华为路由NAT配置管理

NAT配置管理

一、简介

网络地址转换NAT（Network Address Translation）是将IP数据报文头中的IP地址转换为另一个IP地址的过程。 随着Internet的发展和网络应用的增多，IPv4地址枯竭已成为制约网络发展的瓶颈。

尽管IPv6可以从根本上解决IPv4地址空间不足问题，但目前众多网络设备和网络应用大多是基于IPv4的，因此在IPv6广泛应用之前，一些过渡技术（如CIDR、私网地址等）的使用是解决这个问题最主要的技术手段。

NAT主要用于实现内部网络（简称内网，使用私有IP地址）访问外部网络（简称外网，使用公有IP地址）的功能。当内网的主机要访问外网时，通过NAT技术可以将其私网地址转换为公网地址，可以实现多个私网用户共用一个公网地址来访问外部网络，这样既可保证网络互通，又节省了公网地址。

作为减缓IP地址枯竭的一种过渡方案，NAT通过地址重用的方法来满足IP地址的需要，可以在一定程度上缓解IP地址空间枯竭的压力。NAT除了解决IP地址短缺的问题，还带来了两个好处：

1、有效避免来自外网的攻击，可以很大程度上提高网络安全性。

2、控制内网主机访问外网，同时也可以控制外网主机访问内网，解决了内网和外网不能互通的问题。

二、原理

一、NAT概述

NAT是将IP数据报文头中的IP地址转换为另一个IP地址的过程，主要用于实现内部网络（私有IP地址）访问外部网络（公有IP地址）的功能。Basic NAT是实现一对一的IP地址转换，而NAPT可以实现多个私有IP地址映射到同一个公有IP地址上。 1、Basic NAT

Basic NAT方式属于一对一的地址转换，在这种方式下只转换IP地址，而不处理TCP/UDP协议的端口号，一个公网IP地址不能同时被多个私网用户使用。

图1 Basic NAT示意图

上图1描述了Basic NAT的基本原理，实现过程如下：

1. Router收到内网侧Host发送的访问公网侧Server的报文，其源IP地址为10.1.1.100。

2. Router从地址池中选取一个空闲的公网IP地址，建立与内网侧报文源IP地址间的NAT转换表项（正反向），

并依据查找正向NAT表项的结果将报文转换后向公网侧发送，其源IP地址是162.105.178.65，目的IP地址是211.100.7.34。

3. Router收到公网侧的回应报文后，根据其目的IP地址查找反向NAT表项，并依据查表结果将报文转换后向私

网侧发送，其源IP地址是162.105.178.65，目的IP地址是10.1.1.100。

由于Basic NAT这种一对一的转换方式并未实现公网地址的复用，不能有效解决IP地址短缺的问题，因此在实际应用中并不常用。

NAT设备拥有的公有IP地址数目要远少于内部网络的主机数目，这是因为所有内部主机并不会同时访问外部网络。公有IP地址数目的确定，应根据网络高峰期可能访问外部网络的内部主机数目的统计值来确定。

2、NAPT

除了一对一的NAT转换方式外，网络地址端口转换NAPT（Network Address Port Translation）可以实现并发的地址转换。它允许多个内部地址映射到同一个公有地址上，因此也可以称为“多对一地址转换”或地址复用。

NAPT方式属于多对一的地址转换，它通过使用“IP地址＋端口号”的形式进行转换，使多个私网用户可共用一个公网IP地址访问外网。

图2 NAPT示意图

上图2描述了NAPT的基本原理，实现过程如下：

1. Router收到内网侧Host发送的访问公网侧Server的报文。比如收到Host A报文的源地址是10.1.1.100，端口

号1025。

2. Router从地址池中选取一对空闲的“公网IP地址＋端口号”，建立与内网侧报文“源IP地址＋源端口号”间

的NAPT转换表项（正反向），并依据查找正向NAPT表项的结果将报文转换后向公网侧发送。比如Host A的报文经Router转换后的报文源地址为162.105.178.65，端口号16384。

3. Router收到公网侧的回应报文后，根据其“目的IP地址＋目的端口号”查找反向NAPT表项，并依据查表结

果将报文转换后向私网侧发送。比如Server回应Host A的报文经Router转换后，目的地址为10.1.1.100，端口号1025。

二、NAT实现

Basic NAT和NAPT是私网IP地址通过NAT设备转换成公网IP地址的过程，分别实现一对一和多对一的地址转换功能。在现网环境下，NAT功能的实现还得依据Basic NAT和NAPT的原理，NAT实现主要包括：Easy IP、地址池NAT、NAT Server和静态NAT/NAPT。

