华为防火墙NAT配置后无法上网怎么解决？

在当今网络环境中,网络地址转换（NAT）技术是连接内部私有网络与外部公共网络不可或缺的桥梁，它不仅有效缓解了IPv4地址枯竭的压力，更在无形中为内部网络构建了一道安全屏障，华为作为全球领先的ICT解决方案供应商，其防火墙产品在NAT功能的实现上兼具灵活性与强大性，能够满足从中小企业到大型数据中心的各种复杂需求，本文将深入探讨华为防火墙的NAT配置，涵盖其核心概念、主要类型、配置步骤以及常见问题的排查方法。

NAT技术

NAT的基本原理是将私有IP地址转换为公有IP地址,反之亦然，当内部网络的主机访问外部网络时，防火墙会将数据包的源IP地址（私有地址）替换为防火墙外网接口的公有IP地址或地址池中的某个地址，外部服务器响应时，数据包的目的IP地址是公有地址，防火墙再根据其维护的NAT会话表，将目的地址转换回对应的内部私有地址，从而实现通信，这一过程对内部用户和外部服务器都是透明的。

华为防火墙NAT的主要类型

华为防火墙提供了多种NAT类型以适应不同的应用场景,主要可以归纳为以下几类：

• 源NAT（Source NAT, SNAT）：主要用于实现内网用户访问外网，它转换的是数据包的源IP地址，这是最常见的一种NAT类型。

  • No-PAT：只转换IP地址，不转换端口，适用于需要大量端口或特定协议的场景，但会消耗较多的公网IP地址。
  • PAT（Port Address Translation）：同时转换IP地址和端口号，这是最节省公网IP地址的方式，允许多个内网主机共享同一个公网IP地址进行上网，也称为NAPT。
  • Easy IP：一种特殊的PAT，直接使用出接口的IP地址作为转换后的公网地址，无需配置地址池，非常适合小型网络或出口IP地址不固定的场景。

• 目的NAT（Destination NAT, DNAT）：主要用于实现外网用户访问内网服务器，它转换的是数据包的目的IP地址和端口，通过DNAT，可以将访问防火墙公网IP特定端口的流量，精准地转发到内网的某台服务器上，如Web服务器、邮件服务器等，在华为防火墙中，这通常通过nat server命令实现。

• 双向NAT（Bi-directional NAT）：当DNAT和SNAT同时应用于同一流量的不同方向时，即构成了双向NAT，内网服务器访问外网时，其源IP可能被转换为特定的公网IP，而外网访问该服务器时，目的IP又被映射回来，这在某些需要源地址一致性或特定路由策略的场景下非常有用。

配置源NAT (SNAT) 以实现上网

配置源NAT是网络管理员最常执行的操作之一,以下以最常见的“Easy IP”模式为例，展示配置步骤。

前提条件：

1. 已完成防火墙接口IP地址配置及安全区域划分（如trust区域和untrust区域）。
2. 已配置正确的路由,确保防火墙可以访问外网。
3. 关键一步：已配置允许内网到外网的安全策略，NAT策略必须在安全策略放行流量之后才能生效。

配置步骤：
假设内网网段为168.1.0/24，位于trust区域，外网接口GigabitEthernet 1/0/1位于untrust区域。

1. 进入系统视图并配置NAT策略：

   <USG6000> system-view
   [USG6000] nat-policy

2. 创建或进入一个NAT策略规则：

   [USG6000-nat-policy] policy name 1

3. 匹配流量条件：定义哪些流量需要进行NAT转换。

   [USG6000-nat-policy-policy-1] source-zone trust  # 匹配源安全区域
   [USG6000-nat-policy-policy-1] destination-zone untrust # 匹配目的安全区域
   [USG6000-nat-policy-policy-1] source-address 192.168.1.0 24 # 匹配源地址段

