比如工商银行或者农行,一登陆就显示超时重新登陆这样的提示,同机器上网是正常的,是不是nat设置不当?

[ 本帖最后由 badbone 于 2008-7-20 21:50 编辑 ]

由 hongg 在 2008-07-20 09:45 发表:

IP会话保持的问题[转贴]

IP会话保持的问题
本帖被 ilovebgp4 设置为精华(2007-08-20)

近来遇到比较有趣的情况:

在NS防火墙的对外接口起用地址池,内网用户通过 Port Translation NAT访问互连网,在访问移动网上营业厅和工商银行个人网上银行的时候始终无法通过,登陆界面显示正常,但输入用户名和密码后就是无法通过. 后用单IP做NAT测试,可以正常通过.怀疑是服务器端的SSL应用强制了CLIENT IP 的会话保持,也可能是负载均衡设备上做了这样的设置,而我们是使用的 DIP 的Port Translation NAT,这样我们的SESSION中的CONNECT的源IP可能是变动的,自然就无法访问这些服务器.


翻到老帖子了,已经解决

我开始也遇到过
你把哪些全部删除了
然后再进去
在重新弄试试
我的就是后来重新下载的弄好了
还有一种可能就是你频繁登陆工行网站
把证书什么的安装重复了
反正都卸载了重新弄就好了
我的就是这种情况现在好了
祝你成功

我说的就是工行的

此问题是由于您的登录方式错误造成的。若您选择了只使用“用户名+网银登录密码”方式登录，那么您在登录时就不要使用“卡号+网银登录密码”的方式。反之也是如此。
另外，若您安装控件时提示您被锁定，请您进行以下操作：
（1）登录工行门户网站www.icbc.com.cn；
（2）请登录工行门户网站www.icbc.com.cn，点击“个人网上银行登录”下方的“下载”。进入下一个页面后，下载并安装控件程序。
（3）打开IE浏览器，选择“工具”菜单-->“Internet选项”-->“高级”标签-->点击“还原默认设置”，点击“确定”后关闭所有IE浏览器窗口；
（4）打开IE浏览器，选择“工具”菜单-->“Internet选项”-->“常规”标签-->Internet临时文件设置中的“检查所存网页的较新版本”选择“每次访问此页时检查”。并在Internet临时文件设置中点击“删除文件”，在“删除所有脱机内容”前打勾后点击确定关闭对话框，关闭所有IE窗口；
（5）若您安装了IE6 SP2浏览器或IE7浏览器，当安全控件被浏览器拦截时会在地址栏下方出现黄色的提示条，此时，只需点击这个提示条，在弹出的菜单中选择“安装此ActiveX插件”。在对话框中先点击“更多选项”，单选“总是安装来自”Industrial and Commercial Bank of China”的软件”，并点击“安装”按钮，以便使安全控件下载并生效。
（6）若您安装了具有拦截功能的软件，请您将其先行退出或卸载。
（7）重启电脑。

请您进行以下操作：
（1）打开IE浏览器，选择“工具”菜单-->“Internet选项”-->“高级”标签-->点击“还原默认设置”，点击“确定”后关闭所有IE浏览器窗口；
（2）打开IE浏览器，选择“工具”菜单-->“Internet选项”-->“常规”标签-->Internet临时文件设置中的“检查所存网页的较新版本”选择“每次访问此页时检查”。并在Internet临时文件设置中点击“删除文件”，在“删除所有脱机内容”前打勾后点击确定关闭对话框，关闭所有IE窗口；
（3）打开IE浏览器，选择“工具”菜单-->“Internet选项”-->“安全”标签，在“请为不同区域的Web内容制定安全设置（z）”窗口内选择“Internet”，然后选择“自定义级别”，将“Activex控件和插件”中“下载已签名的Activex控件”、“运行Activex控件”等设置为“启用”或“提示”，点击确定后，请重新启动电脑；
（4）若您安装了3721上网助手之类的软件，请您将其完全卸载；
（5）请登录工行门户网站www.icbc.com.cn，点击“个人网上银行登录”下方的“下载”。进入下一个页面后，下载并安装控件程序。
若上述操作仍然不行，由于各地区网上银行缴费站业务不同，具体情况请您咨询当地95588。

