- On: 2025-12-24 08:24:42
- By: admin
优点:节省公网IP,只需一个公网IP即可让多个内网设备访问外网。缺点:公网设备无法主动访问内网设备(需要端口映射技术)。
三、三种NAT方式的对比总结
可以看到,PAT 是企业和家庭网络中最常见的方式。只要有一个公网IP,就能让一整个内网访问外网,这也是大多数宽带家庭能上网的基础原理。
四、地址转换到底怎么配置?这里给你两种主流厂商的思路
华为设备(AR系列)上配置NAT(以PAT为例)
假设公网接口为 G0/0/0,内网接口为 G0/0/1。
# 进入系统视图
system-view
# 配置公网接口
interface GigabitEthernet 0/0/0
ip address 202.100.1.1 255.255.255.0
nat outbound
# 配置内网接口
interface GigabitEthernet 0/0/1
ip address 192.168.1.1 255.255.255.0
# 配置地址池(如果使用动态NAT)
nat address-group 1 202.100.1.10 202.100.1.20
# 配置源地址转换(PAT模式,使用接口地址)
acl 2001
rule permit ip source 192.168.1.0 0.0.0.255
nat address-group 1 202.100.1.1 202.100.1.1
nat outbound 2001 address-group 1 overload
★
注意:“overload” 关键字表示 PAT(端口复用),即多台设备共享一个公网IP。
注意:“overload” 关键字表示 PAT(端口复用),即多台设备共享一个公网IP。
思科设备上配置PAT:
# 配置公网接口
interface GigabitEthernet0/0
ip address 202.100.1.1 255.255.255.0
ip nat outside
# 配置内网接口
interface GigabitEthernet0/1
ip address 192.168.1.1 255.255.255.0
ip nat inside
# 创建ACL,定义哪些地址需要转换
access-list 1 permit 192.168.1.0 0.0.0.255
# 配置NAT地址转换(使用外网接口的IP)
ip nat inside source list 1 interface GigabitEthernet0/0 overload
五、NAT典型应用场景与进阶用法
光是让内网设备能访问外网还不够,实际工程中,还有很多人会问:
“我要让公网用户访问我内网的一台Web服务器怎么办?”
这就涉及到 端口映射(Port Forwarding) 了,也是 PAT 的一种玩法。
1. 场景一:公网访问内网Web服务(端口映射)
假设你公司有一台Web服务器,IP 是 192.168.1.100,运行在内网,但你希望外网能通过公网IP 202.100.1.1 的 80 端口访问它。
华为配置示例:
# 进入系统视图
system-view
# 创建ACL
acl 2001
rule permit ip source any destination 202.100.1.1 0
# 配置NAT服务器映射
nat server protocol tcp global 202.100.1.1 www inside 192.168.1.100 www
思科配置示例:
ip nat inside source static tcp 192.168.1.100 80 202.100.1.1 80
这里的意思是:把公网的202.100.1.1:80 转发到内网192.168.1.100:80。
这里的意思是:把公网的202.100.1.1:80 转发到内网192.168.1.100:80。
2. 场景二:多个内网服务映射到一个公网IP不同端口
公网IP紧张时,一个公网IP可以通过不同端口映射到多个内网主机服务,比如:
配置方式同样是通过 NAT server / static 方式映射端口。
3. 场景三:内网多个出口IP+多个公网IP,做地址池负载
企业网中,如果有多个公网IP段,比如你有一个地址池:202.100.1.10 到 202.100.1.20
可通过 动态NAT + 地址池 让内网用户出网更均衡,提升性能。
六、NAT常见问题与排查思路
很多小伙伴配置NAT之后会遇到:
内网出不了网
公网无法访问映射服务
NAT状态查不到
DNS能解析但ping不通
排查建议如下:
1. ACL配置有误
很多时候,是 ACL 里没写对,比如 IP 段、掩码错误,或者压根没有创建。
检查命令(以华为为例):
display acl 2001
2. NAT没有绑定公网接口
检查是否绑定了公网出口口 NAT OUTBOUND,或者 NAT SERVER。
3. 查看 NAT 会话表
华为:display nat session all
思科:show ip nat translations
你可以判断:是否有会话建立?是否翻译成功?
4. 查看地址池状态(动态NAT)
华为:display nat address-group
思科:show ip nat statistics
七、NAT配置技巧和经验总结
能用PAT就别搞动态NAT,公网IP是稀缺资源。
如果配置端口映射,务必检查端口是否已占用。
多做 ping + tracert + telnet 端口,对排障很有帮助。
NAT日志很关键,建议开启调试模式观察(慎用生产网):
思科:debug ip nat
华为:debugging nat all
思科:debug ip nat
华为:debugging nat all
八、结语:NAT很基础,但基础≠简单
NAT 看起来只是做地址转换,但它牵涉了太多网络核心原理:
IP地址的规划与管理、
数据包是怎么从内网跳出去、
如何才能在公网穿透内网访问某个服务、
为什么你打得通 DNS 却打不开网页、
怎么通过一个公网IP服务多个内网主机……
这些都是 NAT 的“副作用”,也是很多人卡住的点。
所以说,NAT 是新手进阶的分水岭。
它是让你从“配置网通”到“理解网络行为”的关键一步。
建议你现在就打开你身边的交换机/路由器,试着做一个简单的源NAT配置,把理论变成手上的操作,那才是网工最硬的本事。
关于作者:叫我小陈就好,95年新手女网工,老杨的小助理。在甲方当牛马,HCIE数通已拿下。爱学习、爱交朋友,长期主义者,默默进阶学习的路上!专注分享网工相关知识,文章如有错误,感谢指正,共同进步吖~返回搜狐,查看更多