比如业务需求：防火墙同时开放内网服务器192.168.1.10的20000~20300范围的端口号

华为防火墙配置如下：

方法一：nat static批量映射

批量映射
interface GigabitEthernet0/0/1 
  ip address 1.1.1.1 255.255.255.0 
  nat static protocol tcp global current-interface 20000 20300 inside 192.168.1.10 20000 20300 netmask 255.255.255.255
#把接口的公网端口号20000~20300 批量映射到内网192.168.1.10的20000~20300,系统版本需要升级到V2R9以后才支持用nat static批量映射

方法二：nat server配合ACL做映射

nat server并不支持批量映射的方式，但是可以通过一对一，加ACL来达到效果，利用ACL来说明哪些转换，哪些不转换。

ACL配置
acl number 3000   
  rule 5 permit tcp destination-port range 20000 20300  
接口配置
interface GigabitEthernet0/0/1
  ip address 1.1.1.1 255.255.255.0 
  nat server global current-interface inside 192.168.1.10 acl 3000
#利用ACL来定义哪些端口号转换，在调用在一对一里面

总结

nat server：适合单端口映射，比如映射web、ftp、oa（特别只有一个公网地址的场景下）

nat static：适合多端口映射加单端口混合

华为删除端口映射配置命令

undo nat static protocol tcp global current-interface 20000 20300 inside 192.168.1.10 20000 20300 netmask 255.255.255.255

华三防火墙配置如下：

批量映射
interface GigabitEthernet0/0/1
  port link-mode route 
  combo enable copper 
  ip address 1.1.1.1 255.255.255.0 
  nat server protocol tcp global current-interface 20000 20300 inside 192.168.1.10 20000 20300 rule 1 description 内网服务器映射
#华三端口映射与批量映射都用nat server解决即可，华三nat static主要用于做一对一。
#rule相当于ACL的规则ID，执行的先后顺序，ID范围从1~63，越小越优先
#映射公网地址TCP的20000到20300端口号到内网192.168.1.10的20000-20300

华三删除端口映射配置命令

undo nat server protocol tcp global current-interface 20000 20300