中兴路由器中的NAT(网络地址转换)功能是内网设备访问外网的核心技术,主要用于将私有IP地址转换为公网IP地址,解决IP地址资源不足问题,当需要修改NAT配置时,通常涉及静态NAT、动态NAT、PAT(端口地址转换)等规则的调整,以下将从配置流程、命令详解、注意事项等方面展开说明。
进入配置模式与基础准备
在修改NAT配置前,需通过Console口、Telnet或SSH登录中兴路由器的CLI(命令行界面),进入全局配置模式,具体步骤如下:
- 登录设备:通过终端软件连接路由器Console口,或使用Telnet/SSH登录设备管理IP(如默认192.168.1.1)。
- 进入特权模式:输入
enable(部分设备可能需要密码),进入特权模式(提示符为)。 - 进入全局配置模式:输入
configure terminal(简写conf t),进入全局配置模式(提示符为(config)#)。
注意:修改配置前建议使用show running-config查看当前配置备份,避免误操作导致业务中断。
NAT配置基础:定义内外网接口
NAT功能需明确区分“内网接口”(连接内网设备的接口)和“外网接口”(连接外网或运营商的接口),通过ip nat inside和ip nat outside命令标记接口方向。
示例(假设内网接口为GigabitEthernet0/0,外网接口为GigabitEthernet0/1):
(config)# interface GigabitEthernet0/0 (config-if)# ip nat inside // 标记为内网接口 (config-if)# exit (config)# interface GigabitEthernet0/1 (config-if)# ip nat outside // 标记为外网接口 (config-if)# exit
关键点:
- 内网接口通常连接局域网,IP地址为私有IP(如192.168.1.0/24);
- 外网接口连接互联网,IP地址为公网IP(由运营商分配)或路由器WAN口IP。
修改NAT规则详解
根据业务需求,NAT规则可分为静态NAT(一对一固定映射)、动态NAT(地址池动态映射)和PAT(多对一端口映射),修改时需针对不同类型操作。
(一)静态NAT规则修改(一对一映射)
静态NAT用于将内网指定设备的私有IP固定映射为公网IP,常用于服务器发布(如Web、FTP服务)。
查看当前静态NAT规则
(config)# show ip nat translations static
输出示例:
| 内网IP | 外网IP | 端口 | 协议 |
|————–|————–|——|——|
| 192.168.1.100 | 203.0.113.10 | 80 | TCP |
修改静态NAT规则
步骤:先删除旧规则(若需更换映射IP/端口),再添加新规则。
- 删除旧规则:
(config)# no ip nat inside source static 192.168.1.100 203.0.113.10 tcp 80
- 添加新规则(示例:将内网192.168.1.100映射到公网203.0.113.20的TCP 80端口):
(config)# ip nat inside source static tcp 192.168.1.100 80 203.0.113.20 80 extendable
参数说明:
tcp 80:指定协议和端口(若为全端口映射可省略端口,仅写ip);extendable:支持扩展(当内网主机多端口访问时自动映射,可选)。
验证配置
(config)# show ip nat translations
若新规则出现在列表中,说明修改成功。
(二)动态NAT规则修改(地址池映射)
动态NAT使用地址池为内网主机动态分配公网IP,适用于多台内网设备共享少量公网IP的场景(不常用,多被PAT替代)。
查看当前动态NAT配置
(config)# show ip nat pool (config)# show ip nat translations
修改动态NAT规则
步骤:修改地址池范围或关联的ACL(访问控制列表)。
- 修改地址池(示例:将地址池
public-pool从203.0.113.10-203.0.113.20调整为203.0.113.30-203.0.113.50):(config)# no ip nat pool public-pool 203.0.113.10 203.0.113.20 netmask 255.255.255.240 (config)# ip nat pool public-pool 203.0.113.30 203.0.113.50 netmask 255.255.255.240
- 修改关联ACL(示例:允许内网网段192.168.1.0/24使用动态NAT):
(config)# no access-list 1 permit 192.168.1.0 0.0.0.255 (config)# access-list 1 permit 192.168.1.0 0.0.0.255
- 重新绑定地址池和ACL:
(config)# ip nat inside source list 1 pool public-pool
验证配置
(config)# show ip nat pool (config)# show ip nat translations
(三)PAT规则修改(多对一端口映射,最常用)
PAT(也称为NAT Overload)是内网所有设备共享一个公网IP,通过端口号区分不同设备,是家庭和小型企业最常用的NAT方式。
查看当前PAT配置
(config)# show ip nat translations (config)# show ip nat statistics
修改PAT规则
步骤:修改ACL允许的内网网段,或调整PAT的出接口。
- 修改允许的内网网段(示例:从192.168.1.0/24扩展为192.168.1.0/24和192.168.2.0/24):
(config)# no access-list 1 permit 192.168.1.0 0.0.0.255 (config)# access-list 1 permit 192.168.1.0 0.0.0.255 (config)# access-list 1 permit 192.168.2.0 0.0.0.255
