两个星期来一直忙于找一家单位的做事,时时关心报纸上的招聘信息和网上的人才热线。8月的广州IT业界需求***多的是业务员,接下来是技术员,非IT企业对IT人才的需求则主要集中于网页的制作与网络的管理。对于后者,一般要求熟练Windows NT管理,并希望在适当地时候将Intranet接入Internet,以实现新闻发布、产品演示、市场调查、接受订单等功能。那么,将现有的Intranet连入Internet是否可行,在技术上有何要求呢?下面将自己的经验给大家说一说,一家之言,难免有所疏漏和偏颇,只希望对大家有点启发罢了。
一、构建Intranet
我们先通过Windows NT Server 4.0的IIS(Internet Information Server)来构造一个Web站点,因为IIS界面直观、方便,并提供的WWW、FTP、Gopher等服务,当成为我等******。
(一)安装IIS 2.0
检查系统是否已经安装IIS 2.0,在“控制面板”的“服务”中有一个列表,若已存在则跳过此步。
以管理员的身份进行登录,按下“添加”按钮以添加新的服务程序,在“选定网络服务”对话框中选择“Microsoft Internet Information Server 2.0",按“确定"进行安装。注意要选定“Internet服务管理器(HTML)",以支持后面的管理操作。其它所有安装操作按默认方式进行即可。安装完成后,开始菜单里就多了一个“Microsoft Internet Server(公用)"组,接下来,我们看一下如何配置WWW。
在“Internet服务管理器”中选定WWW服务器后,按“内容”按钮则弹出WWW的服务属性窗口。该窗口共有服务、目录、纪录和高级四项,多数选项采用系统默认值即可,其中值得注意的是服务项中的“匿名登录”组,对于用户名和密码两个子项不要随便修改,否则可能导致客户访问失败。在“密码证明”组中选定“允许匿名”以允许用户匿名访问。对于“目录"组,我们可以根据需要随时进行培养、修改设置,尤其是对主目录“Home”。实际上,当我们连接到Web时,IIS自动调用主目录下的default.htm文件(自不消说,可以在默认文档中指定其它的缺省文件名)。这时,我们可以选取“添加”按钮来增加新的目录,系统弹出目录属性对话框后,便可以更改主目录和虚拟目录了。接下来我们可以通过指定机器的IP地址来记录客户在我们的Web上访问数据的情况,也可以拒绝网络上某台计算机对我们的Web的访问。
(二)设置IP地址
随着网络渐入佳境,各类IT媒介IP地址的介绍很多,因此,这里就不多说(但笔者有一篇关于如何计算IP地址及子网掩码的文章,自认为还可一读,方便的读者可访问http://lanhome.363.net)。对于一个局域网来说,只要保证网内每台机器的IP地址不重复即可,但对作为服务器的那台机器,则应该指定一个固定的IP地址以供其它机器访问。IP地址配置是否成功可以在网络中的其它计算机上通过“PING IP地址"命令来检验。
(三)安装DHCP
DHCP的安装与IIS安装基本相同,程序组里管理工具(公用)中会增加了一项DHCP管理器表明安装成功。初次使用DHCP时要创建一个DHCP域,即一个IP地址群,也即是一个地址范围。选择“作用域”/“创建”为用户指定一段IP地址:输入起始和结束的IP地址。你也可以在排除范围中指定部分地址保留备用,或通过租用期限等项目来进行更复杂的设置。接下来,我们就可以在Windows NT Server、Windows NT Workstation、Windows 95/98设置客户端的IP地址了,即在TCP/IP属性菜单中设置其允许DHCP。重新启动工作站后,直接输入IP地址就可以访问Web服务器了。如果觉得数字形式的地址使用起来不方便,我们可以安装DNS域名服务来进行******管理或使用在“Internet服务管理器"中设定的目录别名。
二、选择Internet接入方案
对我们普通用户来说,一般采用双绞线接入技术,通常还有光缆接入技术和无线接入技术两种。
对于双胶线接入技术,我们可以有以下几种选择:
DDN(数据专线)接入:目前应用***广,接入速率从64kb/s、128kb/s到E1(2Mb/s)和E3(34Mb/s)。
ISDN(综合业务数据网)接入:目前应用较广并日益成为******,其两条B通道合并使用可提供128Kb/s的接入速率,更多的(30)B通道合并使用速率可达2Mb/s。
单线(普通电话线路)接入:即我们这些网虫们所正使用的,用于普通用户上网浏览。利用现有电话线路,采用PPP方式上网,理论接入速度******33.6Kb/s到56Kb/s,当然,实际上可能永远达不到这个标准。
接下来是对ISP的选择。
