Настройка Windows Server 2003 для работы в качестве NAT-маршрутизатора
Что такое НАТ?
Так что же такое НАТ? Преобразование сетевых адресов, или NAT, — это технология, использующая маршрутизатор для совместного использования Интернет-соединения между компьютерами в вашей частной сети, даже если эти компьютеры не имеют действительного общедоступного IP-адреса. Существуют как аппаратные, так и программные NAT-маршрутизаторы. В этой конкретной ситуации мы будем настраивать компьютер с Windows Server 2003 для работы в качестве программного NAT-маршрутизатора.
Как вы, наверное, знаете, основная цель маршрутизатора — регулировать поток трафика между двумя сетями, и маршрутизатор NAT не является исключением. На сервере, который вы будете использовать в качестве NAT-маршрутизатора, должны быть установлены две карты сетевого интерфейса (NIC). Один из этих сетевых адаптеров будет подключаться к Интернету, а другой — к частной сети. Затем ПК в частной сети будут отправлять HTTP-запросы на сервер NAT через частное сетевое соединение сервера. Затем сервер повторно передаст запрос через Интернет от имени клиента. Когда запрошенный веб-сайт отвечает, ответ отправляется на сервер NAT, который, в свою очередь, перенаправляет его клиенту, сделавшему первоначальный запрос. Клиент никогда не общается через Интернет напрямую.
Рекомендации по IP-адресации
Как я объяснил в разделе выше, маршрутизатор NAT действует как шлюз между вашей частной сетью и Интернетом. Сервер, выступающий в роли NAT-маршрутизатора, должен иметь два сетевых адаптера. Одна из сетевых карт подключена к Интернету. Этому сетевому адаптеру должен быть назначен IP-адрес, предоставленный вам вашим интернет-провайдером.
Другая сетевая карта подключается к вашей частной сети. Как я уже упоминал, NAT не ожидает, что у вас есть действительные IP-адреса в вашей частной сети. Вместо этого вы можете выбрать диапазон адресов случайным образом. Не исключено, что выбранный вами диапазон адресов уже используется популярным веб-сайтом, но я только один раз видел, чтобы кто-то выбрал диапазон адресов, который вызвал проблемы. Если вы хотите использовать диапазон адресов, который гарантированно не будет мешать чему-либо в Интернете, вы можете использовать диапазон адресов 192.168.xx.
После того, как вы выберете диапазон адресов, я рекомендую настроить сервер DHCP, чтобы он назначал адреса из выбранного вами диапазона адресов (термин DHCP для диапазона адресов — это область действия) рабочим станциям в вашей сети. Однако вы должны статически назначить адрес сетевой карте на сервере NAT, который подключается к вашей частной сети. Например, если вы решили использовать диапазон адресов от 192.168.1.0 до 192.168.1.99, вы можете рассмотреть возможность назначения адреса 192.168.1.0 серверу NAT. Затем вы можете использовать блок адресов от 192.168.1.1 до 192.168.1.99 в качестве области действия DHCP.
Пока вы настраиваете свой DHCP-сервер, вам необходимо учесть еще несколько соображений. Как вы, возможно, знаете, DHCP позволяет дополнительно назначать шлюз по умолчанию и DNS-сервер рабочим станциям вместе с IP-адресом. При этом вы должны установить адрес шлюза по умолчанию в соответствии с адресом частной сети, который вы назначили своему серверу NAT.
У вас есть несколько различных вариантов выбора адреса DNS-сервера, который DHCP-сервер должен назначать рабочим станциям в вашей сети. Если у вас нет собственного DNS-сервера, то лучшее, что вы можете сделать, — это просто использовать IP-адрес DNS-сервера вашего интернет-провайдера. Если в вашей сети работает Active Directory, то у вас уже есть DNS-сервер, и вы должны использовать его адрес. Неважно, является ли ваш DNS-сервер полномочным для вашего домена или нет. Просто укажите на него рабочие станции. Затем вы можете настроить пересылку на DNS-сервере, чтобы любые неразрешенные запросы перенаправлялись на DNS-сервер вашего интернет-провайдера.
