检查了配置，没发现问题。
OK，TCPDUMP抓包，结果发现一个很奇怪的来自127网段的ARP请求
用户提醒，接入线路的对端设备使用的是Juniper
而Juniper就是用这种方式来建ARP表（不知道是个别现象还是共性，要Juniper达人解释一下）
结果VIP和NAT地址都是虚接口，不能做出ARP应答
解决方法简单，先在VLAN里面把VIP和NAT需要的地址作为selfip，酱紫会向juniper发出通告

再作相关应用，问题解决。
但是新问题是用户不能用NAT访问VIP（dns服务器）地址
好吧，继续TCPDUMP，
原来客户端发送request请求到服务器的时候，
网关发现目标地址在自己的虚接口上，
于是就直接作Forwarding，
结果服务器应答的的时候直接用保留地址应答，再由网关原路转回。
客户机收到来自非目标地址的莫名其妙的应答包，结果就是drop。
这个问题在防火墙上也经常遇到。
解决思路是先让请求包NAT一遍，
以公网地址去访问服务器，就OK。
F5的方法是再建一个NAT，专门用来给内网访问VIP使用
－－简单吧，俺可是花不少时间才搞定–从凌晨2点到4点
结果作完后，旁边华为工程师说的他们以前的解决方法差点让俺吐血
他的方法是在华为防火墙上监听DNS请求
发现是对定义的域名解析时，直接由防火墙返回一个服务器的保留地址(即内容过滤)

我吐
最后总结一下NAT和SNAT（抄的）
1、SNAT的优先级高于四层VS
2、SNAT IP的方式先于VS执行，然后再进入VS进行流量分配，SNAT AutoMap方式则是在离开BIGIP时执行源地址替换。
3、AutoMap的原则为从那个Vlan离开时，如果那个Vlan的SelfIP或Floating IP设置了AutoMap，则将进行源地址替换，否则将不会替换源地址。

4、Pool中的SNAT还可以对Pool进行单独控制，如果在Pool中没有选中SNAT，则访问VS到Pool的流量则不会被进行SNAT。

相关日志

• 集群和数据库负载均衡的研究