- 重新绑定PAT规则(示例:使用外网接口GigabitEthernet0/1的IP作为PAT地址):
(config)# ip nat inside source list 1 interface GigabitEthernet0/1 overload
参数说明:
overload:启用PAT(必须参数,表示多对一映射);interface GigabitEthernet0/1:指定外网接口,也可直接写公网IP(如0.113.10)。
验证配置
(config)# show ip nat translations
输出示例:
| 内网IP | 外网IP | 端口映射(内网:外网) |
|—————-|—————–|———————-|
| 192.168.1.101:5000 | 203.0.113.10:1024 | TCP:5000→1024 |
| 192.168.2.5:3306 | 203.0.113.10:1025 | TCP:3306→1025 |
保存配置与常见问题处理
保存配置
修改完成后,需保存配置避免重启丢失:
(config)# end # write memory # 或 # copy running-config startup-config
常见问题处理
-
问题1:修改NAT后内网无法上网。
排查:- 检查内外网接口是否正确标记
ip nat inside/outside; - 确认ACL规则是否包含内网IP(如
access-list 1 permit是否匹配); - 检查路由表是否有默认路由指向外网(
ip route 0.0.0.0 0.0.0.0 [下一跳IP/接口])。
- 检查内外网接口是否正确标记
-
问题2:静态NAT映射的服务外网无法访问。
排查:- 确认外网防火墙是否开放对应端口(如TCP 80);
- 检查内网服务器是否正常监听目标端口;
- 使用
show ip nat translations确认是否有转换条目。
中兴路由器NAT常用命令总结表
| 操作场景 | 命令格式 | 示例 |
|---|---|---|
| 进入接口配置 | interface [接口名] |
interface GigabitEthernet0/0 |
| 标记内网接口 | ip nat inside |
(config-if)# ip nat inside |
| 标记外网接口 | ip nat outside |
(config-if)# ip nat outside |
| 添加静态NAT | ip nat inside source static [内网IP] [外网IP] [协议] [内网端口] [外网端口] |
ip nat inside source static tcp 192.168.1.100 80 203.0.113.10 80 |
| 删除静态NAT | no ip nat inside source static [内网IP] [外网IP] [协议] [内网端口] |
no ip nat inside source static tcp 192.168.1.100 80 203.0.113.10 |
| 定义地址池 | ip nat pool [池名] [起始IP] [结束IP] netmask [子网掩码] |
ip nat pool public-pool 203.0.113.10 203.0.113.20 netmask 255.255.255.240 |
| 配置动态NAT | ip nat inside source list [ACL号] pool [池名] |
ip nat inside source list 1 pool public-pool |
| 配置PAT | ip nat inside source list [ACL号] interface [外网接口] overload |
ip nat inside source list 1 interface GigabitEthernet0/1 overload |
| 查看NAT转换表 | show ip nat translations |
# show ip nat translations |
| 查看NAT统计信息 | show ip nat statistics |
# show ip nat statistics |
相关问答FAQs
Q1:修改中兴路由器的PAT配置后,内网设备仍无法上网,如何排查?
A:排查步骤如下:
- 检查ACL规则:确认
access-list是否正确包含内网IP段(如access-list 1 permit 192.168.1.0 0.0.0.255),若IP段变更需同步修改ACL; - 验证接口方向:使用
show ip nat interfaces检查内外网接口是否标记正确(内网接口需有inside,外网接口需有outside); - 检查路由表:确认是否有默认路由指向外网(
show ip route | include 0.0.0.0),若无需添加ip route 0.0.0.0 0.0.0.0 [WAN口IP/下一跳]; - 重启NAT服务:部分设备需重启NAT模块,执行
clear ip nat translation清空转换表后重新测试。
Q2:如何查看中兴路由器当前NAT的活跃会话数?
A:可通过以下命令查看NAT会话状态和统计信息:
- 查看活跃会话:
# show ip nat translations verbose
输出包含内网IP、外网IP、端口、协议、会话时长等详细信息,活跃会话会显示“Active”状态。
- 查看会话统计:
# show ip nat statistics
重点查看“Total active translations”(当前活跃会话数)、“Hits”(命中次数)等字段,判断NAT负载情况,若会话数接近设备上限(如中小型路由器通常支持数千会话),需考虑升级设备或优化NAT规则。
原创文章,发布者:酷番叔,转转请注明出处:https://cloud.kd.cn/ask/21582.html
