什么是网络地址转换NAT
什么是网络地址转换NAT
1、什么是网络地址转换NAT
要将一个拥有内部专用IP地址的网络通过一个具有公用IP地址的计算机连接
到Internet,可以使用网络地址转换(NAT) 功能实现。运行Windows 2000 Server
的计算机可以用作网络地址转换器(NAT),实现内部局域网与外部Internet的连接。
即内部专用局域网共享NAT服务器的Internet连接(需要两个网络连接)。
2、Windows 2000网络地址转换NAT的转换组件
启用网络地址转换的Windows 2000 路由器(以后称为网络地址转换计算机)
作为网络地址转换器(NAT),它转换IP 地址及专用网络和Internet 之间转发
数据包的TCP/UDP 端口号。
(a)寻址组件
网络地址转换计算机为家庭网络中的其他计算机提供IP 地址配置信息。寻址
组件是简化的DHCP 服务器,该服务器分配IP 地址、子码掩码、默认网关以及
DNS 服务器的IP 地址。必须将家庭网络上的计算机配置为DHCP 客户机,以便
自动接收IP 配置。Window 2000、Windows NT、Windows 95 和Windows 98 计
算机的默认TCP/IP 配置是DHCP 客户机。
(b)名称解析组件
网络地址转换计算机成为家庭网络上其他计算机的DNS 服务器。当网络地址
转换计算机接收到名称解析请求时,它随即将该请求转发到配置它的基于Internet
的DNS 服务器,并将响应返回给家庭网络计算机。Windows 2000 的网络地址转换NAT(2)
3、网络地址转换设计要考虑的因素
为防止出现问题,在执行网络地址转换之前应考虑以下设计问题。
1)专用网络(内部网络)地址
应当使用以下InterNIC 专用IP 网络ID 的IP 地址:
10.0.0.0 的子网掩码是
255.0.0.0,172.16.0.0 的子网掩码是255.240.0.0,192.168.0.0 的子网掩码是
255.255.0.0。默认情况下,网络地址转换使用专用网络ID 192.168.0.0,专用网络的
子网掩码是255.255.255.0。
如果您使用的不是由InterNIC 或ISP 分配的公用IP 网络,那么您可能使用了
Internet 上其他组织的IP 网络ID。这被认为是非法的或是重叠的IP 地址。如果使
用重叠的公用地址,您将不能访问重叠地址的Internet 资源。例如,如果使用1.0.0.0
,
子网掩码是255.0.0.0,那么您将不能访问使用 1.0.0.0 网络的组织的任何Internet
资源。
也可以从配置范围排除特殊的IP 地址。排除的地址不分配给专用网络主机。
2)单个或多个公用地址
如果使用ISP 指派的单个公用IP 地址,则不需要其他
IP 地址配置。如果使用
ISP 分配的多个IP 地址,就必须配置公用IP 地址范围的网络地址转换(NAT) 接口。
对于ISP 给定的IP 地址范围,必须确定公用IP 地址的范围是否可用IP 地址和掩码
表示。如果分配的地址号为2 的n 次幂(2, 4, 8, 16 等等),则可以用单个IP 地址
和掩码表示范围。例如,如果ISP 给出四个公用IP 地址,分别为200.100.100.212、
200.100.100.213、200.100.100.214 和200.100.100.215,那么可以把这四个地址表示
成200.100.100.212,掩码为255.255.255.252。如果IP 地址不能用IP 地址和子网掩
码
表示,可以按范围或一连串范围输入,通过指出起始和终结IP 地址。
3)允许入站连接
通常内部网的网络地址转换(NAT) 允许从专用网络到公用网络的出站连接。从专用
网络运行的应用程序,如Web 浏览器,创建到Internet 资源的连接。因为连接通过专
用网络初始化,所以从Internet 返回的通信可以通过NAT。
为允许Internet 用户访问专用网络上的资源,必须执行以下步骤:
a. 配置资源服务器上的静态IP 地址配置,包括IP 地址(从NAT 计算机分配的
IP 地址范围)、子网掩码(从NAT 计算机分配的IP 地址范围)、默认网关(NAT 计
算机的私有IP 地址),以及DNS 服务器(NAT 计算机的私有IP 地址)。
b.从NAT 计算机指派的IP 地址范围排除资源计算机使用的IP 地址。
c.配置特殊端口。特殊端口是公用地址和端口号到专用地址和端口号的静态映射。
4)配置应用程序和服务
要在Internet 上正确工作,可能需要配置应用程序和服务。例如,如果内部网络
上的用户想和Internet 上的其他用户玩“暗黑破坏神”游戏,必须为“暗黑破坏神”
应用程序配置网络地址转换。
5)从转换的内部网络的VPN 连接
要使用专用网络(VPN) 连接从转换的内部网络访问专用Intranet,可以使用点对点
隧道协议(PPTP),并在Internet 上创建从内部网络主机到专用Intranet 的VPN
