項目11部署信息中心的NAT網絡服務項目學習目標掌握NAT（網絡地址轉換）的概念與應用。掌握靜態NAT、動態NAT、靜態NAPT、動態NAPT的工作原理與應用。掌握ACL（訪問控制列表）的工作原理與應用。掌握企業網出口設備NAT服務部署的業務實施流程。掌握企業網路由設備ACL功能部署的業務實施流程。項目描述項目分析項目分析相關知識項目任務目錄項目描述項目描述Jan16公司原先通過撥號接入Internet，并使用公司服務器為用戶提供Web服務。隨著公司業務系統和服務器數量的增加，公司向運營商租用了5個公網IP地址用于滿足公司網絡接入需求，并按業務需求增加了服務器，調整了網絡訪問策略，具體要求如下。允許公司所有部門計算機訪問外網。將部署在信息中心的公司門戶網站（:80）映射到外網（:80）。將部署在信息中心的FTP服務器（）映射到外網（）。禁止其他部門（含信息中心）計算機訪問財務部的財務系統服務器（），財務部服務器僅用于財務部內部通信。項目描述公司網絡拓撲結構和各網絡IP地址情況如圖11-1所示。圖11-1公司網絡拓撲結構和各網絡IP地址情況項目分析項目分析計算機要訪問Internet，首先需要獲得一個公網IP地址，目前大部分計算機訪問公網是通過撥號方式獲得一個公網IP地址，然后通過這個公網IP地址訪問Internet。當前，常用的公網地址為IPv4，我國大約分配到3.4億個，因Internet用戶急劇增加，該地址目前已成為緊缺資源，為滿足更多的用戶接入Internet，NAT（網絡地址轉換）技術應運而生，它允許局域網（私網）共享一個或多個公網IP地址接入Internet，這樣既可以使普通計算機接入公網，還可以減少IPv4地址的使用量。在本項目中，公司申請了5個固定的公網IP地址，管理員可以使用NAT的各種技術類型來實現本項目的需求，具體涉及以下工作任務。部署動態NAPT，實現公司計算機訪問外網。部署靜態NAPT，將公司門戶網站發布到Internet上。部署靜態NAT，將FTP服務器發布到Internet上。部署ACL，限制其他部門訪問財務部服務器。相關知識11.1

NATNAT的英文全稱是“Network

Address

Translation”，即“網絡地址轉換”，是一種把內部私有網絡地址轉換成合法的外部公有網絡地址的技術。當今的Internet使用TCP/IP實現了全世界計算機的互相通信，每一臺連入Internet的計算機要和其他的計算機通信，都必須擁有一個唯一的、合法的IP地址，此IP地址由網絡信息中心（

NIC）統一進行管理和分配。NIC分配的IP地址是公有的、合法的IP地址，這些IP地址具有唯一

性，連入Internet的計算機只要擁有NIC分配的IP地址就可以和其他計算機進行通信。但是，由于當前常用的TCP/IP協議版本是IPv4，它具有天生的缺陷，即IP地址數量不夠多，難以滿足目前爆炸式增長的IP地址需求。所以，不是每一臺計算機都能申請并獲得NIC分配的IP

地址。一般，需要連上Internet的個人或家庭用戶，通過因特網服務提供方（ISP）間接獲得合法的公有IP地址（例如，用戶通過ADSL線路撥號，從電信獲得臨時租用的公有IP地址）；大

