windowsServer2008R2,NAT服务器,端口映射

硬件上，搭建一个NAT服务器（以下简称服务器）需要具备两块物理网卡和一台交换机，当然我们搭了服务器就需要有客户机和连接用的网线。

假设服务器中A网卡接入网络，B网卡接入交换机，客户机则连接到交换机上，也就是如下网络架构：软件上，WindowsServer 2008 r2的NAT设置于Server2003和2008都略有区别，网上所提供的教程针对Linux、Server2003和2008的教程比较多，本着傻瓜式教程的宗旨，以下我将逐一列举搭建NAT服务器的步骤。

第一步：禁用Internet Connection Sharing服务。

因为ICS（InternetConnection Sharing）与NAT同时存在会造成冲突，所以要禁用。

在开始-->管理工具-->服务中，找到InternetConnection Sharing，然后停用并禁用ICS服务。

第二步：添加路由与远程访问角色服务。

进入服务器管理器添加角色，添加“网络策略和访问服务”，这时可以选择安装角色服务，把“路由”和“远程访问服务”都选上。

然后下一步。

不用重启。

第三步：配置网卡。

对于校园网用户，网卡A是不需要配置的，因为校园网环境中提供DNS、DHCP等服务，但是我们需要知道我们的DNS服务器IP地址是什么（珠海校区：主DNS服务器211.66.128.1，备用DNS服务器211.66.128.2；南校区主DNS服务器202.116.64.2，备用DNS服务器202.116.64.3），在后面的配置有用。

然后网卡B的IP 地址填写172.16.1.1，使用默认的子网掩码（255.255.0.0），网关不填，DNS服务器必须填上。

由于我们在这里使用了手动IP分配，所以客户机上也需要进行IP设置，具体设置为：IP地址填172.16.1.1xx，子网掩码255.255.0.0，网关就填172.16.1.1，DNS服务器必须填上。

至此网卡配置完成第四步：在服务器管理器左侧窗口展开“网络策略和访问服务”，右键点击路由和远程访问，选择“配置并启用路由和远程访问”。

WindowsServer2008R2服务器安装及设置教程Windows Server 2008R2服务器安装及设置教程第一篇：系统安装与设置前言：本安装及设置教程适用于使用Windows2008R2为操作系统的服务器，目的是让服务器实现下列环境。

语言脚本环境：ASP、1.1、2.0、3.0、3.5、PHP（FastCGI模式）。

数据库环境：Access、MSSQL、MySQL。

FTP环境：Ser-U常见组件：AspJpeg、Jmail、LyfUpload、动易、ISAPI_ReWrite。

一、系统准备操作系统：Windows2008R2原版安装文件、服务器硬件驱动程序、SQL SERVER 2000安装盘、SQL SERVER 2000 SP4 补丁，MySQL安装包，PHP压缩包，Zend Optimizer安装包，Serv- U 囧.0.6，Aspjpeg 2.0，JMail 4.5，LyfUpload，动易组件 1.8.6，ISAPI_ReWrite，GHOST。

Windows2008R2和SQL SERVER 2000安装文件可以购买正版光盘或其他途径获得。

Windows2008R2最好是原版，SQL SERVER 2000可以选择企业版或者标准版。

SQL SERVER 2000 SP4可以直接从微软网站下载获得。

服务器硬件驱动应该在购买服务器的同时附带了。

MySQL安装文件，PHP安装文件，Zend Optimizer安装文件可以到其官方网站免费下载，或到其他下载网站获得。

Serv_U，Aspjpeg，Jmail，LyfUpload，动易组件，ISAPI_ReWrite和GHOST等均可以通过购买或者其他途径来获得。

二、系统安装分区：服务器的硬盘是320Ｇ，分成了4个区，C盘做系统盘（30G），D盘做数据库和软件盘（50G），E盘做网站目录（150G），F盘做备份盘（90G），以NTFS格式对4个区进行格式化。

