NAT转换失败

NAT转换失败通用排查手段可参考根叔云图

知识库 - 知了社区

ER路由器AT服务器排查可参考如下方法

一、服务器端口映射故障排查

内部服务器通常配置在外网侧接口上，通过在NAT设备上配置内部服务器，建立一个或多个内网服务器内网地址和端口与外网地址和端口的映射关系，使外部网络用户能够通过配置的外网地址和端口来访问内网服务器。

内部服务器可以位于一个普通的内网内，也可以位于一个VPN实例内。

    出现服务器端口映射异常问题时，遇到nat server映射到内网服务器异常、打不开服务器页面、访问不了服务器资源的问题，我们的排查思路是：首先测试PC直连web服务器是否能正常打开页面，然后确认路由器不做NAT情况下PC和web服务器通过路由互通能否正常打开页面，设备上做NAT时需要查看一下是否有NAT会话，并通过调试信息来看一下地址转换处理过程是否正确。

二、流程图相关操作说明：

1.   确认运营商是否屏蔽了端口

当设备上对内网服务器开启端口映射时，外网需要通过运营商网络对内网服务器发起访问，此时如果运营商线路上对内网服务器的端口有限制，就可能会导致外网访问内放服务器异常。建议联系运营商确认指定的外部端口是否可用，如不可用需考虑将映射的外部端口更换为其它端口，方法如下：

1）在设备Web管理界面的导航栏中选择“网络设置>NAT配置”，

2）在“虚拟服务器”页签中点击NAT端口映射列表中指定端口映射对应的修改图标，在修改端口配置对话框中，更改外部端口的起始端口号和结束端口号，点击<确定>按钮完成配置。

如果更换外部端口号还是不能正常访问，则请按下面的步骤继续排查。

2.   确认服务器配置是否正确

外网终端对服务器发起访问时，可能涉及nat地址转换、报文三层转发、防火墙安全过滤、服务器处理等过程，服务器及中间设备的配置也起决定性作用。因此在外网中间终端访问服务器异常时，需检查服务器配置，重点检查安全策略和防火墙设置，确认是否存在开放非本地网段的访问权限或者其它安全策略的设置问题。可以通过以下方式进行判断：

1）首先确认服务器端口是否全部映射，需要咨询服务器厂家或使用抓包的方式，确认服务器需要映射的端口是否均已设置映射。若未全部映射，请将需要映射的端口全部进行映射。确认无问题后，进行以下排查。

2）排除服务器和终端本身存在异常的可能性，可以将终端与服务器直连，看终端是否能正常访问。如果这一步打不开，需要检查终端和服务器相关设置是否存在问题。这一步没问题，则继续向下检查。

3）确认安全策略和防火墙设备对外网终端无限制，可以将终端与安全设备直连，看终端是否能正常访问。如果这一步打不开，需要检查防火墙相关设置是否存在问题。这一步没问题，则继续向下检查。

3.   检查设备配置是否有问题

检查设备的防火墙、MAC过滤等规则中添加的过滤规则，是否阻止了映射端口或者映射服务器的正常通信。方法如下：

1） 单击导航树中“网络安全>防火墙”菜单项，进入防火墙配置页面,确认设备上没有阻断外网终端的策略。

2） 点击“MAC地址过滤”选项，检查设备MAC过滤设置及MAC黑白名单管理中是否又配置会阻断终端MAC。

4.   确认终端经过设备普通三层路由到服务器是否能正常访问

这一步排查的目的是确认路由器三层转发是否正常，如果在不涉及NAT、只有普通三层转发的情况下，终端能够正常访问服务器资源，说明路由器的转发没有问题，经端口映射后访问异常是设备NAT处理问题的可能性比较大。如果此时终端无法打开页面，则需要检查三层转发时哪里存在问题，例如终端和服务器路由是否正确等等。

5.   确认路由器对服务器端口映射是否成功

经过上述排查后如外网终端还无法访问内网服务器，可以通过路由器内外网口同时抓包，确认设备nat转换是否有问题。