两三年年前碰到的一个nat和ftp的问题

sfpxfpcfp

问题描述：前两年帮一个小公司处理网络问题，大概只有十几个人的规模吧。问题很简单，就是内网用户都无法从外网FTP下载。网络很简单。交换机是H3C的二层交换机。路由器用的是傻瓜式的tplink。
问题解决过程：先做测试，直接使用用户的公网地址访问外网ftp站点，可以下载。在内网里面则不行，在自己公司内网测试，可以下载。当时不知道问题出在哪里。

回去之后查阅资料发现了原因：
Ftp分为主动模式和被动模式两种：在主动模式下，客户端将自己准备打开的端口报告给服务器，由服务器连接客户端的这个端口，然而这个端口的信息和客户端IP地址一起封装在应用层，FTP服务器访问客户端的时候，直接从应用层读取客户端的IP和端口信息作为IP和TCP的目的地址封装。而我们知道，应用层里面的这个IP和接口地址是经过nat之前的地址。是一个私有地址，是没办法在公网上路由的。所以需要nat智能地转换应用层的IP和端口地址。而tplink显然没有这个功能。
了解了这个问题之后，第二天过去和客户把问题进行了解释，用户最终决定更换路由器，问题解决。

总结：有些问题似乎一时之间根本看不出原因，这就需要我们有丰富的知识储备和经验了。如果基础扎实了，那解决问题就会少走很多弯路。

dingjerry

看了LZ的帖子，我只想说一句很好很强大！