2020版网络NAT outbound故障排查.docx

NATOUtboUnd故障排查一、开始NATOUtboUnd定位故障的思路是：先查natsession,再查看是否能匹配nat,然后查看内部网络是否正常。1、查看NATsession查看NAT设备上NATSeSSion是否正常建立。命令：displaynatsession例如：通过命令查看，当前NAT设备已存在一条TCP协议的natsessio110H3CdisplaynatsessionTherearecurrently1NATsessions：ProGlobolAddr：PortLocalAddrrPortDestAddrzPortTCP10.1.1.1:313911T2.31.123.20:4916110.1.1.2:5938GlobalVPN:一LocaiyPN:status:1TTL:00:05:00Left:00:04:162、是否能匹配NAT首先查看接口下的NAT是否有AeL过滤，如果有ACL过滤，确认报文是否符合ACL内容；如果没有ACL过滤，则表示所有的流量都能匹配到NAT。命令：displaycurrent-configurationinterfaceinterface-typeinterface-number例如：通过命令查看，可以确认interfaceEtherneto/0接口配置的natOUtbOUnd有ACL过滤。H3Cdisplaycurrent-configurationinterfaceEthernet0/0#interfaceEthernet0/0portlinkmoderoutenatoutbound2000ip,address10.1.1.1255.255.255.0#return命令：displayaclacl-number例如：通过命令查看，可以确认acl2000规则中只允许172.31.123.0/24网段进行NAT。H3Cdisplayacl2000BasicACL2000,named-none-2rules,ACL'sstepis5rule0permitsource172.31.123.00.0.0.255(3timesmatched)rule1000deny3、检查内部网络检查访问者设备与NAT网关是否路由可达，通常可采用Ping的方式来判断。