Windows Server 2012 第3版 課件 項(xiàng)目11 部署信息中心的NAT服務(wù)

項(xiàng)目11部署信息中心的NAT網(wǎng)絡(luò)服務(wù)項(xiàng)目學(xué)習(xí)目標(biāo)掌握NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）的概念與應(yīng)用。掌握靜態(tài)NAT、動(dòng)態(tài)NAT、靜態(tài)NAPT、動(dòng)態(tài)NAPT的工作原理與應(yīng)用。掌握ACL（訪問控制列表）的工作原理與應(yīng)用。掌握企業(yè)網(wǎng)出口設(shè)備NAT服務(wù)部署的業(yè)務(wù)實(shí)施流程。掌握企業(yè)網(wǎng)路由設(shè)備ACL功能部署的業(yè)務(wù)實(shí)施流程。項(xiàng)目描述項(xiàng)目分析項(xiàng)目分析相關(guān)知識(shí)項(xiàng)目任務(wù)目錄項(xiàng)目描述項(xiàng)目描述Jan16公司原先通過撥號(hào)接入Internet，并使用公司服務(wù)器為用戶提供Web服務(wù)。隨著公司業(yè)務(wù)系統(tǒng)和服務(wù)器數(shù)量的增加，公司向運(yùn)營(yíng)商租用了5個(gè)公網(wǎng)IP地址用于滿足公司網(wǎng)絡(luò)接入需求，并按業(yè)務(wù)需求增加了服務(wù)器，調(diào)整了網(wǎng)絡(luò)訪問策略，具體要求如下。允許公司所有部門計(jì)算機(jī)訪問外網(wǎng)。將部署在信息中心的公司門戶網(wǎng)站（:80）映射到外網(wǎng)（:80）。將部署在信息中心的FTP服務(wù)器（）映射到外網(wǎng)（）。禁止其他部門（含信息中心）計(jì)算機(jī)訪問財(cái)務(wù)部的財(cái)務(wù)系統(tǒng)服務(wù)器（），財(cái)務(wù)部服務(wù)器僅用于財(cái)務(wù)部?jī)?nèi)部通信。項(xiàng)目描述公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和各網(wǎng)絡(luò)IP地址情況如圖11-1所示。圖11-1公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和各網(wǎng)絡(luò)IP地址情況項(xiàng)目分析項(xiàng)目分析計(jì)算機(jī)要訪問Internet，首先需要獲得一個(gè)公網(wǎng)IP地址，目前大部分計(jì)算機(jī)訪問公網(wǎng)是通過撥號(hào)方式獲得一個(gè)公網(wǎng)IP地址，然后通過這個(gè)公網(wǎng)IP地址訪問Internet。當(dāng)前，常用的公網(wǎng)地址為IPv4，我國(guó)大約分配到3.4億個(gè)，因Internet用戶急劇增加，該地址目前已成為緊缺資源，為滿足更多的用戶接入Internet，NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)應(yīng)運(yùn)而生，它允許局域網(wǎng)（私網(wǎng)）共享一個(gè)或多個(gè)公網(wǎng)IP地址接入Internet，這樣既可以使普通計(jì)算機(jī)接入公網(wǎng)，還可以減少IPv4地址的使用量。在本項(xiàng)目中，公司申請(qǐng)了5個(gè)固定的公網(wǎng)IP地址，管理員可以使用NAT的各種技術(shù)類型來(lái)實(shí)現(xiàn)本項(xiàng)目的需求，具體涉及以下工作任務(wù)。部署動(dòng)態(tài)NAPT，實(shí)現(xiàn)公司計(jì)算機(jī)訪問外網(wǎng)。部署靜態(tài)NAPT，將公司門戶網(wǎng)站發(fā)布到Internet上。部署靜態(tài)NAT，將FTP服務(wù)器發(fā)布到Internet上。部署ACL，限制其他部門訪問財(cái)務(wù)部服務(wù)器。相關(guān)知識(shí)11.1

NATNAT的英文全稱是“Network

Address

Translation”，即“網(wǎng)絡(luò)地址轉(zhuǎn)換”，是一種把內(nèi)部私有網(wǎng)絡(luò)地址轉(zhuǎn)換成合法的外部公有網(wǎng)絡(luò)地址的技術(shù)。當(dāng)今的Internet使用TCP/IP實(shí)現(xiàn)了全世界計(jì)算機(jī)的互相通信，每一臺(tái)連入Internet的計(jì)算機(jī)要和其他的計(jì)算機(jī)通信，都必須擁有一個(gè)唯一的、合法的IP地址，此IP地址由網(wǎng)絡(luò)信息中心（

NIC）統(tǒng)一進(jìn)行管理和分配。NIC分配的IP地址是公有的、合法的IP地址，這些IP地址具有唯一

性，連入Internet的計(jì)算機(jī)只要擁有NIC分配的IP地址就可以和其他計(jì)算機(jī)進(jìn)行通信。但是，由于當(dāng)前常用的TCP/IP協(xié)議版本是IPv4，它具有天生的缺陷，即IP地址數(shù)量不夠多，難以滿足目前爆炸式增長(zhǎng)的IP地址需求。所以，不是每一臺(tái)計(jì)算機(jī)都能申請(qǐng)并獲得NIC分配的IP

地址。一般，需要連上Internet的個(gè)人或家庭用戶，通過因特網(wǎng)服務(wù)提供方（ISP）間接獲得合法的公有IP地址（例如，用戶通過ADSL線路撥號(hào)，從電信獲得臨時(shí)租用的公有IP地址）；大

