Win2008当路由器配置NAT

硬件上，搭建一个NAT服务器（以下简称服务器）需要具备两块物理网卡和一台交换机，当然我们搭了服务器就需要有客户机和连接用的网线。

假设服务器中A网卡接入网络，B网卡接入交换机，客户机则连接到交换机上，也就是如下网络架构：软件上，WindowsServer 2008 r2的NAT设置于Server2003和2008都略有区别，网上所提供的教程针对Linux、Server2003和2008的教程比较多，本着傻瓜式教程的宗旨，以下我将逐一列举搭建NAT服务器的步骤。

第一步：禁用Internet Connection Sharing服务。

因为ICS（InternetConnection Sharing）与NAT同时存在会造成冲突，所以要禁用。

在开始-->管理工具-->服务中，找到InternetConnection Sharing，然后停用并禁用ICS服务。

第二步：添加路由与远程访问角色服务。

进入服务器管理器添加角色，添加“网络策略和访问服务”，这时可以选择安装角色服务，把“路由”和“远程访问服务”都选上。

然后下一步。

不用重启。

第三步：配置网卡。

对于校园网用户，网卡A是不需要配置的，因为校园网环境中提供DNS、DHCP等服务，但是我们需要知道我们的DNS服务器IP地址是什么（珠海校区：主DNS服务器211.66.128.1，备用DNS服务器211.66.128.2；南校区主DNS服务器202.116.64.2，备用DNS服务器202.116.64.3），在后面的配置有用。

然后网卡B的IP 地址填写172.16.1.1，使用默认的子网掩码（255.255.0.0），网关不填，DNS服务器必须填上。

由于我们在这里使用了手动IP分配，所以客户机上也需要进行IP设置，具体设置为：IP地址填172.16.1.1xx，子网掩码255.255.0.0，网关就填172.16.1.1，DNS服务器必须填上。

至此网卡配置完成第四步：在服务器管理器左侧窗口展开“网络策略和访问服务”，右键点击路由和远程访问，选择“配置并启用路由和远程访问”。

配置windows 2008 作为远程访问SSL-VPN服务器在此部分中将进行如下操作：一、在WIN2K8 DC上安装AD证书服务，并设置为企业根。

二、在SSTP VPN服务器上安装IIS7.0三、在SSTP VPN服务器上使用IIS7.0中的证书请求向导，为SSTP VPN服务器请求一个机器证书。

四、在SSTP VPN服务器安装RRAS角色，并配置其为VPN和NAT服务器。

五、配置NAT服务器以发布CRL（证书吊销列表）一、在WIN2K8 DC上安装AD证书服务，并设置为企业根。

1、在WIN2K8 DC上，打开服务器管理器，在“角色”中点选“添加角色”，并在弹出添加角色向导中点选“ACTIVE DIRECTORY 证书服务”，下一步：2、在“选择角色服务”窗口中，选择“证书颁发机构”以及“证书颁发机构WEB注册”两项，同时，在选择“证书颁发机构WEB注册”后弹出的窗口中，点“添加必要的角色服务”。

下一步：3、在“指定安装类型”窗口中，选择“企业“项。

（当然也可以选择独立项，但显然，这不是这次实验的目的，如果今后有时间，我会以此次实验拓朴为原型，改变CA角色到SSTP VPN服务器上，并设置成独立CA。

也许还简单些。

）下一（几）步：4、中间一些过程略去，实在没有什么可要说明的。

在“为CA配置加密“以及”配置CA名称“两个界面，均按默认设置，并下一步：5、在“确认安装选择“界面，通过下拉右侧按钮可以清楚的看到之前的设定，如果你认为没有问题，就选择安装，如果你认为还需要更改，就选上一步。

此处，选择”安装“。

6、“AD CS“,AD证书服务安装完成后的界面如下。

至此，完成了AD CS的角色及角色服务安装。

二、在SSTP VPN服务器上安装IIS7.0在上一个板块，已介绍了如何在WIN2K8上安装CA角色，并同时安装了WEB注册程序。

接下来的操作将会在SSTP VPN服务器进行。

进行安装之前，请确认SSTP VPN服务器加入了域：。

Windows Server 2008服务器配置成NAT路由【IT专家网独家稿件】最近笔者要创建一个使用DSL路由连接互联网的测试网络。

该测试网络必须建立在不同子网上，而不是办公室局域网中，但是又需要连接到互联网。

于是笔者决定在拥有两个网卡的备用箱上安装Windows Server 2008，在机箱安装路由和远程访问服务器(RRAS)，将该机箱作为工作场所和测试网络之间的服务器。

