3.地址转换技术
有一种情况需要特别注意,如果公司网络没有以任何方式连接到Internet,则可以使用任何IP地址。但这家公司网络需要连接到Internet,所以应当使用公用地址或专用地址转换技术,以防止非法IP地址暴露在公网之上。
为了让使用专用IP地址的计算机能够访问 Internet,必须使用网络地址转换(NAT)和路由。NAT使您能够把使用专用IP地址的客户端计算机连接到使用公共IP地址的Internet。这需要有两个接口(或网络适配器)来隔离本地网络(使用专用IP地址)和Internet网络(使用公共IP地址)。这两个接口是必需的,因为两个网络之间的请求必须通过路由器服务或设备进行传送。当路由器接收到请求时,它在两个接口之间转发这些请求。NAT服务帮助从源网络到目标网络,把IP地址转换成正确的地址。
例如,当客户端计算机发出访问Internet资源的请求时,路由器设备在本地网络上接收到该请求,客户端计算机的专用IP地址随后被转换成公共IP地址并路由到外部接口,从而使请求能够被发送到Internet。当在外部接口上接收到来自Internet的响应时,NAT随后把公共IP地址转换回客户端计算机的专用IP地址,并把响应路由到本地接口。通过这种方法,路由和NAT服务提供了过滤功能,从而解决了这家公司针对网络安全的需求。
4.IP地址配置方法
IP地址的获得可以通过手工配置TCP/IP选项或者使用动态主机配置协议(DHCP)自动获取。客户端还需要配置的项目包括子网掩码、网关地址、DNS地址等。
假设企业的服务器操作系统采用的是Windows 2000/2003 Server系统,客户端采用Windows 2000/XP系统。Windows为TCP/IP客户端提供了3种配置IP地址的方法,用于满足Windows用户对网络的不同需求。具体采用哪种IP 地址分配方式,可由网络管理员根据网络规模和网络应用等具体情况而定。
1)手工分配
手工设置IP地址是最常用的一种分配方式。在以手工方式进行设置时,需要为网络中的每一台计算机分别设置4项IP地址信息(IP地址、子网掩码、默认网关和DNS服务器地址)。在通常情况下,手工设置IP被用于设置网络服务器、计算机数量较少的小型网络。
手工设置的IP地址为静态IP地址,在没有重新配置之前,计算机将一直拥有该IP地址。因此,既可以据此访问网络内的某台计算机,也可以据此判断计算机是否已经开机并接入网络。不过,默认网关必须是计算机所在的网段中的IP地址,而不能填写其他网段中的IP地址。
2)自动分配
动态主机配置协议(Dynamic Host configuration Protocol,DHCP)提供了自动的TCP/IP配置。DHCP服务器为其客户端提供IP地址、子网掩码和默认网关地址等各种配置。网络中的计算机可以通过DHCP服务器自动获取IP地址信息。DHCP服务器维护着一个容纳有许多IP地址的地址池,并根据计算机的请求而出租。DHCP是 Windows默认采用的地址分配方式。
在默认情况下,Windows 2000/XP系统都使用DHCP请求来获得IP地址的分配。所以,如果仍然选择DHCP来分配和管理IP地址,网管工作将会减轻很多,而且可以很方便地配置客户机,我们所要做的就是维护好一台DHCP服务器。
确定IP规划方案
小型网络可以选择192.168.0.0地址段,大中型企业由于网络设备众多,有的可以达到上万台,那么则可以选择172.16.0.0或10.0.0.0地址段。经过前面的分析,确定使用子网掩码为255.255.255.0,基于专用网络 ID 192.168.0.0的分配IP地址方案,这种方案提供在每个网段上最多增加到254台计算机的容量,足够满足公司所有客户端的需求了。
由于公司刚刚起步,所以在连接Internet的网络带宽不是很大,而且也没有太多的网络业务往来。因此,可购买一个价格比较低廉的路由器,使用NAT 技术将所有客户端共享上网,隐藏内部网络的结构,实现比较简单的安全防火墙作用。IP地址配置要分别对待,文件服务器需要手工配置,这样所有用户都可以随时访问到这个静态IP地址,而其他客户端采用路由器上的DHCP功能,自动获得IP。
这台路由器的内部接口需要设置成192.168.1.1,这就是客户端需要指定的网关地址。而DNS服务器的地址可以使用Internet上的DNS服务器或者自行建立,这里使用外网的DNS服务器。
我们将这个公司的网络地址分配为192.168.1.0,子网掩码为255.255.255.0,那么它的主机范围就是:192.168.1.1~192.168.1.254,服务器使用固定的192.168.1.2的网络地址。其他主机采用自动分配的IP地址,但为了预留一些网络管理员和其他应用需求,只提供192.168.1.100~ 192.168.1.199这个范围的IP。