Windows Server服务器配置

项目一 部署虚拟环境

任务1：安装配置虚拟机

任务2：安装Windows Server 2016操作系统

安装步骤：

https://blog.51cto.com/15070901/2577780

密码设置要求：

https://zhidao.baidu.com/question/2138043109335809748.html

安装成功后 这里最好建立一个快照

方便后期克隆一个机器出来。

任务3：虚拟机组建简单网络

若仅向虚拟机发送 激活桌面命令，用ctrl +alt + insert

项目二 活动目录的配置和管理

任务1 创建网络中第一台域控制器

安装活动目录

不需要创建DNS委派

#
# 用于 AD DS 部署的 Windows PowerShell 脚本
#

Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDnsDelegation:$false `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "WinThreshold" `
-DomainName "abc.com" `
-DomainNetbiosName "ABC" `
-ForestMode "WinThreshold" `
-InstallDns:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SysvolPath "C:\Windows\SYSVOL" `
-Force:$true

活动目录中用户和计算机管理

管理 -> Active Directory用户和计算机

nslookup

任务2 客户端加入活动目录

Win7以上系统如何生成新的SID号

https://jingyan.baidu.com/article/ca2d939d0f8ed1eb6c31cef9.html

项目3 DHCP服务器的配置与管理

知识引入

• 什么是DHCP
• DHCP的工作原理

DHCP服务器的安装

在安装之前，需要设置静态IP地址

创建和激活作用域

• 作用域分配地址范围
• 作用域排除地址范围

配置DHCP保留

• 什么是DHCP保留？
• DHCP配置选项

DHCP客户端的配置和测试

• 将DHCP客户端的ip地址设为自动配置

项目四 DNS服务器的配置与管理

案例场景

知识引入

• 什么是DNS
• DNS域名空间
• DNS查询模式：递归查询，迭代查询
• 域名查询过程

DNS服务器的安装

按照课本。

配置DNS区域

创建区域分为创建正向区域和创建反向区域

• 正向区域：域名到IP的解析

• 反向区域：IP到域名的解析

在区域中创建资源

资源记录是DNS数据库中一种标准结构单元，里面包含了处理DNS查询的信息

• 主机记录：A或AAAA ,把主机名2016srvA.company.com解析成IP地址：192.168.10.10
• SOA记录：主要负责把域名解析成主机名：company.com解析成2016srvA.company.com
• NS记录、SOA记录：NS记录和SOA记录是任何一个DNS区域都不可或缺的两条记录，NS记录也叫名称服务器记录，用于说明这个区域有哪些DNS服务器负责解析，SOA记录说明负责解析的DNS服务器中哪一个是主服务器。因此，任何一个DNS区域都不可能缺少这两条记录。

https://www.cnblogs.com/grhack/p/14484159.html

• CNAME记录：CNAME 把一个主机名解析成另外一个名字，例如：把www.company.com 解析成webserver.company.com

• MX记录：MX记录标识SMTP邮件服务器的存在，MX记录把域名解析为主机名

名词解释：MX（Mail Exchanger）记录

是邮件交换记录，它指向一个邮件服务器，用于电子邮件系统发邮件时根据 收信人的地址后缀来定位邮件服务器。通过MX记录，对方可以知道您邮局服务器所在位置，如果没有在DNS中设置MX记录，会导致对方找不到您邮局服务器地址，则您有可能收不到对方发过来的信件

转发器与根提示设置

DNS服务器可以解析自己区域文件中的域名，对于本服务器上没有的域名查询请求应如何处理呢？一种方法是直接转发查询请求到根域DNS服务器，进行迭代查询。还有一种方法，就是直接将请求转发给其它DNS服务器

根提示

根提示使非根域的DNS服务器可以查找到根域DNS服务器。根域DNS服务器在互联网上有许多台，分布在世界各地。

在名称服务器列表中，共有13个根服务器。根提示一般保持默认，不要轻易更改。

如果DNS服务器配置了转发器，则优先查询转发器。

转发器

将本地DNS服务器无法解析的查询转发给网络上的其它DNS服务器，该DNS服务器即被指定为转发器。其示意图如下所示，在本地DNS服务器上设置转发器，指向互联网上的ＤＮＳ服务器。

