企业外网接入方案：华为设备NAT出口（含PAT）配置步骤

内网电脑突然能上不了外网？我用“出接口地址池+ACL”把办公室救回来了，四个关键点你要先看

第一说结论，别把NAT当成万能钥匙。上周我朋友小李的公司突然两台办公电脑能上微信能上内网服务但打不开外网，大家都慌了。经过排查发现问题出在出接口的地址策略和访问控制上：外联口必须有正确的公网地址和到运营商的默认路由，内网段必须在允许转换的ACL里，NAT需要绑定到出口并配好地址池，另外如果有内网服务器要对外提供服务还要做静态端口映射。说白了，NAT不是魔法，是排查顺序和地址策略的组合拳。

接着讲第一步的实操思路，先确认物理和路由是否到位。你要先确认出口路由器和上游运营商口能相互到达，确认出接口上的公网地址在同一网段且网关可达。如果运维把掩码写错，或者默认路由指向不对，所有后续配置都白费。我当时让小李先在出口设备上ping上游网关，确认能通，才继续下一步；如果ping不通，别急着改NAT，先把链路和路由搞通。

其次讲内网策略和地址池，该怎么规划才不出错。务必把需要做地址转换的内网网段写进访问控制列表里，这个ACL决定哪些源地址可以被转换，许多人把ACL忘记写或者写了但范围不对，导致内网访问不上外网。再者不要把公网地址池配得太小，内网并发多时容易耗尽地址，造成间歇性故障。我朋友当时就是由于只用了一两个公网地址做映射，早高峰时段就出现访问失败，最后把地址池扩展并启用地址复用策略，问题就基本稳定了。

然后讲静态服务映射和常见坑。公司里有一台内网Web服务器需要外网访问，这就要在出口做端口映射，把公网某个地址和端口映射到内网服务器的IP和端口。这里常见错误是映射配置正确但防火墙策略挡住了请求，或者模拟器/测试工具不支持端口映射导致看起来好像不生效。我当时让小李在公司外部用真实的公网网络去访问映射地址，同时在出口做连接追踪，最终确认是防火墙方向策略没有放行TCP80，改了策略后访问立即上线。

再者说验证和日常监控，别只信“能上网”。完成配置后要用命令查看当前NAT转换表和地址池使用情况，观察哪些内网IP已被转换、地址池是否耗尽、是否有大量短时连接，这些都是判断是否需要调整地址复用或扩大公网池的关键指标。我给小李准备了几个常用排查步骤：先ping上游，再看路由表，再看ACL匹配，再看NAT转换表，最后看端口映射日志；按这个顺序排查，效率会高许多。

最后谈趋势和提议，短期内IPv4资源依然紧张，企业要有两条路并行思考。一方面继续做好NAT策略，合理规划公网地址池和端口映射，建立告警和统计；另一方面尽量在可能的业务上推动IPv6改造，长期减少对公网NAT的依赖。实操上提议在内网改动前先在实验环境复现一遍配置，重大的出口配置在维护窗口操作并提前做好回滚方案；还有一条不太“技术”的提议是培养一个能读懂网络日志的值班同事，许多问题都是人在深夜发现但没人能第一时间定位。

说实话，网络问题里最耗时间的不是写配置，而是排查顺序和心态。遇到NAT相关的故障，别同时改太多东西，按顺序排查、逐项确认，问题会很快露出马脚。反正我是这么觉得的：把复杂问题拆成可验证的小步子，就不会迷路。

你或者你身边的团队遇到过类似的NAT出接口、地址池或端口映射引发的奇怪故障吗？说说你当时是怎么排查和解决的，或者你觉得哪一步最容易被忽略？