Windows Server 2012 第3版 課件 項目11 部署信息中心的NAT服務

項目11部署信息中心的NAT網(wǎng)絡(luò)服務項目學習目標掌握NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）的概念與應用。掌握靜態(tài)NAT、動態(tài)NAT、靜態(tài)NAPT、動態(tài)NAPT的工作原理與應用。掌握ACL（訪問控制列表）的工作原理與應用。掌握企業(yè)網(wǎng)出口設(shè)備NAT服務部署的業(yè)務實施流程。掌握企業(yè)網(wǎng)路由設(shè)備ACL功能部署的業(yè)務實施流程。項目描述項目分析項目分析相關(guān)知識項目任務目錄項目描述項目描述Jan16公司原先通過撥號接入Internet，并使用公司服務器為用戶提供Web服務。隨著公司業(yè)務系統(tǒng)和服務器數(shù)量的增加，公司向運營商租用了5個公網(wǎng)IP地址用于滿足公司網(wǎng)絡(luò)接入需求，并按業(yè)務需求增加了服務器，調(diào)整了網(wǎng)絡(luò)訪問策略，具體要求如下。允許公司所有部門計算機訪問外網(wǎng)。將部署在信息中心的公司門戶網(wǎng)站（:80）映射到外網(wǎng)（:80）。將部署在信息中心的FTP服務器（）映射到外網(wǎng)（）。禁止其他部門（含信息中心）計算機訪問財務部的財務系統(tǒng)服務器（），財務部服務器僅用于財務部內(nèi)部通信。項目描述公司網(wǎng)絡(luò)拓撲結(jié)構(gòu)和各網(wǎng)絡(luò)IP地址情況如圖11-1所示。圖11-1公司網(wǎng)絡(luò)拓撲結(jié)構(gòu)和各網(wǎng)絡(luò)IP地址情況項目分析項目分析計算機要訪問Internet，首先需要獲得一個公網(wǎng)IP地址，目前大部分計算機訪問公網(wǎng)是通過撥號方式獲得一個公網(wǎng)IP地址，然后通過這個公網(wǎng)IP地址訪問Internet。當前，常用的公網(wǎng)地址為IPv4，我國大約分配到3.4億個，因Internet用戶急劇增加，該地址目前已成為緊缺資源，為滿足更多的用戶接入Internet，NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)應運而生，它允許局域網(wǎng)（私網(wǎng)）共享一個或多個公網(wǎng)IP地址接入Internet，這樣既可以使普通計算機接入公網(wǎng)，還可以減少IPv4地址的使用量。在本項目中，公司申請了5個固定的公網(wǎng)IP地址，管理員可以使用NAT的各種技術(shù)類型來實現(xiàn)本項目的需求，具體涉及以下工作任務。部署動態(tài)NAPT，實現(xiàn)公司計算機訪問外網(wǎng)。部署靜態(tài)NAPT，將公司門戶網(wǎng)站發(fā)布到Internet上。部署靜態(tài)NAT，將FTP服務器發(fā)布到Internet上。部署ACL，限制其他部門訪問財務部服務器。相關(guān)知識11.1

NATNAT的英文全稱是“Network

Address

Translation”，即“網(wǎng)絡(luò)地址轉(zhuǎn)換”，是一種把內(nèi)部私有網(wǎng)絡(luò)地址轉(zhuǎn)換成合法的外部公有網(wǎng)絡(luò)地址的技術(shù)。當今的Internet使用TCP/IP實現(xiàn)了全世界計算機的互相通信，每一臺連入Internet的計算機要和其他的計算機通信，都必須擁有一個唯一的、合法的IP地址，此IP地址由網(wǎng)絡(luò)信息中心（

NIC）統(tǒng)一進行管理和分配。NIC分配的IP地址是公有的、合法的IP地址，這些IP地址具有唯一

性，連入Internet的計算機只要擁有NIC分配的IP地址就可以和其他計算機進行通信。但是，由于當前常用的TCP/IP協(xié)議版本是IPv4，它具有天生的缺陷，即IP地址數(shù)量不夠多，難以滿足目前爆炸式增長的IP地址需求。所以，不是每一臺計算機都能申請并獲得NIC分配的IP

地址。一般，需要連上Internet的個人或家庭用戶，通過因特網(wǎng)服務提供方（ISP）間接獲得合法的公有IP地址（例如，用戶通過ADSL線路撥號，從電信獲得臨時租用的公有IP地址）；大

型機構(gòu)可能直接向NIC申請并使用永久的公有IP地址，也可能通過ISP間接獲得永久或臨時的公有IP地址。11.1

NAT無論通過哪種方式獲得公有IP地址，實際上當前的可用IP地址數(shù)量都依然不足。IP地址作為有限的資源，NIC為網(wǎng)絡(luò)中數(shù)以億計的計算機都分配公有IP地址是不可能的。同時，為了使計算機能夠具有IP地址并在專用網(wǎng)絡(luò)（內(nèi)網(wǎng)）中通信，NIC定義了供專用網(wǎng)絡(luò)內(nèi)的計算機使用的專用IP地址。這些IP地址是在局部使用的（非全局的、不具有唯一性）、非公有的（私有的）IP地址，其地址范圍具體如下。（1）A類IP地址：～55。（2）B類IP地址：～55。（3）C類IP地址：～55。組織機構(gòu)可根據(jù)自身園區(qū)網(wǎng)規(guī)模的大小以及計算機數(shù)量的多少來采用不同類型的專用地址范圍或者它們的組合。但是，這些IP地址不可能出現(xiàn)在Internet上，也就是說，源地址或目的地址為專用IP地址的數(shù)據(jù)包不能在Internet上傳輸，這樣的數(shù)據(jù)包只能在內(nèi)部專用網(wǎng)絡(luò)中傳輸。11.1

