本章要点
- 了解 NAT 技术的核心原理。
- 掌握 NAT 技术的应用。
- 掌握 NAT 网关的配置。
IP 地址分为两类,分别是私有IP地址(Private IP)与公用IP地址(Public IP)。
位于内部网络中的计算机使用的是私有IP地址,其不需要向IP地址发放机构提出申请。私有IP地址数量多,因此不会出现IP地址不够用的情况。私有IP地址只能在内部网络中使用,因此当内部网络计算机与外部网络进行通信时,必须将内部私有IP地址转换为外部公用IP地址。
具有网络地址转换(Network Address Translation,NAT)功能的网关设备能够自动将内部私有IP地址转换为外部公用IP地址,从而实现内部网络计算机共享少量的公用IP地址,同时访问Internet。NAT技术能够有效地解决公用IP地址紧缺的问题,同时由于NAT技术屏蔽了内部网络,所有处于内部网络中的计算机对于外部网络来说是不可见的,因此也提高了内部网络的安全性。
Internet连接共享(Internet Connection Sharing,ICS)是Windows系统为家庭网络或小型局域网络提供的一种服务,它能够快速实现内网多台计算机同时通过ICS计算机访问 Internet.
10.1 NAT 技术及其应用
10.1.1 什么是 NAT
网络地址转换(NAT)是一个Internet工程任务组(Internet Engineering Task Force, IETF)标准,它允许一个整体机构以一个公用IP地址出现在Internet上。它是一种把内部网络(私有IP地址)转换成外部网络(公用IP 地址)的技术。NAT在一定程度上能够有效地解决公用IP地址不足的问题。
如下图所示,以 10.0.0.10 的主机与 163.221.120.9 的主机进行通信为例讲解 NAT 的工作机制。利用 NAT,途中的 NAT 路由器将发送源地址从 10.0.0.10 转换为全局的 IP 地址(202.244.174.37)再发送数据。反之,当响应数据从 163.221.120.9 发送过来时,目标地址(202.244.174.37)先被转换成私有 IP 地址 10.0.0.10 以后再被转发。
在整个NAT转换过程中,有以下5个特性。
- (1)网络被分为内部私有网络(内网)和外部公用网络(外网),NAT网关设置在内网和外网的路由出口位置,内、外网的双向流量都必须经过NAT网关。
- (2)外网计算机只能通过NAT转换后的公用IP地址访问内网计算机。
- (3)NAT网关在两个方向(出口和人口)上完成IP地址的转换,在出口方向进行"源 IP地址"转换,在人口方向进行"目的IP地址"转换。
- (4)NAT网关对通信双方来说是保持透明的。
- (5)NAT网关需要维护一张关联表,对相关会话信息进行保存。
10.1.2 IP 地址的分类
IP 地址分为以下3类。
1.公用 IP 地址
公用IP地址也称为全局地址,是由网络信息中心(NIC)或者网络服务提供商(ISP)分配的地址,它也是全球统一的、可寻址的、合法的IP地址。通过公用IP 地址可以直接访问 Internet。
2.私有IP 地址
私有IP地址也称为内部地址,属于非注册地址,专门用于组织机构内部网络。互联网数字分配机构(IANA)保留了3块IP地址段作为私有IP 地址,分别是A类私有地址10.0.0.0~10.255.255.255,B类私有地址172.16.0.0~172.31.255.255,C类私有地址192.168.0.0~192.168.255.255。
3.保留地址
A类保留地址 127.0.0.0~127.255.255.255,用于循环测试。B类保留地址169.254.0.0~169.254.255.255。如果IP地址是自动获取的,而网络上又没有找到可用的DHCP 服务器,此时将从169.254.0.1~169.254.255.254中临时获得一个IP地址。
10.1.3 NAT 技术的应用
一般情况下,公司、学校等企业内部网络中的计算机都会使用私有IP地址。由于企业能够获得的公用IP地址数量十分有限,不可能满足所有内部网络计算机同时接入Internet的需求,因此需要使用NAT技术,将多个私有IP地址与公用IP地址进行映射,从而满足企业内部网络接人Internet的需求。
当Internet用户访问内部网络提供的应用服务(如Web、FTP)时,由于内网的私有IP地址无法在Internet上使用,因此需要使用NAT技术,将收到的来自Interet用户的连接请求转发到内网服务器上,再将内网服务器的响应转发给Internet用户。由于外部网络不直接与内部网络通信,而是通过NAT网关进行中转,因此在一定程度上保障了企业内部网络的安全。
10.2 NAT技术原理
NAT技术的核心原理是当内部网络计算机和公用网络计算机通信时,将内部网络计算机的私有IP地址与NAT网关的公用IP地址进行转换。NAT网关屏蔽了内部网络,因此所有内部网络的计算机对于外部公用网络来说是透明的。NAT转换过程是自动完成的,因此 NAT网关对于内部网络计算机来说也是透明的。NAT功能通常被集成到路由器、防火墙或单独的 NAT 设备中。
10.2.1 NAT 技术的核心原理
内部网络客户端A与公用网络Web Server服务器通信,当IP数据包经过NAT网关时,其源地址或目的地址在私有IP与公用IP之间进行转换,网络拓扑如图10-1所示。
NAT 网关有2个网络端口,分别是处于公用网络的端口(公用IP:202.20.20.5)和处于内部网络的端口(私有IP:192.168.1.1)。内部网络中的客户端A(IP:192.168.1.2)向公用网络中的 Web Server服务器(IP:202.20.20.4)发送IP数据包时,其目的地址(Dst)的值为202.20.20.4,源地址(Src)的值为192.168.1.2。当IP数据包经过NAT 网关时,NAT网关会将IP数据包中的源地址(Src)转换为NAT网关的公用IP地址并转发到Intemet,此时IP数据包中的源地址(Src)的值为202.20.20.5,目的地址(Dst)的值仍为202.20.20.4.因此经过转换的数据包中已经不含有任何内部网络的IP地址信息。
Web Server服务器响应数据包的源地址(Src)的值为202.20.20.4,目的地址(Dst)的值为202.20.20.5,当NAT网关收到来自Web Server服务器的响应数据包后,将目的地址(Dst)的值转换为内部网络中客户端A的IP 地址 192.168.1.2。
对于客户端A与Web Server服务器来说,中间的地址转换过程是完全透明的,如图10-2所示
10.2.2 NAT的类型
NAT有3种类型:静态NAT(Static NAT)、动态NAT(Pooled NAT)、端口多路复用 PAT(Port Address Translation )。
1.静态 NAT(一对一)
静态NAT指将内部网络的私有IP地址与公用IP地址结合,形成一种固定的一对一映射关系,静态映射不会从 NAT转换表中删除。
2.动态NAT(多对多)
动态NAT 指内部网络的私有IP地址与外部网络的公用IP地址之间的映射关系是不确定的。NAT Table中的记录是动态的,如果内部网络计算机在一定时间内没有和外部网络通信,那么与其相关的IP地址映射(Address Mapping)关系将会被删除,并且会将该公用IP地址分配给需要的计算机,从而形成新的NATTable映射记录。当互联网服务提供商(ISP)提供的公用IP地址略少于内部网络的计算机数量时,可以采用动态转换的方式。
3.端口多路复用 PAT(多对一)
端口多路复用PAT指改变数据包的源端口并进行端口转换,使内部网络的所有计算机均可共享一个合法的外部公用IP地址,以实现对Internet的访问,从而可以最大限度地节约IP 地址资源。因此,目前网络中应用最多的就是端口多路复用方式。
