网管员必读——超级网管经验谈(第2版)第二章.ppt

第二章共享上网与访问控制配置 本章重点： ØICS共享上网方式的主要特点 ØICS共享上网的两种配置方式 ØSygate共享上网配置 ØCCProxy共享上网配置 ØADSL MODEM路由共享上网配置 ØDI-604+路由器共享上网配置 Ø路由器的各种NAT配置方法 ØNAT服务器的安装与属性配置 ØNAT系统的部署思路 2.1 ICS共享上网配置 ICS是Windows自带的网络共享组件，它可使用户轻松完 成小型网络用户共享上网需求的配置 2.1.1 ICS简介ICS是“Internet Connecting Share”（因特网共享连接）的 简称，是微软Windows系统自带的一种共享网络连接工具 它属于“网关型”共享类型，担当服务器的称之为“网关服 务器”通过它即可以实现简单的网络连接共享，无论是 服务器端，还是客户端都无需购置任何其他软件，非常实 惠但要注意的是，它的共享非常简单，没有任何权限的 设置功能，只是简单的共享；而且这种网络连接共享，所 能共享的用户数非常有限在启用ICS后，一些协议、服务、接口和路由都将自动 配置，参见书中表2-1所示 2.1.2 ICS共享上网手动配置法 这种配置方法比较灵活，可以针对各种具体网络环境和 应用需求进行。

但需要在ICS网关服务器和共享客户机上 分别进行配置ICS共享上网方案的基本网络连接如下图所示软件配置方面，服务器端主要是先把连接互联网接入的 网络连接设置成共享，然后再配置TCP/IP协议，IP地址只 能是192.168.0.1客户端的配置主要是TCP/IP协议和IE浏览器Internet选项 的配置两个方面TCP/IP协议配置方面只需把IP地址设为与ICS服务器地址192.168.0.1在同一网段（工作组网络中 通常是采用全自动方式），网关地址为192.168.0.1即可 在Internet选项配置中，在如下左图中选择“从不进行拨号 连接”单选项然后在下面右图所示对话框中选择“自动 检测设置”复选项（经实践，多数情况下，无需选择这一 复选项也可以），然后单击“确定”按钮即可完成设置以上具体配置步骤参见书中介绍 2.1.3 “设置家庭或小型办公网络”向导设置法 在Windows XP系统中，我们还可以利用“设置家庭或小 型办公网络”向导来设置ICS共享上网方案相对来说，过 程比较简单，但也需要分别在网络中每台计算机上运行首先要在Windows XP系统的服务器端的“网络连接”窗口 导航栏中单击“设置设置家庭或小型办公网络”链接项，打 开向导对话框首页。

在下页左图中选择“这台计算机直接 连接到Internet我的网络上的其他计算机通过这台计算机 连接到Internet”单选项然后按向导提示提示依次配置网 络连接、工作组等属性最后系统会自动进行配置在Windows XP系统的客户机上同样运行 “设置设置家庭 或小型办公网络”向导，在下面左图中选择“此计算机通过 居民区的网关或网络上的其他计算机连接到Internet”单选 项，然后按照向导提示一步步配置即可 如果客户机是Windows XP以前的Windows 9x/Me系统（ 不包括Windows 2000家族系统），则不能直接运行，需要 先利用在一台XP系统中上述创建网络安装磁盘，或者利用 Windows XP(或Windows Server 2003)系统安装程序中的“执 行其他任务”选项（如下面右图所示）来运行单击后， 再在打开的对话框中单击选择“设置一个设置家庭或小型 办公网络”选项，随后即打开前面一样的“设置设置家庭或 小型办公网络”向导以上ICS服务器和客户机的具体配置步骤参见书中介绍 2.1.4 ICS共享方案配置经验与故障排除 在本节介绍以下几个故障的排除方法： Ø 问：我在配置ICS共享上网时，已在客户机上正确配置了 默认网关地址，却为什么总是不能共享上网成功？ Ø 问：为什么我的共享连接不能上网，却能进行聊天？ Ø 问：在添加了ICS以后公司的网络打印机却不能使用了， 为什么？ 具体故障排除方法参见书中介绍。

