【Windows Server 2019】NAT服务的安装、配置与管理

1. 理论

1.1 定义

网络地址转换 (Network Address Translation, NAT) 是更改源和目标地址或端口的过程。地址转换减少了对IPv4公有地址的需求并可以隐藏私有网络地址范围。NAT一般在路由器或防火墙上完成。

与无类域间路由选择（CIDR）一样，最初开发NAT旨在推迟可用IPv4地址空间耗尽的时间。因为互联网的快速发展，越来越多的设备加入到互联网中，这导致可用公有IPv4地址短缺。而NAT则是解决IPv4地址短缺的重要方法。

1.2 工作原理

NAT是IETE标准，它允许一个组织能以一个地址出现在互联网中。它能让一个私有网络（LAN）通过公有IP（互联网注册IP）连接到WAN中。NAT一般部署在出口路由或网关上，它位于内部网络与外部网络中间，在数据包传输前负责把私有IP地址转换为公有IP地址。

路由器R1上有至少一个公有IP和一个私有IP，其上部署了NAT，Host A在LAN中，S1在WAN中。

主机 A 从 Internet 服务器请求网页。由于主机 A 使用私有 IP 寻址，因此请求的源地址必须由R1更改，因为私有 IP在 Internet 上是不可路由的。路由器 R1 收到请求，将源 IP 地址更改为其公共 IP 地址，并将数据包发送到服务器 S1。服务器 S1 收到数据包并回复路由器 R1。路由器 R1 接收到数据包，将目的 IP 地址更改为 Host A 的私有 IP 地址，然后将数据包发送给 Host A。

1.3 NAT优点

• 节约合法的注册IP地址（公有IP地址）。
• 提供了网络安全性，NAT可以隐藏私有网络IP，因此有效的保护LAN中的网络安全。
• 提高了连接到互联网的灵活性。
• 在地址重叠时提供了解决方案。
  当两个公司网络合并时，如果其私有网络网段是相同的情况下，为了不改变它们的拓扑结构，可以使用NAT。

1.4 NAT缺点

• 地址转换增加了交换延迟。
• 无法进行端到端的IP跟踪。
• NAT会导致一些使用IP寻址的应用无法正常运行。
• NAT也会使隧道协议（如IPSec）更加复杂，它会干扰隧道协议执行完整性检查。

1.5 NAT分类

NAT有3种类型

• 静态NAT
• 动态NAT
• NAT过载（端口地址转换，PAT）

静态NAT和动态NAT是一对一的地址转换，一般来说一个私有地址对应一个公有地址。要想实现LAN中网络设备访问WAN，就必须有足够的公有IP地址池作为基础。但对于IPv4短缺的事实来说，这是困难的，所以我们一般说的NAT其实是PAT，也就是端口地址转换，它是动态NAT的一种，也是最常用的NAT类型。

2. 实验拓扑

2.1 拓扑说明

实验环境中存在一台服务器和VMware vSphere数据中心。服务器是数据中心的默认网关，vCenter Server管理着3台ESXi主机，每台ESXi主机中部署了一台VM。服务器其中有两个网卡，网卡1有公网IP，网卡2配置了私有IP，用于LAN通信。

2.2 场景1：服务器没有NAT服务、

当服务器中没有部署NAT时实验环境形成一个封闭的LAN，无法与外界（互联网）通信。即使服务器中有持有公网IP的网卡1。

2.2 场景2：服务器部署了NAT服务

当部署NAT后，网卡1有公网IP，网卡2与内网通信。此时LAN中所有计算机的网关都设置为NAT服务器网卡2 IP。当LAN中计算机访问外网时，流量会先通过网卡2，然后转发给网卡1，由网卡1转发给互联网。

