① 怎么用NAT实现共享上网
家用路由器本身就带有这个功能的nat,网络地址转换的意思.就是实现内部专用网公用一个或多个外网地址上网有动态nat,有静态nat和端口nat动态nat就是有一个地址池,里面有一定的Internet地址动态地分配给局域网内部用户轮流上网,某个用户不用上网时就自动释放地址,让别的用户可以用Internet地址上网静态nat就是把内部网的某部主机永久地映射到外网的一个固定地址实现上网这个链接有讲 http://www.hlbaoqing.gov.cn/mifor/text/nat.html
② NAT功能的用途是什么有没有实例举一下
NAT------网络地址转换,是通过将专用的网络地址(企业内部网Intranet)转换为公用地址(如互联网Internet),从而对外隐藏了内部管理的IP地址。这样,通过在内部使用非注册的 IP 地址,并将它们转换为一小部分外部注册的 IP 地址,从而减少了IP 地址注册的费用以及节省了目前越来越缺乏的地址空间(即IPV4)。同时,这也隐藏了内部网络结构,从而降低了内部网络受到攻击的风险。
NAT功能通常被集成到路由器、防火墙、单独的NAT设备中,当然,现在比较流行的操作系统或其他软件(主要是代理软件,如WINROUTE),大多也有着NAT的功能。NAT设备(或软件)维护一个状态表,用来把内部网络的私有IP地址映射到外部网络的合法IP地址上去。每个包在NAT设备(或软件)中都被翻译成正确的IP地址发往下一级。与普通路由器不同的是,NAT设备实际上对包头进行修改,将内部网络的源地址变为NAT设备自己的外部网络地址,而普通路由器仅在将数据包转发到目的地前读取源地址和目的地址。
NAT分为三种类型:表态NAT(staticNAT)、NAT池(pooledNAT)和商品NAT(PAT)。其中静态NAT将内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址,而NAT池则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络,端口NAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。
/*
SMTP<->25
POP3<->110
FTP<->20,21
HTTP<->80
说到20,我来加一个小插曲。我们都知道FTP对应的端口应该是21,为什么又冒出来一个20呢?其实,我们们进行FTP文件传输中,客户端首先连接到FTP服务器的21端口,进行用户的认证,认证成功后,当我们要传输文件时,服务器会开一个端口为20来进行传输数据文件,也就是说,端口20才是真正传输所用到的端口,端口21只用于FTP的登陆认证。我们平常下载文件时,会遇到下载到99%时,文件不完成,不能成功的下载。其实是因为文件下载完毕后,还要在21端口再行进行用户认证,而我们下载文件的时间如果过长,客户机与服务器的21端口的连接会被服务器认为是超时连接而中断掉,就是这个原因。解决方法就是设置21端口的响应时间。
*/
利用WINDOWS 2000 Server 进行NAT设置
WINDOWS 20000 SERVER FAMILY强大的网络功能,说起来真是VERY GOOD。她集成很多网络功能,比如说DHCP、DNS、SNMP、路由……,进行NAT的设置,我们只需要一个WINDOWS 2000 SERVER就足够了,不必借助于其他的软件。
说干就干,我们以中文版的WINDOWS 2000 SERVER为例,在NAT服务器上加两块网卡,一块是与内部网络相连(如IP:192.168.0.35),另一块则是与外部网络相连(如IP:88.88.88.88),在配置之前,要保证NAT服务器与内部私有网络及外部公用网络的数据传输没有故障。具体配置如下:
打开“开始——>程序——>管理工具——>路由和远程访问”,出现一个对话框,左侧有一个“服务器状态”,一个“BDWSER(本地)”(不一定是BDWSER,其实就应该是你的机器名),点“BDWSER(本地)”,然后点“操作——>配置并启用路由和远程访问”,会弹出一个的对话框,下一步,会出现如图二的对话框,选择“Internet连接服务器”,下一步,
如图三,选择“设置有网络地址转换(NAT)路由协议的路由器”,下一步
如图四,选择“使用选择的Internet连接——>本地连接2”,这里要注意一点,“本地连接2”即为服务器的外部连接,如本例中域名为5imax.net地址为88.88.88.88;而“本地连接”而是服务器与内部网络的连接。然后“下一步——>完成”,此时“路由和远程访问”会自动启动,我们稍侯等待“路由和远程访问”的启动。
