中小型办公室网路的 Internet解决方案（上）----- UNIX Style Proxy Server

中小型办公室网路的 Internet解决方案（上）----- UNIX Style Proxy Server

本文作者／黄力尧

简介 Proxy Server

本系列专栏共分两期，分别教导读者如何在区域网路中使用一台 UNIX主机或是 Windows 95/NT主机来建立 Proxy Server。什麽是 Proxy Server？就如同字面上所描述的，它是一台「代理」性质的伺服器，可代理各工作站的连线需求。在一般的公司行号或是小型团体中，常常会同时有好几台工作站需要作 Internet的存取动作。

除非您的公司有架设数据专线以及 Router，否则每台电脑都需要一台数据机。在这种情况下，硬体资源以及线路显然没有被妥善利用。使用 Proxy Server的方式，将可以使多台工作站共享同一条线路资源，达到频宽使用的最高效能。而且以单台联外主机，更可轻易作到单点控管的简易管理，省却各种繁杂的管理程序。

本文将教导您如何架构以 UNIX系统为基础的 Proxy Server，共分两期。第一期讲解网路设定以及整体环境架构，第二期讲解 UNIX主机实际 Proxy Server设定。在这里我们以 Linux 2.0.0（ Slackware 96 Distribution），一台 486主机， 14.4K数据专线为范例。若您觉得您的单位不适用专线或只是私人测试性质，使用一般的拨接方式亦可，只是因为您的主机不是全天候在 Internet上，於收送 Internet Mail时会稍受影响。不过，关於这点，在文末会给予适当的解决方式。

架构中小型办公室用 Proxy Server-Why and How？

如果您的公司，办公室，甚至小型工作室符合以下的条件，那麽您需要一台 Proxy Server：

1.想要以最低的成本达到 Internet连线需求。

2.同一时间内有许多的电脑同时要上 Internet。

3.公司内需要许多的 E-Mail位址，最好每个员工都有一个。

4.身为网路管理员的您，希望能够以最方便的方式管制所有的联外交通。

5.不希望将公司网路外包给其他顾问公司管理，免得重要资料被偷走都不知道。

如果您不用 Proxy Server，而是到一般的民间 Internet Service Provider去给每个员工都申请一个帐号，那麽很可能会发生下列的困扰：

1.为了让每个人都有一个 E-Mail位址，於是每个都申请一个帐号，费用太昂贵

2.在一般的 ISP，您可能没办法申请到一些如 service、 manager、 admin等与职务直接相关的 Username让你的客户方便记忆。在一些较大的 ISP（如 HiNet），连 John、 Mary这种再普通也不过的英文人名都甭想 -早有人申请走啦！

