne ,非对称数字用户环路)。 所谓非对称是指用户线的上行速率与下行速率
不同,上行速率低,下行速率高 特别适合传输多媒体信息业务,如视频点播。 ADSL在一对铜线上支持上行速率 512Kbit/s ~ 1Mbit/s,下行速率 1Mbit/s ~ 8Mbit/s,有效传输距离在 3~ 5km范围以内。
图 4-1 ADSL接入示意图
电话机
ADSL Modem分离器
PC
双绞线
接电话公司外线
4.1.2 LAN 接入 LAN 接入是利用以太网技术,采用光缆+双绞线的方式对社区进行综合布线。
具体方案: 从社区机房敷设光缆至住户单元楼楼内布线
采用五类双绞线敷设至用户家里,用户家里的计算机通过超五类跳线接入墙上的超五类模块。
图 4-3 LAN 接入示意图
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Ethernet
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
User1
Internet
UserN
Fibre
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Ethernet
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
User1 UserN
FibreFibre
Building2Building1
核心交换机
4.2 共享上网的两种模式 代理方式 (proxy)
网关方式( gateway) 有人也称 NAT 方式
代理 代理 (Proxy) ,即代理网络用户去取得网络信息。它是网络信息的中转站。
代理服务器是介于浏览器和Web服务器之间,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,请求会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。
Proxy Server (代理服务器)工作在应用层。
网关 网关的功能是根据目的 IP 地址以及路由表来决定数据包的转发。
局域网 PC 由于使用保留 IP 地址,因此需要该路由软件或设备具有网络地址转换( NAT )功能。
图 4-4 硬件网关方式
ISP/ Internet
Ethernet
PC PCPC 笔记本打印服务器
NAT具有拨号、 功能的路由器
图 4-5 代理和软件网关方式
ISP/ Internet
Ethernet
PC PCPC 笔记本
调制解调器
代理或网关服务器
打印服务器
思考 上述两个拓扑结构图有区别吗?
ISP/ Internet
Ethernet
PC PCPC 笔记本打印服务器
NAT具有拨号、 功能的路由器
ISP/ Internet
Ethernet
PC PCPC 笔记本
调制解调器
代理或网关服务器
打印服务器
4.2.1 代理技术分析 代理的工作原理是:当客户机向位于 Internet
上的目的地址发出请求后,代理服务器立即响应并且将这个请求发送到客户机请求的地址,当目的地址的计算机响应后,代理服务器又将该响应返回给客户机。
主机认为所有的 Internet请求都来自代理服务器,代理服务器后面的局域网 PC 对目的主机是完全透明的。
4.2.2 NAT 技术分析 NAT ( Network Address Translation , RFC1
631 ),即网络地址转换 就是在内部专用网络中使用内部地址(不可路
由),而当内部节点要与外界网络发生联系时,就在边缘路由器或者防火墙处,将内部地址替换成全局地址——合法地址(可路由),从而在外部公共网上正常使用。
节省对全球合法地址使用的另一种技术。
NAT 的主要作用 NAT 的主要作用是节约地址空间。
NAT还具有简化配置,增加网络规划的灵活性以及负载均衡等特点。使用 NAT ,可以在规划地址时有更大的灵活性,从而简化内部网的设计。
