網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的出現(xiàn)，解決了企業(yè)網(wǎng)絡(luò)管理過(guò)程中的很多問(wèn)題。如當(dāng)企業(yè)的網(wǎng)絡(luò)要連接到公網(wǎng)中，但是，企業(yè)沒(méi)用足夠多的公網(wǎng)IP地址;如企業(yè)更換了一個(gè)ISP服務(wù)器商，需要重新組織企業(yè)網(wǎng)絡(luò);如企業(yè)吞并了某個(gè)企業(yè)，需要對(duì)具有相同網(wǎng)絡(luò)地址的內(nèi)網(wǎng)進(jìn)行合并，等等。這些問(wèn)題都可以通過(guò)NAT技術(shù)輕松的實(shí)現(xiàn)。所以，現(xiàn)在NAT( 網(wǎng)絡(luò)地址轉(zhuǎn)換)是很受企業(yè)歡迎的一種技術(shù)。
    不過(guò)，刀最快，其效果好不好，還是要看操刀少。網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)器能否在企業(yè)中開(kāi)花結(jié)果，也需要看網(wǎng)絡(luò)管理員的水平。要讓網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)器在企業(yè)中運(yùn)轉(zhuǎn)起來(lái)，除了要做好相關(guān)的規(guī)劃、配置工作以外，對(duì)NAT服務(wù)器的配置驗(yàn)證也是很重要的一個(gè)步驟。在對(duì)NAT服務(wù)器進(jìn)行最后驗(yàn)證的時(shí)候，要不留一個(gè)死角。
    驗(yàn)證一：確認(rèn)列表中該出現(xiàn)的地址沒(méi)有遺漏，不該出現(xiàn)的地址不要出現(xiàn)
    在NAT服務(wù)器中，有一張列表，存儲(chǔ)著很多關(guān)鍵的信息。其中最重要的就是兩類(lèi)信息，一是企業(yè)內(nèi)部本地地址，也就是轉(zhuǎn)換之前內(nèi)部主機(jī)的IP地址。二是內(nèi)部全局地址，也就是說(shuō)轉(zhuǎn)換后合法的公網(wǎng)地址。NAT服務(wù)器的功能就是把一些內(nèi)部主機(jī)的IP地址轉(zhuǎn)換為在公網(wǎng)上可以接受的合法地址。如此的話，數(shù)據(jù)才可以在Internet網(wǎng)上傳送。
    NAT服務(wù)器配置的驗(yàn)證，首先需要注意的問(wèn)題就是“列表中該出現(xiàn)的地址沒(méi)有遺漏，不該出現(xiàn)的地址不要出現(xiàn)”。特別似乎“不該出現(xiàn)的地址不要出現(xiàn)”。企業(yè)是一家外資企業(yè)，一共申請(qǐng)了有三個(gè)公網(wǎng)地址。一個(gè)現(xiàn)在被用來(lái)做FTP服務(wù)器的IP地址，另外兩個(gè)則是被用來(lái)做NAT轉(zhuǎn)換時(shí)用的IP地址。所以，在內(nèi)部全局地址中，就有兩個(gè)IP地址。那個(gè)FTP服務(wù)器的IP地址就不能夠在這里出現(xiàn)。否則的話，就會(huì)導(dǎo)致FTP服務(wù)器無(wú)法正常工作。這就是為何要確認(rèn)“不該出現(xiàn)的地址不要出現(xiàn)”的目的。不過(guò)現(xiàn)在國(guó)內(nèi)的大部分企業(yè)，都只有一個(gè)公網(wǎng)地址，所以，這方面的問(wèn)題可能不怎么會(huì)遇到。反而“確認(rèn)列表中該出現(xiàn)的地址內(nèi)有遺漏”，反而使他們的重頭戲。
    這主要是因?yàn)槠髽I(yè)內(nèi)部可能部署有郵箱服務(wù)器、文件服務(wù)器、FTP服務(wù)器、OA服務(wù)器、ERP服務(wù)器等多個(gè)服務(wù)器系統(tǒng)。由于企業(yè)只有一個(gè)合法的公網(wǎng)IP地址，所以，要從外網(wǎng)訪問(wèn)這些服務(wù)器的話，企業(yè)必須把這個(gè)公網(wǎng)的IP地址利用端口復(fù)用手段跟這些內(nèi)部的服務(wù)器連接起來(lái)。若在內(nèi)部本地地址列表中，沒(méi)有這個(gè)服務(wù)器以及對(duì)應(yīng)的端口信息的話，則企業(yè)用戶將無(wú)法從外網(wǎng)上對(duì)這個(gè)服務(wù)器進(jìn)行訪問(wèn)。所以，在驗(yàn)證NAT配置的時(shí)候，需要確認(rèn)是否這個(gè)列表中的地址沒(méi)有被遺漏?！　?BR>    驗(yàn)證二：確認(rèn)被用來(lái)靜態(tài)映射的地址與動(dòng)態(tài)地址池中的地址沒(méi)有重疊