型機構可能直接向NIC申請并使用永久的公有IP地址，也可能通過ISP間接獲得永久或臨時的公有IP地址。11.1

NAT無論通過哪種方式獲得公有IP地址，實際上當前的可用IP地址數量都依然不足。IP地址作為有限的資源，NIC為網絡中數以億計的計算機都分配公有IP地址是不可能的。同時，為了使計算機能夠具有IP地址并在專用網絡（內網）中通信，NIC定義了供專用網絡內的計算機使用的專用IP地址。這些IP地址是在局部使用的（非全局的、不具有唯一性）、非公有的（私有的）IP地址，其地址范圍具體如下。（1）A類IP地址：～55。（2）B類IP地址：～55。（3）C類IP地址：～55。組織機構可根據自身園區網規模的大小以及計算機數量的多少來采用不同類型的專用地址范圍或者它們的組合。但是，這些IP地址不可能出現在Internet上，也就是說，源地址或目的地址為專用IP地址的數據包不能在Internet上傳輸，這樣的數據包只能在內部專用網絡中傳輸。11.1

NAT如果專用網絡的計算機要訪問Internet，則組織機構在連接Internet的設備上至少需要設置一個公有IP地址，然后采用NAT技術，將內部專用網絡的計算機的專用IP地址轉換為公有IP地址，

從而讓使用專用IP地址的計算機能夠和Internet的計算機進行通信。如圖11-2所示，通過NAT設備，將專用網絡內的專用IP地址和公有IP地址互相轉換，從而使專用網絡內使用專用IP地址的

計算機能夠和Internet的計算機進行通信。圖11-2

NAT地址轉換示意也可以說，NAT就是將網絡地址從一個地址空間轉換到另一個地址空間的一種技術。從技術原理的角度來講，NAT分成四種類型：靜態NAT、動態NAT、靜態NAPT及動態NAPT。11.1

NAT1．靜態NAT靜態NAT是在路由器中將內網IP地址固定地轉換為外網IP地址的技術，通常應用在允許外網用戶訪問內網服務器的場景。靜態NAT的工作過程如圖11-3所示。內部專用網絡采用/24的C類專用地址，并采用帶有NAT功能的路由器和Internet互聯，路由器左邊的網卡連接內部專用網絡（左邊網卡的IP地址是54/24），右邊的網卡連接Internet（右邊網卡的IP地址是/24），而且路由器還有多個公有IP地址可被轉換使用（～），Internet上的計算機C的IP地址是/24。假設外部公用網絡的計算機C需要和內部專用網絡的計算機A通信，其通信過程如下。圖11-3靜態NAT的工作過程11.1

NAT第①步：計算機C發送數據包給計算機A，數據包的源IP地址（Source

Address，SA）為，目的IP地址（Destination

Address，DA）為（在外網中，計算機A的IP地址為）。第②步：數據包經過路由器時，路由器將查詢本地的靜態NAT映射表，找到映射條目后將數據

包的目的IP地址（）轉換為內部專用IP地址（），源IP地址保持不變。NAT路由器上有一個公有的IP地址池，在本次通信前，網絡管理員已經在NAT路由器上設置了靜態

NAT地址映射關系，指定與映射。第③步：轉換后的數據包經過在內網中傳輸，最終被計算機A接收。第④步：計算機A收到數據包后，將響應內容封裝在目的IP地址為的數據包中，然后將該數據包發送出去。11.1

NAT第⑤步：目的IP地址為的數據包到達路由器后，路由器將對照自身的靜態NAT映射表，找出對應關系，將源IP地址轉換為，然后將該數據包發送到外部公用網絡中。第⑥步：目的IP地址為的數據包在外部公用網絡中傳送，最終到達計算機C。計算機C通過數據包的源IP地址（）只能知道此數據包是路由器發送過來的，實際上，該數據包是計算機A發送的。靜態NAT主要用于專用網絡內的服務器需要對外提供服務的場景，由于它采用固定的一對一的內外網IP地址映射關系，因此，外網的計算機通過訪問這個外網IP地址就可以訪問內網的服務器。11.1

NAT2．動態NAT動態NAT是將一個內部IP地址轉換為一組外部IP地址池中的一個IP地址（公有地址）的技術。動態NAT和靜態NAT在地址轉換上很相似，只是可用的公有IP地址不是被某個專用網絡的計算機永久獨自占有的。動態NAT的工作過程如圖11-4所示。與靜態NAT類似，動態NAT的路由器上有一個公有IP地址池，地址池中有四個公有IP地址：/24～/24。假設內部專用網絡的計算機A需要和Internet的計算機C通信，其通信過程如下。圖11-4動態NAT的工作原理11.1