支付宝不是有一个什么安全软件吗！你安装了没有。 要不你就清楚一下COOKieS试试。(右击IE浏览器-属性里面)

NAT协议
网络地址转换
NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。如图





简单的说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将内部地址替换成公用地址，从而在外部公网（internet）上正常使用，NAT可以使多台计算机共享Internet连接，这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法，您可以只申请一个合法IP地址，就把整个局域网中的计算机接入Internet中。这时，NAT屏蔽了内部网络，所有内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常不会意识到NAT的存在。如图2所示。这里提到的内部地址，是指在内部网络中分配给节点的私有IP地址，这个地址只能在内部网络中使用，不能被路由（一种网络技术，可以实现不同路径转发）。虽然内部地址可以随机挑选，但是通常使用的是下面的地址：10.0.0.0~10.255.255.255，172.16.0.0~172.16.255.255，192.168.0.0~192.168.255.255。NAT将这些无法在互联网上使用的保留IP地址翻译成可以在互联网上使用的合法IP地址。而全局地址，是指合法的IP地址，它是由NIC（网络信息中心）或者ISP(网络服务提供商)分配的地址，对外代表一个或多个内部局部地址，是全球统一的可寻址的地址。




NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。比如Cisco路由器中已经加入这一功能，网络管理员只需在路由器的IOS中设置NAT功能，就可以实现对内部网络的屏蔽。再比如防火墙将WEB Server的内部地址192.168.1.1映射为外部地址202.96.23.11，外部访问202.96.23.11地址实际上就是访问访问192.168.1.1。另外资金有限的小型企业来说，现在通过软件也可以实现这一功能。Windows 98 SE、Windows 2000 都包含了这一功能。

NAT技术类型
NAT有三种类型：静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT（Port－Level NAT）。
其中静态NAT设置起来最为简单和最容易实现的一种，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，三种NAT方案各有利弊。
动态地址NAT只是转换IP地址，它为每一个内部的IP地址分配一个临时的外部IP地址，主要应用于拨号，对于频繁的远程联接也可以采用动态NAT。当远程用户联接上之后，动态地址NAT就会分配给他一个IP地址，用户断开时，这个IP地址就会被释放而留待以后使用。
网络地址端口转换NAPT（Network Address Port Translation）是人们比较熟悉的一种转换方式。NAPT普遍应用于接入设备中，它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。
在Internet中使用NAPT时，所有不同的信息流看起来好像来源于同一个IP地址。这个优点在小型办公室内非常实用，通过从ISP处申请的一个IP地址，将多个连接通过NAPT接入Internet。实际上，许多SOHO远程访问设备支持基于PPP的动态IP地址。这样，ISP甚至不需要支持NAPT，就可以做到多个内部IP地址共用一个外部IP地址上Internet，虽然这样会导致信道的一定拥塞，但考虑到节省的ISP上网费用和易管理的特点，用NAPT还是很值得的。

共享上网实现的方法
共享上网其中最主要的功能，是针对内部已经实现联网的企业，让所有联网的电脑一起共享上网帐号和线路，既满足工作需要又大幅度节约经费，也许有人会问，如果用56K拨号上网，几个人用一条电话线上网会不会慢呢？答案是并不是绝对的，其实一个人用一条电话线上网浪费了不少资源，例如当您在阅读网页的时候，其实线路是很空闲的。还有，当您访问一些比较慢的网站，线路传输的速度远远达不到MODEM的连接速度。所以完全不必担心，如果使用ADSL等宽带连接的话那么即使多人共用一条线路也会比独立的56K拨号要来的快。

要实现共享上网首先必须了解是否具备了实现的条件。首先计算机是少不了的，并且所有的计算机必须已经联网，即局域网正常工作，通常还需要局域网各台电脑安装好了TCP/IP网络协议，其次是一条连接互联网的线路，56K或者ISDN拨号，ADSL均可，通常拨号和ADSL性价比较好。另外就是该线路的连接设备(MODEM，ISDN TA 等)也需要准备好，局域网中一台电脑通过该线路能够正常上网。共享上网从技术实现角度来说分为：硬件共享上网和软件共享上网。

