Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

端口转发

端口转发概述

您可以将外部 IP 地址和端口与专用网络中的 IP 地址和端口进行映射。此映射称为端口转发,在 MS-DPC、MS-100、MS-400 和 MS-500 多服务 PIC 上受支持。从 Junos OS 17.4R1 版开始,MS-MPC 和 MS-MIC 也支持端口转发。

端口转发允许更改数据包的目标地址和端口,以到达网络地址转换 (NAT) 网关中的正确主机。转换有助于根据从始发主机接收数据包的端口号到达伪装(通常是专用)网络中的主机。此类目标的一个示例是专用网络中公共 HTTP 服务器的主机。您还可以在不转换目标地址的情况下配置端口转发。端口转发支持端点无关映射 (EIM)、端点无关填充 (EIF) 和地址池配对 (APP)。

端口转发仅适用于 FTP 应用程序级网关 (ALG),不支持通过 IPv4 基础架构提供 IPv6 服务的技术,例如 IPv6 快速部署 (6rd) 和双堆栈精简版 (DS-Lite)。端口转发仅 dnat-44 支持 IPv4 twice-napt-44 网络。

端口转发的优势

  • 允许远程计算机(如 Internet 上的公用计算机)连接到隐藏在专用网络中的特定计算机的非标准端口。

为静态目标地址转换配置端口转发

您可以使用端口转发配置目标地址转换。端口转发允许更改数据包的目标地址和端口,以到达网络地址转换 (NAT) 网关中的正确主机。MS-DPC、MS-100、MS-400 和 MS-500 多服务 PIC 支持端口转发。从 Junos OS 17.4R1 版开始,MS-MPC 和 MS-MIC 也支持端口转发。

要使用端口转发配置目标地址转换,请执行以下操作:

  1. 在配置模式下,转到 [edit services nat] 层次结构级别。
  2. 使用地址配置 NAT 池。

    在以下示例中,用作 dest-pool 池名称和 192.0.2.2 地址。

  3. 配置规则、匹配方向、术语和目标地址。

    在以下示例中,规则的名称为 ,匹配方向为 ,术语名称为 ,地址为 rule-dnat44t1input198.51.100.20

  4. 配置目标端口范围。

    在以下示例中,端口范围上限为 ,下部端口范围为 50 20

  5. 转到 [edit services nat rule rule-name term term-name] 层次结构级别。
  6. 配置目标池。

    在以下示例中,目标池名称为 dest-pool

  7. 指定端口转发的映射名称并配置转换类型。您只能在 NAT 规则期限内配置一个映射。

    在以下示例中,端口转发映射名称为 ,转换类型为 map1dnat-44

  8. 转到 [edit services nat port-forwarding map-name] 层次结构级别。
  9. 配置端口转发的映射。

    在以下示例中,需要转换的目标端口号为 , 23 流量映射到 45的端口为 。

    注意:

    • 端口转发支持多个端口映射。最多可配置 32 个端口映射用于端口转发。

    • 目标端口不应与为 NAT 配置的端口范围重叠。
  10. 将 NAT 规则应用于执行端口映射的服务集。
  11. 在层次结构级别使用[edit services nat]命令验证show配置。
注意:

  • 对于 IPv4 使用两次 NAT,也可以进行类似的配置。请参阅 示例:使用两次 NAT 配置端口转发

  • 端口转发和有状态防火墙可以一起配置。有状态防火墙优先于端口转发。

配置不带目标地址转换的端口转发

您可以在不转换目标地址的情况下配置端口转发。端口转发允许更改目标端口以到达网络地址转换 (NAT) 网关中的正确端口。MS-DPC、MS-100、MS-400 和 MS-500 多服务 PIC 支持端口转发。从 Junos OS 17.4R1 版开始,MS-MPC 和 MS-MIC 也支持端口转发。

要在 IPv4 网络中配置不带目标地址转换的端口转发,请执行以下操作:

  1. 在配置模式下,转到 [edit services nat] 层次结构级别。
  2. 配置规则、匹配方向、术语名称以及在应用规则之前流量必须匹配的任何条件。

    在以下示例中,规则名称为 ,匹配方向为 ,术语名称为 ,必须匹配的目标地址为 rule-port-forwardingt1input198.51.100.20

  3. 转到 [edit services nat rule rule-name term term-name] 层次结构级别。
  4. 指定此规则没有地址转换。
  5. 指定端口转发的映射名称。您只能在 NAT 规则期限内配置一个映射。

    在以下示例中,端口转发映射名称为 map1

  6. 转到 [edit services nat port-forwarding map-name] 层次结构级别。
  7. 配置端口转发的映射。

    在以下示例中,需要转换的目标端口号为 , 23 流量映射到 45的端口为 。

    注意:

    • 端口转发支持多个端口映射。最多可配置 32 个端口映射用于端口转发。

    • 目标端口不应与为 NAPT 配置的端口范围重叠。
  8. 将 NAT 规则应用于执行端口映射的服务集。
    注意:

    在 MS-MPC 和 MS-MIC 上,您无法将端口转发 NAT 规则应用于 AMS 接口。
  9. 在层次结构级别使用[edit services]命令验证show配置。
注意:

端口转发和有状态防火墙可以一起配置。有状态防火墙优先于端口转发。

示例:使用两次 NAT 配置端口转发

以下示例将端口转发 twice-napt-44 配置为转换类型。该示例还配置了有状态防火墙和多个端口映射。

MS-DPC、MS-100、MS-400 和 MS-500 多服务 PIC 支持端口转发。从 Junos OS 17.4R1 版开始,MS-MPC 和 MS-MIC 也支持端口转发。

注意:

  • 有状态防火墙优先于端口转发。例如,在此示例中,不会转换发往 20 到 5000 之间的任何端口的流量。

  • 最多可配置 32 个端口映射。

更改历史记录表

功能支持由您使用的平台和版本决定。使用功能资源管理器确定您的平台是否支持某个 功能

释放
描述
17.4R1
从 Junos OS 17.4R1 版开始,MS-MPC 和 MS-MIC 也支持端口转发。
17.4R1
从 Junos OS 17.4R1 版开始,MS-MPC 和 MS-MIC 也支持端口转发。
17.4R1
从 Junos OS 17.4R1 版开始,MS-MPC 和 MS-MIC 也支持端口转发。
17.4R1
从 Junos OS 17.4R1 版开始,MS-MPC 和 MS-MIC 也支持端口转发。