《企业网络双出口技术(同名58554).doc》由会员分享,可在线阅读,更多相关《企业网络双出口技术(同名58554).doc(80页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、新疆大学毕业论文(设计)题 目: 企业网双出口技术 指导老师: 禹龙 学生姓名: _杜印_ 所属院系: 科学技术学院 专 业: 计算机网络技术 班 级: 2004级1班 完成日期: 2008年4月20日 声明本人郑重声明,本论文是本人在禹龙老师的指导下完成的,老师给予了我很大的帮助。本论文没有抄袭和剽窃他人的劳动成果,是通过查阅图书,网上资料得来的,是辛勤劳动得来的成果。如有抄袭、剽窃的行为,所造成的一切后果由自己负责。 本人签名:杜印毕业论文设计任务书班 级: 网络04-1班 姓 名:杜印 论文设计题目: 企业网双出口技术 专 题: 计算机网络技术 论文设计来源: 教师指定 要求完成的内容:
2、 以企业网双出口技术为题,通过所学习的网络应用知识,以充足的论据来证明双出口在企业网络中的可行性。通过对书本知识的查找更进一步的加深对所学知识的了解。并且要参加1500字左右的外文资料并加以翻译。 发题日期:2007年12月25 完成日期:2008年04月20日实习实训单位:新大网络中心 地点:新疆乌鲁木齐 论文页数: 20 页; 图纸张数: 30 指导教师: 禹龙 教研室主任: 院 长: 摘要在网络技术快速开展的今天,网络已经成为人们生活中不可缺少的局部。不管是普通人通过网络了解新知识,也包括通过网络来进行交流。所以企业网络应运而生。本论文重点要探讨的就是企业网络建设中重中之重的局部,即企业
3、网的双出口技术。随着网络技术的开展,多出口企业网已经成为一种趋势,它可以分流出口负载,优化因特网的访问速度。多出口之间还可以互为备份,做到出口冗余,以保证企业网的出口不中断,这也是多ISP出口的优越性和关键技术所在。企业网络双出口的是实现最主要的方法主要有3种。1、在两个出口与内网间安装一个性能优良的多出口硬件防火墙来解决,该方案在防火墙上配置静态路由将数据进行分流,并在一个出口进行NAT地址转换;2、在两个出口与内网间分别安装一个支持策略路由和NAT的交换机来解决,该方案用一个交换机企业网络与内网连接,一个交换机将中国电信网与内网连接,并将两个交换机互联,两个交换机分别通过策略路由进行数据分
4、流,在各自的出口进行NAT地址转换。3、通过ISA2000结合Windows路由功能实现。关键词:双出口;ISP;NAT;静态路由;策略路由;内网;外网目录一、 绪论.1二、 引言.21、 我国计算机网络开展现状.22、 企业网概述.3三、 企业网的组建.31、 企业网络的组建.32、 企业上网的需求.43、 企业计算机网络的结构化设计.44、 企业网Internet接入方式及平安考虑.5四、 企业网双出口技术浅析.61、 双出口的实现.62、 基于Linux系统的双出口技术.9五、 双出口技术例如.91、 配置ICS实现双出口.92、 通过PPPoE拨号上电信.103、 双出口校园网的实现.
