通过在UNTRUST上做MIP,把内部IP映射到外网IP,再添加策略从UNTRUST到TRUST  是  ANY-----MIP--------ANY    后,内网这个IP就上不去外网了,不做MIP的情况下是可以上外网的,
                     帮忙分析下,谢谢

可能是电信端的交换机上还保留有过去使用过58.211.245.151地址的设备的arp记录，所以你既不能出局也不能入局。 >VH;>lJ]zI  可以尝试先将所有的公网地址都在墙上配一次，每配一次都向58.211.245.149发一次ping包用来更新arp记录。

让我看看，学习一下了，正需要呢！
好东西呀，收下了，谢谢啊！

MIP的掩码应该是四个255,然后再添加一条untrust to global的策略应该就可以了!

可以试一下看MIP中的Host Virtual Router Name有没有设错

一般路由带管理的可以直接设置。就是路由上的DMZ 功能。

DMZ主机

在正常情况下，NAT路由器是禁止广域网直接访问局域网里的计算机的。但是，有些时候我们又需要将局域网内的某台计算机开放给广域网，以实现双向通信，此时只要把该计算机设置为DMZ主机就可以实现了。

帮助－NAT DMZ设置

DMZ特性允许一个网络用户因为使用特殊服务器暴露在Internet上,如Internet游戏或者视频会议, DMZ主机将所有的端口同时转化到一台计算机。
DMZ主机IP地址： 输入欲设为DMZ主机的局域网计算机的IP地址。
启用： 选中则启用DMZ功能,否则关闭DMZ功能。
点击"保存"按钮完成DMZ的设置。

这个问题问的有点奇怪哦，你映射IP的概念比较模糊，只能凭经验回答两句了。首先要搞清楚映射IP的用途，无非两种，一种局域网内，另一种广域网内，局域网中就是路由器的IP，如192.168.1.1，如果是想映射到广域网让别人实现远程登陆，那么和路由器也没什么关系，你只需点击开始——运行——输入ipconfig /all就可以找到你当前这台机器的互联网中的地址了
的关于你的修正的答复——这个问题是这样子的，IP的映射（这里单指你所说的在互联网内）取决于网络提供商分配给你的IP，理论上来说，在路由器没有关闭的情况下，你的IP是始终不变的，通过上述查找IP的方法可以确定分配给你的地址是多少，然后直接远程接入就可以了，如果是代理的话那么你无需知道你的IP，只要选用合适的代理软件就可以了，现在WEB式代理是比较简单的，网上一找一大把