Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

端口转发

端口转发概述

您可以将外部 IP 地址和端口与专用网络中的 IP 地址和端口进行映射。MS-DPC、MS-100、MS-400 和 MS-500 多服务 PIC 支持这种映射,称为端口转发。从 Junos OS 17.4R1 版开始,MS-MPC 和 MS-MIC 也支持端口转发。

端口转发允许更改数据包的目标地址和端口,以到达网络地址转换 (NAT) 网关中的正确主机。转换有助于根据从始发主机接收数据包的端口号到达伪装的(通常是专用)网络中的主机。此类目标的一个示例是专用网络中公共 HTTP 服务器的主机。您还可以配置端口转发,而不转换目标地址。端口转发支持与端点无关的映射 (EIM)、与端点无关的填充 (EIF) 和地址池配对 (APP)。

端口转发仅适用于 FTP 应用级网关 (ALG),不支持通过 IPv4 基础设施提供 IPv6 服务的技术,如 IPv6 快速部署 (6rd) 和双栈精简版 (DS-Lite)。端口转发仅dnat-44twice-napt-44支持 IPv4 网络。

端口转发的优势

  • 允许远程计算机(例如 Internet 上的公共计算机)连接到隐藏在专用网络中的特定计算机的非标准端口。

为静态目标地址转换配置端口转发

您可以使用端口转发配置目标地址转换。端口转发允许更改数据包的目标地址和端口,以到达网络地址转换 (NAT) 网关中的正确主机。MS-DPC、MS-100、MS-400 和 MS-500 多服务 PIC 支持端口转发。从 Junos OS 17.4R1 版开始,MS-MPC 和 MS-MIC 也支持端口转发。

要使用端口转发配置目标地址转换:

  1. 在配置模式下,转至 [edit services nat] 层次结构级别。
  2. 使用地址配置 NAT 池。

    在以下示例中,用作 dest-pool 池名称和 192.0.2.2 地址。

  3. 配置规则、匹配方向、术语和目标地址。

    在以下示例中,规则的名称为 rule-dnat44,匹配方向为 input,术语的名称为 t1,地址为 198.51.100.20

  4. 配置目标端口范围。

    在以下示例中,上限端口范围为 50 ,下限端口范围为 20

  5. 转到 [edit services nat rule rule-name term term-name] 层次结构级别。
  6. 配置目标池。

    在以下示例中,目标池名称为 dest-pool

  7. 指定端口转发的映射名称并配置转换类型。您只能在一个 NAT 规则术语中配置一个映射。

    在以下示例中,端口转发映射名称为 map1,转换类型为 dnat-44

  8. 转到 [edit services nat port-forwarding map-name] 层次结构级别。
  9. 配置端口转发映射。

    在以下示例中,需要转换的目标端口号为 23 ,流量映射到的端口为 45

    注意:

    • 端口转发支持多端口映射。端口转发最多可配置 32 个端口图。

    • 目的端口不应与为 NAT 配置的端口范围重叠。
  10. NAT 规则应用于执行端口映射的服务集。
  11. 层次结构级别使用[edit services nat]命令show验证配置。
注意:

配置不带目标地址转换的端口转发

您可以在不转换目标地址的情况下配置端口转发。端口转发允许更改目的端口以到达网络地址转换 (NAT) 网关中的正确端口。MS-DPC、MS-100、MS-400 和 MS-500 多服务 PIC 支持端口转发。从 Junos OS 17.4R1 版开始,MS-MPC 和 MS-MIC 也支持端口转发。

要在 IPv4 网络中配置不带目标地址转换的端口转发:

  1. 在配置模式下,转至 [edit services nat] 层次结构级别。
  2. 在应用规则之前,请配置规则、匹配方向、术语名称以及流量必须匹配的任何条件。

    在以下示例中,规则的名称为 rule-port-forwarding,匹配方向为 input,术语名称为 t1,必须匹配的目标地址为 198.51.100.20

  3. 转到 [edit services nat rule rule-name term term-name] 层次结构级别。
  4. 指定此规则没有地址转换。
  5. 指定端口转发的映射名称。您只能在一个 NAT 规则术语中配置一个映射。

    在以下示例中,端口转发映射名称为 map1

  6. 转到 [edit services nat port-forwarding map-name] 层次结构级别。
  7. 配置端口转发映射。

    在以下示例中,需要转换的目标端口号为 23 ,流量映射到的端口为 45

    注意:

    • 端口转发支持多端口映射。端口转发最多可配置 32 个端口图。

    • 目的端口不应与为 NAPT 配置的端口范围重叠。
  8. NAT 规则应用于执行端口映射的服务集。
    注意:

    在 MS-MPC 和 MS-MIC 上,您无法将端口转发 NAT 规则应用于 AMS 接口。
  9. 层次结构级别使用[edit services]命令show验证配置。
注意:

端口转发和有状态防火墙可以一起配置。有状态防火墙优先于端口转发。

示例:使用两次 NAT 配置端口转发

以下示例将端口转发 twice-napt-44 配置为转换类型。此示例还配置了有状态防火墙和多个端口映射。

MS-DPC、MS-100、MS-400 和 MS-500 多服务 PIC 支持端口转发。从 Junos OS 17.4R1 版开始,MS-MPC 和 MS-MIC 也支持端口转发。

注意:

  • 有状态防火墙优先于端口转发。例如,在此示例中,不会转换发往 20 到 5000 之间任何端口的流量。

  • 最多可配置 32 个端口映射。

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。

发布
描述
17.4R1
从 Junos OS 17.4R1 版开始,MS-MPC 和 MS-MIC 也支持端口转发。
17.4R1
从 Junos OS 17.4R1 版开始,MS-MPC 和 MS-MIC 也支持端口转发。
17.4R1
从 Junos OS 17.4R1 版开始,MS-MPC 和 MS-MIC 也支持端口转发。
17.4R1
从 Junos OS 17.4R1 版开始,MS-MPC 和 MS-MIC 也支持端口转发。