DNS客户端的设置

• 清除DNS客户端缓存区
• 清除DNS服务器缓存区

知识能力拓展

• DNS区域拓展：将一个DNS服务器上的区域文件复制到多个DNS服务器上
• DNS子域与委派：一台DNS服务器将自己无法解析的资源记录委派给网络中的另一台DNS服务器，一般发生在父域和子域之间。

项目五 Web和FTP服务器的配置与管理

知识引入

• 什么是Web和FTP服务器

Web服务器一般指网站服务器，是指驻留于因特网上某种类型计算机的程序，可以处理浏览器等Web客户端的请求并返回相应响应，也可以放置网站文件，让全世界浏览；可以放置数据文件，让全世界下载。目前最主流的三个Web服务器是Apache、 Nginx 、IIS

参考文档：https://baike.baidu.com/item/WEB%E6%9C%8D%E5%8A%A1%E5%99%A8/8390210?fr=aladdin

FTP服务器（File Transfer Protocol Server）是在互联网上提供文件存储和访问服务的计算机，它们依照FTP协议提供服务。 FTP是File Transfer Protocol(文件传输协议)。顾名思义，就是专门用来传输文件的协议。简单地说，支持FTP协议的服务器就是FTP服务器。

https://baike.baidu.com/item/FTP%E6%9C%8D%E5%8A%A1%E5%99%A8/1926327?fr=aladdin

如何处理宕机

步骤1：发生了什么事

系统管理员必须肩负起分析和判断Web服务器宕机原因的责任。需要解决如下的问题：

   是否是断电，发电机测试以及其他类似问题影响了整体物理环境？
   和Web服务器的通信是否已经完全被阻断，还是某些IP段依旧可以使用？
   是否还可以管理服务器？
   日志中是否有异常记录？

这些只是少部分管理员们需要立即回答的问题，在深入诊断问题之前，先解决上述问题。

步骤2：最简单的解决方案往往是最好的

有很多时候会陷入诊断高级问题的误区，分析各种可能的技术问题和疑难杂症。而实际上，退一步想，从宏观角度思考问题，可能解决已花费无数工时和成本却还未攻克的技术难题。例如，主机通电了吗，或者是否有人无意间碰掉了电源线？如果机器确实已经通电，但没有任何网络连接，需要检查网线或者光纤是否没有接上或者松动。是的，这些看似明显低级错误的解决方法，认为都不可能发生，但任何有经验的系统管理员会告诉你，这些状况的发生频率远比想的要多的多。 [1]

步骤3：基本故障处理方法没有效果怎么办

现在已经检查了所有电缆和其他外围设备，可以试着使用ping命令探测设备状况。幸运的是，ping命令是所有平台通用的，也是最简单的。如果可以在局域网内ping通服务器，接着可以试试从局域网外ping服务器进行检测。这样做可以迅速判断问题是否产生在交换和路由层面，而不是服务器级别。此外，如果Web服务器已经虚拟化，试着ping物理服务器自己的真实IP。这样可以帮助进一步隔离问题。如果完全无法ping同服务器，而且也已经确定完全检查了网络连接，那么就需要进行更深入的分析了。

步骤4：使尽浑身解数，服务器依然宕机

已经检查过网线。也试过了ping服务器，依旧无法访问服务器。好消息是，已经可以将问题定位到物理服务器或操作系统本身了。换句话说，已经可以开始集中经理对现存的问题进行排查。

接下来，才去从底层到高层的方式来逐层检查问题，首先检查网络接口和本地网络配置是否正常。DHCP是否启动？Web服务器是否指向正确的DNS服务器？如果是这样，可以根据使用的操作系统平台，检查Web服务是否正常开启。在Windows环境，需要检查服务器是否具有Web服务的角色。在Linux环境下，检查会更复杂，可以试试查找http相关的文件或服务来确保服务器是否正在运行。

步骤5：绝境下需要动用绝招

如果以上方法都不奏效，检查日志并尝试查明在Web服务器宕机时日志中记录的那些信息。将这些信息发给在故障处理和解决领域更有经验的专业人士，可能会获得更多的帮助。同样的，如果已经确认网络连接不是问题，就可以使用Wireshark抓包工具对网络中传输的数据进行抓取分析，以此协助处理问题。

总而言之，服务器宕机的原因多种多样。断电、配置错误、防火墙设置错误、甚至是来自互联网的恶意流量，都可能引发源站宕机并让系统管理员们抓狂。所有这些问题都足以让企业决策者对冗余解决方案的设计和实施加以重视，同样的针对故障处理流程的设计和制定，还需要根据企业自身网络的实际情况为依据。

