内网无法访问外网，基本就这两种原因！

在网络环境中如果发现内网设备无法正常访问外部网络资源，比如无法浏览网页、无法与外部服务器通信或无法传输数据等异常现象。

很可能是未在访问外网的出接口上正确配置NAT Outbound，或者NAT Outbound引用的ACL配置错误。

操作步骤

1.检查设备的接口是否有报文进入

在设备上执行display interface interface-type interface-number命令，查看显示信息的Input字段值。

•如果Input字段值为0，表示设备没有报文进入，请排查接口的配置，保证接口能接收报文。

•如果Input字段值不为0，请执行步骤2。

设备支持GE、FE、Eth-Trunk及子接口等多种接口。如果使用的是Eth-Trunk子接口，使用display interface eth-trunk [ trunk-id [.subnumber ] ] 命令查看接口是否有报文进入。

2.检查NAT Outbound绑定的ACL规则，是否允许NAT业务报文通过

在设备上执行命令display nat outbound，查看出接口上是否正确配置了NAT Outbound。

[Huawei] display nat outbound

  NAT Outbound Information:

 ---------------------------------------------------------------------------

 Interface                     Acl      Address-group/IP/Interface      Type

 ---------------------------------------------------------------------------

 GigabitEthernet0/0/0         2000                               1    no-pat

 ---------------------------------------------------------------------------

  Total : 1                                                                

由显示信息可知NAT出接口GigabitEthernet0/0/0上NAT Outbound关联的ACL号为2000。

然后查看ACL 2000的规则配置是否正确。如果ACL 2000未配置正确的IP地址、端口号或协议类型，将导致报文无法正常出入网络。

使用命令display acl 2000查看当前ACL 2000关联的NAT Outbound配置。[Huawei] display acl 2000

Basic ACL2000, 1 rule

Acl's step is 5

rule 5 permit source 192.168.1.100 0

根据ACL规则可以看出，源地址为192.168.1.100的报文才能够匹配该ACL规则，进行NAT业务。

•如果ACL匹配规则配置错误，请重新进行配置。

•如果ACL匹配规则配置正确，故障仍然存在，请执行步骤3。

3.检查地址池配置是否正确

在设备上执行命令display nat address-group，查看出接口上NAT Outbound所绑定的地址池是否正确。[Huawei] display nat address-group 1

NAT Address-Group Information:

--------------------------------------

Index   Start-address      End-address

--------------------------------------

1       10.0.0.100        10.0.0.110

--------------------------------------

Total : 1     

针对Easy IP方式，需要在设备上执行命令display nat outbound，查看NAT出接口上配置的Easy IP信息。[Huawei] display nat outbound

 NAT Outbound Information:

 --------------------------------------------------------------------------

 Interface                    Acl      Address-group/IP/Interface      Type

 --------------------------------------------------------------------------

 GigabitEthernet0/0/1        2000                         1.1.1.1    easyip

 --------------------------------------------------------------------------

  Total : 1        

由上述信息可以看到出接口GigabitEthernet0/0/1配置的是Easy IP方式，并且绑定的地址池是接口上发布的地址1.1.1.1。如果NAT不通，需要确认：

绑定的IP地址是否是接口的IP地址，如果是则需要确认接口地址的有效性。