第11章WindowsServer路由和NAT.docx

1、第11章WindowsServer路由和NAT第11章 Windows Server 2008路由和NAT内容： 路由的概念 将Windows Server 2008配置成路由器 配置静态路由 理解动态路由 NAT的概念 配置内网使用NAT访问连接Internet 配置端口映射允许Internet用户访问内网Web站点 配置端口映射允许Internet用户访问内网远程桌面很多企业使用Windows Server作为连接Internet和内网的服务器。内网通常使用私网地址，为了使使用私网地址的内网能够访问Internet，需要在Windows Server上配置NAT和路由。本章主要介绍路由的配

2、置以及网络地址转换NAT技术。11.1 路由的概念路由是指路由器从一个接口上收到数据包（IP数据报），根据数据包的目的IP地址进行定向并转发到下一个接口的过程。在此过程中需要用到一个重要的网络设备，即路由器（Router）。路由器是工作在网络层的一个硬件设备，它根据收到的数据包的目的IP地址及路由器内部维护的路由表决定输出端口以及下一跳地址，并且重写链路层数据包头实现转发数据包。路由器并不关心互联网上成千上万的主机，它只关心通向每个网段的最佳路径。要完成对数据包的路由，一个路由器必须至少了解以下内容。 目的IP地址 相邻路由器，并可以从那里获得远程网络的信息 到达每个远程网络的最佳路由 如何维

3、护并验证路由信息路由器可以从相邻的路由器或从管理员那里得到关于远程网络的信息。之后，路由器需要建立一个描述如何到达远程网络的路由表。如果网络是直接与路由器相连的（直连的网络），那么路由器会自动检测并知道如何到达这个网络。如果网络没有直接与它相连，路由器必须通过学习来了解如何到达这个远程网络。路由器构建路由表的方法有以下两种。 静态路由方式静态路由方式，即由管理员来手动配置路由表的方式。用此种方式配置的路由表，除非管理员干预，否则路由表不会发生变化。 动态路由方式在动态路由中，在一个路由器上运行的路由协议将与相邻路由器上运行的相同协议之间进行通信，然后这些路由器会更新各自对整个网络的认识并将这些

4、信息加入到路由表中去。如果网络拓扑发生了变化，动态路由协议将自动地将这个变化通知给所有的路由器。在一个大型网络中，典型的方式就是同时使用静态路由和动态路由。下面我们以图11-1为例，介绍主机A需要与不同网络上的主机B进行通信时的过程。图11-1 通信过程在这个示例中，主机A上的某个用户ping主机B的IP地址。具体操作过程如下。1. 主机A上的因特网控制报文协议（ICMP）将创建一个回应请求数据包。2. ICMP将把这个有效负荷交给因特网协议（IP），然后IP协议会创建一个数据包。这时这个数据包将包含源IP地址、目的IP地址和值为01H的协议字段。在本例中，当数据包到达目的地时，所有这些内容会

5、告诉接收方主机，它应该将这个有效负荷交给ICMP处理。3. 一旦数据包被创建，IP协议将判断目的IP地址是处在本地网络中，还是处在一个远程网络中。4. 由于IP协议断定这是一个远程请求，这个数据需要被发送到默认网关，这样这个数据包才会被路由到远程网络。在Windows 中的路由表将被使用以查找主机A配置的默认网关。5. 由于主机A的默认网关被配置为172.16.0.1，要能够发送这个数据包到默认网关，必须要知道路由器E0的硬件地址。因为只有这样数据包才可以被下传给数据链路层，且合并成帧，然后发送给路由器与172.16.0.1网络连接端口。6. 检查ARP缓存，查看默认网关的IP地址是否已经解析

6、为硬件地址。如果已经被解析，数据包将被传送到数据链路层且合并成帧。如果这个硬件地址在主机A的ARP缓存中尚未被解析，一个ARP广播将被发送到本地网络，以搜索172.16.0.1的硬件地址。路由器会响应这个请求并提供E0的硬件地址，接着主机A将缓存这个地址。同时路由器也会缓存主机A的硬件地址到ARP缓存中。7. 一旦这个数据包和目的方的硬件地址被交付给数据链路层，一个数据帧将会产生。在这个帧中包含有目的主机和源主机的硬件地址，及以太网类型字段。在这个帧的结尾处是被称为帧校验序列的字段，它是装载循环冗余校验计算值的区域。8. 一旦帧封装完成，这个帧将被交付到物理层，以一次一位的方式发往物理媒体。9

