WindowsServer2003ICS或NAT實現共享上網（未聯網實驗）

共享上網，目前常見的網絡連接共享可分為硬件與軟件兩種：硬件網絡連接共享需要購買特殊的硬件設備，如IP分享器；軟件網絡連接共享是采用軟件的方式共享連接，無須借助硬件設備，常用的方式有Proxy與NAT兩種。

其中，Proxy類的產品不但可以區隔Internet與局域網，在為Internet中的計算機提供網絡連接共享時，還可以發揮保護局域網計算機的作用。這類產品的功能強大，但是價格也比較高。

內置于WindowsServer2003中的NAT網絡連接共享，基本上是可以滿足中小企業的共享連接需求。它的簡化版ICS（InternetConnectionSharing,Internet連接共享）更是以設置簡單，功能實用等優點，深受眾多家庭以及小型企業的歡迎。

NAT使用簡介

為了解決IPv4地址空間不足的問題，IP地址被人為地劃分為公用地址和私用地址兩部分。

公用地址用于Internet，可以在Internet中隨意訪問。因此，要在Internet上通信，必須使用由IANA分配的公用地址。

專用地址是保留給組織內部私有網絡使用的IP地址，可以被不同組織重復使用。專用地址包括：

◆子網掩碼

◆子網掩碼

◆子網掩碼

由于專用地址只用于私有網絡，不能用于Internet通信。因此，如果某個組織的內部網絡使用專用地址，同時又需要與Internet進行通信，則必須將該專用地址轉換為公用地址。

NAT（NetworkAddressTranslation，網絡地址轉換）位于使用專用地址的內部網和使用公用地址的Internet之間。內部網的傳出數據包通過NAT將其專用地址轉換為公用地址。而來自Internet的傳入數據包則由NAT將其公用地址轉換為專用地址。使用NAT不僅能節約公用IP地址，并且大大降低了組織的Internet接入成本。同時，NAT可以將內部私有網絡隱藏起來，起到了保護內部網絡的作用。

NAT的工作過程

（1）NAT客戶端需要與Internet通信，于是將數據包發給NAT服務器；

（2）NAT服務器將數據包中的源端口號和專用IP地址轉換為其自己的端口號和公用IP地址，然后將數據包發給Internet上的主機，同時將源端口號和專用IP地址與其自己的端口號和公用IP地址的映射關系記錄下來，以便后續過程使用；

（3）Internet上的主機將回應發送給NAT服務器的公用IP地址；

（4）NAT服務器將所收到的數據包的目的端口號和公用IP地址根據映射關系轉換為客戶端的端口號和專用IP地址并轉發給客戶機。

NAT與ICS的組件控制差異

WindowsServer2003中的NAT包含有3個組件：

◆NAT轉換組件：NAT的主要組件，用于轉換局域網與Internet之間的數據包。

◆DHCP配置地址設置組件：用于分配私有IP地址給局域網中的其他計算機，無須設置也可以連接Internet.

◆DNSProxy名稱解析組件：用于為NAT服務器新增DNS功能，以便客戶端指定NAT服務器為DNS服務器，進而簡化局域網其他計算機的連接設置。

NAT服務器的DNSProxy，事實上只是收集客戶端的DNS請求，然后再請求Internet中的DNS解析，最后將結果返回給客戶端而已，它本身并沒有任何DNS記錄。

ICS雖然也有這3個組件，但是組件控制卻不如NAT靈活方便。例如，NAT可以設置DHCP配置器地址設置組件，甚至能夠禁用此組件；而ICS則沒有這種控制功能，在啟用ICS后，3個組件只能按默認值任務，不能單獨設置、啟用或禁用某一個組件。如果網絡中已經設置了同DHCP服務器分配地址，但是由于不能禁用ICS內置的DHCP配置地址設置組件，于是兩個DHCP服務器將會各自分配不同的IP地址，造成網絡中IP地址分配混亂，影響網絡通信以及訪問。

綜上所述，ICS與NAT擁有同樣的組件，但是兩者在組件控制方面有著相當大的差距。NAT可以自由地設置各個組件，而ICS則只能按照默認值執行。

WindowsServer2003中ICS各個組件的默認值：

◆NAT轉換組件：啟用狀態。只能將網絡連接共享給一個子網絡。

◆DHCP配置地址設置組件：啟用狀態。為局域網中的其他計算機分配-54區段的IP地址。

◆DNSProxy名稱解析組件：啟用狀態。只要客戶端設置連接共享的計算機為DNS服務器，就可以使用DNS代理服務。

1、創建實驗環境:

2、啟動虛擬機，進行相應系統參數的設置:

3、下面開始修改Team虛擬機的相關設置。在Server虛擬機的參數設置時我們可以看到我兩塊虛擬網卡的名稱，這里我將VMnet4網段的虛擬機作為內部網絡（LAN），將VMnet5網段的虛擬機作為外部網絡（Internet）,其他的大家看圖就明白了:

4、測試目前的連通情況，記得關閉防火墻。根據上面的配置可知：

（1）In-Client-XP虛擬機ping得通Server虛擬機，但是ping不通Out-Client-XP虛擬機:

（2）Server虛擬機ping得通In-Client-XP虛擬機和Out-Client-XP虛擬機:

（3）Out-Client-XP虛擬機ping得通Server虛擬機，但是ping不通In-Client-XP虛擬機:

5、下面我們開始在Server服務器上作ICS(Internet連接共享)的實驗，使得內部虛擬機（In-Client-XP）通過共享Internet網卡可以訪問外部虛擬機（Out-Client-XP），但是外部虛擬機默認還是不能訪問內部網絡的，這點大家看過NAT的工作原理應當明白。

（1）在Internet網卡上啟用ICS:

