H3C MSR 3640路由器 NAT映射问题

没办法实现，建议映射两个端口吧。

这个问题用单纯的NAT端口映射是做不到的，因为常规的NAT是静态的，无法根据访问者的源IP来做差异化转发。

你的需求本质上是：当外部访问目标相同（都是11.11.11.11:10022）时，路由器需要根据“谁在访问”（即源IP是11.11.11.12还是11.11.11.13），将流量导向不同的内部服务器。

为什么普通NAT无法实现

普通的目的地址转换（NAT Server）只能维护“一个公网IP+端口”到“一个内网IP+端口”的映射表。

• 如果配置nat server将11.11.11.11:10022映射到192.168.1.101:10022，那所有访问这个公网地址的流量都会被导向101服务器，102服务器就永远收不到。

• 反之，如果映射到102，101又收不到了。

实现方案：用策略路由“挑选”流量

要实现你的需求，核心思路是“策略路由”（PBR）+“NAT”的组合拳。MSR 36-40路由器完全支持这些功能。

核心逻辑：

1. 不设全局端口映射：在内网接口上，不再做固定的nat server。

2. 用策略路由分流：配置两个策略路由条目，精准匹配从11.11.11.12和11.11.11.13来的、目标是11.11.11.11:10022的流量。

3. 重定向到真实服务器：根据匹配结果，将流量包的目标IP直接改写为内网真实服务器地址（192.168.1.101或192.168.1.102）。

4. 做回程NAT：在出接口上配置nat outbound，让内网服务器回应的流量能正确返回到公网源地址。

详细配置步骤（基于H3C Comware V7）

1. 定义高级ACL，精确匹配业务流
   分别定义两个ACL，用于“抓起”来自不同源IP的SSH流量。

   # 用于匹配源为11.11.11.12，目标为11.11.11.11且端口为10022的流量

   acl advanced 3010 rule 0 permit tcp source 11.11.11.12 0 destination 11.11.11.11 0 destination-port eq 10022 # 用于匹配源为11.11.11.13，目标为11.11.11.11且端口为10022的流量 acl advanced 3020 rule 0 permit tcp source 11.11.11.13 0 destination 11.11.11.11 0 destination-port eq 10022注意：ACL规则中，0代表通配符掩码，用于精确匹配单个IP。

2. 配置策略路由（PBR），实施差异化转发
   创建策略路由节点，为不同源IP的流量指定不同的“下一跳”（即真实的内部服务器IP）。

   # 策略名为SSH_PBR

   policy-based-route SSH_PBR permit node 10 if-match acl 3010 apply next-hop 192.168.1.101 policy-based-route SSH_PBR permit node 20 if-match acl 3020 apply next-hop 192.168.1.102这里apply next-hop的作用，就是将匹配到的数据包的目标IP强制改写为参数指定的内网地址。

3. 应用策略路由到接口
   关键一步，将这个策略应用到路由器的外网接口上，让上述规则对入方向的流量生效。

   interface GigabitEthernet0/0 # 假设这是连接公网的接口

   ip policy-based-route SSH_PBR

4. 配置NAT Outbound，解决回程问题
   当内网服务器回应访问时，需要把数据包的源地址从内网IP转换回公网IP（11.11.11.11），这样访问者才能正确接收。
   同样需要用ACL匹配从内网服务器发出的、给访问者的回应流量，然后在外网接口上做源地址转换（SNAT）。

   # 定义ACL，匹配内网服务器发给两个公网源IP的回应流量

   acl advanced 3000 rule 0 permit tcp source 192.168.1.101 0 destination 11.11.11.12 0 source-port eq 10022 rule 5 permit tcp source 192.168.1.102 0 destination 11.11.11.13 0 source-port eq 10022 # 在外网接口应用地址转换，转换后的源地址为接口地址（或指定为11.11.11.11） interface GigabitEthernet0/0 nat outbound 3000提示：如果外网接口IP本身就是11.11.11.11，那么nat outbound 3000就足够了。如果这个IP是附加在接口上的，那么可能需要更精确的nat outbound 3000 address 11.11.11.11命令。同时，要确保防火墙或安全策略放通了这些ACL定义的流量。

部署前，请务必确认这些操作对现网业务没有影响，并提前做好配置备份。策略路由会消耗设备一定的CPU资源，建议先在测试环境验证或在业务低峰期操作。配置完成后，就可以从11.11.11.12和11.11.11.13两台主机分别发起SSH连接到11.11.11.11:10022进行验证了。

核心结论

一、问题本质

• 两个内网服务器 192.168.1.101:10022 和 192.168.1.102:10022，都要映射到同一个公网 IP 端口 11.11.11.11:10022。
• 但访问者不同：11.11.11.12 访问时转发到 101，11.11.11.13 访问时转发到 102。

二、配置步骤（H3C MSR 3640）

1. 配置 ACL，匹配不同的访问源

2. 配置目的地址转换策略（NAT 策略）

3. 确保路由可达

• 内网服务器的默认网关指向 MSR3640（192.168.1.1）。
• 公网侧路由确保访问者能到达 11.11.11.11。

三、原理说明

1. 普通nat server的局限性：它只看 “目的 IP + 端口”，不区分源 IP，所以同一个公网 IP: 端口只能映射到一个内网服务器。
2. 基于 ACL 的 NAT 策略：它会同时匹配 “源 IP、目的 IP、目的端口”，不同的源 IP 可以对应不同的转换规则，从而实现你需要的效果。

四、注意事项

• 这个配置仅对从外网发起的访问有效，内网访问公网 IP 的情况不适用。
• 确保 MSR3640 的软件版本支持nat static destination命令（MSR V7 平台均支持）。
• 转换后的回包流量，路由器会自动根据 NAT 会话表，将内网服务器的响应源地址转换回 11.11.11.11，不影响访问者。