关于代理服务器上网，转贴一组文章

freebell

前一阵有很多人在问代理上网方面的问题，看到一组在Linux设置代理上网的资料，虽然稍微有些旧了，但仍然可以作为一个完整的参考。

代理接入服务器[/SIZE]

1.单网卡
本文出自:www.computerworld.com.cn 作者: 联想电脑公司软件事业部　汤海京 (2002-02-13 07:15:01)
1.1 简介
作为局域网最基本的组成部分之一，网卡一般不在众多攒机者的标准配置之内，但如果局域网中没有网卡，就像只有显示器没有显卡一样是不行的。没有网卡是不可能构成一个局域网络的，它作为连接网络终端的重要配件，在整个网络里发挥着巨大的作用。网卡是网络接口卡，起着向网络发送数据、控制数据、接受并转换数据的功能。它安装在计算机或服务器的扩展槽中，充当计算机和网络之间的物理接口。
1.2 所需资源
1.2.1 所需包
RedHat6.2 服务器模式安装
1.2.2 所需配置文件
/etc/conf.modules 系统自带，管理员配置
/etc/sysconfig/network 系统自带，管理员配置
/etc/sysconfig/network-scripts/ifcfg-eth0系统自带，管理员配置
1.2.3 相关工具
1. iptraf
说明：一个监控所有接入服务设备的工具，当然包括网卡
下载网址：ftp://ftp.freesoft.cei.gov.cn/.m ... af-2.0.2-1.i386.rpm
2. linuxconf
说明：系统自带
3. netconf
说明：系统自带
1.3 配置方案
1./etc/conf.modules
说明：驱动模块配置文件
源文件：
alias parport_lowlevel parport_pc  
alias eth0 ne # Net device和 Kernel module
options ne io=0x240 irq=5 # 如果是ISA的网卡，需要设置IO和IRQ
如果不知道，可以装个98看看
2./etc/sysconfig/network
说明：网络配置文件
源文件：
HOSTNAME= weboa # 服务器的主机名
DOMAINNAME="weboa.com.cn" # 服务器的域名
GATEWAY=”192.168.0.1” # 网关设置
GATEWAY=”eth0” # 网关所用设备
NETWORKING=YES # 是否启动网络服务
ONBOOT=YES # 网络服务配置在每次启动时生效
FORWARD_IPV4=”yes” # 服务器支持IP转发
3./etc/sysconfig/network-scripts/ifcfg-eth0
说明：第一块网卡配置文件
源文件：
DEVICE="eth0" # 网卡设备名称
BOOTPROTO="none"  
IPADDR="192.168.0.1" # IP设置
NETMASK="255.255.255.0" # 子网掩码设置
ONBOOT="yes"
IPXNETNUM_802_2=""
IPXPRIMARY_802_2="no"
IPXACTIVE_802_2="no"
IPXNETNUM_802_3=""
IPXPRIMARY_802_3="no"
IPXACTIVE_802_3="no"
IPXNETNUM_ETHERII=""
IPXPRIMARY_ETHERII="no"
IPXACTIVE_ETHERII="no"
IPXNETNUM_SNAP=""
IPXPRIMARY_SNAP="no"
IPXACTIVE_SNAP="no"
1.4 测试及管理办法
1.4.1 测试方法
1. ifconfig
观察是否有eth0设备存在，设置的IP和子网掩码对不对
2. ping IP
先ping自己，看是否有回应；然后ping同网段其他机器。
1.4.2 管理方法
1. 通过linuxconf或者netconf修改网卡设置
然后执行：/etc/rc.d/init.d/network restart
2. 直接修改配置文件
然后执行：/etc/rc.d/init.d/network restart
1.5 其他参考资料
http://www.ibiblio.org/mdw/HOWTO/Ethernet-HOWTO.html
著名网卡生产公司的网址：
深圳普瑞尔公司：http://www.tp-link.com.cn
深圳国傲通公司：http://www.topstar1.com/fuwu.htm
Accton：http://www.accton.com
3COM公司：http://www.3com.com.cn
D-Link公司：http://www.dlink.com.tw
Intel公司：http://www.intel.com.cn
Realtek公司：http://www.realtek.com
美国Novell公司：http://www.novell.com
1.6 相关安装方法
1.ISA网卡：
PNP的：
方法一：安装时候需要指明其IO和IRQ，如果不知道的话，
可以先安装个98，在“设备管理”里看看它的IO和IRQ。
方法二：pnpdump和isapnp可以实现
非PNP的：
需要先在98下刷新一下BIOS，变成PNP的，然后再安装
2.PCI网卡：
如果是Linux支持的，安装过程中就会被自动识别，并且会提示你输入IP，如果没有提示，那么说明你的网卡并没有被Linux识别，这样就比较麻烦了。一个简单的解决方法是按照该网卡的兼容网卡去安装，如果还不成，就得去网上搜索搜索了。
3.D-link530 RevB1 PCI网卡的安装：
系统支持D-link530 RevA PCI的网卡，但是后来D-link有出了个RevB1，多了WOL,所以原来的驱动via-rhine.o就不灵了，需要我们自己做一个驱动程序，很简单的。（注意：用黑体标志的是修改的地方）
编辑via-rhineB.c  
static struct pci_id_info pci_tbl[] = {  
{ "VIA VT86C100A Rhine-II", 0x1106, 0x6100, 0xffff,  
PCI_USES_MEM|PCI_USES_IO|PCI_USES_MEM|PCI_USES_MASTER,12
8,via_probe1},  
{ "VIA VT3043 Rhine", 0x1106, 0x3043, 0xffff,  
PCI_USES_IO|PCI_USES_MEM|PCI_USES_MASTER, 128,via_probe1},  
{ "VIA VT3043 Rhine RevB1", 0x1106, 0x3065, 0xffff,  
PCI_USES_IO|PCI_USES_MEM|PCI_USES_MASTER, 128,via_probe1},  
{0,}, /* 0 terminated list. */ };  
然后修改 /usr/src/linux/drivers/net/Config.in  
tristate \\\'PCI NE2000 support\\\' CONFIG_NE2K_PCI  
tristate \\\'TI ThunderLAN support\\\' CONFIG_TLAN  
tristate \\\'VIA Rhine support\\\' CONFIG_VIA_RHINE  
tristate \\\'VIA Rhine RevB support\\\' CONFIG_VIA_RHINEB  
if [ "$CONFIG_EXPERIMENTAL" = "y" ]; then  
然后修改 /usr/src/linux/drivers/net/Makefile  
ifeq ($(CONFIG_VIA_RHINE),y)  
L_OBJS += via-rhine.o  
else  
ifeq ($(CONFIG_VIA_RHINE),m)  
M_OBJS += via-rhine.o  
endif  
endif  
ifeq ($(CONFIG_VIA_RHINEB),y)  
L_OBJS += via-rhineB.o  
else  
ifeq ($(CONFIG_VIA_RHINEB),m)  
M_OBJS += via-rhineB.o  
endif  
endif  
配置kernel: make menuconfig  
Networking device support --> Ethernet (10 or 100Mbit)  
在新出现的 Via rhine Ver B一项前按 M  
退出配置  
make dep  
make modules  
make modules_install  
如果/lib/modules/2.2.14-5.0/net/via-rhineB.o存在的话，我们就有戏拉。然后在这个目录下执行insmod via-rhineB.o,如果没有错误提示，就成功拉。
1.7 小结
网卡是组网中最基本的设备之一，所以网卡安装的成功与否直接关系着服务器配置的成败，Linux对网卡的支持可以说还是不错的，但由于其安装需要管理员手动配置，比起Windows的驱动程序安装要复杂得多，所以很多人认为Linux对硬件的支持很差，其实这是不正确的，如果你掌握了方法，安装起来还是很简单的。


