1. 理論

1.1 定義

網(wǎng)絡(luò)地址轉(zhuǎn)換 (Network Address Translation, NAT) 是更改源和目標(biāo)地址或端口的過程。地址轉(zhuǎn)換減少了對IPv4公有地址的需求并可以隱藏私有網(wǎng)絡(luò)地址范圍。NAT一般在路由器或防火墻上完成。

與無類域間路由選擇（CIDR）一樣，最初開發(fā)NAT旨在推遲可用IPv4地址空間耗盡的時間。因為互聯(lián)網(wǎng)的快速發(fā)展，越來越多的設(shè)備加入到互聯(lián)網(wǎng)中，這導(dǎo)致可用公有IPv4地址短缺。而NAT則是解決IPv4地址短缺的重要方法。

1.2 工作原理

NAT是IETE標(biāo)準(zhǔn)，它允許一個組織能以一個地址出現(xiàn)在互聯(lián)網(wǎng)中。它能讓一個私有網(wǎng)絡(luò)（LAN）通過公有IP（互聯(lián)網(wǎng)注冊IP）連接到WAN中。NAT一般部署在出口路由或網(wǎng)關(guān)上，它位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)中間，在數(shù)據(jù)包傳輸前負(fù)責(zé)把私有IP地址轉(zhuǎn)換為公有IP地址。

路由器R1上有至少一個公有IP和一個私有IP，其上部署了NAT，Host A在LAN中，S1在WAN中。

主機(jī) A 從 Internet 服務(wù)器請求網(wǎng)頁。由于主機(jī) A 使用私有 IP 尋址，因此請求的源地址必須由R1更改，因為私有 IP在 Internet 上是不可路由的。路由器 R1 收到請求，將源 IP 地址更改為其公共 IP 地址，并將數(shù)據(jù)包發(fā)送到服務(wù)器 S1。服務(wù)器 S1 收到數(shù)據(jù)包并回復(fù)路由器 R1。路由器 R1 接收到數(shù)據(jù)包，將目的 IP 地址更改為 Host A 的私有 IP 地址，然后將數(shù)據(jù)包發(fā)送給 Host A。

1.3 NAT優(yōu)點

• 節(jié)約合法的注冊IP地址（公有IP地址）。

• 提供了網(wǎng)絡(luò)安全性，NAT可以隱藏私有網(wǎng)絡(luò)IP，因此有效的保護(hù)LAN中的網(wǎng)絡(luò)安全。

• 提高了連接到互聯(lián)網(wǎng)的靈活性。

• 在地址重疊時提供了解決方案。

  當(dāng)兩個公司網(wǎng)絡(luò)合并時，如果其私有網(wǎng)絡(luò)網(wǎng)段是相同的情況下，為了不改變它們的拓?fù)浣Y(jié)構(gòu)，可以使用NAT。

1.4 NAT缺點

• 地址轉(zhuǎn)換增加了交換延遲。
• 無法進(jìn)行端到端的IP跟蹤。
• NAT會導(dǎo)致一些使用IP尋址的應(yīng)用無法正常運行。
• NAT也會使隧道協(xié)議（如IPSec）更加復(fù)雜，它會干擾隧道協(xié)議執(zhí)行完整性檢查。

1.5 NAT分類

NAT有3種類型

• 靜態(tài)NAT
• 動態(tài)NAT
• NAT過載（端口地址轉(zhuǎn)換，PAT）

靜態(tài)NAT和動態(tài)NAT是一對一的地址轉(zhuǎn)換，一般來說一個私有地址對應(yīng)一個公有地址。要想實現(xiàn)LAN中網(wǎng)絡(luò)設(shè)備訪問WAN，就必須有足夠的公有IP地址池作為基礎(chǔ)。但對于IPv4短缺的事實來說，這是困難的，所以我們一般說的NAT其實是PAT，也就是端口地址轉(zhuǎn)換，它是動態(tài)NAT的一種，也是最常用的NAT類型。

