339Windows Server 2008 網路基礎架構

第7章

網路連線作業

本章將敘述四種最常見的網路連線情形：

網路位址轉譯（NAT） ■ 　將用於網際網路上的私人IP位址、轉換成能在

網際網路上通訊之公用IP位址的一種服務。

無線網路 ■ 　能在沒有實體乙太網路纜線的情形下、提供連線能力的一

種區域網路技術。

撥號連線 ■ 　採用電話迴路與數據機來連接到內部網路的一種遠端存取

技術。

虛擬私人網路（VPN）連線 ■ 　將加密過的流量跨越網際網路、並通往某

個將通訊轉送至內部網路之VPN伺服器的一種遠端存取技術。

本章針對這些情形，分別提供了概念性的資訊，並正確地展示Windows

Server 2008如何支援這些情形，同時將安全性的風險降至最低。

本章考試目標：

設置遠端存取。 ■

設置網路驗證。 ■

設置無線存取。 ■

課程內容：

課程1：NAT設置作業 ■ .............................................................................342

課程2：無線網路設置作業 ■ .....................................................................355

課程3：連線到遠端網路 ■ .........................................................................384

第7章 網路連線作業

340

課前準備

為了完成本章中的課程，你必須熟悉Microsoft Windows網路作業，並有能

力輕鬆完成下列工作：

在一台Windows Server 2008電腦中加入角色。 ■

設置Active Directory網域控制站，並將電腦加入某個網域。 ■

基本的網路組態，包含IP設定值的設置作業。 ■

你還必須將下列與工作環境無關的硬體，連線到實驗用的網路上：

一台名為Dcsrv1的電腦；它同時也是Nwtraders.msft網域中的一個網 ■

域控制站。這台電腦必須具有兩個介面：

o一個連線到網際網路的介面，使用的是一個公用的網際網路IP位

址。

o一個連線到你私人內部網路的介面。請將這個介面設置成使用一

個靜態的10.0.0.1私人IP位址，一個255.255.255.0的子網路遮罩，

同時沒有DNS伺服器。

NOTE∣電腦名稱與網域名稱

你所使用的電腦與網域的名稱，對這些練習不會有任何影響。不過為了單純起

見，本章中的練習還是會統一這些電腦的名稱。

一台名為Boston的電腦；它是屬於Nwtraders.msft網域裡的成員之 ■

一。在Boston這台電腦上執行的，可以是Windows Vista或是Windows

Server 2008的作業系統。Boston同時需要有線網路與無線網路的介面

卡。在課程1「NAT設置作業」之中，Boston這兩個介面之一，必須

已經連線到私人內部網路。在課程2「無線網路設置作業」之中，你

將會先將該電腦連線到有線網路，然後再連線到無線網路。在課程3

「連線到遠端網路」之中，你將會將該電腦連線到與Dcsrv1之公用介

面相同的網路上。

341

課前準備

Windows Server 2008 網路基礎架構

實務應用

Tony Northrup

由於私人IP位址是屬於私人的，不同的組織可以使用的相同IP位址；

當然，這也代表私人IP位址是無法在公用網際網路上路由的─因此，

這也是之所以需要NAT的原因。

不過有個問題是：如果兩個公司合併時，他們就必須連接到彼此的私

人網路。當這些公司使用了相同的私人IP位址範圍時，其中一個公司

就必須重編網路的位址。網路位址重編作業是個巨大的工程，需要更

新DHCP伺服器、更新DNS記錄、更新使用靜態IP位址的伺服器，以

及重新整理用戶端的IP設定值等等。而且，可能更糟的是，這些工作

都必須在下班時間才能進行，以縮短停工的時間─代表你將會在數個

深夜中修改IP設定值，並測試之後是否一切正常。

為了降低私人IP位址衝突發生的機會，請自私人範圍內任意地挑選多個

