华为路由器NAT表项维护（华为路由器配置nat命令）

华为路由器NAT表项维护（华为路由器配置nat命令）

网络概述：

典型网络。内网主机通过边界路由器的PAT访问外网，边界路由器的默认路由指向ISP网关，内网使用专用的V P N设备通过IPSEC-V P N与另一分支建立L2L-V P N，内网服务器通过DNAT，使用独立的公网IP向外网发布网络服务。

问题：

最近这段时间网络出现访问外网速度变慢的情况，外网页面打不开，或者很慢，刷新后偶尔正常。内网Ping公网IP不通，tracert公网IP收不到ISP网关的回包，但通过V P N访问对端内段IP正常。此故障为间歇性故障，且无规律。

排除思路：

从外网ping边界路由器公网端口正常，在边界路由器上直接ping公网IP正常，说明链路和路由正常；内网下通过公网IP访问外网站点，故障依旧，排除DNS问题；外网下通过DNAT访问内网服务器的公网IP，不通。综上所述，只要出现地址转换就容易出现问题，问题应该出在NAT上。一年前内网向外网发布服务，用到了长链接，当时修改的NAT表项的老化时间为3个小时，运行一年内正常。

解决方法：

登陆边界路由器，清空NAT表项后正常。调整路由器的NAT表项老化时间为1个小时。

操作方法小计：

查看当前NAT表项数目：

[YD-Router]display nat session number   The total number of NAT session tables is: 1717

清空当前所有NAT表项（清除NAT的会话表项后，会导致业务中断，操作前请务必仔细确认！）：

[YD-Router]reset nat session all Warning:The current all NAT sessions will be deleted. Are you sure to continue?[Y/N]Y

如果发现NAT表项过多，可能是现网存在其他***流量导致（如伪造IP源地址的DoS***，执行命令display nat session all显示有大量不存在的IP相关会话），可以执行命令urpf loose使能URPF功能。

interface GigabitEthernet 0/0/0  urpf loose

参考：

http://support.huawei.com/enterprise/docinforeader!loadDocument1.action?contentId=DOC1000027356&partNo=10112

查看当前NAT的流表信息：

[YD-Router]display nat session all   NAT Session Table Information:      Protocol          : UDP(17)      SrcAddr  Port *** : 10.0.3.147      5041      DestAddr Port *** : 153.3.XXX.XXX    7004      NAT-Info        New SrcAddr     : 219.238.XXX.XXX        New SrcPort     : 15290        New DestAddr    : ----        New DestPort    : ----

查看当前设备上配置的所有NAT会话表项的超时时间：

[YD-Router]display firewall-nat session aging-time ---------------------------------------------   tcp protocol timeout         : 10800 (s)   tcp-proxy timeout            : 10    (s)   http protocol timeout        : 120   (s)   udp protocol timeout         : 120   (s)   icmp protocol timeout        : 20    (s)   dns protocol timeout         : 120   (s)   ftp protocol timeout         : 120   (s)   ftp-data protocol timeout    : 120   (s)   rtsp protocol timeout        : 60    (s)   rtsp-media protocol timeout  : 120   (s)   sip protocol timeout         : 1800  (s)   sip-media protocol timeout   : 120   (s)   pptp protocol timeout        : 600   (s)   pptp-data protocol timeout   : 600   (s) ---------------------------------------------

修改TCP NAT表项的超时时间：

[YD-Router]firewall-nat session tcp aging-time 3600

参考：

http://support.huawei.com/hedex/pages/EDOC100000972430001310/07/EDOC100000972430001310/07/resources/ar/display_firewall-nat_session_aging-time.html

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。