第9章实现局域网和广域网互联

1、2022-5-71第第9章章实现局域网和广域网互实现局域网和广域网互联联 2022-5-72本章要点本章要点 随着互联网时代的到来，仅局域网已经不能满足众多企业的需要，有更多的用户需要在Internet上发布信息，或进行信息检索，将企业内部局域网接入Internet已经成为众多企业的迫切要求。将局域网接入Internet有很多种方法。通过路由器连接到通过路由器连接到InternetInternetInternetInternet连接共享（连接共享（ICSICS）NATNAT与基本防火墙与基本防火墙代理服务器代理服务器2022-5-73第第9章章 实现局域网和广域网互联实现局域网和广域网互联9.

2、1 概述概述9.2 通过路由器连接到通过路由器连接到Internet9.3 Internet连接共享（连接共享（ICS）9.4 NAT与基本防火墙与基本防火墙9.5 利用代理服务器利用代理服务器2022-5-749.1 概述概述要使小型办公室或家庭办公室中的多个计算机能通过Internet进行通信，每个计算机都必须有自己的公用地址。专用网络ID包括：子网掩码为255.0.0.0的10.0.0.0（一个A类的地址） 子网掩码为255.240.0.0的172.16.0.0（一个B类的地址） 子网掩码为255.255.0.0的192.168.0.0（一个C类的地址） 2022-5-75概述概述问题：

3、为什么要引入专用地址？ 注意：专用地址不能直接与专用地址不能直接与InternetInternet通信。通信。使用专用地址的内部网络，要与使用专用地址的内部网络，要与InternetInternet进行通信，则该专用地址必须转换成公用地进行通信，则该专用地址必须转换成公用地址（唯一的）。址（唯一的）。Windows Server 2003有两种内置的网络地址转换方法：InternetInternet连接共享连接共享 网络地址转换网络地址转换NATNAT2022-5-769.2 通过路由器连接到通过路由器连接到Internet2022-5-77通过路由器连接到通过路由器连接到Internet上上

4、使用路由器使你的网络连接到Internet 1、优化网络性能 2、使你的网络用户能通过单一的共享连接到Internet 3、利用这种用路由器连接到网络上的方法最容易，但不可提供安全防范。Windows Server 2003提供的内置路由和远程访问服务可以把一个网络通过某个ISP连接到Internet。 注意：把一个网络连接到Internet，利用路由器是最容易的方法，但该方法不能阻止未经授权的主机连接到Internet，同时网络中希望连接到Internet的所有主机都要有合法的公用地址。2022-5-789.3 Internet连接共享（连接共享（ICS）通过“网络和拨号连接”的Intern

5、et连接共享功能，可以使用Windows操作系统将小型办公室网络连接到Internet。 2022-5-79配置要点配置要点必须以Administrators成员登录到该计算机。 共享服务器不能是域控制器、DNS服务器、网关或DHCP服务器。共享服务器需要两个连接。启用连接共享后，共享服务器的IP地址将被转换为 192.168.0.1。如果网络中只有一台服务器提供地址分配和名称解析服务，则只能使用网络地址转换（NAT）来实现将网络中用户连接到Internet上的功能。在网络中共享服务器将成为内部网络的动态主机配置协议（DHCP）服务器，为加入到网络中的客户机动态分配IP地址。 2022-5-7

6、10配置服务器端配置服务器端 Internet连接共享连接共享 2022-5-711客户端设置客户端设置 （1 1）自动获得）自动获得IPIP地址地址 注意：如果使用自动地址分配应该全部机器都使用自动地址分配，如果部分使用部分不用可能导致地址冲突。 （2 2）人工设置）人工设置IPIP地址地址 说明：人工设置IP地址时需要将IP地址设置成与共享计算机在同一个子网内，并且默认网关和DNS服务器由共享计算机充当。2022-5-7129.4 NAT 与基本防火墙与基本防火墙网络地址转换器NAT（Network Address Translator）位于使用专用地址的Intranet和使用公用地址的I

7、nternet之间。从Intranet传出的数据包由NAT将它们的专用地址转换为公用地址。从Internet传入的数据包由NAT将它们的公用地址转换为专用地址。2022-5-713NATNAT的工作过程（的工作过程（1 1）2022-5-714NATNAT的工作过程（的工作过程（2 2）Client ComputersIP = 192.168.0.2IP = 192.168.0.3IP = 192.168.0.4Computer Running NATInternal IP = 192.168.0.1External IP = 202.162.4.11. 客户机发出一个数据包到运行客户机发出一

