談談 Windows 2000 網路位址轉譯器 (NAT)

 

        網路位址轉譯器 (NAT) 就是一個以 RFC 1631 所定義的 IP 路由器,
該轉譯器會在轉寄封包時,轉譯其 IP 位址以及 TCP/UDP 的連接埠編號;
舉例說明,在一個擁有多部電腦需連接至 Internet 的小型商用網路環境中,
通常必須要向 Internet 服務供應商 (ISP) 替每一部要連線上網的電腦申請
分別申請所需的公用 IP 位址;但是,如果在公司內配置了 NAT,
小型企業就可以在其網路環境中使用私人定址 (如 RFC 1918 規範所述),並
可以使用 NAT 將多個私人位址映射至一或多個公用 IP 位址。

  

NAT 適用於下列需求的網路環境:

  • 想要保留使用單一的 Internet 連線,而不想同時將多部電腦連線至 Internet 的情況。
  • 想要使用私人位址設定的情況。
  • 想要在不部署 Proxy 伺服器的環境下存取 Internet 資源的情況。

網路位址轉譯的運作原理

如果小型企業使用 192.168.0.0 作為其 Intranet 的私人網路識別,並且已經向其 ISP 申請取得一個公用 IP 位址,則 NAT 會將網路 192.168.0.0 網路上所有要使用的私人 IP 位址對應至該 ISP 所指定的公用 IP 位址上。

當該小型企業 Intranet 中的某位私人使用者連線至 Internet 的資源時,該使用者的 TCP/IP 通訊協定會使用下列設定於 IP 和 TCP 或 UPD 標頭中的數值來建立其 IP 封包 (粗體字表示會受 NAT 所影響的欄位):

  • 目的地 IP 位址:Internet 資源 IP 位址
  • 來源 IP 位址:私人 IP 位址
  • 目的連接埠:Internet 資源 TCP 或 UDP 連接埠
  • 來源連接埠:來源應用程式 TCP 或 UDP 連接埠

此一 IP 封包會由來源主機或是經由另一部路由器轉寄給 NAT,NAT 會將該外送封包的位址轉譯如下:

  • 目的地 IP 位址:Internet 資源 IP 位址
  • 來源 IP 位址:由 ISP 所賦予的公用位址
  • 目的連接埠:Internet 資源 TCP 或 UDP 連接埠
  • 來源連接埠:重新映射的來源應用程式 TCP 或 UDP 連接埠

NAT 會將此重新映射的 IP 封包經由 Internet 送出;而回應端的電腦則會將其回應傳送至 NAT。當 NAT 接收到回應的訊息時,其封包中會包含下列資訊:

  • 目的地 IP 位址:由 ISP 所賦予的公用位址
  • 來源 IP 位址:Internet 資源的 IP 位址
  • 目的連接埠:重新映射的來源應用程式 TCP 或 UDP 連接埠
  • 來源連接埠:Internet 資源 TCP 或 UDP 連接埠

當 NAT 在映射和轉譯該位址,並將封包轉寄給 Intranet 用戶端時,會包含下列的位址資訊:

  • 目的地 IP 位址:私人 IP 位址
  • 來源 IP 位址:Internet 資源的 IP 位址
  • 目的連接埠:來源應用程式 TCP 或 UDP 連接埠
  • 來源連接埠:Internet 資源 TCP 或 UDP 連接埠

對於外送的封包而言,來源 IP 位址和 TCP/UDP 連接埠編號會映射至公用來源 IP 位址以及一個可變更的 TCP/UDP 連接埠編號;對於傳入的封包而言,目的地 IP 位址和 TCP/UDP 連接埠編號則會映射至私人 IP 位址以及原始的 TCP/UDP 連接埠編號。

私人對公用網路通訊的映射會儲存於 NAT 的轉譯表格中,該表格含有兩種類型的項目:

  1. 動態映射

    此一映射是當私人網路用戶端啟動與 Internet 位置進行通訊時所建立的;而存在於 NAT 轉譯表格中的動態映射,會於某特定時間之後予以移除。

  2. 靜態映射

    這是一個以手動設定的映射,以便將 Internet 用戶端所啟動的通訊映射至指定的私人網路位址以及連接埠;當您想要將私人網路中的伺服器 (例如,Web 伺服器) 或是應用程式 (例如,遊戲) 與位於連線於 Internet 上的電腦共用時,就會用到靜態映射的作法。靜態映射並不會從 NAT 轉譯表格中移除。

當 NAT 轉譯表格中存在有映射項目時,NAT 只會將來自 Internet 的通訊轉寄至私人網路中;藉由這種方式,NAT 同時也提供了私人網路區段中連線電腦某種層度的保護。但是,對於必須特別注重 Internet 安全性的環境而言,NAT 並不能取代具備完整安全防護功能的防火牆。

  

