实战：配置Windows路由和NAT

5.1 实战：配置Windows路由和NAT

实战目标：

ü 能够在虚拟环境中配置和测试路由网络

ü 能够将Windows Server 2008启用路由功能

ü 能够在添加静态路由

ü 能够查看计算机的路由表

ü 能够在Windows路由器上配置数据包过滤

ü 能够在Windows路由器上配置动态路由RIP

ü 配置NAT

ü 配置端口映射

网络环境：

企业环境：

从安全考虑，将企业计算机按照部门分成3个网段，各个网段使用Windows Server 2008 配置的路由器连接，Router2连接研发部网络和市场部网络，Router1连接市场部网络和销售部网络，NATServer服务器连接销售部和Internet，公网IP地址是23.23.2.2，WebServer位于销售部网络，是企业的Web站点。

企业要求：

ü 实现内网三个网段相互完全访问

ü 研发部不允许访问Internet

ü 市场部和销售部允许访问Internet

ü 允许Internet用户访问WebServer

ü 能够在Internet使用终端服务管理WebServer

实验环境：

ü Router1、Router2和NATServer安装Windows Server 2008操作系统，有2块网卡。

ü WebServer安装Windows Server 2008操作系统，并安装Web服务器角色和启用远程桌面。

ü ZhangPC位于研发部网络，安装Vista企业版操作系统。

ü WangPC位于Internet，安装Vista企业版操作系统。

5.1.1 在Router1上安装和配置路由和远程访问

任务：

ü 更改重名本地连接

ü 更改IP地址和子网掩码以及首选DNS

ü 安装路由和远程访问服务

ü 启用并配置路由和远程访问服务

ü 添加到销售部网络的静态路由

ü 添加到Internet的网络的静态路由

ü 查看路由表

步骤：

1. 在Router1上，点击“开始”à“设置”à“网络连接”，打开网络连接，将连接市场部网络的网络连接重命名为“市场部网络”，将连接研发部网的网络连接重名名为“研发部网络”。

