一、NATServer核心概念
NATServer(网络地址转换服务器)是一种特殊的NAT技术,主要用于将内网服务器发布到公网,让外部用户能够访问内网服务。用于将内网服务器的 私有IP地址和端口 ,映射到一个对公网可见的 公有IP地址和端口 上。
-
解决的问题:让互联网上的用户能够访问位于企业私网内部的服务器(如 Web、FTP、邮件服务器)。
-
核心原理 :在网络的出口网关(路由器或防火墙)上,建立一张静态的、双向的映射表。当外网流量到达网关的公网 IP 和指定端口时,网关会主动将其目的地址和端口转换为内网服务器的地址和端口,并转发进去;反之,服务器返回的流量也会被正确转换回公网地址。
核心作用:
- 端口级映射:实现公网IP+端口与私网IP+端口的映射关系
- 安全隐藏:隐藏内部服务器真实地址
- 服务发布:允许公网用户访问内网提供的Web、FTP、Telnet等服务
与普通NAT的区别:
| 类型 | 方向 | 应用场景 | 转换方式 |
|---|---|---|---|
| NATServer | 外→内 | 发布内网服务 | 公网→私网(反向) |
| NAPT | 内→外 | 内网上网 | 私网→公网(正向) |
二、实战配置案例
案例1:基本NATServer配置(Web服务器发布)
网络拓扑
公网用户(202.100.1.100) → [AR1] ←→ 内网Web服务器(10.1.1.100:80)
↓
公网接口:202.100.1.254/24
内网接口:10.1.1.254/24配置步骤
1. 基础网络配置
# 进入系统视图
<Huawei> system-view
[Huawei] sysname AR1
# 配置公网接口
[AR1] interface GigabitEthernet 0/0/0
[AR1-GigabitEthernet0/0/0] ip address 202.100.1.254 255.255.255.0
[AR1-GigabitEthernet0/0/0] description Connect_to_Internet
[AR1-GigabitEthernet0/0/0] quit
# 配置内网接口
[AR1] interface GigabitEthernet 0/0/1
[AR1-GigabitEthernet0/0/1] ip address 10.1.1.254 255.255.255.0
[AR1-GigabitEthernet0/0/1] description Connect_to_LAN
[AR1-GigabitEthernet0/0/1] quit
# 配置默认路由(指向公网)
[AR1] ip route-static 0.0.0.0 0.0.0.0 202.100.1.12. 配置NATServer(核心步骤)
# 配置NAT Server:将公网202.100.1.253的80端口映射到内网10.1.1.100的80端口
[AR1] interface GigabitEthernet 0/0/0
[AR1-GigabitEthernet0/0/0] nat server protocol tcp global 202.100.1.253 80 inside 10.1.1.100 80
# 命令详解:
# nat server - 启用NAT服务器功能
# protocol tcp - 指定协议类型(tcp/udp)
# global 202.100.1.253 80 - 公网IP和端口
# inside 10.1.1.100 80 - 内网服务器真实IP和端口3. 配置静态NAT(可选,用于固定映射)
# 如果需要将内网服务器映射为固定公网IP
[AR1] nat static global 202.100.1.253 inside 10.1.1.100案例2:多服务端口映射
场景需求
- 内网有Web服务器(10.1.1.100:80)
- 内网有FTP服务器(10.1.1.101:21)
- 内网有Telnet服务器(10.1.1.102:23)
配置命令
# 配置Web服务映射
[AR1] interface GigabitEthernet 0/0/0
[AR1-GigabitEthernet0/0/0] nat server protocol tcp global 202.100.1.253 www inside 10.1.1.100 www
# 配置FTP服务映射(控制端口21)
[AR1-GigabitEthernet0/0/0] nat server protocol tcp global 202.100.1.253 ftp inside 10.1.1.101 ftp
# 配置Telnet服务映射
[AR1-GigabitEthernet0/0/0] nat server protocol tcp global 202.100.1.253 23 inside 10.1.1.102 telnet
# 配置SSH服务映射(端口22)
[AR1-GigabitEthernet0/0/0] nat server protocol tcp global 202.100.1.253 ssh inside 10.1.1.103 ssh
# 配置MySQL服务映射(端口3306)
[AR1-GigabitEthernet0/0/0] nat server protocol tcp global 202.100.1.253 3306 inside 10.1.1.104 3306案例3:端口转换映射(非标准端口)
场景需求
- 外部访问公网202.100.1.253的8080端口
- 实际映射到内网10.1.1.100的80端口(Web服务)
配置命令
# 端口转换配置
[AR1] interface GigabitEthernet 0/0/0
[AR1-GigabitEthernet0/0/0] nat server protocol tcp global 202.100.1.253 8080 inside 10.1.1.100 80
# 验证:外部访问 http://202.100.1.253:8080 即可访问内网Web服务器三、配置命令详细解析
核心命令结构
nat server protocol {tcp|udp} global {global-ip} {global-port} inside {inside-ip} {inside-port}nat server protocol {tcp|udp} global {global-ip} {global-port} inside {inside-ip} {inside-port}
参数详解
| 参数 | 说明 | 示例 |
|---|---|---|