Web和FTP服务器的安装

创建Web和FTP站点

配置客户端访问Web和FTP站点

web访问的两种方式：IP地址访问和域名访问

域名访问需要借助于DNS服务器

根据实际负载情况，可以选择在Web服务器上安装或选择单独在一台服务器上安装

在客户机上添加DNS服务器地址，访问、验证

知识能力拓展

Web站点安全加固

• 身份认证
• 编辑权限
• 日志记录

创建多个Web站点

在同一个服务器上部署多个网站

配置FTP站点用户隔离

FTP配置用户隔离后，当用户使用不同的用户名登陆后，会看到不同的文件目录，这些文件目录之间是相互隔离的，一个用户的操作只作用于他的目录内部，不会影响其他用户的目录下的文件。

项目六 证书服务器的配置与管理

案例背景

ABC公司的网络管理部门计划部署证书服务器来保护财务部的专用Web服务器，并且给财务部员工分发数字证书来鉴别员工身份。

知识引入

数据安全四大问题：

• 数据机密性：数据传输过程是否被窃听、拦截？
• 数据完整性：数据是否被篡改？
• 身份验证：对方身份是否合法？是否伪造？
• 不可抵赖性：是否发出/收到信息 ？

• 数据机密性的应对：通过对数据的加密解决，对称加密算法、非对称加密算法。
  • 对称加密算法：双方共享同一个保密参数作为加解密的密钥。
  • 非对称加密算法：公钥与私钥是一对，如果用公钥对数据进行加密，只有用对应的私钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。 非对称加密算法实现机密信息交换的基本过程是：甲方生成一对密钥并将公钥公开，需要向甲方发送信息的其他角色(乙方)使用该密钥(甲方的公钥)对机密信息进行加密后再发送给甲方；甲方再用自己私钥对加密后的信息进行解密。https://baike.baidu.com/item/%E9%9D%9E%E5%AF%B9%E7%A7%B0%E5%8A%A0%E5%AF%86%E7%AE%97%E6%B3%95/1208652?fr=aladdin

• 数据完整性的应对

数据完整性校验一般使用哈希算法对数据进行哈希得到数据的一个哈希值，然后将该哈希值和数据一块发送给对方，对方收到数据之后，对数据使用相同的哈希算法进行哈希得到哈希值，如果得到的哈希值和对方发过来的相同，那么就说明数据没有经过篡改。 

• 身份验证与不可抵赖：使用数字签名技术来实现。

 数字签名（又称公钥数字签名）是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。它是一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术来实现的，

发送报文时，发送方用一个哈希函数从报文文本中生成报文摘要，然后用发送方的私钥对这个摘要进行加密，这个加密后的摘要将作为报文的数字签名和报文一起发送给接收方，接收方首先用与发送方一样的哈希函数从接收到的原始报文中计算出报文摘要，接着再公钥来对报文附加的数字摘要进行解密，如果这两个摘要相同、那么接收方就能确认该报文是发送方的。 

• 数字签名中如何保证公钥不是伪造的呢 ？

解决办法：数字证书。

参考文档：

[1] https://baike.baidu.com/item/%E6%95%B0%E5%AD%97%E7%AD%BE%E5%90%8D/212550?fr=aladdin#4

[2] http://www.ruanyifeng.com/blog/2011/08/what_is_a_digital_signature.html

数字证书

数字证书是一种权威性的电子文档。它提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构----CA证书授权(Certificate Authority)中心发行的，人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中，证书认证中心（CA）作为权威的、公正的、 可信赖的第三方，其作用是至关重要的。

CA认证中心是什么

CA认证中心是负责签发，管理，认证数字证书的机构，是基于国际互联网平台建立的一个公正，权威，可信赖的第三方组织机构。

世界上的CA认证中心不止一间，那他们之间的关系是什么(CA认证中心之间的关系)？

回答这个问题之前可以先看看下图：

从图中可以看到，CA认证中心之间是一个树状结构，根CA认证中心可以授权多个二级的CA认证中心，同理二级CA认证中心也可以授权多个3级的CA认证中心...

