對(duì)于中小學(xué)校的校園網(wǎng)，電信部門所能分配的真實(shí)IP地址極少。IP地址資源匱乏已成為制約校園網(wǎng)發(fā)展的主要因素之一。如何利用一個(gè)真實(shí)的IP地址，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)共享Internet連接，并將多臺(tái)內(nèi)部網(wǎng)絡(luò)服務(wù)器對(duì)外發(fā)布，使用戶在外部網(wǎng)絡(luò)也可訪問是在缺少IP地址的情況下亟待解決的問題。經(jīng)過實(shí)踐，筆者在Windows Server 2003上利用NAT技術(shù)實(shí)現(xiàn)了上述功能。本文將對(duì)NAT技術(shù)及其在校園網(wǎng)中的作用和實(shí)現(xiàn)方法做簡單介紹。
　　
　　一、NAT技術(shù)
　　
　　NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）是一種將一個(gè)IP地址映射到另一個(gè)IP地址的技術(shù)。NAT包括靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、靜態(tài)網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、動(dòng)態(tài)網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、端口映射等，常用于私有虛擬地址與真實(shí)地址的轉(zhuǎn)換以解決IP地址匱乏問題，并可為終端主機(jī)提供透明路由。
　　利用NAT技術(shù)的地址轉(zhuǎn)換功能，可以使一個(gè)機(jī)構(gòu)內(nèi)的所有用戶通過有限的數(shù)個(gè)（或一個(gè)）真實(shí)IP地址訪問Internet，從而節(jié)省了Internet上的真實(shí)IP地址資源；另一方面，通過地址轉(zhuǎn)換，可以隱藏內(nèi)部網(wǎng)絡(luò)上主機(jī)的真實(shí)IP地址，從而提高網(wǎng)絡(luò)的安全性。
　　利用NAT技術(shù)的端口映射功能，可以實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)服務(wù)器的對(duì)外發(fā)布。NAT技術(shù)可將Internet用戶對(duì)擁有真實(shí)地址的計(jì)算機(jī)的某端口的訪問請(qǐng)求，轉(zhuǎn)到內(nèi)部網(wǎng)絡(luò)中相應(yīng)的計(jì)算機(jī)上，從而實(shí)現(xiàn)對(duì)內(nèi)部計(jì)算機(jī)的訪問。
　　
　　二、NAT技術(shù)的作用及實(shí)現(xiàn)方法
　　
　　NAT技術(shù)在校園網(wǎng)主要有兩方面的作用：一是實(shí)現(xiàn)Internet連接的共享；二是實(shí)現(xiàn)校園網(wǎng)內(nèi)部服務(wù)器的對(duì)外發(fā)布。下面以某校校園網(wǎng)建設(shè)為例分別說明其實(shí)現(xiàn)方法。
　　該校從當(dāng)?shù)仉娦挪块T申請(qǐng)到了一個(gè)真實(shí)IP地址，其Internet接入?yún)?shù)如下，IP地址：60.216.138.2，子網(wǎng)掩碼：255.255.255.224，默認(rèn)網(wǎng)關(guān)：60.216.138.1，DNS服務(wù)器: 202.102.128.68。校園網(wǎng)內(nèi)部地址，采用B類私有網(wǎng)段172.16.×.×?，F(xiàn)需要將校園網(wǎng)內(nèi)地址為172.16.100.100的服務(wù)器進(jìn)行發(fā)布，允許外部Internet用戶訪問該WWW服務(wù)器。
　　準(zhǔn)備一臺(tái)已安裝Windows Server 2003操作系統(tǒng)，并且配備了雙網(wǎng)卡的計(jì)算機(jī)，我們將把它作為校園網(wǎng)的NAT服務(wù)器。
　　1.利用NAT技術(shù)實(shí)現(xiàn)Internet連接的共享
　　首先對(duì)服務(wù)器的網(wǎng)卡進(jìn)行如下設(shè)置：
　　服務(wù)器的兩個(gè)網(wǎng)卡，一個(gè)用來連接外部Internet，按電信部門提供的接入?yún)?shù)進(jìn)行設(shè)置；另一個(gè)用來連接內(nèi)部校園網(wǎng)，根據(jù)校園網(wǎng)使用的網(wǎng)段，將172.16.0.1作為該網(wǎng)卡的IP地址，子網(wǎng)掩碼設(shè)置為255.255.0.0，網(wǎng)關(guān)和DNS服務(wù)器不需要進(jìn)行設(shè)置。
　　下面配置NAT服務(wù)，具體設(shè)置步驟如下。
　　第一步：選擇管理工具中的“路由和遠(yuǎn)程訪問”，在“操作”菜單上單擊“配置并啟用路由和遠(yuǎn)程訪問”，打開“路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А薄?br/>　　第二步：按照向?qū)崾?，在“配置”頁中選擇“網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）”選項(xiàng)，單擊“下一步”。
