公用位址用于Internet,在Internet中随意通路。由IANA配置設定。
專用IP位址是保留給組織内部私有網絡使用的IP網絡,可以被不同的組織重複使用,專用位址包括:10.0.0.子網路遮罩為255.0.0.0, 172.16.0.0子網路遮罩為255.240.0.0, 192.168.0.0子網路遮罩為255.255.0.0.
專用位址上網是用NAT轉為公用位址,同樣外部通路内部就是反過來。NAT工作過程如下:
(1)NAT用戶端需要與Internet通信,于是将資料包發給NAT伺服器。
(2)NAT伺服器将資料包中的源端口和專用IP位址轉換為其自己端口号和公用IP位址,然後将資料包發給Internet上的主機。同時将源端口和專用IP位址與其自己的端品号和公用IP位址的映射關系記錄下來,以便後續過程使用。
(3)Internet上的主機将回應發送給NAT伺服器的公用IP位址。
(4)NAT伺服器将所收到的資料包的目的端口号和公用IP位址根據映射關系轉換為客戶機的端口号和專用IP位址并轉發給客戶機。
下面來看部署:
先在伺服器上配置NAT。
打開路由和遠端通路。
下一步
選網絡位址轉換
選接Internet上的網卡。
“使用此公共接口連接配接到INTERNET”:如果NAT伺服器的INTERNET接入采用固定永久的連接配接方式,如專線或以太網連接配接等。則選擇此項。
“建立一個新的到INTERNET的請求撥号接口”:如果NAT伺服器INTERNET接入采用非固定永久的連接配接方式,而是在需要時才連接配接,例如傳統撥号、ISDN或ADSL連接配接等。則選擇此項,并根據向導設定連接配接時所需要的接入号碼、使用者名和密碼等相關參數。
選第一項:表明NAT伺服器提供DNS服務、為NAT用戶端配置設定預設網關和DNS伺服器的IP位址均為其連接配接内部網的IP位址。
點選完成
下面配置NAT用戶端
在這裡可以看到NAT用戶端IP和網關在同一個IP段。然後PING網上的伺服器IP。可以看到通過。
下面配置NAT服務屬性
點屬性
可以配置事件日志
設定删除映射時間
這裡設定DHCP為NAT用戶端配置設定IP位址
這裡是配置是否在NAT伺服器上啟用DNS服務為NAT用戶端提供名稱解析服務。
注:NAT伺服器并非DNS伺服器,是以其本身并不能完成名稱解析,它隻是接受NAT用戶端發來的名稱解析請求并轉發給Internet上的DNS伺服器,然後将DNS伺服器傳回的結果轉發給用戶端。
可以排除一些IP
下面來看配置NAT接口的屬性
點選本地連接配接,這個連接配接是接在INTERNET上的。點屬性
NAT伺服器必須在INTERNET接口上啟用NAT。基本防火牆隻提供對公用接口的保護,不能在專用接口上啟用基本的防火牆。
如果選“僅基本防火牆”,則目前接口将不提供NAT,但受基本防火牆的保護。
點建立
這裡舉個例子。
可以看到除符合下面外的其它都不能通過。
如果NAT伺服器擁有多個公用位址,則需要在此頁籤中添加這些位址。
點添加
點确定
點保留。可以将指定的公用位址保留給内部網的某專用位址,即建立靜态的映射關系。
這樣建立保留後,内部位址192.168.0.8通路外網都是通過200.200.0.24公用位址來轉換,不會是其它的。如果位址為192.168.0.8是内部的一台WEB伺服器。如果允許INETERNET使用者通路内部WEB伺服器,則要選允許将會話傳入到此位址。
如果在網絡中提供INTERNET使用者可以通路内部伺服器,如WEB伺服器。但基本防火牆阻止了這些來自INTERNET的通路,則可以在此頁籤中将特定的類型的通信配置排除在外。
上面舉了個例子。
可看到圖。
通過此頁籤可配置目前接口是否接受并響應指定的ICMP請示,為了保護NAT伺服器安全,如果不是特别需要,通常情況下應拒絕任何ICMP請示。
下面來建立個NAT使用請示撥号接口
點右鍵
這裡是沒有啟用。
看圖選中,确定
點是
這是輸入ADSL
選PPP
這是是接INETERNET接口的位址。
在遠端路由器上可發送純文字密碼。
這裡配置靜态路由
由于NAT伺服器需要通過此接口通路INTERNET,是以需要添加預設路由。
這裡的憑據和遠端的撥入配置是一樣的,實際上是認證。
完成
看到剛才配置好的請求式撥接上網。
點新增接口
确定。
可看到已添加到NAT/基本防火牆“中。
至此,基本上完成了。
本文轉自yangming1052 51CTO部落格,原文連結:http://blog.51cto.com/ming228/97667,如需轉載請自行聯系原作者