网络环境：一台H3C路由器+防火墙+交换机

问题反馈：下午三点左右，突然所有电脑无论有线无线均无法上网，用户急的跳脚，希望尽快解决故障，恢复网络。

解决过程：因路途遥远，远程协助用户排查解决。

1、先怀疑防火墙，让用户跳过防火墙，路由器直连交换机，结果故障依旧。

2、让用户授权远程登陆路由器，查看路由器日志及相关配置，仅发现日志中有些不同时间登陆失败的信息，并未发现与网络故障相关的有用信息，进一步检查配置，发现路由器是能ping通运营商dns的，排除了运营商线路问题，但是发现NAT功能异常，相关功能配置缺失，询问用户，这段时间并未修改路由器配置，那是什么原因造成的呢？可能是黑客通过漏洞远程修改网络配置搞破坏？或者上次配置路由器的人未保存配置？或者路由器固件出问题导致部分配置丢失？就目前掌握的信息无法判断配置丢失的确切原因。

3、什么原因不太重要了，现在重要的是快速修复配置，恢复网络正常运行。既然上面故障定位到了NAT配置缺失，那么就添加相关功能配置，主要是配置外网地址组、ACL访问控制规则、在接口上应用ACL规则等。配置完后，网络很快恢复正常，所有电脑均可以正常上网，打开网页等应用，最后记得敲下"save"命令保存一下配置。

注：下面为官方的nat功能配置示例，适用于H3C MSR36-60系列路由器(固件版本：Comware V7):

system-view 配置地址组0，包含两个外网地址202.38.1.2和202.38.1.3。 [Router] nat address-group 0 [Router-address-group-0] address 202.38.1.2 202.38.1.3 [Router-address-group-0] quit # 配置ACL 2000，仅允许对内部网络中192.168.1.0/24网段的用户报文进行地址转换。 [Router] acl basic 2000 [Router-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [Router-acl-ipv4-basic-2000] quit # 在接口GigabitEthernet1/0/2上配置出方向动态地址转换，允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换，并在转换过程中使用端口信息。 [Router] interface gigabitethernet 1/0/2 [Router-GigabitEthernet1/0/2] nat outbound 2000 address-group 0 4. 验证配置 通过查看如下显示信息，可以验证以上配置成功。 [Router] display nat all [Router]display nat session verbose

最后，如果你能看到这里，麻烦动动你那充满爱心的小手或大手点下关注吧，专业文章受众面小，技术博主攒粉不易啊。