winIIS 2008-9-28 09:32
用WINDOWS2003 完成NAT网络地址转换
[font=Times New Roman] NAT——网络地址转换(Network AddressTranslation),即把内部网络(如企业内部网Intranet)的私有IP地址转换成可以访问互联网Internet的合法公有IP,从而隐藏了内部网络的结构,相对的提高了其内部网络的安全性,由于它占用少量的公有IP,因而暂时缓解了IPV4地址空间的不足,为IPV6的到来赢得了一定的时间。
NAT一般应用在内部网络与外部网络的交接处,这台具有NAT技术的设备(计算机),称为NAT服务器。现在很多企业在应用NAT服务器,通过它来连接Internet,不仅可以为企业减少部分开支,而且连接起来比较方便,这些都取决于它的工作原理:一般在企业的出口配一台NAT服务器,当企业内部的网络信息到出口NAT服务器时,会进行地址转换,通常以公有IP+端口号方式替换原有的私有IP地址(之所以这样做,是因为可以使用少量IP访问Internet,从而减少上网费用),假如说要访问Internet上的一台WEB服务器,当WEB服务器响应后,发回信息到达NAT服务器会以公有IP+端口转换为出去访问WEB服务器时对应的企业网络内部的私有IP地址。
NAT服务器实现的功能与IP路由器类似,可以说是一样的,NAT也有两个接口,即需要两块网卡,一块网卡连接互联网Internet,对应着一些合法公有IP地址范围(这些地址范围很小,有时甚至于没有地址范围,仅仅就租用了一个合法的公有IP地址),另一块网卡连接内部网络的交换机(或路由器),交换机(或路由器)连接着内部网络的主机(其主机分配的是私有IP地址),不同的是,NAT服务器是通过操作系统中软件实现的,而IP路由器是通过硬件来实现,并且其购买成本远远大于一台NAT服务器,操作起来也没有NAT服务器简单,因而现在很多企业中应用NAT服务器连接互联网Internet,这些企业的网络规模是有限制,比如说只有几百台计算机连入互联网Internet,可以用NAT服务器,如果计算机的数量到达几千台,几万台甚至于更多的话,只能考虑用IP路由器。
[/font][font=Times New Roman] 上面介绍了NAT的相关理论知识,具体的设置以WINDOWS 2003SERVER为例,在NAT服务器上加两块网卡,一块是与内部网络相连(IP:192.168.1.1),另一块则是与外部网络相连(IP:202.206.172.35),在配置之前,内部私有网络及外部公用网络的数据传输没有问题。具体配置如下:
(1)以系统管理员Administrator的身份登录Windows 2000 server服务器,然后选择“开始→设置→控制面板→管理工具→路由和远程访问”,打开如图1所示的窗体。[/font]
[font=Times New Roman]
[/font]
[align=center][font=Times New Roman][img]http://www.0311windows.com/UpLoadFiles/Article/2008-7/2008071507394215605.gif[/img]
图1 路由和远程访问[/font][/align][align=left][font=Times New Roman]
(2)右击图1中“W2K3ENT(本地)”,从弹出的快捷菜单中选择“配置并启用路由和远程访问”,打开“路由和远程访问服务器安装向导”,单击“下一步”按钮,在“配置”对话框中选择“网络地址转换(NAT)”,单击“下一步”按钮,从“NATInternet连接”对话框中选中“使用公共接口连接到Internet(U):”,在该选项下边的名称中选择连接到Internet的那块网卡,然后在弹出来的“名称和地址转换服务”对话框中选择“启用基本的名称和地址服务”,一直到最后单击“完成”按钮,打开如图2所示的窗体。
[/font][/align][align=center][font=Times New Roman][img]http://www.0311windows.com/UpLoadFiles/Article/2008-7/2008071507401896179.gif[/img]
图2 安装NAT后的窗体[/font][/align][align=left][font=Times New Roman]
