AR路由器NAT之后无法访问外网FTP服务器

发布时间:  2014-09-02 浏览次数:  695 下载次数:  5
问题描述
内网用户访问外网FTP服务、总公司FTP服务时有中断现象,无法正常连接;外网用户访问内网FTP服务器时也有中断现象,无法正常连接;
告警信息
处理过程
在现网AR路由器上使能ALG功能可以使NAT设备识别被封装在报文数据部分的IP地址或端口信息,并根据映射表项进行替换,实现报文正常穿越NAT。
根因
1.查看分支A到总部FTP、互联网FTP可达性信息。经核对,ACL保护数据流、应用接口、安全策略均配置无误;Ping、Tracert目的地址均可达;
2.用抓包软件WireShark抓包发现问题:
      FTP主动模式:
当互联网FTP服务器采用主动模式时,内网Client向FTP Server发送自己的(私网)IP地址和随机端口号等待FTP Server从第二信道进行连接; 当FTP Server收到Client的Port报文后,查看Client所提供的IP地址为私网IP地址,所以在FTP Server回应的数据包中ISP路由器查看数据包目的地址不可达将报文丢弃,导致FTP业务中断;
FTP被动模式:
当内网FTP Server收到Client的报文后,在回应报文的FTP载荷中将FTP Server的私网IP地址发送给外网的客户端,外网Client收到后尝试拿FTP Server的私网IP地址进行连接,结果目的地址不可达,连接失败;


建议与总结
随着多媒体应用的逐渐广泛,在复杂网络及不同应用需求情况下基本NAT功能已经远远不能满足客户需求。本案例主要是针对用户两条外线出口,两条外网同时对外提供FTP服务,内网用户也有访问外网FTP需求时产生的问题。
一般情况下,NAT只能对IP报文头的IP地址和TCP/UDP头部的端口信息进行转换。对于一些特殊协议,例如DNS、FTP等,它们报文的数据部分可能包含IP地址或端口信息,这些内容不能被NAT有效的转换,从而无法正确完成通信。
使能ALG(Application Level Gateway)功能可以使NAT设备识别被封装在报文数据部分的IP地址或端口信息,并根据映射表项进行替换,实现报文正常穿越NAT。

END