配置對位於網絡地址轉換(NAT)後方的服務的訪問
欲瞭解關於The Cable Guy所主持的所有專欄的列表和更多信息,請點擊此處。
網絡地址轉換(NAT)是RFC 1631和2663中定義的一種IP路由器,它能夠在轉發數據包時轉換它們的IP地址和TCP/UDP端口號。對於傳出的數據包,源IP地址和TCP/UDP端口號被映射到一個公共源IP地址和一個可能被改變的TCP/IP端口號。對於傳入的包,目標IP地址和TCP/UDP端口號被映射到專用IP地址和最初的TCP/IP端口號。
如果NAT轉換表中存在一種特定的映射,NAT僅把來自Internet的流量轉發到專用網絡。由於這個原因,NAT爲連接到專用網段的計算機提供了某種程度的保護。然而,當您想要讓專用網絡資源對Internet客戶端可用時,這種程度的保護也帶來了連接問題。
例如,假設您在專用網絡上安裝了一個Web服務器,該專用網絡以一個NAT爲邊界,並讓您的ISP創建了一個域名系統(DNS)記錄,以便您的ISP使用其將www.example.com解析爲可分配於您的公共IP地址(154.160.0.1)。當某個Internet客戶端發起與您的專用網絡上的Web服務器的通信時,將會發生下列情況:
|
1. |
Internet Web客戶端計算機(使用公共IP地址131.107.0.1)上的用戶在他們的Web瀏覽器中鍵入http://www.example.com。 |
|
2. |
Internet Web客戶端使用DNS將名稱www.example.com解析爲地址154.60.0.1。 |
|
3. |
Internet Web客戶端計算機從131.107.0.1/TCP端口2000向154.60.0.1/TCP端口80發送一個傳輸控制協議(TCP)同步(SYN)段。 |
|
4. |
當NAT計算機接收到該TCP SYN段時,將檢查自己的NAT轉換表。 |
|
5. |
由於不存在針對目標154.60.0.1/TCP 80的條目,該TCP SYN段將自動被丟棄。 |
|
6. |
Internet Web客戶端計算機一直重試,直至最終顯示一條出錯消息。 |
由於不存在針對傳入流量的NAT映射,位於NAT後方的服務器上的資源就不能從Internet進行訪問。
解決這一連接問題的辦法,就是爲來自Internet的被轉換爲針對NAT後方的資源服務器的流量提供手動配置的靜態映射。爲了幫助將傳入流量轉發到專用網上的資源服務器,您可以配置兩類型靜態映射中的任意一類:
| • |
您可以將某個特定公共IP地址的所有流量映射到某個特定的專用地址(地址映射)。 這類映射的優點是易於配置。由於針對該公共IP地址的所有流量都被轉發,您不必根據運行在專用網計算機上的服務的TCP和UDP端口來確定流量的類型。 這類映射的缺點在於專用網絡計算機現在直接對Internet開放,從而更容易受到攻擊。您可以使用Windows XP的Internet連接防火牆或其他防火牆軟件來幫助保護專用網絡計算機。另一個缺點在於您必須獲得多個公共IP地址。至少必須要兩個公共IP地址: 一個針對資源服務器,另一個針對其他專用網絡計算機的已轉換流量。 |
| • |
將一個特定的公共IP地址/端口號映射到一個特定的專用IP地址/端口號(地址/端口映射) 這類靜態映射的優點在於,資源服務器更不易受到攻擊,除非通過靜態地址/端口映射所允許的流量進行攻擊。其另一個優點在於,您只需對發送到資源服務器的流量和專用網計算機的轉換後的流量使用一個公共地址。 這類影射的缺點在於需要額外的配置。對於資源服務器上您想要使之對Internet可用的每個服務,您都必須對其創建靜態映射。 |
本頁內容
 |
如何允許位於NAT計算機後方的服務的流量 |
|
更多信息 |
如何允許位於NAT計算機後方的服務的流量
在您配置NAT計算機之前,確保ISP已經創建了一個DSN記錄用以將DNS名稱解析爲與資源服務器相關聯的公共IP地址。
用於允許對資源服務器的流量的配置,取決於您是在使用Windows 2000 Server還是在使用Windows Server 2003&0153;以及您是在配置一個地址映射還是在配置一個地址/端口映射。
Windows 2000 Server
在配置基於Windows 2000 Server的NAT計算機之前,您必須在資源服務器上配置一個靜態IP地址配置,包括IP地址、子網掩碼、默認網關(NAT計算機的專用IP地址)和DNS服務器(也是NAT計算機的專用IP地址)。
如果NAT計算機充當專用網絡所連接的子網的DHCP分配器,那麼專用IP地址和子網掩碼必須在該NAT計算機分配的IP地址範圍之內。這在“路由器和遠程訪問”插件中的“”網絡地址轉換(NAT)屬性對話框的“地址分配”選項卡上有所定義。此外,分配給資源計算機的IP地址必須排除在該NAT計算機分配的IP地址範圍之外。因此,請單擊“地址分配”選項卡上的“排除”。
地址映射
爲了給運行Windows 2000 Server的NAT計算機配置一個地址映射,請完成以下步驟:
|
1. |
單擊“開始”,指向“程序”,指向“管理工具”,然後單擊“路由和遠程訪問”。 |
|
2. |
在控制檯樹中,打開“服務器名稱”,然後打開“IP路由”,再單擊“網絡地址轉換(NAT)”。 |
|
3. |
在詳細信息窗格中,右鍵單擊您的公共接口,然後單擊“屬性”。 |
|
4. |
單擊“地址池”選項卡。 |
|
5. |
