網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的出現(xiàn)，解決了企業(yè)網(wǎng)絡(luò)管理過程中的很多問題。如當企業(yè)的網(wǎng)絡(luò)要連接到公網(wǎng)中，但是，企業(yè)沒用足夠多的公網(wǎng)IP地址;如企業(yè)更換了一個ISP服務(wù)器商，需要重新組織企業(yè)網(wǎng)絡(luò);如企業(yè)吞并了某個企業(yè)，需要對具有相同網(wǎng)絡(luò)地址的內(nèi)網(wǎng)進行合并，等等。這些問題都可以通過NAT技術(shù)輕松的實現(xiàn)。所以，現(xiàn)在NAT( 網(wǎng)絡(luò)地址轉(zhuǎn)換)是很受企業(yè)歡迎的一種技術(shù)。
    不過，刀最快，其效果好不好，還是要看操刀少。網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)器能否在企業(yè)中開花結(jié)果，也需要看網(wǎng)絡(luò)管理員的水平。要讓網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)器在企業(yè)中運轉(zhuǎn)起來，除了要做好相關(guān)的規(guī)劃、配置工作以外，對NAT服務(wù)器的配置驗證也是很重要的一個步驟。在對NAT服務(wù)器進行最后驗證的時候，要不留一個死角。
    驗證一：確認列表中該出現(xiàn)的地址沒有遺漏，不該出現(xiàn)的地址不要出現(xiàn)
    在NAT服務(wù)器中，有一張列表，存儲著很多關(guān)鍵的信息。其中最重要的就是兩類信息，一是企業(yè)內(nèi)部本地地址，也就是轉(zhuǎn)換之前內(nèi)部主機的IP地址。二是內(nèi)部全局地址，也就是說轉(zhuǎn)換后合法的公網(wǎng)地址。NAT服務(wù)器的功能就是把一些內(nèi)部主機的IP地址轉(zhuǎn)換為在公網(wǎng)上可以接受的合法地址。如此的話，數(shù)據(jù)才可以在Internet網(wǎng)上傳送。
    NAT服務(wù)器配置的驗證，首先需要注意的問題就是“列表中該出現(xiàn)的地址沒有遺漏，不該出現(xiàn)的地址不要出現(xiàn)”。特別似乎“不該出現(xiàn)的地址不要出現(xiàn)”。企業(yè)是一家外資企業(yè)，一共申請了有三個公網(wǎng)地址。一個現(xiàn)在被用來做FTP服務(wù)器的IP地址，另外兩個則是被用來做NAT轉(zhuǎn)換時用的IP地址。所以，在內(nèi)部全局地址中，就有兩個IP地址。那個FTP服務(wù)器的IP地址就不能夠在這里出現(xiàn)。否則的話，就會導致FTP服務(wù)器無法正常工作。這就是為何要確認“不該出現(xiàn)的地址不要出現(xiàn)”的目的。不過現(xiàn)在國內(nèi)的大部分企業(yè)，都只有一個公網(wǎng)地址，所以，這方面的問題可能不怎么會遇到。反而“確認列表中該出現(xiàn)的地址內(nèi)有遺漏”，反而使他們的重頭戲。
    這主要是因為企業(yè)內(nèi)部可能部署有郵箱服務(wù)器、文件服務(wù)器、FTP服務(wù)器、OA服務(wù)器、ERP服務(wù)器等多個服務(wù)器系統(tǒng)。由于企業(yè)只有一個合法的公網(wǎng)IP地址，所以，要從外網(wǎng)訪問這些服務(wù)器的話，企業(yè)必須把這個公網(wǎng)的IP地址利用端口復用手段跟這些內(nèi)部的服務(wù)器連接起來。若在內(nèi)部本地地址列表中，沒有這個服務(wù)器以及對應(yīng)的端口信息的話，則企業(yè)用戶將無法從外網(wǎng)上對這個服務(wù)器進行訪問。所以，在驗證NAT配置的時候，需要確認是否這個列表中的地址沒有被遺漏?！　?BR>    驗證二：確認被用來靜態(tài)映射的地址與動態(tài)地址池中的地址沒有重疊
