|
Show ip NAT translation
二是判斷其連通性。也就是說,這個配置是否真的有效。此時網(wǎng)絡管理員可以采用debug ip NAT命令來驗證NAT的配置。使用這個命令后,在輸出結果中會顯示發(fā)送端的IP地址、轉換目的地址、端口信息等內容。
通過這兩個命令,可以基本判斷NAT的配置是否有問題。不過需要注意的是,這只能夠判斷出其配置是否有問題。而對于這個配置是否合理、在性能上是否需要優(yōu)化等等不能夠提供有效的信息。
四、NAT故障的分析與排除
在這一塊內容中筆者又將其分為兩部分。一部份是NAT本身的配置問題,另外一部分是NAT技術以外的問題導致的NAT應用故障。在實際工作中,我們可能更加的關注與后者。因為只要一開始NAT設計與配置合適,那么NAT本身不會出現(xiàn)多大的問題。
對于NAT本身的配置問題,筆者認為網(wǎng)絡管理員只要注意以下五個規(guī)則。只要這個五個規(guī)則沒有問題,那么NAT本身的配置就是OK的。這個五個規(guī)則如下:
一是訪問列表相關。在配置時需要確保訪問列表指定了正確的轉換地址。注意這個非常的重要。因為這個錯誤在后續(xù)排查中比較難發(fā)現(xiàn)。所以在設置時就需要采取相關的控制措施,來確保其能夠被合理的配置。
二是檢查內部和外部的接口是否被正確的定義。其實NAT技術說到底,就是接口與接口之間的對接。如果接口對接時出現(xiàn)錯誤,那么信息流就無法正常流程。此時用戶就會無法正常訪問。這個接口定義中,關鍵的是端口參數(shù)是否有問題。如內部服務器使用的端口是5150端口,而配置時不小心輸入了515端口。此時就會有問題。另外一個需要注意的是,一般某個協(xié)議都會有默認端口,如FTP協(xié)議采用的是20與21端口。但是有時候出于安全考慮,網(wǎng)絡管理員往往會更改這個默認端口。此時就需要額外的檢查這個端口信息是否設置正確。
三是地址池。在檢查這個地址池的時候,網(wǎng)絡管理員主要要關注兩方面的內容。一是動態(tài)地址池采用的IP第四行是否是由正確的地址范圍所構成的。二是需要檢查動態(tài)地址池中的地址是否有重復。只要以上兩條規(guī)則中一條規(guī)則出現(xiàn)問題,那么就有可能出現(xiàn)訪問故障。
四是需要注意不同類型之間是否有沖突。如企業(yè)可能出于某種考慮,要同時啟用動態(tài)端口地址映射和靜態(tài)映射。此時就需要特別注意,被用來靜態(tài)映射的地址與動態(tài)地址池中的地址不能夠有重復。否則的話,就會導致比較嚴重的沖突。
五是需要注意確認列表中該出現(xiàn)的地址沒有遺漏,不該出現(xiàn)大地址沒有被加入。這個原則可以說是對以上四個原則的一個總結。簡單的說,就是要保證相關IP地址的完整性與準確性。少一個不行,多一個更不行。
通常情況下,在NAT配置中只要不違背以上任何一個規(guī)則,那么NAT本身的配置就沒有問題。此時如果用戶還無法正常訪問企業(yè)內部的應用服務器,那么就需要考慮其他的原因。如路由問題等等。 |
【收藏】【打印】【進入論壇】 |
|
|
|
|
|
|
|