網段。舉例來說，10.252.83.0/24這個網路就會比192.168.1.0/24這個網路

還不常被使用，因為人們都傾向選擇位址範圍的開端來作為網段。

NOTE∣網路組態

這兩台電腦都必須連線到私人介面上。假使你正在使用的是兩台實體電腦時，

可以使用一條跳過的乙太網路纜線，來連接這兩台電腦。如果你使用的是兩台

虛擬機器時，請分別在各台電腦上建立一個虛擬網路，並將其中一個虛擬網路

介面連線到另一個虛擬網路上。請勿啟用內部網路上的動態主機設定通訊協定

（Dynamic Host Configuration Protocol；DHCP）伺服器。

一台支援了WPA-EAP驗證的無線網路存取點。 ■

第7章 網路連線作業

342

課程1︱NAT設置作業

今天，絕大多數的內部網路，都使用私人IP位址來作業。然而，私人IP位址

是無法在公用網際網路上路由的；因此，為了讓使用私人IP位址的主機，可

以在網際網路上彼此通訊，你就需要一台網路位址轉譯（Network Address

Translation；NAT）伺服器，將私人IP位址轉譯成公用IP位址，同時把流量

轉送到網際網路。

本課程說明了如何將一台執行Windows Server 2008的電腦，設置成一台

NAT伺服器。

學習本課程之後，你將能夠：

說明網路位址轉譯的目的為何。 ■

以最精簡的組態，將網際網路連線共用設置成以NAT伺服器的方式來運作。 ■

利用路由及遠端存取來設置NAT，以提供其他的組態選項。 ■

NAT問題的故障排除。 ■

課程預估學習時間：35 分鐘

NAT的概念

網際網路的設計，主要是提供每台電腦一個獨一無二的公用IP位址來使用。

然而近年來，網際網路的成長比預期地還要來得巨大；因此，也就沒有足

夠的公用IP位址可供使用了。

NOTE∣IPv6與NAT

由於具有較大位址空間、以及改良過的私人定址作業設計，因此IPv6並不需要NAT。因此，本課程僅適用於IPv4網路。

基於IP位址的短缺，網際網路服務提供者（Internet Service Provider；ISP）

通常會將一個數量較小的公用IP位址範圍，指派給各個使用單一網際網路

連線的組織。舉例來說，如果一個具有1000台電腦的組織付費連線至某個

ISP，這個ISP可能就會指派四組公用IP位址給該組織。顯而易見地，該組織

的1000台電腦，絕大多數都得共用一個公用IP位址才行。

343

課程1∣NAT設置作業

Windows Server 2008 網路基礎架構

NAT讓使用一個公用IP位址的某台電腦（或其他類型的網路主機，像是路由

器等），可以為某個內部網路上數以百計或以千計的電腦，提供網際網路

存取服務。內部網路上的主機，必須具有以下位址範圍其中之一的私人IP位

址（如[RFC] 1918中所定義）：

192.168.0.0–192.168.255.255 ■

172.16.0.0–172.31.255.255 ■

10.0.0.0–10.255.255.255 ■

圖7-1描述了被安置在公用網際網路與某個私人內部網路之間分界上的一台

NAT伺服器，如何能夠在外部連線中將私人IP位址轉譯成公用IP位址。

儘管Windows Server 2008能用來當成一台NAT伺服器使用，但大多數的

組織還是會選擇專用的網路硬體，來執行NAT的工作。許多路由器內建有

NAT的功能，讓你可以在不需額外添購硬體的情形下設置NAT。假使NAT

伺服器離線的話，所有的用戶端將無法存取公用網際網路。基於這點，對

於一台NAT伺服器來說，其正常運作時間就成為非常重要的一個因素。伺

服器的非正常運作時間，通常會比專用的網路硬體要來得多，這是因為伺

服器在安裝完更新之後多半需要重新開機，或是較高的硬體當機風險（因

為硬體組態太過複雜），以及較高的軟體風險（因為伺服器應用程式所帶

來的不穩定性）所致。

公用 IP 位址 網際網路

207.46.232.182

NAT 伺服器私人 IP 位址

路由器路由器

192.168.3.0/24 192.168.2.0/24

192.168.1.1

圖7-1：NAT架構

第7章 網路連線作業

344

Windows Server 2008包含有兩種NAT服務：