Windows 2000 NAT

Windows 2000 NAT 提供了 FTP、網際網路控制訊息通訊協定 (Internet Control Message Protocol, ICMP) 以及 PPTP 等通訊協定的編輯器;由於「IP 安全設定」(IPSec) 的通訊即使是使用編輯器也無法轉譯,所以私人網路中的電腦無法使用 L2TP/IPSec 與 Internet 上的 VPN 伺服器進行 VPN 連線

Windows 2000 NAT 會安裝成隨附於 Windows 2000 Server 中「路由及遠端存取」服務內的一個 IP 路由通訊協定元件;您可以使用「路由及遠端存取伺服器安裝精靈」來進行安裝,或是將其單獨安裝成網路位址轉譯 (NAT) 的 IP 路由通訊協定元件。基本上,Windows 2000 NAT 是專門為家用網路以及中小企業規模的組織所設計使用的。

設定

當您安裝了網路位址轉譯 (NAT) 路由通訊協定元件之後,您可以在其屬性中設定下列項目:

  • 設定要從 NAT 轉譯表格中移除 TCP 和 UDP 通訊動態映射的時間頻率 (轉譯 索引標籤)。
  • 指定除了初始連線要求連接埠以外,Internet 應用程式回應所要使用的連接埠 (轉譯 索引標籤)。
  • 啟用 DHCP 配置器和設定私人位址的範圍以及相關的例外條件 (位址指派索引標籤)。
  • 啟用 DNS Proxy 和選取指定撥號的介面 (名稱解析索引標籤)。

公用介面和私人介面

您必須指定新增至 NAT 路由通訊協定的介面要使用公用介面 (與 Internet 連線的單一介面和指定其公用位址),或是要使用私人介面 (使用私人位址與私人網路區段連線的介面)。

如果您的環境中存在有多個私人介面,最好不要啟動 DHCP 配置器;如果您啟動此一配置器,則會造成在另一個網路區段中以 DHCP 為基礎架構的私人電腦可以與 Internet 資源通訊,但相互之間卻無法通訊。

公用介面的設定

在公用介面中,您可以設定下列項目以指定相關作業的執行方式:

  • 是否要轉譯 TCP 和 UDP 的標頭 ([一般] 索引標籤)
  • 指定使用由 ISP 所提供的公用位址集區 (當您手中有多個公用 IP 位址時),以及所要保留的公用位址 ([位址集區] 索引標籤)
  • 指定允許 Internet 電腦啟動通訊所要使用的「靜態 NAT」轉譯表格映射 ([特定連接埠] 索引標籤)

Windows 2000 NAT 和 Internet 連線共用

Windows 2000 提供了一個簡化版的 NAT,名稱為「Internet 連線共用」(Internet Connection Sharing, ICS);您可以使用 [網路和撥號連線] 的連線屬性,在 [共用] 索引標籤中啟用 ICS 的服務功能。以下為 NAT 與 ICS 兩者之間的主要差異:

  • ICS 不允許對除了指定撥號連線以外的連線進行設定,亦不允許設定除了初始連線要求連接埠以外,Internet 應用程式回應所要使用的連接埠;您無法停用 ICS 的 DHCP 配置器,也無法停用其 DNS Proxy。因此,您將無法在 Active Directory 的環境中使用 ICS,也不可以在使用獨立 DHCP 伺服器的環境中使用。
  • ICS 只能支援單一私人網路區段,而 NAT 則可以支援多個私人網路區段。

設定 Windows 2000 NAT

若要執行「路由及遠端存取伺服器安裝精靈」設定 Windows 2000 NAT:

  1. 請按一下 [開始],依序選取 [程式集]、[系統管理工具],然後按一下 [路由及遠端存取]。
  2. 在您的伺服器名稱上按一下滑鼠右鍵,然後按 [設定和啟用路由及遠端存取]。
  3. 在 [一般設定] 中,按一下 [Internet 連線伺服器],然後按 [下一步]。
  4. 在 [Internet 連線伺服器設定] 中,請按一下 [使用網路位址轉譯 (NAT) 路由通訊協定設定路由器],然後按 [下一步]。
  5. 在 [Internet 連線] 中,按一下 [使用指定的 Internet 連線]。
  6. 按一下連線到 Internet 的介面 (即公用介面),然後按一下 [下一步]。
  7. 按一下 [完成]。
  8. 若要啟用 DHCP 配置器,請在 [網路位址轉譯 (NAT)] 中的 [IP 路由] 上按一下滑鼠右鍵,然後按 [屬性]。按一下 [位址指派] 索引標籤,然後按一下 [使用 DHCP 配置器自動指派 IP 位址]。
  9. 若要啟用 DNS Proxy,按一下 [解析度] 索引標籤,然後再按 [使用網域名稱系統 (DNS) 的用戶端]。

相關資訊