实际案例中也不少碰到此类问题，客户内网有台服务器映射在互联网上，外网用户访问Global-IP没问题，但是内网用户想要访问Global-IP就会不通，典型的就是用户将内网服务器做了公网DNS A记录，无论内外网均通过域名访问。

JUNIPER系列设备包括Netscreen/ISG/SSG没有这类问题，直接通过普通的DIP即可实现，后续产品SRX防火墙也需通过双向NAT来解决，下面通过CISCO ASA来解决这个CASE，JUNIPER SRX解决原理类似。

假想拓扑如下：

ASA内网网段192.168.1.0/24,内网WEB服务器192.168.1.250，对应的外网Global-IP 200.1.1.1

8.3IOS版本以前实现方法：

static (inside,inside) tcp 200.1.1.1 8080 192.168.1.250 80 --注释：内网访问200.1.1.1将转换成192.168.1.250，这里实现了基于目的的转换，接下来再转换源地址

acc-list 100 permit ip 192.168.1.0 255.255.255.0 host 200.1.1.1 

nat (inside) 10 acc-list 100 

global (inside) 10 interface--注释：将源地址转换成inside的接口地址

same-security-traffic permit intra-interface--注释：允许接口同时转发数据

8.3IOS版本以上实现方法：

same-security-traffic permit intra-interface--注释：允许接口同时转发数据

object network inside-lan

subnet 192.168.1.0 255.255.255.0 --注释：定义内网网段，名字为inside-lan

object network inside-srv

host 192.168.1.250--注释：定义内网WEB服务器，名字为inside-srv

object network global-ip

host 200.1.1.1--注释：定义外网公网IP，名字为global-ip

nat (inside,inside) source dynamic inside-lan interface destination static global-ip inside-srv--注释：源地址192.168.1.0转换成inside接口地址，目的地址200.1.1.1转换成192.168.1.250

这里就举例一对一映射，端口转换要定义object比较麻烦，可自己测试

KINGJUNIPER

本文出自 “KINGJUNIPER” 博客，请务必保留此出处http://kingjuniper.blog.51cto.com/10445011/1665036