2.2 Sygate共享上网配置 在网关型代理服务器软件中最有代表性的就是Sygate， 它的主要特点是配置简单只需进行简单的配置，则在客 户端无论是上网浏览网页，还是收发邮件都可以一次成功 它的缺点与ICS方式差不多，就是缺乏用户管理功能， 所有共享用户的互联网应用权限都基本上一样（不过也有 一些基本过滤配置），所以通常只适用于没有网站或内容 过滤等要求的共享应用以Sygate Home Network 4.5中文 版为例进行介绍的 2.2.1 网关服务器端软件的安装与配置 在安装过程中会出现一个“安装设置”对话框要求用户选 择软件的安装模式，如果在服务器端当然是选择“服务器 模式”单选项；在客户端安装时则应选择“客户端模式”单选 项，如下页左图所示 服务器端的主要配置对话框如下面右图所示在“直接 Internet/ISP连接”项中选择相应的Internet连接方法，通常选 择“自动检测”单选项即可；如是普通MODEM或ADSL虚拟 拨号方式，则可选择“拨号上网”单选项；如果是专线方式 ，则需选择“以太网”单选项，然后在后面的下拉列表中选 择相应的网卡，在“网关IP”栏会自动以这个网卡的IP地址 作为网关IP地址。

当然还有一些其他配置对话框和配置选 项，具体参见书中介绍2.2.2 客户端主机的配置 Sygate并不一定要求客户端安装其客户端软件，客户 端的安装仅能提供一些在客户端了解当前网络的互联网连 接情况、执行一些基本的网络管理操作（拨号和挂断）功 能，以便于管理员或者有此权限需求的高级用户在客户端 对网关服务器进行基本的管理Sygate客户端软件的安装方法也非常简单，与其服务器 端程序使用同一个文件，只需在上节介绍的左图所示对话 框中选择“客户端模式”即可安装完后即在系统的状态栏 中显示一个图标，它没有主对话框，它的功能完全体现在 这个程序图标上，相当于一种服务在运行图标上单击鼠 标右键后所出现的快捷菜单，如下页左图所示从这个快 捷菜单中可以看出，利用Sygate客户端所能进行的操作非 常有限但它共享上网没有任何关系，当然它可以实现人 为断开共享网络的连接，和客户机主动拨号功能客户机的主要配置还是TCP/IP协议配置和nternet选项的 配置TCP/IP协议的配置主要指IP地址、DNS、网关等方面的 配置如果是工作组网络，则可以选择全自动方式，如果 是域网络，则可以指定静态IP地址、DNS服务器（包括网 关服务器上提供的DNS服务和域网络中的DNS服务器地址 ） 。

在Internet选项配置方面，与前面介绍的ICS共享方式 Internet选项配置完全一样，参照即可 2.2.3 实用经验与故障排除 本节介绍了Sygate共享上网方案中以下几方面的故障排 除方法 Ø 问：为什么我的Sygate服务器端状态栏总是显示“Service Off”，可我已连接上网了，客户端也不能共享上网，为什 么？ Ø 问：我已在Sygate服务器指定了DNS服务器地址，客户端 也是采用DHCP自动分配IP方式，可客户端还是无法上网 ，为什么？ Ø 问：我有时可以上网，有时却不能上网，为什么？ Ø 问：我们可以通过Sygate共享上网，但却不能运行，为 什么? 2.3 CCProxy的家庭共享上网配置 代理服务器共享上网方式的最大优点就是可以灵活控制 用户的共享上网用户、内容、时间等，是前面介绍的网关 型服务器共享方案所不具备的所以在需要访问控制的共 享上网应用中应用非常广泛本节示例为：小王是一个三口之家，因家中未成年小孩 朵朵近期受同学影响，吵着向其父母要上网为了确保女 儿的上网安全，就想对她的上网时间和内容进行一些必要 的限制防止她利用做作业的时间上网，也不准进入一些 家长认为不可进入的网站浏览，还不准下载任何软件，以 免带来不安全因素。

