一、华为NAPT原理
1. 基本概念
华为NAPT(Network Address Port Translation)是华为设备实现NAT(网络地址转换)的一种方式,也称为PAT(Port Address Translation)。它通过将内部网络的多个私有IP地址映射到一个或少量公有IP地址的不同端口上,实现多对少或一对多的地址转换。
2. 工作原理
- 地址+端口映射:同时转换IP地址和传输层端口号
- 会话跟踪:维护NAT会话表记录原始和转换后的地址端口对
- 动态分配:当内网主机发起连接时动态分配外部端口
- 反向转换:对返回的数据包进行反向转换
3. 华为实现特点
- 支持多种NAT类型:包括NAPT、NAT Server、Easy IP等
- 高性能转换:华为专用芯片加速NAT处理
- 丰富的ALG支持:支持FTP、SIP、H.323等协议的特殊处理
- 与安全策略集成:可与防火墙策略联动
二、华为NAPT应用场景
1. 典型应用场景
- 企业分支互联网接入
- 多个内网用户共享一个公网IP访问互联网
- 典型设备:AR系列路由器、USG系列防火墙
- 运营商NAT444场景
- 多级NAT转换(用户侧NAT、边缘设备NAT)
- 大规模用户共享公网地址池
- 云计算环境
- 云主机使用私有IP通过NAPT访问互联网
- 实现出向流量的集中管理和监控
- IPv4地址节约
- 解决IPv4地址不足问题
- 单个公网IP支持数百个内部用户
- 网络安全隔离
- 隐藏内部网络拓扑结构
- 提供基本的防火墙防护功能
2. 华为特有应用
- NAT与SDN集成:与华为Agile Controller联动实现智能NAT
- NAT日志分析:通过eLog组件实现NAT日志记录和分析
- 双栈环境:支持IPv4/IPv6共存环境下的NAT转换
三、华为NAPT配置实例
1. 基础NAPT配置(使用地址池)
- 基础NAPT配置(使用地址池)
[AR1]sysname AR1
#创建NAT地址组(公网地址池),创建地址池正常外网地址1个就可以
#
nat address-group 1 122.1.2.200 122.1.2.200
#
创建ACL定义允许转换的内部地址
#
acl number 2000
rule 5 permit
#
创建NAT地址组(公网地址池)
nat address-grousection 0 203.0.113.10 203.0.113.20
# 接口配置
interface GigabitEthernet0/0/1 # 内网接口
ip address 192.168.1.254 255.255.255.0
nat outbound 2000 address-group 1 # 启用出方向NAT
# 内网接口
interface GigabitEthernet0/0/0
ip address 192.168.1.254 255.255.255.0
#
最后配置一条出接口的静态路由
#
ip route-static 0.0.0.0 0.0.0.0 122.1.2.2
#
- 拓扑IPS(AR2)详细配置
#
sysname AR2
#
snmp-agent local-engineid 800007DB03000000000000
snmp-agent
#
clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load flash:/portalpage.zip
#
drop illegal-mac alarm
#
wlan ac-global carrier id other ac id 0
#
set cpu-usage threshold 80 restore 75
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
local-user admin service-type http
#
firewall zone Local
priority 15
#
interface GigabitEthernet0/0/0
ip address 200.1.2.254 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 122.1.2.2 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 201.1.2.254 255.255.255.0
#
interface NULL0
#
user-interface con 0
authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return
[AR2]
三、华为NAPT测试
- 用PC1去ping Client1测试成功,用Wireshark抓包如下图:
- Wireshark抓包可以看出,NAPT后私网地址已经被转换成试验设置的公网ip:122.1.2.200
四、华为NAPT高级配置
1. NAT ALG配置(以FTP为例)
# 启用FTP ALG功能 nat alg ftp enable # 配置FTP服务器的NAT映射 nat server protocol tcp global 203.0.113.1 21 inside 192.168.1.100 21 nat server protocol tcp global 203.0.113.1 1024 65535 inside 192.168.1.100 1024 65535
2. NAT日志配置
# 配置NAT日志 info-center enable info-center loghost 192.168.1.200 nat log enable nat log flow-begin nat log flow-end nat log flow-active
3. NAT会话限制
# 限制每个内网IP的最大NAT会话数 nat session limit source-ip maximum 500
五、华为NAPT维护与监控
1. 查看NAT会话
display nat session display nat session verbose # 查看详细信息 display nat session source-ip 192.168.1.100 # 按源IP过滤
2. 查看NAT统计信息
display nat statistics display nat address-group # 查看地址组使用情况
3. 清除NAT会话
reset nat session # 清除所有NAT会话 reset nat session source-ip 192.168.1.100 # 清除特定源IP的会话
六、常见问题排查
1. NAT不生效排查步骤
- 检查ACL是否匹配流量:huawei复制display acl 2000
- 验证接口NAT配置:huawei复制display this interface GigabitEthernet0/0/1
- 检查路由是否可达:huawei复制display ip routing-table
- 检查NAT地址组状态:huawei复制display nat address-group
2. 端口映射不生效排查
- 检查NAT Server配置:huawei复制display nat server
- 检查安全策略是否放行:huawei复制display security-policy
- 检查服务器是否监听正确端口
3. 性能问题排查
- 检查NAT会话数量:huawei复制display nat session summary
- 检查CPU利用率:huawei复制display cpu-usage
- 考虑启用NAT硬件加速(如有支持)
华为OSPF路由协议配置案例:https://www.hao0564.com/5194.html