INTERNET共享資源的方式越來越多，就大多數而言，DDN專線以其性能穩定、擴充性好的優勢成為普遍采用的方式，DDN方式的連接在硬件的需求上是簡單的，僅需要一臺路由器（router）、代理服務器(proxy server)即可，但在系統的配置上對許多的網絡管理人員來講是一個比較棘手的問題。下面以CISCO路由器為例，筆者就幾種比較成功的配置方法作以介紹，以供同行借鑒：

一、直接通過路由器訪問INTERNET資源的配置

1． 總體思路和設備連接方法

一般情況下，單位內部的局域網都使用INTERNET上的保留地址：

10.0.0.0/8：10.0.0.0～10.255.255.255

172.16.0.0/12：172.16.0.0～172.31.255.255

192.168.0.0/16：192.168.0.0～192.168.255.255

在常規情況下，單位內部的工作站在直接利用路由對外訪問時，會因工作站使用的是互聯網上的保留地址，而被路由器過濾掉，從而導致無法訪問互聯網資源。解決這一問題的辦法是利用路由操作系統提供的NAT（Network Address Translation）地址轉換功能，將內部網的私有地址轉換成互聯網上的合法地址，使得不具有合法IP地址的用戶可以通過NAT訪問到外部Internet。這樣做的好處是無需配備代理服務器，減少投資，還可以節約合法IP地址，并提高了內部網絡的安全性。

NAT有兩種類型：Single模式和global模式。

使用NAT的single模式，就像它的名字一樣，可以將眾多的本地局域網主機映射為一個Internet地址。局域網內的所有主機對外部Internet網絡而言，都被看做一個Internet用戶。本地局域網內的主機繼續使用本地地址。

使用NAT的global模式，路由器的接口將眾多的本地局域網主機映射為一定的Internet地址范圍（IP地址池）。當本地主機端口與Internet上的主機連接時，IP地址池中的某個IP地址被自動分配給該本地主機，連接中斷后動態分配的IP地址將被釋放，釋放的IP地址可被其他本地主機使用。

下面以我單位的網絡環境為例，將配置方法及過程列示出來，供大家參考。

我單位利用聯通光纜（V.35）接入INTERNET的，路由器是CISCO2610，局域網采用的是INTEL550百兆交換機，聯通向我們提供了下列四個IP地址：

211.90.137.25（255.255.255.252） 用于本地路由器的廣域網端口

211.90.137.26（255.255.255.252） 用于對方（聯通）的端口

211.90.139.41（255.255.255.252） 供自己支配

211.90.139.42（255.255.255.252） 供自己支配

2． 路由器的配置

（1） 網絡連接示意圖：

說明：校內所有的工作站都與交換機連接，路由器也通過以太口連接在內部交換機上，路由器上以太口使用內部私有地址，光纖的兩端分別使用了聯通分配的兩個有效IP地址。在這種連接方式下，只要在路由器內部設置NAT，便可以使得單位內部的所有工作站訪問INTERNTE了，在每臺工作站上只需設置網關指向路由器的以太口（192.168.0.3）即可上網，無需設代理，并節省了兩個有效IP地址可供自己自由支配（如建立單位自已的WEB和E-MAIL服務器）。但也存在缺點：不能享受代理服務器提供的CACHE服務來提高訪問速度。所以本配置方案適合工作站數量較少的單位，對于單位內部工作站數量較多的情況可以使用后面介紹的兩種方法。路由器上具體配置如下：