cisco路由器上做端口映射

測(cè)試環(huán)境：

cisco路由器內(nèi)網(wǎng)接口f0/1: 192.168.1.1 255.255.255.0

外網(wǎng)接口f0/0: 10.0.0.1 255.255.255.0

服務(wù)器ip：192.168.1.100

首先到路由器上配置：

Router>en #進(jìn)入特權(quán)模式

Router#conf t #進(jìn)入全局配置模式

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 #建立訪問控制列表準(zhǔn)備做nat轉(zhuǎn)換

Router(config)#ip nat inside source list 1 interface f0/0 #建立NAT轉(zhuǎn)換，將192.168.1.0的地址轉(zhuǎn)換為接口f0/0的地址

Router(config)#int f0/1 #進(jìn)入接口模式

Router(config-if)#ip nat inside #設(shè)定f0/1為NAT內(nèi)部接口

Router(config-if)#int f0/0 #進(jìn)入F0/0的接口模式

Router(config-if)#ip nat outside #設(shè)定F0/0為NAT外部接口

Router(config-if)#exit

Router(config)#

此時(shí)已經(jīng)啟用了NAT，內(nèi)網(wǎng)可以上網(wǎng)了。

現(xiàn)在開始端口映射，讓外網(wǎng)訪問內(nèi)網(wǎng)服務(wù)器：

Router(config)#ip nat inside source static tcp 192.168.1.100 5631 10.0.0.1 5631 extendable

Router(config)#ip nat inside source static tcp 192.168.1.100 5632 10.0.0.1 5632 extendable #因?yàn)?0.0.0.1這個(gè)地址已經(jīng)應(yīng)用在f0/0接口上并做了NAT轉(zhuǎn)換的地址，這里必須加上extendable這個(gè)關(guān)鍵字，否則報(bào)錯(cuò)。如果用另外的外網(wǎng)ip比如10.0.0.2，在這里就可以不加extendable。

現(xiàn)在外網(wǎng)的機(jī)器可以訪問內(nèi)網(wǎng)了。

命令show ip nat translations可以查看nat轉(zhuǎn)換情況

show run也可以找到相關(guān)配置

Router(config)#exit #退出全局配置模式，到特權(quán)模式下使用show命令

Router#sho ip nat translations

Pro Inside global Inside local Outside local Outside global

tcp 10.0.0.1:23 192.168.1.100:23 --- ---

tcp 10.0.0.1:23 192.168.1.100:23 10.0.0.2:48268 10.0.0.2:48268

tcp 10.0.0.1:5631 192.168.1.100:5631 --- ---

tcp 10.0.0.1:5632 192.168.1.100:5632 --- ---

附：要?jiǎng)h除哪條命令只要在命令前加 no 即可

補(bǔ)充： 你telnet的是5631端口，而服務(wù)器的telnet端口是23

你要telnet到服務(wù)器的5631端口就必須改服務(wù)器的telnet端口，在注冊(cè)表改，服務(wù)器的防火墻也要打開相應(yīng)端口。

如果你不改服務(wù)器端口也可以將5631的端口映射到服務(wù)器的23端口，命令如下：

Router(config)#ip nat inside source static tcp 192.168.1.100 23 10.0.0.1 5631 extendable

要先刪掉5631到5631的映射，命令如下：

Router(config)#no ip nat inside source static tcp 192.168.1.100 5631 10.0.0.1 5631 extendable

不改服務(wù)器端口就必須將外網(wǎng)ip的5631端口映射到服務(wù)器的23端口。然后你telnet ip 5631 其實(shí)就是telnet服務(wù)器的23端口


維盟路由器如何開啟端口映射？

最近處理了很多端口映射的問題，下面簡(jiǎn)單介紹下維盟路由器一些映射設(shè)置的注意事項(xiàng)：

端口映射的作用就是把內(nèi)網(wǎng)的設(shè)備映射到公網(wǎng)上，用戶通過公網(wǎng)IP地址+端口號(hào)就可以訪問內(nèi)部的設(shè)備。下面舉例來說明。

