早上，有同行來請求協(xié)助，說是防火墻上做的端口映射無法生效。

由于他在電話里面說是防火墻，所以我的第一反應(yīng)就是沒有寫相應(yīng)的安全策略，因為防火墻不同于路由器，沒有對應(yīng)的安全策略的允許，端口映射是不可能生效的。

他說，他勾選了：直接放行，不受安全策略影響。

那我所懷疑的立刻就被排除掉了，于是問他：“你確認你配置的端口映射是正確的嗎？”

對方急切的回復(fù)：“大哥，我是復(fù)制的啊，你之前幫我做的遠程桌面端口的映射，我是復(fù)制你的策略，就修改一下外部端口，內(nèi)部IP和端口，難道你懷疑我連這個都不會嗎？”

我：“呃……那你看防火墻上，你復(fù)制修改后的策略，有匹配到嗎？”

對方：“有匹配到，測試一次匹配一次，但是無論是SSH，還是telnet檢測端口，都是提示無法連接。”

算了，廢話不多說，讓他截圖過來看一下吧。

復(fù)制過來的，上半部分就是名稱改一下，必定不會錯，繼續(xù)往下看。

他還特意紅框標(biāo)示，怕我看不到嗎？

指定的IP地址是內(nèi)網(wǎng)核心交換機的IP，22端口無疑就是SSH端口，不會有問題。

我：“核心交換機在內(nèi)網(wǎng)肯定能SSH管理吧？”

對方：“那是必須的，測試了沒問題。”

按理說，勾選了“放通上述條件的數(shù)據(jù)，不受應(yīng)用控制策略限制”，是不會有問題的。

遠程登錄他的防火墻，抱著試試看的心態(tài)，配置了一條安全策略，可想而知，完全沒用，我還是無法在外部通過SSH管理他的交換機。

正在我思考之際，對方又發(fā)來語音：“是不是很奇怪？老子搞了一上午！”

“還有一種可能，就是你有2條鏈路，所以需要源進源出，才能實現(xiàn)端口映射。”

對方：“可是那臺服務(wù)器，為什么就能在外部遠程桌面呢？也沒配置過源進源出啊。”

我：“呵呵，我已經(jīng)看到策略路由的配置了，默認上網(wǎng)是走普通的撥號寬帶，服務(wù)器是走專線出去的，所以這就已經(jīng)是源進源出了，那配置遠程桌面的端口映射，當(dāng)然不會有問題了。而你的交換機管理VLAN，默認就不會走專線，進出不匹配，難怪不行啊。”

對方：“啊？我完全沒考慮到啊，真是尷尬。”

我：“現(xiàn)在就簡單啦，在專線的那條策略路由里面，添上核心交換機的VLAN IP就行了，哈哈。”

前后3分鐘問題解決了，我在外部測試，可以管理他的核心交換機了。

他又問：“為什么以前用愛快路由器，三四條鏈路，也不用配置源進源出，端口映射照樣生效呢？”

我：“你不配置，并不代表配置真的不存在，只是設(shè)備比較智能，自動為你配置上了而已！”

對方：“好吧，謝謝，又漲知識了。”

總結(jié)：端口映射失敗，有時候并不是端口映射本身的問題，反復(fù)調(diào)整策略顯然是不會有用的，具體問題還得具體分析，源進源出也是網(wǎng)工基礎(chǔ)，老生常談了，完全沒想到，實屬不該啊。