地址池NAT和Easy IP类似，此处只介绍Easy IP。 1、Easy IP

Easy IP方式可以利用访问控制列表来控制哪些内部地址可以进行地址转换。 Easy IP方式特别适合小型局域网访问Internet的情况。这里的小型局域网主要指中小型网吧、小型办公室等环境，一般具有以下特点：内部主机较少、出接口通过拨号方式获得临时公网IP地址以供内部主机访问Internet。对于这种情况，可以使用Easy IP方式使局域网用户都通过这个IP地址接入Internet。

图1 Easy IP示意图

如上图1所示，Easy IP方式的处理过程如下：

1. Router收到内网侧主机发送的访问公网侧服务器的报文。比如收到Host A报文的源地址是10.1.1.100，端口

号1540。

2. Router利用公网侧接口的“公网IP地址＋端口号”，建立与内网侧报文“源IP地址＋源端口号”间的Easy IP

转换表项（正反向），并依据查找正向Easy IP表项的结果将报文转换后向公网侧发送。比如Host A的报文经Router转换后的报文源地址为162.10.2.8，端口号5480。

3. Router收到公网侧的回应报文后，根据其“目的IP地址＋目的端口号”查找反向Easy IP表项，并依据查表

结果将报文转换后向内网侧发送。比如Server回应Host A的报文经Router转换后，目的地址为10.1.1.100，端口号1540。

2、NAT Server

NAT具有“屏蔽”内部主机的作用，但有时内网需要向外网提供服务，比如提供WWW服务或者FTP服务。这种情况下需要内网的服务器不被“屏蔽”，外网用户可以随时访问内网服务器。

NAT Server可以很好地解决这个问题，当外网用户访问内网服务器时，它通过事先配置好的“公网IP地址+端口号”与“私网IP地址+端口号”间的映射关系，将服务器的“公网IP地址+端口号”根据映射关系替换成对应的“私网IP地址+端口号”。

图2 NAT Server实现原理图

如上图2所示，NAT Server的地址转换过程如下：

1. 在Router上配置NAT Server的转换表项。

2. Router收到公网用户发起的访问请求，设备根据该请求的“目的IP+端口号”查找NAT Server转换表项，找

出对应的“私网IP+端口号”，然后用查找结果替换报文的“目的IP+端口号”。外网主机发送的报文，其目的地址是209.102.1.68，端口号80，经Router转换后目的地址转换为192.168.1.68，端口号80。 3. Router收到内网服务器的回应报文后，根据该回应报文的“源IP地址＋源端口号”查找NAT Server转换表项，

找出对应的“公网IP+端口号”，然后用查找结果替换报文的“源IP地址＋源端口号”。内网服务器回应外网主机的报文，其源地址是192.168.1.68，端口号80，经Router转换后源地址转换为209.102.1.68，端口号80。

3、静态NAT/NAPT

静态NAT是指在进行NAT转换时，内部网络主机的IP同公网IP是一对一静态绑定的，静态NAT中的公网IP只会给唯一且固定的内网主机转换使用。

静态NAPT是指“内部网络主机的IP+协议号+端口号”同“公网IP+协议号+端口号”是一对一静态绑定的，静态NAPT中的公网IP可以为多个私网IP使用。

静态NAT/NAPT还支持将指定私网范围内的主机IP转换为指定的公网范围内的主机IP。当内部主机访问外部网络时，如果该主机地址在指定的内部主机地址范围内，会被转换为对应的公网地址；同样，当公网主机对内部主机进行访问时，如果该公网主机IP经过NAT转换后对应的私网IP地址在指定的内部主机地址范围内，也是可以直接访问到内部主机。

三、NAT ALG

NAT和NAPT只能对IP报文的头部地址和TCP/UDP头部的端口信息进行转换。对于一些特殊协议，例如FTP等，它们报文的数据部分可能包含IP地址信息或者端口信息，这些内容不能被NAT有效的转换。解决这些特殊协议的NAT转换问题的方法就是在NAT实现中使用应用层网关ALG（Application Level Gateway）功能。