網際網路連線共用（Internet Connection Sharing；ICS） ■ 　主要傾向家

庭與小型辦公室使用。只要按幾下滑鼠就能執行ICS組態作業，但是

這樣的組態選項相當有限。

路由與遠端存取服務 ■ 　傾向採用路由內部網路的組織（代表使用多個

子網路的內部網路）使用。

接下來的段落，將會針對這些NAT技術分別加以敘述。

網際網路連線共用的設置作業

圖7-2顯示了一個典型ICS的架構。ICS電腦在外部網路介面上，具有一個

公用IP地址（或一個提供存取某個遠端網路的IP位址）。內部網路介面固

定會擁有192.168.0.1的IP位

址。只要啟用ICS，就會自

動地啟用DHCP服務，指定

在192.168.0.0/24範圍內的IP

位址給用戶端。此一DHCP

服務並不相容於DHCP伺服

器，也不相容於「Routing

And Remote Access」的

DHCP轉接代理功能。

Exam Tip　為了應付測驗，請務必瞭解ICS與路由與遠端存取服務（Routing And Remote Access Services）兩者之間的不同之處。不過，請盡量將你的焦點，著重在路由與遠端存取服務這部分。

公用 IP 位址

網際網路

207.46.232.182（舉例來說）

網際網路連線共用

私人 IP 位址

192.168.0.0/24

192.168.0.1

圖7-2：ICS架構

345

課程1∣NAT設置作業

Windows Server 2008 網路基礎架構

依據這些步驟，運用網際網路連線共用來設置NAT：

1. 使用兩個介面設置NAT伺服器：

o一個使用公用網際網路IP位址連線到網際網路的介面。

o一個使用靜態私人IP位址連線到你私人內部網路的介面。

2. 如果你先前已經啟用Routing And Remote Access時，請先停用它再繼

續下面的步驟。

3. 按一下「S t a r t」，在「N e t w o r k」上按一下右鍵，接著選擇

「Properties」。

「Network And Sharing Center」就會顯現。

4. 在Tasks下，按一下「Manage Network Connections」。

5. 於連線到網際網路的網路介面上按右鍵，接著按「Properties」。

6. 按一下Sharing標籤，並選擇「Allow Other Network Users To Connect

Through This Computer's Internet Connection」核取方塊。

7. 假使你要網際網路上的使用者，能夠存取你內部網路上的所有伺服器

的話（像是僅擁有私人IP位址的Web或電子郵件伺服器），請按一下

「Settings」按鈕。針對各個內部服務，請依據這些步驟：

o如果該服務顯現於Services清單中的話，請勾選它的核取方塊。在

Service Settings對話方塊中，輸入伺服器的內部名稱或IP位址，並

按下「OK」。

o假使該服務並未顯現在清單中、或者它使用一個非標準的埠號

時，請按一下「Add」。為該服務輸入一段描述，以及伺服器

的內部名稱或IP位址。接著，在「External Port Number For This

Service」與「Internal Port Number For This Service」這兩個方塊

中，輸入伺服器所使用的埠號。選擇「TCP」或「UDP」，然後

按下「OK」。

第7章 網路連線作業

346

NOTE∣運用不同的內部與外部埠號

當你想要網際網路上的使用者，以不同的埠號來連接到某台伺服器時，這就是應

該指定不同內部與外部埠號的唯一時機。舉例來說，在預設情形下Web伺服器通常會使用連接埠80。如果你有一台內部Web伺服器使用TCP連接埠81時，就可以提供80的外部通訊埠號與81的內部通訊埠號。接著，網際網路上的使用者就能使用預設的通訊埠80來存取伺服器。假使你在內部網路有兩台Web伺服器、且分別都使用TCP通訊埠80時，你僅能將外部TCP埠號指定給其中一台伺服器；而在第二台伺服器的部分，你應該指定一個不同的外部埠號，像是8080等，不過內部埠號可以保留設定為80不變。

