金牌网管师（初级）中小型企业网络组建、配置与管理 - 万水书苑-出版资源网

全文

(1)第5章共享上网方案与配置. 随着互联网宽带接入技术的发展和应用的普及，为网络用户配置共享上网成为了网络管理人员最基本的技能要求。因为现在一条宽带可以达到好几兆，甚至十几兆。据最新消息，将来的 10 年内，用户终端的互联网接入速率将达到现在的 40 多倍，可以真正实现有线电视网、电话网、互联网三网统一。试想一下，这么高的带宽，如果一条线路仅供一个人用，是多么的浪费，而且国内的互联网总出口带宽也没有这么宽啊。所以，共享上网将会一直存在，也必将一直成为网络管理人员的最基本技能要求。说到共享上网，可选用的方案非常多。从硬件角度来看，目前基本上都是由各种路由器或者具有路由功能的三层交换机来实现。对于中小型企业来说，多数是采用网吧或者企业级宽带路由器，当然对于小型 SOHO 级别的企业，也可以选用 SOHO 级别的宽带路由器；而对于大中型企业用户，则要选用企业级的网络接入路由器。另外，在共享上网方案，特别是对于中小型企业用户来说，软件方案也是不容忽视的。主要有基于微软 Windows 系统的 ICS（因特网连接共享）、各种应用层的网关应用软件（也称代理服务器软件）、各种 NAT（网络地址转换）解决方案，以及像 RouterOS 这样的软路由解决方案。本章介绍了在中小型企业中最主要采用的 3 种共享上网解决方案的配置方法。它们是 ICS、宽带路由器和代理服务器共享上网方案。. 教学（自学）课时安排课时安排授课课时. 本章老师共需安排 3 个授课课时，建议以互动方式分别介绍 ICS、宽带路由器、代理服务器共享上网方案的配置方法。主要内容. 重点. 1. ①ICS 共享上网方案拓扑结构及特点 ②ICS 服务器向导设置 ③ICS 客户机向导设置. ①ICS 共享上网方案拓扑结构及特点 ②ICS 服务器向导设置. 2. ①路由共享上网方案拓扑结构及特点 ②有线宽带路由器共享上网配置 ③WLAN 无线路由器共享上网配置. ①路由共享上网方案拓扑结构及特点 ②有线宽带路由器共享上网配置 ③WLAN 无线路由器共享上网配置. 3. ①代理服务器共享上网方案及特点 ②CCProxy 服务器共享上网配置 ③CCProxy 客户端共享上网配置 ④CCProxy 客户端互联网应用配置. ①代理服务器共享上网方案及特点 ②CCProxy 服务器共享上网配置 ③CCProxy 客户端共享上网配置.

(2) 金牌网管师（初级）中小型企业网络组建、配置与管理. 5.1. ICS 共享上网方案与配置. 在中小型企业网络中，最简单的共享上网方案就是利用微软 Windows 2000 以后版本系统中推出的 ICS（Internet Connection Sharing，Internet 连接共享）方式。但在部署 ICS 共享上网之前需要注意以下几点：  如果网络中已有 DHCP 服务器，而且已采用该 DHCP 服务器自动分配 IP 地址，则要禁用该 DHCP 服务器。因为安装 ICS 后，也会提供 DHCP 服务，而且网络中的 ICS 客户机均必须采用 ICS 自带的 DHCP 服务获得 IP 地址，否则就会发生冲突。  如果网络中已经安装了其他共享上网应用型软件，如 Sygate、Wingate、CCProxy 等，则要卸载它们，因为这些应用程序安装后会控制计算机上安装的网卡，而在安装 ICS 后也要控制你的计算机网卡，不卸载那些应用软件，就会发生网卡控制冲突问题。  如果公司是采用 ADSL 之类需要安装接入终端设备的互联网接入方式，则采用 ICS 共享上网时，在 ICS 服务器端要安装两块网卡。本节介绍一下 ICS 共享上网的特点和最简单的配置方法。【经验之谈】虽然 Windows 2000 系统就具有 ICS 功能，但 ICS 的真正广泛应用还是自 Windows XP 系统开始的，也是从 Windows XP 系统开始提供下面将要介绍的 ICS 设置向导的。而且在 Windows 2000 系统中，不支持 ICS 网络安装设置方法，只能采用手动配置方法。即使在 Windows XP 系统中启用了网络安装磁盘，也不能在 Windows 2000 系统中使用，但却可以在像 Windows 98/me 这类 Windows 2000 以前系统，以及 Windows XP 及以后版本系统中使用，唯独不能在 Windows 2000 家族系统中使用。. 5.1.1. ICS 共享上网方案拓扑结构及特点. 在 ICS 共享上网方案中，要在担当 ICS 服务器的计算机上安装两块网卡：一块连接到交换机上，用于局域网连接；另一块则用于与互联网接入终端设备（如 ADSL Modem）连接。其他 ICS 客户机都与交换机连接。基本网络结构如图 5-1 所示。. 图 5-1 ICS 共享上网方案基本网络拓扑结构. 第5章. 共享上网方案与配置. 79.

(3) 金牌网管师（初级）中小型企业网络组建、配置与管理. 需要注意的是，ICS 共享方式没有网络管理能力，不能对用户上网进行任何控制，如果有上网控制需求则需要借助其他专门的网络工具软件，如网路岗、聚生网管等。而且 ICS 共享上网方式性能也不是很好，一般仅用于 20 台机器以内的网络选择使用，毕竟采用的是软件 NAT 技术。但它有一个最大的优点就是配置简单，配置成功后不会对任何应用进行限制，所有互联网应用（如网站访问、文件上传/下载、邮件收发、QQ/MSN 聊天等）直接应用即可，无须任何特别配置，而且在 Windows XP 以后版本系统中还可以通过向导方式自动完成。 ICS 共享上网的设置通常不单独手动配置，而是通过运行“设置家庭或小型办公网络”向导（通常把它称为“ICS 设置向导” ）来进行。通过这个向导不仅设置好了 ICS 共享上网，还设置了像网上邻居、文件和打印机共享、Windows 防火墙等之类的常见网络设置。总体而言，运行向导后会自动进行如表 5-1 所示的选项设置。表 5-1 启用 ICS 共享后自动配置的项目自动配置的项目. 项目操作说明. IP 地址 192.168.0.1. 在连接到家庭或小型办公室网络的 LAN 适配器上用子网掩码 255.255.255.0 进行配置. 自动拨号功能. 已启用. 静态默认 IP 路由. 建立拨号连接时创建. Internet 连接共享服务. 已启动. DHCP 分配程序. 对于默认范围 192.168.0.1 和子网掩码 255.255.255.0 启用。将 192.168.0.2～ 192.168.0.254 范围中的唯一地址分配给专用网络客户端. DNS 代理. 已启用. 5.1.2. ICS 服务器向导设置. “设置家庭或小型办公网络”向导设置法需要分别在网络中的每台计算机上运行。直接连接互联网，担当为网络其他计算机提供互联网接入的计算机可以把它称为 ICS 服务器，其他共享 ICS 服务器互联网接入的计算机可以把它们称为 ICS 客户机。当然，在 ICS 服务器与 ICS 客户机上的配置选择不一样，本节先介绍 ICS 服务器端的设置，具体步骤如下：（1）在 Windows XP 系统中单击“开始”→“连接到”→“显示所有连接”命令，打开如图 5-2 所示的“网络连接”窗口。（2）在左侧的导航栏中单击“设置家庭或小型办公网络”链接项，打开如图 5-3 所示的向导对话框。在这里显示了本向导所要进行的配置项目，包括共享 Internet 连接（ICS）、设置 Windows 防火墙、共享文件和文件夹、共享打印机。从中可以看出，通过这个向导可以对家族或小型办公网络的所有基本项目一次性进行设置。（3）单击“下一步”按钮，打开如图 5-4 所示的对话框，提醒用户在进行后面的步骤前所要完成的项目，以便向导能搜索到完整的家庭或办公网络环境和配置。这些前期工作包括：网卡、调制解调器的安装与电缆连接；打开网络中所有的计算机、打印机和外部调制解调器；连接到 Internet。（4）确认图 5-3 所列的前期准备工作全部完成后单击“下一步”按钮，打开如图 5-5 所示的对话框。在这里就有几种不同的选择了。选择“这台计算机直接连接到 Internet。我的网络上的其他计算机通过这台计算机连接到 Internet”单选项。. 80. 第5章. 共享上网方案与配置.

