如何通过会话信息判断FTP登录问题

发布时间:  2012-12-03 浏览次数:  71 下载次数:  0
问题描述
无法FTP到服务器。
告警信息
处理过程
根据故障原因排除网络或配置问题。 检查会话信息时 要查看详细信息,即使用带verbose参数的命令
display firewall session table verbose。
会话示例1:
[USG5100] display firewall session table verbose  
12:51:36  2012/12/03          
Current Total Sessions : 1            
  ftp  VPN:public --> public      
  Zone: trust--> untrust  TTL: 00:00:05  Left: 00:00:03  
  Interface: GigabitEthernet0/0/1  NextHop: 157.1.1.1  MAC: 00-80-8e-8a-94-d5
  <--packets:0 bytes:0   -->packets:3 bytes:228        
  182.168.0.3:62082+->92.18.0.1:21 

从以上会话信息中可以看到,TTL 生存周期是5秒,说明该协议交互状态处于SYN 发送状态,倒数第2行向左箭头的packets 是0,说明服务器没有响应报文发回。客户端已发出3次SYN请求,而对端没有任何响应。
此时需要检查FTP服务器是否路由可达,是否允许该源地址访问。
【技巧】当会话很多时,可以添加地址过滤条件筛选所需的会话显示。
 display firewall session table verbose destination globle 192.168.0.1 destination-port 21  
会话示例2
[USG5100] display firewall session table verbose   
12:51:36  2012/12/03      
Current Total Sessions : 1   
  ftp  VPN:public --> public        
  Zone: trust--> untrust  TTL: 00:10:00  Left: 00:08:53  
  Interface: GigabitEthernet0/0/1  NextHop: 157.1.1.1  MAC: 00-80-8e-8a-94-d5  
  <--packets:11 bytes:620   -->packets:15 bytes:678    
  182.168.0.3:62082+->92.18.0.1:21  
该TTL 是10分钟,一般TCP协议3次握手的生存周期都是10分钟,说明此TCP连接已经建立,另外 从倒数第2行的packets 统计信息可以看到收发双向都有报文往来。
会话示例3
[USG5100] display firewall session table verbose    
12:51:36  2012/12/03
Current Total Sessions : 1  
  ftp   VPN:public --> public        
  Zone: trust--> untrust  TTL: 00:00:10  Left: 00:00:09       
  Interface: GigabitEthernet0/0/0  NextHop: 157.1.1.1  MAC: 00-80-8e-8a-94-d2
  <--packets:11 bytes:620   -->packets:15 bytes:678   
  182.168.0.3:62082+->92.18.0.1:21  
该会话生存周期是10秒,注意不是10分钟,并且有双向的交互报文次数统计都不为0,说明该TCP连接已经拆链,9秒后该会话将删除。
根因
在FTP服务器的过程中 查看防火墙的会话表,根据会话表状态信息判断FTP失败的原因。
建议与总结
利用会话表中的信息排查网络问题,适用于所有有会话的协议,不仅仅是FTP协议,此处只是以FTP协议为例说明如何理解会话表的信息。

END