NAT——網路地址轉換,是通過將專用網路地址(如企業內部網Intranet)轉換為公用地址(如網際網路Internet),從而對外隱藏了內部管理的IP位址。這樣,通過在內部使用非註冊的IP位址,並將它們轉換為一小部分外部註冊的IP位址,從而減少了IP位址註冊的費用以及節省了目前越來越缺乏的地址空間(即IPV4)。同時,這也隱藏了內部網路結構,從而降低了內部網路受到攻擊的風險。
NAT功能通常被集成到路由器、防火牆、單獨的NAT設備中,當然,現在比較流行的作業系統或其他軟體(主要是代理軟體,如WINROUTE),大多也有著NAT的功能。NAT設備(或軟體)維護一個狀態表,用來把內部網路的私有IP位址映射到外部網路的合法IP位址上去。每個包在NAT設備(或軟體)中都被翻譯成正確的IP位址發往下一級。與普通路由器不同的是,NAT設備實際上對包頭進行修改,將內部網路的源地址變為NAT設備自己的外部網路地址,而普通路由器僅在將數據包轉發到目的地前讀取源地址和目的地址。
產生背景
隨著接入Internet的計算機數量的不斷猛增,IP位址資源也就愈加顯得捉襟見肘。事實上,除了中國教育和科研計算機網(CERNET)外,一般用戶幾乎申請不到整段的C類IP位址。在其他ISP那裡,即使是擁有幾百台計算機的大型區域網路用戶,當他們申請IP位址時,所分配的地址也不過只有幾個或十幾個IP位址。顯然,這樣少的IP位址根本無法滿足網路用戶的需求,於是也就產生了NAT技術。
簡介
NAT英文全稱是“NetworkAddressTranslation”,中文意思是“網路地址轉換”,
圖1簡單的說,NAT就是在區域網路內部網路中使用內部地址,而當內部節點要與外部網路進行通訊時,就在網關(可以理解為出口,打個比方就像院子的門一樣)處,將內部地址替換成公用地址,從而在外部公網(internet)上正常使用,NAT可以使多台計算機共享Internet連線,這一功能很好地解決了公共IP位址緊缺的問題。通過這種方法,您可以只申請一個合法IP位址,就把整個區域網路中的計算機接入Internet中。
圖2這時,NAT禁止了內部網路,所有內部網計算機對於公共網路來說是不可見的,而內部網計算機用戶通常不會意識到NAT的存在,如圖2所示。
這裡提到的內部地址,是指在內部網路中分配給節點的私有IP位址,這個地址只能在內部網路中使用,不能被路由(一種網路技術,可以實現不同路徑轉發)。雖然內部地址可以隨機挑選,但是通常使用的是下面的地址:10.0.0.0~10.255.255.255,172.16.0.0~172.31.255.255,192.168.0.0~192.168.255.255。NAT將這些無法在網際網路上使用的保留IP位址翻譯成可以在網際網路上使用的合法IP位址。而全局地址,是指合法的IP位址,它是由NIC(網路信息中心)或者ISP(網路服務提供商)分配的地址,對外代表一個或多個內部局部地址,是全球統一的可定址的地址。
NAT功能通常被集成到路由器、防火牆、ISDN路由器或者單獨的NAT設備中。比如Cisco路由器中已經加入這一功能,網路管理員只需在路由器的IOS中設定NAT功能,就可以實現對內部網路的禁止。再比如防火牆將WEBServer的內部地址192.168.1.1映射為外部地址202.96.23.11,外部訪問202.96.23.11地址實際上就是訪問訪問192.168.1.1。另外資金有限的小型企業來說,現在通過軟體也可以實現這一功能。
NAT將自動修改IP報文頭申的源IP位址和目的IP位址,IP位址校驗則在NAT處理過程中自動完成。有些應用程式將源IP位址嵌入到IP報文的數據部分中,所以還需要同時對報文進行修改,以匹配IP頭中已經修改過的源IP位址。否則,在報文數據都分崩嵌入IP位址的應用程式就不能正常工作。
分類
NAT有三種類型:靜態NAT(StaticNAT)、動態地址NAT(PooledNAT)、網路地址連線埠轉換NAPT(Port-LevelNAT)。
其中靜態NAT設定起來最為簡單和最容易實現的一種,內部網路中的每個主機都被永久映射成外部網路中的某個合法的地址。而動態地址NAT則是在外部網路中定義了一系列的合法地址,採用動態分配的方法映射到內部網路。NAPT則是把內部地址映射到外部網路的一個IP位址的不同連線埠上。根據不同的需要,三種NAT方案各有利弊。