4. 设置NAT动作为Easy IP：

   [USG6000-nat-policy-policy-1] action source-nat easy-ip  # 使用出接口IP进行转换
   [USG6000-nat-policy-policy-1] quit
   [USG6000-nat-policy] quit

至此,内网168.1.0/24网段的用户访问外网时，其源IP地址将被自动转换为防火墙外网接口GigabitEthernet 1/0/1的IP地址。

配置目的NAT (DNAT) 以发布服务器

假设我们需要将内网一台Web服务器（IP: 168.1.10）发布到公网，供外部用户访问，防火墙外网接口IP为0.113.2。

配置步骤：

1. 进入系统视图并配置NAT Server：

   

   <USG6000> system-view
   [USG6000] nat server web_server 0 protocol tcp global 203.0.113.2 80 inside 192.168.1.10 80

   • web_server: 为该服务器映射策略起一个名字。
   • 0: 策略ID，可自动分配。
   • protocol tcp: 指定协议为TCP。
   • global 203.0.113.2 80: 公网IP及端口号。
   • inside 192.168.1.10 80: 内网服务器真实IP及端口号。

2. 配置安全策略：必须允许从外网（untrust区域）到内网服务器（trust区域）的流量。

   [USG6000] policy-map
   [USG6000-policy-map] policy name server_access
   [USG6000-policy-map-policy-server_access] source-zone untrust
   [USG6000-policy-map-policy-server_access] destination-zone trust
   [USG6000-policy-map-policy-server_access] destination-address 192.168.1.10 32
   [USG6000-policy-map-policy-server_access] service protocol tcp destination-port 80
   [USG6000-policy-map-policy-server_access] action permit
   [USG6000-policy-map-policy-server_access] quit
   [USG6000-policy-map] quit

完成以上配置后,外部用户通过浏览器访问http://203.0.113.2时，防火墙就会将请求转发到内网的168.1.10服务器。

配置验证与故障排查

配置完成后,使用display命令进行验证是必不可少的环节。

• display nat session table：查看当前活动的NAT会话表，这是判断NAT是否生效的最直接方法，可以清晰地看到转换前后的IP地址和端口信息。
• display nat-policy：查看已配置的源NAT策略。
• display nat server：查看已配置的目的NAT（服务器映射）策略。

常见问题：NAT配置后不通，最常见的原因是安全策略未放行，请牢记华为防火墙的处理流程：数据包首先经过安全策略检查，只有被允许的流量才会进入NAT处理流程，在排查NAT故障时，务必优先检查安全策略配置是否正确。

NAT类型对比小编总结

为了更清晰地理解不同NAT类型的适用场景,下表进行了简要小编总结：

相关问答FAQs

问题1：我已经按照教程配置了NAT策略，为什么内网用户还是无法访问外网？
解答：这是最常见的问题之一，请首先检查安全策略，华为防火墙的报文处理逻辑是“先安全策略，后NAT”，即使NAT策略配置完全正确，如果对应的安全策略（从trust区域到untrust区域）没有permit（允许）该流量，那么报文会在到达NAT模块之前就被丢弃，请使用display current-configuration section policy命令检查安全策略是否正确配置并放行了相关流量。

问题2：Easy IP方式和地址池方式有什么区别？我应该如何选择？
解答：主要区别在于公网IP地址的使用方式和灵活性。

• Easy IP：直接使用防火墙出接口的IP地址作为NAT转换后的地址，它的优点是配置简单，无需额外的公网IP地址，缺点是所有内网主机都共享同一个IP出口，不适用于需要对外提供多个服务或需要通过源IP进行访问控制的场景，它最适合IP地址紧张的小型网络。
• 地址池方式：需要预先定义一个或多个公网IP地址组成的地址池，NAT转换时，会从池中选取IP地址，优点是灵活性高，可以配置No-PAT（一对一转换）或PAT（多对多转换），并且可以对外提供多个服务，每个服务可以绑定一个固定的公网IP，缺点是需要消耗更多的公网IP资源，适用于中大型企业或有特殊业务需求的网络。