當(dāng)前位置:首頁(yè) > 通信技術(shù) > 通信技術(shù)
[導(dǎo)讀]假設(shè)現(xiàn)在企業(yè)內(nèi)部有文件服務(wù)器、OA服務(wù)器、郵件服務(wù)器等等。而企業(yè)還希望這些服務(wù)器能夠被外部網(wǎng)絡(luò)的用戶訪問(wèn)。如企業(yè)可能在異地有一個(gè)銷售辦事處,或者有些員工經(jīng)常需要出差。為了方便他們的工作,就需要允許這些員

假設(shè)現(xiàn)在企業(yè)內(nèi)部有文件服務(wù)器、OA服務(wù)器、郵件服務(wù)器等等。而企業(yè)還希望這些服務(wù)器能夠被外部網(wǎng)絡(luò)的用戶訪問(wèn)。如企業(yè)可能在異地有一個(gè)銷售辦事處,或者有些員工經(jīng)常需要出差。為了方便他們的工作,就需要允許這些員工來(lái)訪問(wèn)企業(yè)內(nèi)部的這些應(yīng)用服務(wù)器。但是現(xiàn)實(shí)情況是,大部分企業(yè)可能僅僅擁有一個(gè)到連個(gè)合法的IP地址。而需要讓外部用戶能夠訪問(wèn)企業(yè)內(nèi)部的應(yīng)用服務(wù)器,首要的一個(gè)條件就是企業(yè)有足夠多數(shù)量的合法IP地址。筆者這里要給大家介紹的是,如何通過(guò)路由器自帶NAT功能,來(lái)實(shí)現(xiàn)一個(gè)合法IP地址同時(shí)綁定多臺(tái)應(yīng)用服務(wù)器。
一、選擇合適的NAT類型
NAT,又叫做網(wǎng)絡(luò)地址類型轉(zhuǎn)換,其主要有三種類型,分別為靜態(tài)NAT、動(dòng)態(tài)NAT與端口地址映射。這里需要注意,這三種類型之間有很大的差異。網(wǎng)絡(luò)管理員在使用這個(gè)技術(shù)的時(shí)候,必須要了解它們之間的差異,然后結(jié)合企業(yè)的實(shí)際情況,選擇合適的實(shí)現(xiàn)手段。
第一種類型是靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換。其主要的特點(diǎn)是一對(duì)一。也就是說(shuō),這種類型的網(wǎng)絡(luò)地址轉(zhuǎn)換是為了在本地和全球地址之間進(jìn)行一對(duì)一的映射而設(shè)計(jì)的。這就要求網(wǎng)絡(luò)中的每一臺(tái)主機(jī)都有用一個(gè)真實(shí)的合法的IP地址。結(jié)合上面這個(gè)案例,如果企業(yè)內(nèi)部三臺(tái)服務(wù)器都需要被外部用戶訪問(wèn)的話,那么就需要至少三個(gè)IP地址。顯然這種方式并不能夠達(dá)到節(jié)省IP地址的目的。一般來(lái)說(shuō),靜態(tài)NAT主要的目的是為了隱藏企業(yè)內(nèi)部服務(wù)器的IP地址,以達(dá)到保護(hù)服務(wù)器的目的。
第二種類型是動(dòng)態(tài)NAT。這種類型的網(wǎng)絡(luò)地址轉(zhuǎn)換是將一個(gè)企業(yè)內(nèi)部的IP地址與一個(gè)合法的IP地址進(jìn)行映射。雖然這也是一對(duì)一的關(guān)系,但是與靜態(tài)NAT有很大的差別。前者要求企業(yè)內(nèi)部服務(wù)器也必須有一個(gè)公網(wǎng)IP地址。而動(dòng)態(tài)NAT則沒(méi)有這個(gè)要求,即企業(yè)內(nèi)部的服務(wù)器可以采用內(nèi)部地址。不過(guò)此時(shí)一個(gè)公網(wǎng)IP地址也只能夠解決一臺(tái)內(nèi)部服務(wù)器的訪問(wèn)問(wèn)題。這與我們上面提到的需求還是有一定的差異。
第三種類型是端口地址映射。端口地址映射在動(dòng)態(tài)NAT上又進(jìn)了一步。簡(jiǎn)單的說(shuō),其工作模式就是多對(duì)對(duì)一??梢詫⒍鄠€(gè)內(nèi)部IP地址(內(nèi)網(wǎng)地址)對(duì)應(yīng)到一個(gè)公網(wǎng)IP地址。具體的說(shuō),就是內(nèi)網(wǎng)地址+端口號(hào)與公網(wǎng)地址進(jìn)行對(duì)應(yīng)。采用這個(gè)端口地址映射,那么企業(yè)網(wǎng)絡(luò)管理員就可以將企業(yè)內(nèi)部的應(yīng)用服務(wù)器(即使其不具有合法的公網(wǎng)地址)放置到外網(wǎng)上,供外網(wǎng)用戶訪問(wèn)。
可見(jiàn)在實(shí)現(xiàn)NAT網(wǎng)絡(luò)地址轉(zhuǎn)換的過(guò)程中,了解這三種不同的工作模式,然后結(jié)合企業(yè)的實(shí)際情況,來(lái)選擇合適的實(shí)現(xiàn)方式,這是最關(guān)鍵的內(nèi)容。一般來(lái)說(shuō),如果企業(yè)有足夠多的公網(wǎng)地址,而只是出于安全考慮,要隱藏內(nèi)部服務(wù)其,則采用靜態(tài)的NAT為好。相反,如果企業(yè)有多臺(tái)服務(wù)器,而合法的IP地址又不夠用。在這種情況下,就需要采用端口地址映射,將多個(gè)內(nèi)部IP地址通過(guò)端口這個(gè)參數(shù)對(duì)應(yīng)到公網(wǎng)IP地址。
二、端口NAT的配置
對(duì)于NAT技術(shù)來(lái)說(shuō),其實(shí)配置是其中最簡(jiǎn)單的一個(gè)環(huán)節(jié)。筆者一般將NAT分為四個(gè)部分,分別是設(shè)計(jì)、配置、驗(yàn)證和排錯(cuò)。其中設(shè)計(jì)的關(guān)鍵就是上面提到的“選擇合適的NAT類型”。而配置就是具體實(shí)現(xiàn)的配置。這里主要用的命令是IP NAT 相關(guān)的命令。其主要的工作就是將內(nèi)部服務(wù)器所采用的地址與端口號(hào)與公網(wǎng)地址進(jìn)行映射。由于配置相對(duì)來(lái)說(shuō)比較簡(jiǎn)單,為此筆者不做過(guò)多說(shuō)明。筆者要將重點(diǎn)放在后續(xù)的驗(yàn)證和排錯(cuò)環(huán)節(jié)上。

