网络地址转换(NAT)的出现,解决了企业网络管理过程中的很多问题。如当企业的网络要连接到公网中,但是,企业没用足够多的公网IP地址;如企业更换了一个ISP服务器商,需要重新组织企业网络;如企业吞并了某个企业,需要对具有相同网络地址的内网进行合并,等等。这些问题都可以通过NAT技术轻松的实现。所以,现在NAT( 网络地址转换)是很受企业欢迎的一种技术。
不过,刀最快,其效果好不好,还是要看操刀少。网络地址转换服务器能否在企业中开花结果,也需要看网络管理员的水平。要让网络地址转换服务器在企业中运转起来,除了要做好相关的规划、配置工作以外,对NAT服务器的配置验证也是很重要的一个步骤。在对NAT服务器进行最后验证的时候,要不留一个死角。
验证一:确认列表中该出现的地址没有遗漏,不该出现的地址不要出现
在NAT服务器中,有一张列表,存储着很多关键的信息。其中最重要的就是两类信息,一是企业内部本地地址,也就是转换之前内部主机的IP地址。二是内部全局地址,也就是说转换后合法的公网地址。NAT服务器的功能就是把一些内部主机的IP地址转换为在公网上可以接受的合法地址。如此的话,数据才可以在Internet网上传送。
NAT服务器配置的验证,首先需要注意的问题就是“列表中该出现的地址没有遗漏,不该出现的地址不要出现”。特别似乎“不该出现的地址不要出现 ”。如笔者所在的企业是一家外资企业,一共申请了有三个公网地址。一个现在被用来做FTP服务器的IP地址,另外两个则是被用来做NAT转换时用的IP地址。所以,在内部全局地址中,就有两个IP地址。那个FTP服务器的IP地址就不能够在这里出现。否则的话,就会导致FTP服务器无法正常工作。这就是为何要确认“不该出现的地址不要出现”的目的。不过现在国内的大部分企业,都只有一个公网地址,所以,这方面的问题可能不怎么会遇到。反而“确认列表中该出现的地址内有遗漏”,反而使他们的重头戏。
这主要是因为企业内部可能部署有邮箱服务器、文件服务器、FTP服务器、OA服务器、ERP服务器等多个服务器系统。由于企业只有一个合法的公网IP地址,所以,要从外网访问这些服务器的话,企业必须把这个公网的IP地址利用端口复用手段跟这些内部的服务器连接起来。若在内部本地地址列表中,没有这个服务器以及对应的端口信息的话,则企业用户将无法从外网上对这个服务器进行访问。所以,在验证NAT配置的时候,需要确认是否这个列表中的地址没有被遗漏。
验证二:确认被用来静态映射的地址与动态地址池中的地址没有重叠
网络地址交换有很多种方式,如有静态映射、动态分配、端口复用等等。企业可以采用某一种方式,也可以同时集中方式结合使用。如笔者现在的企业,就采用静态映射与端口复用两种技术。一是先在企业内部建立了一个FTP服务器,该服务器配置的是一个内网的IP地址,然后利用NAT技术,把其静态的映射到一个公网的IP地址上去。这主要是为了保护FTP服务器的安全性。因为采用NAT技术,可以把FTP服务器的真实地址隐藏起来。这就是静态映射技术。
二是端口复用技术。把企业的一些其他服务器,利用端口复用技术来实现。这主要是因为其他的服务器,主要供内部使用。外网的访问不多,所以只需要一个公网地址来转换。而FTP服务器的话,主要供外部实用。这就需要在性能与安全方面,有特殊的考虑。故笔者采用了一个独立的公网地址来对应FTP服务器。
对于即有静态映射又有动态分配(从某个方面来说,端口复用也是动态分配技术的一种)的企业来说,网络管理员在验证网络地址转换服务器配置的时候,就需要确认被用来静态映射的地址与动态地址池中的地址是否有重叠。也就是说,你静态映射的那个公网IP地址有没有被用到动态分配的公网IP地址中。这对于NAT服务器来说,是明令禁止的。否则的话,会出现一些莫名其妙的问题。
验证三:NAT服务器指定了正确的转换地址
其实,一些路由器往往自带了网络地址转换功能。如不通过任何的设置,局域网的只拥有私网IP地址的主机都可以访问互联网,接收互联网上的信息。但是,这只是一种最简单的NAT技术。因为这只做到了单方面的NAT技术转换。也就是说,内网的主机可以访问互联网,但是,互连网上的用户往往无法主动访问内网中的主机。
有时候,网络管理员还希望NAT有更强的功能。如现在供应商可以从公司的FTP服务器上下载我们给他们准备的产品设计图纸与说明书。而这个FTP服务器没有独立的公网IP地址,他只具有内网的IP地址。若不经过配置,则外网的用户是无法访问这个只具有内部IP地址的FTP服务器的。