(见图一)图一基本上，有两种方法可选。

第一，可以将一个配置过的RRAS盒作为两个子网间转换数据的IP路由。

这样做，测试网络中的客户可以将数据包发送到互联网上的服务器，但是却不能让数据回流到客户。

原因是从互联网出来的数据通过DSL路由的时候，数据会被发送到地址为172.16.11.0的网络，因此数据无法到达地址为10.0.0.0的网络。

解决这一问题的一贯做法是为直接转发数据包的DSL路由添加一个静态路由，这些数据包中如果含有目的地地址为10.0.0.x的数据，那就会到达RRAS盒(172.16.11.220)工作界面。

所以，一旦要发往10.0.0.x的数据包到达该界面，RRAS盒就会把数据包发往其他界面（10.0.0.1)，而且数据包会从这里进入测试网络并最终到达其目的地。

遗憾的是，笔者没有DSL路由器的管理权限，因为该路由器由服务供应商管理，因此笔者放弃了这一方法。

还有一种方法可供使用，而这也是我们选择的方法。

将RRAS盒配置为NAT路由。

NAT是一个IETF标准，它将一个网络中IPv4地址转换成另一个网络电脑上的IPv4地址。

当然，笔者工作网络中的DLS路由也被配置成了一个NAT路由，如此一来，执行这一方法就成为了所谓的双重NAT。

互联网在双重或三重NAT中不受影响，不过，小部分应用程序可能会与这类网络拓扑结构中出现问题。

例如，Windows Home Server不支持这一的级联NAT。

安装Server机首先，Windows Server 2008要安装在有双网卡的电脑上，每个网卡的IPv4设置按如下描述配置：连接到测试局域网的网卡：IP address = 10.0.0.1Subnet mask = 255.0.0.0Default gateway = noneDNS servers = none连接到工作局域网的网卡：IP address = 172.16.11.220Subnet mask = 255.255.255.0Default gateway = 172.16.11.1DNS servers = the public IP addresses of my ISP's DNS servers注意，连接到测试局域网(10.0.0.0)的网卡不应该有默认网关——可以到微软技术支持中找到编号为157025的文章《多宿主计算机的默认网关配置》了解为什么多宿主电脑只能拥有一个指定的网关地址的详细原因。

windows2008R2双⽹卡设置（⼀内⽹,⼀外⽹）⾮安装路由⾓⾊修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces下的⼆⽹卡的⼦项的EnableDeadGWDetect值为0 (禁⽤失效⽹关检测)在本地连续1修改接⼝跃点数,上⽹的为10,⾮上⽹的11,⽹关跃点数都为1修改路由route printroute add -p 192.168.15.100 mask 255.255.255.0 192.168.19.254表⽰192.168.15.100⾛19⽹段软路由模式配置⾓⾊1. 添加⽹络策略和访问服务中的路由与远程访问2. 启动选择NAT,并选择相关出外⽹的⽹卡3. 添加静态路由,接⼝选择Wan,⽬标:0.0.0.0 ⽹络掩码:0.0.0.0 ⽹关:电信给的⽹关地址,(⾮IP),跃点数:为24. 更改内⽹IP的⽹卡跃点数为:20关于映射,在NAT中找到wan⽹卡,选中公⽤接⼝连接到Internet,并勾选在此接⼝上启⽤NAT,然后再服务与端⼝中添加,名称如:PHP 传⼊端⼝8085,专⽤地址写内⽹服务器,传出端⼝:内⽹服务器的端⼝注:内⽹的服务器的IP⽹关应使⽤路由服务的IP才能出⼝关于双⽹卡路由限制IP转发的设定(本⽂限定出外⽹只与ip:192.168.21.10通讯为例)1.先按上节⽂中的软路由模式设置,2.然后在IPv4中的常规中选中wan接⼝右键属性.3.点击⼊站筛选器 -源地址:192.168.21.10,掩码:255.255.255.254 ,选择丢弃所有数据包,满⾜以下条件的例外4.确定,应⽤相关设置。