NAT第①步：計算機A發送源IP地址為的數據包給計算機C。第②步：數據包經過路由器時，路由器采用NAT技術，將數據包的源IP地址（）轉換為公有IP地址（）。為什么會轉換為？路由器上的地址池中有多個公有IP地址，當需要進行地址轉換時，路由器會在地址池中選擇一個未被占用的地址來進行轉換。這里假設四個地址都未被占用，路由器挑選了第一個未被占用的地址。如果緊接著計算機A要發送數據包到Internet，則路由器會挑選第二個未被占用的IP地址（也就是）來進行轉換。地址池中公有IP地址的數量決定了內網計算機可以同時訪問Internet的計算機的數量，如果地址池中的IP地址都被占用，那么內網的其他計算機就不能和Internet的計算機通信。當內網計算機和外網計算機的通信結束后，路由器將釋放被占用的公有IP地址，這樣，被釋放的IP地址則又可

以為其他內網計算機提供公網接入服務。第③步：源地址為的數據包在Internet上轉發，最終被計算機C接收。第④步：計算機C收到源地址為的數據包后，將響應內容封裝在目的IP地址為的數據包中，然后將該數據包發送出去。11.1

NAT第⑤步：目的IP地址為數據包最終經過路由轉發，到達連接專用網絡的路由器上，路由器對照自身的動態NAT映射表，找出對應關系，將目的IP地址為的數據包轉換為目的IP地址為的數據包，然后發送到內部專用網絡中。第⑥步：目的IP地址為的數據包在專用網絡中傳送，最終到達計算機A。計算機A通過數據包的源IP地址（）可知道此數據包是Internet上的計算機C發送過來的。動態NAT的內外網映射關系為臨時關系，因此，它主要用于內網計算機臨時對外提供服務的場景。考慮公司申請的公有IP地址的數量有限，而內網計算機數量通常遠大于公有IP地址數量，因此，它不適合為內網計算機提供大規模上網服務場景，解決這類問題需要使用動態NAPT。11.1

NAT3．動態NAPT動態NAPT是以IP地址及端口號（TCP或UDP協議）為轉換條件，將專用網絡的內部專用IP地址及端口號轉換成外部公有IP地址及端口號的技術。在靜態NAT和動態NAT中，都是“IP地址”到“IP地址”的轉換關系，而動態NAPT，則是“IP地址+端口號”到“IP地址+端口號”的轉

換關系。“IP地址”到“IP地址”的轉換關系局限性很大，因為公網IP地址一旦被占用，內網的其他計算機就不能再使用該公網IP地址訪問外網。“IP地址+端口號”的轉換關系則非常靈活，一個IP地址可以和多個端口號進行組合（自由使用的端口號有幾萬個：1024～65

535），所以，路由器上可用的網絡地址映射關系條目數量有很多，完全可以滿足大量的內網計算機訪問外網的需求。11.1

NAT動態NAPT的工作過程如圖11-5所示。假設內部專用網絡的計算機A要訪問外部公用網絡的服務器B的Web站點，其通信過程如下。第①步：計算機A發送數據包給服務器B。數據包的源IP地址為，源端口號為2000（2000是為一計算機A隨機分配的端口號）；數據包的目的IP地址為，目的端口號為80（Web服務器默認端口號是80）。圖11-5動態NAPT的工作過程11.1

