sdwan控制器需要映射哪些端口到外网上

一、先回答你的 3 个端口：19443、3500、4500 是否都要映射

1. TCP 19443（必须外网映射）
   分支 CPE 设备注册、云管理认证南向通信端口，所有分支路由器出厂默认用 19443 和控制器建立加密长连接，NAT 场景必须把公网 TCP 19443 转发到控制器内网 19443。
2. TCP 4500（必须外网映射，UDP 也要放行）
   SD-WAN 站点间 IPsec 隧道封装端口（ESP 封装 UDP4500），分支与总部建立加密业务隧道必备，TCP/UDP 4500 都要放开。
3. 3500（分场景，非分支注册端口，按需映射）
   控制器内部微服务 / 北向 API / 页面后台交互端口，分支 CPE 不会主动访问 3500；仅当第三方系统对接控制器 API、运维内网穿透远程调试时才需要映射，纯分支上线、隧道组网不用对外暴露 3500。

二、完整需要对外 NAT 映射 / 防火墙放行端口清单

1. 分支设备注册、管理控制（必映射）

2. SD-WAN 加密隧道、业务流量（必放行）

3. 辅助配套端口（按需映射，分支不访问）

1. TCP 3500：控制器北向 API、微服务通信，第三方平台对接才开；
2. UDP 123：NTP 时间同步，分支可走公网 NTP 服务器，不用映射控制器；
3. TCP 161/162 SNMP：外网监控控制器设备时放行，纯 SD-WAN 业务无关。

三、NAT 端口映射部署规范（总部出口防火墙 / 路由器）

最小必要映射（仅保证分支正常注册 + 隧道打通）

1. 公网 TCP 19443 → 控制器内网 IP:19443
2. 公网 UDP 500 → 控制器内网 IP:500
3. 公网 UDP 4500 → 控制器内网 IP:4500

额外可选映射（外网管理员登录 / 第三方对接）

1. TCP 443：外网浏览器登录控制器 Web 页面
2. TCP 22：外网 SSH 后台维护
3. TCP 3500：第三方系统调用控制器 API 接口

四、安全部署建议

1. 禁止全端口 DMZ 主机，只精准映射必要端口；
2. 19443、500、4500 建议配置源地址限制，仅允许分支公网 IP 段访问；
3. 3500、22 等管理类端口尽量不对外网暴露，内网 VPN 远程访问；
4. 所有端口仅放行入站访问，出站不做限制。

五、极简总结

1. 分支上线、隧道组网刚需：19443(TCP)、500(UDP)、4500(UDP) 必须映射外网；
2. 3500 不用默认映射，仅第三方对接 API 时才开放；
3. 443、22 仅外网运维登录控制器时按需添加映射。