ALG是对特定的应用层协议进行转换，在对这些特定的应用层协议进行NAT转换过程中，通过NAT的状态信息来改变封装在IP报文数据部分中的特定数据，最终使应用层协议可以跨越不同范围运行。

例如，一个使用内部IP地址的FTP服务器可能在和外部网络主机建立会话的过程中需要将自己的IP地址发送给对方。而这个地址信息是放到IP报文的数据部分，NAT无法对它进行转换。当外部网络主机接收了这个私有地址并使用它，这时FTP服务器将表现为不可达。

目前支持ALG功能的协议包括：DNS、FTP、SIP、PPTP和RTSP。不同协议支持的NAT转换字段如表1所示。 表1 不同协议支持的NAT转换字段表 应用协议 做NAT变换的字段 表1 不同协议支持的NAT转换字段表 应用协议 DNS FTP 做NAT变换的字段 响应报文中的IP和Port ? ? Port请求报文中载荷里的IP和Port Passive响应报文中载荷里的IP和Port Request line From To Contact Via O Message body的C字段地址和M字段的端口 record-router SIP ? ? ? ? ? ? ? ? PPTP 分PPTP Client在私网还是PPTP Server在私网两种场景： ? PPTP Client在私网，PPTP Server在公网时，仅对Client-Call-ID进行端口替换 ? PPTP Server在私网，PPTP Client在公网时，仅对Server-Call-ID进行端口替换 setup/reply OK报文中的端口字段 RTSP

四、DNS Mapping

在某些应用中，私网用户希望通过域名访问位于同一私网的内部服务器，而DNS服务器却位于公网。由于通常DNS响应报文中携带的是内部服务器的公网IP地址，因此若NAT设备未将DNS Server解析的公网IP替换成内部服务器对应的私网IP，私网用户将无法通过域名访问到内部服务器。

这个问题可以使用DNS Mapping方式来解决，通过配置“域名—公网IP地址—公网端口—协议类型”映射表，建立内部服务器的域名与其公网信息间的对应关系。

下图1描述了DNS Mapping的基本原理。

图1 DNS Mapping示意图

如上图1所示，私网用户Host希望通过域名方式访问Web Server，Router作为NAT服务器。当Router设备收到DNS响应报文后，先根据其中携带的域名查找DNS Mapping映射表，再根据“公网IP地址—公网端口—协议类型”查找Web Server，然后将DNS响应报文中的公网IP地址替换成Web Server的私网IP地址。这样，Host收到的DNS响应报文中就携带了Web Server的私网IP地址，从而可以通过域名来访问Web Server。

五、NAT关联VPN

NAT不仅可以使内部网络的用户访问外部网络，还允许内部网络中分属于不同VPN（Virtual Private Network）的用户通过同一个出口访问外部网络，解决内部网络中IP地址重叠的VPN同时访问外网主机的问题；NAT还支持VPN关联的NAT Server，允许外部网络中的主机访问内网中分属不同VPN的服务器，同时支持内网多个VPN地址重叠的场景。

1、VPN关联的源NAT

VPN关联的源NAT是指内部网络中分属于不同VPN的用户通过NAT技术访问外部网络，组网如下图1所示。

图1 VPN关联的源NAT

VPN关联的源NAT的实现方式如下：

1. VPN 1内的主机A和VPN 2内的主机B地址重叠，都为私网地址10.1.1.1，都要同时访问外部网络的一个服务

器。

2. Router在做源NAT时，将内部VPN作为一个NAT的匹配条件，将主机A发出报文的源IP转换为202.1.1.1，

将主机B发出报文的源IP转换为202.1.2.1，同时在建立的NAT转换表中，记录用户的VPN信息。 3. 当外部网络服务器回应内部网络主机A和B的报文经过Router时，根据已建立的NAT映射表，NAT模块将发

往主机A报文的目的IP从202.1.1.1转换为10.1.1.1，然后再发往VPN 1的目的主机；将发往主机B报文的目的IP从202.1.2.1转换为10.1.1.1，然后再发往VPN 2的目的主机。 2、VPN关联的NAT Server

