不留一个死角 做好企业NAT配置验证工作

    网络地址转换(NAT)的出现，解决了企业网络管理过程中的很多问题。如当企业的网络要连接到公网中，但是，企业没用足够多的公网IP地址;如企业更换了一个ISP服务器商，需要重新组织企业网络;如企业吞并了某个企业，需要对具有相同网络地址的内网进行合并，等等。这些问题都可以通过NAT技术轻松的实现。所以，现在NAT( 网络地址转换)是很受企业欢迎的一种技术。

　　不过，刀最快，其效果好不好，还是要看操刀少。网络地址转换服务器能否在企业中开花结果，也需要看网络管理员的水平。要让网络地址转换服务器在企业中运转起来，除了要做好相关的规划、配置工作以外，对NAT服务器的配置验证也是很重要的一个步骤。在对NAT服务器进行最后验证的时候，要不留一个死角。

　　验证一：确认列表中该出现的地址没有遗漏，不该出现的地址不要出现

　　在NAT服务器中，有一张列表，存储着很多关键的信息。其中最重要的就是两类信息，一是企业内部本地地址，也就是转换之前内部主机的IP地址。二是内部全局地址，也就是说转换后合法的公网地址。NAT服务器的功能就是把一些内部主机的IP地址转换为在公网上可以接受的合法地址。如此的话，数据才可以在Internet网上传送。

　　NAT服务器配置的验证，首先需要注意的问题就是“列表中该出现的地址没有遗漏，不该出现的地址不要出现”。特别似乎“不该出现的地址不要出现”。如笔者所在的企业是一家外资企业，一共申请了有三个公网地址。一个现在被用来做FTP服务器的IP地址，另外两个则是被用来做NAT转换时用的IP地址。所以，在内部全局地址中，就有两个IP地址。那个FTP服务器的IP地址就不能够在这里出现。否则的话，就会导致FTP服务器无法正常工作。这就是为何要确认“不该出现的地址不要出现”的目的。不过现在国内的大部分企业，都只有一个公网地址，所以，这方面的问题可能不怎么会遇到。反而“确认列表中该出现的地址内有遗漏”，反而使他们的重头戏。

　　这主要是因为企业内部可能部署有邮箱服务器、文件服务器、FTP服务器、OA服务器、ERP服务器等多个服务器系统。由于企业只有一个合法的公网IP地址，所以，要从外网访问这些服务器的话，企业必须把这个公网的IP地址利用端口复用手段跟这些内部的服务器连接起来。若在内部本地地址列表中，没有这个服务器以及对应的端口信息的话，则企业用户将无法从外网上对这个服务器进行访问。所以，在验证NAT配置的时候，需要确认是否这个列表中的地址没有被遗漏。

　　验证二：确认被用来静态映射的地址与动态地址池中的地址没有重叠

　　网络地址交换有很多种方式，如有静态映射、动态分配、端口复用等等。企业可以采用某一种方式，也可以同时集中方式结合使用。如笔者现在的企业，就采用静态映射与端口复用两种技术。一是先在企业内部建立了一个FTP服务器，该服务器配置的是一个内网的IP地址，然后利用NAT技术，把其静态的映射到一个公网的IP地址上去。这主要是为了保护FTP服务器的安全性。因为采用NAT技术，可以把FTP服务器的真实地址隐藏起来。这就是静态映射技术。

　　二是端口复用技术。把企业的一些其他服务器，利用端口复用技术来实现。这主要是因为其他的服务器，主要供内部使用。外网的访问不多，所以只需要一个公网地址来转换。而FTP服务器的话，主要供外部实用。这就需要在性能与安全方面，有特殊的考虑。故笔者采用了一个独立的公网地址来对应FTP服务器。

　　对于即有静态映射又有动态分配(从某个方面来说，端口复用也是动态分配技术的一种)的企业来说，网络管理员在验证网络地址转换服务器配置的时候，就需要确认被用来静态映射的地址与动态地址池中的地址是否有重叠。也就是说，你静态映射的那个公网IP地址有没有被用到动态分配的公网IP地址中。这对于NAT服务器来说，是明令禁止的。否则的话，会出现一些莫名其妙的问题。