修改Windows Server 2008R2远程桌面连接端口号引言：默认状态下，Windows Server 2008 R2 远程桌面端口号为3389，这一端口最好不要开，也就是说不要开启远程桌面，因为，HACKER会通过这一端口进入您的计算机，种植木马，但有时为了维护的需要，不得不开启远程桌面连接，为了系统安全性，建议修改远程桌面连接端口号。

修改远程桌面端口需要两个步骤：1、打开注册表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]，修改右边PortNamber的值，其默认值是3389，修改成所希望的端口即可，例如33092、再打开注册表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\TenninalServer\WinStations\RDP-Tcp]，修改右边PortNamber的值，其默认值是3389，修改成所希望的端口即可，例如33093、修改完后需要重启生效，注意防火墙的问题(远程桌面开启基于防火墙开启的情况下，默认先打开远程桌面，然后在关闭防火墙，最后修改远程桌面连接端口号)!4、在cmd下输入”tasklist /svc”验证远程桌面端口号tasklist /svc --显示每个进程中主持的服务。

5、查看进程的PID，有几个svchost.exe我们要看的是有termservice服务那个(此为远程桌面服务进程)，它对应的PID为19126、下面就是查看PID为1912对应的端口，可以看到PID-1912对应的端口后为3309，即为我们之前设置的远程桌面的端口号7、登陆验证。

windows2008R2双⽹卡设置（⼀内⽹,⼀外⽹）⾮安装路由⾓⾊修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces下的⼆⽹卡的⼦项的EnableDeadGWDetect值为0 (禁⽤失效⽹关检测)在本地连续1修改接⼝跃点数,上⽹的为10,⾮上⽹的11,⽹关跃点数都为1修改路由route printroute add -p 192.168.15.100 mask 255.255.255.0 192.168.19.254表⽰192.168.15.100⾛19⽹段软路由模式配置⾓⾊1. 添加⽹络策略和访问服务中的路由与远程访问2. 启动选择NAT,并选择相关出外⽹的⽹卡3. 添加静态路由,接⼝选择Wan,⽬标:0.0.0.0 ⽹络掩码:0.0.0.0 ⽹关:电信给的⽹关地址,(⾮IP),跃点数:为24. 更改内⽹IP的⽹卡跃点数为:20关于映射,在NAT中找到wan⽹卡,选中公⽤接⼝连接到Internet,并勾选在此接⼝上启⽤NAT,然后再服务与端⼝中添加,名称如:PHP 传⼊端⼝8085,专⽤地址写内⽹服务器,传出端⼝:内⽹服务器的端⼝注:内⽹的服务器的IP⽹关应使⽤路由服务的IP才能出⼝关于双⽹卡路由限制IP转发的设定(本⽂限定出外⽹只与ip:192.168.21.10通讯为例)1.先按上节⽂中的软路由模式设置,2.然后在IPv4中的常规中选中wan接⼝右键属性.3.点击⼊站筛选器 -源地址:192.168.21.10,掩码:255.255.255.254 ,选择丢弃所有数据包,满⾜以下条件的例外4.确定,应⽤相关设置。

Win2008当路由器配置NAT分类:网络技术作者:时间:2011-11-7 14:26:29阅读:493在部署局域网时，我们会向ISP运营商申请注册一个固定IP即公用IP地址，然后通过这个公用IP地址为局域网用户提供访问互联网的服务，但由于IP地址数量是有限资源，这时候我们就需要将局域网内的私有IP转换为公有IP才能让局域网用户正常上网，通常路由器已经兼备了网络地址转换（Network Addre ss Translation，NAT）的功能，window server 2008同样具备NAT功能。

扮演NAT角色的服务器建议使用独立服务器或域成员服务器，至少要安装两块网卡，为了便于区别，我们将这两块网卡分别命名为内网卡和外网卡并设置不同网段的IP地址。

图：1给内外网卡设置完IP地址以后，我们通过添加角色向导来部署NAT服务器。

第一：安装NATStep 1：选择服务器角色：网络策略和访问服务Step2: 选择角色服务，勾选路由和远程访问服务及其关联服务Step3：点击【安装】按钮，完成NAT服务的安装。