2.双网卡

2.1 简介
在使用Linux作为两个以太网之间的网关的情况下，服务器至少需要配置两块网卡。为了减少启动时可能出现的问题，Linux内核不会自动检测多个网卡。若需要在服务器上安装多块网卡，对于已经将网卡的驱动编译进内核中的系统，则需要在“/etc/lilo.conf”文件中指定各个网卡的参数信息；而对于没有将网卡的驱动编译到内核而是作为模块动态载入的系统，应该在“conf.modules”文件中进行相应的配置。  
2.2 所需资源
2.2.1 所需包
无
2.2.2 所需配置文件
/etc/conf.modules 系统自带，管理员配置
/etc/sysconfig/network 系统自带，管理员配置
/etc/sysconfig/network-scripts/ifcfg-eth0 系统自带，管理员配置
/etc/sysconfig/network-scripts/ifcfg-eth1 系统自带，管理员配置
2.2.3 相关工具
1.iptraf
说明：一个监控所有接入服务设备的工具，当然包括双网卡
下载网址：ftp://ftp.freesoft.cei.gov.cn/.m ... af-2.0.2-1.i386.rpm
2.linuxconf
说明：系统自带
3.netconf
说明：系统自带
2.3 配置方案
1./etc/conf.modules
说明：驱动模块配置文件
源文件：（以D-link530 RevA PCI为例子）
alias eth0 via-rhine
alias parport_lowlevel parport_pc
alias eth1 via-rhine
2./etc/sysconfig/network
说明：网络配置文件
源文件：
HOSTNAME= weboa # 服务器的主机名
DOMAINNAME="weboa.com.cn" # 服务器的域名
GATEWAY=”192.168.0.1” # 网关设置
GATEWAY=”eth0” # 网关所用设备
NETWORKING=YES # 是否启动网络服务
ONBOOT=YES # 网络服务配置在每次启动时生效
FORWARD_IPV4=”yes” # 服务器支持IP转发
3./etc/sysconfig/network-scripts/ifcfg-eth0
说明：第一块网卡配置文件
来源：系统自带，管理员配置
源文件：
DEVICE="eth0" # 网卡设备名称
BOOTPROTO="none"  
IPADDR="192.168.0.1" # IP设置
NETMASK="255.255.255.0" # 子网掩码设置
ONBOOT="yes"
IPXNETNUM_802_2=""
IPXPRIMARY_802_2="no"
IPXACTIVE_802_2="no"
IPXNETNUM_802_3=""
IPXPRIMARY_802_3="no"
IPXACTIVE_802_3="no"
IPXNETNUM_ETHERII=""
IPXPRIMARY_ETHERII="no"
IPXACTIVE_ETHERII="no"
IPXNETNUM_SNAP=""
IPXPRIMARY_SNAP="no"
IPXACTIVE_SNAP="no"
4./etc/sysconfig/network-scripts/ifcfg-eth1
说明：第二块网卡配置文件
源文件：
DEVICE="eth1" # 网卡设备名称
IPADDR="192.168.1.1" # IP地址
NETMASK="255.255.255.0" # 子网掩码
ONBOOT="yes"  
BOOTPROTO="none"
IPXNETNUM_802_2=""
IPXPRIMARY_802_2="no"
IPXACTIVE_802_2="no"
IPXNETNUM_802_3=""
IPXPRIMARY_802_3="no"
IPXACTIVE_802_3="no"
IPXNETNUM_ETHERII=""
IPXPRIMARY_ETHERII="no"
IPXACTIVE_ETHERII="no"
IPXNETNUM_SNAP=""
IPXPRIMARY_SNAP="no"
IPXACTIVE_SNAP="no"
2.4 测试及管理办法
2.4.1 测试方法
1.ifconfig
观察是否有eth0和eth1设备存在，设置的IP和子网掩码对不对
2.ping IP
先ping一下两个IP，看是否有回应；然后ping同网段其他机器。
2.4.2 管理方法
1.通过linuxconf或者netconf修改网卡设置
然后执行：/etc/rc.d/init.d/network restart
2.直接修改配置文件
然后执行：/etc/rc.d/init.d/network restart
2.5 其他参考资料
1. Ethernet HOWTO, by Paul Gortmaker Updated 6 July 1998  
DNS HOWTO, by Nicolai Langfeldt Updated 12 November 1998  
IP Masquerade mini-HOWTO, by Ambrose Au Updated 10 November 1997  
IPCHAINS HOWTO, by Paul Russell Updated 27 October 1998  
2.6 相关技巧
1./etc/lilo.conf也能帮助我们
若驱动已经被编译进了内核：系统启动时的PCI检测程序将会自动找到所有相关的网卡。ISA卡一般也能够被自动检测到，但是在某些情况下，ISA卡仍然需要做下面的配置工作：  
在“/etc/lilo.conf”中增加配置信息，其方法是通过LILO程序将启动参数信息传递给内核。对于ISA卡，编辑“lilo.conf”文件，增加如下内容：  
append="ether="0,0,eht1"  
注意：先不要在“lilo.conf”中加入启动参数，测试一下你的ISA卡，若失败再使用启动参数。  
如果用传递启动参数的方法，eth0和eth1将按照启动时被发现的顺序来设置。因为我们已经重新编译了内核，所以必须使用第二种方法（在lilo.conf中加入启动参数）在系统中安装我们的第二块网卡。这种方法只对ISA卡有必要，PCI卡会被自动查找到，所以没有什么必要。  
2.7 小结
在服务器上配置双网卡现在已经成为一个基本技能了，只有掌握了它，才能成为一名合格的网络管理员，双网卡其实是接入服务器的基础，当然也是网关配置的基础。总之，不会配置双网卡，没法学习下面的代理服务器配置；当然，我希望大家能够通过阅读本节掌握此项基本技能。