　　验证三：NAT服务器指定了正确的转换地址

　　其实，一些路由器往往自带了网络地址转换功能。如不通过任何的设置，局域网的只拥有私网IP地址的主机都可以访问互联网，接收互联网上的信息。但是，这只是一种最简单的NAT技术。因为这只做到了单方面的NAT技术转换。也就是说，内网的主机可以访问互联网，但是，互连网上的用户往往无法主动访问内网中的主机。

　　有时候，网络管理员还希望NAT有更强的功能。如现在供应商可以从公司的FTP服务器上下载我们给他们准备的产品设计图纸与说明书。而这个FTP服务器没有独立的公网IP地址，他只具有内网的IP地址。若不经过配置，则外网的用户是无法访问这个只具有内部IP地址的FTP服务器的。

　　此时，网络管理员就需要进行端口复用技术，为其进行绑定。不过，在利用这个技术之前，有一个前期，就是企业最好需要有固定的IP地址。这也是网络地址转换的前提。可惜地是，笔者发现，不少的企业在申请宽带的时候，可能怕多付钱吧，都是以个人名义去申请的。而重要的是，他们的IP地址虽然是公网IP地址，但是都是变动的，不是固定的IP地址。简单的说，就是企业那个合法的公网IP地址时刻在变化的。此时，即使FTP服务器成功的进行了网络地址转换，外网用户仍然需要根据企业那个IP公网地址不同而调整访问的方式。重要的是，网络管理员也需要不断的变更这个NAT的相关配置。这就显得非常的麻烦。

　　故网络管理员需要验证NAT服务器是否制定了正确的转换地址。这主要包括两方面的含义。一是企业是否具有了合法的固定的IP地址;二是在NAT配置中，有没有正确的进行绑定。特别是企业有内部的服务器需要供外部用户访问时，这个验证更加的重要。

　　在理论上，NAT服务器对于映射没有限制数量。有些路由器，NAT表还可以控制没有限制数量的映射。但是，在实际工作中，由于映射会占用路由器的内存、CPU、可用地址或者端口等等，往往需要进行一些必要的限制。

　　每个NAT映射需要占用大约160字节的内存;当映射数量多的时候，会影响路由器的性能。所以，除非企业有专门的NAT服务器来处理这个映射，否则的话，我们往往会对这个映射进行数量上的限制。以防止其影响路由器的正常运转，降低其性能。

　　如果我们需要对这个映射数量进行限制的话，则可以通过“IP NAT TRANSLATION MAX-ENTRIES”来实现。

　　笔者的建议是，如果在路由器上实现网络地址转换功能的话，要对其映射进行必要的限制。若企业财大气粗，有专门的服务器来承担网络地址转换的角色，则可以考虑不进行转换。

　　验证五：了解NAT的缺陷，企业网络中没有不兼容的服务

　　网络地址转换这门技术虽然好，但是人无完人，其也有其权限。具体的来说，网络地址转换技术有三方面的不足。网络管理员在最后对NAT服务器进行配置验证的时候，需要考虑到这方面的不足。看分析这些缺陷会不会对企业的现有网络产生不良的影响。

　　这三个缺陷分别是无法进行端到端的IP跟踪、在地址转换过程中可能会产生交换延迟、某些应用无法在实施NAT技术的网络中运行。主要是后面两种缺陷对于企业的影响比较大。

　　如地址交换过程中可能会产生交换的延迟，而其隐射数量越多，这个延迟的影响也就越大。所以对于一些常用的服务器，而且信息传输量又比较大，最好能够控制其公网地址的映射数量，一对一的静态映射是其首选。另外就是NAT技术的兼容性问题。由于网络地址在转换过程中，NAT服务器需要读取数据包中的信息，所以，若这个数据包在传输过程汇总加密了，那么其在NAT服务器中进行加工就会遇到麻烦。所以，若企业要跟外网的服务器进行IP安全策略的话，就会产生问题。两者并不能够很好的合作。

　　俗话说，知己知彼，百战百胜。所以，网络管理员还需要了解NAT技术的缺陷，需要确认企业现有的网络应用，会否应为NAT服务器的部署，而遭到破坏。当然这些缺陷有些也不是说不可以避免，如NAT与IPSEC之间的冲突问题，网络管理员可以采取其他的方法进行回避。

　　所以，网络管理员对NAT服务器最后的验证，就是需要考虑其兼容性问题。若有不兼容的情况，要及时的采取措施进行规避。