　　第三步：在“NAT Internet連接”頁中，選擇連接到外部Internet的方式。本例中是通過LAN接口接入Internet的，應(yīng)選擇第一項(xiàng)“使用此公共接口連接到Internet”，再在下面列出的兩個(gè)網(wǎng)絡(luò)接口中，選擇連接外部Internet的網(wǎng)絡(luò)接口（圖1）。
　　
　　該頁面的下方有一個(gè)復(fù)選框，勾選“通過設(shè)置基本防火墻對(duì)選擇的接口進(jìn)行保護(hù)”，允許為這個(gè)連接啟用一個(gè)防火墻。這個(gè)防火墻將阻止不必要的通信進(jìn)入內(nèi)部網(wǎng)絡(luò)，有利于保證內(nèi)部網(wǎng)絡(luò)的安全。設(shè)置完成后，單擊“下一步”。
　　第四步：在“名稱和地址轉(zhuǎn)換服務(wù)”頁中，可以對(duì)是否啟用DNS和DHCP服務(wù)進(jìn)行設(shè)置。如果需要讓校園網(wǎng)內(nèi)機(jī)器自動(dòng)獲得IP地址，則選擇第一項(xiàng)“啟用基本的名稱和地址服務(wù)”。在本例中，需要人工為校園網(wǎng)內(nèi)各機(jī)器設(shè)置IP地址，故選擇“我將稍后設(shè)置名稱和地址服務(wù)”。設(shè)置完成后，單擊“下一步”。
　　第五步：“路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А睂⑨槍?duì)前面的設(shè)置給出一個(gè)總結(jié)報(bào)告，單擊“完成”確認(rèn)即可?！奥酚珊瓦h(yuǎn)程訪問”服務(wù)將自動(dòng)啟動(dòng)。
　　最后，配置校園網(wǎng)內(nèi)的各客戶機(jī)，方法如下：
　　由于在第四步中未啟用DHCP和DNS服務(wù)，這里還需要為校園網(wǎng)的各客戶機(jī)設(shè)置IP地址。IP地址可設(shè)置為172.16.×.×網(wǎng)段（172.16.0.1除外）的任一IP地址，子網(wǎng)掩碼設(shè)置為255.255.0.0，默認(rèn)網(wǎng)關(guān)設(shè)置為NAT服務(wù)器內(nèi)部校園網(wǎng)接口的IP地址172.16.0.1，DNS服務(wù)器使用電信部門提供的DNS服務(wù)器202.102.128.68。
　　至此，完成了NAT服務(wù)器的安裝和校園網(wǎng)內(nèi)部客戶機(jī)的設(shè)置，即實(shí)現(xiàn)了校園網(wǎng)內(nèi)的客戶機(jī)通過NAT服務(wù)器共享Internet連接。
　　2. 利用NAT技術(shù)實(shí)現(xiàn)校園網(wǎng)內(nèi)部服務(wù)器的發(fā)布
　　校園網(wǎng)內(nèi)已搭建一臺(tái)WWW服務(wù)器，其地址為172.16.100.100，現(xiàn)欲將該服務(wù)器對(duì)外發(fā)布，使Internet網(wǎng)絡(luò)可以訪問它。這里需要利用NAT技術(shù)的端口映射功能實(shí)現(xiàn)。
　　具體設(shè)置步驟如下。
　　第一步：打開“路由和遠(yuǎn)程訪問”對(duì)話框，在左側(cè)窗口中依次展開“COMPUTER（本地）—IP路由選擇—NAT/基本防火墻”選項(xiàng)（其中COMPUTER為服務(wù)器的名字）（圖2）。
　　
　　第二步：雙擊右側(cè)窗口中出現(xiàn)的外部Internet接口“外網(wǎng)”選項(xiàng)，打開“外網(wǎng) 屬性”對(duì)話框，切換至“服務(wù)和端口”選項(xiàng)卡，單擊“添加”按鈕，打開“添加服務(wù)”對(duì)話框。這個(gè)對(duì)話框是設(shè)置端口映射的關(guān)鍵部分。首先在“服務(wù)描述”中為該服務(wù)起一個(gè)名字（如內(nèi)網(wǎng)Web服務(wù)），主要用來標(biāo)識(shí)該映射；“公用地址”和“協(xié)議”保持默認(rèn)設(shè)置不變；“傳入端口”鍵入NAT服務(wù)器一個(gè)空閑的端口號(hào)（如8080）；“專用地址”鍵入需要對(duì)外發(fā)布的校園網(wǎng)內(nèi)部主機(jī)的IP地址，在這里應(yīng)鍵入172.16.100.100；“傳出端口”鍵入校園網(wǎng)內(nèi)部主機(jī)提供對(duì)外服務(wù)的端口，這里對(duì)外提供WWW服務(wù)，應(yīng)鍵入WWW服務(wù)默認(rèn)端口號(hào)80（圖3）。單擊“確定”按鈕即可完成配置。
　　
　　在任意一臺(tái)接入Internet的計(jì)算機(jī)上，輸入地址http:// 60.216.138.2:8080，即可訪問校園網(wǎng)內(nèi)部的WWW服務(wù)器了，也就是說已成功地將校園網(wǎng)內(nèi)部的WWW服務(wù)器發(fā)布到了Internet上。同理，校園網(wǎng)內(nèi)的其他WWW或FTP服務(wù)器，都可以使用該方法實(shí)現(xiàn)對(duì)外發(fā)布。
　　NAT技術(shù)可有效地緩解IP地址資源匱乏問題，提供了一種簡便的方式解決校園網(wǎng)與外部Internet的互連互通的問題，既保證了校園網(wǎng)用戶自由訪問Internet資源，又實(shí)現(xiàn)了校園網(wǎng)內(nèi)部主機(jī)的對(duì)外發(fā)布。此外，它還可以實(shí)現(xiàn)校園網(wǎng)與外部Internet的相互隔離，提高了校園網(wǎng)的安全性。
　?。ㄗ髡邌挝唬荷綎|師范大學(xué)北校區(qū)管理處山東輕工業(yè)學(xué)院信息科學(xué)與技術(shù)學(xué)院）