通过以上的配置,我们就可以利用NAT将内部地址转发到外部地址,也就相当于本机(WINDOWS 2000 SERVER)可以通过NAT代理内部的机器共享上网了。如果NAT服务器使用了DHCP,那么客户机只要自动获取IP即可;如果没有设置,客户机要指定IP:192.168.0.*,子网掩码:255.255.255.0,网关:192.168.0.35,DNS:202.97.224.68(使用本地ISP提供DNS服务器地址即可)。接下来,我们应该来配置外部端口到内部端口的映射(如图一中的88.88.88.88:80——>192.168.0.102:80),使得外部访问者访问http://www.5imax.net相应的HTTP服务时,NAT主机会将服务的请求自动转换到内部网络所提供相应服务的主机上,反之,内部主机服务的反馈信息经由NAT主机转换发送到外部访问者。
在“路由和远程访问”对话框的左侧,打开“BDWSER(本地)——>IP路由选择——>网络地址转换(NAT)”,这时在“路由和远程访问”对话框的右侧窗口应该有二个接口,外部网络和内部网络(如图五)。
在详细信息窗格中,右键单击要配置的接口,然后单击“属性”。 在“特殊端口”选项卡上,在“协议”中,单击“TCP”或“UDP”(根据不同的服务选择不同的协议,如HTTP服务为TCP,TFTP服务为UDP,但此例中并未涉及到UDP协议),然后单击“添加”。 在“传入端口”中,键入传入公用通信的端口号(如图六中的“传入端口80)。在“传出端口”中,键入专用网络资源的端口号(如图六中的“传出端口80”)。在“专用地址”中,键入专用网络资源的专用地址(如图六中的“专用地址192.168.0.102”,即图一所示主机C:192.168.0.102)。单击“确定”,添加完毕。同样,FTP和MAIL的服务添加的端口为20,21,25和110。
以上的例子是仅使用单个公用IP进行NAT的转换,如果是使用多个公用IP,那么我们在配置映射端口之前,要进行NAT地址池的设置。在详细信息窗格中,右键单击要配置的接口(即外部网络接口,本地连接2),然后单击“属性”。在“地址池”选项卡上,单击“添加”,并执行下列操作之一:
如果正在使用以 IP 地址和子网掩码表示的 IP 地址范围,则在“起始地址”中键入起始 IP 地址,然后在“掩码”中键入子网掩码。
如果正在使用不能以 IP 地址和子网掩码表示的 IP 地址范围,在“起始地址”中键入起始 IP 地址,然后在“结束地址”中键入结束 IP 地址。
在设置端口映射时(即特殊端口),请单击“在此地址池项上”,然后键入传入公用通信的公用 IP 地址,其他的设置与上述的设置方法相访。
到了这里,我们的全部工作——利用NAT主机代理内部网络共享Interent和内部网络到NAT主机的端口映射——就完成了。为了安全起见,我们最好在NAT主机的接入处加一个防火墙或设置NAT主机的“IP安全机制(IPSEC)”和“TCP/IP筛选”。“IP安全机制”和“TCP/IP筛选”的设置就在外部网络的TCP/IP协议中的安全选项中,参考WINDOWS 2000的帮助文件进行设置就可以,我们在这里就不再赘述了。
NAT的小结
当然,使用NAT进行端口映射,用NAT代理软件同样可以做到(比如说WINROUTE),而且相应的设置比较简单,一般只要默认安装上后,在软件中进行简单设置就可以了。手都写累了,有机会我们以后再谈。
利用NAT保护内部网络,特别是软件的NAT,适用于小、中型的网络,而大型的网络一般要使用硬件(如路由),因为NAT服务也要消耗NAT服务器的资源的。在大型的网络中,使用路由来做NAT,要做相应的安全设置,一般参考路由手册及CISCO ISO安全模型即可。
NAT的使用,使内部网络相应于外部网络不可见化,入侵者要先侵入NAT服务器(或NAT设备),然后利用NAT做跳板,进一步侵入内部网络。这样,对于入侵者就有一定的难度,如果NAT服务器与内部服务器使用不同的操作系统,那么入侵者需要对这两个操作系统都要熟悉才可以做到的,这对于一般的入侵者来说,入侵行为无疑是提高了一个台阶。文章到此结束,本文的意图不仅仅只是一个步骤,而是希望大家以此为一个基点,利用现有的技术,组建出更安全的网络。
SMTP<->25
POP3<->110
FTP<->20,21
HTTP<->80