NAT第②步：數據包經過路由器時，路由器采用動態NAPT技術，以“IP地址+端口號”的形式進行

轉換。數據包的源IP地址及源端口號將從:2000轉換為:3000（3000是路由器隨機分配的端口號），目的IP地址及目的端口號不變，仍然指向服務器B的Web服務。轉換后的源IP地址為路由器在外網的接口IP地址，源端口號為路由器上未被使用的可分配端口號，這里假設為3000。第③步：轉換后的數據包在Internet上轉發，最終被服務器B接收。第④步：服務器B收到數據包后，將響應內容封裝在目的IP地址為，目的端口號為3000的數據包中（源IP地址及端口號為:80），然后將數據包發送出去。第⑤步：響應的數據包最終經過路由轉發，到達連接專用網絡的路由器上，路由器對照動態NAPT映射表，找出對應關系，將目的IP地址及端口號為:3000的數據包轉換為目的IP地址及端口號為:2000的數據包，然后發送到內部專用網絡中。11.1

NAT第⑥步：目的IP地址及端口號為:2000的數據包在內部專用網絡中傳送，最終到達計算機A。計算機A通過數據包的源IP地址及端口號（:80）知道此數據包是外部專用網絡的服務器B發送過來的。動態NAPT的內外網“IP地址+端口號”映射關系是臨時性的，因此，它主要應用在為內網計算機提供外網訪問服務的場景。典型的應用有：家庭的寬帶路由器擁有動態NAPT功能，它可以

滿足家庭電子設備訪問Internet的需求；網吧的出口網關也擁有動態NAPT功能，它可以滿足網吧計算機訪問Internet的需求。11.1

NAT4．靜態NAPT靜態NAPT是在路由器中以“IP地址+端口號”形式，將內網IP地址及端口號固定地轉換為外網IP地址及端口號的技術，應用在允許外網用戶訪問內網計算機特定服務的場景。靜態NAPT的工作工程如圖11-6所示。假設外部專用網絡的計算機B需要訪問內部專用網絡的服務器A的Web站點，其通信過程如下。圖11-6靜態NAPT的工作原理11.1

NAT第①步：計算機B發送數據包給服務器A。數據包的源IP地址為，源端口號為2000；數據包的目的IP地址為，目的端口號為80（Web服務器默認端口號是80）。第②步：數據包經過路由器時，路由器查詢靜態NAPT映射表，找到對應的映射條目后，數據

包的目的IP地址及目的端口號將從:80轉化為:80，源IP地址及源端口號不變。這里轉換后的目的IP地址為內網服務器A的IP地址，目的端口號為服務器A的Web服務端口號。第③步：轉換后的數據包在內部專用網絡上轉發，最終被服務器A接收。第④步：服務器A收到數據包后，響應內容封裝在目的IP地址為，目的端口號為2000的數據包中，然后將數據包發送出去。第⑤步：響應數據包經過路由轉發，將到達路由器上，路由器對照靜態NAPT映射表，找出對應關系，將源IP地址及端口號為:80的數據包轉換為源IP地址及端口號為:80的數據包，然后發送到Internet中。11.1

NAT第⑥步：目的IP地址及端口號為:2000的數據包在Internet中傳送，最終到達計算機B。計算機B通過數據包的源IP地址及端口號（:80）知道這是它訪問Web服務的響應數據

包。但是，計算機B并不知道Web服務其實是由內部專用網絡的服務器A提供的，它只知道這個

Web服務是由Internet上的IP地址為的機器提供的。靜態NAPT的內外網“IP地址+端口號”映射關系是永久性的，因此，它主要應用在內網服務器的指定服務（如Web、FTP等）向外網提供服務的場景。典型的應用有：公司將內網的門戶網站映射到公網IP地址的80端口上，滿足Internet用戶訪問公司門戶網站的需求。11.2

訪問控制列表路由器不僅用于實現多個局域網的互聯，其在數據包的存儲轉發中還可以通過過濾特定的數據包實現網絡安全訪問控制、流量控制等功能。訪問控制列表可以針對數據包的源地址、目的地址、傳輸層協議、端口號等條件設置匹配規

