L1000-E如何查看nat记录

nat日志

nat日志非常多，建议转发到日志服务器保存

L1000-E设备默认不会保存历史NAT转换记录，因此无法直接查询几小时前的转换对应关系。要想实现历史回溯，您需要提前开启NAT日志功能，并通过日志服务器进行查询。

⚙️ 原理与限制

L1000-E作为网络转发设备，出于性能考虑，默认只维护当前活跃的NAT会话。一旦会话结束（老化），转换记录就被丢弃了。

所以，要查询5小时前的记录，前提是当时NAT日志功能已开启，且日志已被成功发送并保存到日志服务器上。

🔍 当前会话查询

如果您想查询的是当下正在进行的NAT转换关系，可以用这条命令查看当前活跃的会话：

📝 实现历史查询的配置方法

第一步：配置NAT日志功能

在L1000-E上，您需要配置NAT日志输出。日志版本需要选择版本3.0才能记录完整的地址和端口转换信息。

Web界面配置路径（参考E8139P12版本）：

1. 导航至 “系统” > “日志设置” > “基本设置” > “流日志”，开启NAT Flow日志功能。

2. 导航至 “系统” > “日志设置” > “NAT日志”，开启NAT日志功能并应用配置。

第二步：配置日志输出

您需要指定一台日志服务器来接收和存储日志。推荐使用外置的Syslog服务器，因为设备本地缓存容量有限，旧日志会被覆盖。

命令行配置示例：

📌 补充说明

• 日志格式：根据您的日志服务器需求，NAT日志格式（H3C、中国电信、中国联通、中国移动）可以调整。

• 配置时机：以上配置需要提前完成，对于配置生效前发生的NAT转换，是没有任何记录的。

💎 总结与建议

1. 立即查询当前映射：使用 display nat session 命令。

2. 查询历史映射：如果已提前配置好外置日志服务器，请直接登录该服务器，根据公网IP 10.1.1.1 和时间范围检索即可。

3. 如果尚未配置：现在可以参照上述步骤进行配置，以便未来能够查询历史记录。

根据你的需求，H3C SecPath L1000-E 作为负载均衡产品，并不能像查询历史列表一样直接查看或简单筛选出5小时前的NAT转换记录。

 为什么无法直接查看历史记录？

因为网络设备在高性能运行时，NAT会话表（即转换记录）是暂存于内存中的，具有生存时间（TTL），一旦连接结束或超时，记录就会被自动清除，以节约系统资源。因此，设备本地不存储历史日志。

 两个替代解决方案

要获取历史数据，可以参考以下两个方案：

1. 推荐方案：查看实时NAT会话（适用于故障复现）
   如果当前仍有活跃连接，或故障可以复现，直接查看实时NAT会话表是当前最快的办法。你可以用公网IP（10.1.1.1）来反向定位对应的内网IP。

   • 通过命令行 (CLI)：可以使用 display nat session 命令，并配合 destination-ip 参数精准过滤：

     display nat session destination-ip 10.1.1.1 verbose命令输出的示例与关键信息如下：
     <H3C> display nat session destination-ip 10.1.1.1

     Slot 0: Total sessions found: 1 Protocol: TCP(6) Src-IP: 192.168.1.100 -> Trans-IP: 10.1.1.1 Src-Port: 12345 -> Trans-Port: 54321 Dst-IP: 203.0.113.5 Dst-Port: 80 State: TCP_ESTABLISHED Application: HTTP在上述例子中，Src-IP: 192.168.1.100 就是你正在查找的内网IP，而 Trans-IP: 10.1.1.1 是NAT转换后的公网IP。

   • 通过Web界面：可以在 监控 > 会话列表 或相关功能中查看和管理NAT会话。

2. 根本方案：部署日志服务器查看历史记录
   长期排查和溯源，必须将NAT日志实时输出到外部的Syslog服务器。

   • 开启NAT日志功能 (CLI)：

     # 开启NAT日志功能并指定日志服务器

     info-center enable info-center loghost 192.168.1.10 facility local1 nat log enable

   • 配置NAT会话日志：在Web界面的 系统 > 日志设置 > NAT日志设置，开启NAT日志，并根据需要勾选 “NAT新建会话日志” 和 “NAT删除会话日志”，以记录每次连接的完整生命周期。

补充：使用“通报溯源”功能

部分H3C安全产品（如态势感知平台）提供“通报溯源”功能。如果环境中有该功能，可以在创建溯源任务时设置溯源时间和NAT转换源IP (10.1.1.1)，系统就能自动筛选出相关日志，直接定位内网IP。

 快速上手指南

为了方便你快速操作，我根据常见场景整理了下面的排查思路：

• 场景A：故障正在发生或可复现

  • 最快方案：直接登录设备CLI，执行 display nat session destination-ip 10.1.1.1 verbose。

  • 期望结果：命令输出将直接显示内网IP地址、端口及会话状态，可据此快速定位问题主机。

• 场景B：历史问题排查且无日志服务器

  • 结论：无法查到。设备内存不保存历史会话，数据已丢失。

  • 行动建议：这是部署Syslog日志服务器的强信号。建议立即按上文“根本方案”规划并部署日志服务器，以备未来之需。

• 场景C：历史问题排查且已部署日志服务器

  • 最快方案：在Syslog服务器上，以 "10.1.1.1" 和时间段（约5小时前） 为条件进行检索。

  • 期望结果：服务器将返回所有符合条件的日志条目，分析即可找到内网IP及访问记录。

如果要在现网配置Syslog服务器并长期保存日志，建议先评估设备的性能压力，并设置合理的日志轮转策略，避免存储空间被快速占满。