说到20,我来加一个小插曲。我们都知道FTP对应的端口应该是21,为什么又冒出来一个20呢?其实,我们们进行FTP文件传输中,客户端首先连接到FTP服务器的21端口,进行用户的认证,认证成功后,当我们要传输文件时,服务器会开一个端口为20来进行传输数据文件,也就是说,端口20才是真正传输所用到的端口,端口21只用于FTP的登陆认证。我们平常下载文件时,会遇到下载到99%时,文件不完成,不能成功的下载。其实是因为文件下载完毕后,还要在21端口再行进行用户认证,而我们下载文件的时间如果过长,客户机与服务器的21端口的连接会被服务器认为是超时连接而中断掉,就是这个原因。解决方法就是设置21端口的响应时间。
*/
利用WINDOWS 2000 Server 进行NAT设置
WINDOWS 20000 SERVER FAMILY强大的网络功能,说起来真是VERY GOOD。她集成很多网络功能,比如说DHCP、DNS、SNMP、路由……,进行NAT的设置,我们只需要一个WINDOWS 2000 SERVER就足够了,不必借助于其他的软件。
说干就干,我们以中文版的WINDOWS 2000 SERVER为例,在NAT服务器上加两块网卡,一块是与内部网络相连(如IP:192.168.0.35),另一块则是与外部网络相连(如IP:88.88.88.88),在配置之前,要保证NAT服务器与内部私有网络及外部公用网络的数据传输没有故障。具体配置如下:
打开“开始——>程序——>管理工具——>路由和远程访问”,出现一个对话框,左侧有一个“服务器状态”,一个“BDWSER(本地)”(不一定是BDWSER,其实就应该是你的机器名),点“BDWSER(本地)”,然后点“操作——>配置并启用路由和远程访问”,会弹出一个的对话框,下一步,会出现如图二的对话框,选择“Internet连接服务器”,下一步,
如图三,选择“设置有网络地址转换(NAT)路由协议的路由器”,下一步
如图四,选择“使用选择的Internet连接——>本地连接2”,这里要注意一点,“本地连接2”即为服务器的外部连接,如本例中域名为5imax.net地址为88.88.88.88;而“本地连接”而是服务器与内部网络的连接。然后“下一步——>完成”,此时“路由和远程访问”会自动启动,我们稍侯等待“路由和远程访问”的启动。
通过以上的配置,我们就可以利用NAT将内部地址转发到外部地址,也就相当于本机(WINDOWS 2000 SERVER)可以通过NAT代理内部的机器共享上网了。如果NAT服务器使用了DHCP,那么客户机只要自动获取IP即可;如果没有设置,客户机要指定IP:192.168.0.*,子网掩码:255.255.255.0,网关:192.168.0.35,DNS:202.97.224.68(使用本地ISP提供DNS服务器地址即可)。接下来,我们应该来配置外部端口到内部端口的映射(如图一中的88.88.88.88:80——>192.168.0.102:80),使得外部访问者访问http://www.5imax.net相应的HTTP服务时,NAT主机会将服务的请求自动转换到内部网络所提供相应服务的主机上,反之,内部主机服务的反馈信息经由NAT主机转换发送到外部访问者。
在“路由和远程访问”对话框的左侧,打开“BDWSER(本地)——>IP路由选择——>网络地址转换(NAT)”,这时在“路由和远程访问”对话框的右侧窗口应该有二个接口,外部网络和内部网络(如图五)。
在详细信息窗格中,右键单击要配置的接口,然后单击“属性”。 在“特殊端口”选项卡上,在“协议”中,单击“TCP”或“UDP”(根据不同的服务选择不同的协议,如HTTP服务为TCP,TFTP服务为UDP,但此例中并未涉及到UDP协议),然后单击“添加”。 在“传入端口”中,键入传入公用通信的端口号(如图六中的“传入端口80)。在“传出端口”中,键入专用网络资源的端口号(如图六中的“传出端口80”)。在“专用地址”中,键入专用网络资源的专用地址(如图六中的“专用地址192.168.0.102”,即图一所示主机C:192.168.0.102)。单击“确定”,添加完毕。同样,FTP和MAIL的服务添加的端口为20,21,25和110。
以上的例子是仅使用单个公用IP进行NAT的转换,如果是使用多个公用IP,那么我们在配置映射端口之前,要进行NAT地址池的设置。在详细信息窗格中,右键单击要配置的接口(即外部网络接口,本地连接2),然后单击“属性”。在“地址池”选项卡上,单击“添加”,并执行下列操作之一:
如果正在使用以 IP 地址和子网掩码表示的 IP 地址范围,则在“起始地址”中键入起始 IP 地址,然后在“掩码”中键入子网掩码。
如果正在使用不能以 IP 地址和子网掩码表示的 IP 地址范围,在“起始地址”中键入起始 IP 地址,然后在“结束地址”中键入结束 IP 地址。
