利用路由器静态PAT访问FTP
　作者: 佚名　编辑:
　　【IT168技术】这是一个通过路由器的静态PAT来访问FTP服务器(Server)的测试，把最常见的两种FTP模式(主动模式和被动模式)都要做一遍。可以深入理解日常ftp操作的方法，对处理组网中的传输故障也很有帮助。　　1.本方法是在cisco模拟器上完成的，测试的拓扑图很简单就不画出来了，路由器R2(作为ftp客户端)连接路由器R1，再连接一个FTP服务器，其ip地址和端口配置如下：　　R2 (FTP Client 202.100.1.2/24)-------------------(202.100.1.2/24) R1 (10.1.1.1/24)---------------------(10.1.1.18/24)FTP Server　　参考链接：http://www.zhangdaqian.net/blog/atpat 中对于ftp的处理，以及pat后的非标准21-ftp端口设置.htm　　2.测试目标：　　通过测试，理解FTP的两种模式：被动模式,主动模式　　A.被动模式：　　command :Client (源端口&tcp 1024) ------&FTP Server (目标端口tcp 21)　　data:Client (目标端口&tcp 1024) ------ & FTP Server (源端口&tcp 1024)　　B.主动模式：　　command :Client (源端口&tcp 1024) ------&FTP Server (目标端口tcp 21)　　data:Client (目标端口&tcp 1024) &------ FTP Server (源端口tcp 20)　　3.基本配置：　　R1：　　config t　　interface Ethernet0/0　　ip address 202.100.1.1 255.255.255.0　　no shutdown　　interface Ethernet0/1　　ip address 10.1.1.1 255.255.255.0　　no shutdown　　R2：　　config t　　interface Ethernet0/0　　ip address 202.100.1.2 255.255.255.0　　no shutdown　　FTP服务器：　　IP:10.1.1.18/25　　GW:10.1.1.1　　4.R1路由器PAT配置：　　A.先只配置静态PAT　　config t　　interface Ethernet0/0　　ip nat outside　　interface Ethernet0/1　　ip nat inside　　ip nat inside source static tcp 10.1.1.18 21 interface e0/0 21　　B.查看静态PAT设置　　R1#show ip nat translations　　Pro Inside global Inside local Outside local Outside global　　tcp 202.100.1.1:21 10.1.1.18:21 --- ---　　5.FTP访问测试：　　①FTP被动模式测试　　A.R2作为FTP客户端配置FTP客户端为被动模式：　　config t　　ip ftp passive　　----备注：思科路由器默认采用的是被动模式，可以不用敲　　B.R2作为FTP客户端配置FTP用户名密码：　　config t　　ip ftp username xll　　ip ftp password 1234qwer　　B.R2作为客户端可以成功拷贝文件：　　R2#copy ftp://202.100.1.1 flash:　　Address or name of remote host [202.100.1.1]?　　Source filename [watch.sh]?　　Destination filename [watch.sh]?　　%Warning:There is a file already existing with this name　　Do you want to over write? [confirm]　　Accessing ftp://202.100.1.1/watch.sh...　　Erase flash: before copying? [confirm]　　Erasing the flash filesystem will remove all files! Continue? [confirm]　　Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ...erased　　Erase of flash: complete　　Loading watch.sh !　　[OK - 986/4096 bytes]　　Verifying checksum... OK (0xE972)　　986 bytes copied in 7.492 secs (132 bytes/sec)　　C.