限制允许上网的时间是每天晚上的 10:00～11:00星期六、星期天白天允许上网的时间为下 午3:00～5:002.3.1 CCProxy服务器端设置根据本示例要求，服务器端的主要设置是限制用户的进 行互联网应用的内容、访问的网站、以及上网时间对应 的设置对话框分别如下面左、中、右图所示具体配置步 骤参见书中介绍 2.3.2 客户端计算机共享上网配置 CCProxy客户机的设置也主要是TCP/IP协议和Internet选 项配置了只需要把客户机所用的DNS设置了CCProxy代 理服务器地址（因为CCProxy提供了DNS代理服务，如果 是域网络，则还要配置域网络DNS服务器地址），然后在 Internet选项配置对话框中设置好代理服务器地址即可对 应的对话框分别如图下面左、右图所示2.3.3 客户端其他互联网应用配置 1. 代理服务器的设置 因为是通过Sock套接字协议进行UDP协议通信的，需 要设置Socks5（建议选择最新版本）代理端口在 CCProxy代理服务器程序中规定Socks服务所用的端口号为 1080，参见下面左图所示2. MSN的代理设置MSN的代理可以是Socket或者HTTP两种协议，设置对 话框如上页右图所示。

3. FlashGet代理配置 在CCProxy共享上网方案中，FlashGet也需要设置代理才 能用的代理协议是“Socks5”配置对话框如下面左图所 示 4. Outlook邮件收发代理配置 在客户机Outlook中，用户的邮箱帐户、POP3和SMTP服务 器地址也要进行更改，配置对话框如下右图所示 以上具体配置方法参见书中介绍2.4 CCProxy的企业共享上网配置 【示例4】兴发服装是一家兼职中型服装厂，办公室内有三 十多台电脑，现在要把这些电脑配置成共享上网，经反复 认证后决定采用CCProxy代理服务器软件公司原来的互 联网接入方式是虚拟拨号的ADSL，直接连接在一台邮件 服务器上，网络系统是Windows 2000 Server除了要能使 各台电脑共享上网外，老总还要对员工的上网时间和内容 进行限制，只允许星期一到星期五的正常上班时间8:00～ 18:00之间上网，只能进行邮件收发，到公司网站 上浏览，不允许用和MSN聊天星 期天全天不能使用公司中有些用户采用Foxmail作为客户 端邮件收发软件2.4.1 CCProxy服务器端的配置 在企业网络中，CCProxy服务器端的基本配置与 前面介绍的家庭应用基本上差不多，只是要注意 的是，因为公司已有域网络，最好充分利用现有 的域用户账户，也就是把CCProxy代理作为NT域 网络的一种服务。

首先在下页左图所示对话框中的“验证类型”下拉 列表中选择“用户/密码”选项然后再单击“新建” 按钮创建用户采用域网络用户帐户时，就只需 要输入用户名，其他的会自动按系统中的配置 如下页右图所示其他像互联网访问控制、上网时间控制、聊 天代理、Outlook等配置方法均可以参见上节介绍 的家庭应用2.4.2 客户端Foxmail软件的代理配置 在Foxmail客户端的配置方法是执行“工具”→“系统设置”菜单 操作，在打开的对话框中选择“代理”选项卡，如下左图所 示然后选择“邮件代理服务器”复选项，然后在“类型”下 拉列表中选择“SOCKS 5”选项，在“服务器”后面的文本框 中输入CCProxy代理服务器的局域网IP地址相对Outlook 来说，Foxmail的代理设置要简单许多，因为它直接通过在 下页左图所示对话框中设置完成，而无需再在各用户账户 上区分那么多，也无需进行复杂的账户名、服务器地址配 置直接采用上网用户邮箱账户配置即可，无需修改 SMTP和POP3等设置 但如果是利用Foxmail收Hotmail邮件，则需要在客 。