(4) 金牌网管师（初级）中小型企业网络组建、配置与管理. 图 5-2. “网络连接”窗口. 图 5-3. “欢迎使用网络安装向导”对话框. 图 5-4. “继续之前”对话框. 图 5-5. “选择连接方法”对话框. （5）单击“下一步”按钮，打开如图 5-6 所示的对话框。在这里列出了当前计算机上的所有网络连接项（因为担当 ICS 服务器的计算机是直接连接互联网的），在其中选择用于互联网连接的网络连接项。（6）单击“下一步”按钮，打开如图 5-7 所示的对话框。在这里要为该计算机重新配置该计算机在网络中显示的名称和描述（可选）。. 图 5-6. “选择 Internet 连接”对话框. 图 5-7. “给这台计算机提供描述和名称”对话框. （7）单击“下一步”按钮，打开如图 5-8 所示的对话框。在“工作组名”文本框中输入该计算机所加入的工作组名。（8）单击“下一步”按钮，打开如图 5-9 所示的对话框。在这里要选择是否启用“文件和打印机”共享服务。一般的企业都要求共享文件和打印机，所以选择“启用文件和打印机共享”单选项，单击“下一步”按钮，此时会弹出一个如图 5-10 所示的安全提示框，. 第5章. 共享上网方案与配置. 81.

(5) 金牌网管师（初级）中小型企业网络组建、配置与管理. 提示在互联网上共享文件会有一定风险（要借助其他安全措施，如安装防病毒软件和防火墙、及时做数据备份等）。. 图 5-8. 图 5-10. “命名您的网络”对话框. 图 5-9. “文件和打印机共享”对话框. 安全提示框. （9）确定要共享后，单击“是”按钮打开如图 5-11 所示的对话框。在这里显示的是上面步骤的设置摘要。在此可以再次检查所做的设置，如需更改，可通过单击“上一步” 按钮返回到相应配置对话框重新配置。（10）单击“下一步”按钮，系统便自动按以上设置重新进行配置网络。配置进程如图 5-12 所示。. 图 5-11 “准备应用网络设置”对话框. 图 5-12. 应用网络设备进程对话框. （11）配置完成后单击“下一步”按钮，打开如图 5-13 所示的对话框。因为对于 Windows XP 或以后版本的 Windows 系统，可以直接运行本节介绍的 ICS 设置向导来完成 ICS 配置，但是对于 Windows XP 以前的系统，则不能直接运行 ICS 向导，需要借用其他方式生成安装配置文件。有两种方案：一是使用网络安装磁盘，二是使用 Windows XP 安装程序光盘。当然，Windows XP 及以后版本的系统也可以采取这两种安装方式。如果要使用网络安装磁盘，则首先要创建网络安装磁盘，此时选择“创建网络安装磁盘”单选项，单击“下一步”按钮，打开如图 5-14 所示的对话框，提示要插入软盘。插入后单击“下一步”按钮开始创建安装磁盘。创建好后显示如图 5-15 所示的对话框。 82. 第5章. 共享上网方案与配置.

(6) 金牌网管师（初级）中小型企业网络组建、配置与管理. 在其中提示用户如何在其他机器上使用所创建的网络安装磁盘。再单击“下一步”按钮，打开如图 5-16 所示的向导完成对话框，完成 ICS 设置向导。单击“完成”按钮后系统弹出如图 5-17 所示的对话框，提示要重启系统才能使以上设置生效，按要求重启计算机即可。采用网络安装磁盘方法需要在计算机上配备软驱，但目前的计算机一般不配备软驱，所以这种方式比较少采用。. 图 5-13. “快完成了”对话框. 图 5-14. “插入要使用的磁盘”对话框. 图 5-15. “要用网络安装磁盘来运行向导”对话框. 图 5-16. “正在完成网络安装向导”对话框. 如果已经有了 ICS 网络安装磁盘，可以在图 5-13 所示的对话框中选择“用已有的网络安装磁盘”单选项。这时单击“下一步”按钮，也会打开如图 5-15 所示的对话框，提示使用网络安装磁盘的方法。单击“下一步”按钮后同样打开如图 5-16 所示的向导完成对话框。单击“完成”按钮，提示重启计算机，如图 5-17 所示。【说明】如果采用的是网络安装磁盘向导运行方式，则可以直接双击网络安装磁盘（或者已复制到硬盘中的）netsetup.exe 程序，打开的向导和本节介绍的完全一样，只是具体设置选项要根据具体需求来进行选择和设置。如果计算机没有配备软驱，而有 Windows XP 源程序光盘（Windows Server 2003 源程序光盘也可以），当然还需要安装光驱（这通常都有配置的），则可以在如图 5-13 所示的对话框中选择“使用 Windows XP CD”单选项。单击“下一步”按钮后，打开如图 5-18 所示的对话框，提示使用源程序 CD 运行 ICS 设置向导的方法。再单击“下一步”按钮后，打开如图 5-16 所示的向导完成对话框。单击“完成”按钮，同样会提示重启计算机。【说明】如果采用 Windows XP 或 Windows Server 2003 系统安装光盘来运行 ICS 设置向导，则需要先运行安装光盘，在打开的如图 5-19 所示的界面中单击“执行其他任务”按钮，然后再在打开的如图 5-20 所示的页面中单击“设置一个家庭或小型办公室网络”按第5章. 共享上网方案与配置. 83.

(7) 金牌网管师（初级）中小型企业网络组建、配置与管理. 钮，随后也会打开和本节完全一样的运行向导。. 图 5-17. 重启计算机提示框. 图 5-19. “执行其他任务”选项界面. 图 5-18. “要用 Windows XP CD 来运行向导”对话框. 图 5-20. “设置一个设置家庭或小型办公网络” 选项界面. 如果网络中都是 Windows XP 或以上版本的 Windows 系统，而且你也没有了解其他运行方式，则可以直接在图 5-13 所示的对话框中选择“完成该向导，我不需要在其他计算机上运行该向导”单选项，单击“下一步”按钮后打开如图 5-16 所示的向导完成对话框。单击“完成”按钮，同样会提示重启计算机。重启 ICS 服务器端的 Windows XP 系统后，再打开“网络连接”窗口即可发现原来的互联网连接下面已有一个向上托的手形标志，表示已共享。同样还会发现该主机的 IP 地址被强制更改为 192.168.0.1，而且不能更改。如果你的网关（如宽带路由器）也是这个地址，则要更改了。【经验之谈】其实上面介绍的网络安装磁盘或者 Windows XP 安装光盘中的向导都是 Windows XP 系统中的 ICS 设置向导功能，只是把这部分功能程序单独提出来，用于在其他没有提供运行向导功能的系统中运行设置向导。网络安装磁盘中创建了向导运行文件 netsetup.exe，而在 Windows XP CD 中运行向导时，会弹出如图 5-21 所示的提示框，对于 Windows XP 以前的系统（不包括 Windows 2000 家族系统），均会先安装一些网络文件在本地计算机上，然后再运行向导，其实这里先安装的网络文件也是 netsetup.exe。以这两种方式运行的向导与本节介绍的 Windows XP 系统自带的向导完全一样。但要注意的是，Windows 2000 家族系统既不支持网络磁盘安装方式，也不支持 Windows XP CD 安装方式，只能采取手动配置方式。运行网络安装磁盘中的 netsetup.exe 或者 Windows XP CD 中的“设置一个家庭或小型办公网络”向导时都会弹出如图 5-22 所示的警告提示框，无法向下进行。 84. 第5章. 共享上网方案与配置.