2. 實驗拓?fù)?/h2>

2.1 拓?fù)湔f明

實驗環(huán)境中存在一臺服務(wù)器和VMware vSphere數(shù)據(jù)中心。服務(wù)器是數(shù)據(jù)中心的默認(rèn)網(wǎng)關(guān)，vCenter Server管理著3臺ESXi主機(jī)，每臺ESXi主機(jī)中部署了一臺VM。服務(wù)器其中有兩個網(wǎng)卡，網(wǎng)卡1有公網(wǎng)IP，網(wǎng)卡2配置了私有IP，用于LAN通信。

2.2 場景1：服務(wù)器沒有NAT服務(wù)、

當(dāng)服務(wù)器中沒有部署NAT時實驗環(huán)境形成一個封閉的LAN，無法與外界（互聯(lián)網(wǎng)）通信。即使服務(wù)器中有持有公網(wǎng)IP的網(wǎng)卡1。

2.2 場景2：服務(wù)器部署了NAT服務(wù)

當(dāng)部署NAT后，網(wǎng)卡1有公網(wǎng)IP，網(wǎng)卡2與內(nèi)網(wǎng)通信。此時LAN中所有計算機(jī)的網(wǎng)關(guān)都設(shè)置為NAT服務(wù)器網(wǎng)卡2 IP。當(dāng)LAN中計算機(jī)訪問外網(wǎng)時，流量會先通過網(wǎng)卡2，然后轉(zhuǎn)發(fā)給網(wǎng)卡1，由網(wǎng)卡1轉(zhuǎn)發(fā)給互聯(lián)網(wǎng)。

3. 安裝NAT

（1）打開【服務(wù)器管理器】，單擊【添加角色和功能】，系統(tǒng)首先會提示，在安裝之前需要完成的任務(wù)。

（2）進(jìn)入【選擇安裝類型】界面， 使用默認(rèn)選項【基于角色或基于功能的安裝】

（3）進(jìn)入【選擇目標(biāo)服務(wù)器】界面， 選擇【從服務(wù)器池中選擇服務(wù)器】

（4）進(jìn)入【選擇服務(wù)器角色】 界面， 單擊【Remote Access】 前面的復(fù)選框

（5）進(jìn)入【選擇功能】界面， 不需要再添加額外的功能， 因此保持默認(rèn)。

（6）進(jìn)入【遠(yuǎn)程訪問】界面， 該界面用于說明遠(yuǎn)程服務(wù)的作用及注意事項 。

從中可以看出Web應(yīng)用程序也在其中。

（7）進(jìn)入【選擇角色服務(wù)】界面，勾選【Routing】復(fù)選框。

（8）自動彈出【添加路由所需的功能】 界面，確認(rèn)信息后， 單擊【添加功能】。

（9）返回【選擇角色服務(wù)】 界面， 確保勾選了【Routing】和【DirectAccess and VPN(RAS)】。

（10）進(jìn)入【W(wǎng)eb服務(wù)器角色(IIS)】界面，遠(yuǎn)程訪問服務(wù)也集成了 IIS （見（6））。

（11）進(jìn)入【選擇角色服務(wù)】界面，保持默認(rèn)選擇即可。

（12）進(jìn)入【確認(rèn)安裝所選內(nèi)容】 界面， 顯示出前面所選擇要安裝的內(nèi)容

（13）進(jìn)入【安裝進(jìn)度】 界面， 安裝過程需要等待一段時間，安裝完成后可直接關(guān)閉安裝程序，也可以點擊【打開"開始向?qū)?quot;】繼續(xù)配置。

4. 配置NAT

4.1 配置遠(yuǎn)程訪問 開始導(dǎo)向

（1）打開遠(yuǎn)程訪問 開始導(dǎo)向

打開【服務(wù)器管理器】，在安裝完【遠(yuǎn)程訪問】后，由于遠(yuǎn)程訪問開始向?qū)渲眠€未設(shè)置，所以在儀表盤界面，會有一個黃色的感嘆號，點擊它，會發(fā)現(xiàn)系統(tǒng)提示還未完成遠(yuǎn)程訪問必要的配置。

