h3c F1000-T200防火墙做双向地址转换

外网墙内部接口开启端口回流并放通策略即可

内网用户通过公网IP访问内部服务器的问题，通常称为 NAT回流（NAT Hairpinning）。在你有“内网墙”和“外网墙”两台设备的情况下，关键是在处理内网用户流量的设备上解决这个问题。

这意味着，外网墙上只需要完成“端口映射”，而内网墙则需要配置“NAT回流”。两者需要配合安全策略，共同打通访问路径。

 地址转换流程（以访问web服务为例）

1. 内网用户数据包发往目标 2.2.2.2:8080。

2. 内网墙将源IP转换为接口IP 10.1.1.1，并根据你选择的方案对目标进行处理（具体见下文）。

3. 数据包路由到外网墙。

4. 外网墙进行NAT Server转换，将目标IP改为 192.168.88.1:80。

5. 数据包到达内网服务器。

6. 回程数据包原路返回，经NAT反向转换。

解决这个问题，你有两种主要的配置路径可选。

路径一：推荐 | NAT Hairpin（配置更简单）

这是H3C官方*推荐的配置方式。它的核心思路是，在内网墙上开启一个“转弯”功能，让发往外网墙的流量，直接在内网墙就进行了地址转换。这种方式配置工作量小，逻辑也更清晰。

内网墙（MSR/设备A）的配置

1. 基础配置：确保接口IP、安全域、路由基础配置正确，并能访问外网墙的内网IP 10.1.1.2。

2. 配置安全策略（关键前提）：必须配置安全策略，放行从内网PC所在区域到外网墙所在区域的流量。

3. 开启 NAT Hairpin 功能：登录设备，进入连接PC的内网接口视图（非外网接口），输入以下命令：interface GigabitEthernet0/1 # 连接内网PC的接口

   nat hairpin enable quit开启此功能后，发向外网墙的流量会在内网墙上完成源地址转换（SNAT），确保来回路径一致。

4. （必须）配置源 NAT：在内网墙上为出站流量配置常规的 NAT 地址转换，用于转换内网PC的源IP地址。它可以通过 NAT 地址池或 Easy IP（直接使用接口IP）来实现。

外网墙（F1000-T200/设备B）的配置

外网墙上只需进行常规的端口映射和必要安全策略，配置与常规“端口映射”场景完全相同，无需特殊处理：

1. 配置端口映射（NAT Server）：在外网接口下，将公网IP 2.2.2.2 的 8080 端口，映射到内网服务器 192.168.88.1 的 80 端口：

   
   

   interface GigabitEthernet1/0/1 # 外网接口 ip address 2.2.2.2 255.255.255.0 nat server protocol tcp global 2.2.2.2 8080 inside 192.168.88.1 80 quit此命令等价于 nat server port-map。

2. 配置安全策略：确保从内网墙所属安全域（如“Trust”）到外网墙外网接口所属安全域（如“Untrust”）的策略，允许目的地址为服务器内网IP 192.168.88.1、端口为 80 的流量通过。这是保障内网访问服务器的一环。

路径二：备选 | 双向NAT（配置更复杂）

这是另一种常用方法，核心是在内网墙上同时对数据包的源IP和目标IP进行转换，但需注意规则顺序可能导致冲突。它更适合在不支持 nat hairpin 或需要特殊功能的场景下使用。

内网墙（MSR/设备A）的配置

1. 创建高级 ACL：匹配去往服务器的流量（注意：此时目标是服务器的公网IP）：

   
   

   acl advanced 3100 rule 0 permit ip destination 2.2.2.2 0

2. 在同一出接口（内网接口）配置源 NAT：

   interface GigabitEthernet0/1 # 连接内网PC的接口 # 对符合ACL 3100的流量，将源IP转换为本接口的IP（Easy IP） nat outbound 3100 # 同时配置目的NAT，将目标公网IP 2.2.2.2 的8080端口映射为服务器内网IP nat server protocol tcp global 2.2.2.2 8080 inside 192.168.88.1 80 quit，这相当于在内网墙上“克隆”了外网墙（设备B）上的NAT Server配置，共同完成双向转换。

外网墙（F1000-T200/设备B）的配置

外网墙的“端口映射”和安全策略配置与“路径一”完全相同，无需额外调整。