参考文档：https://www.cnblogs.com/hyddd/archive/2009/01/07/1371292.html

公共密钥体系PKI

CA是公钥基础设施（Public Key Infrastructure,PKI)的信任基础，PKI为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。

任务1 证书服务器的安装

任务2 架设安全Web站点

任务3 数字证书的管理

项目七 Web Farm网络负载均衡

===背景===　　　　　　　　　　　　　　　　　　　　　　　　　　　　

 公司系统虽然配置有1台NLB后拖4台App Server最后搭一台强劲无比的DB Server，但每天下午4点左右总被投诉系统慢，报表下载不了等问题。究其原因，原来NLB采用锁定sessionId转发请求，而IIS的最大工作进程数却是1而已，只能通过增加工作线程的方式来提高并发量，但增加线程会消耗更多内存，当所占内存接近2G时应用48%左右的执行时间被分配给GC工作了，也就是说负载增大时上述硬件配置并然卵。那解决方案明显如下：

 1. NLB采用实际负载请求转发请求；

 2. IIS采用WebGarden模式

 3. 多台IIS组成WebFarm；

 4. 为实现IIS的WebGarden和WebFarm工作模式，需要配置启用StateServer。

另外，由于前期开发阶段大家并不清楚采用IIS WebGarden模式运行所带来的限制，因此还要对代码进行分析、调整。

===何为WebGarden & WebFarm？===　　　　　　　　　　　　　　　　

IIS默认配置下采用的是单工作进程的工作模式，也就是只启用一个w3wp.exe进程处理所有请求，然后进程内启用多个线程来处理并发请求，最大工作线程数由具体的操作系统和IIS来决定，当并发量大于线程数时则会让请求排队等待处理。这是面对高并发量，且部分请求处理耗时较长时就会造成大部分请求长期处于挂起的状态，用户感知就是慢，TMD慢。。。。

WebGarden其实就是IIS的多工作进程的工作模式，而WebFarm则是多台IIS应用服务器作负载均衡。

默认情况下（No WebGarden, No WebFarm）:单工作进程的工作模式

WebGarden：IIS的多工作进程的工作模式

WebFarm：多台IIS应用服务器作负载均衡。

如果应用程序被多个服务器托管，这种情况就可以称作Web Farm(Web 农场)。

这是对于物理上独立的服务器构成的群集的称呼，为了伸缩性和性能，每个程序运行于独立的Web服务器上（相对于Web Garden(Web 园)的单个物理服务器多个工作进程的情况来说的）。

===StateServer配置流程===　　　　　　　　　　　　　　　　　　　　　　

配置WebGarden和WebFarm后，每个请求将由不同的工作进程或应用服务器处理，那么之前保存在工作进程所占内存中的SessionTable和缓存信息将无法共享。最明显的例子就是通过将用户的登陆信息保存在SesisonTable中，当启用WebGarden时，用户不定时被告知需要重新登陆。这是由于请求被分配到另一个工作进程处理，而该工作进程没有对应的SessionTable记录。

这时我们需要配置一台独立共享的StateServer来保存Sessoin等信息的服务器。

对于WebGarden：

对于WebFarm：

参考文档：https://www.cnblogs.com/Leo_wl/p/5267463.html

群集和集群的区别

• 群集和集群的区别

项目八 远程桌面服务

云桌面的特点

首先，咱们先复习一下云桌面的概念。云桌面是指使用云终端设备通过网络运行远端服务器桌面的计算机解决方案。与传统PC不同的是，云桌面的所有数据计算和存储集中在远端服务器，云终端仅仅显示桌面图像，和负责键盘、鼠标等外设输入输出操作。

云桌面的特点：服务器-集中运行，集中管理；云终端-不运行软件，不储存数据。而没有按场景来选择云桌面也是很大一部分原因，云桌面可不是药神不能包治百病，不同的技术各有优缺点，用对了省钱又省心，云桌面明明可以超赞的！

• 桌面虚拟化中RDS、VDI、IDV、VOI主流的云桌面技术比较

RDS的概念

• RDS:微软推出的桌面虚拟化解决方案的统称。

管理员在RDS上集中部署应用程序，以虚拟化的方式为用户提供访问，用户不用再自己的电脑上安装应用程序。

RDS服务分为终端和中心服务器，

常见的终端有：瘦客户机，PC，手机终端。

RDS部署的前提条件

安装活动目录

任务1 安装RDS服务器

任务2 发布应用程序

任务3 在客户端使用RDWeb访问RDS服务器

拓展

分发程序的权限设置

更改RDWeb服务器证书

解决”在客户端使用RDWeb访问RDS服务器“访问错误的问题。

项目九 虚拟专用网络的安装与配置

案例场景

ABC公司经常要派员工到外地出差，为了公司业务需求，出差在外的员工经常要访问公司内部服务器的数据，为了保证员工出差期间能够和公司之间实现安全的数据传输，请你给出一个合适的解决方案。

