AR路由器配置内网通过公网IP访问内网服务器（域内NAT）

为了保护内网服务器的IP，内网用户去访问服务器时，也需要使用公网IP，此时需要配置域内NAT功能。AR路由器域内NAT（也可称为NAT回流）实现内网用户通过公网IP访问内网服务器，详细配置分为如下两个场景。

说明：如果不清楚内网PC与映射服务器是否在同一个网段，可直接参考场景二进行配置即可。

l 场景一：内网PC和内网服务器不在同一网段

公网口IP为202.100.1.10，将内网服务器192.168.1.100通过该公网IP进行映射。

配置步骤

set workmode lan-card l3centralize     —如果是在24GE或者8FE上单板上部署的话需要配置

#

interface GigabitEthernet0/0/1            ————公网口

 ip address 202.100.1.10 255.255.255.0   

 nat static protocol tcp global current-interface 8080 inside 192.168.1.100 8080   

#

interface Vlanif100                       ————–连接内网服务器的接口

 ip address 192.168.1.1 255.255.255.0            

#

interface Vlanif200                       —————连接内网PC的接口

 ip address 192.168.2.1 255.255.255.0 

 nat static protocol tcp global interface G0/0/1  8080 inside 192.168.1.100 8080     —-配置Nat Server 

说明：内网访问流量目的IP是公网地址，直接在Vlanif200接口命中Nat static，做目的地址替换，然后查路由到Vlanif100接口出去，服务器回包后做nat static的反向替换

l 场景二：内网PC和内网服务器在同一网段

公网口IP为202.100.1.10，将内网服务器192.168.1.100通过该公网IP进行映射。

配置步骤

set workmode lan-card l3centralize   —如果是在24GE或者8FE上部署的话需要配置

#

acl name neiwang_nat  3001         –nat outbound使用的acl

  rule 5 permit ip source 192.168.1.0 0.0.0.255  destination  202.100.1.10 0.0.0.0 

只有内网的PC去访问公网202.100.1.10的IP时，才会进行后面的NAT outbound的转换

#

interface GigabitEthernet0/0/1                        —公网口   

 ip address 202.100.1.10 255.255.255.0   

 nat server protocol tcp global current-interface 8080 inside 192.168.1.100 8080

#

interface Vlanif100                                   —内网口

 ip address 192.168.1.1 255.255.255.0   

nat server protocol tcp global interface G0/0/1  8080 inside 192.168.1.100 8080    —-配置Nat Server

 nat outbound 3001                               —-同时要配置一个Nat Outbound 

说明：如果不在内网口配置Nat Outbound，那么就会出现这种情况，假设组网为：AR路由–交换机—PC，内网PC访问内网服务器，不做源替换，服务器回包的时候就直接在交换机上进行转发（内网服务器和PC在同一网段），此时映射访问就会出现问题，因为服务器回应报文没有做nat的反向替换。内网口配置Nat Outbound之后就不会有这个问题，回包直接回给网关，就是AR路由器。

详细的原理说明可参考：AR路由器配置域内NAT时内网口配置nat outbound的原因（内网PC与映射服务器在同一个网段）。