環(huán)境：某客戶想把內(nèi)網(wǎng)的監(jiān)控系統(tǒng)映射到公網(wǎng)上，方便遠(yuǎn)程控制。

映射端口：TCP協(xié)議的 8000、8001、80

內(nèi)部主機(jī)IP：192.168.1.254

外網(wǎng)IP：123.123.123.123

以TCP::8000和8001端口為例，在維盟路由器里設(shè)置如下圖：

同理的方式添加TCP::80端口號(hào)。所有端口映射好后，外網(wǎng)用戶輸入http://123.123.123.123:80訪問。

如果映射不成功，請(qǐng)按照以下步驟逐步排除故障：

1、檢查路由器上的“端口映射”的規(guī)則是否啟用。此外，需注意：如果同時(shí)啟用了“DMZ”主機(jī)，端口映射將自動(dòng)失效；

2、檢查路由器上的端口映射規(guī)則是否設(shè)置正確，映射的對(duì)外端口有無重復(fù)，協(xié)議類型是否正確（如HTTP映射時(shí)，協(xié)議類型選成UDP）；

3、檢查映射的主機(jī)是否能夠正常上網(wǎng)，并且需映射的端口狀態(tài)為開啟；

4、在局域網(wǎng)內(nèi)通過映射后的外網(wǎng)IP和端口訪問映射主機(jī)，看是否正常；

5、修改對(duì)外端口為其他端口，并重新測(cè)試映射；

6、開啟認(rèn)證管理也會(huì)導(dǎo)致映射不成功，需把映射那臺(tái)設(shè)備的IP設(shè)置認(rèn)證例外！如下圖所示操作：

課程主題：

配合實(shí)驗(yàn)理解路由重分布與路由映射表的應(yīng)用

1.路由重分布應(yīng)用的場(chǎng)景 2.路由重分布操作實(shí)驗(yàn)

3.路由重分布的缺陷

4.路由映射表配置與邏輯關(guān)系

5.重分布與路由映射表結(jié)合配置實(shí)驗(yàn)

-------------------------------------

本文為51CTO原創(chuàng)，您可以點(diǎn)擊左下方的“閱讀原文”查看全文

如果您喜歡這篇文章，請(qǐng)點(diǎn)擊右上角“...”分享給好友哦~

【維盟知道】如何設(shè)置維盟路由器端口映射？

什么是端口映射？

端口映射又稱端口轉(zhuǎn)發(fā)。端口映射過程就如同你家在一個(gè)小區(qū)里A棟1801室，你朋友來找你，到了小區(qū)門口，不知道你住哪層哪號(hào)？就問門口的保安，保安很客氣的告訴了他你家詳細(xì)的門牌號(hào)，這樣你朋友很輕松的找到了你家。這個(gè)過程就是外網(wǎng)訪問內(nèi)網(wǎng)通過端口映射的形象說法。

為什么要做端口映射？

目前的網(wǎng)絡(luò)接入主要有2種：

① ADSL連接貓?jiān)僦苯舆B接主機(jī)，這種情況主機(jī)是直接進(jìn)行ADSL寬帶撥號(hào)，連接上網(wǎng)通過運(yùn)行CMD執(zhí)行ipconfig /all命令可以查看到，PPP撥號(hào)連接所獲取到得是一個(gè)公網(wǎng)IP地址，這種類型的網(wǎng)絡(luò)是不需要做端口映射的（如下圖）

② ADSL通過路由器來進(jìn)行撥號(hào)，主機(jī)通過路由器來進(jìn)行共享上網(wǎng)，這種情況下主機(jī)獲取到得通常會(huì)是一個(gè)192.168.x.x類型的私有（局域網(wǎng)）內(nèi)網(wǎng)IP地址，如下圖：

這類情況下，是需要在路由器做端口映射，轉(zhuǎn)發(fā)端口到對(duì)應(yīng)的服務(wù)器上。

如何配置端口映射？

要進(jìn)行端口映射，首先需要了解清楚服務(wù)程序所需要映射的端口是多少，以下列舉了部分服務(wù)需要映射的默認(rèn)服務(wù)端口號(hào)：

網(wǎng)站 TCP：80

FTP TCP：21(控制端口)