虚拟专用网络VPN

VPN属于远程访问技术，简单地说就是利用公用网络架设专用网络。例如某公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。

用户的数据是通过ISP在公共网络（Internet）中建立的逻辑隧道（Tunnel），即点到点的虚拟专线进行传输的。通过相应的加密和认证技术来保证用户内部网络数据在公网上安全传输，从而真正实现网络数据的专有性。

在传统的企业网络配置中，要进行远程访问，传统的方法是租用DDN（数字数据网）专线或帧中继，这样的通讯方案必然导致高昂的网络通讯和维护费用。对于移动用户（移动办公人员）与远端个人用户而言，一般会通过拨号线路（Internet）进入企业的局域网，但这样必然带来安全上的隐患。

VPN优势

1) 成本优势 ：专线费用的节省

2）增强的安全性：信息加密，减少泄密的可能性

3）网络协议支持：可远程运行任何基于TCP/IP的应用程序

4）IP地址安全：用户的地址信息也被保护起来。

不过也不尽然，请看下面这篇文档：

扩展文档：http://www.myzaker.com/article/5aaf30141bc8e0a157000011/

VPN访问类型

远程访问VPN

站点间VPN

二者比较

参考文档：https://www.nhooo.com/note/qa0dvr.html

通信协议

在VPN通信过程中，位于两地的机器需要使用远程访问协议相互通信。

PPP协议

PPP协议是目前应用最广泛的远程访问协议。

点对点协议（Point to Point Protocol，PPP）为在点对点连接上传输多协议数据包提供了一个标准方法。PPP 最初设计是为两个对等节点之间的 IP 流量传输提供一种封装协议。在 TCP-IP 协议集中它是一种用来同步调制连接的数据链路层协议（OSI模式中的第二层），替代了原来非标准的第二层协议，即 SLIP。除了 IP 以外 PPP 还可以携带其它协议，包括 DECnet 和 Novell 的 Internet 网包交换（IPX）。

在VPN连接过程中，为了确保文件发送的安全性，仅靠PPP协议是不够的，数据发送之前需要采用VPN协议进行加密。

VPN加密协议有有以下几种：

PPTP协议

Point to Point Tunneling Protocol --点到点隧道协议

点对点隧道协议 (PPTP) 是由包括微软和3Com等公司组成的PPTP论坛开发的一种点对点隧道协，基于拨号使用的PPP协议使用PAP或CHAP之类的加密算法，或者使用 Microsoft的点对点加密算法MPPE。其通过跨越基于 TCP/IP 的数据网络创建 VPN 实现了从远程客户端到专用企业服务器之间数据的安全传输。PPTP 支持通过公共网络（例如 Internet）建立按需的、多协议的、虚拟专用网络。PPTP 允许加密 IP 通讯，然后在要跨越公司 IP 网络或公共 IP 网络（如 Internet）发送的 IP 头中对其进行封装。

链接：https://baike.baidu.com/item/OSI%E6%A8%A1%E5%9E%8B/10119902?fr=aladdin

L2TP协议

Layer 2 Tunneling Protocol --第二层隧道协议

第 2 层隧道协议 (L2TP) 是IETF基于L2F （Cisco的第二层转发协议）开发的PPTP的后续版本。是一种工业标准 Internet 隧道协议，其可以为跨越面向数据包的媒体发送点到点协议 (PPP) 框架提供封装。PPTP和L2TP都使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。PPTP只能在两端点间建立单一隧道。 L2TP支持在两端点间使用多隧道，用户可以针对不同的服务质量创建不同的隧道。L2TP可以提供隧道验证，而PPTP则不支持隧道验证。但是当L2TP 或PPTP与IPSEC共同使用时，可以由IPSEC提供隧道验证，不需要在第2层协议上验证隧道使用L2TP。 PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接，L2TP可以在IP（使用UDP），桢中继永久虚拟电路（PVCs),X.25虚拟电路（VCs）或ATM VCs网络上使用。

OpenVPN协议

OpenVPN使用OpenSSL库加密数据与控制信息：它使用了OpesSSL的加密以及验证功能，意味着，它能够使用任何OpenSSL支持的算法。它提供了可选的数据包HMAC功能以提高连接的安全性。此外，OpenSSL的硬件加速也能提高它的性能。