型機(jī)構(gòu)可能直接向NIC申請(qǐng)并使用永久的公有IP地址，也可能通過ISP間接獲得永久或臨時(shí)的公有IP地址。11.1

NAT無(wú)論通過哪種方式獲得公有IP地址，實(shí)際上當(dāng)前的可用IP地址數(shù)量都依然不足。IP地址作為有限的資源，NIC為網(wǎng)絡(luò)中數(shù)以億計(jì)的計(jì)算機(jī)都分配公有IP地址是不可能的。同時(shí)，為了使計(jì)算機(jī)能夠具有IP地址并在專用網(wǎng)絡(luò)（內(nèi)網(wǎng)）中通信，NIC定義了供專用網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)使用的專用IP地址。這些IP地址是在局部使用的（非全局的、不具有唯一性）、非公有的（私有的）IP地址，其地址范圍具體如下。（1）A類IP地址：～55。（2）B類IP地址：～55。（3）C類IP地址：～55。組織機(jī)構(gòu)可根據(jù)自身園區(qū)網(wǎng)規(guī)模的大小以及計(jì)算機(jī)數(shù)量的多少來(lái)采用不同類型的專用地址范圍或者它們的組合。但是，這些IP地址不可能出現(xiàn)在Internet上，也就是說(shuō)，源地址或目的地址為專用IP地址的數(shù)據(jù)包不能在Internet上傳輸，這樣的數(shù)據(jù)包只能在內(nèi)部專用網(wǎng)絡(luò)中傳輸。11.1

NAT如果專用網(wǎng)絡(luò)的計(jì)算機(jī)要訪問Internet，則組織機(jī)構(gòu)在連接Internet的設(shè)備上至少需要設(shè)置一個(gè)公有IP地址，然后采用NAT技術(shù)，將內(nèi)部專用網(wǎng)絡(luò)的計(jì)算機(jī)的專用IP地址轉(zhuǎn)換為公有IP地址，

從而讓使用專用IP地址的計(jì)算機(jī)能夠和Internet的計(jì)算機(jī)進(jìn)行通信。如圖11-2所示，通過NAT設(shè)備，將專用網(wǎng)絡(luò)內(nèi)的專用IP地址和公有IP地址互相轉(zhuǎn)換，從而使專用網(wǎng)絡(luò)內(nèi)使用專用IP地址的

計(jì)算機(jī)能夠和Internet的計(jì)算機(jī)進(jìn)行通信。圖11-2

NAT地址轉(zhuǎn)換示意也可以說(shuō)，NAT就是將網(wǎng)絡(luò)地址從一個(gè)地址空間轉(zhuǎn)換到另一個(gè)地址空間的一種技術(shù)。從技術(shù)原理的角度來(lái)講，NAT分成四種類型：靜態(tài)NAT、動(dòng)態(tài)NAT、靜態(tài)NAPT及動(dòng)態(tài)NAPT。11.1

NAT1．靜態(tài)NAT靜態(tài)NAT是在路由器中將內(nèi)網(wǎng)IP地址固定地轉(zhuǎn)換為外網(wǎng)IP地址的技術(shù)，通常應(yīng)用在允許外網(wǎng)用戶訪問內(nèi)網(wǎng)服務(wù)器的場(chǎng)景。靜態(tài)NAT的工作過程如圖11-3所示。內(nèi)部專用網(wǎng)絡(luò)采用/24的C類專用地址，并采用帶有NAT功能的路由器和Internet互聯(lián)，路由器左邊的網(wǎng)卡連接內(nèi)部專用網(wǎng)絡(luò)（左邊網(wǎng)卡的IP地址是54/24），右邊的網(wǎng)卡連接Internet（右邊網(wǎng)卡的IP地址是/24），而且路由器還有多個(gè)公有IP地址可被轉(zhuǎn)換使用（～），Internet上的計(jì)算機(jī)C的IP地址是/24。假設(shè)外部公用網(wǎng)絡(luò)的計(jì)算機(jī)C需要和內(nèi)部專用網(wǎng)絡(luò)的計(jì)算機(jī)A通信，其通信過程如下。圖11-3靜態(tài)NAT的工作過程11.1

NAT第①步：計(jì)算機(jī)C發(fā)送數(shù)據(jù)包給計(jì)算機(jī)A，數(shù)據(jù)包的源IP地址（Source

Address，SA）為，目的IP地址（Destination

Address，DA）為（在外網(wǎng)中，計(jì)算機(jī)A的IP地址為）。第②步：數(shù)據(jù)包經(jīng)過路由器時(shí)，路由器將查詢本地的靜態(tài)NAT映射表，找到映射條目后將數(shù)據(jù)

包的目的IP地址（）轉(zhuǎn)換為內(nèi)部專用IP地址（），源IP地址保持不變。NAT路由器上有一個(gè)公有的IP地址池，在本次通信前，網(wǎng)絡(luò)管理員已經(jīng)在NAT路由器上設(shè)置了靜態(tài)

NAT地址映射關(guān)系，指定與映射。第③步：轉(zhuǎn)換后的數(shù)據(jù)包經(jīng)過在內(nèi)網(wǎng)中傳輸，最終被計(jì)算機(jī)A接收。第④步：計(jì)算機(jī)A收到數(shù)據(jù)包后，將響應(yīng)內(nèi)容封裝在目的IP地址為的數(shù)據(jù)包中，然后將該數(shù)據(jù)包發(fā)送出去。11.1

NAT第⑤步：目的IP地址為的數(shù)據(jù)包到達(dá)路由器后，路由器將對(duì)照自身的靜態(tài)NAT映射表，找出對(duì)應(yīng)關(guān)系，將源IP地址轉(zhuǎn)換為，然后將該數(shù)據(jù)包發(fā)送到外部公用網(wǎng)絡(luò)中。第⑥步：目的IP地址為的數(shù)據(jù)包在外部公用網(wǎng)絡(luò)中傳送，最終到達(dá)計(jì)算機(jī)C。計(jì)算機(jī)C通過數(shù)據(jù)包的源IP地址（）只能知道此數(shù)據(jù)包是路由器發(fā)送過來(lái)的，實(shí)際上，該數(shù)據(jù)包是計(jì)算機(jī)A發(fā)送的。靜態(tài)NAT主要用于專用網(wǎng)絡(luò)內(nèi)的服務(wù)器需要對(duì)外提供服務(wù)的場(chǎng)景，由于它采用固定的一對(duì)一的內(nèi)外網(wǎng)IP地址映射關(guān)系，因此，外網(wǎng)的計(jì)算機(jī)通過訪問這個(gè)外網(wǎng)IP地址就可以訪問內(nèi)網(wǎng)的服務(wù)器。11.1