2. 如图，将“研发部网络”的IP地址设置成172.16.3.1。

3. 将“市场部网络”的IP地址设置成172.16.2.2。

4. 打开服务器管理器，点击“添加角色”。

5. 在出现的开始之前对话框，点击“下一步”。

6. 在选择服务器角色对话框，选中“网络策略和访问服务”，点击“下一步”。

7. 在出现的网络策略和访问服务对话框，点击“下一步”。

8. 在出现的选择角色服务对话框，选择“路由和远程访问服务”、“远程访问服务”和“路由”。

9. 在出现的确认选择对话框，点击“安装”。

10. 安装完成后，在安装结果对话框，点击“关闭”。

11. 点击“开始”à“程序”à“管理工具”à“路由和远程访问”，打开路由和远程访问管理工具。

12. 右击Router1，点击“配置并启用路由和远程访问”。

13. 在出现的欢迎使用路由和远程访问服务器安装向导对话框，点击“下一步”。

14. 在出现的配置对话框，选择“自定义”，点击“下一步”。

15. 在出现的自定义配置对话框，选中“LAN路由”，点击“下一步”。

16. 在出现的正在完成路由和远程访问服务器安装向导对话框，点击“完成”，在出现的启动服务对话框，点击“启动服务”。

17. 在IPv4下面，右击“静态路由”，点击“显示IP路由表”。

18. 可以看到对于路由器直接连接的网段，不需要添加，就已经出现在路由表中了。

19. 右击“静态路由”，点击“新建静态路由”。

20. 在出现的IPv4静态路由对话框，输入目标网段，选择到达目标网段的接口，以及网关，就是下一个路由器的IP地址，点击“确定”。

21. 在添加一条到Internet网络的路由，目标是0.0.0.0，网络掩码是0.0.0.0，选择到Internet的接口，以及下一个路由器的IP地址。

提示：这和在“市场部网络”网络连接设置网关是等价操作。

22. 再次查看路由表可以看到刚刚添加的静态路由。

23. 在命令提示符下，输入netstat –r或输入route print也可以查看路由表。

5.1.2 在Router2上安装和配置路由和远程访问

任务：

ü 更改重名本地连接

ü 更改IP地址和子网掩码以及首选DNS

ü 安装路由和远程访问服务

ü 启用并配置路由和远程访问服务

ü 添加到研发部网络的静态路由

ü 添加到Internet的网络的静态路由

ü 查看路由表

步骤：

1. 在Router2上，根据“网络连接”连接的网络重命名网络连接。

2. 更改“市场部网络”的网络连接的IP地址和子网掩码。

3. 更改“销售部网络”的网络连接的IP地址和子网掩码。

4. 安装路由和远程访问。

5. 点击“开始”à“程序”à“管理工具”à“路由和远程访问”，打开“路由和远程访问”管理工具。

6. 右击Router2，点击“配置并启用路由和远程访问”。

7. 在出现的欢迎使用路由和远程访问服务器安装向导对话框，点击“下一步”。

8. 在出现的配置对话框，选择“自定义配置”，点击“下一步”。

9. 在出现的自定义配置对话框，选中“LAN路由”，点击“下一步”。

10. 在出现的正在完成路由和远程访问服务器安装向导对话框，点击“完成”，在出现的启动服务对话框，点击“启动服务”。

11. 点中IPv4下面的“静态路由”，点击“新建静态路由”。

12. 在出现的IPv4静态路由对话框，目标网络输入研发部网段，选择达研发部网络的接口，以及网关即到达研发部网络的下一跳路由器的IP地址。

13. 再添加到达Internet网的默认路由。

14. 查看添加的静态路由。

5.1.3 在NATServer上安装和配置路由和NAT

任务：

ü 重命名网络连接和更改IP地址

ü 安装路由和远程访问

ü 配置路由和远程访问启用NAT

ü 添加到达研发部网络和到达市场部网络的静态路由

步骤：

1. 在NATServer上，将连接Internet的本地连接重命名成“Internet”。

2. 将连接销售部网络的本地连接重名成“销售部网络”。

3. 更改Internet的TCP/IP属性，输入公网IP地址和默认网关。提示：添加了默认网关就等于添加了默认路由。

4. 更改销售部网络属性，输入IP地址和网关，注意：不输入默认网关。

5. 安装路由和远程访问服务角色。

6. 点击“开始”à“程序”à“管理工具”à“路由和远程访问”。

7. 右击“NATSERVER”，点击“配置并启用路由和远程访问”。

8. 在出现的欢迎使用路由和远程访问服务器安装向导对话框，点击“下一步”。

9. 在出现的配置对话框，选择“路由和地址转换”，点击“下一步”。

10. 在出现的NAT Internet连接对话框，选择“使用此公共接口连接到Internet”，点中Internet，点击“下一步”。

11. 在出现的名称和地址转换服务对话框，选择“我将稍后设置名称和地址服务”，点击“下一步”。

12. 在出现的正在完成路由和远程访问服务器安装向导对话框，点击“完成”。

13. 在IPv4下的NAT，右击“Internet”，点击“属性”。

