AR路由器(qì)NAT之後無法訪問外網FTP服務器(qì)
2014/10/17 15:25:30點擊:
問題描述
內(nèi)網用戶訪問外網FTP服務、總公司FTP服務時(shí)有(yǒu)中斷現象,無法正常連接;外網用戶訪問內(nèi)網FTP服務器(qì)時(shí)也有(yǒu)中斷現象,無法正常連接;
告警信息
無
處理(lǐ)過程
在現網AR路由器(qì)上(shàng)使能ALG功能可(kě)以使NAT設備識别被封裝在報文數(shù)據部分的IP地址或端口信息,并根據映射表項進行(xíng)替換,實現報文正常穿越NAT。
根因
1.查看分支A到總部FTP、互聯網FTP可(kě)達性信息。經核對,ACL保護數(shù)據流、應用接口、安全策略均配置無誤;Ping、Tracert目的地址均可(kě)達;
2.用抓包軟件WireShark抓包發現問題:
FTP主動模式:
當互聯網FTP服務器(qì)采用主動模式時(shí),內(nèi)網Client向FTP Server發送自己的(私網)IP地址和(hé)随機端口号等待FTP Server從第二信道(dào)進行(xíng)連接; 當FTP Server收到Client的Port報文後,查看Client所提供的IP地址為私網IP地址,所以在FTP Server回應的數(shù)據包中ISP路由器(qì)查看數(shù)據包目的地址不可(kě)達将報文丢棄,導緻FTP業務中斷;
FTP被動模式:
當內(nèi)網FTP Server收到Client的報文後,在回應報文的FTP載荷中将FTP Server的私網IP地址發送給外網的客戶端,外網Client收到後嘗試拿(ná)FTP Server的私網IP地址進行(xíng)連接,結果目的地址不可(kě)達,連接失敗;
2.用抓包軟件WireShark抓包發現問題:
FTP主動模式:
當互聯網FTP服務器(qì)采用主動模式時(shí),內(nèi)網Client向FTP Server發送自己的(私網)IP地址和(hé)随機端口号等待FTP Server從第二信道(dào)進行(xíng)連接; 當FTP Server收到Client的Port報文後,查看Client所提供的IP地址為私網IP地址,所以在FTP Server回應的數(shù)據包中ISP路由器(qì)查看數(shù)據包目的地址不可(kě)達将報文丢棄,導緻FTP業務中斷;
FTP被動模式:
當內(nèi)網FTP Server收到Client的報文後,在回應報文的FTP載荷中将FTP Server的私網IP地址發送給外網的客戶端,外網Client收到後嘗試拿(ná)FTP Server的私網IP地址進行(xíng)連接,結果目的地址不可(kě)達,連接失敗;
建議與總結
随着多(duō)媒體(tǐ)應用的逐漸廣泛,在複雜網絡及不同應用需求情況下基本NAT功能已經遠遠不能滿足客戶需求。本案例主要是針對用戶兩條外線出口,兩條外網同時(shí)對外提供FTP服務,內(nèi)網用戶也有(yǒu)訪問外網FTP需求時(shí)産生(shēng)的問題。
一般情況下,NAT隻能對IP報文頭的IP地址和(hé)TCP/UDP頭部的端口信息進行(xíng)轉換。對于一些(xiē)特殊協議,例如DNS、FTP等,它們報文的數(shù)據部分可(kě)能包含IP地址或端口信息,這些(xiē)內(nèi)容不能被NAT有(yǒu)效的轉換,從而無法正确完成通(tōng)信。
使能ALG(Application Level Gateway)功能可(kě)以使NAT設備識别被封裝在報文數(shù)據部分的IP地址或端口信息,并根據映射表項進行(xíng)替換,實現報文正常穿越NAT。
一般情況下,NAT隻能對IP報文頭的IP地址和(hé)TCP/UDP頭部的端口信息進行(xíng)轉換。對于一些(xiē)特殊協議,例如DNS、FTP等,它們報文的數(shù)據部分可(kě)能包含IP地址或端口信息,這些(xiē)內(nèi)容不能被NAT有(yǒu)效的轉換,從而無法正确完成通(tōng)信。
使能ALG(Application Level Gateway)功能可(kě)以使NAT設備識别被封裝在報文數(shù)據部分的IP地址或端口信息,并根據映射表項進行(xíng)替換,實現報文正常穿越NAT。
- 上(shàng)一篇:愛(ài)立信收購數(shù)據中心服務公司Sentilla 2014/10/17
- 下一篇:AC6605升級過程中報錯問題 2014/10/17