NAT 与策略路由

by ww

on 24 4 月, 2026

从「企业出口组网的真实场景」出发，把 NAT 和策略路由从原理到实战讲透，核心考点会融入每个模块，看完既能理解 “内网怎么访问公网”，也能掌握多出口流量调度、端口映射等企业高频技术。

NAT 和策略路由，是企业出口组网的两大核心技术：

NAT：解决 IPv4 地址短缺，让大量内网设备共享少量公网 IP 访问外网，同时隐藏内网地址；
策略路由：打破 “按目的 IP 选路” 的限制，基于自定义规则调度流量，实现多出口负载均衡、业务分离。

一、NAT 技术详解：内网访问公网的 “翻译官”

NAT（Network Address Translation，网络地址转换），是路由器 / 防火墙提供的地址转换技术，它就像内网和公网之间的 “翻译官”，把内网私有 IP 地址转换为公网 IP 地址，让内网设备能访问公网，同时隐藏内网真实地址。

1.1 NAT 的三大核心作用

✅ 解决 IPv4 地址短缺：让多个内网设备共享少量公网 IP，大幅降低公网 IP 成本；

✅ 隐藏内网地址：公网只能看到转换后的公网 IP，无法直接访问内网设备，提升安全性；

✅ 地址复用与负载均衡：通过端口映射，让内网多台设备共享同一公网 IP 的不同端口。

1.2 NAT 的工作原理（内网访问外网）

以 “内网电脑 192.168.1.10 访问公网服务器 1.1.1.1” 为例，NAT 的转换过程：

内网电脑发送数据包，源 IP 为 192.168.1.10，目的 IP 为 1.1.1.1；
路由器收到数据包后，根据 NAT 规则，将源 IP 转换为公网 IP（如 202.103.0.1），同时记录转换表；
公网服务器收到的数据包，源 IP 为 202.103.0.1，回复数据时会发给该公网 IP；
路由器收到公网回复后，根据 NAT 转换表，将目的 IP 转换回 192.168.1.10，转发给内网电脑。

1.3 NAT 的五大核心类型（网工高频考点）

NAT 根据转换方式的不同，分为五大类型，适用场景和配置复杂度完全不同，也是考试的核心考点：

表格

NAT 类型	转换规则	适用场景	公网 IP 占用	配置复杂度
静态 NAT	一对一固定转换，内网 IP 永久绑定公网 IP	内网服务器需要固定公网 IP 访问	1:1，占用公网 IP	低
动态 NAT	从公网地址池动态分配 IP，用完释放	内网设备访问公网，IP 不固定	多对多，地址池大小决定	中
PAT（NAPT）	多对一转换，不同内网 IP 用同一公网 IP 的不同端口	家庭 / 企业内网设备共享公网 IP 上网	多对一，仅需 1 个公网 IP	中
Easy IP	基于出接口 IP 地址的 PAT，直接用路由器公网口 IP 转换	家庭 / 小型办公网络，路由器拨号上网	多对一，无需额外公网 IP	极低
NAT Server（端口映射）	固定端口映射，将公网 IP + 端口映射到内网服务器 IP + 端口	内网服务器需要公网用户访问	多对多，同一公网 IP 映射多个端口	中

1.3.1 静态 NAT 详解

原理：手动配置内网 IP 和公网 IP 的一对一永久绑定，转换关系不会变化；
适用场景：内网服务器（如网站、邮件服务器）需要固定公网 IP，方便公网用户访问；
配置示例（华为）：plaintext# 将内网 192.168.1.10 永久绑定公网 IP 202.103.0.10 nat static global 202.103.0.10 inside 192.168.1.10 netmask 255.255.255.255

1.3.2 PAT（NAPT）详解

原理：多对一转换，多个内网 IP 共享同一个公网 IP，通过不同的源端口区分不同会话；
适用场景：企业 / 家庭内网设备访问公网，是目前最主流的 NAT 方式；
配置示例（华为）：plaintext# 配置 NAT 地址池 nat address-group 1 202.103.0.1 202.103.0.1 # 配置 ACL，允许内网网段 192.168.1.0/24 转换 acl number 2000 rule permit source 192.168.1.0 0.0.0.255 # 在外网接口配置 PAT interface GigabitEthernet0/0/0 nat outbound 2000 address-group 1

1.3.3 NAT Server（端口映射）详解

原理：将公网 IP + 端口，映射到内网服务器 IP + 端口，公网用户访问公网 IP + 端口时，数据会转发到内网服务器；
适用场景：内网网站、NAS、监控摄像头需要公网访问，无需占用额外公网 IP；
配置示例（华为）：plaintext# 将公网 IP 202.103.0.1 的 80 端口，映射到内网 192.168.1.10 的 80 端口（网站服务） nat server protocol tcp global 202.103.0.1 80 inside 192.168.1.10 80

1.4 NAT 常见问题与排障

地址池耗尽：PAT 地址池端口被占满，内网设备无法访问公网，可扩大地址池或调整端口范围；
端口映射失败：检查内网服务器是否开启、端口是否被占用、防火墙是否拦截；
NAT 穿透问题：部分 P2P 应用（如视频会议、游戏）无法正常工作，可配置 ALG（应用层网关）功能；
路由环路：NAT 转换后数据包回包路由错误，需确保公网回包指向 NAT 设备。

二、策略路由：自定义流量的 “智能调度员”

策略路由（Policy-Based Routing，PBR），是一种基于自定义规则转发数据包的技术，它打破了普通路由 “按目的 IP 选路” 的限制，可以根据数据包的源 IP、端口、协议等自定义规则，决定转发路径，是企业多出口组网的核心技术。

