公网NAT网关后台已通过双机热备实现自动容灾，同时为用户提供云监控和告警服务，降低风险提高可用性。

出于安全因素考虑，部分运营商会对下列端口进行拦截，导致无法访问。建议避免使用下列端口：

1、公网NAT网关提供SNAT和DNAT功能，可允许多台弹性云服务器共享弹性公网IP。

2、弹性云服务器直接绑定弹性公网IP为独占IP的方式。

3、当同一个弹性云服务器同时设置了SNAT和弹性公网IP时，会优先使用弹性公网IP进行转发。

4、当同一个弹性云服务器同时设置了DNAT和弹性公网IP时，入云方向的弹性公网IP取决于客户端用户的自主选择（DNAT规则绑定的弹性公网IP或ECS直接绑定的弹性公网IP），而出云方向优先使用弹性云服务器直接绑定的弹性公网IP，所以如果入云和出云使用的弹性公网IP不一致，流量会不通。

5、不建议弹性云服务器同时使用公网NAT网关和直接绑定弹性公网IP。

用户通过公网NAT网关访问Internet失败，可能是由于VPC路由表配置错误引起的，可以通过以下方法重新配置VPC路由表。

1、找到VPC对应的子网关联的路由表。

2、查看路由表是否有到NAT网关的路由，如果不包含，请添加对应的路由。

3、如果用户自行修改到公网NAT网关的路由，请确保路由的目的地址包含待访问的目的地址。

不支持。

公网NAT网关在购买时选定VPC，不支持后续进行更换。

目前公网NAT网关不支持IPV6协议。

基于公网NAT网关的用户网络，可以通过配置安全组和网络ACL实现访问限制。

安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当云服务器加入该安全组后，即受到这些访问规则的保护。

网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的数据流。

安全组对弹性云服务器进行防护，网络ACL对子网进行防护，两者结合起来，可以实现更精细、更复杂的安全访问控制。

安全组与网络ACL的详情，请参见《VPC用户指南》安全性章节。

问题描述

您创建了一个公网NAT网关，并按照步骤配置了SNAT、DNAT规则，但是您的云主机不能访问互联网或不能为互联网提供服务。配置了公网NAT网关的网络是否可以连通互联网与路由表配置、安全组配置、网络ACL配置等多个环节相关联。任意一个环节出现问题，都会导致网络不通。本节操作介绍公网NAT网关配置完成后，网络不通时的排查思路。