安装角色还是很简单的，接下来就是配置服务了。

图：4Step4：打开服务器管理器，展开【角色】选择下面的【网络策略和访问服务】，这时我们看到的【路由和远程访问服务】是被禁用的，显示的是一个红色停止标识，在右键菜单中点击【配置并启用路由和远程访问】，然后会弹出一个【路由和远程访问服务器安装向导】，微软的迷人之处就是会在每个命令选项后给出一个友好的提示窗口，依其提示step by step地做下去就OK了。

Step5：在配置窗口中勾选【网络地址转换】，配置VPN访问服务器也是从这个窗口开始的，我们会在以后的篇章中单独来说。

Step6：选择公用接口的网卡，知道为什么在开始的时候我们要给不同的网卡取名字的用处了吧，就是为了便于配置和管理。

Step7：完成配置.图：8在完成配置的窗口中有一个[摘要]信息需要注意，NAT服务器可以启用DNS中继和DHCP中继功能，但是其中继功能是依附DNS服务器和DHCP服务器，也就是说在网络中我们需要部署独立的DNS服务器和DHCP服务器，否则我们虽然开启了其中继功能，客户端却无法获得正确IP地址，仍不能正常访问互联网第二：管理NAT配置完NAT服务器以后，接下来的当然就是管理了，不过NAT服务器的管理比较简单，在左侧的导航视图中，我们展开IPv4就可以看到相关的几个选项：常规、静态路由、IGMP、NAT，如果没有特殊需求，这几个选项的配置就不需要调整了。

内网的一台电脑要上因特网，就需要端口映射端口映射分为动态和静态动态端口映射:内网中的一台电脑要访问新浪网，会向NAT网关发送数据包，包头中包括对方(就是新浪网)IP、端口和本机IP、端口，NAT网关会把本机IP、端口替换成自己的公网IP、一个未使用的端口，并且会记下这个映射关系，为以后转发数据包使用。

然后再把数据发给新浪网，新浪网收到数据后做出反应，发送数据到NAT网关的那个未使用的端口，然后NAT网关将数据转发给内网中的那台电脑，实现内网和公网的通讯.当连接关闭时，NAT网关会释放分配给这条连接的端口，以便以后的连接可以继续使用。

动态端口映射其实就是NAT网关的工作方式。

静态端口映射:就是在NAT网关上开放一个固定的端口，然后设定此端口收到的数据要转发给内网哪个IP和端口，不管有没有连接，这个映射关系都会一直存在。

就可以让公网主动访问内网的一个电脑NAT网关可以是交换机、路由器或电脑。

现在很多关于端口映射的文章都严重的误导人，许多不懂的人把端口映射软件用在自己的电脑上，其实端口映射是要在网关上做的！！！而网关很少是电脑，大部分人也不能控制网关，所以那几个端口映射的软件基本没用。

什么是内网、内网TrueHost、什么是公网、什么是NAT公网、内网是两种Internet的接入方式。

内网接入方式：上网的计算机得到的IP地址是Inetnet上的保留地址，保留地址有如下3种形式：10.x.x.x172.16.x.x至172.31.x.x192.168.x.x内网的计算机以NAT（网络地址转换）协议，通过一个公共的网关访问Internet。

内网的计算机可向Internet上的其他计算机发送连接请求，但Internet上其他的计算机无法向内网的计算机发送连接请求。

公网接入方式：上网的计算机得到的IP地址是Inetnet上的非保留地址。

公网的计算机和Internet上的其他计算机可随意互相访问。

NAT（Network Address Translator）是网络地址转换，它实现内网的IP地址与公网的地址之间的相互转换，将大量的内网IP地址转换为一个或少量的公网IP地址，减少对公网IP地址的占用。

