juniper 550M訪问自身公网IP回流内部IP

拓扑图示意：

网关设备juniper 550M，

untrust 区： 公网地址段22.22.22.22/29

trust区：      内部员工PC地址：172.16.4.x /24

trust区：      server区地址：172.16.2.x

对外部 映射  22.22.22.23  80port ->  内部 172.16.2.10  80port

问题：

内部员工没法訪问 http://22.22.22.23  。但在非公司线路訪问正常。

解决方案：

在内部接口作静态路由。因为内部员工和server是在“同一区域”，因此还需要在静态路由的基础上添加下一跳地址（通常为内部交换机接口IP）

一、添加要訪问公网地址22.22.22.23静态，走内部 trust区。下一条地址为核心三层交换机地址

CLI方式：

set route 22.22.22.23/32 interface ethernet0/0 gateway 172.16.3.2

GUI界面下设置方式为：

二、加入trust到trust策略 ，并作NAT转换

CLI方式：

set policy id 50 from "Trust" to "Trust"  "Any" "22.22.22.23/32" "HTTP" nat src dst ip 172.16.2.10 port 80 permit log 
set policy id 50
exit

GUI界面下设置方式为：

设置完毕。

在员工区測试訪问 http://22.22.22.23 是实际訪问到 http://172.16.2.10