不過,刀最快,其效果好不好,還是要看操刀少。網絡地址轉換服務器能否在企業中開花結果,也需要看網絡管理員的水平。要讓網絡地址轉換服務器在企業中運轉起來,除了要做好相關的規劃、配置工作以外,對NAT服務器的配置驗證也是很重要的一個步驟。在對NAT服務器進行最后驗證的時候,要不留一個死角。
驗證一:確認列表中該出現的地址沒有遺漏,不該出現的地址不要出現
在NAT服務器中,有一張列表,存儲著很多關鍵的信息。其中最重要的就是兩類信息,一是企業內部本地地址,也就是轉換之前內部主機的IP地址。二是內部全局地址,也就是說轉換后合法的公網地址。NAT服務器的功能就是把一些內部主機的IP地址轉換為在公網上可以接受的合法地址。如此的話,數據才可以在Internet網上傳送。
NAT服務器配置的驗證,首先需要注意的問題就是“列表中該出現的地址沒有遺漏,不該出現的地址不要出現”。特別似乎“不該出現的地址不要出現”。如筆者所在的企業是一家外資企業,一共申請了有三個公網地址。一個現在被用來做FTP服務器的IP地址,另外兩個則是被用來做NAT轉換時用的IP地址。所以,在內部全局地址中,就有兩個IP地址。那個FTP服務器的IP地址就不能夠在這里出現。否則的話,就會導致FTP服務器無法正常工作。這就是為何要確認“不該出現的地址不要出現”的目的。不過現在國內的大部分企業,都只有一個公網地址,所以,這方面的問題可能不怎么會遇到。反而“確認列表中該出現的地址內有遺漏”,反而使他們的重頭戲。
這主要是因為企業內部可能部署有郵箱服務器、文件服務器、FTP服務器、OA服務器、ERP服務器等多個服務器系統。由于企業只有一個合法的公網IP地址,所以,要從外網訪問這些服務器的話,企業必須把這個公網的IP地址利用端口復用手段跟這些內部的服務器連接起來。若在內部本地地址列表中,沒有這個服務器以及對應的端口信息的話,則企業用戶將無法從外網上對這個服務器進行訪問。所以,在驗證NAT配置的時候,需要確認是否這個列表中的地址沒有被遺漏。
驗證二:確認被用來靜態映射的地址與動態地址池中的地址沒有重疊
網絡地址交換有很多種方式,如有靜態映射、動態分配、端口復用等等。企業可以采用某一種方式,也可以同時集中方式結合使用。如筆者現在的企業,就采用靜態映射與端口復用兩種技術。一是先在企業內部建立了一個FTP服務器,該服務器配置的是一個內網的IP地址,然后利用NAT技術,把其靜態的映射到一個公網的IP地址上去。這主要是為了保護FTP服務器的安全性。因為采用NAT技術,可以把FTP服務器的真實地址隱藏起來。這就是靜態映射技術。
二是端口復用技術。把企業的一些其他服務器,利用端口復用技術來實現。這主要是因為其他的服務器,主要供內部使用。外網的訪問不多,所以只需要一個公網地址來轉換。而FTP服務器的話,主要供外部實用。這就需要在性能與安全方面,有特殊的考慮。故筆者采用了一個獨立的公網地址來對應FTP服務器。
對于即有靜態映射又有動態分配(從某個方面來說,端口復用也是動態分配技術的一種)的企業來說,網絡管理員在驗證網絡地址轉換服務器配置的時候,就需要確認被用來靜態映射的地址與動態地址池中的地址是否有重疊。也就是說,你靜態映射的那個公網IP地址有沒有被用到動態分配的公網IP地址中。這對于NAT服務器來說,是明令禁止的。否則的話,會出現一些莫名其妙的問題。
驗證三:NAT服務器指定了正確的轉換地址
其實,一些路由器往往自帶了網絡地址轉換功能。如不通過任何的設置,局域網的只擁有私網IP地址的主機都可以訪問互聯網,接收互聯網上的信息。但是,這只是一種最簡單的NAT技術。因為這只做到了單方面的NAT技術轉換。也就是說,內網的主機可以訪問互聯網,但是,互連網上的用戶往往無法主動訪問內網中的主機。