    網(wǎng)絡(luò)地址交換有很多種方式，如有靜態(tài)映射、動(dòng)態(tài)分配、端口復(fù)用等等。企業(yè)可以采用某一種方式，也可以同時(shí)集中方式結(jié)合使用。采用靜態(tài)映射與端口復(fù)用兩種技術(shù)。一是先在企業(yè)內(nèi)部建立了一個(gè)FTP服務(wù)器，該服務(wù)器配置的是一個(gè)內(nèi)網(wǎng)的IP地址，然后利用NAT技術(shù)，把其靜態(tài)的映射到一個(gè)公網(wǎng)的IP地址上去。這主要是為了保護(hù)FTP服務(wù)器的安全性。因?yàn)椴捎肗AT技術(shù)，可以把FTP服務(wù)器的真實(shí)地址隱藏起來(lái)。這就是靜態(tài)映射技術(shù)。
    二是端口復(fù)用技術(shù)。把企業(yè)的一些其他服務(wù)器，利用端口復(fù)用技術(shù)來(lái)實(shí)現(xiàn)。這主要是因?yàn)槠渌姆?wù)器，主要供內(nèi)部使用。外網(wǎng)的訪問(wèn)不多，所以只需要一個(gè)公網(wǎng)地址來(lái)轉(zhuǎn)換。而FTP服務(wù)器的話，主要供外部實(shí)用。這就需要在性能與安全方面，有特殊的考慮。故采用了一個(gè)獨(dú)立的公網(wǎng)地址來(lái)對(duì)應(yīng)FTP服務(wù)器。
    對(duì)于即有靜態(tài)映射又有動(dòng)態(tài)分配(從某個(gè)方面來(lái)說(shuō)，端口復(fù)用也是動(dòng)態(tài)分配技術(shù)的一種)的企業(yè)來(lái)說(shuō)，網(wǎng)絡(luò)管理員在驗(yàn)證網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)器配置的時(shí)候，就需要確認(rèn)被用來(lái)靜態(tài)映射的地址與動(dòng)態(tài)地址池中的地址是否有重疊。也就是說(shuō)，你靜態(tài)映射的那個(gè)公網(wǎng)IP地址有沒(méi)有被用到動(dòng)態(tài)分配的公網(wǎng)IP地址中。這對(duì)于NAT服務(wù)器來(lái)說(shuō)，是明令禁止的。否則的話，會(huì)出現(xiàn)一些莫名其妙的問(wèn)題。
    驗(yàn)證三：NAT服務(wù)器指定了正確的轉(zhuǎn)換地址
    其實(shí)，一些路由器往往自帶了網(wǎng)絡(luò)地址轉(zhuǎn)換功能。如不通過(guò)任何的設(shè)置，局域網(wǎng)的只擁有私網(wǎng)IP地址的主機(jī)都可以訪問(wèn)互聯(lián)網(wǎng)，接收互聯(lián)網(wǎng)上的信息。但是，這只是一種最簡(jiǎn)單的NAT技術(shù)。因?yàn)檫@只做到了單方面的NAT技術(shù)轉(zhuǎn)換。也就是說(shuō)，內(nèi)網(wǎng)的主機(jī)可以訪問(wèn)互聯(lián)網(wǎng)，但是，互連網(wǎng)上的用戶往往無(wú)法主動(dòng)訪問(wèn)內(nèi)網(wǎng)中的主機(jī)。
    有時(shí)候，網(wǎng)絡(luò)管理員還希望NAT有更強(qiáng)的功能。如現(xiàn)在供應(yīng)商可以從公司的FTP服務(wù)器上下載我們給他們準(zhǔn)備的產(chǎn)品設(shè)計(jì)圖紙與說(shuō)明書(shū)。而這個(gè)FTP服務(wù)器沒(méi)有獨(dú)立的公網(wǎng)IP地址，他只具有內(nèi)網(wǎng)的IP地址。若不經(jīng)過(guò)配置，則外網(wǎng)的用戶是無(wú)法訪問(wèn)這個(gè)只具有內(nèi)部IP地址的FTP服務(wù)器的。
    此時(shí)，網(wǎng)絡(luò)管理員就需要進(jìn)行端口復(fù)用技術(shù)，為其進(jìn)行綁定。不過(guò)，在利用這個(gè)技術(shù)之前，有一個(gè)前期，就是企業(yè)需要有固定的IP地址。這也是網(wǎng)絡(luò)地址轉(zhuǎn)換的前提?？上У厥?，考試#大發(fā)現(xiàn)，不少的企業(yè)在申請(qǐng)寬帶的時(shí)候，可能怕多付錢(qián)吧，都是以個(gè)人名義去申請(qǐng)的。而重要的是，他們的IP地址雖然是公網(wǎng)IP地址，但是都是變動(dòng)的，不是固定的IP地址。簡(jiǎn)單的說(shuō)，就是企業(yè)那個(gè)合法的公網(wǎng)IP地址時(shí)刻在變化的。此時(shí)，即使FTP服務(wù)器成功的進(jìn)行了網(wǎng)絡(luò)地址轉(zhuǎn)換，外網(wǎng)用戶仍然需要根據(jù)企業(yè)那個(gè)IP公網(wǎng)地址不同而調(diào)整訪問(wèn)的方式。重要的是，網(wǎng)絡(luò)管理員也需要不斷的變更這個(gè)NAT的相關(guān)配置。這就顯得非常的麻煩。