另外,当两个有地址重叠的私有内部网要连接在一起时,可以使用 NAT来防止地址冲突,而避免逐个改变节点的地址这个繁杂的工作。
当内部节点共享一个 IP 地址时,在外部看来就是一台虚拟的主机。如果外部节点要与内部节点建立连接,那么边缘路由器会使用 TCP负载均衡的功能。
NAT 地址转换类型 静态转换:它在 NAT表中为每一个需要转换的内部地址创建了固定的转换条目,影射了惟一的全局地址。
动态转换:增加了网络管理的复杂性,但也提供了很大的灵活性。它将可用的全局地址地址集定义成 NAT池。
静态转换示意图
端口地址转换 也称 PAT , Port Address Translation ,
是动态转换的一种变形。
它可以使多个内部节点共享一个全局 IP 地址,而使用源和目的的 TCP/UDP 的端口号来区分 NAT表中的转换条目及内部地址,这样,就更节省了地址空间。
PAT示意图
4.2.3 代理与网关的比较 -相同点 无论代理还是网关,对外界来说,无论有多少台 PC 机
上网,它们看到的都只有一个 IP ,这个 IP 就是代理或网关设备的外接口 IP
因此,如果一些站点限制来自同一 IP 的进程数量,将出现部分 PC 无法访问的问题,值得注意。
不同点 1. 原理上的区别
2. 配置上的区别
不同点( cont.) 【指导】如果局域网共享上网采用代理方式,默认网关可有可无,也就是说,与默认网关无关。
图 4-8 代理设置
不同点( cont.) 3. 软硬件的区别
代理和网关方式的软件实现在硬件以及网络结构上非常类似,有时使用的软件也相同,惟一的区别在软件的配置上。通常而言,都需要一台服务器,都要求与内网计算机可以互访,当然还必须能够访问到 Internet ,都要求安装代理或网关软件。
4. 连接上的区别 作为网关的路由模块,原则上须有两个接口分别与内外网相连
( Sygate 可以单网卡工作)。 作为代理的服务器,首先保证有一个接口能够访问到 Internet ,
如果内部 PC 通过该接口就可以访问到代理服务器,则代理服务器只需要一个接口就可以了,否则,也至少需要两个接口。
不同点( cont.) 5. 测试上的区别
如果没有安全控制,采用网关方式的内部 PC 可以和拥有合法 IP 的计算机一样ping 通 Internet 上的主机,因此,测试起来非常简单, ping 通了就配置成功了。
而代理方式,内部 PC 只能ping 通代理服务器,代理服务器之外的计算机是无法 ping 通的
6. 速度上的区别 代理服务器在硬盘上设有 Cache ,用于缓存用户浏览
的页面,在一定时间段内当有用户浏览相同页面时,将直接从 Cache 中读取。
不同点( cont.) 8. 安全上的区别
代理和网关方式均在一定程度上提高了 SOHO 局域网的安全等级,但两者存在一定的差异。对 Internet来讲,代理后面的 PC 是完全透明的,而网关方式没有做到完全透明,只要知道了地址以及端口的映像关系,外网就可以访问到内网。因此,代理的安全等级比网关要高。
9. 管理上的区别 网关方式不需要用户安装任何客户端软件,浏览器或 Internet客
户端软件也不需要做特殊设置,只需设好默认网关。而代理相对复杂得多,不仅浏览器需要设置,对于像 Outlook 这样的 Internet客户端软件,还要安装和配置代理客户端,显然,如果局域网PC较多,则维护和培训的工作量会很大。
回忆、思考 共享上网的两种方式
代理 网关( NAT)
内部使用什么地址就不需要上述方式? 合法 IP 地址
以下方式属于哪种?
回忆、思考(续) 哪种方式,内部 PC 只能ping 通服务器
内网卡? 代理
哪种方式,只需要做地址转换?转换目的地址? 网关 应该转换源地址以及源端口( PAT )
回忆、思考(续) 哪种方式,服务器端要查看应用层数据?
联想:病毒过滤软件为什么速度慢?不适合集成到防火墙设备中。
代理 效率高低比较?
代理效率低,网关效率高,与应用无关。
回忆、思考(续) 哪种方式配置复杂?
代理 哪种方式,内网更安全?
代理 两种方式共同点?