14. 在出现的Internet属性对话框，可以看到已经选择了“公用接口链接到Internet”，且已经选中了“在此接口上启用NAT”，点击“确定”。

15. 右击“销售部网络”，点击“属性”。

16. 在销售部网络属性对话框，可以看到接口类型，已经选择了“专用接口链接到专用网络”，点击“确定”。

17. 右击“静态路由”，点击“新建静态路由”。

18. 在出现的IPv4静态路由对话框，添加到研发部网络的路由。

19. 右击“静态路由”，点击“新建静态路由”。

20. 在出现的IPv4静态路由对话框，添加到市场部网络的路由。

21. 右击“静态路由”，点击“显示IP路由表”。

22. 可以看到添加的到研发部网络和市场部网络的静态路由，以及默认路由。

5.1.4 在zhangPC上测试到内网和Internet的连接

任务：

ü 更改zhangPC的IP地址和首选的DNS服务器

ü 测试到内网的连通性

ü 测试到Internet的连通性

步骤：

1. 更改zhangPC上，正确设置IP地址、子网掩码和默认网关，首选DNS使用互联网上的DNS服务器。

2. 在命令提示符下ping 市场部网络的IP地址，ping销售部网络的地址。

3. Ping www.baidu.com测试到百度网站的连通性。

4. 打开IE浏览器，输入http//www.baidu.com，能够访问Internet中Web站点。

5.1.5 在NATServer上查看地址转换

任务：

ü 查看内网到Internet的NAT转换

步骤：

1. 在NATServer上，点击IPv4下的NAT，可以看到内网访问互联网的映射数量。

2. 右击“Internet”，点击“显示映射”，可以看到内网访问Internet所有的出站映射。

5.1.6 在NATServer配置数据包过滤

任务：

ü 在NATServer上设置数据包筛选器禁止研发部网络访问互联网

步骤：

1. 在NATServer上，打开路由和远程访问管理工具。

2. 右击“销售部网络”，点击“属性”。

3. 在出现的销售部网络属性对话框，在常规标签下，点击“入站筛选器”。

4. 在出现的入站筛选器对话框，点击“新建”。

5. 在出现的添加IP筛选器，选中“源网络”，输入研发部网所在的网段，点击“确定”。

6. 在入站筛选器对话框，选择“接收所有除符合下列条件意外的数据包”，点击“确定”。

7. 在zhangPC上的命令提示符下，ping 销售部网络的一个IP地址，ping 互联网上的一个IP地址。

5.1.7 在NATServer配置端口映射

任务：

ü 在NATServer上配置Web站点端口映射

ü 在NATServer上配置远程桌面的端口映射

步骤：

1. 更改内网服务器WebServer的IP地址。

2. 点击“开始”à“程序”à“管理工具”à“Internet 信息服务（IIS）管理器”，可以看到给服务器已经安装Web服务，并且已经有一个默认站点。

3. 点击“开始”à“设置”à“控制面板”，点击“系统”。

4. 在打开的系统属性对话框，在远程标签下，选择“允许运行任意版本远程桌面的计算机连接”，点击“确定”。

5. 在NATServer上，在路由和远程访问管理工具对话框，右击“Internet”，点击“属性”。

6. 在出现的Internet属性对话框，在服务和端口标签下，点中“Web服务器（HTTP）”，点击“编辑”。

7. 在出现的编辑服务对话框，输入专用IP地址，即内网的WebServer的IP地址。

8. 选中“Web服务器（HTTP）”，点击“添加”。

9. 在出现的添加服务对话框，输入服务描述，使用的协议，传入的端口和专用地址以及传出的端口，点击“确定”。

注意：传入端口是公网地址对应的端口，传出端口是内网服务器远程桌面侦听的端口，通过更改默认端口提高安全性。

10. 在Internet属性对话框，选中刚才创建的WebServerRDP服务，点击“确定”。

5.1.8 在wangPC上测试端口映射

任务：

ü 测试Web站点端口映射

ü 测试远程桌面的端口映射

步骤：

1. 更改wangPC的本地连接的Ip地址。

2. 在命令提示符下，ping NATServer 的公网IP地址23.23.2.2，发现能够ping通。

3. Ping内网WebServer的IP地址，发现不能ping通。

4. 打开IE浏览器，输入http://23.23.2.2/certsrv发现能够访问到内网的WebServer的网站。

5. 点击“开始”à“运行”，输入mstsc，点击“确定”。

6. 在远程桌面连接对话框，输入23.23.2.2:4000点击“连接”。

注意：如果没有使用默认的端口连接必须在后面输入“:”+“端口”。

7. 在出现的Windows安全对话框，输入帐号和密码，点击“确定”。

8. 发现能够使用远程桌面连接内网的WebServer。

本文转自 onesthan 51CTO博客，原文链接：http://blog.51cto.com/91xueit/1131952，如需转载请自行联系原作者