NAT端口映射路由与远程访问综合实验

配置路由和NAT
从安全考虑，将企业计算机按照部门分成三个网段，各个网段使用windows 2008配置的路由器连接，公网IP地址是：23.23.2.2，webserver位于销售部网络，是企业的WEB站点。

企业要求：
✧实现内网三个网段相互访问。

✧研发部不允许访问Internet，市场部和销售部允许访问Internet。

✧允许Internet用户访问webserver；并且能够在Internet使用终端服务管理webserver（要求通过
4000端口访问内网webserver的远程桌面）。

在ROUTER1上配置：
1.给网络连接重命名为：“研发部网络”和“市场部网络”。

分别设置2个网络的地址为：17
2.16.
3.1和172.16.2.2
2.打开服务器管理器，添加“网络策略和访问服务”。

3.选中“路由和远程访问服务”。

4.打开路由和远程访问，选中“配置并启用路由和远程访问”，配置如下：
5.新建静态路由，如下图所示：
6.要把数据包发送到销售部网段必须新建静态路由，此外还需要加一条到Internet的路由。

0.0.0.0代表所有网络。

（也可以直接在网络连接里设置网关来起到同样的效果）
7.在路由与远程访问里查看路由表，或者通过命令netstat –r或route print来查看路由表。

确认到达各网段都有正确的路由。

在ROUTER2上配置：
1.给网络连接重命名为：“销售部网络”和“市场部网络”。

分别设置2个网络的地址为：17
2.16.1.2和172.16.2.1
2.打开服务器管理器，添加“网络策略和访问服务”→选中“路由和远程访问服务”。

打开路由和远程访问，选中“配置并启用路由和远程访问”，配置如下：
5.新建静态路由，如下图所示：
去往研发部的路由到达Internet的默认路由
在NATServer上配置路由和NAT
1.给网络连接重命名为：“INTERNET”和“销售部网络”。

“INTERNET”网络的地址为：23.23.
2.2，网关设置为2
3.23.2.1（添加了默认网关就等于添加了默认路由），DNS地址填写当地的真实DNS 地址；“销售部网络”网络地址设置为172.16.1.1
2.配置并启用路由与远程访问，选择“网络地址转换NAT”→选“外网接口”→选“我稍后设置名称和地址服务”
3.在IPv4下的NA T，右击INTERNET，选择“属性”→看到已经选中了“公用接口连接到Internet”且选中了“在此接口上启用NAT”。

4.右击“销售部网络”选择“属性”→选择“专用接口连接到专用网络”。

（保持默认）
5.新建静态路由
到研发部网络的路由到市场部网络的路由
6.查看路由表，确保路由正确。

在zhangPC上测试到内网和Internet的连接
1.更改zhangPC的ip和dns地址。

2.测试内网的连通性。

（省略）
3.测试到Internet的连通性。

（省略）
在NATServer上设置数据包筛选器禁止研发部网络访问互联网
1.右击“销售部网络”，选择“属性”。

→在“常规”选项卡里单击“入站筛选器”。

2.在“入站筛选器”中单击“新建”按钮。

在“添加IP筛选器”对话框中选中“源网络”，输入研发部网络所在的网段。

3.测试。

（省略）
在NATServer上配置端口映射
1.修改webserver服务器的IP地址，安装好IIS。

设置一个管理员密码。

2.打开webserver服务器的“系统属性”对话框的“远程”选项卡，选择“允许运行任意版本远程桌面的计算机连接”
3.在NATserver上，右击“internet”选择“属性”，如下图:
4.切换到“服务和端口”选项卡，选中“web服务器”
5.在上图中单击“添加”，输入服务描述、协议、端口等信息，如下图：
传人端口是公网地址对应的端口，传出端口是内网服务器远程桌面侦听的端口，更改默认端口可以提高安全性。

在wangPC上测试端口映射
1.更改wangPC的ip地址。

2.ping 2
3.23.2.2，可以ping通；ping内网webserver，发现不通（nat的计算机外网卡启用了防火墙）。

3.打开IE，输入http://23.23.2.2发现可以访问到内网webserver的网站。

（端口映射成功）（省略）
4.运行中输入mstsc，打开远程桌面。

输入23.23.2.2:4000，输入用户名和密码，可以登录。

（省略）。