对外表现都是一个 IP (外网卡 IP )? 对于以 IP 作为控制手段的系统来讲,效果
是一样的。
4.3 CCProxy 共享上网 代理软件很多,如Wingate 、 ISA 、 CCProx
y 等。 CCProxy 是一款国产软件, CCProxy 具有很
多实用、灵活的功能,可以满足一般用户的各种要求,能够实现局域网内共享异步Modem、ADSL、 ISDN 、卫星、蓝牙、专线以及二级代理等几乎所有的连接方式。
总体来说, CCProxy 可以完成两项大的功能:代理上网和权限管理。
1. 拨号上网代理 CCProxy 不仅可以支持专线上网方式,也支持拨号上网方式,如普通Modem拨号和 ADSL拨号等。为了实现自动拨号和断开,需要提前设置拨号列表、拨号用户名和拨号密码以及拨号空闲断开时间,如图 4-9所示。
2. 禁止某些协议 如想禁止客户机上网玩游戏或 OICQ聊天,就可以去掉 SOCKS/ MMS ,如图 4-10所示。
3. 权限管理 CCProxy 的“账号管理”可以将“验证类
型”设置为“用户 /密码”。按“新建”按钮,建立所有人员的用户和密码,这样,当上网时只有输入正确的用户名和密码才能登录网络,并可通过“设置” |“高级”|“日志”窗口,设置日志的保存位置和事件选项。以后查看日志,就可以清楚地看到某人在某时上了某网,如图 4-11和 4-12所示。
图 4-11 账号管理
图 4-12 设置账号
4.4 RRAS 共享上网 局域网 PC访问 Internet 时,通常需要
用到地址转换。之所以要进行地址转换,是因为保留 IP 无法在 Internet 上的路由器中传播,只有合法 IP 才可以。
内部保留 IP 、外部合法 IP ,是使用 NAT 最多的场合。内外部都是保留 IP ,是否需要地址转换呢?
RRAS 共享上网场景
C服务器
I nternet
A服务器
A2192. 168. 1. 10/24
B服务器
A1
B1 B2192. 168. 1. 20/24
C1
192.
168.
1.25
4/24
C2
Room1
Room2
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Ethernet
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Ethernet
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Ethernet
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
现有两个网络实验室 Room1和 Room2 ,分别有若干台计算机,要实现的功能是, Room1和 Room2 中的计算机都能够访问 Internet 。
首先,对于 Room1 中的计算机,其默认网关设置为服务器 A 内网卡 A1 接口的 IP 地址。
关键问题是服务器 A 、 B、 C 上的路由和 NAT该如何设置。
【思考 1】 Room1或 Room2 的地址空间是否可以规划为非保留地址段,即合法地址段,为什么?
【思考 2] 代理方式时,客户机的默认网关是否需要设置,为什么?
1. 配置路由 如果有主机要访问 Internet ,则 Internet请求数据包所经过的每一台路由器必须设置默认路由,因为 Internet由无数的网段组成,无法用指向某个具体网段的静态路由条目穷举所有的网段,只能设置一条默认路由,如4-14 所示。
因此,服务器 A 、 B、 C都必须设置默认路由。服务器 B的设置与 A完全一样,读者可自己分析。
需要强调的是,对于多网卡服务器来讲,每块网卡的默认网关最好不要设置,不设置的目的只是为了不引起路由配置上的混乱,而并非不能设置。
实际上,配置默认网关和添加一条缺省路由在效果上是一样的,如果确实需要默认路由,则按照图 4-14 所示的配置就可以了,这里面最关键的两个参数是接口和网关,不能配错。
2. 配置 NAT 2. 配置 NAT
( 1 )是否需要配置 NAT; ( 2 )如何配置 NAT 。
一般情况下,内部保留 IP外部合法 IP 的情况下需要设置 NAT ,因为保留 IP 在 Internet 传输中不被路由器识别。
在上面的实验环境中,对于服务器 A 、 B来讲,内部和外部均为保留 IP ,是否设置 NAT取决于内网段 IP能否被上一级路由器识别,如果识别,则不需要设置 NAT ,如果不识别,则需要设置 NAT 。
