本文系统讲解华为防火墙NAT技术，涵盖SNAT、DNAT及双向NAT三大场景。通过典型配置案例演示内网访问互联网(SNAT)和服务器发布(DNAT)的实现步骤，详解地址池NAT、端口复用等高级应用。提供企业级配置模板及"配置-验证-排错"全流程指南，包含display nat session等关键诊断命令。一、NAT技术核心概念三大应用场景：源NAT（SNAT）：内网访问互联网（最常用）目的NAT（DNAT）：互联网访问内网服务器双向NAT：同时转换源/目的地址华为NAT类型对比：类型命令关键字典型应用地址池NATnat address-group多公网IP轮询接口NATnat outbound单一公网IP服务器映射nat server发布内网服务器二、基础配置：内网访问互联网（SNAT）场景需求：内网段：192.168.1.0/24（Trust区域）公网接口：G1/0/1（IP：203.0.113.1，Untrust区域）使用出接口IP做地址转换# 1. 创建NAT策略（必须先配置安全策略放行流量！） [FW] security-policy [FW-policy-security] rule name Trust_to_Untrust [FW-policy-security-rule-Trust_to_Untrust] source-zone trust [FW-policy-security-rule-Trust_to_Untrust] destination-zone untrust [FW-policy-security-rule-Trust_to_Untrust] action permit # 2. 配置接口NAT（关键步骤！） [FW] interface GigabitEthernet 1/0/1 [FW-GigabitEthernet1/0/1] nat outbound # 启用出方向NAT [FW-GigabitEthernet1/0/1] quit # 3. 验证配置 [FW] display nat session all # 查看NAT会话三、高级NAT配置技巧1. 地址池NAT（多公网IP场景）# 创建地址池 [FW] nat address-group NAT_POOL [FW-address-group-NAT_POOL] section 0 203.0.113.10 203.0.113.20 [FW-address-group-NAT_POOL] quit # 应用地址池 [FW] nat-policy [FW-policy-nat] rule name NAT_POOL_RULE [FW-policy-nat-rule-NAT_POOL_RULE] source-address 192.168.1.0 24 [FW-policy-nat-rule-NAT_POOL_RULE] action source-nat address-group NAT_POOL2. 服务器发布（DNAT）将内网 Web服务器（192.168.1.100）映射到公网IP： [FW] nat server WEB_SERVER protocol tcp global 203.0.113.1 80 inside 192.168.1.100 803. 端口复用（PAT）[FW] interface GigabitEthernet 1/0/1 [FW-GigabitEthernet1/0/1] nat outbound 3000 # 使用3000开始的端口段四、NAT配置黄金法则策略优先级：NAT策略按照rule ID从小到大匹配双向需求：DNAT需要同时配置安全策略和NAT规则端口保留：避免使用1-1024的知名端口做PAT会话保持：nat alg all 启用应用层网关支持特殊协议五、排错命令大全命令作用display nat session查看NAT会话表reset nat session清除NAT会话display nat address-group查看地址池display nat server查看服务器映射六、企业级配置模板# 研发部使用独立地址池 nat address-group DEV_GROUP section 0 203.0.113.50 203.0.113.60 nat-policy rule name DEV_DEPARTMENT source-address 192.168.10.0 24 action source-nat address-group DEV_GROUP # 发布邮件服务器 nat server MAIL_SERVER protocol tcp global 203.0.113.100 25 inside 192.168.100.10 25 nat server MAIL_SERVER protocol tcp global 203.0.113.100 110 inside 192.168.100.10 110 # 禁止市场部NAT转换 rule name MARKET_NO_NAT source-address 192.168.20.0 24 action no-nat特别提醒生产环境配置前务必在测试环境验证。修改NAT策略可能导致现有会话中断。复杂环境建议先使用display nat session verbose分析流量。