在AF防火墙（如深信服、山石等品牌）单出口且采用PPPoE拨号上网的场景下，若需配置双向映射（即NAT的源转换SNAT和目的转换DNAT），由于公网IP是动态分配的，目的地址的配置需结合动态域名解析（DDNS）或自动获取的公网IP进行动态适配。

当前是什么版本   新版本是支持DDNS的   做DDNS动态域名解析

在AF防火墙单出口的情况下，如果您使用PPPOE拨号上网并且需要进行双向地址映射，您可以按照以下步骤进行配置：

配置目的地址转换/双向地址转换：
在AF设备的管理界面中，进入【策略】-【地址转换】。
选择新增【目的地址转换】或【双向地址转换】。
目标IP选择：

由于拨号上网的地址是不固定的，您可以在目标IP选择中选择“全部”，这样可以确保无论拨号后获得的IP地址是什么，都能进行地址映射。

通过获取的IP地址去访问。如果需要通过域名来访问，您可能需要配置第三方软件（如花生壳）来处理动态域名解析
请确保在配置双向地址映射时，AF设备和内网服务器之间可以相互通信，并且公网IP地址建议配置在AF设备上，以确保请求数据能够到达AF设备。

希望能够帮助到你！

具体配置步骤：
配置PPPOE拨号接口
进入【网络】→【IP】→【接口】，选择外网物理接口（如GigabitEthernet1/0/3），设置IP类型为PPPOE，填入运营商提供的账号密码。
提交后系统生成虚拟拨号接口（如Dia0），该接口承载动态公网IP。
配置内网服务器接口
选择内网接口（如GigabitEthernet1/0/4），设置静态IP（如192.168.50.1/24），作为内网网关。
配置双向地址映射（NAT Server）
进入【策略】→【NAT】→【NAT Server】，新建规则：
协议类型：TCP/UDP（根据服务选择）。
公网接口：选择Dia0（PPPOE虚拟接口）。
公网端口：填写外部需访问的端口（如80）。
内网IP：填写内网服务器IP（192.168.50.50）。
内网端口：填写服务监听端口（如80）。
关键点：由于公网IP动态变化，防火墙会自动将当前Dia0的IP与映射规则关联，无需手动修改。
配置安全策略
允许公网访问映射端口：
源安全域：Untrust（外网）。
目的安全域：Trust（内网）。
服务：选择映射规则中定义的协议和端口（如TCP 80）。
动作：允许。
允许内网访问公网：
源安全域：Trust。
目的安全域：Untrust。
服务：任意（或限制为HTTP/HTTPS等）。
动作：允许。
验证配置
检查Dia0接口状态，确认已获取公网IP。
从内网PC测试访问公网（如ping 8.8.8.8），验证出站通信。
从外网PC访问公网IP的映射端口（如http://公网IP:80），验证入站通信。

核心配置原理
动态公网IP处理
PPPOE拨号获取的公网IP是动态变化的，需通过防火墙的动态NAT（NAPT）功能实现地址转换。当内网服务器（如192.168.50.50）需要被公网访问时，防火墙会动态绑定当前公网IP到映射规则，确保外部请求能正确路由到内网服务器。
双向映射逻辑
出方向（内网→公网）：内网用户访问互联网时，防火墙将源IP（如192.168.50.40）替换为当前公网IP，实现出站通信。
入方向（公网→内网）：外部请求访问公网IP的特定端口（如80端口）时，防火墙根据映射规则将目标IP替换为内网服务器IP（192.168.50.50），同时记录会话状态以确保响应包能正确返回。

如果用域名访问，防火墙设置DNS MAPping这样内、外网用户可以用域名直接访问内网服务器，但是双向的话没有固定的ip是做不了的。只能申请专线。