深入理解ICS和NAT
- 格式:doc
- 大小:1.49 MB
- 文档页数:33
下载文档原格式
合集下载
NAT学习总结(Ada)
NAT学习总结一、NAT介绍1.NAT是什么?NAT是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。
NAT属于接入广域网(W AN)技术,广域网是将分布在不同地区的局域网或计算机系统互连起来,达到资源共享的目的。
如因特网(Internet)是世界范围内最大的广域网。
NAT的目的解决IP地址数量紧缺。
当大量的内部主机只能使用少量的合法的外部地址,就可以使用NAT把内部地址转化成外部地址。
NAT还可以防止外部主机攻击内部主机(或服务器)需要理解的内容:1.使用NAT需要在专用网连接到因特网的路由器上安装NAT软件。
装有NAT软件的路由器叫做NAT路由器,一般购买的路由器支持哪种类型NAT是设定好的。
2.NAT路由器至少需要有一个有效的外部全球IP地址。
3.NAT的功能是双向的,即可以把内网的私有地址,转化成外网的公有地址。
使得内部网络上的主机可以访问Internet,又可以把Internet上的公网IP转换成内网IP,使得外网主机可以访问内部网络。
2.NAT的分类1.NAT可以分为Basic NAT和PAT:Basic NAT只转化IP,不映射端口。
PAT除了转化IP,还做端口映射,可以用于多个内部地址映射到少量(甚至一个)外部地址。
2.PAT分为Symmetric NAT型和Cone NAT型Symmetric NAT型 (对称型),在网关时,两个不同session并端口号不同Cone NAT型(圆锥型),在网关时,两个不同session但端口号相同3.Cone NAT型分为Full Cone NAT,Address RestrictedCone NAT 、PortRestrictedCone NATFull Cone NAT(完全圆锥型):NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定,任何包都可以通过地址{A:b}送到客户主机的{X:y}地址上。
Address RestrictedCone NAT (地址限制圆锥型):NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定,只有来自主机{P}的包才能和主机{X:y}通信。
ICS与NAT区别
提到共享上网,我们很容易想到使用代理服务器或者是带路由功能的ADSL Modem,其实我们还有更廉价的选择——用Windows系统提供的共享上网的功能。
这并没有什么新鲜的,但很多人并没有注意到:在Windows中提供的共享上网方式有两种——ICS和NAT。
这两种方式各是一个什么概念,各自依据的是什么原理,它们各有什么优缺点,这是我们下面要探讨的内容。
什么是ICSICS即Internet连接共享(Internet Connection Sharing)的英文简称,是Windows 系统针对家庭网络或小型的Intranet网络提供的一种Internet连接共享服务。
它实际上相当于一种网络地址转换器,所谓网络地址转换器就是当数据包向前传递的过程中,可以转换数据包中的IP地址和TCP/UCP端口等地址信息。
有了网络地址转换器,家庭网络或小型的办公网络中的电脑就可以使用私有地址,并且通过网络地址转换器将私有地址转换成ISP分配的单一的公用IP地址从而实现对Internet的连接。
ICS方式也称之为Internet转换连接。
什么是NATNAT即网络地址转换(Network Address Translator),从广义上讲,ICS也是使用了一种NAT技术,不过我们这里讨论的NAT是指将运行Windows 2000 Server的计算机作为IP路由器,通过它在局域网和Internet主机间转发数据包从而实现Internet的共享。
NAT方式也称之为Internet NAT 通过将专用内部地址转换为公共外部地址,对外隐藏了内部管理的IP地址。
这样,通过在内部使用非注册的IP地址,并将它们转换为一小部分外部注册的IP地址,从而减少了IP地址注册的费用。
同时,这也隐藏了内部网络结构,从而降低了内部网络受到攻击的风险。
其工作过程我们通过图1来了解,对于由NAT传出数据包,源IP地址(专用地址)被映射到ISP分配的公用地址,并且TCP/UDP端口号也会被映射到不同的TCP/UDP端口号。
