NAT-2003-10-19-lw

NAT是什么?NAT是什么?NAT是Network Address Translation(网络地址转换)的缩略语，是使用一台路由器在你的专用网络中的PC之间实现互连网接入共享的一种技术，尽管那些PC没有一个合法的公共IP地址。

NAT路由器有硬件和软件两种。

在这个特殊的情况下，我们将设置一台Windows Server 2003服务器作为一个基于软件的NAT路由器。

正如你可能知道的那样，路由器的主要目的是管理两个网络之间的通信流，NAT路由器也不例外。

你要用作NAT路由器的服务器必须要安装两个网卡。

其中一个网卡连接到互联网，另一个网卡连接到你的专用网。

你的专用网中的PC 然后将通过这台服务器的专用网连接向这台服务器发送HTTP请求。

这台服务器然后代表客户机在互联网上转发这个请求。

当申请的网站回应时，这个回应将发送到NAT服务器，服务器再把这个回应转发给原来提出这个申请的客户机。

客户机永远不直接与互联网联系。

IP地址解析的考虑正如我在上面解释的那样，NAT路由器作为你的专用网和互联网之间的一个网关。

作为NAT路由器的那台服务器必须配置两个网卡。

其中一个网卡连接到互联网。

这个网卡必须指定一个由你的互联网服务提供商向你提供的IP地址。

另一个网卡连接到你的专用网络。

正如我指出的那样，NAT不指望你在你的专用网上有合法的IP地址。

相反，你可以随机选择IP地址段。

有时候你可能会选择一个流行的网站使用的IP地址段。

这样的机会是很少的。

不过，我曾看到过一次有人选择的地址段引起了问题。

如果你要选择保证不会在互联网上干扰任何东西的地址段，你可以使用192.168.x.x的地址段。

在你选择了地址段之后，我建议设立一个DHCP(动态主机控制协议)服务器，让这个服务器从你选择的地址段中为你的网络中的工作站分配地址。

然而，你必须为连接到你的专用网的NAT服务器中的网卡分配静态地址。

例如，如果你选择使用192.168.1.0至192.168.1.99的地址段，那么，你可以考虑把192.168.1.0这个地址分配给NAT服务器。

Windows Server 2003虚拟专用网络VPN技术是指在公共网络中建立专用网络，数据通过安全的“加密管道”在公共网络中传播。

企业只需要租用本地的数据专线，连接上本地的公众信息网，各地的机构就可以互相传递信息；同时，企业还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以连接进入企业网中。

使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是企业网络发展的趋势。

虚拟专网的重点在于建立安全的数据通道，构造这条安全通道的协议必须具备以下条件。

保证数据的真实性，通信主机必须是经过授权的，要有抵抗地址冒认(IP Spoofing)的能力；保证通道的机密性，提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据；提供动态密钥交换功能，提供密钥中心管理服务器，必须具备防止数据重演(RepIay)的功能，保证通道不能被重演；提供安全防护措施和访问控制，要有抵抗黑客通过VPN 通道攻击企业网络的能力，并且可以对VPN通道进行访问控制(Access Control)。

Windows Server 2003的“虚拟专用网(virtual Private Network，VPN)”可以让远程用户与局域网(LAN)之间，通过Internet建立起一个安全的通信管道。

不过我们需要在局域网内建设一台VPN服务器，以便让VPN客户端来连接。

当远程的VPN客户端通过Internet连接到VPN服务器时，他们之间所传送的信息会被加密，所以即使信息在Internet传送的过程中被拦截，也会因为信息已被加密而无法识别，因此可以确保信息的安全性。

Windows Server2003支持以下两种VPN通信协议：PPTP(Point-to-Point Tunneling Protoc01)：只有IP网络(例如Internet)才可以建立PPTP的VPN。

两个局域网之间若通过PPTP来连接，则两端直接连接到Internet的VPN服务器必须要执行TOP／IP通信协议，但网络内的其他的计算机并不一定需要TOP／IP，他们可以执行TOP／IP、IPX或NetBEUI通信协议，因为当它们通过VPN服务器与远程的计算机通信时，这些不同通信协议的数据包会被封装(Encapsulate)到PPP的数据包内，然后经过Internet传送，信息到达目的地后，再由远程的VPN服务器将其还原为TOP／IP、IPX或NetBEUI的数据包。

NAT技术详解及配置实例NAT技术详解及配置实例2007年02⽉26⽇ 22:17:00阅读数：28241NAT作为⼀种减轻IPv4地址空间耗尽速度的⽅法，最早出现在Cisco IOS 11.2版本中。

为什么要使⽤NAT1 内⽹中主机过多，没有⾜够的合法IP地址可⽤。

2 当ISP发⽣变化时，使⽤NAT技术避免了IP地址的重新编址。

3 当两个合并的⽹络中出现了重复地址的时候。

4 利⽤NAT来解决TCP的负载均衡问题。

5 隐藏内部⽹络，增强安全性。

NAT就是将内⽹中使⽤的私有地址转换成可在Internet上进⾏路由的合法地址的技术。

私有地址范围：10.0.0.0 ~ 10.255.255.255172.16.0.0 ~ 172..31.255.255192.168.0.0 ~ 192.168.255.255NAT技术主要分为NAT和PAT。

