现在假设企业中有文件服务器、OA服务器、邮件服务器等等。企业也希望这些服务器可以被外网用户访问。例如,一个企业可能在异地有一个销售办事处,或者一些员工经常需要出差。为了方便他们的工作,有必要允许这些员工访问企业内的这些应用服务器。但现实情况是,大多数企业可能只有一个甚至只有一个合法的IP地址。要使外部用户能够访问企业中的应用服务器,首要条件是企业拥有足够数量的合法IP地址。这里要介绍的是如何通过路由器自身的NAT功能,将多个应用服务器同时绑定一个合法的IP地址。
1.选择适当的NAT类型
NAT又称网络地址类型转换,主要有三种类型,分别是静态NAT、动态NAT和端口地址映射。这里需要注意的是,这三种类型有很大的区别。在使用这种技术时,网络管理员必须知道它们之间的区别,然后根据企业的实际情况选择合适的实现手段。
第一种是静态网络地址转换。它的主要特点是一对一。也就是说,这种类型的网络地址转换是为本地和全局地址之间的一对一映射而设计的。这要求网络中的每台主机都有一个真实合法的IP地址。结合上面的案例,如果企业内的三台服务器都需要外部用户访问,那么至少需要三个IP地址。很明显,这种方法并不能达到节省IP地址的目的。一般来说,静态NAT的主要目的是隐藏企业内部服务器的IP地址,从而保护服务器。
第二种是动态NAT。这种类型的网络地址转换是将企业的内部IP地址映射到合法的IP地址。虽然这也是一对一的关系,但是和静态NAT有很大的区别。前者要求企业内部服务器也必须有公有IP地址。而动态NAT没有这个要求,即企业内部的服务器可以采用内部地址。但是,此时一个公有IP地址只能解决一个内部服务器的访问问题。这和我们上面说的需求还是有区别的。
第三种是端口地址映射。地址映射是动态NAT的又一进步。简单来说,它的工作模式是多对一。您可以将多个内部IP地址(intranet地址)映射到一个公共IP地址。具体来说,内部网地址的端口号对应于公共地址。通过这种端口地址映射,企业网络管理员可以将企业内部的应用服务器(即使它没有合法的公共地址)放在外部网络上,供外部网络用户访问。
由此可见,在实现NAT网络地址转换的过程中,了解这三种不同的工作模式,然后根据企业的实际情况选择合适的实现模式是最关键的内容。一般来说,如果企业有足够的公网地址,但只是出于安全考虑,那么最好使用静态NAT来隐藏其内部服务。反之,如果企业有多台服务器,合法IP地址不够。在这种情况下,需要使用端口地址映射,通过port参数将多个内部IP地址映射到公共IP地址。
二、端口NAT配置
就NAT技术而言,实际上配置是最简单的环节。一般来说,作者将NAT分为四个部分,即设计、配置、验证和调试。设计的关键是上面提到的“选择合适的NAT类型”。而配置就是具体实现的配置。这里使用的主要命令是与IP NAT相关的命令。它的主要工作是将内部服务器的地址和端口号与公共网络地址进行映射。因为配置比较简单,我就不多解释了。作者应重点关注后续验证和故障排除。
三。NAT配置的验证
配置NAT转换后,需要检验相关配置。而不是等到用户反映问题无法正常访问时,再进行验证。在Cisco网络环境中,主要使用两个命令来验证NAT配置的有效性。
首先,查看相关配置信息。检查消息时,知道方向很重要。哪些是内部主机,哪些是外部主机。有时,一组内部IP地址会对应一个公共IP地址。此时,网络管理员会发现许多转换是从不同的主机到同一个目的主机。在端口地址转换的模式下,可以根据IP地址的类型来判断。一般来说,企业内部服务器使用的IP地址都是私有IP地址,比如192开头的。如果您想查看特定的配置信息,可以使用以下命令。
显示ip nat转换
二是判断其连通性。也就是这个配置是否真的有效。此时,网络管理员可以使用debug ip nat命令来检验nat配置。使用此命令后,发送方的IP地址、转换目的地地址、端口信息等将显示在输出结果中。
通过这两条命令,基本可以判断NAT配置是否有问题。但需要注意的是,这只能确定其配置是否有问题。但是并不能提供这种配置是否合理,性能上是否需要优化等有效信息。
四。NAT故障的分析与排除
在这一段内容中,作者将其分为两部分。一部分是NAT本身的配置问题,一部分是NAT技术以外的问题导致的NAT应用失败。在实践中,我们可能更关注后者。只要NAT一开始设计配置得当,NAT本身不会有太大问题。
关于NAT本身的配置,笔者认为网络管理员要注意以下五条规则。只要这五条规则没有问题,NAT本身的配置是可以的。这五条规则如下:
首先,访问列表关联。配置时,您需要确保访问列表指定了正确的转换地址。注意这一点很重要。因为这个错误在后续调查中很难发现。因此,有必要采取相关控制措施,确保其能够得到合理配置。
二是检查内外接口定义是否正确。其实NAT技术,说到底就是接口之间的对接。如果接口对接出现错误,信息流将无法正常流动。此时用户无法正常访问。在这个接口定义中,关键是端口参数是否有问题。例如,内部服务器使用的端口是端口5150,但在配置过程中意外输入了端口515。那就有问题了。还有一点需要注意的是,一般情况下,某个协议会有一个默认端口,比如FTP协议使用端口20和端口21。但有时出于安全原因,网络管理员经常更改这个默认端口。此时,有必要额外检查该端口信息是否设置正确。
第三个是地址池。在检查这个地址池时,网络管理员应该注意两个方面。第一,动态地址池采用的第四行IP是否由正确的地址范围组成。其次,需要检查动态地址池中的地址是否重复。只要上述两条规则中有一条出现问题,就可能出现访问失败。
第四,要注意不同类型之间是否有冲突。出于某些原因,企业应该同时启用动态端口地址映射和静态映射。这时候要特别注意,用于静态映射的地址不能和动态地址池中的地址重复。否则会导致严重的冲突。
第五,需要注意确保列表中应该出现的地址没有遗漏,不应该有没有添加的大地址。这个原则可以说是以上四个原则的总结。简单来说就是保证相关IP地址的完整性和准确性。少一个不行,多一个也不行。
一般只要在NAT配置中不违反以上任何一条规则,NAT本身的配置就没有问题。此时,如果用户无法正常访问企业中的应用服务器,那么就需要考虑其他原因了。比如路由问题等。