您当前的位置:首页 > 计算机 > 服务器 > 网络服务

【Windows Server 2019】NAT服务的安装、配置与管理

时间:04-15来源:作者:点击数:

1. 理论

1.1 定义

网络地址转换 (Network Address Translation, NAT) 是更改源和目标地址或端口的过程。地址转换减少了对IPv4公有地址的需求并可以隐藏私有网络地址范围。NAT一般在路由器或防火墙上完成。

与无类域间路由选择(CIDR)一样,最初开发NAT旨在推迟可用IPv4地址空间耗尽的时间。因为互联网的快速发展,越来越多的设备加入到互联网中,这导致可用公有IPv4地址短缺。而NAT则是解决IPv4地址短缺的重要方法。

1.2 工作原理

NAT是IETE标准,它允许一个组织能以一个地址出现在互联网中。它能让一个私有网络(LAN)通过公有IP(互联网注册IP)连接到WAN中。NAT一般部署在出口路由或网关上,它位于内部网络与外部网络中间,在数据包传输前负责把私有IP地址转换为公有IP地址。

NAT过程解释

路由器R1上有至少一个公有IP和一个私有IP,其上部署了NAT,Host A在LAN中,S1在WAN中。

主机 A 从 Internet 服务器请求网页。由于主机 A 使用私有 IP 寻址,因此请求的源地址必须由R1更改,因为私有 IP在 Internet 上是不可路由的。路由器 R1 收到请求,将源 IP 地址更改为其公共 IP 地址,并将数据包发送到服务器 S1。服务器 S1 收到数据包并回复路由器 R1。路由器 R1 接收到数据包,将目的 IP 地址更改为 Host A 的私有 IP 地址,然后将数据包发送给 Host A。

1.3 NAT优点

  • 节约合法的注册IP地址(公有IP地址)。
  • 提供了网络安全性,NAT可以隐藏私有网络IP,因此有效的保护LAN中的网络安全。
  • 提高了连接到互联网的灵活性。
  • 在地址重叠时提供了解决方案。
    当两个公司网络合并时,如果其私有网络网段是相同的情况下,为了不改变它们的拓扑结构,可以使用NAT。

1.4 NAT缺点

  • 地址转换增加了交换延迟。
  • 无法进行端到端的IP跟踪。
  • NAT会导致一些使用IP寻址的应用无法正常运行。
  • NAT也会使隧道协议(如IPSec)更加复杂,它会干扰隧道协议执行完整性检查。

1.5 NAT分类

NAT有3种类型

  • 静态NAT
  • 动态NAT
  • NAT过载(端口地址转换,PAT)

静态NAT和动态NAT是一对一的地址转换,一般来说一个私有地址对应一个公有地址。要想实现LAN中网络设备访问WAN,就必须有足够的公有IP地址池作为基础。但对于IPv4短缺的事实来说,这是困难的,所以我们一般说的NAT其实是PAT,也就是端口地址转换,它是动态NAT的一种,也是最常用的NAT类型。

2. 实验拓扑

2.1 拓扑说明

实验环境中存在一台服务器和VMware vSphere数据中心。服务器是数据中心的默认网关,vCenter Server管理着3台ESXi主机,每台ESXi主机中部署了一台VM。服务器其中有两个网卡,网卡1有公网IP,网卡2配置了私有IP,用于LAN通信。

2.2 场景1:服务器没有NAT服务、

NAT-1

当服务器中没有部署NAT时实验环境形成一个封闭的LAN,无法与外界(互联网)通信。即使服务器中有持有公网IP的网卡1。

2.2 场景2:服务器部署了NAT服务

NAT

当部署NAT后,网卡1有公网IP,网卡2与内网通信。此时LAN中所有计算机的网关都设置为NAT服务器网卡2 IP。当LAN中计算机访问外网时,流量会先通过网卡2,然后转发给网卡1,由网卡1转发给互联网。

