NAT/PAT解决的是地址转换,不是所有连通性问题
私有地址不能直接在公网路由,所以内网访问公网通常要在出口做 NAT 或 PAT。PAT 还能让多台内网主机通过不同端口共用一个公网地址,这是企业和家庭网络里最常见的场景。
但 NAT/PAT 只解决地址转换。数据包要先能到出口设备,出口设备要有默认路由,安全策略要允许,DNS 要能解析,返回流量还要能根据转换表找到原来的内网主机。
| 环节 | 作用 | 出错表现 |
|---|---|---|
| 默认网关 | 让主机把跨网段流量交给网关 | 内网主机出不去 |
| 默认路由 | 让出口设备知道往公网走哪里 | 出口不知道下一跳 |
| NAT/PAT | 把私有地址转换为公网可达地址 | 公网不认识私网地址 |
| ACL/防火墙 | 控制哪些流量允许通过 | 路由对但被策略拦截 |
| DNS | 把域名解析为 IP | IP 可通但域名打不开 |
排查时先看有没有转换表
如果题目给了 NAT/PAT 相关信息,可以看是否出现转换表、地址池、端口映射、inside/outside 方向等线索。没有转换表,不一定是 NAT 本身错,也可能是流量根本没到 NAT 设备,或者 ACL 没允许触发转换的流量。
比如内网主机 ping 公网地址,出口设备没有任何 NAT 记录,这时要先检查默认网关、路由和 ACL;如果有记录但回不来,再看回程、外部访问限制或防火墙状态。
一个排错思路
第一,看内网主机默认网关是否指向出口设备。
第二,看出口设备是否有到公网的默认路由。
第三,看 NAT/PAT 规则是否匹配内网源地址。
第四,看是否生成转换表项。
第五,看 ACL、防火墙和 DNS。
静态 NAT、动态 NAT、PAT 的排错重点不同
静态 NAT 更像固定映射,常用于内网服务器对外发布。动态 NAT 依赖地址池,地址池耗尽会影响新连接。PAT 依赖端口复用,重点看端口映射和会话状态。题目如果说很多用户共用一个公网 IP,大概率在考 PAT。
排错时也要按类型看。服务器外部访问不通,要看静态映射和防火墙;内网大批用户突然不能上网,要看地址池、PAT、出口策略和运营商链路。
| 类型 | 典型场景 | 排错重点 |
|---|---|---|
| 静态 NAT | 内网服务器固定发布到公网 | 映射地址、端口、安全策略 |
| 动态 NAT | 从公网地址池临时分配 | 地址池是否耗尽、规则是否匹配 |
| PAT | 多台主机共用一个公网地址 | 端口映射、会话状态、源地址范围 |
| NAT + ACL | 只允许特定流量转换 | ACL 是否匹配转换流量 |
| NAT + 默认路由 | 内网访问互联网 | 出口路径和下一跳是否正确 |
做题时把NAT和路由分开写
很多错误答案会把 NAT 写成路由协议,或者把默认路由写成地址转换。考试答题时建议分开表达:路由决定往哪里转发,NAT/PAT决定地址怎么转换,ACL决定能不能通过,DNS决定域名能不能解析。
这四件事分开后,网络出口题会清楚很多。需要连续练题时,可以把本站专题和书木兰软考题库 https://www.shumulan.com/ 的网络工程师章节练习配合使用。