华为 NE20R NAT 配置方式及原理
1. NAT 基本原理
网络地址转换(NAT)用于将内部私有 IP 地址映射到公网 IP,实现内部网络共享公网资源。NE20R 在路由器上提供三类 NAT:静态 NAT(Static NAT)、动态 NAT(Dynamic NAT)、端口地址转换(PAT/Overload)。
2. 静态 NAT(Static NAT)
将单个内部 IP 与公网 IP 一对一绑定,适用于需要外部直接访问的服务器。
nat address-group static-101
203.0.113.10 192.168.1.10
exit
interface GigabitEthernet0/0/0
ip address 203.0.113.1 255.255.255.0
nat address-group static-101 outbound
exit3. 动态 NAT(Dynamic NAT)
使用地址池为内部主机动态分配公网 IP,适合临时对外访问。
nat address-group pool-101
start 203.0.113.20 end 203.0.113.30
exit
nat address-group pool-101 inbound
ip-group 10.0.0.0 255.255.255.0
exit4. 端口地址转换(PAT / Overload)
所有内部主机共用一个公网 IP,通过端口号区分会话,是最常见的上网方式。
nat address-group overload
203.0.113.1
exit
interface GigabitEthernet0/0/0
ip address 203.0.113.1 255.255.255.0
nat address-group overload outbound
exit
nat address-group overload inbound
ip-group 10.0.0.0 255.255.255.0
exit5. NAT 策略与适用场景
| 场景 | 推荐 NAT 类型 | 关键配置要点 |
|---|---|---|
| 对外提供服务的服务器 | 静态 NAT | 一对一映射,确保公网 IP 不变 |
| 临时外网访问需求 | 动态 NAT | 配置合适的地址池,覆盖内部子网 |
| 普通企业内网上网 | PAT(Overload) | 启用 outbound & inbound,注意会话数限制 |
6. 常见问题与排查
- 映射无效:检查接口是否绑定了正确的 address-group。
- 会话数受限:PAT 场景可通过
nat max-session调整。 - 双向通信:确保 inbound 方向同样配置对应的 address-group。
7. 小结
NE20R 的 NAT 功能覆盖了静态、动态以及端口复用三大需求。根据业务场景选择合适的 NAT 类型并正确配置 address-group 与接口绑定,即可实现安全、可扩展的内外网互访。