论文部分内容阅读
现在很多县区都建立了教育城域网,县直及各乡镇学校通过光缆及收发器连接到教育局信息中心,配置模式是在县教育局的主交换机上为每个县直或乡镇学校划分一个vlan并分配一段IP地址,实质上是整个县区构成了一个大一些的局域网。这种方式的优点是教育局及各学校相互之间访问方便,但是由于现在有些学校的网络管理不到位,致使校园网病毒很多,病毒所发出的数据包直接影响到教育局主交换机与该学校所连接的端口。如果有病毒的学校比较多,将会使得教育局主交换机的性能急剧下降,从而造成整个教育城域网的中断,同时校内某些重要的信息也容易泄露。为此需要在教育局与各学校之间进行隔离,即一个学校有病毒不会影响到教育局及其他学校。然而现在有路由器的学校并不多,而服务器一般都有,所以就想到各校园网用win2003 NAT软路由连接到教育局信息中心。
网络地址转换(NAT,Network AddressTranslation)被,一泛应用于各种类型Internet接入方式和各种类型的网络中。原因是NAT不仅完美地解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
一、Win2003服务器NAT的配置
首先要有一台安装好win2003的服务器,安装两块网卡,一块连接内部交换机,一块连接教育局主交换机。其设置分别是内网卡IP为192.168.1.1,MASK为255.255.255.0,外网卡IP为172.16.1.1,MASK为255.255.0.O,网关为172.16.1.254,DNS为202.102.128.68。外网卡设置由教育局分配,内网卡不要设置网关,因为在win 2003系统中两块网卡都设置网关会发生冲突。
配置NAT的步骤非常简单,单击“开始——程序——管理工具一路由和远程访问”,默认情况下没有启用路由和远程访问,在服务器名称上单击鼠标右键,选择“配置并启用路由和远程访问”,单击“下一步”,在对话框中选择“网络地址转换(NAT)”,单击下一步,在“使用此公共接口连接到Internet”中选定“外网卡”。单击下一步,在“为可访问Internet的网络选择接口”中选定“内网卡”,单击下一步,选择“我将稍后设置名称和地址服务”,单击下一步,单击完成。此时服务器上就启用了路由和远程访问服务。
二、客户端的设置
win2003 NAT配置好以后,就是校园内部计算机的设置,可分为两种情况。一种情况是校园交换机不是三层交换机,校园内部计算机数量也不是很多,没有划分vlan。第二种情况就是校园内部有三层交换机,计算机数量非常多,并且也划分了多个vlan。
第一种情况设置非常简单,只需客户端IP和服务器内网卡在同一网段内,网关设置为192.168.1.1(服务器内网卡IP),DNS为202.102.128.68,设置完毕内部就能够上网。
第二种情况稍微麻烦一些,比如说校园网三层交换机划分的vlan如下表所示。
这里把NAT服务器的内网卡接口单独划分出了一个vlan,这样即使其他vlan中有病毒也不会影响到NAT服务器,还需要把三层交换机的默认网关(default gateway)设置为内网卡地址。客户端IP需要设置所属网段内IP,网关设置为所属网段的网关。另外还需要在NAT服务器命令提示符下输入以下几条命令:
Route add p 192.168.2.0 mask 255.255.255.0 192.168.1.254
Route add p 192.168.3.0 mask 255.255.255.0 192.168.1.254
Route add D 192.168.4.0 mask 255.255.255.0 192.168.1.254
因为内网卡不能设置默认网关,所以需要加上以上几条路由,使得内网卡网段能够与其他三个网段通信,至此内部已能够上网。
三、利用win2003服务器NAT进行简单的上网控制
有时我们不希望内部访问某些网站,比如说我们想禁止内部对WWW.4399.com网站的访问,我们可以进行如下设置。在“路由和远程访问”中展开本地服务器的名称,再展开“IP路由选择”,选定“常规”,在右边窗口中右键单击“外网卡”,在弹出的菜单中选择“属性”,在外网卡属性对话框中单击“出站筛选器”按钮,在“出站筛选器”对话框中单击“新建”按钮,在“添加IP筛选器”对话框中,选定“源网络”,在IP地址中输入172.16.0.0,子网掩码为255.255.0.0。选定“目标网络”,IP地址中输入221.5.251.250,子网掩码为255.255.255.255。协议选择“任何”即可,单击确定按钮回到“出站筛选器”对话框,此时可以看到筛选器的操作是“传输所有符合下列条件以外的数据包”。由于发布www.4399.com网站的IP有四个,分别是221.5.251.250、221.5.251.251、220.98.24.67、202.98.24.67,所以我们还需要建立禁止其他三个IP的策略。可以看出在进行上网的控制与管理方面Win2003 NAT确实功能有限。如果需要对内部上网进行更严格的控制,需要安装代理软件,如ccproxy、ISA server 2004等。
