1. 理論

1.1 定義

網(wǎng)絡(luò)地址轉(zhuǎn)換 (Network Address Translation, NAT) 是更改源和目標(biāo)地址或端口的過(guò)程。地址轉(zhuǎn)換減少了對(duì)IPv4公有地址的需求并可以隱藏私有網(wǎng)絡(luò)地址范圍。NAT一般在路由器或防火墻上完成。

與無(wú)類域間路由選擇（CIDR）一樣，最初開發(fā)NAT旨在推遲可用IPv4地址空間耗盡的時(shí)間。因?yàn)榛ヂ?lián)網(wǎng)的快速發(fā)展，越來(lái)越多的設(shè)備加入到互聯(lián)網(wǎng)中，這導(dǎo)致可用公有IPv4地址短缺。而NAT則是解決IPv4地址短缺的重要方法。

1.2 工作原理

NAT是IETE標(biāo)準(zhǔn)，它允許一個(gè)組織能以一個(gè)地址出現(xiàn)在互聯(lián)網(wǎng)中。它能讓一個(gè)私有網(wǎng)絡(luò)（LAN）通過(guò)公有IP（互聯(lián)網(wǎng)注冊(cè)IP）連接到WAN中。NAT一般部署在出口路由或網(wǎng)關(guān)上，它位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)中間，在數(shù)據(jù)包傳輸前負(fù)責(zé)把私有IP地址轉(zhuǎn)換為公有IP地址。

路由器R1上有至少一個(gè)公有IP和一個(gè)私有IP，其上部署了NAT，Host A在LAN中，S1在WAN中。

主機(jī) A 從 Internet 服務(wù)器請(qǐng)求網(wǎng)頁(yè)。由于主機(jī) A 使用私有 IP 尋址，因此請(qǐng)求的源地址必須由R1更改，因?yàn)樗接?IP在 Internet 上是不可路由的。路由器 R1 收到請(qǐng)求，將源 IP 地址更改為其公共 IP 地址，并將數(shù)據(jù)包發(fā)送到服務(wù)器 S1。服務(wù)器 S1 收到數(shù)據(jù)包并回復(fù)路由器 R1。路由器 R1 接收到數(shù)據(jù)包，將目的 IP 地址更改為 Host A 的私有 IP 地址，然后將數(shù)據(jù)包發(fā)送給 Host A。

1.3 NAT優(yōu)點(diǎn)

• 節(jié)約合法的注冊(cè)IP地址（公有IP地址）。

• 提供了網(wǎng)絡(luò)安全性，NAT可以隱藏私有網(wǎng)絡(luò)IP，因此有效的保護(hù)LAN中的網(wǎng)絡(luò)安全。

• 提高了連接到互聯(lián)網(wǎng)的靈活性。

• 在地址重疊時(shí)提供了解決方案。

  當(dāng)兩個(gè)公司網(wǎng)絡(luò)合并時(shí)，如果其私有網(wǎng)絡(luò)網(wǎng)段是相同的情況下，為了不改變它們的拓?fù)浣Y(jié)構(gòu)，可以使用NAT。

1.4 NAT缺點(diǎn)

• 地址轉(zhuǎn)換增加了交換延遲。
• 無(wú)法進(jìn)行端到端的IP跟蹤。
• NAT會(huì)導(dǎo)致一些使用IP尋址的應(yīng)用無(wú)法正常運(yùn)行。
• NAT也會(huì)使隧道協(xié)議（如IPSec）更加復(fù)雜，它會(huì)干擾隧道協(xié)議執(zhí)行完整性檢查。

1.5 NAT分類

NAT有3種類型

• 靜態(tài)NAT
• 動(dòng)態(tài)NAT
• NAT過(guò)載（端口地址轉(zhuǎn)換，PAT）

靜態(tài)NAT和動(dòng)態(tài)NAT是一對(duì)一的地址轉(zhuǎn)換，一般來(lái)說(shuō)一個(gè)私有地址對(duì)應(yīng)一個(gè)公有地址。要想實(shí)現(xiàn)LAN中網(wǎng)絡(luò)設(shè)備訪問(wèn)WAN，就必須有足夠的公有IP地址池作為基礎(chǔ)。但對(duì)于IPv4短缺的事實(shí)來(lái)說(shuō)，這是困難的，所以我們一般說(shuō)的NAT其實(shí)是PAT，也就是端口地址轉(zhuǎn)換，它是動(dòng)態(tài)NAT的一種，也是最常用的NAT類型。

