防火墙配置映射后，外网访问不了内部服务器

外网口访问不了映射，跟nat hairpin的配置无关，从其他方面排查吧 

1. NAT Hairpin配置位置错误 

   标准配置原则：nat hairpin enable应配置在内网接口（如GigabitEthernet1/0/1），而非外网口（如GigabitEthernet1/0/2）。外网口需配置nat server和nat outbound。

   异常现象解释：若在外网口配置nat hairpin后能访问，可能是意外触发了以下机制：

     外网口的nat server和nat outbound组合实现了类似反向代理功能（如将公网访问转换为内网地址，再通过源地址转换回内网流量）。

     但此配置可能导致端口冲突或策略冲突，属于非标操作。

3. 策略路由干扰 

   若存在策略路由（PBR），可能将NAT hairpin流量错误导向公网：

      检查策略路由配置

     display ip policy-based-route

   解决方案：添加ACL拒绝NAT hairpin相关流量走PBR（F1000-T案例）。

4. 全局NAT与接口NAT冲突 

   混用全局NAT（nat global-policy）和接口NAT（nat outbound）时，可能导致规则失效：

      检查全局NAT配置

     display nat all

   案例验证：升级设备后需统一NAT配置模式（F1000-AI-35案例）。

    补充说明：若外网口配置nat hairpin后能访问，表明防火墙的NAT转换逻辑已生效，但此配置会破坏标准转发模型，可能引发未知风险。建议按照标准拓扑调整配置。

策略放通没有？