則。訪問控制列表由若干條規則組成，也被稱為接入控制列表，每一個接入控制列表都聲明了滿足該表項的匹配條件及行為。通過建立ACL，可保證網絡資源不被非法用戶訪問，還可以限制網絡流量，提高網絡性能，對通信流量起到控制的作用。在路由器的端口上配置ACL后，可以對入站端口和出站端口的數據包進行安全檢測，下面通過兩個案例進行說明。11.2

訪問控制列表案例1：在如圖11-7所示的網絡拓撲結構中，工資管理系統服務器的數據屬于機密性數據的，公司僅允許財務主管和人事主管的計算機可以訪問它。圖11-7案例1網絡拓撲結構11.2

訪問控制列表管理員可以創建一個如圖11-8所示的針對路由器端口1的入站訪問控制列表，路由器在端口1根據入站規則對所有請求訪問工資管理系統服務器的數據包進行匹配，人事主管的計算機HRPC

和財務主管的計算機CWPC滿足圖11-8中的兩條篩選器匹配規則，根據篩選器操作規則（匹配

行為）允許其訪問Server1；普通員工的計算機PC1因不滿足匹配條件，根據篩選器操作規則

將丟棄請求數據包（拒絕訪問）。這里需要特別注意的是，在篩選規則中，因為源地址和目標地址都是指向一臺計算機的，源網站所以掩碼均采用55。圖11-8路由器端口1的入站篩選規則11.2

訪問控制列表案例1是一個將ACL應用到入站方向的例子，篩選器規則為【丟棄所有的數據包，滿足下面條

件的除外】。當設備端口收到數據包時，首先確定ACL是否被應用到了該端口，如果沒有，則正常轉發該數據包。如果有，則處理ACL，從第一條語句開始，將條件和數據包內容進行比

較，如果沒有匹配，則處理列表中的下一條語句，如果匹配，則接收該數據包，如果在整個列表中都沒有找到匹配的規則，則丟棄該數據包，流程如圖11-9所示。圖11-9入站篩選ACL（默認拒絕）流程圖11.2

訪問控制列表根據案例1，我們可以得到入站篩選規則為【接收所有數據包，滿足下面條件的除外】的流程，如圖11-10所示。圖11-10入站篩選ACL（默認允許）流程11.2

訪問控制列表案例2：在如圖11-11所示的網絡拓撲結構中，公司在服務器1上提供FTP服務和Web服務，其中，Web服務用于提供公司客戶關系系統（Web服務使用默認端口發布）。基于安全考慮，對于Web服務：公司不允許生產部計算機訪問該客戶關系系統，其他部門則不受限制。對于FTP服務：所有部門都可以訪問。圖11-11案例2網絡拓撲結構11.2

訪問控制列表管理員可以創建一個如圖11-12所示的針對路由器端口3的出站訪問控制列表，這時路由器R1在端口3根據出站規則對所有請求訪問服務器1的數據包進行匹配。圖11-12路由器端口3的出站篩選規則11.2

訪問控制列表生產部計算機訪問服務器1的Web服務時，因不滿足匹配規則，根據篩選器操作規則將丟棄請求數據包（拒絕訪問），而訪問FTP服務時，因滿足匹配規則，根據篩選器操作規則將允許訪問；業務部計算機和人事部計算機訪問服務器1時，因滿足匹配規則，根據篩選器操作規則將允許訪問服務器1。該案例也可以運用入站篩選規則，讀者可以思考一下如何設計入站篩選ACL。11.2

訪問控制列表案例2是一個將ACL應用到出站方向的例子，篩選器規則為【傳輸所有除符合下列條件以外的數據包】，流程如圖11-13所示。圖11-13出站篩選ACL（默認拒絕）流程11.2