或者 在【遠(yuǎn)程訪問】安裝完成后的【結(jié)果】界面打開。（詳見3.安裝NAT（13）小節(jié)）

（2）選擇【僅部署VPN(V)】

（3）檢查先決條件

如果選擇了【僅部署VPN(V)】會跳過此步驟。

帶有【DirectAccess】選項的先決條件是服務(wù)器已經(jīng)加入了域。因此這里選擇【僅部署VPN(V)】

4.2 新建路由與遠(yuǎn)程訪問（NAT）

（1）系統(tǒng)會自動打開【路由與遠(yuǎn)程訪問】管理器，右鍵單擊【SERVER(本地)】，選擇【配置并啟用路由和遠(yuǎn)程訪問©】。SERVER是服務(wù)器的主機(jī)名。此時的SERVER標(biāo)記是紅色，服務(wù)處于停止?fàn)顟B(tài)。

（2）進(jìn)入【配置并啟用路由和遠(yuǎn)程訪問器安裝向?qū)А?/p>

（3）選擇要配置的服務(wù)

選擇【網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)(E)】

（4）選擇公網(wǎng)接口

該接口是配有公網(wǎng)IP地址的接口，NAT也是作用在此接口上。

（5）選擇內(nèi)網(wǎng)接口

此處只能選擇一個，如果存在多個私有IP網(wǎng)段，可以在后續(xù)步驟中添加NAT服務(wù)

（6）完成配置

（7）等待服務(wù)的初始化

（8）查看NAT信息

部署完成后，返回【路由與遠(yuǎn)程訪問】管理器，SERVER服務(wù)器狀態(tài)變?yōu)榫G色，表示服務(wù)正在運行中。點開【IPv4服務(wù)】——>【NAT】可以看到NAT接口的配置信息

此時的NAT服務(wù)已經(jīng)應(yīng)用在網(wǎng)卡Ethernet0，Ethernet1網(wǎng)卡中所有訪問非LAN流量都會通過網(wǎng)卡Ethernet0轉(zhuǎn)發(fā)到外界。

4.3 開啟NAT服務(wù)

如果已經(jīng)部署了VPN或者路由服務(wù)，只需要增加新的路由協(xié)議就能開啟NAT服務(wù)。

（1）添加NAT

打開【Routing and Remote Access】管理器，在【IPv4】服務(wù)器下右鍵點擊【General】，選擇【New Routing Protocol】

在路由協(xié)議列表中，選中NAT，然后點擊【OK】

（2）添加內(nèi)網(wǎng)網(wǎng)卡

此時左側(cè)菜單欄的【IPv4】服務(wù)器下會出現(xiàn)【NAT】服務(wù)，右鍵選中NAT，再打開的菜單中點擊【New Interface…】

在網(wǎng)卡列表中選中【Internal】，internal代表所有的網(wǎng)卡。

選擇接口類型，默認(rèn)類型為私有網(wǎng)卡，連接LAN網(wǎng)絡(luò)。直接點擊【OK】

添加完成后，【Internal】會出現(xiàn)在右側(cè)NAT接口列表中。

（3）添加NAT網(wǎng)卡

再次右鍵選中NAT，再打開的菜單中點擊【New Interface…】，選擇Ethernet3。Ethernet3 配置了公網(wǎng)IP。

選擇【Public interface connected to the lntenet】，同時勾選【Enable NAT on this interface】。

將此網(wǎng)卡的類型設(shè)置為公網(wǎng)接口，并將NAT服務(wù)應(yīng)用在該接口上。最后點擊【OK】

返回NAT接口列表，如下所示

4.4 驗證NAT服務(wù)

此時 4.2 小節(jié)的SERVER1是拓?fù)鋱D上的NAT服務(wù)器。我們在vSphere架構(gòu)中的VM上ping www.baidu.com。

centos

photon

當(dāng)LAN中PC訪問外網(wǎng)時，進(jìn)出站流量都能在NAT接口管理界面看到

5. 參考資料

• Network Address Translation (NAT) FAQ
• What is NAT?
• 思科網(wǎng)絡(luò)實驗室路由、交換實驗只能（第2版）

 到此這篇關(guān)于Windows Server 2019中NAT服務(wù)的安裝、配置與管理的文章就介紹到這了,更多相關(guān)Win2019 NAT服務(wù)安裝配置內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評論