5.1 实战:配置Windows路由和NAT
实战目标:
ü 能够在虚拟环境中配置和测试路由网络
ü 能够将Windows Server 2008启用路由功能
ü 能够在添加静态路由
ü 能够查看计算机的路由表
ü 能够在Windows路由器上配置数据包过滤
ü 能够在Windows路由器上配置动态路由RIP
ü 配置NAT
ü 配置端口映射
网络环境:
企业环境:
从安全考虑,将企业计算机按照部门分成3个网段,各个网段使用Windows Server 2008 配置的路由器连接,Router2连接研发部网络和市场部网络,Router1连接市场部网络和销售部网络,NATServer服务器连接销售部和Internet,公网IP地址是23.23.2.2,WebServer位于销售部网络,是企业的Web站点。
企业要求:
ü 实现内网三个网段相互完全访问
ü 研发部不允许访问Internet
ü 市场部和销售部允许访问Internet
ü 允许Internet用户访问WebServer
ü 能够在Internet使用终端服务管理WebServer
实验环境:
ü Router1、Router2和NATServer安装Windows Server 2008操作系统,有2块网卡。
ü WebServer安装Windows Server 2008操作系统,并安装Web服务器角色和启用远程桌面。
ü ZhangPC位于研发部网络,安装Vista企业版操作系统。
ü WangPC位于Internet,安装Vista企业版操作系统。
5.1.1 在Router1上安装和配置路由和远程访问
任务:
ü 更改重名本地连接
ü 更改IP地址和子网掩码以及首选DNS
ü 安装路由和远程访问服务
ü 启用并配置路由和远程访问服务
ü 添加到销售部网络的静态路由
ü 添加到Internet的网络的静态路由
ü 查看路由表
步骤:
1. 在Router1上,点击“开始”à“设置”à“网络连接”,打开网络连接,将连接市场部网络的网络连接重命名为“市场部网络”,将连接研发部网的网络连接重名名为“研发部网络”。
2. 如图,将“研发部网络”的IP地址设置成172.16.3.1。
3. 将“市场部网络”的IP地址设置成172.16.2.2。
4. 打开服务器管理器,点击“添加角色”。
5. 在出现的开始之前对话框,点击“下一步”。
6. 在选择服务器角色对话框,选中“网络策略和访问服务”,点击“下一步”。
7. 在出现的网络策略和访问服务对话框,点击“下一步”。
8. 在出现的选择角色服务对话框,选择“路由和远程访问服务”、“远程访问服务”和“路由”。
9. 在出现的确认选择对话框,点击“安装”。
10. 安装完成后,在安装结果对话框,点击“关闭”。
11. 点击“开始”à“程序”à“管理工具”à“路由和远程访问”,打开路由和远程访问管理工具。
12. 右击Router1,点击“配置并启用路由和远程访问”。
13. 在出现的欢迎使用路由和远程访问服务器安装向导对话框,点击“下一步”。
14. 在出现的配置对话框,选择“自定义”,点击“下一步”。
15. 在出现的自定义配置对话框,选中“LAN路由”,点击“下一步”。
16. 在出现的正在完成路由和远程访问服务器安装向导对话框,点击“完成”,在出现的启动服务对话框,点击“启动服务”。
17. 在IPv4下面,右击“静态路由”,点击“显示IP路由表”。
18. 可以看到对于路由器直接连接的网段,不需要添加,就已经出现在路由表中了。
19. 右击“静态路由”,点击“新建静态路由”。
20. 在出现的IPv4静态路由对话框,输入目标网段,选择到达目标网段的接口,以及网关,就是下一个路由器的IP地址,点击“确定”。
21. 在添加一条到Internet网络的路由,目标是0.0.0.0,网络掩码是0.0.0.0,选择到Internet的接口,以及下一个路由器的IP地址。
提示:这和在“市场部网络”网络连接设置网关是等价操作。