管家婆財(cái)務(wù)軟件 TCP：211 TCP：80 TCP：1433

郵件服務(wù) SMTP： TCP25 POP3： TCP110

MSSQL數(shù)據(jù)庫(kù) TCP：143

好了，介紹到這里，下面我們就具體來講解幾款維盟（WayOS）路由器怎么做端口映射了。

?打開電腦“本地連接”自動(dòng)獲取IP。

打開“瀏覽器”，輸入路由器地址默認(rèn)http://192.168.1.1，進(jìn)入路由器界面。

一、端口管理—端口映射，如下圖。

描述：可根據(jù)映射的端口服務(wù)器做相應(yīng)描述。

協(xié)議：如果確定是TCP協(xié)議就選擇TCP，UDP同理。如果不知道應(yīng)該使用什么協(xié)議。選擇TCP和UDP即可。源地址即為遠(yuǎn)程訪問端的地址，如果無特殊必要就不用填寫，外部端口和內(nèi)部端口。

外部端口：即遠(yuǎn)程訪問的端口。

內(nèi)部端口：即內(nèi)部需要映射出去的端口。一般如果是外部訪問是軟件客戶端的方式，無法自行設(shè)定端口的時(shí)候需要外部端口和內(nèi)部端口一致。

二、通過外部方式訪問，運(yùn)行狀態(tài)---網(wǎng)絡(luò)狀態(tài)。查看廣域網(wǎng)的IP地址。如IP：182.17.145.54。這WEB訪問方式為http://182.17.145.54:9090。

三、檢查映射是否成功。打開外部遠(yuǎn)程電腦cmd。輸入telnet 182.17.145.54 9090。然后回車。這里182.17.145.54是要遠(yuǎn)程路由的廣域網(wǎng)地址。必須為公網(wǎng)地址。硬盤錄像機(jī)遠(yuǎn)程訪問之路由器映射篇

硬盤錄像機(jī)遠(yuǎn)程訪問免不了要映射端口（申請(qǐng)固定IP的土豪們不在此次討論范圍內(nèi)）。端口映射對(duì)新手來說是個(gè)很棘手的事情。先說下什么是端口映射，端口映射又叫端口轉(zhuǎn)發(fā)，又叫虛擬服務(wù)器，各個(gè)品牌路由器不同，叫法不一樣。

端口映射過程就如同：你家在一個(gè)小區(qū)里B棟2410室，你朋友來找你，找到小區(qū)門口，不知道你住哪層哪號(hào)？就問守門的保安，保安很客氣的告訴了他你家詳細(xì)門牌，所以你朋友很輕松的找到了你家。這個(gè)過程就是外網(wǎng)訪問內(nèi)網(wǎng)通過端口映射的形象比喻。

今天小編以TP845N為例，給大家介紹下端口映射是如何具體操作的。

首先，把硬盤錄像機(jī)打開，進(jìn)入網(wǎng)絡(luò)設(shè)置，記住內(nèi)網(wǎng)的IP地址，跟網(wǎng)頁端口，咱們這個(gè)IP地址是192.168.1.111，端口是80（192.168.1.111就相當(dāng)于B棟，80就相當(dāng)于你家的門牌號(hào)2410）

然后打開瀏覽器，輸入你路由器的網(wǎng)關(guān)IP（一般都是192.168.

1.1）

輸入用戶名密碼admin，進(jìn)入配置界面，然后點(diǎn)“轉(zhuǎn)發(fā)規(guī)則”“虛擬服務(wù)器”，進(jìn)入端口映射配置界面

然后點(diǎn)“添加新條目”，在對(duì)話框中，服務(wù)端口填80，IP地址填上你的錄像機(jī)的IP地址，我的錄像機(jī)的IP地址192.168.1.111，然后點(diǎn)保存。

這樣端口映射就好了。然后你試下用外網(wǎng)iP訪問下，是不是能看到錄像了呢？外網(wǎng)IP地址從這里看。訪問的時(shí)候在瀏覽器地址欄里輸入外網(wǎng)IP地址冒號(hào)80(我的就是http://123.160.193.52：80)

【圖解】如何設(shè)置路由器端口映射？

什么是端口映射？

端口映射又稱端口轉(zhuǎn)發(fā)。端口映射過程就如同你家在一個(gè)小區(qū)里A棟1801室，你朋友來找你，到了小區(qū)門口，不知道你住哪層哪號(hào)？就問門口的保安，保安很客氣的告訴了他你家詳細(xì)的門牌號(hào)，這樣你朋友很輕松的找到了你家。這個(gè)過程就是外網(wǎng)訪問內(nèi)網(wǎng)通過端口映射的形象說法。