3.平常员工用的都是 E-Mail，而为了读信只需要一点点的线路频宽，对於 14.4K或是 28.8K的数据机来说好像太大才小用了吧！

4.没办法妥善杜绝员工上班玩网路，看 WWW站台，上 BBS找人聊天。

5.每次看个信都要拨一次电话，花上将近半分钟连线，浪费时间与电话费。

6.万一公司有重要机密资料，因为 Email存在 ISP 的主机那边，若是没有妥善做好资料编密的工作，那麽遭到有心人窃取资料的可能性很大。

基於经济或其他因素的考量，在这里笔者教各位架设一台公司内部用的 Proxy Server，由此台主机担任公司内外所有通讯的桥梁。这样的做法，有以下的好处：

1.只要 Proxy Server这台对外通讯的主机有 Internet连线，内部网路的所有工作站均可分享该主机的线路资源，避免线路资源的浪费。

2.欲限制员工上班看 WWW或是其他动作时，只要在通讯主机端作改变，所有的内部工作站均受影响，省却到每台员工工作站修改系统的麻烦。

3.在自己的主机上，只要你的硬碟空间够，爱开几个 E-Mail位址都随心所欲。

4.E-Mail存放在公司自己这边的机器上，而不是存在 ISP那边，避免坏心的 ISP Administrator随意偷看信。

我们以某公司为范例，示范 Proxy Server以及内部网路的架构过程：

某公司现有整体硬体环境：

A. Novell Netware 3.12 Server一台

B. Microsoft Windows 95电脑 14台

C. 10Mbps EtherNet网路

各员工之 Internet需求：

A. 使用 Eudora for Windows 95软体作电子邮件传送。

B. 使用 NetTerm软体作 Telnet到远端资料伺服器作资料查询工作。

C. 使用 Microsoft Internet Explorer软体连上 WWW站台检索资料。

D. 使用 Windows 95内附的文字型态 FTP Client软体连上 FTP站台撷取资料。

现在我们在最经济的前提下，在此网路中直接串联上一台 UNIX Server作以上各员工的 Internet需求解决方案。初步所需经费估计如下：

硬体配备

486DX4-100或较低阶的 Pentium中央处理器与主机板（六千元）

24MB FPM或 EDO系统记忆体（五千元）

1.7MB硬碟机（ IDE介面）（六千元）

28800bps数据机（四千元）

单色或便宜的彩色显示卡与键盘（一千元）

NE2000相容 10Mbps EtherNet网路卡（一千元）

散热良好之电脑外壳与电源供应器（两千元）

作业系统

Linux各项软硬体设定费用免费

自己动手作免费

以上所有配备仅花费新台币两万五千元左右，而且只是粗略估计，有可能再降低一些。若是公司内部已经有现成的电脑就更好了，也许花费不到一万元呢！根据国内某家资讯服务厂商所开出的报价，达成相当功能的顾问以及服务费大约索价新台币二十到二十五万元左右；而自己动手作，只要不到两万五千元。

在以上的表格中，笔者特地提到区域网路中有一台 Novell Netware Server，由於目前大多数的公司行号都有使用 Novell Netware，常常有读者问到，同一缆线系统可以并存不同的 Server，或是同一缆线中可以有不同的 Protocol一起执行吗？这当然是可以的，因为各种通讯协定各有不同的资料封包表头，在 EtherNet这种广播式的网路环境中，若是一工作站接受到自己本身认不得的封包，会将其舍弃不予理会。因此跑各个协定的工作站会自己去检选出自己所需要的资料段，并不会有冲突的情形发生。更何况 Novell NetWare主机本身也支援 TCP/IP功能，透过 ODI可以在同一片网路卡上同时跑 IPX/SPX与 TCP/IP，丝毫不会有任何问题。配合特殊的 NLM程式更可以使 Novell Server成为 Name Server， Boot Server，甚至 WWW Server。

至此内部网路的软硬体我们已经讨论完了（ UNIX主机上各种 Proxy软体稍後再叙），接下来我们讨论联外网路的部份。

在这里我们使用一台 14400 bps的数据机作为联外的桥梁，以单一主机型态，专线连结的方式连上 HiNet。和一般人印象中，一台 WWW Client 需要独立 IP位址才能浏览 Internet Homepage不同的是，因为在这里我们使用了 WWW Proxy Server，由 UNIX主机作 WWW Request的处理，因此各个 WWW Client只要具有连结 Proxy Server 的能力（如 Microsoft Internet Explorer、 Netscape等浏览器）就可以透过 Proxy Server浏览 Internet上各个主机的 Homepage而不需要在 Internet 上有一个自己专属的 IP Address。不但在当前世界各地 IP Address短缺的情况下，帮 IANA节约 IP Address（或许 IANA应该颁奖状给使用 Proxy Server的 System Administrator： -P）而且更省钱（参见下表，使用单一 Host，单一 IP Address方式连上 HiNet比使用 Router，多个 IP Address连上 HiNet每月节省约两千馀元，所达成的功能却没有因此而缩减）。

附带提一点，若您的连结方式为专线，数据机必须全天候开机。在这种情况下，建议您购买品质良好且耐用的数据机，而且最重要的是要散热良好，千万不要为了省钱或是为了美观等因素买了一台又小又包得密不通风的机型。否则，您的联外数据机可能用没几天就烧掉罗！另外一点值得注意的是，用在专线连结的数据机必须经过电信总局审核，电信单位才会受理您的专线申请，在您申请专线时亦需要填写该数据机之审定号码。

