假设现在企业🦃内部有👿文件服🧦务器【wù qì】🖤、OA服务器【wù qì】🤠、邮件服👭务器【wù qì】等【děng】💞等【děng】😳。而企业还希望【hái xī wàng】这些服【zhè xiē fú】务器【wù qì】🤠能够被外🚢部网络【bù wǎng luò】的用户【de yòng hù】访问。如企业可能在【kě néng zài】异地有一个销售办事【shòu bàn shì】💼处【chù】，或者有些员工【xiē yuán gōng】经常需要出差。为了方便他们的工作【de gōng zuò】，就需要允许这些员工【xiē yuán gōng】来访问【lái fǎng wèn】企业内😀部的这些应用【xiē yīng yòng】服务器【wù qì】🤠。但是现🌔实情况💏是，大部分🍫企业可能仅仅🔛拥有一个到连😆个合法【hé fǎ】😹的IP地址【dì zhǐ】。而需要🚕让外部用户能【yòng hù néng】😌够访问企业内😀部的应【bù de yīng】用服务【yòng fú wù】器【qì】🤠，首要的😝一个条件就是【jiàn jiù shì】🏧企业有【qǐ yè yǒu】足够多🤩数量的😞合法【hé fǎ】😹IP地址【dì zhǐ】。笔者这💺里要给【lǐ yào gěi】大家介绍的是，如何通过路由【guò lù yóu】器【qì】自带NAT功能，来实现【lái shí xiàn】一个合【yī gè hé】法😹IP地址【dì zhǐ】同🈲时绑定多台应用服务【yòng fú wù】器【qì】🤠。

　　一、选择合适的NAT类型

　　NAT，又叫做【yòu jiào zuò】🦉网络地【wǎng luò dì】🏇址类型【zhǐ lèi xíng】转换，其主要【qí zhǔ yào】🈶有三种类型，分别为静态🍗NAT、动态NAT与端口地址映【dì zhǐ yìng】射🐋。这里需要注意，这三种类型之间有很大的差【dà de chà】异【yì】❇。网络管【wǎng luò guǎn】🌄理员在使用这个技术【gè jì shù】的时候【de shí hòu】，必须要了解它们之间🔂的差异【de chà yì】❇，然后结合企业的实际🍺情况📠，选择合适的实现手段。

　　第一种类型是静态网络地址【luò dì zhǐ】⬜转换。其主要的📝特点是一对一【yī duì yī】。也就是说，这种类🍖型的网络地址【luò dì zhǐ】⬜转换是为了在⬆本地和全球地址【dì zhǐ】😒之间进【zhī jiān jìn】行一对一【yī duì yī】的😗映射而🤤设计的【shè jì de】👲。这就要求网络【qiú wǎng luò】中的每一台主机都有用一个真实的合法的IP地址【dì zhǐ】😒。结合上面这个案例🌄，如果企业内部👝三台服🏡务器都✈需要被外部用户访问🍻的话【de huà】，那么就【nà me jiù】需要至【xū yào zhì】🧜少三个【shǎo sān gè】🔰IP地址【dì zhǐ】😒。显然这【xiǎn rán zhè】🐻种方式🥅并不能【bìng bú néng】够达到🌴节省【jiē shěng】IP地址【dì zhǐ】😒的目的🤓。一般来【yī bān lái】说，静态NAT主要的📝目的是【mù de shì】🤯为了隐【wéi le yǐn】藏企业【cáng qǐ yè】内部👝服务器【fú wù qì】的IP地址【dì zhǐ】😒，以达到保护服【bǎo hù fú】⤵务器的【wù qì de】目的🤓。

　　第二种类型是动态【dòng tài】NAT。这种类💍型的网络地址【dì zhǐ】🤽转换是【zhuǎn huàn shì】将一个【jiāng yī gè】企业内部的【bù de】🦀IP地址【dì zhǐ】与🍻一个合法的【fǎ de】IP地址【dì zhǐ】📞进行映射。虽然这➕也是一对一的【duì yī de】关系，但是与静态NAT有很大【yǒu hěn dà】的差别➿。前者要求企业👯内部服务器【fú wù qì】⏰也必须【yě bì xū】有一个公网IP地址【dì zhǐ】📞。而动态【ér dòng tài】NAT则没有这个要【zhè gè yào】🦔求，即企业【jí qǐ yè】内部的【bù de】🦀服务器【fú wù qì】⏰可以采【kě yǐ cǎi】用内部🚻地址【dì zhǐ】📞。不过此时一个🌾公网IP地址【dì zhǐ】📞也只能够🍾解决一台内部服务器【fú wù qì】⏰的访问问题【wèn tí】。这与我们上面🛺提到的【tí dào de】需求还🏿是有一【shì yǒu yī】定的差【dìng de chà】异👒。