Win2008当路由器配置NAT分类:网络技术作者:时间:2011-11-7 14:26:29阅读:493在部署局域网时，我们会向ISP运营商申请注册一个固定IP即公用IP地址，然后通过这个公用IP地址为局域网用户提供访问互联网的服务，但由于IP地址数量是有限资源，这时候我们就需要将局域网内的私有IP转换为公有IP才能让局域网用户正常上网，通常路由器已经兼备了网络地址转换（Network Addre ss Translation，NAT）的功能，window server 2008同样具备NAT功能。

扮演NAT角色的服务器建议使用独立服务器或域成员服务器，至少要安装两块网卡，为了便于区别，我们将这两块网卡分别命名为内网卡和外网卡并设置不同网段的IP地址。

图：1给内外网卡设置完IP地址以后，我们通过添加角色向导来部署NAT服务器。

第一：安装NATStep 1：选择服务器角色：网络策略和访问服务Step2: 选择角色服务，勾选路由和远程访问服务及其关联服务Step3：点击【安装】按钮，完成NAT服务的安装。

安装角色还是很简单的，接下来就是配置服务了。

图：4Step4：打开服务器管理器，展开【角色】选择下面的【网络策略和访问服务】，这时我们看到的【路由和远程访问服务】是被禁用的，显示的是一个红色停止标识，在右键菜单中点击【配置并启用路由和远程访问】，然后会弹出一个【路由和远程访问服务器安装向导】，微软的迷人之处就是会在每个命令选项后给出一个友好的提示窗口，依其提示step by step地做下去就OK了。

Step5：在配置窗口中勾选【网络地址转换】，配置VPN访问服务器也是从这个窗口开始的，我们会在以后的篇章中单独来说。

Step6：选择公用接口的网卡，知道为什么在开始的时候我们要给不同的网卡取名字的用处了吧，就是为了便于配置和管理。

Step7：完成配置.图：8在完成配置的窗口中有一个[摘要]信息需要注意，NAT服务器可以启用DNS中继和DHCP中继功能，但是其中继功能是依附DNS服务器和DHCP服务器，也就是说在网络中我们需要部署独立的DNS服务器和DHCP服务器，否则我们虽然开启了其中继功能，客户端却无法获得正确IP地址，仍不能正常访问互联网第二：管理NAT配置完NAT服务器以后，接下来的当然就是管理了，不过NAT服务器的管理比较简单，在左侧的导航视图中，我们展开IPv4就可以看到相关的几个选项：常规、静态路由、IGMP、NAT，如果没有特殊需求，这几个选项的配置就不需要调整了。

第11章Windows Server 2008路由和NAT 内容：↘路由的概念↘将Windows Server 2008配置成路由器↘配置静态路由↘理解动态路由↘NAT的概念↘配置内网使用NA T访问连接Internet↘配置端口映射允许Internet用户访问内网Web站点↘配置端口映射允许Internet用户访问内网远程桌面很多企业使用Windows Server作为连接Internet和内网的服务器。

内网通常使用私网地址，为了使使用私网地址的内网能够访问Internet，需要在Windows Server上配置NAT和路由。

本章主要介绍路由的配置以及网络地址转换NA T技术。

11.1 路由的概念路由是指路由器从一个接口上收到数据包（IP数据报），根据数据包的目的IP地址进行定向并转发到下一个接口的过程。

在此过程中需要用到一个重要的网络设备，即路由器（Router）。

路由器是工作在网络层的一个硬件设备，它根据收到的数据包的目的IP地址及路由器内部维护的路由表决定输出端口以及下一跳地址，并且重写链路层数据包头实现转发数据包。

路由器并不关心互联网上成千上万的主机，它只关心通向每个网段的最佳路径。

要完成对数据包的路由，一个路由器必须至少了解以下内容。

↘目的IP地址↘相邻路由器，并可以从那里获得远程网络的信息↘到达每个远程网络的最佳路由↘如何维护并验证路由信息路由器可以从相邻的路由器或从管理员那里得到关于远程网络的信息。

