一、NAT概述
网络地址转换NAT(Network Address Translation)可以动态改变通过路由器的IP报文的内容(修改报文的源IP地址和/或目的IP地址)。离开路由器的报文的源地址或目的地址会转换成与原来不同的地址。这种功能对于申请了少量IP地址空间,但上网主机的数量远远超过了IP地址数目的组织机构来说十分有用。这不仅可以节省维护公共地址的成本而且可以阻止外部网络直接与内部网络通讯从而达到了一定程度上的安全保证。
二、NAT的特点与原理
1. 支持内网到外网多对一的地址映射
2. 支持DHCP功能
3 .支持DNS中继代理
4. 支持端口映射功能
5. NAT外部网络接口可使用多个Public IP,再搭配地址映射功能,能让因特网的特殊应用程序通过NAT服务器与内网应用程序通信。
三、实验搭建
1.NAT服务器的架设
实验用VBox虚拟机来模拟服务器和客户机,虚拟机之间采用内部网络的网络连接方式,其中Win2012-2(系统Windows Server 2012r2)充当NAT服务器,Win2012-1和Win2012-3为客户机。
实验拓扑图
Win2012-1网卡1的配置
Win2012-3网卡2的配置
Win2012-2:
网卡1和网卡2的IP设置
网络地址转换
连接公网的网络接口
配置完成
内网PING外网测试
2.DHCP分配器
NAT服务器可以顺带作为DHCP服务器
Win2012-1开启自动获得IP地址
成功获取IP地址
Win2012-2服务器上查看
PING通公网
公网不能PING通内网
3.开放因特网用户连接内部网络
1号机安装Web服务器,3号机通过NAT服务器访问1号机
Win2012-1配置静态IP地址
新建网站
端口重定向
测试
地址映射
NAT服务器设置两个IP,将外网对211.162.65.20的访问都转发给1号机。将外网对211.162.65.19的访问都转发给2号机(如有)。
地址映射和端口重定向的区别:
} 地址映射转换的是IP
} 端口重定向不仅仅转换IP还转换端口
新增地址
测试
4.因特网连接共享(ICS)
禁用路由和远程访问
Win2012-1在cmd里打ipconfig /renew还是可以获得DHCP分配器地址池中的地址
配置外网卡
把网卡1的IP地址从192.168.137.1改成192.168.0.1
测试
也可以设置服务来让外网访问
Win2012-1的Web网站绑定的IP地址注意要改过来
测试
结论:
} 只支持一个专用网络接口
} DHCP分配器只能分配网络ID为192.168.0.0的IP地址
} 无法将DHCP分配器禁用
} 只支持一个PublicIP 地址,因此无地址映射功能。
} ICS实际上是路由和远程访问的简化版,能快速实现内网访问外网。