排查思路

以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。

如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。

路由表配置不正确

请在路由表中添加指向公网NAT网关的默认路由或路由，详细操作请参考检查路由表是否配置指向公网NAT网关网关的默认路由。

弹性云服务器绑定了弹性公网IP

请为弹性云服务器解绑弹性公网IP，详细操作请参考检查弹性云服务器是否绑定了弹性公网IP。

安全组规则未放通

请放通弹性云服务器对应的安全组规则，详细操作请参考检查安全组规则。

网络ACL配置不正确

请配置网络ACL规则放通子网流量，详细操作请参考检查网络ACL是否放通子网流量。

弹性公网IP的带宽超限

请扩大EIP带宽，详细操作请参考检查弹性公网IP的带宽是否超限。

公网NAT网关业务量超过规格上限

请提升公网NAT网关规格，详细操作请参考检查公网NAT网关业务量是否超过规格上限。

公网NAT网关的状态异常

请确保公网NAT网关资源状态为“运行中”，详细操作请参考检查公网NAT网关状态是否异常。

弹性云服务器端口未监听

请重新开启弹性云服务器端口，详细操作请参考检查弹性云服务器端口。

当前单个VPC最多支持购买10个私网NAT。

可以，需要通过提交工单来解决。工单提交请参见提交工单。

私网NAT目前暂不支持SNAT规则和DNAT规则共用一个中转IP。

支持。在创建DNAT规则时，选择自定义模式，可添加通过云专线接入的客户云下IP。

私网NAT是实现私网IP与私网IP之间的地址转换。

私网NAT的作用有：

通过私网IP地址转换，解决私网IP地址冲突的问题。

通过私网IP地址转换，满足指定地址接入的需求。

公网NAT是实现私网IP与公网IP之间的地址转换。

公网NAT的作用有：

更安全：避免云主机公网IP直接暴露在外。

省成本：共享EIP，共享带宽，节约EIP资源。

私网NAT本身不支持跨帐号使用，但可以通过VPC对等连接实现跨帐户通信，VPC对等连接打通两个帐号的中转VPC，实现两个私网NAT转换IP后的跨帐号通信。

DNAT规则支持更新操作。公网NAT网关和私网NAT网关均支持修改DNAT规则。

ECS变更规格时，会导致已配置的NAT规则失效，需要删除已配置的NAT规则后重新配置。

由源IP地址、源端口、目的IP地址、目的端口、传输层协议这五个元素组成的集合视为一条连接。连接能够区分不同会话，并且对应的会话是唯一的。其中源IP地址和源端口指SNAT转换之后的IP和它的端口。

由于SNAT支持TCP、UDP和ICMP三种协议，每一个目的IP和目的端口，NAT网关最多可支持55000个并发连接。如果目的IP、端口或者协议（TCP/UDP/ICMP）发生变化，则可以再创建55000个连接。弹性云服务器中通过netstat命令看到ESTABLISHED状态的连接数和实际SNAT连接数有时会不一致。假设一个弹性云服务器平均每秒钟创建100个与固定目的的连接，不考虑连接老化的话，大约10分钟会将55000个连接耗尽导致连接无法新建。

NAT网关中SNAT连接如果长时间没有数据报文，会超时断开。因此为防止连接中断您需要发起更多的数据包或使用TCP保持连接。同时，为避免出现因连接数规格用满而出现的影响业务的情况，建议经常关注CES监控中的NAT网关SNAT连接数并合理设置告警。

公网NAT网关的SNAT功能通过绑定弹性公网IP，实现云主机私有IP到公网IP的转换。云主机通过公网NAT网关访问外网时，其带宽大小和您购买弹性公网IP时选择的带宽大小有关。

带宽大小调整操作请参考修改带宽大小。

通过NAT网关上网的服务器出现丢包或连接不通的情况时，可以通过云监控查看NAT网关的SNAT连接数。若SNAT连接数超过NAT网关规格上限，则会导致使用NAT网关的服务器出现丢包或者连接不通的现象。请参考查看监控指标，查看SNAT的连接数是否超过NAT网关的规格上限。如果超过NAT网关规格上限，可修改NAT网关规格，增大NAT网关规格数。

弹性云服务器通过SNAT访问公网上服务器，出现TCP建链失败的情况，可通过以下方法进行排查。

1、执行以下命令，查看远端服务器是否开启了“tcp_tw_recycle”。

sysctl -a|grep tcp_tw_recycle

tcp_tw_recycle取值为1时，表示开启。

2、查看远端服务器内核丢包数量。

如果ListenDrops数值非0，表示存在丢包，即存在网络问题。

处理方法：

方法一：修改远端服务器的内核参数

临时修改参数方法（重启远端服务器后该设置失效），设置如下：

sysctl -w net.ipv4.tcp_tw_recycle=0

永久修改参数方法：

1、执行以下命令，修改“/etc/sysctl.conf”文件。

vi /etc/sysctl.conf

在该文件中添加以下内容：

net.ipv4.tcp_tw_recycle=0

2、按“Esc”输入“:wq!”，保存后退出文件。

3、执行以下命令，生效配置。

sysctl -p

方法二：修改本地客户端的内核参数

临时修改参数方法（重启本地客户端后该设置失效），设置如下：

sysctl -w net.ipv4.tcp_timestamps=0

永久修改参数方法：

1、执行以下命令，修改“/etc/sysctl.conf”文件。

vi /etc/sysctl.conf

在该文件中添加以下内容：

net.ipv4.tcp_timestamps=0

2、按“Esc”输入“:wq!”，保存后退出文件。

3、执行以下命令，生效配置。

sysctl -p

NAT网关里的网段是在创建NAT网关时必须指定NAT网关所在VPC及子网网段。此网段仅用于系统后台使用，并非SNAT使用的网段。

创建SNAT规则且当场景是虚拟私有云时，需要配置对应VPC的子网网段，使该网段中的云主机通过SNAT方式进行访问。

创建SNAT规则且当场景是云专线/云连接时，需要配置云专线/云连接对应的本地数据中心的某个网段或另一VPC的网段，使该网段中的云主机通过SNAT方式进行访问。