2. 實(shí)驗(yàn)拓?fù)?/h2>

2.1 拓?fù)湔f(shuō)明

實(shí)驗(yàn)環(huán)境中存在一臺(tái)服務(wù)器和VMware vSphere數(shù)據(jù)中心。服務(wù)器是數(shù)據(jù)中心的默認(rèn)網(wǎng)關(guān)，vCenter Server管理著3臺(tái)ESXi主機(jī)，每臺(tái)ESXi主機(jī)中部署了一臺(tái)VM。服務(wù)器其中有兩個(gè)網(wǎng)卡，網(wǎng)卡1有公網(wǎng)IP，網(wǎng)卡2配置了私有IP，用于LAN通信。

2.2 場(chǎng)景1：服務(wù)器沒有NAT服務(wù)、

當(dāng)服務(wù)器中沒有部署NAT時(shí)實(shí)驗(yàn)環(huán)境形成一個(gè)封閉的LAN，無(wú)法與外界（互聯(lián)網(wǎng)）通信。即使服務(wù)器中有持有公網(wǎng)IP的網(wǎng)卡1。

2.2 場(chǎng)景2：服務(wù)器部署了NAT服務(wù)

當(dāng)部署NAT后，網(wǎng)卡1有公網(wǎng)IP，網(wǎng)卡2與內(nèi)網(wǎng)通信。此時(shí)LAN中所有計(jì)算機(jī)的網(wǎng)關(guān)都設(shè)置為NAT服務(wù)器網(wǎng)卡2 IP。當(dāng)LAN中計(jì)算機(jī)訪問(wèn)外網(wǎng)時(shí)，流量會(huì)先通過(guò)網(wǎng)卡2，然后轉(zhuǎn)發(fā)給網(wǎng)卡1，由網(wǎng)卡1轉(zhuǎn)發(fā)給互聯(lián)網(wǎng)。

3. 安裝NAT

（1）打開【服務(wù)器管理器】，單擊【添加角色和功能】，系統(tǒng)首先會(huì)提示，在安裝之前需要完成的任務(wù)。

（2）進(jìn)入【選擇安裝類型】界面， 使用默認(rèn)選項(xiàng)【基于角色或基于功能的安裝】

（3）進(jìn)入【選擇目標(biāo)服務(wù)器】界面， 選擇【從服務(wù)器池中選擇服務(wù)器】

（4）進(jìn)入【選擇服務(wù)器角色】 界面， 單擊【Remote Access】 前面的復(fù)選框

（5）進(jìn)入【選擇功能】界面， 不需要再添加額外的功能， 因此保持默認(rèn)。

（6）進(jìn)入【遠(yuǎn)程訪問(wèn)】界面， 該界面用于說(shuō)明遠(yuǎn)程服務(wù)的作用及注意事項(xiàng) 。

從中可以看出Web應(yīng)用程序也在其中。

（7）進(jìn)入【選擇角色服務(wù)】界面，勾選【Routing】復(fù)選框。

（8）自動(dòng)彈出【添加路由所需的功能】 界面，確認(rèn)信息后， 單擊【添加功能】。

（9）返回【選擇角色服務(wù)】 界面， 確保勾選了【Routing】和【DirectAccess and VPN(RAS)】。

（10）進(jìn)入【W(wǎng)eb服務(wù)器角色(IIS)】界面，遠(yuǎn)程訪問(wèn)服務(wù)也集成了 IIS （見（6））。

（11）進(jìn)入【選擇角色服務(wù)】界面，保持默認(rèn)選擇即可。

（12）進(jìn)入【確認(rèn)安裝所選內(nèi)容】 界面， 顯示出前面所選擇要安裝的內(nèi)容

（13）進(jìn)入【安裝進(jìn)度】 界面， 安裝過(guò)程需要等待一段時(shí)間，安裝完成后可直接關(guān)閉安裝程序，也可以點(diǎn)擊【打開"開始向?qū)?quot;】繼續(xù)配置。

4. 配置NAT

4.1 配置遠(yuǎn)程訪問(wèn) 開始導(dǎo)向

（1）打開遠(yuǎn)程訪問(wèn) 開始導(dǎo)向

打開【服務(wù)器管理器】，在安裝完【遠(yuǎn)程訪問(wèn)】后，由于遠(yuǎn)程訪問(wèn)開始向?qū)渲眠€未設(shè)置，所以在儀表盤界面，會(huì)有一個(gè)黃色的感嘆號(hào)，點(diǎn)擊它，會(huì)發(fā)現(xiàn)系統(tǒng)提示還未完成遠(yuǎn)程訪問(wèn)必要的配置。