3. 安装NAT

（1）打开【服务器管理器】，单击【添加角色和功能】，系统首先会提示，在安装之前需要完成的任务。

（2）进入【选择安装类型】界面， 使用默认选项【基于角色或基于功能的安装】

（3）进入【选择目标服务器】界面， 选择【从服务器池中选择服务器】

（4）进入【选择服务器角色】 界面， 单击【Remote Access】 前面的复选框

（5）进入【选择功能】界面， 不需要再添加额外的功能， 因此保持默认。

（6）进入【远程访问】界面， 该界面用于说明远程服务的作用及注意事项 。

从中可以看出Web应用程序也在其中。

（7）进入【选择角色服务】界面，勾选【Routing】复选框。

（8）自动弹出【添加路由所需的功能】 界面，确认信息后， 单击【添加功能】。

（9）返回【选择角色服务】 界面， 确保勾选了【Routing】和【DirectAccess and VPN(RAS)】。

（10）进入【Web服务器角色(IIS)】界面，远程访问服务也集成了 IIS （见（6））。

（11）进入【选择角色服务】界面，保持默认选择即可。

（12）进入【确认安装所选内容】 界面， 显示出前面所选择要安装的内容

（13）进入【安装进度】 界面， 安装过程需要等待一段时间，安装完成后可直接关闭安装程序，也可以点击【打开"开始向导"】继续配置。

4. 配置NAT

4.1 配置远程访问 开始导向

（1）打开远程访问 开始导向

打开【服务器管理器】，在安装完【远程访问】后，由于远程访问开始向导配置还未设置，所以在仪表盘界面，会有一个黄色的感叹号，点击它，会发现系统提示还未完成远程访问必要的配置。

或者 在【远程访问】安装完成后的【结果】界面打开。（详见3.安装NAT（13）小节）

（2）选择【仅部署VPN(V)】

（3）检查先决条件

如果选择了【仅部署VPN(V)】会跳过此步骤。

带有【DirectAccess】选项的先决条件是服务器已经加入了域。因此这里选择【仅部署VPN(V)】

4.2 新建路由与远程访问（NAT）

（1）系统会自动打开【路由与远程访问】管理器，右键单击【SERVER(本地)】，选择【配置并启用路由和远程访问©】。SERVER是服务器的主机名。此时的SERVER标记是红色，服务处于停止状态。

（2）进入【配置并启用路由和远程访问器安装向导】

（3）选择要配置的服务

选择【网络地址转换(NAT)(E)】

（4）选择公网接口

该接口是配有公网IP地址的接口，NAT也是作用在此接口上。

（5）选择内网接口

此处只能选择一个，如果存在多个私有IP网段，可以在后续步骤中添加NAT服务

（6）完成配置

（7）等待服务的初始化

（8）查看NAT信息

部署完成后，返回【路由与远程访问】管理器，SERVER服务器状态变为绿色，表示服务正在运行中。点开【IPv4服务】——>【NAT】可以看到NAT接口的配置信息

此时的NAT服务已经应用在网卡Ethernet0，Ethernet1网卡中所有访问非LAN流量都会通过网卡Ethernet0转发到外界。

4.3 开启NAT服务

如果已经部署了VPN或者路由服务，只需要增加新的路由协议就能开启NAT服务。

（1）添加NAT

打开【Routing and Remote Access】管理器，在【IPv4】服务器下右键点击【General】，选择【New Routing Protocol】

在路由协议列表中，选中NAT，然后点击【OK】

（2）添加内网网卡

此时左侧菜单栏的【IPv4】服务器下会出现【NAT】服务，右键选中NAT，再打开的菜单中点击【New Interface…】

在网卡列表中选中【Internal】，internal代表所有的网卡。

选择接口类型，默认类型为私有网卡，连接LAN网络。直接点击【OK】

添加完成后，【Internal】会出现在右侧NAT接口列表中。

（3）添加NAT网卡

再次右键选中NAT，再打开的菜单中点击【New Interface…】，选择Ethernet3。Ethernet3 配置了公网IP。

选择【Public interface connected to the lntenet】，同时勾选【Enable NAT on this interface】。

将此网卡的类型设置为公网接口，并将NAT服务应用在该接口上。最后点击【OK】

返回NAT接口列表，如下所示

4.4 验证NAT服务

此时 4.2 小节的SERVER1是拓扑图上的NAT服务器。我们在vSphere架构中的VM上ping www.baidu.com。

centos

photon

当LAN中PC访问外网时，进出站流量都能在NAT接口管理界面看到

5. 参考资料

• Network Address Translation (NAT) FAQ
• What is NAT?
• 思科网络实验室路由、交换实验只能（第2版）