VPN关联的NAT Server是指外网主机通过NAT技术访问内网中分属不同VPN的服务器。

图2 VPN关联的NAT Server

组网如上图2所示，VPN 1内Server A和VPN 2内的Server B的地址都是10.1.1.1；使用202.1.10.1做为VPN 1

内的Server A的外部地址，使用202.1.20.1做为VPN 2内的Server B的外部地址。这样，外部网络的用户使用202.1.10.1就可以访问到VPN 1提供的服务，使用202.1.20.1就可以访问VPN 2提供的服务。 VPN关联的NAT Server的实现方式如下：

1. 外部网络的主机访问VPN 1内的Server A，报文目的IP是202.1.10.1；访问VPN 2内的Server B，报文目的IP

是202.1.20.1。

2. Router在做NAT server时，根据报文的目的IP及VPN信息进行判断，将目的IP是202.1.10.1的报文的目的

IP转换为10.1.1.1，然后发往VPN 1的目的Server A；将目的IP是202.1.20.1的报文的目的IP转换为10.1.1.1，然后发往VPN 2的目的Server B；同时在新建的NAT映射表中，记录下关联的VPN信息。 3. 当内部Server A和B回应外部网络主机的报文经过Router时，根据已建立的NAT映射表，NAT模块将从Server

A发出的报文的源IP从10.1.1.1转换为202.1.10.1，再发往外部网络；将从Server B发出的报文的源IP从10.1.1.1转换为202.1.20.1，再发往外部网络。

六、两次NAT

两次NAT即Twice NAT，指源IP和目的IP同时转换，该技术应用于内部网络主机地址与外部网络上主机地址重叠的情况。

图1 两次NAT示意图

如上图1所示，两次NAT转换的过程如下:

1. 内网Host A要访问地址重叠的外部网络Host B，Host A向位于外部网络的DNS服务器发送访问外网Host B的

DNS请求，DNS服务器应答Host B的IP地址为1.1.1.1，DNS应答报文在经过Router时，进行DNS ALG，Router将DNS应答报文中的重叠地址1.1.1.1转换为唯一的临时地址3.3.3.1，然后再转发给Host A。

2. Host A访问Host B，目的IP为临时地址3.3.3.1，报文在经过Router时，Router检查到目的IP是临时地址，

进行目的地址转换，将报文的目的IP转换为Host B的真实地址1.1.1.1，同时进行正常的NAT Outbound转换，将报文的源IP转换为源NAT地址池地址；Router将报文转发到Host B。

3. Host B回应Host A，目的IP为Host A的NAT Outbound地址池地址，源IP为Host B的地址1.1.1.1，报文在经

过Router时，Router检查到源IP是重叠地址，进行源地址转换，将报文的源IP转换为对应的临时地址3.3.3.1，同时进行正常的目的地址转换，将报文的目的IP从源NAT地址池地址转换为Host A的内网地址1.1.1.1；Router将报文转发到Host A。

图2 内网多VPN情况下的两次NAT示意图

考虑到内网有多个VPN的场景，且内网多个VPN的地址一样的情况下，在Router上DNS ALG时，增加内网VPN信息作为重叠地址池到临时地址的映射关系匹配条件之一，如上图2所示。内网多VPN情况下的两次NAT转换过程和两次NAT转换的过程类似，只是VPN A中的Host A转换为临时地址3.3.3.1，而VPN B中的Host B转换为临时地址4.4.4.1。

七、NAT过滤和映射方式

NAT过滤功能可以让NAT设备对外网发到内网的流量进行过滤；NAT映射功能可以让内部网络中的一组主机通过NAT映射表映射到一个外部IP地址，共享这一个IP地址，所有不同的信息流看起来好像来源于同一个IP地址。 1、NAT过滤

NAT过滤是指NAT设备对外网发到内网的流量进行过滤，包括三种类型： ? 与外部地址无关的NAT过滤行为 ? 与外部地址相关的NAT过滤行为

? 与外部地址和端口都相关的NAT过滤行为 应用场景如下图1所示：

图1 NAT过滤应用组网图

上图中，私网用户PC-1通过NAT设备与外网用户PC-2、PC-3进行通信。数据报文1代表私网主机PC-1访问公网PC-2，PC-1使用的端口号为1111，访问PC-2的端口2222；经过NAT设备时，源IP转换为202.169.10.1。

当私网主机向某公网主机发起访问后，公网主机发向私网主机的流量经过NAT设备时需要进行过滤。数据报文2’、数据报文3’和数据报文4’代表三种场景，分别对应上述三种NAT过滤类型：

