目的NAT server；公网用户通过NAT Server访问内部服务器

nat server主要应用于实现私网服务器以公网IP地址对外提供服务的场景。nat server是最常用的基于目的地址的nat 。当内网部署了一台服务器，其真实IP是私网地址，但是希望公网用户可以通过一个公网地址来访问该服务器，这时可以配置nat server，使设备将公网用户访问该公网地址的报文自动转发给内网服务器。
 

nat server是最常用的基于目的地址的nat 。当内网部署了一台服务器，其真实IP是私网地址，但是希望公网用户可以通过一个公网地址来访问该服务器，这时可以配置nat server，使设备将公网用户访问该公网地址的报文自动转发给内网服务器。

nat server功能使得内部服务器可以供外部网络访问。外部网络的用户访问内部服务器时，nat将请求报文的目的地址转换成内部服务器的私有地址。对内部服务器回应报文而言，nat还会自动将回应报文的源地址（私网地址）转换成公网地址。

nat server可以通过静态IP（即global IP地址）和动态IP（即接口IP地址）两种方式实现地址转换。当通过global IP地址配置nat server后，再通过基于接口地址的方式配置nat server，当被借用的接口的地址与global IP地址相同时，二者冲突，基于接口方式的nat server不生效。

 实验拓扑图

 

 实验步骤

 FW 防火墙配置

FW 防火墙配置
 
system-view 
Enter system view, return user view with Ctrl+Z.	
[USG6000V1]sysname FW
[FW]undo info-center enable 
Info: Saving log files...
Info: Information center is disabled.
 
[FW]interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0]ip address 192.168.1.254 24
[FW-GigabitEthernet1/0/0]quit 
 
[FW]interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1]ip address 172.16.1.1 24	
[FW-GigabitEthernet1/0/1]quit 
	
[FW]ip route-static 0.0.0.0 0 172.16.1.2
	
[FW]firewall zone dmz 	
[FW-zone-dmz]add interface GigabitEthernet 1/0/0
[FW-zone-dmz]quit 
	
[FW]firewall zone untrust 	
[FW-zone-untrust]add interface GigabitEthernet 1/0/1
[FW-zone-untrust]quit 
 
[FW]security-policy   //配置安全策略，允许外部网络用户访问内部服务器	
[FW-policy-security]rule name un_2_dmz	
[FW-policy-security-rule-un_2_dmz]source-zone untrust 	
[FW-policy-security-rule-un_2_dmz]destination-zone dmz 	
[FW-policy-security-rule-un_2_dmz]destination-address 192.168.1.0 24	
[FW-policy-security-rule-un_2_dmz]action permit 	
[FW-policy-security-rule-un_2_dmz]quit 
[FW-policy-security]quit

[FW]nat server policy_wed protocol tcp global 172.16.10.6 8080 inside 192.168.1.
1 www unr-route    //配置NAT server功能	
[FW]nat server polciy_ftp protocol tcp global 172.16.10.6 ftp inside 192.168.1.2
 ftp unr-route 
		
[FW]firewall interzone dmz untrust   //开启FTP协议的NAT ALG功能 
[FW-interzone-dmz-untrust]detect ftp 	
[FW-interzone-dmz-untrust]quit 

 R1 配置

R1 配置
 
system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R1
[R1]undo info-center enable 
Info: Information center is disabled.
 
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 172.16.1.2 24
[R1-GigabitEthernet0/0/0]quit 
 
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip add	
[R1-GigabitEthernet0/0/1]ip address 10.0.1.254 24
[R1-GigabitEthernet0/0/1]quit 
 
[R1]ip route-static 172.16.10.6 32 172.16.1.1

测试结果，已成功访问 

 转换结果，已成功转换