訪問控制列表同理，圖11-14所示為篩選規則為【丟棄所有數據包，滿足下面的條件除外】的流程。圖11-14出站篩選ACL（默認允許）流程11.2

訪問控制列表通過案例1和案例2可以了解到Windows

Server

2012

R2的訪問控制列表是通過應用在物理接口上的入站篩選器和出站篩選器來實現的。無論哪種篩選器，對于每個訪問控制列表，都可以建立多個訪問控制條目，這些條目定義了匹配數據包所需要的條件。這些條件可以是協議號、源IP地址、目的IP地址、源端口號、目的端口號或者是它們的組合。當數據包通過路由器接口時，篩選器從上至下掃描訪問控制條目，只要數據包的特征條件符合訪問控制條目中定義的條件，就可以匹配成功并應用相應操作（拒絕或允許數據包通過）。應用操作后，篩選器不再對數據包進行匹配操作，也就是說，當前的訪問控制條目已經和數據包匹配，篩選器不再處理剩下的訪問控制條目。部署動態NAPT，實現公司計算機訪問外網任務規劃公司申請了5個固定的公網IP地址用于接入Internet，為滿足公司計算機接入外網，公司要求網絡管理員在出口路由器上部署動態NAPT，實現公司計算機訪問外網。信息中心網絡拓撲結構如圖11-15所示。圖11-15信息中心網絡拓撲結構任務規劃按項目實施策略，公司先在信息中心進行部署測試，通過后再部署到其他部門。路由器的動態NAPT功能可以實現內網計算機共享路由器的公網IP地址來訪問外網，因此，網絡管理員可以在路由器上安裝NAT服務，并配置動態NAPT服務，就可以實現信息中心的計算機訪問外網。在Windows

Server

2012

R2上部署動態NAPT的主要步驟如下。安裝NAT服務。配置動態NAPT服務。任務實施1．安裝NAT服務（1）在【服務器管理器】窗口中，單擊【添加角色和功能】鏈接，如圖11-16所示。圖11-16【服務器管理器】窗口任務實施在【安裝類型】界面中，選擇【基于角色或基于功能的安裝】選項，單擊【下一步】按鈕。在【服務器選擇】界面中，保持默認配置并單擊【下一步】按鈕。在【服務器角色】界面中，勾選【遠程訪問】復選框，如圖11-17所示，并單擊【下一步】按鈕。圖11-17添加遠程訪問角色任務實施在【功能】界面中，保持默認配置并單擊【下一步】按鈕。在【遠程訪問】界面中直接單擊【下一步】按鈕。在【角色服務】界面中，勾選【DirectAccess和VPN(RAS)】和【路由】復選框并在彈出的【添加角色和功能向導】對話框中，單擊【添加功能】按鈕，然后單擊【下一步】按鈕，如圖11-18和圖11-19所示。圖11-18選擇路由角色圖11-19添加路由所需的功能任務實施在【Web服務器角色(IIS)】選項卡中單擊【下一步】按鈕。在【角色服務】選項卡中，保持默認配置并單擊【下一步】按鈕。在【確認】選項卡中單擊【安裝】按鈕，開始安裝，結果如圖11-20所示。圖11-20添加角色確認界面任務實施（11）安裝完成后的結果如圖11-21所示。圖11-21

NAT服務安裝成功任務實施2．配置動態NAPT服務（1）打開【路由和遠程訪問】窗口：在【服務器管理器】窗口的【工具】下拉菜單中選擇【路由和遠程訪問】命令，打開如圖11-22所示的【路由和遠程訪問】管理控制臺。圖11-22路由遠程訪問主窗口任務實施（2）在控制臺樹中，右擊【ROUTER(本地)】選項，彈出如圖11-23所示的快捷菜單，選擇【配置并啟用路由和遠程訪問】命令。圖11-23選擇【配置并啟用路由和遠程訪問】命令任務實施在彈出的【路由和遠程訪問服務器安裝向導】界面中，單擊【下一步】按鈕。在如圖11-24所示的【配置】視圖中，選擇【網絡地址轉換(NAT)】單選按鈕，然后單擊【下一步】按鈕。圖11-24新建NAT任務實施（5）在如圖11-25所示的【NAT

