1. 为什么企业需要NAT网关?
想象一下你公司的内网有100台电脑,但运营商只给你分配了5个公网IP地址。这时候怎么让所有电脑都能上网?NAT(网络地址转换)技术就是解决这个问题的关键。我在实际项目中最常遇到的情况是:企业内网设备需要访问互联网,但公网IP严重不足,这时候NAT网关就像个"翻译官",把内网地址转换成公网地址。
华为eNSP模拟器简直是网络工程师的福音。我刚开始接触网络配置时,用真机做实验动不动就搞崩整个网络,自从用了eNSP,随便折腾都不怕。这次我们就用eNSP搭建一个典型的企业网络环境,包含:
- 2台内网PC(192.168.1.1和192.168.1.2)
- 1台二层交换机(不用配置)
- 2台AR2220路由器(1台当网关,1台模拟互联网)
这个环境虽然简单,但已经能完整演示企业级NAT网关的所有核心功能。特别提醒新手:做实验前一定要保存现有配置,我有次忘记保存,8小时的工作全白费了。
2. 基础环境搭建实战
2.1 设备连接与IP规划
先打开eNSP新建工程,按照这个拓扑连接设备:
[PC1]----[SW]----[AR1(网关)]----[AR2(互联网)] [PC2]----/PC的配置最容易出错。记得有次我给PC配IP时手抖多输了个0,结果排查了半小时。正确配置应该是:
# PC1配置 IP地址:192.168.1.1 子网掩码:255.255.255.0 网关:192.168.1.254 # PC2配置 IP地址:192.168.1.2 子网掩码:255.255.255.0 网关:192.168.1.2542.2 路由器基础配置
网关路由器(AR1)的配置是重点,这两个接口千万不能配反:
system-view sysname AR1 # 内网接口 interface GigabitEthernet0/0/0 ip address 192.168.1.254 24 # 外网接口 interface GigabitEthernet0/0/1 ip address 12.1.1.1 24模拟互联网的路由器(AR2)更简单:
system-view sysname AR2 interface GigabitEthernet0/0/0 ip address 12.1.1.254 24测试环节很重要,先在PC1上ping 12.1.1.254,这时候应该ping不通。别慌,这是正常的,因为还没配置NAT。有趣的是,如果你在AR2上抓包,会发现其实能收到ping请求,只是回包被丢弃了——这就是典型的NAT应用场景。
3. 静态NAT配置详解
3.1 接口外配置方式
静态NAT就像给内网设备发"专属护照",每个内网IP固定对应一个公网IP。适合给服务器使用:
# 在AR1上配置 nat static global 12.1.1.2 inside 192.168.1.1 interface GigabitEthernet0/0/1 nat static enable配置后立即测试,PC1应该能ping通AR2了。这里有个坑:如果取消配置时顺序错了会导致配置残留。正确做法是:
interface GigabitEthernet0/0/1 undo nat static enable quit undo nat static global 12.1.1.2 inside 192.168.1.13.2 接口内配置方式
我更推荐这种配置方式,所有配置都在接口下完成:
interface GigabitEthernet0/0/1 nat static global 12.1.1.3 inside 192.168.1.1取消配置也更直观:
interface GigabitEthernet0/0/1 undo nat static global 12.1.1.3 inside 192.168.1.1静态NAT的优点是映射关系固定,适合需要稳定公网访问的场景。缺点是浪费IP资源,100个内网设备就需要100个公网IP,显然不现实。
4. 动态NAT三种模式实战
4.1 NO-PAT模式配置
NO-PAT模式只转换IP不转换端口,适合协议要求严格的场景。配置分三步:
- 创建地址池:
nat address-group 1 12.1.1.3 12.1.1.10- 配置ACL规则:
acl 2000 rule permit source 192.168.1.0 0.0.0.255- 接口应用:
interface GigabitEthernet0/0/1 nat outbound 2000 address-group 1 no-pat取消配置时要注意先后顺序:
interface GigabitEthernet0/0/1 undo nat outbound 2000 address-group 1 no-pat undo nat address-group 14.2 端口模式配置
这才是真正的PAT(端口地址转换),一个公网IP可以通过不同端口服务多个内网设备:
nat address-group 1 12.1.1.11 12.1.1.11 interface GigabitEthernet0/0/1 nat outbound 2000 address-group 1取消配置方法与NO-PAT类似。端口模式的最大优势是节省IP,但要注意有些特殊协议可能不支持端口转换。
4.3 Easy IP模式配置
这是最常用的模式,直接使用接口IP做转换:
interface GigabitEthernet0/0/1 nat outbound 2000简单到令人发指是不是?但功能一点不弱。我在中小企业项目中90%都用这种方案。取消配置就一行命令:
interface GigabitEthernet0/0/1 undo nat outbound 20005. NAT Server反向代理实战
想让外网访问内网服务器?NAT Server就是答案。比如把内网Web服务器映射出去:
interface GigabitEthernet0/0/1 nat server protocol tcp global 12.1.1.2 80 inside 192.168.1.2 80这个配置实现了:
- 外网访问12.1.1.2:80
- 自动转发到内网192.168.1.2:80
实际项目中我还遇到过需要映射多个端口的情况:
nat server protocol tcp global 12.1.1.2 3389 inside 192.168.1.3 3389 nat server protocol tcp global 12.1.1.2 21 inside 192.168.1.4 21排查NAT问题时,这个命令能救命:
display nat session all它会显示所有活跃的NAT会话,包括源/目的地址、端口和协议类型。有次客户反映FTP连接异常,就是通过这个命令发现NAT超时时间设置太短导致的。
方法在数据转换与聚合中的实战应用)