? 数据报文2’代表公网主机PC-3（与报文1的目的地址不同）访问私网主机PC-1，目的端口号为1111，只有

配置了外部地址无关的NAT过滤行为，才允许此报文通过，否则被NAT设备过滤掉。

? 数据报文3’代表公网服务器PC-2（与报文1的目的地址相同）访问私网主机PC-1，目的端口号为1111，源

端口号为3333（与报文1的目的端口不同），只有配置了外部地址相关的NAT过滤行为或者配置了外部地址无关的NAT过滤行为，才允许此报文通过（均不涉及端口号），否则被NAT设备过滤掉。

? 数据报文4’代表公网服务器PC-2（与报文1的目的地址相同）访问私网主机PC-1，目的端口号为1111，源

端口号为2222（与报文1的目的端口相同），这属于外部地址和端口都相关的NAT过滤行为，是缺省的过滤行为，不配置或者配置任何类型的NAT过滤行为，都允许此报文通过，不会被过滤掉。

2、NAT映射

在Internet中使用NAT映射功能，所有不同的信息流看起来好像来源于同一个IP地址。因为NAT映射使得一组主机可以共享唯一的外部地址，当位于内部网络中的主机通过NAT设备向外部主机发起会话请求时，NAT设备就会查询NAT表，看是否有相关会话记录，如果有相关记录，就会将内部IP地址及端口同时进行转换，再转发出去；如果没有相关记录，进行IP地址和端口转换的同时，还会在NAT表增加一条该会话的记录。

NAT映射是NAT设备对内网发到外网的流量进行映射，包括以下两种类型： 外部地址无关的映射：

对相同的内部IP和端口重用相同的地址端口映射。 外部地址和端口相关的映射：

对相同的内部IP地址和端口号访问相同的外部IP地址和端口号重用相同的端口映射（如果此映射条目还处在活动状态）。

三、具体配置

一、动态NAT配置

1、基本配置

配置思路主要有三步：

1、通过acl指定使用需要进行NAT转换的内网IP地址范围 2、创建用于动态NAT转换的公网地址池 3、在出接口把acl和公网地址池进行关联 4、根据需求使用后面的扩展应用 具体配置：

1、通过acl指定需要转换的内部地址、范围、协议

[Huawei-acl-basic-2000]rule 1 permit source 10.1.1.0 0.0.0.255 #允许10.1.1.0/24网段的用户进行NAT转换 [Huawei-acl-basic-2000]rule 1 permit source 10.10.10.10 0 # 允许10.10.10.10用户进行NAT转换

[Huawei-acl-adv-3000]rule 1 permit tcp source 10.1.1.0 0.0.0.255 #允许10.1.1.0/24网段的用户TCP通信时进行NAT转换

2、设置公网映射地址池IP地址（可选）

[Huawei]nat address-group 1 100.100.100.1 100.100.100.10

3、设置出接口与acl和地址池直接的关联

Huawei-GigabitEthernet0/0/2]nat outbound 2000 address-group 1 ?

no-pat Not use PAT #表示一对一转换，只转换地址不转换端口信息

interface #指定某个接口（一般为NAT的出接口）的IP作为转换后的公网IP地址 Please press ENTER to execute command 或（easy IP地址转换）

[Huawei-GigabitEthernet0/0/2]nat outbound 2000 # 直接使用出接口的IP地址进行转换（可静态可动态）

如果需要在Router上执行ping -a source-ip-address命令通过指定发送ICMP ECHO-REQUEST报文的源IP地址来验证内网用户可以访问因特网，需要配置命令ip soft-forward enhance enable使能设备产生的控制报文的增强转发功能，这样，私网的源地址才能通过NAT转换为公网地址。缺省情况下，设备产生的控制报文的增强转发功能处于使能状态。

2、可选配置 1、NAT ALG

NAT ALG（application level gateway，应用层网关）

一般情况下，NAT只能对IP报文头的IP地址和TCP/UDP头部的端口信息进行转换。对于一些特殊协议，例如DNS、FTP等，它们报文的数据部分可能包含IP地址或端口信息，这些内容不能被NAT有效的转换，从而无法正确完成通信。

使能ALG（Application Level Gateway）功能可以使NAT设备识别被封装在报文数据部分的IP地址或端口信息，并根据映射表项进行替换，实现报文正常穿越NAT。