Internet連接】視圖中，選擇【使用此公共接口連接到

Internet】單選按鈕，然后選擇路由器連接外網的網卡，最后單擊【下一步】按鈕。圖11-25選擇NAT外網接口任務實施（6）在如圖11-26所示的【名稱和地址轉換服務】視圖中選擇【啟用基本的名稱和地址服務】單選按鈕，然后單擊【下一步】按鈕。圖11-26啟用基本的名稱和地址服務任務實施（7）在如圖11-27所示的【地址分配范圍】視圖中，查看網絡地址和子網掩碼的分配范圍，確認無誤后，單擊【下一步】按鈕。圖11-27地址分配范圍任務實施（8）確認如圖11-28所示的【摘要】內容無誤后，單擊【完成】按鈕，完成動態NAPT服務的配置。圖11-28路由和遠程訪問服務器安裝向導【摘要】內容任務驗證任務驗證（1）在公司客戶端（WIN-CLIENT）的命令提示符窗口中，執行【ping

0】命令，測試與外網Web服務器0的連通性，結果如圖11-29所示，表明內網客戶機和外網Web服務器可以正常通信。圖11-29測試與外網Web服務器0的連通性任務驗證（2）通過客戶端的瀏覽器訪問Web服務器，在瀏覽器上輸入【/】，結果顯示內網客戶機可以正常訪問外網，如圖11-30所示。圖11-30正常訪問外網任務驗證（3）打開NAT服務器的【路由和遠程訪問】窗口，在如圖11-31所示的外網接口的右鍵快捷菜單中，選擇【顯示映射】命令，在彈出的【NAT-SERVER-網絡地址轉換會話映射表格】對話

框中可以看到【內網客戶機和外網Web站點的映射關系】，如圖11-32所示。圖11-31選擇【顯示映射】命令圖11-32內網客戶機和外網Web站點的映射關系部署靜態NAPT，將公司門戶網站發布到Internet上任務規劃公司在信息中心的Web服務器上部署了公司門戶網站（:80），為方便用戶通過門戶網站了解公司產品和辦理相關業務，公司要求網絡管理員在出口路由器上部署靜態NAPT，將內網Web服務器的網站發布到Internet上。信息中心網絡拓撲結構如圖11-33所示。圖11-33信息中心網絡拓撲任務規劃路由器的靜態NAPT功能可以將內網計算機上的特定服務永久地映射到外網，這些服務通常為FTP、Web、流媒體、電子郵件等。這樣，外網計算機就可以通過訪問其映射的外網地址來訪問這些服務。在Windows

Server

2012

R2上部署靜態NAPT的主要步驟如下。配置NAT的IP地址池。配置靜態NAPT映射。任務實施1．配置NAT的IP地址池（1）打開【路由和遠程訪問】管理控制臺，選擇左側【IPv4】下的【NAT】選項，查看如圖

11-34所示的NAT管理界面。圖11-34

NAT管理界面任務實施（2）在如圖11-35所示的【外網】接口的右鍵快捷菜單中選擇【屬性】命令。圖11-35【外網】接口的右鍵快捷菜單任務實施（3）在彈出的【外網屬性】對話框中選擇【地址池】選項卡，如圖11-36所示。圖11-36