5、114、 某企业网络双出口的实现.145、 几个双出口例如的比拟.16六、 企业网平安策略.161、 系统潜在威胁的鉴别.172、 信息平安依赖的关键因素.17七、 结语.19八、 致谢.19九、 参考文献.20企业网络双出口技术一、 绪论本课题是当今网络技术开展的必然趋势,尤其是对企业网络,也包括校园网络。通过研究本课题可以使企业网络的速度提升,节省内网的资源,增加网络流量。通过研究本课题可以实现企业网络的双出口技术。本课题的应用范围非常广泛,只要使建立网络的企业包括各个高校都可以通过此技术来实现网络的双出口。本课题在国内外是一项非常热门的技术,并且也已经有了一些比拟成熟的方法来实现双出口。
6、但是也存在很多问题。本文就是就对企业网双出口实现方法和对每种方法的存在问题进行解决的一些最新技术。二、 引言1、我国计算机网络开展现状计算机和通信技术的结合正在推动着社会信息化的革命。人们通过连接各个部门、地区、国家,甚至全世界的计算机网络来获取、存取、传输和处理信息,广泛地利用信息进行生产过程的控制和经济方案的决策。全国乃至全球范围的计算机互联网络不断地高速开展并日益深入到国民经济的各个部门和社会生活的各个方面,计算机网络已经成为人们日常生活中必不可少的交际工具。当前对人们经济和文化生活影响最大的网络应用可以列举下:办公自动化、电子数据交换、远程教育、电子银行、证券和起火交易、娱乐和在线游戏
7、等。据新浪科技消息 7月18日14:00消息,中国互联网络信息中心(CNNIC)刚刚发布?第20次中国互联网络开展状况统计报告?,报告显示,截止2007年6月30日,我国网民总人数到达1.62亿,宽带网民数达1.22亿, 网民数较去年翻了2.6倍,已有4430万人。根据今日下午公布的报告,我国半年来平均每分钟就新增近100个网民,半年的增长接近去年全年的增长量,互联网普及率也到达了12.3%;宽带网民数达1.22亿, 网民数较去年翻了2.6倍,已有4430万人;国内域名总数到达918万,其中CN域名注册量大幅度增长,已到达615万个,稳固国内主流域名的地位。 目前,我国网站数量到达131万个,
8、目前.CN下网站数已达81万,年增长率到达137.5%,CN网站数首次大幅度超COM网站数。此外,我国上网计算机数到达6710万,比2006年末增长了770万台。另外受 上网资费下调的影响, 上网已经在我国渐成风气,已有27.3%的网民使用 上网,目前 网民数已经有4430万人。调查发现,有37.2%的网民表示经常去网吧上网,网吧上网比例半年增长5个百分点,首次超过在单位上网,成为第二大上网场所。我国具备互联网上升期的典型特征,上网方式在逐步调整变化,日益多样化,更加顺应互联网开展需求。CNNIC报告中还分析了互联网的应用情况,发现互联网的获取信息、娱乐和沟通功能被普遍使用,但生活助手功能使用
9、率较低。互联网信息渠道的代表性应用网络新闻和搜索引擎的网民使用比例已达3/4(76.3%)。即时通信和电子邮件是沟通工具功能的代表性应用,这两种应用的使用率也比拟高,7成(69.8%)的网民都使用即时通信功能,超过一半(55.4%)的网民使用电子邮件。互联网娱乐功能的三项代表性应用网络音乐、网络影视和网络游戏使用率都很高。网络音乐使用率已经超过2/3(68.5%),玩过网络游戏的网民也已经接近一半(47.0%)。相比之下,互联网的生活助手功能使用率不高:我国仅有15%的网民通过网络找工作,25.5%的网民使用网络购物,仅有3.9%的人进行网上旅行预订。不过值得注意的是,随着近期我国金融市场的活
10、泼,已有1/5的网民开始使用网上银行和网上炒股,我国网上炒股的比例已与互联网普及率高的美国相当。CNNIC报告对青少年上网行为进行了深入分析。调查显示,青少年学生网民已经接近6000万,学生在网民中占有率达1/3强(36.7%),每周平均上网时长为11.6小时,其中每周上网超过20小时的学生占总人数的16.6%,超过40小时的占5.9%,对于每周需要上课5天的中小学生,每周上网超过20个小时的学生人群应该引起管理部门的注意,超过40小时的人群应该被重点关注。此外数据还说明:青少年学生网民对互联网娱乐功能的使用超过对任何一种其他功能。CNNIC报告建议,除了合理控制青少年学生网民的上网时长,社会
