現象描述：
園區(qū)內(nèi)部主機client（192.168.2.1）通(tōng)過公網地址212.58.7.9訪問內(nèi)網服務器(qì)192.168.1.1。交換機SW1為內(nèi)網192.168.1.0/24和(hé)192.168.2.0/24的網關。經過出口路由器(qì)R2進行(xíng)NAT地址映射轉換，從而能夠訪問內(nèi)網server。


（1）主機192.168.2.1訪問內(nèi)網server 對外公網地址212.58.7.9，此時(shí)數(shù)據包如下：
Src：192.168.2.1 Des：212.58.7.9

（2）數(shù)據包經過邊界路由器(qì)進行(xíng)目的地址轉換為192.168.1.1，此時(shí)數(shù)據包如下：
Src：192.168.2.1 Des：192.168.1.1  

[R2-GigabitEthernet0/0/1]dis this
#
interface GigabitEthernet0/0/1
ip address 10.114.28.2 255.255.255.252
nat server global 212.58.7.9 inside 192.168.1.1

（3）此時(shí)R2根據查看路由表目的地址192.168.1.0将數(shù)據包轉發到192.168.1.1主機上(shàng)，此時(shí)主機進行(xíng)回包，将數(shù)據包源目地址進行(xíng)颠倒：
    
Src：192.168.1.1 Des：192.168.2.1

此時(shí)主機192.168.2.1收到該回包報文後與發送的報文進行(xíng)比較，發現源目地址不一緻将報文丢棄。

為了解決client收到的報文源目地址不一緻的問題，需要将回包的數(shù)據包引向路由器(qì)R2，将源地址也進行(xíng)轉換，所以在R2路由器(qì)上(shàng)除了做(zuò)目的地址轉換還(hái)需要做(zuò)源地址轉換：
Src：212.0.0.9 Des：192.168.2.1
R2：
interface GigabitEthernet0/0/1
ip address 10.114.28.2 255.255.255.252
nat server global 212.58.7.9 inside 192.168.1.1
nat outbound 3001 address-group 0
#
NAT Address-Group Information:
--------------------------------------
Index   Start-address      End-address
--------------------------------------
0           212.0.0.1       212.0.0.10
--------------------------------------
  Total : 1
此時(shí)在R2上(shàng)查看NAT的會(huì)話(huà)表項驗證NAT轉換映射是否成功：
  <R2>dis nat se all
  NAT Session Table Information:
     Protocol          : ICMP(1)
     SrcAddr   Vpn     : 192.168.2.1                                   
     DestAddr  Vpn     : 212.58.7.9                                    
     Type Code IcmpId  : 0   8   47585
     NAT-Info
       New SrcAddr     : 212.0.0.9     
       New DestAddr    : 192.168.1.1   
       New IcmpId      : 10249 
建議與總結：
    在園區(qū)網中內(nèi)網訪客利用公網地址訪問內(nèi)部服務器(qì)時(shí)，需在NAT路由器(qì)上(shàng)進行(xíng)源地址轉換，從而能保證回包報文源目地址與原發送的報文一緻，避免數(shù)據包被丢棄。