NAT

3. 安装NAT

(1)打开【服务器管理器】,单击【添加角色和功能】,系统首先会提示,在安装之前需要完成的任务。

image-20220929174434241

(2)进入【选择安装类型】界面, 使用默认选项【基于角色或基于功能的安装】

image-20220929213901283

(3)进入【选择目标服务器】界面, 选择【从服务器池中选择服务器】

image-20220929213955394

(4)进入【选择服务器角色】 界面, 单击【Remote Access】 前面的复选框

image-20220929214339272

(5)进入【选择功能】界面, 不需要再添加额外的功能, 因此保持默认。

image-20220929214412545

(6)进入【远程访问】界面, 该界面用于说明远程服务的作用及注意事项 。

从中可以看出Web应用程序也在其中。

image-20220929214545186

(7)进入【选择角色服务】界面,勾选【Routing】复选框。

image-20220929214659562

(8)自动弹出【添加路由所需的功能】 界面,确认信息后, 单击【添加功能】。

image-20220929214722422

(9)返回【选择角色服务】 界面, 确保勾选了【Routing】和【DirectAccess and VPN(RAS)】。

image-20220929214819617

(10)进入【Web服务器角色(IIS)】界面,远程访问服务也集成了 IIS (见(6))。

image-20220929215021121

(11)进入【选择角色服务】界面,保持默认选择即可。

image-20220929215043143

(12)进入【确认安装所选内容】 界面, 显示出前面所选择要安装的内容

image-20220929215109128

(13)进入【安装进度】 界面, 安装过程需要等待一段时间,安装完成后可直接关闭安装程序,也可以点击【打开"开始向导"】继续配置。

image-20220929215321055

4. 配置NAT

4.1 配置远程访问 开始导向

(1)打开远程访问 开始导向

打开【服务器管理器】,在安装完【远程访问】后,由于远程访问开始向导配置还未设置,所以在仪表盘界面,会有一个黄色的感叹号,点击它,会发现系统提示还未完成远程访问必要的配置。

或者 在【远程访问】安装完成后的【结果】界面打开。(详见3.安装NAT(13)小节)

(2)选择【仅部署VPN(V)】

image-20220929221306709

(3)检查先决条件

如果选择了【仅部署VPN(V)】会跳过此步骤。

带有【DirectAccess】选项的先决条件是服务器已经加入了域。因此这里选择【仅部署VPN(V)】

image-20220929221052997

4.2 新建路由与远程访问(NAT)

(1)系统会自动打开【路由与远程访问】管理器,右键单击【SERVER(本地)】,选择【配置并启用路由和远程访问©】。SERVER是服务器的主机名。此时的SERVER标记是红色,服务处于停止状态。

image-20220929221836470

(2)进入【配置并启用路由和远程访问器安装向导】

image-20220929222143346

(3)选择要配置的服务

选择【网络地址转换(NAT)(E)】

image-20220929222237172

(4)选择公网接口

该接口是配有公网IP地址的接口,NAT也是作用在此接口上。

image-20220929222402697

(5)选择内网接口

此处只能选择一个,如果存在多个私有IP网段,可以在后续步骤中添加NAT服务

image-20220929222511088

(6)完成配置

image-20220929222557298

(7)等待服务的初始化

image-20220929222620429

(8)查看NAT信息

部署完成后,返回【路由与远程访问】管理器,SERVER服务器状态变为绿色,表示服务正在运行中。点开【IPv4服务】——>【NAT】可以看到NAT接口的配置信息

image-20220929223328398

此时的NAT服务已经应用在网卡Ethernet0,Ethernet1网卡中所有访问非LAN流量都会通过网卡Ethernet0转发到外界。

4.3 开启NAT服务

如果已经部署了VPN或者路由服务,只需要增加新的路由协议就能开启NAT服务。

(1)添加NAT

打开【Routing and Remote Access】管理器,在【IPv4】服务器下右键点击【General】,选择【New Routing Protocol】

image-20220922195745635

在路由协议列表中,选中NAT,然后点击【OK】

image-20220922195832368

(2)添加内网网卡

此时左侧菜单栏的【IPv4】服务器下会出现【NAT】服务,右键选中NAT,再打开的菜单中点击【New Interface…】

image-20220922202034730

在网卡列表中选中【Internal】,internal代表所有的网卡。

image-20220922202904349

选择接口类型,默认类型为私有网卡,连接LAN网络。直接点击【OK】

image-20220922203021394

添加完成后,【Internal】会出现在右侧NAT接口列表中。

image-20220922203117548

(3)添加NAT网卡

再次右键选中NAT,再打开的菜单中点击【New Interface…】,选择Ethernet3。Ethernet3 配置了公网IP。

image-20220922203227066

选择【Public interface connected to the lntenet】,同时勾选【Enable NAT on this interface】。

将此网卡的类型设置为公网接口,并将NAT服务应用在该接口上。最后点击【OK】

image-20220922203324989

返回NAT接口列表,如下所示

image-20220922203615916

4.4 验证NAT服务

此时 4.2 小节的SERVER1是拓扑图上的NAT服务器。我们在vSphere架构中的VM上ping www.baidu.com。

centos

image-20220922203823846

photon

image-20220922203914540

当LAN中PC访问外网时,进出站流量都能在NAT接口管理界面看到

image-20220928131003206

5. 参考资料

方便获取更多学习、工作、生活信息请关注本站微信公众号城东书院 微信服务号城东书院 微信订阅号
推荐内容
相关内容
栏目更新
栏目热门