動態地址NAT只是轉換IP位址,它為每一個內部的IP位址分配一個臨時的外部IP位址,主要套用於撥號,對於頻繁的遠程聯接也可以採用動態NAT。當遠程用戶聯接上之後,動態地址NAT就會分配給他一個IP位址,用戶斷開時,這個IP位址就會被釋放而留待以後使用。
網路地址連線埠轉換NAPT(NetworkAddressPortTranslation)是人們比較熟悉的一種轉換方式。NAPT普遍套用於接入設備中,它可以將中小型的網路隱藏在一個合法的IP位址後面。NAPT與動態地址NAT不同,它將內部連線映射到外部網路中的一個單獨的IP位址上,同時在該地址上加上一個由NAT設備選定的TCP連線埠號。
在Internet中使用NAPT時,所有不同的信息流看起來好像來源於同一個IP位址。這個優點在小型辦公室內非常實用,通過從ISP處申請的一個IP位址,將多個連線通過NAPT接入Internet。實際上,許多SOHO遠程訪問設備支持基於PPP的動態IP位址。這樣,ISP甚至不需要支持NAPT,就可以做到多個內部IP位址共用一個外部IP位址上Internet,雖然這樣會導致信道的一定擁塞,但考慮到節省的ISP上網費用和易管理的特點,用NAPT還是很值得的。
NAT的實現過程
1>.可能是你的某些光碟質量不好,ibm的機器的cd-rom有的刻錄光碟就不能讀。
2>.NAT的問題說起來就麻煩了,簡單說說吧。
NAT的出現是為了解決IP位址枯竭的問題,如果一個公司申請連線Internet,可能分配到的合法ip僅僅為16個,或者更少,那么公司的內部網路就不能全部上網了,可能有些人會這樣想,我做個路由不就OK了,可是內部網路一般使用保留IP,這些IP能夠路由出去,卻不能回來,因為你的上一級路由是不會把目標地址為保留IP的包送到你的路由器的。
NAT的實現過程是這樣的:
通常在一個firewall或者router上起NAT,firewall有兩個NIC,一個接Internet,為合法IP,一個接LAN,為保留IP。
LAN的用戶的defualtgateway指向NAT的內部(LAN)接口,所有從LAN通過NAT出去的包在NAT處會進行一個轉換,通常會把這些包的源IP位址轉換成NAT的外部接口的合法IP位址,同時NAT在自己的連線表中添加一條記錄,以便這個包的應答包回來時知道應該送到哪裡。
改了源IP位址的包送到Internet,他的應答包肯定能夠回到NAT的外部接口,NAT接到應答包後,通過查看自己的連線表的記錄,更改應答包的目標IP,然後送到發出請求的工作站。
NAT通常和一些firewall產品綁定在一起,比如cisco的PIX。
NAT的原理及其注意事項
IP位址耗盡促成了CIDR的開發,但CIDR開發的主要目的是為了有效的使用現有的internet地址。而同時根據RFC1631(IPNetworkAddressTranslator)開發的NAT卻可以在多重的internet子網中使用相同的IP,用來減少註冊IP位址的使用。
NAT技術使得一個私有網路可以通過internet註冊IP連線到外部世界,位於inside網路和outside網路中的NAT路由器在傳送數據包之前,負責把內部IP翻譯成外部合法地址。內部網路的主機不可能同時於外部網路通信,所以只有一部分內部地址需要翻譯。
NAT的翻譯可以採取靜態翻譯(statictranslation)和動態翻譯(dynamictranslation)兩種。靜態翻譯將內部地址和外部地址一對一對應。當NAT需要確認哪個地址需要翻譯,翻譯時採用哪個地址pool時,就使用了動態翻譯。採用port
multiplexing技術,或改變外出數據的源port技術可以將多個內部IP位址影射到同一個外部地址,這就是PAT(portaddresstranslator)。
當影射一個外部IP到內部地址時,可以利用TCP的loaddistribution技術。使用這個特徵時,內部主機基於round-robin機制,將外部進來的新連線定向到不同的主機上去。注意:loaddistributiong只有在影射外部地址到內部的時候才有效。
NAT使用的幾種情況:
a,連線到internet,但卻沒有足夠的合法地址分配給內部主機。
b,更改到一個需要重新分配地址的ISP。
c,有相同的IP位址的兩個internat合併。
d,想支持負載均衡(主機)。
採用NAT後,一個最主要的改變就是你失去了端對端IP的traceability,也就是說,從此
