AR 配置 NAT server 后FTP业务不通

发布时间:  2015-11-18 浏览次数:  300 下载次数:  0
问题描述

配置NAT server后,将内网FTP服务器端口映射为8000,公网用户不能访问内网服务器,配置port-mapping,8000端口报文上送alg后,FTP服务器能正常访问。

配置如下:

#                                                                              

nat alg ftp enable

 #                                                                             

 acl number 2000                                                               

 rule 5 permit source 192.168.0.0 0.0.0.255                                    

 #                                                      

                                                                        

 interface GigabitEthernet2/0/0                                                

 ip address 10.10.10.2 255.255.255.0                                          

 nat server protocol tcp  current-interface ftp inside 192.168.0.100 8000  

 nat server protocol udp current-interface ftp inside 192.168.0.100 8000 

 nat outbound 2000                                                             

 #  

外网访问ftp服务器,提示连接超时。

告警信息

处理过程

在AR路由器WAN口上抓包发现,FTP建立连接时在控制报文中FTP Server向互联网客户端提供的为私网IP地址。

根因

主要原因在于AR路由器默认监控的是20、21两个通信端口。当FTP更改了通信端口之后,AR无法正常监控到,导致后续Data报文中的协商数据通道的服务器端IP地址依旧为私网地址,导致客户端无法路由私网地址造成业务中断。

所以在实践中如果FTP这种协议更改了端口号之后,一定要通过Port-Mapping方式监控新的端口号码才能正常使用。

解决方案

[huawe] acl 2005

 [huawe-acl-basic-2005]rule permit

 [huawe-acl-basic-2005]quit

 [huawe] port-mapping ftp  port 8000 acl 2005

建议与总结

使能FTP服务NAT ALG后,如果内网有FTP 服务器,并做了端口映射,需要进行映射后端口的port-mapping ,业务才能正常使用。

END