現(xiàn)在很多縣區(qū)都建立了教育城域網(wǎng)，縣直及各鄉(xiāng)鎮(zhèn)學(xué)校通過光纜及收發(fā)器連接到教育局信息中心，配置模式是在縣教育局的主交換機(jī)上為每個縣直或鄉(xiāng)鎮(zhèn)學(xué)校劃分一個vlan并分配一段IP地址，實質(zhì)上是整個縣區(qū)構(gòu)成了一個大一些的局域網(wǎng)。這種方式的優(yōu)點是教育局及各學(xué)校相互之間訪問方便，但是由于現(xiàn)在有些學(xué)校的網(wǎng)絡(luò)管理不到位，致使校園網(wǎng)病毒很多，病毒所發(fā)出的數(shù)據(jù)包直接影響到教育局主交換機(jī)與該學(xué)校所連接的端口。如果有病毒的學(xué)校比較多，將會使得教育局主交換機(jī)的性能急劇下降，從而造成整個教育城域網(wǎng)的中斷，同時校內(nèi)某些重要的信息也容易泄露。為此需要在教育局與各學(xué)校之間進(jìn)行隔離，即一個學(xué)校有病毒不會影響到教育局及其他學(xué)校。然而現(xiàn)在有路由器的學(xué)校并不多，而服務(wù)器一般都有，所以就想到各校園網(wǎng)用win2003 NAT軟路由連接到教育局信息中心。
　　網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT，Network AddressTranslation)被，一泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因是NAT不僅完美地解決了IP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計算機(jī)。
　　
　　一、Win2003服務(wù)器NAT的配置
　　
　　首先要有一臺安裝好win2003的服務(wù)器，安裝兩塊網(wǎng)卡，一塊連接內(nèi)部交換機(jī)，一塊連接教育局主交換機(jī)。其設(shè)置分別是內(nèi)網(wǎng)卡IP為192.168.1.1，MASK為255.255.255.0，外網(wǎng)卡IP為172.16.1.1，MASK為255.255.0.O，網(wǎng)關(guān)為172.16.1.254，DNS為202.102.128.68。外網(wǎng)卡設(shè)置由教育局分配，內(nèi)網(wǎng)卡不要設(shè)置網(wǎng)關(guān)，因為在win 2003系統(tǒng)中兩塊網(wǎng)卡都設(shè)置網(wǎng)關(guān)會發(fā)生沖突。
　　
　　配置NAT的步驟非常簡單，單擊“開始——程序——管理工具一路由和遠(yuǎn)程訪問”，默認(rèn)情況下沒有啟用路由和遠(yuǎn)程訪問，在服務(wù)器名稱上單擊鼠標(biāo)右鍵，選擇“配置并啟用路由和遠(yuǎn)程訪問”，單擊“下一步”，在對話框中選擇“網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)”，單擊下一步，在“使用此公共接口連接到Internet”中選定“外網(wǎng)卡”。單擊下一步，在“為可訪問Internet的網(wǎng)絡(luò)選擇接口”中選定“內(nèi)網(wǎng)卡”，單擊下一步，選擇“我將稍后設(shè)置名稱和地址服務(wù)”，單擊下一步，單擊完成。此時服務(wù)器上就啟用了路由和遠(yuǎn)程訪問服務(wù)。
　　
　　二、客戶端的設(shè)置
　　
　　win2003 NAT配置好以后，就是校園內(nèi)部計算機(jī)的設(shè)置，可分為兩種情況。一種情況是校園交換機(jī)不是三層交換機(jī)，校園內(nèi)部計算機(jī)數(shù)量也不是很多，沒有劃分vlan。第二種情況就是校園內(nèi)部有三層交換機(jī)，計算機(jī)數(shù)量非常多，并且也劃分了多個vlan。