7、. 此冲突域中的每个设备将接收这些位并重建成帧。它们每个都将运行CRC并核对保存在FCS字段中的内容。如果这两个值不相匹配，此帧将被丢弃。如果这个CRC值相吻合，然后会检查目的主机的硬件地址是否也匹配，如果它是匹配的（本例中就是路由器的E0口是匹配的），那么路由器将查看以太网类型字段，以了解在网络层上使用的协议。10. 数据包将从帧中抽出，然后这个帧剩下的部分将被丢弃。数据包将被传送给在以太网类型字段中列出的上层协议，在这里是传递给IP协议。11. IP会接收这个数据包，并检查其目的IP地址。由于数据包的目的地址与接收路由器所配置的任一地址不匹配，路由器将会在路由表中查看目的IP网络的地址。1

8、2. 此路由表中必须包含有网络172.16.2.0的表项，否则此数据包将立即丢弃。13. 如果路由器的确在它的路由表中查找到了到172.16.2.0目的方的网络，下一跳需要给172.16.1.2，数据包将被交换到输出接口。在本例中，是S0接口。14. 路由器将此数据包转发到S0的缓冲区。然后使用路由器A的S0接口的硬件地址作为该帧的源MAC地址和路由器B的S0接口的硬件地址作为该帧的目的MAC地址，发送该帧到路由器B的S0口。15. 路由器B再次检测路由表，将数据帧从E0发送给目的主机。路由器将修改该帧的MAC地址，以路由器B的E0的MAC地址为源地址，主机B的硬件地址为目标MAC地址，发送到

9、主机B。16. 主机B会接收到此帧并立即运行CRC。如果运算结果与FCS字段中的内容相匹配，将检查这个目的主机的硬件地址。如果是匹配的，随后将检查以太网类型字段中的值，以判断应该将数据包上传给网络层的什么协议。17. 在网络层，IP会接收这个数据包并检查其目的方的IP地址。由于它们也是匹配的，将检查数据包的协议字段以了解此有效负荷应该交付给谁。18. 此有效负荷会交付给ICMP，它将知道这是一个回应请求。ICMP会应答这个请求，通过即刻丢弃这个数据包并随后产生一个新的有效负荷作为回应应答。19. 以同样的方式数据被送往主机A。11.2 路由和NAT技术简介 一个路由器到底是如何将数据包转发到远

10、程网络的呢？路由器只能够通过查看路由表来转发数据包，而我们刚放入网络中的路由器的路由表中只包含有直接相连的网络的信息。那么，当路由器接收到一个目的IP地址未在此路由表中列出的数据包时会发生什么情况呢？此时路由器并不会发送一个广播来查找远程网络的方位，而只是将这个数据包丢弃。因此，在没有完成对路由器的配置之前，它还不能正确地工作。下面介绍几种不同的配置方式（路由类型），可以将网络中所有的网段都包含到路由表中，从而保证对数据包的正确转发。共有三种不同的路由类型，分别是静态路由、默认路由和动态路由。下面将首先给出静态路由的描述和实现。11.2.1 静态路由当以手工的方式将路由添加到每台路由器的路由表

11、中去时，这种方式就是静态路由。同所有的路由过程一样，静态路由也是既有优点也有缺点。静态路由具有以下优点。 使用静态路由，路由器的CPU没有管理性开销，这意味着可以购买更为便宜的路由器。 静态路由在路由器之间没有带宽占用，这意味着在WAN连接中可以节省更多的带宽。 静态路由增加了安全性，因为管理员可以有选择地允许路由器只访问特定的网络。静态路由具有以下缺点。 管理员必须真正地了解所配置的互联网络，以及每台路由器应该如何正确地连接以正确配置这些路由。 如果某个网络加入到互联的网络中，管理员必须在所有的路由器上通过人工的方式添加对它的路由。 对于大型的网络来说，当网络拓扑发生变化时，配置静态路由会导

12、致巨大的工作量。11.2.2 默认路由默认路由是一种特殊的静态路由，指的是当路由表中与包的目的地址之间没有匹配的表项时路由器能够做出的选择。如果没有默认路由，那么目的地址在路由表中没有匹配表项的包将被丢弃。默认路由在某些时候非常有效，比如当存在末梢网络时，默认路由会大大简化路由器的配置，减轻管理员的工作负担，提高网络性能。如图11-2所示，如果将所有网络都接入Internet，在路由器B、路由器C和路由器D上，使用默认路由，可以大大减少路由表的条目。图11-2 默认路由以下是在各路由器上的配置。1. 在路由器C上，除了到内网的几个网段，就是到Internet的数据流量，因此在添加了到内网的静态