NAT如果專用網(wǎng)絡(luò)的計算機要訪問Internet，則組織機構(gòu)在連接Internet的設(shè)備上至少需要設(shè)置一個公有IP地址，然后采用NAT技術(shù)，將內(nèi)部專用網(wǎng)絡(luò)的計算機的專用IP地址轉(zhuǎn)換為公有IP地址，

從而讓使用專用IP地址的計算機能夠和Internet的計算機進行通信。如圖11-2所示，通過NAT設(shè)備，將專用網(wǎng)絡(luò)內(nèi)的專用IP地址和公有IP地址互相轉(zhuǎn)換，從而使專用網(wǎng)絡(luò)內(nèi)使用專用IP地址的

計算機能夠和Internet的計算機進行通信。圖11-2

NAT地址轉(zhuǎn)換示意也可以說，NAT就是將網(wǎng)絡(luò)地址從一個地址空間轉(zhuǎn)換到另一個地址空間的一種技術(shù)。從技術(shù)原理的角度來講，NAT分成四種類型：靜態(tài)NAT、動態(tài)NAT、靜態(tài)NAPT及動態(tài)NAPT。11.1

NAT1．靜態(tài)NAT靜態(tài)NAT是在路由器中將內(nèi)網(wǎng)IP地址固定地轉(zhuǎn)換為外網(wǎng)IP地址的技術(shù)，通常應用在允許外網(wǎng)用戶訪問內(nèi)網(wǎng)服務器的場景。靜態(tài)NAT的工作過程如圖11-3所示。內(nèi)部專用網(wǎng)絡(luò)采用/24的C類專用地址，并采用帶有NAT功能的路由器和Internet互聯(lián)，路由器左邊的網(wǎng)卡連接內(nèi)部專用網(wǎng)絡(luò)（左邊網(wǎng)卡的IP地址是54/24），右邊的網(wǎng)卡連接Internet（右邊網(wǎng)卡的IP地址是/24），而且路由器還有多個公有IP地址可被轉(zhuǎn)換使用（～），Internet上的計算機C的IP地址是/24。假設(shè)外部公用網(wǎng)絡(luò)的計算機C需要和內(nèi)部專用網(wǎng)絡(luò)的計算機A通信，其通信過程如下。圖11-3靜態(tài)NAT的工作過程11.1

NAT第①步：計算機C發(fā)送數(shù)據(jù)包給計算機A，數(shù)據(jù)包的源IP地址（Source

Address，SA）為，目的IP地址（Destination

Address，DA）為（在外網(wǎng)中，計算機A的IP地址為）。第②步：數(shù)據(jù)包經(jīng)過路由器時，路由器將查詢本地的靜態(tài)NAT映射表，找到映射條目后將數(shù)據(jù)

包的目的IP地址（）轉(zhuǎn)換為內(nèi)部專用IP地址（），源IP地址保持不變。NAT路由器上有一個公有的IP地址池，在本次通信前，網(wǎng)絡(luò)管理員已經(jīng)在NAT路由器上設(shè)置了靜態(tài)

NAT地址映射關(guān)系，指定與映射。第③步：轉(zhuǎn)換后的數(shù)據(jù)包經(jīng)過在內(nèi)網(wǎng)中傳輸，最終被計算機A接收。第④步：計算機A收到數(shù)據(jù)包后，將響應內(nèi)容封裝在目的IP地址為的數(shù)據(jù)包中，然后將該數(shù)據(jù)包發(fā)送出去。11.1

NAT第⑤步：目的IP地址為的數(shù)據(jù)包到達路由器后，路由器將對照自身的靜態(tài)NAT映射表，找出對應關(guān)系，將源IP地址轉(zhuǎn)換為，然后將該數(shù)據(jù)包發(fā)送到外部公用網(wǎng)絡(luò)中。第⑥步：目的IP地址為的數(shù)據(jù)包在外部公用網(wǎng)絡(luò)中傳送，最終到達計算機C。計算機C通過數(shù)據(jù)包的源IP地址（）只能知道此數(shù)據(jù)包是路由器發(fā)送過來的，實際上，該數(shù)據(jù)包是計算機A發(fā)送的。靜態(tài)NAT主要用于專用網(wǎng)絡(luò)內(nèi)的服務器需要對外提供服務的場景，由于它采用固定的一對一的內(nèi)外網(wǎng)IP地址映射關(guān)系，因此，外網(wǎng)的計算機通過訪問這個外網(wǎng)IP地址就可以訪問內(nèi)網(wǎng)的服務器。11.1

