早上，有同行来请求协助，说是防火墙上做的端口映射无法生效。

由于他在电话里面说是防火墙，所以我的第一反应就是没有写相应的安全策略，因为防火墙不同于路由器，没有对应的安全策略的允许，端口映射是不可能生效的。

他说，他勾选了：直接放行，不受安全策略影响。

那我所怀疑的立刻就被排除掉了，于是问他：“你确认你配置的端口映射是正确的吗？”

对方急切的回复：“大哥，我是复制的啊，你之前帮我做的远程桌面端口的映射，我是复制你的策略，就修改一下外部端口，内部IP和端口，难道你怀疑我连这个都不会吗？”

我：“呃……那你看防火墙上，你复制修改后的策略，有匹配到吗？”

对方：“有匹配到，测试一次匹配一次，但是无论是SSH，还是telnet检测端口，都是提示无法连接。”

算了，废话不多说，让他截图过来看一下吧。

复制过来的，上半部分就是名称改一下，必定不会错，继续往下看。

他还特意红框标示，怕我看不到吗？

指定的IP地址是内网核心交换机的IP，22端口无疑就是SSH端口，不会有问题。

我：“核心交换机在内网肯定能SSH管理吧？”

对方：“那是必须的，测试了没问题。”

按理说，勾选了“放通上述条件的数据，不受应用控制策略限制”，是不会有问题的。

远程登录他的防火墙，抱着试试看的心态，配置了一条安全策略，可想而知，完全没用，我还是无法在外部通过SSH管理他的交换机。

正在我思考之际，对方又发来语音：“是不是很奇怪？老子搞了一上午！”

“还有一种可能，就是你有2条链路，所以需要源进源出，才能实现端口映射。”

对方：“可是那台服务器，为什么就能在外部远程桌面呢？也没配置过源进源出啊。”

我：“呵呵，我已经看到策略路由的配置了，默认上网是走普通的拨号宽带，服务器是走专线出去的，所以这就已经是源进源出了，那配置远程桌面的端口映射，当然不会有问题了。而你的交换机管理VLAN，默认就不会走专线，进出不匹配，难怪不行啊。”

对方：“啊？我完全没考虑到啊，真是尴尬。”

我：“现在就简单啦，在专线的那条策略路由里面，添上核心交换机的VLAN IP就行了，哈哈。”

前后3分钟问题解决了，我在外部测试，可以管理他的核心交换机了。

他又问：“为什么以前用爱快路由器，三四条链路，也不用配置源进源出，端口映射照样生效呢？”

我：“你不配置，并不代表配置真的不存在，只是设备比较智能，自动为你配置上了而已！”

对方：“好吧，谢谢，又涨知识了。”

总结：端口映射失败，有时候并不是端口映射本身的问题，反复调整策略显然是不会有用的，具体问题还得具体分析，源进源出也是网工基础，老生常谈了，完全没想到，实属不该啊。