你不能再經過NAT使用ping和traceroute,其次就是曾經的一些IP對IP的程式不再可以正常運行,潛在的不易被觀察到的缺點就是增加了網路延時。
NAT可以支持大部分IP協定,但有幾個協定需要注意,首先tftp,rlogin,rsh,rcp和ip
multicast都被NAT支持,其次就是bootp,snmp和路由表更新全部給拒絕了。
NAT的幾個相關概念:
InsideLocalIPaddress:指定於內部網路的主機地址,全局唯一,但為私有地址。
InsideGlobalIPaddress:代表一個或更多內部IP到外部世界的合法IP。
OutsideGlobalIPaddress:外部網路主機的合法IP。
OutsideLocalIPaddress:外部網路的主機地址,看起來是內部網路的,私有地址。
SimpleTranslationEntry:影射IP到另一個地址的Entry。
ExtendedTranslationEntry:影射IP位址和連線埠到另一個pair的Entry。
採用NAT,可以實現以下幾個功能:
a,Translationinsidelocaladdresses
b,overloadinginsideglobaladdresses
c,TCPloaddistribution
d,Handingoverlappingnetworks
下面我們一一敘述它們的工作原理。
a,內部地址翻譯(Translationinsidelocaladdresses):
這是比較通用的一種方法,將內部IP一對一的翻譯成外部地址。
在內部主機連線到外部網路時,當第一個數據包到達NAT路由器時,router檢查它的NAT表,因為是NAT是靜態配置的,故可以查詢出來(simplyentry),然後router將數據包的內部局部IP(源地址)更換成內部全局地址,再轉發出去。外部主機接受到數據包用接受到的內部全局地址來回響,NAT接受到外部回來的數據包,再根據NAT表把地址翻譯成內部局部IP,轉發過去。
b,內部全局地址復用(overloadinginsideglogaladdresses)
使用地址和連線埠pair將多個內部地址影射到比較少的外部地址。這也是所謂的PAT。和內部地址翻譯一樣,NATrouter同樣也負責查表和翻譯內部IP位址,唯一的區別就是由於使用了overloading,router將復用同樣的內部全局IP位址,並存儲足夠的信息以區分它和其他地址,這樣查詢出來的是extendedentry。
NATrouter和外部主機的通訊採用翻譯過的內部全局地址,故同一般的通信沒有差別,router到內部主機通訊時,同樣要查NAT表。
c,TCP負載重分配(TCPloaddistributing)和以上兩種操作不同,這是NAT由外到內的翻譯,所以那種以為WEBserver一定要放置到
NAT外部的說法是錯誤的。
工作原理:外部主機向虛擬主機(定義為內部全局地址)通訊,NATrouter接受外部主機的請求並依據NAT表建立與內部主機的連線,把內部全局地址(目的地址)翻譯成內部局部地址,並轉發數據包到內部主機,內部主機接受包並作出回響。NATrouter再使用內部局部地址和連線埠查詢數據表,根據查詢到的外部地址和連線埠做出回響。
此時,如果同一主機再做第二個連線,NATrouter將根據NAT表將建立與另一虛擬主機的連線,並轉發數據。
d,處理重疊網路。
這種方法主要用於兩個intranet的互連,同樣給我們處理兩個重疊網路提供了方法。它的實現要求DNSserver的支持(用於區別兩個不同的主機)。
1,主機A要求向主機C建立連線,先象DNSserver做地址查詢。
2,NATrouter截獲DNS的回響,如果地址有重疊,將翻譯返回的地址。它將創建一個simplyentry把重疊的外部全局地址(目的地址)翻譯成外部局部地址。
3,路由器轉發DNS回響到主機A,它已經把主機C的地址(外部全局地址)翻譯成外部局部地址。
4,當路由器接受到主機C的數據包時,它將建立內部局部、全局,外部全局、局部地址間的轉換,主機A將由內部局部地址(源地址)翻譯成內部全局地址,主機C將由外部全局地址(目的地址)翻譯成外部局部地址。
5,主機C接受數據包並繼續通訊。
=NAT的具體配置和校驗不再敘述
測試題目:
1,請問NAT實現四種功能時查詢的NAT表格是否相同,如果不同,說出它們的區別。
2,在使用動態地址翻譯時,要使用ACL,請問標準的和擴展的ACL都可以使用嗎?
