
📌 适用设备:华为 AR 路由器、USG 防火墙、三层交换机(VRP) ⭐ 建议收藏,企业网络部署和排障时经常用到。
NAT(Network Address Translation,网络地址转换) 是企业出口网络中最常见的功能之一,用于实现私网与公网之间的地址转换。
NAT 的主要作用:
NAT 类型 | 作用 | 常见场景 |
|---|---|---|
Easy-IP | 使用接口公网 IP | 中小企业上网 |
NAT Address Group | 地址池转换 | 多公网 IP |
Static NAT | 一对一映射 | 服务器发布 |
NAT Server | 端口映射 | Web、SSH、FTP |
No-NAT | 不转换 | VPN 场景 |
Policy NAT | 策略转换 | 多出口、特殊业务 |
display current-configuration | include nat
display nat session
display nat server
display nat address-group
display nat statistics
acl number 2000
rule permit source 192.168.1.0 0.0.0.255
interface GigabitEthernet0/0/0
nat outbound 2000
display this
nat address-group 1
section 0 100.1.1.10 100.1.1.20
nat outbound 2000 address-group 1
display nat address-group
undo nat address-group 1
nat static global 100.1.1.100 inside 192.168.1.100
display nat static
undo nat static global 100.1.1.100
interface GigabitEthernet0/0/0
nat static enable
nat server protocol tcp global current-interface 80 inside 192.168.1.10 80
nat server protocol tcp global current-interface 443 inside 192.168.1.10 443
nat server protocol tcp global current-interface 22 inside 192.168.1.20 22
nat server protocol tcp global current-interface 21 inside 192.168.1.30 21
nat server protocol tcp global current-interface 3389 inside 192.168.1.40 3389
acl number 3000
rule permit ip source 192.168.10.0 0.0.0.255
nat outbound 3000
display nat policy
undo nat outbound 3000
acl number 3100
rule permit ip source 192.168.1.0 0.0.0.255 destination 10.10.10.0 0.0.0.255
nat exempt acl 3100
注:不同 VRP/USG 版本命令有所差异,部分设备通过 NAT 策略实现 NAT 豁免。
display nat exempt
undo nat exempt acl 3100
display nat session
display acl 2000
display ip interface brief
display ip routing-table
ping 8.8.8.8
display logbuffer
debugging nat
undo debugging all
display cpu-usage
display memory
display current-configuration
save
display interface GigabitEthernet0/0/0
display arp
display nat all
注:
display nat all并非所有 VRP 版本都支持,实际请以设备版本命令帮助为准。
场景 | 推荐 NAT 类型 |
|---|---|
企业员工统一上网 | Easy-IP |
多公网 IP 出口 | NAT Address Group |
对外发布 Web 网站 | NAT Server |
对外发布 SSH | NAT Server |
企业邮件服务器 | Static NAT |
FTP 服务 | NAT Server |
双运营商出口 | Policy NAT |
IPSec VPN | No-NAT |
数据中心服务器发布 | Static NAT |
DMZ 区服务器 | NAT Server |
序号 | 易错点 | 问题现象 | 解决方法 |
|---|---|---|---|
1 | 忘记创建或调用 ACL | 内网用户无法上网,NAT 无命中记录 | 创建 ACL,并在 nat outbound 中正确引用 ACL,确认 ACL 已匹配到需要转换的流量。 |
2 | 公网接口未配置 NAT | 内网可以到达出口接口,但无法访问 Internet | Easy-IP 必须配置在公网出口接口,例如 nat outbound 2000。 |
3 | ACL 匹配范围错误 | 部分主机可以上网,部分主机无法上网 | 检查 ACL 中源地址范围是否正确,避免遗漏网段或匹配过宽。 |
4 | 默认路由缺失 | NAT 转换正常,但仍无法访问公网 | 检查是否存在默认路由(0.0.0.0/0),确保公网流量能够正确转发。 |
5 | 接口配置错误 | NAT 配置生效,但数据包未经过 NAT | 确认 NAT 配置在真正的出口接口,而不是内网接口或错误的链路。 |
6 | 地址池公网地址不可达 | 使用地址池 NAT 后无法访问公网 | 检查公网地址是否已分配、是否属于运营商路由范围,并确保下一跳可达。 |
7 | NAT Server 未放行安全策略 | 外网无法访问已发布的服务器 | 在防火墙上除配置 NAT Server 外,还需放行对应的安全策略(Security Policy)。 |
8 | VPN 流量未做 NAT 豁免 | VPN 隧道建立成功,但业务无法通信 | 为 VPN 流量配置 NAT Exempt(No-NAT),避免 VPN 数据包被错误转换。 |
9 | 端口冲突 | NAT Server 配置失败或业务异常 | 同一个公网 IP 的同一端口只能映射给一台服务器,避免重复配置。 |
10 | 忽略 NAT 会话状态 | 修改 NAT 配置后仍无法恢复业务 | 修改配置后清理旧 NAT 会话,再重新测试业务,避免旧会话影响验证结果。 |