在文件拷贝过程中，在R1查看NAT转换：　　R1#show ip nat translations　　Pro Inside global Inside local Outside local Outside global　　tcp 202.100.1.1:21 10.1.1.18:21 202.100.1.2:0.1.2:30662　　tcp 202.100.1.1:21 10.1.1.18:21 202.100.1.2:0.1.2:35984　　tcp 202.100.1.1:21 10.1.1.18:21 202.100.1.2:0.1.2:46087　　tcp 202.100.1.1:21 10.1.1.18:21 202.100.1.2:0.1.2:48529　　tcp 202.100.1.1:21 10.1.1.18:21 --- ---　　tcp 202.100.1.1:.1.18:.1.2:0.1.2:28656　　tcp 202.100.1.1:.1.18:.1.2:0.1.2:30584　　tcp 202.100.1.1:.1.18:.1.2:0.1.2:48461　　-----可出看出：在对外映射的时侯采用了21端口，IOS会自动识别这个端口是FTP控制口，　　从而去检查里面FTP数据控制数据发现服务器告诉客户端的这个用于传送数据的端口，然后自动的添加映射。　　②FTP主动模式测试　　A.R2作为FTP客户端配置FTP客户端为主动模式：　　config t　　no ip ftp passive　　B.R2作为FTP客户端配置FTP用户名密码：　　--同上步　　B.R2作为客户端可以成功拷贝文件,　　R2#debug ip ftp　　*Mar 1 01:00:05.831: %SYS-5-CONFIG_I: Configured from console by console　　R2#copy ftp://202.100.1.1 flash:　　Address or name of remote host [202.100.1.1]?　　Source filename [watch.sh]?　　Destination filename [watch.sh]?　　%Warning:There is a file already existing with this name　　Do you want to over write? [confirm]　　Accessing ftp://202.100.1.1/watch.sh...　　*Mar 1 01:00:14.627: FTP: 220 3Com 3CDaemon FTP Server Version 2.0　　*Mar 1 01:00:14.627: FTP: ---& USER xll　　*Mar 1 01:00:15.211: FTP: 331 User name ok, need password　　*Mar 1 01:00:15.215: FTP: ---& PASS 1234qwer　　*Mar 1 01:00:15.759: FTP: 230 User logged in　　*Mar 1 01:00:15.759: FTP: ---& TYPE I　　*Mar 1 01:00:16.211: FTP: 200 Type set to I.　　*Mar 1 01:00:16.211: FTP: ---& PORT 202,100,1,2,68,45　　*Mar 1 01:00:16.759: FTP: 200 PORT command successful.　　*Mar 1 01:00:16.763: FTP: ---& RETR watch.sh　　*Mar 1 01:00:17.183: FTP: 150 File status OK ; about to open data connection　　----可以看出停在了数据连接状态，如果这时配合用wireshark抓包的话，可以看到源地址为10.1.1.18，源端口为tcp 20的包到达了R2,　　因为R2无法连接10.1.1.18(没有路由)，所有数据通讯端口无法建立　　---下面是在R2上提前开启debug的抓包情况　　R2#debug ip tcp packet port 20　　R2#　　*Mar 1 00:25:18.959: %SYS-5-CONFIG_I: Configured from console by vty1 (202.100.1.1)　　R2#　　*Mar 1 00:25:39.103: tcp0: I LISTEN 10.1.1.18:20 202.100.1.2:25901 seq 　　OPTS 24 SYN WIN 65535　　R2#　　*Mar 1 00:25:42.131: tcp0: I LISTEN 10.1.1.18:20 202.100.1.2:25901 seq 　　OPTS 24 SYN WIN 65535　　R2#　　*Mar 1 00:25:48.151: tcp0: I LISTEN 10.1.1.18:20 202.100.1.2:25901 seq 　　OPTS 24 SYN WIN 65535　　---这时console口已经死掉，只能重启路由器　　C.R1配置动态PAT　　configure t　　access-list 10 permit 10.1.1.0 0.0.0.255　　ip nat inside source list 10 interface ethernet 0/0 overload　　D.再次拷贝文件，可以成功　　R2#copy ftp://202.100.1.1 flash:　　Source filename []? watch.sh　　Destination filename [watch.sh]?　　