配置對位于網絡地址轉換(NAT)后方的服務的訪問
欲了解關于 The Cable Guy 所主持的所有專欄的列表和更多信息,請點擊 此處 。
網絡地址轉換(NAT)是RFC 1631和2663中定義的一種IP路由器,它能夠在轉發數據包時轉換它們的IP地址和TCP/UDP端口號。對于傳出的數據包,源IP地址和TCP/UDP端口號被映射到一個公共源IP地址和一個可能被改變的TCP/IP端口號。對于傳入的包,目標IP地址和TCP/UDP端口號被映射到專用IP地址和最初的TCP/IP端口號。
如果NAT轉換表中存在一種特定的映射,NAT僅把來自Internet的流量轉發到專用網絡。由于這個原因,NAT為連接到專用網段的計算機提供了某種程度的保護。然而,當您想要讓專用網絡資源對Internet客戶端可用時,這種程度的保護也帶來了連接問題。
例如,假設您在專用網絡上安裝了一個Web服務器,該專用網絡以一個NAT為邊界,并讓您的ISP創建了一個域名系統(DNS)記錄,以便您的ISP使用其將www.example.com解析為可分配于您的公共IP地址(154.160.0.1)。當某個Internet客戶端發起與您的專用網絡上的Web服務器的通信時,將會發生下列情況:
|
1. |
Internet Web客戶端計算機(使用公共IP地址131.107.0.1)上的用戶在他們的Web瀏覽器中鍵入http://www.example.com。 |
|
2. |
Internet Web客戶端使用DNS將名稱www.example.com解析為地址154.60.0.1。 |
|
3. |
Internet Web客戶端計算機從131.107.0.1/TCP端口2000向154.60.0.1/TCP端口80發送一個傳輸控制協議(TCP)同步(SYN)段。 |
|
4. |
當NAT計算機接收到該TCP SYN段時,將檢查自己的NAT轉換表。 |
|
5. |
由于不存在針對目標154.60.0.1/TCP 80的條目,該TCP SYN段將自動被丟棄。 |
|
6. |
Internet Web客戶端計算機一直重試,直至最終顯示一條出錯消息。 |
由于不存在針對傳入流量的NAT映射,位于NAT后方的服務器上的資源就不能從Internet進行訪問。
解決這一連接問題的辦法,就是為來自Internet的被轉換為針對NAT后方的資源服務器的流量提供手動配置的靜態映射。為了幫助將傳入流量轉發到專用網上的資源服務器,您可以配置兩類型靜態映射中的任意一類:
| ? |
您可以將某個特定公共IP地址的所有流量映射到某個特定的專用地址(地址映射)。 這類映射的優點是易于配置。由于針對該公共IP地址的所有流量都被轉發,您不必根據運行在專用網計算機上的服務的TCP和UDP端口來確定流量的類型。 這類映射的缺點在于專用網絡計算機現在直接對Internet開放,從而更容易受到攻擊。您可以使用Windows XP的Internet連接防火墻或其他防火墻軟件來幫助保護專用網絡計算機。另一個缺點在于您必須獲得多個公共IP地址。至少必須要兩個公共IP地址: 一個針對資源服務器,另一個針對其他專用網絡計算機的已轉換流量。 |
| ? |
將一個特定的公共IP地址/端口號映射到一個特定的專用IP地址/端口號(地址/端口映射) 這類靜態映射的優點在于,資源服務器更不易受到攻擊,除非通過靜態地址/端口映射所允許的流量進行攻擊。其另一個優點在于,您只需對發送到資源服務器的流量和專用網計算機的轉換后的流量使用一個公共地址。 這類影射的缺點在于需要額外的配置。對于資源服務器上您想要使之對Internet可用的每個服務,您都必須對其創建靜態映射。 |
本頁內容
|
如何允許位于NAT計算機后方的服務的流量 |
|
|
更多信息 |
如何允許位于NAT計算機后方的服務的流量
在您配置NAT計算機之前,確保ISP已經創建了一個DSN記錄用以將DNS名稱解析為與資源服務器相關聯的公共IP地址。
用于允許對資源服務器的流量的配置,取決于您是在使用Windows 2000 Server還是在使用Windows Server 2003&0153;以及您是在配置一個地址映射還是在配置一個地址/端口映射。
Windows 2000 Server
在配置基于Windows 2000 Server的NAT計算機之前,您必須在資源服務器上配置一個靜態IP地址配置,包括IP地址、子網掩碼、默認網關(NAT計算機的專用IP地址)和DNS服務器(也是NAT計算機的專用IP地址)。
如果NAT計算機充當專用網絡所連接的子網的DHCP分配器,那么專用IP地址和子網掩碼必須在該NAT計算機分配的IP地址范圍之內。這在“路由器和遠程訪問”插件中的 “”網絡地址轉換(NAT)屬性 對話框的 “地址分配” 選項卡上有所定義。此外,分配給資源計算機的IP地址必須排除在該NAT計算機分配的IP地址范圍之外。因此,請單擊 “地址分配” 選項卡上的 “排除” 。
地址映射
為了給運行Windows 2000 Server的NAT計算機配置一個地址映射,請完成以下步驟:
|
1. |
單擊 “開始” ,指向 “程序” ,指向 “管理工具” ,然后單擊 “路由和遠程訪問” 。 |
|
2. |
在控制臺樹中,打開 “服務器名稱” ,然后打開 “IP路由” ,再單擊 “網絡地址轉換(NAT)” 。 |
|
3. |
在詳細信息窗格中,右鍵單擊您的公共接口,然后單擊 “屬性” 。 |
|
4. |
單擊 “地址池” 選項卡。 |
|
5. |
如果您已經配置了Internet服務提供商分配給您的公共IP地址的IP地址范圍,請轉到步驟10。 |
|
6. |
單擊 “添加” 。 |
|
7. |