為什么要做端口映射？

目前的網(wǎng)絡(luò)接入主要有2種：

① ADSL連接貓?jiān)僦苯舆B接主機(jī)，這種情況主機(jī)是直接進(jìn)行ADSL寬帶撥號(hào)，連接上網(wǎng)通過運(yùn)行CMD執(zhí)行ipconfig /all命令可以查看到，PPP撥號(hào)連接所獲取到得是一個(gè)公網(wǎng)IP地址，這種類型的網(wǎng)絡(luò)是不需要做端口映射的（如下圖）

② ADSL通過路由器來進(jìn)行撥號(hào)，主機(jī)通過路由器來進(jìn)行共享上網(wǎng)，這種情況下主機(jī)獲取到得通常會(huì)是一個(gè)192.168.x.x類型的私有（局域網(wǎng)）內(nèi)網(wǎng)IP地址，如下圖：

這類情況下，是需要在路由器做端口映射，轉(zhuǎn)發(fā)端口到對(duì)應(yīng)的服務(wù)器上。

如何配置端口映射？

要進(jìn)行端口映射，首先需要了解清楚服務(wù)程序所需要映射的端口是多少，以下列舉了部分服務(wù)需要映射的默認(rèn)服務(wù)端口號(hào)：

網(wǎng)站 TCP：80

FTP TCP：21(控制端口)

管家婆財(cái)務(wù)軟件 TCP：211 TCP：80 TCP：1433

郵件服務(wù) SMTP： TCP25 POP3： TCP110

MSSQL數(shù)據(jù)庫(kù) TCP：143

好了，介紹到這里，下面我們就具體來講解幾款維盟（WayOS）路由器怎么做端口映射了。

?打開電腦“本地連接”自動(dòng)獲取IP。

打開“瀏覽器”，輸入路由器地址默認(rèn)http://192.168.1.1，進(jìn)入路由器界面。

一、端口管理—端口映射，如下圖。

描述：可根據(jù)映射的端口服務(wù)器做相應(yīng)描述。

協(xié)議：如果確定是TCP協(xié)議就選擇TCP，UDP同理。如果不知道應(yīng)該使用什么協(xié)議。選擇TCP和UDP即可。源地址即為遠(yuǎn)程訪問端的地址，如果無特殊必要就不用填寫，外部端口和內(nèi)部端口。

外部端口：即遠(yuǎn)程訪問的端口。

內(nèi)部端口：即內(nèi)部需要映射出去的端口。一般如果是外部訪問是軟件客戶端的方式，無法自行設(shè)定端口的時(shí)候需要外部端口和內(nèi)部端口一致。

二、通過外部方式訪問，運(yùn)行狀態(tài)---網(wǎng)絡(luò)狀態(tài)。查看廣域網(wǎng)的IP地址。如IP：182.17.145.54。這WEB訪問方式為http://182.17.145.54:9090。

三、檢查映射是否成功。打開外部遠(yuǎn)程電腦cmd。輸入telnet 182.17.145.54 9090。然后回車。這里182.17.145.54是要遠(yuǎn)程路由的廣域網(wǎng)地址。必須為公網(wǎng)地址。
[Labview經(jīng)驗(yàn)]TCP通信設(shè)置路由器映射內(nèi)網(wǎng)端口到外網(wǎng)

TCP通信設(shè)置路由器映射內(nèi)網(wǎng)端口到外網(wǎng)

由于直接使用花生殼映射端口需要支付一元錢。而用路由器映射則不需要。所以又整理了一下通過路由器映射的方法。這個(gè)方法的前提是，你可以登錄路由器。但是呢，登錄花生殼還是必須的。

1.進(jìn)入路由器，點(diǎn)擊動(dòng)態(tài)DNS。輸入花生殼用戶名密碼，然后登錄。

2.在轉(zhuǎn)發(fā)規(guī)則下，虛擬服務(wù)器里設(shè)置端口6431，和對(duì)應(yīng)的PC局域網(wǎng)IP。這個(gè)端口和labview的service里的監(jiān)聽端口要對(duì)應(yīng)起來。