Windows 2008 R2域控制器端口Windows Server 2008 R2域服务器上应该至少打开的端口。

一台Windows Server 2008 R2域服务器，启用了“文件服务”、“AD LDS”、“DNS Server”、“DHCP Server”，需要在防火墙中去打开特定端口才能为客户提供服务吗？如果需要，是否有端口列表？回答：作为Windows Server 2008 R2域服务器，我们需要配置防火墙开启下面的端口，如果该服务器也是一台DHCP 的话，您还需要在开启UDP 67 和68端口： Possible Rule name Description Port PathActive Directory Domain Controller – LDAP (TCP-In) Inbound rule for the Active Directory Domain Controllerservice to allow remote LDAP traffic. (TCP 389)389 %systemroot%\System32\lsass.exeActive Directory Domain Controller – LDAP (UDP-In) Inbound rule for the Active Directory Domain Controllerservice to allow remote LDAP traffic. (UDP 389)389 %systemroot%\System32\lsass.exeActive Directory Domain Controller – LDAP for Global Catalog (TCP-In) Inbound rule for the Active Directory Domain Controller service to allow remoteGlobal Catalog traffic. (TCP 3268)3268 %systemroot%\System32\lsass.exeActive Directory Inbound rule for the Active138 SystemDomain Controller – NetBIOS name resolution (UDP-In) Directory Domain Controller service to allow NetBIOSnameresolution. (UDP 138)Active Directory Domain Controller – SAM/LSA (NP-TCP-In) Inbound rule for the Active Directory Domain Controller service to beremotely managed over Named Pipes. (TCP 445)445 SystemActive Directory Domain Controller – SAM/LSA (NP-UDP-In) Inbound rule for the Active Directory Domain Controller service to beremotely managed over Named Pipes. (UDP 445)445 SystemActive Directory Domain Controller – Secure LDAP (TCP-In) Inbound rule for the Active Directory Domain Controller service toallow remote Secure LDAP traffic. (TCP 636)636 %systemroot%\System32\lsass.exeActive Directory Domain Controller – Secure LDAP for Global Catalog Inbound rule for the Active Directory Domain Controller service to3269 %systemroot%\System32\lsass.exe(TCP-In) allow remoteSecure GlobalCatalogtraffic. (TCP3269)Active Directory Domain Controller –W32Time (NTP-UDP-In) Inbound rulefor the ActiveDirectoryDomainControllerservice toallow NTPtraffic for theWindows Timeservice. (UDP123)123 %systemroot%\System32\svchost.exeActive Directory Domain Controller (RPC) Inbound rule toallow remoteRPC/TCP accessto the ActiveDirectoryDomainControllerservice.DynamicRPC%systemroot%\System32\lsass.exeActive Directory Domain Controller (RPC-EPMAP) Inbound rulefor the RPCSSservice toallow RPC/TCPtraffic to theActiveDirectoryDomainControllerservice.135 %systemroot%\System32\svchost.exeActive Directory Domain Controller (TCP-Out) Outbound rulefor the ActiveDirectoryDomainControllerservice. (TCP)Any %systemroot%\System32\lsass.exeActive Directory Domain Controller Outbound rulefor the ActiveDirectoryDomainAny %systemroot%\System32\lsass.exe(UDP-Out) Controllerservice. (UDP)DNS (TCP,Incoming)DNS inbound 53 %systemroot%\System32\dns.exeDNS (UDP,Incoming)DNS inbound 53 %systemroot%\System32\dns.exe DNS (TCP,outbound)DNS outbound 53 %systemroot%\System32\dns.exeDNS (UDP,outbound)DNS outbound 53 %systemroot%\System32\dns.exeDNS RPC, incoming Inbound rulefor the RPCSSservice toallow RPC/TCPtraffic to theDNS Service135 %systemroot%\System32\dns.exeDNS RPC, incoming Inbound rule toallow remoteRPC/TCP accessto the DNSserviceDynamicRPC%systemroot%\System32\dns.exe下面几篇文档您可以作为参考：======How to configure a firewall for domains and trustsActive Directory Replication over FirewallsDHCP: Port 67 (DHCP server port for IPv4) should not be in use by any other processJason Hou MCSE 2003+SecurityWindows 2008 R2域控制器端口的相关文章请参看指定活动目录复制端口ad域端口活动目录域端口域控制器端口分支域控制器同步端口域客户端远程管理端口域客户端登录用到的端口Windows 2008 主域控与辅助域控通讯端口主域控制器与辅域控制器通讯端口AD域客户端登录与交换机端口学习域控制器与客户端通信端口范围—gnaw0725。