NAT2．動(dòng)態(tài)NAT動(dòng)態(tài)NAT是將一個(gè)內(nèi)部IP地址轉(zhuǎn)換為一組外部IP地址池中的一個(gè)IP地址（公有地址）的技術(shù)。動(dòng)態(tài)NAT和靜態(tài)NAT在地址轉(zhuǎn)換上很相似，只是可用的公有IP地址不是被某個(gè)專用網(wǎng)絡(luò)的計(jì)算機(jī)永久獨(dú)自占有的。動(dòng)態(tài)NAT的工作過程如圖11-4所示。與靜態(tài)NAT類似，動(dòng)態(tài)NAT的路由器上有一個(gè)公有IP地址池，地址池中有四個(gè)公有IP地址：/24～/24。假設(shè)內(nèi)部專用網(wǎng)絡(luò)的計(jì)算機(jī)A需要和Internet的計(jì)算機(jī)C通信，其通信過程如下。圖11-4動(dòng)態(tài)NAT的工作原理11.1

NAT第①步：計(jì)算機(jī)A發(fā)送源IP地址為的數(shù)據(jù)包給計(jì)算機(jī)C。第②步：數(shù)據(jù)包經(jīng)過路由器時(shí)，路由器采用NAT技術(shù)，將數(shù)據(jù)包的源IP地址（）轉(zhuǎn)換為公有IP地址（）。為什么會(huì)轉(zhuǎn)換為？路由器上的地址池中有多個(gè)公有IP地址，當(dāng)需要進(jìn)行地址轉(zhuǎn)換時(shí)，路由器會(huì)在地址池中選擇一個(gè)未被占用的地址來(lái)進(jìn)行轉(zhuǎn)換。這里假設(shè)四個(gè)地址都未被占用，路由器挑選了第一個(gè)未被占用的地址。如果緊接著計(jì)算機(jī)A要發(fā)送數(shù)據(jù)包到Internet，則路由器會(huì)挑選第二個(gè)未被占用的IP地址（也就是）來(lái)進(jìn)行轉(zhuǎn)換。地址池中公有IP地址的數(shù)量決定了內(nèi)網(wǎng)計(jì)算機(jī)可以同時(shí)訪問Internet的計(jì)算機(jī)的數(shù)量，如果地址池中的IP地址都被占用，那么內(nèi)網(wǎng)的其他計(jì)算機(jī)就不能和Internet的計(jì)算機(jī)通信。當(dāng)內(nèi)網(wǎng)計(jì)算機(jī)和外網(wǎng)計(jì)算機(jī)的通信結(jié)束后，路由器將釋放被占用的公有IP地址，這樣，被釋放的IP地址則又可

以為其他內(nèi)網(wǎng)計(jì)算機(jī)提供公網(wǎng)接入服務(wù)。第③步：源地址為的數(shù)據(jù)包在Internet上轉(zhuǎn)發(fā)，最終被計(jì)算機(jī)C接收。第④步：計(jì)算機(jī)C收到源地址為的數(shù)據(jù)包后，將響應(yīng)內(nèi)容封裝在目的IP地址為的數(shù)據(jù)包中，然后將該數(shù)據(jù)包發(fā)送出去。11.1

NAT第⑤步：目的IP地址為數(shù)據(jù)包最終經(jīng)過路由轉(zhuǎn)發(fā)，到達(dá)連接專用網(wǎng)絡(luò)的路由器上，路由器對(duì)照自身的動(dòng)態(tài)NAT映射表，找出對(duì)應(yīng)關(guān)系，將目的IP地址為的數(shù)據(jù)包轉(zhuǎn)換為目的IP地址為的數(shù)據(jù)包，然后發(fā)送到內(nèi)部專用網(wǎng)絡(luò)中。第⑥步：目的IP地址為的數(shù)據(jù)包在專用網(wǎng)絡(luò)中傳送，最終到達(dá)計(jì)算機(jī)A。計(jì)算機(jī)A通過數(shù)據(jù)包的源IP地址（）可知道此數(shù)據(jù)包是Internet上的計(jì)算機(jī)C發(fā)送過來(lái)的。動(dòng)態(tài)NAT的內(nèi)外網(wǎng)映射關(guān)系為臨時(shí)關(guān)系，因此，它主要用于內(nèi)網(wǎng)計(jì)算機(jī)臨時(shí)對(duì)外提供服務(wù)的場(chǎng)景。考慮公司申請(qǐng)的公有IP地址的數(shù)量有限，而內(nèi)網(wǎng)計(jì)算機(jī)數(shù)量通常遠(yuǎn)大于公有IP地址數(shù)量，因此，它不適合為內(nèi)網(wǎng)計(jì)算機(jī)提供大規(guī)模上網(wǎng)服務(wù)場(chǎng)景，解決這類問題需要使用動(dòng)態(tài)NAPT。11.1

NAT3．動(dòng)態(tài)NAPT動(dòng)態(tài)NAPT是以IP地址及端口號(hào)（TCP或UDP協(xié)議）為轉(zhuǎn)換條件，將專用網(wǎng)絡(luò)的內(nèi)部專用IP地址及端口號(hào)轉(zhuǎn)換成外部公有IP地址及端口號(hào)的技術(shù)。在靜態(tài)NAT和動(dòng)態(tài)NAT中，都是“IP地址”到“IP地址”的轉(zhuǎn)換關(guān)系，而動(dòng)態(tài)NAPT，則是“IP地址+端口號(hào)”到“IP地址+端口號(hào)”的轉(zhuǎn)

換關(guān)系?！癐P地址”到“IP地址”的轉(zhuǎn)換關(guān)系局限性很大，因?yàn)楣W(wǎng)IP地址一旦被占用，內(nèi)網(wǎng)的其他計(jì)算機(jī)就不能再使用該公網(wǎng)IP地址訪問外網(wǎng)?！癐P地址+端口號(hào)”的轉(zhuǎn)換關(guān)系則非常靈活，一個(gè)IP地址可以和多個(gè)端口號(hào)進(jìn)行組合（自由使用的端口號(hào)有幾萬(wàn)個(gè)：1024～65

535），所以，路由器上可用的網(wǎng)絡(luò)地址映射關(guān)系條目數(shù)量有很多，完全可以滿足大量的內(nèi)網(wǎng)計(jì)算機(jī)訪問外網(wǎng)的需求。11.1