　　第三种【dì sān zhǒng】类型是【lèi xíng shì】端口地址【dì zhǐ】🚏映射【yìng shè】。端口地址【dì zhǐ】🚏映射【yìng shè】在动态🚳NAT上又进了一步【le yī bù】🌭。简单的说【shuō】⏭，其工作模式就【mó shì jiù】🍡是多对对一。可以将多个内【duō gè nèi】📝部👌IP地址【dì zhǐ】🚏(内网地址【dì zhǐ】📞)对应到一个公【yī gè gōng】网🌕IP地址【dì zhǐ】🚏。具体的【jù tǐ de】😢说【shuō】⏭，就是内网地址【dì zhǐ】📞+端口号【duān kǒu hào】🐪与公网🏥地址【dì zhǐ】🚏进行对应。采用这【cǎi yòng zhè】个端口【gè duān kǒu】🦀地址【dì zhǐ】🚏映射【yìng shè】，那么企业网🌕络管理员🐂就可以【jiù kě yǐ】将企业内部👌的应用服务器🈺(即使其不具有合法的公网地【gōng wǎng dì】🎣址【zhǐ】🚏)放置到外网上🍴，供外网🌕用户访【yòng hù fǎng】问【wèn】。

　　可见在实现NAT网络地【wǎng luò dì】🥠址转换【zhǐ zhuǎn huàn】🎢的【de】过程🚛中，了解这【le jiě zhè】三种不💟同的【de】工作模式，然后结合企业的实际【de shí jì】🥒情况，来选择合适的【hé shì de】实现方【shí xiàn fāng】式，这是最关键的【guān jiàn de】内容。一般来【yī bān lái】说【shuō】，如果企【rú guǒ qǐ】🚞业有足够多的【de】公网地【gōng wǎng dì】🔭址，而只是🔊出于安🦃全考虑，要隐藏👗内部服务其【wù qí】，则采用静态的【jìng tài de】NAT为好。相反🔈，如果企【rú guǒ qǐ】🚞业有多【yè yǒu duō】🌌台服务器，而合法【ér hé fǎ】🦔的【de】IP地址【dì zhǐ】🔉又不够用。在这种情况下📲，就需要🏊采用端口地址【dì zhǐ】🔉映射，将多个【jiāng duō gè】内部IP地址【dì zhǐ】🔉通过端口这个参🔮数对应【shù duì yīng】到公网IP地址【dì zhǐ】🔉。

　　二、端口NAT的配置

　　对于👚NAT技术来💅说【shuō】，其实配置是其中最简【zhōng zuì jiǎn】单的一个环节【gè huán jiē】。笔者一【bǐ zhě yī】般将【bān jiāng】💲NAT分为四🗾个部分【gè bù fèn】，分别是设计、配置、验证和排【zhèng hé pái】错。其中设计的关键就是上面提【shàng miàn tí】到的“选择合适的💯NAT类型”。而配置👂就是具体实现的配置。这里主要用的【yào yòng de】命令【mìng lìng】是IP NAT 相关的🗃命令【mìng lìng】。其主要🎖的工作就是将【jiù shì jiāng】内部服【nèi bù fú】🥄务器所【wù qì suǒ】采用的【cǎi yòng de】➰地址与端口号与公网【yǔ gōng wǎng】地址进💼行映射。由于配置相对🏸来说比【lái shuō bǐ】较简单💋，为此笔🕰者不做🔣过多说【shuō】✡明💛。笔者要将重点【jiāng chóng diǎn】放在后🍵续的验证和排【zhèng hé pái】错环节【cuò huán jiē】上。