3.DMZ主機(jī)，啟用DMZ狀態(tài)

4.登錄花生殼，點(diǎn)擊域名診斷。

5.進(jìn)行域名診斷。記住這個(gè)IP地址。這里的IP就是路由器的公網(wǎng)IP地址111.226.169.195。

注意，這里和花生殼軟件內(nèi)端口映射功能的IP不一樣，不設(shè)置路由器的時(shí)候，IP地址是有花生殼自動(dòng)提供的。設(shè)置路由器后自己注冊(cè)的花生殼域名就映射到路由器公網(wǎng)IP。

額，其實(shí)大家都知道的。我好啰嗦啊。

6.好了，IP和端口都OK了，下面是labview了。這里用的13版本的例程。

7.打開server

8.修改端口為6431

9.運(yùn)行client可以看到運(yùn)行結(jié)果為當(dāng)前正從客戶端DADI-20150603LB（端口6431）

訪問TCP Named Service - Server.vi。

10.用手機(jī)上的TCP調(diào)試軟件設(shè)置IP和端口

可以看到手機(jī)上接收到

當(dāng)前正從客戶端27.128.61.175（端口6431）訪問TCPNamedService-Server.vi。

這說明，端口映射成功了。

昭星科技

刀俠敬上

2015-7-27

利用路由器NAT實(shí)現(xiàn)端口地址映射

現(xiàn)在企業(yè)內(nèi)部有文件服務(wù)器、OA服務(wù)器、郵件服務(wù)器等等。而企業(yè)還希望這些服務(wù)器能夠被外部網(wǎng)絡(luò)的用戶訪問。如企業(yè)可能在異地有一個(gè)銷售辦事處，或者有些員工經(jīng)常需要出差。為了方便他們的工作，就需要允許這些員工來訪問企業(yè)內(nèi)部的這些應(yīng)用服務(wù)器。但是現(xiàn)實(shí)情況是，大部分企業(yè)可能僅僅擁有一個(gè)到連個(gè)合法的IP地址。而需要讓外部用戶能夠訪問企業(yè)內(nèi)部的應(yīng)用服務(wù)器，首要的一個(gè)條件就是企業(yè)有足夠多數(shù)量的合法IP地址。筆者這里要給大家介紹的是，如何通過路由器自帶NAT功能，來實(shí)現(xiàn)一個(gè)合法IP地址同時(shí)綁定多臺(tái)應(yīng)用服務(wù)器。

一、選擇合適的NAT類型

NAT，又叫做網(wǎng)絡(luò)地址類型轉(zhuǎn)換，其主要有三種類型，分別為靜態(tài)NAT、動(dòng)態(tài)NAT與端口地址映射。這里需要注意，這三種類型之間有很大的差異。網(wǎng)絡(luò)管理員在使用這個(gè)技術(shù)的時(shí)候，必須要了解它們之間的差異，然后結(jié)合企業(yè)的實(shí)際情況，選擇合適的實(shí)現(xiàn)手段。

第一種類型是靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換。其主要的特點(diǎn)是一對(duì)一。也就是說，這種類型的網(wǎng)絡(luò)地址轉(zhuǎn)換是為了在本地和全球地址之間進(jìn)行一對(duì)一的映射而設(shè)計(jì)的。這就要求網(wǎng)絡(luò)中的每一臺(tái)主機(jī)都有用一個(gè)真實(shí)的合法的IP地址。結(jié)合上面這個(gè)案例，如果企業(yè)內(nèi)部三臺(tái)服務(wù)器都需要被外部用戶訪問的話，那么就需要至少三個(gè)IP地址。顯然這種方式并不能夠達(dá)到節(jié)省IP地址的目的。一般來說，靜態(tài)NAT主要的目的是為了隱藏企業(yè)內(nèi)部服務(wù)器的IP地址，以達(dá)到保護(hù)服務(wù)器的目的。