NAT動(dòng)態(tài)NAPT的工作過程如圖11-5所示。假設(shè)內(nèi)部專用網(wǎng)絡(luò)的計(jì)算機(jī)A要訪問外部公用網(wǎng)絡(luò)的服務(wù)器B的Web站點(diǎn)，其通信過程如下。第①步：計(jì)算機(jī)A發(fā)送數(shù)據(jù)包給服務(wù)器B。數(shù)據(jù)包的源IP地址為，源端口號(hào)為2000（2000是為一計(jì)算機(jī)A隨機(jī)分配的端口號(hào)）；數(shù)據(jù)包的目的IP地址為，目的端口號(hào)為80（Web服務(wù)器默認(rèn)端口號(hào)是80）。圖11-5動(dòng)態(tài)NAPT的工作過程11.1

NAT第②步：數(shù)據(jù)包經(jīng)過路由器時(shí)，路由器采用動(dòng)態(tài)NAPT技術(shù)，以“IP地址+端口號(hào)”的形式進(jìn)行

轉(zhuǎn)換。數(shù)據(jù)包的源IP地址及源端口號(hào)將從:2000轉(zhuǎn)換為:3000（3000是路由器隨機(jī)分配的端口號(hào)），目的IP地址及目的端口號(hào)不變，仍然指向服務(wù)器B的Web服務(wù)。轉(zhuǎn)換后的源IP地址為路由器在外網(wǎng)的接口IP地址，源端口號(hào)為路由器上未被使用的可分配端口號(hào)，這里假設(shè)為3000。第③步：轉(zhuǎn)換后的數(shù)據(jù)包在Internet上轉(zhuǎn)發(fā)，最終被服務(wù)器B接收。第④步：服務(wù)器B收到數(shù)據(jù)包后，將響應(yīng)內(nèi)容封裝在目的IP地址為，目的端口號(hào)為3000的數(shù)據(jù)包中（源IP地址及端口號(hào)為:80），然后將數(shù)據(jù)包發(fā)送出去。第⑤步：響應(yīng)的數(shù)據(jù)包最終經(jīng)過路由轉(zhuǎn)發(fā)，到達(dá)連接專用網(wǎng)絡(luò)的路由器上，路由器對(duì)照動(dòng)態(tài)NAPT映射表，找出對(duì)應(yīng)關(guān)系，將目的IP地址及端口號(hào)為:3000的數(shù)據(jù)包轉(zhuǎn)換為目的IP地址及端口號(hào)為:2000的數(shù)據(jù)包，然后發(fā)送到內(nèi)部專用網(wǎng)絡(luò)中。11.1

NAT第⑥步：目的IP地址及端口號(hào)為:2000的數(shù)據(jù)包在內(nèi)部專用網(wǎng)絡(luò)中傳送，最終到達(dá)計(jì)算機(jī)A。計(jì)算機(jī)A通過數(shù)據(jù)包的源IP地址及端口號(hào)（:80）知道此數(shù)據(jù)包是外部專用網(wǎng)絡(luò)的服務(wù)器B發(fā)送過來(lái)的。動(dòng)態(tài)NAPT的內(nèi)外網(wǎng)“IP地址+端口號(hào)”映射關(guān)系是臨時(shí)性的，因此，它主要應(yīng)用在為內(nèi)網(wǎng)計(jì)算機(jī)提供外網(wǎng)訪問服務(wù)的場(chǎng)景。典型的應(yīng)用有：家庭的寬帶路由器擁有動(dòng)態(tài)NAPT功能，它可以

滿足家庭電子設(shè)備訪問Internet的需求；網(wǎng)吧的出口網(wǎng)關(guān)也擁有動(dòng)態(tài)NAPT功能，它可以滿足網(wǎng)吧計(jì)算機(jī)訪問Internet的需求。11.1

NAT4．靜態(tài)NAPT靜態(tài)NAPT是在路由器中以“IP地址+端口號(hào)”形式，將內(nèi)網(wǎng)IP地址及端口號(hào)固定地轉(zhuǎn)換為外網(wǎng)IP地址及端口號(hào)的技術(shù)，應(yīng)用在允許外網(wǎng)用戶訪問內(nèi)網(wǎng)計(jì)算機(jī)特定服務(wù)的場(chǎng)景。靜態(tài)NAPT的工作工程如圖11-6所示。假設(shè)外部專用網(wǎng)絡(luò)的計(jì)算機(jī)B需要訪問內(nèi)部專用網(wǎng)絡(luò)的服務(wù)器A的Web站點(diǎn)，其通信過程如下。圖11-6靜態(tài)NAPT的工作原理11.1

NAT第①步：計(jì)算機(jī)B發(fā)送數(shù)據(jù)包給服務(wù)器A。數(shù)據(jù)包的源IP地址為，源端口號(hào)為2000；數(shù)據(jù)包的目的IP地址為，目的端口號(hào)為80（Web服務(wù)器默認(rèn)端口號(hào)是80）。第②步：數(shù)據(jù)包經(jīng)過路由器時(shí)，路由器查詢靜態(tài)NAPT映射表，找到對(duì)應(yīng)的映射條目后，數(shù)據(jù)

包的目的IP地址及目的端口號(hào)將從:80轉(zhuǎn)化為:80，源IP地址及源端口號(hào)不變。這里轉(zhuǎn)換后的目的IP地址為內(nèi)網(wǎng)服務(wù)器A的IP地址，目的端口號(hào)為服務(wù)器A的Web服務(wù)端口號(hào)。第③步：轉(zhuǎn)換后的數(shù)據(jù)包在內(nèi)部專用網(wǎng)絡(luò)上轉(zhuǎn)發(fā)，最終被服務(wù)器A接收。第④步：服務(wù)器A收到數(shù)據(jù)包后，響應(yīng)內(nèi)容封裝在目的IP地址為，目的端口號(hào)為2000的數(shù)據(jù)包中，然后將數(shù)據(jù)包發(fā)送出去。第⑤步：響應(yīng)數(shù)據(jù)包經(jīng)過路由轉(zhuǎn)發(fā)，將到達(dá)路由器上，路由器對(duì)照靜態(tài)NAPT映射表，找出對(duì)應(yīng)關(guān)系，將源IP地址及端口號(hào)為:80的數(shù)據(jù)包轉(zhuǎn)換為源IP地址及端口號(hào)為:80的數(shù)據(jù)包，然后發(fā)送到Internet中。11.1

