【经典案例】RSR77XA路由器主动模式FTP ALG业务访问异常

发布时间：2024-06-12

点击量：0

关键字

12.x、NAT、FTP ALG

一、故障现象描述

在配置RSR77-XA-03路由器上配置NAT做源地址转换；主动模式下流量访问FTP服务器出现异常，导致FTP服务器无法访问。
通过现场查看NAT转换记录流量有命中NAT转换，但是在服务端抓包发现报文中的源地址未被转换；造成FTP业务上传异常。

二、故障排查分析

如上图所示：
在跨卡情况下，FTP客户端使用主动模式，并且流量跨卡访问服务器，做源地址转换。当设备收到PORT信息时，正常既要转换报文IP头的源IP，也要转换数据内容中的地址信息，即要将(144.x.x.81:n)转换成(42.x.x.149:n)，以方便服务器数据通道连接时目的地址使用42.x.x.149。

当前问题：
FTP报文的识别是在路由前的业务，即在slot1卡上处理的；当流量跨卡到slot 2上，没有做报文识别处理导致没有识别成FTP报文，最后按照报文加速处理直接转换报文头以后就转发了，没有修改内层地址信息，FTP服务器建立数据流时按照目的为144.x.x.81连接这个IP在FTP服务器没有路由，导致连接失败。

被动模式是因为Passive指令由服务器发给客户端，携带的信息为（42.x.x.149：n），客户端收到该消息以后对目的为42.x.x.149：n的数据通道发起连接，该流在NAT设备上能正常做源地址转换所以功能正常。