3,在配置NAT後,所有數據包的交換可以走fast-switch嗎?
4,如果NATrouter沒有在NAT表格中查詢到NAT地址影射,它如何處理髮自內部主機的數據包?
5,NAT操作時,由外到內和由外到內的翻譯是否相同?
6,我們是否可以將我們的WEBSERVER放置到配置了NAT的router後的LAN里?
7,使用simplyentry的是NAT的哪種操作方式?
8,在哪種操作中更換IP數據包的目的地址,又在實現什麼功能時更改源地址?
如何正確套用網路地址轉換(NAT)技術
前言:隨著Internet技術的不斷以指數級速度增長,珍貴的網路地址分配給專用網路終於被視作是一種對寶貴的虛擬房地產的浪費。因此出現了網路地址轉換(NAT)標準,就是將某些IP位址留出來供專用網路重複使用。本文將詳細告訴你如何正確套用網路地址轉換NAT技術。
一、NAT技術的定義
NAT英文全稱是NetworkAddressTranslation,稱是網路地址轉換,它是一個IETF標準,允許一個機構以一個地址出現在Internet上。NAT將每個區域網路節點的地址轉換成一個IP位址,反之亦然。它也可以套用到防火牆技術里,把個別IP位址隱藏起來不被外界發現,使外界無法直接訪問內部網路設備,同時,它還幫助網路可以超越地址的限制,合理地安排網路中的公有Internet地址和私有IP位址的使用。
二、NAT技術的基本原理和類型
1、NAT技術基本原理
NAT技術能幫助解決令人頭痛的IP位址緊缺的問題,而且能使得內外網路隔離,提供一定的網路安全保障。它解決問題的辦法是:在內部網路中使用內部地址,通過NAT把內部地址翻譯成合法的IP位址在Internet上使用,其具體的做法是把IP包內的地址域用合法的IP位址來替換。NAT功能通常被集成到路由器、防火牆、ISDN路由器或者單獨的NAT設備中。NAT設備維護一個狀態表,用來把非法的IP位址映射到合法的IP位址上去。每個包在NAT設備中都被翻譯成正確的IP位址,發往下一級,這意味著給處理器帶來了一定的負擔。但對於一般的網路來說,這種負擔是微不足道的。
2、NAT技術的類型
NAT有三種類型:靜態NAT(StaticNAT)、動態地址NAT(PooledNAT)、網路地址連線埠轉換NAPT(Port-LevelNAT)。其中靜態NAT設定起來最為簡單和最容易實現的一種,內部網路中的每個主機都被永久映射成外部網路中的某個合法的地址。而動態地址NAT則是在外部網路中定義了一系列的合法地址,採用動態分配的方法映射到內部網路。NAPT則是把內部地址映射到外部網路的一個IP位址的不同連線埠上。根據不同的需要,三種NAT方案各有利弊。
動態地址NAT只是轉換IP位址,它為每一個內部的IP位址分配一個臨時的外部IP位址,主要套用於撥號,對於頻繁的遠程聯接也可以採用動態NAT。當遠程用戶聯接上之後,動態地址NAT就會分配給他一個IP位址,用戶斷開時,這個IP位址就會被釋放而留待以後使用。
網路地址連線埠轉換NAPT(NetworkAddressPortTranslation)是人們比較熟悉的一種轉換方式。NAPT普遍套用於接入設備中,它可以將中小型的網路隱藏在一個合法的IP位址後面。NAPT與動態地址NAT不同,它將內部連線映射到外部網路中的一個單獨的IP位址上,同時在該地址上加上一個由NAT設備選定的TCP連線埠號。
