局域网接入互联网

局域网接入Internet12021/5/9内网连入Internet的几种方式将内网连入Internet的五种方式通过路由器将内网连入Internet通过网络防火墙将内网连入Internet通过代理服务器将内网连入Internet通过NAT网关连入Internet通过VPN使内网经过Internet进行互联22021/5/9常见实现方式根据工作原理不同，可分为：软件方式代理服务器方式网关方式硬件方式拥有网络地址转换功能的设备

代理服务器

proxy、ISA、ICS、wingate、Sygate等

NAT/NAPT(网络地址转换/网络地址端口转换)

路由器、防火墙、核心交换机、服务器32021/5/9代理服务器技术代理服务器工作原理工作在应用层两个网络之间的数据传输全部由代理服务器转发和控制多数代理服务器只支持部分应用程序42021/5/9代理服务器技术反向代理为外网用户访问内网提供代理服务通常只用来发布内网web服务器充当web缓冲服务器，以降低实际的web服务器负载52021/5/9代理服务器技术代理服务器主要功能共享网络连接资源，支持直接从缓存获取信息充当网络防火墙，可将内网的结构和状态对外屏蔽检测和控制网络访问代理服务器的解决方案以WinGate、SyGate、Winroute等产品为代表的代理服务器软件ISAServer、Squid支持反向代理服务62021/5/9代理服务器共享上网

代理服务器具有缓存Cache功能,可以加快访问速度对每一种应用独立代理，对用户有很强控制能力对新出现的网络应用无法支持客户端的每种网络应用软件需要配置具有防火墙功能Internet代理服务器Intranet72021/5/9共享上网配置82021/5/9内网服务器发布网络配置92021/5/9使用NAT代理服务器共享上网

网络地址转换（NAT）减少IP地址浪费。透明代理,客户端具有连接互联网能力的机器一样对客户机网络应用程序控制能力比Proxy差一些。具有防火墙功能虽然NAT可以借助于某些代理服务器来实现，但考虑到运算成本和网络性能，很多时候是在路由器上实现。InternetNAT服务器Intranet60.1.1.1192.168.0.1192.168.0.0102021/5/9NAT/NAPT带来的好处

解决IPv4地址空间不足的问题；

私有IP地址网络与公网互联；10.0.0.0/8，172.16.0.0/12，192.168.0.0/16

非注册IP地址网络与公网互联；建网时分配了全局IP地址－但没注册

网络改造中，避免更改地址带来的风险；112021/5/9NAT技术NAT工作原理NAT工作在网络层和传输层对进过的数据包进行地址转换后再转发NAT的网络地址转换是双向的内网到外网的NAT应用共享IP地址和网络连接，让内网共用一个公用地址接入Internet保护网络安全，通过隐藏内网IP地址，使黑客无法直接攻击内网122021/5/9NAT

NAT（网络地址转换），局域网主机访问互联网时，网络出口设备根据特定的规则，将局域网IP地址转换为公网IP,从而实现局域网多台主机利用NAT共享一条线路访问互联网。IP：AInternetIP：BIP：C（公网）IP：D（公网）server局域网A的数据到路由器后，路由器将A的IP转换为公网IP(C)，发送给服务器服务器返回数据到路由器后，路由器将公网IP(C)转换为A的IP,转发给主机A132021/5/9NAT工作原理142021/5/9端口映射外网到内网的NAT将公网IP地址和端口号映射到内网服务器的私有IP地址和端口号NAT解决方案硬件实现方案：NAT设备软件实现方案：NAT网关或NAT服务器152021/5/9200.8.7.3/24200.8.7.4/2463.5.8.1192.168.1.5192.168.1.7源IP:192.168.1.7

目的IP:63.5.8.1NAT工作原理内部本地地址内部全局地址192.168.1.7200.8.7.3192.168.1.5200.8.7.4

源IP:200.8.7.3

目的IP:63.5.8.1

源IP:63.5.8.1

目的IP:200.8.7.3

源IP:63.5.8.1

目的IP:192.168.1.7162021/5/9NAPT工作原理内部本地地址：端口内部全局地址:端口外部全局地址:端口192.168.1.7:1024200.8.7.3:102463.5.8.1：80192.168.1.5:1136200.8.7.3:113663.5.8.1：80200.8.7.3/2463.5.8.1192.168.1.5192.168.1.7源IP:192.168.1.7:1024

目的IP:63.5.8.1:80

源IP:200.8.7.3:1023

目的IP:63.5.8.1:80

源IP:63.5.8.1:80

目的IP:200.8.7.3:1024

源IP:63.5.8.1:80

目的IP:192.168.1.7:1024Web服务172021/5/9NAPTNAPT：网络端口地址转换将多个内部地址映射为一个合法公网地址，但以不同的协议端口号与不同的内部地址相对应<内部地址+内部端口>与<外部地址+外部端口>之间的转换“多对一”的NAT，能够使用一个全球有效IP地址获得通用性通信仅限于TCP或UDP适应场合缺乏全局IP地址只有一个连接ISP的全局IP地址内部网要求上网的主机数很多提高内网的安全性182021/5/9NAT和NAPT的配置