或者 在【遠(yuǎn)程訪問(wèn)】安裝完成后的【結(jié)果】界面打開。（詳見3.安裝NAT（13）小節(jié)）

（2）選擇【僅部署VPN(V)】

（3）檢查先決條件

如果選擇了【僅部署VPN(V)】會(huì)跳過(guò)此步驟。

帶有【DirectAccess】選項(xiàng)的先決條件是服務(wù)器已經(jīng)加入了域。因此這里選擇【僅部署VPN(V)】

4.2 新建路由與遠(yuǎn)程訪問(wèn)（NAT）

（1）系統(tǒng)會(huì)自動(dòng)打開【路由與遠(yuǎn)程訪問(wèn)】管理器，右鍵單擊【SERVER(本地)】，選擇【配置并啟用路由和遠(yuǎn)程訪問(wèn)©】。SERVER是服務(wù)器的主機(jī)名。此時(shí)的SERVER標(biāo)記是紅色，服務(wù)處于停止?fàn)顟B(tài)。

（2）進(jìn)入【配置并啟用路由和遠(yuǎn)程訪問(wèn)器安裝向?qū)А?/p>

（3）選擇要配置的服務(wù)

選擇【網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)(E)】

（4）選擇公網(wǎng)接口

該接口是配有公網(wǎng)IP地址的接口，NAT也是作用在此接口上。

（5）選擇內(nèi)網(wǎng)接口

此處只能選擇一個(gè)，如果存在多個(gè)私有IP網(wǎng)段，可以在后續(xù)步驟中添加NAT服務(wù)

（6）完成配置

（7）等待服務(wù)的初始化

（8）查看NAT信息

部署完成后，返回【路由與遠(yuǎn)程訪問(wèn)】管理器，SERVER服務(wù)器狀態(tài)變?yōu)榫G色，表示服務(wù)正在運(yùn)行中。點(diǎn)開【IPv4服務(wù)】——>【NAT】可以看到NAT接口的配置信息

此時(shí)的NAT服務(wù)已經(jīng)應(yīng)用在網(wǎng)卡Ethernet0，Ethernet1網(wǎng)卡中所有訪問(wèn)非LAN流量都會(huì)通過(guò)網(wǎng)卡Ethernet0轉(zhuǎn)發(fā)到外界。

4.3 開啟NAT服務(wù)

如果已經(jīng)部署了VPN或者路由服務(wù)，只需要增加新的路由協(xié)議就能開啟NAT服務(wù)。

（1）添加NAT

打開【Routing and Remote Access】管理器，在【IPv4】服務(wù)器下右鍵點(diǎn)擊【General】，選擇【New Routing Protocol】

在路由協(xié)議列表中，選中NAT，然后點(diǎn)擊【OK】

（2）添加內(nèi)網(wǎng)網(wǎng)卡

此時(shí)左側(cè)菜單欄的【IPv4】服務(wù)器下會(huì)出現(xiàn)【NAT】服務(wù)，右鍵選中NAT，再打開的菜單中點(diǎn)擊【New Interface…】

在網(wǎng)卡列表中選中【Internal】，internal代表所有的網(wǎng)卡。

選擇接口類型，默認(rèn)類型為私有網(wǎng)卡，連接LAN網(wǎng)絡(luò)。直接點(diǎn)擊【OK】

添加完成后，【Internal】會(huì)出現(xiàn)在右側(cè)NAT接口列表中。

（3）添加NAT網(wǎng)卡

再次右鍵選中NAT，再打開的菜單中點(diǎn)擊【New Interface…】，選擇Ethernet3。Ethernet3 配置了公網(wǎng)IP。

選擇【Public interface connected to the lntenet】，同時(shí)勾選【Enable NAT on this interface】。

將此網(wǎng)卡的類型設(shè)置為公網(wǎng)接口，并將NAT服務(wù)應(yīng)用在該接口上。最后點(diǎn)擊【OK】

返回NAT接口列表，如下所示

4.4 驗(yàn)證NAT服務(wù)

此時(shí) 4.2 小節(jié)的SERVER1是拓?fù)鋱D上的NAT服務(wù)器。我們?cè)趘Sphere架構(gòu)中的VM上ping www.baidu.com。

centos

photon

當(dāng)LAN中PC訪問(wèn)外網(wǎng)時(shí)，進(jìn)出站流量都能在NAT接口管理界面看到

5. 參考資料

• Network Address Translation (NAT) FAQ
• What is NAT?
• 思科網(wǎng)絡(luò)實(shí)驗(yàn)室路由、交換實(shí)驗(yàn)只能（第2版）

 到此這篇關(guān)于Windows Server 2019中NAT服務(wù)的安裝、配置與管理的文章就介紹到這了,更多相關(guān)Win2019 NAT服務(wù)安裝配置內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論