22. 再次查看路由表可以看到刚刚添加的静态路由。
23. 在命令提示符下,输入netstat –r或输入route print也可以查看路由表。
5.1.2 在Router2上安装和配置路由和远程访问
任务:
ü 更改重名本地连接
ü 更改IP地址和子网掩码以及首选DNS
ü 安装路由和远程访问服务
ü 启用并配置路由和远程访问服务
ü 添加到研发部网络的静态路由
ü 添加到Internet的网络的静态路由
ü 查看路由表
步骤:
1. 在Router2上,根据“网络连接”连接的网络重命名网络连接。
2. 更改“市场部网络”的网络连接的IP地址和子网掩码。
3. 更改“销售部网络”的网络连接的IP地址和子网掩码。
4. 安装路由和远程访问。
5. 点击“开始”à“程序”à“管理工具”à“路由和远程访问”,打开“路由和远程访问”管理工具。
6. 右击Router2,点击“配置并启用路由和远程访问”。
7. 在出现的欢迎使用路由和远程访问服务器安装向导对话框,点击“下一步”。
8. 在出现的配置对话框,选择“自定义配置”,点击“下一步”。
9. 在出现的自定义配置对话框,选中“LAN路由”,点击“下一步”。
10. 在出现的正在完成路由和远程访问服务器安装向导对话框,点击“完成”,在出现的启动服务对话框,点击“启动服务”。
11. 点中IPv4下面的“静态路由”,点击“新建静态路由”。
12. 在出现的IPv4静态路由对话框,目标网络输入研发部网段,选择达研发部网络的接口,以及网关即到达研发部网络的下一跳路由器的IP地址。
13. 再添加到达Internet网的默认路由。
14. 查看添加的静态路由。
5.1.3 在NATServer上安装和配置路由和NAT
任务:
ü 重命名网络连接和更改IP地址
ü 安装路由和远程访问
ü 配置路由和远程访问启用NAT
ü 添加到达研发部网络和到达市场部网络的静态路由
步骤:
1. 在NATServer上,将连接Internet的本地连接重命名成“Internet”。
2. 将连接销售部网络的本地连接重名成“销售部网络”。
3. 更改Internet的TCP/IP属性,输入公网IP地址和默认网关。提示:添加了默认网关就等于添加了默认路由。
4. 更改销售部网络属性,输入IP地址和网关,注意:不输入默认网关。
5. 安装路由和远程访问服务角色。
6. 点击“开始”à“程序”à“管理工具”à“路由和远程访问”。
7. 右击“NATSERVER”,点击“配置并启用路由和远程访问”。
8. 在出现的欢迎使用路由和远程访问服务器安装向导对话框,点击“下一步”。
9. 在出现的配置对话框,选择“路由和地址转换”,点击“下一步”。
10. 在出现的NAT Internet连接对话框,选择“使用此公共接口连接到Internet”,点中Internet,点击“下一步”。
11. 在出现的名称和地址转换服务对话框,选择“我将稍后设置名称和地址服务”,点击“下一步”。
12. 在出现的正在完成路由和远程访问服务器安装向导对话框,点击“完成”。
13. 在IPv4下的NAT,右击“Internet”,点击“属性”。
14. 在出现的Internet属性对话框,可以看到已经选择了“公用接口链接到Internet”,且已经选中了“在此接口上启用NAT”,点击“确定”。
15. 右击“销售部网络”,点击“属性”。
16. 在销售部网络属性对话框,可以看到接口类型,已经选择了“专用接口链接到专用网络”,点击“确定”。
17. 右击“静态路由”,点击“新建静态路由”。
18. 在出现的IPv4静态路由对话框,添加到研发部网络的路由。
19. 右击“静态路由”,点击“新建静态路由”。
20. 在出现的IPv4静态路由对话框,添加到市场部网络的路由。
21. 右击“静态路由”,点击“显示IP路由表”。
22. 可以看到添加的到研发部网络和市场部网络的静态路由,以及默认路由。
5.1.4 在zhangPC上测试到内网和Internet的连接
任务:
ü 更改zhangPC的IP地址和首选的DNS服务器
ü 测试到内网的连通性
ü 测试到Internet的连通性
步骤:
1. 更改zhangPC上,正确设置IP地址、子网掩码和默认网关,首选DNS使用互联网上的DNS服务器。
2. 在命令提示符下ping 市场部网络的IP地址,ping销售部网络的地址。
3. Ping www.baidu.com测试到百度网站的连通性。
4. 打开IE浏览器,输入http//www.baidu.com,能够访问Internet中Web站点。
5.1.5 在NATServer上查看地址转换
任务:
ü 查看内网到Internet的NAT转换
步骤:
1. 在NATServer上,点击IPv4下的NAT,可以看到内网访问互联网的映射数量。
2. 右击“Internet”,点击“显示映射”,可以看到内网访问Internet所有的出站映射。
5.1.6 在NATServer配置数据包过滤
任务:
ü 在NATServer上设置数据包筛选器禁止研发部网络访问互联网
步骤:
1. 在NATServer上,打开路由和远程访问管理工具。
2. 右击“销售部网络”,点击“属性”。
3. 在出现的销售部网络属性对话框,在常规标签下,点击“入站筛选器”。
4. 在出现的入站筛选器对话框,点击“新建”。
5. 在出现的添加IP筛选器,选中“源网络”,输入研发部网所在的网段,点击“确定”。
6. 在入站筛选器对话框,选择“接收所有除符合下列条件意外的数据包”,点击“确定”。
7. 在zhangPC上的命令提示符下,ping 销售部网络的一个IP地址,ping 互联网上的一个IP地址。
5.1.7 在NATServer配置端口映射
任务:
ü 在NATServer上配置Web站点端口映射
ü 在NATServer上配置远程桌面的端口映射
步骤:
1. 更改内网服务器WebServer的IP地址。
2. 点击“开始”à“程序”à“管理工具”à“Internet 信息服务(IIS)管理器”,可以看到给服务器已经安装Web服务,并且已经有一个默认站点。
3. 点击“开始”à“设置”à“控制面板”,点击“系统”。
4. 在打开的系统属性对话框,在远程标签下,选择“允许运行任意版本远程桌面的计算机连接”,点击“确定”。
5. 在NATServer上,在路由和远程访问管理工具对话框,右击“Internet”,点击“属性”。
6. 在出现的Internet属性对话框,在服务和端口标签下,点中“Web服务器(HTTP)”,点击“编辑”。
7. 在出现的编辑服务对话框,输入专用IP地址,即内网的WebServer的IP地址。
8. 选中“Web服务器(HTTP)”,点击“添加”。
9. 在出现的添加服务对话框,输入服务描述,使用的协议,传入的端口和专用地址以及传出的端口,点击“确定”。
注意:传入端口是公网地址对应的端口,传出端口是内网服务器远程桌面侦听的端口,通过更改默认端口提高安全性。
10. 在Internet属性对话框,选中刚才创建的WebServerRDP服务,点击“确定”。
5.1.8 在wangPC上测试端口映射
任务:
ü 测试Web站点端口映射
ü 测试远程桌面的端口映射
步骤:
1. 更改wangPC的本地连接的Ip地址。
2. 在命令提示符下,ping NATServer 的公网IP地址23.23.2.2,发现能够ping通。
3. Ping内网WebServer的IP地址,发现不能ping通。
4. 打开IE浏览器,输入http://23.23.2.2/certsrv发现能够访问到内网的WebServer的网站。
5. 点击“开始”à“运行”,输入mstsc,点击“确定”。
6. 在远程桌面连接对话框,输入23.23.2.2:4000点击“连接”。
注意:如果没有使用默认的端口连接必须在后面输入“:”+“端口”。
7. 在出现的Windows安全对话框,输入帐号和密码,点击“确定”。
8. 发现能够使用远程桌面连接内网的WebServer。