11、各界还应该推动其网络应用结构的优化,合理引导青少年学生网民更多关注互联网的其他功能,特别是对学习的辅助功能。目前我国建成的四大Internet主干网的情况如下。(1) 中国公用计算机互联网CHINANET(2) 中国教育和科研计算机网CERNET(3) 中国科学技术网CSTNET(4) 中国金桥信息网CHINAGBN2、企业网概述那么什么是企业网络呢?企业网络指的是具有一定规模的网络系统,它可以是单座建筑物内的局域网,也可以是覆盖一个园区的园区网,还可以是跨地区的广域网。狭义的企业网主要指大型的工业、商业、金融、交通企业等各类公司和企业的计算机网络;广义的企业网那么包括各种科研、教育部门和政府
12、部门专有的信息网络。随着网络技术的开展和Internet应用的日益广泛,越来越多的企业希望能够将企业的局域网接入Internet。通过与Internet的互联,企业不仅可以从Internet获取大量的商业信息,同时也可以将自己企业的信息发布到Internet上,从而创造更多的商业时机。Internet上的用户可以利用WWW、FTP、E-mail等效劳方便地交流信息和资源,和传统的企业相比,这些方式大大降低了公司信息管理的本钱。充分的利用Internet上的资源和构建企业的Intranet企业内部网已经成为很多企业使用网络的主要目的。我国的企业网络建设经过了单机应用阶段,目前正处在Interne
13、t应用的热潮中。1994年4月,有世界银行贷款,我国开始实施科教实验网,它由科学院实验网、北大校园网和清华校园网组成。其后国家教委也启动了中国教育科研网CERNET,在1995年年底建成了一个全国网络中心和十个地区级网络中心。此外,科学院高能所、科教实验网以及原邮电部的数据通信网都和Internet有接口。这里要特别提一下,我们新疆大学的网络建设也是得到了国家的大力帮助,新疆大学网络中心是全疆教育网的接入点,新疆各个高校都从新大接入CERNET。但从目前情况看国内相当多的企业还处于网络初步应用阶段,其根本特点如下:(1) 应用水平较低,分散且不一致。(2) 应用者的整体素质比拟低。(3) 信息
14、部门处于边缘地位,综合实力较低。 所以企业网络的建设任重道远,需要花费大量的资金和人力。三、 企业网络的组建1、企业网络的组建下面我们就来说说企业网络的建设。企业网络建设是一项复杂的系统工程。它既是建设一个集计算机网络技术与各类信息收集、传递、处理、加工为一体的信息枢纽中心,又是一项为企业的生产、经营、产品开发及领导决策效劳的综合性工程。企业信息网络建设一般有两大任务:一是企业信息网络支撑平台建设;二是网上信息的组织管理。信息网络支撑平台的建设要从技术和经济两方面来考虑。以当前最流行的协议为网络组建协议,由网络效劳器、通信设备、网络平安设备等组成;应用网间互连、路由、网络交换、网络管理、Int
15、ernet技术、防火墙以及虚拟专用网vPN等技术:同时包容现有网络应用支撑系统,支持上网应用软件的运行,建立起先进、平安、可靠、稳定、稳固和开放的网络应用平台。企业信息网络的最正确支撑平台应采用浏览器/Web效劳器体系结构,并采用放火墙技术与Internet连接,建立企业防火墙之内的局域网Intranet。信息网络支撑平台建设的完成并不意味着整个企业信息网络建设的完成。网络支撑平台管理不好,网络系统就无法正常运行,就无法保证信息应用平台。因此,当硬件根底设施完成后,企业信息化的重点就应该从硬件建设转移到软件开发和信息资源的收集、组织、处理等信息管理工作上来。网上信息组织管理不好,就会行成高速公
16、路上跑空车现象。软件和硬件建设,两者缺一不可,相辅相成。2、企业上网的需求企业网络信息系统建设应该以用户的需求为着眼点。目前,随着网络技术的飞速开展和应用水平的逐步提高,企业用户的需求,主要表达为: 1先进性,要求网络采用先进的技术,以保证整个企业网络系统在技术上的先进性; 2稳定性与可靠性,要求网络高度稳定、可靠,这是网络建设成功的关键,而高度稳定、可靠的网络系统有利于维护和管理,可减少网络系统的拥有本钱; 3高性能,要求网络系统具有高性能,以满足计算机网络系统运行大量关键业务如工程设计、工程管理、CAD、OA、MIS、ERP及多媒体应用等的需要; 4vlan划分的灵活性,因为网络系统站点数
17、和运行的应用都在增多,所以要求网络平台具有灵活的虚网VLAN划分能力; 5由于网络系统可能要传输多媒体信息,因此要求网络平台具有良好的效劳质量和较小的延迟; 6要求网络平台具有良好的易管理性,减少运行、维护及管理本钱; 7要求选择具有良好开展前景的网络厂商的产品,这样才能保证平台具有良好的售后效劳、投资保护,更为关键的是能够保证网络系统持久的先进性。3、企业计算机网络的结构化设计根据企业的需求,要把网络设计成层次和有结构的同一体,即结构化网络。依据企业的应用层次,即工作组级、部门级、园区级以至企业级,设计相对应的接入层、分布层、核心层网络和网间网私有专网、VPN或Internet。每个层次上网