在 “添加地址池” 中,鍵入一個連續公共IP地址范圍的起始IP地址、子網掩碼和結束IP地址。 |
|
8. |
單擊 “確定” 。 |
|
9. |
對對應于您的公共IP地址的所有范圍重復步驟6至步驟8。 |
|
10. |
單擊 “保留” 。 |
|
11. |
在 “保留地址” 中,單擊 “添加” 。 |
|
12. |
在 “添加保留地址” 中,在 “保留公共IP地址” 中鍵入對應于資源服務器的公共IP地址,在 “針對專用網絡上的這臺計算機” 中鍵入資源服務器的專用網絡地址,然后選擇 “允許會話傳入此地址” 。 |
|
13. |
單擊 “確定” ,添加該地址映射。 |
|
14. |
單擊 “確定” ,保存對保留地址所作的更改。 |
|
15. |
單擊 “確定” ,保存對公共接口的所作的更改。 |
地址/端口映射
為了給運行Windows 2000 Server的NAT計算機配置一個地址/端口映射,請完成以下步驟:
|
1. |
單擊 “開始” ,指向 “程序” ,指向 “管理工具” ,然后單擊 “路由和遠程訪問” 。 |
||||||||
|
2. |
在控制臺樹中,打開 “服務器名稱” ,然后打開 “IP路由” ,再單擊 “網絡地址轉換(NAT)” 。 |
||||||||
|
3. |
在詳細信息窗格中,右鍵單擊您的公共接口,然后單擊 “屬性” 。 |
||||||||
|
4. |
在 “特殊端口” 選項卡上,在 “協議” 中選擇 “TCP” 或 “UDP” ,然后單擊 “添加” 。 |
||||||||
|
5. |
在 “添加 特殊 端口” 中,請配置以下設置:
|
||||||||
|
6. |
單擊 “確定” ,添加特殊的端口映射。 |
||||||||
|
7. |
單擊 “確定” ,保存對公共接口的所作的更改。 |
下圖顯示了一個充當Web服務器并使用專用IP地址192.168.0.99的資源服務器的 “添加特殊端口” 對話框。 對于這個例子,NAT計算機只有單個公共IP地址。 因此, “在此地址池條目上” 選項不可用。
下圖顯示了針對資源服務器的流量及其與 “添加特殊端口” 對話框中的字段的關系。
Windows Server 2003
在配置基于Windows Server 2003的NAT計算機之前,您必須在資源服務器上創建一個靜態IP地址配置,包括IP地址、子網掩碼、默認網關(NAT計算機的專用IP地址)和DNS服務器(也是NAT計算機的專用IP地址)。
如果NAT計算機充當專用網所連接到的子網的DHCP分配器,那么IP地址和子網掩碼必須在該NAT計算機分配的IP地址范圍之內。這在“路由器和遠程訪問”插件的 “NAT/防火墻基本屬性” 對話框的 “地址分配” 選項卡上有所定義。此外,分配給資源計算機的IP地址必須排除在該NAT計算機分配的IP地址范圍之外。因此,請單擊 “地址分配” 選項卡上的 “排除” 。
地址映射
為了給運行Windows Server 2003的NAT計算機配置一個地址映射,請完成前面的地址映射小節中描述的相同步驟。 然而在第2步中,您必須打開 “服務器名稱” ,然后打開 “IP路由” ,再單擊 “NAT/基本防火墻” (而不是單擊 “網絡地址轉換” )。
地址/端口映射
為了給運行Windows Server 2003的NAT計算機配置一個地址/端口映射,請完成以下步驟:
|
1. |
單擊 “開始” ,指向 “程序” ,指向 “管理工具” ,然后單擊 “路由和遠程訪問” 。 |
||||||||||||
|
2. |
在控制臺樹中,打開 “服務器名稱” ,然后打開 “IP路由” ,再單擊 “NAT/基本防火墻” 。 |
||||||||||||
|
3. |
在詳細信息窗格中,右鍵單擊您的公共接口,然后單擊 “屬性” 。 |
||||||||||||
|
4. |
在 “服務和端口” 選項看上,在 “服務” 列表中,定位與資源服務器匹配的預定義服務。 |
||||||||||||
|
5. |
如果存在一個匹配的服務,則通過單擊服務復選框啟用映射,并選擇 “在此接口上” 或 “在此地址池條目上” 。如果選擇 “在此地址池條目上” ,則鍵入已保留的公共地址,再在 “專用地址” 中鍵入資源服務器的專用地址,然后執行步驟8。 |
||||||||||||
|
6. |
如果不存在匹配的服務,則單擊 “添加” 。 |
||||||||||||
|
7. |
在 “添加服務” 對話框中,請配置以下選項:
|
||||||||||||
|
8. |
單擊 “確定” ,保存服務配置。 |
||||||||||||
|
9. |
單擊 “確定” ,保存對公共接口的所作的更改。 |
更多信息
關于Windows 2000 Server或Windows Server 2003的NAT的更多信息,請參考以下資源:
| ? | |
| ? |
Windows 2000 Server產品文檔 (網絡/路由和遠程訪問) |
| ? | |
| ? |
Windows 2000網絡地址轉換(NAT) ( The Cable Guy 2001年3月專欄) |
如對本專欄的內容有任何疑問或想發表反饋信息,請致信 Microsoft TechNet 。請注意,我們不保證回復您的來信。
欲了解關于
The Cable Guy
所主持的所有專欄的列表和更多信息,請點擊
此處
。
http://www.microsoft.com/china/technet/community/columns/cableguy/cg0503.mspx
更多文章、技術交流、商務合作、聯系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