8. 按下「OK」。

啟用ICS並不會改變網際網路網路介面的組態，不過它會指定192.168.0.1這

個IP位址給內部網路介面。除此之外，該電腦現在將只會回應內部網路介面

上的DHCP要求，並指派用戶端在192.168.0.0/24範圍中的IP位址。所有的用

戶端會把192.168.0.1（ICS電腦的私人IP位址）當成它們的預設閘道器及偏

好的DNS伺服器位址。

你還可以共用一個VPN或撥號連線。這使得單一電腦可以連線到某個遠端

網路，並將來自內部網路上其他電腦的流量加以轉送。要想為某個遠端存

取連線啟用ICS，請依據這些步驟：

1. 按一下「 S t a r t」，於「N e t w o r k」按一下右鍵，接著選擇

「Properties」。

2. 在Network And Sharing Center中，按一下「Manage Network

Connections」。

3. 在Network Connections視窗中，於該遠端存取連線上按一下右鍵，

接著選擇「Properties」。

4. 按一下Sharing標籤。接著，勾選「Allow Other Network Users To

Connect Through This Computer's Internet Connection」核取方塊。

5. 你可以選擇性地勾選「Establish A Dial-Up Connection Whenever A

Computer On My Network Attempts To Access The Internet」核取方

塊。如果某台在內部網路上的電腦，傳送任何必須被轉送到遠端網路

的流量時，這麼做就會自動地建立一個遠端存取連線。

347

課程1∣NAT設置作業

Windows Server 2008 網路基礎架構

6. 你可以選擇性地按下「Settings」鈕，來設置那些應該被遠端網路所

存取的內部服務。

7. 按下「OK」。

使用路由與遠端存取來設置NAT

運用路由與遠端存取，你就能啟用完整的NAT功能。使用路由與遠端存取

來取代ICS的特定理由包括有：

你可以使用192.168.0.0/24以外的內部網路。 ■

你可以路由到多個內部網路。 ■

你可以使用一個不同的DHCP伺服器；這包括建立於Windows Server ■

2008之中的DHCP Server角色在內。

在使用任何Routing And Remote Access元件（包括DHCP轉接代理） ■

的電腦上，就不能啟用ICS。

NAT的啟用作業

依據這些步驟，就能在一台Windows Server 2008電腦上，使用Routing And

Remote Access Services來設置NAT：

1. 使用兩個介面來設置NAT伺服器：

o一個使用公用網際網路IP位址來連線到網際網路的介面。

o一個使用靜態私人IP位址來連線到你私人內部網路的介面。

2. 在Server Manager中，選擇Roles物件，接著按一下「Add Roles」。

加入Network Policy And Access Services角色，以及Routing And

Remote Access Services角色服務。

3. 在Server Manager中，於Roles\Network Policy And Access Services\

Routing And Remote Access按一下右鍵，接著選擇「Configure And

Enable Routing And Remote Access」。

4. 在Welcome To The Routing And Remote Access Server Setup Wizard頁

面上，按一下「Next」。

第7章 網路連線作業

348

5. 在Configuration頁面上，選擇「Network Address Translation

（NAT）」，接著按一下「Next」。

6. 在NAT Internet Connection頁面上，選擇將伺服器連線到網際網路的

介面。然後按一下「Next」。

7. 在Completing The Routing And Remote Access Server Setup Wizard頁

面上，按一下「Finish」。

該伺服器已經準備好，將來自內部網路的封包轉送到網際網路了。

DHCP的啟用作業

當你啟用NAT時，你就能使用任何DHCP伺服器。一般來說，如果你要用

一台Windows Server 2008電腦來當DHCP伺服器的話，就應該加入DHCP