对于nat，每一个访问的建立，都会在防火墙上留下记录，比如192.168.1.50的12345端口复用了200.201.30.41的54321端口进行对新浪的访问，则防火墙会有一个对应的表200.201.30.41:54321<——>192.168.1.50:123 45，当数据返回时，仍然会按照这个连接，将数据返回给内网主机192.168.1.50；当连接结束时，会释放200.201.30.41:54321的端口，这时，54321号端口又可以给其他的连接请求使用。

这是对于nat的情况。

而对于端口映射的情况则不同，例如内网的web服务器的ip地址为172.168.1.10，web 服务需要向外网发布，这时，就需要进行端口映射，在防火墙上建立固定的端口映射表172.168.1.10:80<——>200.201.70.71:80，这个映射是固定的。

这样，在外网的用户访问该web服务器的时候，访问的就是外网200.201.70.71这ip地址。

访问时使用http://200.201.70.71即可访问到172.168.1.10:80的web服务器（实际上是http://200.201.70.71:80，由于http协议默认使用80端口，所以可以省略）。

这时，200.201.70.71的80端口就被占用了，也就是不能再被其他的内部地址使用，虽然这里的80端口是保留端口，但是原理是一样的。

在做端口映射的时候，可以将内部地址端口映射为外部地址相同的端口，也可以映射为不同的端口，如内网有另外一台web服务器172.168.1.20需要向外网发布，但是200.201.70.71的80端口已经被172.168.1.10的80端口占用了，这时，可以使用其他的任何未被占用的端口（非保留端口），如建立以下的映射：172.168.1.20:80<——>200.201.70.71:8080，这时，访问http://200.201.70.71:8080即可访问到172.168.1.20发布的web服务，只是这个时候必须指定访问8080端口，否则会访问到172.168.1.10发布的web服务。

Win2008当路由器配置NAT本文档详细介绍了如何将Windows Server 2008配置为路由器并实现NAT功能。

以下是每个章节的细节说明。

1：确认系统要求确保您的计算机满足Windows Server 2008的最低系统要求，包括硬件和软件要求。

2：安装操作系统安装Windows Server 2008操作系统并完成初始化设置。

确保您具有管理员权限。

3：配置网络适配器连接网络适配器并配置IP地址、子网掩码、默认网关和DNS服务器。

4：启用路由和远程访问打开服务器管理器，选择添加角色和功能。

选择网络策略和访问服务角色，勾选路由和远程访问服务。

5：配置网络地址转换（NAT）打开服务器管理器，选择工具，然后选择网络地址转换（NAT）管理器。

右键单击“NAT”节点，选择“新建接口”。

选择外部网络连接，并根据提示配置网络地址。

6：配置NAT规则右键单击“NAT”节点，选择“新建接口”。

选择内部网络连接，并根据提示配置网络地址。

定义源和目标网络地址以及端口范围。

7：测试路由器配置使用另一台计算机连接到您的网络，并尝试通过您的Windows Server 2008路由器上网。

确保互联网连接正常，并且网络地址转换（NAT）功能正常工作。

附件：本文档不包含附件。

法律名词及注释：1： NAT（Network Address Translation）- NAT是一种网络技术，可以将私有IP地址转换为公共IP地址，以实现多台计算机通过单个公共IP地址访问互联网的功能。

