h3c外网访问内网

㈠ H3C SecPath U200-S 如何在内网使用外网IP地址访问内网服务器

这个问题很经典的，防火墙上显然配置了NAT的方式进行了转换，但是内部用户在访问的时候，服务器返回的包直接通过2层到达192.168.1.168，但是这个主机请求的是120.43.65.62
的数据， 因此192.168.1.168回复的数据直接被丢弃。

楼上 提供的信息缺少一个数据，缺少服务器上配置内部私网地址。这里给你举个例子：

A．实现同网段的内网用户通过公网地址访问WEB 服务器

#定义一个ACL

acl number 3001

rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.254 0

#在E0/0 端口配置nat server

nat server protocol tcp golobal 202.103.1.1 www inside 192.168.1.254 www

#在E0/0 端口配置nat outbound //注意，这里的nat outbound 必须做

Interface Ethernet 0/0

ip address 192.168.1.1 255.255.255.0

nat outbound 3001

B．实现同网段的内网用户通过域名访问WEB 服务器

在A 的配置的基础上添加如下的命令

nat dns-map www.abc.com 202.103.1.1 tcp

这里必须配置nat outbound 3001，如果没有这条命令，就不能用公网地址访问。因

为这样会使报文来回的路径会不一致，导致访问中断。

㈡ H3C secpath F1000-C 防火墙 需求：做NAT 之后 内网也可以用发布的外网地址访问到内网的服务器。

在内网口也要配置一遍，这样就有进有出，才可以实现 内网也可以用发布的外网地址访问到内网的服务器的。
例如：
interface GigabitEthernet0/1 这是出口端口
nat outbound static
nat outbound 3000 address-group 1
nat server protocol tcp global 公网IP地址 外网访问端口号 inside 内网IP地址 内网访问端口号

interface GigabitEthernet0/2 这是入口端口
port link-mode route
nat outbound static
nat outbound 3000 address-group 1
nat server protocol tcp global 公网IP地址 外网访问端口号 inside 内网IP地址 内网访问端口号

㈢ 内网通过外网访问内网，h3c路由器

使用端口映射即可，以tplink wr886n为例， 方法如下：

1、打开浏览器，输入默认ip192.168.0.1回车登录；

2、登录对话框，输入 密码点击确定；

3、点击转发规则--虚拟服务器，点击添加新条目；

4、输入允许访问的内网主机的ip地址、该主机开放的端口号、选择传输协议，点击保存即可。

㈣ h3c 1220划分多vlan,出口做nat，外网可访问，内网通过公网IP不能访问，内网通过内网IP可访问。求解决。

这个跟你的路由器的配置没有关系，你的路由器只是做了外网访问时的DNS解析。如果内网也要通过域名来访问你的网站，那么你还要在你的局域网内架设一台DNS服务器来解析你的IP地址。完了之后在每台PC的TCP/IP设置中的DNS服务器栏里的备用DNS服务器填上局域网内的DNS服务器地址。