Windows 下的 NAT 妙用
    路由和远程访问技术解决了企业员工出差时访问公司内部的问题。但随之而来的时安全问题,因为×××服务器通常暴露在了Internet之中,那么如何解决这样的问题呢?今天我们使用NAT技术来应对这样的问题。也许您也会在为企业中的其他服务器如:Web,Ftp等的安全而顾虑,看完了下面这个例子,也许会对您有所帮助。
首先拓扑图如下:
通过拓扑我们可以看到路由交换等设备,但我们今天所要说的话题是在 windows server 2003 的服务器上实现的。之所以这样,是希望大家有一种活学活用的思想。同一种技术我们不仅仅只用一种方法去实现。企业需要什么解决方案,我们就能提供什么方案。
这是一种很常见的网络拓扑结构。路由和远程访问服务器(下简称 RAS 服务器)位于局域网内,地址: 192.168.1.2/24 ,网关: 192.168.1.1 。交换机连接客户机及服务器,路由器上 E0/0 接口 IP 地址为 192.168.1.1/24 (当然现在它是一台 windows server 2003 的服务器),连接到局域网。广域网接口 S0/0 (也就是另外一块连接外网的网卡) IP 地址为 192.168.2.1/24 (假如它是公网地地址)。在 Internet 上有一台需要拨入公司内网的客户机其 IP 192.168.2.2/24 (假如它是一个公网地址或是一个可以和公司外接口通信的地址。
好了现在我们就来看看具体的配置方法
   RAS 服务器上,我们可以看到真实网卡只有一块,其实一块就可以了,当然在配置路由和远程访问服务时不能通过向导界面选择单选框中的“远程访问(拨号或 ××× )”,因为这样的话系统会提示我们只有一块网卡无法配置远程访问服务。我们需要选择自定义配置然后选择复选中的“ ××× 访问”安装远程访问服务。(安装的步骤就此略过,相信大家都不陌生)
   对拨入用户的 IP 地址分配方式在此采用静态地址池,范围从 192.168.1.10/24 192.168.1.50 一般来说这些地址应付部分出差的员工应该是绰绰有余了,不过可以根据实际情况分配。
   RAS 服务器上可以根据自己公司的实际情况及要求进行设置。下面我们主要来看看出口路由器上的设置。
Router 上我们需要用到两块网卡,网卡 LAN 用来连接局域网,网卡 WAN 用来连接 Internet, 以及在此接口上启用 NAT
   现在看到的是 LAN 设置,这个其实很简单,选择“专用接口连接到专用网络”即可,当然可以根据实际情况添加一些增强安全性的策略。
   WAN 设置是本实验的重点,首先我们在“ NAT/ 基本防火墙”选项卡里的接口类型中选择:“公用接口连接到 Internet ”,将下面的复选框“在此接口上启用 NAT ”钩上。
下面的防火墙可以根据具体的要求,权衡是否启用。这里因为实验的重心不在于此,所以不钩选。
“地址池”选项卡就不说了,在中国一般企事业公网 IP 都是相当的少,特别是小型企事业。
   现在我们可以看到“服务器和端口”选项卡,公用地址我们选择的是“在此接口”,也就是我们的外网地址 192.168.1.2/24 ,协议选择的是“ TCP ”,传入和传出端口是 1723 ,专用地址也就是局域网中 RAS 服务器的地址是 192.168.1.2.
   OK! 现在我们可以看到 Internet 上的客户机已经拨上来了,它本身的 IP 192.168.2.2 ,通过远程访问 ××× 的成功建立它获到一个 192.168.1.12 IP 地址。现在它就可以和公司内部局域网的客户机通信了。
(注意:1.例只是说明了基本的思路,并未提到相关的防火墙策略,这一点是不能忽视的。2.客户机在拨入时对端地址应该是公网地址,本例中是外网口地址192.168.2.1/24)