nat
虽然NAT可以借助于某些代理服务器来实现,但考虑到运算成本和络性能,很多时候都是在路由器上来实现 的。
NAPT(Network Address Port Translation),即络端口转换,可将多个内部映射为一个合法公,但以不 同的协议端口号与不同的内部相对应,也就是与之间的转换。NAPT普遍用于接入设备中,它可以将中小型的络隐 藏在一个合法的IP后面。NAPT也被称为“多对一”的NAT,或者叫PAT(Port Address Translations,端口转 换)、超载(address overloading)。
NAPT的主要优势在于,能够使用一个全球有效IP获得通用性。主要缺点在于其通信仅限于TCP或UDP。当所有 通信都采用TCP或UDP,NAPT允许一台内部计算机访问多台外部计算机,并允许多台内部主机访问同一台外部计算 机,相互之间不会发生冲突。
常用的针对UDP的NAT穿透(NAT Traversal)方法主要有:STUN、TURN、ICE、uPnP等。其中ICE方式由于 其结合了STUN和TURN的特点,所以使用最为广泛。针对TCP的NAT穿透技术仍为难点。实用的技术仍然不多。
①如右图1这个 client(终端)的 gateway (关)设定为 NAT主机,所以当要连上 Internet的时候,该 封包就会被送到 NAT主机,这个时候的封包 Header之 source IP(源IP)为 192.168.1.100 ;
图1 Nat工作流程2②而透过这个 NAT主机,它会将 client的对外联机封包的 source IP ( 192.168.1.100 )伪装成 ppp0 (假设为拨接情况 )这个接口所具有的公共 IP,因为是公共 IP了,所以这个 封包就可以连上 Internet了,同时 NAT主机并且会记忆这个联机的封包是由哪一个 ( 192.168.1.100 ) client端传送来的;
NAPT(Network Address Port Translation),即络端口转换,可将多个内部映射为一个合法公,但以不 同的协议端口号与不同的内部相对应,也就是与之间的转换。NAPT普遍用于接入设备中,它可以将中小型的络隐 藏在一个合法的IP后面。NAPT也被称为“多对一”的NAT,或者叫PAT(Port Address Translations,端口转 换)、超载(address overloading)。
NAPT的主要优势在于,能够使用一个全球有效IP获得通用性。主要缺点在于其通信仅限于TCP或UDP。当所有 通信都采用TCP或UDP,NAPT允许一台内部计算机访问多台外部计算机,并允许多台内部主机访问同一台外部计算 机,相互之间不会发生冲突。
常用的针对UDP的NAT穿透(NAT Traversal)方法主要有:STUN、TURN、ICE、uPnP等。其中ICE方式由于 其结合了STUN和TURN的特点,所以使用最为广泛。针对TCP的NAT穿透技术仍为难点。实用的技术仍然不多。
①如右图1这个 client(终端)的 gateway (关)设定为 NAT主机,所以当要连上 Internet的时候,该 封包就会被送到 NAT主机,这个时候的封包 Header之 source IP(源IP)为 192.168.1.100 ;
图1 Nat工作流程2②而透过这个 NAT主机,它会将 client的对外联机封包的 source IP ( 192.168.1.100 )伪装成 ppp0 (假设为拨接情况 )这个接口所具有的公共 IP,因为是公共 IP了,所以这个 封包就可以连上 Internet了,同时 NAT主机并且会记忆这个联机的封包是由哪一个 ( 192.168.1.100 ) client端传送来的;
nat的工作原理及应用
NAT的工作原理及应用1. NAT的基本概念网络地址转换(Network Address Translation,简称NAT)是一种在网络层上进行的地址转换技术,用于解决IPv4地址不足的问题。
NAT通过将内部网络的私有IP地址和外部网络的公有IP地址进行映射转换,使得内部网络可以通过一个公有IP地址访问外部网络。
2. NAT的工作原理NAT的工作原理可以归纳为三个主要步骤:步骤一:源地址转换(Source Address Translation)当内部网络中的主机向外部网络发送数据时,NAT会将数据包的源IP地址替换为公有IP地址。