Преимущество направления клиентов на ваш собственный DNS-сервер, а не на DNS-сервер вашего интернет-провайдера, заключается в том, что это обеспечит вашим пользователям лучшую производительность. Ваш DNS-сервер является локальным, поэтому запросы доходят до сервера быстрее, чем до удаленного сервера. Кроме того, ваш DNS-сервер имеет встроенный кэш, так что популярные веб-сайты не должны разрешаться каждый раз, когда пользователь их посещает.
Настройка NAT
Начните с выбора команды «Маршрутизация и удаленный доступ» в меню «Администрирование» Windows. Когда вы это сделаете, Windows отобразит консоль маршрутизации и удаленного доступа. Найдите свой сервер (чуть ниже состояния сервера). Слева от сервера должна быть большая красная точка, указывающая на то, что сервер в настоящее время неактивен. Теперь щелкните правой кнопкой мыши сервер и выберите команду «Настроить и включить маршрутизацию и удаленный доступ» в появившемся контекстном меню. Когда вы это сделаете, Windows запустит мастер настройки сервера маршрутизации и удаленного доступа.
Щелкните Далее, чтобы пропустить экран приветствия мастера. Теперь вы увидите экран, похожий на тот, что показан на рисунке A. Этот экран позволяет вам выбирать различные конфигурации для маршрутизации и удаленного доступа (RRAS). RRAS можно настроить практически на все, что вы хотите, но Microsoft включила несколько шаблонов, чтобы упростить процесс настройки для распространенных типов развертывания. Выберите параметр «Преобразование сетевых адресов (NAT)» и нажмите «Далее».
Рисунок A. Выберите параметр «Преобразование сетевых адресов (NAT)» и нажмите «Далее».
Следующий экран, который вы увидите, показанный на рисунке B, является довольно важным, на который следует обратить внимание. На этом экране можно выбрать сетевой интерфейс, подключенный к внешней сети (обычно Интернету), или выбрать интерфейс вызова по требованию. Если вам интересно, вызов по требованию — это функция, которая позволяет Windows устанавливать коммутируемое соединение, когда когда-либо требуется внешнее подключение. Для целей этой статьи я предполагаю, что у вас есть широкополосное подключение к Интернету. Кроме того, я предполагаю, что сетевая карта, через которую проходит широкополосное соединение, имеет назначенный ей статический IP-адрес. Вам нужно будет выбрать этот сетевой интерфейс.
Рисунок B. Выберите сетевую карту, которая соединяет сервер с внешним миром.
Прежде чем нажать кнопку «Далее», обратите внимание на наличие флажка, позволяющего включить брандмауэр для соединения. Я рекомендую всегда выбирать этот параметр. Брандмауэр будет препятствовать проникновению нежелательного трафика в вашу сеть. Если вам нужно предоставить внешним пользователям доступ к какой-либо службе в вашей сети, у вас есть возможность настроить переадресацию портов для передачи пакетов через брандмауэр на нужный сетевой ресурс.
После того, как вы включите брандмауэр RRAS, нажмите «Далее», и вы увидите экран с предложением выбрать сеть, которая будет иметь общий доступ в Интернет. Хотя в диалоговом окне используется какая-то странная формулировка, в основном он просто просит вас выбрать сетевой адаптер, подключенный к вашей частной сети. Сделайте свой выбор и нажмите «Далее», а затем «Готово», чтобы завершить процесс.
Вывод
В этой статье я объяснил, как вы можете использовать NAT-сервер для совместного использования интернет-соединения между пользователями вашей сети. Затем я продолжил объяснять, как следует настраивать IP-адресацию и как настроить RRAS для работы в качестве NAT-маршрутизатора.