Windows Server 2019--10 网络地址转换

本章要点

  • 了解 NAT 技术的核心原理。
  • 掌握 NAT 技术的应用。
  • 掌握 NAT 网关的配置。

IP 地址分为两类,分别是私有IP地址(Private IP)与公用IP地址(Public IP)。

位于内部网络中的计算机使用的是私有IP地址,其不需要向IP地址发放机构提出申请。私有IP地址数量多,因此不会出现IP地址不够用的情况。私有IP地址只能在内部网络中使用,因此当内部网络计算机与外部网络进行通信时,必须将内部私有IP地址转换为外部公用IP地址。

具有网络地址转换(Network Address Translation,NAT)功能的网关设备能够自动将内部私有IP地址转换为外部公用IP地址,从而实现内部网络计算机共享少量的公用IP地址,同时访问Internet。NAT技术能够有效地解决公用IP地址紧缺的问题,同时由于NAT技术屏蔽了内部网络,所有处于内部网络中的计算机对于外部网络来说是不可见的,因此也提高了内部网络的安全性。

Internet连接共享(Internet Connection Sharing,ICS)是Windows系统为家庭网络或小型局域网络提供的一种服务,它能够快速实现内网多台计算机同时通过ICS计算机访问 Internet.

10.1 NAT 技术及其应用

10.1.1 什么是 NAT

网络地址转换(NAT)是一个Internet工程任务组(Internet Engineering Task Force, IETF)标准,它允许一个整体机构以一个公用IP地址出现在Internet上。它是一种把内部网络(私有IP地址)转换成外部网络(公用IP 地址)的技术。NAT在一定程度上能够有效地解决公用IP地址不足的问题。

如下图所示,以 10.0.0.10 的主机与 163.221.120.9 的主机进行通信为例讲解 NAT 的工作机制。利用 NAT,途中的 NAT 路由器将发送源地址从 10.0.0.10 转换为全局的 IP 地址(202.244.174.37)再发送数据。反之,当响应数据从 163.221.120.9 发送过来时,目标地址(202.244.174.37)先被转换成私有 IP 地址 10.0.0.10 以后再被转发。

在整个NAT转换过程中,有以下5个特性。

  • (1)网络被分为内部私有网络(内网)和外部公用网络(外网),NAT网关设置在内网和外网的路由出口位置,内、外网的双向流量都必须经过NAT网关。
  • (2)外网计算机只能通过NAT转换后的公用IP地址访问内网计算机。
  • (3)NAT网关在两个方向(出口和人口)上完成IP地址的转换,在出口方向进行"源 IP地址"转换,在人口方向进行"目的IP地址"转换。
  • (4)NAT网关对通信双方来说是保持透明的。
  • (5)NAT网关需要维护一张关联表,对相关会话信息进行保存。

10.1.2 IP 地址的分类

IP 地址分为以下3类。

1.公用 IP 地址

公用IP地址也称为全局地址,是由网络信息中心(NIC)或者网络服务提供商(ISP)分配的地址,它也是全球统一的、可寻址的、合法的IP地址。通过公用IP 地址可以直接访问 Internet。

2.私有IP 地址

私有IP地址也称为内部地址,属于非注册地址,专门用于组织机构内部网络。互联网数字分配机构(IANA)保留了3块IP地址段作为私有IP 地址,分别是A类私有地址10.0.0.0~10.255.255.255,B类私有地址172.16.0.0~172.31.255.255,C类私有地址192.168.0.0~192.168.255.255。

3.保留地址

A类保留地址 127.0.0.0~127.255.255.255,用于循环测试。B类保留地址169.254.0.0~169.254.255.255。如果IP地址是自动获取的,而网络上又没有找到可用的DHCP 服务器,此时将从169.254.0.1~169.254.255.254中临时获得一个IP地址。

10.1.3 NAT 技术的应用

一般情况下,公司、学校等企业内部网络中的计算机都会使用私有IP地址。由于企业能够获得的公用IP地址数量十分有限,不可能满足所有内部网络计算机同时接入Internet的需求,因此需要使用NAT技术,将多个私有IP地址与公用IP地址进行映射,从而满足企业内部网络接人Internet的需求。