3. DHCP服务器

3.1 简介
对于那些不太了解网路技术的人来说，配置TCP/IP可能是一件非常复杂的工作，对那些将PC连接到局域网的用户来说只能将配置集中到服务器端，这样可以简化用户端的工作复杂度。当然，这将在一定程度上，增加管理员的工作量，但是从整体考虑，这样是最优的。
本章我将向大家介绍如何配置动态IP分配以及管理，并用通俗易懂的语言解释它是如何工作的，希望大家通过阅读本章，迅速成为一名合格的网络管理员。DHCP的全称是动态主机配置协议（Dynamic Host Configuration Protocol），由IETF（Internet 网络工程师任务小组）设计，详尽的协议内容在RFC文档rfc2131和rfc1541里。目的就是为了减轻TCP/IP网络的规划、管理和维护的负担，解决IP地址空间缺乏问题。运行DHCP的服务器把TCP/IP网络设置集中起来，动态处理工作站IP地址的配置，用DHCP租约和预置的IP地址相联系，DHCP租约提供了自动在TCP/IP网络上安全地分配和租用IP地址的机制，实现IP地址的集中式管理，基本上不需要网络管理人员的人为干预。而且，DHCP本身被设计成BOOTP（自举协议）的扩展，支持需要网络配置信息的无盘工作站，对需要固定IP的系统也提供了相应支持。
3.2 所需资源
3.2.1 所需包
dhcp-2.0-5.i386.rpm
3.2.2 所需配置文件
/etc/dhcpd.conf 系统自带，管理员配置
/var/state/dhcp/dhcpd.leases 系统没有，管理员创建
3.3 配置方案
1./etc/dhcpd.conf
说明：dhcp主配置文件
源文件：
subnet 192.168.0.0 netmask 255.255.255.0 { # 指定网段和子网掩码
option routers 192.168.0.1; # 指定默认路由
option subnet-mask 255.255.255.0; # 指定dhcp的子网掩码
option domain-name "weboa.com.cn"; # 指定域名
option domain-name-servers 192.168.0.1; # 默认DNS服务器
range dynamic-bootp 192.168.0.10 192.168.0.250; # IP分配范围
default-lease-time 1200; ＃如果客户端不能请求一个指定的租用期，就使
用该参数来定义该地址租用的时间长度
max-lease-time 87600; # 用来指定租用的最长时间，尽管租用的
时间长度是根据客户端的请求决定的。
# we want the nameserver to appear at a fixed address
# host ns {
# next-server marvin.redhat.com;
# hardware ethernet 12:34:56:78:AB:CD;
# fixed-address 207.175.42.254;
# }
}
# 以上被注释的部分用来给客户机分配一个永久的IP，也就是可以利用它
来做网卡和IP的绑定
2. /var/state/dhcp/dhcpd.leases
说明：IP分配记录文件
通过执行 touch /var/state/dhcp/dhcpd.leases生成
源文件：
空
3.4 测试及管理办法
3.4.1 测试方法
1． 管理员修改完配置文件之后需要执行/etc/rc.d/init.d/dhcpd restart
来使更改生效。
2．在Windows 98的客户端，用户需要将TCP/IP配置成为自动搜索IP。
3．在Windows 98的客户端可以运行winipcfg来动态申请IP。
4．管理员可以通过查看/var/state/dhcp/dhcpd.leases文件来监督IP资
源的分配情况。
3.4.2 管理方法
1. 可以通过执行 tail –f /var/state/dhcp/dhcpd.leases来监视IP的分配情况。
3.5 其他参考资料
1. 在Linux几乎都采用的是Paul Vixie/ISC DHCPd，来实现DHCP服务器端功能。可以访问: http://www.isc.org/isc
3.6 小结
通过学习本章，各位一定有一个感觉，就是DHCP的配置十分的简单。在一定程度上是这样的，因为我向大家介绍的是一台主服务器带一个子网，这是最简单的一种网络拓扑结构，要是更加复杂的多子网情况，那配置起来就要更加麻烦一点，这就需要为每个子网配置一个中继代理（dhcrelay），它的文档在Linux中都可以找到，一看就能明白了。

4.IP伪装

4.1 简介
利用因特网的代理服务器技术可以解决目前因特网的IP地址耗尽、网络资源争用以及网络安全等问题。代理服务器是采取一种代理的机制，即内部的客户端必须经过代理服务器才能和外部的服务器端进行通信，而外部的任何一台主机只能访问到代理服务器。本文着重讨论利用Linux代理服务器解决IP地址耗尽、网络资源争用和网络安全等问题。
随着因特网技术的迅速发展，越来越多的计算机连入了因特网。目前已经联系着160多个国家和地区，上网的计算机已超过5000万台。它促进了信息产业的发展，并将改变人们的生活、学习和工作方式，对很多人来说，因特网已成为不可缺少的工具。而随着因特网的发展也产生了诸如IP地址耗尽、网络资源争用和网络安全等问题。代理服务器就是为了解决这些问题而产生的一种有效的网络安全产品。
4.2 所需资源
4.2.1 所需包
ipchains-1.3.9-5.rpm
4.2.2 所需配置文件
/root/ipchains 自己写
4.3 配置方案
1./sbin/rules
说明：
源文件：
# 以下是你需要增加的转发控制模块
/sbin/modprobe ip_masq_ftp
/sbin/modprobe ip_masq_quake
/sbin/modprobe ip_masq_irc
/sbin/modprobe ip_masq_user
/sbin/modprobe ip_masq_raudio
/sbin/ipchains -P forward DENY # 在默认状况下拒绝所有 ip 转发。
echo 1 > /proc/sys/net/ipv4/ip_forward # 打开IP转发
ipchains -I forward -s 192.168.0.0/24 -d 0/0 -j MASQ
# 将来自192.168.0.0网段的申请转发
4.4 测试及管理办法
4.4.1 测试方法
1. 找一台局域网内的客户机，把IP设置成192.168.0.0网段的，ping一下外边，看能不能出去，就知道拉。
4.5 其他参考资料
1. 黄志伟，IP Masquerade HOWTO中文版  
请访问：http://www.linux.org.tw/CLDP/gb/IP-Masquerade-HOWTO.html
4.6 相关技巧
1. 要是控制模块不存在，或许是不在路径下，可以执行depmod -a
4.7 小结
使用ipchains作为企业上网IP伪装十分实用，而且其配置十分简单， 并且功能强大，管理起来也十分简单。当然，其在安全性上还有不足，需要改进。