    網(wǎng)絡(luò)地址交換有很多種方式，如有靜態(tài)映射、動態(tài)分配、端口復用等等。企業(yè)可以采用某一種方式，也可以同時集中方式結(jié)合使用。采用靜態(tài)映射與端口復用兩種技術(shù)。一是先在企業(yè)內(nèi)部建立了一個FTP服務(wù)器，該服務(wù)器配置的是一個內(nèi)網(wǎng)的IP地址，然后利用NAT技術(shù)，把其靜態(tài)的映射到一個公網(wǎng)的IP地址上去。這主要是為了保護FTP服務(wù)器的安全性。因為采用NAT技術(shù)，可以把FTP服務(wù)器的真實地址隱藏起來。這就是靜態(tài)映射技術(shù)。
    二是端口復用技術(shù)。把企業(yè)的一些其他服務(wù)器，利用端口復用技術(shù)來實現(xiàn)。這主要是因為其他的服務(wù)器，主要供內(nèi)部使用。外網(wǎng)的訪問不多，所以只需要一個公網(wǎng)地址來轉(zhuǎn)換。而FTP服務(wù)器的話，主要供外部實用。這就需要在性能與安全方面，有特殊的考慮。故采用了一個獨立的公網(wǎng)地址來對應(yīng)FTP服務(wù)器。
    對于即有靜態(tài)映射又有動態(tài)分配(從某個方面來說，端口復用也是動態(tài)分配技術(shù)的一種)的企業(yè)來說，網(wǎng)絡(luò)管理員在驗證網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)器配置的時候，就需要確認被用來靜態(tài)映射的地址與動態(tài)地址池中的地址是否有重疊。也就是說，你靜態(tài)映射的那個公網(wǎng)IP地址有沒有被用到動態(tài)分配的公網(wǎng)IP地址中。這對于NAT服務(wù)器來說，是明令禁止的。否則的話，會出現(xiàn)一些莫名其妙的問題。
    驗證三：NAT服務(wù)器指定了正確的轉(zhuǎn)換地址
    其實，一些路由器往往自帶了網(wǎng)絡(luò)地址轉(zhuǎn)換功能。如不通過任何的設(shè)置，局域網(wǎng)的只擁有私網(wǎng)IP地址的主機都可以訪問互聯(lián)網(wǎng)，接收互聯(lián)網(wǎng)上的信息。但是，這只是一種最簡單的NAT技術(shù)。因為這只做到了單方面的NAT技術(shù)轉(zhuǎn)換。也就是說，內(nèi)網(wǎng)的主機可以訪問互聯(lián)網(wǎng)，但是，互連網(wǎng)上的用戶往往無法主動訪問內(nèi)網(wǎng)中的主機。
    有時候，網(wǎng)絡(luò)管理員還希望NAT有更強的功能。如現(xiàn)在供應(yīng)商可以從公司的FTP服務(wù)器上下載我們給他們準備的產(chǎn)品設(shè)計圖紙與說明書。而這個FTP服務(wù)器沒有獨立的公網(wǎng)IP地址，他只具有內(nèi)網(wǎng)的IP地址。若不經(jīng)過配置，則外網(wǎng)的用戶是無法訪問這個只具有內(nèi)部IP地址的FTP服務(wù)器的。
    此時，網(wǎng)絡(luò)管理員就需要進行端口復用技術(shù)，為其進行綁定。不過，在利用這個技術(shù)之前，有一個前期，就是企業(yè)需要有固定的IP地址。這也是網(wǎng)絡(luò)地址轉(zhuǎn)換的前提?？上У厥?，考試#大發(fā)現(xiàn)，不少的企業(yè)在申請寬帶的時候，可能怕多付錢吧，都是以個人名義去申請的。而重要的是，他們的IP地址雖然是公網(wǎng)IP地址，但是都是變動的，不是固定的IP地址。簡單的說，就是企業(yè)那個合法的公網(wǎng)IP地址時刻在變化的。此時，即使FTP服務(wù)器成功的進行了網(wǎng)絡(luò)地址轉(zhuǎn)換，外網(wǎng)用戶仍然需要根據(jù)企業(yè)那個IP公網(wǎng)地址不同而調(diào)整訪問的方式。重要的是，網(wǎng)絡(luò)管理員也需要不斷的變更這個NAT的相關(guān)配置。這就顯得非常的麻煩。