三、NAT配置的驗(yàn)證
NAT網(wǎng)絡(luò)地址轉(zhuǎn)換配置好之后,需要對(duì)相關(guān)的配置進(jìn)行驗(yàn)證。而不是等到用戶來(lái)反映問(wèn)題,無(wú)法正常訪問(wèn)時(shí),你再去驗(yàn)證。在思科網(wǎng)絡(luò)環(huán)境中,要驗(yàn)證NAT配置的有效性,主要用到了兩個(gè)命令。
一是查看相關(guān)的配置信息。在查看消息的時(shí)候,重要是弄清楚方向。即哪些是內(nèi)部主機(jī),哪些是外部主機(jī)。有時(shí)候可能一組內(nèi)部IP地址會(huì)對(duì)應(yīng)一個(gè)公網(wǎng)IP地址,此時(shí)網(wǎng)絡(luò)管理員就會(huì)看到許多轉(zhuǎn)換是從不同的主機(jī)到相同目的主機(jī)之間的轉(zhuǎn)換。在端口地址轉(zhuǎn)換的模式下,可以根據(jù)IP地址的類型來(lái)判斷。一般情況下,企業(yè)內(nèi)部服務(wù)器采用的IP地址都是私網(wǎng)IP地址,如192開(kāi)頭的。如果要查看具體的配置信息,可以使用下面這個(gè)命令。
Show ip nat translation
二是判斷其連通性。也就是說(shuō),這個(gè)配置是否真的有效。此時(shí)網(wǎng)絡(luò)管理員可以采用debug ip nat命令來(lái)驗(yàn)證NAT的配置。使用這個(gè)命令后,在輸出結(jié)果中會(huì)顯示發(fā)送端的IP地址、轉(zhuǎn)換目的地址、端口信息等內(nèi)容。
通過(guò)這兩個(gè)命令,可以基本判斷NAT的配置是否有問(wèn)題。不過(guò)需要注意的是,這只能夠判斷出其配置是否有問(wèn)題。而對(duì)于這個(gè)配置是否合理、在性能上是否需要優(yōu)化等等不能夠提供有效的信息。
四、NAT故障的分析與排除
在這一塊內(nèi)容中筆者又將其分為兩部分。一部份是NAT本身的配置問(wèn)題,另外一部分是NAT技術(shù)以外的問(wèn)題導(dǎo)致的NAT應(yīng)用故障。在實(shí)際工作中,我們可能更加的關(guān)注與后者。因?yàn)橹灰婚_(kāi)始NAT設(shè)計(jì)與配置合適,那么NAT本身不會(huì)出現(xiàn)多大的問(wèn)題。
對(duì)于NAT本身的配置問(wèn)題,筆者認(rèn)為網(wǎng)絡(luò)管理員只要注意以下五個(gè)規(guī)則。只要這個(gè)五個(gè)規(guī)則沒(méi)有問(wèn)題,那么NAT本身的配置就是OK的。這個(gè)五個(gè)規(guī)則如下:
一是訪問(wèn)列表相關(guān)。在配置時(shí)需要確保訪問(wèn)列表指定了正確的轉(zhuǎn)換地址。注意這個(gè)非常的重要。因?yàn)檫@個(gè)錯(cuò)誤在后續(xù)排查中比較難發(fā)現(xiàn)。所以在設(shè)置時(shí)就需要采取相關(guān)的控制措施,來(lái)確保其能夠被合理的配置。
二是檢查內(nèi)部和外部的接口是否被正確的定義。其實(shí)NAT技術(shù)說(shuō)到底,就是接口與接口之間的對(duì)接。如果接口對(duì)接時(shí)出現(xiàn)錯(cuò)誤,那么信息流就無(wú)法正常流程。此時(shí)用戶就會(huì)無(wú)法正常訪問(wèn)。這個(gè)接口定義中,關(guān)鍵的是端口參數(shù)是否有問(wèn)題。如內(nèi)部服務(wù)器使用的端口是5150端口,而配置時(shí)不小心輸入了515端口。此時(shí)就會(huì)有問(wèn)題。另外一個(gè)需要注意的是,一般某個(gè)協(xié)議都會(huì)有默認(rèn)端口,如FTP協(xié)議采用的是20與21端口。但是有時(shí)候出于安全考慮,網(wǎng)絡(luò)管理員往往會(huì)更改這個(gè)默認(rèn)端口。此時(shí)就需要額外的檢查這個(gè)端口信息是否設(shè)置正確。
三是地址池。在檢查這個(gè)地址池的時(shí)候,網(wǎng)絡(luò)管理員主要要關(guān)注兩方面的內(nèi)容。一是動(dòng)態(tài)地址池采用的IP第四行是否是由正確的地址范圍所構(gòu)成的。二是需要檢查動(dòng)態(tài)地址池中的地址是否有重復(fù)。只要以上兩條規(guī)則中一條規(guī)則出現(xiàn)問(wèn)題,那么就有可能出現(xiàn)訪問(wèn)故障。
四是需要注意不同類型之間是否有沖突。如企業(yè)可能出于某種考慮,要同時(shí)啟用動(dòng)態(tài)端口地址映射和靜態(tài)映射。此時(shí)就需要特別注意,被用來(lái)靜態(tài)映射的地址與動(dòng)態(tài)地址池中的地址不能夠有重復(fù)。否則的話,就會(huì)導(dǎo)致比較嚴(yán)重的沖突。
五是需要注意確認(rèn)列表中該出現(xiàn)的地址沒(méi)有遺漏,不該出現(xiàn)大地址沒(méi)有被加入。這個(gè)原則可以說(shuō)是對(duì)以上四個(gè)原則的一個(gè)總結(jié)。簡(jiǎn)單的說(shuō),就是要保證相關(guān)IP地址的完整性與準(zhǔn)確性。少一個(gè)不行,多一個(gè)更不行。
通常情況下,在NAT配置中只要不違背以上任何一個(gè)規(guī)則,那么NAT本身的配置就沒(méi)有問(wèn)題。此時(shí)如果用戶還無(wú)法正常訪問(wèn)企業(yè)內(nèi)部的應(yīng)用服務(wù)器,那么就需要考慮其他的原因。如路由問(wèn)題等等。

