一、虚拟服务器配置的核心价值与适用场景

虚拟服务器（Virtual Server）是锐捷路由器实现内网服务外网访问的核心功能，通过端口映射技术将公网IP的特定端口流量转发至内网服务器。典型应用场景包括：

1. 企业应用暴露：将内网OA系统、邮件服务器或ERP系统映射至公网，实现远程办公
2. 多服务隔离：单公网IP下通过不同端口区分多个服务（如80端口映射Web，443映射HTTPS）
3. 安全防护：结合ACL策略限制访问源IP，降低直接暴露内网的风险
4. 负载均衡基础：为后续部署负载均衡器提供端口转发基础架构

二、配置前的关键准备工作

1. 网络拓扑确认

• 确保路由器WAN口已获取公网IP（静态/动态）
• 记录内网服务器的私有IP及监听端口（如Web服务默认80端口）
• 确认防火墙策略允许目标端口通信（如放行TCP 80/443）

2. 基础配置检查

# 查看接口IP状态
display interface GigabitEthernet 0/1
# 检查NAT地址池（若使用动态NAT）
display nat address-group
# 验证路由表完整性
display ip routing-table

3. 安全策略预配置

建议提前创建ACL规则限制访问源：

acl number 2000
 rule 5 permit source 203.0.113.0 0.0.0.255  # 允许特定网段
 rule 10 deny source any                       # 默认拒绝其他

三、虚拟服务器配置五步法

步骤1：进入虚拟服务器配置模式

system-view
[RG-Router] interface Virtual-Template 1  # 创建虚拟模板（部分型号需此步）
[RG-Router-Virtual-Template1] quit

步骤2：配置端口映射规则

核心命令格式：

[RG-Router] virtual-server <编号> port <外部端口> protocol <TCP/UDP>
[RG-Router-vs-编号] target <内网IP> <内部端口>
[RG-Router-vs-编号] acl <ACL编号>  # 可选：绑定访问控制列表

示例：将公网8080端口映射至内网192.168.1.100的80端口

[RG-Router] virtual-server 1 port 8080 protocol TCP
[RG-Router-vs-1] target 192.168.1.100 80
[RG-Router-vs-1] acl 2000
[RG-Router-vs-1] quit

步骤3：NAT策略关联（如需）

对于动态公网IP环境，需配置NAT易达性：

[RG-Router] nat-server protocol TCP global <公网IP> 8080 inside 192.168.1.100 80

步骤4：接口绑定与启用

[RG-Router] interface GigabitEthernet 0/0  # WAN口
[RG-Router-GigabitEthernet0/0] nat outbound virtual-server 1
[RG-Router-GigabitEthernet0/0] quit

步骤5：保存与验证

save  # 重要！防止配置丢失
display virtual-server  # 查看所有映射规则
display nat server      # 验证NAT绑定状态

四、高级配置技巧

1. 多端口映射配置

# 映射多个端口至同一服务器
[RG-Router] virtual-server 2 port 22 protocol TCP
[RG-Router-vs-2] target 192.168.1.100 22
[RG-Router-vs-2] quit
[RG-Router] virtual-server 3 port 3389 protocol TCP
[RG-Router-vs-3] target 192.168.1.100 3389

2. 健康检查机制（部分高端型号支持）

[RG-Router-vs-1] health-check type TCP
[RG-Router-vs-1] health-check interval 30
[RG-Router-vs-1] health-check fail-times 3

3. 日志与监控配置

# 开启虚拟服务器日志
[RG-Router] info-center enable
[RG-Router] info-center loghost 192.168.1.200
[RG-Router] info-center source Virtual-Server module VirtualServer level informational

五、常见问题解决方案

问题1：端口映射不生效

排查步骤：

1. 确认公网IP可访问：telnet <公网IP> <外部端口>
2. 检查内网服务监听状态：display tcp status | include 192.168.1.100
3. 验证NAT转换：display nat session verbose

问题2：间歇性连接中断

优化方案：

• 调整TCP超时时间：

  [RG-Router] virtual-server 1 tcp-timeout 3600  # 延长至1小时

• 启用TCP Keepalive：

  [RG-Router-vs-1] keepalive enable

问题3：多线负载均衡配置

混合接入示例：

# 配置多WAN口策略路由
[RG-Router] policy-based-route PBR permit node 10
[RG-Router-pbr-10] if-match acl 2001
[RG-Router-pbr-10] apply output-interface GigabitEthernet 0/1
[RG-Router-pbr-10] quit
# 绑定虚拟服务器至策略路由
[RG-Router-vs-1] policy-based-route PBR

六、最佳实践建议

1. 端口规划：避免使用知名端口（如80/443）映射非Web服务，防止冲突
2. 安全加固：
   • 定期更换管理密码（local-user admin password cipher NewPass123!）
   • 限制SSH访问源（user-interface vty 0 4 acl 2000）
3. 性能优化：
   • 启用硬件加速（hw-offload enable）
   • 调整连接数限制（sysname RG-Router; firewall session link-state check）
4. 备份方案：
   • 配置双机热备（VRRP协议）
   • 定期导出配置（display current-configuration > flash:/config.bak）

通过系统化的配置流程与精细化调优，锐捷路由器的虚拟服务器功能可满足从中小企业到大型园区的多样化需求。建议结合实际网络环境进行压力测试，持续优化参数设置。