只有1个公网IP地址---设置内网服务器 +++ 华为路由器：外网可以访问内网服务区---内

一、测试环境：

1.公司只有一个公网IP地址66.66.66.66/24

二、需要实现的功能

同时满足以下3点：

1.外网可以访问内网服务区（DMZ）；

2.内网服务区（DMZ）无法访问外网；

3.内网办公区可以访问外网和内网服务区（DMZ）。

三、网络拓扑图

四、配置思路

注释：R：公司路由、ISP：电信路由、R3外网路由

1.配置PC、路由器接口IP地址；

具体配置见代码段

2.配置静态路由；

[R]ip route-sta 0.0.0.0 0 66.66.66.1

[R3]ip route-sta 0.0.0.0 0 11.12.13.1

不要配置私网路由，如果配置公网到私网的路由，会引起IP地址冲突，NAT也是去意义，因为互联网中有太多重复的私网IP地址，如，在此网络拓扑图中，就有两个192.168.88.0/24地址段。

3.配置Easy IP模式NAT转换（内网192.168.88.0/24网段映射到路由器R的GE0/0/0接口IP地址）；

[R]acl number 2000

[R-acl-basic-2000]rule 5 permit source 192.168.88.0 0.0.0.255\\允许192.168.88.0/24内网网段通行

[interface GigabitEthernet0/0/0]nat outbound 2000\\允许192.168.88.0/24内网网段访问外网

4.配置NAT服务器（内网web、ftp服务器给外网提供服务）；

nat server protocol tcp global current-interface 6688 inside 192.168.1.254 www

\\配置web服务器静态映射，内网web服务器IP地址192.168.1.254端口80映射到当前公网端口IP地址和6688端口

[R]nat alg ftp enable \\开启alg ftp服务

注释：FTP协议是一个典型的多通道协议，需要配置NAT ALG功能，实现报文正常穿越NAT，而HTTP协议不需要。

[R-GigabitEthernet0/0/0]nat server protocol tcp global current-interface 2121 inside 192.168.1.253 21\\配置ftp服务器静态映射，内网ftp服务器IP地址192.168.1.253端口21映射到当前公网端口IP地址和2121端口

\\[R-GigabitEthernet0/0/0]nat server protocol tcp global 66.66.66.2 6688 inside 192.168.1.254 www\\这样映射需要再增加一个公网IP地址

五、终端配置和代码

其他终端配置借鉴以上截图

\\公司路由器Rsyssysname Rnat alg ftp enable acl 2000rule 5 permit ip source 192.168.88.0 0.0.0.255\\允许192.168.88.0/24内网网段通行\\rule 6 permit ip source 192.168.1.0 0.0.0.255\\允许192.168.1.0/24内网网段通行int gi 0/0/0ip add 66.66.66.66 24nat outbound 2000\\允许192.168.88.0/24内网网段访问外网nat server protocol tcp global current-interface 6688 inside 192.168.1.254 www\\配置web服务器静态映射，内网web服务器IP地址192.168.1.254端口80映射到当前公网端口IP地址和6688端口nat server protocol tcp global current-interface 2121 inside 192.168.1.253 21\\配置ftp服务器静态映射，内网ftp服务器IP地址192.168.1.253端口21映射到当前公网端口IP地址和2121端口\\nat server protocol tcp global 66.66.66.2 6688 inside 192.168.1.254 www\\这样映射需要另外一个公网地址int gi 0/0/1ip add 192.168.1.1 24int gi 0/0/2ip add 192.168.88.1 24ip route-sta 0.0.0.0 0 66.66.66.1\\电信路由器ISPsyssysname ISPint gi 0/0/0ip add 66.66.66.1 24int gi 0/0/1ip add 192.168.88.1 24int gi 0/0/2ip add 11.12.13.1 24\\外网路由器R3syssysname R3acl 3000rule 7 permit ip source 192.168.88.0 0.0.0.255\\允许192.168.88.0/24内网网段通行int gi 0/0/0ip add 11.12.13.2 24ip route-sta 0.0.0.0 0 11.12.13.1nat outbound 3000\\允许192.168.88.0/24内网网段访问外网int gi 0/0/1ip add 192.168.88.1 24

六、验证测试

1.外网访问内网服务器

2. 内网服务区（DMZ）访问不了外网

3.内网办公区可以访问外网和内网服务区

4.公网设备无法访问私网IP地址

转载：

华为AR配置内部服务器示例（只有1个公网IP）参考链接：/airoot/p/10650775.html

只有1个公网IP地址---设置内网服务器 +++ 华为路由器：外网可以访问内网服务区---内网服务区访问不了外网---内网办公区可以访问外网和内网服务区（只有1个公网IP地址）