有時候,網絡管理員還希望NAT有更強的功能。如現在供應商可以從公司的FTP服務器上下載我們給他們準備的產品設計圖紙與說明書。而這個FTP服務器沒有獨立的公網IP地址,他只具有內網的IP地址。若不經過配置,則外網的用戶是無法訪問這個只具有內部IP地址的FTP服務器的。
此時,網絡管理員就需要進行端口復用技術,為其進行綁定。不過,在利用這個技術之前,有一個前期,就是企業最好需要有固定的IP地址。這也是網絡地址轉換的前提。可惜地是,筆者發現,不少的企業在申請寬帶的時候,可能怕多付錢吧,都是以個人名義去申請的。而重要的是,他們的IP地址雖然是公網IP地址,但是都是變動的,不是固定的IP地址。簡單的說,就是企業那個合法的公網IP地址時刻在變化的。此時,即使FTP服務器成功的進行了網絡地址轉換,外網用戶仍然需要根據企業那個IP公網地址不同而調整訪問的方式。重要的是,網絡管理員也需要不斷的變更這個NAT的相關配置。這就顯得非常的麻煩。
故網絡管理員需要驗證NAT服務器是否制定了正確的轉換地址。這主要包括兩方面的含義。一是企業是否具有了合法的固定的IP地址;二是在NAT配置中,有沒有正確的進行綁定。特別是企業有內部的服務器需要供外部用戶訪問時,這個驗證更加的重要。
驗證四:NAT映射是否有最大的限制
在理論上,NAT服務器對于映射沒有限制數量。有些路由器,NAT表還可以控制沒有限制數量的映射。但是,在實際工作中,由于映射會占用路由器的內存、CPU、可用地址或者端口等等,往往需要進行一些必要的限制。
每個NAT映射需要占用大約160字節的內存;當映射數量多的時候,會影響路由器的性能。所以,除非企業有專門的NAT服務器來處理這個映射,否則的話,我們往往會對這個映射進行數量上的限制。以防止其影響路由器的正常運轉,降低其性能。
如果我們需要對這個映射數量進行限制的話,則可以通過“IP NAT TRANSLATION MAX-ENTRIES”來實現。
筆者的建議是,如果在路由器上實現網絡地址轉換功能的話,要對其映射進行必要的限制。若企業財大氣粗,有專門的服務器來承擔網絡地址轉換的角色,則可以考慮不進行轉換。
驗證五:了解NAT的缺陷,企業網絡中沒有不兼容的服務
網絡地址轉換這門技術雖然好,但是人無完人,其也有其權限。具體的來說,網絡地址轉換技術有三方面的不足。網絡管理員在最后對NAT服務器進行配置驗證的時候,需要考慮到這方面的不足。看分析這些缺陷會不會對企業的現有網絡產生不良的影響。
這三個缺陷分別是無法進行端到端的IP跟蹤、在地址轉換過程中可能會產生交換延遲、某些應用無法在實施NAT技術的網絡中運行。主要是后面兩種缺陷對于企業的影響比較大。
如地址交換過程中可能會產生交換的延遲,而其隱射數量越多,這個延遲的影響也就越大。所以對于一些常用的服務器,而且信息傳輸量又比較大,最好能夠控制其公網地址的映射數量,一對一的靜態映射是其首選。另外就是NAT技術的兼容性問題。由于網絡地址在轉換過程中,NAT服務器需要讀取數據包中的信息,所以,若這個數據包在傳輸過程匯總加密了,那么其在NAT服務器中進行加工就會遇到麻煩。所以,若企業要跟外網的服務器進行IP安全策略的話,就會產生問題。兩者并不能夠很好的合作。
俗話說,知己知彼,百戰百勝。所以,網絡管理員還需要了解NAT技術的缺陷,需要確認企業現有的網絡應用,會否應為NAT服務器的部署,而遭到破壞。當然這些缺陷有些也不是說不可以避免,如NAT與IPSEC之間的沖突問題,網絡管理員可以采取其他的方法進行回避。
所以,網絡管理員對NAT服務器最后的驗證,就是需要考慮其兼容性問題。若有不兼容的情況,要及時的采取措施進行規避。
