1. 静态 NAT(Static NAT)
用途:为特定内网主机(如管理 PC)分配固定公网 IP。
配置
[Huawei] nat static global 203.0.113.10 inside 192.168.1.10 [Huawei] interface GigabitEthernet0/0/1 [Huawei-GigabitEthernet0/0/1] nat static enable #必须在出接口下执行 nat static enable,否则不生效。
注意:必须在出接口下执行 nat static enable,否则不生效。
2. 动态 NAT(Dynamic NAT)
用途:多个内网用户轮流使用一组公网 IP(每个会话独占一个 IP)。
配置
[Huawei] nat address-group 1 [Huawei-address-group-1] section 0 203.0.113.10 203.0.113.20 [Huawei] acl 2000 [Huawei-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [Huawei] interface GigabitEthernet0/0/1 [Huawei-GigabitEthernet0/0/1] nat outbound 2000 address-group 1 no-pat # no-pat 表示不复用端口
缺点:每个公网 IP 只能服务一个会话,资源利用率低,已基本被 NAPT 取代。
3. NAPT(PAT)
用途:多用户共享 一个或多个 公网 IP,通过端口区分。
配置
[Huawei] nat address-group 1 [Huawei-address-group-1] mode pat # 启用端口复用(默认就是 PAT) [Huawei-address-group-1] section 0 203.0.113.10 203.0.113.10 [Huawei] acl 2000 [Huawei-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [Huawei] interface GigabitEthernet0/0/1 [Huawei-GigabitEthernet0/0/1] nat outbound 2000 address-group 1
4. Easy IP
用途:出接口 IP 是动态获取的(如 PPPoE 拨号),无需地址池。
配置
[Huawei] acl 2000 [Huawei-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [Huawei] interface Dialer1 # 或 GigabitEthernet0/0/1(若 IP 动态) [Huawei-Dialer1] nat outbound 2000 # 不指定 address-group,自动用接口 IP
本质:NAPT + 接口 IP 作为地址池,适合 SOHO/小型分支。
5. NAT Server
用途:将公网 IP 的某个端口映射到内网服务器(目的地址转换 DNAT)。
配置
# 发布 HTTP 服务 [Huawei] nat server protocol tcp global 203.0.113.1 80 inside 192.168.1.100 80 # 发布 SSH(可指定不同端口) [Huawei] nat server protocol tcp global 203.0.113.1 2222 inside 192.168.1.100 22
同时自动处理 回程流量的 SNAT(无需额外配置)。
查看 NAT 会话
[Huawei] display nat session all # 查看所有 NAT 会话 [Huawei] display nat address-group # 查看地址池 [Huawei] display nat server # 查看服务器映射
ALG(应用层网关)支持: 华为 NAT 支持 ALG,解决 FTP、SIP、DNS 等协议穿越 NAT 的问题:
[Huawei] nat alg ftp enable
[Huawei] nat alg dns enable