卡卡網(wǎng)

出于某些需要，有時候個人或企業(yè)內(nèi)部服務(wù)器要讓外部網(wǎng)絡(luò)用戶訪問，要實現(xiàn)此功能，你就需要對路由器做一點設(shè)置。這里要給大家介紹的是，如何通過路由器自帶NAT功能，來實現(xiàn)一個合法IP地址同時綁定多臺應(yīng)用服務(wù)器。

NAT類型選擇

NAT，又叫做網(wǎng)絡(luò)地址類型轉(zhuǎn)換，其主要有三種類型，分別為靜態(tài)NAT、動態(tài)NAT與端口地址映射。這里需要注意，這三種類型之間有很大的差異。網(wǎng)絡(luò)管理員在使用這個技術(shù)的時候，必須要了解它們之間的差異，然后結(jié)合企業(yè)的實際情況，選擇合適的實現(xiàn)手段。

第一種類型是靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換。其主要的特點是一對一。也就是說，這種類型的網(wǎng)絡(luò)地址轉(zhuǎn)換是為了在本地和全球地址之間進(jìn)行一對一的映射而設(shè)計的。這就要求網(wǎng)絡(luò)中的每一臺主機(jī)都有用一個真實的合法的IP地址。結(jié)合上面這個案例，如果企業(yè)內(nèi)部三臺服務(wù)器都需要被外部用戶訪問的話，那么就需要至少三個IP地址。顯然這種方式并不能夠達(dá)到節(jié)省IP地址的目的。一般來說，靜態(tài)NAT主要的目的是為了隱藏企業(yè)內(nèi)部服務(wù)器的IP地址，以達(dá)到保護(hù)服務(wù)器的目的。

第二種類型是動態(tài)NAT。這種類型的網(wǎng)絡(luò)地址轉(zhuǎn)換是將一個企業(yè)內(nèi)部的IP地址與一個合法的IP地址進(jìn)行映射。雖然這也是一對一的關(guān)系，但是與靜態(tài)NAT有很大的差別。前者要求企業(yè)內(nèi)部服務(wù)器也必須有一個公網(wǎng)IP地址。而動態(tài)NAT則沒有這個要求，即企業(yè)內(nèi)部的服務(wù)器可以采用內(nèi)部地址。不過此時一個公網(wǎng)IP地址也只能夠解決一臺內(nèi)部服務(wù)器的訪問問題。這與我們上面提到的需求還是有一定的差異。

第三種類型是端口地址映射。端口地址映射在動態(tài)NAT上又進(jìn)了一步。簡單的說，其工作模式就是多對對一。可以將多個內(nèi)部IP地址(內(nèi)網(wǎng)地址)對應(yīng)到一個公網(wǎng)IP地址。具體的說，就是內(nèi)網(wǎng)地址+端口號與公網(wǎng)地址進(jìn)行對應(yīng)。采用這個端口地址映射，那么企業(yè)網(wǎng)絡(luò)管理員就可以將企業(yè)內(nèi)部的應(yīng)用服務(wù)器(即使其不具有合法的公網(wǎng)地址)放置到外網(wǎng)上，供外網(wǎng)用戶訪問。

可見在實現(xiàn)NAT網(wǎng)絡(luò)地址轉(zhuǎn)換的過程中，了解這三種不同的工作模式，然后結(jié)合企業(yè)的實際情況，來選擇合適的實現(xiàn)方式，這是最關(guān)鍵的內(nèi)容。一般來說，如果企業(yè)有足夠多的公網(wǎng)地址，而只是出于安全考慮，要隱藏內(nèi)部服務(wù)其，則采用靜態(tài)的NAT為好。相反，如果企業(yè)有多臺服務(wù)器，而合法的IP地址又不夠用。在這種情況下，就需要采用端口地址映射，將多個內(nèi)部IP地址通過端口這個參數(shù)對應(yīng)到公網(wǎng)IP地址。

NAT配置過程

對于NAT技術(shù)來說，其實配置是其中最簡單的一個環(huán)節(jié)。筆者一般將NAT分為四個部分，分別是設(shè)計、配置、驗證和排錯。其中設(shè)計的關(guān)鍵就是上面提到的“選擇合適的NAT類型”。而配置就是具體實現(xiàn)的配置。這里主要用的命令是IP NAT 相關(guān)的命令。其主要的工作就是將內(nèi)部服務(wù)器所采用的地址與端口號與公網(wǎng)地址進(jìn)行映射。