NAT2．動態(tài)NAT動態(tài)NAT是將一個內(nèi)部IP地址轉(zhuǎn)換為一組外部IP地址池中的一個IP地址（公有地址）的技術(shù)。動態(tài)NAT和靜態(tài)NAT在地址轉(zhuǎn)換上很相似，只是可用的公有IP地址不是被某個專用網(wǎng)絡(luò)的計算機永久獨自占有的。動態(tài)NAT的工作過程如圖11-4所示。與靜態(tài)NAT類似，動態(tài)NAT的路由器上有一個公有IP地址池，地址池中有四個公有IP地址：/24～/24。假設(shè)內(nèi)部專用網(wǎng)絡(luò)的計算機A需要和Internet的計算機C通信，其通信過程如下。圖11-4動態(tài)NAT的工作原理11.1

NAT第①步：計算機A發(fā)送源IP地址為的數(shù)據(jù)包給計算機C。第②步：數(shù)據(jù)包經(jīng)過路由器時，路由器采用NAT技術(shù)，將數(shù)據(jù)包的源IP地址（）轉(zhuǎn)換為公有IP地址（）。為什么會轉(zhuǎn)換為？路由器上的地址池中有多個公有IP地址，當需要進行地址轉(zhuǎn)換時，路由器會在地址池中選擇一個未被占用的地址來進行轉(zhuǎn)換。這里假設(shè)四個地址都未被占用，路由器挑選了第一個未被占用的地址。如果緊接著計算機A要發(fā)送數(shù)據(jù)包到Internet，則路由器會挑選第二個未被占用的IP地址（也就是）來進行轉(zhuǎn)換。地址池中公有IP地址的數(shù)量決定了內(nèi)網(wǎng)計算機可以同時訪問Internet的計算機的數(shù)量，如果地址池中的IP地址都被占用，那么內(nèi)網(wǎng)的其他計算機就不能和Internet的計算機通信。當內(nèi)網(wǎng)計算機和外網(wǎng)計算機的通信結(jié)束后，路由器將釋放被占用的公有IP地址，這樣，被釋放的IP地址則又可

以為其他內(nèi)網(wǎng)計算機提供公網(wǎng)接入服務。第③步：源地址為的數(shù)據(jù)包在Internet上轉(zhuǎn)發(fā)，最終被計算機C接收。第④步：計算機C收到源地址為的數(shù)據(jù)包后，將響應內(nèi)容封裝在目的IP地址為的數(shù)據(jù)包中，然后將該數(shù)據(jù)包發(fā)送出去。11.1

NAT第⑤步：目的IP地址為數(shù)據(jù)包最終經(jīng)過路由轉(zhuǎn)發(fā)，到達連接專用網(wǎng)絡(luò)的路由器上，路由器對照自身的動態(tài)NAT映射表，找出對應關(guān)系，將目的IP地址為的數(shù)據(jù)包轉(zhuǎn)換為目的IP地址為的數(shù)據(jù)包，然后發(fā)送到內(nèi)部專用網(wǎng)絡(luò)中。第⑥步：目的IP地址為的數(shù)據(jù)包在專用網(wǎng)絡(luò)中傳送，最終到達計算機A。計算機A通過數(shù)據(jù)包的源IP地址（）可知道此數(shù)據(jù)包是Internet上的計算機C發(fā)送過來的。動態(tài)NAT的內(nèi)外網(wǎng)映射關(guān)系為臨時關(guān)系，因此，它主要用于內(nèi)網(wǎng)計算機臨時對外提供服務的場景?？紤]公司申請的公有IP地址的數(shù)量有限，而內(nèi)網(wǎng)計算機數(shù)量通常遠大于公有IP地址數(shù)量，因此，它不適合為內(nèi)網(wǎng)計算機提供大規(guī)模上網(wǎng)服務場景，解決這類問題需要使用動態(tài)NAPT。11.1

NAT3．動態(tài)NAPT動態(tài)NAPT是以IP地址及端口號（TCP或UDP協(xié)議）為轉(zhuǎn)換條件，將專用網(wǎng)絡(luò)的內(nèi)部專用IP地址及端口號轉(zhuǎn)換成外部公有IP地址及端口號的技術(shù)。在靜態(tài)NAT和動態(tài)NAT中，都是“IP地址”到“IP地址”的轉(zhuǎn)換關(guān)系，而動態(tài)NAPT，則是“IP地址+端口號”到“IP地址+端口號”的轉(zhuǎn)

換關(guān)系?！癐P地址”到“IP地址”的轉(zhuǎn)換關(guān)系局限性很大，因為公網(wǎng)IP地址一旦被占用，內(nèi)網(wǎng)的其他計算機就不能再使用該公網(wǎng)IP地址訪問外網(wǎng)?！癐P地址+端口號”的轉(zhuǎn)換關(guān)系則非常靈活，一個IP地址可以和多個端口號進行組合（自由使用的端口號有幾萬個：1024～65

535），所以，路由器上可用的網(wǎng)絡(luò)地址映射關(guān)系條目數(shù)量有很多，完全可以滿足大量的內(nèi)網(wǎng)計算機訪問外網(wǎng)的需求。11.1