18、络结构是明确的。这样的网络结构性强,层次清晰,整个系统的运行和应用既有各自的相对独立性,又具有合理的数据流向,组成具有层次性和结构化特征的统一体。按照客户端/效劳器C/S或浏览器/效劳器B/S体系结构建立各层次的网络应用。企业网结构话设计有助于网络升级扩展和分级管理。企业网一般被防火墙分割成两段。(1) 企业网外网ExtranetExtranet是位于防火墙外直接与Internet,即企业网外网。因为防火墙的主要作用是把Internet上的网络用户挡在墙外,外面的用户无法进入企业。Extranet为网络提供了一个“缓冲地带,其作用是提供企业网对外交流的渠道,建立企业面向Internet的电子商
19、务体系,主要包括Web、DNS、DB、CA认证、E-mail等效劳。 2企业网内网Intranet 其余在防火墙内的局部为Intranet,即企业网内网,也是企业网建设的重点。3企业网互联企业网互联主要用来为集团公司或跨国公司的总部与分支机构之间提供网络互联。途径有很多,如果两地缺乏20Km,可以考虑用微波无线网连接,如果属于城际互联,那么必须利用电信公网,可选公网有DDNChinaDDN、帧中继FR、X25CHINAPAC,或采用ADSL或ISDN分别接入等方式。 4、企业网Internet接入方式及平安考虑当前的企业网络建设根本都要进行Internet接入与信息资源利用。国内企业的Inte
20、rnet接入方式,大致有以下几种。1内外网物理分割,内部人员两套方式上网。这种做法是从网络综合布线上将内外网严格分开,也就是说相当与有两套网络,一套用于内部业务以及办公使用,一套单纯用于与Internet相连进行信息获取。这样做的优点是Internet的接入绝对的平安,即便有Internet非法侵入也不会破坏内网。最大的缺点是投资较大,相当于1.5倍的网络投资。另外,这种方案无法使内外网互通,从Internet上下载的有用信息,只能用软盘复制到内网的工作站上。(2) 内外网物理分割,集中离线浏览方法做法与纯物理分割根本相同,只是变通实现非实时的WWW、E-mail和FTP效劳。这种做法对内网的
21、平安保护同样是可靠的,但其缺点同样是无法实现完成Internet接入的根本应用。(3) 利用防火墙分割内外网其优点是可完成全部的Internet接入功能,实现WWW、E-mail和FTP多种网络应用,真正实现互联网的优越性。其缺点是一旦黑客突破防火墙这道平安屏障,如果内部网络没有平安策略的话,对内网的信息平安会构成重大威胁。四、企业网双出口技术浅析1、双出口的实现随着网络技术的开展,多出口企业网已经成为一种趋势,它可以分流出口负载,优化因特网的访问速度。多出口之间还可以互为备份,做到出口冗余,以保证企业网的出口不中断,这也是多ISP出口的优越性和关键技术所在。但是,多出口企业网配置调试比拟复杂
22、,静态路由(访问控制列表)配置的数目很多,策略路由配置会因为语句可选项的不同使策略的含义发生很大的差异,这一方面表达了策略路由的灵活性,另一方面也表达了多出口网络体系结构中策略路由研究的困难性和先进性所在。目前解决网络双出口方案大多采用3种:1、在两个出口与内网间安装一个性能优良的多出口硬件防火墙来解决,该方案在防火墙上配置静态路由将数据进行分流,并在一个出口进行NAT地址转换;2、在两个出口与内网间分别安装一个支持策略路由和NAT的交换机来解决,该方案用一个交换机企业网络与内网连接,一个交换机将中国电信网与内网连接,并将两个交换机互联,两个交换机分别通过策略路由进行数据分流,在各自的出口进行
23、NAT地址转换。3、通过ISA2000结合Windows路由功能实现。下面我就来说明前两种的具体实现方法。要实现多出口的企业网,一般要经过以下三个步骤。11以静态路由区分访问目标登陆企业网站,将企业各个部门的地址分配表取下来,凡表中的网络地址都通过企业网络线路进行访问,除此以外所有站点均通过本地ISP提供的线路进行访问,但是深入分析一下便会发现这样处理仍然存在一个问题:流向Intranet和CHINANET的网络流量的返回数据都经过Intranet线路返回,并没有起到网络分流的最终目的。分析原因,原来企业中的所有地址都是Intranet给分配的,其默认路由指向Intranet内部,从本地ISP
