简介

端口映射就是将外网主机的IP地址的一个端口映射到内网中一台机器，提供相应的服务。当用户访问该IP的这个端口时，服务器自动将请求映射到对应局域网内部的机器上。端口映射有动态和静态之分。[1]

通俗来讲，端口映射是将一台主机的内网(LAN)IP地址映射成一个公网(WAN)IP地址，当用户访问提供映射端口主机的某个端口时，服务器将请求转移到本地局域网内部提供这种特定服务的主机；利用端口映射功能还可以将一台外网IP地址机器的多个端口映射到内网不同机器上的不同端口。 端口映射功能还可以完成一些特定代理功能，比如代理POP，SMTP，TELNET等协议。理论上可以提供65535(总端口数)-1024(保留端口数)=64511个端口的映射。[1]

举例说明如何设置端口映射：例如要映射一台IP地址为192.168.111.10的WEB服务器，只需把服务器的IP地址192.168.111.10和提供web服务的TCP端口80填入到路由器的端口映射表中即可。[1]

功能

端口映射（Port Mapping）：

很多客户每天都问为什么要端口映射？例如:通过路由器上网的，网站自己可以访问，但是别人就不能；输入127.0.0.1可以访问，别人还是看不到；输入localhost可以看到，但是别人就是看不到，气人啊～没办法，只有进行端口映射了[1]

（路由器端口映射--本教程适合所有Tplink-TLR-402系列路由器下架设的网站服务器、邮件服务器、私服服务器、监控服务器、远程服务器、管家婆金蝶等财务管理服务器、VPN、ERP、ftp服务器等等的端口映射方法）[1]

端口映射过程就如同：举个例子，你家在某一小区一号楼，你的朋友来找你，找到小区门口，不知道你住在几层，然后问保安，保安查到你的名字然后告诉你在几楼，所以你的朋友很轻松的找到了你的家，在这个过程中，保安通过业主的名字查到业主的门牌号这就是一种映射关系。[1]

术语

专业术语。

在网络技术中，端口（英文Port）有好几种意思。集线器、交换机、路由器的端口指的是连接其他网络设备的接口，如RJ-45端口、Serial端口等。[1]

我们这里所说的端口，不是计算机硬件的I/O进出端口，而是软件形式上的概念。[1]

服务器可以向外提供多种服务，比如，一台服务器可以同时是WEB服务器，也可以是FTP服务器，同时，它也可以是邮件服务器。[1]

为什么一台服务器可以同时提供那么多的服务呢？其中一个很主要的方面，就是各种服务采用不同的端口分别提供不同的服务，比如：WEB采用80端口，FTP采用21端口等。这样，通过不同端口，计算机与外界进行互不干扰的通信。我们这里所指的端口不是指物理意义上的端口，而是特指TCP/IP协议中的端口，是逻辑意义上的端口。[1]

分类

内网的一台电脑要上因特网对外开放服务或接收数据，都需要端口映射。[1]

端口映射分为动态和静态。动态端口映射：内网中的一台电脑要访问网站，会向NAT网关发送数据包，包头中包括对方网站IP、端口和本机IP、端口，NAT网关会把本机IP、端口替换成自己的公网IP、一个未使用的端口，并且会记下这个映射关系，为以后转发数据包使用。然后再把数据发给网站，网站收到数据后做出反应，发送数据到NAT网关的那个未使用的端口，然后NAT网关将数据转发给内网中的那台电脑，实现内网和公网的通讯.当连接关闭时，NAT网关会释放分配给这条连接的端口，以便以后的连接可以继续使用。[1]

动态端口映射其实也就是NAT网关的工作方式。[1]

静态端口映射:：就是在NAT网关上开放一个固定的端口，然后设定此端口收到的数据要转发给内网哪个IP和端口，不管有没有连接，这个映射关系都会一直存在。就可以让公网主动访问内网的一台电脑。[1]

应用

首先，我们将vidcs.exe传到公网IP上，在公网计算机上运行vidcs –p端口，如vidcs –p5205。[1]

这句话的意思是在公网计算机上监听端口 5205 然后回到内网计算机上，直接点击运行vIDCs.exe[1]

解释一下上面的设置、 VIDC服务IP，指运行了vidcs.exe进行监听了端口的IP地址，端口指是在公网上监听的端口，上面我监听的是5205端口，bindip指你要开放出去的内网的IP， Bind端口指你内网计算机需要开放的端口(FTP服务器端口为21， WEB 服务端口为80， mail服务端口25)你想开放哪个就填哪个吧。[1]