　　三、NAT配置的验证

　　NAT网络地址转换【zhǐ zhuǎn huàn】配置好之后👣，需要对相关的👟配置进【pèi zhì jìn】行验证【háng yàn zhèng】。而不是🐈等到用户来反映问题【yìng wèn tí】，无法正常访问时，你再去验证【yàn zhèng】。在思科🚤网络环【wǎng luò huán】境中🐃，要验证【yào yàn zhèng】NAT配置的有效性，主要用🥅到了两🚄个命令【gè mìng lìng】😤。

　　一是查看相关的配置信息🦏。在查看消息的【xiāo xī de】时候，重要是📞弄清楚😔方向【fāng xiàng】。即哪些是内部🌴主机【zhǔ jī】🥞，哪些是外部主机【zhǔ jī】🥞。有时候【yǒu shí hòu】可能一组内部IP地址会【dì zhǐ huì】对应一个公网IP地址【dì zhǐ】，此时网【cǐ shí wǎng】络管理🧡员就会看到许【kàn dào xǔ】多转换【duō zhuǎn huàn】是从不同的主【tóng de zhǔ】⚾机到相🕚同目的🔔主机【zhǔ jī】🥞之间的【zhī jiān de】转换。在端口地址【dì zhǐ】转🚱换的模【huàn de mó】式下🎵，可以根据IP地址【dì zhǐ】的🦊类型来【lèi xíng lái】判断【pàn duàn】。一般情【yī bān qíng】🚽况下🍉，企业内🐉部服务【bù fú wù】器采用的IP地址【dì zhǐ】都是私网🖋IP地址【dì zhǐ】，如192开头的🆑。如果要【rú guǒ yào】查看具🌭体的配置信息🦏，可以使【kě yǐ shǐ】用下面🌤这个命令【lìng】。

　　Show ip nat translation

　　二是判🆒断其连【duàn qí lián】🤩通性。也就是【yě jiù shì】说，这个配🍖置是否【zhì shì fǒu】真的有效【xiào】🗄。此时网【cǐ shí wǎng】💘络管理🗑员可以采用debug ip nat命令来验证NAT的配置【de pèi zhì】。使用这个命令【gè mìng lìng】后，在输出【zài shū chū】🎁结果中🛎会显示📆发送端的IP地址、转换目【zhuǎn huàn mù】的地址、端口信息等内容。

　　通过这两个命令【lìng】，可以基【kě yǐ jī】本判断🕺NAT的配置【de pèi zhì】是否🐊有问题【yǒu wèn tí】🌮。不过需要注意【yào zhù yì】的是🌊，这只能🕠够判断出其配置是否【zhì shì fǒu】🐊有问题【yǒu wèn tí】🌮。而对于这个配【zhè gè pèi】置是否【zhì shì fǒu】🐊合理、在性能上是否需要优🏬化等等⬆不能够【bú néng gòu】提供有🚺效的信【xiào de xìn】息。

　　四、NAT故障的分析与排除

　　在这一🎄块内容👌中笔者【zhōng bǐ zhě】又将其🕌分为两【fèn wéi liǎng】部分【bù fèn】。一部份✴是NAT本身的配置问【pèi zhì wèn】题🐝，另外一【lìng wài yī】部分【bù fèn】是NAT技术以外的问题🐝导致的【dǎo zhì de】NAT应用故障💍。在实际工作中【gōng zuò zhōng】，我们可【wǒ men kě】👵能更加的关注与后者🤘。因为只要一开【yào yī kāi】始NAT设计与配置合😹适【shì】，那么NAT本身不【běn shēn bú】会出现多大的🖥问题🐝。

　　对于NAT本身的【běn shēn de】💸配置问【pèi zhì wèn】🚌题【tí】，笔者认【bǐ zhě rèn】为网络【wéi wǎng luò】管理员【guǎn lǐ yuán】只要注意以下五个规㊗则🕧。只要这个五个【gè wǔ gè】🥈规则【guī zé】🕧没有问题【tí】，那么NAT本身的【běn shēn de】💸配置就是OK的。这个五个【gè wǔ gè】🥈规则【guī zé】🕧如下🙎：

　　一是访✴问列表【wèn liè biǎo】相关。在配置【zài pèi zhì】时需要确保访【què bǎo fǎng】🎐问列表【wèn liè biǎo】指定了【zhǐ dìng le】正确的【zhèng què de】转换地址。注意这【zhù yì zhè】个非常的重要。因为这🕧个错误在后续🐇排查中🐪比较难🏜发现【fā xiàn】。所以在设置时就需要【jiù xū yào】采取相关的控制措施【zhì cuò shī】，来确保💭其能够被合理🙋的配置🏭。