10.3 NAT 网关的安装与配置
Windows Server 2019服务器可以被配置为NAT网关,其具有以下特点。
(1)内部网络中使用私有IP地址的计算机,通过NAT网关共享一个公用IP地址连接到 Internet。
(2)支持DHCP功能,为内部网络计算机自动分配IP地址。
(3)支持TCP/UDP端口映射功能,使Internet用户可以访问内部网络提供的应用服务,如Web 网站、电子邮件服务器等。
(4)NAT网关的外部网络接口可以使用多个公用IP地址,通过配置地址映射功能,使 Internet用户通过不同的公用IP地址访问内部网络提供的应用服务。
**实例场景:**A 公司从网络服务提供商(ISP)获得一个公用IP地址,如何利用这个唯一的公用IP地址,使得公司内部网络的所有计算机能够同时访问Internet?
网络拓扑:A公司网络拓扑如图10-3所示。Win2019-1是公司内部网络中的一台计算机,IP地址为192.168.0.100。Win2019-2是一台安装了Windows Server 2019的服务器,其安装了两个网卡,分别是:连接内部网络的网卡 1,IP 地址为192.168.0.1;连接外部网络的网卡2,IP 地址为211.162.65.19。Win2019-3模拟Internet 中的计算机,IP地址为211.162.65.100。
解决办法:配置Windows Server 2019服务器为NAT网关,实现内部网络计算机访问 Internet。
1、实验环境配置
2、NAT 网关的安装与配置。
(1)在Win2019-2计算机上配置 NAT服务,需要先安装好"路由和远程访问"服务。具体操作步骤可参阅9.3节中的相关内容。如果已经安装过,先禁用,再启用,重新配置
选择"服务器管理器"→"工具"→"路由和远程访问"选项,在打开的"路由和远程访问"窗口中右键单击左侧列表中的"WIN2019-2"选项,在弹出的快捷菜单中选择"配置并启用路由和远程访问"命令,在弹出的"路由和远程访问服务器安装向导"对话框中,单击"下一步"按钮,选择"网络地址转换(NAT)"单选按钮,如图10-4所示。
(2)单击"下一步",设置连接到Internet的公共接口,根据网络拓扑图,在网络端口中选择"211.162.65.19"这个接口(这个接口是用来连接公共IP的)
(3)如果检测不到"Ethernet"接口所连接的内部网络(192.168.1.1)提供的DHCP和DNS服务,就会出现如下图所示的对话宽框。选择"启用基本的名称和选择服务"单选按钮,使Win2019-2可以提供DHCP和DNS服务,将内部网络计算机的IP设置为"自动获取"即可。
(4)配置完成后,在"路由和远程访问"窗口单击左侧列表中的"IPv4------NAT",如下图所示
(5)在Win2019-1计算机上,使用Ping命令测试(211.162.65.100)与Win2019-3计算机的连通性,测试成功
3、配置DHCP分配器
DHCP分配器扮演类似DHCP服务器的角色,其用于给内部网络的客户端分配IP地址。
(1)在"路由和远程访问"窗口中,右键单击左侧列表中的"NAT"选项,在弹出的快捷菜单中单击"属性"命令
(2)在弹出的"NAT属性"对话框中,单击"地址分配"选项卡,"IP地址""掩码"会根据NAT网关连接内网的网卡IP地址默认生成。单击"排除"按钮,可以添加需要保留的IP地址,以免这些地址被分配给客户端
10.4 Internet用户连接内部网络
10.4.1 使用NAT网关实现Internet用户连接到内网服务器
由于内部网络计算机客户端的IP地址是私有地址,因此这种IP地址不会暴露在Internet上。如果Internet用户需要连接处于内部网络的服务器(如Web网站),此时就需要通过 NAT 网关来转发响应。
**实例场景:**A公司员工在家工作时需要访问公司内部网络的Web服务器,公司从网络服务提供商(ISP)获得一个公用IP地址。
如何利用这个唯一的公用IP地址,使得员工能够通过 Internet访问公司内网Web服务器?