映射端口指你想通过公网哪个端口提供服务。端口由你定，填好之后我们点“连接”，马上就到收到提示Success to Connect(210.210.21.21、5205,ver、1.2)，说明连接成功。继续点”bind”，同样会收到成功的提示。

这样，你的机子的80端口就开放出去了。 访问方法 http：//公网ip:映射端口。[1]

如 http://210.210.210.210:808

WinRoute Pro端口

WinRoute Pro是一个工作于NAT(网络地址翻译)方式的Internet共享软件。它本身自带了端口映射功能。

运行WinRoute Administration并登录，在主菜单上选择“Settings→ Advanced→Port Mapping”，出现端口映射的设置界面。端口映射条目的添加。 可以设置的选项包括协议、监听端口、端口类型(单一端口还是某个范围的连续端口)、目的主机、目的端口等。[1]

路由器端口

在企业路由应用技术中，很多企业常常要用到端口映射来完成，路由器基本上都己经支持了端口映射，我们用TP路由器来举例如何使用端口映射功能，进入TPlink路由器，因为端口映射就是转发，所以我们来到转发规则里面来设置，选择特殊应用程序，添加新条目，触发端口输入你要转发的端口，比如我需要映射21端口，那么我就填写21，触发协议不要修改，ALL代表支持所有协议，开放端口同样输入我们需要转发的端口，填写21，开放协议同样不需要修改，选择ALL，状态选择生效，然后保存，到这里端口映射规则就全部添加完成了，下面就己经生效了。[1]

防火墙端口

一、思科防火墙接口的基本配置：

　　enable

　　conf t

　　interface GigabitEthernet0/0

　　nameif outside

　　security-level 0

　　ip address 222.100.102.110 255.255.255.240

　　exit

　　interface GigabitEthernet0/1

　　nameif inside

　　security-level 100

　　ip address 10.36.50.97 255.255.255.224

　　exit

　　access-list outside-acl line 1 extended permit icmp any any

　　access-list inside-acl line 1 extended permit icmp any any

　　access-group outside-acl in interface outside

　　access-group inside-acl in interface inside

　　route outside 0.0.0.0 0.0.0.0 222.100.102.97 1 //静态路由[1]

二、地址映射及端口映射：

　　global (outside) 1 interface //global命令关键词与nat结合使用，表示nat列表中的出口地址为global语句中的outside接口地址

　　nat (inside) 1 10.36.50.100 255.255.255.255 //此命令表示内网地址10.36.50.100通过outside接口地址222.100.102.110访问外部网络

　　access-list inside-acl line 1 extended permit tcp host 10.36.50.100 any eq 80 //开启10.36.50.100访问外部www的权限

　　access-list inside-acl line 1 extended permit tcp host 10.36.50.100 any eq 443 //开启10.36.50.100访问外部https的权限

　　以下是端口映射，利用outside接口地址222.100.102.110的端口代表内网地址10.36.50.99的端口，命令行中外部地址的端口与内

　　部地址的端口可以不相同：

　　　static (inside,outside) tcp interface 80 10.36.50.99 80 netmask 255.255.255.255

　　static (inside,outside) tcp interface 443 10.36.50.99 443 netmask 255.255.255.255

　　static (inside,outside) tcp interface 5800 10.36.50.99 5800 netmask 255.255.255.255

　　static (inside,outside) tcp interface 5900 10.36.50.99 5900 netmask 255.255.255.255

　　由于使用了访问控制列表，所以要写入以下表项开启权限，使外部网络可以访问内部端口(只开通了外部访问内部)：

　　access-list outside-acl line 1 extended permit tcp any host 222.100.102.110 eq 5900

　　access-list outside-acl line 1 extended permit tcp any host 222.100.102.110 eq 5800

　　access-list outside-acl line 1 extended permit tcp any host 222.100.102.110 eq 443

　　access-list outside-acl line 1 extended permit tcp any host 222.100.102.110 eq 80

　　说明：此例映射了内部端口80,443,5800,5900。

　　以下是静态地址映射及开通访问列表(只开通了外部访问内部)：

　　static (inside,outside) 222.100.102.98 10.36.50.98 netmask 255.255.255.255

access-list outside-acl line 1 extended permit tcp any host 222.100.102.98 eq 5900

　　access-list outside-acl line 1 extended permit tcp any host 222.100.102.98 eq 5800

　　access-list outside-acl line 1 extended permit tcp any host 222.100.102.98 eq 443

　　access-list outside-acl line 1 extended permit tcp any host 222.100.102.98 eq 80