NAT是从内部本地地址到内部全局地址的⼀对⼀转换。

PAT是从多个内部本地地址到内部全局地址的多对⼀转换。

通过端⼝号确定其多个内部主机的唯⼀性。

NAT术语Inside network：需要翻译成外部地址的内部⽹络。

Outside network：使⽤合法地址进⾏通信的外部⽹络。

Local address：内部⽹络使⽤的地址。

Global address：外部⽹络使⽤的地址。

Inside local address：内部本地地址。

数据在内部⽹络使⽤的地址，⼀般为private ip address。

Inside global address：内部全局地址。

数据为了到达外部⽹络，⽤来代表inside local address的地址，⼀般为ISP提供的合法地址。

Outside local address：外部本地地址，不必是合法地址。

当外部⽹络数据到达内部⽹络，外部⽹络中的主机IP地址与内部⽹络中的主机处在同⼀⽹段时，为防⽌内部主机误认外部主机与⾃⼰在同⼀⽹段⽽⼴播ARP请求，造成⽆法通信，将外部主机的地址转换成外部本地地址之后再与内部主机进⾏通信。

软件水平考试（中级）网络工程师下午（应用技术）试题-试卷30(总分48, 做题时间90分钟)1. 试题一试题一（）某公司设置VPN服务器允许外地的公司员工通过Internet连接到公司内部网络。

SSS_TEXT_QUSTI1.VPN使用的隧道协议可以有哪几类，分别有哪些协议?分值: 2答案:正确答案：分三层和二层隧道协议。

三层有IPsec协议，二层有L2TP和PPTP协议。

SSS_TEXT_QUSTI2.若采用L2TP协议，则该协议除IP外还支持哪几种协议?分值: 2答案:正确答案：IPX、NetBEUI。

SSS_TEXT_QUSTI3.VPN路由器配置如下，请解释画线部分含义； Vpdn-group 1 第(1)处 Accept-dialin protocol l2tp virtual-template 1 terminate-from hostname a801 第(2)处 Local name keith Lcp renegotiation always 第(3)处 No 12tp tunnel authentication分值: 2答案:正确答案：(1)创建VPDN组1。

(2)接受L2TP通道连接请求，并根据虚接口模板1创建虚拟访问，接收远程主机为a801的连接。

(3)LCP再次协商。

2. 试题二试题二（）阅读以下说明，回答问题1、问题2、问题3。

随着网络应用的日益广泛，接入网络和边缘网络的需求也更加复杂多样，企业为了开展电子商务，必须实现与Internet的互联，路由器是实现这一互联网的关键设备，路由器可以位企业提供越来越多的智能化服务，包括安全性、可用性和服务质量(QoS)等。

下面是CiscoVLSM子网设计与路由器的路由选择协议(其中路由器的路由选择协议未列出)。

下面以某公司，VLSM(Variable Length Subnet Mask，变长子网掩网)子网的方法。

假设该公司被分配了一个C类地址，该公司的网络拓扑结构如图1所示。

2003服务器A级BT安全配置指南网上流传的很多关于windows server 2003系统的安全配置，但是仔细分析下发现很多都不全面，并且很多仍然配置的不够合理，并且有很大的安全隐患，今天我决定仔细做下极端BT的2003服务器的安全配置，让更多的网管朋友高枕无忧。

我们配置的服务器需要提供支持的组件如下：（ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389终端服务、远程桌面Web连接管理服务等），这里前提是已经安装好了系统，IIS，包括FTP服务器，邮件服务器等，这些具体配置方法的就不再重复了，现在我们着重主要阐述下关于安全方面的配置。

关于常规的如安全的安装系统，设置和管理帐户，关闭多余的服务，审核策略，修改终端管理端口，以及配置MS-SQL，删除危险的存储过程，用最低权限的public帐户连接等等。

先说关于系统的NTFS磁盘权限设置，大家可能看得都多了，但是2003服务器有些细节地方需要注意的，我看很多文章都没写完全。

C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。

Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。

以前有朋友单独设置Instsrv和temp等目录权限，其实没有这个必要的。

另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法，从前不是有牛人发飑说："只要给我一个webshell，我就能拿到system"，这也的确是有可能的。

一步步教你配置NAT（服务器篇）一步步教你配置NAT（服务器篇）【网友提问】我是一名公司的网管,想问一下NAT技术一般都在什么时候用，在windows 2 003和路由器上如何配置NAT？希望IT168能够帮助我解答！谢谢！经常听身边的网管朋友谈论NAT技术，那么什么时候用到NAT技术呢？主要有两方面，第一是公网IP地址不够用，当企业只租用到了数量有限的公网IP时，不可能为内部每台计算机都分配一个公网IP，如何解决IP地址不够用的问题呢？这时就可以采用NAT技术，多个内部计算机在访问INTERNET时使用同一个公网IP 地址；第二是当公司希望对内部计算机进行有效的安全保护时可以采用NA T技术，内部网络中的所有计算机上网时受到路由器或服务器（防火墙）的保护，黑客与病毒的攻击被阻挡在网络出口设备上，大大提高了内部计算机的安全性。

接下来笔者将带领大家一步步在Windows 2003 Server服务器上配置并启用NAT功能。

具体网络环境：电信的ADSL，交换机一个，服务器一台，客户机若干，网线已经做好，所有机器上用的都是windows2000或是XP。

配置服务器NAT地址转换第一步：启动“路由和远程访问”，通过“开始->程序->管理工具->路由和远程访问”，默认状态下，将本地计算机列出为服务器。

如果要添加其他服务器，请在控制台目录树中，右键单击“服务器状态”，然后单击“添加服务器”。

第二步：右击要启用的服务器（这里是本地服务器），然后单击“配置并启用路由和远程访问”，启动配置向导。

第三步：出现欢迎页面后单击下一步。

出现选择服务器角色设置页面，选择“网络地址转换（NAT）”，接着单击下一步。

第四步：在Internet连接页面中选择“使用Internet连接”，在下面的Internet列表中选项“外网连接”，我们将让客户机通过这条连接访问Internet，界面如下图。

单击下一步继续。

小提示：这一点非常重要，一定不能把内网与外网的接口选择错误，否则配置的NA T就无法生效，因此我们在上面将本地连接的名称进行了修改，这里就显得一目了然了。