一台经过审定的数据机会有如下的标示内容：

申请厂商：制造厂商：

设备型号：审定号码：

审定日期：

网际资讯网路 HiNet专线连接固接费用（民国 86年度 4月最新版本）

以 Host形式，透过数据机与专线连结 HiNet所需费用（只配发单一 IP Address ）

速率系统设定费通信基本费国际通信费通信费用上限

14400 bps 1500 元 2200 元 26 元 / MB 5000 元

以 Router形式，透过数据机与专线连结 HiNet所需费用（配发至少一个 Class CIP Address）

速率系统设定费通信基本费国际通信费通信费用上限

14400 bps 1,500 元 4,300 元 26元 / MB 5,000 元

市内数据专线每月租金

速率系统设定费每月租金

14400 bps 7,700 元 1,600元

Host型态连结初始设定所需费用： 1500+7700= 9200（ Host系统设定费 +市内数据专线设定费）。

每月所需费用： 2200+1600=3800（通信基本费 + 数据专线每月租金）。

Router型态连结初始设定所需费用： 1500+7700= 9200（ Router系统设定费市内数据专线设定费）。

每月所需费用： 4300+1600=5900（通信基本费 +数据专线每月租金）。

注：各项计费均以台湾本岛内通信为基准，若有使用国际通信，则每 MBytes加收 26元。如国际通信费用超过通信费用上限，则以上限计收。

数据机用户可自备，若由中华电信供租，则 9.6Kbps数据机於申请时加收 1500元； 14.4Kbps 数据机加收 1700元。尔後每月加收 300元数据机租费。

以上收费标准仅适用於一般个人及公司用户，网际网路服务提供业者则不适用本表。

（资料提供：中华电信士林营运处李连通先生）

就算您不向 HiNet接取 Internet连线，而要向其他 ISP（如资策会 SeedNet，广通科技 GCN等）接取，您还是要向电信局租用连往其他 ISP的数据专线。因为国内此类通信服务，如第一类电信事业的市内电话业务尚未开放民营。您在计算每月通信费用时，别忘了除了 ISP的通信费外，尚须加上中华电信的数据专线租金（国内某些 ISP在广告文宣上常常故意漏掉中华电信的专线租金，在只计算 ISP的通信费下相较起来好像比较便宜，实则不然。读者不可不察！）

这里我们以 14400 bps数据专线为例，第一次所需缴纳的系统设定费除外，每月须缴纳专线租金新台币 1600元，加上通信基本费 2200元，共新台币 3800元。若是有台湾本岛以外的国际通信，则每 MBytes尚须新台币 26元，台湾本岛内之通信则不另计费。但此国际通信费用有新台币 5000元的上限，因此如果您有相当多的国际通信的话，每月最多也只须缴纳新台币 8800元。在同样的通讯速率，若我们采用 Router连线，则每月最高可达新台币 10900元。在一般的公司行号中，大部份的电脑在 Internet的应用上都是扮演 Client的角色，并不需要作为 Server提供他人服务，因此并不需要每台电脑都要有自己的 IP Address。

所有电脑均使用同一台主机作 Proxy Server，负责对外连线，对公司行号来说，尚有一个好处。那就是所有对外通讯因为都必须经由此一通讯主机，管理端只须在此一主机作设定即可同步控制所有 Client端。例如，若公司方面不希望员工上班时偷偷看 Homepage，那就把 UNIX主机上的 WWW Proxy Daemon拿掉即可。若是每台 Windows 95 电脑都有自己的 IP，那员工只要自己装有 WWW 浏览器即可看 Homepage，完全不受管理端控制。（更有甚者，笔者看过国内某大公立医院的员工在自己的电脑装 Microsoft Netmeeting，上班偷闲和女朋友聊天）若要每一台 Client都要去检查是否有装上 WWW浏览器，不仅费神费时而且防不胜防，抓不胜抓。最简单的方式就是把源头给切断。

专线申请到以後，就有劳您和 ISP的工程师好好研究如何连线了。一般的 ISP在专线上会提供 PPP、 SLIP两种通讯协定，这两种通讯协定 Linux都有支援。基本上，只要您会使用 Linux配合这两种通讯协定拨接上 Internet，这部份应该难不倒您。