    故網(wǎng)絡(luò)管理員需要驗證NAT服務(wù)器是否制定了正
    驗證四：NAT映射是否有的限制
    在理論上，NAT服務(wù)器對于映射沒有限制數(shù)量。有些路由器，NAT表還可以控制沒有限制數(shù)量的映射。但是，在實際工作中，由于映射會占用路由器的內(nèi)存、CPU、可用地址或者端口等等，往往需要進行一些必要的限制。
    每個NAT映射需要占用大約160字節(jié)的內(nèi)存;當映射數(shù)量多的時候，會影響路由器的性能。所以，除非企業(yè)有專門的NAT服務(wù)器來處理這個映射，否則的話，我們往往會對這個映射進行數(shù)量上的限制。以防止其影響路由器的正常運轉(zhuǎn)，降低其性能。
    如果我們需要對這個映射數(shù)量進行限制的話，則可以通過“IP NAT TRANSLATION MAX-ENTRIES”來實現(xiàn)。
    考試#大的建議是，如果在路由器上實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換功能的話，要對其映射進行必要的限制。
    驗證五：了解NAT的缺陷，企業(yè)網(wǎng)絡(luò)中沒有不兼容的服務(wù)
    網(wǎng)絡(luò)地址轉(zhuǎn)換這門技術(shù)雖然好，但是人無完人，其也有其權(quán)限。具體的來說，網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)有三方面的不足。網(wǎng)絡(luò)管理員在最后對NAT服務(wù)器進行配置驗證的時候，需要考慮到這方面的不足?？捶治鲞@些缺陷會不會對企業(yè)的現(xiàn)有網(wǎng)絡(luò)產(chǎn)生不良的影響。
    這三個缺陷分別是無法進行端到端的IP跟蹤、在地址轉(zhuǎn)換過程中可能會產(chǎn)生交換延遲、某些應(yīng)用無法在實施NAT技術(shù)的網(wǎng)絡(luò)中運行。主要是后面兩種缺陷對于企業(yè)的影響比較大。
    如地址交換過程中可能會產(chǎn)生交換的延遲，而其隱射數(shù)量越多，這個延遲的影響也就越大。所以對于一些常用的服務(wù)器，而且信息傳輸量又比較大，能夠控制其公網(wǎng)地址的映射數(shù)量，一對一的靜態(tài)映射是其首選。另外就是NAT技術(shù)的兼容性問題。由于網(wǎng)絡(luò)地址在轉(zhuǎn)換過程中，NAT服務(wù)器需要讀取數(shù)據(jù)包中的信息，所以，若這個數(shù)據(jù)包在傳輸過程匯總加密了，那么其在NAT服務(wù)器中進行加工就會遇到麻煩。所以，若企業(yè)要跟外網(wǎng)的服務(wù)器進行IP安全策略的話，就會產(chǎn)生問題。兩者并不能夠很好的合作。
    俗話說，知己知彼，百戰(zhàn)百勝。所以，網(wǎng)絡(luò)管理員還需要了解NAT技術(shù)的缺陷，需要確認企業(yè)現(xiàn)有的網(wǎng)絡(luò)應(yīng)用，會否應(yīng)為NAT服務(wù)器的部署，而遭到破壞。當然這些缺陷有些也不是說不可以避免，如NAT與IPSEC之間的沖突問題，網(wǎng)絡(luò)管理員可以采取其他的方法進行回避。
    所以，網(wǎng)絡(luò)管理員對NAT服務(wù)器最后的驗證，就是需要考慮其兼容性問題。若有不兼容的情況，要及時的采取措施進行規(guī)避。