Редакторы nat
Работа NAT базируется на анализе заголовков пакетов. Преобразователь адресов извлекает из заголовка пакета информацию о IP-адресах и номерах портов отправителя и получателя пакетов и в соответствии с полученными данными принимает решение о трансляции пакета. Для нормального функционирования механизма NAT необходимо, чтобы требуемая информация содержалась в заголовке пакета.
Существует целый ряд приложений и протоколов, которые размешают информацию об IP-адресе и номере TCP/UDP-порта непосредственно в теле пакета. В качестве примера можно привести протокол FTP, который для команды FTP PORT передает десятичное представление IP-адреса в теле команды. Если NAT неправильно транслирует IP-адрес внутри команды FTP, то могут возникнуть проблемы установки соединения.
Кроме того, существуют протоколы, вообще не использующие для передачи данных протоколы TCP или UDP (большинство протоколов использует для доставки пакетов транспортные протоколы TCP или UDP). Например, транспортный протокол РРТР не использует для доставки данных протоколы TCP или UDP. Вместо заголовков TCP или UDP используется специальный заголовок обшей инкапсуляции маршрутизации (Generic Routing Encapsulation, GRE) и специальное поле Tunnel ID для идентификации потока данных. Если бы NAT не транслировал это поле, то передача данных при помощи протокола РРТР через NAT была бы невозможна.
В подобных ситуациях администратор имеет возможность выполнить конфигурирование механизма NAT при помощи специального редактора. Редактор NAT представляет собой устанавливаемый компонент, позволяющий корректно изменять нетранслируемую иным способом информацию — так, чтобы она могла быть передана через механизм NAT. Редактор NAT позволяет сконфигурировать механизм NAT для трансляции и коррекции не только заголовков IP, TCP и UDP, но и служебной информации в теле пакетов.
Практическая часть
Настройка Windows 2003
Запускаем Windows 2003. Для удобства, переименовываем интерфейсы,
подключенные к Интернету и локальной вычислительной сети (1ап), в WAN и LAN, соответственно. Имена сетевых подключений примут следующий вид
Сетевые
подключения
Файл
Правка Вид Избранное Сервис
Дополнительно Справка
sr
lo
НазаД
т
Q
т
Ф | Поиск g
ПапкиЩЩ
S&
X Ю | 1ТН1т
Адрес;
|^< Сетевые подключения
1
▼
|
Переход
ЛВС
или высокоскоростной Интернет
LAN | с*0л WAN
Цо Подключено | W5 Подключено
уЬ | Intel(R) PRO/1 nnO Т серверн...
Мастер
Мастер
новых подключений
Рисунок 28 Имена сетевых подключений Windows 2003
Переходим к настройке ролей сервера
Админис
тратор
Управление
данным сервером
Мой
компьютер
1
i
П-,.
,.-,nL
,,П.Г
1
if
Прово Обзор
ролей и средс
:тв
управления данного сервера.
Командная
строка
|
Блокнот ^
4
Paint
А
Д М ИНИС Т р И р О Е; а н и
е
.
^
Принтеры
и факсы
Справка
и поддержка Поиск
Выполнить...
Все
программы ►
^
Выход
из системы ЩоЩ
Завершение
работы
Пуск
J
&
ф \
Запускаем мастер настройки сервера через кнопку «Добавить или удалить роль»
№. Управление данным сервером |
-|П|Х| |
||
^ Управление данным Поиск в центре справки и ■ сервером поддержки Сервер: X3VVF8DG9DU3RZ4 |
— |
IS |
|
3
Добавление ролей для данного сервера
Добавление ролей позволит серверу выполнять специальные задания, Например, роль сервера файлов позволяет серверу открыть общий доступ к файлам. Чтобы добавить роль, запустите мастер настройки сервера, щелкнув "Добавить или удалить роль".
