当从内部接口上的计算机访问 ASA 或类似设备的外部接口上的 Web 服务器时,内部到内部 NAT 又名 NAT 环回解决了发夹式 NAT 问题。这可以防止 DNS 管理员必须维护一个重复的内部 DNS 区域,该区域具有相应的 RFC1918 地址,用于通过 NAT 转换为公共地址的服务器。我不是网络工程师,所以我可能会遗漏一些东西,但这似乎很容易配置和实施。非对称路由可能是一个问题,但很容易缓解。
根据我的经验,网络管理员/工程师更喜欢系统人员只运行 split-dns,而不是配置他们的防火墙来正确处理 NAT 发夹。为什么是这样?