NAT问题

lyf3560

拓扑如下所示，交换机1下联192.168.1.0网段用户，交换机2下挂有一主机，主机地址为10.3.6.8.在交换机4上存在两个NAT转换，即将192.168.1.0网段转换为地址224.12.3.4（pnat），将10.3.6.8转换为地址202.99.224.9.假设客户从公网访问主机202.99.224.9上的应用是可以的？

问题如下，地址为192.168.1.0的用户ping地址202.99.224.9，能通否？？？地址为192.168.1.0的用户访问主机202.99.224.9上的应用能通否（http应用）？

lyf3560

先说下我的意见，不对请指正。地址为192.168.1.0的用户访问主机202.99.224.9上的应用应该是不能的，理由如下：假设地址192.168.1.1访问202.99.224.9的数据包到达交换机1后，通常会通过默认路由到达交换机3，在由交换机3到达交换机4，因交换机4上存在nat，同时考虑nat的方向性，会将地址192.168.1.1转换为地址224.12.3.4（加一端口哈！）。在将包往外发，可由于设备在交换机4下面，因此数据包还会从外面返回至交换机4，由于NAT，地址202.99.224.9会转换为地址10.3.6.8.并且会将224.12.3.4在转换回192.168.1.1.在将数据包发给交换机3，并顺利到达所需访问的主机，但主机回复的数据包中的目的地址为192.168.1.1，因此数据包到达交换机2后会直接转发至客户端192.168.1.1.客户端192.168.1.1收到回复包检查其地址会发现是10.3.6.8给回的包，而不是它所访问的202.99.224.9，从而导致访问失败。。。。哎！希望我说明白了。。
至于能否ping通，我持保留意见，感觉不能ping通，可我遇见以类似情况，确实通了，不懂。。。。
先谢过

满天星

应该没有固定的答案吧，这个需要看设备的具体实现方式，很多设备的处理就是直接丢包……2楼兄弟说可以ping通也是完全可能的……

满天星

如果希望了解具体的实现细节，可以学习P2P、IPSec等穿越NAT的处理，分很多种情况，甚至还有多次NAT(即做二次或三次NAT出去)

ssffzz1

按照我的理解会通的。H3C的产品是这样。CISCO的没测试过。

满天星

需要看设备是否支持，防火墙与路由器的处理可能也有差异，这样的数据称为Hairpinning Packet，可参考RFC 4787 Page 16，Hairpinning Behavior，一般P2P使用很多,ICMP的处理也类似。

满天星

该RFC文档写的是A NAT MUST support "Hairpinning"但实际上还是有大量设备并不支持的，因此P2P穿越NAT(例如电驴Low id等）失效是很普遍的……

满天星

ICMP的处理看了看，也是类似，参考RFC 5508    Page 16  
5.  Hairpinning Support for ICMP Packets
这是标准，但是否符合需要看各厂商的实现

就不改

这要看你路由是怎么做的了。
如果没有做两个网段之间的路由，那是通的；如果做了那就不通。
有路由不通，没路由通

满天星

和路由没任何关系，想的太简单了！这是设备内部实现的问题，自己看看RFC钟关于Hairpinning Packet的处理吧！