NAT/NAPT的配置有两种静态NAT/NAPT

动态NAT/NAPT

静态NAT/NAPT

需要向外网络提供信息服务的主机永久的一对一IP地址映射关系

动态NAT/NAPT

只访问外网服务，不提供信息服务的主机内部主机数可以大于全局IP地址数最多访问外网主机数决定于全局IP地址数临时的一对一IP地址映射关系192021/5/9局域网设置方案案例：某单位使用联通光缆接入Internet，路由器是Cisco2610，局域网采用INTEL550百兆交换机，联通提供四个IP地址：211.90.137.25（255.255.255.252）用于本地路由器的广域网端口211.90.137.26（255.255.255.252）用于对方（联通）的端口211.90.139.41（255.255.255.252）供自己支配211.90.139.42（255.255.255.252）供自己支配一般情况下，单位内部的局域网都使用Internet上的保留地址：10.0.0.0/8：10.0.0.0～10.255.255.255172.16.0.0/12：172.16.0.0～172.31.255.255192.168.0.0/16：192.168.0.0～192.168.255.255202021/5/9通过路由器访问Internet一般情况下，局域网内部的工作站直接利对外访问时，会因工作站使用的是互联网上的保留地址，而被路由器过滤掉，无法访问互联网资源。解决这一问题的办法是利用路由操作系统提供的NAT地址转换功能，将内部网的私有地址转换成互联网上的合法地址，使得不具有合法IP地址的用户可以通过NAT访问到外部Internet。NAT有两种类型：Single模式、global模式Single模式：可以将众多的本地局域网主机映射为一个Internet地址。局域网内的所有主机对外部Internet网络而言，都被看做一个Internet用户。Global模式：路由器的接口将众多的本地局域网主机映射为一定的Internet地址范围“IP地址池”。当本地主机端口与Internet上的主机连接时，IP地址池中的某个IP地址被自动分配给该本地主机，连接中断后动态分配的IP地址将被释放，释放的IP地址可被其他本地主机使用。212021/5/9网络连接示意图：所有的工作站都与交换机连接

路由器通过以太口连接在内部交换机上路由器上以太口使用内部私有地址光纤的两端分别使用了联通分配的两个有效IP地址在这种连接方式下，只要在路由器内部设置NAT，便可以使得局域网内部的所有工作站访问Internet，在每台工作站上只需设置网关指向路由器的以太口（192.168.0.3）即可上网，无需设置代理，并节省了两个有效IP地址可供自由支配（如建立单位自已的WEB和E-MAIL服务器）222021/5/9缺点：不能享受代理服务器提供的Cache服务来提高访问速度。所以本配置方案适合工作站数量较少的局域网。工作站配置：要求使用静态IP地址，在TCP/IP属性中进行设置，并设置网关为192.168.0.3（路由器以太口IP地址），设置DNS为接入商提供的地址。232021/5/9通过代理服务器访问Internet网络连接示意图：代理服务器上安装两块网卡，一块连接内部网，设置内部私有地址；另一块连接路由器以太口，设置联通分配的合法地址（211.90.139.42），并设置其网关为211.90.139.41（路由器以太口）路由器以太口也设置联通分配的合法IP地址（211.90.139.41）

将设备连接好后，在代理服务器上安装代理软件，并在工作站上设置代理即可访问Internet242021/5/9代理服务器的设置：代理服务器必须按装两块网卡，一块用于连接内部局域网，设IP地址为内部私有地址（如：192.168.0.4掩码255.255.255.0）无需设网关。另一块用于连接路由器，设置联通分配的合法地址（211.90.139.42掩码255.255.255.252），并设置其网关为：211.90.139.41(路由器以太口)。按照上面的方法设置好网卡后，再安装一套代理软件即可。工作站的设置：工具菜单->internet选项->连接->局域网设置->使用代理服务器->地址:192.168.0.4端口:80->确定。252021/5/9利用代理服务器方式访问Internet，优点是可以利用代理服务器提供的Cache服务来提高Internet的访问速度和效率。比较适合工作站较多的局域网使用。缺点是需要专门配备一台计算机作为代理服务器，增加了投资成本；且较上一种方法多占用两个合法IP地址。局域网内的所有计算机通过交换机直接与代理服务器上的内部网卡通讯，然后在代理服务软件的控制之下经过路由器访问Internet。262021/5/9直接访问与代理访问并存网络连接示意图：集成了前两种方法的优点，即节省了IP地址，又能通过代理服务器提供的Cache来提高Internet的访问效率。代理服务器上安装两块网卡，两块网卡均连接在交换机上，在设置IP地址时，两块网卡均设置内部私有地址，但这两个地址应不属于一个网络（即IP地址的网络地址不同），一块用于与内部网通信（网卡1），一块用于与路由器通信（网卡2），否则代理无法实现。在代理服务器上不要安装NETBEUI协议，仅安装TCP/IP