| protocol | 协议类型 | tcp/udp |
| global | 公网IP和端口 | 202.100.1.253 80 |
| inside | 内网服务器真实地址 | 10.1.1.100 80 |
常用端口别名:
www = 80 # Web服务
ftp = 21 # FTP控制端口
telnet = 23 # Telnet服务
ssh = 22 # SSH服务
smtp = 25 # 邮件发送
pop3 = 110 # 邮件接收
https = 443 # 安全Web四、验证与测试
1. 查看NATServer配置
# 查看NAT Server配置信息
[AR1] display nat server
# 查看NAT会话信息
[AR1] display nat session all
# 查看接口NAT配置
[AR1] display nat interface GigabitEthernet 0/0/02. 测试验证步骤
# 步骤1:在内网测试服务器可达性
PC> ping 10.1.1.100
# 步骤2:在外网模拟访问
PC(公网)> telnet 202.100.1.253 80
# 步骤3:查看NAT转换表
[AR1] display nat session protocol tcp3. 抓包验证
# 在ENSP中启用抓包功能
# 在公网接口抓包:查看外部请求
# 在内网接口抓包:查看转换后的请求五、常见问题与排错
问题1:配置后无法访问
# 排错步骤:
1. 检查基础连通性:ping测试
2. 检查NAT配置:display nat server
3. 检查ACL策略:是否限制了访问
4. 检查服务器防火墙:是否允许外部访问
5. 检查路由配置:是否有回程路由问题2:端口映射冲突
# 解决方案:使用不同公网端口
[AR1] nat server protocol tcp global 202.100.1.253 8080 inside 10.1.1.100 80
[AR1] nat server protocol tcp global 202.100.1.253 8081 inside 10.1.1.101 80问题3:多协议服务映射
# FTP需要映射控制端口和数据端口
[AR1] nat server protocol tcp global 202.100.1.253 ftp inside 10.1.1.101 ftp
[AR1] nat server protocol tcp global 202.100.1.253 20 inside 10.1.1.101 20 # FTP数据端口六、配置示例
企业级综合配置
# ==================== 基础配置 ====================
<Huawei> system-view
[Huawei] sysname Gateway-AR1
[Gateway-AR1] interface GigabitEthernet 0/0/0
[Gateway-AR1-GigabitEthernet0/0/0] ip address 202.100.1.254 24
[Gateway-AR1-GigabitEthernet0/0/0] description WAN_Interface
[Gateway-AR1-GigabitEthernet0/0/0] quit
[Gateway-AR1] interface GigabitEthernet 0/0/1
[Gateway-AR1-GigabitEthernet0/0/1] ip address 192.168.1.1 24
[Gateway-AR1-GigabitEthernet0/0/1] description LAN_Interface
[Gateway-AR1-GigabitEthernet0/0/1] quit
# ==================== NAT Server配置 ====================
[Gateway-AR1] interface GigabitEthernet 0/0/0
# Web服务器
[Gateway-AR1-GigabitEthernet0/0/0] nat server protocol tcp global 202.100.1.253 www inside 192.168.1.100 www
# FTP服务器
[Gateway-AR1-GigabitEthernet0/0/0] nat server protocol tcp global 202.100.1.253 ftp inside 192.168.1.101 ftp
# SSH管理
[Gateway-AR1-GigabitEthernet0/0/0] nat server protocol tcp global 202.100.1.253 ssh inside 192.168.1.102 ssh
# 自定义端口映射
[Gateway-AR1-GigabitEthernet0/0/0] nat server protocol tcp global 202.100.1.253 8080 inside 192.168.1.103 80
# ==================== 路由配置 ====================
[Gateway-AR1] ip route-static 0.0.0.0 0.0.0.0 202.100.1.1
# ==================== 验证配置 ====================
[Gateway-AR1] display nat server
[Gateway-AR1] display nat session all七、实践建议
- 安全策略:配置ACL限制访问源IP
- 端口规划:使用非标准端口增加安全性
- 日志记录:开启NAT日志便于审计
- 备份配置:定期保存配置文件
- 测试验证:配置后立即进行端到端测试
高级特性
-
NAT ALG :对于 FTP、SIP、H.323 等多通道协议,需要启用 NAT ALG(应用层网关)来识别协议内的控制信息并动态打开数据端口。在 eNSP 中,默认是开启的。检查命令:
display nat alg。 -
NAT Loopback(回流):内网用户通过公网地址访问内网服务器。在 eNSP 的简单路由器场景下可能不支持或需要特殊配置(如策略路由),建议测试时分开:外网测试用公网地址,内网测试直接用私网地址。
-
防火墙场景的 NAT 策略 :在 USG6000V 上,除了接口模式的
nat server,还可以在 NAT 策略 中配置"服务器映射",这种方式更灵活,可以基于安全区域进行映射。