内网主机之间可能被zone隔离，或者被中间路由器acl禁止相互访问，对指定的主机做单一静态nat映射，访问相同内网主机时，使用目的主机的全局地址，可以实现在防火墙出接口先将数据包交由ISP边缘路由器，再返回给防火墙的特殊效果。可能需要点到点链路子网掩码不同从而达到效果（防火墙/出接口掩码小于对端接口掩码），但模拟器在两端掩码相同的情况下仍然出现了相同的nat回包路由效果。通过nat来实现回包路由，实现内网主机使用全局地址通过防火墙安全互访，具体问题具体分析。类似的有多层交换机的上行链路重定向功能，重点在于一定要配置上行默认路由，并指向ISP边缘路由器接口的ip，从而使特性知道，哪里才是上行链路。也可以在在上行接口使用acl，是指定流量通过。