NAT動態(tài)NAPT的工作過程如圖11-5所示。假設(shè)內(nèi)部專用網(wǎng)絡(luò)的計算機A要訪問外部公用網(wǎng)絡(luò)的服務器B的Web站點，其通信過程如下。第①步：計算機A發(fā)送數(shù)據(jù)包給服務器B。數(shù)據(jù)包的源IP地址為，源端口號為2000（2000是為一計算機A隨機分配的端口號）；數(shù)據(jù)包的目的IP地址為，目的端口號為80（Web服務器默認端口號是80）。圖11-5動態(tài)NAPT的工作過程11.1

NAT第②步：數(shù)據(jù)包經(jīng)過路由器時，路由器采用動態(tài)NAPT技術(shù)，以“IP地址+端口號”的形式進行

轉(zhuǎn)換。數(shù)據(jù)包的源IP地址及源端口號將從:2000轉(zhuǎn)換為:3000（3000是路由器隨機分配的端口號），目的IP地址及目的端口號不變，仍然指向服務器B的Web服務。轉(zhuǎn)換后的源IP地址為路由器在外網(wǎng)的接口IP地址，源端口號為路由器上未被使用的可分配端口號，這里假設(shè)為3000。第③步：轉(zhuǎn)換后的數(shù)據(jù)包在Internet上轉(zhuǎn)發(fā)，最終被服務器B接收。第④步：服務器B收到數(shù)據(jù)包后，將響應內(nèi)容封裝在目的IP地址為，目的端口號為3000的數(shù)據(jù)包中（源IP地址及端口號為:80），然后將數(shù)據(jù)包發(fā)送出去。第⑤步：響應的數(shù)據(jù)包最終經(jīng)過路由轉(zhuǎn)發(fā)，到達連接專用網(wǎng)絡(luò)的路由器上，路由器對照動態(tài)NAPT映射表，找出對應關(guān)系，將目的IP地址及端口號為:3000的數(shù)據(jù)包轉(zhuǎn)換為目的IP地址及端口號為:2000的數(shù)據(jù)包，然后發(fā)送到內(nèi)部專用網(wǎng)絡(luò)中。11.1

NAT第⑥步：目的IP地址及端口號為:2000的數(shù)據(jù)包在內(nèi)部專用網(wǎng)絡(luò)中傳送，最終到達計算機A。計算機A通過數(shù)據(jù)包的源IP地址及端口號（:80）知道此數(shù)據(jù)包是外部專用網(wǎng)絡(luò)的服務器B發(fā)送過來的。動態(tài)NAPT的內(nèi)外網(wǎng)“IP地址+端口號”映射關(guān)系是臨時性的，因此，它主要應用在為內(nèi)網(wǎng)計算機提供外網(wǎng)訪問服務的場景。典型的應用有：家庭的寬帶路由器擁有動態(tài)NAPT功能，它可以

滿足家庭電子設(shè)備訪問Internet的需求；網(wǎng)吧的出口網(wǎng)關(guān)也擁有動態(tài)NAPT功能，它可以滿足網(wǎng)吧計算機訪問Internet的需求。11.1

NAT4．靜態(tài)NAPT靜態(tài)NAPT是在路由器中以“IP地址+端口號”形式，將內(nèi)網(wǎng)IP地址及端口號固定地轉(zhuǎn)換為外網(wǎng)IP地址及端口號的技術(shù)，應用在允許外網(wǎng)用戶訪問內(nèi)網(wǎng)計算機特定服務的場景。靜態(tài)NAPT的工作工程如圖11-6所示。假設(shè)外部專用網(wǎng)絡(luò)的計算機B需要訪問內(nèi)部專用網(wǎng)絡(luò)的服務器A的Web站點，其通信過程如下。圖11-6靜態(tài)NAPT的工作原理11.1

NAT第①步：計算機B發(fā)送數(shù)據(jù)包給服務器A。數(shù)據(jù)包的源IP地址為，源端口號為2000；數(shù)據(jù)包的目的IP地址為，目的端口號為80（Web服務器默認端口號是80）。第②步：數(shù)據(jù)包經(jīng)過路由器時，路由器查詢靜態(tài)NAPT映射表，找到對應的映射條目后，數(shù)據(jù)

包的目的IP地址及目的端口號將從:80轉(zhuǎn)化為:80，源IP地址及源端口號不變。這里轉(zhuǎn)換后的目的IP地址為內(nèi)網(wǎng)服務器A的IP地址，目的端口號為服務器A的Web服務端口號。第③步：轉(zhuǎn)換后的數(shù)據(jù)包在內(nèi)部專用網(wǎng)絡(luò)上轉(zhuǎn)發(fā)，最終被服務器A接收。第④步：服務器A收到數(shù)據(jù)包后，響應內(nèi)容封裝在目的IP地址為，目的端口號為2000的數(shù)據(jù)包中，然后將數(shù)據(jù)包發(fā)送出去。第⑤步：響應數(shù)據(jù)包經(jīng)過路由轉(zhuǎn)發(fā)，將到達路由器上，路由器對照靜態(tài)NAPT映射表，找出對應關(guān)系，將源IP地址及端口號為:80的數(shù)據(jù)包轉(zhuǎn)換為源IP地址及端口號為:80的數(shù)據(jù)包，然后發(fā)送到Internet中。11.1