8、个数据包到运行NAT的计算机的计算机4. NAT计算机再次替换信息包的标题，并把该消息包发送计算机再次替换信息包的标题，并把该消息包发送给客户机。给客户机。2. 运行运行NAT的计算机将从内部客户机接收到的信息包的标的计算机将从内部客户机接收到的信息包的标题替换成自己的端口号和外部的题替换成自己的端口号和外部的IP地址，发给地址，发给Internet上上目的主机。目的主机。3. Web主机将回答信息发送给运行主机将回答信息发送给运行NAT的计算机的计算机InternetWeb ServerIP = 202.202.163.12022-5-715NATNAT的工作过程（的工作过程（3 3）NAT

9、工作过程中的两次地址转换：对于来自NAT协议的传出数据包，源IP地址(专用地址)被映射到ISP分配的地址(公用地址)，并且TCP/UDP端口号也会被映射到不同的TCP/UDP端口号。对于到NAT协议的传入数据包，目标IP地址(公用地址)被映射到源Internet地址(专用地址)，并且TCP/UDP端口号被重新映射回源TCP/UDP端口号。2022-5-716NATNAT适用情况适用情况企业对企业对InternetInternet访问和外部对私有网络的访访问和外部对私有网络的访问受到限制问受到限制私有网络是由任意数量的客户组成私有网络是由任意数量的客户组成私有网络上的计算机使用私有地址私有网络上

10、的计算机使用私有地址2022-5-717配置启用配置启用NAT的计算机的计算机 配置启用配置启用NATNAT的计算机的计算机安装NAT“常规 新路由选择协议”配置NAT“NAT属性页”配置NAT路由接口“NAT 新接口”2022-5-718安装安装NATNAT2022-5-719配置配置NATNAT路由器接口路由器接口2022-5-720NATNAT客户端设置客户端设置两种设置方式：两种设置方式：（1 1）自动获得）自动获得TCP/IPTCP/IP 此时客户端会自动向NAT服务器或DHCP服务器来索取IP地址、默认网关、DNS服务器的IP地址等设置。（2 2）手工设置）手工设置TCP/IPTC

11、P/IP客户端的IP地址与NAT局域网接口的IP地址的网络号必须相同；默认网关必须设置为NAT局域网接口的IP地址；首选DNS服务器可以设置为NAT局域网接口的IP地址或是任何一台合法的DNS服务器的IP地址。2022-5-721DHCPDHCP分配器分配器2022-5-722DNSDNS代理代理2022-5-723内部网络的开放与防火墙内部网络的开放与防火墙 NATNAT网络接口与防火墙网络接口与防火墙端口映射端口映射地址映射地址映射2022-5-7249.5 利用代理服务器利用代理服务器代理服务器不仅能实现网络内部专用地址到公用地址的转换，同时还提供了安全功能和缓存功能，通过服务、IP地址

12、和端口的限制代理服务器可提高网络的安全性，实现防火墙的功能。目前，比较常用的代理服务器有Microsoft的Proxy Server、CCProxy、Qbik的Wingate和Winroute等。 2022-5-725代理服务器代理服务器软件需要安装在一台同时跨越外部网络和内部网络的计算机上。使用代理服务器实现局域网对Internet的访问管理，具有如下几个突出特点：通过一个IP地址或一个Internet账号供多个用户同时访问。在内部网络和外部网络之间架设起防火墙。 通过缓存区的使用降低网络通信费用。 对局域网用户进行访问权限和信息流量计费管理。 对进入局域网的互联网信息访问内容进行控制。 在

13、确保内部网络安全的环境下提供Internet信息服务。 2022-5-726小结小结 至此，我们己经介绍了四种方法将公司中的至此，我们己经介绍了四种方法将公司中的网络连接到网络连接到InternetInternet上，在决定使用哪种上，在决定使用哪种方法前应了解它们各自的特点以及相互区别。方法前应了解它们各自的特点以及相互区别。NAT与路由的比较 NAT与代理服务器 NAT与 Internet共享2022-5-727NAT与路由的比较 NAT可将大量未注册的网络内部的专用地址转换为个别的公用地址，降低了网络成本。 NAT提供了路由所不支持的网络安全性。 因为要进行地址转换，所以NAT要比路由占用更多的网络资源