5.Squid代理服务器

5.1 简介
作为一种免费的网络操作系统，Linux越来越受到广大网络爱好者的欢迎，目前因特网（Internet）上运行的主机有相当一部分采用的就是linux操作系统，而且中国已经把linux操作系统作为政府上网年的指定网络操作系统，种种迹象表明，linux操作系统正在逐渐走向成熟。在本章我将向大家介绍一种能在Linux系统下使用的比较优秀的代理服务器软件的配置方法。  
众所周知，当今因特网发展速度极其迅猛，IP地址资源非常紧张。而如果您想访问因特网，共享因特网的丰富资源，您的机器必须拥有一个标准的IP地址。在因特网上，IP地址是识别您的机器的唯一标志。目前，有两种方式可以让您的机器拥有标准的IP地址：一种是局域网通过专线接入因特网，您的机器可以拥有静态的IP地址。所谓静态IP地址，就是对使用者来说，是固定不变的IP地址，这个IP地址给您使用后，其他人就不能再用了。一种是通过电话线拨号或ISDN拨号等方式接入因特网，您的机器可以在您拨号上网的在线期间从ISP的访问服务器的IP地址池中获得一个临时的标准IP地址，这个IP地址在您下线后就不归您使用了，而您下次拨号再上网，很可能分配给您的机器的是另外一个临时的IP地址了。这种临时分配的IP地址，称为动态IP地址。无论是静态地址还是动态地址，在您的机器访问因特网时，使用起来没有什么区别。  
　现在因特网发展速度这么快，而IP地址资源又这么紧张，这不能不说是一个尖锐的矛盾。虽说Ipv6正在开发中，但远水不解近渴，好多的企业、公司内部的Intranet现在就想接入因特网这个浩瀚的资源海洋，但又苦于没有充足的IP地址资源，怎么办？还好，有代理服务这个好东西。代理服务是指由一台拥有标准IP地址的机器代替若干没有标准IP地址（以下称内部地址）的机器和因特网上的其他主机打交道，提供代理服务的这台机器称为代理服务器。拥有内部地址的机器想到因特网上查找资料时，先把这个请求发给拥有标准IP地址的代理服务器，由代理服务器把这个请求通过它的标准IP地址发到请求的目标地址。然后目标地址的服务器把返回的结果发回给代理服务器，代理服务器再原封不动的把资料发给最初那台拥有内部IP地址的机器。这样就完成了一次内部机器访问因特网的一个过程。若干拥有内部地址的机器就组成了内部网，代理服务器的作用就是勾通内部网和因特网，解决内部网访问因特网的问题。而且这种代理是不可逆的，因特网上的主机不能访问任何一台拥有内部地址的机器，这样又可以保障内部资料的安全性。  
能够完成这种代理功能的服务器软件有好多，我给大家推荐一种能在linux下使用的比较优秀的代理服务器软件Squid。之所以说它比较优秀，是因为它可以在代理服务器上作一个很大的缓存，可以把好多常去的网站内容存储到缓存中，这样，内部网的机器再访问那些网站，就可以从缓存里调用了。这样一方面可以加快内部网浏览因特网的速度，这就是所谓的提高客户机的访问命中率， 另一方面，Squid不仅仅支持HTTP协议，而且还支持FTP,GOPHER,SSL和WAIS等协议考虑到简捷实用的原则，我们本章只向大家介绍如何设置HTTP代理，而其他的代理大同小异，各位理解了HTTP的配置也就明白应该如何配置其他的代理了。
5.2 所需资源
5.2.1 所需包
squid-2.3.STABLE1-5.rpm
5.2.2 所需配置文件
/etc/squid/squid.conf 系统自带，管理员配置
5.2.3 相关工具
无
5.3 配置方案
1./etc/squid/squid.conf
说明：squid主配置文件
源文件：
acl deny_ip_01 dst 1.1.1.1
http_access deny deny_ip_01
# 以上两行是基于IP的访问控制
acl deny_url_01 url_regex http://www.[url]www.www[/url]
http_access deny deny_url_01
# 以上两行是基于URL的访问控制
http_port 3128 # HTTP协议代理默认代理端口
cache_mem 32 MB #开劈一块内存区域作为缓冲
cache_dir ufs /home/squid/cache 1024 16 256
# 开劈一块硬盘空间，作为硬盘缓冲区，这块区域的分布是连
续的，逻辑关系由管理员设定
cache_access_log /var/log/squid/access.log
# 该log文件是用来描述每次客户请求HTTP内容时，高速缓
存命中或未命中的项目。同时描述提出请求的主机身份及它
们所需的内容。
cache_log /var/log/squid/cache.log
＃用于描述当squid守护进程启动时，可看到有多少内存、交
换空间，高速缓存目录的位置，所接受的连接类型及接受连
接的端口。
cache_store_log /var/log/squid/store.log
＃用于描述页面从高速缓存中被调入调出的情况。
pid_filename /var/run/squid.pid
＃管理员可以通过查看此文件了解当前执行的squid进程。
dns_nameservers 192.168.0.1
＃定义域名解析服务器的地址
acl all src 0.0.0.0/0.0.0.0
cache_mgr [email protected]
＃设置cache管理员的邮件箱地址
reference_age 3 days
＃设置缓冲区的更新周期
maximum_object_size 4096 KB
＃设置允许被缓存的一次性最大请求  
5.4 测试及管理办法
5.4.1 测试方法
1. 在客户机下打开浏览器，设置好代理服务器，端口是3128，看看能不能
上网就是拉。
5.4.2 管理方法
1.修改完配置文件需要执行/etc/rc.d/init.d/squid restart使得配置
生效。
5.7 小结
看完本章之后，我想各位一定有个深切的感受，squid的配置文件十分的长，而且能干的事情实在是太多了，但是我们作为一名合格的管理员应该从需求方案出发，以客户的需求为导向，配置出我们自己需要的服务器，这样不但可以满足需要，还能大大减少我们的工作量，配置squid就是一个鲜明的例子。


