卡卡網(wǎng)

出于某些需要，有時(shí)候個(gè)人或企業(yè)內(nèi)部服務(wù)器要讓外部網(wǎng)絡(luò)用戶訪問，要實(shí)現(xiàn)此功能，你就需要對路由器做一點(diǎn)設(shè)置。這里要給大家介紹的是，如何通過路由器自帶NAT功能，來實(shí)現(xiàn)一個(gè)合法IP地址同時(shí)綁定多臺應(yīng)用服務(wù)器。

NAT類型選擇

NAT，又叫做網(wǎng)絡(luò)地址類型轉(zhuǎn)換，其主要有三種類型，分別為靜態(tài)NAT、動(dòng)態(tài)NAT與端口地址映射。這里需要注意，這三種類型之間有很大的差異。網(wǎng)絡(luò)管理員在使用這個(gè)技術(shù)的時(shí)候，必須要了解它們之間的差異，然后結(jié)合企業(yè)的實(shí)際情況，選擇合適的實(shí)現(xiàn)手段。

第一種類型是靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換。其主要的特點(diǎn)是一對一。也就是說，這種類型的網(wǎng)絡(luò)地址轉(zhuǎn)換是為了在本地和全球地址之間進(jìn)行一對一的映射而設(shè)計(jì)的。這就要求網(wǎng)絡(luò)中的每一臺主機(jī)都有用一個(gè)真實(shí)的合法的IP地址。結(jié)合上面這個(gè)案例，如果企業(yè)內(nèi)部三臺服務(wù)器都需要被外部用戶訪問的話，那么就需要至少三個(gè)IP地址。顯然這種方式并不能夠達(dá)到節(jié)省IP地址的目的。一般來說，靜態(tài)NAT主要的目的是為了隱藏企業(yè)內(nèi)部服務(wù)器的IP地址，以達(dá)到保護(hù)服務(wù)器的目的。

第二種類型是動(dòng)態(tài)NAT。這種類型的網(wǎng)絡(luò)地址轉(zhuǎn)換是將一個(gè)企業(yè)內(nèi)部的IP地址與一個(gè)合法的IP地址進(jìn)行映射。雖然這也是一對一的關(guān)系，但是與靜態(tài)NAT有很大的差別。前者要求企業(yè)內(nèi)部服務(wù)器也必須有一個(gè)公網(wǎng)IP地址。而動(dòng)態(tài)NAT則沒有這個(gè)要求，即企業(yè)內(nèi)部的服務(wù)器可以采用內(nèi)部地址。不過此時(shí)一個(gè)公網(wǎng)IP地址也只能夠解決一臺內(nèi)部服務(wù)器的訪問問題。這與我們上面提到的需求還是有一定的差異。

第三種類型是端口地址映射。端口地址映射在動(dòng)態(tài)NAT上又進(jìn)了一步。簡單的說，其工作模式就是多對對一?？梢詫⒍鄠€(gè)內(nèi)部IP地址(內(nèi)網(wǎng)地址)對應(yīng)到一個(gè)公網(wǎng)IP地址。具體的說，就是內(nèi)網(wǎng)地址+端口號與公網(wǎng)地址進(jìn)行對應(yīng)。采用這個(gè)端口地址映射，那么企業(yè)網(wǎng)絡(luò)管理員就可以將企業(yè)內(nèi)部的應(yīng)用服務(wù)器(即使其不具有合法的公網(wǎng)地址)放置到外網(wǎng)上，供外網(wǎng)用戶訪問。

可見在實(shí)現(xiàn)NAT網(wǎng)絡(luò)地址轉(zhuǎn)換的過程中，了解這三種不同的工作模式，然后結(jié)合企業(yè)的實(shí)際情況，來選擇合適的實(shí)現(xiàn)方式，這是最關(guān)鍵的內(nèi)容。一般來說，如果企業(yè)有足夠多的公網(wǎng)地址，而只是出于安全考慮，要隱藏內(nèi)部服務(wù)其，則采用靜態(tài)的NAT為好。相反，如果企業(yè)有多臺服務(wù)器，而合法的IP地址又不夠用。在這種情況下，就需要采用端口地址映射，將多個(gè)內(nèi)部IP地址通過端口這個(gè)參數(shù)對應(yīng)到公網(wǎng)IP地址。

