現(xiàn)象描述：
園區(qū)內(nèi)部主機client（192.168.2.1）通過公網(wǎng)地址212.58.7.9訪問內(nèi)網(wǎng)服務(wù)器192.168.1.1。交換機SW1為內(nèi)網(wǎng)192.168.1.0/24和192.168.2.0/24的網(wǎng)關(guān)。經(jīng)過出口路由器R2進行NAT地址映射轉(zhuǎn)換，從而能夠訪問內(nèi)網(wǎng)server。


（1）主機192.168.2.1訪問內(nèi)網(wǎng)server 對外公網(wǎng)地址212.58.7.9，此時數(shù)據(jù)包如下：
Src：192.168.2.1 Des：212.58.7.9

（2）數(shù)據(jù)包經(jīng)過邊界路由器進行目的地址轉(zhuǎn)換為192.168.1.1，此時數(shù)據(jù)包如下：
Src：192.168.2.1 Des：192.168.1.1  

[R2-GigabitEthernet0/0/1]dis this
#
interface GigabitEthernet0/0/1
ip address 10.114.28.2 255.255.255.252
nat server global 212.58.7.9 inside 192.168.1.1

（3）此時R2根據(jù)查看路由表目的地址192.168.1.0將數(shù)據(jù)包轉(zhuǎn)發(fā)到192.168.1.1主機上，此時主機進行回包，將數(shù)據(jù)包源目地址進行顛倒：
    
Src：192.168.1.1 Des：192.168.2.1

此時主機192.168.2.1收到該回包報文后與發(fā)送的報文進行比較，發(fā)現(xiàn)源目地址不一致將報文丟棄。

為了解決client收到的報文源目地址不一致的問題，需要將回包的數(shù)據(jù)包引向路由器R2，將源地址也進行轉(zhuǎn)換，所以在R2路由器上除了做目的地址轉(zhuǎn)換還需要做源地址轉(zhuǎn)換：
Src：212.0.0.9 Des：192.168.2.1
R2：
interface GigabitEthernet0/0/1
ip address 10.114.28.2 255.255.255.252
nat server global 212.58.7.9 inside 192.168.1.1
nat outbound 3001 address-group 0
#
NAT Address-Group Information:
--------------------------------------
Index   Start-address      End-address
--------------------------------------
0           212.0.0.1       212.0.0.10
--------------------------------------
  Total : 1
此時在R2上查看NAT的會話表項驗證NAT轉(zhuǎn)換映射是否成功：
  <R2>dis nat se all
  NAT Session Table Information:
     Protocol          : ICMP(1)
     SrcAddr   Vpn     : 192.168.2.1                                   
     DestAddr  Vpn     : 212.58.7.9                                    
     Type Code IcmpId  : 0   8   47585
     NAT-Info
       New SrcAddr     : 212.0.0.9     
       New DestAddr    : 192.168.1.1   
       New IcmpId      : 10249 
建議與總結(jié)：
    在園區(qū)網(wǎng)中內(nèi)網(wǎng)訪客利用公網(wǎng)地址訪問內(nèi)部服務(wù)器時，需在NAT路由器上進行源地址轉(zhuǎn)換，從而能保證回包報文源目地址與原發(fā)送的報文一致，避免數(shù)據(jù)包被丟棄。