配置對位于網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)后方的服務(wù)的訪問
欲了解關(guān)于 The Cable Guy 所主持的所有專欄的列表和更多信息,請點(diǎn)擊 此處 。
網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)是RFC 1631和2663中定義的一種IP路由器,它能夠在轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)轉(zhuǎn)換它們的IP地址和TCP/UDP端口號。對于傳出的數(shù)據(jù)包,源IP地址和TCP/UDP端口號被映射到一個(gè)公共源IP地址和一個(gè)可能被改變的TCP/IP端口號。對于傳入的包,目標(biāo)IP地址和TCP/UDP端口號被映射到專用IP地址和最初的TCP/IP端口號。
如果NAT轉(zhuǎn)換表中存在一種特定的映射,NAT僅把來自Internet的流量轉(zhuǎn)發(fā)到專用網(wǎng)絡(luò)。由于這個(gè)原因,NAT為連接到專用網(wǎng)段的計(jì)算機(jī)提供了某種程度的保護(hù)。然而,當(dāng)您想要讓專用網(wǎng)絡(luò)資源對Internet客戶端可用時(shí),這種程度的保護(hù)也帶來了連接問題。
例如,假設(shè)您在專用網(wǎng)絡(luò)上安裝了一個(gè)Web服務(wù)器,該專用網(wǎng)絡(luò)以一個(gè)NAT為邊界,并讓您的ISP創(chuàng)建了一個(gè)域名系統(tǒng)(DNS)記錄,以便您的ISP使用其將www.example.com解析為可分配于您的公共IP地址(154.160.0.1)。當(dāng)某個(gè)Internet客戶端發(fā)起與您的專用網(wǎng)絡(luò)上的Web服務(wù)器的通信時(shí),將會發(fā)生下列情況:
|
1. |
Internet Web客戶端計(jì)算機(jī)(使用公共IP地址131.107.0.1)上的用戶在他們的Web瀏覽器中鍵入http://www.example.com。 |
|
2. |
Internet Web客戶端使用DNS將名稱www.example.com解析為地址154.60.0.1。 |
|
3. |
Internet Web客戶端計(jì)算機(jī)從131.107.0.1/TCP端口2000向154.60.0.1/TCP端口80發(fā)送一個(gè)傳輸控制協(xié)議(TCP)同步(SYN)段。 |
|
4. |
當(dāng)NAT計(jì)算機(jī)接收到該TCP SYN段時(shí),將檢查自己的NAT轉(zhuǎn)換表。 |
|
5. |
由于不存在針對目標(biāo)154.60.0.1/TCP 80的條目,該TCP SYN段將自動被丟棄。 |
|
6. |
Internet Web客戶端計(jì)算機(jī)一直重試,直至最終顯示一條出錯(cuò)消息。 |
由于不存在針對傳入流量的NAT映射,位于NAT后方的服務(wù)器上的資源就不能從Internet進(jìn)行訪問。
解決這一連接問題的辦法,就是為來自Internet的被轉(zhuǎn)換為針對NAT后方的資源服務(wù)器的流量提供手動配置的靜態(tài)映射。為了幫助將傳入流量轉(zhuǎn)發(fā)到專用網(wǎng)上的資源服務(wù)器,您可以配置兩類型靜態(tài)映射中的任意一類:
| ? |
您可以將某個(gè)特定公共IP地址的所有流量映射到某個(gè)特定的專用地址(地址映射)。 這類映射的優(yōu)點(diǎn)是易于配置。由于針對該公共IP地址的所有流量都被轉(zhuǎn)發(fā),您不必根據(jù)運(yùn)行在專用網(wǎng)計(jì)算機(jī)上的服務(wù)的TCP和UDP端口來確定流量的類型。 這類映射的缺點(diǎn)在于專用網(wǎng)絡(luò)計(jì)算機(jī)現(xiàn)在直接對Internet開放,從而更容易受到攻擊。您可以使用Windows XP的Internet連接防火墻或其他防火墻軟件來幫助保護(hù)專用網(wǎng)絡(luò)計(jì)算機(jī)。另一個(gè)缺點(diǎn)在于您必須獲得多個(gè)公共IP地址。至少必須要兩個(gè)公共IP地址: 一個(gè)針對資源服務(wù)器,另一個(gè)針對其他專用網(wǎng)絡(luò)計(jì)算機(jī)的已轉(zhuǎn)換流量。 |
| ? |
將一個(gè)特定的公共IP地址/端口號映射到一個(gè)特定的專用IP地址/端口號(地址/端口映射) 這類靜態(tài)映射的優(yōu)點(diǎn)在于,資源服務(wù)器更不易受到攻擊,除非通過靜態(tài)地址/端口映射所允許的流量進(jìn)行攻擊。其另一個(gè)優(yōu)點(diǎn)在于,您只需對發(fā)送到資源服務(wù)器的流量和專用網(wǎng)計(jì)算機(jī)的轉(zhuǎn)換后的流量使用一個(gè)公共地址。 這類影射的缺點(diǎn)在于需要額外的配置。對于資源服務(wù)器上您想要使之對Internet可用的每個(gè)服務(wù),您都必須對其創(chuàng)建靜態(tài)映射。 |
