Internet的接入.ppt

第7章Internet的接入 本章主要内容 7.1虚拟专用网VPN 7.2网络地址转换NAT 7.3局域网宽带接入Internet 7.4NAT技术的软件实现 7.5Internet连接共享接入 7.6通过代理服务器接入 7.1 虚拟专用网VPN 7.1.1 VPN原理 由于IP地址的紧缺，一个机构能够申请到的IP地址数往往小于本机构所拥有的主机数。实际上，出于安全等原因，一个机构内的很多主机并不需要接入到外部的Internet，它们主要是利用内部的其他主机进行通信（例如，在大型商场或宾馆中有很多用于营业和管理的计算机。显然这些计算机并不需要和Internet相连）。假定一个机构内部的计算机通信也是采用TCP/IP协议，从原则上讲，对于这些仅在机构内部使用的计算机就可以由本机构自行分配其IP地址。这就是说，让这些计算机使用仅在本机构有效的IP地址（这种地址称为本地地址），而不需要向Internet的管理机构申请全球唯一的IP地址（这种地址称为全球地址）。这样就可以节约宝贵的全球IP地址资源。 但是，任意选择一些IP地址作为本地地址，在某种情况下可能会引起一些麻烦。例如，一个不连接到Internet的主机A分配到本地地址。这个地址不需要在Internet地址管理机构注册，但在本机构内必须是唯一的。然而正巧Internet上有一个主机，其IP地址就是，而且这个主机要和本机构的某个具有全球地址的主机通信，这样就会出现二义性问题。。 为了解决这一问题，RFC1918指明了一些专用地址（Private Address）。这些地址只能用于一个机构的内部通信，而不能用于和Internet上的主机通信。换言之，专用地址只能用作本地地址而不能用作全球地址。在Internet的所有路由器对目的地址是专用地址的数据报一律不进行转发。 RFCl918指明的专用地址是： （1）到55（或记为l0/8，是一个24位块）。 （2）到55（或记为172.16/12，是一个20位块）。 （3）到55（或记为192.168/16，是一个16位块）。 上面的三个地址块分别相当于一个A类网络、16个连续的B类网络和256个连续的C类网络。A类地址本来早已用完了，地址本来是分配给ARPANET的。出于ARPANET已经关闭停止运行，因此这个地址就用作了专用地址。。 。 有时一个很大的机构有许多部门分布在相距很远的一些地点，而任何一个地点都有自己的专用网。假定这些分布在不向地点的专用网需要经常进行通信。这时，可以有两种方法。第一种方法是租用电信公司的线路为本机构专用。这种方法的好处是简单方便，但线路的租金太高。第二种方法是利用Internet（即公用互联网）来实现本机构的专用网，这样的专用网又称为虚拟专用网VPN（Virtual Private Network）。虚拟即“好像是”但实际上不是，因为现在是Internet（而并没有用专线）来连接分散在各地的本地网络。VPN只是在效果上和真正的专用网一样。 1．架设VPN服务器 （1）选择“开始”→“管理工具”→“路由和远程访问”，在打开的窗口中，右击服务器名字，选择“配置并启用路由和远程访问”命令。 （2）选择“远程访问（拨号或VPN）”，单击“下一步”按钮。 （3）单击“下一步”按钮。 （4）要允许VPN客户端连接到服务器，至少要有一个网络接口连接到Internet。选择连接到Internet的网络接口。单击“下一步”按钮。 （5）若选择“自动”，则可由VPN服务器向DHCP服务器租用IP地址，然后分配给客户端；若选择“来自一个指定的地址范围”，单击“下一步”按钮后，设置的地址范围将被指派给客户端使用。这里选择“自动”。单击“下一步”按钮。 （6）选择并单击“下一步”按钮。 （7）单击“完成”按钮，单击“确定”按钮。此对话框告诉读者设置完成VPN服务器后，还要再指定DHCP服务器的IP地址。 系统会自动建立128个PPTP端口和128个L2TP端口，每个端口可供一个VPN客户端用来建立VPN。如果要增加或减少VPN的数量，可以右击“端口”，选择“属性”命令，双击“WAN微型端口（PPTP）”或“WAN微型端口（L2TP）”，单击“配置”按钮，可以修改VPN端口的数量。 2．在VPN客户端建立Internet连接 假设客户端要利用ADSL拨号连接Internet，客户端除了要将ATU-R（ADSL调制解调器）连接好之外，还必须建立一个通过ADSL的Internet连接。下面以Windows 2000 Professional为例进行说明。 （1）右击“网上邻居”，选择“属性”→“新建连接向导”命令。 （2）在新建连接向导中选择“连接到Internet”，单击“下一步”按钮。 （3）选择“用要求用户名