欢迎来到天天文库
浏览记录
ID:9505846
大小:55.00 KB
页数:7页
时间:2018-05-01
《不留一个死角做好企业nat配置验证工作》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、不留一个死角做好企业NAT配置验证工作~教育资源库 网络地址转换(NAT)的出现,解决了企业网络管理过程中的很多问题。如当企业的网络要连接到公网中,但是,企业没用足够多的公网IP地址;如企业更换了一个ISP服务器商,需要重新组织企业网络;如企业吞并了某个企业,需要对具有相同网络地址的内网进行合并,等等。这些问题都可以通过NAT技术轻松的实现。所以,现在NAT(网络地址转换)是很受企业欢迎的一种技术。 不过,刀最快,其效果好不好,还是要看操刀少。网络地址转换服务器能否在企业中开花结果,也需要看网络
2、管理员的水平。要让网络地址转换服务器在企业中运转起来,除了要做好相关的规划、配置工作以外,对NAT服务器的配置验证也是很重要的一个步骤。在对NAT服务器进行最后验证的时候,要不留一个死角。 验证一:确认列表中该出现的地址没有遗漏,不该出现的地址不要出现 在NAT服务器中,有一张列表,存储着很多关键的信息。其中最重要的就是两类信息,一是企业内部本地地址,也就是转换之前内部主机的IP地址。二是内部全局地址,也就是说转换后合法的公网地址。NAT服务器的功能就是把一些内部主机的IP地址转换为在公网上可以
3、接受的合法地址。如此的话,数据才可以在Inter网上传送。 NAT服务器配置的验证,首先需要注意的问题就是列表中该出现的地址没有遗漏,不该出现的地址不要出现。特别似乎不该出现的地址不要出现。如笔者所在的企业是一家外资企业,一共申请了有三个公网地址。一个现在被用来做FTP服务器的IP地址,另外两个则是被用来做NAT转换时用的IP地址。所以,在内部全局地址中,就有两个IP地址。那个FTP服务器的IP地址就不能够在这里出现。否则的话,就会导致FTP服务器无法正常工作。这就是为何要确认不该出现的地址不要出
4、现的目的。不过现在国内的大部分企业,都只有一个公网地址,所以,这方面的问题可能不怎么会遇到。反而确认列表中该出现的地址内有遗漏,反而使他们的重头戏。 这主要是因为企业内部可能部署有邮箱服务器、文件服务器、FTP服务器、OA服务器、ERP服务器等多个服务器系统。由于企业只有一个合法的公网IP地址,所以,要从外网访问这些服务器的话,企业必须把这个公网的IP地址利用端口复用手段跟这些内部的服务器连接起来。若在内部本地地址列表中,没有这个服务器以及对应的端口信息的话,则企业用户将无法从外网上对这个服务器进
5、行访问。所以,在验证NAT配置的时候,需要确认是否这个列表中的地址没有被遗漏。 验证二:确认被用来静态映射的地址与动态地址池中的地址没有重叠 网络地址交换有很多种方式,如有静态映射、动态分配、端口复用等等。企业可以采用某一种方式,也可以同时集中方式结合使用。如笔者现在的企业,就采用静态映射与端口复用两种技术。一是先在企业内部建立了一个FTP服务器,该服务器配置的是一个内网的IP地址,然后利用NAT技术,把其静态的映射到一个公网的IP地址上去。这主要是为了保护FTP服务器的安全性。因为采用NAT技
6、术,可以把FTP服务器的真实地址隐藏起来。这就是静态映射技术。 二是端口复用技术。把企业的一些其他服务器,利用端口复用技术来实现。这主要是因为其他的服务器,主要供内部使用。外网的访问不多,所以只需要一个公网地址来转换。而FTP服务器的话,主要供外部实用。这就需要在性能与安全方面,有特殊的考虑。故笔者采用了一个独立的公网地址来对应FTP服务器。 对于即有静态映射又有动态分配(从某个方面来说,端口复用也是动态分配技术的一种)的企业来说,网络管理员在验证网络地址转换服务器配置的时候,就需要确认被用来静
7、态映射的地址与动态地址池中的地址是否有重叠。也就是说,你静态映射的那个公网IP地址有没有被用到动态分配的公网IP地址中。这对于NAT服务器来说,是明令禁止的。否则的话,会出现一些莫名其妙的问题。 验证三:NAT服务器指定了正确的转换地址 其实,一些路由器往往自带了网络地址转换功能。如不通过任何的设置,局域网的只拥有私网IP地址的主机都可以访问互联网,接收互联网上的信息。但是,这只是一种最简单的NAT技术。因为这只做到了单方面的NAT技术转换。也就是说,内网的主机可以访问互联网,但是,互连网上的用
8、户往往无法主动访问内网中的主机。 有时候,网络管理员还希望NAT有更强的功能。如现在供应商可以从公司的FTP服务器上下载我们给他们准备的产品设计图纸与说明书。而这个FTP服务器没有独立的公网IP地址,他只具有内网的IP地址。若不经过配置,则外网的用户是无法访问这个只具有内部IP地址的FTP服务器的。 此时,网络管理员就需要进行端口复用技术,为其进行绑定。不过,在利用这个技术之前,有一个前期,就是企业最好需要有固定的IP地址。这也是网络地址转换的前提。可惜地是,笔者
此文档下载收益归作者所有