Windows Server 2003 ICS或NAT 实现共享上网(未联网实验)

     共享上网,目前常见的网络连接共享可分为硬件与软件两种:硬件网络连接共享需要购买特殊的硬件设备,如IP分享器;软件网络连接共享是采用软件的方式共享连接,无须借助硬件设备,常用的方式有Proxy与NAT两种。

     其中,Proxy类的产品不但可以区隔Internet与局域网,在为Internet中的计算机提供网络连接共享时,还可以发挥保护局域网计算机的作用。这类产品的功能强大,但是价格也比较高。

     内置于Windows Server 2003中的NAT网络连接共享,基本上是可以满足中小企业的共享连接需求。它的简化版ICS(Internet Connection Sharing,Internet连接共享)更是以设置简单,功能实用等优点,深受众多家庭以及小型企业的欢迎。

     NAT使用简介

     为了解决IPv4地址空间不足的问题,IP地址被人为地划分为公用地址和私用地址两部分。

     公用地址用于Internet,可以在Internet中随意访问。因此,要在Internet上通信,必须使用由IANA分配的公用地址。

     专用地址是保留给组织内部私有网络使用的IP地址,可以被不同组织重复使用。专用地址包括:

     ◆10.0.0.0 子网掩码255.0.0.0

     ◆172.16.0.0 子网掩码255.240.0.0

     ◆192.168.0.0 子网掩码255.255.0.0

     由于专用地址只用于私有网络,不能用于Internet通信。因此,如果某个组织的内部网络使用专用地址,同时又需要与Internet进行通信,则必须将该专用地址转换为公用地址。

     NAT(Network Address Translation,网络地址转换)位于使用专用地址的内部网和使用公用地址的Internet之间。内部网的传出数据包通过NAT将其专用地址转换为公用地址。而来自Internet的传入数据包则由NAT将其公用地址转换为专用地址。使用NAT不仅能节约公用IP地址,并且大大降低了组织的Internet接入成本。同时,NAT可以将内部私有网络隐藏起来,起到了保护内部网络的作用。

     NAT的工作过程

     (1)NAT客户端需要与Internet通信,于是将数据包发给NAT服务器;

     (2)NAT服务器将数据包中的源端口号和专用IP地址转换为其自己的端口号和公用IP地址,然后将数据包发给Internet上的主机,同时将源端口号和专用IP地址与其自己的端口号和公用IP地址的映射关系记录下来,以便后续过程使用;

     (3)Internet上的主机将回应发送给NAT服务器的公用IP地址;

     (4)NAT服务器将所收到的数据包的目的端口号和公用IP地址根据映射关系转换为客户端的端口号和专用IP地址并转发给客户机。

     NAT与ICS的组件控制差异

     Windows Server 2003中的NAT包含有3个组件:

     ◆NAT转换组件:NAT的主要组件,用于转换局域网与Internet之间的数据包。

     ◆DHCP配置地址设置组件:用于分配私有IP地址给局域网中的其他计算机,无须设置也可以连接Internet.

     ◆DNS Proxy名称解析组件:用于为NAT服务器新增DNS功能,以便客户端指定NAT服务器为DNS服务器,进而简化局域网其他计算机的连接设置。

     NAT服务器的DNS Proxy ,事实上只是收集客户端的DNS请求,然后再请求Internet中的DNS解析,最后将结果返回给客户端而已,它本身并没有任何DNS记录。

     ICS虽然也有这3个组件,但是组件控制却不如NAT灵活方便。例如,NAT可以设置DHCP配置器地址设置组件,甚至能够禁用此组件;而ICS则没有这种控制功能,在启用ICS后,3个组件只能按默认值任务,不能单独设置、启用或禁用某一个组件。如果网络中已经设置了同DHCP服务器分配地址,但是由于不能禁用ICS内置的DHCP配置地址设置组件,于是两个DHCP服务器将会各自分配不同的IP地址,造成网络中IP地址分配混乱,影响网络通信以及访问。