6.Modem拨号

6.1 简介
首先向大家强调一点，我们这里所谈的PPP不是要将我们的服务器配置成为提供拨入服务的服务器，而是用户可以通过服务器拨号上网，简而言之就是，服务器可以按照客户的需求自动拨号上网，也就是所谓的按需拨号。
为什么我们要向大家介绍这项配置呢？因为虽然现在许多企业都用DDN上网，但是Modem在很大程度上还是有它的作用的，所以我们将向大家介绍一下如何实现PPP自动拨号上网。
6.2 所需资源
6.2.1 所需包
ppp-2.3.11-4.i386.rpm
6.2.2 所需配置文件
/etc/ppp/options  
/etc/ppp/modemdial 系统没有，管理员创建
/etc/ppp/pap-secrets
/root/dial
6.2.3 相关工具
/usr/sbin/pppstats  
6.3 配置方案
1./etc/ppp/options
说明：PPP可选配置项
源文件：
demand # 启动按需拨号模式
modem # 使用modem控制线
lock # 打开设备锁
crtscts # 清除发送
defaultroute # 使用默认路由
asyncmap 0 # 设置异步map=0
ipcp-accept-local  
ipcp-accept-remote
ipcp-max-configure 5
ipcp-restart 1
mtu 552 # 设置最大传输单位
mru 552 # 设置最大接受单位
name 169 # 设置用户名，与pap-secrets对应
usepeerdns # 自动抓取ISP的DNS
2./etc/ppp/modemdial
说明：Modem拨号指令文件
源文件：
"" ATZ # 初始化设备
OK ATDT169 # 拨号
CONNECT "" # 握手连接
3./etc/ppp/pap-secrets
说明：PAP模式口令加密文件
源文件：
169 * 169 # 用户名 * 密码
4./root/dial
说明：pppd进程启动文件
源文件：
killall -9 pppd # 杀掉残留pppd进程
/usr/sbin/pppd -d /dev/ttyS0 115200 connect "/usr/sbin/chat  
-t 3 -V -v -f /etc/ppp/modemdial"
# -d后跟设备名称，115200是连接速率，connect后跟拨号脚本
6.4 测试及管理办法
6.4.1 测试方法
1. 可以执行ps auxw|grep pppd，查看是否有pppd的守护进程。
6.4.2 管理方法
1. 执行 tail –f /var/log/message 可以观察拨号过程,当你看到已经从ISP分配到了IP并成功抓取到了DNS之后，说明拨号正确。
2. 执行 pppstats可以观察Modem的工作情况。
6.5 其他参考资料
1. diald:http://home.loonie.net/~eschenk/diald.html)  
2. webppp:(http://www.ajusd.org/~edward/webppp/)
6.6 相关技巧
1. 如果在字符界面下无法拨号，可以考虑装个Xwindows，用用她的拨号
器。
6.7 小结
其实这一切很简单，通过我上面的叙述，大家不难发现，其实所谓的按需拨号，它的实现应该被划分成两个步骤：第一，先将服务器本身配置好，让它可以拨号上网；第二，编写自动拨号配置文件，使Linux服务器具备自动拨号的能力。其实，从客户端自动拨号与从服务器自动拨号的原理是一样的，只要有向外的请求，就应该自动启动拨号进程，而从客户机来的请求，最终将通过sendmail，squid等从服务器发送到Internet。所以我们只要配置好服务器上的自动拨号，也就能实现客户机的自动拨号。


7.ISDN拨号

7.1 简 介
近两年来，ISDN在我国蓬勃发展起来，各省市的电信部门相继开通ISDN业务。尤其在上海、广州、福州、北京等地，ISDN的发展趋势更是势不可挡。就上海来说，到今年5月份，ISDN用户已达32，000。ISDN凭借其连接速度快、传输质量高等优势正吸引着越来越多的用户。  
什么是ISDN？  
ISDN是综合业务数字网的简称，它由电话综合数字网（IDN）发展而来。ISDN是数字交换和数字传输的结合，它以迅速、准确、经济、有效的方式提供目前各种通信网络中现有的业务，而且将通信和数据处理结合起来，开创了很多前所未有的新业务。 ISDN是一个全数字的网络，也就是说，不论原始信号是话音、文字、数据还是图象只要可以转换成数字信号，都能在ISDN网络中进行传输。在传统的电话网络中，实现了网络内部的数字化，但在用户到电话局之间仍采用模拟传输，很容易由于沿途噪声的积累引起失真。而对于ISDN来说，实现了用户线的数字化，提供端到端的数字连接，传输质量大大提高。  
由于ISDN实现了端到端的数字连接，它可以支持包括话音、数据、图象等各种业务。随着电子通信在全球不断扩大，我们许多人需要和不同地区的用户交换信息。而现在人们对通信的要求已经不仅是简单的声音交换，还需要共享各种格式的不同信息。例如，有些人需要高速数据和文件传输；有些人可能需要多媒体和会议电视；有些人则希望能访问中央数据库。ISDN的业务覆盖了现有通信网的全部业务，例如传真、电话、可视图文、监视、电子邮件、可视电话、会议电视等，可以满足不同用户的需要。 ISDN还有一个基本特性是向用户提供了标准的入网接口。用户可以随意地将不同业务类型的终端结合起来，连接到同一接口上，并且可以随时改变终端类型。  
ISDN主要有两种类型：基本速率（BRI）和基群速率（PRI）。电信局向普通用户提供的均为BRI接口，采用原有的双绞线，速率可达144Kb/s。BRIISDN可在一对双绞线上提供两个B通道（每个64K）和一个D通道（16K），D通道用于传输信令，B通道则用于传输话音、数据等。一路电话只占用一个B通道，因此，在同时进行多种业务或对话。PRI接口速率为2.048Mb/s,用于需要传输大量数据的应用，如PBX，LAN互联等。  
ISDN能做些什么？  
ISDN可向用户提供各种各样的业务。目前CCITT将ISDN的业务分为三类：承载业务，用户终端业务和补充业务。  
承载业务是ISDN网络提供的信息传送业务，它提供用户之间的信息传送而不改变信息的内容。常用的承载业务有：话音业务、3.1KHz音频业务和不受限64K数字业务。打电话时一般采用话音业务，该种承载业务向网络表明目前用户是在打电话，网络可以对其做语音压缩、回波消除、数字话音插空等处理。3.1KHz音频承载业务主要用于用调制解调器进行数据传输或用模拟传真机发传真的情况，这类业务可在网络中对信号进行数模变换，但是其他形式的话音处理技术必须禁止。若要使用ISDN拨号上网，则需要用不受限64K数字业务，此时网络对于传送的数据不做任何处理。有时用户若碰到申请的ISDN线路能打电话却无法拨号上网的情况，即可能是由于线路上为开放不受限64K数据承载业务所致。  
用户终端业务是指所有面向用户的应用业务，它即包含了网络的功能，又包含了终端设备的功能。用户可以使用电话、4类传真、数据传输、会议电视等用户终端业务，但均需要终端设备的支持。  
补充业务则是ISDN网络在承载业务和用户终端业务的基础上提供的其他附加业务，目的是为了给用户提供更方便的服务。目前上海市电信局向用户提供的补充业务有：多用户号码、子地址、主叫号码显示、呼叫等待、呼叫保持等。其中除多用户号码由于号码资源紧张需每个月交纳一定费用外，其他补充业务均为免费开放，当然首先您需要到电信局去申请这些业务。这些业务确实可给用户带来很大的方便。例如，呼叫等待业务可以使您在两个电话同时使用时，外面电话还能打进来。呼叫保持则使您在打电话时，将现有的电话暂时挂起，去打新的电话或接听其他电话，结束后在将原来的电话恢复。  
为什么要用ISDN？  
无论是个人还是公司，ISDN都应成为您的首选。因为它有以下诸多好处：
价格便宜：  
由于使用单一的网络提供不同的业务，ISDN大大提高了网络资源的利用率。用户不必要购买不同的设备和线路接入不同的网络。就上海来说，目前电信局对用户推出ISDN优惠大套餐，只需花490元，即可获得上海贝尔生产的智能网络终端和ISDN适配卡，家中原有的模拟电话、传真机等都可直接接入，通过ISDN适配卡可以128Kb/s的速率上网，所花的费用不到一块56K调制解调器的价钱。而且每条ISDN线路的月租费为24元，与模拟电话线相同，却可当两条模拟线路使用，何乐而不为呢？  
高速数据传输：  
使用ISDN，最高数据传输速率可达128Kb/s，相对于现有电话网中的数据速率提高了好几倍。对于因特网用户来说，使用56K调制解调器时文件下载速率最快时在4KB/s左右，还需视网络情况而定，而使用ISDN，若同时使用两个B信道，下载文件是速率最快可达12KB/s左右，提高整整3倍！这样，省下来的时间、电话费、上网费就相当可观了。  
高的传输质量：  
经常上网的用户肯定有类似经验，有时下载一个大文件花费了好几个小时，结果下载完后却发现由于线路质量差，误码率高，下载的文件不能使用。而使用ISDN几乎不会发生这种问题。由于ISDN采用端到端的数字连接，传输质量很高，它不会象模拟线路一样受到静电和噪音的影响。此外，由于ISDN中的数字设备便于故障检测，系统可靠性也得到提高。  
使用灵活方便：  
ISDN提供各种业务，用户只需一个入网接口，就能使用网络提供的各种业务。例如，您可以把电话和个人电脑接入ISDN，在上网的同时可以打电话。还可接入可视电话、会议电视、ISDN路由器等设备。由于这些设备均有相应的国际标准，可以象家用电器一样具有便携性，可以从一个插座上拔到另一个有插座的地方去使用。  
总的来说，ISDN是一个非常成熟的技术，它必将以其优质的服务、平民化的价格将您带入一个全新的数字时代。
7.2 内置ISDN卡
内置ISDN卡的安装比较麻烦，造成这种情况的主要原因是卡的型号比较多，而内核支持的范围十分有限，所以，笔者向大家推荐上海贝尔出的几种，我们只需要重新编译内核，加上我们用ISDN的型号就可以啦。
7.2.1 配置
1．内核配置文件
实例：
以下是我们需要的选项，由于现在市面上见到的所有中文Linux的发行版均不支持内置的ISDN，所以，我们要想用这个好东东只能自己动手啦。
在/usr/src/linux目录下执行make menuconfig，然后在ISDN项中选择一下选项：
<*> ISDN support