硬件共享上网：通常使用共享上网路由器，该类设备通常除具有共享上网的功能外，还具有HUB的功能。它们通过内置的硬件芯片来完成互联网和局域网之间数据包的交换管理，实质也就是在芯片中固化了共享上网软件，当然功能强大的大型路由器不在此列。由于是硬件工作不依赖于操作系统所以稳定性较好，但是可更新性相对软件显得差一些，并且需要另外投资购买，据笔者了解，一般的共享上网路由器也就2000元上下，花销也不是很大。

软件共享上网：软件共享上网就是在办公室局域网中的一台具有互联网连接线路的计算机上安装共享上网软件后实现整个局域网的共享Internet。软件共享上网的优势在于花费低廉，并且有些共享上网软件甚至是免费的，而且软件更新较快，可以比较快的适应互联网新的接入技术和应用协议，缺点就是需要专门使用一台电脑来作为共享上网服务器，为其他计算机提供上网能力，并且这台电脑的性能不能太低，另外它依赖于操作系统，是一个标准的应用程序所以稳定性相对硬件方式略差。 无论是软件还是硬件方式其工作原理都是把局域网内部的网络请求做转换处理以后从连接互联网的线路发送到互联网，然后把从互联网接收到的数据在处理以后发送到发出该请求的内部计算机上，其基本的网络结构如下图所示。



由于软件方式只需要在现有办公室局域网上增加一个软件，不需要额外的资金投入，所以目前是主流的共享上网方式。

代理软件的分类

软件方式用于共享上网的软件目前分为两个大的类别，分别是Proxy代理服务器类型和 NAT网络地址转换型，其中NAT网络地址转换型通常也称为网关型。

代理服务器英文全称是Proxy Server，其功能就是代理网络用户去取得网络信息。它就好比是网络信息的中转站。在一般情况下，我们使用网络浏览器直接去连接其他Internet站点取得网络信息时，都是送出请求信号，然后对方再把所请求的信息传送回来。

代理服务器是介于客户机网络应用程序和Internet相应服务器之间的一台服务器。例如客户机是浏览器则Internet上就是Web服务器做响应，有了代理服务器之后，浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求，请求信号会先送到代理服务器，由代理服务器向Web服务器来取回浏览器所需要的信息并传送给你的浏览器。而且，大部分代理服务器都具有缓存的功能，它有很大的存储空间，它不断将新取得数据储存到本机的存储器上，如果浏览器所请求的数据在本机的存储器上已经存在而且是最新的，那么它就不从Web服务器取得数据，而直接将存储器上的数据传送给用户的浏览器，这样就能显著提高浏览速度和效率。由于互联网存在多种应用协议 Web，FTP，POP3等所以代理服务器一般都具有同时支持多种应用的能力。

局域网使用代理服务器方式具有以下几个有点：代理服务器具有缓存功能可以加快对网络的访问速度，由于代理服务器对每一种网络应用都是独立进行代理工作，所以对用户具有很强的控制管理能力，但是这同时也是代理服务器方式的缺点，对新出现的网络应用无法支持，对每一种网络应用都需要进行正确的配置，每个客户端的每种网络应用软件都需要进行配置。

NAT是Network Address Translation的缩写，采用网络地址转换技术，局域网内部的"非法互联网IP地址"通过NAT 可以转化成"合法互联网IP地址"，实现对外界网络如Internet的合法访问。NAT的实质其实可以这样理解，就是一个在数据包底层的Proxy代理，它不再单独为每一种互联网应用协议例如http,ftp,telnet做代理工作，它作的是每个TCP/IP数据包的代理。

采用地址转换技术，NAT将内部客户机发出的每一个IP数据包地址进行检查和翻译，把包内的请求端IP地址数据纪录并重新打包成合法的互联网外部IP地址发送到互联网。然后NAT把由互联网获得的数据包根据请求端纪录把目的IP地址在数据包内部进行重组，使其转换为局域网客户端的IP地址然后发送到客户端。