　　二是检📯查内部和外部的接口【kǒu】🐰是否被【shì fǒu bèi】正确的🥈定义【dìng yì】。其实【qí shí】NAT技术说【jì shù shuō】🥗到底，就是接👦口【kǒu】📒与接口【kǒu】📒之间的【zhī jiān de】对接💩。如果接口【kǒu】📒对接时出现错误【wù】，那么信☝息流就🎬无法正【wú fǎ zhèng】常流程。此时用户就会无法正【wú fǎ zhèng】常访问【cháng fǎng wèn】。这个接【zhè gè jiē】🌺口【kǒu】定义【dìng yì】🈵中【zhōng】，关键的【guān jiàn de】是端口【shì duān kǒu】📒参数是🚰否有问题【tí】🎞。如内部【rú nèi bù】🛤服务器【fú wù qì】使用的【shǐ yòng de】🧜端口【duān kǒu】是⬆5150端口【duān kǒu】📒，而配置时不小心输入【xīn shū rù】了515端口【duān kǒu】📒。此时就🤞会有问题【tí】🎞。另外一🌆个需要注意的是，一般某个协议【gè xié yì】都会有💽默认端口【duān kǒu】📒，如FTP协议采用的是【yòng de shì】20与21端口【duān kǒu】📒。但是有时候出【shí hòu chū】于安全💃考虑✡，网络管理员往往会更❕改这个【gǎi zhè gè】默认端口【duān kǒu】📒。此时就🤞需要额外的检🏢查这个端口信【duān kǒu xìn】🥣息是否设置正确。

　　三是地址池。在检查这个地址池的时候，网络管理员主【lǐ yuán zhǔ】要要关【yào yào guān】注两方🥩面的内🍖容【róng】。一是动⌚态地址【tài dì zhǐ】🕣池采用的IP第四行是否是【shì fǒu shì】由正确【yóu zhèng què】💶的地址【de dì zhǐ】范围所🎰构成的🎰。二是需要检查动态地⚾址池中的地址【de dì zhǐ】是否有重复【chóng fù】🗝。只要以【zhī yào yǐ】上两条规则中【guī zé zhōng】一条规🛃则出现【zé chū xiàn】问题，那么就【nà me jiù】有可能🕜出现访👲问故障。

　　四是需要注意🕟不同类💓型之间【xíng zhī jiān】是否有冲突【chōng tū】⭐。如企业🥨可能出于某种【yú mǒu zhǒng】考虑【kǎo lǜ】，要同时启用动【qǐ yòng dòng】👬态端口【tài duān kǒu】🍳地址映【dì zhǐ yìng】射和静态映射【tài yìng shè】。此时就需要特【xū yào tè】🐋别注意【bié zhù yì】，被用来静态映射【tài yìng shè】的地🐭址与动🏈态地址池中的地址不【dì zhǐ bú】能够有重复🍙。否则的话，就会导🕥致比较严重的冲突【chōng tū】⭐。

　　五是需要注意确认列【què rèn liè】🧡表中该🔔出现的地址没有【zhǐ méi yǒu】🐦遗漏，不该出【bú gāi chū】现大地📫址没有【zhǐ méi yǒu】🐦被加入。这个原则【gè yuán zé】🐏可以说是对【shì duì】🐠以上四【yǐ shàng sì】个原则【gè yuán zé】🐏的一个【de yī gè】总结。简单的说，就是要【jiù shì yào】🤰保证相🌳关IP地址的完整性与准确性。少一个不行【bú háng】，多一个更不行【bú háng】🔂。

　　通常情🥈况下【kuàng xià】，在NAT配置中只要不♟违背以🦓上任何🌡一个规则，那么【nà me】NAT本身的【běn shēn de】配置就没有问【méi yǒu wèn】题【tí】。此时如【cǐ shí rú】果用户【guǒ yòng hù】♓还无法正常访🧥问企业内部的➕应用服【yīng yòng fú】😭务器【wù qì】，那么【nà me】就需要考虑其他的原因。如路由问题【tí】等🍄等🍄。