利用局域網
目前局域網的組網產品很多,以太網交換機或集線器(HUB)價格低廉,非常容易實現局域網客戶的互聯。本文以現有園區網為例,闡述如何利用PROXY代理服務器實現Internet連接,並進行代理服務器的內部路由分析。本局域網的拓撲結構如圖1所示,局域網組成為:客戶機若干台,服務器一台,撥號網絡服務器一台,連接Internet的調制解調器一台。
具體配置如下:
1、客戶機:安裝WINDOWS 95/98,IE浏覽器(Internet Explorer4.0或5.0)。在Internet Explorer的選項,連接一欄中選擇使用代理服務器訪問Internet,並將代理服務器的IP地址和端口號(80)填入地址和端口項,如此便完成了客戶端的簡單配置。
2、服務器:安裝WINDOWS NT和PROXY軟件。配置服務器的RAS、撥號網絡、TCP/IP等,建立WINDOWS用戶帳戶,啟動PROXY軟件,啟動WEB、FTP等代理任務並進行權限設置,給予客戶訪問Internet的權限等。
3、調制解調器:在服務器端配置一台調制解調器(MODEM),一條電話線。撥通本地的Internet電話,如169、163等。
4、撥號網絡服務器:在局域網中為遠程用戶提供服務,使遠程用戶可以通過專用通訊線路與局域網連接。
代理服務器的路由問題
配置服務器的RAS服務和撥號網絡後,進行撥號連接。此時的代理服務器中相當於存在兩塊接口卡,即一個網卡和一個調制解調器,可以把它看作是一個路由器,為客戶和外界提供路由轉發功能,因此必須查看並調整服務器的路由設置,以保證服務器與客戶的正常通訊。
在服務器上進行撥號,在DOS模式下通過ROUTE命令查看服務器的路由表。下面僅以缺省路由為例簡單分析NT服務器在撥號過程中的路由表,假設10.119.40.254為服務器所在網段的網關,10.119.40.49為NT服務器網卡的IP地址。
撥號前服務器路由表(表1):
NETWORK ADDRESS NETMASK GATEWAY ADDRESS INTERFACE METRIC
0.0.0.0 0.0.0.0 10.119.40.254 10.119.40.49 1
撥號後服務器路由表(表2):
NETWORK ADDRESS NETMASK GATEWAY ADDRESS INTERFACE METRIC
0.0.0.0 0.0.0.0 10.119.40.254 10.119.40.49 2
0.0.0.0 0.0.0.0 10.18.168.168 10.18.168.168 1
其中10.18.168.168為INTERNET服務器分配給本撥號網絡(調制解調器)的IP地址。經對比表1和表2,在撥號前後的缺省路由有了變化。分析這一現象,主要是由於在服務器中撥號網絡,TCP/IP設置的選項中,選擇了使用撥號網絡的默認網關的緣故,這樣服務器每次向10.119.40.0網段的客戶發送信息都首先經過10.18.168.168的地址。當網絡上的客戶要求訪問INTERNET站點時,每次都要通過局域網到NT服務器,然後至MODEM。所以必須保障客戶機與服務器的正常連通,使路由過程通過10.119.40.49局域網網卡進行。應用PING命令進行檢測,服務器可以PING通客戶機,而客戶機PING服務器時出現超時(TIME OUT)。這一現象表明由於代理服務器的默認路由發生了變化,從而使客戶與服務器的連通首先要經過10.18.168.168來轉發。解決這一問題須做以下設置,假設某客戶所在網段為122.103.1.0,SUBMASK:255.255.255.0,需向路由表中填加指定項目,即執行命令ROUTE ADD 122.103.1.0 255.255.255.0 10.119.40.49。其中10.119.40.49為NT服務器的網卡IP地址,再查看服務器路由表如下:
NETWORK ADDRESS NETMASK GATEWAY ADDRESS INTERFACE METRIC
0.0.0.0 0.0.0.0 10.119.40.254 10.119.40.49 2
0.0.0.0 0.0.0.0 10.18.168.168 10.18.168.168 1
122.103.1.0 255.255.255.0 10.199.40.254 10.119.40.49 1
進一步分析,我們還可以通過修改默認路由的方法來達到我們的目的,即使用ROUTE ADD 0.0.0.0 0.0.0.0 10.119.40.49 1 IF METRIC=2
使路由表設置為:
NETWORK ADDRESS NETMASK GATEWAY ADDRESS INTERFACE METRIC
0.0.0.0 0.0.0.0 10.119.40.254 10.119.40.49 1
作為特殊情況,我們分析一下局域網遠程用戶的路由問題。在局域網中存在遠程用戶,它們通常經過專用的通訊線路與局域網連接,如果它們試圖通過代理服務器訪問INTERNET,必須在NT服務器上配置路由表。由於這類遠程用戶訪問INTERNET需要經過2次撥號服務,在PROXY代理服務器上直接的路由設置尤其必要。如上所述,局域網的客戶還可以通過修改默認路由的方法使服務器和客戶連通。對於遠程客戶則不然,必須直接設置代理服務器的路由。假設遠程用戶(撥號網絡服務器)所在的網段為122.100.1.0,SUBMASK:255.255.255.0,須加入路由:ROUTE ADD 122.100.1.0 255.255.255.0 10.119.40.49,才能保證遠程用戶的直通性。否則,在客戶撥通局域網時,遠程客戶機能PING通網上其它所有的設備,惟獨PING NT服務器時超時錯誤。這說明代理服務器的默認路由此時並沒有起作用。
用戶的管理
通過WINDOWS NT可以對每個代理用戶進行管理。在客戶訪問INTERNET時,首先要在代理服務器上進行用戶驗證,在用戶輸入正常的用戶名和密碼時,才能為其提供INTERNET服務,然後通過代理服務器訪問INTERNET。代理服務器軟件可使用MS PROXY 2.0,它提供了大量的代理權限的控制,使用它可以對授權用戶、訪問站點等進行方便地管理、監視、記錄等。