NAT(网络地址转换)是一种在互联网中使用的技术,主要用于将私有IP地址转换为公有IP地址,从而节省公网IP资源,同时隐藏内部网络结构,提升网络安全性,NAT服务的配置根据需求不同可分为静态NAT、动态NAT、PAT(端口地址转换,也称NAPT)等多种类型,不同厂商的设备(如华为、思科等)配置命令略有差异,但核心逻辑一致,以下以华为设备为例,详细说明NAT服务的配置步骤和命令,并补充思科设备的命令对比,最后通过表格总结不同NAT类型的适用场景和关键命令。
NAT配置前准备工作
在配置NAT前,需明确以下信息:
- 内部接口与外部接口:内部接口连接私有网络(如员工PC网段),外部接口连接公网(如运营商光猫);
- 公网IP资源:静态NAT需固定公网IP,动态NAT需规划公网地址池,PAT可直接使用接口IP;
- 内部服务器映射需求:若需将内部服务器(如Web服务器)发布到公网,需配置静态NAT或NAT Server。
静态NAT配置
静态NAT实现私有IP与公有IP的一对一固定映射,适用于需要从公网访问的内部服务器(如企业官网服务器)。
配置步骤(华为设备)
-
配置内外网接口IP及NAT使能
system-view interface GigabitEthernet0/0/1 # 外网接口(连接公网) ip address 202.100.1.1 24 # 配置公网IP(假设运营商分配) nat enable # 使能NAT功能 quit interface GigabitEthernet0/0/2 # 内网接口(连接内部服务器) ip address 192.168.1.1 24 # 配置内网网关IP quit
-
配置静态NAT映射
将内部服务器IP(192.168.1.100)的80端口映射到公网IP(202.100.1.100)的80端口:nat static protocol tcp global 202.100.1.100 80 inside 192.168.1.100 80
protocol:协议类型(tcp/udp/icmp);global:公网IP和端口;inside:内部IP和端口。
思科设备命令对比
configure terminal interface GigabitEthernet0/1 ip nat outside interface GigabitEthernet0/2 ip nat inside ip nat inside source static tcp 192.168.1.100 80 202.100.1.100 80
动态NAT配置
动态NAT从公网地址池中动态分配IP给内网用户,适用于临时上网需求(如员工日常办公),需提前规划公网地址池。
配置步骤(华为设备)
-
配置公网地址池
定义可用公网IP范围(如202.100.1.101-202.100.1.200):
nat address-group 1 202.100.1.101 202.100.1.200 # 地址组编号1,包含100个IP
-
配置ACL允许内网网段
定义允许进行NAT转换的内网网段(如192.168.1.0/24):acl 3000 rule permit source 192.168.1.0 0.0.0.255 # 允许192.168.1.0/24网段 rule deny # 隐 deny any quit
-
绑定ACL与地址池
将ACL3000与地址组1绑定,应用于外网接口的出方向:interface GigabitEthernet0/0/1 nat outbound 3000 address-group 1 # ACL+地址组绑定 quit
思科设备命令对比
ip nat pool DYN_POOL 202.100.1.101 202.100.1.200 netmask 255.255.255.0 access-list 1 permit 192.168.1.0 0.0.0.255 ip nat inside source list 1 pool DYN_POOL
PAT(NAPT)配置
PAT是最常用的NAT类型,通过端口复用实现多个内网用户共享一个公网IP,适用于普通内网用户上网。
配置步骤(华为设备)
-
直接使用接口IP(无需地址池)
在动态NAT基础上,去掉地址组,直接绑定外网接口IP:interface GigabitEthernet0/0/1 nat outbound 3000 # ACL3000允许的网段直接使用接口IP进行PAT quit
或通过
address-group指定接口IP(华为VRP 8.0+支持):nat address-group 1 interface 202.100.1.1 0 # 地址组为接口IP nat outbound 3000 address-group 1
-
验证PAT会话
查看当前NAT会话表(包含内网IP:端口与公网IP:端口的映射):
display nat session all
思科设备命令对比
ip nat inside source list 1 interface GigabitEthernet0/1 overload
其他常见NAT类型
-
Easy IP
与PAT类似,但无需配置地址池,直接使用外网接口的IP,适用于小型网络(如家庭路由器),华为配置只需nat outbound ACL编号(无需address-group)。 -
NAT Server(端口映射)
用于将内部服务器的特定端口映射到公网IP的指定端口,实现公网访问,华为命令:nat server protocol tcp global 202.100.1.100 80 inside 192.168.1.100 80
思科命令:
ip nat inside source static tcp 192.168.1.100 80 202.100.1.100 80 extendable
NAT配置验证与维护
- 查看静态NAT映射:
display nat static - 查看动态NAT地址池使用情况:
display nat address-group - 查看NAT会话统计:
display nat session statistics - 清除NAT会话:
reset nat session all(用于解决会话异常问题)
不同NAT类型对比表
| NAT类型 | 适用场景 | 关键命令(华为) | 优点 | 缺点 |
|---|---|---|---|---|
| 静态NAT | 内部服务器固定映射 | nat static protocol... |
映射关系固定,稳定 | 占用固定公网IP |
| 动态NAT | 临时多对多映射 | nat outbound ACL address-group |
灵活分配公网IP | 需规划地址池 |
| PAT/NAPT | 多用户共享公网IP | nat outbound ACL(无地址组) |
节省公网IP资源 | 端口冲突风险 |
| Easy IP | 小型网络,无公网地址池 | nat outbound ACL(直接用接口IP) |
配置简单 | 依赖接口IP |
| NAT Server | 内部服务器端口映射 | nat server protocol... |
支持端口映射 | 仅适用于服务器 |
FAQs
问题1:NAT配置后内网用户无法上网,如何排查?
解答:
- 检查内外网接口是否正确配置
nat enable(华为)或ip nat inside/outside(思科); - 确认ACL是否放行内网网段(如
display acl 3000查看规则); - 检查公网地址池是否有剩余IP(
display nat address-group); - 查看NAT会话表(
display nat session all),确认是否有转换成功的会话; - 检查路由表,确保内网流量能正确转发到外网接口(
display ip routing-table)。
问题2:静态NAT和动态NAT的主要区别是什么?
解答:
- 映射关系:静态NAT是“一对一固定映射”(内网IP始终对应同一公网IP),动态NAT是“多对多临时映射”(内网IP从地址池动态获取公网IP,用完释放);
- 公网IP占用:静态NAT长期占用固定公网IP,动态NAT仅在会话期间占用,用完释放;
- 适用场景:静态NAT适用于需要从公网访问的内部服务器(如Web、FTP服务器),动态NAT适用于普通内网用户临时上网(如员工办公);
- 配置复杂度:静态NAT无需地址池,配置简单;动态NAT需规划地址池和ACL,配置稍复杂。
原创文章,发布者:酷番叔,转转请注明出处:https://cloud.kd.cn/ask/16385.html