(8) 金牌网管师（初级）中小型企业网络组建、配置与管理. 图 5-21. 在安装光盘中运行 ICS 设置向导前的提示框. 图 5-22. 在 Windows 2000 系统中运行网络安装磁盘或者安装 CD 中的向导时的警告提示框. 5.1.3. ICS 客户机向导设置. 上节介绍了 ICS 服务器端的向导设置方法，本节要介绍 ICS 客户端的向导设置方法。担当 ICS 服务器或 ICS 客户机角色的可以是任何当前主流应用的 Windows 版本，但如果是 Windows 2000 以前的系统，必须要具有 ICS 向导网络安装磁盘，或者 Windows XP 或以后版本的安装光盘才能运行 ICS 设置向导；如果是 Windows 2000 系统，则只能手动配置 ICS 服务器和 ICS 客户机，因为 Windows 2000 系统不支持 ICS 的网络安装方式，这一点在上节已有说明。对于 Windows XP 及以后的版本，可以直接运行 ICS 设置向导，而且担当 ICS 服务器的一般都是 Windows XP 或 Windows Server 2003 系统，性能更有保障。无论采用哪种方式，也无论是在哪个 Windows 操作系统中运行，运行的向导是完全一样的，所以在此仍以 Windows XP 系统为例，直接运行上节介绍的“设置家庭或小型办公室网络”向导。 ICS 客户机的向导设置方法与 ICS 服务器的向导设置方法大体上是一样的。开始部分与上节的第 1～3 步完全一样，在第 4 步图 5-5 所示的对话框中要选择“此计算机通过居民区的网关或网络上的其他计算机连接到 Internet”单选项，如图 5-23 所示。随后的步骤与上节的第 6～11 步完全一样，没有上节的第 5 步，因为客户端无须直接配置互联网接入连接，是共享 ICS 服务器端的互联网接入连接的。. 图 5-23 ICS 客户机的互联网连接方法配置对话框. 向导运行完成后，也会提示重启计算机。按要求重启后会发现计算机 IP 地址全都采用 DHCP 自动分配方式。所采用的 IP 地址段均为 192.168.0.x。此时的 DHCP 服务器就是 ICS 服务器。不能采用静态分配方式，否则可能会出现不能共享上网的故障。第5章. 共享上网方案与配置. 85.

(9) 金牌网管师（初级）中小型企业网络组建、配置与管理. 通过以上简单的设置，ICS 客户机就可以利用 ICS 服务器上的互联网接入线路共享上互联网了。而且所有互联网应用（如 QQ、MSN、邮件收发等）都无须另外配置，直接可用。这是 ICS 共享上网的主要优势。当然它无须另外购买共享上网设备或软件是它的最大优势。但 ICS 共享上网方式性能较差，仅适用于小型网络。【说明】考虑到篇幅因素，ICS 共享上网方案中的手动配置方法在此就不多作介绍了。自 Windows 2000 以后版本的 Windows 系统中可以通过手动方法来配置 ICS 共享上网。ICS 服务器端需要对用于共享上网的互联网接入连接进行共享属性配置，如图 5-24 所示。大家可以自己尝试用手动配置方法配置 ICS 服务器和客户端。. 图 5-24. 5.2. 互联网接入连接共享属性设置对话框. 路由共享上网方案与配置. 路由共享上网方式是应用最广的共享上网方式，特别是在中小型企业网络中。这主要得益于目前宽带路由器非常便宜，而且这种共享上网方式配置简单（通常也是向导配置方式），性能较好，每个用户都可以独立上网，不受网络中其他用户计算机是否开启的限制。但也有 ICS 共享上网方案相同的不足，即控制上网能力不足，对于需要灵活控制网络用户上网的环境中不适用。【经验之谈】如果选择的是电信 e 家 ADSL 宽带方案，则不能采用路由共享方式上网。因为电信公司对这种 ADSL 拨号方式作了严格的限制，只能采用电信公司的“星空极速”拨号软件进行拨号，其他拨号方式，包括 Windows XP/Windows Server 2003 系统的拨号工具都不能使用，所以有人把“星空极速”软件称为“恶意软件”。这类用户要实现与其他用户共享，可以采用 ICS 和后面将要介绍的代理服务器共享方式，但仍只能采用“星空极速”拨号软件拨号。当然，如果你对数据包分析比较熟悉，则会发现之所以不能用其他拨号方式使用电信 e 家 ADSL 宽带上网，那是因为在电信 ADSL 局端对用户的密码进行了加密，在进行身份验证时不是直接采用用户输入的密码，而是用加密的密码。这时你可能会立即想到，如果你获得了自己账户在电信局端加密后的密码，用这个密码进行拨号，就可以对电信 e 家 ADSL 宽带这种限制进行成功破解了。其实方法很简单，只需要用像 Sniffer 之类的抓包工具，在进行 PPPoE 拨号时专门捕获 PPPoE 协议包，Sniffer 就会把加密前后的密码都呈现在你的面前，这样就可以获得这个加密后的密码了。具体在笔者编写的. 86. 第5章. 共享上网方案与配置.

(10) 金牌网管师（初级）中小型企业网络组建、配置与管理. 《网管员必读——网络测试、监控和实验》一书中有详细介绍。. 5.2.1. 路由共享上网方案及特点. 目前采用的路由共享上网方式中又有两种不同的部署方式：一种是直接采用支持路由功能的 ADSL Modem，另一种是采用独立的宽带路由器。当然采用独立的宽带路由器更适合企业网络使用，性能会更高。但如果所在的公司只是少数几人的工作室类的公司，还是可以直接通过支持路由的 ADSL 进行路由方式共享上网的。这种路由方案的基本拓扑结构如图 5-25 所示。支持路由的 ADSL Modem 和所有要共享上网的用户都直接连接在一台交换机上。. 图 5-25. 采用支持路由 ADSL Modem 共享上网方案的网络结构. 如果采用的是宽带路由器方案，而且如果用户数少于 4 个，则无须另外购买集线器或者交换机了，因为宽带路由器已经提供了 4 个 LAN（局域网）端口，但对于大多数企业用户来说，这显然是极少见的。需要另外配备交换机集中连接各共享用户，然后交换机与宽带路由器连接，宽带路由器连接互联网线路。基本拓扑结构如图 5-26 所示。. 图 5-26. 采用宽带路由器共享上网方案的网络结构第5章. 共享上网方案与配置. 87.

