百事注册-测速线路由于他在电话里面说是防火墙，所以我的第一反应就是没有写相应的安全策略，因为防火墙不同于路由器，没有对应的安全策略的允许，端口映射是不可能生效的。

　　那我所怀疑的立刻就被排除掉了，于是问他：“你确认你配置的端口映射是正确的吗？”

　　对方急切的回复：“大哥，我是复制的啊，你之前帮我做的远程桌面端口的映射，我是复制你的策略，就修改一下外部端口，内部IP和端口，难道你怀疑我连这个都不会吗？”

　　对方：“有匹配到，测试一次匹配一次，但是无论是SSH，还是telnet检测端口，都是提示无法连接。”

　　指定的IP地址是内网核心交换机的IP，22端口无疑就是SSH端口，不会有问题。

　　按理说，勾选了“放通上述条件的数据，不受应用控制策略限制”，是不会有问题的。

　　远程登录他的防火墙，抱着试试看的心态，配置了一条安全策略，可想而知，完全没用，我还是无法在外部通过SSH管理他的交换机。

　　“还有一种可能，就是你有2条链路，所以需要源进源出，才能实现端口映射。”

　　对方：“可是那台服务器，为什么就能在外部远程桌面呢？也没配置过源进源出啊。”

　　我：“呵呵，我已经看到策略路由的配置了，默认上网是走普通的拨号宽带，服务器是走专线出去的，所以这就已经是源进源出了，那配置远程桌面的端口映射，当然不会有问题了。而你的交换机管理VLAN，默认就不会走专线，进出不匹配，难怪不行啊。”

　　我：“现在就简单啦，在专线的那条策略路由里面，添上核心交换机的VLAN IP就行了，哈哈。”

　　他又问：“为什么以前用爱快路由器，三四条链路，也不用配置源进源出，端口映射照样生效呢？”

　　我：“你不配置，并不代表配置真的不存在，只是设备比较智能，自动为你配置上了而已！”

　　总结：端口映射失败，有时候并不是端口映射本身的问题，反复调整策略显然是不会有用的，具体问题还得具体分析，源进源出也是网工基础，老生常谈了，完全没想到，实属不该啊。