锐捷防火墙端口映射原理和场景

端口映射原理

功能原理

全映射的实现原理与端口映射一样，端口映射是将某个端口映射出来，而全映射是将所有端口均映射到公网IP上。

数据从NGFW通过时的处理流程：

入接口收到数据包--新建流表或匹配流表--匹配目的NAT--查路由表--匹配安全策略--数据向出口转发--匹配源NAT--出接口转发数据包。

NAT策略类型：

 1.源NAT转换

通俗地讲即将源地址转换为另一个地址，目的地址不变。局域网的私网地址需要将源地址转换为公网地址才能访问外网

2.目的NAT转换

转换通俗地讲即将目的地址转换为另一个地址，源地址不变。公网地址访问私网地址的服务器首先是将数据发给服务器所在的局域网的公网地址，再由设备将目的地址转换为服务器地址。

1、外网地址192.168.33.177访问服务器192.168.3.1的过程为：

    a、外网访问服务器的源IP为192.168.33.177，目的地址为192.168.33.229，目的端口为9999，经过NGFW的目的NAT转换，将目的IP转换为192.168.3.1，目的端口转换为80。

   b、服务器回应时源IP为192.168.3.1，源端口为80，目的地址为192.168.33.177，匹配刚才目的NAT转换所建的流表将源IP地址转换为192.168.33.229，源端口转换为9999。

2、内网用户192.168.3.20通过公网地址192.168.33.229访问服务器的数据过程需保证来回路径一致，所以需要配置源NAT转换也需要配置目的NAT转换：

 a、内网PC发出的源IP为192.168.3.20，目的IP为192.168.33.229，数据到NGFW后，将源IP转换为内网口IP地址192.168.3.254，目的IP转换为192.168.3.1，（注意目的端口也由9999变为80）

b、服务器收到数据后回应的源IP为192.168.3.1，目的IP为192.168.3.254，数据到NGFW后，匹配刚才源NAT转换和目的NAT转换的流表，将192.168.3.1变为192.168.33.229，192.168.3.254变为192.168.3.20，则此时源IP地址变为192.168.33.229（注意源端口也由80变为9999），目的IP地址变为192.168.3.20，发送给内网PC。

端口映射配置

场景描述：

需要将核心的管理地址的telnet服务映射到公网中，并且做好安全策略的精细化配置

需求：

1、internetPC需要通过防火墙WAN口地址访问到核心的telnet服务

2、保证内网PCwin7也可以通过防火墙的WAN口地址访问到核心的telnet服务

3、保证内网所有的地址都能够访问到internet。

防火墙策略：

NAT策略：