Server角色，如《第4章：建立DHCP基礎結構》中DHCP Server的安裝與設

定作業所述。DHCP Server角色會提供一個完整功能的DHCP伺服器。

NAT則包含了一個有限、但堪用的DHCP伺服器功能，可以為單一子網路上

的DHCP用戶端，提供IP位址的組態作業。要想設置NAT DHCP伺服器，請

依據這些步驟：

1. 在Server Manager中，於Roles\Network Policy And Access Services\

Routing And Remote Access\IPv4\NAT按一下右鍵，接著選擇

「Properties」。

2. 在Address Assignment標籤中，勾選「Automatically Assign IP

Addresses By Using The DHCP Allocator」核取方塊，如圖7-3中所示。

349

課程1∣NAT設置作業

Windows Server 2008 網路基礎架構

圖7-3：NAT Properties對話方塊

3. 輸入私人網路位址與子網路遮罩。

4. 如果你必須把屬於有著靜態地指定給現有伺服器的特定位址（該NAT

伺服器的私人IP位址之外）給排除在外的話，請按一下「Exclude」

按鈕，並使用Exclude Reserved Addresses對話方塊，來列出不會被指

定給DHCP用戶的位址。請按一下「OK」。

5. 按兩次「OK」，以關閉那些開啟的對話方塊。

你可以在Server Manager中，藉由於Roles\Network Policy And Access

Services\Routing And Remote Access\IPv4\NAT節點按下右鍵，然後選擇

「Show DHCP Allocator Information」，來檢視DHCP伺服器的統計數據。

啟用DNS要求轉送作業

為了要連線到網際網路，NAT用戶端必須能解析DNS要求才行。你可以運

用DNS Server角色來提供這項能力，如《第3章：設置DNS區域基礎結構》

中關於DNS區域之設置與管理作業的內容所述。

對於不需要DNS伺服器的小型網路來說，你可以設置NAT將DNS要求轉送

到已設置於NAT伺服器上的DNS伺服器。一般來說，這就是位於你ISP的

DNS伺服器。要想設置DNS要求的轉送作業，請依據這些步驟：

第7章 網路連線作業

350

1. 在Server Manager中，於Roles\Network Policy And Access Services\

Routing And Remote Access\IPv4\NAT按一下右鍵，接著選擇

「Properties」。

2. 在Name Resolution標籤中，勾選「Clients Using Domain Name

System（DNS）」核取方塊。

3. 如果NAT伺服器必須為了網路存取，而得連線到某個VPN或撥號連線

的話，請勾選「Connect To The Public Network When A Name Needs

To Be Resolved」核取方塊，接著選擇適當需求的撥號介面。

4. 按下「OK」。

你可以在Server Manager中，藉由於Roles\Network Policy And Access

Services\Routing And Remote Access\IPv4\NAT節點按下右鍵，然後選擇

「Show DNS Proxy Information」，來檢視DNS伺服器的統計數據。

用戶端電腦的設置作業

要想設置用戶端電腦，請執行下列工作：

對於與NAT伺服器的內部網路介面，且位於相同區域網路上的電腦而 ■

言，請將預設閘道器設置成與NAT伺服器的內部網路IP位址。

對於其他內部網路的區域網路，請將路由器設置成把目標為網際網路 ■

的流量，轉送到NAT伺服器的內部網路IP位址。

請確認所有用戶端都能解析網際網路DNS名稱。NAT伺服器也經常會 ■

被設置為DNS伺服器，只是這並非一成不變的情況。有關DNS伺服器

設置作業的更多資訊，請參閱《第2章：名稱解析的設定》中DNS與

名稱解析的設置作業相關內容。

NAT的故障排除

在預設情形下，Routing And Remote Access Services NAT元件會將NAT錯

誤記錄到System事件記錄中，你可以在Server Manager的Diagnostics\Event

Viewer\Windows Logs\System中，檢視這些記錄。所有的事件將會有一個