实践证明,校园网利用Win2003 NAT路由实现与县教育网连接的配置方法能够有效地防止因校园内病毒而影响整个城域网的正常运行。笔者所在城域网正是通过为每个学校配置win 2003 NAT软路由连接至教育局,才使得整个教育城域网的运行更加稳定可靠。同时它也割断了校园外部对内部计算机的访问,有效地保护内部的重要资料,而且它比其他一些代理软件简单易用,速度快且稳定性强,所以被广泛地应用于校园网中。
网络地址转换(NAT,Network AddressTranslation)被,一泛应用于各种类型Internet接入方式和各种类型的网络中。原因是NAT不仅完美地解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
一、Win2003服务器NAT的配置
首先要有一台安装好win2003的服务器,安装两块网卡,一块连接内部交换机,一块连接教育局主交换机。其设置分别是内网卡IP为192.168.1.1,MASK为255.255.255.0,外网卡IP为172.16.1.1,MASK为255.255.0.O,网关为172.16.1.254,DNS为202.102.128.68。外网卡设置由教育局分配,内网卡不要设置网关,因为在win 2003系统中两块网卡都设置网关会发生冲突。
配置NAT的步骤非常简单,单击“开始——程序——管理工具一路由和远程访问”,默认情况下没有启用路由和远程访问,在服务器名称上单击鼠标右键,选择“配置并启用路由和远程访问”,单击“下一步”,在对话框中选择“网络地址转换(NAT)”,单击下一步,在“使用此公共接口连接到Internet”中选定“外网卡”。单击下一步,在“为可访问Internet的网络选择接口”中选定“内网卡”,单击下一步,选择“我将稍后设置名称和地址服务”,单击下一步,单击完成。此时服务器上就启用了路由和远程访问服务。
二、客户端的设置
win2003 NAT配置好以后,就是校园内部计算机的设置,可分为两种情况。一种情况是校园交换机不是三层交换机,校园内部计算机数量也不是很多,没有划分vlan。第二种情况就是校园内部有三层交换机,计算机数量非常多,并且也划分了多个vlan。
第一种情况设置非常简单,只需客户端IP和服务器内网卡在同一网段内,网关设置为192.168.1.1(服务器内网卡IP),DNS为202.102.128.68,设置完毕内部就能够上网。
第二种情况稍微麻烦一些,比如说校园网三层交换机划分的vlan如下表所示。
这里把NAT服务器的内网卡接口单独划分出了一个vlan,这样即使其他vlan中有病毒也不会影响到NAT服务器,还需要把三层交换机的默认网关(default gateway)设置为内网卡地址。客户端IP需要设置所属网段内IP,网关设置为所属网段的网关。另外还需要在NAT服务器命令提示符下输入以下几条命令:
Route add p 192.168.2.0 mask 255.255.255.0 192.168.1.254
Route add p 192.168.3.0 mask 255.255.255.0 192.168.1.254
Route add D 192.168.4.0 mask 255.255.255.0 192.168.1.254
因为内网卡不能设置默认网关,所以需要加上以上几条路由,使得内网卡网段能够与其他三个网段通信,至此内部已能够上网。
三、利用win2003服务器NAT进行简单的上网控制
有时我们不希望内部访问某些网站,比如说我们想禁止内部对WWW.4399.com网站的访问,我们可以进行如下设置。在“路由和远程访问”中展开本地服务器的名称,再展开“IP路由选择”,选定“常规”,在右边窗口中右键单击“外网卡”,在弹出的菜单中选择“属性”,在外网卡属性对话框中单击“出站筛选器”按钮,在“出站筛选器”对话框中单击“新建”按钮,在“添加IP筛选器”对话框中,选定“源网络”,在IP地址中输入172.16.0.0,子网掩码为255.255.0.0。选定“目标网络”,IP地址中输入221.5.251.250,子网掩码为255.255.255.255。协议选择“任何”即可,单击确定按钮回到“出站筛选器”对话框,此时可以看到筛选器的操作是“传输所有符合下列条件以外的数据包”。由于发布www.4399.com网站的IP有四个,分别是221.5.251.250、221.5.251.251、220.98.24.67、202.98.24.67,所以我们还需要建立禁止其他三个IP的策略。可以看出在进行上网的控制与管理方面Win2003 NAT确实功能有限。如果需要对内部上网进行更严格的控制,需要安装代理软件,如ccproxy、ISA server 2004等。
实践证明,校园网利用Win2003 NAT路由实现与县教育网连接的配置方法能够有效地防止因校园内病毒而影响整个城域网的正常运行。笔者所在城域网正是通过为每个学校配置win 2003 NAT软路由连接至教育局,才使得整个教育城域网的运行更加稳定可靠。同时它也割断了校园外部对内部计算机的访问,有效地保护内部的重要资料,而且它比其他一些代理软件简单易用,速度快且稳定性强,所以被广泛地应用于校园网中。