Intranet接入Intranet的技术要点

软件世界1998年第12期

Intranet接入Intranet的技术要点

杨勇

　　目前国内不少企业和机关团体都建成了Intranet网络，且与Internet网络实现了互联，另外有更多的单位正在做类似的规划。笔者近来从事了较多这方面的工作，对于如何把Intranet接入Internet有了一些经验，现把其中一些关键技术问题整理成文以供参考。

　　一、 Internet接入方案

　　1．Internet接入技术

　　Internet接入技术基本上可以分为三类：双绞线接入技术、光缆接入技术和无线接入技术。

　　●双绞线接入技术

　　双胶线接入技术依赖于电信部门的公共电信网络，主要有以下几种：

　　DDN数据专线接入：应用最广的一种接入技术，接入速率从64kb/s、128kb/s至E1(2Mb/s)和E3(34Mb/s)。

　　ISDN综合业务数据网接入：另一种应用较广的接入技术，其两条B通道合并使用可提供128Kb/s的接入速率，更多的(30)B通道合并使用速率可达2Mb/s。

　　单线(普通电话线路)接入新技术：普通用户上网浏览，一般是利用公用电话电路，采用PPP方式上网，理论上可获得最高33.6Kb/s到56Kb/s的接入速率，而实际上远达不到这个速率；最近发展的几项新技术采用了离散多音调整、自适应滤波等数字处理技术之后，（如ADSL不对称数字用户线、SDSL单线对数字用户线、VDSL甚高数据速率数字用户线等)，可以获得1.544Mb/s到6.312Mb/s的传输速率，同时仍能保留一个语音通道，可惜的是这些新技术目前尚未在国内普及应用。

　　●光缆接入技术

　　光缆接入技术可分光纤接入技术(FTTB光纤到楼)和光纤同缆接入(HFC)技术。前者将光纤接到Intranet所在建筑，后者是指光纤接到ISP处，从ISP到用户端为有线电视部门的同轴电缆，两者都可以提供宽带接入。

　　●无线接入技术

　　无线接入技术分微波和短波两类。微波接入的典型方式是建立卫星地面站，租用通讯卫星的信道与上级ISP通讯，其单路最高速率为27Kb/s，可多路复用，其优点是不受地域的限制。

　　与微波接入技术类似，利用专用的短波设备也可以接入Internet，且接入速率和距离都较理想。由于短波有绕射力，因而这种技术适于在城市及市郊做中远距离联网。

　　2、ISP的选择

　　虽然国内有四大互联网络系统，但面向社会提供服务的ISP多属于CHINANET中国公用计算机互联网和CHINAGBN金桥网。各地的电信部门可提供到CHINANET的接入服务，各地的信息中心可提供到CHINAGBN的接入服务，而在北京、上海等城市则会有更多的ISP提供各具特色的Internet接入服务。

　　用户在选择ISP时首先要了解本单位Intranet接入Internet的主要目的，如：提供本单位部分/全部人员上网浏览/收发电子邮件，是否24小时对外提供服务，WWW服务，WWW服务对象是否有区别和侧重，等等。然后还要综合考虑ISP可提供的接入方式和接入速率，ISP自己接入Internet主干网的技术方式和速率，ISP的服务质量和收费标准等诸多因素。

　　由于多数用户是通过CHINANET和CHINAGBN接入Internet的，笔者将这两种情况简单归纳如表1。

	chinanet	chinagbn
接入技术	64kb/s ddn	2mb/s 短波fwa
isp出口费用	2-4mb/s 光纤/ddn	512kb/s-2mb/s 卫星中继
每月费用	4800元/500mb	稍低
使用情况	稳定可靠	在不宜架设数据专线的地区如远郊优势明显，易受恶劣天气影响

　　二、专用路由器与软路由器

　　1、专用路由器

　　通过DDN专线接入Internet时，一般需要配置一个专用路由器，如图1所示。

　　图1 专用路由器

　　路由器可根据用户的实际需要来选择。笔者所在单位需要在网上大量发布信息，因此选用了CISCO 2509登录服务器作为路由器。该产品有一个AUI Ethernet接口可用于连接Intranet，一个Dual 5 in l同步串行口可用于连接DTU到DDN专线，由于是登录服务器，它还具有8个RJ-45端口，允许工作站从此处直接连入Internet。