13、路由后，添加一条默认路由指向20.2.1.1即可。2. 路由器B和D处于网络末端，因此只需要添加一条默认路由即可。3. 路由器A除了到172.16.2.0和172.16.6.0的网段路由之外，添加一条默认路由到172.16.3.5即可。11.2.3 动态路由动态路由是指路由器能够自动地建立自己的路由表，并且能够根据实际情况的变化适时地进行调整。动态路由机制的运作依赖路由器的两个基本功能：对路由表的维护和路由器之间适时的路由信息交换。路由器之间的路由信息交换是基于路由协议实现的。交换路由信息的最终目的在于通过路由表找到一条数据交换的“最佳”路径。每一种路由算法都有其衡量“最佳”的一套原则。大多数

14、算法使用一个量化的参数来衡量路径的优劣，一般来说，参数值越小，路径越好。该参数可以通过路径的某一特性进行计算，也可以在综合多个特性的基础上进行计算。几个比较常用的特征是路径所包含的路由器结点数（Hop Count）、网络传输费用（Cost）、带宽（Bandwidth）、延迟（Delay）、负载（Load）、可靠性（Reliability）和最大传输单元（MTU）。典型的动态路由协议是RIP（Routing Information Protocol）。RIP应用较早，适用于小型同类网络，是典型的距离向量协议。RIP通过广播UDP报文来交换路由信息，每30秒发送一次路由信息更新。RIP提供跟踪计数

15、作为尺度来衡量路由距离。跟踪计数是一个数据包到达目标所必须经过的路由器的数目。如果到相同目标有两个不等速或不同带宽的路由器，但跟踪计数相同，则RIP认为两个路由是等距离的。RIP最多支持的跳数为15，即在源和目的网络间所要经过的路由器的数目最多为15，跳数16表示不可达。11.2.4 NAT网络地址转换（NAT，Network Address Translation）属于接入广域网（WAN）技术，是一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了IP地址不足的问题，而且还能够有效地避免来自网

16、络外部的攻击，隐藏并保护网络内部的计算机。借助于NAT，私有（保留）地址的“内部”网络通过路由器发送数据包时，私有地址被转换成合法的IP地址，一个局域网只需使用少量IP地址（甚至是1个）即可实现私有地址网络内所有计算机与Internet的通信需求。如图11-3所示，NAT可以运行在路由器或Windows Server上，它可以在每个数据包被转发到公网之前，将私网地址转换为公网地址。配置NAT之后，整个网络对外部世界表现为的一个单一地址。这样，可以有效地将内部网络从整个世界中很好地隐藏起来，它可以为网络提供一些必需的附加安全。图11-3 NAT示意图保留的私网地址如下表。保留的地址类地址范围A类

17、10.0.0.0-10.255.255.255B类172.16.0.0-172.31.255.255C类192.168.0.0-192.168.255.255下面介绍各种不同的NAT。 静态NAT。用于实现本地到全球地址的一对一映射。它需要为网络中的每一个主机申请一个合法的IP地址。 动态NAT。用于从一个指定的IP地址池中为未指定的IP地址映射一个指定的IP地址。不需要静态地配置路由器以静态NAT的方式来映射某个内部地址到外部地址。但是，必须拥有足够多的真实IP地址，来供每个想要向因特网发送并接收数据的用户使用。 PAT（Port Address Translation，端口地址转换）。这是

18、最为流行的NAT配置方式。PAT是动态NAT的一种，它通过使用不同的端口来映射多个未指定的IP地址到一个单一的指定的IP地址（多对一）。通过使用PAT，可以让上千的用户只使用一个合法的全球地址来连接到因特网上。11.2.5 端口映射内网（私有IP地址）的一台服务器需要对Internet上的用户开放服务或接收数据，需要在NAT网关上配置端口映射。图11-4 端口映射如图11-4所示，在NATServer计算机上有两块网卡，一个连接Internet，其IP地址为131.107.2.1，一个连接内网，其IP地址为192.168.1.1。为了让Internet上的用户能够访问到内网的WebServer

