Windows Server 2003 來配置網絡地址轉換 (NAT

概要
本文說明如何通過使用 Windows Server 2003 來配置網絡地址轉換 (NAT) 服務器。Windows Server 2003 的路由和遠程訪問服務包括 NAT 路由協議。如果在運行“路由和遠程訪問”的服務器上安裝和配置了 NAT 路由協議，則使用專用 Internet 協議 (IP) 地址的內部網絡客戶端可以通過 NAT 服務器的外部接口訪問 Internet。




如何配置路由和遠程訪問 NAT 服務器
當內部網絡客戶端發送 Internet 連接請求時，NAT 協議驅動程序將截獲該請求，並將其轉發到目標 Internet 服務器。所有請求看上去都像是來自 NAT 服務器的外部 IP 地址。此過程隱藏了您的內部 IP 地址配置。

配置路由和遠程訪問 NAT 服務器：
1. 在管理工具菜單上，單擊“路由和遠程管理”。
2. 在“路由和遠程訪問”MMC 中，展開您的 server_name（其中server_name 是您要配置的服務器的名稱），然後展開左窗格中的 IP 路由¡£
3. 右鍵單擊常規，然後單擊新建路由協議。
4. 單擊以選中 NAT/基本防火牆複選框，然後單擊確定。
5. 右鍵單擊左窗格中的 NAT/基本防火牆，然後單擊新建接口。
6. 單擊表示內部網絡接口的接口，然後單擊確定。
7. 在“網絡地址轉換”屬性中，單擊“專用接口連接到專用網絡”，然後單擊確定。
8. 右鍵單擊左窗格中的 NAT/基本防火牆，然後單擊新建接口。
9. 單擊表示外部網絡接口的接口，然後單擊確定。
10. 在“網絡地址轉換”屬性中，單擊“公用接口連接到 Internet”。
11. 單擊以選中“在此接口上啓用 NAT”複選框，然後單擊確定。
NAT 服務器可以自動爲內部網絡客戶端分配 IP 地址。如果您沒有已向內部網絡上的客戶端分配了地址信息的 DHCP 服務器，則可能需要使用此功能。




如何配置路由和遠程訪問 NAT 服務器以分配 IP 地址和執行代理 DNS 查詢
NAT 服務器還可以代表 NAT 客戶端執行域名系統 (DNS) 查詢。路由和遠程訪問 NAT 服務器對包括在客戶端請求中的 Internet 主機名進行解析，然後將該 IP 地址轉發給客戶端。

要配置路由和遠程訪問 NAT 服務器以分配 IP 地址並代表內部網絡客戶端執行代理 DNS 查詢，請按以下步驟操作：
1. 右鍵單擊左窗格中的 NAT/基本防火牆，然後單擊屬性。
2. 單擊地址分配選項卡，然後單擊以選中“使用 DHCP 分配器自動分配 IP 地址”複選框。
3. 在 IP 地址框中，鍵入網絡 ID。
4. 在掩碼框中，鍵入子網掩碼。
5. 單擊名稱解析選項卡，然後單擊以選中“使用域名系統 (DNS) 的客戶端”複選框。
6. 如果您使用請求撥號接口連接到 Internet，請單擊以選中“當名稱需要解析時連接到公用網絡”複選框。
7. 在請求撥號接口框中，單擊要撥號的接口。
8. 單擊應用，然後單擊確定。
注意：完成這些基本配置步驟之後，內部網絡客戶端就可以訪問 Internet 上的服務器了。



如何配置基於 Windows Server 2003 的計算機以使用 NAT 服務器
1. 單擊開始，指向控制面板，指向網絡連接，然後單擊本地連接。
2. 單擊屬性。
3. 單擊 Internet 協議 (TCP/IP)。
4. 單擊屬性。
5. 在“默認網關”框中，鍵入 NAT 服務器的內部 IP 地址。

注意：如果您的計算機從動態主機配置協議 (DHCP) 服務器接收其 IP 地址，請單擊高級，單擊 IP 設置選項卡，單擊網關下的添加，鍵入 NAT 服務器的內部 IP 地址，單擊添加，單擊確定，然後繼續第 6 步。
6. 單擊確定，單擊確定，然後單擊關閉。

利用Win2003的NAT功能配置簡單的防火牆

添加網絡地址轉換
打開 路由和遠程訪問。
在控制檯樹中，單擊“常規”。
位置
路由和遠程訪問
服務器名稱
IP 路由選擇
常規
右鍵單擊“常規”，然後單擊“新增路由協議”。
在“選擇路由協議”對話框中，單擊“NAT/基本防火牆”，然後單擊“確定”。
注意：
要執行該過程，您必須是 Administrators 組的成員。作爲安全性的最佳操作，請考慮使用 runas 命令而不是以管理憑據登錄。如果您已經以管理憑據登錄，則還可以打開“路由和遠程訪問”，方法是依次單擊“開始”和“控制面板”，雙擊“管理工具”，再雙 擊“路由和遠程訪問”。


