华为路由器：服务器NAT(测试双向NAT)、内网用户访问公网ip方式去访问内网服务器 (路由黑洞)、（内网用户访问出口路由器的非真实ip地址，这个真实ip即没有真正配置在接口上面的）

华为路由器：服务器NAT(测试双向NAT)、内网用户访问公网ip方式去访问内网服务器 (路由黑洞)（内网用户访问出口路由器的非真实ip地址，这个真实ip即没有真正配置在接口上面的）

r1.txt

ISP-R2.txt

r3.txt

内网接口：

[R1-GigabitEthernet0/0/2]nat static global 12.12.12.1 inside 172.16.1.200 netmask 255.255.255.255   如果配置是真实的ip地址，则会提示冲突。
  Error: The address conflicts with interface or ARP IP.
[R1-GigabitEthernet0/0/2]dis this
[V200R003C00]
#
interface GigabitEthernet0/0/2
 ip address 172.16.1.1 255.255.255.0
 nat outbound 3003
#

----------------------------------------

<R1>

<R1>dis current-configuration
[V200R003C00]
#
 sysname R1
#
acl number 3001  
 rule 5 permit ip
acl number 3003  
 rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 12.12.12.12 0
#
interface GigabitEthernet0/0/0  #外联口
 ip address 12.12.12.1 255.255.255.0
 nat static protocol tcp global current-interface ftp inside 172.16.1.200 ftp netmask 255.255.255.255
 nat static protocol tcp global current-interface www inside 172.16.1.200 www netmask 255.255.255.255
 nat outbound 3001
#
interface GigabitEthernet0/0/2    #内联口
 ip address 172.16.1.1 255.255.255.0
 一对一ip地址转换：nat static global 12.12.12.12 inside 172.16.1.200 netmask 255.255.255.255
或者只转换端口： nat static protocol tcp global 12.12.12.12 www inside 172.16.1.200 www netmask 255.255.255.255
 nat outbound 3003 #此源NAT必须配置，此接口的上条目的NAT也必须配置

在Router的下行接口配置Easy IP方式( nat outbound 3003)的NAT Outbound，将内部服务器与内网PC之间的流量都引到路由器上进行转发。

#
ip route-static 23.23.23.0 255.255.255.0 12.12.12.2
#
return
<R1>      

[ISP-R2]

[ISP-R2]dis current-configuration
[V200R003C00]
#
 sysname ISP-R2
#
interface GigabitEthernet0/0/0
 ip address 12.12.12.2 255.255.255.0
#
interface GigabitEthernet0/0/1
 ip address 23.23.23.2 255.255.255.0
#
return
[ISP-R2]    

<R3>
<R3>dis current-configuration
[V200R003C00]
#
 sysname R3
#
acl number 3001  
 rule 5 permit ip
#
interface GigabitEthernet0/0/0
#
interface GigabitEthernet0/0/1
 ip address 23.23.23.3 255.255.255.0
 nat outbound 3001
#
interface GigabitEthernet0/0/2
 ip address 192.168.1.3 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 23.23.23.2
#
wlan ac                                   
#
return
<R3>          

内网用户访问公网ip方式去访问内网服务器成功：

外网用户访问公网ip方式去访问内网服务器：成功

但是内网用户直接访问外网口的ip地址方式去访问内网服务器还是失败的。

因为不知道什么原因，g0/0/2没有方法配置这条命令，所以这个实验中，使用了非外网口的ip12.12.12.12而不是12.12.12.1，因为使用12.1.2.12.1会报错（  Error: The address conflicts with interface or ARP IP.）。

路由器的内网接口g0/0/2：
nat static protocol tcp global interface gigabitethernet 0/0/0 80 inside 172.16.1.200 80

[R1-GigabitEthernet0/0/2]
[R1-GigabitEthernet0/0/2] nat static protocol tcp global 12.12.12.1 www inside 172.16.1.200 www netmask 255.255.255.255
  Error: The address conflicts with interface or ARP IP.
[R1-GigabitEthernet0/0/2]

ip route-static 12.12.12.12 255.255.255.255 NULL0
//防止路由黑洞，因为配置了默认路由，所以当有回包时目的地址的下一跳又回到了12.12.12.2
//所以需要配置这两个公网地址的下一跳为 null0

双向NAT (回程路由)增加源NAT（信任区域到信任区域的源NAT）、端口回流、域内NAT
http://www.zh-cjh.com/luyoujiaohuan/996.html
华为USG防火墙：私网用户和公网用户使用防火墙的出口公网地址访问内部服务器（双向NAT: 源地址和目的地址同时转换）
http://www.zh-cjh.com/luyoujiaohuan/1972.html
华为路由器：服务器NAT(测试双向NAT)、内网用户访问公网ip方式去访问内网服务器
http://www.zh-cjh.com/luyoujiaohuan/994.html
NAT网络地址转换（列表、list、全）natlist
http://www.zh-cjh.com/wenzhangguilei/988.html