代理服务器的设置： 代理服务器的设置：
代理服务器必须按装两块网卡，一块用于连接内部局域网，设IP 地址为内部私有 地址（如：192.168.0.4 掩码255.255.255.0）无需设网关。另一块用于连接路由 器，设置联通分配的合法地址（211.90.139.42 掩码 255.255.255.252），并设 置其网关为：211.90.139.41(路由器以太口)。按照上面的方法设置好网卡后，再 安装一套代理软件即可。
源IP:192.168.1.7:1024 目的IP:63.5.8.1:80 目的
源IP:200.8.7.3:1023 目的IP:63.5.8.1:80 目的 源IP:63.5.8.1 :80 目的IP:192.168.1.7:1024 目的 源IP:63.5.8.1:80 目的IP:200.8.7.3:1024 目的
10.0.0.0/8，172.16.0.0/12， 10.0.0.0/8，172.16.0.0/12，192.168.0.0/16
非注册IP地址网络与公网互联； 非注册IP地址网络与公网互联； IP地址网络与公网互联
建网时分配了全局IP地址－ 建网时分配了全局IP地址－但没注册 IP地址
网络改造中，避免更改地址带来的风险； 网络改造中，避免更改地址带来的风险；
NAPT
NAPT：网络端口地址转换
• • • • 将多个内部地址映射为一个合法公网地址，但以不同的协议端口号与不同的内部 地址相对应 <内部地址+内部端口>与<外部地址+外部端口>之间的转换 “多对一”的NAT，能够使用一个全球有效IP地址获得通用性 通信仅限于TCP或UDP
适应场合
缺乏全局IP地址 – 只有一个连接ISP的全局IP地址 – 内部网要求上网的主机数很多 – 提高内网的安全性
局域网接入Internet 局域网接入Internet
内网连入Internet的几种方式
将内网连入Internet的五种方式
– – – – –
通过路由器将内网连入Internet 通过网络防火墙将内网连入Internet 通过代理服务器将内网连入Internet 通过NAT网关连入Internet 通过VPN使内网经过Internet进行互联
• 虽然NAT可以借助于某些代理服务器来实现，但考虑到运算成本和 网络性能，很多时候是在路由器上实现。
NAT/NAPT带来的好处
解决IPv4地址空间不足的问题； 解决IPv4地址空间不足的问题； IPv4地址空间不足的问题 私有IP地址网络与公网互联； 私有IP地址网络与公网互联； IP地址网络与公网互联
局域网设置方案
案例：某单位使用联通光缆接入Internet， 路由器是Cisco2610，局域网采用INTEL550 百兆交换机，联通提供四个IP 地址：
211.90.137.25（255.255.255.252） 211.90.137.26（255.255.255.252） 211.90.139.41（255.255.255.252） 211.90.139.42（255.255.255.252） 用于本地路由器的广域网端口 用于对方（联通）的端口 供自己支配 供自己支配
动态NAT/NAPT 动态NAT/NAPT
只访问外网服务， 只访问外网服务，不提供信息服务的主机 内部主机数可以大于全局IP IP地址数 内部主机数可以大于全局IP地址数 最多访问外网主机数决定于全局IP IP地址数 最多访问外网主机数决定于全局IP地址数 临时的一对一IP IP地址映射关系 临时的一对一IP地址映射关系
网络连接示意图：
代理服务器上安装两块网卡，一块连接内部网，设置内部私有地址；另一块连 接路由器以太口，设置联通分配的合法地址（211.90.139.42），并设置其网关为 211.90.139.41（路由器以太口） 路由器以太口也设置联通分配的合法IP 地址（211.90.139.41） 将设备连接好后，在代理服务器上安装代理软件，并在工作站上设置代理即可 访问Internet
IP：D（公网） ： （公网）
NAT（网络地址转换），局域网主机访问互联网时， NAT（网络地址转换），局域网主机访问互联网时，网络出口 ），局域网主机访问互联网时 设备根据特定的规则，将局域网IP地址转换为公网IP, IP地址转换为公网IP,从而实现局域网 设备根据特定的规则，将局域网IP地址转换为公网IP,从而实现局域网 多台主机利用NAT共享一条线路访问互联网。 NAT共享一条线路访问互联网 多台主机利用NAT共享一条线路访问互联网。
网络连接示意图：
所有的工作站都与交换机连接 路由器通过以太口连接在内部交换机上 路由器上以太口使用内部私有地址 光纤的两端分别使用了联通分配的两个有效IP 地址
在这种连接方式下，只要在路由器内部设置NAT，便可以使得局域网内部的所 有工作站访问Internet，在每台工作站上只需设置网关指向路由器的以太口 （192.168.0.3）即可上网，无需设置代理，并节省了两个有效IP 地址可供 自由支配（如建立单位自已的WEB 和E-MAIL服务器）