本頁內(nèi)容
|
如何允許位于NAT計(jì)算機(jī)后方的服務(wù)的流量 |
|
|
更多信息 |
如何允許位于NAT計(jì)算機(jī)后方的服務(wù)的流量
在您配置NAT計(jì)算機(jī)之前,確保ISP已經(jīng)創(chuàng)建了一個(gè)DSN記錄用以將DNS名稱解析為與資源服務(wù)器相關(guān)聯(lián)的公共IP地址。
用于允許對資源服務(wù)器的流量的配置,取決于您是在使用Windows 2000 Server還是在使用Windows Server 2003&0153;以及您是在配置一個(gè)地址映射還是在配置一個(gè)地址/端口映射。
Windows 2000 Server
在配置基于Windows 2000 Server的NAT計(jì)算機(jī)之前,您必須在資源服務(wù)器上配置一個(gè)靜態(tài)IP地址配置,包括IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)(NAT計(jì)算機(jī)的專用IP地址)和DNS服務(wù)器(也是NAT計(jì)算機(jī)的專用IP地址)。
如果NAT計(jì)算機(jī)充當(dāng)專用網(wǎng)絡(luò)所連接的子網(wǎng)的DHCP分配器,那么專用IP地址和子網(wǎng)掩碼必須在該NAT計(jì)算機(jī)分配的IP地址范圍之內(nèi)。這在“路由器和遠(yuǎn)程訪問”插件中的 “”網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)屬性 對話框的 “地址分配” 選項(xiàng)卡上有所定義。此外,分配給資源計(jì)算機(jī)的IP地址必須排除在該NAT計(jì)算機(jī)分配的IP地址范圍之外。因此,請單擊 “地址分配” 選項(xiàng)卡上的 “排除” 。
地址映射
為了給運(yùn)行Windows 2000 Server的NAT計(jì)算機(jī)配置一個(gè)地址映射,請完成以下步驟:
|
1. |
單擊 “開始” ,指向 “程序” ,指向 “管理工具” ,然后單擊 “路由和遠(yuǎn)程訪問” 。 |
|
2. |
在控制臺樹中,打開 “服務(wù)器名稱” ,然后打開 “IP路由” ,再單擊 “網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)” 。 |
|
3. |
在詳細(xì)信息窗格中,右鍵單擊您的公共接口,然后單擊 “屬性” 。 |
|
4. |
單擊 “地址池” 選項(xiàng)卡。 |
|
5. |
如果您已經(jīng)配置了Internet服務(wù)提供商分配給您的公共IP地址的IP地址范圍,請轉(zhuǎn)到步驟10。 |
|
6. |
單擊 “添加” 。 |
|
7. |
在 “添加地址池” 中,鍵入一個(gè)連續(xù)公共IP地址范圍的起始IP地址、子網(wǎng)掩碼和結(jié)束IP地址。 |
|
8. |
單擊 “確定” 。 |
|
9. |
對對應(yīng)于您的公共IP地址的所有范圍重復(fù)步驟6至步驟8。 |
|
10. |
單擊 “保留” 。 |
|
11. |
在 “保留地址” 中,單擊 “添加” 。 |
|
12. |
在 “添加保留地址” 中,在 “保留公共IP地址” 中鍵入對應(yīng)于資源服務(wù)器的公共IP地址,在 “針對專用網(wǎng)絡(luò)上的這臺計(jì)算機(jī)” 中鍵入資源服務(wù)器的專用網(wǎng)絡(luò)地址,然后選擇 “允許會話傳入此地址” 。 |
|
13. |
單擊 “確定” ,添加該地址映射。 |
|
14. |
單擊 “確定” ,保存對保留地址所作的更改。 |
|
15. |
單擊 “確定” ,保存對公共接口的所作的更改。 |
地址/端口映射
為了給運(yùn)行Windows 2000 Server的NAT計(jì)算機(jī)配置一個(gè)地址/端口映射,請完成以下步驟:
|
1. |
單擊 “開始” ,指向 “程序” ,指向 “管理工具” ,然后單擊 “路由和遠(yuǎn)程訪問” 。 |
||||||||
|
2. |
在控制臺樹中,打開 “服務(wù)器名稱” ,然后打開 “IP路由” ,再單擊 “網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)” 。 |
||||||||
|
3. |
在詳細(xì)信息窗格中,右鍵單擊您的公共接口,然后單擊 “屬性” 。 |
||||||||
|
4. |
在 “特殊端口” 選項(xiàng)卡上,在 “協(xié)議” 中選擇 “TCP” 或 “UDP” ,然后單擊 “添加” 。 |
||||||||
|
5. |
在 “添加 特殊 端口” 中,請配置以下設(shè)置:
|
||||||||
|
6. |
單擊 “確定” ,添加特殊的端口映射。 |
||||||||
|
7. |
單擊 “確定” ,保存對公共接口的所作的更改。 |