Support synchronous PPP

Use VJ-compression with synchronous PPP

Support generic MP (RFC 1717)  

Support audio via ISDN  
HiSax SiemensChipSet driver support

HiSax Support for EURO/DSS1

Support for german chargeinfo  

Disable sending complete  

Disable sending low layer compatibility  

HiSax Support for Teles 16.3 or PNP or PCMCIA  

HiSax Support for Winbond W6692 based cards
然后存盘退出，执行make dep,make clean,make bzImage,make modules,make modules_install,depmod –a,make install。
此时，新的核心已经生成啦，而我们老的核心并没有被删除，只是做了一个备份，要是有什么问题，还是可以恢复的。最后我们需要重新启动使得新内核生效。
2． isdn4k-utils-3.1beta7_mini-1.i386.rpm
这是一个支持内置ISDN的包，安装上之后，系统就会识别我们的内置卡了，当然，为了实现拨号，我们还需要写一个拨号脚本以及相应的挂断脚本，它们是isdnon和isdnstop。
3． isdnon
实例：
#!/bin/sh
echo -n E > /dev/ttyS1
modprobe hisax type=36 protocol=2
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
#Kill previous ipppd process
if [ -r /var/run/ipppd.ippp0.pid ]
then kill -9 `cat /var/run/ipppd.ippp0.pid`
fi
if [ -r /var/run/ipppd.ippp1.pid ]
then kill -9 `cat /var/run/ipppd.ippp1.pid`
fi
#Variables
MYIP=0.0.0.0
REMIP=0.0.0.0
MYMSN=62986638
REMMSN=169
MYUSER=169
REMNAME=169
#Init
/sbin/isdnctrl verbose 3
#/sbin/isdnlog -sS -v1 -m0x17d7 -l0x3d7 -C /dev/console -D /dev/isdnctrl
#Add and set ippp0
/sbin/isdnctrl system on
/sbin/isdnctrl addif ippp0
/sbin/isdnctrl eaz ippp0 $MYMSN
/sbin/isdnctrl addphone ippp0 out $REMMSN
/sbin/isdnctrl huptimeout ippp0 3600
/sbin/isdnctrl l2_prot ippp0 hdlc
/sbin/isdnctrl l3_prot ippp0 trans
/sbin/isdnctrl encap ippp0 syncppp
/sbin/isdnctrl dialmode ippp0 auto
#Add and set ippp1
/sbin/isdnctrl addslave ippp0 ippp1
/sbin/isdnctrl eaz ippp1 $MYMSN
/sbin/isdnctrl addphone ippp1 out $REMMSN
/sbin/isdnctrl huptimeout ippp1 3600
/sbin/isdnctrl l2_prot ippp1 hdlc
/sbin/isdnctrl l3_prot ippp1 trans
/sbin/isdnctrl encap ippp1 syncppp
/sbin/isdnctrl dialmode ippp1 auto
/sbin/ifconfig ippp0 -arp -broadcast
#Startup PPP
/sbin/ipppd user $MYUSER remotename $REMNAME \
lock \
noipdefault \
+mp \
ipcp-accept-local \
ipcp-accept-remote \
name $MYUSER \
-detach \
mru 552 \
mtu 552 \
lcp-restart 1 \
defaultroute \
/dev/ippp0 &
/sbin/ipppd user $MYUSER remotename $REMNAME \
lock \
noipdefault \
+mp \
ipcp-accept-local \
ipcp-accept-remote \
name $MYUSER \
-detach \
mru 552 \
mtu 552 \
lcp-restart 1 \
defaultroute \
/dev/ippp1 &
4． isdnstop
实例：
#!/bin/sh
echo -n G > /dev/ttyS1
ifconfig ippp0 down >/dev/null 2>&1
isdnctrl delif ippp0 >/dev/null 2>&1
killall -9 ipppd >/dev/null 2>&1
sleep 2
echo -n H > /dev/ttyS1
7.2.2 测试及管理办法
1．管理员通过执行/sbin/imon来监控内置ISDN的工作状况
2．管理员可以执行/usr/sbin/ipppstats来监控内置ISDN的流量
7.3 外置ISDN
7.3.1 说明
由于现在最新的内核2.4.2不支持USB接口的ISDN.所以,我们这里所说的外置ISDN指的是串口的.
安装串口ISDN的方法有许多种,笔者从自身实践中感觉,将ISDN当成Modem一样用比较方便,这样不需要安装其余RPM包,又不用设置DNS,所以将外置串口的ISDN当Modem用既简单,又实用.
7.3.2 配置
1./etc/ppp/isdndial
说明：
源文件：
"" ATZ # 初始化设备
OK ATX0 # 自动测试连接速率
OK AT%B8 # 以115200连接
OK ATB31 # 多链路连接（双信道）
OK ATD169 # 拨号
2./etc/ppp/options
说明：
源文件：(同Modem)
demand
modem
lock
crtscts
defaultroute
asyncmap 0
ipcp-accept-local
ipcp-accept-remote
ipcp-max-configure 5
ipcp-restart 1
mtu 552
mru 552
name 169
usepeerdns
3./etc/ppp/pap-secrets
说明：
源文件：(同Modem)
169 * 169
4./root/dial
说明：
源文件：
killall -9 pppd
/usr/sbin/pppd -d /dev/ttyS0 115200 connect "/usr/sbin/chat -t 3 -V -v -f /etc/ppp/isdndial"
7.4 小结
ISDN在国内的应用越来越多，它比电话线拨号上网的带宽增大了许多，中小型企业通过它共享上网非常合适。  
现在国内用在ISDN上网的设备有很多种，没有任何厂商声明支持Linux，但是Linux已经可以支持大多数ISDN设备。  
ISDN上网与我们常用的Modem拨号上网类似。在Linux下甚至可以把ISDN卡模拟成Modem设备，所不同的是ISDN可以使用同步PPP（synchronous PPP），而Modem拨号一般使用异步PPP(anonymous PPP)。对于这两种拨号方式，邮局或ISP采用不同的接入设备。
尽管ISDN可以模拟成Modem进行异步模式的拨号，但一般只是用来测试ISDN卡是否运行正常，真正在上网时通常要用同步PPP拨号模式。


