网络工程师 · NAT/PAT · 出口访问

NAT/PAT后内网不能上网怎么排查?

NAT/PAT 题经常写成一句话:内网用户不能访问互联网。很多同学第一反应是“配 NAT”,但考试更喜欢考完整链路。内网能不能上网,除了 NAT/PAT,还要看默认路由、ACL、防火墙、DNS、地址池和回程路径。

网络工程师专题 软考题库编辑部 持续更新

NAT/PAT解决的是地址转换,不是所有连通性问题

私有地址不能直接在公网路由,所以内网访问公网通常要在出口做 NAT 或 PAT。PAT 还能让多台内网主机通过不同端口共用一个公网地址,这是企业和家庭网络里最常见的场景。

但 NAT/PAT 只解决地址转换。数据包要先能到出口设备,出口设备要有默认路由,安全策略要允许,DNS 要能解析,返回流量还要能根据转换表找到原来的内网主机。

环节作用出错表现
默认网关让主机把跨网段流量交给网关内网主机出不去
默认路由让出口设备知道往公网走哪里出口不知道下一跳
NAT/PAT把私有地址转换为公网可达地址公网不认识私网地址
ACL/防火墙控制哪些流量允许通过路由对但被策略拦截
DNS把域名解析为 IPIP 可通但域名打不开

排查时先看有没有转换表

如果题目给了 NAT/PAT 相关信息,可以看是否出现转换表、地址池、端口映射、inside/outside 方向等线索。没有转换表,不一定是 NAT 本身错,也可能是流量根本没到 NAT 设备,或者 ACL 没允许触发转换的流量。

比如内网主机 ping 公网地址,出口设备没有任何 NAT 记录,这时要先检查默认网关、路由和 ACL;如果有记录但回不来,再看回程、外部访问限制或防火墙状态。

一个排错思路

第一,看内网主机默认网关是否指向出口设备。

第二,看出口设备是否有到公网的默认路由。

第三,看 NAT/PAT 规则是否匹配内网源地址。

第四,看是否生成转换表项。

第五,看 ACL、防火墙和 DNS。

静态 NAT、动态 NAT、PAT 的排错重点不同

静态 NAT 更像固定映射,常用于内网服务器对外发布。动态 NAT 依赖地址池,地址池耗尽会影响新连接。PAT 依赖端口复用,重点看端口映射和会话状态。题目如果说很多用户共用一个公网 IP,大概率在考 PAT。

排错时也要按类型看。服务器外部访问不通,要看静态映射和防火墙;内网大批用户突然不能上网,要看地址池、PAT、出口策略和运营商链路。

类型典型场景排错重点
静态 NAT内网服务器固定发布到公网映射地址、端口、安全策略
动态 NAT从公网地址池临时分配地址池是否耗尽、规则是否匹配
PAT多台主机共用一个公网地址端口映射、会话状态、源地址范围
NAT + ACL只允许特定流量转换ACL 是否匹配转换流量
NAT + 默认路由内网访问互联网出口路径和下一跳是否正确

做题时把NAT和路由分开写

很多错误答案会把 NAT 写成路由协议,或者把默认路由写成地址转换。考试答题时建议分开表达:路由决定往哪里转发,NAT/PAT决定地址怎么转换,ACL决定能不能通过,DNS决定域名能不能解析。

这四件事分开后,网络出口题会清楚很多。需要连续练题时,可以把本站专题和书木兰软考题库 https://www.shumulan.com/ 的网络工程师章节练习配合使用。