NAT第⑥步：目的IP地址及端口號(hào)為:2000的數(shù)據(jù)包在Internet中傳送，最終到達(dá)計(jì)算機(jī)B。計(jì)算機(jī)B通過數(shù)據(jù)包的源IP地址及端口號(hào)（:80）知道這是它訪問Web服務(wù)的響應(yīng)數(shù)據(jù)

包。但是，計(jì)算機(jī)B并不知道Web服務(wù)其實(shí)是由內(nèi)部專用網(wǎng)絡(luò)的服務(wù)器A提供的，它只知道這個(gè)

Web服務(wù)是由Internet上的IP地址為的機(jī)器提供的。靜態(tài)NAPT的內(nèi)外網(wǎng)“IP地址+端口號(hào)”映射關(guān)系是永久性的，因此，它主要應(yīng)用在內(nèi)網(wǎng)服務(wù)器的指定服務(wù)（如Web、FTP等）向外網(wǎng)提供服務(wù)的場(chǎng)景。典型的應(yīng)用有：公司將內(nèi)網(wǎng)的門戶網(wǎng)站映射到公網(wǎng)IP地址的80端口上，滿足Internet用戶訪問公司門戶網(wǎng)站的需求。11.2

訪問控制列表路由器不僅用于實(shí)現(xiàn)多個(gè)局域網(wǎng)的互聯(lián)，其在數(shù)據(jù)包的存儲(chǔ)轉(zhuǎn)發(fā)中還可以通過過濾特定的數(shù)據(jù)包實(shí)現(xiàn)網(wǎng)絡(luò)安全訪問控制、流量控制等功能。訪問控制列表可以針對(duì)數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、端口號(hào)等條件設(shè)置匹配規(guī)

則。訪問控制列表由若干條規(guī)則組成，也被稱為接入控制列表，每一個(gè)接入控制列表都聲明了滿足該表項(xiàng)的匹配條件及行為。通過建立ACL，可保證網(wǎng)絡(luò)資源不被非法用戶訪問，還可以限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能，對(duì)通信流量起到控制的作用。在路由器的端口上配置ACL后，可以對(duì)入站端口和出站端口的數(shù)據(jù)包進(jìn)行安全檢測(cè)，下面通過兩個(gè)案例進(jìn)行說(shuō)明。11.2

訪問控制列表案例1：在如圖11-7所示的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中，工資管理系統(tǒng)服務(wù)器的數(shù)據(jù)屬于機(jī)密性數(shù)據(jù)的，公司僅允許財(cái)務(wù)主管和人事主管的計(jì)算機(jī)可以訪問它。圖11-7案例1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)11.2

訪問控制列表管理員可以創(chuàng)建一個(gè)如圖11-8所示的針對(duì)路由器端口1的入站訪問控制列表，路由器在端口1根據(jù)入站規(guī)則對(duì)所有請(qǐng)求訪問工資管理系統(tǒng)服務(wù)器的數(shù)據(jù)包進(jìn)行匹配，人事主管的計(jì)算機(jī)HRPC

和財(cái)務(wù)主管的計(jì)算機(jī)CWPC滿足圖11-8中的兩條篩選器匹配規(guī)則，根據(jù)篩選器操作規(guī)則（匹配

行為）允許其訪問Server1；普通員工的計(jì)算機(jī)PC1因不滿足匹配條件，根據(jù)篩選器操作規(guī)則

將丟棄請(qǐng)求數(shù)據(jù)包（拒絕訪問）。這里需要特別注意的是，在篩選規(guī)則中，因?yàn)樵吹刂泛湍繕?biāo)地址都是指向一臺(tái)計(jì)算機(jī)的，源網(wǎng)站所以掩碼均采用55。圖11-8路由器端口1的入站篩選規(guī)則11.2

訪問控制列表案例1是一個(gè)將ACL應(yīng)用到入站方向的例子，篩選器規(guī)則為【丟棄所有的數(shù)據(jù)包，滿足下面條

件的除外】。當(dāng)設(shè)備端口收到數(shù)據(jù)包時(shí)，首先確定ACL是否被應(yīng)用到了該端口，如果沒有，則正常轉(zhuǎn)發(fā)該數(shù)據(jù)包。如果有，則處理ACL，從第一條語(yǔ)句開始，將條件和數(shù)據(jù)包內(nèi)容進(jìn)行比

較，如果沒有匹配，則處理列表中的下一條語(yǔ)句，如果匹配，則接收該數(shù)據(jù)包，如果在整個(gè)列表中都沒有找到匹配的規(guī)則，則丟棄該數(shù)據(jù)包，流程如圖11-9所示。圖11-9入站篩選ACL（默認(rèn)拒絕）流程圖11.2

訪問控制列表根據(jù)案例1，我們可以得到入站篩選規(guī)則為【接收所有數(shù)據(jù)包，滿足下面條件的除外】的流程，如圖11-10所示。圖11-10入站篩選ACL（默認(rèn)允許）流程11.2

訪問控制列表案例2：在如圖11-11所示的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中，公司在服務(wù)器1上提供FTP服務(wù)和Web服務(wù)，其中，Web服務(wù)用于提供公司客戶關(guān)系系統(tǒng)（Web服務(wù)使用默認(rèn)端口發(fā)布）?；诎踩紤]，對(duì)于Web服務(wù)：公司不允許生產(chǎn)部計(jì)算機(jī)訪問該客戶關(guān)系系統(tǒng)，其他部門則不受限制。對(duì)于FTP服務(wù)：所有部門都可以訪問。圖11-11案例2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)11.2

訪問控制列表管理員可以創(chuàng)建一個(gè)如圖11-12所示的針對(duì)路由器端口3的出站訪問控制列表，這時(shí)路由器R1在端口3根據(jù)出站規(guī)則對(duì)所有請(qǐng)求訪問服務(wù)器1的數(shù)據(jù)包進(jìn)行匹配。圖11-12路由器端口3的出站篩選規(guī)則11.2

