端口映射这个话题，已经是老生常谈了，别说这是网工必备技能了，连很多非IT人士都会在路由器上配置端口映射，但我为什么还要单开一篇文章来讲呢，是因为在我的IT外包服务过程中，还是碰到过很多次端口映射失败的案例。

虽然经过我们排查，最后都解决了问题，但我想这些问题应该也是有相当的普遍性，否则也不会如此高发，所以本文就来简述一下，几个端口映射失败的排查过程，以供大家参考。

案例一：客户反馈，爱快路由器端口映射失败

爱快路由器的配置还是比较简单的，客户说端口映射失败了，而且是在我以前做的配置上复制修改的，那就很没道理了。

废话不多说，直接远程登录客户的爱快路由器，不看不知道，世界真奇妙，只因复制得太完美，所以才映射失败。

、

内网端口都一样，这当然没问题，反正也不是同一台服务器，这外网端口全一样是怎么回事啊？4辆汽车同时挤进一条车道，那不得撞成一锅粥，把外网端口改成13389、23389、43389、53389问题解决，耗时一分钟。

案例二：不好意思，还是爱快路由

爱快路由器的端口映射，真没什么好研究的，都不会是什么大问题，只要有问题，直接远程最方便，说半天，不如看一眼。

这不，果然又是几秒钟就能解决的问题，我真没夸张，同行帮客户高度的爱快路由器，想映射8080端口，那必将失败，因为80、443、8080都必须在运营商备案成功后，才能开放，所以，把8080改为9080，完成任务，准确地说，把8改成9，就改了一个数字，问题解决。

安全三：深信服防火墙端口映射失败

还是个同行，他在想在外网远程管理核心盗抢机，又说复制了我的端口映射配置和安全策略，但就是不行。

远程登录深信服防火墙，嗯，他确实改了内部、外部端口，没有犯前面那个同行一样的错误，而且安全策略也有匹配到。    

但是问题又确实存在，我远程无法访问映射出来的端口。

那就只有一种可能了，深信服防火墙上有多条外网链路，需要配置源进源出，才能实现端口映射。

知道了问题所在，解决也就容易了，在用专线上网的那条策略路由里面，添上核心交换机的VLAN IP就行了。    

总共耗时3分钟，问题解决。

安全四：华为防火墙端口映射失败

又是同行的客户，用的华为防火墙，说是端口映射不生效，NAT做了，安全策略也做了，而且有命中计数，但是实际上就是无法通信。

远程登录防火墙分析问题，查看“服务器映射”，配置正确；查看安全策略，配置正确，且测试时，有命中计数，按理说应该没问题才对。

在外网用telnet命令测试端口，无响应，说明端口映射失败。

与上面案例一样，立即怀疑进出路径不一致导致该问题，远程登录服务器，CMD中执行命令：tracert -d 外网任意网址，结果显示从一条拨号宽带出去了，没从固定IP的城域网走。

新建一条策略路由，源地址是服务器IP，出接口是固定IP的外网接口，下一跳是运营商给的网关IP。

telnet远程检测通过，又是两三分钟解决问题。

案例五：还是同行，又是华为防火墙

顺便提一嘴，同行找我解决问题，我都是收费服务的；如果不是同行，那就要收费，望理解。

言归正传，登录上设备看问题。

端口映射确实做了，安全策略也有，但是没有命中，跟上面的那几个问题不一样。