Управление ролями данного сервера
Когда роль добавлена, вернуться на данную страницу за средствами и дополнительными сведениями о ежедневных заданиях можно будет в любое время.
1J Нет ролей для данного сервера. Чтобы добавить роль, ™ щелкните "Добавить или удалить роль".
Средства
и обновления
31
Добавить или удалить
□ОЛЬ
Администрирование
Средства Windows
Update
мл.
nrw™„,JЗапуск
работы мастера настройки сервера
|тере и
сервера
имени
домена
Конфигурация
усиленной безопасности Internet
Explorer
См.
также
Справка и поддержка
Microsoft TechNet
Развертывание и ресурсы
Список общих административных заданий
Сообщество пользователей сервера Windows Server
Новинки
Программа защиты стратегических технологий
W Не показывать эту страницу при входе в систему
Рисунок 30 Главное окно оснастки «Управление данным сервером»
В первом окне мастера проверяем необходимые требования и жмем «Далее», после проверки установленных сервисов в окне мастера выбираем «Особую конфигурацию» для ролей сервера
Мастер
настройки сервера
Параметры настройки
Можно добавить на сервер общий набор ролей или настроить его, указав добавляемые и удаляемые роли.
Настроить сервер, используя:
С Типовая настройка для первого сервера
Упрощение установки новых сетей за счет добавления общего набора ролей для первого сервера. Этот параметр устанавливает данный сервер в качестве контроллера домена с помощью установки службы каталогов Active Directory; устанавливает DNS-сервер и DHCP-сервер (если требуется) для управления IP-адресами; настраивает сетевую маршрутизацию; а также активизирует брандмауэр безопасности.
(• Особая конфигурация!
Настройте данный сервер, добавив такие необходимые роли как сервер файлов, сервер принтеров, сервер приложений. Этот параметр можно использовать и для удаления ролей с данного сервера,
< Назад |
Далее > |
|
Отмена |
|
Справка | |
Добавляем роль сервера в качестве «Сервера удаленного доступа»
Мастер
настройки сервера
Роль сервера
Данный сервер можно настроить на выполнение одной или нескольких конкретных ролей. Если требуется добавить на сервер более одной роли, можно повторно выполнить мастер.
Роль
сервера
^Настроено
Щ
Файл-сервер
Нет
Сервер
печати
Нет
Сервер
приложений (IIS,
ASP.NET)
Нет
Почтовый
сервер (POP3, SMTP)
Нет
Сервер
терминалов
Нет
(сервер
удаленного доступа или VPN-c..
Нет
1
Контроллер
домена (Active
Directory)
Нет
DNS-сервер
Нет
DHCP-сервер
Нет
Сервер
потоков мультимедиа
Нет
WINS-сервер
Нет
Сервер удаленного доступа или VPN-сервер
Серверы удаленного доступа или VPN позволяют удаленным клиентам входить в сеть с помощью удаленного доступа или безопасного подключения к виртуальной частной сети (VPN). Они также обеспечивают преобразование сетевых адресов (NAT), позволяющее всем компьютерам небольшой сети совместно использовать одно подключение к Интернету.
Сведения о серверах удаленного доступа и VFN-серверах
< Назад |
Далее > |
|
Отмена |
|
Справка | |
Рисунок 32 Выбор настраиваемой роли сервера
Переходим к мастеру настройки выбранной роли и жмем кнопку «Далее», запускается мастер установки сервера маршрутизации и удаленного доступа в котором также нажимаем кнопку «Далее». Следующее окно мастера предлагает выбрать конфигурацию службы, в нашем случае, выбираем «Преобразователь сетевых адресов (NAT)» и жмем кнопку «Далее»
Мастер
настройки сервера маршрутизации и
удаленного доступа
Конфигурация
Можно включить указанные службы в любом из этих сочетаний или выполнить настройку данного сервера.
