端口回流故障场景,常见于内网启用了Server服务器,使用出口路由设备的外网口NAT映射了一个公网地址,域内内网主机访问了这个公网地址,访问不通。
故障容易出现在办公网内的带有对外Server测试环境,IDC生产网内环境。故障原理参见
http://blog.sina.com.cn/s/blog_406127500102uwh2.html
即然原因是出口的路由设备产生,2个解析思路
1、内网主机访问目标主机时,流量不经过出口路由设备----内网IP直访 or 内网域名劫持(内网布署dnsmasq or bind工具,主机配置DNS 地址指向它们来实现域名劫持)
优点:减轻出口的路由设备的报文处理负载
缺点:维护性较差,每个目标访问需使用域名方法,每个访问都要额外添加配置
2、流量到达出口的路由设备的内网口,做NAT源IP+目标IP匹配,强制在内网口上生成2条session会话-----
优点:规则生效后,配置一劳永逸
缺点:消耗出口路由设备的session数,并发过高时,负载较大,并且需要关注session过高时,出口路由设备的内网接口上的nat outbond的内网地址是否需要启用nat-pt (nat outbond时,使用一个IP地址时,可支持session在线会话数,大约为6W左右)
2种方法可同时灵活搭配使用。
原文:http://www.cnblogs.com/veniceslove/p/6306126.html