訪問控制列表生產(chǎn)部計(jì)算機(jī)訪問服務(wù)器1的Web服務(wù)時(shí)，因不滿足匹配規(guī)則，根據(jù)篩選器操作規(guī)則將丟棄請(qǐng)求數(shù)據(jù)包（拒絕訪問），而訪問FTP服務(wù)時(shí)，因滿足匹配規(guī)則，根據(jù)篩選器操作規(guī)則將允許訪問；業(yè)務(wù)部計(jì)算機(jī)和人事部計(jì)算機(jī)訪問服務(wù)器1時(shí)，因滿足匹配規(guī)則，根據(jù)篩選器操作規(guī)則將允許訪問服務(wù)器1。該案例也可以運(yùn)用入站篩選規(guī)則，讀者可以思考一下如何設(shè)計(jì)入站篩選ACL。11.2

訪問控制列表案例2是一個(gè)將ACL應(yīng)用到出站方向的例子，篩選器規(guī)則為【傳輸所有除符合下列條件以外的數(shù)據(jù)包】，流程如圖11-13所示。圖11-13出站篩選ACL（默認(rèn)拒絕）流程11.2

訪問控制列表同理，圖11-14所示為篩選規(guī)則為【丟棄所有數(shù)據(jù)包，滿足下面的條件除外】的流程。圖11-14出站篩選ACL（默認(rèn)允許）流程11.2

訪問控制列表通過案例1和案例2可以了解到Windows

Server

2012

R2的訪問控制列表是通過應(yīng)用在物理接口上的入站篩選器和出站篩選器來(lái)實(shí)現(xiàn)的。無(wú)論哪種篩選器，對(duì)于每個(gè)訪問控制列表，都可以建立多個(gè)訪問控制條目，這些條目定義了匹配數(shù)據(jù)包所需要的條件。這些條件可以是協(xié)議號(hào)、源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)或者是它們的組合。當(dāng)數(shù)據(jù)包通過路由器接口時(shí)，篩選器從上至下掃描訪問控制條目，只要數(shù)據(jù)包的特征條件符合訪問控制條目中定義的條件，就可以匹配成功并應(yīng)用相應(yīng)操作（拒絕或允許數(shù)據(jù)包通過）。應(yīng)用操作后，篩選器不再對(duì)數(shù)據(jù)包進(jìn)行匹配操作，也就是說(shuō)，當(dāng)前的訪問控制條目已經(jīng)和數(shù)據(jù)包匹配，篩選器不再處理剩下的訪問控制條目。部署動(dòng)態(tài)NAPT，實(shí)現(xiàn)公司計(jì)算機(jī)訪問外網(wǎng)任務(wù)規(guī)劃公司申請(qǐng)了5個(gè)固定的公網(wǎng)IP地址用于接入Internet，為滿足公司計(jì)算機(jī)接入外網(wǎng)，公司要求網(wǎng)絡(luò)管理員在出口路由器上部署動(dòng)態(tài)NAPT，實(shí)現(xiàn)公司計(jì)算機(jī)訪問外網(wǎng)。信息中心網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖11-15所示。圖11-15信息中心網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)任務(wù)規(guī)劃按項(xiàng)目實(shí)施策略，公司先在信息中心進(jìn)行部署測(cè)試，通過后再部署到其他部門。路由器的動(dòng)態(tài)NAPT功能可以實(shí)現(xiàn)內(nèi)網(wǎng)計(jì)算機(jī)共享路由器的公網(wǎng)IP地址來(lái)訪問外網(wǎng)，因此，網(wǎng)絡(luò)管理員可以在路由器上安裝NAT服務(wù)，并配置動(dòng)態(tài)NAPT服務(wù)，就可以實(shí)現(xiàn)信息中心的計(jì)算機(jī)訪問外網(wǎng)。在Windows

Server

2012

R2上部署動(dòng)態(tài)NAPT的主要步驟如下。安裝NAT服務(wù)。配置動(dòng)態(tài)NAPT服務(wù)。任務(wù)實(shí)施1．安裝NAT服務(wù)（1）在【服務(wù)器管理器】窗口中，單擊【添加角色和功能】鏈接，如圖11-16所示。圖11-16【服務(wù)器管理器】窗口任務(wù)實(shí)施在【安裝類型】界面中，選擇【基于角色或基于功能的安裝】選項(xiàng)，單擊【下一步】按鈕。在【服務(wù)器選擇】界面中，保持默認(rèn)配置并單擊【下一步】按鈕。在【服務(wù)器角色】界面中，勾選【遠(yuǎn)程訪問】復(fù)選框，如圖11-17所示，并單擊【下一步】按鈕。圖11-17添加遠(yuǎn)程訪問角色任務(wù)實(shí)施在【功能】界面中，保持默認(rèn)配置并單擊【下一步】按鈕。在【遠(yuǎn)程訪問】界面中直接單擊【下一步】按鈕。在【角色服務(wù)】界面中，勾選【DirectAccess和VPN(RAS)】和【路由】復(fù)選框并在彈出的【添加角色和功能向?qū)А繉?duì)話框中，單擊【添加功能】按鈕，然后單擊【下一步】按鈕，如圖11-18和圖11-19所示。圖11-18選擇路由角色圖11-19添加路由所需的功能任務(wù)實(shí)施在【W(wǎng)eb服務(wù)器角色(IIS)】選項(xiàng)卡中單擊【下一步】按鈕。在【角色服務(wù)】選項(xiàng)卡中，保持默認(rèn)配置并單擊【下一步】按鈕。在【確認(rèn)】選項(xiàng)卡中單擊【安裝】按鈕，開始安裝，結(jié)果如圖11-20所示。圖11-20添加角色確認(rèn)界面任務(wù)實(shí)施（11）安裝完成后的結(jié)果如圖11-21所示。圖11-21

