WindowsServer2012网络管理项目实训教程（第2版） 课件 项目14 网络地址转换（NAT）

项目14网络地址转换14.1项目内容14.1.1项目目的在了解NAT概念和熟悉NAT工作过程的基础上，学习并掌握如何在WindowsServer2012中NAT的安装和基本配置方法。14.1.2项目任务某公司采用实名认证上网，认证软件只限本人在一台计算机上进行认证。但现在需要上网的设备比较多，例如你有手机、平板，也有其他的多台计算机上网，这时候就需要做一个代理服务器,通过NAT服务器实现共享上网。14.1.3任务目标1.了解NAT的概念；2.理解NAT的工作过程；3.掌握如何在WindowsServer2012安装与配置NAT服务；4.掌握NAT连接的设置。14.2相关知识如何异地安全的访问本地网络是网络应用中常遇到的问题，如出差在外的工作人员或派外地的办事机构，他们可能需要异地的连接公司的内部网络来获取一些信息等。这类应用的特点一是要求安全访问内部网络；二是要求异地访问能够像本地访问一样运行数据库客户端软件，甚至浏览共享文件夹。14.2.1NAT的概念NAT网络地址转换(NAT,NetworkAddressTranslation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。NAT不仅能解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。1.宽带分享：这是NAT主机的最大功能。2.安全防护：NAT之内的PC联机到Internet上面时，他所显示的IP是NAT主机的公共IP，所以Client端的PC当然就具有一定程度的安全了，外界在进行portscan（端口扫描）的时候，就侦测不到源Client端的PC。14.2.2NAT实现方式NAT的实现方式有三种，即静态转换StaticNat、动态转换DynamicNat和端口多路复用OverLoad。（1）静态转换（StaticNat）是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备（如服务器）的访问。（2）动态转换（DynamicNat）是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。（3）端口多路复用（PortaddressTranslationPAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换（PAT，PortAddressTranslation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。14.2.2NAT的技术背景要真正了解NAT就必须先了解现在IP地址的适用情况，私有IP地址是指内部网络或主机的IP地址，公有IP地址是指在因特网上全球唯一的IP地址。RFC1918为私有网络预留出了三个IP地址块，如下：A类：10.0.0.0～10.255.255.255B类：172.16.0.0～172.31.255.255C类：192.168.0.0～192.168.255.255上述三个范围内的地址不会在因特网上被分配，因此可以不必向ISP或注册中心申请而在公司或企业内部自由使用。随着接入Internet的计算机数量的不断猛增，IP地址资源也就愈加显得捉襟见肘。事实上，一般用户几乎申请不到整段的C类IP地址。在其他ISP那里，即使是拥有几百台计算机的大型局域网用户，当他们申请IP地址时，所分配的地址也不过只有几个或十几个IP地址。显然，这样少的IP地址根本无法满足网络用户的需求，于是也就产生了NAT技术。虽然NAT可以借助于某些代理服务器来实现，但考虑到运算成本和网络性能，很多时候都是在路由器上来实现的。14.2.3NAT的技术的优点和缺点：NAT的优点:(1)对于那些家庭用户或者小型的商业机构来说，使用NAT可以更便宜，更有效率地接入Internet。(2)使用NAT可以缓解目前全球IP地址不足的问题。(3)在很多情况下，NAT能够满足安全性的需要。(4)使用NAT可以方便网络的管理，并大大提高了网络的适应性。NAT的缺点:(1)NAT会增加延迟,因为要转换每个数据包包头的IP地址,自然要增加延迟.(2)NAT会使某些要使用内嵌地址的应用不能正常工作.14.2.4NAT工作原理当内部网络中的一台主机想传输数据到外部网络时，它先将数据包传输到NAT路由器上，路由器检查数据包的报头，获取该数据包的源IP信息，并从它的NAT映射表中找出与该IP匹配的转换条目，用所选用的内部全局地址（全球唯一的IP地址）来替换内部局部地址，并转发数据包。当外部网络对内部主机进行应答时，数据包被送到NAT路由器上，路由器接收到目的地址为内部全局地址的数据包后，它将用内部全局地址通过NAT映射表查找出内部局部地址，然后将数据包的目的地址替换成内部局部地址，并将数据包转发到内部主机。借助于NAT，私有（保留）地址的"内部"网络通过路由器发送数据包时，私有地址被转换成合法的IP地址，一个局域网只需使用少量IP地址（甚至是1个）即可实现私有地址网络内所有计算机与Internet的通信需求。NAT将自动修改IP报文的源IP地址和目的IP地址，Ip地址校验则在NAT处理过程中自动完成。有些应用程序将源IP地址嵌入到IP报文的数据部分中，所以还需要同时对报文的数据部分进行修改，以匹配IP头中已经修改过的源IP地址。否则，在报文数据部分嵌入IP地址的应用程序就不能正常工作。14.3WindowsServer2012安装与配置NAT服务；14.3方案设计在图14-1中，服务器由一台安装有WindowsServer2012Datacenter的双网卡计算机充当，一个网卡接校园网并自动获得地址，用来连接Internet，另一个网卡设置为LAN，设置一个私有地址，LAN口网卡连接到一个普通的交换机上，然后将宽带路由器的LAN口（一般4个WAN口、1个LAN口）接到普通交换机上，并将宽带路由器的DHCP功能禁用。这样平板、手机将通过宽带路由器、并从Windows2012服务器的DHCP获得IP地址、子网掩码、网关。而工作站1、工作站2则设置为“自动获取IP地址与DNS地址”即可,必须先在Windowsserver2012上安装“远程访问”服务器角色。图14-1NAT网络拓扑图14.3.1NAT服务器安装步骤1，在Windowsserver2012上安装“远程访问”服务器角色。打开“服务器管理器”，单击“添加角色和功能”菜单，选择“远程访问”，安装“远程访问角色”如图14-2所示，图14-3所示。图14-2配置此本地服务器图14-3在服务器角色中选择“远程访问”选项步骤2，点“下一步”按钮。选择“DirectAccess和VPN（RAS）”和“路由”复选框。图14-4选择“DirectAccess和VPN（RAS）”和“路由”步骤3

