NE40E设备做FTP server时从客户端FTP下载文件不成功

发布时间:  2014-07-09 浏览次数:  107 下载次数:  0
问题描述

NE40E-X16设备作为FTP server,从下挂FTP客户端通过FTP方式登录设备下载文件失败,使用命令get日志文件时,提示错误码425 Can't open data connection

处理过程

1、打开debug开关, 查看详细报文交互发现报文没有建立端口号为20的数据连接,仅建立了端口号为21的控制连接。

debugging tcp packet dest-port 21

debugging tcp packet dest-port 20

debugging tcp packet src-port 21

debugging tcp packet src-port 20

debugging ftp-server

通过debug报文确定ftp客户端的ip地址

 

 Jun 18 2014 09:00:54.200.1+01:00 XXX SOCKET/7/TCP PACKET:
TCP debug packet information:
1403082054: Output: task = FC0 (155), socketid = 20,
(State:Established,src = a.a.a.63:21,dst = b.b.b.229:64714,VrfIndex = 9,seq = 1877668470,
ack = 3743043609,datalen = 0,optlen = 0,flag =  ACK ,window = 8192,ttl = 255,tos = 0,MSS = 1364)

Jun 18 2014 09:00:54.200.2+01:00 XXX SOCKET/7/TCP PACKET:
TCP debug packet information:
1403082054: Input: task = FC0 (155), socketid = 20,
(State:Established,src = b.b.b.229:64714,dst = a.a.a.63:21,VrfIndex = 9,seq = 3743043609,
ack = 1877668471,datalen = 0,optlen = 0,flag =  ACK ,window = 7937,ttl = 0,tos = 0,MSS = 1364)

可以发现FTP客户端的IP是b.b.b.229,FTP server的地址是a.a.a.63

2、客户端访问的ftp server地址是a.a.a.63,对应的接口及配置如下:
interface LoopBack1
description for router dms management
ip binding vpn-instance
vpn1
ip address a.a.a.63 255.255.255.255


3、在设备上查看到FTP客户端的路由,出接口是GigabitEthernetX/X/X.1

<R1-IB-A-ETNE40E-X16>dis ip routing-table vpn vpn1  b.b.b.229
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Table : vpn1
Summary Count : 1
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

   b.b.b.224/27  BGP     255  0           D   b.b.b.225    GigabitEthernetX/X/X.1


而路由出接口对应配置如下:

interface GigabitEthernetX/X/X.1
vlan-type dot1q 400
ip binding vpn-instance vpn2
ip address b.b.b.225 255.255.255.224
vrrp vrid 40 virtual-ip b.b.b.227
vrrp vrid 40 priority 110
vrrp vrid 40 preempt-mode timer delay 1
traffic-policy txu2000 inbound
trust upstream default
statistic enable


此接口下绑定vpn2

查看设备配置发现vpn1与vpn2之间通过vpn-target进行路由交叉,学习彼此的私网路由

4、经过确认对于这种vpn交叉的场景下不支持进行ftp访问


根因
目前版本VPN交叉场景下不支持FTP访问
解决方案
可以采用如下两种方案:

1、更改FTP客户端接入接口使得FTP客户端接入接口绑定的vpn与FTP server地址绑定的vpn相同

2、更改FTP客户端访问的server地址,采用接入接口的ip地址作为FTP server的地址,即采用ftp b.b.b.225
建议与总结
1、

END