f5010 snat配置不通

F5010 SNAT 命中、会话正常但不通，90% 是来回路径不一致、安全策略放通不全、NAT 地址 / 端口被占、或者会话残留。下面按 H3C F5010 实际排查步骤来，你照着一步步做即可。
一、先确认现象（你已确认的）
display nat outbound：SNAT 规则存在、状态 Active、命中计数增长
display session table verbose：有会话、源 / 目的、NAT 转换后地址都正常
内网 ping / 访问外网不通，或只能发包不能回包
二、最常见 5 个原因 + 排查命令（F5010）
1）安全策略没放通（域间策略）—— 最常见
SNAT 只改源 IP，必须有域间策略允许流量。
bash
运行
# 查看是否有对应策略（源域→目的域，源IP/目的IP，动作pass）
display security-policy ip | include pass

# 典型错误：源域/目的域写反、服务没放、动作deny
# 正确示例：内网→外网，允许所有IP所有服务
security-policy ip
rule name inside-out
source-zone inside
destination-zone outside
source-address any
destination-address any
service any
action pass
2）来回路径不一致（不对称路由）—— 必查
出去走 F5010，回来走别的设备 / 路由，运营商会丢包。
bash
运行
# 查看路由，确认回程路由是否指向 F5010
display ip routing-table 目的IP

# 多出口/双线场景：必须开启“源进源出”
interface GigabitEthernet 1/0/1 # 外网口
ip last-hop hold
3）NAT 地址池端口耗尽 / 地址不可用
会话表有，但没端口可分配，导致有会话但不通。
bash
运行
# 查看 NAT 地址池状态
display nat address-group

# 查看端口占用（PAT 场景）
display nat port-block

# 若地址池只有1个IP，并发高时端口会满（65535个）
# 解决：扩大地址池、或用接口地址（nat outbound 接口）
4）会话残留 / 旧会话干扰
之前配置错误，旧会话卡住，新流量匹配旧会话导致不通。
bash
运行
# 清空会话表（不影响配置，生产可操作）
reset firewall session table

# 清空后重新测试，看是否恢复
5）ASPF / 应用层拦截、黑名单、带宽限制
F5010 默认开启 ASPF，部分协议会被拦截；或有黑名单 / 限流。
bash
运行
# 查看 ASPF 策略
display aspf policy

# 临时关闭 ASPF 测试（仅排查）
undo aspf enable

# 查看黑名单/安全日志
display blacklist
display logbuffer | include deny
三、抓包定位（最准）
F5010 内外网口同时抓包，看是否有去包、是否有回包、NAT 是否改对。
bash
运行
# 内网口抓包（1/0/2 为内网口）
packet-capture interface GigabitEthernet 1/0/2 ip source 内网IP destination 外网IP

# 外网口抓包（1/0/1 为外网口）
packet-capture interface GigabitEthernet 1/0/1 ip source NAT后IP destination 外网IP

# 查看抓包结果
display packet-capture
内网口有包、外网口无包：策略 / 路由丢包
外网口有包、无回包：外网路由 / 运营商拦截
有回包但内网口没收到：来回路径不一致
四、标准 SNAT 配置（F5010，可对照）
bash
运行
# 1. 定义需要转换的内网网段
acl number 3000
rule permit ip source 192.168.0.0 0.0.255.255

# 2. 配置 NAT 地址池（或用接口地址）
nat address-group 1
address 202.100.1.10 202.100.1.10 # 公网IP

# 3. 外网口应用 SNAT
interface GigabitEthernet 1/0/1
nat outbound 3000 address-group 1

# 4. 配置域间放通策略
security-policy ip
rule name inside-out
source-zone inside
destination-zone outside
action pass
五、你现在直接做的 3 步
reset firewall session table 清空会话，重测；
检查域间策略：inside→outside，any→any，pass；
外网口下 ip last-hop hold，解决来回路径不一致。

第一步：检查路由与 ARP 信息

• 确认 ARP 学习：在命令行使用 show arp 或 display arp 查看设备是否成功学习到外网网关的 MAC 地址。
• 验证路由匹配：检查防火墙的路由表，确保转换后的公网 IP 能够匹配到正确的默认路由或静态路由。

第二步：抓包分析双向流量流向（核心步骤）

• 有去无回：如果外网口抓包显示源 IP 已正确替换为公网 IP，且报文已发出，但没有收到任何响应回包。这说明对端服务器没有回应，或者回程流量走了其他链路（非对称路由），导致本设备的 Session 无法匹配回包而失效。
• 未发生转换：如果在外网口抓到的报文依然是内网私网 IP，说明 NAT 虽然在策略中显示命中，但在实际转发层面并未生效，需检查是否存在二次穿透或连接跟踪冲突。

第三步：排查安全策略与拦截机制

• 检查拦截日志：查看防火墙的安全日志或攻击防御日志，确认是否有应用控制策略、黑名单等将回程流量或特定业务端口拦截。
• 测试放通：可以尝试临时开启直通模式或添加白名单策略，确认是否因隐藏的安全策略导致业务中断。

第四步：检查多出口与资源状态

• 多出口路由不一致：如果您的网络存在多个运营商出口，需确认“SNAT 配置的出接口”与“实际路由选择的出接口”是否一致。如果不一致，会导致数据从 A 口出去（转换为 A 口公网 IP），但回包却从 B 口进来，造成通信失败。
• 设备负载与连接数：检查防火墙首页的系统监控，确认当前并发会话数或新建会话数是否跑满。如果长连接过多导致连接数耗尽，新的 SNAT 匹配可能会受到影响。