2： IP地址- IP地址是在计算机网络中用于唯一标识和定位计算机和其他网络设备的数字标识符。

3： DNS服务器（Domn Name System）- DNS服务器是一种将域名解析为IP地址的服务器，使计算机能够通过域名访问网站。

windows server 2008防火墙规则
Windows Server 2008防火墙规则用于管理和控制网络流量。

以下是一些常见的Windows Server 2008防火墙规则：
1. 入站规则：用于控制从外部网络进入服务器的流量。

可以配置允许或禁止特定端口、IP地址或协议的流量进入服务器。

2. 出站规则：用于控制从服务器发送到外部网络的流量。

可以配置允许或禁止特定端口、IP地址或协议的流量离开服务器。

3. 安全规则：用于保护服务器免受恶意攻击。

可以配置阻止潜在威胁、防止未经授权的访问或限制敏感数据传输的规则。

4. NAT规则：用于网络地址转换（NAT）。

可以配置将一个
IP地址映射到另一个IP地址，允许服务器在不暴露真实IP地
址的情况下与外部网络通信。

5. 程序规则：用于控制特定程序的网络访问。

可以配置允许或禁止特定程序的入站或出站连接。

6. VPN规则：用于设置虚拟专用网络（VPN）连接。

可以配
置允许或限制远程用户通过VPN连接到服务器。

7. 高级安全规则：用于更复杂的网络安全需求。

可以配置更详细的访问控制列表、QoS（服务质量）规则、防火墙监控等。

以上规则只是示例，实际使用时应根据具体的网络安全需求进
行配置。

可以使用Windows防火墙管理工具（如Windows防火墙高级安全）来创建、编辑和管理这些规则。

Windows server 2008R2系统搭建文件共享服务器，超详细版(搭建步骤、权限理解、隐藏式共享、磁盘配额、文件屏蔽、共享设置快速查看方式等）一．Windows server 2008R2搭建步骤文件服务器步骤：在Windows server 2008R2上搭建文件服务器：1.打开服务器向导，点击一下添加角色。

2.服务器角色当中选中文件服务。

点击下一步：3.弹出文件服务的功能介绍，点击下一步：4.我们勾选上分布式文件系统、文件服务器资源管理器，点击下一步：5.选中以后使用服务器管理器中的“DFS管理”管理单元创建命名空间：6.配置存储使用情况监视，不管，点击下一步：7.确认安装选择，不管，点击安装。

8.成功安装提示：到这一步，成功安装文件服务器。

下面讲解如何设置文件共享：1.首先收集共享需求：设计部需要搭建一个文件共享服务器，来实现素材对各个不同部门人群的输出。

其中，素材文件分类为广告素材、设计素材、视觉&UI、原画这些。

根据分类建立文件夹。

然后设计部广告设计组人员可以查看广告素材、设计素材两个文件夹，其他文件夹不能看；操作权限为可见的文件夹只能读写不能删除；视觉设计组人员可以查看设计素材、视觉&UI两个文件夹，其他文件夹不能看；操作权限为可见的文件夹只能读写不能删除；原画设计人员可以查看设计素材、原画两个文件夹，其他文件夹不能看；操作权限为可见的文件夹只能读写不能删除；然后只有设计经理和设计总监才可以看见上述四个文件夹，并且对这些文件夹当中的文件有读写删除权限。

3.下图为权限设置树状图：除了集团设计部素材库为一级文件夹外，其他广告素材、设计素材、视觉&UI、原画都是二级文件夹。

4.想好了权限设置细节之后，就可以在文件共享服务器上按照草稿进行设置了。

共享文件夹实现步骤：1.先在机器上的一个盘符根目录下建立一个文件夹（父文件夹）：集团设计部素材库。

然后对准此文件夹点击鼠标右键，点击属性，转到共享选项卡，点击高级共享按钮：勾选共享此文件夹，然后点击权限按钮：2.可以看见默认存在Everyone用户，其权限默认是读取。

如何设置端⼝映射端⼝映射的⼏种⽅法如何设置端⼝映射端⼝映射（Port Mapping/Port Forwarding）有点类似服务重定向, 所以有些路由器(Router)中也称为虚拟服务器(Virtual Server)。

为了描述⽅便, 下⾯的叙述中统⼀称为[端⼝映射]。

采⽤端⼝映射的⽅法，可以实现从Internet 到局域⽹内部机器的特定端⼝服务的访问。

端⼝映射的实现⽅式可以分为纯软件和软硬结合⽅式。

以纯软件⽅式实现端⼝映射功能软件有很多, ⽐如, MSWindows9x/200/XP 下的PortTunnel 专门针对HTTP、FTP、SMTP 服务的端⼝映射，提供了较多的参数设置，在相应的标签菜单下调整。