本站聲明: 本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點(diǎn),本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請(qǐng)聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請(qǐng)及時(shí)聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫?dú)角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

倫敦2024年8月29日 /美通社/ -- 英國(guó)汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認(rèn)證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開(kāi)發(fā)耗時(shí)1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動(dòng) BSP

北京2024年8月28日 /美通社/ -- 越來(lái)越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運(yùn)行,同時(shí)企業(yè)卻面臨越來(lái)越多業(yè)務(wù)中斷的風(fēng)險(xiǎn),如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報(bào)道,騰訊和網(wǎng)易近期正在縮減他們對(duì)日本游戲市場(chǎng)的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)開(kāi)幕式在貴陽(yáng)舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語(yǔ)權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機(jī) 衛(wèi)星通信

要點(diǎn): 有效應(yīng)對(duì)環(huán)境變化,經(jīng)營(yíng)業(yè)績(jī)穩(wěn)中有升 落實(shí)提質(zhì)增效舉措,毛利潤(rùn)率延續(xù)升勢(shì) 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長(zhǎng) 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競(jìng)爭(zhēng)力 堅(jiān)持高質(zhì)量發(fā)展策略,塑強(qiáng)核心競(jìng)爭(zhēng)優(yōu)勢(shì)...

關(guān)鍵字: 通信 BSP 電信運(yùn)營(yíng)商 數(shù)字經(jīng)濟(jì)

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺(tái)與中國(guó)電影電視技術(shù)學(xué)會(huì)聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會(huì)上宣布正式成立。 活動(dòng)現(xiàn)場(chǎng) NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長(zhǎng)三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會(huì)上,軟通動(dòng)力信息技術(shù)(集團(tuán))股份有限公司(以下簡(jiǎn)稱"軟通動(dòng)力")與長(zhǎng)三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