服务器的VPN 连接。NAT 路由协议有用于PPTP 通讯的NAT 编辑器。通过网际协议安全
(IPSec) 连接的第二层隧道协议(L2TP) 不能跨越NAT 计算机工作。
4、Windows 2000 Server网络地址转换(NAT)的配制
要部署小型办公室或家庭办公室网络的网络地址转换,需要配置:
*网络地址转换计算机。
*小型办公室或家庭网络上的其他计算机
4.1 配置网络地址转换计算机
要配置网络地址转换(NAT) 计算机,请完成以下步骤:(1) 安装并启用路由和远程访问服务。
在路由和远程访问服务器安装向导中,选择用于Internet 连接服务器的选项,
以及用来安装带有网络地址转换(NAT) 路由协议的路由器的选项。向导完成之后,
网络地址转换(NAT) 的所有配置就完成了。不必完成 2 到8 的步骤。
如果已经启用了路由和远程访问服务,按照需要完成 2 到8 的步骤。
具体操作:
(a)如果此服务器是Windows 2000 Active Directory 域
成员并且您不是域管理员,
则请指示您的域管理员将此服务器的计算机帐户添加到域
中的“RAS 和IAS 服务器”
安全组,此服务器是该域中的成员。通过使用Active
Directory 用户和计算机或使用
netsh ras add registeredserver 命令,域管理员可以将计算机帐户添加到“RAS 和
IAS 服务器”安全组。
(b)打开路由和远程访问:[开始]-[程序]-[管理工具]-[路由和远程访问]
(c)默认状态下,将本地计算机列出为服务器。
要添加其他服务器,请在控制台目录树中,右键单击“服务器状态”,然后单击“添加服
务器”。
在“添加服务器”对话框中,单击适当的选项,然后单击“确定”。
(d)在控制台目录树中,右键单击要启用的服务器,然后单击“配置并启用路由和远
程访问”。
(e)按照“路由选择和远程访问向导”中的指示进行操作。
(2)配置内部网络接口的IP 地址。
对于连接到内部网络的LAN 适配器的IP 地址,需要以下配置:
IP 地址:192.168.0.1
子网掩码:255.255.255.0
没有默认网关
注:前面对家庭网络接口配置的IP 地址基于默认地址范围192.168.0.0、
掩码255.255.255.0,它是为网络地址转换的寻址组件配置的。如果更改此默认地址范围
,
应将网络地址转换计算机的专用接口更改为配置范围内的第一个IP 地址。推荐的操作方
法
是使用范围内的第一个IP 地址,而不是请求网络地址转换组件。
(3)在拨号端口上启用路由。
如果到Internet 的连接是永久性连接,在Windows 2000 中是LAN 接口
(如DDS、T-Carrier、帧中继、永久ISDN、xDSL 或电缆调制解调器),或者
运行Windows 2000 的计算机连接到Internet 之前先连接到其他路由器,而
LAN 接口静态地或通过DHCP 配置IP 地址、子网掩码和默认网关,请跳过第6 步。
有关在拨号端口上启用路由选择的信息,请参阅在端口上启用路由。
(4)创建请求拨号接口来连接Internet 服务提供商。
需要创建对IP 路由启用的请求拨号接口并使用拨号设备和用于拨打Internet
服务提供商(ISP) 的凭据。
(5)创建使用Internet 接口的默认静态路由。
对于默认的静态路由,需要选择用于连接Internet 的请求拨号接口
(用于拨号连接)或LAN 接口(用于永久性或中介路由器连接)。目标位置
是0.0.0.0,网络掩码是0.0.0.0。对于请求拨号接口,网关的IP 地址是
不可配置的。
(6)添加NAT 路由选择协议。
具体操作:
(a)打开路由和远程访问。
(b)在控制台目录树中,单击“server name - IP 路由- 常规”。
(c)右键单击“常规”,然后单击
“新路由选择协议”。
(d)在“路由选择协议”对话框中,单击“网络地址转换”,然后单击“确定
”。
(7)将Internet 及内部网络接口添加到NAT 路由协议。
具体操作:
(a)打开路由和远程访问。
(b)在控制台目录树中,单击“server name - IP 路由- 常规”。
(c)右键单击“常规”,然后单击
“新路由选择协议”。
(d)在“路由选择协议”对话框中,单击“网络地址转换”,然后单击“确定
”。
(8)启用网络地址转换寻址和名称解析。
启用网络地址转换寻址:
(a)在路由和远程访问控制台目录树中,单击NAT。
(b)右键单击NAT,然后单击“属性”。
(c)在“地址指派”选项卡上,请选中
“通过使用DHCP 自动指派IP 地址”复选靠颉?
(d)如果适用,在“IP 地址”和“掩码”中配置IP 地址范围以分配给
专用网络上的DHCP 客户。
(e)如果适用,请单击“排除”,配置从分配给专用网络DHCP 客户中
排除的地址,然后单击“确定”。
启用网络地址转换名称解析:
(a)在路由和远程访问控制台目录树中,单击NAT。
(b)右键单击NAT,然后单击“属性”。
(c)在“名称解析”选项卡上,对于到DNS 服务器主机名称解析,请选中“使