(3)单击图2左侧中的“NAT/基本防火墙”,会在右侧出现安装在NAT服务器上的两块网卡接口,若NAT服务器上只有一个公网IP时,不会对地址池做相应的设置,如果有多个公网IP,要在连接Internet的网卡上设置地址池,从右侧双击连接到Internet的网卡接口,从弹出来的“Internet属性”对话框中选择“地址池”选项卡,单击“添加”按钮,在“添加地址池”对话框中输入从ISP提供商租到的IP地址段。如果从ISP提供商那里租到掩码为255.255.255.248的网段,那么地址池设置如图3所示,地址池设置好之后,可以设置保留地址,假如说某企业网络内部有一台WEB服务器(IP:192.168.1.35),需要为其保留一个公有IP,具体设置如图4所示,设置好WEB服务器的保留地址后,当从企业外部网部(互联网Internet)访问202.206.172.35时,相当于直接访问到192.168.1.35。 [/font][/align]
winIIS 2008-9-28 09:34
[align=center][img]http://www.0311windows.com/UpLoadFiles/Article/2008-7/2008071507404455068.gif[/img]
图3 地址池的设置
[img]http://www.0311windows.com/UpLoadFiles/Article/2008-7/2008071507410652350.gif[/img]
图4 保留IP地址[/align][align=left]
(4)在“服务和端口”选项卡中,把Internet的一个公有IP的端口映射到内网的一个IP,比如说映射到远程桌面,单击“远程桌面”,打开“编辑服务”对话框,选择“在此接口”,在其后的 IP地址框中输入所要连接到的远程主机IP,即内部网络某台主机的私有IP地址。从图5中可以看到远程桌面采用的TCP的3389端口,在“专用地址(p):”后面的IP地址框中默认是0.0.0.0表示的是在地址池中所有公有IP都是可以用的,即在进行远程登陆的时候,输入地址池中的任何一个公有IP,都是可以远程登陆到192.168.1.33这台主机,如果公有IP数目不多,可以在“专用地址(P)”中输入一个固定的公有IP地址,而且在这里只输入一个固定公有IP地址是最安全的(推荐)。如果只设置地址池,则公有IP的所有的端口都映射到内部的IP,这是与设置“服务和端口”的区别。
[/align][align=center][img]http://www.0311windows.com/UpLoadFiles/Article/2008-7/2008071507412474960.gif[/img]
图5 远程桌面的设置[/align][align=left]
(5)在“ICMP”选项卡中的简单设置,如图6所示,选中“传入的回应请求”,表示其他人可以PING通租用的公有IP, 若没有选中,就PING不通了。[/align][font=Times New Roman] [/font]
[align=center][font=Times New Roman][img]http://www.0311windows.com/UpLoadFiles/Article/2008-7/2008071507415152306.gif[/img]
图6 ICMP简单设置[/font][/align][font=Times New Roman]
(6)以上3-5步介绍连接Internet网卡接口上所做的设置,现在在连接内部网络网卡接口上做一些设置,双击连接到内部网络的网卡接口,弹出其属性对话框,从中可以看到“入站筛选器(F)”按钮,此按钮中的“入站”表示的是所有通过连接网络内部的网卡访问NAT服务器为入站,如网络内部的私有IP:192.168.1.35等需要通此网卡上网,单击“入站筛选器(F)”按钮,可以做一些筛选,假如说源网络IP为192.168.1.35,子网掩码为255.255.255.255,这里出现四个255表示一台主机,如果子网掩码为255.255.255.0则代表192.168.1.0这个网段,目标网络为[url=http://www.0311windows.com/]www.0311windows.com[/url]的IP地址(从“开始”菜单中选择“运行”,在打开的“运行”对话框中输入CMD,回车,进入命令提示符,在提示符中输入pingwww.0311windows..com可以查出其IP地址)。在“入站筛选器”对话框中单击“新建”按钮,打开“添加IP筛选器”对话框,输入源网络IP及其子网掩码,目标网络及其子网掩码,如图7所示,单击“确定”按钮,返回到“入站筛选器”对话框,在“筛选器操作”中选择“选择所有除符合下列条件以外的数据包(C)”这一项可以实现源IP:192.168.1.33不能访问[url=http://www.0311windows.com]www.0311windows.com[/url]网站,也可以在连接Internet网卡接口其属性中设置“出站筛选器”,可以实现同样的功能。[/font]
winIIS 2008-9-28 09:34
[img]http://www.0311windows.com/UpLoadFiles/Article/2008-7/2008071507421297493.gif[/img]