双链路+多层端口映射疑难杂症！华为路由器+华为防火墙配置解析|交换机|服务器|知名企业|移动|端口

双链路+多层端口映射疑难杂症！华为路由器+华为防火墙配置解析

有客户部署了电信+移动双链路接入网络，本是为了提升网络访问稳定性与冗余性，可当华为 AR6140E-S 路由器双链路接入，下联 USG6000E-S12 防火墙，内网多台服务器 N 个端口需要映射，且要求电信、移动公网 IP 均能访问内网服务时，却陷入了端口映射失效、跨运营商访问不通的技术困境。

眼看着群里折腾了三天了，最终还是付费让笔者来解决。通过梳理网络架构、精准配置设备参数，顺利实现双链路下的端口映射与跨运营商访问，现将完整解决方案与技术配置分享如下。

先交待一下网络架构：电信光猫→AR6140E-S GE2 口，移动光猫→AR6140E-S GE3 口，；AR6140E-S 内网口直连 USG6000E-S12的GigabitEthernet0/0/8口，USG6000E-S12 内网口连接交换机，内网服务器均接入交换机，内部私网网段为192.168.2.0/24 。

电信和移动都是固定IP的城域网专线，基础的配置已经作完了，现在内部的服务器和电脑都能正常上网，只是端口映射全部失效，笔者收了钱，也只是负责把端口映射的问题解决掉。

一、华为 AR6140E-S 路由器的配置错误
因为正值下班时间，笔者决定晚上加班干活，所以只是临时登录设备看了一眼，发现端口是做了几十个，但是没有一个会生效的，因为内部IP全部填写了服务器的IP，而在现有架构下，路由器和服务器之间还隔着防火墙，这种基础性错误也是没谁了，亏他们搞了几天。

二、USG6000E-S12 防火墙的配置错误
既然路由器错得离谱，那就再看一眼防火墙的配置吧。
很好，一个端口映射都没做，一条安全策略都没写，那外网怎么可能访问内部服务器嘛，看来我晚上的工作量不小喽。

三、拨乱反正，调整路由器和防火墙的配置，实现电信、移动分别端口映射

第一步，在华为AR6140E-S上，把所有的端口映射改一遍，IP地址全部改为华为防火墙上的WAN IP，也就是与华为AR6140E-S的Lan IP在同一网段的IP地址。这一步要注意：1、千万不能直接写服务器的IP；2、所有端口映射要做两遍，电信一遍，移动一遍，客户要求如此，在外网电信和移动IP都能访问内部服务器。

本以为这一步很简单很快，实则不然，华为的路由器，Web页面配置还是一如既往地拉胯，几乎每改一个就要“等待”响应。

改了两三个失去了耐心，就开了两个浏览器，来回切换操作，这还不够，干脆再开一个窗口，同步调试华为防火墙。

第二步，在华为USG6000E-S12防火墙上，配置服务器映射

值得称道的是，华为的防火墙，Web页面配置还是一如既往的丝滑，不会有任何的卡顿，哈哈。

第三步，配置相应的安全策略
如果是防火墙直接连接了运营商线路，我肯定是每个端口映射单独匹配一条安全策略，但是上面还有台路由器，我就简单点了，那了个Servers的对象，把需要映射端口的服务器都包含了进去，然后用一条安全策略解决，就是允许untrust访问Servers，省了许多事。

先拿其中一台服务器上的oa系统测试了一下，电信和移动的IP，都能访问OA系统了，表示配置正确无误，就先通知客户了，免得他们着急，毕竟接下来只是时间问题了。

第四步，内网用户以域名访问映射端口的应用
这其实已经算是额外的工作了，但是无所谓了，额外赠送一下，也未尝不可。
如果华为防火墙直连运营商链路，这一步需要做一个特殊的NAT，实现内部用户也能以外部IP来访问内部服务器，因为域名始终会被解析为IP地址的，所以做个特殊的NAT就能解决问题的，方法如下图所示：