     综上所述,ICS与NAT拥有同样的组件,但是两者在组件控制方面有着相当大的差距。NAT可以自由地设置各个组件,而ICS则只能按照默认值执行。

     Windows Server 2003中ICS各个组件的默认值:

     ◆NAT转换组件:启用状态。只能将网络连接共享给一个子网络。

     ◆DHCP配置地址设置组件:启用状态。为局域网中的其他计算机分配192.168.0.2-192.168.0.254区段的IP地址。

     ◆DNS Proxy名称解析组件:启用状态。只要客户端设置连接共享的计算机为DNS服务器,就可以使用DNS代理服务。

clip_p_w_picpath002

     1、创建实验环境:

 

clip_p_w_picpath006clip_p_w_picpath008clip_p_w_picpath010clip_p_w_picpath012clip_p_w_picpath014clip_p_w_picpath016

     2、启动虚拟机,进行相应系统参数的设置:

clip_p_w_picpath018

     3、下面开始修改Team虚拟机的相关设置。在Server虚拟机的参数设置时我们可以看到我两块虚拟网卡的名称,这里我将VMnet4网段的虚拟机作为内部网络(LAN),将VMnet5网段的虚拟机作为外部网络(Internet),其他的大家看图就明白了:

clip_p_w_picpath020

clip_p_w_picpath022clip_p_w_picpath024clip_p_w_picpath026clip_p_w_picpath028clip_p_w_picpath030clip_p_w_picpath032clip_p_w_picpath034clip_p_w_picpath036

     4、测试目前的连通情况,记得关闭防火墙。根据上面的配置可知:

     (1)In-Client-XP虚拟机ping得通Server虚拟机,但是ping不通Out-Client-XP虚拟机:

clip_p_w_picpath038clip_p_w_picpath040

     (2)Server虚拟机ping得通In-Client-XP虚拟机和Out-Client-XP虚拟机:

clip_p_w_picpath042

     (3)Out-Client-XP虚拟机ping得通Server虚拟机,但是ping不通In-Client-XP虚拟机:

clip_p_w_picpath044clip_p_w_picpath046

     5、下面我们开始在Server服务器上作ICS(Internet连接共享)的实验,使得内部虚拟机(In-Client-XP)通过共享Internet网卡可以访问外部虚拟机(Out-Client-XP),但是外部虚拟机默认还是不能访问内部网络的,这点大家看过NAT的工作原理应当明白。

     (1)在Internet网卡上启用ICS:

clip_p_w_picpath048clip_p_w_picpath050clip_p_w_picpath052

     (2)启用ICS后,默认会自动将我的LAN局域网网卡的IP设置为192.168.0.1,看了前面介绍的ICS就会明白,这些是默认的。这样,如果的局域网计算机想通过服务器共享上网,那么局域网内的计算机的IP就要设置与LAN网卡同一网段的IP(192.168.0这个网段),并且网关也要设置为192.168.0.1才行。

     但是这个设置是可以修改的,比如后面我把它设置为192.168.40这个网段,IP为192.168.40.41,因为前面的局域网是这样规划的,大家继续看会明白的:

clip_p_w_picpath054

     (3)我们可以看到Internet网卡目前已经处于共享的状态:

clip_p_w_picpath056

     (4)下面我们修改ICS默认给LAN网卡的配置,我们修改为IP:192.168.40.41,子网掩码:255.255.255.0,看图:

clip_p_w_picpath058clip_p_w_picpath060clip_p_w_picpath062

     (5)现在我们的内部计算机可以通过服务器共享的Internet网卡访问外部的虚拟机了,即In-Client-XP可以ping通Out-Client-XP虚拟机。这里我将前面ping的结果也保留在这,大家可以做个对比:

clip_p_w_picpath064

     (6)目前外部计算机是不能访问内部网络的,即Out-Client-XP虚拟机不能ping通In-Client-XP虚拟机:

clip_p_w_picpath066

     (7)下面我还是将LAN网卡的配置修改为ICS默认的设置,大家可以对比下这里的ICS与前面理论介绍的ICS,加深理解:

clip_p_w_picpath068

     (8)因为内部网络的网关IP变化了,变成192.168.0.1了,所以这里内部网络虚拟机不能访问外部网络了:

clip_p_w_picpath070

     (9)我将内部网络的虚拟机修改为自动获得IP地址,接下来就可以访问外部网络了,看图可以知道这个DHCP服务器是ICS的内部组件,自动分配192.168.0.2-192.168.0.254这段IP地址。大家看图,就不多说了:

clip_p_w_picpath072clip_p_w_picpath074clip_p_w_picpath076clip_p_w_picpath078clip_p_w_picpath080

     6、通过前面的介绍,大家只要简单的设置下,就可以完成共享上网的实验了,下面我再介绍下如何将内部网络的服务对外提供,使得外部计算机可以访问内部网络服务器提供的服务。其实就是简单的端口映射下。

     (1)将内部计算机In-Client-XP的TCP/IP设置作如下配置:

clip_p_w_picpath082

     (2)服务器上的LAN网卡作如下设置:

clip_p_w_picpath084

     (3)在内部架设一台服务器。这里我就简单的利用In-Client-XP虚拟机架设一台FTP服务器,为后面实验准备。具体过程看图,了解下就行:

clip_p_w_picpath086clip_p_w_picpath088clip_p_w_picpath090clip_p_w_picpath092clip_p_w_picpath094clip_p_w_picpath096clip_p_w_picpath098clip_p_w_picpath100clip_p_w_picpath102

     (4)测试内部FTP服务器,该内部服务器目前内部网络是可以访问的,但外部网络是不能访问的,这里我只给出内部网络可以访问的截图:

clip_p_w_picpath104clip_p_w_picpath106

     (5)根据前面架设内部FTP服务器的方法,我这里再在外部网络中架设一台FTP服务器,让大家能更直观的有个认识:

clip_p_w_picpath108clip_p_w_picpath110

     (6) 下面我在服务器和内部网络上测试外部FTP服务器,测试结果都能正常访问,说明我的ICS共享上网是成功了的。因为我做这个试验是我没有上网,所以大家要把外部网络想像成我们所谓的Internet网络,如果我的外部网络还提供其他更多的服务,那就更真实了。相信大家已经学会了假设:

clip_p_w_picpath112clip_p_w_picpath114

     (7)我们下面在外部网络中测试下,看看能否访问内部网络提供的FTP服务,默认情况下是不能访问的,根据NAT的原理就能明白:

clip_p_w_picpath116clip_p_w_picpath118clip_p_w_picpath120

     (8)下面我们在服务器上作个简单的设置(端口映射),使得外部网络的计算机可以访问内部网络计算机提供的服务,这里我只简单设置了FTP服务,大家可以灵活使用其他的相关服务:

clip_p_w_picpath122clip_p_w_picpath124

     (9)在服务器上经过映射后,我们便可使用服务器的外部IP来访问内部网络提供的服务了,大家看图:

clip_p_w_picpath126

     7、下面开始介绍NAT实现局域网共享上网。将ICS设置取消,恢复最初设置,并测试相关连通性,保留FTP服务器:

clip_p_w_picpath128clip_p_w_picpath130clip_p_w_picpath132clip_p_w_picpath134clip_p_w_picpath136clip_p_w_picpath138clip_p_w_picpath140

     8、因为前面启用了ICS,我的服务并未禁止ICS,所以下面我要先禁用ICS服务,再启用和配置NAT服务,大家看图就明白:

clip_p_w_picpath142clip_p_w_picpath144clip_p_w_picpath146

clip_p_w_picpath148

clip_p_w_picpath150clip_p_w_picpath152

clip_p_w_picpath154

clip_p_w_picpath156

clip_p_w_picpath158

     9、下面开始启用NAT服务:

