公网IP不够用怎么办
公司扩张得快,员工电脑越来越多,路由器后面接的设备都快上百了。这时候最头疼的就是公网IP地址不够用。运营商给的公网IP就那么一两个,根本不够分。这时候就得靠网络地址转换(NAT)来救场。NAT能让多个内网设备共用一个公网IP上网,省下的不只是成本,还有配置的麻烦。
内网服务器对外访问难
财务部门搭了个报销系统放在内网服务器上,领导在家想查账却打不开。这是因为NAT默认只允许从内网往外发起的连接,外部请求进不来。解决办法是做端口映射,也就是常说的DNAT。比如把公网IP的8080端口映射到内网192.168.1.100的80端口:
<ip nat inside source static tcp 192.168.1.100 80 [公网IP] 8080>这样一来,外面的人访问[公网IP]:8080就能看到内部网页了。
视频会议老卡顿
技术部开远程会议时画面总是断断续续,排查发现是NAT会话数超限了。每个TCP或UDP连接在NAT设备上都要记录一条会话表项,视频会议用的P2P连接多,一会儿就把表项占满了。设备开始丢包,自然就卡。这时候得检查设备规格,看看最大会话数是不是太低。如果是老旧路由器,可能三千会话就到顶了,换台新设备或者调整应用行为才治本。
游戏联机连不上
测试组用Switch联网打游戏总提示“NAT类型严格”,原因是运营商做了二级NAT。你家路由器先做了一次地址转换,到了光猫再转一次,导致游戏主机拿不到真正的公网连接权限。这种情况自己调设置没用,得打电话让运营商改光猫为桥接模式,把公网IP直接扔给你自己的路由器处理。
FTP模式选错传不了文件
运维同事用FTP往服务器传日志,主动模式下死活连不上。这是NAT和FTP之间的经典矛盾。主动模式下服务器要反向连客户端端口,但NAT不认识这个连接,直接丢弃。换成被动模式(PASV),数据连接由客户端发起,NAT能正常跟踪,问题就解决了。现在很多FTP工具默认就是PASV,老系统迁移时容易踩这个坑。
双层NAT下监控看不了
仓库装的摄像头通过4G路由器接入,结果总部远程调看视频时一直加载。查下来是4G路由器本身做了NAT,而公司总出口又有一层NAT,双重包裹下端口映射失效。这种场景建议启用UPnP自动开孔,或者干脆换支持固定IP的物联网卡方案,避免层层套娃。