С Удаленный доступ (VPN или модем]
Позволяет удаленным клиентам подключаться к этому серверу через удаленное подключение или безопасное подключение виртуальной частной сети (VPN)
'• [Преобразование сетевых адресов (NAT j
Позволяет внутренним клиентам подключаться к Интернету, используя один общий 1Р-адрес.
С Доступ к виртуальной частной сети (VPN) и NAT
Позволяет удаленным клиентам подключаться к данному серверу через Интернет и внутренним клиентам подключаться к Интернету, используя один общий I Р-адрес.
Безопасное соединение между двумя частными сетями
Позволяет подключить данную сеть к удаленной сети, например, к сети Филиала. С Особая конфигурация
Любая комбинация возможностей маршрутизации и удаленного доступа.
Дополнительные сведения об этих параметрах см. в справке о маршочтизации и чдаленном достчпе.
Назад .Далее > Отмена
На данном этапе выбираем интерфейс, подключенный к Интернету (в нашем случае - WAN)
Мастер
настройки сервера маршрутизации и
удаленного доступа
Подключение к Интернету на основе NAT
Для подключения клиентских компьютеров к Интернету можно выбрать существующий интерфейс или создать новый интерфейс вызова по
требованию.
(• Использовать общедоступный интерфейс для подключения к Интернету:
Имя | Описание | 1Р-эдрес
LAN AMD PCNET семейст... 192.168.100.1
jWAN fntef(R] PRO/I ООР Т с". mo:zl 5lDHCP]
С Создать интерфейс для нового подключения по требованию к Интернету
Интерфейс для нового подключения по требованию включается при обращении к Интернету. Выберите этот вариант, если этот сервер подключается через модем или с использованием Ethernet-протокола "точка-точка". Мастер интерфейса подключения по требованию запустится позже.
Обеспечить безопасность на данном интерфейсе, установив брандмауэр Брандмауэр предотвращает получение пользователями несанкционированного доступа к серверу через Интернет.
Подробнее о сетевых интерфейсах см. справку Маршочтизация и чдаленный
<
Назад
Отмена
Рисунок 34 Выбор внешнего интерфейса
Сейчас нас не интересуют службы DNS и DHCP и их настройкой мы займемся позднее, поэтому выбираем пункт «Установить службы сопостовления имен и адресов позднее» и жмем кнопку «Далее»
Мастер настройки сервера маршрутизации и удаленного доступа
Службы преобразования имен и адресов
Можно включить базовые службы назначения адреса и сопоставления имен.
Windows не удалось определить службы сопоставления имен и назначения адресов в этой сети (DNS и DHCP). Выберите способ доступа к этим службам:
Включить базовые службы назначения адреса и сопоставления имен
Служба "Маршрутизация и удаленный доступ" назначает адреса автоматически и перенаправляет запросы на сопоставление имен DNS-серверу в Интернете.
(• установить службы сопоставления имен и адресов позднее!
Выберите этот параметр если вы установили Active Directory в вашей сети, или в сети есть DHCP- или DNS-серверы.
<
Назад
Отмена
Попадаем на окно завершения мастера настройки, на котором проверяем устанавливаемые параметры и нажимаем «Готово», после чего происходит процесс установки и запуска службы «Маршрутизация и удаленный доступ», в конце установки выводится окно об успешной установке службы, нажимаем кнопку «Готово»
Мастер
настройки сервера
Внесенные
изменения записаны в журнал
настройки сервера, Для
закрытия мастера нажмите кнопку
"Готово".
Этот
сервер теперь является сервером
удаленного доступа или VPN-сервером
Данный
сервер успешно установлен как сервер
удаленного доступа и виртуальной
частной сети (VPN).
Для добавления или удаления другой
роли еще раз запустите мастер настройки
сервера.