爲網絡地址轉換添加和配置接口
打開 路由和遠程訪問。
在控制檯樹中，單擊“NAT/基本防火牆”。
位置

路由和遠程訪問
服務器名稱
IP 路由選擇
NAT/基本防火牆
右鍵單擊“NAT/基本防火牆”，然後單擊“新增接口”。
在“接口”中，單擊要添加的接口，然後單擊“確定”。
執行以下任一操作：
如果該接口連接到 Internet，則在“NAT/基本防火牆”選項卡上，單擊“公用接口連接到 Internet”並選中“在此接口上啓用 NAT”複選框。如果希望用動態數據包篩選器保護公用接口，則選中“在此接口上啓用基本防火牆”複選框。
如果該接口連接到小型辦公室或家庭網絡，則在“NAT/基本防火牆”選項卡上，單擊“專用接口連接到專用網絡”。
注意

要執行該過程，您必須是 Administrators 組的成員。作爲安全性的最佳操作，請考慮使用 runas 命令而不是以管理憑據登錄。如果您已經以管理憑據登錄，則還可以打開“路由和遠程訪問”，方法是依次單擊“開始”和“控制面板”，雙擊“管理工具”，再雙 擊“路由和遠程訪問”。
單擊“僅基本防火牆”可僅啓用公用接口的基本防火牆，而不啓用 NAT。
對於到 Internet 的撥號連接，請選擇配置爲連接到您的“Internet 服務提供商 (ISP)”的請求撥號接口。
對於到 Internet 的永久連接，請選擇連接到您 ISP 的永久接口。

啓用網絡地址轉換尋址
打開 路由和遠程訪問。
在控制檯樹中，單擊“NAT/基本防火牆”。
位置

路由和遠程訪問
服務器名稱
IP 路由選擇
NAT/基本防火牆
右鍵單擊“NAT/基本防火牆”，然後單擊“屬性”。
在“地址指派”選項卡上，選中“使用 DHCP 分配器自動分配 IP 地址”複選框。
（可選）要爲專用網絡上的 DHCP 客戶端進行分配, 請在“IP 地址”和“掩碼”中配置 IP 地址的範圍。
（可選）要排除避免分配給專用網絡上 DHCP 客戶端的地址，請單擊“排除”，再單擊“添加”，然後配置地址。
注意

要執行該過程，您必須是 Administrators 組的成員。作爲安全性的最佳操作，請考慮使用 runas 命令而不是以管理憑據登錄。如果您已經以管理憑據登錄，則還可以打開“路由和遠程訪問”，方法是依次單擊“開始”和“控制面板”，雙擊“管理工具”，再雙 擊“路由和遠程訪問”。
啓用網絡地址轉換名稱解析
打開 路由和遠程訪問。
在控制檯樹中，單擊“NAT/基本防火牆”。
位置

路由和遠程訪問
服務器名稱
IP 路由選擇
NAT/基本防火牆
右鍵單擊“NAT/基本防火牆”，然後單擊“屬性”。
要進行 DNS 服務器的主機名稱解析，請在“名稱解析”選項卡上選中“使用域名系統 (DNS) 的客戶端”複選框。
如果希望到 Internet 的連接在專用網絡上的主機向“網絡地址轉換 (NAT)”計算機發送 DNS 名稱查詢時得以初始化，請選中“當名稱需要解析時連接到公用網絡”複選框，然後在“請求撥號接口”中單擊合適的請求撥號接口的名稱。
注意

要執行該過程，您必須是 Administrators 組的成員。作爲安全性的最佳操作，請考慮使用 runas 命令而不是以管理憑據登錄。如果您已經以管理憑據登錄，則還可以打開“路由和遠程訪問”，方法是依次單擊“開始”和“控制面板”，雙擊“管理工具”，再雙 擊“路由和遠程訪問”。

配置接口 IP 地址範圍
打開 路由和遠程訪問。
在控制檯樹中，單擊“NAT/基本防火牆”。
位置

路由和遠程訪問
服務器名稱
IP 路由選擇
NAT/基本防火牆
在詳細信息窗格中，右鍵單擊要配置的接口，然後單擊“屬性”。
在“地址池”選項卡上，單擊“添加”，並執行下列操作之一：
如果使用以 IP 地址和子網掩碼錶示的 IP 地址範圍，則在“起始地址”中鍵入起始 IP 地址，然後在“掩碼”中鍵入子網掩碼。
如果使用不能以 IP 地址和子網掩碼錶示的 IP 地址範圍，則在“起始地址”中鍵入起始 IP 地址，然後在“結束地址”中鍵入結束 IP 地址。
注意