NAT服務(wù)安裝成功任務(wù)實(shí)施2．配置動(dòng)態(tài)NAPT服務(wù)（1）打開【路由和遠(yuǎn)程訪問】窗口：在【服務(wù)器管理器】窗口的【工具】下拉菜單中選擇【路由和遠(yuǎn)程訪問】命令，打開如圖11-22所示的【路由和遠(yuǎn)程訪問】管理控制臺(tái)。圖11-22路由遠(yuǎn)程訪問主窗口任務(wù)實(shí)施（2）在控制臺(tái)樹中，右擊【ROUTER(本地)】選項(xiàng)，彈出如圖11-23所示的快捷菜單，選擇【配置并啟用路由和遠(yuǎn)程訪問】命令。圖11-23選擇【配置并啟用路由和遠(yuǎn)程訪問】命令任務(wù)實(shí)施在彈出的【路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А拷缑嬷校瑔螕簟鞠乱徊健堪粹o。在如圖11-24所示的【配置】視圖中，選擇【網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)】單選按鈕，然后單擊【下一步】按鈕。圖11-24新建NAT任務(wù)實(shí)施（5）在如圖11-25所示的【NAT

Internet連接】視圖中，選擇【使用此公共接口連接到

Internet】單選按鈕，然后選擇路由器連接外網(wǎng)的網(wǎng)卡，最后單擊【下一步】按鈕。圖11-25選擇NAT外網(wǎng)接口任務(wù)實(shí)施（6）在如圖11-26所示的【名稱和地址轉(zhuǎn)換服務(wù)】視圖中選擇【啟用基本的名稱和地址服務(wù)】單選按鈕，然后單擊【下一步】按鈕。圖11-26啟用基本的名稱和地址服務(wù)任務(wù)實(shí)施（7）在如圖11-27所示的【地址分配范圍】視圖中，查看網(wǎng)絡(luò)地址和子網(wǎng)掩碼的分配范圍，確認(rèn)無(wú)誤后，單擊【下一步】按鈕。圖11-27地址分配范圍任務(wù)實(shí)施（8）確認(rèn)如圖11-28所示的【摘要】?jī)?nèi)容無(wú)誤后，單擊【完成】按鈕，完成動(dòng)態(tài)NAPT服務(wù)的配置。圖11-28路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А菊績(jī)?nèi)容任務(wù)驗(yàn)證任務(wù)驗(yàn)證（1）在公司客戶端（WIN-CLIENT）的命令提示符窗口中，執(zhí)行【ping

0】命令，測(cè)試與外網(wǎng)Web服務(wù)器0的連通性，結(jié)果如圖11-29所示，表明內(nèi)網(wǎng)客戶機(jī)和外網(wǎng)Web服務(wù)器可以正常通信。圖11-29測(cè)試與外網(wǎng)Web服務(wù)器0的連通性任務(wù)驗(yàn)證（2）通過客戶端的瀏覽器訪問Web服務(wù)器，在瀏覽器上輸入【/】，結(jié)果顯示內(nèi)網(wǎng)客戶機(jī)可以正常訪問外網(wǎng)，如圖11-30所示。圖11-30正常訪問外網(wǎng)任務(wù)驗(yàn)證（3）打開NAT服務(wù)器的【路由和遠(yuǎn)程訪問】窗口，在如圖11-31所示的外網(wǎng)接口的右鍵快捷菜單中，選擇【顯示映射】命令，在彈出的【NAT-SERVER-網(wǎng)絡(luò)地址轉(zhuǎn)換會(huì)話映射表格】對(duì)話

框中可以看到【內(nèi)網(wǎng)客戶機(jī)和外網(wǎng)Web站點(diǎn)的映射關(guān)系】，如圖11-32所示。圖11-31選擇【顯示映射】命令圖11-32內(nèi)網(wǎng)客戶機(jī)和外網(wǎng)Web站點(diǎn)的映射關(guān)系部署靜態(tài)NAPT，將公司門戶網(wǎng)站發(fā)布到Internet上任務(wù)規(guī)劃公司在信息中心的Web服務(wù)器上部署了公司門戶網(wǎng)站（:80），為方便用戶通過門戶網(wǎng)站了解公司產(chǎn)品和辦理相關(guān)業(yè)務(wù)，公司要求網(wǎng)絡(luò)管理員在出口路由器上部署靜態(tài)NAPT，將內(nèi)網(wǎng)Web服務(wù)器的網(wǎng)站發(fā)布到Internet上。信息中心網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖11-33所示。圖11-33信息中心網(wǎng)絡(luò)拓?fù)淙蝿?wù)規(guī)劃路由器的靜態(tài)NAPT功能可以將內(nèi)網(wǎng)計(jì)算機(jī)上的特定服務(wù)永久地映射到外網(wǎng)，這些服務(wù)通常為FTP、Web、流媒體、電子郵件等。這樣，外網(wǎng)計(jì)算機(jī)就可以通過訪問其映射的外網(wǎng)地址來(lái)訪問這些服務(wù)。在Windows

Server

2012

R2上部署靜態(tài)NAPT的主要步驟如下。配置NAT的IP地址池。配置靜態(tài)NAPT映射。任務(wù)實(shí)施1．配置NAT的IP地址池（1）打開【路由和遠(yuǎn)程訪問】管理控制臺(tái)，選擇左側(cè)【IPv4】下的【NAT】選項(xiàng)，查看如圖

11-34所示的NAT管理界面。圖11-34

NAT管理界面任務(wù)實(shí)施（2）在如圖11-35所示的【外網(wǎng)】接口的右鍵快捷菜單中選擇【屬性】命令。圖11-35【外網(wǎng)】接口的右鍵快捷菜單任務(wù)實(shí)施（3）在彈出的【外網(wǎng)屬性】對(duì)話框中選擇【地址池】選項(xiàng)卡，如圖11-36所示。圖11-36

NAT服務(wù)的【地址池】選項(xiàng)卡任務(wù)實(shí)施（4）單擊【添加】按鈕，在彈出的【添加地址池】對(duì)話框中，輸入路由器的公網(wǎng)地址池

