还是上一篇的问题
在一内部局域网中,
client内网地址为 10.0.0.2
web服务器内网地址为 10.0.0.1外网地址为211.6.15.1域名为xx.love.com
问题:在内网10.0.0.2的机器上访问外网地址 211.6.15.1 或者域名xx.love.com都无法访问,
上一篇中提到的cisco asa设备 不能访问是因为 asa
它不允许数据流从内部流到外部再流回内部,所以连接会超时
这里从tcp协议的角度来分析下:
| 包动作 | 包 目的地址 | 包源地址 |
| 10.0.0.2发出包(第一次握手) | 211.6.15.1 | 10.0.0.2 |
| 到达路由器外网端口nat 转换后 | 10.0.0.1 | 10.0.0.2 |
| 10.0.0.1接包后回复包(第二次握手) | 10.0.0.2 | 10.0.0.1 |
| 包到达交换机 直接被转发(不过路由器)! | ||
| 10.0.0.2 接到包 | 10.0.0.2 | 10.0.0.1 |
| 10.0.0.2此刻在等待211.6的第二次握手 | ||
| 10.0.0.2却接到10.0.0.1的第二次握手丢弃 | ||
| 10.0.0.1 却还在等待 10.0.0.2的第三次握手 | ||
| 没有结果的等待…… |
!在 这里还有一种情况 ,如果路由器将你发往 211.6.15.1 的数据包算做是发往外网,对其做了pat转换,或路由器是强制地址转换的,那么该数据包的源地址将变为 211.6.15.1 到达路由器外部接口,而路由器如果有相关防错功能,也许该数据包就直接被干掉了。
如果可以继续转发那么该数据包将以源地址为200.200.200.1目标地址192.168.0.1到达web服务器。而服务器回应的数据包就会以目标地址200.200.200.1 源地址200.200.200.1到达路由器外部接口。而路由器外部接口此时就晕了。
解决方法: 有些路由器内部设置可以纠正此问题。 如果不通过路由器解决,可以在内网建一台dns服务器。
自建dns太费时间,也可以修改机器的host文件