NAT第⑥步：目的IP地址及端口號為:2000的數(shù)據(jù)包在Internet中傳送，最終到達計算機B。計算機B通過數(shù)據(jù)包的源IP地址及端口號（:80）知道這是它訪問Web服務的響應數(shù)據(jù)

包。但是，計算機B并不知道Web服務其實是由內(nèi)部專用網(wǎng)絡(luò)的服務器A提供的，它只知道這個

Web服務是由Internet上的IP地址為的機器提供的。靜態(tài)NAPT的內(nèi)外網(wǎng)“IP地址+端口號”映射關(guān)系是永久性的，因此，它主要應用在內(nèi)網(wǎng)服務器的指定服務（如Web、FTP等）向外網(wǎng)提供服務的場景。典型的應用有：公司將內(nèi)網(wǎng)的門戶網(wǎng)站映射到公網(wǎng)IP地址的80端口上，滿足Internet用戶訪問公司門戶網(wǎng)站的需求。11.2

訪問控制列表路由器不僅用于實現(xiàn)多個局域網(wǎng)的互聯(lián)，其在數(shù)據(jù)包的存儲轉(zhuǎn)發(fā)中還可以通過過濾特定的數(shù)據(jù)包實現(xiàn)網(wǎng)絡(luò)安全訪問控制、流量控制等功能。訪問控制列表可以針對數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、端口號等條件設(shè)置匹配規(guī)

則。訪問控制列表由若干條規(guī)則組成，也被稱為接入控制列表，每一個接入控制列表都聲明了滿足該表項的匹配條件及行為。通過建立ACL，可保證網(wǎng)絡(luò)資源不被非法用戶訪問，還可以限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能，對通信流量起到控制的作用。在路由器的端口上配置ACL后，可以對入站端口和出站端口的數(shù)據(jù)包進行安全檢測，下面通過兩個案例進行說明。11.2

訪問控制列表案例1：在如圖11-7所示的網(wǎng)絡(luò)拓撲結(jié)構(gòu)中，工資管理系統(tǒng)服務器的數(shù)據(jù)屬于機密性數(shù)據(jù)的，公司僅允許財務主管和人事主管的計算機可以訪問它。圖11-7案例1網(wǎng)絡(luò)拓撲結(jié)構(gòu)11.2

訪問控制列表管理員可以創(chuàng)建一個如圖11-8所示的針對路由器端口1的入站訪問控制列表，路由器在端口1根據(jù)入站規(guī)則對所有請求訪問工資管理系統(tǒng)服務器的數(shù)據(jù)包進行匹配，人事主管的計算機HRPC

和財務主管的計算機CWPC滿足圖11-8中的兩條篩選器匹配規(guī)則，根據(jù)篩選器操作規(guī)則（匹配

行為）允許其訪問Server1；普通員工的計算機PC1因不滿足匹配條件，根據(jù)篩選器操作規(guī)則

將丟棄請求數(shù)據(jù)包（拒絕訪問）。這里需要特別注意的是，在篩選規(guī)則中，因為源地址和目標地址都是指向一臺計算機的，源網(wǎng)站所以掩碼均采用55。圖11-8路由器端口1的入站篩選規(guī)則11.2

訪問控制列表案例1是一個將ACL應用到入站方向的例子，篩選器規(guī)則為【丟棄所有的數(shù)據(jù)包，滿足下面條

件的除外】。當設(shè)備端口收到數(shù)據(jù)包時，首先確定ACL是否被應用到了該端口，如果沒有，則正常轉(zhuǎn)發(fā)該數(shù)據(jù)包。如果有，則處理ACL，從第一條語句開始，將條件和數(shù)據(jù)包內(nèi)容進行比

較，如果沒有匹配，則處理列表中的下一條語句，如果匹配，則接收該數(shù)據(jù)包，如果在整個列表中都沒有找到匹配的規(guī)則，則丟棄該數(shù)據(jù)包，流程如圖11-9所示。圖11-9入站篩選ACL（默認拒絕）流程圖11.2

訪問控制列表根據(jù)案例1，我們可以得到入站篩選規(guī)則為【接收所有數(shù)據(jù)包，滿足下面條件的除外】的流程，如圖11-10所示。圖11-10入站篩選ACL（默認允許）流程11.2

訪問控制列表案例2：在如圖11-11所示的網(wǎng)絡(luò)拓撲結(jié)構(gòu)中，公司在服務器1上提供FTP服務和Web服務，其中，Web服務用于提供公司客戶關(guān)系系統(tǒng)（Web服務使用默認端口發(fā)布）。基于安全考慮，對于Web服務：公司不允許生產(chǎn)部計算機訪問該客戶關(guān)系系統(tǒng)，其他部門則不受限制。對于FTP服務：所有部門都可以訪問。圖11-11案例2網(wǎng)絡(luò)拓撲結(jié)構(gòu)11.2

訪問控制列表管理員可以創(chuàng)建一個如圖11-12所示的針對路由器端口3的出站訪問控制列表，這時路由器R1在端口3根據(jù)出站規(guī)則對所有請求訪問服務器1的數(shù)據(jù)包進行匹配。圖11-12路由器端口3的出站篩選規(guī)則11.2