这样,外部网络接收到数据包时,会将其回复发送给公有IP地址,然后NAT再将回复的数据包的目的IP地址转换为内部主机的私有IP地址。
步骤二:目的地址转换(Destination Address Translation)当外部网络中的主机向内部网络发送数据包时,NAT会将数据包的目的IP地址替换为内部主机的私有IP地址。
这样,数据包达到NAT后,它会将数据包的源IP地址转换为公有IP地址,并将数据包发送到内部网络中的目的主机。
步骤三:端口转换(Port Translation)NAT还可以进行端口转换,通过改变数据包中的端口号实现多个内部主机共享一个公有IP地址。
这是因为在一个IP地址下,端口号是唯一的,通过改变端口号,不同的数据包可以被正确路由到不同的内部主机。
3. NAT的应用场景场景一:家庭网络在家庭网络中,通常只有一个公有IP地址,但是家庭中有多台设备需要连接到外部网络。
NAT通过 IP地址转换和端口转换技术,使得多台设备能够共享一个公有IP地址访问外部网络。
这样,家庭网络中的设备可以通过NAT访问互联网,实现网络连通。
场景二:企业网络在企业网络中,NAT可以起到保护内部网络的作用。
通过将内部主机的私有IP地址转换为企业的公有IP地址,外部网络无法直接访问内部网络,从而提高了网络的安全性。
ICS与NAT上网方式及应用
ICS与NAT上网方式及应用刘云红(农垦通信有限公司哈尔滨通信站)1 ICS和NATWindows提供了两种共享上网方式---ICS和NAT。
ICS(Internet Connection Sharing)是Windows系统针对家庭网络或小型Internet网络提供的一种Internet连接共享服务。
它相当于一种网络地址转换器,所谓网络地址转换器就是当数据包向前传递的过程中,可以转换数据包中的IP地址和TCP/UCP端口等地址信息。
有了网络地址转换器,家庭网络或小型办公网络中的电脑就可以使用私有地址,并且通过网络地址转换器将私有地址转换成ISP分配的单一的公用IP地址,从而实现对Internet的连接。
ICS方式也称之为Internet转换连接。
NAT(Network Address Translator)是一种将一个IP地址域映射到另一个IP 地址域技术,从而为终端主机提供透明路由。
NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。
NAT常用于私有地址域与公用地址域的转换,以解决IP地址匮乏问题。
在防火墙上实现NAT后,可以隐藏受保护网络的内部拓扑结构,在一定程度上提高网络的安全性。
2 如何配置ICS和NAT服务在局域网中ICS和NAT服务不能并存,只能选用其中一种。
ICS的配置过程相对简单。
首先通过在控制面板中的“网络和拨号连接”文件夹,建立同ISP的连接,然后从该连接的“属性”中选择“共享”标签,选中“启用此连接的Internet的连接共享”复选框,点击“确定”后,根据系统的提示就完成ICS服务器的设置。
而客户端只需将网卡设为“自动获得IP地址”,并将“默认网关”一栏空着,重启后即可使用ICS服务了。
NAT的配置相对复杂一些。
首先设置服务器与局域网连接的网卡IP地址(比如192.168.0.1),与ADSL或Cable Modem连接的网卡IP地址设为自动获取(也可以是ISP提供的合法的固定IP地址)。
ICS、NAT和WINGATE的配置
ICS、NAT和WINGATE实验这三项功能都是用一台W2K SERVER来实现。
图1. ICS、NAT和WINGATE实验的网络拓扑示意图1、ICS的一点提示:●选择内部网卡,选择:IP地址自动获取,注意DNS的配置,可选择学院的DNS服务器,即:“192.168.253.11”,也可以是其它DNS服务器的地址;●选择外部网卡,即连接学院网络的网卡,启用“Internet共享连接”,如下图:●外部网卡启用连接共享后,会自动把内部网卡的IP地址设置为:“192.168.0.1”;●设置一台以上客户机和服务器(ICS)构成一个内部网络,它们的IP地址设置为“192.168.0.x”, 注意DNS和网关的设置(配置);●思考IE的配置。
✧测试内部网络通过ICS上网。