在Internet中使用NAPT時,所有不同的TCP和UDP信息流看起來好像來源於同一個IP位址。這個優點在小型辦公室內非常實用,通過從ISP處申請的一個IP位址,將多個連線通過NAPT接入Internet。實際上,許多SOHO遠程訪問設備支持基於PPP的動態IP位址。這樣,ISP甚至不需要支持NAPT,就可以做到多個內部IP位址共用一個外部IP位址上Internet,雖然這樣會導致信道的一定擁塞,但考慮到節省的ISP上網費用和易管理的特點,用NAPT還是很值得的。
三、在Internet中使用NAT技術
NAT技術可以讓你區域網路中的所有機器經由一台通往Internet的server線出去,而且只需要註冊該server的一個IP就夠了。在以往沒有NAT技術以前,我們必須在server上安裝sockd,並且所有的clients都必須要支援sockd,才能夠經過server的sockd連線出去。這種方式最大的問題是,通常只有telnet/ftp/www-browser支援sockd,其它的程式都不能使用;而且使用sockd的速度稍慢。因此我們使用網路地址轉換NAT技術,這樣client不需要做任何的更動,只需要把gateway設到該server上就可以了,而且所有的程式(例如kali/kahn等等)都可以使用。最簡單的NAT設備有兩條網路連線:一條連線到Internet,一條連線到專用網路。專用網路中使用私有IP位址(有時也被稱做Network10地址,地址使用留做專用的從10.0.0.0開始的地址)的主機,通過直接向NAT設備傳送數據包連線到Internet上。與普通路由器不同NAT設備實際上對包頭進行修改,將專用網路的源地址變為NAT設備自己的Internet地址,而普通路由器僅在將數據包轉發到目的地前讀取源地址和目的地址。
四、套用NAT技術的安全策略
1、套用NAT技術的安全問題
在使用NAT時,Internet上的主機表面上看起來直接與NAT設備通信,而非與專用網路中實際的主機通信。輸入的數據包被傳送到NAT設備的IP位址上,並且NAT設備將目的包頭地址由自己的Internet地址變為真正的目的主機的專用網路地址。而結果是,理論上一個全球唯一IP位址後面可以連線幾百台、幾千台乃至幾百萬台擁有專用地址的主機。但是,這實際上存在著缺陷。例如,許多Internet協定和套用依賴於真正的端到端網路,在這種網路上,數據包完全不加修改地從源地址傳送到目的地址。比如,IP安全架構不能跨NAT設備使用,因為包含原始IP源地址的原始包頭採用了數字簽名。如果改變源地址的話,數字簽名將不再有效。NAT還向我們提出了管理上的挑戰。儘管NAT對於一個缺少足夠的全球唯一Internet地址的組織、分支機構或者部門來說是一種不錯的解決方案,但是當重組、合併或收購需要對兩個或更多的專用網路進行整合時,它就變成了一種嚴重的問題。甚至在組織結構穩定的情況下,NAT系統不能多層嵌套,從而造成路由噩夢。
2、套用NAT技術的安全策略
當我們改變網路的IP位址時,都要仔細考慮這樣做會給網路中已有的安全機制帶來什麼樣的影響。如,防火牆根據IP報頭中包含的TCP連線埠號、信宿地址、信源地址以及其它一些信息來決定是否讓該數據包通過。可以依NAT設備所處位置來改變防火牆過濾規則,這是因為NAT改變了信源或信宿地址。如果一個NAT設備,如一台內部路由器,被置於受防火牆保護的一側,將不得不改變負責控制NAT設備身後網路流量的所有安全規則。在許多網路中,NAT機制都是在防火牆上實現的。它的目的是使防火牆能夠提供對網路訪問與地址轉換的雙重控制功能。除非可以嚴格地限定哪一種網路連線可以被進行NAT轉換,否則不要將NAT設備置於防火牆之外。