第二種類型是動(dòng)態(tài)NAT。這種類型的網(wǎng)絡(luò)地址轉(zhuǎn)換是將一個(gè)企業(yè)內(nèi)部的IP地址與一個(gè)合法的IP地址進(jìn)行映射。雖然這也是一對(duì)一的關(guān)系，但是與靜態(tài)NAT有很大的差別。前者要求企業(yè)內(nèi)部服務(wù)器也必須有一個(gè)公網(wǎng)IP地址。而動(dòng)態(tài)NAT則沒有這個(gè)要求，即企業(yè)內(nèi)部的服務(wù)器可以采用內(nèi)部地址。不過此時(shí)一個(gè)公網(wǎng)IP地址也只能夠解決一臺(tái)內(nèi)部服務(wù)器的訪問問題。這與我們上面提到的需求還是有一定的差異。

第三種類型是端口地址映射。端口地址映射在動(dòng)態(tài)NAT上又進(jìn)了一步。簡(jiǎn)單的說，其工作模式就是多對(duì)對(duì)一。可以將多個(gè)內(nèi)部IP地址(內(nèi)網(wǎng)地址)對(duì)應(yīng)到一個(gè)公網(wǎng)IP地址。具體的說，就是內(nèi)網(wǎng)地址+端口號(hào)與公網(wǎng)地址進(jìn)行對(duì)應(yīng)。采用這個(gè)端口地址映射，那么企業(yè)網(wǎng)絡(luò)管理員就可以將企業(yè)內(nèi)部的應(yīng)用服務(wù)器(即使其不具有合法的公網(wǎng)地址)放置到外網(wǎng)上，供外網(wǎng)用戶訪問。

可見在實(shí)現(xiàn)NAT網(wǎng)絡(luò)地址轉(zhuǎn)換的過程中，了解這三種不同的工作模式，然后結(jié)合企業(yè)的實(shí)際情況，來選擇合適的實(shí)現(xiàn)方式，這是最關(guān)鍵的內(nèi)容。一般來說，如果企業(yè)有足夠多的公網(wǎng)地址，而只是出于安全考慮，要隱藏內(nèi)部服務(wù)其，則采用靜態(tài)的NAT為好。相反，如果企業(yè)有多臺(tái)服務(wù)器，而合法的IP地址又不夠用。在這種情況下，就需要采用端口地址映射，將多個(gè)內(nèi)部IP地址通過端口這個(gè)參數(shù)對(duì)應(yīng)到公網(wǎng)IP地址。

二、端口NAT的配置

對(duì)于NAT技術(shù)來說，其實(shí)配置是其中最簡(jiǎn)單的一個(gè)環(huán)節(jié)。筆者一般將NAT分為四個(gè)部分，分別是設(shè)計(jì)、配置、驗(yàn)證和排錯(cuò)。其中設(shè)計(jì)的關(guān)鍵就是上面提到的“選擇合適的NAT類型”。而配置就是具體實(shí)現(xiàn)的配置。這里主要用的命令是IP NAT 相關(guān)的命令。其主要的工作就是將內(nèi)部服務(wù)器所采用的地址與端口號(hào)與公網(wǎng)地址進(jìn)行映射。由于配置相對(duì)來說比較簡(jiǎn)單，為此筆者不做過多說明。筆者要將重點(diǎn)放在后續(xù)的驗(yàn)證和排錯(cuò)環(huán)節(jié)上。

三、NAT配置的驗(yàn)證

NAT網(wǎng)絡(luò)地址轉(zhuǎn)換配置好之后，需要對(duì)相關(guān)的配置進(jìn)行驗(yàn)證。而不是等到用戶來反映問題，無法正常訪問時(shí)，你再去驗(yàn)證。在思科網(wǎng)絡(luò)環(huán)境中，要驗(yàn)證NAT配置的有效性，主要用到了兩個(gè)命令。

一是查看相關(guān)的配置信息。在查看消息的時(shí)候，重要是弄清楚方向。即哪些是內(nèi)部主機(jī)，哪些是外部主機(jī)。有時(shí)候可能一組內(nèi)部IP地址會(huì)對(duì)應(yīng)一個(gè)公網(wǎng)IP地址，此時(shí)網(wǎng)絡(luò)管理員就會(huì)看到許多轉(zhuǎn)換是從不同的主機(jī)到相同目的主機(jī)之間的轉(zhuǎn)換。在端口地址轉(zhuǎn)換的模式下，可以根據(jù)IP地址的類型來判斷。一般情況下，企業(yè)內(nèi)部服務(wù)器采用的IP地址都是私網(wǎng)IP地址，如192開頭的。如果要查看具體的配置信息，可以使用下面這個(gè)命令。