　　2. NT RIP软路由

　　以NT Server 4.0组网的Intranet在接入Internet时，如经费紧张可以暂不使用专用路由器，而以NT Server 4.0中的路由信息协议(RIP)来实现路由功能。如图2所示。

　　图2 RIP软路由

　　RIP路由协议需要安装在一台运行NT Server 4.0的服务器上，在该服务器上安装两块网卡，一块用于连接Internet，另一块则连接到Intranet的HUB上。以这种方式接入Internet时，整个Intranet都将通过代理服务器才能访问Internet。

　　某些用户甚至打算使用PPP点对点拨号方式将小型的Intranet甚至普通NT局域网接入Internet，应如图3所示调整。

　　图3 普通Modem PPP接入

　　此种利用NT RAS远程存取服务功能上网的方式有明显的缺点，主要是速度慢(尽管可多接到4个Modem)和连接不稳定，但费用要远少于前两者。Intranet网内用户可以在网上浏览，可以收发电子邮件，但由于ISP提供给PPP拨号用户的是动态分配的IP地址，因此这种方式下不能做WWW信息发布等工作。

　　三、代理服务器

　　在将Intranet接入Internet的工作，代理服务器担任很重要的角色，它在提供给Intranet网络用户访问Internet能力的同时，还将控制Intranet与Internet之间的信息交换，提供一些防火墙功能，现在常见的可用于NT系统的代理服务器产品有Micro Proxy Server 2.0,WinGate 2.1和Winproxy 1.0等。

　　1、MS Proxy Server 2.0

　　MS Proxy Server 2.0是一种需要与NT Server 4.0(Service Pack3)和IIS 3.0配合使用的一种代理服务器。它应安装在位于Intranet到Internet连接点上的NT服务器上。其安装过程比较简单，用户需要设置内容缓冲服务器的位置和大小，创建本地地址表和设定用户(组)的访问权限等。

　　安装完成后，用户可以利用NT Server内置的Internet Service Manager来管理代理服务器，用户可以看到ISP的管理窗口中的服务数从原来的3个增加到6个，新增的是Web Proxy, WinSock和Sock服务。由于SOCK是供非Windows客户机使用的，Winsock是为Netshow、IRC、RealVideo和RealAudio等提供支持，用户可以选择关闭这两项服务，如同我们可以关闭Gopher服务一样。

　　在MS Proxy Server 2.0提供的诸多功能中，网络管理员最关心的是它的代理服务和如何控制对Internet的访问。管理员可以为Intranet内客户机分配一组在Internet是非法的地址，(如198.155.*.*，可能是美国或是其他地区的IP地址段)，这样Intranet内的用户如不通过代理服务器是不可能从Internet上下载任何信息的，从而限制网内用户必须通过代理服务器访问Internet；这样做的另外一个好处就是Internet上的用户也无法访问Intranet内部的主机。

　　MS Proxy Server 2.0还提供了内容缓存服务，用户从Internet下载的信息在指定缓存区内(一般置为100MB)缓存，这样如果Intranet内的其他用户访问同一内容(网页)时就可以从内容缓存区内提取。由于Intranet内用户的兴趣通常比较接近，会经常访问一些特定的站点，因而内容缓存技术可以避免重复下载，明显地减少下载量和提高访问速率。

　　网络管理员还可以通过MS Proxy Server设定单个或一组用户对Internet访问权限，例如可以将名为Internet组的所有成员授予访问权，这样今后如需调整网内用户访问Internet的权限时，只需将该用户加入或退出Internet组即可。

　　MS Proxy Server 2.0防火墙功能可以管理Intranet内对外部的访问，可以许可或禁止某一(组)用户对某一些站点进行访问，但是还无法做到能够指定某一用户(组)可以访问所有的站点，而另一组用户只能访问与其工作有关的站点。

　　为了保护intranet不受外界访问，用户可以在本地地址表(LAT)中罗列内部网络需要代理服务器保护的IP地址。同时由于内部IP地址已事先分配为Internet上非法的地址，两种保护措施合为一体可以有效地隔绝可能来自外部的入侵。

