《WindowsServer配置与管理项目教程》-项目12配置与管理NAT服务器

项目十二配置与管理NAT服务器1项目背景职业能力目标和要求

WindowsServer2012的网络地址转换（NetworkAddressTranslation，NAT）让位于内部网络的多台计算机只需要共享一个PublicIP地址，就可以同时连接因特网、浏览网页与收发电子邮件。NAT的基本概念和基本原理；NAT网络地址转换的工作过程；配置并测试NAT服务器；外部网络主机访问内部Web服务器；DHCP分配器与DHCP中继代理项目十二配置与管理NAT服务器212.1相关知识12.3项目实施12.2项目设计及准备

12.4实训项目312.1

相关知识12.1.1NAT概述网络地址转换器NAT（NetworkAddressTranslator）位于使用专用地址的Intranet和使用公用地址的Internet之间。从Intranet传出的数据包由NAT将它们的专用地址转换为公用地址。从Internet传入的数据包由NAT将它们的公用地址转换为专用地址。这样在内网中计算机使用未注册的专用IP地址，而在与外部网络通信时使用注册的公用IP地址，大大降低了连接成本。同时NAT也起到将内部网络隐藏起来，保护内部网络的作用，因为对外部用户来说只有使用公用IP地址的NAT是可见的。412.1

相关知识12.1.2认识NAT的工作过程NAT地址转换协议的工作过程主要有以下4个步骤。①客户机将数据包发给运行NAT的计算机。②NAT将数据包中的端口号和专用的IP地址换成它自己的端口号和公用的IP地址，然后将数据包发给外部网络的目的主机，同时记录一个跟踪信息在映像表中，以便向客户机发送回答信息。③外部网络发送回答信息给NAT。④NAT将所收到的数据包的端口号和公用IP地址转换为客户机的端口号和内部网络使用的专用IP地址并转发给客户机。以上步骤对于网络内部的主机和网络外部的主机都是透明的，对它们来讲就如同直接通信一样，如图12-1所示。担当NAT的计算机有两块网卡，两个IP地址。IP1为，IP2为。图12-1NAT的工作过程512.2

项目设计与准备在架设NAT服务器之前，读者需要了解NAT服务器配置实例部署的需求和实训环境。1．部署需求在部署NAT服务前需满足以下要求：设置NAT服务器的TCP/IP属性，手工指定IP地址、子网掩码、默认网关和DNS服务器IP地址等；部署域环境，域名为。2．部署环境所有实例都被部署在如图12-2所示的网络环境下。其中NAT服务器主机名为win2012-1，该服务器连接内部局域网网卡（LAN）的IP地址为/24，连接外部网络网卡（WAN）的IP地址为/24；NAT客户端主机名为win2012-2，其IP地址为/24；内部Web服务器主机名为Server1，IP地址为/24；Internet上的Web服务器主机名为win2012-3，IP地址为/24。图12-2架设NAT服务器网络拓扑图Win2012-1、win2012-2、win2012-3、Server1可以是Hyper-V服务器的虚拟机，也可以是VMWare的虚拟机。612.3

项目实施任务12-1安装“路由和远程访问”服务器1.安装“路由和远程访问服务”角色服务①首先按照图12-1所示的网络拓扑图配置各计算机的IP地址等参数。②在计算机win2012-1上通过“服务器管理器”安装“路由和远程访问服务”角色服务，具体步骤参见任务11-1。2.配置并启用NAT服务在计算机“win2012-1”上通过“路由和远程访问”控制台配置并启用NAT服务，具体步骤如下。（1）打开“路由和远程访问服务器安装向导”页面以管理员账户登录到需要添加NAT服务的计算机win2012-1上，单击“开始”→“管理工具”→“路由和远程访问”，打开“路由和远程访问”控制台。右键单击服务器win2012-1，在弹出菜单中选择“禁用路由和远程访问”（清除VPN实验的影响）。（2）选择网络地址转换（NAT）右键单击服务器win2012-1，在弹出菜单中选择“配置并启用路由和远程访问”，打开“路由和远程访问服务器安装向导”页面单击“下一步”按钮，出现“配置”对话框，在该对话框中可以配置NAT、VPN以及路由服务，在此选择“网络地址转换（NAT）”单选框，如图12-3所示。图12-3选择网络地址转换（NAT）712.3