訪問控制列表生產(chǎn)部計算機訪問服務器1的Web服務時，因不滿足匹配規(guī)則，根據(jù)篩選器操作規(guī)則將丟棄請求數(shù)據(jù)包（拒絕訪問），而訪問FTP服務時，因滿足匹配規(guī)則，根據(jù)篩選器操作規(guī)則將允許訪問；業(yè)務部計算機和人事部計算機訪問服務器1時，因滿足匹配規(guī)則，根據(jù)篩選器操作規(guī)則將允許訪問服務器1。該案例也可以運用入站篩選規(guī)則，讀者可以思考一下如何設(shè)計入站篩選ACL。11.2

訪問控制列表案例2是一個將ACL應用到出站方向的例子，篩選器規(guī)則為【傳輸所有除符合下列條件以外的數(shù)據(jù)包】，流程如圖11-13所示。圖11-13出站篩選ACL（默認拒絕）流程11.2

訪問控制列表同理，圖11-14所示為篩選規(guī)則為【丟棄所有數(shù)據(jù)包，滿足下面的條件除外】的流程。圖11-14出站篩選ACL（默認允許）流程11.2

訪問控制列表通過案例1和案例2可以了解到Windows

Server

2012

R2的訪問控制列表是通過應用在物理接口上的入站篩選器和出站篩選器來實現(xiàn)的。無論哪種篩選器，對于每個訪問控制列表，都可以建立多個訪問控制條目，這些條目定義了匹配數(shù)據(jù)包所需要的條件。這些條件可以是協(xié)議號、源IP地址、目的IP地址、源端口號、目的端口號或者是它們的組合。當數(shù)據(jù)包通過路由器接口時，篩選器從上至下掃描訪問控制條目，只要數(shù)據(jù)包的特征條件符合訪問控制條目中定義的條件，就可以匹配成功并應用相應操作（拒絕或允許數(shù)據(jù)包通過）。應用操作后，篩選器不再對數(shù)據(jù)包進行匹配操作，也就是說，當前的訪問控制條目已經(jīng)和數(shù)據(jù)包匹配，篩選器不再處理剩下的訪問控制條目。部署動態(tài)NAPT，實現(xiàn)公司計算機訪問外網(wǎng)任務規(guī)劃公司申請了5個固定的公網(wǎng)IP地址用于接入Internet，為滿足公司計算機接入外網(wǎng)，公司要求網(wǎng)絡(luò)管理員在出口路由器上部署動態(tài)NAPT，實現(xiàn)公司計算機訪問外網(wǎng)。信息中心網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖11-15所示。圖11-15信息中心網(wǎng)絡(luò)拓撲結(jié)構(gòu)任務規(guī)劃按項目實施策略，公司先在信息中心進行部署測試，通過后再部署到其他部門。路由器的動態(tài)NAPT功能可以實現(xiàn)內(nèi)網(wǎng)計算機共享路由器的公網(wǎng)IP地址來訪問外網(wǎng)，因此，網(wǎng)絡(luò)管理員可以在路由器上安裝NAT服務，并配置動態(tài)NAPT服務，就可以實現(xiàn)信息中心的計算機訪問外網(wǎng)。在Windows

Server

2012

R2上部署動態(tài)NAPT的主要步驟如下。安裝NAT服務。配置動態(tài)NAPT服務。任務實施1．安裝NAT服務（1）在【服務器管理器】窗口中，單擊【添加角色和功能】鏈接，如圖11-16所示。圖11-16【服務器管理器】窗口任務實施在【安裝類型】界面中，選擇【基于角色或基于功能的安裝】選項，單擊【下一步】按鈕。在【服務器選擇】界面中，保持默認配置并單擊【下一步】按鈕。在【服務器角色】界面中，勾選【遠程訪問】復選框，如圖11-17所示，并單擊【下一步】按鈕。圖11-17添加遠程訪問角色任務實施在【功能】界面中，保持默認配置并單擊【下一步】按鈕。在【遠程訪問】界面中直接單擊【下一步】按鈕。在【角色服務】界面中，勾選【DirectAccess和VPN(RAS)】和【路由】復選框并在彈出的【添加角色和功能向?qū)А繉υ捒蛑?，單擊【添加功能】按鈕，然后單擊【下一步】按鈕，如圖11-18和圖11-19所示。圖11-18選擇路由角色圖11-19添加路由所需的功能任務實施在【W(wǎng)eb服務器角色(IIS)】選項卡中單擊【下一步】按鈕。在【角色服務】選項卡中，保持默認配置并單擊【下一步】按鈕。在【確認】選項卡中單擊【安裝】按鈕，開始安裝，結(jié)果如圖11-20所示。圖11-20添加角色確認界面任務實施（11）安裝完成后的結(jié)果如圖11-21所示。圖11-21