如果公司获得两个及以上的公用IP地址,又该如何实现呢?
**网络拓扑:**A公司网络拓扑如图10-9所示。Win2019-1是公司内部网络中的一台Web服务器,IP地址为192.168.0.100。Win2019-2是一台安装了Windows Server2019的服务器,其安装了两个网卡,分别是:连接内部网络的网卡1,IP地址为192.168.0.1;连接外部网络的网卡 2,IP地址为211.162.65.19。Win2019-3模拟Internet中的员工计算机,IP地址为211.162.65.100。
**解决办法:**配置Windows Server2019服务器为NAT 网关。如果只有一个公用IP地址,通过配置NAT端口重定向,实现Internet用户访问内网Web服务器。如果有两个及以上的公用IP地址,则通过配置NAT 地址映射,实现Internet用户访问内网Web服务器。
Win2019-1是Web服务器,默认使用80端口,位于内部网络。Win2019-3是位于外部网络的用户计算机,它无法通过"http://192.168.0.100"访问Win2019-1 提供的 Web服务,此时需要在NAT网关上设置"端口重定向",当Win2019-3通过"http://211.162.65.19"访问 Web 服务时,NAT网关会自动将80端口收到的HTTP-Request转发给 Win2019-1, Win2019-1收到请求后发送HTTP-Response,NAT网关收到后,再将HTTP-Response自动转发给Win2019-3,这样就实现了外部网络用户与内部网络服务器之间的通信。
1、配置 Web服务器。
(1)在Win2019-1上配置静态IP地址为192.168.0.100,子网掩码为255.255.255.0,默认网关为192.168.0.1。
(2)配置IIS搭建网站,操作步骤参考5.2节第三步。
先安装Web服务器(IIS)角色
创建默认文件夹以及"index.html"默认网页
在IIS工具中------创建网站
创建成功
2、配置 NAT 端口重定向。
(1)在Win2019-2 NAT网关上,选择"服务器管理器"→"工具"→"路由和远程访问"选项,在弹出的"路由和远程访问"窗口中,单击左侧列表中的"NAT"选项,在右侧的界面中右键单击"Ethernet1:211.162.65.19"(连接外网的网卡)选项,在弹出的快捷菜单中单击"属性"
(2)在弹出的网卡属性中,单击"服务与端口"选项卡,在"服务"列表中,选择"Web服务器(HTTP)"复选框,单击"编辑"按钮,弹出"编辑服务"对话框,在"专用地址"文本框中输入内网Web服务器(Win2019-1)的私有IP地址(192.168.0.100)。
3、测试
在Win2019-3打开IE浏览器,访问"http://211.162.65.19",打开内网测试界面,测试成功
4、配置NAT地址映射
如果NAT网关连接外网的网卡拥有多个IP地址,则可以利用地址映射方式为特定的计算机保留特定的IP地址。网络拓扑图如下:
地址映射和端口重定向的区别
》》地址映射转换的是IP地址
》》端口重定向不仅仅转换IP地址,还转换端口
(1)在Win2019-2 NAT网关上,在网卡"211.162.65.19"上,再添加一个IP"211.162.65.20"
(2)在Win2019-2上,点击"IPv4------NAT------(选择连接外部网络的网卡)------属性------地址池"
(3)单击"保留"按钮,设置为内网计算机保留的的外网公用IP地址,如图所示:
将公用IP地址211.162.65.20与内网计算机的私有IP地址192.168.0.100进行映射。
(4)测试, 在Win2019-3打开IE浏览器,访问"http://211.162.65.20",打开内网测试界面,测试成功
注:虽然这里没有访问到index.html的页面,但是出现了这个界面也是对的
这里index.html被IIS服务80端口默认界面覆盖------------暂未找出解决方法!