(11) 金牌网管师（初级）中小型企业网络组建、配置与管理. 无论是图 5-25 所示的支持路由功能的 ADSL Modem 方案，还是图 5-26 所示的宽带路由器方案，都可以实现每台计算机独立上网的需求，因为此时拨号的是 ADSL Modem 或宽带路由器，而无须占用一台计算机。但路由共享上网方案不能灵活地配置访问控制，如不能对用户上网的网站、浏览的内容，还有上网时段进行控制，最多提供了基于 MAC 地址过滤方法。但要知道 MAC 地址是可以通过工具软件进行克隆的，所以实质上基于 MAC 地址过滤限制方案并没有太多实际意义。此时可以借助其他网络工具软件，如网路岗、聚生网管、网警等达到灵活控制的目的。. 5.2.2. 有线宽带路由器共享上网配置. 随着 WLAN 网络技术的发展和应用的普及，现在除了传统的有线宽带路由器外，还有基于 WLAN 技术，为 WLAN 用户提供互联网宽带接入的 WLAN 无线宽带路由器。因为宽带路由器共享上网方式不像 ICS 那样有服务器与客户端之分，这里所有用户都可以算是客户端。而且事实证明，客户端可以不做任何默认配置（IP 地址和 DNS 服务器地址可均为“自动”方式）更改就可以通过宽带路由器上网了。下面以 D-link 公司的一款有线宽带路由器 DI-604+的共享上网配置为例介绍有线宽带路由器的共享上网配置方法。其他品牌或其他型号的配置方法基本一样。一般的宽带路由器都提供向导配置方式，通过向导即可完成基本的共享上网配置。具体的配置方法如下：（1）用一条直通网线插入 DI-604+宽带路由器的一个 LAN 端口，另一端连接到一台主机的适配器上。把主机上连接路由器的网卡 IP 地址设在与 192.168.0.1 同一网段，因为宽带路由器 DI-604+的出厂默认 IP 地址为 192.168.0.1（当然可以自己更改网段），否则无法与路由器连接，不能在浏览器中打开路由器的配置界面。（2）在浏览器的地址栏中输入路由器的局域网 IP 地址 192.168.0.1，回车后弹出如图 5-27 所示的身份验证对话框。在“用户名”文本框中输入 admin（默认没有密码），单击 “确定”按钮，进入如图 5-28 所示的主配置界面。. 图 5-27. 身份验证对话框. 图 5-28 DI-604+的主配置界面. 在这款路由器中提供了两种设置方法：一种是通过“设置向导”进行；另一种是通过其中的各菜单项进行。前者当然非常简单，思路非常清晰，但这个向导只提供基本的共享配置，对于高级的访问控制类设置则不包括。后者功能虽然全面，但对于不是很专业的用户来说可能就不知道该如何设置了。在此，先以“设置向导”来完成基本的共享配置，然. 88. 第5章. 共享上网方案与配置.

(12) 金牌网管师（初级）中小型企业网络组建、配置与管理. 后再手动进行其他高级选项设置。（3）单击“设置向导”按钮，打开如图 5-29 所示的设置向导界面。本界面仅提示用户下面向导所要进行的步骤，无须作任何设置。（4）单击“下一步”按钮，打开如图 5-30 所示的配置界面。在这个界面中可以重新设置一下管理密码，目的是防止其他人非法进入配置界面中来搞乱其中的配置，因为出厂的密码大家容易知道。. 图 5-29. “欢迎进入 DI-604+的设置向导”配置界面. 图 5-30. “设定密码”配置界面. （5）单击“下一步”按钮，打开如图 5-31 所示的界面。这是个时区设置，按默认即可，因为它默认的就是我国所在的时区。（6）单击“下一步”按钮，程序会自动检测当前所使用的 WAN 连接方式，最后显示如图 5-32 所示的配置界面，默认选择就是所检测到的 WAN 连接方式。在其中可以配置的互联网接入方式包括：动态 IP 地址的 Cable Modem 接入、固定 IP 的小区光纤以太网、 ADSL 专线接入、PPPoE ADSL 虚拟拨号接入等几种方式。. 图 5-31. “选择时区”配置界面. 图 5-32. “选择 WAN 型态”配置界面. （7）在此以最常见的 PPPoE ADSL 拨号为例进行介绍。选择 PPPoE 单选项，单击 “下一步”按钮，打开如图 5-33 所示的配置界面。在这里可以配置自己的 ADSL 虚拟拨号账户。（8）单击“下一步”按钮，打开如图 5-34 所示的向导完成配置界面。单击“重新激活”按钮，即对以上设置进行保存并使之生效。这样就完成了宽带路由器的基本设置。以上就是基本的路由器共享设置，在一般的简单共享上网的 NT 域网络中，以上配置就足够了，只需再对客户端进行简单的设置即可实现客户端的共享上网。还可以根据需要配置其他设置选项，如 DHCP 服务的 IP 地址池（用于为共享上网用户自动分配 IP）、DNS. 第5章. 共享上网方案与配置. 89.

(13) 金牌网管师（初级）中小型企业网络组建、配置与管理. 中继代理（用于解析内网计算机的 DNS 名称信息）等。. 图 5-33. “设定 PPPoE”配置界面. 图 5-34. “设定完成”配置界面. （9）在图 5-28 所示的配置主界面中单击 DHCP 按钮，打开如图 5-35 所示的配置界面。在“DHCP 服务器”项下的“DHCP 服务器”区域中选择“激活”单选项，然后在 “可用 IP 范围起始地址”文本框中输入第一个可用的 IP 地址值（要排除路由器自身所用的局域网 IP 地址）；在“可用 IP 范围结束地址”文本框中输入地址范围中的最后一个 IP 地址，最高不能超过 254。然后在界面底部单击“执行”按钮使所做的设置生效。. 图 5-35 DHCP 服务配置界面. （10）在图 5-28 所示的配置主界面中单击 LAN 按钮，打开如图 5-36 所示的界面。要使用宽带路由器提供的内网 DNS 名称解析服务，则确认已选择“激活”单选项（系统默认选择该项），然后单击“执行”按钮使所做的设置生效。. 图 5-36 DNS 服务配置界面 90. 第5章. 共享上网方案与配置.

(14) 金牌网管师（初级）中小型企业网络组建、配置与管理. 最后确保各共享上网用户计算机均采取自动 IP 地址、DNS 服务器地址配置方式（如图 5-37 所示），并且在浏览器的 Internet 选项设置中没有选择任何拨号连接项（如图 5-38 所示）；在浏览器的局域网设置中选择“自动检测设置” （事实上也可以不选择该项），不选择代理服务器设置选项，如图 5-39 所示。. 图 5-37. 共享用户的 TCP/IP 协议设置. 图 5-38. 共享用户浏览器“Internet 选项” 对话框的“连接”选项卡设置. 图 5-39. 共享用户的“局域网（LAN）设置”对话框. 5.2.3 WLAN 无线路由器共享上网配置除了有线以太网外，目前 WLAN 无线网络连接技术也得到了长足发展，而且其优势越来越明显，因为在即将发布的 IEEE 802.11n 标准中，其接入速率是目前最快的 IEEE 802.11g 标准的 5 倍甚至更高。这样一来，在接入速率上，WLAN 不再存在任何问题。 WLAN 无线网络与有线网络相比，区别就在于网络的连接配置上，像共享上网方式，仍可以有 ICS、路由共享和代理服务器等不同共享上网方案。在此仅介绍应用最普遍的仅通过 WLAN 无线路由器实现 WLAN 用户无线连接和共享上网的方案。当然，这仅适用于 WLAN 用户数比较少的用户选用，因为 WLAN 无线路由器的 WLAN 连接功能比较弱，如. 第5章. 共享上网方案与配置. 91.