　　第一種情況設(shè)置非常簡單，只需客戶端IP和服務(wù)器內(nèi)網(wǎng)卡在同一網(wǎng)段內(nèi)，網(wǎng)關(guān)設(shè)置為192.168.1.1(服務(wù)器內(nèi)網(wǎng)卡IP)，DNS為202.102.128.68，設(shè)置完畢內(nèi)部就能夠上網(wǎng)。
　　第二種情況稍微麻煩一些，比如說校園網(wǎng)三層交換機(jī)劃分的vlan如下表所示。
　　這里把NAT服務(wù)器的內(nèi)網(wǎng)卡接口單獨劃分出了一個vlan，這樣即使其他vlan中有病毒也不會影響到NAT服務(wù)器，還需要把三層交換機(jī)的默認(rèn)網(wǎng)關(guān)(default gateway)設(shè)置為內(nèi)網(wǎng)卡地址?？蛻舳薎P需要設(shè)置所屬網(wǎng)段內(nèi)IP，網(wǎng)關(guān)設(shè)置為所屬網(wǎng)段的網(wǎng)關(guān)。另外還需要在NAT服務(wù)器命令提示符下輸入以下幾條命令：
　　Route add　p　192.168.2.0　mask 255.255.255.0 192.168.1.254
　　Route add　p 192.168.3.0 mask 255.255.255.0 192.168.1.254
　　Route add　D 192.168.4.0 mask 255.255.255.0 192.168.1.254
　　因為內(nèi)網(wǎng)卡不能設(shè)置默認(rèn)網(wǎng)關(guān)，所以需要加上以上幾條路由，使得內(nèi)網(wǎng)卡網(wǎng)段能夠與其他三個網(wǎng)段通信，至此內(nèi)部已能夠上網(wǎng)。
　　
　　三、利用win2003服務(wù)器NAT進(jìn)行簡單的上網(wǎng)控制
　　
　　有時我們不希望內(nèi)部訪問某些網(wǎng)站，比如說我們想禁止內(nèi)部對WWW.4399.com網(wǎng)站的訪問，我們可以進(jìn)行如下設(shè)置。在“路由和遠(yuǎn)程訪問”中展開本地服務(wù)器的名稱，再展開“IP路由選擇”，選定“常規(guī)”，在右邊窗口中右鍵單擊“外網(wǎng)卡”，在彈出的菜單中選擇“屬性”，在外網(wǎng)卡屬性對話框中單擊“出站篩選器”按鈕，在“出站篩選器”對話框中單擊“新建”按鈕，在“添加IP篩選器”對話框中，選定“源網(wǎng)絡(luò)”，在IP地址中輸入172.16.0.0，子網(wǎng)掩碼為255.255.0.0。選定“目標(biāo)網(wǎng)絡(luò)”，IP地址中輸入221.5.251.250，子網(wǎng)掩碼為255.255.255.255。協(xié)議選擇“任何”即可，單擊確定按鈕回到“出站篩選器”對話框，此時可以看到篩選器的操作是“傳輸所有符合下列條件以外的數(shù)據(jù)包”。由于發(fā)布www.4399.com網(wǎng)站的IP有四個，分別是221.5.251.250、221.5.251.251、220.98.24.67、202.98.24.67，所以我們還需要建立禁止其他三個IP的策略。可以看出在進(jìn)行上網(wǎng)的控制與管理方面Win2003 NAT確實功能有限。如果需要對內(nèi)部上網(wǎng)進(jìn)行更嚴(yán)格的控制，需要安裝代理軟件，如ccproxy、ISA server 2004等。
　　實踐證明，校園網(wǎng)利用Win2003 NAT路由實現(xiàn)與縣教育網(wǎng)連接的配置方法能夠有效地防止因校園內(nèi)病毒而影響整個城域網(wǎng)的正常運行。筆者所在城域網(wǎng)正是通過為每個學(xué)校配置win 2003 NAT軟路由連接至教育局，才使得整個教育城域網(wǎng)的運行更加穩(wěn)定可靠。同時它也割斷了校園外部對內(nèi)部計算機(jī)的訪問，有效地保護(hù)內(nèi)部的重要資料，而且它比其他一些代理軟件簡單易用，速度快且穩(wěn)定性強(qiáng)，所以被廣泛地應(yīng)用于校園網(wǎng)