2.1 策略路由 vs 普通路由（核心区别）

表格

维度	普通路由	策略路由
选路依据	仅根据目的 IP 匹配路由表	基于源 IP、端口、协议等自定义规则
优先级	策略路由高于普通路由	先匹配策略路由，再查询路由表
适用场景	简单单出口网络	多出口负载均衡、流量调度、业务分离
配置复杂度	低，配置静态 / 动态路由即可	中，需定义 ACL、策略、应用接口

2.2 策略路由的工作逻辑

策略路由的工作分为三步，也是配置的核心步骤：

定义匹配规则（ACL）：通过 ACL 定义需要调度的流量，比如 “匹配源 IP 为技术部网段的流量”；
设置动作：对匹配的流量设置转发动作，比如 “转发到运营商 A 出口的下一跳 IP”；
应用策略：将策略应用在设备的入接口，流量进入设备时先匹配策略路由。

2.3 策略路由配置示例（华为）

以企业双出口场景为例，实现技术部流量走运营商 A，行政部流量走运营商 B：

# 1. 定义 ACL，匹配不同部门的流量
acl number 2000
 rule permit source 192.168.10.0 0.0.0.255  # 技术部网段
acl number 2001
 rule permit source 192.168.20.0 0.0.0.255  # 行政部网段

# 2. 定义策略路由
policy-based-route PBR permit node 10
 if-match acl 2000  # 匹配技术部流量
 apply ip next-hop 202.103.0.1  # 转发到运营商 A 下一跳

policy-based-route PBR permit node 20
 if-match acl 2001  # 匹配行政部流量
 apply ip next-hop 111.111.0.1  # 转发到运营商 B 下一跳

# 3. 将策略应用在内网入接口
interface GigabitEthernet0/0/1  # 内网口
 ip policy-based-route PBR

2.4 策略路由的核心适用场景

✅ 多出口负载均衡：企业同时接入两条运营商线路，不同部门的流量走不同线路，避免单条线路拥塞；

✅ 业务流量调度：游戏 / 视频流量走低延迟专线，办公流量走普通线路，保障关键业务体验；

✅ 故障自动切换：当主出口线路故障时，策略路由可自动切换到备用出口，保证业务不中断；

✅ 访问控制引流：将访问特定网站的流量转发到代理服务器，实现上网过滤和审计。

三、企业出口组网实战：NAT + 策略路由双出口方案

以某企业双运营商出口为例，完整的组网逻辑如下：

双出口配置：路由器同时接入运营商 A 和运营商 B；
策略路由：技术部流量走运营商 A，行政部流量走运营商 B；
NAT 转换：两个出口都配置 PAT，内网设备共享公网 IP 访问外网；
端口映射：将内网网站服务器的 80 端口映射到运营商 A 的公网 IP，方便公网访问。

四、常见故障排查思路

1. NAT 故障排查

现象：内网设备无法访问公网
排查步骤：
1. 检查 NAT 配置是否正确，ACL 是否允许内网网段；
2. 查看 NAT 地址池是否耗尽，可通过 display nat address-group 查看；
3. 检查公网接口是否 UP，IP 地址是否正常获取；
4. 检查路由表，确认存在公网默认路由。

2. 策略路由故障排查

现象：流量没有按预期转发到指定出口
排查步骤：
1. 检查 ACL 规则是否正确，是否匹配目标流量；
2. 检查策略路由是否应用在正确的入接口；
3. 检查下一跳 IP 是否可达，是否存在路由；
4. 检查策略路由的优先级，是否被更高优先级的策略覆盖。

总结：NAT 与策略路由的核心价值

NAT 解决了内网访问公网的地址问题，策略路由解决了多出口场景的流量调度问题，两者结合是企业出口组网的标准方案。搞懂这两项技术，你就能设计出稳定、高效、可扩展的企业出口网络，解决公网访问、流量调度、业务分离等核心需求。

Categories:

首页

Tags:

No Tag

一、NAT 技术详解：内网访问公网的 “翻译官”

1.1 NAT 的三大核心作用

1.2 NAT 的工作原理（内网访问外网）

1.3 NAT 的五大核心类型（网工高频考点）

1.3.1 静态 NAT 详解

1.3.2 PAT（NAPT）详解

1.3.3 NAT Server（端口映射）详解

1.4 NAT 常见问题与排障

二、策略路由：自定义流量的 “智能调度员”

2.1 策略路由 vs 普通路由（核心区别）

2.2 策略路由的工作逻辑

2.3 策略路由配置示例（华为）

2.4 策略路由的核心适用场景

三、企业出口组网实战：NAT + 策略路由双出口方案

四、常见故障排查思路

1. NAT 故障排查

2. 策略路由故障排查

总结：NAT 与策略路由的核心价值

No responses yet

发表回复取消回复

NAT 与策略路由

一、NAT 技术详解：内网访问公网的 “翻译官”

1.1 NAT 的三大核心作用

1.2 NAT 的工作原理（内网访问外网）

1.3 NAT 的五大核心类型（网工高频考点）

1.3.1 静态 NAT 详解

1.3.2 PAT（NAPT）详解

1.3.3 NAT Server（端口映射）详解

1.4 NAT 常见问题与排障

二、策略路由：自定义流量的 “智能调度员”

2.1 策略路由 vs 普通路由（核心区别）

2.2 策略路由的工作逻辑

2.3 策略路由配置示例（华为）

2.4 策略路由的核心适用场景

三、企业出口组网实战：NAT + 策略路由双出口方案

四、常见故障排查思路

1. NAT 故障排查

2. 策略路由故障排查

总结：NAT 与策略路由的核心价值

No responses yet

发表回复 取消回复

发表回复取消回复