Просмотр
следующих шагов для данной роли
Рисунок 36 Завершающее окно мастера настройки сервера
Переходим к процессу настройки NAT и маршрутизации. В окне
управления сервером нажимаем на кнопку «Управление удаленным доступом или VPN-сервером»
-|П|
Х|
Поиск
в
центре справки и поддержки
Сервер: X3VVF8DG9DU3RZ4
Средства
и обновления
Администрирование
Средства
Windows
Update
Сведения
о компьютере и имени домена
Конфигурация
усиленной безопасности Internet
Explorer
fcj|
Добавить
или удалить роль
{£)
Прочитать о ролях сервера
ч>
Дополнительно об удаленном
администрировании
Данный сервер настроен на следующие роли:
См. также
управление
удаленным доступом или VPN-i
Просмотр
шаги
для роли
Сервер
удаленного доступа/VPN
Серверы
удаленного доступа или VPN
позволяют удаленным клиентам входить
в сеть с помощью удаленного доступа
или безопасного подключения к виртуальной
частной сети (VPN).
Они также обеспечивают преобразование
сетевых адресов (NAT),
позволяющее всем компьютерам небольшой
сети совместно использовать одно
подключение к Интернету.
Открытие
консоли для настроики и управления
службой маршрутизации и удаленного
доступа.
Справка
и поддержка Microsoft
TechNet
Развертывание и ресурсы
Сообщество
пользователей сервера Windows
Server
Программа
защиты стратегических технологий
Открывается окно «Маршрутизация и удаленный доступ». Перейдем по дереву объектов Маршрутизация и удаленный доступ к позиции IP- маршрутизация | Общие
±L Маршрутизация и удаленный доступ |
|
||
Консоль Действие Вид Справка |
|||
ф=Н1 S |
ни |
| X й? ш щ ш |
|
Общие
Интерфейс V |
| Тип |
| 1Р-адрес |
| Состояние а |
^Замыкание на себя |
Замыкание н... |
127.0.0.1 |
Работает |
^Внутренний |
Внутренний |
Недоступно |
Нет данных |
■^WAN |
Выделенный |
10.0.2.15 |
Работает |
шш |
Выделенный |
192.168,100.1 |
Работает ] |
Маршрутизация
и удаленный досту м Состояние сервера
0 X3VVF8DG9DU3R24
(локально)
|
Интерфейсы сети Й-jl
1Р-маршрутизация -_§J_
Общие
Статические
маршруты JE
IGMP
NAT/Простой
6рандмауэ| ЙПолитика
удаленного досту В- С_) Ведение журнала
удаленно!
Рисунок 38 Окно оснастки «Маршрутизация и удаленный доступ»
Вызываем свойства интерфейса LAN и на вкладке общие проверяем
Границы
многоадресной области |
Пульс
м
н огоад ресной рассылки
Общие
Конфигурация
■ЦД
IP-интерФейс
тг
W
Юключить диспетчер 1 Р-маршрутизаций
Г"
Включить объявления обнаружения
маршрутизатора
Время
жизни объявления (мин):
30
Уровень
предпочтения:
1°“
Отправлять
объявления в этом интервале:
минимальное
время [мин):
7
максимальное
время [мин):
F"
Фильтры
входа... Фильтры выхода...
I”
Включить проверку фрагментации
Свойства:
WAIN
OK
Отмена
Применить
Границы
многоадресной области | Пульс
м
н огоад ресной рассылки
Общие
Конфигурация
"ЗЙ
IP-интерФейс
тг
W
Юключить диспетчер 1 Р-маршрутизаций
Г"
Включить объявления обнаружения
маршрутизатора
Время
жизни объявления (мин):
30
_l
Уровень
предпочтения:
1°“
_l
Отправлять
объявления в этом интервале:
минимальное
время [мин):
7
-J -J
максимальное
время [мин):
F"
-J -J
Фильтры
входа... Фильтры выхода...
I”
Включить проверку фрагментации
OK
Отмена
Применить
Переходим к следующему объекту дерева в левой части окна IP- маршрутизация | Статические маршруты