2、NA T配置的一点提示:步骤:“开始”→“程序”→“管理工具”→“路由和远程访问”→“右击<(本地)计算机>并选择<配置并启用路由和远程访问>”→“选择<Internet连接服务器>”→“选择<设置有网络地址转换(NA T)路由协议的路由器>”→“选择<外部连接>”→完成。
●思考IE的配置和客户机的配置。
✧测试内部网络通过NA T上网。
3、Wingate的简单指引安装注意:安装时不能已有ICS和个人防火墙。
注册码可用:zyy(用户)/40KEWR4NDC3F516EV4AVC0(注册码)步骤:①.选Server,不是client②.加入以上LICENSE(序列号)③.选Express Setup(快速安装)④.不使用NT user & Authentication(默认)⑤.Email项:不使用use Wingate mail Server⑥.ENS安装项:不使用Install ENS (Extent Network Support,扩展网络支持)⑦.不选安装ENS,则自然没有VPN的安装⑧.“Auto Update”项:不使用Enable Auto Update (非正版,不用版本更新)⑨.Begin Installation ( 开始安装)→Begin(开始)⑩.Install Completed ( 安装完成)→Finish (结束)用户登录:administrator 初始密码为空要求更改密码:123456(建议)。
nat的原理及应用
NAT的原理及应用1. NAT的定义网络地址转换(Network Address Translation,简称NAT)是一种网络协议,用于将私有IP地址转换为公共IP地址,以便在互联网上进行通信。
NAT在计算机网络中起到了重要的作用,它使得多个设备可以通过共享一个公共IP地址来访问互联网。
2. NAT的原理NAT的原理是通过在私有网络和公共网络之间建立一种映射关系,将私有网络内的IP地址和端口号转换为公共网络的IP地址和端口号。
这样,在公共网络中就可以唯一标识每个数据包,从而实现了私有网络内的设备与互联网之间的通信。
具体而言,NAT的原理包括以下几个步骤:•地址转换:将私有网络内部的IP地址转换为公共网络的IP地址。
这是NAT最基本的功能,通过将私有IP地址替换为公共IP地址,实现了对外通信的能力。
•端口转换:私有网络内的多个设备可能使用相同的端口号进行通信,但在公共网络中,同一个IP地址必须使用不同的端口号进行区分。
因此,NAT会将私有网络内设备的端口号转换为公共网络的唯一端口号,以实现数据包在公共网络中的唯一标识。
•连接跟踪:NAT会为每个建立的连接维护一张映射表,记录私有网络内的设备与公共网络的映射关系。
当收到返回数据包时,NAT可以根据映射表将数据包正确转发到私有网络内的设备。
3. NAT的应用场景NAT在实际网络中有着广泛的应用,特别是在企业内部网络和家庭网络中。
下面列举了几个常见的NAT应用场景:•共享上网:通过NAT,多个设备可以通过共享一个公共IP地址来访问互联网。
这在家庭网络和小型企业中尤为常见,一台路由器作为NAT设备,为多台设备提供上网功能。
•端口映射:NAT还可以用于端口映射,将公共网络中的某个端口号映射到私有网络中的指定IP地址和端口号。
这在需要从公共网络访问私有网络的服务器时非常有用,如Web服务器、FTP服务器等。
•防火墙:NAT也可以作为防火墙的一部分,通过限制私有网络内设备对外访问的能力,保护内部网络的安全性。
NAT外网访问内网方法,内网端口映射外网ip
NAT外网访问内网方法,内网端口映射外网ip由于公网IP地址有限,不少ISP都采用多个内网用户通过代理和网关路由共用一个公网IP上INTERNET的方法,这样就限制了这些用户在自己计算机上架设个人网站,要实现在这些用户端架设网站,最关键的一点是,怎样把多用户的内网IP和一个他们唯一共享上网的IP进行映射!就象在局域网或网吧内一样,虽然你可以架设多台服务器和网站,但是对外网来说,你还是只有一个外部的IP 地址,怎么样把外网的IP映射成相应的内网IP地址,这应该是内网的那台代理服务器或网关路由器该做的事,对我们用私有IP地址的用户也就是说这是我们的接入ISP服务商(中国电信、联通、网通、铁通等)应该提供的服务,因为这种技术的实现对他们来说是举手之劳,而对我们来说是比较困难的,首先得得到系统管理员的支持才能够实现。
因为这一切的设置必须在代理服务器上做的。