⼜如各种版本的Linux 操作系统本⾝就⽀持端⼝映射, 只需要⽹络管理员做相应的设置和调整即可实现。

⽽以软硬结合⽅式实现端⼝映射功能的, 主要常见于各种路由器(提供⽹关路由功能) 。

下⾯主要介绍各种路由器(Router)中如何实现端⼝映射⼀般路由器中有个端⼝映射（Port Mapping）或者虚拟服务器(Virtual Server)的设置。

⽤户需要在路由器(Router)的“管理界⾯”中相应的端⼝映射界⾯中, 设置好相应的需要映射的端⼝, 协议,内⽹地址等, 才能⽣效。

设置的⽅法可能会因为路由器(Router)不同的品牌和型号，在设置的⽅法上也会有所不同。

端⼝映射⽀持的⽹络协议有TCP/UDP/两者, 所以进⾏端⼝映射设置时, 如果不熟悉, 可以选择两者都⽀持。

举例说明:以某路由器(Router)为例，在启⽤其路由功能之后，⽹络拓扑图如下：这⾥假定路由器(Router)默认IP 内⽹地址为192.168.1.1，内⽹中电脑⼀般可以设置成为192.168.1.X（X=2~254），在内⽹中某⼀台电脑上打开IE，在地址栏输⼊http://192.168.1.1，输⼊初始⽤户名、密码，之后就可以看到设置界⾯了。

网外(Internet)访问代理服务器内部的实现方法由于公网IP地址有限，不少ISP都采用多个内网用户通过代理和网关路由共用一个公网IP上INTERNET的方法，这样就限制了这些用户在自己计算机上架设个人网站，要实现在这些用户端架设网站，最关键的一点是，怎样把多用户的内网IP和一个他们唯一共享上网的IP进行映射！就象在局域网或网吧内一样，虽然你可以架设多台服务器和网站，但是对外网来说，你还是只有一个外部的IP 地址，怎么样把外网的IP映射成相应的内网IP地址，这应该是内网的那台代理服务器或网关路由器该做的事，对我们用私有IP地址的用户也就是说这是我们的接入ISP服务商（中国电信、联通、网通、铁通等）应该提供的服务，因为这种技术的实现对他们来说是举手之劳，而对我们来说是比较困难的，首先得得到系统管理员的支持才能够实现。

因为这一切的设置必须在代理服务器上做的。

要实现这一点，可以用Windows 2000 Server 的端口映射功能，除此之外Winroute Pro也具有这样的功能，还有各种企业级的防火墙。

而对于我们这些普通用户，恐怕还是用Windows 2000 Server最为方便。

先来介绍一下NAT，NAT（网络地址转换）是一种将一个IP地址域映射到另一个IP地址域技术，从而为终端主机提供透明路由。

NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。

NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。

在防火墙上实现NAT后，可以隐藏受保护网络的内部拓扑结构，在一定程度上提高网络的安全性。

如果反向NAT提供动态网络地址及端口转换功能，还可以实现负载均衡等功能。

端口映射功能可以让内部网络中某台机器对外部提供WWW服务，这不是将真IP地址直接转到内部提供WWW服务的主机，如果这样的话，有二个蔽端，一是内部机器不安全，因为除了WWW之外，外部网络可以通过地址转换功能访问到这台机器的所有功能；二是当有多台机器需要提供这种服务时，必须有同样多的IP地址进行转换，从而达不到节省IP地址的目的。