(15) 金牌网管师（初级）中小型企业网络组建、配置与管理. 果 WLAN 用户较多，则要另外购买 WLAN AP 来集中连接各 WLAN 用户。有关 WLAN 网络用户连接的配置方法参见本书的第 4 章。如果仅通过 WLAN 路由器实现 WLAN 用户接入和共享上网，则基本网络拓扑结构如图 5-40 所示。但要注意，这种通过 WLAN 路由器实现 WLAN 用户连接的方法仅适用于较少用户的情形（一般在 10 个以内）。. 图 5-40. 通过 WLAN 宽带路由器共享上网方案的网络拓扑结构. 下面以 TP-Link 公司的一款 WLAN 路由器 TL-WR541G 为例介绍 WLAN 路由器的共享上网配置方法。TL-WR541G 无线宽带路由器支持 IEEE802.11g 无线局域网接入标准，可为无线用户提供 54Mb/s 的最高接入速率。对于 20 个左右用户的网络，它是有足够支持性能的。另外，因为 TL-WR541G 无线路由器无须安装任何驱动程序，可以直接通过浏览器进行 Web 配置，非常方便。TL-WR541 默认的 IP 地址为 192.168.1.1，管理登录账户名和密码均为 admin（注意在输入口令时一定要小写）。具体的配置步骤如下：（1）将一根直通双绞线的一头插入到无线路由器的一个 LAN 交换端口上（无线路由器一般都提供 4 个用于有线局域网设备连接的 LAN 端口，一个用于互联网线路接入的 WAN 端口，但都是 RJ-45 式的以太网端口。注意看清，不要误插到 WAN 端口上），另一头插入到一台计算机的有线网卡 RJ-45 接口上。（2）连接并插上无线路由器、计算机电源，开启计算机进入系统（最好是 Windows 2000/XP 系统）。在浏览器的地址栏中输入厂家默认配置的无线路由器 IP 地址： 192.168.1.1。按 Enter 键后，首先打开的是如图 5-41 所示的身份验证对话框，在“用户名”和“密码”文本框中都输入管理无线路由器的初始用户账户信息 admin。（3）单击“确定”按钮进入如图 5-42 所示的配置界面。因为这款无线路由器提供了向导式基本配置方法，所以在打开配置界面的同时也启动了配置向导。建议初次配置采用向导方式进行，它可以配置最基本的选项，以简便的方式使无线路由器能正常工作。（4）单击“下一步”按钮，打开如图 5-43 所示的对话框。这是用来配置共享上网的互联网接入方式的，根据自己所采用的互联网接入方式选择即可。TP-Link 公司的这款无线路由器支持 3 种上网方式，即虚拟拨号 ADSL、动态 IP 以太网接入和固定 IP 以太网接入，不支持专线的 ADSL 和有线电视网（Cable Modem）接入。本方案中仍以在中小型企业中应用最广泛的 PPPoE ADSL 拨号方式为例进行介绍，选择 “ ADSL 虚拟拨号（PPPoE）”单选项。 92. 第5章. 共享上网方案与配置.

(16) 金牌网管师（初级）中小型企业网络组建、配置与管理. 图 5-41. 进入无线路由器配置界面的身份验证对话框. 图 5-42 TL-WR541G 无线路由器配置界面. （5）单击“下一步”按钮，打开如图 5-44 所示的对话框。在这个对话框中要求为上一步所指定的虚拟拨号 ADSL 上网方式配置公司所用的 ADSL 账户。. 图 5-43. 配置上网方式对话框. 图 5-44. 配置 ADSL 账户对话框. （6）单击“下一步”按钮，打开如图 5-45 所示的对话框，在此进行路由器无线接入点 AP 功能的设置。. 图 5-45. “无线设置”对话框. 首先要在“无线功能”下拉列表框中选择“开启”选项，开启它的无线收发功能。然后在“SSID 号”文本框中输入一个 SSID 号，其实就相当于有线网络的工作组名，随便取一个。不过在此配置好后，该网络中的所有客户端到时也要配置相同的 SSID 号才可进行连接。在“频段”下拉列表框中配置子信道，在此类似小型家庭、宿舍网络中因为只有一个无线路由器，相当于只有一个无线接入点，按默认配置即可。在“模式”下拉列表框中选择 54Mbps（802.11g）选项。第5章. 共享上网方案与配置. 93.

(17) 金牌网管师（初级）中小型企业网络组建、配置与管理. 【经验之谈】在工作于 2.4GHz 频段的 IEEE 802.11b 和 IEEE 802.11g 两个标准中均提供了 13 个可供选择的信道。默认为第 6 信道。在单一无线 AP 的网络中，在这样一个单无线 AP 的网络中可以随便选择，而如果在无线网络中还有其他无线 AP，则一定要注意，各 AP 所选择的信道所覆盖的频段不能重叠。根据经验可知，一般在一个半径为 50 米以内的区域中，只允许有 3 个无线 AP，所选的 3 个子信道只能是 1、6、11，或者 2、7、12，或者 3、8、13 这样的本种组合，主要是为了避免各 AP 所发出的信号相互干扰和冲突。（7）单击“下一步”按钮，打开如图 5-46 所示的向导完成对话框，单击“完成”按钮即可完成无线路由器的基本配置。. 图 5-46. 向导完成对话框. 此时可以不做其他复杂配置，无线路由器即能正常工作。不过为了组建安全性能更高的无线网络，最好进行下面将要介绍的一些高级配置，如 IP 地址分配方式、无线网络安全认证方式、网络安全配置和管理员口令配置等。（8）先来进一步设置路由器的无线 AP 功能。在主配置界面的左侧导航栏中有一个 “无线设置”选项，其中就包括了这款无线路由器的所有无线 AP 功能配置。下面仅介绍几个必需的配置选项的配置方法。单击它展开其中的各选项，选择“基本设置”选项，界面如图 5-47 所示。. 图 5-47. “无线设置”项下的“基本设置”选项配置界面. 最上面的第一个小窗格中的配置选项已在图 5-45 所示的对话框中配置好了，可以不用管。第二个小窗格的两个复选项必须全选，“开启无线功能”复选项其实也在图 5-45 所示 94. 第5章. 共享上网方案与配置.

(18) 金牌网管师（初级）中小型企业网络组建、配置与管理. 的对话框中配置好了；选择“允许 SSID 广播”复选项，是为了确保无线网络中的所有客户都可以搜索到无线网络。最下面的一个小窗格中列出的全部是有关无线网络安全方面的配置选项，需要特别注意。在“安全认证类型”下拉列表框中有 3 个选项：自动选择、开放系统和共享密钥。“开放系统”是指用户端无须输入密钥，直接与无线网络连接的方式，这种方式存在较大的安全隐患，在企业网络中通常不采用。“共享密钥”方式则需要用户端在进行无线连接时输入接入点预设的密钥，只有正确输入密钥的用户才能与无线接入点连接，确保了用户的合法性。如果选择“自动选择”方式则是由路由器自动为无线客户端分配密钥，出于安全考虑也不宜选择，特别是在企业网络中。为了安全起见在此选择“共享密钥”选项，然后在“密钥格式选择”下拉列表框中选择一种密钥格式，有“ASCII 码”和“十六进制”两种选择。“ASCII 码”格式就是密钥采用通常所用的字符串，而“十六进制”则是由 0～9 之间的数字和 a～f 之间的字符组成的，不能采用其他字符。另外，密钥的位数是由“密钥类型”的选择确定的，各种无线设备所支持的 WEP 密钥类型可能不一样，有的可以支持 40、52、64、128 位，有的则可以支持 256 位，密钥位数越多，确解的难度越大，但同时会增加系统资源的消耗。如果选择 64 位密钥类型，而且选择了“ASCII 码”格式，则只需输入 5 个 ASCII 码字符；如果选择 128 位，则要输入 10 个 ASCII 码字符。如果选择的是“十六进制”格式，则 64 位密钥类型则需要输入 13 个十六进制字符，而如果是 128 位则需要输入 26 个十六进制字符。在此以 64 位“ASCII 码”格式密钥为例进行介绍。在“密钥 1”栏的“密钥类型”下拉列表框中选择“64 位”，在前面的文本框中输入 5 个 ASCII 码字符（以明码显示，要注意保密）。配置好后单击“保存”按钮保存设置，路由器会重新启动使设置生效。（9）再来设置路由器的 DHCP 服务功能，为 WLAN 用户提供 IP 地址自动分配服务。在左侧的导航栏中单击“DHCP 服务器”下面的“DHCP 服务”节点，如图 5-48 所示。选择“启用”单选项，并配置 IP 地址池（默认为 192.168.1.100～192.168.1.199，可根据实际需要改变设置），当然一定要确保与宽带路由器的局域网 IP 地址在同一网段。还可重新配置网关、DNS 服务器等选项。如果要更改可重新配置，然后单击“保存”按钮保存设置。. 图 5-48. “DHCP 服务器”项下的“DHCP 服务”选项配置界面. 如果要在启动 DHCP 服务的同时为某些计算机或网络设备（如各种服务器、交换机、路由器、防火墙等）指定固定 IP 地址，则可在如图 5-49 所示的配置界面中排除这些固定. 第5章. 共享上网方案与配置. 95.