代理服务器技术
代理服务器主要功能
– – –
共享网络连接资源，支持直接从缓存获取信息 充当网络防火墙，可将内网的结构和状态对外屏蔽 检测和控制网络访问
代理服务器的解决方案
– –
以WinGate、SyGate、Winroute等产品为代表的代理服 务器软件 ISA Server、Squid支持反向代理服务
•
NAT有两种类型：Single模式、global模式
– Single模式：可以将众多的本地局域网主机映射为一个Internet 地址。局域网 内的所有主机对外部Internet 网络而言，都被看做一个Internet用户。 – Global模式：路由器的接口将众多的本地局域网主机映射为一定的Internet 地 址范围“IP 地址池”。当本地主机端口与Internet 上的主机连接时，IP 地址 池中的某个IP 地址被自动分配给该本地主机，连接中断后动态分配的IP 地址将 被释放，释放的IP 地址可被其他本地主机使用。
工作站配置： 工作站配置：
要求使用静态IP 地址，在TCP/IP 属性中进行设置，并设置网关为192.168.0.3 （路由器以太口IP 地址），设置DNS为接入商提供的地址。
缺点：
不能享受代理服务器提供的Cache 服务来提高访问速 度。所以本配置方案适合工作站数量较少的局域网。
通过代理服务器访问Internet
通过路由器访问Internet
•
一般情况下，局域网内部的工作站直接利对外访问时，会因工作站使用的是互联网上 的保留地址，而被路由器过滤掉，无法访问互联网资源。解决这一问题的办法是利用 路由操作系统提供的NAT地址转换功能，将内部网的私有地址转换成互联网上的合法 地址，使得不具有合法IP 地址的用户可以通过NAT访问到外部Internet。
使用NAT代理服务器共享上网
Internet NAT服务器 60.1.1.1 192.168.0.1 Intranet 192.168.0.0
网络地址转换（NAT） 网络地址转换（NAT） o o o o 减少IP地址浪费。 透明代理,客户端具有连接互联网能力的机器一样 对客户机网络应用程序控制能力比Proxy差一些。 具有防火墙功能
一般情况下，单位内部的局域网都使用Internet上的保留地址： 10.0.0.0/8：10.0.0.0～10.255.255.255 172.16.0.0/12：172.16.0.0～172.31.255.255 192.168.0.0/16：192.168.0.0～192.168.255.255
工作站的设置： 工作站的设置：
工具菜单->internet 选项->连接->局域网设置->使用代理服务器->地 址:192.168.0.4 端口:80->确定。
局域网内的所有计算机通过交换机直接与代理服务器上的内部网卡通讯，然 后在代理服务软件的控制之下经过路由器访问Internet。
利用代理服务器方式访问Internet，优点是可以利用代理服务器提供的Cache 服务来提高Internet的访问速度和效率。比较适合工作站较多的局域网使用。 缺点是需要专门配备一台计算机作为代理服务器，增加了投资成本；且较上 一种方法多占用两个合法IP 地址。
常见实现方式
根据工作原理不同，可分为： 根据工作原理不同，可分为：
软件方式
代理服务器方式 网关方式
硬件方式 拥有网络地址转换功能的设备
代理服务器
proxy、ISA、ICS、wingate、 ygate等 proxy、ISA、ICS、wingate、Sygate等
NAT/NAPT(网络地址转换/网络地址端口转换) NAT/NAPT(网络地址转换/网络地址端口转换) 网络地址转换
ห้องสมุดไป่ตู้
NAT工作原理
端口映射
– –
外网到内网的NAT 将公网IP地址和端口号映射到内网服务器的私有IP地址和端口号
NAT解决方案 NAT解决方案
硬件实现方案：NAT设备 硬件实现方案：NAT设备 软件实现方案：NAT网关或NAT服务器 软件实现方案：NAT网关或NAT服务器 网关或NAT
NAT工作原理
–
NAT和NAPT的配置
NAT/NAPT的配置有两种 NAT/NAPT的配置有两种
静态NAT/NAPT 静态NAT/NAPT 动态NAT/NAPT 动态NAT/NAPT
静态NAT/NAPT 静态NAT/NAPT
需要向外网络提供信息服务的主机 永久的一对一IP IP地址映射关系 永久的一对一IP地址映射关系
Internet
IP：B ：
局域网A 局域网A的数据到路由器后， 服务器返回数据到路由器 路由器将A IP转换为公网 路由器将A的IP转换为公网 IP(C)，发送给服务器 IP(C)，发送给服务器 后，路由器将公网IP(C)转 后，路由器将公网IP(C)转 换为A IP,转发给主机A 换为A的IP,转发给主机A