H3C MSR830能通出口网关不能上网

没有配置nat策略。不会的话就重置，按设置向导操作。

一步一步修改就参考视频案例

H3C MSR系列路由器 Web典型配置 演示视频(V7)-R6749-6W104

1. 检查 NAT 配置（最高发原因）

• 排查命令：display current-configuration | include nat outbound
• 修复方法：确认 WAN 口（如 G0/0）下已正确配置了 NAT。如果没有，请进入接口视图添加：
  system-view interface GigabitEthernet 0/0 nat outbound easy

2. 检查默认路由

• 排查命令：display ip routing-table
• 修复方法：如果缺少默认路由，请手动添加：
  ip route-static 0.0.0.0 0 <专线对端网关IP>

3. 检查安全策略 / 域间放行

• 修复方法：检查并放行 Trust 到 Untrust 的域间访问：
  security-zone interzone source Trust destination Untrust rule permit ip

4. 路由器本机连通性测试

• 排查命令：ping 223.5.5.5（Ping 公网 DNS）
• 结果分析：
  • 如果 Ping 不通：说明问题在运营商侧或上层链路。
  • 如果 Ping 通，但内网终端依然不行：基本锁定是 NAT 未配置或安全域未放行的问题。

5. 排查内网终端配置

• 确认终端获取的 DHCP 地址池、默认网关是否填写正确。
• 确认终端手动配置的静态 IP 与路由器 LAN 口在同一网段，且 DNS 服务器配置有效。

MSR830 能 ping 通专线网关但内网无法上网完整排障
核心现象拆解
电脑直连光猫专线 IP、掩码、网关同配置可正常上网 → 运营商链路、公网网关无拦截；
MSR830 WAN 口配置相同参数，设备自身能 ping 通专线网关，内网 PC 无法访问外网；
本质只有 4 类根源：缺少默认路由、内网源 NAT 未配置、ACL / 安全策略拦截、运营商绑定 MAC 限制，按优先级排查。
一、最高发原因 1：未配置外网源 NAT（90% 现场故障）
专线固定 IP 场景，内网 192.168.x 私网地址发到公网会被运营商网关丢弃，必须在 WAN 口做源地址转换 SNAT。
完整配置命令
plaintext
system-view
# 1. 新建高级ACL匹配所有内网流量
acl advanced 3000
rule permit ip source 内网网段 0.0.0.255
# 示例：内网192.168.1.0/24
acl advanced 3000
rule permit ip source 192.168.1.0 0.0.0.255

# 2. WAN口出接口NAT转换
interface GigabitEthernet 0/0
nat outbound 3000
验证命令
plaintext
display nat session table
内网 PC 访问外网，能生成 NAT 会话条目 = 转换正常；无条目代表 NAT 未生效。
二、原因 2：缺少全局默认路由（仅能通网关，无外网回程路由）
能 ping 通同网段网关，不代表设备有全网路由，必须配置 0.0.0.0 默认路由指向专线网关。
配置示例
专线网关：10.0.0.1，WAN 口 GE0/0
plaintext
ip route-static 0.0.0.0 0 10.0.0.1 preference 60
校验路由表
plaintext
display ip routing-table
输出必须存在 0.0.0.0/0 Static 路由，下一跳为专线网关 IP。
三、原因 3：运营商绑定电脑 MAC 地址，拦截 MSR830 出口流量
现象特征
电脑直连光猫正常，换路由器就只能通网关无法出公网；运营商网关识别 MAC 不符，拦截跨网段访问。
两种解决办法
MSR830 WAN 口克隆电脑 MAC（推荐，不用联系运营商）
plaintext
interface GigabitEthernet 0/0
mac-address 电脑直连时的物理MAC地址
致电电信专线客服，解绑原有电脑 MAC，绑定路由器 WAN 口 MAC。
四、原因 4：ACL / 防火墙 / 包过滤拦截内网出站流量
MSR830 接口 inbound/outbound 包过滤、安全 ACL 阻断 TCP 80/443 网页流量，仅放行 ICMP ping，所以只能通网关、打不开外网。
排查 & 修复
查看 WAN/LAN 接口是否绑定 ACL
plaintext
display this interface GigabitEthernet 0/0
display this interface Vlan-interface 1
出现 packet-filter inbound/outbound 即为拦截规则；
2. 临时删除过滤规则测试
plaintext
interface Vlan-interface 1
undo packet-filter inbound
undo packet-filter outbound
interface GigabitEthernet 0/0
undo packet-filter inbound
undo packet-filter outbound
若配置了域间安全策略，放行内网→外网所有 IP 流量。
五、原因 5：接口掩码 / 网段配置错误，路由转发异常
WAN 口 IP、子网掩码和运营商提供不一致，虽然能同网段 ping 网关，但跨网段转发异常；
内网 VLANIF 接口与 WAN 网段冲突，路由转发混乱；
核对命令
plaintext
display ip interface brief
对比运营商给的 IP / 掩码，和电脑直连时完全一致。
六、快速定位测试步骤（1 分钟区分故障点）
路由器本机测试
在 MSR830 上直接 ping 公网 IP 114.114.114.114
能通：设备路由、链路正常，故障仅内网 PC，NAT 未配置；
不通：默认路由 / MAC 绑定 / 运营商拦截问题。
内网 PC 测试
PC tracert 114.114.114
第一跳到路由器内网网关正常，第二跳无响应 = 缺少 SNAT；
第一跳都不通 = 内网接口 / ACL 拦截。
七、完整最简落地配置模板（替换对应 IP 即可）
plaintext
system-view
# 内网LAN
vlan 1
interface Vlan-interface 1
ip address 192.168.1.1 255.255.255.0
# 专线WAN
interface GigabitEthernet 0/0
port link-mode route
ip address 10.0.0.10 255.255.255.0
nat outbound 3000
# 内网ACL
acl advanced 3000
rule permit ip source 192.168.1.0 0.0.0.255
# 默认路由
ip route-static 0.0.0.0 0 10.0.0.1
八、高频踩坑总结
只配置 IP 网关，忘记 nat outbound，内网百分百无法上网；
电脑直连正常、路由器不行，优先排查 MAC 绑定；
能 ping 网关不代表有默认路由，必须确认 0.0.0.0 静态路由存在；
包过滤 ACL 只放通 ICMP，网页 TCP 流量被丢弃，表现为 ping 通网关但打不开网站。