假設（shè）現在企業內（nèi）部有文件服務器、OA服務器、郵件服務器等等。而企業還（hái）希望這些服務器能夠被外部網絡的用戶訪問。如企業可能（néng）在異地有一個銷（xiāo）售辦事處，或者有些員工經常需要出差。為了方便（biàn）他們的（de）工作，就需要（yào）允許這些員工來（lái）訪問企業內部的這些應用服務器。但（dàn）是現實情況是，大部分企業可能僅僅擁有一個到連個合法的IP地址。而需要讓外部用戶（hù）能（néng）夠訪問企業內部的應用服務器，首要的一個條件（jiàn）就是企業有足夠多數量的合法IP地址。筆者這裏要給大家介紹的是，如何通過路（lù）由器自帶NAT功能，來實現一個合法IP地（dì）址（zhǐ）同時綁定多台（tái）應用服務器。

　　一、選擇合適的NAT類型

　　NAT，又（yòu）叫做網絡地址類型轉換，其主要有三種類型，分別為靜態NAT、動態NAT與（yǔ）端口地址映射。這裏（lǐ）需要注意，這三種類型之間有很大的差異。網（wǎng）絡（luò）管理員在使用這（zhè）個（gè）技術的時候，必須要了解它們之間的差異，然後結合企業的（de）實際情況，選擇合適的實現手段。

　　第一種類（lèi）型是靜態（tài）網絡地址轉換（huàn）。其主要的特點是一對（duì）一。也就是說，這種類型（xíng）的網絡地址轉換是為了在本地和全球地址之間進行一對一的映射而設計的。這就要求（qiú）網絡中的每一台主機都有用一個真實的合法的（de）IP地址。結合上麵這個案例，如果企業內部三台服務器都需（xū）要被外部（bù）用戶訪問的話，那麽就需要至少三個IP地址。顯然這種方式並不能夠達（dá）到節省IP地址的目（mù）的。一般來說，靜態NAT主要的目的是為了隱藏企業內部服務器（qì）的IP地址，以達到保（bǎo）護（hù）服務器的目的。

　　第二種類型是動態NAT。這種類型的網絡地（dì）址轉換是將一個企業內部的IP地址（zhǐ）與（yǔ）一個合（hé）法的IP地址進行映射。雖然這也是（shì）一對一（yī）的關係，但（dàn）是與靜態NAT有很大的差別。前者要求企業內部服務器也必須有一個公網IP地址。而動態NAT則沒有這個要求，即企業內（nèi）部（bù）的服務（wù）器可以采（cǎi）用（yòng）內（nèi）部地址。不過此時一個公網IP地址也（yě）隻能夠解決一台內部服務器（qì）的訪問問（wèn）題。這與（yǔ）我們上麵提到的需求還是有一（yī）定的差異。

　　第三種類（lèi）型是端口地（dì）址映射。端口地址映（yìng）射在動態NAT上又進了一步。簡（jiǎn）單的說，其工作模式（shì）就是多對對一。可以將多個內部IP地址(內網地址)對應到一個公網IP地址。具體的說，就是內網地址+端口號與公網地址進（jìn）行對（duì）應。采用這個端口地址映射，那麽企業網絡管理員就可以將企業內部的（de）應用服務器(即使其不具有合法的公網地址)放置到外網上，供（gòng）外網用戶訪問。

　　可見在實現NAT網絡地址轉換的過程中，了解（jiě）這三種不同的工作模式，然後結合企業的實際情況，來（lái）選擇合適的實現方（fāng）式，這（zhè）是最關鍵的內容（róng）。一般來說，如果（guǒ）企業有足夠多（duō）的公網地址，而隻是出於（yú）安全考慮，要（yào）隱藏內（nèi）部服務其，則采用靜態的NAT為好。相反，如果企業有多台（tái）服（fú）務器（qì），而合法的IP地址又不夠用。在這種情（qíng）況下，就需（xū）要采用端口地址映射，將多（duō）個內部IP地址通過端口這個參數對（duì）應到公網IP地址。

　　二、端口NAT的配置

　　對於NAT技術來說，其實配置是其中（zhōng）最簡單的一個環節（jiē）。筆者一般將NAT分為四個（gè）部分，分別是設計（jì）、配置、驗證和排錯。其中設計的關鍵（jiàn）就是（shì）上麵提（tí）到的（de）“選（xuǎn）擇合適的NAT類型”。而配（pèi）置就是具（jù）體實現的配置。這裏主要用的（de）命令是IP NAT 相關的命（mìng）令。其主要的工作就是將內部服務器所采（cǎi）用的地址與端口號與公網地址進行映射。由於配置相對來說比較簡單，為此（cǐ）筆者（zhě）不做（zuò）過多說明。筆者要將重點放在後續的驗證和排（pái）錯環節（jiē）上。

