四、NAT故障的分析与排除
在这一块内容中笔者又将其分为两部分。一部份是NAT本身的配置问题,另外一部分是NAT技术以外的问题导致的NAT应用故障。在实际工作中,我们可能更加的关注与后者。因为只要一开始NAT设计与配置合适,那么NAT本身不会出现多大的问题。
对于NAT本身的配置问题,笔者认为网络管理员只要注意以下五个规则。只要这个五个规则没有问题,那么NAT本身的配置就是OK的。这个五个规则如下:
一是访问列表相关。在配置时需要确保访问列表指定了正确的转换地址。注意这个非常的重要。因为这个错误在后续排查中比较难发现。所以在设置时就需要采取相关的控制措施,来确保其能够被合理的配置。
二是检查内部和外部的接口是否被正确的定义。其实NAT技术说到底,就是接口与接口之间的对接。如果接口对接时出现错误,那么信息流就无法正常流程。此时用户就会无法正常访问。这个接口定义中,关键的是端口参数是否有问题。如内部服务器使用的端口是5150端口,而配置时不小心输入了515端口。此时就会有问题。另外一个需要注意的是,一般某个协议都会有默认端口,如FTP协议采用的是20与21端口。但是有时候出于安全考虑,网络管理员往往会更改这个默认端口。此时就需要额外的检查这个端口信息是否设置正确。
三是地址池。在检查这个地址池的时候,网络管理员主要要关注两方面的内容。一是动态地址池采用的IP第四行是否是由正确的地址范围所构成的。二是需要检查动态地址池中的地址是否有重复。只要以上两条规则中一条规则出现问题,那么就有可能出现访问故障。
四是需要注意不同类型之间是否有冲突。如企业可能出于某种考虑,要同时启用动态端口地址映射和静态映射。此时就需要特别注意,被用来静态映射的地址与动态地址池中的地址不能够有重复。否则的话,就会导致比较严重的冲突。
五是需要注意确认列表中该出现的地址没有遗漏,不该出现大地址没有被加入。这个原则可以说是对以上四个原则的一个总结。简单的说,就是要保证相关IP地址的完整性与准确性。少一个不行,多一个更不行。
通常情况下,在NAT配置中只要不违背以上任何一个规则,那么NAT本身的配置就没有问题。此时如果用户还无法正常访问企业内部的应用服务器,那么就需要考虑其他的原因。如路由问题等等。
