tcp 需要映射sslvpn网关的端口
在F1000-AK9150防火墙旁挂作为SSL VPN使用时,出口防火墙需映射以下端口及协议:
1. 默认端口
TCP
443(默认SSL VPN网关端口,用于HTTPS加密通信)。
若自定义端口(如2000),需映射对应的TCP端口。
2. 特殊场景
若涉及特定应用协议(如FTP非标端口),需通过`port-mapping`命令配置TCP协议映射,确保应用识别。
案例显示,部分场景若误用TCP映射导致失败,需检查协议类型(如某案例中ACG SSL VPN需映射UDP端口,但H3C SSL VPN默认基于TCP)。
配置建议:
在SSL VPN网关配置中明确指定端口(如`sslvpn gateway gw ip address X.X.X.X port 2000`)。
出口防火墙配置NAT映射时,选择TCP协议,映射自定义或默认的SSL VPN端口(如TCP 2000或443)。
若涉及特殊应用,结合PBAR(基于端口的应用识别)确保流量正确处理。
示例命令参考:
# 映射SSL VPN网关端口(TCP 2000)
nat server protocol tcp global <公网IP> 2000
inside