24、流向CHINANET的数据包由于源地址仍然是Intranet中的地址,故其返回数据包从Intranet线路返回,造成通向Intranet的线路负担过重,解决此问题的方法便是执行网络地址转换,即通常所说的NAT。1.2网络地址转换NAT网络地址转换NAT是一种成熟的技术方案,用于解决因合法IP地址过少而引起的各种问题,具体做法是:在访问Internet时,把内部地址都用同一个合法地址封装,在数据包回来后再由封装地址将数据包解开并转给实际源地址,例如在出口地址是61.234.64.50处执行网络地址转换,那么内网中所有通过该地址访问CHINANET的数据包都将以该地址作为源地址重新封装,因为61.
25、234.64.50是CHINANET中的合法地址,所以数据包便会从CHINANET直接返回到地址61.234.64.50,然后再由61.234.64.50将数据包转发给实际源地址,从而到达了网络分流的目的。结合图1具体实现如下1建立标准访问列表如下Access-list 10 permit 211.64.32.0 .255 2)在路由器上定义NAT转换如下 ip nat pool qiye 61.234.64.50 61.234.64.51 prefix-length 29 ip nat inside source list 10 pool qiye overload定义IP转换地址池qiye
26、 ,内含两个IP地址,这样可以加快转发速度,第2行指明内部地址转换范围为1中定义的访问列表10。3将NAT转换应用到路由器入口f0/0和本地ISP出口f0/1Cisco(config)#interface f0/0Cisco(config-if)#ip nat insideCisco(config-if)#exitCisco(config)#inerface f0/1Cisco(config-if)#ip nat outsideCisco(config-if)#exit经过1,2处理后,会发现访问外网的数据流严格按照表1进行分流,到达了预期的目的,但这样作又会导致另一个问题的出现,即内网中的对
27、外效劳器在CHINANET中不能访问,分析原因知:从CHINANET访问内网中的对外效劳器,沿CERNET线路经202.194.96.54地址找到这些效劳器没有问题,但对外效劳器的回复数据包却是从本地ISP提供的地址61.234.64.50处返回,数据包收发路径不一致,造成内网中的对外效劳器在CHINATNET不能访问,可通过策略路由技术解决此问题。1.3策略路由只要有两个以上出口的网络都存在策略路由的问题。一些学校的网络除了有CERNET出口以外,还有电信出口,这些学校就有策略路由问题,比方新疆大学就是一个很好的例子。有些运营商为了防止源地址伪造攻击,纷纷在用户接入端口增加源地址检查,策略路
28、由问题更突出。所以路由器的配置也是整个网络的重点。策略路由英文翻译为Policy Based Routing,简称PBR。它不仅可以根据数据包的目的IP地址进行路由选择,而且可以根据数据包的源IP地址、数据包类别等条件,在路由器中根据自己的需求进行控制数据包的路由。策略路由是一种按源地址进行路由的路由选择机制,和基于目的地址路由选择机制相比具有节省开支,负载均衡等诸多优点,在上述1,2中,由于将内网中对外效劳器的地址按目的地址进行路由,且在本地ISP提供的IP地址61.234.64.50处进行了网络地址转换,故在CHINANET中无法对其进行访问,只要将对外效劳器的地址不进行NAT只需要在做N
29、AT时访问控制表10的前面加上deny 211.64.32.1 deny 211.64.39.252两行即可,并用策略路由将其默认路由映射到CERNET线路即可解决此问题,结合图1具体实现如下1在路由器上创立以下扩展访问控制列表101 access-list 101 permit tcp host 211.64.32.1 any access-list 101 permit tcp host 211.64.39.252 any access-list 101 permit udp host 211.64.32.1 any access-list 101 permit udp host 211.