任何一個淘氣的黑客,只要他能夠使NAT誤以為他的連線請求是被允許的,都可以以一個授權用戶的身份對你的網路進行訪問。如果企業正在邁向網路技術的前沿,並正在使用IP安全協定(IPSec)來構造一個虛擬專用網(VPN)時,錯誤地放置NAT設備會毀了計畫。原則上,NAT設備應該被置於VPN受保護的一側,因為NAT需要改動IP報頭中的地址域,而在IPSec報頭中該域是無法被改變的,這使可以準確地獲知原始報文是發自哪一台工作站的。如果IP位址被改變了,那么IPSec的安全機制也就失效了,因為既然信源地址都可以被改動,那么報文內容就更不用說了。那么NAT技術在系統中我們應採用以下幾個策略:
①網路地址轉換模組
NAT技術模組是本系統核心部分,而且只有本模組與網路層有關,因此,這一部分應和Unix系統本身的網路層處理部分緊密結合在一起,或對其直接進行修改。本模組進一步可細分為包交換子模組、數據包頭替換子模組、規則處理子模組、連線記錄子模組與真實地址分配子模組及傳輸層過濾子模組。
②集中訪問控制模組
集中訪問控制模組可進一步細分為請求認證子模組和連線中繼子模組。請求認證子模組主要負責和認證與訪問控制系統通過一種可信的安全機制交換各種身份鑑別信息,識別出合法的用戶,並根據用戶預先被賦予的許可權決定後續的連線形式。連線中繼子模組的主要功能是為用戶建立起一條最終的無中繼的連線通道,並在需要的情況下向內部伺服器傳送鑑別過的用戶身份信息,以完成相關服務協定中所需的鑑別流程。
③臨時訪問連線埠表
為了區分數據包的服務對象和防止攻擊者對內部主機發起的連線進行非授權的利用,網關把內部主機使用的臨時連線埠、協定類型和內部主機地址登記在臨時連線埠使用表中。由於網關不知道內部主機可能要使用的臨時連線埠,故臨時連線埠使用表是由網關根據接收的數據包動態生成的。對於入向的數據包,防火牆只讓那些訪問控制表許可的或者臨時連線埠使用表登記的數據包通過。
④認證與訪問控制系統
認證與訪問控制系統包括用戶鑑別模組和訪問控制模組,實現用戶的身份鑑別和安全策略的控制。其中用戶鑑別模組採用一次性口令(One-TimePassword)認證技術中Challenge/Response機制實現遠程和當地用戶的身份鑑別,保護合法用戶的有效訪問和限制非法用戶的訪問。它採用Telnet和WEB兩種實現方式,滿足不同系統環境下用戶的套用需求。訪問控制模組是基於自主型訪問控制策略(DAC),採用ACL的方式,按照用戶(組)、地址(組)、服務類型、服務時間等訪問控制因素決定對用戶是否授權訪問。
⑤網路安全監控系統
監控與入侵檢測系統作為系統端的監控進程,負責接受進入系統的所有信息,並對信息包進行分析和歸類,對可能出現的入侵及時發出報警信息;同時如發現有合法用戶的非法訪問和非法用戶的訪問,監控系統將及時斷開訪問連線,並進行追蹤檢查。
⑥基於WEB的防火牆管理系統
管理系統主要負責網路地址轉換模組、集中訪問控制模組、認證與訪問控制系統、監控系統等模組的系統配置和監控。它採用基於WEB的管理模式,由於管理系統所涉及到的信息大部分是關於用戶帳號等敏感數據信息,故應充分保證信息的安全性,我們採用JAVAAPPLET技術代替CGI技術,在信息傳遞過程中採用加密等安全技術保證用戶信息的安全性。
結尾:儘管NAT技術可以給我們帶來各種好處,例如無需為網路重分IP位址、減少ISP帳號花費以及提供更完善的負載平衡功能等,NAT技術對一些管理和安全機制的潛在威脅仍在,看你如何正確套用好網路地址轉換NAT技術.
區域網路“NAT”伺服器組建全攻略
剛上網用代理?
好累!!