下圖顯示了一個(gè)充當(dāng)Web服務(wù)器并使用專用IP地址192.168.0.99的資源服務(wù)器的 “添加特殊端口” 對話框。 對于這個(gè)例子,NAT計(jì)算機(jī)只有單個(gè)公共IP地址。 因此, “在此地址池條目上” 選項(xiàng)不可用。
下圖顯示了針對資源服務(wù)器的流量及其與 “添加特殊端口” 對話框中的字段的關(guān)系。
Windows Server 2003
在配置基于Windows Server 2003的NAT計(jì)算機(jī)之前,您必須在資源服務(wù)器上創(chuàng)建一個(gè)靜態(tài)IP地址配置,包括IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)(NAT計(jì)算機(jī)的專用IP地址)和DNS服務(wù)器(也是NAT計(jì)算機(jī)的專用IP地址)。
如果NAT計(jì)算機(jī)充當(dāng)專用網(wǎng)所連接到的子網(wǎng)的DHCP分配器,那么IP地址和子網(wǎng)掩碼必須在該NAT計(jì)算機(jī)分配的IP地址范圍之內(nèi)。這在“路由器和遠(yuǎn)程訪問”插件的 “NAT/防火墻基本屬性” 對話框的 “地址分配” 選項(xiàng)卡上有所定義。此外,分配給資源計(jì)算機(jī)的IP地址必須排除在該NAT計(jì)算機(jī)分配的IP地址范圍之外。因此,請單擊 “地址分配” 選項(xiàng)卡上的 “排除” 。
地址映射
為了給運(yùn)行Windows Server 2003的NAT計(jì)算機(jī)配置一個(gè)地址映射,請完成前面的地址映射小節(jié)中描述的相同步驟。 然而在第2步中,您必須打開 “服務(wù)器名稱” ,然后打開 “IP路由” ,再單擊 “NAT/基本防火墻” (而不是單擊 “網(wǎng)絡(luò)地址轉(zhuǎn)換” )。
地址/端口映射
為了給運(yùn)行Windows Server 2003的NAT計(jì)算機(jī)配置一個(gè)地址/端口映射,請完成以下步驟:
|
1. |
單擊 “開始” ,指向 “程序” ,指向 “管理工具” ,然后單擊 “路由和遠(yuǎn)程訪問” 。 |
||||||||||||
|
2. |
在控制臺樹中,打開 “服務(wù)器名稱” ,然后打開 “IP路由” ,再單擊 “NAT/基本防火墻” 。 |
||||||||||||
|
3. |
在詳細(xì)信息窗格中,右鍵單擊您的公共接口,然后單擊 “屬性” 。 |
||||||||||||
|
4. |
在 “服務(wù)和端口” 選項(xiàng)看上,在 “服務(wù)” 列表中,定位與資源服務(wù)器匹配的預(yù)定義服務(wù)。 |
||||||||||||
|
5. |
如果存在一個(gè)匹配的服務(wù),則通過單擊服務(wù)復(fù)選框啟用映射,并選擇 “在此接口上” 或 “在此地址池條目上” 。如果選擇 “在此地址池條目上” ,則鍵入已保留的公共地址,再在 “專用地址” 中鍵入資源服務(wù)器的專用地址,然后執(zhí)行步驟8。 |
||||||||||||
|
6. |
如果不存在匹配的服務(wù),則單擊 “添加” 。 |
||||||||||||
|
7. |
在 “添加服務(wù)” 對話框中,請配置以下選項(xiàng):
|
||||||||||||
|
8. |
單擊 “確定” ,保存服務(wù)配置。 |
||||||||||||
|
9. |
單擊 “確定” ,保存對公共接口的所作的更改。 |
更多信息
關(guān)于Windows 2000 Server或Windows Server 2003的NAT的更多信息,請參考以下資源:
| ? | |
| ? |
Windows 2000 Server產(chǎn)品文檔 (網(wǎng)絡(luò)/路由和遠(yuǎn)程訪問) |
| ? | |
| ? |
Windows 2000網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT) ( The Cable Guy 2001年3月專欄) |
如對本專欄的內(nèi)容有任何疑問或想發(fā)表反饋信息,請致信 Microsoft TechNet 。請注意,我們不保證回復(fù)您的來信。
欲了解關(guān)于
The Cable Guy
所主持的所有專欄的列表和更多信息,請點(diǎn)擊
此處
。
http://www.microsoft.com/china/technet/community/columns/cableguy/cg0503.mspx
更多文章、技術(shù)交流、商務(wù)合作、聯(lián)系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯(lián)系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點(diǎn)擊下面給點(diǎn)支持吧,站長非常感激您!手機(jī)微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點(diǎn)擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
