公用地址用於Internet,在Internet中隨意訪問。由IANA分配。
專用IP地址是保留給組織內部私有網絡使用的IP網絡,可以被不同的組織重複使用,專用地址包括:10.0.0.子網掩碼爲255.0.0.0, 172.16.0.0子網掩碼爲255.240.0.0, 192.168.0.0子網掩碼爲255.255.0.0.
專用地址上網是用NAT轉爲公用地址,同樣外部訪問內部就是反過來。NAT工作過程如下:
(1)NAT客戶端需要與Internet通信,於是將數據包發給NAT服務器。
(2)NAT服務器將數據包中的源端口和專用IP地址轉換爲其自己端口號和公用IP地址,然後將數據包發給Internet上的主機。同時將源端口和專用IP地址與其自己的端品號和公用IP地址的映射關係記錄下來,以便後續過程使用。
(3)Internet上的主機將回應發送給NAT服務器的公用IP地址。
(4)NAT服務器將所收到的數據包的目的端口號和公用IP地址根據映射關係轉換爲客戶機的端口號和專用IP地址並轉發給客戶機。
下面來看部署:
先在服務器上配置NAT。
打開路由和遠程訪問。
下一步
選網絡地址轉換
選接Internet上的網卡。
“使用此公共接口連接到INTERNET”:如果NAT服務器的INTERNET接入採用固定永久的連接方式,如專線或以太網連接等。則選擇此項。
“創建一個新的到INTERNET的請求撥號接口”:如果NAT服務器INTERNET接入採用非固定永久的連接方式,而是在需要時才連接,例如傳統撥號、ISDN或ADSL連接等。則選擇此項,並根據嚮導設置連接時所需要的接入號碼、用戶名和密碼等相關參數。
下一步
選第一項:表明NAT服務器提供DNS服務、爲NAT客戶端分配默認網關和DNS服務器的IP地址均爲其連接內部網的IP地址。
下一步
點擊完成
下面配置NAT客戶端
在這裏可以看到NAT客戶端IP和網關在同一個IP段。然後PING網上的服務器IP。可以看到通過。
下面配置NAT服務屬性
點屬性
可以配置事件日誌
設置刪除映射時間
這裏設置DHCP爲NAT客戶端分配IP地址
這裏是配置是否在NAT服務器上啓用DNS服務爲NAT客戶端提供名稱解析服務。
注:NAT服務器並非DNS服務器,因此其本身並不能完成名稱解析,它只是接受NAT客戶端發來的名稱解析請求並轉發給Internet上的DNS服務器,然後將DNS服務器返回的結果轉發給客戶端。
可以排除一些IP
下面來看配置NAT接口的屬性
點擊本地連接,這個連接是接在INTERNET上的。點屬性
NAT服務器必須在INTERNET接口上啓用NAT。基本防火牆只提供對公用接口的保護,不能在專用接口上啓用基本的防火牆。
如果選“僅基本防火牆”,則當前接口將不提供NAT,但受基本防火牆的保護。
點新建
這裏舉個例子。
可以看到除符合下面外的其它都不能通過。
如果NAT服務器擁有多個公用地址,則需要在此選項卡中添加這些地址。
點添加
點確定
點保留。可以將指定的公用地址保留給內部網的某專用地址,即建立靜態的映射關係。
這樣建立保留後,內部地址192.168.0.8訪問外網都是通過200.200.0.24公用地址來轉換,不會是其它的。如果地址爲192.168.0.8是內部的一臺WEB服務器。如果允許INETERNET用戶訪問內部WEB服務器,則要選允許將會話傳入到此地址。
點確定
如果在網絡中提供INTERNET用戶可以訪問內部服務器,如WEB服務器。但基本防火牆阻止了這些來自INTERNET的訪問,則可以在此選項卡中將特定的類型的通信配置排除在外。
點添加
上面舉了個例子。
可看到圖。
通過此選項卡可配置當前接口是否接受並響應指定的ICMP請示,爲了保護NAT服務器安全,如果不是特別需要,通常情況下應拒絕任何ICMP請示。
下面來建立個NAT使用請示撥號接口
點右鍵
這裏是沒有啓用。
看圖選中,確定
點是
下一步
這是輸入ADSL
選PPP
這是是接INETERNET接口的地址。
在遠端路由器上可發送純文本密碼。
這裏配置靜態路由
點添加
由於NAT服務器需要通過此接口訪問INTERNET,因此需要添加默認路由。
下一步
這裏的憑據和遠端的撥入配置是一樣的,實際上是認證。
完成
看到剛纔配置好的請求式撥號連接。
點新增接口
確定。
可看到已添加到NAT/基本防火牆“中。
至此,基本上完成了。