Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

端口转发

端口转发概述

可以将外部 IP 地址和端口与专用网络中的 IP 地址和端口进行映射。MS-DPC、MS-100、MS-400 和 MS-500 多服务 PIC 支持这种称为端口转发的映射。从 Junos OS 17.4R1 版开始,MS-MPC 和 MS-MIC 也支持端口转发。

端口转发允许更改数据包的目标地址和端口,以便到达网络地址转换 (NAT) 网关中的正确主机。根据从始发主机接收数据包的端口号,转换有助于到达伪装网络(通常是专用网络)中的主机。此类目标的一个示例是专用网络中公共 HTTP 服务器的主机。您还可以在不转换目标地址的情况下配置端口转发。端口转发支持与端点无关的映射 (EIM)、与端点无关的填充 (EIF) 和地址池配对 (APP)。

端口转发仅适用于 FTP 应用程序级网关 (ALG),不支持通过 IPv4 基础架构提供 IPv6 服务的技术,如 IPv6 快速部署 (6rd) 和双堆栈精简版 (DS-Lite)。端口转发仅 dnat-44 支持 twice-napt-44 IPv4 网络。

端口转发的优势

  • 允许远程计算机(如 Internet 上的公共计算机)连接到隐藏在专用网络中的特定计算机的非标准端口。

配置静态目标地址转换的端口转发

您可以使用端口转发配置目标地址转换。端口转发允许更改数据包的目标地址和端口,以便到达网络地址转换 (NAT) 网关中的正确主机。MS-DPC、MS-100、MS-400 和 MS-500 多服务 PIC 支持端口转发。从 Junos OS 17.4R1 版开始,MS-MPC 和 MS-MIC 也支持端口转发。

要使用端口转发配置目标地址转换,请执行以下作:

  1. 在配置模式下,转到 [edit services nat] 层级。
  2. 使用地址配置 NAT 池。

    在以下示例中, dest-pool 用作池名称和 192.0.2.2 地址。

  3. 配置规则、匹配方向、期限和目标地址。

    在以下示例中,规则的名称为 rule-dnat44,匹配方向为 input,术语的名称为 t1,地址为 198.51.100.20

  4. 配置目标端口范围。

    在以下示例中,端口上限范围为 50 ,下限端口范围为 20

  5. 转到 [edit services nat rule rule-name term term-name] 层次结构级别。
  6. 配置目标池。

    在以下示例中,目标池名称为 dest-pool

  7. 指定端口转发映射的名称并配置转换类型。一个 NAT 规则术语中只能配置一个映射。

    在以下示例中,端口转发映射名称为 map1,转换类型为 dnat-44

  8. 转到 [edit services nat port-forwarding map-name] 层次结构级别。
  9. 配置端口转发的映射。

    在以下示例中,需要转换的目标端口号为 23 ,流量映射到的端口为 45

    注意:

    • 端口转发支持多端口映射。最多可配置 32 个端口映射用于端口转发。

    • 目标端口不应与为 NAT 配置的端口范围重叠。
  10. 将 NAT 规则应用于执行端口映射的服务集。
  11. [edit services nat]层次结构级别使用show命令验证配置。
注意:

配置不使用目标地址转换的端口转发

您可以在不转换目标地址的情况下配置端口转发。端口转发允许更改目标端口,以到达网络地址转换 (NAT) 网关中的正确端口。MS-DPC、MS-100、MS-400 和 MS-500 多服务 PIC 支持端口转发。从 Junos OS 17.4R1 版开始,MS-MPC 和 MS-MIC 也支持端口转发。

要在 IPv4 网络中配置不带目标地址转换的端口转发:

  1. 在配置模式下,转到 [edit services nat] 层级。
  2. 配置规则、匹配方向、术语名称以及流量在应用规则之前必须匹配的任何条件。

    在以下示例中,规则的名称为 rule-port-forwarding,匹配方向为 input,术语的名称为 t1,必须匹配的目标地址为 198.51.100.20

  3. 转到 [edit services nat rule rule-name term term-name] 层次结构级别。
  4. 指定此规则没有地址转换。
  5. 指定端口转发的映射名称。一个 NAT 规则术语中只能配置一个映射。

    在以下示例中,端口转发映射名称为 map1

  6. 转到 [edit services nat port-forwarding map-name] 层次结构级别。
  7. 配置端口转发的映射。

    在以下示例中,需要转换的目标端口号为 23 ,流量映射到的端口为 45

    注意:

    • 端口转发支持多端口映射。最多可配置 32 个端口映射用于端口转发。

    • 目标端口不应与为 NAPT 配置的端口范围重叠。
  8. 将 NAT 规则应用于执行端口映射的服务集。
    注意:

    在 MS-MPC 和 MS-MIC 上,不能将端口转发 NAT 规则应用于 AMS 接口。
  9. [edit services]层次结构级别使用show命令验证配置。
注意:

端口转发和有状态防火墙可以一起配置。有状态防火墙优先于端口转发。

示例:使用两次 NAT 配置端口转发

以下示例将端口转发配置为 twice-napt-44 转换类型。该示例还配置了有状态防火墙和多个端口映射。

MS-DPC、MS-100、MS-400 和 MS-500 多服务 PIC 支持端口转发。从 Junos OS 17.4R1 版开始,MS-MPC 和 MS-MIC 也支持端口转发。

注意:

  • 有状态防火墙优先于端口转发。例如,在此示例中,不会转换发往 20 到 5000 之间任何端口的流量。

  • 最多可配置 32 个端口映射。

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。

释放
描述
17.4R1
从 Junos OS 17.4R1 版开始,MS-MPC 和 MS-MIC 也支持端口转发。
17.4R1
从 Junos OS 17.4R1 版开始,MS-MPC 和 MS-MIC 也支持端口转发。
17.4R1
从 Junos OS 17.4R1 版开始,MS-MPC 和 MS-MIC 也支持端口转发。
17.4R1
从 Junos OS 17.4R1 版开始,MS-MPC 和 MS-MIC 也支持端口转发。