下面以華為路由器2621為例，詳細(xì)說明配置NAT的過程。

1、網(wǎng)絡(luò)環(huán)境：

內(nèi)網(wǎng)用戶IP地址為10.83.91.0/255.255.254.0，也就是說IP地址為兩個C類地址，涵蓋范圍為10.83.91.0到10.83.92.255。路由器使用的是華為公司出品的2621產(chǎn)品，該產(chǎn)品有兩個以太網(wǎng)口供我們使用。網(wǎng)口一連接外網(wǎng)，IP地址為公網(wǎng)地址；網(wǎng)口二連接內(nèi)網(wǎng)，IP地址為私網(wǎng)地址。

2、配置過程：

公司希望在路由器上配置NAT功能，讓內(nèi)網(wǎng)中的用戶使用NAT訪問外網(wǎng)。2621路由器上已經(jīng)配置了外網(wǎng)接口IP為61.51.3.103(公網(wǎng)IP地址），內(nèi)網(wǎng)接口IP地址為10.83.91.254。NAT配置命令如下，筆者將一一做詳細(xì)注釋。

“acl 1”   

命令解釋：設(shè)置一個訪問控制列表，列表號為1。

“rule normal permit source 10.83.91.254 0.0.1.255”

命令解釋：為訪問控制列表添加規(guī)則，容許10.83.91.254/255.255.254.0這個網(wǎng)段的所有地址通過。注意一點的是命令中使用的是0.0.1.255這樣的反向掩碼形式，實際上他代表子網(wǎng)掩碼為255.255.254.0。

“nat outbound 1 interface”

命令解釋：在NAT出口接口上進(jìn)行設(shè)置，即外網(wǎng)接口，啟用NAT功能。容許NAT的主機(jī)為訪問控制列表1中規(guī)定的地址。

小提示：華為路由器啟用NAT功能時使用了一種稱作EASYIP的技術(shù)，可以讓內(nèi)網(wǎng)IP映射為路由器的外網(wǎng)接口IP地址，從而讓多個內(nèi)網(wǎng)IP地址對應(yīng)一個公網(wǎng)IP，這個技術(shù)可以在數(shù)量上節(jié)省一個公網(wǎng)IP地址。

NAT配置的驗證

NAT網(wǎng)絡(luò)地址轉(zhuǎn)換配置好之后，需要對相關(guān)的配置進(jìn)行驗證。而不是等到用戶來反映問題，無法正常訪問時，你再去驗證。在思科網(wǎng)絡(luò)環(huán)境中，要驗證NAT配置的有效性，主要用到了兩個命令。

一是查看相關(guān)的配置信息。在查看消息的時候，重要是弄清楚方向。即哪些是內(nèi)部主機(jī)，哪些是外部主機(jī)。有時候可能一組內(nèi)部IP地址會對應(yīng)一個公網(wǎng)IP地址，此時網(wǎng)絡(luò)管理員就會看到許多轉(zhuǎn)換是從不同的主機(jī)到相同目的主機(jī)之間的轉(zhuǎn)換。在端口地址轉(zhuǎn)換的模式下，可以根據(jù)IP地址的類型來判斷。一般情況下，企業(yè)內(nèi)部服務(wù)器采用的IP地址都是私網(wǎng)IP地址，如192開頭的。如果要查看具體的配置信息，可以使用下面這個命令。

Show ip nat translation

二是判斷其連通性。也就是說，這個配置是否真的有效。此時網(wǎng)絡(luò)管理員可以采用debug ip nat命令來驗證NAT的配置。使用這個命令后，在輸出結(jié)果中會顯示發(fā)送端的IP地址、轉(zhuǎn)換目的地址、端口信息等內(nèi)容。

通過這兩個命令，可以基本判斷NAT的配置是否有問題。不過需要注意的是，這只能夠判斷出其配置是否有問題。而對于這個配置是否合理、在性能上是否需要優(yōu)化等等不能夠提供有效的信息。