在运营商级网络架构中,华为 NE20 系列路由器(如 NE20R)承担着关键的汇聚与接入角色。由于 IPv4 地址资源的极其匮乏,NAT(网络地址转换)成为了网络工程师必须掌握的核心技术。本文将深度解析 NE20R 上 NAT 的实现原理以及三种主流的配置方案。
一、 NAT 的核心工作原理
NAT 的本质是在数据包经过路由器时,修改 IP 报文头部的源地址(Source IP)或目的地址(Destination IP)。
1.1 地址术语定义
为了准确描述转换过程,华为设备遵循以下术语:
- Inside Local:内网主机的真实 IP(私网地址)。
- Inside Global:内网主机在公网上的映射地址(公网地址)。
- Outside Global:外网主机的真实 IP。
- Outside Local:外网主机在内网看来映射的地址(通常等于 Outside Global)。
1.2 状态表机制 (Session Table)
NE20R 采用有状态 NAT。当第一个数据包触发转换时,路由器会在内存中创建一条 Session 表项,记录 {源IP, 源端口, 目的IP, 目的端口, 协议} 的映射关系。后续的所有回程报文将根据此表项进行反向转换,从而确保连接的连续性。
二、 三种核心配置方式详解
1. 静态 NAT (Static NAT)
场景:将内网的一台服务器(如 Web 服务器)固定映射到一个公网 IP,允许外部主动发起访问。
特点:一对一映射,双向通信。
nat static global 1.1.1.1 inside 192.168.1.10
2. 动态 NAT (Dynamic NAT)
场景:公司内部有大量用户需要上公网,但公网 IP 数量有限。从一个公网地址池中动态分配 IP。
特点:多对多映射,随机分配,不支持外部主动发起连接。
nat address-group 1 1.1.1.10 1.1.1.20
# 2. 定义 ACL 匹配需要转换的内网用户
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255
# 3. 配置 NAT 策略
nat address-group 1 acl 2000
3. NAPT / Easy IP (端口多路复用)
场景:最常见的互联网出口方案。成千上万个内网用户共用一个或少数几个公网 IP,通过不同的源端口来区分。
特点:多对一映射,极大地节省 IP 资源。
acl 2001
rule 5 permit source 192.168.1.0 0.0.0.255
# 2. 在出口接口应用 NAT Easy IP (直接使用接口 IP)
interface GigabitEthernet0/0/1
nat outbound easy-ip
# 或者使用地址池形式的 NAPT
nat address-group 2 1.1.1.100 1.1.1.100
nat address-group 2 acl 2001
三、 配置实战:标准全流程
以下是一个完整的 NE20R 出口 NAT 配置示例:
system-view
# 配置 ACL 限制 NAT 范围
acl 2000
rule 5 permit source 192.168.10.0 0.0.0.255
quit
# 定义公网地址池
nat address-group 1 202.100.1.10 202.100.1.20
# 配置 NAPT 策略
nat address-group 1 acl 2000
# 在 WAN 口指定 NAT 方向
interface GigabitEthernet0/0/0
nat outbound
quit
四、 运维排错与验证
在 NE20R 上,最核心的排错命令是查看 Session 表。如果用户无法上网,应首先检查转换是否生效。
| 命令 | 作用 |
|---|---|
display nat session all |
查看所有当前的 NAT 转换会话,确认映射关系。 |
display nat address-group 1 |
查看地址池的使用情况及剩余可用 IP。 |
reset nat session all |
强制清除所有 NAT 会话(谨慎使用,会导致所有连接中断)。 |
常见问题排查:
- 检查 ACL:确认内网 IP 是否在 ACL 允许范围内。
- 检查接口:确认
nat outbound是否配置在正确的出接口。 - 检查地址池:确认公网地址池是否已耗尽。