· 某公司內部網絡中有一臺FTP服務器，地址為192.168.1.4/24。

· 該公司擁有兩個外網IP地址：202.38.1.1和202.38.1.2。

需要實現如下功能：

· 外網主機可以通過202.38.1.2訪問內網中的FTP服務器。

· 內網主機也可以通過202.38.1.2訪問內網中的FTP服務器。

圖1-12 內網用戶通過NAT地址訪問內網服務器

3配置思路

該需求為典型的C-S模式的NAT hairpin應用，具體配置思路如下。

· 為使外網主機可以通過外網地址訪問內網FTP服務器，需要在外網側接口配置NAT內部服務器。

· 為使內網主機通過外網地址訪問內網FTP服務器，需要在內網側接口使能NAT hairpin功能。其中，目的IP地址轉換通過匹配外網側接口上的內部服務器配置來完成，源地址轉換通過匹配內部服務器所在接口上的出方向動態地址轉換或出方向靜態地址轉換來完成，本例中采用出方向動態地址轉換配置。
4 配置步驟

按照組網圖配置各接口的IP地址，具體配置過程略。

配置ACL 2000，允許對內部網絡中192.168.1.0/24網段的報文進行地址轉換。

<Router> system-view

[Router] acl number 2000

[Router-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255

[Router-acl-basic-2000] quit

在接口GigabitEthernet2/1/2上配置NAT內部服務器，允許外網主機使用地址202.38.1.2訪問內網FTP服務器，同時使得內網主機訪問內網FTP服務器的報文可以進行目的地址轉換。

[Router] interface gigabitethernet 2/1/2

[Router-GigabitEthernet2/1/2] nat server protocol tcp global 202.38.1.2 inside 192.168.1.4 ftp

在接口GigabitEthernet2/1/2上配置Easy IP方式的出方向動態地址轉換，使得內網主機訪問內網FTP服務器的報文可以使用接口GigabitEthernet2/1/2的IP地址進行源地址轉換。

[Router-GigabitEthernet2/1/2] nat outbound 2000

[Router-GigabitEthernet2/1/2] quit

在接口GigabitEthernet2/1/1上使能NAT hairpin功能。

[Router] interface gigabitethernet 2/1/1

[Router-GigabitEthernet2/1/1] nat hairpin enable

[Router-GigabitEthernet2/1/1] quit

3.山石網科

內網主機通過外網地址訪問內網服務器