早上，有同行來請求協助，說是防火墻上做的端口映射無法生效。

由于他在電話里面說是防火墻，所以我的第一反應就是沒有寫相應的安全策略，因為防火墻不同于路由器，沒有對應的安全策略的允許，端口映射是不可能生效的。

他說，他勾選了：直接放行，不受安全策略影響。

那我所懷疑的立刻就被排除掉了，于是問他：“你確認你配置的端口映射是正確的嗎？”

對方急切的回復：“大哥，我是復制的啊，你之前幫我做的遠程桌面端口的映射，我是復制你的策略，就修改一下外部端口，內部IP和端口，難道你懷疑我連這個都不會嗎？”

我：“呃……那你看防火墻上，你復制修改后的策略，有匹配到嗎？”

對方：“有匹配到，測試一次匹配一次，但是無論是SSH，還是telnet檢測端口，都是提示無法連接。”

算了，廢話不多說，讓他截圖過來看一下吧。

復制過來的，上半部分就是名稱改一下，必定不會錯，繼續往下看。

他還特意紅框標示，怕我看不到嗎？

指定的IP地址是內網核心交換機的IP，22端口無疑就是SSH端口，不會有問題。

我：“核心交換機在內網肯定能SSH管理吧？”

對方：“那是必須的，測試了沒問題。”

按理說，勾選了“放通上述條件的數據，不受應用控制策略限制”，是不會有問題的。

遠程登錄他的防火墻，抱著試試看的心態，配置了一條安全策略，可想而知，完全沒用，我還是無法在外部通過SSH管理他的交換機。

正在我思考之際，對方又發來語音：“是不是很奇怪？老子搞了一上午！”

“還有一種可能，就是你有2條鏈路，所以需要源進源出，才能實現端口映射。”

對方：“可是那臺服務器，為什么就能在外部遠程桌面呢？也沒配置過源進源出啊。”

我：“呵呵，我已經看到策略路由的配置了，默認上網是走普通的撥號寬帶，服務器是走專線出去的，所以這就已經是源進源出了，那配置遠程桌面的端口映射，當然不會有問題了。而你的交換機管理VLAN，默認就不會走專線，進出不匹配，難怪不行啊。”

對方：“啊？我完全沒考慮到啊，真是尷尬。”

我：“現在就簡單啦，在專線的那條策略路由里面，添上核心交換機的VLAN IP就行了，哈哈。”

前后3分鐘問題解決了，我在外部測試，可以管理他的核心交換機了。

他又問：“為什么以前用愛快路由器，三四條鏈路，也不用配置源進源出，端口映射照樣生效呢？”

我：“你不配置，并不代表配置真的不存在，只是設備比較智能，自動為你配置上了而已！”

對方：“好吧，謝謝，又漲知識了。”

總結：端口映射失敗，有時候并不是端口映射本身的問題，反復調整策略顯然是不會有用的，具體問題還得具體分析，源進源出也是網工基礎，老生常談了，完全沒想到，實屬不該啊。