【华为云网络技术分享】【第十弹】NAT网关故障排查指导（含附件）

本文的主要目的是在客户的NAT网关服务出现问题后，用以租户侧NAT网关设备的排查指导。

1.1 NAT网关服务示意图

下面的示意图显示您的虚拟机通过NAT方式访问internet的简易流程图。

1.2 客户自查指导

   通过NAT网关访问internet不可用，通常有以下错误场景引起：

1、 虚拟机所在子网未创建SNAT规则

2、 虚拟机运行不正常

3、 虚拟机内部网络配置错误

4、 未放通虚拟机对应连接的安全组

5、 虚拟机所在子网配置了ACL

6、 SNAT规则由于EIP欠费被冻结

7、 NAT网关被冻结

针对以上错误场景，请您按照以下步骤进行自查：

（1）     检查虚拟机所在子网是否创建SNAT规则

查看虚拟机的IP是否属于已经创建SNAT规则的网段，如果不是，需要用虚拟机的IP所在网关重新创建SNAT规则。

（2）     检查您的虚拟机是否正常运行

请客户通过以下方法排查虚拟机运行状态是否正确，如果不是Running状态，请尝试启动/重启虚拟机。

（3）     检查虚拟机内部网络配置

1.确认虚拟机网卡已经正确分配到ip地址。

操作步骤：登陆虚拟机内部，使用命令ifconfig或ip address查看网卡的IP信息。

注：windows虚拟机可以在命令行中执行ipconfig查看。

2.确认虚拟IP地址已经正确配置在网卡上。

操作步骤：登陆虚拟机内部，使用命令ifconfig或ip address查看网卡的IP信息。如果没有虚拟IP地址，可以使用命令 ip addr add 192.168.1.192/24 eth0给虚拟机添加正确的配置。

查看是否有默认路由信息，如果没有，则可以通过ip route add添加路由。

（4）     查看虚拟机安全组是否放通

点击弹性云主机à选择对应的虚拟机à点击安全组

请根据实际需求，选择性配置安全组规则（remote IP指的是放行的IP地址，0.0.0.0/0表示放通所有的IP地址，请谨慎使用）:

（5）     查看虚拟机所在子网是否配置了ACL

点击虚拟私有云à网络ACLà关联子网

如果该子网配置了ACL，则查看出方向是否放通该虚拟机所在子网网段

请根据实际需求，选择性配置ACL（ACL默认拒绝所有ip出公网，请谨慎使用）:

（6）     查看SNAT规则是否被冻结

规则被冻结则是EIP已经欠费

（7）     查看NAT网关是否被冻结

NAT网关被冻结表示用户账号已经欠费

（8）     客户需要做的运维协助操作

如果按照以上步骤执行后，仍然无法正常使用NAT网关服务，则需联系华为技术支持人员进行解决。所需操作如下：

您需要向华为技术支持人员提供如下表格中的信息：