附录：局域网中代理服务器、路由器的配置案例

网络技术的飞速发展，使企事业单位局域网接入INTERNET共享资源的方式越来越多，就大多数而言，DDN专线以其性能稳定、扩充性好的优势成为普遍采用的方式，DDN方式的连接在硬件的需求上是简单的，仅需要一台路由器（router）、代理服务器(proxy server)即可，但在系统的配置上对许多的网络管理人员来讲是一个比较棘手的问题。下面以CISCO路由器为例，笔者就几种比较成功的配置方法作以介绍，以供同行借鉴：
一、直接通过路由器访问INTERNET资源的配置
1． 总体思路和设备连接方法
一般情况下，单位内部的局域网都使用INTERNET上的保留地址：
10.0.0.0/8：10.0.0.0～10.255.255.255  
172.16.0.0/12：172.16.0.0～172.31.255.255  
192.168.0.0/16：192.168.0.0～192.168.255.255  
在常规情况下，单位内部的工作站在直接利用路由对外访问时，会因工作站使用的是互联网上的保留地址，而被路由器过滤掉，从而导致无法访问互联网资源。解决这一问题的办法是利用路由操作系统提供的NAT（Network Address Translation）地址转换功能，将内部网的私有地址转换成互联网上的合法地址，使得不具有合法IP地址的用户可以通过NAT访问到外部Internet。这样做的好处是无需配备代理服务器，减少投资，还可以节约合法IP地址，并提高了内部网络的安全性。
NAT有两种类型：Single模式和global模式。
使用NAT的single模式，就像它的名字一样，可以将众多的本地局域网主机映射为一个Internet地址。局域网内的所有主机对外部Internet网络而言，都被看做一个Internet用户。本地局域网内的主机继续使用本地地址。
使用NAT的global模式，路由器的接口将众多的本地局域网主机映射为一定的Internet地址范围（IP地址池）。当本地主机端口与Internet上的主机连接时，IP地址池中的某个IP地址被自动分配给该本地主机，连接中断后动态分配的IP地址将被释放，释放的IP地址可被其他本地主机使用。
下面以我单位的网络环境为例，将配置方法及过程列示出来，供大家参考。
我单位利用联通光缆（V.35）接入INTERNET的，路由器是CISCO2610，局域网采用的是INTEL550百兆交换机，联通向我们提供了下列四个IP地址：
211.90.137.25（255.255.255.252） 用于本地路由器的广域网端口  
211.90.137.26（255.255.255.252） 用于对方（联通）的端口  
211.90.139.41（255.255.255.252） 供自己支配  
211.90.139.42（255.255.255.252） 供自己支配  
2． 路由器的配置
（1） 网络连接示意图：


图1


说明：校内所有的工作站都与交换机连接，路由器也通过以太口连接在内部交换机上，路由器上以太口使用内部私有地址，光纤的两端分别使用了联通分配的两个有效IP地址。在这种连接方式下，只要在路由器内部设置NAT，便可以使得单位内部的所有工作站访问INTERNTE了，在每台工作站上只需设置网关指向路由器的以太口（192.168.0.3）即可上网，无需设代理，并节省了两个有效IP地址可供自己自由支配（如建立单位自已的WEB和E-MAIL服务器）。但也存在缺点：不能享受代理服务器提供的CACHE服务来提高访问速度。所以本配置方案适合工作站数量较少的单位，对于单位内部工作站数量较多的情况可以使用后面介绍的两种方法。路由器上具体配置如下：
（2）路由器的配置
en
config t
ip nat pool c2610 211.90.139.41 211.90.139.42 netmask 255.255.255.252
(定义一个地址池c2601，其内包含了两个空闲的合法IP地址，供NAT转换时使用)
int e0/0  
ip address 192.168.0.3 255.255.255.0
ip nat inside  
exit
（设置以太口的IP地址，并设置其为连接内部网的端口）
interface s0/0  
ip address 211.90.137.25 255.255.255.252
ip nat outside  
exit
（设置广域网端口的IP地址，并设置其为连接外部网的端口）
ip route 0.0.0.0 0.0.0.0 211.90.137.26
（设置动态路由）
access-list 2 permit 192.168.0.1 0.0.0.255  
（建立访问控制列表）
! Dynamic NAT  
!  
ip nat inside source list 2 pool c2610 overload  
（建立动态地址翻译）
line console 0  
exec-timeout 0 0  
!  
line vty 0 4  
end  
wr
(保存所作的设置)
3． 工作站的配置
要求使用静态IP地址，在TCP/IP属性中进行设置，并设置关网为192.168.0.3（路由器以太口IP地址），设置DNS为接入商提供的地址，浏览器等上网工具中无需作任何特殊设置。
二、 通过代理服务器访问INTERNET资源的配置
1． 总体的思路和设备连接方法
利用代理服务器方式访问INTERNET资源，优点是可以利用代理服务器提供的CACHE服务来提高INTERNET的访问速度和效率。比较适合工作站较多的单位使用。缺点是需要专门配备一台计算机作为代理服务器，增加了投资成本；且较第一种法方还需多占用两个合法IP地址，网络安全性不高。
采用这种方案来访问互联网，设备连接方法如下：
代理服务器上安装两块网卡，一块连接内部网，设置内部私有地址；另一块连接路由器以太口，设置联通分配的合法地址（211.90.139.42），并设置其网关为211.90.139.41（路由器以太口）
路由器以太口也设置联通分配的合法IP地址（211.90.139.41）
这样，将设备连接好后，在代理服务器上安装代理软件，并在工作站上设置代理即可访问INTERNET。