NAT共享上网的优势在于内部的机器只需要设置共享服务器的地址为客户端机器的网关，服务软件就完成所有转换工作，客户端就好像一台具有真正连接互联网能力的机器一样，由于NAT针对每一个数据包转换，也就不存在不同网络应用协议的需要分别代理和处理的问题，用户不需要考虑根据每一种网络应用程序进行连接代理的配置工作，使用起来无拘无束。所以有时叫它"透明代理"。NAT由于其全透明，全底层的工作方式，所以对客户机所使用的网络应用程序在控制管理能力上比Proxy类型就差了一些，但是随着开发公司对IP数据包研究的加深，控制管理能力也在逐步增强，现在的NAT共享上网软件控制管理能力比刚出来的时候已经强大了很多。 无论是使用Proxy还是NAT类型共享上网还有一个好处是具有防火墙功能，当外界主动连接局域网的时候，由于局域网对外只具有一个合法IP地址，外界连接的只是用于共享上网的那台代理服务器，内部其他的客户机是无法访问的，无法访问当然也就无法入侵。所以比较各台计算机独立上网方式，共享上网大大提高了计算机的数据安全。

目前局域网共享上网所使用软件有很多，下面我们就按照工作方式分给大家介绍一些，方便大家工作中选用，以下介绍的软件都可以运行于Windows 9x，NT和Windows 2000作为共享上网服务器。

一）Proxy类型：
1 WinGate：老牌Proxy类型共享上网软件，由于NAT灵活透明，现在已经在原Proxy服务功能上加入了NAT功能，支持更多网络软件，目前最新版本为4.3，现有的网络应用协议都能支持，支持Modems, T1-T3, DSL, Cable, ISDN等多种互联网连接方式。可以到 www.wingate.com下载最新版本。

2 Winproxy： 由ositis软件公司开发的标准Proxy型代理软件，支持绝大部分现有的网络应用协议，例如HTTP，FTP，POP3，Socks4,Socks5等。并且还具有网络病毒监测能力，阻止外界计算机病毒的入侵，管理控制能力很强，其最新版本也加入了NAT功能以便支持更多的互联网应用协议。下载网址：www.ositis.com 。

3 AnalogX Proxy ：支持FTP、HTTP、HTTPS、POP3、NNTP、SMTP多种协议的Proxy类型代理服务器软件，下载地址www.analogx.com l CProxy Server：支持多种协议，提供病毒扫描，网站和内容过滤，快速缓存等。下载网址：www.computalynx.net。

二）NAT 类型：
1 WinrRoute：功能超强，具有软件路由器的美名，支持各种协议和联网方式，能够提供外界访问内部web,mail等服务器的路由功能，管理控制能力在NAT类型的共享上网服务软件中也很强。同时也带有Proxy服务和缓存加速,SMTP等功能。下载网址是：www.tinysoftware.com 。

2 Sygate：著名的NAT共享上网软件，支持所有网络应用协议，支持各种联网方式，其Office专业版还可以控制每个客户端使用的网络带宽，用的更多的是Home版本，设置使用简单方便，控制管理能力弱些。下载网址是：www.sygate.com 。

3 Internet GateWay Server：Vicom开发的NAT服务软件，支持多种网络协议和连接方式，最具特色的是自带PPPoE协议，直接支持ADSL的虚拟拨号上网而不需要安装 PPPoE软件，带有流量显示图可及时掌握带宽使用情况。下载网址：www.vicomsoft.com 。

4 Windows 2000 & Windows 98se/me 自带的ICS（Internet Connection Share）,这也是一套NAT类型的共享上网软件，安装以上版本的Windows以后就可以添加该组件实现共享上网，但是功能比较简单，管理控制能力几乎没有，与ADSL配合问题较多。

5 i.Share：一套全傻瓜和特殊的NAT软件，通过局域网的IPX协议来进行转换，只需要在服务端和客户端安装以后不需要设置即可工作，控制管理能力一般。