电信部门可提供到CHINANET(中国公用计算机互联网)的接入服务,信息中心则可提供到CHINAGBN(金桥网)的接入服务。需要考虑的因素大致有:(1)本单位需要上网浏览/收发电子邮件的人数,(2)是否对外提供服务及服务时长,(3)是否提供WWW服务,WWW服务的对象是否有区别,(4)ISP可提供的接入方式和接入速率,(5)ISP自身接入Internet主干网的技术方式和速率,(6)ISP的服务质量和收费标准。
三、路由器的选择
1、专用路由器
通过DDN专线接入Internet时,一般需要配置一个专用路由器。
路由器可根据用户的实际需要来选择。如果需要在网上大量发布信息,可以选用登录服务器作为路由器。这类产品一般都有一个AUI Ethernet接口用来连接Intranet,一个Dual 5 in l同步串行口用来连接DTU到DDN专线,一般还具有8个RJ-45端口,允许工作站从此处直接连入Internet。
2. NT RIP软路由
以NT Server 4.0组网的Intranet在接入Internet时,NT Server 4.0中的路由信息协议(RIP)可以用来实现路由功能。RIP路由协议需要安装在一台运行NT Server 4.0的服务器上,在该服务器上安装两块网卡,一块用于连接Internet,另一块则连接到Intranet的HUB上。以这种方式接入Internet时,整个Intranet都将通过***************才能访问Internet。
某些用户甚至打算使用PPP点对点拨号方式将小型的Intranet甚至普通NT局域网接入Internet。此种利用NT RAS远程存取服务功能上网的方式有明显的缺点,主要是速度慢(尽管可多接到4个Modem)和连接不稳定,但费用要远少于前两者。Intranet网内用户可以在网上浏览,可以收发电子邮件,但由于ISP提供给PPP拨号用户的是动态分配的IP地址,因此这种方式下不能做WWW信息发布等工作。
四、***************
在将Intranet接入Internet的工作,代理服务器担任很重要的角色,它在提供给Intranet网络用户访问Internet能力的同时,还将控制Intranet与Internet之间的信息交换,提供一些防火墙功能,现在常见的可用于NT系统的代理服务器产品有Micro Proxy Server2.0,WinGate 2.1和Winproxy 1.0等。
1、MS Proxy Server 2.0
MS Proxy Server 2.0是一种需要与NT Server 4.0(Service Pack3)和IIS 3.0配合使用的一种代理服务器。它应安装在位于Intranet到Internet连接点上的NT服务器上。其安装过程比较简单,用户需要设置内容缓冲服务器的位置和大小,创建本地地址表和设定用户(组)的访问权限等。
安装完成后,用户可以利用NT Server内置的Internet ServiceManager来管理代理服务器,用户可以看到ISP的管理窗口中的服务数从原来的3个增加到6个,新增的是Web Proxy, WinSock和Sock服务。由于SOCK是供非Windows客户机使用的,Winsock是为Netshow、IRC、RealVideo和RealAudio等提供支持,用户可以选择关闭这两项服务,如同我们可以关闭Gopher服务一样。
在MS Proxy Server 2.0提供的诸多功能中,网络管理员***关心的是它的代理服务和如何控制对Internet的访问。管理员可以为Intranet内客户机分配一组在Internet是非法的地址,(如198.155.*.*,可能是美国或是其他地区的IP地址段),这样Intranet内的用户如不通过代理服务器是不可能从Internet上下载任何信息的,从而限制网内用户必须通过代理服务器访问Internet;这样做的另外一个好处就是Internet上的用户也无法访问Intranet内部的主机。MS Proxy Server 2.0还提供了内容缓存服务,用户从Internet下载的信息在指定缓存区内(一般置为100MB)缓存,这样如果Intranet内的其他用户访问同一内容(网页)时就可以从内容缓存区内提取。由于Intranet内用户的兴趣通常比较接近,会经常访问一些特定的站点,因而内容缓存技术可以避免重复下载,明显地减少下载量和提高访问速率。网络管理员还可以通过MS Proxy Server设定单个或一组用户对Internet访问权限,例如可以将名为Internet组的所有成员授予访问权,这样今后如需调整网内用户访问Internet的权限时,只需将该用户加入或退出Internet组即可。