当Internet用户访问内部网络提供的应用服务(如Web、FTP)时,由于内网的私有IP地址无法在Internet上使用,因此需要使用NAT技术,将收到的来自Interet用户的连接请求转发到内网服务器上,再将内网服务器的响应转发给Internet用户。由于外部网络不直接与内部网络通信,而是通过NAT网关进行中转,因此在一定程度上保障了企业内部网络的安全。

10.2 NAT技术原理

NAT技术的核心原理是当内部网络计算机和公用网络计算机通信时,将内部网络计算机的私有IP地址与NAT网关的公用IP地址进行转换。NAT网关屏蔽了内部网络,因此所有内部网络的计算机对于外部公用网络来说是透明的。NAT转换过程是自动完成的,因此 NAT网关对于内部网络计算机来说也是透明的。NAT功能通常被集成到路由器、防火墙或单独的 NAT 设备中。

10.2.1 NAT 技术的核心原理

内部网络客户端A与公用网络Web Server服务器通信,当IP数据包经过NAT网关时,其源地址或目的地址在私有IP与公用IP之间进行转换,网络拓扑如图10-1所示。

NAT 网关有2个网络端口,分别是处于公用网络的端口(公用IP:202.20.20.5)和处于内部网络的端口(私有IP:192.168.1.1)。内部网络中的客户端A(IP:192.168.1.2)向公用网络中的 Web Server服务器(IP:202.20.20.4)发送IP数据包时,其目的地址(Dst)的值为202.20.20.4,源地址(Src)的值为192.168.1.2。当IP数据包经过NAT 网关时,NAT网关会将IP数据包中的源地址(Src)转换为NAT网关的公用IP地址并转发到Intemet,此时IP数据包中的源地址(Src)的值为202.20.20.5,目的地址(Dst)的值仍为202.20.20.4.因此经过转换的数据包中已经不含有任何内部网络的IP地址信息。

Web Server服务器响应数据包的源地址(Src)的值为202.20.20.4,目的地址(Dst)的值为202.20.20.5,当NAT网关收到来自Web Server服务器的响应数据包后,将目的地址(Dst)的值转换为内部网络中客户端A的IP 地址 192.168.1.2。

对于客户端A与Web Server服务器来说,中间的地址转换过程是完全透明的,如图10-2所示

10.2.2 NAT的类型

NAT有3种类型:静态NAT(Static NAT)、动态NAT(Pooled NAT)、端口多路复用 PAT(Port Address Translation )。

1.静态 NAT(一对一)

静态NAT指将内部网络的私有IP地址与公用IP地址结合,形成一种固定的一对一映射关系,静态映射不会从 NAT转换表中删除。

2.动态NAT(多对多)

动态NAT 指内部网络的私有IP地址与外部网络的公用IP地址之间的映射关系是不确定的。NAT Table中的记录是动态的,如果内部网络计算机在一定时间内没有和外部网络通信,那么与其相关的IP地址映射(Address Mapping)关系将会被删除,并且会将该公用IP地址分配给需要的计算机,从而形成新的NATTable映射记录。当互联网服务提供商(ISP)提供的公用IP地址略少于内部网络的计算机数量时,可以采用动态转换的方式。

3.端口多路复用 PAT(多对一)

端口多路复用PAT指改变数据包的源端口并进行端口转换,使内部网络的所有计算机均可共享一个合法的外部公用IP地址,以实现对Internet的访问,从而可以最大限度地节约IP 地址资源。因此,目前网络中应用最多的就是端口多路复用方式。