项目实施任务12-1安装“路由和远程访问”服务器2.配置并启用NAT服务（3）选择连接到Internet的网络接口单击“下一步”按钮，出现“NATInternet连接”对话框，在该对话框中指定连接到Internet的网络接口，即NAT服务器连接到外部网络的网卡，选择“使用此公共接口连接到Internet”单选框，并选择接口为“Internet连接”，如图12-4所示。（4）结束NAT配置单击“下一步”按钮，出现“正在完成路由和远程访问服务器安装向导”对话框，最后单击“完成”按钮即可完成NAT服务的配置和启用。图12-4选择连接到Internet的网络接口812.3

项目实施任务12-1安装“路由和远程访问”服务器4.停止NAT服务可以使用“路由和远程访问”控制台停止NAT服务，具体步骤如下。①以管理员账户登录到NAT服务器上，打开“路由和远程访问”控制台，NAT服务启用后显示绿色向上标识箭头。②右键单击服务器，在弹出菜单中选择“所有任务”→“停止”，停止NAT服务。③NAT服务停止以后，显示红色向下标识箭头，表示NAT服务已停止。5.禁用NAT服务要禁用NAT服务，可以使用“路由和远程访问”控制台，具体步骤如下。①以管理员登录到NAT服务器上，打开“路由和远程访问”控制台，右键单击服务器，在弹出菜单中选择“禁用路由和远程访问”。②接着弹出“禁用NAT服务警告信息”界面。该信息表示禁用路由和远程访问服务后，要重新启用路由器，需要重新配置。③禁用路由和远程访问后的控制台界面，显示红色向下标识箭头。912.3

项目实施任务12-2NAT客户端计算机配置和测试配置NAT客户端计算机，并测试内部网络和外部网络计算机之间的连通性，具体步骤如下。设置NAT客户端计算机网关地址

以管理员账户登录NAT客户端计算机win2012-2上，打开“Internet协议版本4（TCP/IPv4）”对话框。设置其“默认网关”的IP地址为NAT服务器的内网网卡（LAN）的IP地址，在此输入“”，如图12-5所示。最后单击“确定”按钮即可。图12-5设置NAT客户端的网关地址2.测试内部NAT客户端与外部网络计算机的连通性在NAT客户端计算机win2012-2上打开命令提示符界面，测试与Internet上的Web服务器（win2012-3）的连通性，输入命令“ping”，如图12-6所示，显示能连通。图12-6测试NAT客户端计算机与外部计算机的连通性1012.3

项目实施任务12-2NAT客户端计算机配置和测试3.测试外部网络计算机与NAT服务器、内部NAT客户端的连通性以本地管理员账户登录到外部网络计算机（win2012-3）上，打开命令提示符界面，依次使用命令“ping”、“ping”、“ping”、“ping”，测试外部计算机win2012-3与NAT服务器外网卡和内网卡以及内部网络计算机的连通性，如图12-7所示，除NAT服务器外网卡外均不能连通。图12-7测试外部网络计算机与NAT服务器、内部NAT客户端的连通性1112.3

项目实施任务12-3外部网络主机访问内部Web服务器要让外部网络的计算机“win2012-3”能够访问内部Web服务器“Server1”，具体步骤如下。1.在内部网络计算机“Server1”上安装Web服务器如何在Server1上安装Web服务器，请参考“项目10配置与管理Web服务器”。2.将内部网络计算机“Server1”配置成NAT客户端以管理员账户登录NAT客户端计算机Server1上，打开“Internet协议版本4（TCP/IPv4）”对话框。设置其“默认网关”的IP地址为NAT服务器的内网网卡（LAN）的IP地址，在此输入“”。最后单击“确定”按钮即可。3.设置端口地址转换①以管理员账户登录到NAT服务器上，打开“路由和远程访问”控制台，依次展开服务器“win2012-1”和“IPv4”节点，单击“NAT”，在控制台右侧界面中，右键单击NAT服务器的外网网卡“Internet连接”，在弹出菜单中选择“属性”，如图12-8所示，打开“WAN属性”对话框。图12-8打开WAN网卡属性对话框1212.3

