1681053273,CRM论坛（CRMbbs.com）——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容，欢迎向我们投稿，共建CRM多元化生态体系，创建CRM客户管理一体化生态解决方案。内容来源：知了社区温暖或倒影45 温暖或倒影45 零段 粉丝：0人 关注：0人

问题描述：

网络拓扑如下图所示，防火墙上所用三个端口分别是g1/0/0,g1/0/1,g1/0/2,ip地址分别为：172.16.40.1、172.16.1.1、172.16.5.1，依次连接为监控核心交换机，网络核心交换机，服务器核心交换机，普通PC的网关做在网络核心交换机上，服务器的网关做在服务器核心交换机上，现在在防火墙上定义了三个端口：object-group service ERP8091
                        0 service tcp destination eq 8091

                       #
                      object-group service erp8092
                      0 service tcp destination eq 8092
                      #
                     object-group service erp8093
                     0 service tcp destination eq 8093

普通PC去访问我们的服务器，在g1/0/1端口上配置了如下信息：

interface GigabitEthernet1/0/1
 port link-mode route
 description bangong-neiwang-diankou
 ip address 172.16.1.1 255.255.255.0
 igmp enable
 nat outbound 3000
 nat server protocol tcp global

这三条nat命令是外网到内网的映射，但是为什么要做在g1/0/1这个端口上，防火墙上的服务器端口是172.16.5.1 ，在g1/0/1端口上是不是为了改变内网PC去访问服务器改变其端口号的。

服务器端口上也配置了如下命令：

interface GigabitEthernet1/0/2
 port link-mode route
 description SVR-Net
 ip address 172.16.5.1 255.255.255.0
 igmp enable
 nat outbound 3003
 nat server protocol tcp global

不懂为什么两个端口都要配置这个，麻烦大神看在我这么辛苦的份上，详细的解释一下。

                   

组网及组网描述：

最佳答案

内网用户通过公网地址访问内部服务器需要在内网口配置nat server和nat outbound，可以隐藏内部服务器地址

那它是先nat outbound,然后才nat server?

温暖或倒影45

该问题暂时没有网友解答

你正在,防火墙端口映射的