SharedAccess_NAT的來源。

351

課程1∣NAT設置作業

Windows Server 2008 網路基礎架構

你可以設置NAT執行警告記錄作業、執行詳細的紀錄作業，或是將記錄作

業整個關閉。想要設置NAT記錄作業，請在Server Manager中，於Roles\

Network Policy And Access Services\Routing And Remote Access\IPv4\NAT

節點按一下右鍵，接著選擇「Properties」。在General標籤中，選擇想設定

的記錄作業等級，然後按下「OK」。

PRACTICE | NAT的設置作業

在這個練習中，你將會設置兩台電腦。在第一個練習中，你要將一台

Windows Server 2008電腦設置成一個NAT伺服器。在第二個練習中，你要將

第二台電腦（它可以是任何作業系統，不過說明的部分是針對Windows Vista

或Windows Server 2008所設計的）透過該NAT伺服器連線到網際網路。

這些是你要在某些情形下設置NAT的正確步驟。那些情形像是：

運用一台Windows Server 2008電腦，為某個小型企業提供網際網路存 ■

取服務。

為某個只有單一公用IP位址的區域性分公司，進行NAT的設置作業。 ■

Exercise 1︱設置一台NAT伺服器

在這個練習中，你要將Dcsrv1設置成一台NAT伺服器，使其能把來自內部IP

網路的要求轉送到網際網路。

1. 在Dcsrv1上，加入Network Policy And Access Services角色，以及

Routing And Remote Access Services角色服務。

2. 在Server Manager中，於Roles\Network Policy And Access Services\

Routing And Remote Access按一下右鍵，接著選擇「Disable Routing

And Remote Access」（假使有需要的話）。然後，確認隨即出現的

對話方塊。停用路由作業與遠端存取，讓你可以重新設置它，如同它

是台新設置好的電腦一樣。

3. 在Server Manager中，於Roles\Network Policy And Access Services\

Routing And Remote Access按一下右鍵，接著選擇「Configure And

Enable Routing And Remote Access」。

▲

第7章 網路連線作業

352

4. 在Welcome To The Routing And Remote Access Server Setup Wizard頁

面上，按一下「Next」。

5. 在Configuration頁面上，選擇「Network Address Translation」，接著

按一下「Next」。

6. 在NAT Internet Connection頁面上，選擇將伺服器連線到網際網路的

介面。接著按一下「Next」。

7. 在Completing The Routing And Remote Access Server Setup Wizard頁

面上，按一下「Finish」。

Exercise 2︱設置一個NAT用戶端並測試該連線

在這個練習中，你要將Boston設置成一個NAT用戶端，然後確認該用戶端

能連線到網際網路。

1. 啟動Boston電腦，並確認它已經連線到私人網路，且該網路介面被設

置為使用DHCP。

2. 如果有需要的話，請在命令提示列執行ipcon�g /release以及ipcon�g /

renew，以便自NAT DHCP伺服器取得一個IP位址。

3. 在命令提示列，執行 ipconfig /all來確認該電腦已經擁有一個位於

10.0.0.0/24網路之中的IP位址，且在預設閘道器與DNS伺服器兩方面

都已經被設置成10.0.0.1。

4. 開啟Internet Explorer，並確認你可以連線到http://www.microsoft.

com。

課程總結

如果你擁有的電腦數多於公用IP位址的數量時，就必須將主機指定 ■

為私人IP位址。想要讓使用私人IP位址的主機，能夠在網際網路上通

訊，就必須部署一台NAT伺服器，且網路介面需同時連接到公用網際

網路、以及你的私人內部網路上。

ICS讓你能以按幾下滑鼠的方式，在某台伺服器上啟用NAT；然而， ■

可設置的選項卻非常有限。例如，內部介面必須具有192.168.0.1的IP

▲