求解：ENSP路由器配置ASPF+端口映射不成功

RyanCheng2015

以下部署配置后，PC无法通过21端口访问FTP服务器（2121端口），抓包发现Port-mapping不生效。求解。

一、组网需求

如[url=]图1[/url]所示，Router的接口Eth2/0/0连接一个高安全优先级的内部网络，接口GE3/0/0连接低安全优先级的外部网络，需要对内部网络和外部网络之间的通信实施包过滤和ASPF检查。具体要求如下：

• 外部特定主机（10.39.2.3）允许访问内部网络中的服务器。
• 其余的访问均不允许。
• 对上述访问的连接进行FTP状态检查，过滤不符合状态的报文。
• 对于外部主机访问FTP服务器的报文，识别2121端口为FTP协议。
  

图1 配置ASPF和端口映射组网图

                               
登录/注册后可看大图

二、配置思路

采用如下思路配置ASPF和端口映射：

配置安全区域和安全域间。

将接口加入安全区域。

配置ACL。

在安全域间配置基于ACL的包过滤。

在安全域间配置ASPF。

配置端口映射，将2121端口映射为FTP协议通信端口。

三、配置文件（关键部分）

<AR1>dis cu
[V200R003C00]
#
sysname AR1
#
snmp-agent local-engineid 800007DB03000000000000
snmp-agent
#
acl number 2102  
rule 5 permit source 10.38.1.2 0
#
acl number 3102  
rule 5 permit tcp source 10.39.2.3 0 destination 10.38.1.2 0
#
firewall zone trust
priority 14
#
firewall zone untrust
priority 1
#
firewall zone Local
priority 15
#
firewall interzone trust untrust
firewall enable
packet-filter 3102 inbound
detect aspf ftp
#
port-mapping ftp port 2121 acl 2102
#
interface GigabitEthernet0/0/0
ip address 10.38.1.1 255.255.255.0
zone trust
#
interface GigabitEthernet0/0/1
ip address 10.39.2.1 255.255.255.0
zone untrust
#

云中漫步

根据描述，可能是因为在Router上未配置好ASPF和端口映射导致Port-mapping不生效。因此，建议您检查Router上的ASPF和端口映射配置是否正确。

具体步骤如下：

在Router上配置ASPF，允许外部特定主机（10.39.2.3）访问内部网络中的服务器。

在Router上配置端口映射，识别2121端口为FTP协议，并对FTP状态进行检查过滤。

重启Router，重新进行测试，确保PC能够通过21端口访问FTP服务器（2121端口）。

具体配置方法可以参考Router的说明文档，或者在官网上查找相关信息。

175002346

Untrust到Trust访问，需要做NAT
interface GigabitEthernet0/0/1
ip address 10.39.2.1 255.255.255.0
nat static protocol tcp global 10.39.2.2 ftp inside 10.38.1.2 ftp
zone untrust

majorsx05751