如果您已經配置了Internet服務提供商分配給您的公共IP地址的IP地址範圍,請轉到步驟10。 |
|
6. |
單擊 “添加”。 |
|
7. |
在“添加地址池”中,鍵入一個連續公共IP地址範圍的起始IP地址、子網掩碼和結束IP地址。 |
|
8. |
單擊“確定”。 |
|
9. |
對對應於您的公共IP地址的所有範圍重複步驟6至步驟8。 |
|
10. |
單擊“保留”。 |
|
11. |
在“保留地址”中,單擊“添加”。 |
|
12. |
在“添加保留地址”中,在“保留公共IP地址”中鍵入對應於資源服務器的公共IP地址,在“針對專用網絡上的這臺計算機”中鍵入資源服務器的專用網絡地址,然後選擇“允許會話傳入此地址”。 |
|
13. |
單擊“確定”,添加該地址映射。 |
|
14. |
單擊“確定”,保存對保留地址所作的更改。 |
|
15. |
單擊“確定”,保存對公共接口的所作的更改。 |
地址/端口映射
爲了給運行Windows 2000 Server的NAT計算機配置一個地址/端口映射,請完成以下步驟:
|
1. |
單擊“開始”,指向“程序”,指向“管理工具”,然後單擊“路由和遠程訪問”。 |
||||||||
|
2. |
在控制檯樹中,打開“服務器名稱”,然後打開“IP路由”,再單擊“網絡地址轉換(NAT)”。 |
||||||||
|
3. |
在詳細信息窗格中,右鍵單擊您的公共接口,然後單擊“屬性”。 |
||||||||
|
4. |
在“特殊端口”選項卡上,在“協議”中選擇“TCP”或“UDP”,然後單擊“添加”。 |
||||||||
|
5. |
在“添加特殊端口”中,請配置以下設置:
|
||||||||
|
6. |
單擊“確定”,添加特殊的端口映射。 |
||||||||
|
7. |
單擊“確定”,保存對公共接口的所作的更改。 |
下圖顯示了一個充當Web服務器並使用專用IP地址192.168.0.99的資源服務器的“添加特殊端口”對話框。 對於這個例子,NAT計算機只有單個公共IP地址。 因此,“在此地址池條目上”選項不可用。
下圖顯示了針對資源服務器的流量及其與“添加特殊端口”對話框中的字段的關係。
Windows Server 2003
在配置基於Windows Server 2003的NAT計算機之前,您必須在資源服務器上創建一個靜態IP地址配置,包括IP地址、子網掩碼、默認網關(NAT計算機的專用IP地址)和DNS服務器(也是NAT計算機的專用IP地址)。
如果NAT計算機充當專用網所連接到的子網的DHCP分配器,那麼IP地址和子網掩碼必須在該NAT計算機分配的IP地址範圍之內。這在“路由器和遠程訪問”插件的“NAT/防火牆基本屬性”對話框的“地址分配”選項卡上有所定義。此外,分配給資源計算機的IP地址必須排除在該NAT計算機分配的IP地址範圍之外。因此,請單擊“地址分配”選項卡上的“排除”。
地址映射
爲了給運行Windows Server 2003的NAT計算機配置一個地址映射,請完成前面的地址映射小節中描述的相同步驟。 然而在第2步中,您必須打開“服務器名稱”,然後打開“IP路由”,再單擊“NAT/基本防火牆”(而不是單擊“網絡地址轉換”)。
地址/端口映射
爲了給運行Windows Server 2003的NAT計算機配置一個地址/端口映射,請完成以下步驟:
|
1. |
單擊“開始”,指向“程序”,指向“管理工具”,然後單擊“路由和遠程訪問”。 |
||||||||||||
|
2. |
在控制檯樹中,打開“服務器名稱”,然後打開“IP路由”,再單擊“NAT/基本防火牆”。 |
||||||||||||
|
3. |
在詳細信息窗格中,右鍵單擊您的公共接口,然後單擊“屬性”。 |
||||||||||||
|
4. |
在“服務和端口”選項看上,在“服務”列表中,定位與資源服務器匹配的預定義服務。 |
||||||||||||
|
5. |
如果存在一個匹配的服務,則通過單擊服務複選框啓用映射,並選擇“在此接口上”或“在此地址池條目上”。如果選擇“在此地址池條目上”,則鍵入已保留的公共地址,再在“專用地址”中鍵入資源服務器的專用地址,然後執行步驟8。 |
||||||||||||
|
6. |
如果不存在匹配的服務,則單擊“添加”。 |
||||||||||||
|
7. |
在“添加服務”對話框中,請配置以下選項:
|
||||||||||||
|
8. |
單擊“確定”,保存服務配置。 |
||||||||||||
|
9. |
單擊“確定”,保存對公共接口的所作的更改。 |
更多信息
關於Windows 2000 Server或Windows Server 2003的NAT的更多信息,請參考以下資源:
| • | |
| • |
Windows 2000 Server產品文檔(網絡/路由和遠程訪問) |
| • | |
| • |
Windows 2000網絡地址轉換(NAT)(The Cable Guy 2001年3月專欄) |
如對本專欄的內容有任何疑問或想發表反饋信息,請致信Microsoft TechNet。請注意,我們不保證回覆您的來信。
欲瞭解關於The Cable Guy所主持的所有專欄的列表和更多信息,請點擊此處。
http://www.microsoft.com/china/technet/community/columns/cableguy/cg0503.mspx