首页
学习
活动
专区
圈层
工具
发布
社区首页 >专栏 >网络工程师必收藏:最常见 50 条 NAT 配置命令(华为路由器/防火墙完整版)

网络工程师必收藏:最常见 50 条 NAT 配置命令(华为路由器/防火墙完整版)

作者头像
知孤云出岫
发布2026-07-01 20:43:16
发布2026-07-01 20:43:16
1450
举报

📌 适用设备:华为 AR 路由器、USG 防火墙、三层交换机(VRP) ⭐ 建议收藏,企业网络部署和排障时经常用到。


一、什么是 NAT?

NAT(Network Address Translation,网络地址转换) 是企业出口网络中最常见的功能之一,用于实现私网与公网之间的地址转换。

NAT 的主要作用:

  • ✅ 节省公网 IPv4 地址
  • ✅ 让内网主机访问 Internet
  • ✅ 发布内网服务器(Web、FTP、邮件等)
  • ✅ 隐藏内网地址,提高安全性
  • ✅ 配合 ACL、VPN、策略路由使用

二、NAT 类型

NAT 类型

作用

常见场景

Easy-IP

使用接口公网 IP

中小企业上网

NAT Address Group

地址池转换

多公网 IP

Static NAT

一对一映射

服务器发布

NAT Server

端口映射

Web、SSH、FTP

No-NAT

不转换

VPN 场景

Policy NAT

策略转换

多出口、特殊业务


三、最常见 50 条 NAT 配置命令

第一部分:查看 NAT

① 查看 NAT 配置

代码语言:javascript
复制
display current-configuration | include nat

② 查看 NAT 会话

代码语言:javascript
复制
display nat session

③ 查看 NAT Server

代码语言:javascript
复制
display nat server

④ 查看地址池

代码语言:javascript
复制
display nat address-group

⑤ 查看转换统计

代码语言:javascript
复制
display nat statistics

第二部分:Easy-IP(最常用)

⑥ 创建 ACL

代码语言:javascript
复制
acl number 2000

⑦ 放行内网

代码语言:javascript
复制
rule permit source 192.168.1.0 0.0.0.255

⑧ 进入公网接口

代码语言:javascript
复制
interface GigabitEthernet0/0/0

⑨ 配置 Easy-IP

代码语言:javascript
复制
nat outbound 2000

⑩ 查看接口 NAT

代码语言:javascript
复制
display this

第三部分:地址池 NAT

⑪ 创建地址池

代码语言:javascript
复制
nat address-group 1

⑫ 添加公网地址

代码语言:javascript
复制
section 0 100.1.1.10 100.1.1.20

⑬ 调用地址池

代码语言:javascript
复制
nat outbound 2000 address-group 1

⑭ 查看地址池

代码语言:javascript
复制
display nat address-group

⑮ 删除地址池

代码语言:javascript
复制
undo nat address-group 1

第四部分:静态 NAT

⑯ 一对一映射

代码语言:javascript
复制
nat static global 100.1.1.100 inside 192.168.1.100

⑰ 查看静态 NAT

代码语言:javascript
复制
display nat static

⑱ 删除静态 NAT

代码语言:javascript
复制
undo nat static global 100.1.1.100

⑲ 指定接口

代码语言:javascript
复制
interface GigabitEthernet0/0/0

⑳ 配置静态映射

代码语言:javascript
复制
nat static enable

第五部分:端口映射(NAT Server)

㉑ 发布 Web

代码语言:javascript
复制
nat server protocol tcp global current-interface 80 inside 192.168.1.10 80

㉒ 发布 HTTPS

代码语言:javascript
复制
nat server protocol tcp global current-interface 443 inside 192.168.1.10 443

㉓ 发布 SSH

代码语言:javascript
复制
nat server protocol tcp global current-interface 22 inside 192.168.1.20 22

㉔ 发布 FTP

代码语言:javascript
复制
nat server protocol tcp global current-interface 21 inside 192.168.1.30 21

㉕ 发布 RDP

代码语言:javascript
复制
nat server protocol tcp global current-interface 3389 inside 192.168.1.40 3389

第六部分:策略 NAT

㉖ 创建高级 ACL

代码语言:javascript
复制
acl number 3000

㉗ 匹配源地址

代码语言:javascript
复制
rule permit ip source 192.168.10.0 0.0.0.255

㉘ 配置策略 NAT

代码语言:javascript
复制
nat outbound 3000

㉙ 查看策略

代码语言:javascript
复制
display nat policy

㉚ 删除策略

代码语言:javascript
复制
undo nat outbound 3000

第七部分:No-NAT(VPN 常用)

㉛ 创建 VPN ACL

代码语言:javascript
复制
acl number 3100

㉜ 匹配 VPN 流量

代码语言:javascript
复制
rule permit ip source 192.168.1.0 0.0.0.255 destination 10.10.10.0 0.0.0.255

