防火墙NAT不生效

问题描述：

防火墙配置NAT后IP没有转换。

解决方法：

1、检查配置

NAT分为接口NAT和全局NAT，两种配置方法均可在手册NAT章节查询。

注意接口NAT和全局NAT不要混用，即一台防火墙上只能配置一种NAT。

2、查看会话

要想确认设备是否进行了正常的NAT转换，最直接的方法就是查看设备的会话信息，根据会话可以看到NAT转换前后的地址和对应关系。

命令：display session table source-ip x.x.x.x destination-ip x.x.x.x verbose

例如：通过命令可以看到源为192.168.5.1的数据报文经过防火墙NAT转化后地址变成了60.191.66.139，报文收发也正常。

3、排查异常侧网络

如果根据会话查看防火墙地址转化只转换了去包，没有转换回包，则需要仔细检查防火墙到报文源目的两端的路由、策略配置和出入接口。若根据会话查看防火墙地址转化正常，也需要仔细检查内部网络或者服务器到防火墙的路由、策略配置和出入接口，确保数据流的来回报文都经过防火墙且来回路径一致。

命令：display ip routing-table x.x.x.x

display security-policy ip

display security-zone

4、可以通过debug回显出报文转换以及收到发出的整个过程

有NAT的情况下，假设（X.X.X.X） NAT后的地址为（A.A.A.A 会话中可以看到NAT后的地址），则需要再写四条rule，如下：

[FW]acl advanced 3XXX

[FW-acl-ipv4-adv-3010]rule 0 permit ip source X.X.X.X  0 destination Y.Y.Y.Y 0

[FW-acl-ipv4-adv-3010]rule 5 permit ip source Y.Y.Y.Y  0 destination X.X.X.X 0

[FW-acl-ipv4-adv-3010]rule 10 permit ip source A.A.A.A 0 destination Y.Y.Y.Y 0

[FW-acl-ipv4-adv-3010]rule 15 permit ip source Y.Y.Y.Y 0 destination A.A.A.A 0

故障时分别进行以下debug调试（建议在软件中提前开启记录会话）：

<FW>debugging ip packet acl 3XXX

#查看报文具体从哪个接口，哪个slot上来和发出的情况

<FW>debugging nat packet acl 3XXX

#可以查看NAT转换的具体情况

<FW>t m

<FW>t d