　　2、WinGate和Winproxy

　　WinGate是另一种常见的代理服务器软件，有分别用于Win95和NT，用户数有5用户、10用户和无限制等多种版本，用户选购时要根据自己的具体情况选择。

　　WinGate 2.1b的功能稍强于MS Proxy Server 2.0，它不会强求NT 4.0 Pack3和IIS 3.0，它甚至可以提供DHCP、DNS、FTP代理和POP3代理等，但笔者对其最感兴趣的是其用户权限管理和多种计费功能。

　　WinGate的用户权限管理将访问Internet的用户分为3组：不受限组 —可以不受限制地访问Internet；预定用户—用户事先要在WinGate的Location中登记要访问的IP地址，用户对外只能访问其预定的若干个网站，否则即视为非法；需要认证用户—每次必须登录WinGate，认定其权限后才可访问Internet。这种对可访问Internet的用户进行分组管理的做法，使得网络管理员可以根据单位内部的具体情况对不同的用户(组)授予不同的权限，从而有效地利用网络资源。

　　计费功能对网络管理员来说也是较为重要的功能。Wingate提供了按时间和按流量等多种可组合的计费方式，有助于管理员掌握每个用户对Internet的访问情况，及时制止非业务性的过度访问。

　　与WinGate不同，Winproxy是另一种较简易的代理服务器，有安装方便设置简单等优点，但所提供的功能较少，防火墙也较简单。

　　四、IP地址的设置、DHCP协议和DNS服务

　　TCP/IP协议是Internet/Intranet网络的技术基础，出于对Intranet保护的需要，Intranet内部大多数主机的IP地址应明显有别于Internet范围接入点ISP网段和IP地址，如ISP网段的IP地址为202.95.112.*，则Intranet内部的IP地址范围可选为198.155.1.*或是其他网络管理员指定的地址范围。

　　对于需要安装代理服务器、DNS服务器、邮件服务器和对外发布信息的Web主机则必须再拥有一个Internet空间的IP地址，这样的主机需要安装两块网卡，一块对应于Internet的IP地址，另一块对应于Intranet内部的IP地址。

　　对于较小型的Intranet网络，只需向ISP申请一个Internet的IP地址，然后将上述的诸多服务器安装在同一台NT服务器上，使该台服务器兼做多项服务。同时由于网络内部的信息交换量很大，可以设置一个专门对内的Web服务器，该主机只需也只能分配一个内部的IP地址，以防范来自外部Internet入侵。

　　图4 Intranet内IP地址分配示意图

　　图4还显示了各种服务器的安装情况，这种将多个服务器以及协议安装在一台主机上的方案，确实加重了主服务器的负担，用户因此应选用高性能的专用服务器(双CPU、内存128MB)。图中除代理服务器和邮件服务器需另购软件安装之外，其他协议和服务均为NT Server 4.0 Pack3的组件，用户从控制面板中安装RIP协议、DHCP协议和DNS域名服务。

　　DHCP动态主机配置协议将负责完成Intranet网络中各客户机的IP地址的动态分配，但要预留一些供服务器等主机使用。DNS域名服务器负责实现主机名对IP地址的静态解析，当Intranet内部有多个Web服务器或其他应用服务器时，域名服务将有助于网络的管理和运行。如果Intranet内对外部的服务扩展后，也有多个Web服务器或应用服务器时对外提供服务时，并且已向有关部门申请了三级域名之后，DNS域名服务器将承担解析内部四级域名的工作。

　　五、邮件服务器

　　E-mail邮件服务是Internet中最早和最基本的服务，一般ISP会提供给专线上网的用户多个邮箱，但即使是这样，对一个较大的Intranet网络而言，也会出现邮箱不够分配的情况，此时就需要自己设置邮件服务器，才能解决内部的邮箱需求。

　　NT系统中最常用的邮件服务器是MS Exchange Server 5.0，是BackOffice套件的一部分，它支持POP3协议，也支持Usnet新闻组及具有新的可编程表格的能力。其他厂家的邮件服务器有Mercur(SMTP/POP3/IMAP3)Server 3.0和Post Office 3.5等。