19、的网站，在NATServer上配置端口映射，将NATServer上的公网IP地址131.107.2.1的80端口映射到内网的192.168.1.5的80端口。这样Internet用户就能通过131.107.2.1的80端口访问到内网服务器WebServer上的网站。为了方便管理内网的WebServer，在NATServer上配置端口映射，将NATServer的公网IP地址131.107.2.1的4000端口映射到192.168.1.5的3389端口，这样网络管理员可以在家中使用远程桌面通过连接131.107.2.1的4000端口访问到内网的WebServer。11.3 本章环境 企业场景某公司

20、总部位于石家庄，分为办公区和服务器区。该公司在西安设有分公司，总公司与分公司之间通过互联网连接。现使用VMware创建虚拟机，使用Windows Server 2008配置路由器，来实现总公司及分公司之间的连接。其中，石家庄办公区位于VMNet1，172.17.10.0网段，而服务器区位于VMNet2，172.17.20.0网段，西安分公司位于VMNet3，172.17.30.0网段，互联网位于VMNet8，222.222.32.0网段。 企业要求实现总公司办公区和服务器区的连接。通过路由的方式实现总公司和分公司之间的连接。 本章网络环境图11-5 本章网络环境如图11-5所示，对本章用到的计

21、算机说明如下。SJZRAS安装Windows Server 2008企业版，有三块网卡，分别处于VMNet1、VMNet2和VMNet8。XARAS安装Windows Server 2008企业版，有两块网卡，分别处于VMNet3和VMNet8。Server安装Windows Server 2008企业版，处于VMNet2。SJZPC和XAPC安装Windows Server 2003 R2企业版，分别处于VMNet1和VMNet3。RemotePC安装Windows XP操作系统，处于VMNet8。11.4 配置Windows路由本节练习在SJZRAS和XARAS上配置路由，以实现总公司和分

22、公司之间的连通。11.4.1 在SJZRAS上配置路由在SJZRAS上安装和配置路由步骤如下。1. 如图11-6所示，右击“SJZRAS”，在弹出的快捷菜单中选择“Settings”。2. 如图11-7所示，在出现的“Virtual Machine Settings”对话框中，单击“Add”。 图11-6 Settings 图11-7 Add3. 如图11-8所示，在“Add Hardware Wizard”对话框中，选中“Network Adapter”，单击Next按钮。4. 如图11-9所示，在出现的对话框中，选中“Custom：Specify virtual network”，并在下拉

23、菜单中选择“VMNet1（Host-only）”，单击Finish按钮。通过这种方式给SJZRAS添加了一块网卡并将之放入VMNet1。 图11-8 Network Adapter 图11-9 放入VMnet15. 通过相同的方法再添加一块网卡，放入VMNet2。并将SJZRAS原来的网卡放入VMNet8。6. 如图11-10所示，选择“开始”“设置”“网络连接”命令，打开网络连接。对SJZRAS上的三块网卡相应地重命名为VMNet1、VMNet2和VMNet8。7. 设置VMNet1的IP地址为172.17.10.1，如图11-11所示。 图11-10 三块网卡 图11-11 VMnet1的

24、IP地址8. 根据实验环境图，使用同样的方式设置VMNet2的IP地址。9. 设置VMNet8的IP地址如图11-12所示。图11-12 VMnet8的IP地址10. 如图11-13所示，在SJZRAS上打开服务器管理器，单击“添加角色”按钮。11. 在“开始之前”对话框中单击“下一步”按钮。12. 如图11-14所示，在“选择服务器角色”对话框中勾选“网络策略和访问服务”复选框，单击“下一步”按钮。 图11-13 添加角色 图11-14 网络策略和访问服务13. 在“网络策略和访问服务”对话框中单击“下一步”按钮。14. 如图11-15所示，在“选择角色服务”对话框中选中“路由和远程访问服务

25、”，单击“下一步”按钮。图11-15 路由和远程访问服务15. 在“确认安装选择”对话框中单击“安装”按钮。16. 在“安装结果”对话框中单击“关闭”按钮。17. 选择“开始”“程序”“管理工具”“路由和远程访问”命令，打开路由和远程访问管理工具。18. 如图11-16所示，右击“SJZRAS（本地）”，在弹出的快捷菜单中选择“配置并启用路由和远程访问”命令。图11-16 配置并启用路由和远程访问19. 在出现的“欢迎使用路由和远程访问服务器安装向导”对话框中单击“下一步”按钮。20. 如图11-17所示，在“配置”对话框中选中“自定义配置”单选按钮，单击“下一步”按钮。21. 如图11-18