10.3 NAT 网关的安装与配置

Windows Server 2019服务器可以被配置为NAT网关,其具有以下特点。

(1)内部网络中使用私有IP地址的计算机,通过NAT网关共享一个公用IP地址连接到 Internet。

(2)支持DHCP功能,为内部网络计算机自动分配IP地址。

(3)支持TCP/UDP端口映射功能,使Internet用户可以访问内部网络提供的应用服务,如Web 网站、电子邮件服务器等。

(4)NAT网关的外部网络接口可以使用多个公用IP地址,通过配置地址映射功能,使 Internet用户通过不同的公用IP地址访问内部网络提供的应用服务。

**实例场景:**A 公司从网络服务提供商(ISP)获得一个公用IP地址,如何利用这个唯一的公用IP地址,使得公司内部网络的所有计算机能够同时访问Internet?

网络拓扑:A公司网络拓扑如图10-3所示。Win2019-1是公司内部网络中的一台计算机,IP地址为192.168.0.100。Win2019-2是一台安装了Windows Server 2019的服务器,其安装了两个网卡,分别是:连接内部网络的网卡 1,IP 地址为192.168.0.1;连接外部网络的网卡2,IP 地址为211.162.65.19。Win2019-3模拟Internet 中的计算机,IP地址为211.162.65.100。

解决办法:配置Windows Server 2019服务器为NAT网关,实现内部网络计算机访问 Internet。

1、实验环境配置
2、NAT 网关的安装与配置。

(1)在Win2019-2计算机上配置 NAT服务,需要先安装好"路由和远程访问"服务。具体操作步骤可参阅9.3节中的相关内容。如果已经安装过,先禁用,再启用,重新配置

选择"服务器管理器"→"工具"→"路由和远程访问"选项,在打开的"路由和远程访问"窗口中右键单击左侧列表中的"WIN2019-2"选项,在弹出的快捷菜单中选择"配置并启用路由和远程访问"命令,在弹出的"路由和远程访问服务器安装向导"对话框中,单击"下一步"按钮,选择"网络地址转换(NAT)"单选按钮,如图10-4所示。

(2)单击"下一步",设置连接到Internet的公共接口,根据网络拓扑图,在网络端口中选择"211.162.65.19"这个接口(这个接口是用来连接公共IP的)

(3)如果检测不到"Ethernet"接口所连接的内部网络(192.168.1.1)提供的DHCP和DNS服务,就会出现如下图所示的对话宽框。选择"启用基本的名称和选择服务"单选按钮,使Win2019-2可以提供DHCP和DNS服务,将内部网络计算机的IP设置为"自动获取"即可。

(4)配置完成后,在"路由和远程访问"窗口单击左侧列表中的"IPv4------NAT",如下图所示

(5)在Win2019-1计算机上,使用Ping命令测试(211.162.65.100)与Win2019-3计算机的连通性,测试成功

3、配置DHCP分配器

DHCP分配器扮演类似DHCP服务器的角色,其用于给内部网络的客户端分配IP地址。

(1)在"路由和远程访问"窗口中,右键单击左侧列表中的"NAT"选项,在弹出的快捷菜单中单击"属性"命令

(2)在弹出的"NAT属性"对话框中,单击"地址分配"选项卡,"IP地址""掩码"会根据NAT网关连接内网的网卡IP地址默认生成。单击"排除"按钮,可以添加需要保留的IP地址,以免这些地址被分配给客户端

10.4 Internet用户连接内部网络

10.4.1 使用NAT网关实现Internet用户连接到内网服务器

由于内部网络计算机客户端的IP地址是私有地址,因此这种IP地址不会暴露在Internet上。如果Internet用户需要连接处于内部网络的服务器(如Web网站),此时就需要通过 NAT 网关来转发响应。

**实例场景:**A公司员工在家工作时需要访问公司内部网络的Web服务器,公司从网络服务提供商(ISP)获得一个公用IP地址。

如何利用这个唯一的公用IP地址,使得员工能够通过 Internet访问公司内网Web服务器?

如果公司获得两个及以上的公用IP地址,又该如何实现呢?