项目实施任务12-3外部网络主机访问内部Web服务器3.设置端口地址转换②在打开的“WAN属性”对话框中，选择如图12-9所示的“服务和端口”选项卡，在此可以设置将Internet用户重定向到内部网络上的服务。图12-9“地址池”选项卡③选择“服务”列表中的“Web服务器（HTTP）”复选框，会打开“编辑服务”对话框，在“专用地址”文本框中输入安装Web服务器的内部网络计算机IP地址，在此输入“”，如图12-10所示。最后单击“确定”按钮即可。④返回“服务和端口”选项卡，可以看到已经选择了“Web服务器（HTTP）”复选框，然后单击“确定”按钮可完成端口地址转换的设置。图12-10编辑服务1312.3

项目实施任务12-3外部网络主机访问内部Web服务器4.从外部网络访问内部Web服务器①以管理员账户登录到外部网络的计算机win2012-3上。②打开IE浏览器，输入，会打开内部计算机Server1上的Web网站。请读者试一试。5.在NAT服务器上查看地址转换信息①以管理员账户登录到NAT服务器win2012-1上，打开“路由和远程访问”控制台，依次展开服务器“WIN2012-1”和“IPv4”节点，单击“NAT”，在控制台右侧界面中显示NAT服务器正在使用的连接内部部网络的网络接口。②右键单击“Internet连接”，在弹出菜单中选择“显示映射”，打开如图12-11所示的“WIN2012-1-网络地址转换会话映射表格”窗口。该窗口信息表示外部网络计算机“”访问到内部网络计算机“”的Web服务，NAT服务器将NAT服务器外网卡IP地址“”转换成了内部网络计算机IP地址“”。图12-11网络地址转换会话映射表格1412.3

项目实施任务12-4配置筛选器数据包筛选器用于IP数据包的过滤。数据包筛选器分为入站筛选器和出站筛选器，分别对应接收到的数据包和发出去的数据包。对于某一个接口而言，入站数据包指的是从此接口接收到的数据包，而不论此数据包的源IP地址和目的IP地址；出站数据包指的是从此接口发出的数据包，而不论此数据包的源IP地址和目的IP地址。可以在入站筛选器和出站筛选器中定义NAT服务器只是允许筛选器中所定义的IP数据包或者允许除了筛选器中定义的IP数据包外的所有数据包，对于没有允许的数据包，NAT服务器默认将会丢弃此数据包。任务12-5设置NAT客户端前面已经实践过设置NAT客户端了，在这总结一下。局域网NAT客户端只要修改TCP/IP的设置即可。可以选择以下两种设置方式。1.自动获得TCP/IP此时客户端会自动向NAT服务器或DHCP服务器来索取IP地址、默认网关、DNS服务器的IP地址等设置。2.手工设置TCP/IP手工设置IP地址要求客户端的IP地址必须与NAT局域网接口的IP地址在相同的网段内，也就是NetworkID必须相同。默认网关必须设置为NAT局域网接口的IP地址，本例中为。首选DNS服务器可以设置为NAT局域网接口的IP地址，或是任何一台合法的DNS服务器的IP地址。完成后，客户端的用户只要上网、收发电子邮件、连接FTP服务器等，NAT就会自动通过PPPoE请求拨号来连接Internet。1512.3

项目实施任务12-6配置DHCP分配器与DNS代理NAT服务器另外还具备以下两个功能。DHCP分配器（DHCPAllocator）：用来分配IP地址给内部的局域网客户端计算机。DNS代理（DNSproxy）：可以替局域网内的计算机来查询IP地址。DHCP分配器DHCP分配器（DHCPAllocator）扮演着类似DHCP服务器的角色，用来给内部网络的客户端分配IP地址。若要修改DHCP分配器设置：【如图12-12所示展开IPv4→单击NAT→单击上方的属性图标→单击NAT属性界面中的地址分配选项卡】。图12-12NAT属性设置—地址分配图12-12中DHCP分配器分配给客户端的IP地址的网络标识符为，这个默认值是根据NAT服务器内网卡的IP地址（）产生的。您可以修改此默认值，不过必须与NAT服务器内网卡IP地址一致，也就是网络ID需相同。1612.3

项目实施任务12-6配置DHCP分配器与DNS代理2.DNS中继代理