/24～/24，結(jié)果如圖11-37所示。然后單擊【確定】按鈕，完成IP地址池的配置。圖11-37添加IP地址池任務(wù)實(shí)施注意：在添加IP地址池之前，要先確認(rèn)NAT服務(wù)器的外網(wǎng)網(wǎng)絡(luò)適配器是否添加了“～”這四個(gè)公網(wǎng)IP地址。管理員在命令提示符窗口中執(zhí)行【ipconfig】命令，可以看到NAT服務(wù)器的外網(wǎng)網(wǎng)絡(luò)適配器上新增的四個(gè)公網(wǎng)IP地址，結(jié)果如圖11-38所示。圖11-38通過【ipconfig】命令查看NAT路由器的IP地址任務(wù)實(shí)施2．配置靜態(tài)NAPT映射（1）在如圖11-39所示的【外網(wǎng)屬性】對(duì)話框中選擇【服務(wù)和端口】選項(xiàng)卡。圖11-39靜態(tài)NAPT的【服務(wù)和端口】選項(xiàng)卡任務(wù)實(shí)施（2）單擊【添加】按鈕，在彈出的【添加服務(wù)】對(duì)話框中輸入服務(wù)描述、公網(wǎng)映射的IP地址及端口、內(nèi)網(wǎng)Web服務(wù)器的IP地址及端口、協(xié)議類型等信息，結(jié)果如圖11-40所示。圖11-40靜態(tài)NAPT的Web映射配置界面任務(wù)實(shí)施（3）單擊【確定】按鈕，完成靜態(tài)NAPT映射的配置，結(jié)果如圖11-41所示。圖11-41完成靜態(tài)NAPT映射的配置任務(wù)驗(yàn)證任務(wù)驗(yàn)證在完成靜態(tài)NAPT映射的配置之后，管理員可以通過Internet上的計(jì)算機(jī)測(cè)試公司網(wǎng)站的訪問情況，同時(shí)可以通過監(jiān)視NAT服務(wù)器的鏈接映射來(lái)查看NAPT的映射記錄。（1）在外網(wǎng)客戶機(jī)上打開IE瀏覽器訪問公司門戶網(wǎng)站，結(jié)果如圖11-42所示。圖11-42通過公網(wǎng)計(jì)算機(jī)訪問公司門戶網(wǎng)站任務(wù)驗(yàn)證（2）回到NAT服務(wù)器，在如圖11-43所示的【外網(wǎng)】接口的右鍵快捷菜單中選擇【顯示映射】命令。圖11-43【外網(wǎng)】接口的右鍵快捷菜單任務(wù)驗(yàn)證（3）從彈出的【NAT-SERVER-網(wǎng)絡(luò)地址轉(zhuǎn)換會(huì)話映射表格】對(duì)話框中，可以看到如圖11-44所示的外網(wǎng)計(jì)算機(jī)、NAT服務(wù)器和內(nèi)網(wǎng)Web服務(wù)器的地址映射結(jié)果。圖11-44外網(wǎng)計(jì)算機(jī)、NAT服務(wù)器和內(nèi)網(wǎng)Web服務(wù)器的地址映射結(jié)果部署靜態(tài)NAT，將FTP服務(wù)器發(fā)布到Internet上任務(wù)規(guī)劃公司信息中心的FTP服務(wù)器兼具其他服務(wù)，包括非TCP和UDP的服務(wù)，為方便公司員工在外網(wǎng)訪問它，公司要求網(wǎng)絡(luò)管理員在出口路由器上部署靜態(tài)NAT，讓公司員工在家中或出差時(shí)均能訪問它。信息中心網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖11-45所示。圖11-45公司網(wǎng)絡(luò)拓?fù)淙蝿?wù)規(guī)劃路由器的靜態(tài)NAT功能可以將內(nèi)網(wǎng)計(jì)算機(jī)永久地映射到外網(wǎng)。這樣，外網(wǎng)計(jì)算機(jī)就可以通過訪問其映射的外網(wǎng)IP地址訪問它。在Windows

Server

2012

R2

上部署靜態(tài)NAT的主要步驟為：配置靜態(tài)NAT映射。任務(wù)實(shí)施1．配置靜態(tài)NAT映射在任務(wù)11-2中，管理員已經(jīng)在NAT服務(wù)器上部署了IP地址池，因此本任務(wù)可以直接進(jìn)行靜態(tài)NAT映射的配置。（1）打開【路由和遠(yuǎn)程訪問】管理控制臺(tái)，并依次展開【NAT-SERVER(本地)】→【IPV4】→【NAT】，然后在右側(cè)的【NAT】接口列表中選擇接入外網(wǎng)的接口，在該接口的右鍵快捷菜單中選擇【屬性】命令，打開該接口屬性對(duì)話框的【地址池】選項(xiàng)卡，結(jié)果如圖11-46所示。圖11-46【地址池】選項(xiàng)卡任務(wù)實(shí)施單擊【保留】按鈕，在彈出的【地址保留】對(duì)話框中單擊【添加】按鈕，在彈出的如圖

11-47所示的【添加保留】對(duì)話框中輸入公網(wǎng)（公用）IP地址【】，內(nèi)網(wǎng)（專用網(wǎng)絡(luò)）IP地址【】，并勾選【允許將會(huì)話傳入到此地址】復(fù)選框。連續(xù)單擊【確定】按鈕，返回【路由和遠(yuǎn)程訪問】管理控制臺(tái)，完成靜態(tài)NAT映射的配置。圖11-47【添加保留】對(duì)話框任務(wù)驗(yàn)證任務(wù)驗(yàn)證完成靜態(tài)NAT映射的配置后，管理員可以通過一臺(tái)外網(wǎng)計(jì)算機(jī)測(cè)試公司FTP服務(wù)器的訪問情況，測(cè)試方式包括訪問其FTP站點(diǎn)、遠(yuǎn)程桌面登錄等。訪問成功后還可以在NAT服務(wù)器上查看地址

映射表。（1）在外網(wǎng)客戶機(jī)上打開命令提示符窗口，分別執(zhí)行【ping

】和【ping

】命令，結(jié)果如圖11-48所示。從ping命令返回的TTL值可以看出，后一個(gè)命令顯示它經(jīng)過了NAT路由器的轉(zhuǎn)發(fā)（TTL原值為128，經(jīng)NAT路由器轉(zhuǎn)發(fā)后，TTL值變?yōu)?26），因此，根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，可以確定NAT轉(zhuǎn)換成功。圖11-48執(zhí)行【ping

】命