全部文档
当前文档

热搜词推荐

云服务器 虚拟私有网络 边缘节点计算 对等连接

共搜索到 0 条结果

暂无内容

如果没有找到您期望的内容,请尝试其他搜索词

文档中心

NAT

查看更多结果
未找到含当前关键字的文档标题
页面目录
全部展开全部收起
未找到含该关键词的产品
文档中心 NAT 常见问题 使用FAQ

使用FAQ

最近更新时间:2025-11-06 16:16:47

1.客户端使用NAT访问公网超时,下载速度慢

(1)查看网关流量监控,检查网关流量是否超过带宽限制。如存在带宽超限情况,建议升配NAT带宽,详情可参考https://docs.ksyun.com/documents/42999?type=3

(2)查看NAT实例下云主机和裸金属的流量排行,检查哪些云主机流量使用过多,确定异常流量来源。

(3)通过此步骤https://docs.ksyun.com/documents/43004?type=3对云服务器流量进行限速。

2.访问特定网站或服务很慢或不通,但访问其他网站正常

(1)进行网络链路测试: 在客户端使用 tracert(Windows)或 traceroute(Linux)命令追踪到达目标网站的网络路径,判断延迟或丢包发生在哪个网络节点。

(2)检查目标网站状态: 目标网站服务器可能本身存在故障或网络拥堵。

(3)ISP互联问题: 可能到目标网站所在运营商之间的网络互联出现暂时性问题。可提工单联系售后工程师进行排查。

3.NAT网关本身带宽利用率很低,但下载速度依然很慢

(1)检查NAT端口冲突问题:云产品监控-NAT中检查是否有NAT端口冲突,如果有冲突,说明NAT的端口数使用完毕(一般出现在访问同一个目的地址的会话数量过多而配置的SNAT规则使用NAT IP数量过少时),需要客户NAT池中再加一个IP。

(2)检查后端服务器性能: 慢的问题可能出在提供下载服务的后端服务器上,其磁盘I/O、CPU资源、网卡带宽可能已达到瓶颈。

如以上排查无异常,可提工单联系售后工程师进行排查。

4.公网用户无法访问NAT网关后端的云服务器(入方向访问问题)

(1)检查端口转发规则: 如果配置了DNAT规则(端口转发),请确认规则配置正确,包括外部IP、外部端口、内部IP、内部端口以及协议类型。

(2)检查后端服务器安全组: 确保后端云服务器的安全组入站规则允许来自公网(0.0.0.0/0)或特定IP段对目标端口的访问。

(3)检查后端服务状态: 登录到后端云服务器,确认其上的应用程序服务是否已正常启动并监听在正确端口。

若以上排查无异常,可提工单联系售后工程师进行排查。

5.无法通过SNAT访问公网

(1)从控制台检查SNAT规则,确认SNAT条目已绑定对应云主机,子网或者专用网络连接。如未配置,可参考此文档进行操作https://docs.ksyun.com/documents/43000?type=3

(2)检查安全策略,确认云主机或其他资源绑定的安全组ACL出向规则已放行0.0.0.0/0或目的网段,如访问控制已放行规则,需检查云主机系统内部防火墙应用规则。

若以上排查无异常,可更换NAT IP测试其他云主机是否正常。

6.通过公网NAT网关访问目标服务器TCP连接间歇性连接异常

该问题通常源于远端服务器的TCP协议栈参数配置与NAT网络环境不兼容。具体来说,远端服务器若开启tcp_tw_recycle参数,在特定网络条件下可能因TCP时间戳机制冲突导致合法连接被丢弃。

(1)执行sysctl -a|grep tcp_tw_recycle命令,查看远端服务器是否开启了“tcp_tw_recycle”;tcp_tw_recycle取值为1时,表示开启。

(2)执行cat /proc/net/netstat | awk '/TcpExt/ { print $21,$22 }';查看远端服务器内核丢包数量,如果ListenDrops数值非0,表示存在丢包,即存在网络问题。

解决方案:关闭tcp_tw_recycle

(1)临时调整方案(重启后失效)

在目标服务器执行:sysctl -w net.ipv4.tcp_tw_recycle=0

(2)调整方案(重启无影响)

a.编辑系统内核参数配置文件:

vi /etc/sysctl.conf

b.添加或修改以下配置项:

net.ipv4.tcp_tw_recycle=0

c.保存退出后加载新配置:

sysctl -p

7.云服务器使用SNAT可以PING通公网IP,无法PING通域名

(1)DNS服务器不可达

原因:客户端配置的DNS服务器地址错误或无法访问。

排查:在客户端执行 nslookup 域名。若解析失败,检查网卡DNS配置是否为金山云公共DNS

或切换为公共DNS(如 114.114.114.114)测试。

注:金山云DNS服务地址:北京Rgion198.18.254.30、198.18.254.31,上海Region198.18.254.40、198.18.254.41,其余Region198.18.254.60、198.18.254.61

(2)DNS流量被拦截

原因:安全组、网络ACL或防火墙规则未放行出方向的UDP 53端口流量。

排查:检查NAT网关及客户端所在子网关联的安全策略,确保允许DNS查询流量通过。

(3)本地DNS缓存问题

原因:客户端本地DNS缓存中存在错误或过期记录。

排查:执行 ipconfig /flushdns(Windows)或 systemd-resolve --flush-caches(Linux)清除缓存后重试。

8.云服务器使用SNAT路由跟踪到对端无回显

(1)中间网络节点的安全策略拦截

云平台侧安全策略:检查云服务器关联的安全组和所在子网的网络ACL。确保其出方向规则已放行ICMP协议,并且入方向规则允许ICMP消息返回。

对端网络侧安全策略:目标服务器所在的网络环境(如IDC防火墙、云平台安全组)可能未放行ICMP协议,导致其收到探测包后不予响应。

(2)公网运营商的限制

出于网络安全或优化流量考虑,部分公网运营商可能会选择性丢弃ICMP包,导致路径中的某些节点不显示。

业务层面测试:尝试使用 telnet测试业务端口(如TCP 80端口)的通断。即使 tracert无果,只要业务端口能通,即证明网络连接实质是正常的。

文档导读
上一篇:产品FAQ
纯净模式常规模式

纯净模式

点击可全屏预览文档内容
文档反馈