要实现这一点,可以用Windows 2000 Server 的端口映射功能,除此之外Winroute Pro也具有这样的功能,还有各种企业级的防火墙。
而对于我们这些普通用户,恐怕还是用Windows 2000 Server最为方便。
先来介绍一下NAT,NAT(网络地址转换)是一种将一个IP地址域映射到另一个IP地址域技术,从而为终端主机提供透明路由。
NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。
NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。
在防火墙上实现NAT后,可以隐藏受保护网络的内部拓扑结构,在一定程度上提高网络的安全性。
如果反向NAT提供动态网络地址及端口转换功能,还可以实现负载均衡等功能。
端口映射功能可以让内部网络中某台机器对外部提供WWW服务,这不是将真IP 地址直接转到内部提供WWW服务的主机,如果这样的话,有二个蔽端,一是内部机器不安全,因为除了WWW之外,外部网络可以通过地址转换功能访问到这台机器的所有功能;二是当有多台机器需要提供这种服务时,必须有同样多的IP地址进行转换,从而达不到节省IP地址的目的。
internet连接共享设置
那么家庭或小型办公网络用户就可以使用诸如 Internet Explorer 和 Outlook
Express 这样的程序,就像他们与 Internet 服务提供商 (ISP) 直接相连一样。
ICS 主机连接到 ISP,并创建连接,因此用户可以访问指定的 Web 地址或资源。
ICS 可用于家庭或小型办公室,其中网络配置和 Internet 连接由共享连接所在
一般为 DSL、电缆或拨号调制解调器,把您的网络连接到 Internet。
在家庭或小型办公网络的公用连接中启用 ICS,而且在执行此操作之前,请确保
ICS 将用作专用连接的网络连接只连接到家庭或小型办公网络。如果只有一个连接
与您的网络相连,那么在您启用 ICS 时,该连接被自动选择为您的共享 Internet
DHCP 分配器 对于默认范围 192.168.0.1 和子网掩码 255.255.255.0 启用。将从 192.168.0.2 到 192.168.0.254 这一范围中的唯一地址分配给专用网络客户端
DNS 代理 已启用 来自注意 无法修改 ICS 的默认配置。这意味着您无法配置诸如禁用 DHCP 分配器或修改已分配的专用 IP 地址范围、禁用 DNS 代理、配置公用 IP 地址的范围,或配置传入映射等项目。如果希望修改这些项目中的任何一项,那么必须使用 NAT。
上主持 Web 服务器,而且希望 Internet 用户能够连接到该服务器,那么就必须
把 ICS 主机配置为允许从 Web 到您的网络的通信。有关信息,请参阅管理 ICF
或 ICS 的服务定义。
ICS 需要两个连接才能工作:一个公用连接和一个专用连接。专用连接,一般是
LAN 适配器,把 ICS 主机连接到家庭或小型办公网络上的计算机。公用连接,
Express 这样的程序,就像他们与 Internet 服务提供商 (ISP) 直接相连一样。
ICS 主机连接到 ISP,并创建连接,因此用户可以访问指定的 Web 地址或资源。
ICS 可用于家庭或小型办公室,其中网络配置和 Internet 连接由共享连接所在
一般为 DSL、电缆或拨号调制解调器,把您的网络连接到 Internet。
在家庭或小型办公网络的公用连接中启用 ICS,而且在执行此操作之前,请确保
ICS 将用作专用连接的网络连接只连接到家庭或小型办公网络。如果只有一个连接
与您的网络相连,那么在您启用 ICS 时,该连接被自动选择为您的共享 Internet
DHCP 分配器 对于默认范围 192.168.0.1 和子网掩码 255.255.255.0 启用。将从 192.168.0.2 到 192.168.0.254 这一范围中的唯一地址分配给专用网络客户端
DNS 代理 已启用 来自注意 无法修改 ICS 的默认配置。这意味着您无法配置诸如禁用 DHCP 分配器或修改已分配的专用 IP 地址范围、禁用 DNS 代理、配置公用 IP 地址的范围,或配置传入映射等项目。如果希望修改这些项目中的任何一项,那么必须使用 NAT。
上主持 Web 服务器,而且希望 Internet 用户能够连接到该服务器,那么就必须