26、所示，在“自定义配置”对话框中选中“LAN路由”复选框，单击“下一步”按钮。 图11-17 自定义配置 图11-18 LAN路由22. 在“正在完成路由和远程访问服务器安装向导”对话框中单击“完成”按钮。在“路由和远程访问”对话框中单击“启动服务”按钮。23. 如图11-19所示，右击IPv4下面的“静态路由”，在弹出的快捷菜单中选择“显示IP路由表”命令。24. 如图11-20所示，可以看到，对于路由器直接连接的网段，不需要添加，就已经出现在路由表中了。 图11-19 显示IP路由表 图11-20 IP路由表25. 如图11-21所示，右击IPv4下面的“静态路由”，在弹出的快捷菜单中选择“

27、新建静态路由”命令。26. 如图11-22所示，在“IPv4静态路由”中添加到西安网段的路由如图所示，单击“确定”按钮。 图11-21 新建静态路由 图11-22 添加静态路由27. 再次查看路由表，如图11-23所示。图11-23 查看路由表11.4.2 在XARAS上配置路由在XARAS上安装和配置路由的步骤如下。1. 给XARAS添加一块网卡。将XARAS的两块网卡分别放入VMNet8和VMNet3，并相应地重命名这两块网卡为VMNet8和VMNet3。2. 根据实验环境图设置VMNet8和VMNet3的IP地址。3. 给XARAS添加“网络策略和访问服务”中的“路由和远程访问服务”角色

28、。4. 配置并启用XARAS的路由和远程访问服务，配置XARAS为“LAN路由”。5. 给XARAS添加到石家庄办公区的静态路由如图11-24所示。6. 给XARAS添加到石家庄服务器区的静态路由如图11-25所示。 图11-24 添加静态路由 图11-25添加静态路由7. 如图11-26所示，查看XARAS的路由表。图11-26 查看路由表11.4.3 在SJZPC上进行测试1. 根据实现环境图将Server、SJZPC和XAPC放于不同的VMNet，并设置其IP地址。2. 关闭Server的Windows防火墙，使用SJZPC ping Server，结果如图11-27所示。3. 使用SJ

29、ZPC ping XAPC，结果如图11-28所示。 图11-27 SJZPC ping Server 图11-28 SJZPC ping XAPC11.5 配置NAT启用NAT之后，使用私网地址的SJZPC就可以访问Internet了。本节练习在SJZRAS上配置NAT和端口映射。11.5.1 在SJZRAS上配置NAT在SJZRAS上配置NAT步骤如下。1. 如图11-29所示，在SJZRAS的路由和远程访问对话框中的“IPv4”下面，右击“常规”，在弹出的对话框中选择“新增路由协议”命令。2. 如图11-30所示，在出现的“新路由协议”对话框中选择“NAT”，点击“确定”按钮。 图11-

30、29 新增路由协议 图11-30 新增NAT协议3. 如图11-31所示，右击“NAT”，在弹出的快捷菜单中选择“新增接口”命令。4. 如图11-32所示，在出现的“IPNAT的新接口”对话框中，单击“VMNet8”，点击“确定”按钮。 图11-31 新增接口 图11-32 新增VMnet8接口5. 如图11-33所示，在“网络地址转换-VMNet8属性”对话框中，选中“公用接口连接到Internet”单选按钮，并勾选“在此接口上启用NAT”复选框，单击“确定”按钮。6. 如图11-34所示，再次右击“NAT”，选择“新增接口”，设置VMNet1的接口类型为“专用接口连接到专用网络”。 图11

31、-33 公用接口启用NAT 图11-34 专用接口7. 如图11-35所示，使用同样的方式，设置VMNet2的接口类型为“专用接口连接到专用网络”。图11-35 专用接口8. 在物理机上点击“开始”“设置”，右击“网络连接”，在弹出的快捷菜单中选择“打开”命令。9. 右击“本地连接”，在弹出的快捷菜单中选择“属性”命令。在“本地连接属性”对话框，切换到“高级”选项卡。10. 如图11-36所示，勾选“Internet连接共享”下的“允许其他网络用户通过此计算机的Internet连接来连接”，并在“家庭网络连接”下拉框中选择“VMware Network Adapter Vmnet8”，点击“确定”按钮。11. 设置VMnet8的IP地址为222.222.32.1，如图11-37所示。 图11-36 允许共享 图11-37 设置地址注意：此时就将本地连接共享给了虚拟网卡VMware Network Adapter VMnet8。只要物理机本地连接能够连上Internet，那么虚拟机的VMnet8就可以连上Internet。12. SJZRAS上ping 202.99.160.68，可以ping通，如