**网络拓扑:**A公司网络拓扑如图10-9所示。Win2019-1是公司内部网络中的一台Web服务器,IP地址为192.168.0.100。Win2019-2是一台安装了Windows Server2019的服务器,其安装了两个网卡,分别是:连接内部网络的网卡1,IP地址为192.168.0.1;连接外部网络的网卡 2,IP地址为211.162.65.19。Win2019-3模拟Internet中的员工计算机,IP地址为211.162.65.100。

**解决办法:**配置Windows Server2019服务器为NAT 网关。如果只有一个公用IP地址,通过配置NAT端口重定向,实现Internet用户访问内网Web服务器。如果有两个及以上的公用IP地址,则通过配置NAT 地址映射,实现Internet用户访问内网Web服务器。

Win2019-1是Web服务器,默认使用80端口,位于内部网络。Win2019-3是位于外部网络的用户计算机,它无法通过"http://192.168.0.100"访问Win2019-1 提供的 Web服务,此时需要在NAT网关上设置"端口重定向",当Win2019-3通过"http://211.162.65.19"访问 Web 服务时,NAT网关会自动将80端口收到的HTTP-Request转发给 Win2019-1, Win2019-1收到请求后发送HTTP-Response,NAT网关收到后,再将HTTP-Response自动转发给Win2019-3,这样就实现了外部网络用户与内部网络服务器之间的通信。

1、配置 Web服务器。

(1)在Win2019-1上配置静态IP地址为192.168.0.100,子网掩码为255.255.255.0,默认网关为192.168.0.1。

(2)配置IIS搭建网站,操作步骤参考5.2节第三步。

先安装Web服务器(IIS)角色

创建默认文件夹以及"index.html"默认网页

在IIS工具中------创建网站

创建成功

2、配置 NAT 端口重定向。

(1)在Win2019-2 NAT网关上,选择"服务器管理器"→"工具"→"路由和远程访问"选项,在弹出的"路由和远程访问"窗口中,单击左侧列表中的"NAT"选项,在右侧的界面中右键单击"Ethernet1:211.162.65.19"(连接外网的网卡)选项,在弹出的快捷菜单中单击"属性"

(2)在弹出的网卡属性中,单击"服务与端口"选项卡,在"服务"列表中,选择"Web服务器(HTTP)"复选框,单击"编辑"按钮,弹出"编辑服务"对话框,在"专用地址"文本框中输入内网Web服务器(Win2019-1)的私有IP地址(192.168.0.100)。

3、测试

在Win2019-3打开IE浏览器,访问"http://211.162.65.19",打开内网测试界面,测试成功

4、配置NAT地址映射

如果NAT网关连接外网的网卡拥有多个IP地址,则可以利用地址映射方式为特定的计算机保留特定的IP地址。网络拓扑图如下:

地址映射和端口重定向的区别

》》地址映射转换的是IP地址

》》端口重定向不仅仅转换IP地址,还转换端口

(1)在Win2019-2 NAT网关上,在网卡"211.162.65.19"上,再添加一个IP"211.162.65.20"

(2)在Win2019-2上,点击"IPv4------NAT------(选择连接外部网络的网卡)------属性------地址池"

(3)单击"保留"按钮,设置为内网计算机保留的的外网公用IP地址,如图所示:

将公用IP地址211.162.65.20与内网计算机的私有IP地址192.168.0.100进行映射。

(4)测试, 在Win2019-3打开IE浏览器,访问"http://211.162.65.20",打开内网测试界面,测试成功

注:虽然这里没有访问到index.html的页面,但是出现了这个界面也是对的

这里index.html被IIS服务80端口默认界面覆盖------------暂未找出解决方法!

10.4.2 Internet连接共享

Internet 连接共享(ICS)实际上相当于一种网络地址转换器,在IP数据包的传递过程中,它可以转换其IP地址与TCP/UDP端口信息。家庭网络或小型局域网络中的计算机通过ICS将私有IP地址转换成唯一的公用IP地址,从而实现Internet共享连接。