简单的OpenVPN搭建之Linux：https://bbs.huaweicloud.com/blogs/114848

在Linux CentOS 7搭建OpenVPN服务与管理 : http://www.zhangblog.com/2020/05/09/openvpn01/

SSTP协议

Secure Socket Tunneling Protocol --安全套接字隧道协议

安全套接字隧道协议是在Windows Vista Service Pack 1中引入的。它是一种专有的Microsoft协议，在Windows上最好支持。 它可能在Windows上更稳定，因为它集成到操作系统，而OpenVPN不是 - 这是最大的潜在优势。 一些支持在其他操作系统上可用，但它没有那么普遍。

SSTP可用于Linux、BSD和Windows。MikroTik的RouterOS还包括一个SSTP客户端和服务器端。对于Windows，SSTP仅可用于自Windows Vista SP1之后的系统。

总结：

• 不同场景使用不同VPN，不好横向比较，IPsec使用不少，PPTP基本被L2TP替代，MSTP VPN适用于不同的运营商之间
• SSTP应用于传输机密文件较多
• openvpn的优势是跨操作系统

PPTP、L2TP、IPSec、OpenVPN和SSTP的区别

https://zhidao.baidu.com/question/576852837.html

http://www.21yunwei.com/archives/5643

http://www.howtoip.com/which-is-the-best-vpn-protocol-pptp-vs-openvpn-vs-l2tpipsec-vs-sstp/

实训任务

VPN服务器的安装

创建具有远程访问权限的用户

VPN客户端建立VPN连接

拓展：站点VPN配置

拓展：建立L2TP/IPSec VPN

L2TP VPN 需要证书服务器的支持，用到了项目七的内容

• VPN服务器申请服务器证书
• VPN客户端申请客户端身份验证证书
• 配置VPN客户端使用L2TP/IPSec连接

项目十 网络地址转换

案例场景

ABC公司内部网络有许多台计算机，该公司只向当地ISP申请了一个public IP地址，现公司希望通过一个public IP地址使公司内部网络的计算机可以同时连接Internet、浏览网页与收发电子邮件，请你给出一个合适的解决方案。

NAT概念

NAT（Network Address Translation，网络地址转换）是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址（即仅在本专用网内使用的专用地址），但现在又想和因特网上的主机通信（并不需要加密）时，可使用NAT方法。

这种方法需要在专用网（私网IP）连接到因特网（公网IP）的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器，它至少有一个有效的外部全球IP地址（公网IP地址）。这样，所有使用本地地址（私网IP地址）的主机在和外界通信时，都要在NAT路由器上将其本地地址转换成全球IP地址，才能和因特网连接。

这种通过使用少量的全球IP地址（公网IP地址）代表较多的私有IP地址的方式，将有助于减缓可用的IP地址空间的枯竭。

NAT功能

NAT不仅能解决IP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

1.宽带分享：这是 NAT 主机的最大功能。

2.安全防护：NAT 之内的 PC 联机到 Internet 上面时，他所显示的 IP 是 NAT 主机的公共 IP，所以 Client 端的 PC 当然就具有一定程度的安全了，外界在进行 portscan（端口扫描） 的时候，就侦测不到源Client 端的 PC 。

NAT种类

静态NAT

静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备（如服务器）的访问。

动态转换

动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式

端口多路复用

端口多路复用（Port address Translation,PAT）是指改变外出数据包的源端口并进行端口转换，即端口地址转换（PAT，Port Address Translation).采用端口多路复用方式。PAT的基本原理是将不同私网地址的报文的源IP地址转换为同一公网地址，但他们被转换为该地址的不同端口号，因而仍然能够共享同一地址.它可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。

实训

NAT服务器的安装

配置DNS中继代理

一台运行NAT功能的服务器，具备DNS中继代理的功能，能够行使DNS服务器功能为客户机进行域名解析。

拓展案例1

拓展案例2

拓展

手把手教你设置家中使用的路由器的NAT~: https://jingyan.baidu.com/article/a17d5285495d44c098c8f2c7.html

华为路由器NAT经典配置:https://blog.csdn.net/qq_36357820/article/details/78918630

CentOS 7 搭建 nat 服务器详解： https://blog.csdn.net/weixin_42465260/article/details/84958235