㉝ 配置 NAT 豁免

代码语言:javascript
复制
nat exempt acl 3100

注:不同 VRP/USG 版本命令有所差异,部分设备通过 NAT 策略实现 NAT 豁免。


㉞ 查看豁免策略

代码语言:javascript
复制
display nat exempt

㉟ 删除豁免

代码语言:javascript
复制
undo nat exempt acl 3100

第八部分:NAT 排障

㊱ 查看会话

代码语言:javascript
复制
display nat session

㊲ 查看命中

代码语言:javascript
复制
display acl 2000

㊳ 查看公网接口

代码语言:javascript
复制
display ip interface brief

㊴ 查看路由

代码语言:javascript
复制
display ip routing-table

㊵ Ping 公网

代码语言:javascript
复制
ping 8.8.8.8

第九部分:调试

㊶ 查看日志

代码语言:javascript
复制
display logbuffer

㊷ 开启调试

代码语言:javascript
复制
debugging nat

㊸ 关闭调试

代码语言:javascript
复制
undo debugging all

㊹ 查看 CPU

代码语言:javascript
复制
display cpu-usage

㊺ 查看内存

代码语言:javascript
复制
display memory

第十部分:保存配置

㊻ 查看配置

代码语言:javascript
复制
display current-configuration

㊼ 保存配置

代码语言:javascript
复制
save

㊽ 查看接口

代码语言:javascript
复制
display interface GigabitEthernet0/0/0

㊾ 查看 ARP

代码语言:javascript
复制
display arp

㊿ 查看 NAT 总信息

代码语言:javascript
复制
display nat all

注:display nat all 并非所有 VRP 版本都支持,实际请以设备版本命令帮助为准。


四、企业最常见 NAT 应用场景

场景

推荐 NAT 类型

企业员工统一上网

Easy-IP

多公网 IP 出口

NAT Address Group

对外发布 Web 网站

NAT Server

对外发布 SSH

NAT Server

企业邮件服务器

Static NAT

FTP 服务

NAT Server

双运营商出口

Policy NAT

IPSec VPN

No-NAT

数据中心服务器发布

Static NAT

DMZ 区服务器

NAT Server


五、NAT 配置的 10 个易错点

序号

易错点

问题现象

解决方法

1

忘记创建或调用 ACL

内网用户无法上网,NAT 无命中记录

创建 ACL,并在 nat outbound 中正确引用 ACL,确认 ACL 已匹配到需要转换的流量。

2

公网接口未配置 NAT

内网可以到达出口接口,但无法访问 Internet

Easy-IP 必须配置在公网出口接口,例如 nat outbound 2000。

3

ACL 匹配范围错误

部分主机可以上网,部分主机无法上网

检查 ACL 中源地址范围是否正确,避免遗漏网段或匹配过宽。

4

默认路由缺失

NAT 转换正常,但仍无法访问公网

检查是否存在默认路由(0.0.0.0/0),确保公网流量能够正确转发。

5

接口配置错误

NAT 配置生效,但数据包未经过 NAT

确认 NAT 配置在真正的出口接口,而不是内网接口或错误的链路。

6

地址池公网地址不可达

使用地址池 NAT 后无法访问公网

检查公网地址是否已分配、是否属于运营商路由范围,并确保下一跳可达。

7

NAT Server 未放行安全策略

外网无法访问已发布的服务器

在防火墙上除配置 NAT Server 外,还需放行对应的安全策略(Security Policy)。

8

VPN 流量未做 NAT 豁免

VPN 隧道建立成功,但业务无法通信

为 VPN 流量配置 NAT Exempt(No-NAT),避免 VPN 数据包被错误转换。

9

端口冲突

NAT Server 配置失败或业务异常

同一个公网 IP 的同一端口只能映射给一台服务器,避免重复配置。

10

忽略 NAT 会话状态

修改 NAT 配置后仍无法恢复业务

修改配置后清理旧 NAT 会话,再重新测试业务,避免旧会话影响验证结果。


本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2026-06-30,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 智网研习社 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 一、什么是 NAT?
  • 二、NAT 类型
  • 三、最常见 50 条 NAT 配置命令
    • 第一部分:查看 NAT
      • ① 查看 NAT 配置
      • ② 查看 NAT 会话
      • ③ 查看 NAT Server
      • ④ 查看地址池
      • ⑤ 查看转换统计
    • 第二部分:Easy-IP(最常用)
      • ⑥ 创建 ACL
      • ⑦ 放行内网
      • ⑧ 进入公网接口
      • ⑨ 配置 Easy-IP
      • ⑩ 查看接口 NAT
    • 第三部分:地址池 NAT
      • ⑪ 创建地址池
      • ⑫ 添加公网地址
      • ⑬ 调用地址池
      • ⑭ 查看地址池
      • ⑮ 删除地址池
    • 第四部分:静态 NAT
      • ⑯ 一对一映射
      • ⑰ 查看静态 NAT
      • ⑱ 删除静态 NAT
      • ⑲ 指定接口
      • ⑳ 配置静态映射
    • 第五部分:端口映射(NAT Server)
      • ㉑ 发布 Web
      • ㉒ 发布 HTTPS
      • ㉓ 发布 SSH
      • ㉔ 发布 FTP
      • ㉕ 发布 RDP
    • 第六部分:策略 NAT
      • ㉖ 创建高级 ACL
      • ㉗ 匹配源地址
      • ㉘ 配置策略 NAT
      • ㉙ 查看策略
      • ㉚ 删除策略
    • 第七部分:No-NAT(VPN 常用)
      • ㉛ 创建 VPN ACL
      • ㉜ 匹配 VPN 流量
      • ㉝ 配置 NAT 豁免
      • ㉞ 查看豁免策略
      • ㉟ 删除豁免
    • 第八部分:NAT 排障
      • ㊱ 查看会话
      • ㊲ 查看命中
      • ㊳ 查看公网接口
      • ㊴ 查看路由
      • ㊵ Ping 公网
    • 第九部分:调试
      • ㊶ 查看日志
      • ㊷ 开启调试
      • ㊸ 关闭调试
      • ㊹ 查看 CPU
      • ㊺ 查看内存
    • 第十部分:保存配置
      • ㊻ 查看配置
      • ㊼ 保存配置
      • ㊽ 查看接口
      • ㊾ 查看 ARP
      • ㊿ 查看 NAT 总信息
  • 四、企业最常见 NAT 应用场景
  • 五、NAT 配置的 10 个易错点
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档