(19) 金牌网管师（初级）中小型企业网络组建、配置与管理. 的 IP 地址。不过，先要知道对应计算机网卡的 MAC 地址，然后在对应 MAC 地址后面配置 IP 地址，实际上就是 IP 地址与 MAC 地址的绑定。当然这里的 IP 地址要与前面设置的 DHCP IP 地址池在同一网段，否则不能直接互联。. 图 5-49. “DHCP 服务器”项下的“静态地址分配”选项配置界面. （10）根据需要，还可以设置 WLAN 路由器的其他安全选项。在配置主界面的左侧导航栏中单击“安全设置”节点，在展开选项中选择“防火墙设置”，配置界面如图 5-50 所示。. 图 5-50. “安全设置”项下的“防火墙设置”选项配置界面. 为了进一步保证用户的上网安全，在此也可以开启路由器自带的防火墙功能，加上在无线客户端所用的 Windows XP 防火墙，就有两道安全防火墙防线，双重保护，更加安全。启用路由器防火墙功能的方法是选择界面中的“开启防火墙”复选项。除了防火墙安全配置选项外，在这款无线路由器中还可以配置 IP 地址过滤，设置允许或者禁止通过路由器的 IP 地址主机。此时要选择如图 5-50 所示界面中的“开启 IP 地址过滤”复选项，在下面的两个单选项中根据实际需要选择一个，然后会有一个 IP 地址过滤列表显示，在其中添加即可。本方案中无需这些配置。如果要进行配置基于 MAC 的过滤，则在图 5-50 所示的配置界面中选择“开启 MAC 地址过滤”复选项，在下面的两个单选项. 96. 第5章. 共享上网方案与配置.

(20) 金牌网管师（初级）中小型企业网络组建、配置与管理. 中根据实际需要选择一个，然后会有一个 MAC 地址过滤列表显示，在其中添加即可。本方案中也无需这些配置。（11）全部配置好后单击“保存”按钮。至于 WLAN 用户的 WLAN 网络连接配置参见本书第 4 章。这样，各 WLAN 用户就可以通过 WLAN 无线路由器共享上网了。【说明】本节介绍的宽带路由基本上都是 SOHO 级的，对于有几十甚至几百用户的中型企业用户来说，一般采用网吧级宽带路由器。这方面的配置方法请参见本系列丛书中的《金牌网管师——网吧网管》一书第 6 章的相关内容，在此不再赘述。. 5.3. 代理服务器共享上网方案与配置. 代理服务器共享上网方案在共享性能上是 3 种方案中中等的，但配置功能是强大的。这是它最大的优点，它可以灵活地对共享用户的上网权限、上网内容、上网时段进行控制。这在一些需要控制小孩上网，或者控制员工上网做非工作互联网访问的企业来说，是最好的选择。既保证了必要的互联网应用，又确保了被控制对象不会做其他不允许的互联网应用。在网络拓扑结构上来讲，它与 ICS 共享上网方案差不多，因为都是通过软件来模拟硬件网关。采用代理服务器共享上网方案，需要在安装代理服务器软件的计算机上安装两块网卡，一块用于局域网连接，一块用于连接互联网接入线路。基本的网络拓扑结构如图 5-51 所示。. 图 5-51. 代理服务器共享上网方案的网络结构. 在此，仅以 CCProxy 6.6 版本代理服务器软件为例进行介绍，它可以配置用户的上网权限、访问权限和上网时间、网络应用等。代理服务器共享上网方式也要分别对服务器端和客户端进行配置。. 5.3.1. CCProxy 代理服务器配置. CCProxy 作为代理服务器的配置主要包括网络服务配置和用户账户配置两个方面。. 第5章. 共享上网方案与配置. 97.

(21) 金牌网管师（初级）中小型企业网络组建、配置与管理. 1．CCProxy 网络服务配置 CCProxy 所提供的网络服务配置方法是在如图 5-52 所示的 CCProxy 代理服务器程序主界面中单击工具栏中的“设置”按钮，打开如图 5-53 所示的对话框，在其中进行设置。在这里可以设置 CCProxy 服务器所能提供代理的各种网络服务，根据公司网络中的实际网络应用需要选择即可。不需要的服务，则最好不要选择。通常为了安全和便于控制员工的上网应用，中小型企业中都要求所有共享用户均只能进行邮件收发和互联网访问两方面的互联网应用，所以在此要取消系统默认选择的 Telnet（远程登录）、“远程拨号”、FTP（文件传输）和“其他”复选项，而要选择“邮件”、HTTP/RTSP 和 SOCKS/MMS 三个复选项（这也是默认选择）。之所以要选择 Socks 套接字服务，是因为许多应用软件都需要用到它，如 MSN、QQ、Foxmail 客户端软件等。. 图 5-52 CCProxy 服务器端程序主界面. 图 5-53. “设置”对话框. 因为中小型企业网络通常是对等网，所以不要选择“NT 服务”复选项，这样就不会把这项代理服务当作 NT 域中的一项服务，不会随系统自动启动、自动运行。对等网中通常也不需要 DNS 进行名称解析，所以也不要选择“DNS”复选项。配置好后单击“确定”按钮退出。 2．用户账户配置 CCProxy 代理服务器程序的最主要功能就体现在它在用户账户方面的配置和互联网应用限制上。不仅可以选择多种用户账户身份验证类型，为具体用户开通网络服务代理，还可以为用户配置灵活的互联网应用过滤设置。  身份验证类型选择在如图 5-52 所示的程序主界面中单击“账号”按钮，打开如图 5-54 所示的对话框，在其中为允许共享上网的用户创建上网账户。根据实际需要在“允许范围”下拉列表框中选择允许共享上网的用户范围。如要允许所有人上网，则选择“允许所有”选项；如果仅允许部分用户共享上网，则选择“允许部分”选项。如果在“允许范围”下拉列表框中选择的是“允许所有”选项，不仅“验证类型”下拉列表框不可选（因为此时不需要对用户身份进行验证），而且还无法创建用户账户（因为实际上就是允许匿名访问，创建账户都没有意义了）。但是仍可以通过导入或者选择其中的 “域用户验证”复选项导入账户系统，或者采用域用户账户系统对用户身份进行验证，只有合法的用户才能使用代理服务器共享上网。如果在“允许范围”下拉列表框中选择的是“允许部分”选项，则要在“验证类型”. 98. 第5章. 共享上网方案与配置.

(22) 金牌网管师（初级）中小型企业网络组建、配置与管理. 下拉列表框中选择相应的用户身份验证方式。CCProxy 所支持的用户身份验证类型如图 5-55 所示。从中可以看出 CCProxy 本身账户系统可以支持多种身份方式，可以是基于用户账户/ 密码、基于用户计算机 MAC 地址验证方式、基于用户计算机 IP 地址验证方式、基于“用户计算机 IP 地址+MAC 地址”综合验证方式、基于“用户账户/密码+MAC 地址”综合方式、基于“用户账户/密码+IP 地址”综合验证方式。根据实际需要选择。比较简单、比较常用的身份验证方式是基于 IP 地址或者基于用户账户/密码方式。. 图 5-54. “账号设置”对话框. 图 5-55 CCProxy 支持的用户身份验证类型. 要在 CCProxy 中创建用户账户系统，则必须在图 5-54 所示对话框的“允许范围”下拉列表框中选择“允许部分”选项，然后才能通过单击“新建”按钮打开如图 5-56 所示的对话框，在其中创建新的用户账户。至于图 5-54 所示对话框中“验证类型”下拉列表框的选择，则可以随意，可以在如图 5-56 所示的具体用户账户创建对话框中来配置。要采用哪种身份验证类型，就直接在图 5-56 所示对话框的身份验证类型设置部分选择哪个复选项，还可以根据前面 CCProxy 支持的身份验证类型组合中选择。注意，选择了哪个身份验证类型，就必须配置相应的选项值，当然用户账户名是肯定需要事先配置的。而且，必须先选择“允许”复选项，让该用户可以共享上网，否则一切身份验证方式都不可选。. CCProxy 用户账户身份验证类型设置部分. 账户类型选择部分. 账户连接限制设置部分. 允许为账户提供的网络服务代理设置部分. 账户网站内容和共享上网时间过滤设置部分. 图 5-56. “账号”对话框. 第5章. 共享上网方案与配置. 99.