    故網(wǎng)絡(luò)管理員需要驗(yàn)證NAT服務(wù)器是否制定了正
    驗(yàn)證四：NAT映射是否有的限制
    在理論上，NAT服務(wù)器對(duì)于映射沒(méi)有限制數(shù)量。有些路由器，NAT表還可以控制沒(méi)有限制數(shù)量的映射。但是，在實(shí)際工作中，由于映射會(huì)占用路由器的內(nèi)存、CPU、可用地址或者端口等等，往往需要進(jìn)行一些必要的限制。
    每個(gè)NAT映射需要占用大約160字節(jié)的內(nèi)存;當(dāng)映射數(shù)量多的時(shí)候，會(huì)影響路由器的性能。所以，除非企業(yè)有專(zhuān)門(mén)的NAT服務(wù)器來(lái)處理這個(gè)映射，否則的話，我們往往會(huì)對(duì)這個(gè)映射進(jìn)行數(shù)量上的限制。以防止其影響路由器的正常運(yùn)轉(zhuǎn)，降低其性能。
    如果我們需要對(duì)這個(gè)映射數(shù)量進(jìn)行限制的話，則可以通過(guò)“IP NAT TRANSLATION MAX-ENTRIES”來(lái)實(shí)現(xiàn)。
    考試#大的建議是，如果在路由器上實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換功能的話，要對(duì)其映射進(jìn)行必要的限制。
    驗(yàn)證五：了解NAT的缺陷，企業(yè)網(wǎng)絡(luò)中沒(méi)有不兼容的服務(wù)
    網(wǎng)絡(luò)地址轉(zhuǎn)換這門(mén)技術(shù)雖然好，但是人無(wú)完人，其也有其權(quán)限。具體的來(lái)說(shuō)，網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)有三方面的不足。網(wǎng)絡(luò)管理員在最后對(duì)NAT服務(wù)器進(jìn)行配置驗(yàn)證的時(shí)候，需要考慮到這方面的不足?？捶治鲞@些缺陷會(huì)不會(huì)對(duì)企業(yè)的現(xiàn)有網(wǎng)絡(luò)產(chǎn)生不良的影響。
    這三個(gè)缺陷分別是無(wú)法進(jìn)行端到端的IP跟蹤、在地址轉(zhuǎn)換過(guò)程中可能會(huì)產(chǎn)生交換延遲、某些應(yīng)用無(wú)法在實(shí)施NAT技術(shù)的網(wǎng)絡(luò)中運(yùn)行。主要是后面兩種缺陷對(duì)于企業(yè)的影響比較大。
    如地址交換過(guò)程中可能會(huì)產(chǎn)生交換的延遲，而其隱射數(shù)量越多，這個(gè)延遲的影響也就越大。所以對(duì)于一些常用的服務(wù)器，而且信息傳輸量又比較大，能夠控制其公網(wǎng)地址的映射數(shù)量，一對(duì)一的靜態(tài)映射是其首選。另外就是NAT技術(shù)的兼容性問(wèn)題。由于網(wǎng)絡(luò)地址在轉(zhuǎn)換過(guò)程中，NAT服務(wù)器需要讀取數(shù)據(jù)包中的信息，所以，若這個(gè)數(shù)據(jù)包在傳輸過(guò)程匯總加密了，那么其在NAT服務(wù)器中進(jìn)行加工就會(huì)遇到麻煩。所以，若企業(yè)要跟外網(wǎng)的服務(wù)器進(jìn)行IP安全策略的話，就會(huì)產(chǎn)生問(wèn)題。兩者并不能夠很好的合作。
    俗話說(shuō)，知己知彼，百戰(zhàn)百勝。所以，網(wǎng)絡(luò)管理員還需要了解NAT技術(shù)的缺陷，需要確認(rèn)企業(yè)現(xiàn)有的網(wǎng)絡(luò)應(yīng)用，會(huì)否應(yīng)為NAT服務(wù)器的部署，而遭到破壞。當(dāng)然這些缺陷有些也不是說(shuō)不可以避免，如NAT與IPSEC之間的沖突問(wèn)題，網(wǎng)絡(luò)管理員可以采取其他的方法進(jìn)行回避。
    所以，網(wǎng)絡(luò)管理員對(duì)NAT服務(wù)器最后的驗(yàn)證，就是需要考慮其兼容性問(wèn)題。若有不兼容的情況，要及時(shí)的采取措施進(jìn)行規(guī)避。