H3C-F100-C-G3

1. NAT地址资源耗尽 

   当NAT地址组端口块（尤其是端口范围受限时）耗尽后，新建连接会失败。

   特征：失效时间与业务流量峰值相关，重启策略后临时释放资源可恢复。

2. 会话表项未及时老化 

   异常会话（如TCP连接未正常断开）长期占用表项，导致新连接无法建立。

   验证命令：    

     display nat session verbose   检查僵死会话的TTL值

     display nat statistics         查看当前端口使用率

3. 策略冲突或优先级问题 

   新增的其他策略（如安全策略、全局NAT规则）可能意外覆盖专网策略。

   验证命令： 

     display nat policy all         检查策略生效状态

     display security-policy ip     确认策略是否被阻断

4. 路由收敛问题 

   专网路由波动导致下一跳不可达，触发NAT失效（需结合日志验证）。

 解决方案

 1. 优化NAT资源分配

system-view

  nat address-group [专网地址组ID]

    port-range 1024 65535       扩大端口范围至1024-65535

    port-block block-size 500    增大单用户端口块大小

    port-block-timeout 1200      缩短空闲端口回收时间（秒）

 2. 强制会话快速老化

system-view

  session aging-time tcp fin 10   TCP FIN状态会话10秒老化

  session aging-time tcp syn 10   半连接会话10秒老化

 3. 调整策略优先级

nat global-policy

  rule name [专网策略] priority 100   提升专网策略优先级

  action no-nat   确认专网流量绕过默认SNAT

 4. 日志监控与诊断

关键日志收集： 

  terminal monitor

  terminal logging

  debugging nat packet       抓取NAT处理报文

  debugging security-policy  检查策略拦截日志

自愈验证： 

  观察失效时是否出现以下日志： 

  log

  %NAT/4/PORT_EXHAUSTED: Address group X port resources exhausted

  %SEC/6/DENY: Policy [ID] denies packet from [内网IP] to [专网IP]

 配置验证流程

1. 失效期检查 

   执行 display nat statistics 查看端口块使用率。

   执行 display session table destination-ip [专网IP] 检查会话状态。

2. 恢复后对比 

   对比策略启用前后的 display nat session 变化。

3. 路由追踪 

   失效时从防火墙ping专网IP，确认路由可达性： 

     ping -a [防火墙内网接口IP] [专网目标IP]

 若以上措施无效，请联系H3C技术支持（400-810-0504）