juniper 550M訪問自身公網IP迴流內部IP

拓撲圖示意：

網關設備juniper 550M，

untrust 區： 公網地址段22.22.22.22/29

trust區：      內部員工PC地址：172.16.4.x /24

trust區：      server區地址：172.16.2.x

對外部 映射  22.22.22.23  80port ->  內部 172.16.2.10  80port

問題：

內部員工沒法訪問 http://22.22.22.23  。但在非公司線路訪問正常。

解決方案：

在內部接口作靜態路由。因爲內部員工和server是在「同一區域」，因此還需要在靜態路由的基礎上添加下一跳地址（通常爲內部交換機接口IP）

一、添加要訪問公網地址22.22.22.23靜態，走內部 trust區。下一條地址爲核心三層交換機地址

CLI方式：

set route 22.22.22.23/32 interface ethernet0/0 gateway 172.16.3.2

GUI界面下設置方式爲：

二、加入trust到trust策略 ，並作NAT轉換

CLI方式：

set policy id 50 from "Trust" to "Trust"  "Any" "22.22.22.23/32" "HTTP" nat src dst ip 172.16.2.10 port 80 permit log 
set policy id 50
exit

GUI界面下設置方式爲：

設置完畢。

在員工區測試訪問 http://22.22.22.23 是實際訪問到 http://172.16.2.10