网络地址转换(NAT, Network Address Translation)用于将私有 IP 地址转换为公有 IP 地址,以解决 IPv4 地址短缺问题并增强内网安全性。华为 VRP5 平台支持多种 NAT 模式,包括 Easy IP、静态 NAT 和 NAPT(Network Address Port Translation)。本文结合配置示例与故障排查,详解三类 NAT 的实现与运维。
1. NAT 类型对比
关键区别:
Easy IP 是 NAPT 的特例(地址池 = 出接口 IP)
静态 NAT 不使用端口转换,仅 IP 映射
所有类型均在 出方向(outbound) 执行转换
2. 基础配置要素
2.1 核心组件
ACL:定义需转换的私网源地址
地址池(可选):指定公网 IP 范围(Easy IP 无需)
NAT 策略:绑定 ACL 与地址池/接口
应用接口:在公网出接口启用 NAT
2.2 通用命令结构
[Router] acl number <acl-id> # 定义私网网段
[Router-acl-...] rule permit source <private-net> <wildcard>
[Router] nat address-group <group-name> # (非 Easy IP 需要)
[Router-address-group-<name>] mode pat # 启用端口复用(NAPT)
[Router-address-group-<name>] section 0 <start-ip> <end-ip>
[Router] interface <public-interface>
[Router-<interface>] nat outbound <acl-id> [address-group <name> | no-pat]注意:
nat outbound必须配置在 公网侧出接口
no-pat表示禁用端口转换(用于纯动态 NAT,不推荐)
3. 三类 NAT 配置详解
3.1 Easy IP(最常用)
场景
内网 192.168.1.0/24 通过路由器 GE0/0/1(公网 IP: 203.0.113.10)访问 Internet
使用出接口 IP 作为转换地址
配置
# 步骤1:定义内网 ACL
[Router] acl number 2000
[Router-acl-basic-2000] rule 5 permit source 192.168.1.0 0.0.0.255
[Router-acl-basic-2000] quit
# 步骤2:在公网接口启用 Easy IP
[Router] interface GigabitEthernet0/0/1
[Router-GigabitEthernet0/0/1] nat outbound 2000
[Router-GigabitEthernet0/0/1] quit说明:
未指定
address-group,默认使用接口 IP自动启用 PAT(端口复用)
3.2 静态 NAT(服务器映射)
场景
内网 Web 服务器 192.168.1.100 对外提供服务
公网用户通过 203.0.113.100 访问该服务器
配置
# 在公网接口配置一对一映射
[Router] interface GigabitEthernet0/0/1
[Router-GigabitEthernet0/0/1] nat static global 203.0.113.100 inside 192.168.1.100
[Router-GigabitEthernet0/0/1] quit双向生效:
外→内:目的 IP 203.0.113.100 → 转为 192.168.1.100
内→外:源 IP 192.168.1.100 → 转为 203.0.113.100
3.3 NAPT(地址池模式)
场景
内网 10.1.0.0/16 使用地址池 203.0.113.10–203.0.113.20 上网
支持最多约 65535 × 11 ≈ 72 万并发连接
配置
# 步骤1:定义 ACL
[Router] acl number 2001
[Router-acl-basic-2001] rule 5 permit source 10.1.0.0 0.0.255.255
[Router-acl-basic-2001] quit
# 步骤2:创建地址池(启用 PAT)
[Router] nat address-group OFFICE
[Router-address-group-OFFICE] mode pat
[Router-address-group-OFFICE] section 0 203.0.113.10 203.0.113.20
[Router-address-group-OFFICE] quit
# 步骤3:在公网接口应用
[Router] interface GigabitEthernet0/0/1
[Router-GigabitEthernet0/0/1] nat outbound 2001 address-group OFFICE
[Router-GigabitEthernet0/0/1] quit注意:
mode pat是默认行为,可省略若配置
undo mode pat,则为纯动态 NAT(无端口转换,不实用)
4. 验证与排查命令
4.1 典型输出分析
[Router] display nat session protocol tcp
NAT Session Info:
Protocol : TCP(6)
Private Host Port Public Host Port Expiry(s) Type
192.168.1.50 50123 203.0.113.10 60123 118 PATType = PAT 表示端口已转换
Expiry 为会话老化时间(TCP 默认 120 秒)
5. 注意事项
Easy IP 依赖接口 IP
若接口 IP 变更(如 DHCP 获取),NAT 自动更新
不支持多个公网 IP 的负载分担
静态 NAT 无需 ACL
直接在接口配置,独立于 outbound 策略
可同时配置多个静态映射
地址池不能包含接口 IP
若地址池包含出接口 IP,可能导致冲突
建议地址池与接口 IP 分离
NAT 与路由顺序
路由查找 先于 NAT 转换
确保公网路由可达(如默认路由指向 ISP)
ALG(应用层网关)支持
VRP5 默认启用 FTP、SIP 等 ALG,自动处理应用层 IP
若应用异常,可检查
display nat alg状态
6. 故障排查要点
最佳实践:
小型网络优先使用 Easy IP(配置简单)
对外服务器使用 静态 NAT(避免端口暴露)
中大型网络采用 NAPT 地址池(便于扩展与审计)
定期监控
display nat statistics评估资源使用
通过合理选择 NAT 模式并配合有效排查手段,可确保内网安全高效地访问外部网络,同时满足服务器发布需求。