在设置端口映射时(即特殊端口),请单击“在此地址池项上”,然后键入传入公用通信的公用 IP 地址,其他的设置与上述的设置方法相访。
到了这里,我们的全部工作——利用NAT主机代理内部网络共享Interent和内部网络到NAT主机的端口映射——就完成了。为了安全起见,我们最好在NAT主机的接入处加一个防火墙或设置NAT主机的“IP安全机制(IPSEC)”和“TCP/IP筛选”。“IP安全机制”和“TCP/IP筛选”的设置就在外部网络的TCP/IP协议中的安全选项中,参考WINDOWS 2000的帮助文件进行设置就可以,我们在这里就不再赘述了。
NAT的小结
当然,使用NAT进行端口映射,用NAT代理软件同样可以做到(比如说WINROUTE),而且相应的设置比较简单,一般只要默认安装上后,在软件中进行简单设置就可以了。手都写累了,有机会我们以后再谈。
利用NAT保护内部网络,特别是软件的NAT,适用于小、中型的网络,而大型的网络一般要使用硬件(如路由),因为NAT服务也要消耗NAT服务器的资源的。在大型的网络中,使用路由来做NAT,要做相应的安全设置,一般参考路由手册及CISCO ISO安全模型即可。
NAT的使用,使内部网络相应于外部网络不可见化,入侵者要先侵入NAT服务器(或NAT设备),然后利用NAT做跳板,进一步侵入内部网络。这样,对于入侵者就有一定的难度,如果NAT服务器与内部服务器使用不同的操作系统,那么入侵者需要对这两个操作系统都要熟悉才可以做到的,这对于一般的入侵者来说,入侵行为无疑是提高了一个台阶。文章到此结束,本文的意图不仅仅只是一个步骤,而是希望大家以此为一个基点,利用现有的技术,组建出更安全的网络
参考资料:http://blog.chinaitlab.com/user1/254538/archives/2006/42031.html
③ VMware用NAT与主机共享上网怎么设置
虚拟机选择物理连接网络模式(里边最方便的),在主机网络属性里共享网络连接,打开网络连接属性-高级-Internet连接打钩,只打第一个框的,去掉后两个的钩,确定。重新启动虚拟机就可以上网了。
④ 怎样用NAT方式上网
步骤1.设置本地连接为自动获得IP,自动获得DNS 服务器,启用. 步骤2.设置本地连接共享连接网络VMware Network Adapter VMnet8. 开始--设置--网络连接--本地连接--属性--高级--Internet连接共享,选择"允许其他网络用户通过此计算机的Internet连接来...
⑤ 笔记本,XP系统,一块有线网卡一块无线网卡,如何设置NAT,使另一笔记本通过无线来连接共享上网
在你的台式机上把无线网卡设置为共享连接,就是允许别的机器共享台式机的网络,台式机扮演一个服务中转的角色,具体方法:
A台式机 B本本
A机设置:
跟猫连的那个网卡:ip,自动获取,dns,电信给的那个
跟B连接的无线网卡:ip192.168.0.1 子网掩码255.255.255.0
B机设置:
ip:192.168.0.2 255.255.255.0 网关:192.168.0.1 DNS:192.168.0.1
然后在A机上
网上邻居-〉设置家庭或小型办公室网-〉选择其他计算机通过本机连接internet,下一步下一步就可以。
B机上
网上邻居-〉设置家庭或小型办公室网-〉通过其他机子连接internet。
然后在A机上
网络连接-〉宽带-〉
这个属性里面设置共享,“家庭网络连接”选和B机相连的那个连接。就可以了
⑥ 怎样用NAT方式上网
步骤1.设置本地连接为自动获得IP,自动获得DNS 服务器,启用. 步骤
2.设置本地连接共享连接网络VMware Network Adapter VMnet8. 开始--设置--网络连接--本地连接--属性--高级--Internet连接共享,选择"允许其他网络用户通过此计算机的Internet连接来
⑦ 第6讲:怎样用NAT方式上网
我们大多数的路由器就是采用na t方式进行上网的,它的原理就是。这种上网方式,一直转换,就是,机器下面的所有机器都是使用内部IP地址,他们上外网的话共用一个IP地址这样节省共话IP地址的资源。
⑧ win7怎么设置nat共享上网
现实生活中,一台PC配一个唯一的公网地址已不能实现,为解决公有IP地址缺少的问题,在Ipv6没有完全发展起来的同时,可以用私有地址临时过渡,需要采用NAT地址转换技术来解决IP地址紧缺问题,才能实现校园内多台主机共享上网。
1 NAT技术
1.1 NAT技术原理