Show ip nat translation

二是判斷其連通性。也就是說，這個(gè)配置是否真的有效。此時(shí)網(wǎng)絡(luò)管理員可以采用debug ip nat命令來驗(yàn)證NAT的配置。使用這個(gè)命令后，在輸出結(jié)果中會(huì)顯示發(fā)送端的IP地址、轉(zhuǎn)換目的地址、端口信息等內(nèi)容。

通過這兩個(gè)命令，可以基本判斷NAT的配置是否有問題。不過需要注意的是，這只能夠判斷出其配置是否有問題。而對(duì)于這個(gè)配置是否合理、在性能上是否需要優(yōu)化等等不能夠提供有效的信息。

四、NAT故障的分析與排除

在這一塊內(nèi)容中筆者又將其分為兩部分。一部份是NAT本身的配置問題，另外一部分是NAT技術(shù)以外的問題導(dǎo)致的NAT應(yīng)用故障。在實(shí)際工作中，我們可能更加的關(guān)注與后者。因?yàn)橹灰婚_始NAT設(shè)計(jì)與配置合適，那么NAT本身不會(huì)出現(xiàn)多大的問題。

對(duì)于NAT本身的配置問題，筆者認(rèn)為網(wǎng)絡(luò)管理員只要注意以下五個(gè)規(guī)則。只要這個(gè)五個(gè)規(guī)則沒有問題，那么NAT本身的配置就是OK的。這個(gè)五個(gè)規(guī)則如下：

一是訪問列表相關(guān)。在配置時(shí)需要確保訪問列表指定了正確的轉(zhuǎn)換地址。注意這個(gè)非常的重要。因?yàn)檫@個(gè)錯(cuò)誤在后續(xù)排查中比較難發(fā)現(xiàn)。所以在設(shè)置時(shí)就需要采取相關(guān)的控制措施，來確保其能夠被合理的配置。

二是檢查內(nèi)部和外部的接口是否被正確的定義。其實(shí)NAT技術(shù)說到底，就是接口與接口之間的對(duì)接。如果接口對(duì)接時(shí)出現(xiàn)錯(cuò)誤，那么信息流就無法正常流程。此時(shí)用戶就會(huì)無法正常訪問。這個(gè)接口定義中，關(guān)鍵的是端口參數(shù)是否有問題。如內(nèi)部服務(wù)器使用的端口是5150端口，而配置時(shí)不小心輸入了515端口。此時(shí)就會(huì)有問題。另外一個(gè)需要注意的是，一般某個(gè)協(xié)議都會(huì)有默認(rèn)端口，如FTP協(xié)議采用的是20與21端口。但是有時(shí)候出于安全考慮，網(wǎng)絡(luò)管理員往往會(huì)更改這個(gè)默認(rèn)端口。此時(shí)就需要額外的檢查這個(gè)端口信息是否設(shè)置正確。

三是地址池。在檢查這個(gè)地址池的時(shí)候，網(wǎng)絡(luò)管理員主要要關(guān)注兩方面的內(nèi)容。一是動(dòng)態(tài)地址池采用的IP第四行是否是由正確的地址范圍所構(gòu)成的。二是需要檢查動(dòng)態(tài)地址池中的地址是否有重復(fù)。只要以上兩條規(guī)則中一條規(guī)則出現(xiàn)問題，那么就有可能出現(xiàn)訪問故障。

四是需要注意不同類型之間是否有沖突。如企業(yè)可能出于某種考慮，要同時(shí)啟用動(dòng)態(tài)端口地址映射和靜態(tài)映射。此時(shí)就需要特別注意，被用來靜態(tài)映射的地址與動(dòng)態(tài)地址池中的地址不能夠有重復(fù)。否則的話，就會(huì)導(dǎo)致比較嚴(yán)重的沖突。

五是需要注意確認(rèn)列表中該出現(xiàn)的地址沒有遺漏，不該出現(xiàn)大地址沒有被加入。這個(gè)原則可以說是對(duì)以上四個(gè)原則的一個(gè)總結(jié)。簡(jiǎn)單的說，就是要保證相關(guān)IP地址的完整性與準(zhǔn)確性。少一個(gè)不行，多一個(gè)更不行。