MS Proxy Server 2.0防火墙功能可以管理Intranet内对外部的访问,可以许可或禁止某一(组)用户对某一些站点进行访问,但是还无法做到能够指定某一用户(组)可以访问所有的站点,而另一组用户只能访问与其工作有关的站点。为了保护intranet不受外界访问,用户可以在本地地址表(LAT)中罗列内部网络需要***************保护的IP地址。同时由于内部IP地址已事先分配为Internet上非法的地址,两种保护措施合为一体可以有效地隔绝可能来自外部的入侵。
2、WinGate和Winproxy
WinGate是另一种常见的代理服务器软件,有分别用于Win95和NT,用户数有5用户、10用户和无限制等多种版本,用户选购时要根据自己的具体情况选择。
WinGate 2.1b的功能稍强于MS Proxy Server 2.0,它不会强求NT4.0 Pack3和IIS 3.0,它甚至可以提供DHCP、DNS、FTP代理和POP3代理等,但笔者对其***感兴趣的是其用户权限管理和多种计费功能。WinGate的用户权限管理将访问Internet的用户分为3组:不受限组 -可以不受限制地访问Internet;预定用户-用户事先要在WinGate的Location中登记要访问的IP地址,用户对外只能访问其预定的若干个网站,否则即视为非法;需要认证用户-每次必须登录WinGate,认定其权限后才可访问Internet。这种对可访问Internet的用户进行分组管理的做法,使得网络管理员可以根据单位内部的具体情况对不同的用户(组)授予不同的权限,从而有效地利用网络资源。
计费功能对网络管理员来说也是较为重要的功能。Wingate提供了按时间和按流量等多种可组合的计费方式,有助于管理员掌握每个用户对Internet的访问情况,及时制止非业务性的过度访问。与WinGate不同,Winproxy是另一种较简易的***************,有安装方便设置简单等优点,但所提供的功能较少,防火墙也较简单。
五、IP地址的设置、DHCP协议和DNS服务
TCP/IP协议是Internet/Intranet网络的技术基础,出于对Intranet保护的需要,Intranet内部大多数主机的IP地址应明显有别于Internet范围接入点ISP网段和IP地址,如ISP网段的IP地址为202.95.112.*,则Intranet内部的IP地址范围可选为198.155.1.*或是其他网络管理员指定的地址范围。对于需要安装代理服务器、DNS服务器、邮件服务器和对外发布信息的Web主机则必须再拥有一个Internet空间的IP地址,这样的主机需要安装两块网卡,一块对应于Internet的IP地址,另一块对应于Intranet内部的IP地址。
对于较小型的Intranet网络,只需向ISP申请一个Internet的IP地址,然后将上述的诸多服务器安装在同一台NT服务器上,使该台服务器兼做多项服务。同时由于网络内部的信息交换量很大,可以设置一个专门对内的Web服务器,该主机只需也只能分配一个内部的IP地址,以防范来自外部Internet入侵。
图4还显示了各种服务器的安装情况,这种将多个服务器以及协议安装在一台主机上的方案,确实加重了主服务器的负担,用户因此应选用高性能的专用服务器(双CPU、内存128MB)。图中除***************和邮件服务器需另购软件安装之外,其他协议和服务均为NT Server 4.0Pack3的组件,用户从控制面板中安装RIP协议、DHCP协议和DNS域名服务。DHCP动态主机配置协议将负责完成Intranet网络中各客户机的IP地址的动态分配,但要预留一些供服务器等主机使用。DNS域名服务器负责实现主机名对IP地址的静态解析,当Intranet内部有多个Web服务器或其他应用服务器时,域名服务将有助于网络的管理和运行。如果Intranet内对外部的服务扩展后,也有多个Web服务器或应用服务器时对外提供服务时,并且已向有关部门申请了三级域名之后,DNS域名服务器将承担解析内部四级域名的工作。
六、邮件服务器
E-mail邮件服务是Internet中***早和***基本的服务,一般ISP会提供给专线上网的用户多个邮箱,但即使是这样,对一个较大的Intranet网络而言,也会出现邮箱不够分配的情况,此时就需要自己设置邮件服务器,才能解决内部的邮箱需求。
NT系统中最常用的邮件服务器是MS Exchange Server 5.0,是BackOffice套件的一部分,它支持POP3协议,也支持Usnet新闻组及具有新的可编程表格的能力。其他厂家的邮件服务器有Mercur(SMTP/POP3/IMAP3)Server 3.0和Post Office 3.5等。