要執行該過程，您必須是 Administrators 組的成員。作爲安全性的最佳操作，請考慮使用 runas 命令而不是以管理憑據登錄。如果您已經以管理憑據登錄，則還可以打開“路由和遠程訪問”，方法是依次單擊“開始”和“控制面板”，雙擊“管理工具”，再雙 擊“路由和遠程訪問”。
如果有多個地址範圍，可使用“添加”分別添加每個地址。

配置基本防火牆
打開 路由和遠程訪問。
在控制檯樹中，單擊“NAT/基本防火牆”。
位置

路由和遠程訪問
服務器名
IP 路由選擇
NAT/基本防火牆
在詳細信息窗格中，右鍵單擊要配置的接口，然後單擊“屬性”。
在“NAT/基本防火牆”選項卡上，執行以下任一項操作：
單擊“公用接口連接到 Internet”，然後選中“在此接口上啓用基本防火牆”複選框。
單擊“僅基本防火牆”。
注意

要執行該過程，您必須是 Administrators 組的成員。作爲安全性的最佳操作，請考慮使用 runas 命令而不是以管理憑據登錄。如果您已經以管理憑據登錄，則還可以打開“路由和遠程訪問”，方法是依次單擊“開始”和“控制面板”，雙擊“管理工具”，再雙 擊“路由和遠程訪問”。
通過配置其他靜態數據包篩選器，可允許或阻止特定類型的網絡通信到達網絡。也可以接受或拒絕特定類型的“Internet 控制消息協議 (ICMP)”消息、特定服務所需的通信，或通過特定端口傳送的通信。

配置服務和端口
打開 路由和遠程訪問。
在控制檯樹中，單擊“NAT/基本防火牆”。
位置

路由和遠程訪問
服務器名稱
IP 路由選擇
NAT/基本防火牆
在詳細信息窗格中，右鍵單擊要配置的接口，然後單擊“屬性”。
在“服務和端口”選項卡上，執行下列操作之一：
如果接口與公用網絡服務相關聯，請查看“服務”中的列表，選擇服務並查看顯示的設置，然後單擊“確定”。
如果接口不與公用網絡服務相關聯，或服務未在“服務”中列出，則單擊“添加”，提供服務名稱及傳入和傳出端口所需的設置，然後單擊“確定”。
如果要禁用與公用網絡服務相關聯的端口，則查看“服務”中的列表，並清除相應的複選框。
如果要禁用以前添加的端口，則查看“服務”中的列表，並清除與所添加服務相應的複選框。
如果要刪除以前添加的端口，則查看“服務”中的列表，選擇所添加的服務，然後單擊“刪除”。
注意

要執行該過程，您必須是 Administrators 組的成員。作爲安全性的最佳操作，請考慮使用 runas 命令而不是以管理憑據登錄。如果您已經以管理憑據登錄，則還可以打開“路由和遠程訪問”，方法是依次單擊“開始”和“控制面板”，雙擊“管理工具”，再雙 擊“路由和遠程訪問”。

允許或拒絕 ICMP 消息
打開 路由和遠程訪問。
在控制檯樹中，單擊“NAT/基本防火牆”。
位置

路由和遠程訪問
服務器名稱
IP 路由選擇
NAT/基本防火牆
在詳細信息窗格中，右鍵單擊要配置的接口，然後單擊“屬性”。
在“允許以下功能”中，執行如下操作：
要允許某類 ICMP 消息到達您的網絡，請選中相應的複選框。
要阻止某類 ICMP 消息到達您的網絡，請清除相應的複選框。
注意

要執行該過程，您必須是 Administrators 組的成員。作爲安全性的最佳操作，請考慮使用 runas 命令而不是以管理憑據登錄。如果您已經以管理憑據登錄，則還可以打開“路由和遠程訪問”，方法是依次單擊“開始”和“控制面板”，雙擊“管理工具”，再雙 擊“路由和遠程訪問”。
要顯示消息類型的描述，請單擊消息類型。描述將出現在“描述”下。

啓用 ICMP 路由器發現
打開 路由和遠程訪問。
在控制檯樹中，單擊“常規”。
位置

路由和遠程訪問
服務器名稱
IP 路由選擇
常規
在詳細信息窗格中，右鍵單擊要啓用的接口，然後單擊“屬性”。
在“常規”選項卡上，請選中“啓用路由器發現通告”複選框。
在“通告壽命（分鐘）”中，輸入或選擇在聽到其最後的路由器通告後多久認爲路由器關閉的時間。
在“最小時間（分鐘）”中，輸入或選擇路由器定期發送 ICMP 路由器通告的最小速率。
在“最大時間（分鐘）”中，輸入或選擇路由器定期發送 ICMP 路由器通告的最大速率。
基於最小時間值和最大時間值，路由