NAT配置過程

對于NAT技術(shù)來說，其實(shí)配置是其中最簡單的一個(gè)環(huán)節(jié)。筆者一般將NAT分為四個(gè)部分，分別是設(shè)計(jì)、配置、驗(yàn)證和排錯(cuò)。其中設(shè)計(jì)的關(guān)鍵就是上面提到的“選擇合適的NAT類型”。而配置就是具體實(shí)現(xiàn)的配置。這里主要用的命令是IP NAT 相關(guān)的命令。其主要的工作就是將內(nèi)部服務(wù)器所采用的地址與端口號與公網(wǎng)地址進(jìn)行映射。

下面以華為路由器2621為例，詳細(xì)說明配置NAT的過程。

1、網(wǎng)絡(luò)環(huán)境：

內(nèi)網(wǎng)用戶IP地址為10.83.91.0/255.255.254.0，也就是說IP地址為兩個(gè)C類地址，涵蓋范圍為10.83.91.0到10.83.92.255。路由器使用的是華為公司出品的2621產(chǎn)品，該產(chǎn)品有兩個(gè)以太網(wǎng)口供我們使用。網(wǎng)口一連接外網(wǎng)，IP地址為公網(wǎng)地址；網(wǎng)口二連接內(nèi)網(wǎng)，IP地址為私網(wǎng)地址。

2、配置過程：

公司希望在路由器上配置NAT功能，讓內(nèi)網(wǎng)中的用戶使用NAT訪問外網(wǎng)。2621路由器上已經(jīng)配置了外網(wǎng)接口IP為61.51.3.103(公網(wǎng)IP地址），內(nèi)網(wǎng)接口IP地址為10.83.91.254。NAT配置命令如下，筆者將一一做詳細(xì)注釋。

“acl 1”   

命令解釋：設(shè)置一個(gè)訪問控制列表，列表號為1。

“rule normal permit source 10.83.91.254 0.0.1.255”

命令解釋：為訪問控制列表添加規(guī)則，容許10.83.91.254/255.255.254.0這個(gè)網(wǎng)段的所有地址通過。注意一點(diǎn)的是命令中使用的是0.0.1.255這樣的反向掩碼形式，實(shí)際上他代表子網(wǎng)掩碼為255.255.254.0。

“nat outbound 1 interface”

命令解釋：在NAT出口接口上進(jìn)行設(shè)置，即外網(wǎng)接口，啟用NAT功能。容許NAT的主機(jī)為訪問控制列表1中規(guī)定的地址。

小提示：華為路由器啟用NAT功能時(shí)使用了一種稱作EASYIP的技術(shù)，可以讓內(nèi)網(wǎng)IP映射為路由器的外網(wǎng)接口IP地址，從而讓多個(gè)內(nèi)網(wǎng)IP地址對應(yīng)一個(gè)公網(wǎng)IP，這個(gè)技術(shù)可以在數(shù)量上節(jié)省一個(gè)公網(wǎng)IP地址。

NAT配置的驗(yàn)證

NAT網(wǎng)絡(luò)地址轉(zhuǎn)換配置好之后，需要對相關(guān)的配置進(jìn)行驗(yàn)證。而不是等到用戶來反映問題，無法正常訪問時(shí)，你再去驗(yàn)證。在思科網(wǎng)絡(luò)環(huán)境中，要驗(yàn)證NAT配置的有效性，主要用到了兩個(gè)命令。

一是查看相關(guān)的配置信息。在查看消息的時(shí)候，重要是弄清楚方向。即哪些是內(nèi)部主機(jī)，哪些是外部主機(jī)。有時(shí)候可能一組內(nèi)部IP地址會(huì)對應(yīng)一個(gè)公網(wǎng)IP地址，此時(shí)網(wǎng)絡(luò)管理員就會(huì)看到許多轉(zhuǎn)換是從不同的主機(jī)到相同目的主機(jī)之間的轉(zhuǎn)換。在端口地址轉(zhuǎn)換的模式下，可以根據(jù)IP地址的類型來判斷。一般情況下，企業(yè)內(nèi)部服務(wù)器采用的IP地址都是私網(wǎng)IP地址，如192開頭的。如果要查看具體的配置信息，可以使用下面這個(gè)命令。

Show ip nat translation

二是判斷其連通性。也就是說，這個(gè)配置是否真的有效。此時(shí)網(wǎng)絡(luò)管理員可以采用debug ip nat命令來驗(yàn)證NAT的配置。使用這個(gè)命令后，在輸出結(jié)果中會(huì)顯示發(fā)送端的IP地址、轉(zhuǎn)換目的地址、端口信息等內(nèi)容。

通過這兩個(gè)命令，可以基本判斷NAT的配置是否有問題。不過需要注意的是，這只能夠判斷出其配置是否有問題。而對于這個(gè)配置是否合理、在性能上是否需要優(yōu)化等等不能夠提供有效的信息。