如果还不会的话，赶快 man dip吧！连线建立了以後，才能继续剩下的章节喔！

设定内部网路的 TCP/IP网路组态

在你的 LocalNet里面，就是你自己的天地，你自己的 Internet-Class A， B， C任君选择， IANA换你做做看！在一般的情况下，使用 10.0 这个 Class A的网路是个不错的选择。这是一个 IANA-Reserved的 Class A Network，在 Internet上不会有任何一台主机使用这一区段的 IP Address（亦即 IANA在指派 IP Address时不会分配 10.0出去，事实上要能争取到 Class A的单位也不多，像是 15.0的 HP-Internet， 16.0的 DEC-Internet都是国际上属一属二的超大型资讯公司）因此您可以放心的使用 Net 10.0。

若是自己 LocalNet和 Internet上任一网路使用了相同的网路区段，那会是什麽情形呢？结果是，被你 Assig到的 Net你将无法与其连线。举个例子来说，现在 203.10.70.0这个 Class C网路已经注册给某公司了，而你不知道，把自己的 LocalNet也设定为 203.10.70.0，而你的网路上有 203.10.70.1-203.10.70.10十台主机。你的网路会将 203.10.70.0视为 LocalNet，某天当你想要连线到 Internet上的 203.10.70.200主机，你会发现无法连线 ---因为你的通讯主机将 203.10.70.0视为 LocalNet，会在本地的 EtherNet网路找 203.10.70.200而不去 Internet上找 203.10.70.200造成连线的失败。（会一直 Try直到 Timeout而不是告诉你 Network is unreachable）

内部网路的 IP位址怎麽给？

去年五月笔者於本刊曾经教读者架设过一种类似功能的主机 -Terminal Server，当时就有许多读者问到：内部网路的 IP Address可以自己随便给，那麽究竟要怎麽个随便法呢？现在笔者就对此点作说明，毕竟虽然您可以自由给定 IP Address，还是需要依循一些规则。

1.决定 IP Address的等级

IP Address共有叁种等级： Class A， Class B， Class C （事实上还有 Class D， Class E 等，为特殊用途，在此暂不讨论）首先读者要了解的是， IP是一个二进位制，共 32位元的定址方式，共分为四个栏位，因此一个栏位为 32/4=8个位元。

於是每一栏位共有 256种可能组合。也因为最大表示值只有到 256，因此您不会看到像 347.762.267.987这样的 IP位址。在大部份的时候， IP位址都用一般人所惯用的十进位来表示，而在每个栏位之间以句点（ .）来分隔。但实际上，读者由刚刚的叙述可以看出，在电脑中实际上是以二进位来处理的，分辨 IP位址的等级也是由二进位来判断。（注：在某些电脑上，例如 Novell NetWare，也接受十六进位的 IP位址。例如 FF.FF.FF.0为 Novell NetWare主机上常见的 Netmask写法）

前叁等级的等级区分由第一个栏位的八个位元之中的前叁个位元来判断，由第一个位元开始判定。下面是判定的方式：

Class A， B， C 等级之网路判定：

0xxxxxxx若第一个位元为 0，则此一 IP位址为一 Class A等级网路

10xxxxxx若第一个位元为 1，其馀位元为 0，则此一 IP位址为一 Class B等级网路

110xxxxx若前两个位元为 1，其馀位元为 0，则此一 IP位址为一 Class C等级网路

若读者不熟悉此种换算法，也可以用十进位的 IP各级分界点来判别：

Class A：第一栏为 0 - 126

Class B：第一栏为 128 - 191

Class C：第一栏为 192 - 223

在 IP定址法中， 127.x的网路是指定给一个所谓 “ Loopback” 的设备，任何以 127开头的 IP位址都是指向自己本身（ Localhost），而不会是网路上（ Non-Local）的其他机器。不管你是 telnet 127.0.0.1或是 127.23.14.5， 127.64.176.231结果都是一样的。在 IANA中， 127.0这个网路的资料如下：

finny： ~# whois 127.0

rs.internic.net

IANA （ LOOPBACK）

Netname： LOOPBACK

Netnumber： 127.0.0.0

Coordinator：

Reynolds， Joyce K. （ JKR1） JKRey@ISI.EDU

(310) 822-1511

Record last updated on 15-Jan-91。

The InterNIC Registration Services Host contains ONLY Internet Information

（ Networks， ASN’ s， Domains， and POC’ s ）。

Please use the whois server at nic.ddn.mil for MILNET Information。

读者看得很清楚， 127.0这是一个保留给 Look back用的位址， IANA并不可能将它指派给任何单位。您可以在您的 UNIX主机上试试看， telnet到任何第一栏为 127的 IP位址，结果都会连到自己本身。因此您不能将 127开头的 IP位址给任何机器。