位于NAT路由器的内侧内部网需要连接Internet,当需要转发到Internet数据包通过路由器时,路由器检查包中的IP地址,如果数据包中的目标地址是外网公有地址,源地址是内网私有地址,就查询路由器中NAT地址转换表,根据配置完成的外网地址与私有地址映射的情况,把内网的私有地址转换成一个公有地址,实现内部网络用户访问Internet需求。对接收到的外网信息采用相反的方式转换。
通常,NAT技术功能会被集成到路由器、防火墙或者单独代理服务器设备中。在NAT设备中有一张地址转换表,用来把私有地址映射到公有地址上。
1.2 NAT技术作用
NAT技术的作用,首先是把内网中使用的私有地址转换为Internet上的公有地址,以解决Internet地址不足的问题。随着对Internet安全需求的提升,NAT又逐渐演变为隔离内外网络,保障网络安全的基本手段。
1.3 NAT技术转换表
要利用NAT技术实现地址转换功能,需要配置网络连接设备,以生成地址映射表。
如图1所示为NAT地址转换过程。
假设校园网内有两台主机,地址为192.168.1.5和192.168.1.7,它们需要访问Internet中的一台HTTP服务器,地址为63.5.8.1,校园网申请到的内部全局地址为200.8.7.4和200.8.7.3,那么在校园网出口路由器上,就需要在NAT技术转换表中配置地址映射信息,见表1。
表1:NAT技术转换表
内部局部
地址 内部全局地址 外部全局地址 传输层协议
192.168.1.5 200.8.7.4 63.5.8.1 TCP
192.168.1.7 200.8.7.3 63.5.8.1 TCP
当校园网内的主机192.168.1.5访问Internet中的HTTP服务器时,数据包传输到NAT路由器,数据包中的源地址(即内部局部地址192.168.1.5)在路由器上通过转换表转换成内部全局地址200.8.7.4
当从HTTP服务器返回响应时,数据包中源地址为HTTP服务器地址63.5.8.1,目的地址为200.8.7.4,在传输到NAT路由器时,查找转换表,通过目的地址对应地转换为192.168.1.5,故数据包被转发到192.168.1.5对应的主机上。
2 NAT地址转换技术
2.1 静态NAT转换技术
如图2所示的网络工作场景是使用3台设备模拟校园内行政系统办公网络工作环境,网络的内外部分别使用一台设备,主要完成一对一简单静态地址转换过程。
图2:NAT地址转换技术
部分配置如下:
R>enable
R#config terminal
R(config)#interface fastethernet 1/0
R(config-if)#ip address 192.168.1.1 255.255.255.0
R(config-if)#no shutdown
R(config-if)#ip nat inside !―定义内部转换接口
R(config-if)#exit
R(config)#
R(config)#interface fastethernet 1/1
R(config-if)#ip address 200.8.7.1 255.255.255.0
R(config-if)#no shutdown
R(config-if)#ip nat outside !―定义外部转换接口
R(config-if)#exit
R(config)#
R(config)#ip nat inside source static 192.168.1.7 200.8.7.3 !―定义内部局部地址和外部全局地址一对一的静态地址对应。
2.2 动态NAT转换技术
由于NAT静态地址转换技术只能把一个内部的本地址映射为一个内部全局地址,建立的一一对应的关系,在现实生活中很少见,无法申请到很多的内部全局地址的情况下,可以采用动态地址映射技术,利用访问控制列表ACL技术建立一个地址映射池,进行随机映射。
如图1-2所示:192.168.1.0/24,对应全部的内部全局地址,可以通过动态NAT地址转换过程来实现,内外接口配置(略)。
部分配置如下:
R(config)#
R(config)#ip route 0.0.0.0 0.0.0.0 fa1/1
R(config)#ip nat pool to-internet 200.8.7.3 200.8.7.4 netmask 255.255.255.0
R(config)#access-list 1 permit 192.168.1.0 0.0.0.255
R(config)#ip nat inside source list 1 pool to-internet
综上所述,在现实生活中利用NAT技术将很好地实现校园内多台主机共享上网。