内网能通外网打不开网页？ACL网段错配引发的断网危机与三步解法

大家好，我是「极客运维社」飞哥！深耕企业组网和网络设备领域多年，每天为你拆解：

1、交换机/路由器疑难故障处理方案

2、网络架构优化与安全防护实战技巧

3、中小企业低成本智能组网案例解析

点击右上角【关注】每日更新深度技术指南，

长按【收藏】 搭建你的专属运维知识库，

点亮文末小红心，激励飞哥创作更多硬核内容。

特别提醒：网络运维问题常有突发性，建议将本文加入收藏，遇到设备配置、链路故障、卡顿、数据丢包等问题时，随时可调取解决方案！

上个月，客户小张遇到一件烦心事。他们公司新搬了办公室，网络布完，交换机、路由器、光猫都就位。所有内网设备能互相访问，文件共享、打印机全都没问题——唯独就是上不了外网。

更奇怪的是，从边界路由器ping公网地址可以通，从内网PC 上 ping 114.114.114.114 能通，说明基本网络没问题，就是浏览器打不开网页。 项目经理急了：我们要连官网演示系统，客户等着看上线功能，咋整？

小张是刚转岗过来的运维，对于基础配置是没问题的。对于这个问题他挠头查了一圈 NAT 配置，怀疑是地址转换出了问题。最终在加班到晚上9点后，才发现问题根源：Easy IP【nat】配置写了，但ACL中有一个网段没有写进去，导致NAT根本没匹配上内网地址。并且 通过抓包后发现没有NAT转换，公网回应的TCP包收不到，页面自然打不开了。

小张感叹：看着简单的Easy IP，真出了问题，定位起来还真不Easy。

故障诊断 & 排障过程

1. 问题定位：为何内网用户不能上网？

排查步骤如下：

步骤1：确认公网地址没问题

执行命令：

display ipinterfacebrief

接口 GigabitEthernet0/0/0 绑定了公网地址：200.1.1.2/24

步骤2：确认NAT策略是否正确生效

执行命令：

displaynat session

结果为空，说明NAT会话未建立

步骤3：排查ACL配置问题 查看NAT使用的ACL 2000：aclnumber2000rule5permitipsource192.168.10.00.0.0.255

问题来了！我们内网真实地址是 192.168.20.0/24，显然这个地址段没有被匹配。

2. 紧急恢复：放通NAT ACL规则，恢复上网

新增ACL规则，匹配当前内网段aclnumber2000rule10permitipsource192.168.20.00.0.0.255

说明：ACL（Access Control List）用于匹配需要进行NAT的内网IP段，source 是来源地址，0.0.0.255 是反掩码

确认NAT配置是否生效displaynat sessionall

看到大量内网IP地址正在建立公网会话，说明 NAT 转换生效！

• 内网用户成功访问外网，问题解决

3. 后续优化建议

• 为避免ACL遗漏，推荐使用 object-group 管理地址段

• 通过display firewall session table排查访问状态更清晰

• 添加日志记录，及时发现未命中的访问请求

技术复盘（基于 eNSP 实验复现）

我们用eNSP搭建如下拓扑：

配置思路

创建 ACL：用于定义哪些内部 IP 地址需要进行 NAT 转换。进入接口视图：选择连接外网的接口。配置 NAT 策略：在接口上应用 Easy IP 方式，将匹配 ACL 的内部 IP 地址转换为该接口的公网 IP 地址。

核心配置步骤如下：

sysEntersystemview,returnuserviewwithCtrl+Z.[AR1]discur[V200R003C00]给设备命名sysnameAR1关闭信息undoinfo-centerenable建立访问控制列表aclnumber2000rule6denysource192.168.2.20rule10permitsource192.168.0.00.0.0.255配置连接内网ip作为各自所在网段的网关interfaceGigabitEthernet0/0/0ipaddress192.168.0.1255.255.255.0interfaceGigabitEthernet0/0/2ipaddress192.168.2.1255.255.255.0配置出接口ip地址，并将访问控制列表ACL 挂载到出接口，interfaceGigabitEthernet0/0/1ipaddress200.1.1.2255.255.255.0natoutbound2000配置静态路由iproute-static0.0.0.00.0.0.0200.1.1.1[AR1]验证命令：displaynat session alldisplayfirewall session table

工程师的深夜独白

有时候，网络问题并不复杂，但在配置时的一些疏忽，足以让人头大一晚上。 Easy IP，说起来简单，但一个ACL地址段写错，就能导致部分人员断网；而客户并不会关心你ACL写了什么，他只会说一句：你们网络是不是又出问题了？ 做为网络运维人员，总在故障与稳定之间游走。每一次排障，都是和自己知识盲区的正面交锋。

总结

Easy IP方式适用于小型企业网络，家庭网络，移动办公网络ACL规则要准确匹配内网地址段，避免漏配display nat session是快速判断NAT是否生效的重要命令eNSP是低成本复现和演练NAT问题的利器做网络排障，先别动手，先动脑，排顺逻辑，少走弯路