30、64.39.252 any2)创立route map映射,这个映射称为cernet Cisco(config)#route-map cernet permit20 Cisco(config)#match ip address 101 Cisco(config)#set interface serial2/03)由于cisco的FastEthernet0/0端口将接收按照策略进行路由的数据流量,所以路由策略将被应用于这个端口,在FastEthernet0/0上输入以下命令 Cisco(config)#interface f0/0 Cisco(config-if)#ip policy route-
31、map cernet经过3中的策略路由以后对于CHINANET中的访问,内网效劳器的返回数据包默认均指向CERNET,这样从CHINANET中便可以访问到内网中所有的对外效劳器。策略路由中采用的是扩展访问控制列表,这样有助于进行访问控制列表的增加。下面我们再举一个例子:下面是一台多出口Cisco Catalyst6509的局部配置关键语句:interface GigabitEthernet1/1 ip address 192. 168. 11. 1 255. 255. 255. 252ip policy route-map edu_server注:接口上应用策略路由以下是指向教育网的静态路由(
32、做了删减):ip classlessip route 0. 0. 0. 0 0. 0. 0. 0 192. 168. 10. 38注:指向网通的缺省路由(主)ip route 0. 0. 0. 0 0. 0. 0. 0 192. 168. 1. 2 60注:指向教育网的缺省路由(辅)ip route 63. 84. 162. 0 255. 255. 255. 0 192. 168. 1. 2以下是网内效劳器的访问控制(采用源策略):ip access-list extended server-aclpermit ip host202. 119. 100. 3 anypermit ip host
33、210. 29. 143. 118 anypermit ip host210. 29. 135. 101 any以下是电信IP资源的访问控制(采用目的策略):ip access-list extended njtelecom-aclpermit ip any 61. 155. 0. 0 0. 0. 255. 255permit ip any 61. 132. 0. 0 0. 0. 255. 255permit ip any 202. 102. 0. 0 0. 0. 255. 255以下是策略路由(注: edu_server是一个策略嵌套):route-map edu_server permit
34、10match ip address server-aclset ip defaultnext-hop 192. 168. 1. 2route-map edu_server permit20match ip address njtelecom-aclset ip next-hop 192. 168. 1. 6route-map user_server permit10match ip address njtelecom-aclset ip next-hop 192. 168. 1. 6 2、基于Linux系统的双出口技术刚刚说了实现双出口技术的前两种方法。为什么没有说第3种呢?主要是因为前两种
35、性能好,比拟适合用户数量大的企业,但是投资很大,网络结构比拟复杂,升级较困难,第3种方法虽然比拟经济但Windows系统平安性较差,容易被病毒感染,维护麻烦。本着既解决技术问题又解决资金困难,同时又兼顾平安性和易维护性的思想提出:使用Linux解决问题。2.1在Linux上实现策略路由在Linux上实现策略路由,是通过RDPB实现的,RDPB主要由多路由表规那么组成,由规那么选取表。路由表以及对其的操作和其对外的接口是整个RPDB的核心局部,路由表主要由table、zone和node这些主要的数据结构构成,对路由表的操作主要包含物理的操作以及语义的操作。路由表除了向IP层提供路由寻找的接口以外
