|
|
|
|
|
出于某些需要,有時候個人或企業(yè)內(nèi)部服務(wù)器要讓外部網(wǎng)絡(luò)用戶訪問,要實現(xiàn)此功能,你就需要對路由器做一點設(shè)置。這里要給大家介紹的是,如何通過路由器自帶NAT功能,來實現(xiàn)一個合法IP地址同時綁定多臺應(yīng)用服務(wù)器。
NAT類型選擇
NAT,又叫做網(wǎng)絡(luò)地址類型轉(zhuǎn)換,其主要有三種類型,分別為靜態(tài)NAT、動態(tài)NAT與端口地址映射。這里需要注意,這三種類型之間有很大的差異。網(wǎng)絡(luò)管理員在使用這個技術(shù)的時候,必須要了解它們之間的差異,然后結(jié)合企業(yè)的實際情況,選擇合適的實現(xiàn)手段。
第一種類型是靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換。其主要的特點是一對一。也就是說,這種類型的網(wǎng)絡(luò)地址轉(zhuǎn)換是為了在本地和全球地址之間進(jìn)行一對一的映射而設(shè)計的。這就要求網(wǎng)絡(luò)中的每一臺主機(jī)都有用一個真實的合法的IP地址。結(jié)合上面這個案例,如果企業(yè)內(nèi)部三臺服務(wù)器都需要被外部用戶訪問的話,那么就需要至少三個IP地址。顯然這種方式并不能夠達(dá)到節(jié)省IP地址的目的。一般來說,靜態(tài)NAT主要的目的是為了隱藏企業(yè)內(nèi)部服務(wù)器的IP地址,以達(dá)到保護(hù)服務(wù)器的目的。
第二種類型是動態(tài)NAT。這種類型的網(wǎng)絡(luò)地址轉(zhuǎn)換是將一個企業(yè)內(nèi)部的IP地址與一個合法的IP地址進(jìn)行映射。雖然這也是一對一的關(guān)系,但是與靜態(tài)NAT有很大的差別。前者要求企業(yè)內(nèi)部服務(wù)器也必須有一個公網(wǎng)IP地址。而動態(tài)NAT則沒有這個要求,即企業(yè)內(nèi)部的服務(wù)器可以采用內(nèi)部地址。不過此時一個公網(wǎng)IP地址也只能夠解決一臺內(nèi)部服務(wù)器的訪問問題。這與我們上面提到的需求還是有一定的差異。
第三種類型是端口地址映射。端口地址映射在動態(tài)NAT上又進(jìn)了一步。簡單的說,其工作模式就是多對對一。可以將多個內(nèi)部IP地址(內(nèi)網(wǎng)地址)對應(yīng)到一個公網(wǎng)IP地址。具體的說,就是內(nèi)網(wǎng)地址+端口號與公網(wǎng)地址進(jìn)行對應(yīng)。采用這個端口地址映射,那么企業(yè)網(wǎng)絡(luò)管理員就可以將企業(yè)內(nèi)部的應(yīng)用服務(wù)器(即使其不具有合法的公網(wǎng)地址)放置到外網(wǎng)上,供外網(wǎng)用戶訪問。
可見在實現(xiàn)NAT網(wǎng)絡(luò)地址轉(zhuǎn)換的過程中,了解這三種不同的工作模式,然后結(jié)合企業(yè)的實際情況,來選擇合適的實現(xiàn)方式,這是最關(guān)鍵的內(nèi)容。一般來說,如果企業(yè)有足夠多的公網(wǎng)地址,而只是出于安全考慮,要隱藏內(nèi)部服務(wù)其,則采用靜態(tài)的NAT為好。相反,如果企業(yè)有多臺服務(wù)器,而合法的IP地址又不夠用。在這種情況下,就需要采用端口地址映射,將多個內(nèi)部IP地址通過端口這個參數(shù)對應(yīng)到公網(wǎng)IP地址。
NAT配置過程
對于NAT技術(shù)來說,其實配置是其中最簡單的一個環(huán)節(jié)。筆者一般將NAT分為四個部分,分別是設(shè)計、配置、驗證和排錯。其中設(shè)計的關(guān)鍵就是上面提到的“選擇合適的NAT類型”。而配置就是具體實現(xiàn)的配置。這里主要用的命令是IP NAT 相關(guān)的命令。其主要的工作就是將內(nèi)部服務(wù)器所采用的地址與端口號與公網(wǎng)地址進(jìn)行映射。