%Warning:There is a file already existing with this name　　Do you want to over write? [confirm]　　Accessing ftp://202.100.1.1/watch.sh...　　Erase flash: before copying? [confirm]　　Erasing the flash filesystem will remove all files! Continue? [confirm]　　Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ...erased　　Erase of flash: complete　　Loading watch.sh !　　[OK - 986/4096 bytes]　　Verifying checksum... OK (0xE972)　　986 bytes copied in 7.704 secs (128 bytes/sec)　　R2#　　----从R2上tcp 20的抓包来看，tcp三次握手是由FTP服务器发起的：　　R2#debug ip tcp packet port 20　　TCP Packet debugging is on for port number 20　　*Mar 1 00:57:00.967: tcp0: I LISTEN 202.100.1.1:20 202.100.1.2:21993 seq 　　OPTS 24 SYN WIN 65535　　*Mar 1 00:57:00.971: tcp0: O SYNRCVD 202.100.1.1:20 202.100.1.2:21993 seq 　　OPTS 4 ACK
SYN WIN 8192　　*Mar 1 00:57:01.035: tcp0: I SYNRCVD 202.100.1.1:20 202.100.1.2:21993 seq 　　ACK
WIN 65535　　*Mar 1 00:57:01.039: tcp0: I ESTAB 202.100.1.1:20 202.100.1.2:21993 seq 　　DATA 986 ACK
PSH WIN 65535　　*Mar 1 00:57:01.043: tcp0: I ESTAB 202.100.1.1:20 202.100.1.2:21993 seq 　　ACK
FIN WIN 65535　　---在路由器上可以通debug ip ftp查看完整的FTP过程，可以看到客户端是否采用主动模式取决于客户端是否会发出PASV命令　　6.修改FTP端口：　　如果修改FTP服务器的端口为2121，在路由器配置静态NAT如下：　　ip nat inside source static tcp 10.1.1.18 2121 interface Ethernet0/0 21　　此时如果FTP客户端采用FTP主动模式与FTP服务器连接是没有问题的，　　但是如果采用FTP被动模式，因为R1作为NAT设备没有临时设置静态PAT，导致客户端连接服务器的数据端口失败，因此需要在R1上配置告诉R1路由器FTP服务器的端口。　　access-list 20 permit 10.1.1.18　　ip nat service list 20 ftp tcp port 2121
大学生分期购物销量榜
已有条评论
IT168企业级12781人阅读
C# ASP.NET（137）
如图所示是某个SOHO用户的网络拓扑示意图。用户通过一台宽带路由器接入到Internet，希望在自己的内网架设一台Web服务器和FTP服务器为外网用户提供Web站点服务和FTP资源的下载服务。
【实验设备】ADSL接入线1条，D-Link宽带路由器 1台，测试PC 2台，Web和FTP服务器软件，网线若干条。
【实验步骤】
第一步：调试宽带路由器。
将宽带路由器以自动获取IP的方式接入到Internet。具体步骤参考实验一
第二步：调试宽带路由器虚拟服务器功能。
首先进入到路由器的“进阶设定”，然后选择“虚拟服务器”。填入Web服务器的相关参数，然后执行。
注意：虚拟服务器功能默认的设置是关闭的，需要激活此功能。
同样设立内网的FTP服务器的参数。
注：为了配置简单，我们将WEB和FTP虚拟服务器的功能都建立在192.168.3.100的主机上。
下面是所建立的虚拟服务器的列表，刚才建立的WEB和FTP服务器已经启动。
第三步：开启WEB服务器和FTP服务器软件。
开启PC上的WEB服务器软件，设置好共享端口以及共享文件。
外网用户在IE浏览器中输入以下网址：，出现下图的的内容。
注：外网用户输入的是路由器WAN接口的IP地址172.18.192.115，而不是路由器LAN接口的IP地址192.168.3.100。
这个时候点击文件“熊猫”进行下载，WEB服务器日志出现如下显示：
上图显示，已经有一个IP地址为172.18.192.80的用户下载了文件“熊猫”，说明路由器虚拟服务器的配置是正确的。
开启PC上的FTP服务器软件，设置好共享端口以及共享文件，并且建立帐户名称和密码以供远端用户访问。
然后远端用户在IE浏览器中输入，出现如下的对话框，输入刚才建立的用户名和密码，然后点击登陆。
下图显示的是FTP服务器所共享的文件的列表。
第四步：配置宽带路由器的DMZ功能。
