為什么使用SNAT？

對公(gong)網(wang)NAT網(wang)關(guan)來說，一(yi)些彈(dan)性云主機(ji)(ji)不僅(jin)需要(yao)使用系統(tong)提(ti)供的(de)服務(wu)，還需要(yao)訪問外(wai)網(wang)以獲取信(xin)息或下載軟件(jian)。但是(shi)，給彈(dan)性云主機(ji)(ji)分配公(gong)網(wang)IP需要(yao)消耗稀缺(que)資源（如IPv4地址），增加額外(wai)的(de)成本，并有可能增加虛擬環境遭受攻擊(ji)的(de)幾(ji)率。因此，多個彈(dan)性云主機(ji)(ji)共享同一(yi)公(gong)網(wang)IP是(shi)一(yi)種可行的(de)方法(fa)，具體實施方法(fa)為源地址轉(zhuan)換（SNAT）。

什么是SNAT連接數？

由源(yuan)IP地(di)址、源(yuan)端(duan)口、目(mu)的(de)IP地(di)址、目(mu)的(de)端(duan)口、傳(chuan)輸層(ceng)協議這五個元素(su)組成(cheng)的(de)集合視(shi)為一(yi)條連(lian)接。連(lian)接能夠區分不(bu)同(tong)會(hui)話，并(bing)且對應的(de)會(hui)話是唯(wei)一(yi)的(de)。其中(zhong)源(yuan)IP地(di)址和源(yuan)端(duan)口指SNAT轉換之后(hou)的(de)IP和它的(de)端(duan)口。

由于SNAT支持TCP、UDP和ICMP三種協議，每(mei)一個目的(de)IP和目的(de)端口，NAT網關最(zui)多可支持55000個并發連(lian)(lian)接(jie)。如果目的(de)IP、端口或(huo)者協議（TCP/UDP/ICMP）發生(sheng)變(bian)化(hua)，則(ze)可以再創建(jian)55000個連(lian)(lian)接(jie)。彈性云主(zhu)機(ji)中通過(guo)netstat命令看到ESTABLISHED狀態的(de)連(lian)(lian)接(jie)數和實際SNAT連(lian)(lian)接(jie)數有時會(hui)(hui)不一致。假(jia)設一個彈性云主(zhu)機(ji)平均每(mei)秒鐘創建(jian)100個與固定目的(de)的(de)連(lian)(lian)接(jie)，不考慮連(lian)(lian)接(jie)老化(hua)的(de)話，大(da)約10分鐘會(hui)(hui)將55000個連(lian)(lian)接(jie)耗盡導致連(lian)(lian)接(jie)無法新建(jian)。

NAT網關(guan)(guan)中SNAT連(lian)接(jie)如果長(chang)時間沒有數據報文，會超時斷開。因(yin)(yin)此為(wei)防止連(lian)接(jie)中斷您需要發(fa)起(qi)更多的數據包或使用TCP保持(chi)連(lian)接(jie)。同時，為(wei)避免出現因(yin)(yin)連(lian)接(jie)數規格用滿而出現的影響業務的情(qing)況，建議(yi)經常關(guan)(guan)注CES監控(kong)中的NAT網關(guan)(guan)SNAT連(lian)接(jie)數并合理設(she)置告(gao)警。

主機通過公網NAT網關訪問外網，請問公網NAT網關的帶寬是多少？在哪里設置？

公網(wang)NAT網(wang)關的SNAT功(gong)能通(tong)過綁定彈性(xing)公網(wang)IP，實現(xian)云主機私有IP到公網(wang)IP的轉(zhuan)換。云主機通(tong)過公網(wang)NAT網(wang)關訪問(wen)外網(wang)時，其帶(dai)寬大(da)小和(he)您申請彈性(xing)公網(wang)IP時選擇的帶(dai)寬大(da)小有關。

NAT網關丟包或連接不通該如何處理？

通(tong)過(guo)NAT網(wang)(wang)關(guan)上網(wang)(wang)的(de)服(fu)務(wu)器出現丟包(bao)或連接不通(tong)的(de)情況時，可(ke)以通(tong)過(guo)云監控查看NAT網(wang)(wang)關(guan)的(de)SNAT連接數。若SNAT連接數超過(guo)NAT網(wang)(wang)關(guan)規格(ge)上限，則會導致使(shi)用NAT網(wang)(wang)關(guan)的(de)服(fu)務(wu)器出現丟包(bao)或者連接不通(tong)的(de)現象。如果(guo)超過(guo)NAT網(wang)(wang)關(guan)規格(ge)上限，可(ke)修改(gai)NAT網(wang)(wang)關(guan)規格(ge)，增大NAT網(wang)(wang)關(guan)規格(ge)數。

NAT網關里的網段設置與SNAT規則里的網段有什么關聯與區別？

NAT網(wang)關(guan)里的(de)網(wang)段(duan)(duan)是在(zai)創建NAT網(wang)關(guan)時(shi)必須指(zhi)定(ding)NAT網(wang)關(guan)所在(zai)VPC及子網(wang)網(wang)段(duan)(duan)。此(ci)網(wang)段(duan)(duan)僅用于系統后臺使(shi)用，并非(fei)SNAT使(shi)用的(de)網(wang)段(duan)(duan)。

創(chuang)建(jian)SNAT規則(ze)且當場景是虛(xu)擬私有(you)云(yun)(yun)時，需要配置對(dui)應VPC的(de)子(zi)網(wang)(wang)網(wang)(wang)段，使該網(wang)(wang)段中的(de)云(yun)(yun)主機通(tong)過SNAT方(fang)式(shi)進行訪問(wen)。

創建(jian)SNAT規則且當場景是云專線時，需要配(pei)置云專線對應(ying)的本地數據(ju)中心的某個網段(duan)或另(ling)一VPC的網段(duan)，使該網段(duan)中的云主機通過SNAT方式(shi)進行訪問。