另一个不能用的数字是 255，虽然 2^8为 256，自 0起算末位就是 255（ 256-1=255）但是 255 是一个特殊用途（广播用）的位址，因此工作站的 IP位址中也不能出现 255这个数字。

在网路分级中，整个 IP位址有四个栏位，依照等级的分别又可以分为网路号码与主机号码部份。

Class A：＜ NET＞ .＜ HOST＞ .＜ HOST＞ .＜ HOST＞例： IP 10.1.1.1，网路号码 10，主机号码 1.1.1

Class B：＜ NET＞ .＜ NET＞ .＜ HOST＞ .＜ HOST＞例： IP 130.2.1.1，网路号码 130.2，主机号码 1.1

Class C：＜ NET＞ .＜ NET＞ .＜ NET＞ .＜ HOST＞例： IP 203.10.82.2，网路号码 203.10.82，主机号码 2

网路号码和主机号码的观念我们在稍後讲解 Netmask的时候会用到。一般惯例，我们讲以 10 开端的 Class A这整个网路会以 10.0代表。在这种表示法中，也代表了网路号码为 10，馀下的叁栏便是主机号码。

至於刚刚的例子，我们的 UNIX主机上的网路卡采用 10.1.1.1这一个 Class A的 IP位址，那麽在同一片网路卡之网路缆线系统上其他的机器也必须采用 Class A的 IP位址。为何采用 10.0？让我们再来看看 IANA的资料：

inny:~# whois 10。 0

rs.internic.net

IANA （ RESERVED-6）

Netname： RESERVED-10

Netnumber： 10.0.0.0

Coordinator：

Reynolds， Joyce K. （ JKR1） JKRey@ISI.EDU

(310) 822-1511

Alternate Contact：

Postel， Jon （ JBP） POSTEL@ISI.EDU

(310) 822-1511

Domain System inverse mapping provided by：

NS.ISI.EDU 128.9.128.127

RS0.INTERNIC.NET 198.41.0.5

Record last updated on 14-Jun-95。

The InterNIC Registration Services Host contains ONLY Internet Information

（ Networks， ASN’ s， Domains， and POC’ s）。

Please use the whois server at nic.ddn.mil for MILNET Information。

在 IANA的定义中， 10.0是一个保留用途的 IP位址， IANA亦不会将它配给任何单位。因此若是您的内部网路使用 10.0这一个网路，就可以避免遇到 Internet上也有相同位址的机器而造成无法连线，就像前面所叙述过的一样。若是您将 168.95.0当作您 LocalNet上机器的 IP位址，而 168.95.0是 IANA已经配给 HiNet的位址。尔後虽然您的 LocalNet机器之间通讯不会有问题， 168。 95。 0 以外的网路也没有问题，但当您想要与 HiNet上的主机沟通时，就会发生问题，因为您的主机把 168.95.0当成 LocalNet了，若是您的网路是以 Router形式连结上 Internet，在这种情况下， Router也不会将目的地网路号码为 168.95.0的封包给回递出去。

2.决定 Netmask（子网路遮罩）

Netmask是当您想要将自己的网路再切割为更小的几个网路用的。举一个实际应用上的例子， IANA发给你一个 Class B的 IP，共可指派 65534 台主机，例如 HiNet的 168.95.0。但是您在实际上不可能会将这六万多台主机给挤在同一个网路内，可能会想将这一整个大网路分割成几个比较小的网路以符合实际需求。例如，在全省各地的分公司各给定一个网路范围，各自有各自的区域网路。在没有 Netmask的情况下，各主机会将 168.95.0之中的 65534台主机当成是位在同一个网路中。给了 Net-mask以後，便可以将一个较大的网路切成几个较小的网路，这称为「子网路化」（ SubNetworking）实际操作举例如下：

在一个 Class B的网路 168.95.0下，将整个网路以 255.255.248.0作子网路遮罩（ SubNetmask）的情况下，一主机 168.95.109.222的运算方式：（为了解说方便，以下的例子均换算为二进位计算）