目前设备的ALG功能所支持的协议包括：DNS、FTP、SIP、PPTP和RTSP。 具体配置：

[Huawei]nat alg ? all All protocol dns Dns protocol ftp Ftp protocol rtsp Rtsp protocol sip Sip protocol

2、配置NAT设备上的SIP呼叫带宽限制功能

针对SIP Server在公网侧，私网的SIP Phone和公网的SIP Phone互通的场景，如果NAT设备上的带宽不够，就会影响通话质量。我们可以在NAT设备上使能呼叫会话控制CAC（Call Admission Control）功能并配置总带宽，对SIP呼叫进行带宽限制，超过指定带宽的SIP呼叫将被拒绝，无法呼叫成功。 具体配置

[Huawei]nat sip cac enable bandwidth ? #模拟器暂无法模拟

3、配置NAT过滤方式和映射模式

由于IPv4地址的短缺以及出于安全考虑等因素，在因特网中广泛采用了NAT技术。由于不同厂商实现的NAT功能不同，可能会导致使用STUN（通过NAT的UDP简单穿越）、TURN（中继NAT穿越）、ICE（交互式连通建立）技术的应用软件无法穿越NAT，因为这些技术广泛依赖于SIP（会话初始协议）代理等软件。

SIP属于多通道应用，在功能实现时需要创建多个数据通道链接。为了保障多个通道的链接，必须配置NAT映射模式和过滤方式，只允许符合映射关系、过滤条件的报文通过。

设备支持的NAT映射包含如下两种类型：

1、外部地址和端口无关的映射：对相同的内部IP地址和端口重用相同的地址端口映射。

2、外部地址和端口相关的映射：对相同的内部IP地址和端口号访问相同的外部IP地址和端口号重用相同的地址端口映射（如果此映射项还处在活动状态）。

设备支持的NAT过滤方式包含如下三种类型： 1、与外部地址和端口无关的NAT过滤方式。 2、与外部地址相关，端口无关的NAT过滤方式。 3、与外部地址和端口都相关的NAT过滤方式。 具体配置

1、NAT映射模式

[Huawei]nat mapping-mode endpoint-independent ? dest-port 8090

tcp Transmission Control Protocol # 指定应用于TCP通信 udp User Datagram Protocol

Please press ENTER to execute command 2、NAT过滤方式

[Huawei]nat filter-mode ?

endpoint-and-port-dependent Endpoint and port dependent # 与外部地址和端口同时相关 endpoint-dependent Endpoint dependent # 与外部地址相关 endpoint-independent Endpoint independent # 与外部地址不相关

4、配置两次NAT

内外网地址重叠的主机可以根据重叠地址池和临时地址池的映射关系，将重叠地址替换为临时地址同时做NAT，实现内外网的互访。

重叠地址池用来指定内网哪些IP允许和外网重叠，只有属于重叠地址池的地址才会做两次NAT。 临时地址池指定了用哪些临时IP地址来替换重叠地址池里的地址。 具体配置

[Huawei]nat overlap-address 0（索引号） 10.1.1.1（重叠地址） 20.20.20.1（临时地址） pool-length 200（临时地址池个数）

5、设置NAT日志功能

[Huawei]firewall log session enable # 打开防火墙日志功能 默认未打开 [Huawei]firewall log session nat enable # 打开NAT日志功能 默认未打开 [Huawei]info-center enable # 打开信息中心功能

[Huawei]info-center logfile channel channel6 # 设置输入日志通道，详情见信息中心配置

6、设置NAT映射老化时间 [Huawei]firewall-nat session ? dns DNS protocol

ftp File Transfer Protocol

ftp-data Data packet of FTP protocol http HTTP protocol icmp ICMP protocol

rtsp Real Time Streaming protocol rtsp-media Media packet of RTSP protocol sip Session Initiated Protocol sip-media Media packet of SIP protocol tcp TCP protocol tcp-proxy TCP SYN packet udp UDP protocol

[Huawei]firewall-nat session dns aging-time ?

