MSR系列做NAT Server 有些网站网页不能访问

MSR系列做NAT Server 有些网站网页不能访问

 

Q：内网PC通过NAT访问外网，有些网站网页不能打开，ping大包严重丢包?

A：此问题与NAT有关，因为在设备上进行了NAT应用，同时设备对报文进行了分片操作。IP报文里是有五元组的，但报文要进行分片时，只有第一片报文带有IP的五元组信息（源目的ip地址，源目的端口号，协议号），后续的分片不会保留TCP/UDP报文所有的标识信息，如端口号信息等，这种情况下，如果设备又实现了NAT转换操作（NAT转换过程中，会随机地做端口转换），并且应用又是基于TCP/UDP的，这就导致报文不能正确组包，会出现上述的问题现象。

       CP/IP连接时建立的过程中会协商很多参数的，其中TCP MSS参数就是用于协商TCP报文大小的，如果协商出来的TCP MSS的参数值小于设备的MTU的值时，TCP报文在设备上就不会被分片，否则就会出现报文分片并导致上述现象的发生，因此，为了避免上述情况的发生，一定要保证协商的TCP MSS参数小于设备的MTU的值。在端口使用tcp mss 命令修改MTU值。