把 ICS 主机配置为允许从 Web 到您的网络的通信。有关信息,请参阅管理 ICF
或 ICS 的服务定义。
ICS 需要两个连接才能工作:一个公用连接和一个专用连接。专用连接,一般是
LAN 适配器,把 ICS 主机连接到家庭或小型办公网络上的计算机。公用连接,
计算机网络中的NAT技术
计算机网络中的NAT技术随着互联网的发展,越来越多的人开始使用计算机和网络来进行沟通、工作、学习等。
而在现代计算机网络中,NAT技术也逐渐成为了必备的一个技术。
本文将深入探讨计算机网络中的NAT 技术,以及它对网络架构和通信的影响。
一、NAT技术的基本概念NAT,全称为Network Address Translation,即网络地址转换。
NAT技术是通过在路由器上进行地址转换,将一组IP地址映射到另外一组IP地址上,来实现内部网络和外部网络的互通。
这种技术在企业、家庭等场合中得到广泛应用。
NAT技术主要分为以下几种类型:1. 静态NAT:静态NAT是最基础和简单的NAT方式。
它将内部网络的一个固定IP地址映射到一个固定IP地址和端口上。
在静态NAT中,映射关系是一对一的。
2. 动态NAT:动态NAT和静态NAT相比更加灵活,它可以将内部网络的多个IP地址映射到一个实际IP地址和端口上,也可以将一个内部网络的IP地址映射到多个外部网络的IP地址和端口上。
在动态NAT中,映射关系是可变的。
3. NAPT:NAPT(Network Address Port Translation)是一种广泛应用的NAT方式。
NAPT可以将多个内部网络的IP地址映射到一个外部网络的IP地址上,且可以动态地将内部网络的不同IP地址绑定到同一个外部IP地址上。
此外,NAPT还支持多个内部网络通过同一个外部IP地址和端口进行访问。
二、NAT技术的优点1. 节约IP地址:由于现今面向IP的通信系统过多,IPv4地址已经短缺,所以采用NAT技术可以充分利用现有的IP地址,尤其是在大型网络中。
2. 隐藏内部网络结构:通过NAT技术,内部网络中的主机地址不会直接暴露在外部网络中,可以保证内部网络安全。
3. 可以使用私有IP地址:很多企业内部网络中都是用私有IP地址,无法直接接入公网。
通过NAT技术的转换,内部网络中的私有IP地址可以被转换为公网IP地址,从而实现内外网络的互通。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
深入理解ICS和NATInternet是针对全局唯一的IP地址空间而设计的,每一个连接到Internet的接口都必须拥有一个基于该接口所连接子网的唯一Internet IP地址,因此不管此接口所在的子网在Internet上如何进行路由,别人总可以通过你的Internet全局唯一的IP地址对你进行访问。
但是随着可分配的IP地址空间逐渐减少,而连接到Internet上的主机数量却大量的增加,已经不可能再为每一台需要连接到Internet的主机分配一个唯一的IP地址,此时,NAT (网络地址转换)就应运而生了。
NAT允许专用网络(专用网络/Internet在此等同于内部网络/外部网络)上的多个客户计算机通过某个Internet接口访问Internet资源,而Internet 上的主机却不能直接对专用网络中的客户计算机进行访问。
NAT支持在专用网络上重复使用IPv4私用IP地址地空间(10.0.0.0/8、172.16.0.0/12、192.168.0.0/16),这极大的减轻了Internet IPv4地址快速消耗所带来的IP地址数不足分配的压力。
NAT 的基本操作如下:当专用网络客户发起对Internet的连接请求时,对于每一个传出的数据包,NAT将专用网络中的源地址更改为连接到Internet的公用接口的源地址,并修改源传输控制协议(TCP)或用户数据报协议(UDP)端口号为一个NAT特定的值;并且,在自己的连接状态表中进行记录。
对于传入的数据包,NAT首先检查自己的连接状态表,如果匹配某个专用网络中发起的通讯请求,则NAT将目标公用地址更改为初始发起通讯请求的专用网络中客户的专用网络地址,并将目标TCP或UDP端口号更改为其原始值,转发给此专用网络客户;如果不匹配某个专用网络中发起的通讯请求,NAT会丢弃此数据包。