ICS 的特点包括以下几点。

(1)只支持一个公用网络接口。

(2)只支持一个公用IP地址,因此没有地址映射功能。

(3) DHCP分配器只会分配网络IP为192.168.137.0/24的 IP 地址。

(4)无法停用DHCP分配器,也无法修改其设置,因此如果内网中已经存在DHCP服务器,则需要合理设置,避免DHCP分配器与DHCP服务器所分配的IP地址冲突。

**实例场景:**A公司从网络服务提供商(ISP)获得一个公用IP地址,在不配置NAT网关的情况下,如何利用这个唯一的公用IP地址,使得员工能够访问Internet,并且实现Internet客户访问公司内网Web服务器?

**网络拓扑:**A公司网络拓扑如图10-17所示。Win2019-1是公司内部网络中的一台Web服务器,IP 地址为192.168.0.100。Win2019-2是一台安装了WindowsServer2019的服务器,其安装了两个网卡,分别是:连接内部网络的网卡1,IP地址为192.168.0.1;连接外部网络的网卡2,IP地址为211.162.65.19。Win2019-3模拟Internet中的用户计算机,IP地址为211.162.65.100。

**解决办法:**在Windows Server 2019服务器上配置Internet连接共享(ICS),实现内部网络访问Internet,通过配置ICS属性中的"服务"项,实现Internet用户访问内网 Web服务器。

1、由于ICS 与路由和远程访问服务不能同时启用,因此需要在Win2019-2服务器上禁用路由和远程访问服务。具体操作步骤如下。

(1)在Win2019-2服务器上,选择"服务器管理器"→"工具"→"路由和远程访问"选项,在打开的"路由和远程访问"窗口中,右键单击左侧列表中的"WIN2019-2"选项,在弹出的快捷菜单中单击"禁用路由和远程访问"命令,如图10-18所示。

(2)删掉之前给Win2019-2的Ethernet1设置的"211.162.65.20"这个IP地址

(3)ICS需要在连接外网的网卡上配置,因此在Win2019-2服务器上选择"网络连接"选项,右键单击"Ethernet1"(211.162.65.19),在弹出的快捷菜单中选择"属性"命令,在打开的对话框中,选择"共享",勾选"允许其他网络用户通过此计算机的Internet连接来连接(N)"

(4)确认后,ICS设置完成。此时Ethernet0的IP地址会自动变成192.168.137.1,将其手工改为静态IP地址192.168.0.1,如下图所示:

(5)在Win2019-1服务器上,可以用Ping命令进行测试与Win2019-3的连通性,测试成功。

2、ICS也可以实现Internet用户对内网服务的访问

(1)在"Internet1属性"对话框的"共享"选项卡中单击"设置"按钮,弹出"高级设置"对话框。

(2)在"服务"列表中点击"添加",服务描述设置为"Web服务器(HTTP)"复选框,单击"编辑"按钮,在弹出的"服务设置"对话框中输入IP地址"192.168.0.100",端口设置"80"端口。

(3)在Win2019-3打开IE浏览器,访问"http://211.162.65.19",打开内网测试界面,测试成功

相关推荐
love530love1 小时前
【新手向】GitHub Desktop 的使用说明(含 GitHub Desktop 和 Git 的功能对比)
人工智能·windows·git·python·github
不想被吃掉氩5 小时前
CMAKE
windows·unix·cmake
DanceDonkey5 小时前
泛型方法调用需要显示指定泛型类型的场景
开发语言·windows·python
唯梦闲君10 小时前
windows中通过git从远程快速只下载指定一个文件的批处理命令
windows·git
.鱼子酱17 小时前
FFmpeg 超级详细安装与配置教程(Windows 系统)
windows·ffmpeg
superkcl202218 小时前
【JAVA】【Stream流】
java·windows·python
jian1105821 小时前
windows清理系统备份文件夹WinSxS文件夹清理
windows
Web极客码1 天前
如何在中将网络改为桥接模式并配置固定IP地址
开发语言·网络·ubuntu·php·虚拟机
方博士AI机器人1 天前
GNU Octave 基础教程(1):Ubuntu 22.04 与 Windows 11 安装 Octave 全流程
windows·ubuntu·octave
k***a4291 天前
Python 中设置布尔值参数为 True 来启用验证
开发语言·windows·python