（2）啟用ICS后，默認會自動將我的LAN局域網網卡的IP設置為，看了前面介紹的ICS就會明白，這些是默認的。這樣，如果的局域網計算機想通過服務器共享上網，那么局域網內的計算機的IP就要設置與LAN網卡同一網段的IP（192.168.0這個網段），并且網關也要設置為才行。

但是這個設置是可以修改的，比如后面我把它設置為192.168.40這個網段，IP為1，因為前面的局域網是這樣規劃的，大家繼續看會明白的:

（3）我們可以看到Internet網卡目前已經處于共享的狀態:

（4）下面我們修改ICS默認給LAN網卡的配置，我們修改為IP：1，子網掩碼：，看圖:

（5）現在我們的內部計算機可以通過服務器共享的Internet網卡訪問外部的虛擬機了，即In-Client-XP可以ping通Out-Client-XP虛擬機。這里我將前面ping的結果也保留在這，大家可以做個對比:

（6）目前外部計算機是不能訪問內部網絡的，即Out-Client-XP虛擬機不能ping通In-Client-XP虛擬機:

（7）下面我還是將LAN網卡的配置修改為ICS默認的設置，大家可以對比下這里的ICS與前面理論介紹的ICS，加深理解:

（8）因為內部網絡的網關IP變化了，變成了，所以這里內部網絡虛擬機不能訪問外部網絡了:

（9）我將內部網絡的虛擬機修改為自動獲得IP地址，接下來就可以訪問外部網絡了，看圖可以知道這個DHCP服務器是ICS的內部組件，自動分配-54這段IP地址。大家看圖，就不多說了:

6、通過前面的介紹，大家只要簡單的設置下，就可以完成共享上網的實驗了，下面我再介紹下如何將內部網絡的服務對外提供，使得外部計算機可以訪問內部網絡服務器提供的服務。其實就是簡單的端口映射下。

（1）將內部計算機In-Client-XP的TCP/IP設置作如下配置:

（2）服務器上的LAN網卡作如下設置:

（3）在內部架設一臺服務器。這里我就簡單的利用In-Client-XP虛擬機架設一臺FTP服務器，為后面實驗準備。具體過程看圖，了解下就行:

（4）測試內部FTP服務器，該內部服務器目前內部網絡是可以訪問的，但外部網絡是不能訪問的，這里我只給出內部網絡可以訪問的截圖:

（5）根據前面架設內部FTP服務器的方法，我這里再在外部網絡中架設一臺FTP服務器，讓大家能更直觀的有個認識:

（6）下面我在服務器和內部網絡上測試外部FTP服務器，測試結果都能正常訪問，說明我的ICS共享上網是成功了的。因為我做這個試驗是我沒有上網，所以大家要把外部網絡想像成我們所謂的Internet網絡，如果我的外部網絡還提供其他更多的服務，那就更真實了。相信大家已經學會了假設:

（7）我們下面在外部網絡中測試下，看看能否訪問內部網絡提供的FTP服務，默認情況下是不能訪問的，根據NAT的原理就能明白:

（8）下面我們在服務器上作個簡單的設置（端口映射），使得外部網絡的計算機可以訪問內部網絡計算機提供的服務，這里我只簡單設置了FTP服務，大家可以靈活使用其他的相關服務:

（9）在服務器上經過映射后，我們便可使用服務器的外部IP來訪問內部網絡提供的服務了，大家看圖:

7、下面開始介紹NAT實現局域網共享上網。將ICS設置取消，恢復最初設置，并測試相關連通性，保留FTP服務器:

8、因為前面啟用了ICS，我的服務并未禁止ICS，所以下面我要先禁用ICS服務，再啟用和配置NAT服務，大家看圖就明白:

9、下面開始啟用NAT服務:

（1）基本步驟截圖:

（2）這里可以選擇“網絡地址轉換（NAT）”進行配置，還可以選擇自定配置進行設置，我這里要介紹最后一種自定義配置，所以這里給大家看下選擇“網絡地址轉換（NAT）”的截圖。后面還可以選擇NAT服務提供的基本名稱和DHCP地址分配服務，也可以后面再配置，都是大家看圖了解了:

（3）我們還是介紹使用自定義配置的NAT，大家看圖就明白了:

10、簡單配置NAT服務。

（1）配置一個連接Internet的公用接口:

（2）簡單的配置一下NAT服務，下面內部網絡計算機可以訪問外部網絡了，外部網絡計算機不能訪問內部網絡，看圖:

（3）此時，只通過簡單的ping，查看映射關系是看不出什么的:

（4）在只有一個公共接口連接Internet的情況下，我使用其他協議訪問外部網絡，也查看不到映射關系:

（5）下面我增加一個內部網絡的接口（專用接口），再來查看映射關系，大家就會發現不同了:

11、這里再介紹點其他相關知識。我們可以看下公共接口上的屬性與專用接口上的屬性之間的差別，其中專用接口我就不多說，只介紹下公共接口上的屬性。

（1）看圖操作:

（2）在公共接口上我們可以設置基本防火墻和數據包的出入篩選（專用接口上只有這個），還有地址池、服務和端口、ICMP相關設置:

（3）在地址池中我們可以添加公共IP提供給內部網絡計算機使用的地址轉換（NAT，一個內部IP對應一個外部IP），其實前面介紹的地址轉換可以說是端口轉換（PAT，多個內部IP對應一個外部IP和外部IP的不同端口）。還可以設置相關保留公共IP提供給內部計算機使用。大家看圖了解些:

（4）這里介紹的服務和端口、ICMP與前面ICS的服務和端口是相同的，大家先了解下:

（5）這里給大家看下地址池的應用，大家看后面的映射關系表就明白了:

（6）下