10.4.2 Internet连接共享
Internet 连接共享(ICS)实际上相当于一种网络地址转换器,在IP数据包的传递过程中,它可以转换其IP地址与TCP/UDP端口信息。家庭网络或小型局域网络中的计算机通过ICS将私有IP地址转换成唯一的公用IP地址,从而实现Internet共享连接。
ICS 的特点包括以下几点。
(1)只支持一个公用网络接口。
(2)只支持一个公用IP地址,因此没有地址映射功能。
(3) DHCP分配器只会分配网络IP为192.168.137.0/24的 IP 地址。
(4)无法停用DHCP分配器,也无法修改其设置,因此如果内网中已经存在DHCP服务器,则需要合理设置,避免DHCP分配器与DHCP服务器所分配的IP地址冲突。
**实例场景:**A公司从网络服务提供商(ISP)获得一个公用IP地址,在不配置NAT网关的情况下,如何利用这个唯一的公用IP地址,使得员工能够访问Internet,并且实现Internet客户访问公司内网Web服务器?
**网络拓扑:**A公司网络拓扑如图10-17所示。Win2019-1是公司内部网络中的一台Web服务器,IP 地址为192.168.0.100。Win2019-2是一台安装了WindowsServer2019的服务器,其安装了两个网卡,分别是:连接内部网络的网卡1,IP地址为192.168.0.1;连接外部网络的网卡2,IP地址为211.162.65.19。Win2019-3模拟Internet中的用户计算机,IP地址为211.162.65.100。
**解决办法:**在Windows Server 2019服务器上配置Internet连接共享(ICS),实现内部网络访问Internet,通过配置ICS属性中的"服务"项,实现Internet用户访问内网 Web服务器。
1、由于ICS 与路由和远程访问服务不能同时启用,因此需要在Win2019-2服务器上禁用路由和远程访问服务。具体操作步骤如下。
(1)在Win2019-2服务器上,选择"服务器管理器"→"工具"→"路由和远程访问"选项,在打开的"路由和远程访问"窗口中,右键单击左侧列表中的"WIN2019-2"选项,在弹出的快捷菜单中单击"禁用路由和远程访问"命令,如图10-18所示。
(2)删掉之前给Win2019-2的Ethernet1设置的"211.162.65.20"这个IP地址
(3)ICS需要在连接外网的网卡上配置,因此在Win2019-2服务器上选择"网络连接"选项,右键单击"Ethernet1"(211.162.65.19),在弹出的快捷菜单中选择"属性"命令,在打开的对话框中,选择"共享",勾选"允许其他网络用户通过此计算机的Internet连接来连接(N)"
(4)确认后,ICS设置完成。此时Ethernet0的IP地址会自动变成192.168.137.1,将其手工改为静态IP地址192.168.0.1,如下图所示:
(5)在Win2019-1服务器上,可以用Ping命令进行测试与Win2019-3的连通性,测试成功。
2、ICS也可以实现Internet用户对内网服务的访问
(1)在"Internet1属性"对话框的"共享"选项卡中单击"设置"按钮,弹出"高级设置"对话框。
(2)在"服务"列表中点击"添加",服务描述设置为"Web服务器(HTTP)"复选框,单击"编辑"按钮,在弹出的"服务设置"对话框中输入IP地址"192.168.0.100",端口设置"80"端口。
(3)在Win2019-3打开IE浏览器,访问"http://211.162.65.19",打开内网测试界面,测试成功