验证四:NAT映射是否有最大的限制

在理论上,NAT服务器对于映射没有限制数量。有些路由器,NAT表还可以控制没有限制数量的映射。但是,在实际工作中,由于映射会占用路由器的内存、CPU、可用地址或者端口等等,往往需要进行一些必要的限制。

每个NAT映射需要占用大约160字节的内存;当映射数量多的时候,会影响路由器的性能。所以,除非企业有专门的NAT服务器来处理这个映射,否则的话,我们往往会对这个映射进行数量上的限制。以防止其影响路由器的正常运转,降低其性能。

如果我们需要对这个映射数量进行限制的话,则可以通过“IP NAT TRANSLATION MAX-ENTRIES”来实现。

笔者的建议是,如果在路由器上实现网络地址转换功能的话,要对其映射进行必要的限制。若企业财大气粗,有专门的服务器来承担网络地址转换的角色,则可以考虑不进行转换。

验证五:了解NAT的缺陷,企业网络中没有不兼容的服务

网络地址转换这门技术虽然好,但是人无完人,其也有其权限。具体的来说,网络地址转换技术有三方面的不足。网络管理员在最后对NAT服务器进行配置验证的时候,需要考虑到这方面的不足。看分析这些缺陷会不会对企业的现有网络产生不良的影响。

这三个缺陷分别是无法进行端到端的IP跟踪、在地址转换过程中可能会产生交换延迟、某些应用无法在实施NAT技术的网络中运行。主要是后面两种缺陷对于企业的影响比较大。

如地址交换过程中可能会产生交换的延迟,而其隐射数量越多,这个延迟的影响也就越大。所以对于一些常用的服务器,而且信息传输量又比较大,最好能够控制其公网地址的映射数量,一对一的静态映射是其首选。另外就是NAT技术的兼容性问题。由于网络地址在转换过程中,NAT服务器需要读取数据包中的信息,所以,若这个数据包在传输过程汇总加密了,那么其在NAT服务器中进行加工就会遇到麻烦。所以,若企业要跟外网的服务器进行IP安全策略的话,就会产生问题。两者并不能够很好的合作。

俗话说,知己知彼,百战百胜。所以,网络管理员还需要了解NAT技术的缺陷,需要确认企业现有的网络应用,会否应为NAT服务器的部署,而遭到破坏。当然这些缺陷有些也不是说不可以避免,如NAT与IPSEC之间的冲突问题,网络管理员可以采取其他的方法进行回避。

所以,网络管理员对NAT服务器最后的验证,就是需要考虑其兼容性问题。若有不兼容的情况,要及时的采取措施进行规避。

  1. 用NAT地址转换搞定局域网共享问题
  2. 用NAT服务器组建局域网原理及具体步骤-


共2页: 上一页12下一页

相关内容