运算式

Network ： 10101000.01011111. =168.95.0

Address ： 10101000.01011111.01101101.11011110 = 168.95.109.222

AND） Netmask ： 11111111.11111111.11111000.0 = 255.255.248.0

___________________________________________________________________

Real Network ： 10101000.01011111.01101000.0 = 168。 95。 104。 0

在这个例子中，原有网路号码 168.95，主机号码 109.222的主机（ 168.95.109.222）。现将该 168.95.0的网路施以 255.255.248.0的子网路化，经过 AND运算後 168.95.109.222的主机号码在 255.255.248.0的子网路化之後，其网路号码变为 168.95.104.0。更精确一些的讲法，在施行子网路化之後，现在 168.95.109.222这个 IP位址的网路号码为 168.95，子网路号码为 104。如此便可在 168.95.0这个大网路下切割出许多更小的网路区域以作分隔网路的动作，子网路之间再用路径器（ Router），桥接器（ Bridge），或是桥径器（ BRouter）连结起来。

若您不需要作子网路化的动作（例如，一般公司都只能申请到一个 Class C的网路号码，除非该公司分隔两地或是网路过大，一般来说不需要作子网路化）那麽各级 IP位址的内定子网路如下：

Class A： 255.0.0.0

Class B： 255.255.0.0

Class C： 255.255.255.0

您可以发现，各级 IP位址在实行以上各项对应的 SubNetworking时，并不会产生出新的网路号码。因此其实就等於未作 SubNetworking的动作。

若您不需要，而且也不确定子网路遮罩要怎麽做，就请输入以上各级网路的内定值。

请记得，因为各台主机藉由 SubNetmask判断目的端主机是否位於 Localnet，因此在同一缆线系统上的所有主机之 Netmask必须相同。

好，现在笔者简单的帮您复习一下在内部网路决定 IP Address的要点：

1.不管使用何种等级的 IP Address，所有工作站必须使用同等级之 IP Address

2.同一网域内之所有主机，工作站皆必须使用相同的 Netmask

3.使用 IANA保留之 IP Address（例如 10.0），切勿自行捏造网路位址，尤其是 Internet上已经有人使用的网路位址。否则将来若是您将您的网路连上 Internet，和你区域网路有着相同网路号码的主机您将无法与其连线。

4.除子网路遮罩或广播位址外，一般工作站之 IP 位址中不能出现 255这个数字。

Windows 95 Client端网路设定

现在我们已经了解内部网路的 TCP/IP网路要如何设定，现在让我们来看看在 Windows 95工作站端要如何设定才能配合新的内部网路架构。和您平时只用数据机连上 Internet的 TCP/IP设定方式略有不同喔！

在这里，我们预设 10.1.1.1这个位址是给提供联外连线服务的 Proxy Server所使用，下期正式讲解 UNIX主机端的网路设定时亦将以此一 IP位址作为范例。

设定 Windows 95 TCP/IP网路环境

首先，安装好您的网路卡。在本例中区域网路中已经有了 Novell Server，所以已经存在有一片网路卡，如图一：

图一

现在要为这块卡加上 TCP/IP通讯协定，请选择「新增」、「通讯协定」、「制造厂商 Microsoft 的 TCP/IP通讯协定」，如图二：

图二

在本例中，选取 TCP/IP→ pcind3这片网路卡，并选取「内容」作 TCP/IP网路的组态设定。在这里，你只需要设定两个项目，分别是：

A. IP 位址

选择「指定 IP位址」，接着请给定 10.0网路中的任何一个 IP Address，不要和其他主机相同即可。 Netmask请符合刚刚在 UNIX上所作的设定。

请注意：无论你使用何种 Class的 IP Address，整个 EtherNet网路上的所有主机之 Netmask一定要一样。

B. 通讯匝

请输入 10.1.1.1，就是您 UNIX（ Proxy）主机的 IP Address。

设定完成後重新开机即可。设定完成後您可以在 Windows 95电脑上 ping看看其他的主机，看看其他主机是否有回应。若是有，那恭喜你，你已经完成硬体网路部份的建构了。

受限於杂志篇幅的限制，本文到此结束。下期将继续讲解核心部份 ---Proxy Server端的网路设定，各项 Proxy软体设定以及对应的工作站端软体需要如何应变。

（本文作者E-Mail： varioxol@msl.hinet.net