例如,如果某一个专用网络上的客户192.168.0.8需要通过自己的NAT网关(专用网络IP地址为192.168.0.1,Internet IP地址为61.139.0.8)访问Internet上主机61.139.0.1的HTTP服务,则NAT转换过程如下:专用网络客户192.168.0.8发起通讯请求,数据包原格式为192.168.0.1;当NAT网关接收到192.168.0.8发送的数据包后,修改此数据包为TCPInternet主机61.139.0.1,并在自己的连接状态表中作记录;Internet主机61.139.0.1收到此数据包后,回复数据包到NAT网关61.138.0.8,格式为TCP 61.139.0.1:80 -> 61.139.0.8:60066;当NAT网关收到此数据包后,检查自己的连接状态表,发现此数据包匹配专用网络客户192.168.0.8发起的连接请求,则修改数据包为TCP 61.139.0.1:80 -> 192.168.0.8:1031,然后转发数据包给专用网络中的客户。
所以,NAT可以有效地允许专用网络中的客户端计算机正常访问Internet资源,而不需要让专用网络中的客户端计算机都直接连接到Internet。
在Windows系统中提供了ICS(Internet连接共享)和RRAS中的NAT这两种NAT 组件,但是具有不同的定位和作用,我总结了一下,它们之间的详细区别如下表所示:特性ICSNAT定位单个C类子网范围,适合于家庭网络或者小型企业网络使用。
网络地址范围无限制,适合于大中型网络使用。
配置简单较ICS更为复杂提供方式Windows 2000及其后客户端操作系统和服务器操作系统中均提供作为路由和远程访问服务的一个组件,只在Windows服务器操作系统中提供。
公共IP地址只能使用一个公共IP地址可以使用多个公共IP地址保留IP地址无此功能可以对外发布服务(端口映射)可以可以专用网络地址范围限定为192.168.0.0/24无限制连接专用网络的网络接口的IP地址限定为192.168.0.1/24无限制,可保持原有配置不变。
专用网络地址分配提供简化的DHCP服务,但是不可配置。
分配的IP地址范围为192.168.0.2~192.168.0.254,子网掩码为255.255.255.0 提供DHCP分配器服务(也是简化的DHCP服务),默认分配的IP地址范围为专用网络接口所属子网。
你可以禁用此DHCP分配器服务,也可以配置DHCP分配器分配的IP 地址范围,分配的IP地址数只受到配置的限制DNS代理服务默认启用,不能禁用,ICS中的简化DHCP服务为客户分配的DNS服务器地址是连接专用网络的网络接口的IP地址192.168.0.1。
默认启用,NAT的简化DHCP服务为客户分配的DNS服务器地址是连接专用网络的网络接口的IP地址,但是可以手动禁用分配的默认网关地址默认启用,不能禁用,为连接专用网络的网络接口的IP地址192.168.0.1默认启用,不能禁用,为连接专用网络的网络接口的IP地址DHCP更新期限300秒(5分钟)DHCP重新绑定期限453600秒(租约期限的75%)DHCP租约期限604800秒(7天)分配的连接指定域名接下来,我将给大家分别进行详细的介绍。
第一部分ICS(Internet连接共享)ICS依赖于Windows Firewall/Internet Connection Sharing (ICS)服务,它的配置非常简单。
为了启用ICS,你必须至少具有一个连接到专用网络的网络适配器和一个连接到Internet(公共网络)的网络适配器或拨号连接(如果使用拨号连接,你必须在启用ICS 前创建拨号连接)。
你只能在连接到公共网络的网络适配器或拨号连接上启用ICS,具体操作步骤如下图所示:右击网络邻居,选择属性,打开网络连接文件夹;右击你连接到公共网络的网络适配器或拨号连接,选择属性;1、对于通过网络适配器连接到公共网络:在网络适配器属性对话框,点击高级标签,然后在Internet连接共享框架中,勾选允许其他网络用户通过此计算机的Internet 连接来连接,如果除了此公共网络连接外还有多个网络适配器,则要求你选择一个连接到专用网络的网络连接;如下图所示。
如果其他网络适配器均连接到专用网络,则你可以先使用桥接将它们桥接在一起,ICS 就不再提示你选择连接到专用网络的网络连接了,如下图所示:2、对于通过拨号连接到公共网络:对于拨号连接的设置和网络适配器的设置基本一致,唯一的区别在于拨号连接多了一个每当网络上的计算机试图访问Internet时建立一个拨号连接选项,此选项用于实现请求拨号功能。