INTEGER<1-65535> Aging-time value in seconds

二、静态NAT配置

静态NAT配置的主要思路：

设置静态地址映射就是设置私网IP与公网IP地址的一对一映射表项，可以在系统视图下为所有NAT出口全局配置，也可以在NAT出接口下仅为该接口配置。

在undo nat static时，设备上的静态映射表项不会立刻消失，如果需要立刻清除，需要手动执行reset nat session来清除。

当配置借用接口接口地址的静态1:1NAT时（不指定端口号）时，可能造成该接口的其他业务无法使用，请谨慎选择。 具体配置：

1、设置静态NAT类型

[Huawei]nat static global 10.10.10.10 inside 192.168.10.1 netmask 255.255.255.1.0 # 基于全局的静态NAT #这里的掩码仅用来指定可建立的地址映射表项数，不是映射地址中的子网掩码

[Huawei]nat static protocol tcp global 10.10.10.1 inside 192.168.1.1 netmask 255.255.255.240 # 基于协议的静态NAT [Huawei]nat static protocol tcp global interface loopback 1 （环回口地址作为公网地址） 8989 （端口号）inside 192.168.1.1 netmask 255.255.255.2

[Huawei-GigabitEthernet0/0/2]nat static enable # 使能静态NAT功能

在接口视图下配置差不多，唯有current-interface 指定当前接口的IP作为公网地址

三、NAT server配置

解决外网用户访问采用私网地址的内网服务器的一种方案

配置思想就是为内部服务器创建全局公网IP到内网私网IP之间的一对一静态静态映射表项。 具体配置：

1、设置内部服务器地址映射

[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global ?

X.X.X.X Global IP address of NAT # 内部服务器提供给外部访问的公网地址

current-interface Address of current interface # 当前NAT出接口的地址为内部服务器的公网地址 interface Specify the interface # 以指定接口的IP地址作为内部服务器的公网地址

如：[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global 61.128.128.69（ftp） inside 192.168.4.11（ftp）

# 如果使用接口地址作为内网服务器地址，可以使用current-interface，也可以指定实际存在的loopback接口地址作为内网服务器地址。

在设备上执行undo nat server命令，设备上的映射表项不会立刻消失，需要手动执行reset nat session命令来清除表项信息。

NAT Server和静态NAT的区别就是NAT Server对于内网主动访问外网的情况不做端口替换，仅作地址替换。 当配置借用接口地址的1：1 NAT Server（不指定端口号，接口地址对应一个私网地址）时，可能会造成在该接口地址上启用的其他业务无法正常使用，请谨慎选择，如果确定在该接口地址上启用其他应用，请在配置后面增加ACL排除启用应用的端口号。

2、DNS mapping

企业内如果没有内网的DNS服务器，而且又有使用域名访问内网服务器的需求，这就要求企业内网用户必须使用外网的DNS服务器来实现域名访问。

内网用户可以通过NAT使用外网的DNS服务器访问外网的服务器，但如果内网用户通过外网的DNS服务器访问内网服务器时就会失败。因为来自外网的DNS解析结果是内网服务器对外宣称的IP地址，并非内网服务器真实的私网IP地址。

在配置静态地址转换时配置DNS Mapping，可以指明“域名—公网IP地址—公网端口—协议类型”映射表项。当DNS解析报文到达NAT设备时，NAT设备会根据DNS Mapping建立的映射表项查找静态地址表项，得到公网IP地址对应的私网IP地址，再用该私网地址替换DNS的解析结果转发给用户。

配置了DNS Mapping后必须执行nat alg dns enable命令使能ALG DNS功能，才可以使DNS应答报文正常穿越NAT，否则内部主机无法使用域名访问内网服务器。 具体配置：

[Huawei]nat dns-map www.023wg.com 114.114.114.114 80 tcp [Huawei]nat alg dns enable # 使能NAT alg功能

NAT关联VPN

允许内部网络中分属于不同VPN（不同VPN内的主机地址重叠）址相同的用户通过同一出口（不同vpn出口的IP地址或网关不同）访问外部网络，解决内部网络中IP地址重叠的vpn同时网络外部网络的问题

还支持vpn关联的NAT server，即允许外部网络中的主机访问内网中不同vpn的服务器，同时支持内网中多个vpn地址的重叠。

1、vpn关联的源NAT

内部网络中分属于不同vpn（不同VPN地址相同）的用户通过同一个nat出口访问外部网络，仅用于静态NAT中。 2、vpn关联的nat server

外网主机通过nat技术访问内外中不同vpn（不同vpn地址相同）的服务器

本文来源：https://www.bwwdw.com/article/aeh7.html