NAT服務的【地址池】選項卡任務實施（4）單擊【添加】按鈕，在彈出的【添加地址池】對話框中，輸入路由器的公網地址池

/24～/24，結果如圖11-37所示。然后單擊【確定】按鈕，完成IP地址池的配置。圖11-37添加IP地址池任務實施注意：在添加IP地址池之前，要先確認NAT服務器的外網網絡適配器是否添加了“～”這四個公網IP地址。管理員在命令提示符窗口中執行【ipconfig】命令，可以看到NAT服務器的外網網絡適配器上新增的四個公網IP地址，結果如圖11-38所示。圖11-38通過【ipconfig】命令查看NAT路由器的IP地址任務實施2．配置靜態NAPT映射（1）在如圖11-39所示的【外網屬性】對話框中選擇【服務和端口】選項卡。圖11-39靜態NAPT的【服務和端口】選項卡任務實施（2）單擊【添加】按鈕，在彈出的【添加服務】對話框中輸入服務描述、公網映射的IP地址及端口、內網Web服務器的IP地址及端口、協議類型等信息，結果如圖11-40所示。圖11-40靜態NAPT的Web映射配置界面任務實施（3）單擊【確定】按鈕，完成靜態NAPT映射的配置，結果如圖11-41所示。圖11-41完成靜態NAPT映射的配置任務驗證任務驗證在完成靜態NAPT映射的配置之后，管理員可以通過Internet上的計算機測試公司網站的訪問情況，同時可以通過監視NAT服務器的鏈接映射來查看NAPT的映射記錄。（1）在外網客戶機上打開IE瀏覽器訪問公司門戶網站，結果如圖11-42所示。圖11-42通過公網計算機訪問公司門戶網站任務驗證（2）回到NAT服務器，在如圖11-43所示的【外網】接口的右鍵快捷菜單中選擇【顯示映射】命令。圖11-43【外網】接口的右鍵快捷菜單任務驗證（3）從彈出的【NAT-SERVER-網絡地址轉換會話映射表格】對話框中，可以看到如圖11-44所示的外網計算機、NAT服務器和內網Web服務器的地址映射結果。圖11-44外網計算機、NAT服務器和內網Web服務器的地址映射結果部署靜態NAT，將FTP服務器發布到Internet上任務規劃公司信息中心的FTP服務器兼具其他服務，包括非TCP和UDP的服務，為方便公司員工在外網訪問它，公司要求網絡管理員在出口路由器上部署靜態NAT，讓公司員工在家中或出差時均能訪問它。信息中心網絡拓撲結構如圖11-45所示。圖11-45公司網絡拓撲任務規劃路由器的靜態NAT功能可以將內網計算機永久地映射到外網。這樣，外網計算機就可以通過訪問其映射的外網IP地址訪問它。在Windows

Server

2012

R2

上部署靜態NAT的主要步驟為：配置靜態NAT映射。任務實施1．配置靜態NAT映射在任務11-2中，管理員已經在NAT服務器上部署了IP地址池，因此本任務可以直接進行靜態NAT映射的配置。（1）打開【路由和遠程訪問】管理控制臺，并依次展開【NAT-SERVER(本地)】→【IPV4】→【NAT】，然后在右側的【NAT】接口列表中選擇接入外網的接口，在該接口的右鍵快捷菜單中選擇【屬性】命令，打開該接口屬性對話框的【地址池】選項卡，結果如圖11-46所示。圖11-46【地址池】選項卡任務實施單擊【保留】按鈕，在彈出的【地址保留】對話框中單擊【添加】按鈕，在彈出的如圖

11-47所示的【添加保留】對話框中輸入公網（公用）IP地址【】，內網（專用網絡）IP地址【】，并勾選【允許將會話傳入到此地址】復選框。連續單擊【確定】按鈕，返回【路由和遠程訪問】管理控制臺，完成靜態NAT映射的配置。圖11-47【添加保留】對話框任務驗證任務驗證完成靜態NAT映射的配置后，管理員可以通過一臺外網計算機測試公司FTP服務器的訪問情況，測試方式包括訪問其FTP站點、遠程桌面登錄等。訪問成功后還可以在NAT服務器上查看地址

映射表。（1）在外網客戶機上打開命令提示符窗口，分別執行【ping

】和【ping

】命令，結果如圖11-48所示。從ping命令返回的TTL值可以看出，后一個命令顯示它經過了NAT路由器的轉發（TTL原值為128，經NAT路由器轉發后，TTL值變為126），因此，根據網絡拓撲結構，可以確定NAT轉換成功。圖11-48執行【ping

】命