之后，路由器需要建立一个描述如何到达远程网络的路由表。

如果网络是直接与路由器相连的（直连的网络），那么路由器会自动检测并知道如何到达这个网络。

如果网络没有直接与它相连，路由器必须通过学习来了解如何到达这个远程网络。

路由器构建路由表的方法有以下两种。

↘静态路由方式静态路由方式，即由管理员来手动配置路由表的方式。

用此种方式配置的路由表，除非管理员干预，否则路由表不会发生变化。

↘动态路由方式在动态路由中，在一个路由器上运行的路由协议将与相邻路由器上运行的相同协议之间进行通信，然后这些路由器会更新各自对整个网络的认识并将这些信息加入到路由表中去。

17.1 网络访问保护的重要性 2010-03-18 20:04 吕政周电子工业出版社我要评论(0)∙摘要：《Windows Server 2008系统管理员实用全书》第17章配置与实现网络访问保护，网络访问保护是一个以客户端计算机的识别，以及符合企业管理策略为控制访问网络资源基础的新平台及解决方案。

本节为大家介绍网络访问保护的重要性。

∙标签：Windows Server系统管理员Windows Server 2008系统管理员实用全书∙第17章配置与实现网络访问保护网络访问保护是一个以客户端计算机的识别，以及符合企业管理策略为控制访问网络资源基础的新平台及解决方案。

网络访问保护允许网络管理员根据"客户端是谁"、"客户端隶属于某个组"，以及"客户端符合企业管理策略的程度"来定义网络访问的细节等级。

如果客户端不符合管理策略，那么网络访问保护则提供一个机制，自动促使客户端修改成符合管理策略，并动态增加该台计算机网络访问的等级。

17.1 网络访问保护的重要性对于网络管理人员来说，必须确认接入企业网络的所有计算机都是否更新为最新的系统状态，以及符合企业的"健康策略（Health Policy）"需求，这是一个非常耗费时间的挑战。

如果没有注意连接到企业网络的计算机其更新状态是否保持为最新，则是最常见到危害网络完整性的问题之一。

如果用户没有更新其"操作系统更新（Operating System Updates）"与防病毒软件代码更新为最新状态，则企业的网络将暴露于网络攻击与恶意软件（例如网络病毒）感染的风险之中。

Windows Server 2008与Windows Vista的NAP提供程序与"应用程序编程界面（API）"以协助管理人员设置，当用户执行网络访问或通信时，可强制其遵守企业网络计算机健康管理策略。

路由器NAT功能介绍及配置在互联网时代，路由器作为网络连接的核心设备之一，其功能日渐强大。

其中，网络地址转换（NAT）功能是路由器的一个重要特性，它可以为家庭或企业网络提供更加安全和高效的网络连接。

本文将介绍NAT功能的原理、作用以及如何在路由器上配置NAT功能。

一、NAT功能的原理NAT是一种在网络层面上进行地址转换的技术，它主要用于将内部私有IP地址转换为外部公共IP地址，从而实现多个内部设备共享一个公共IP地址的功能。

NAT功能通过修改数据包的源IP地址和目标IP 地址来实现地址转换，同时实现了对网络中的流量控制和数据过滤。

二、NAT功能的作用1. IP地址转换：NAT功能可以将内部网络中的私有IP地址映射为公共IP地址，实现与外部网络的通信。

这样，多个内部设备可以通过一个公共IP地址访问互联网，节约了IP地址资源并提高了网络的安全性。

2. 网络安全保护：通过NAT功能，内部设备的真实IP地址被路由器隐藏起来，对外部网络隐藏了内部网络的拓扑结构，提高了网络的安全性。

外部网络无法直接访问内部设备，需要经过NAT转换才能进行通信，从而有效防止了外部入侵。

3. 流量控制与数据过滤：NAT功能可以根据设定的规则来进行流量控制和数据过滤。

通过配置端口映射和转发规则，可以实现特定数据包的快速转发和过滤，提高网络的传输效率。

三、NAT功能的配置步骤以下是在常见路由器上配置NAT功能的步骤：1. 进入路由器的管理界面：打开浏览器，在地址栏输入默认网关IP 地址（通常为192.168.1.1或192.168.0.1），回车键进入登录界面。

2. 登录路由器：输入管理员账号和密码登录路由器管理界面。

3. 找到NAT功能配置选项：在路由器管理界面中找到“NAT”或“网络设置”等相关选项，点击进入NAT功能配置界面。

4. 配置内外网IP地址：在NAT配置界面中，设置内网和外网的IP 地址。

通常情况下，内网IP地址是私有IP地址，外网IP地址是由互联网服务提供商分配的公共IP地址。