Windows NAT服务器配置实例以及技巧解析

在上篇《利用NAT技术把内部服务器安全放置到公网》文章中笔者谈到了NAT服务器在企业中的具体应用。笔者现在以下面这个网络设计架构为例,谈谈NAT服务器的配置过程以及注意的地方。

  一、NAT服务器实现的前提条件

  NAT服务器

  如上图所示,利用NAT服务器来实现外部用户也可以远程访问企业内部的一些服务器,此时这台NAT服务器必须要有两块网卡。一块网卡用来连接企业内部网络,其需要配置企业内部网络的IP地址,即私有地址。另一块网卡则通过ADSL猫或者其他设备来连接外部网络,其配置的是公网地址。

  在Windows网络环境中,服务器系统会自动为这两块网卡进行命名。默认情况下分别为本地连接与本地连接2。但是这两个名字并不是很直观。如网络管理员并不能够直观的判断出哪一块网卡用来连接内网;哪一块网卡用来连接外网。而是需要查看网卡的具体配置网络管理员才能够判断出网卡的具体用途。为此笔者建议给这两块网卡设置比较直观的名字。如笔者把连接外网的网卡名字设置为“连接外网网卡”。而把连接内网的网卡名字取为“内网网卡”。如此一看到名字就知道网卡的用途,管理起来就会很方便。要更改这个网卡的名字也很简单。网络管理员只需要依次打开开始菜单中的控制面板、网络连接。然后选择需要修改的网卡,右键单击选择重命名即可。然后这个步骤不是必须的,但是笔者还是强烈建议采用这种方式,以免后续维护时因为疏忽而配置错误,把内网网卡当作外网网卡来配置,从而造成NAT服务器运行故障。

  另外,笔者这里在NAT服务器上采用了两块网卡。即把内部的数据流与外部的数据流分别通过各自的网卡进行传输,这可以提高NAT服务器的性能。在实际工作中,也可以通过一块网卡来实现NAT服务器的功能。不过这不是合理的实现方式。因为在一块网卡的情况下,进出NAT服务器的数据都依靠一块网卡出入,这会加大这块网卡的压力,从而降低NAT服务器的性能。现在网卡比较便宜,笔者是强烈建议大家采用两块网卡,来提高服务器的性能。而不要吝啬一块网卡的钱。

  二、五步完成NAT服务器的基本配置。

  NAT服务器的基本配置在Windows服务器下是比较简单的。因为它是通过图形化的方式来配置,而不是像Linux或者路由器上通过命令行来配置。故对于新接触NAT服务器的网络管理员来说,比较容易入手。总的来说,要实现一个NAT服务器,只需要简单的五个步骤即可。

  第一步:打开配置窗口。

  网络管理员可以从开始菜单那边启动管理配置窗口。如依次打开菜单、管理工具、路由和远程访问。在打开的窗口中,右击需要设置NAT服务器的电脑。通常情况下,建议在NAT服务器上直接进行设置,而不是通过其他电脑来远程设置NAT服务器。然后选择“配置并启用路由和远程访问”。

  笔者建议:最好通过微软服务器系统自带的控制台来进行配置。如果每次对NAT服务器进行维护管理的时候都要通过上面这种方式打开配置并启用路由和远程访问这个窗口,那很麻烦。而通过服务器的控制台可以自定义自己的管理平台。控制台可以把网络管理理员经常需要维护的服务如NAT服务器、DHCP服务器等等防止在同一个控制台中。这可以简化以后网络管理员的维护工作。若要启动控制台,只需要在开始菜单的命令行中输入MMC即可。系统就会打开管理控制台。然后管理员把日常需要管理的服务一一加入到这个控制台中就可以了。注意要记得保存。以后管理员打开这个控制台,所需要维护的服务都在里面。网络管理员就不用再一个个的去打开相关的窗口。

  第二步:配置网络接口。

  管理员选择“配置并启用路由和远程访问”菜单之后,系统就会弹出“欢迎使用路由和远程访问服务器安装向导”。管理员可以通过这个向导完成接下去的配置工作。首先在弹出的配置向导中,管理员需要选择网络地址转换。然后选择用来连接外网的网络接口,即上面所说的连接外网网卡。如果没有个网卡取一个直观的名字,则在这里选择的时候很容易选择错误。或者又要回过去确认哪块网卡是连接外网的。

  第三步:配置DHCP服务器。

  在配置的过程中,系统会检测网络中是否提供了DHCP或者DNS服务的计算机。如果有的话,则NAT服务器会自动填充提供这些服务的计算机的IP地址。如果没有提供的话,则NAT服务器配置向导会建议利用这台NAT服务器来提供DHCP与DNS服务。通常情况下,笔者建议采用独立的DHCP或者DNS服务器来解决这个IP地址分配与域名解析的问题。因为这可以提高NAT服务器的工作效率。网络管理员若当时没有配置这些服务器的话,也可以选择“我将售后配置名称和地址服务”,跳过这一步,继续下面的工作。然后在配置好了地址与域名服务器后再添加进去即可。当然,如果企业内部网络IP地址都是采用固定IP地址的话,也就是说没有采用DHCP服务器用来动态分配IP地址。则也可以把NAT服务器当作DHCP服务器来使用。因为此时它只负责那些远程用户的IP地址分配,这不会增加多大的工作量。

  第四步:更改客户端的IP地址分配规则,

  通常情况下,如果由NAT服务器分配IP地址的话,那么分配给远程客户端的IP地址为多少呢?注意,这里是根据其内网的IP地址来分配的,而不是外网的IP地址。即如果内网的网络ID为192.168.0.0,则给客户端的网络ID也为192.168.0.0。这也就是说,远程用户通过NAT服务器访问企业内部网路资源的话,NAT服务器是把其当作企业内部局域网的一员来进行管理的。这个配置可以在事后进行更改。这里管理员要注意的就是,这个网络ID应该跟内部网卡的参数配置相一致。

  第五步:完成。

  以上四个步骤完成后,就会出现“完成路由和远程访问服务器安装向导”画面。网络管理员点击完成后,就可以关闭这个画面。到此为止,NAT服务器的基本配置就算完成了。当然以上五个只是基本的配置,如果管理员还需要映射内部具体的服务器、配置一些访问规则来提高远程访问的安全性等等,还需要通过其他的配置来完成。

  通过以上的配置,企业内部主机就可以通过NAT服务器来进行互联网访问、收发电子邮件等工作了。但是,此时外部用户可能仍然无法通过NAT服务器来访问内部主机。因为内部主机采用的是私有IP地址,无法直接跟外部直接进行通信。为此如果企业内部部署了FTP等服务器,需要外部用户访问的话还需要通过NAT服务器的端口映射功能来实现。简单的说,就是通过端口映射,把NAT服务器的IP地址配上端口号来关联企业内部的这些服务器。关于这个端口映射的具体配置,笔者将会在下篇文章中详细阐述。大家若有需要请关注笔者下篇文章。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值