在启用请求拨号功能时,当专用网络中的客户端计算机试图访问Internet,ICS会自动连接此拨号连接。
你还可以点击设置按钮来配置需要让外部网络访问的服务,如下图所示。
这个功能通常也称为端口映射,如果本地计算机上启用了Windows防火墙,在此配置开放的服务将在Windows防火墙上对相应的网络适配器开放相应的端口。
ICS内置了一部分服务,你可以勾选相应的服务,然后在弹出的服务设置对话框中设置转发数据到的专用网络中的计算机的名字或者IP 地址,强烈建议使用IP地址来定义。
当ICS在公共网络接口上接收到目的端口匹配外部端口号设置的数据包时,就会转发到专用网络中的这个计算机上,并且修改目的端口为内部端口号。
ICS内置的服务不可以修改端口号和协议类型,不过你可以根据需要自行添加服务。
当启用ICS时,ICS将配置专用网络连接的IP地址为192.168.0.1,子网掩码为255.255.255.0,这个配置不可修改;ICS将在此接口上提供简化的DHCP服务和DNS代理服务,其中简化的DHCP服务将分配向DHCP客户分配范围为192.168.0.2~192.168.0.254、子网掩码为255.255.255.0的IP地址,并且分配默认网关和DNS服务器为192.168.0.1,DHCP客户端接收到的DHCP选项如下图所示:而DNS代理服务的作用类似于DNS转发器,它可以将专用网络中客户发送的DNS解析请求转发到自己的DNS服务器,从而帮助专用网络中的客户端计算机完成DNS解析。
对于专用网络中的客户端计算机,你可以配置其为DHCP客户端,从而通过ICS的简化DHCP服务来自动进行配置,或者你可以按照相同的TCP/IP选项来手动进行配置。
第二部分NATNAT是作为路由和远程访问服务(RRAS)中的一个组件,它和ICS最主要的区别在于:可以使用的专用网络地址不限制;可以设置保留IP地址选项。
它的配置比起ICS稍显复杂,不过和ICS的要求一样,你必须至少具有一个连接到专用网络的网络适配器和一个连接到Internet(公共网络)的网络适配器或拨号连接。
不过,你可以在启用NAT的时候创建拨号连接,而ICS则必须要求你先创建拨号连接再启用ICS。
启用NAT启用NAT的步骤如下,配置之前要求没有启用ICS并且必须禁用Windows Firewall/Internet Connection Sharing (ICS)服务:在管理工具中选择路由和远程访问,在弹出的路由和远程访问管理控制台,右击服务器名,选择配置并启用路由和远程访问;在弹出的欢迎使用路由和远程访问服务器安装向导页,点击下一步;在配置页,选择网络地址转换(NAT),然后点击下一步;如果你需要同时提供远程访问服务,则选择虚拟专用网络(VPN)访问和NAT,此选项将同时启用NAT和VPN功能;在NAT Internet连接页,选择连接到Internet的公共接口。
对于NAT而言,它同样通过公用接口和专用接口来定义NAT行为,NAT将在公共接口上NAT从专用接口获得的IP 数据包。
在此我选择连接到Internet的网络适配器LAN10,你也可以选择创建一个新的到Internet的请求拨号接口来创建请求拨号连接,关于请求拨号接口我将在后文叙述。
如果你接受默认的选择通过设置基本防火墙来在对选择的接口进行保护,则NAT会在此Internet 接口上启用基本防火墙,这也是推荐设置。
关于基本防火墙更详细的信息,请参见深入理解路由和远程访问服务中的筛选器和基本防火墙一文;点击下一步;在名称和地址转换服务页,选择是否启用基本的名称和地址服务。
如果NAT没有在网络中检测到DNS服务器和DHCP服务器,则推荐启用基本的名称和地址服务,此时,NAT 会在专用网络接口上启用DHCP分配器和DNS代理服务。
DHCP分配器和ICS的DHCP 服务类似,也是一种简化的DHCP服务,它具有以下特性:DHCP分配器根据NAT服务器的专用网络接口的IP子网来确定分配的IP地址范围;你可以设置排除的地址范围;DHCP分配器给DHCP客户端分配的默认网关为NAT服务器的专用网络接口的IP地址;在启用基本的名称服务时,NAT会在专用网络接口上启用DNS代理服务,而DHCP 分配器会给DHCP客户端分配DNS服务器为此IP地址;如果没有启用基本的名称服务,则NAT不会启用DNS代理服务,DHCP分配器也不会给DHCP客户端分配DNS服务器。