     (1)基本步骤截图:

clip_p_w_picpath160clip_p_w_picpath162

     (2)这里可以选择“网络地址转换(NAT)”进行配置,还可以选择自定配置进行设置,我这里要介绍最后一种自定义配置,所以这里给大家看下选择“网络地址转换(NAT)”的截图。后面还可以选择NAT服务提供的基本名称和DHCP地址分配服务,也可以后面再配置,都是大家看图了解了:

clip_p_w_picpath164

clip_p_w_picpath166

clip_p_w_picpath168clip_p_w_picpath170clip_p_w_picpath172clip_p_w_picpath174clip_p_w_picpath176

     (3)我们还是介绍使用自定义配置的NAT,大家看图就明白了:

clip_p_w_picpath178clip_p_w_picpath180clip_p_w_picpath182clip_p_w_picpath184clip_p_w_picpath186clip_p_w_picpath188

     10、简单配置NAT服务。

     (1)配置一个连接Internet的公用接口:

clip_p_w_picpath190clip_p_w_picpath192clip_p_w_picpath194clip_p_w_picpath196

     (2)简单的配置一下NAT服务,下面内部网络计算机可以访问外部网络了,外部网络计算机不能访问内部网络,看图:

clip_p_w_picpath198clip_p_w_picpath200

     (3)此时,只通过简单的ping,查看映射关系是看不出什么的:

clip_p_w_picpath202clip_p_w_picpath204

     (4)在只有一个公共接口连接Internet的情况下,我使用其他协议访问外部网络,也查看不到映射关系:

clip_p_w_picpath206clip_p_w_picpath208

     (5)下面我增加一个内部网络的接口(专用接口),再来查看映射关系,大家就会发现不同了:

clip_p_w_picpath210clip_p_w_picpath212clip_p_w_picpath214

clip_p_w_picpath216

clip_p_w_picpath218clip_p_w_picpath220

     11、这里再介绍点其他相关知识。我们可以看下公共接口上的属性与专用接口上的属性之间的差别,其中专用接口我就不多说,只介绍下公共接口上的属性。

     (1)看图操作:

clip_p_w_picpath222

     (2)在公共接口上我们可以设置基本防火墙和数据包的出入筛选(专用接口上只有这个),还有地址池、服务和端口、ICMP相关设置:

clip_p_w_picpath224

     (3)在地址池中我们可以添加公共IP提供给内部网络计算机使用的地址转换(NAT,一个内部IP对应一个外部IP),其实前面介绍的地址转换可以说是端口转换(PAT,多个内部IP对应一个外部IP和外部IP的不同端口)。还可以设置相关保留公共IP提供给内部计算机使用。大家看图了解些:

clip_p_w_picpath226clip_p_w_picpath228clip_p_w_picpath230clip_p_w_picpath232

     (4)这里介绍的服务和端口、ICMP与前面ICS的服务和端口是相同的,大家先了解下:

clip_p_w_picpath234clip_p_w_picpath236

     (5)这里给大家看下地址池的应用,大家看后面的映射关系表就明白了:

clip_p_w_picpath238clip_p_w_picpath240clip_p_w_picpath242

     (6)下面介绍下NAT的端口映射,将内部服务器通过网关(NAT服务器)的端口映射对外提供服务,默认外部网络计算机是不能访问内部服务器提供的服务的。大家看图:

clip_p_w_picpath244clip_p_w_picpath246clip_p_w_picpath248clip_p_w_picpath250

clip_p_w_picpath252

clip_p_w_picpath254

     (7)这里有个小建议,一般我们在这NAT服务器上对于ICMP的相关设置全部设为空,避免相关***,了解下,因人而异:

clip_p_w_picpath256

     12、有关“Windows Server 2003 ICS或NAT 实现共享上网(未联网实验)”的实验就介绍到这里了,如果计算机能访问Internet,则把相关网卡设置为Internet,相关外部IP修改为公共IP,则实验原理是相同的:

clip_p_w_picpath220[1]