(23) 金牌网管师（初级）中小型企业网络组建、配置与管理. 如果想要获取某计算机的 IP 地址或者 MAC 地址，如果该机当前正连接在网络中，可通过单击图 5-56 所示对话框中的对应选项后面的按钮，在打开的如图 5-57 所示的对话框中让系统自动获取，当然前提是“计算机名”和“IP 地址”这两项必须至少知道一项。 MAC 地址会根据搜索的结果自动显示。. 图 5-57. “获取地址”对话框. 用户/组账户确定在如图 5-56 所示的对话框中既可以当作普通用户账户的创建界面，也可以当作 CCProxy 组账户的创建界面。与 Windows 系统及其他所有类型的组账户一样，CCProxy 的组账户也是用来方便对一类用户进行集中特征配置。如果是普通用户账户则在图 5-56 所示的对话框中不能选择“作为组”复选项，但可以选择“属于组”复选项。如果选择了“属于组”复选项，则需要在激活的右侧下拉列表框中选择要隶属的组账户，同时在图 5-56 所示的对话框中最下面的那些连接和可使用带宽限制设置，以及网站、内容和允许共享上网时段设置选项都不可选，因为属于组中的账户是采用对应组账户的这些选项设置的。如果所创建的是组账户，则要在图 5-56 所示的对话框中选择“作为组”复选项，这时可以对该组账户进行图 5-56 所示对话框中下半部分的各选项设置，但是不能配置对话框上半部分的身份验证方式。  连接限制在图 5-56 所示对话框中间的连接限制设置部分可以设置所创建的用户或者组账户发起的连接数、上传和下载所使用的最大网络带宽。在这里可以防止一些用户使用像 BT 之类的强制下载，占用大量的网络带宽，而导致其他用户连接性能的下降。默认设置均为-1，表示不限制。设置带宽时要注意，这里所使用的单位为 b/s。  互联网应用服务代理选择图 5-56 所示的配置对话框中间部分用于选择 CCProxy 代理服务器的用户或者组账户提供哪些互联网应用服务代理，包括 WWW、Telnet、远程拨号、FTP、邮件、SOCKS 和 “其他”几个服务的复选项，根据对相应用户的限制需要取消对相应选项的选择。  网站过滤及共享上网时间限制设置图 5-56 所示对话框的最下部分是对用户或者组账户进行互联网网站访问，以及共享上网时间段限制、账户有效使用期进行设置。选择“网站过滤”复选项，然后单击后面的按钮，打开如图 5-58 所示的对话框。如果只允许该用户访问特定的少数网站，则在这个对话框中选择“站点过滤”复选项和“允许站点”单选项，然后在下面的文本框中输入允许访问的站点地址，如 www.xinhua.com 。多个网站之间用分号隔开。注意，站点名过滤支持通配符，如 *.163.com，则所有以 163.com 结尾的网站和网页都将禁止访问。如果仅想限制用户不能访问某些特定的网站，则在对话框中选择“站点过滤”复选项和“禁止站点”单选项，然后在下面的文本框中输入不允许访问的站点，多个站点之间也必须用分号隔开。如果要禁止用户下载一些特定扩展名的文件，则必须选择“禁止连接”复选项，然后在后面的文本框中输入所要禁止下载的文件类型（以扩展名配置），这主要是出于安全考 . 100. 第5章. 共享上网方案与配置.

(24) 金牌网管师（初级）中小型企业网络组建、配置与管理. 虑。因为一些特定类型的文件隐藏病毒，或其他安全威胁比较大，如可执行文件（.exe、 bat 等）、压缩文件（.zip、.war 等）、脚本文件（.jsp、.vbs 等），多个扩展名之间用分号隔开。如果还要禁止用户访问包括特定字符的网页（主要应用于家庭用户中），如要限制访问网页中包括性、暴力之类的敏感词汇，则选择“禁止内容”复选项，然后在后面的文本框中输入这些要禁止的词汇，多个词汇之间用分号隔开。. 图 5-58. “网站过滤”对话框. 可以为一个用户配置多个这样的网站过滤设置。如果要新建，则先在图 5-58 所示的配置对话框中单击底部的“保存”按钮保存当前配置，然后单击“新建”按钮，重新配置新的过滤设置。当一个用户的网站过滤方案全部配置好后单击“确定”按钮返回到如图 5-56 所示的对话框。可以继续进行其他选项，如上网时间、账户有限期的配置。如果要限制该账户的上网时间，则可在图 5-56 所示的对话框中选择“时间安排”复选项，然后单击后面的按钮，打开如图 5-59 所示的对话框。在其中可以星期为周期设置每天允许或禁止上网的时间段。. 图 5-59. “时间安排”对话框. 现在以“星期一”为例进行说明。单击后面的按钮，打开如图 5-60 所示的对话框进行。在其中为每一小时提供了可选项，而且还提供了相应允许上网的时间所能进行的应用。如果要限制该账户星期一到星期五只能在白天 8:00～18:00 上网，则相应的时段配置如图 5-60 所示。其他日期的时段配置方法一样。第5章. 共享上网方案与配置. 101.

(25) 金牌网管师（初级）中小型企业网络组建、配置与管理. 图 5-60. “时间表”对话框. 在“应用于”区域中还可对该账户用户在允许上网的时间段允许使用的互联网应用服务进行设置。一般不用重新配置，因为这在如图 5-56 所示的对话框中已配置好了。当然如果觉得前面的配置有些不妥，则在这里可以重新选择。【经验之谈】在如图 5-60 所示的对话框中进行时间配置时可讲究一些技巧，因为系统默认的是 24 个小时全选择，如果实际中允许的时间段非常少，则可以先单击“全不选”按钮，然后再重新选择少数几个允许的时间段，这样效率会高很多。全部配置好后单击“确定”按钮返回到如图 5-56 所示的对话框，此时对话框已配置好了用户的网站过滤和上网时间控制方案。如果要配置该用户账户的有效期，则可选择“使用到期时间”复选项，然后在后面配置该账户的最后有效日期和时间，可以精确到秒。如果要同时为多个用户进行配置，则在配置好一个用户后，直接在如图 5-56 所示的对话框中单击“保存”按钮保存当前用户的配置，然后单击“新建”按钮，重新配置其他用户。. 5.3.2. CCProxy 客户端的共享上网配置. 用 CCProxy 作为代理服务器，客户端不需要安装任何额外的软件（有些代理服务器需要安装客户端软件），包括 CCProxy 本身，客户端的上网配置非常简单，但具体应用软件的配置相对网关服务器型共享来说复杂很多。本节介绍客户端的共享上网配置。（1）在客户端（以 Windows XP 系统为例，其他 Windows 系统类似）打开 IE 浏览器，单击“工具”→“Internet 选项”命令，在打开的对话框中选择“连接”选项卡，如果客户端原来没有创建任何互联网连接项，则如图 5-61 所示。从对话框中可以看出，在没有创建任何互联网连接时，中部的所有选项均呈不可选的非激活状态。而当客户端原来已创建了互联网连接项时，中部的所有选项则呈激活状态，此时一定要选择“从不进行拨号连接”单选项。（2）单击“局域网设置”按钮，打开如图 5-62 所示的对话框。确认没有选择“自动检测设置”和“使用自动配置脚本”两个复选项，选择“为 LAN 使用代理服务器”复选项。然后在“地址”文本框中输入 CCProxy 代理服务器计算机的 NetBIOS 名或 IP 地址，在“端口”文本框中输入 CCProxy 默认采用的 HTTP 协议端口 808。注意不是通用的 80 而. 102. 第5章. 共享上网方案与配置.

