管理Windows VPS服务器时，经常会遇见服务器上运行了一个服务，它监听在内部的某个端口，但你需要让公网的用户能够访问到这个服务。这时，端口映射就成了关键的桥梁。它将外部网络对服务器公网IP某个端口的访问，精准地转发到内部网络特定机器的特定端口上。在Windows环境中，我们无需借助第三方软件，直接使用系统自带的CMD命令行工具，就能完成这项任务。

实现端口映射的核心命令是 `netsh`，这是Windows系统提供的强大网络配置工具。使用它，你可以在不同网络接口和地址之间创建转发规则。在开始操作前，需要明确几个关键信息：你服务器的公网IP地址（或使用“任何”地址）、外部用户访问的端口、内部服务的实际IP地址（如果服务就在本机，通常是127.0.0.1）以及它监听的内部端口。

首先，你需要以管理员身份运行命令提示符（CMD）或Windows PowerShell，这是所有后续操作的基础。接下来，我们聚焦于最常见的场景：将公网端口转发到本机的另一个端口。假设你的VPS公网IP是 `203.0.113.1`，你想让用户访问公网 `8080` 端口的流量，全部转发到本机 `80` 端口上运行的Web服务。使用的命令格式如下：

netsh interface portproxy add v4tov4 listenaddress=203.0.113.1 listenport=8080 connectaddress=127.0.0.1 connectport=80

这条命令分解来看，`add v4tov4` 表示添加一个IPv4到IPv4的映射规则。`listenaddress` 指定监听哪个外部地址的请求，这里填服务器的公网IP；`listenport` 是外部用户访问的端口。`connectaddress` 指定将请求转发到哪个内部地址，本机填127.0.0.1；`connectport` 是内部服务实际监听的端口。执行成功后，任何访问 `http://203.0.113.1:8080` 的请求，都会被无缝转发到本机的80端口。

如果服务器有多个公网IP，或者你希望监听所有网络接口上的连接，可以将 `listenaddress` 设置为 `0.0.0.0`。这是一个通配地址，表示监听服务器上所有可用的网络接口。命令会变成：

netsh interface portproxy add v4tov4 listenaddress=0.0.0.0 listenport=8080 connectaddress=127.0.0.1 connectport=80

有时，内部服务运行在局域网的另一台机器上。假设内网中有一台IP为 `192.168.1.100` 的机器，上面运行着远程桌面服务，默认端口是3389。你希望公网用户通过服务器公网IP的 `33389` 端口来访问它。命令就需要调整为：

netsh interface portproxy add v4tov4 listenaddress=0.0.0.0 listenport=33389 connectaddress=192.168.1.100 connectport=3389

完成映射规则的添加后，如何确认它是否生效呢？你可以使用查看命令来列出所有已配置的端口代理规则：

netsh interface portproxy show all

这个命令会输出一个清晰的列表，展示所有正在监听的地址和端口，以及它们对应的转发目标，方便你进行核对和管理。当你需要修改或删除某条规则时，先使用查看命令确认规则的具体参数，然后使用删除命令。例如，要删除之前创建的监听8080端口的规则：

netsh interface portproxy delete v4tov4 listenaddress=203.0.113.1 listenport=8080

配置好端口映射只是第一步，Windows防火墙是影响连接成功的关键因素。默认情况下，Windows防火墙会阻止未经授权的入站连接。你必须手动在防火墙中为你在 `listenport` 上指定的端口创建入站规则，允许外部流量进入。可以通过“高级安全Windows防火墙”图形界面添加，也可以使用命令行创建。例如，允许TCP端口8080的入站连接：

netsh advfirewall firewall add rule name="Open Port 8080" dir=in action=allow protocol=TCP localport=8080

使用 `netsh interface portproxy` 配置的映射是即时生效的，但请注意，这些规则在服务器重启后不会自动保存。它们存储在内存中，系统重启后会丢失。若要创建永久性规则，一种方法是将上述命令写入一个批处理文件（.bat），并将其放入系统的启动文件夹，或者通过计划任务设置为开机时自动运行。另一种更现代和推荐的方法是，考虑将需要长期稳定运行的端口映射服务，改用Windows Server中内置的“路由和远程访问服务”来配置，它提供了更持久和可管理的解决方案。

对于更复杂的网络场景，例如需要将流量从一个网络接口转发到另一个完全不同的网络接口，或者处理UDP协议转发，`netsh` 的 `portproxy` 功能有时会显得力不从心。这时，你可以探索 `netsh` 中更底层的 `interface ipv4` 子命令来设置静态路由，或者评估是否需要在网络路由器层面进行配置。对于需要高性能、高稳定性的生产环境，尤其是UDP转发（常用于游戏服务器、视频流等），使用专业的第三方端口转发软件（如rinetd的Windows端口）或直接配置硬件防火墙/路由器，往往是更可靠的选择。

总之，在Windows VPS服务器上使用CMD进行端口映射，是一项强大而灵活的技能。它让你能够快速构建临时的访问通道，进行服务测试和远程调试。关键在于理解 `netsh interface portproxy` 命令的基本结构，并牢记配套的防火墙配置。