Windows Server 2008 搭建L2tp VPN Server配置指导1、鼠标右键点击“我的电脑”，点“管理”打开服务器管理器，并展开“角色”项。

点右侧面板的“添加角色”按钮。

在弹出的“选择服务器角色”窗口中，选择“网络策略与访问服务”。

下一步：2、在弹出的“选择角色服务”窗口中，选择”网络策略服务器”、“路由和远程访问服务”，并确保“远程访问服务”、“路由”两项被选定。

并点下一步，直至完成此角色的安装。

3、完成安装后，展开“角色”、“网络策略和访问服务”，右键选择“配置并启用路由和远程访问”。

4、在“路由和远程访问服务欢迎向导”界面，点下一步。

5、在弹出的“配置”界面，在“虚拟专用网络（VPN）和NAT”打上对勾。

下一步：注：此处如果Windows Server 2008平台是双网卡，则执行上述步骤；如果只是但网卡，则此处可选择为“自定义配置”6、在“VPN连接”界面，选择名称为“WAI”的网卡，下一步：7、在接下来的界面中选择“来自一个指定的地址范围”，并下一步，在“地址范围分配”界面，输入新的地址范围，并确定后，下一步:8、在“管理多个远程访问服务器”界面，由于没有内部的RADIUS服务器，此处选择第一项“否，使用路由和远程访问来对连接进行身份验证”。

下一步：9、在“正在完成路由和远程访问服务服务器安装向导”界面，点完成，并在弹出的消息对话框中点”OK”。

10、完成配置后，展开至“端口”处，此时，可以看到L2TP已创建。

11、右键点击“路由和远程访问”，选择“属性”，选择“安全”，注：此项配置，如果在“角色”中添加了“NPS”，则此项配置可跳过，不需要配置，关于安全身份验证策略会在“NPS”中配置。

修改“身份验证方法”，勾选“chap”和“MS-chap v2”12、设置NPS网络策略选择“用于拨号或VPN连接的Radius服务器”，点击“配置VPN或拨号”选择“虚拟专用网络（VPN）连接”，点击下一步下一步保持默认选项，点击下一步指定用户组添加组“Users”点击确定完成配置下一步缺省配置，点击下一步缺省配置，点击下一步缺省配置，点击下一步点击完成按钮完成配置。

一、Windows Server 2008 安装过程图文详解工具/原料•Windows Server 2008 R2安装光盘•足够的硬件配置方法/步骤安装系统之前，请确保硬盘里没有重要的资料!！！首先设置光盘启动，将系统光盘放入光驱，开始激动人心的2008 R2的安装。

第一个界面，如图。

正在装载系统文件……1.2很快，你就可以看到这个了，如图.先选择好你的语言及其他，点击：下一步。

2.3这个才是真正的开始安装，呵呵,点击:现在安装。

如图。

3. 4到了这里，请选择你要安装的版本，我当然是要安装完整版的企业版啦。

如图。

4.5打勾:接受，再下一步。

如图.5.6安装方式的选择,这个根据你的需要，如果你是从低版本升级到2008的话，你就点击升级吧，其他的当然是自定义啦，如图.因为我的是新装，硬盘上无任何数据呢。

安装之前，得先分区,这个大家都懂的了,如图。

所以，我们点击：驱动器选项。

6.8然后点击：新建，如图。

7.9一般来说，2008的系统占用空间约为20G 左右，但实际安装建议50G以上，如图。

8.10提示：要为系统文件创建额外的分区，这是必须的，点确定吧,如图。

9.吧11然后会返回上一层，这时，硬盘还有空间，我们先把他分成另一个区.先占击未分配的空间,再新建。

如图.10.12分完区后，会返回上一层,这时,大家要小心看清楚，因为我们要安装系统到“C盘”,我们必须这个分区，如图.错了你就得重新安装系统了，好累的。

开始安装了，安装是一个漫长的过程……这个过程如图。

.大约要半小时多.可能反复重启几次终于完成安装了，然后会自动重启……如图。

11.15看到这，有点激活了，如图。

当然还是要设置一个密码。

点击:确定。

12.16设置密码是有些要求的：有长度要求（4个以上字符）、复杂性(要有大小写及数字）要求及历史要求.设置好了,点击:右箭头，如图。

会提示：密码成功修改，请保管你的密码哦。

13.18第一次进入桌面，会先准备好用户信息配置等等，请稍后，如图.到此，系统正式安装完成了，快来尝试新功能吧。