选择“安装”，进行路由和远程访问的安装。如图14-5图14-5安装完成14.3.2NAT服务器配置（1）打开“服务器管理器”，单击“工具”菜单，选择“路由和远程访问”。打开“路由和远程访问”控制台，在图14-6所示的本地计算机上单击鼠标右键，在弹出的对话框中选择“配置并启用路由和远程访问”

图14-6配置并启用路由和远程访问（2）在“欢迎使用路由和远程访问服务器安装向导”对话框，单击“下一步”按钮。如图14-7所示。图14-7

路由和远程访问服务器安装向导（3）在“配置”对话框单击“网络地址转换”单选框，如图14-8所示。图14-8

选择网络地址转换（NAT）服务（6）在“NATInternet连接”对话框，选择连接到Internet的网卡。如图14-9所示。

图14-9NATInternet连接设置（7）在“正在完成路由和远程访问服务器安装向导”对话框，单击“完成”按钮。NAT服务安装成功提示，如图14-10所示。配置完RRAS之后，安装拨号软件客户端，然后拨号。

图14-10

完成NAT配置14.3.3客户端的使用

之后计算机设置成“自动获得IP地址及DNS地址”即可上网，手机与平板连接到宽带路由器获得地址也可以上网。当然你可以在宽带路由器中进行安全配置，例如MAC地址限制、设置连接密码等，这些不一一介绍。服务器上，在“路由和远程访问”中，在“NAT”中可以看到地址映射总数、转换的连接等。

习题一、填空题1.NAT的实现方式有三种

、

、

等三种方式。2.NAT(NAT,NetworkAddressTranslation)中文意思是

。二、选择题1.下面有关NAT叙述不正确的是（）A.NAT是英文“地址转换”的缩写B.地址转换又成为