　　三、NAT配（pèi）置的驗證

　　NAT網絡地址轉換配置（zhì）好之後，需要對相關的配置（zhì）進行驗證。而不是等到（dào）用戶來反映問題，無法正（zhèng）常訪問（wèn）時，你（nǐ）再去驗證。在思科網絡環境中，要驗證NAT配置的有效性，主（zhǔ）要用（yòng）到了兩個命令。

　　一是查看相（xiàng）關的配置信（xìn）息。在查看消息的時候，重要是弄清楚方向。即（jí）哪些是內部主（zhǔ）機，哪些是外部主機（jī）。有時候可能一組內部IP地址會對（duì）應一個公網IP地址，此（cǐ）時網絡管（guǎn）理員就會（huì）看到許多（duō）轉換是從（cóng）不同的主機到（dào）相同目的（de）主機之間的（de）轉換。在端（duān）口地址轉換的模（mó）式下，可以根據IP地址的類型來判斷。一般情況下，企業（yè）內部服務器采用（yòng）的IP地址都（dōu）是私網IP地址，如（rú）192開頭的。如果要查看具體的配置信息，可以（yǐ）使用下麵這個命令。

　　Show ip nat translation

　　二是判斷其（qí）連通性。也就是說，這個配置是否真的有效。此時網絡管理員可以采用debug ip nat命令來驗證NAT的配置。使用這個命令後，在輸出結果中會顯示發送端的IP地址、轉換目的地址、端口信息等內容。

　　通過這兩個命令，可以基本判斷NAT的配置是否有問題。不過需要注意的是，這隻能夠判斷出其配置是否有問題。而對於這個配置是否合理、在性能上是否需要優化等（děng）等不能夠提供（gòng）有效的信息。

　　四、NAT故（gù）障的分析與排除

　　在這一塊內容中筆者又將其分（fèn）為兩部分。一（yī）部份是NAT本身的配置問題（tí），另外一部分是NAT技術以外（wài）的問（wèn）題（tí）導（dǎo）致的NAT應用故障。在實際工（gōng）作中，我們可能更加（jiā）的關注與（yǔ）後（hòu）者。因（yīn）為隻要一開始NAT設計與配置合適，那麽NAT本（běn）身不會出現多大的問題。

　　對於NAT本身（shēn）的配置問題，筆者認為網絡管理員隻要注意以下五（wǔ）個規則。隻要這個五個規則沒有問題，那麽NAT本身的配置就是OK的。這個（gè）五（wǔ）個規（guī）則如下：

　　一是（shì）訪問列表相關。在配置時需要確（què）保（bǎo）訪問（wèn）列表指定了正確的轉換地址。注意這個非常的重要。因為這個錯誤在後續排查中比較難發現。所以在設置時就（jiù）需要采取相關的控製措施，來確保其能（néng）夠被合（hé）理的配置。

　　二（èr）是檢查內部和外部的（de）接口是否被正確（què）的（de）定義。其實NAT技術說到底，就是接口與接口之（zhī）間的對接。如果接口對接時出現錯誤，那麽信息流就無法正常流程。此時用戶就會無法正常訪問。這個接口定義中，關鍵的是端口參數是否有問（wèn）題。如（rú）內部（bù）服務器使用的端（duān）口是5150端口，而配置時不小心輸入了515端（duān）口。此時就會有問題。另外一個需要注意的是，一般某個協議都會有（yǒu）默認端口，如FTP協（xié）議采用的是20與21端口。但是有時候（hòu）出於安全考慮，網絡管理員往往會更改這個默（mò）認端口。此時就（jiù）需（xū）要額外的檢查這個端口信（xìn）息是否設置正確。

　　三是地址（zhǐ）池。在檢查這個地址池的時候，網絡管理員主要要關注兩方麵（miàn）的內容。一是（shì）動（dòng）態地址池采用的IP第四行是否是由正確的（de）地址範圍所構成的。二是（shì）需要檢查動態（tài）地址（zhǐ）池中的地址（zhǐ）是否有重複。隻要以上兩（liǎng）條規則中一（yī）條（tiáo）規則出（chū）現（xiàn）問題，那麽就有可能出現訪問故障。

　　四是需要注意不同類型之間是否有衝突。如企業可能（néng）出於某種考慮，要同時啟用（yòng）動態端口（kǒu）地址映（yìng）射（shè）和靜態映射。此時就需（xū）要特別注意（yì），被用來靜態映射的地址與動態地址池中的地址不（bú）能夠有重複。否則的話，就會導致比較嚴重的衝突。

　　五是需要注意確認列表中該出現的（de）地址沒有遺漏，不（bú）該出現大地（dì）址沒有被（bèi）加入。這個原則（zé）可以說是對以上四個原則的一個（gè）總結。簡單的說，就是要保證相關IP地址的完整性與準確性。少一個不行，多一（yī）個更不行。

　　通常情況（kuàng）下，在NAT配置中隻要不違背以上任何（hé）一（yī）個規則，那麽NAT本身的配（pèi）置就沒有問題。此時如果用戶（hù）還無法（fǎ）正常訪問企業內部的應用服務器，那麽就需要考慮其他的原因。如路由問題等等。