NAT服務安裝成功任務實施2．配置動態(tài)NAPT服務（1）打開【路由和遠程訪問】窗口：在【服務器管理器】窗口的【工具】下拉菜單中選擇【路由和遠程訪問】命令，打開如圖11-22所示的【路由和遠程訪問】管理控制臺。圖11-22路由遠程訪問主窗口任務實施（2）在控制臺樹中，右擊【ROUTER(本地)】選項，彈出如圖11-23所示的快捷菜單，選擇【配置并啟用路由和遠程訪問】命令。圖11-23選擇【配置并啟用路由和遠程訪問】命令任務實施在彈出的【路由和遠程訪問服務器安裝向?qū)А拷缑嬷校瑔螕簟鞠乱徊健堪粹o。在如圖11-24所示的【配置】視圖中，選擇【網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)】單選按鈕，然后單擊【下一步】按鈕。圖11-24新建NAT任務實施（5）在如圖11-25所示的【NAT

Internet連接】視圖中，選擇【使用此公共接口連接到

Internet】單選按鈕，然后選擇路由器連接外網(wǎng)的網(wǎng)卡，最后單擊【下一步】按鈕。圖11-25選擇NAT外網(wǎng)接口任務實施（6）在如圖11-26所示的【名稱和地址轉(zhuǎn)換服務】視圖中選擇【啟用基本的名稱和地址服務】單選按鈕，然后單擊【下一步】按鈕。圖11-26啟用基本的名稱和地址服務任務實施（7）在如圖11-27所示的【地址分配范圍】視圖中，查看網(wǎng)絡(luò)地址和子網(wǎng)掩碼的分配范圍，確認無誤后，單擊【下一步】按鈕。圖11-27地址分配范圍任務實施（8）確認如圖11-28所示的【摘要】內(nèi)容無誤后，單擊【完成】按鈕，完成動態(tài)NAPT服務的配置。圖11-28路由和遠程訪問服務器安裝向?qū)А菊績?nèi)容任務驗證任務驗證（1）在公司客戶端（WIN-CLIENT）的命令提示符窗口中，執(zhí)行【ping

0】命令，測試與外網(wǎng)Web服務器0的連通性，結(jié)果如圖11-29所示，表明內(nèi)網(wǎng)客戶機和外網(wǎng)Web服務器可以正常通信。圖11-29測試與外網(wǎng)Web服務器0的連通性任務驗證（2）通過客戶端的瀏覽器訪問Web服務器，在瀏覽器上輸入【/】，結(jié)果顯示內(nèi)網(wǎng)客戶機可以正常訪問外網(wǎng)，如圖11-30所示。圖11-30正常訪問外網(wǎng)任務驗證（3）打開NAT服務器的【路由和遠程訪問】窗口，在如圖11-31所示的外網(wǎng)接口的右鍵快捷菜單中，選擇【顯示映射】命令，在彈出的【NAT-SERVER-網(wǎng)絡(luò)地址轉(zhuǎn)換會話映射表格】對話

框中可以看到【內(nèi)網(wǎng)客戶機和外網(wǎng)Web站點的映射關(guān)系】，如圖11-32所示。圖11-31選擇【顯示映射】命令圖11-32內(nèi)網(wǎng)客戶機和外網(wǎng)Web站點的映射關(guān)系部署靜態(tài)NAPT，將公司門戶網(wǎng)站發(fā)布到Internet上任務規(guī)劃公司在信息中心的Web服務器上部署了公司門戶網(wǎng)站（:80），為方便用戶通過門戶網(wǎng)站了解公司產(chǎn)品和辦理相關(guān)業(yè)務，公司要求網(wǎng)絡(luò)管理員在出口路由器上部署靜態(tài)NAPT，將內(nèi)網(wǎng)Web服務器的網(wǎng)站發(fā)布到Internet上。信息中心網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖11-33所示。圖11-33信息中心網(wǎng)絡(luò)拓撲任務規(guī)劃路由器的靜態(tài)NAPT功能可以將內(nèi)網(wǎng)計算機上的特定服務永久地映射到外網(wǎng)，這些服務通常為FTP、Web、流媒體、電子郵件等。這樣，外網(wǎng)計算機就可以通過訪問其映射的外網(wǎng)地址來訪問這些服務。在Windows

Server

2012

R2上部署靜態(tài)NAPT的主要步驟如下。配置NAT的IP地址池。配置靜態(tài)NAPT映射。任務實施1．配置NAT的IP地址池（1）打開【路由和遠程訪問】管理控制臺，選擇左側(cè)【IPv4】下的【NAT】選項，查看如圖

11-34所示的NAT管理界面。圖11-34

NAT管理界面任務實施（2）在如圖11-35所示的【外網(wǎng)】接口的右鍵快捷菜單中選擇【屬性】命令。圖11-35【外網(wǎng)】接口的右鍵快捷菜單任務實施（3）在彈出的【外網(wǎng)屬性】對話框中選擇【地址池】選項卡，如圖11-36所示。圖11-36