36、还必须与几个元素提供接口:与用户的接口即更改路由、proc的接口、IP层控制接口以及和硬件的接口网络接口的改变回导致路由表内容的改变。IP层并不直接使用路由表,而是通过一个路由适配层,路由适配层提供为IP层提供高性能的路由效劳。在Linux下实现策略路由采用多张路由表,最多可以支持255张路由表,其中有3张表是内置的,分别是:表255即本地路由表local table,本地接口地址、播送地址都放在这个表,该路由表由系统自动维护,管理员不能直接修改;表254即主路由表main table,如果没有指明路由所属的表,所有的路由都默认放在这个表里;表253即默认路由表default table,一般
37、来说默认的路由都放在这张表。2.2 NAT在Linux中的实现 在Linux下通过iptables实现NAT技术,iptables运行事使用3张表,Filter表、NAT表和Massgle表,但对于NAT技术而言,最主要的是使用NAT表,在NAT表中有3条内建链,PREROUTING链、OUTPUT链和POSTROUTING链,其中PREROUTING链在封包到达时立刻进行地址转换,POSTROUTING链在封包离开系统前进行地址转换。 iptables的语法如下:iptables t table 类型指令 链名称 参数 选项通过此技术方案不但可以解决网络双出口问题,还可以解决关于策略路由的相
38、关的问题,并且用户还可以利用iptables强大的filter功能,设置好过滤规那么,整个网络的运行就更加高效平安。由于我对Linux的系统应用不是很熟练,这方面的内容就不在过多的探讨。五、双出口技术例如1、配置ICS实现双出口ICS(Internet连接共享受)技术是微软为家庭用户和小型企业网络接入Internet提供的解决方案。采用ICS技术可以非常方便地将小型网络接入Internet,用户只需要选择一个复选框即可。ICS实际上相当于一个网络地址转换器,所谓网络地址转换器就是当数据包向前传递数据的过程中,可以转换数据包中IP地址和TCP/UDP端口等地址信息。有了地址转换器,家庭网络或小型
39、的办公网络中的电脑就可以使用专有地址,并且通过网络地址转换器将专有地址转换成ISP分配的单一的公共IP地址。 如果要配置ICS,ICS主机至少需要具有两个连接,分别是专用连接和公共连接。专用连接指和企业内部网络相连的LAN网卡,公共连接指的是用于连接Internet上的连接。例如,公共连接通过ADSL线路连接到Internet。当启用ICS时,需要在公共连接上激活Internet连接共享,系统会自动选择与企业网络连接的网卡作为专有连接。如果与企业内部网络连接的网卡不只一个,就需要管理员指定由哪一个网卡作为专用连接。如果希望所有的内部网络相连的网卡都能连接到Internet,还需要配置网桥。配置
40、ICS应该注意以下一些问题。启用ICS后,专用连接的IP地址回自动配置为192.168.0.1。不应在专用连接上击活ICS。无法修改ICS默认设置。内部网络具有DNS、DC、等效劳器时,应采用其他技术接入Internet。ICS只适用于家庭和小型企业网络,大中型网络应该采用其他技术实现Internet接入。公共连线也可以是拨号、ISDN等线路。2、通过PPPoE拨号上电信 1尽量不改变原有的网络结构和上网方式2. 用户可以主动自主的选择上网通道 3. 电信出口由电信运营具体要求:电信网的用户访问企业的效劳器时,使用电信出口进出。非电信网的用户访问企业的效劳器时,使用企业网通道进出。针对企业的具体需求,提出采用PPPOE拨号认证的方式. 具体上网过程为: 1如果企业用户选择使用企业网出口上内网:那么使用原有的内网网IP地址和认证方式即可;2如果用户选择使用电信出口上网,那么再运行PPPOE拨号客户端,输入帐号和密码通过认证后获取另外一个IP地址(私有地址),通过PPPOE BRAS从电信网出口上网。 . PPPoEPPP over Ethernet是PPP(Point to Point协议在以太网技术上的扩展,属于链路层协议。PPP协议主要用来对用户进行接入,为三层以上的协议提供一个统一