100台機器的IP、網關和DNS配置老總還要從國外訪問他的愛機還好我會用NAT,哈哈……
基於NAT的網路規劃曾經有一個朋友問我,他們單位有一個100台機器的大機房,要實現每一台計算機都上網,有沒有什麼好辦法?我認為,用代理是一個辦法,但是工作量比較大,要為每一台機器分別安裝客戶端軟體,而且還要設定IP位址、網關、DNS伺服器等。後來,我想到了一個不錯的方法,那就是建立NAT伺服器,在伺服器上配置DNS和DHCP伺服器,每個工作站只要做簡單的設定就能自動接入Internet了,同時還能讓網外的計算機直接訪問內部網的特定計算機呢。
服務端組件配置具體步驟
1.在撥號連線埠上啟用路由如果接入Internet的連線是永久性連線,在Windows2000中是LAN接口(如DDS、T-Carrier、幀中繼、永久ISDN、xDSL或電纜數據機);或者運行Windows2000的計算機連線到Internet之前先連線到其他路由器,而LAN接口靜態地或通過DHCP配置IP位址、子網掩碼和默認網關,請直接跳過添加NAT路由選擇協定的步驟。有關在撥號連線埠上啟用路由選擇的信息,請參閱“在連線埠上啟用路由”的幫助。
2.使用撥號接口來連線Internet需要有數據機和由ISP提供商提供的撥號連線
3.創建使用Internet接口的默認靜態路由對於默認的靜態路由,需要選擇用於連線Internet的請求撥號接口(用於撥號連線)或LAN接口(用於永久性或中介路由器連線)。目標位置是0.0.0.0,網路掩碼是0.0.0.0。對於請求撥號接口,網關的IP位址是不可配置的。
4.添加NAT路由選擇協定。具體操作打開路由和遠程訪問;在控制台目錄樹中,單擊“servername-IP路由-常規”;右鍵單擊“常規”,然後單擊“新路由選擇協定”;在“路由選擇協定”對話框中,單擊“網路地址轉換”,然後單擊“確定”。
5.將Internet及內部網路接口添加到NAT路由協定,具體操作打開路由和遠程訪問;在控制台目錄樹中,單擊“servername-IP路由-常規”;右鍵單擊“常規”,然後單擊“新路由選擇協定”;在“路由選擇協定”對話框中,單擊“網路地址轉換”,然後單擊“確定”。
6.啟用網路地址轉換定址在路由和遠程訪問控制台目錄樹中,單擊“NAT”;右鍵單擊“NAT”,選擇“屬性”;在“地址指派”選項卡上,選中“通過使用DHCP自動指派IP位址”複選框;在“IP位址”和“掩碼”中配置IP位址範圍以分配給專用網路上的DHCP客戶;.單擊“排除”,配置從分配給專用網路DHCP客戶中排除的地址,然後單擊“確定”;7.啟用網路地址轉換名稱解析在路由和遠程訪問控制台目錄樹中,單擊“NAT”;右鍵單擊NAT,選擇“屬性”;在“名稱解析”選項卡上,對於DNS伺服器主機名稱解析,選中“使用域名系統(DNS)客戶”複選框。
7.當專用網路上的主機將DNS名稱查詢傳送到NAT計算機時,需要初始化接入Internet的連線,則請選中“當名稱需要解析時連線到公共網路”複選框,然後單擊“請求撥號接口”中適當的請求撥號接口名稱。要注意的是:網路地址轉換定址功能只從與單個子網對應的單個範圍指派地址。如果將內部網路LAN接口添加到NAT路由協定,則採用單個子網配置(此處所有的LAN接口都連線到相同網路)。如果LAN接口連線不同網路,不同網路上的客戶之間將不能連線。
重要注意事項
1.如果此伺服器是Windows2000ActiveDirectory域成員並且你不是域管理員,則請指示域管理員將此伺服器的計算機賬戶添加到域中的“RAS和IAS伺服器”安全組,此伺服器是該域中的成員。有兩種方法:一是通過使用ActiveDirectory用戶將計算機加入到安全組;二是使用NetshRasAddRegisteredserver命令,域管理員可以將計算機賬戶添加到“RAS和IAS伺服器”安全組。
2.在配置內部網路接口的IP位址時,在配置地址轉換(NAT)伺服器之前,請確定你的伺服器有兩個網路連線。在例子中,我們在伺服器上安裝了兩塊網卡,其中一塊IP位址為:202.204.219.111,它是外部地址,可以直接連線到Internet;另一塊IP位址是:192.168.0.1,子網掩碼:255.255.255.0,沒有默認網關,它作為內部網路連線的接口,和內部客戶計算機在同一網段(192.168.0.0)。
配置內部網路上的其它計算機在內部網路的其它計算機上配置TCP/IP協定以自動獲得IP位址,然後重新啟動計算機。當內部網路上的計算機從網路地址轉換計算機接收IP位址配置時,用戶會自動獲得:
1.IP位址:地址範圍為192.168.0.0;2.子網掩碼:255.255.255.0;3.默認網關:地址轉換(NAT)伺服器的Internet連線接口的IP位址(公網地址);4.DNS伺服器:地址轉換(NAT)伺服器的Internet連線接口的IP位址(公網地址)。
進階知識點高級網路地址轉換設定1.如果ISP服務商,已經提供了可用的公網地址,我們可以把地址轉換(NAT)伺服器的Internet連線接口的IP位址,設為這個IP位址。
2.如果Internet上的用戶想要訪問內部網路上的資源,需要添加特殊的連線埠,此連線埠將公用IP位址和連線埠數映射到內部網路IP位址和連線埠數。
