Конфигурирование механизма NAT с помощью программы-мастера
Механизм NAT может быть активизирован на любом компьютере под управлением Windows Sewer 2003. Для этого необходимо соответствующим образом сконфигурировать службу маршрутизации и удаленного доступа (Routing and Remote Access Service).
Как уже было замечено ранее, управление службой маршрутизации и удаленного доступа осуществляется из оснастки Routing and Remote Access. Если эта служба еще не настроена, в панели пространства имен оснастки вызовите контекстное меню объекта, ассоциированного с конфигурируемым сервером, и в нем выберите пункт Configure and Enable Routing and Remote Access (Конфигурировать и разрешить маршрутизацию и удаленный доступ). В окне Configuration (см. рис. 14.6) необходимо выбрать пункт Network address translation (NAT).
В окне NAT Internet Connection мастера Routing and Remote Access Server Setup Wizard (рис. 14.11) администратор должен выбрать соединение, которое будет использоваться механизмом трансляции имен. Предполагается, что это соединение с Интернетом (или другой внешней сетью). Администратор может выбрать одно из существующих соединений, выбрав переключатель Use this public interface to connect to the Internet. В качестве альтернативы администратор может создать соединение по требованию, выбрав пункт Create a new demand-dial interface to the Internet. Соединение по требованию (demand-dial interface) используется, как правило, в случае повременного доступа в Интернет. Соединение устанавливается только в том случае, когда один из пользователей запрашивает доступ к ресурсам Интернета и по окончании работы пользователя разрывается.
При необходимости можно активизировать для выбранного сетевого интерфейса базовый брандмауэр. Для этого необходимо установить флажок Enable security on the selected interface by setting up Basic Firewall.
Мастер выполнит конфигурирование и запуск службы маршрутизации и удаленного доступа. Если для работы механизма NAT был выбран интерфейс соединения по требованию, система запустит мастер создания соединения по требованию.
В первую очередь необходимо сконфигурировать сетевые интерфейсы у сервера, выбранного на роль преобразователя адресов. Сетевому интерфейсу, подключенному к локальной сети, должен быть выделен адрес из разрешенного диапазона частных адресов. Например, возможна следующая конфигурация:
- IP-адрес: 192.168.0.1
- маска подсети: 255.255.255.0
- шлюз по умолчанию – отсутствует
Рис. 14.11. Выбор сетевого интерфейса для работы механизма NAT
В данной конфигурации адрес для сетевого интерфейса в домашней сети выбирается из адресного интервала по умолчанию (задается идентификатором сети 192.168.0.0 и маской 255.255.255.0), который задается для компонента адресации преобразователя адресов. Если этот адресный интервал по умолчанию изменяется, то необходимо изменить и IP-адрес частного интерфейса компьютера-преобразователя адресов, чтобы он имел первый IP-адрес в заданном диапазоне. Использование первого IP-адреса из диапазона – рекомендуемый подход, а не требование для компонента преобразователя адресов.
На следующем этапе необходимо настроить маршрутизацию для выбранного сетевого интерфейса. Администратор должен создать статический маршрут, который будет по умолчанию использоваться данным сетевым интерфейсом. Для статического маршрута по умолчанию получатель – 0.0.0.0, маска подсети – 0.0.0.0. (Мастер конфигурирования создает такой маршрут автоматически.)
Если выбранный сетевой интерфейс не является интерфейсом с набором номера по требованию, в поле Gateway (Шлюз) необходимо также указать IP-адрес. Поскольку в данном случае устанавливается соединение "точка-точка", в этом поле может быть указан любой адрес. Применительно к интерфейсам с набором номера по требованию шлюз не указывается. Вместо этого необходимо установить флажок Use this route to initiate demand-dial connections (Использовать этот маршрут для создания соединения по требованию).
Компонент адресации преобразователя адресов назначает адреса только из одного диапазона, соответствующего одной подсети. Если механизм NAT активизирован для нескольких локальных сетевых интерфейсов, то подразумевается конфигурация с одной подсетью (где все локальные интерфейсы соединены с одной и той же сетью). Если локальные сетевые интерфейсы соответствуют различным сетям, связность между клиентскими компьютерами, которые получают адреса от преобразователя адресов, но находятся в разных сетях, невозможна.