(26) 金牌网管师（初级）中小型企业网络组建、配置与管理. 是 808（除非在图 5-53 所示的设置对话框中修改了端口号）。. 图 5-61. “Internet 选项”对话框的“连接”选项卡. 图 5-62. “局域网（LAN）设置”对话框. （3）两次单击“确定”按钮退出客户端的 IE 浏览器“连接”选项卡设置。此时在网络连接正常的情况下，客户端就可以使用 CCProxy 代理服务器共享上网了。【注意】用户在使用 CCProxy 共享上网时，如果采取的验证方式是“用户/密码”、“用户/密码+IP 地址”和“用户/密码+MAC 地址”中的一种，则必须正确通过工作组或者域网络对应的用户账户登录，否则不能共享上网。. 5.3.3. CCProxy 客户端的邮件收发代理配置. 尽管在客户端进行了 IE 浏览器配置，但那只是针对互联网访问进行了相应配置，完成后只能进行互联网访问，对于其他一些互联网应用，还需要另外配置，否则仍无法进行。这就是代理服务器共享上网方式最大的不足。本节仅介绍 Outlook Express（OE）邮件收发的代理服务器配置。客户端要能通过代理服务器共享互联网线路收发互联网邮件，首先一个必要条件就是在图 5-53 所示的对话框中选择“邮件”复选项，并且在相应用户账号的权限配置中也要选择“邮件”复选项，如图 5-56 和图 5-60 所示。然后进行本节要介绍的配置。现假设客户端原来的互联网邮箱为 xinhua_administrator@xinhua.com，POP3 和 SMTP 服务器地址分别为 pop3.mail.xinhua.com、smtp.mail.xinhua.com。（1）打开 OE，单击“工具”→“账户”命令，在打开的对话框中选择“邮件”选项卡，如图 5-63 所示。如果是新添加邮箱账户，则执行下面的操作。（2）单击“添加”按钮，在打开的菜单中选择“邮件”选项，打开如图 5-64 所示的向导对话框。利用这个向导创建一个新账户。（3）单击“下一步”按钮，打开如图 5-65 所示的对话框，在这里直接输入用户的互联网邮箱账户 xinhua_administrator@xinhua.com。（4）单击“下一步”按钮，打开如图 5-66 所示的对话框，在这里要配置用户邮箱的 POP 邮件服务的 POP3 和 SMTP 服务器地址。此处要注意，不能直接输入互联网邮箱的 POP3 和 SMTP 服务器地址，而是要把 CCProxy 代理服务器地址作为此处的邮箱 POP3 和 SMTP 服务器地址。如本示例中的代理服务器地址为 192.168.0.2，则在如图 5-67 所示对话框的“接收邮件服务器”和“发送邮件服务器”文本框中均输入 192.168.0.2。. 第5章. 共享上网方案与配置. 103.

(27) 金牌网管师（初级）中小型企业网络组建、配置与管理. 图 5-63. “Internet 账户”对话框的“邮件”选项卡. 图 5-65. “Internet 电子邮件地址”对话框. 图 5-64. 图 5-66. “您的姓名”对话框. “电子邮件服务器名”对话框. （5）单击“下一步”按钮，打开如图 5-67 所示的对话框。. 图 5-67. “Internet Mail 登录”对话框. 在“账户名”文本框中也不能直接用原来的互联网邮箱账户名，应按如下规则改变：新账户名=原始的账号名（即直接上网收发邮件时的账号名）+#+“原始的接收邮件（POP3）服务器地址”。比如，本示例中 xinhua_administrator@xinhua.com 邮箱直接上网收取邮件时的账户就是整个邮箱地址@符号前面的一部分 xinhua_administrator；直接上网收发邮件时，原始的 POP3 服务器地址是 pop.mail.xinhua.com。那么现在的账号名应为 xinhua_administrator# pop.mail.xinhua.com。【注意】如果直接上网收发邮件时的账户名是整个邮箱地址，如 user@test.com，POP3. 104. 第5章. 共享上网方案与配置.

(28) 金牌网管师（初级）中小型企业网络组建、配置与管理. 地址为 pop3.test.com，那么新的账号名应为 user@test.com#pop3.test.com。（6）单击“下一步”按钮，打开如图 5-68 所示的向导完成对话框，直接单击“完成”按钮完成新电子邮件账户的创建。. 图 5-68. “祝贺您”对话框. 如果不是新创建邮箱账户，而是要对原来已在 OE 中创建的账户进行配置更改，则可以在 5-63 所示的对话框中选择已有的账户，然后单击“属性”按钮，在打开的对话框中选择“服务器”选项卡，原来的配置如图 5-69 所示。然后按以上与创建新的邮件账户时一样的规则对 POP3 和 SMTP 服务器地址和账户名进行更改，最终配置如图 5-70 所示。比较两个对话框中的“接收邮件（POP3）”、“发送邮件（SMTP）”和“账户名”3 个选项的配置。. 图 5-69. 更改前的“服务器”选项卡配置. 图 5-70. 更改后的“服务器”选项卡配置. 同样，如果原来的邮件账户名就是邮件地址的全部，如 user@test.com，POP3 地址为 pop3.test.com，那么新的账号名#符号前面的部分不再仅是原来账户@符号前面的部分，而是整个电子邮件地址的全部，最终的账户名为 user@test.com#pop3.test.com。如果原来用户的电子邮件中，互联网 SMTP 服务器与 POP3 服务器的地址不一样，则需要选择如图 5-70 所示对话框中的“我的服务器要求身份验证”复选项，然后单击“设置” 按钮，打开如图 5-71 所示的对话框。选择“登录方式”单选项，然后在下面输入相应的账户名和密码。在这里同样可能有两种设置方式。第一种是，如果原来直接上网收发邮件时需要在图 5-70 所示的对话框中选择“我的服第5章. 共享上网方案与配置. 105.

(29) 金牌网管师（初级）中小型企业网络组建、配置与管理. 务器要求身份验证”复选项，那么请按以下方法设置：新账户名=“原始的账号名”（即直接上网收发邮件时的账号名）+#+“原始的发送邮件（SMTP）服务器地址”。比如，本示例直接上网收发邮件时的 SMTP 服务器地址为 smtp.mail.xinhua.com ，账号名是 xinhua_administrator，那么现在应该填写 xinhua_administrator#smtp.mail.xinhua.com，如图 5-72 所示。如果原来的邮箱账户名为邮箱的全部，则按前面介绍的账户名的更改规则进行更改。如直接上网收发邮件时的账号名是 user@test.com ， SMTP 服务器地址为 smtp.test.com，那么现在 SMTP 新的服务器账户名应为 user@test.com#smtp.test.com。. 图 5-71. 配置前的“发送邮件服务器”对话框. 图 5-72. 配置后的“发送邮件服务器”对话框. 第二种是，如果原来直接上网收发邮件时不需要选择“我的服务器要求身份验证”复选项，那么就应该在图 5-72 中的“账户名”文本框中这样设置：新账户名=#+“原始的发送邮件（ SMTP ）服务器地址”。比如，直接上网收发邮件时， SMTP 服务器地址是 mail.test.com，账号名是 user，那么现在应该填写#mail.test.com。如果您的邮箱账户名是整个邮箱名的全部，如直接上网收发邮件时的账号名是 user@test.com，SMTP 服务器地址是 smtp.test.com，则新的账户名就应该填写#smtp.test.com。注意此时不用输入密码。因为采用代理服务器共享上网方案中，各互联网应用几乎都需要重新配置，在此不可能一一介绍，像 MSN、QQ、Foxmail 邮箱等在此就不介绍具体的配置方法了。目前总体来说，由于代理服务器共享方案配置比较复杂，还需要另外购买代理服务器软件，所以在中小型企业中比较少采用，一般都是采用宽带路由器共享方案。像代理服务器这样的用户应用限制，可以通过一些网管工具软件来实现。. 106. 第5章. 共享上网方案与配置.

(30)