NAT 配置实验详解：从原理到真机配置全过程

一、什么是 NAT？为什么我们需要它？

NAT（Network Address Translation，网络地址转换），是一种将私有 IP 地址转换为公有 IP 地址的技术。 在我们日常的局域网中，大量设备使用的都是 192.168.x.x、10.x.x.x 这类私有 IP，这些地址无法直接在公网路由。NAT 就像一个 “地址翻译官”，让多个内网设备可以共享少量公网 IP 访问互联网，既解决了公网 IP 地址不足的问题，也能隐藏内网真实地址，提升网络安全性。

常见的 NAT 类型有：

• 静态 NAT：一对一的固定地址映射，适合需要外网固定访问的服务器
• 动态 NAT：多对多的地址池映射，内网设备随机获取公网地址池中的地址
• NAPT（端口地址转换）：多对一的 PAT，通过不同端口区分不同内网设备，是家庭 / 企业网络中最常用的模式

二、实验拓扑与需求说明

本次实验我们以华为 VRP 系统路由器为例，搭建一个典型的 NAPT 配置场景：

• 拓扑结构：

  • 内网路由器 R1，连接服务器 Server1 和 PC1，网段为 192.168.1.0/24
  • 公网路由器 R2，模拟运营商设备，公网 IP 为 101.31.200.8/24
  • R1 的外网接口连接 R2，实现内网设备访问公网的 NAT 转换

• 实验目标：

  1. 让内网 PC 和服务器可以访问公网设备
  2. 配置静态 NAT，让公网设备可以访问内网的服务器
  3. 验证 NAT 转换是否生效，查看地址映射关系

三、设备基础配置（先把路由和 IP 打通）

1. 内网路由器 R1 基础配置

bash

运行

# 配置设备名称 sysname R1 # 配置内网接口GE0/0/0（连接内网设备） interface GigabitEthernet 0/0/0 ip address 192.168.1.254 255.255.255.0 quit # 配置外网接口GE0/0/1（连接公网路由器） interface GigabitEthernet 0/0/1 ip address 101.31.200.7 255.255.255.0 quit # 配置默认路由，所有公网流量转发到R2 ip route-static 0.0.0.0 0.0.0.0 101.31.200.8

2. 公网路由器 R2 基础配置

bash

运行

# 配置设备名称 sysname R2 # 配置连接R1的接口GE0/0/0 interface GigabitEthernet 0/0/0 ip address 101.31.200.8 255.255.255.0 quit # 配置回网路由，确保NAT回包能回到R1 ip route-static 192.168.1.0 255.255.255.0 101.31.200.7

3. 内网设备 IP 配置

• Server1：IP192.168.1.10/24，网关192.168.1.254
• PC1：IP192.168.1.20/24，网关192.168.1.254

四、核心 NAT 配置（R1 上操作）

1. 配置 NAPT（多对一 PAT，实现内网设备访问公网）

bash

运行

# 第一步：配置ACL，定义需要转换的内网网段 acl number 2000 rule permit source 192.168.1.0 0.0.0.255 quit # 第二步：在外网接口上配置Easy IP（直接用接口公网IP做PAT） interface GigabitEthernet 0/0/1 nat outbound 2000 quit

这里的nat outbound 2000就是最常用的 Easy IP 模式，直接复用外网接口的 IP 地址做端口转换，不需要额外的公网地址池，非常适合只有一个公网 IP 的场景。

2. 配置静态 NAT（让公网访问内网服务器）

如果我们需要让公网设备主动访问内网的 Server1（192.168.1.10），可以配置静态 NAT 映射：

bash

运行

# 在外网接口配置静态NAT，把公网地址的端口映射到内网服务器 interface GigabitEthernet 0/0/1 # 静态一对一地址映射 nat static global 101.31.200.9 inside 192.168.1.10 quit

配置完成后，公网设备访问101.31.200.9就会被 R1 转换为访问内网的192.168.1.10。

五、验证 NAT 配置是否生效

1. 查看 NAT 转换表

在 R1 上执行以下命令，查看地址映射关系：

bash

运行

display nat session all

正常情况下，你会看到内网设备的 192.168.1.x 地址被转换为外网接口的 101.31.200.7 地址，同时显示对应的端口号，说明 NAPT 转换成功。

也可以用命令查看静态 NAT 配置：

bash

运行

display nat static

能看到我们配置的公网地址和内网服务器地址的映射关系，说明静态 NAT 配置成功。

2. 实际连通性测试

• 内网 PC1 ping 公网 R2 的接口 IP：能 ping 通，说明 NAPT 正常工作
• 公网设备 ping101.31.200.9：能 ping 通，说明静态 NAT 映射生效
• 在 Server1 上开启 HTTP 服务，公网设备访问http://101.31.200.9，能正常打开网页，验证服务访问正常

六、常见问题与排坑指南

1. NAT 配置了但无法访问公网？

   • 先检查基础连通性：内网 PC ping 网关 R1 是否正常，R1 ping 公网 R2 是否正常
   • 检查 ACL 配置：是否正确允许了需要转换的内网网段，规则是否被其他 deny 规则覆盖
   • 检查路由：R1 是否配置了正确的默认路由，R2 是否配置了回网路由

2. 静态 NAT 无法被公网访问？

   • 确认静态 NAT 配置是否在外网接口上
   • 检查内网服务器的网关是否指向 R1，没有网关的设备无法接收回包
   • 检查设备上是否有防火墙 / 安全策略阻止了流量

3. 多个内网设备同时访问公网时断时续？

   • 检查是否配置了足够的端口池，或者改用 Easy IP 模式，避免端口不足
   • 确认没有地址冲突，内网网段和公网网段不能重复

七、实验总结

通过本次 NAT 配置实验，我们实现了内网设备共享公网 IP 访问互联网，同时通过静态 NAT 实现了内网服务器的外网访问。NAT 不仅解决了公网 IP 地址短缺的问题，还能有效隐藏内网拓扑，提升网络安全性，是企业和家庭网络中必不可少的技术。

在实际工作中，我们还可以结合 NAT Server（端口映射）、NAT 地址池等功能，实现更复杂的网络访问需求，后续会给大家分享更进阶的 NAT 配置案例～