下面以華為路由器2621為例,詳細(xì)說明配置NAT的過程。
1、網(wǎng)絡(luò)環(huán)境:
內(nèi)網(wǎng)用戶IP地址為10.83.91.0/255.255.254.0,也就是說IP地址為兩個C類地址,涵蓋范圍為10.83.91.0到10.83.92.255。路由器使用的是華為公司出品的2621產(chǎn)品,該產(chǎn)品有兩個以太網(wǎng)口供我們使用。網(wǎng)口一連接外網(wǎng),IP地址為公網(wǎng)地址;網(wǎng)口二連接內(nèi)網(wǎng),IP地址為私網(wǎng)地址。
2、配置過程:
公司希望在路由器上配置NAT功能,讓內(nèi)網(wǎng)中的用戶使用NAT訪問外網(wǎng)。2621路由器上已經(jīng)配置了外網(wǎng)接口IP為61.51.3.103(公網(wǎng)IP地址),內(nèi)網(wǎng)接口IP地址為10.83.91.254。NAT配置命令如下,筆者將一一做詳細(xì)注釋。
“acl 1”
命令解釋:設(shè)置一個訪問控制列表,列表號為1。
“rule normal permit source 10.83.91.254 0.0.1.255”
命令解釋:為訪問控制列表添加規(guī)則,容許10.83.91.254/255.255.254.0這個網(wǎng)段的所有地址通過。注意一點的是命令中使用的是0.0.1.255這樣的反向掩碼形式,實際上他代表子網(wǎng)掩碼為255.255.254.0。
“nat outbound 1 interface”
命令解釋:在NAT出口接口上進(jìn)行設(shè)置,即外網(wǎng)接口,啟用NAT功能。容許NAT的主機(jī)為訪問控制列表1中規(guī)定的地址。
小提示:華為路由器啟用NAT功能時使用了一種稱作EASYIP的技術(shù),可以讓內(nèi)網(wǎng)IP映射為路由器的外網(wǎng)接口IP地址,從而讓多個內(nèi)網(wǎng)IP地址對應(yīng)一個公網(wǎng)IP,這個技術(shù)可以在數(shù)量上節(jié)省一個公網(wǎng)IP地址。
NAT配置的驗證
NAT網(wǎng)絡(luò)地址轉(zhuǎn)換配置好之后,需要對相關(guān)的配置進(jìn)行驗證。而不是等到用戶來反映問題,無法正常訪問時,你再去驗證。在思科網(wǎng)絡(luò)環(huán)境中,要驗證NAT配置的有效性,主要用到了兩個命令。
一是查看相關(guān)的配置信息。在查看消息的時候,重要是弄清楚方向。即哪些是內(nèi)部主機(jī),哪些是外部主機(jī)。有時候可能一組內(nèi)部IP地址會對應(yīng)一個公網(wǎng)IP地址,此時網(wǎng)絡(luò)管理員就會看到許多轉(zhuǎn)換是從不同的主機(jī)到相同目的主機(jī)之間的轉(zhuǎn)換。在端口地址轉(zhuǎn)換的模式下,可以根據(jù)IP地址的類型來判斷。一般情況下,企業(yè)內(nèi)部服務(wù)器采用的IP地址都是私網(wǎng)IP地址,如192開頭的。如果要查看具體的配置信息,可以使用下面這個命令。
Show ip nat translation
二是判斷其連通性。也就是說,這個配置是否真的有效。此時網(wǎng)絡(luò)管理員可以采用debug ip nat命令來驗證NAT的配置。使用這個命令后,在輸出結(jié)果中會顯示發(fā)送端的IP地址、轉(zhuǎn)換目的地址、端口信息等內(nèi)容。
通過這兩個命令,可以基本判斷NAT的配置是否有問題。不過需要注意的是,這只能夠判斷出其配置是否有問題。而對于這個配置是否合理、在性能上是否需要優(yōu)化等等不能夠提供有效的信息。