NAT服務的【地址池】選項卡任務實施（4）單擊【添加】按鈕，在彈出的【添加地址池】對話框中，輸入路由器的公網(wǎng)地址池

/24～/24，結(jié)果如圖11-37所示。然后單擊【確定】按鈕，完成IP地址池的配置。圖11-37添加IP地址池任務實施注意：在添加IP地址池之前，要先確認NAT服務器的外網(wǎng)網(wǎng)絡(luò)適配器是否添加了“～”這四個公網(wǎng)IP地址。管理員在命令提示符窗口中執(zhí)行【ipconfig】命令，可以看到NAT服務器的外網(wǎng)網(wǎng)絡(luò)適配器上新增的四個公網(wǎng)IP地址，結(jié)果如圖11-38所示。圖11-38通過【ipconfig】命令查看NAT路由器的IP地址任務實施2．配置靜態(tài)NAPT映射（1）在如圖11-39所示的【外網(wǎng)屬性】對話框中選擇【服務和端口】選項卡。圖11-39靜態(tài)NAPT的【服務和端口】選項卡任務實施（2）單擊【添加】按鈕，在彈出的【添加服務】對話框中輸入服務描述、公網(wǎng)映射的IP地址及端口、內(nèi)網(wǎng)Web服務器的IP地址及端口、協(xié)議類型等信息，結(jié)果如圖11-40所示。圖11-40靜態(tài)NAPT的Web映射配置界面任務實施（3）單擊【確定】按鈕，完成靜態(tài)NAPT映射的配置，結(jié)果如圖11-41所示。圖11-41完成靜態(tài)NAPT映射的配置任務驗證任務驗證在完成靜態(tài)NAPT映射的配置之后，管理員可以通過Internet上的計算機測試公司網(wǎng)站的訪問情況，同時可以通過監(jiān)視NAT服務器的鏈接映射來查看NAPT的映射記錄。（1）在外網(wǎng)客戶機上打開IE瀏覽器訪問公司門戶網(wǎng)站，結(jié)果如圖11-42所示。圖11-42通過公網(wǎng)計算機訪問公司門戶網(wǎng)站任務驗證（2）回到NAT服務器，在如圖11-43所示的【外網(wǎng)】接口的右鍵快捷菜單中選擇【顯示映射】命令。圖11-43【外網(wǎng)】接口的右鍵快捷菜單任務驗證（3）從彈出的【NAT-SERVER-網(wǎng)絡(luò)地址轉(zhuǎn)換會話映射表格】對話框中，可以看到如圖11-44所示的外網(wǎng)計算機、NAT服務器和內(nèi)網(wǎng)Web服務器的地址映射結(jié)果。圖11-44外網(wǎng)計算機、NAT服務器和內(nèi)網(wǎng)Web服務器的地址映射結(jié)果部署靜態(tài)NAT，將FTP服務器發(fā)布到Internet上任務規(guī)劃公司信息中心的FTP服務器兼具其他服務，包括非TCP和UDP的服務，為方便公司員工在外網(wǎng)訪問它，公司要求網(wǎng)絡(luò)管理員在出口路由器上部署靜態(tài)NAT，讓公司員工在家中或出差時均能訪問它。信息中心網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖11-45所示。圖11-45公司網(wǎng)絡(luò)拓撲任務規(guī)劃路由器的靜態(tài)NAT功能可以將內(nèi)網(wǎng)計算機永久地映射到外網(wǎng)。這樣，外網(wǎng)計算機就可以通過訪問其映射的外網(wǎng)IP地址訪問它。在Windows

Server

2012

R2

上部署靜態(tài)NAT的主要步驟為：配置靜態(tài)NAT映射。任務實施1．配置靜態(tài)NAT映射在任務11-2中，管理員已經(jīng)在NAT服務器上部署了IP地址池，因此本任務可以直接進行靜態(tài)NAT映射的配置。（1）打開【路由和遠程訪問】管理控制臺，并依次展開【NAT-SERVER(本地)】→【IPV4】→【NAT】，然后在右側(cè)的【NAT】接口列表中選擇接入外網(wǎng)的接口，在該接口的右鍵快捷菜單中選擇【屬性】命令，打開該接口屬性對話框的【地址池】選項卡，結(jié)果如圖11-46所示。圖11-46【地址池】選項卡任務實施單擊【保留】按鈕，在彈出的【地址保留】對話框中單擊【添加】按鈕，在彈出的如圖

11-47所示的【添加保留】對話框中輸入公網(wǎng)（公用）IP地址【】，內(nèi)網(wǎng)（專用網(wǎng)絡(luò)）IP地址【】，并勾選【允許將會話傳入到此地址】復選框。連續(xù)單擊【確定】按鈕，返回【路由和遠程訪問】管理控制臺，完成靜態(tài)NAT映射的配置。圖11-47【添加保留】對話框任務驗證任務驗證完成靜態(tài)NAT映射的配置后，管理員可以通過一臺外網(wǎng)計算機測試公司FTP服務器的訪問情況，測試方式包括訪問其FTP站點、遠程桌面登錄等。訪問成功后還可以在NAT服務器上查看地址

映射表。（1）在外網(wǎng)客戶機上打開命令提示符窗口，分別執(zhí)行【ping

】和【ping

】命令，結(jié)果如圖11-48所示。從ping命令返回的TTL值可以看出，后一個命令顯示它經(jīng)過了NAT路由器的轉(zhuǎn)發(fā)（TTL原值為128，經(jīng)NAT路由器轉(zhuǎn)發(fā)后，TTL值變?yōu)?26），因此，根據(jù)網(wǎng)絡(luò)拓撲結(jié)構(gòu)，可以確定NAT轉(zhuǎn)換成功。圖11-48執(zhí)行【ping

】命