( 1 )在左侧面板中右击网络地址转换( NAT )节点,然后选择新接口。
( 2 )选择内部网络接口,然后单击”确定“按钮。与 Room1相连的 A1 口为“本地连接”, A2 口为“本地连接 2”,如图 4-15 所示。
( 3 )在在网络地址转换属性对话框中,点击专用接口连接到专用网络选项,如图 4-16 所示。
( 4 )在左侧面板中右击网络地址转换( NAT )节点,然后选择新接口。
( 5 )选择外部网络接口。 ( 6 )在网络地址转换属性对话框中,点击公用接口连
接到 Internet选项,如图 4-17 所示。选中转换 TCP/UDP头(推荐)。如果外部接口上仅绑定了一个 IP 地址,这是必须选择的。
图 4-15 设置 NAT 的内外接口
图 4-16 设置专用接口
图 4-17 设置公用接口
【思考】对于服务器 C来说,它必须有设置 NAT和默认路由,如果 A和 B上有 NAT , C 上可以没有指向 Room1 以及 Room2 中计算机所在网段的路由;当 C 上有指向 Room1 以及 Room2 中计算机所在网段的路由时 A和 B上的 NAT 可以设也可以不设。
【指导】一般情况下,当外部路由器无指向内部网段的路由时,内部网段与外部网段的边缘路由设备上要启用 NAT ,也就是说,网络地址转换与合法地址或保留地址并没有直接关系,只能说 Internet访问时的内部保留 IP 地址与外部合法 IP 地址的 NAT转换是一个特例。
4.7 上机练习 实验 1 网关方式共享上网 实验环境:根据如图 4-25 所示的拓扑结
构进行合理搭建,当没有 Hub 或 Switch时,用交叉线直连 PC1和服务器的内网卡,此处用 A1标识。( YY为计算机的编号)
图 4-25 网关方式共享上网
C服务器
I nternet
NAT服务器
A2192. 168. 1. YY/ 24
C119
2.16
8.1.
254/
24
Room1
PC1192. 168. YY. 1/ 24
A1192. 168. YY. 254/24
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Ethernet
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Ethernet
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
实验要求:让 PC1 通过 NAT服务器访问 Internet 。 实验指导: ( 1 )确定双网卡服务器究竟哪一块网卡是内网卡,
哪一块网卡是外网卡。 ( 2 )注意路由参数的配置,注意区分接口和网关,
内网接口和外网接口。 ( 3 )注意 NAT 接口的选择。 ( 4 )首先确认 PC1 上能ping 通 192.168.YY.254 。 ( 5 )确认 NAT服务器上能访问www.sina.com.cn
。 ( 6 )本实验环境与课堂演示环境的外网 IP 是不同的,学会变通。
实验 2 代理方式共享上网 实验环境:根据如图 4-26 所示的拓扑结
构进行合理搭建,当没有 Hub 或 Switch时,用交叉线直连 PC1和服务器的内网卡,此处用 A1标识。( YY为计算机的编号)
图 4-26 代理方式共享上网
C服务器
I nternet
Proxy服务器
A2192. 168. 1. YY/ 24
C119
2.16
8.1.
254/
24
Room1
PC1192. 168. YY. 1/ 24
A1192. 168. YY. 254/24
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Ethernet
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Ethernet
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
实验要求:让 PC1 通过代理服务器访问 Internet 。 实验指导: ( 1 )确定双网卡服务器究竟哪一块网卡是内网卡,
哪一块网卡是外网卡? ( 2 )首先确认 PC1 上能ping 通 192.168.YY.254 。 ( 3 )确认 NAT服务器上能访问www.sina.com.cn
。 ( 4 )本实验环境与课堂演示环境的外网 IP 是不同的,注意变通。
此种方式中注意将 RRAS停掉。 PC1 不设置默认网关是否可行? PC1能否ping 通外网?