图2

2． 路由器的配置
（1） 网络连接示意图：
说明：在上图中，单位内的所有计算机通过交换机直接与代理服务器上的内部网网卡（192.168.0.4）通讯，然后在代理服务软件的控制之下经过路由器访问INTERNET。
（2）路由器的配置
en
config t
int e0/0  
ip address 211.90.139.41 255.255.255.252
exit
（设置以太口的IP地址）
interface s0/0  
ip address 211.90.137.25 255.255.255.252
exit
（设置广域网端口的IP地址）
ip route 0.0.0.0 0.0.0.0 211.90.137.26
ip routing
（设置动态路由,并激活路由）
end  
wr
(保存所作的设置)
3． 代理服务器的设置
代理服务器必须按装两块网卡，一块用于连接内部局域网，设IP地址为内部私有地址（如：192.168.0.4 netmask 255.255.255.0）无需设网关。另一块用于连接路由器，设置联通分配的合法地址（211.90.139.42 netmask 255.255.255.252），并设置其网关为：211.90.139.41(路由器以太口)。
按照上面的方法设置好网卡后，再安装一套代理软件即可。（如：MS PROXY SERVER 2.0、WINGATE等，代理软件的安装调试方法请参阅其它资料）
4． 工作站的设置
（1） INTERNET EXPLORER设置
工具菜单->internet选项->连接->局域网设置->使用代理服务器->地址:192.168.0.4端口:80->确定
(2)其他软件的设置请参阅软件说明。  
三、 直接访问与代理访问并存的配置
1． 总体思路和设备连接方法
通过上面介绍的两种方法进行配置，都能顺利地实现INTERNET的访问，但每种方法即有优点，又存在一定的缺点，且两种方法的优点是互补的。哪能不能将两种方法的优点合二为一，方法三就是一种鱼和熊掌能够兼得的方案。集成了一、二两种方法的优点，即节省了IP地址，又能通过代理服务器提供的CACHE来提高INTERNET的访问效率。
采用这种方案来访问互联网，设备连接方法如下：
代理服务器上安装两块网卡，两块网卡均连接在交换机上，在设置IP地址时，两块网卡均设置内部私有地址，但这两个地址应不属于一个网络（即IP地址的网络地址不同），一块用于与内部网通信（网卡1），一块用于与路由器通信（网卡2），否则代理无法实现。
在代理服务器上不要安装NETBEUI协议，仅安装TCP/IP协议。（注意：这一步必须要做，否则会因为代理服务器与交换机之间连接线路冗余而导致代理服务器NETBIOS计算机名冲突而影响正常通信）
路由器以太口也设置一个内部私有地址，该地址因与网卡2的地址在同一个网络（即IP地址的网络地址与网卡2相同）
2． 路由器的设置
（1） 网络连接示意图


图3

（2）路由器的配置
en
config t
ip nat pool c2610 211.90.139.41 211.90.139.42 netmask 255.255.255.252
(定义一个地址池c2601，其内包含了两个空闲的合法IP地址，供NAT转换时使用)
int e0/0  
ip address 192.168.1.1 255.255.255.0
ip nat inside  
exit
（设置以太口的IP地址，并设置其为连接内部网的端口）
interface s0/0  
ip address 211.90.137.25 255.255.255.252
ip nat outside  
exit
（设置广域网端口的IP地址，并设置其为连接外部网的端口）
ip route 0.0.0.0 0.0.0.0 211.90.137.26
（设置动态路由）
access-list 2 permit 192.168.0.1 0.0.0.255  
（建立访问控制列表）
! Dynamic NAT  
!  
ip nat inside source list 2 pool c2610 overload  
（建立动态地址翻译）
line console 0  
exec-timeout 0 0  
!  
line vty 0 4  
end  

wr
(保存所作的设置)
2． 代理服务器的设置
代理服务器上安装两块网卡，两块网卡均连接在交换机上，网卡1设IP地址为：192.168.0.4，不设网关；网卡2设IP地址为：192.168.1.2，设其网关为192.168.1.1（路由器以太口）。
按照上面的方法设置好网卡后，再安装一套代理软件即可。（如：MS PROXY SERVER 2.0、WINGATE等，代理软件的安装调试方法请参阅其它资料）
注意：在安装代理软件时（以MS-PROXY 2.0为例），在指定LAT表时，应将地址范围192.168.0.0-192.168.255.255排除在外，否则代理无法正常工作。
3． 工作站的设置
在这种配置之下，工作站既可以通过设置代理上网，也可以通过设置网关直接上网。
若只通过代理上网，设置方法与方法二完全一致。
若只通过网关上网，要求工作站必须设置静态IP地址，IP地址应设为192.168.1.X，
与路由器以太口在同一个网段，并设置网关为：192.168.1.1，设置DNS为接入商提供的地址。
若想两种方法并存，则需要在TCP/IP中设置两个静态IP地址：192.168.0.X和192.168.1.X，并设置网关为：192.168.1.1 ，DNS为接入商提供的地址。使用时只需在浏览器等软件中打开或关闭代理设置即可在代理与网关上网之间进行切换。

coffer

好长呀,拷贝下来慢慢看吧,谢谢!

SoulSaver

难见到的好文章!谢谢分享!

下流砥柱

呵呵！只能慢慢看了~~~

粗口成章

好长，我怕把眼睛看瞎了