当内网有服务器运行为外网用户提供服务时，我们可以通过虚拟服务器的功能来实现。当内网服务器运行的服务较多，需要开启多个虚拟服务器，输入多个服务端口号时使用虚拟服务器就比较麻烦，我们可以采用DMZ的方式来进行设定。
首先将所建立的虚拟服务器删除。
在“进阶设定”里面选择“DMZ”，然后对服务器参数进行设置。然后点击“执行”
开启WEB和FTP服务器软件，远端用户在浏览器中分别输入和，可以出现如下的内容。
我们可以看到，通过设置DMZ功能可以大大简化内网中提供多个对外服务的配置。但是由于DMZ功能开放了主机的所有端口，对于服务器安全方面来说具有一定的风险性。
【注意事项】
一．在设置虚拟服务器的时候要注意所提供服务所使用的端口号，不同的端口号对应不同的服务。SOHO用户比较常用的内部服务主要有：
1. WEB服务，端口号：80
2. FTP服务， 端口号：21
3. SMTP服务，端口号：25
4. POP3服务，端口号：110
5. DNS服务，端口号：53
二．远程用户如果要访问内网的某项服务，在IE浏览器中输入的IP地址一定要是路由器WAN接口的IP地址，而不是服务器内网的IP地址。
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：337801次
积分：5031
积分：5031
排名：第3697名
原创：156篇
转载：92篇
评论：43条
(2)(2)(1)(6)(6)(11)(30)(43)(54)(20)(42)(27)(1)(2)(1)
/fly_dragon/ /zhangziqiu/archive//aspnet-mvc-1.html http://blog.csdn.net/tcjiaan?viewmode=contents#
http://blog.csdn.net/alamiye010/article/list/3?viewmode=contents全球最新的免费资源发布区
简单三步用TP-Link路由器和本地电脑自建小型Web和FTP服务器方法
& 日 17:43 &
今日心血来潮，玩过Hexo后虽没有决定用它，感觉主题都不好看，但在用hexo server进行预览时却突然想到了能否用外网IP来访问，因为当时我做了一个很有趣的效果，又懒得生成再上传，于是乎，去路由器管理界面找到了当前IP，加上4000端口访问，不能访问。
突然想到同一个局域网里要连好多设备，应该是路由器不知道访问哪个设备吧。 我的路由器是TP-Link的TL-WR340G+，浙江移动6M光纤，于是乎，翻了翻路由器的设置，找到了路由器下的虚拟服务器设置，将21端口和80端口分别映射给内网的FTP服务器和WEB服务器，成功实现外网访问。
想要成功自制Web和FTP服务器也并不有多难，现在家庭上网或者学校上网都会有路由器，不管是用静态IP上网，还是用拨号上网，我们都可以搭建成自己的Web和FTP服务器并被人访问，当然前提是你的电脑处于开机状态。 如果想知道更多的搭建网络服务器的方法，可以看看：
1、安卓手机搭建：
2、强制绑定:
3、压力测试:
简单三步用TP-Link路由器+本地电脑自制小型Web和FTP服务器方法
一、第一步：在本地电脑上架设好Web服务器环境
1、如果你想要在自己的电脑上搭建PHP运行环境，简单的安装一键安装包，复杂一些的就是自己安装各种组件：
2、如果你想要在自己的电脑上搭建ASP、.NET等运行环境，这里有两款集成ASP运行环境的软件包，下载安装运行即可在自己的电脑上跑ASP程序：
3、当然你也可以使用Windows自带的IIS组件来搭建网络服务器。IIS是Internet Information Server的缩写，是微软提供的Internet服务器软件，包括WEB、FTP、Mail等等服务器。
4、IIS是Windows操作系统自带的组件，对于Windows XP和Win2000服务器版，如果在安装操作系统的时候没有安装IIS，请打开“控制面板”-&“添加或删除程序”-&“添加/删除Windows组件”-&双击“Internet信息服务”-& 选择“World Wide Web 服务器 ”安装。
5、而对于Windows 7和Windows 8用户来说，可以进入控制面板—程序，点击“打开或者关闭Windows功能”。
6、然后将Internet信用服务下的FTP服务器、Web管理工具、万维网服务等都勾选开通。
7、最后重启电脑，打开https://localhost/就可以看到IIS已经成功运行了。
二、第二步：配置路由器添加端口映射
1、打开路由器设置界面，在“虚拟服务器”里面，便是端口转发功能。
2、把某个端口指定到某个IP的该端口上，比如这样：
3、便是把80端口指定到192.168.1.103的80端口上，也就是我的Linux系统的xampp默认端口上（windows版理论上也可以，只要能通过192.168.1.103：80能成功访问一般都可以）。
4、保存后即可通过外网IP+端口访问了（80端口可省略）。
三、第三步：设置域名DNS解析生效后成功访问
1、不想购买域名的朋友可以申请一个免费的二级域名或者免费顶级域名：
2、现在的付费域名也已经相当地便宜了，且国外的域名也能用支付宝付款：
3、在Dnspod里用A记录解析就能成功访问了，当然如果不是80端口也要在域名后加上端口哦。
4、等DNS生效后，我们就可以使用域名来访问我们刚刚已经架设好的Web服务器了。
四、自建Web服务器问题一：公网IP非固定
1、一般家庭用户上网使用的IP都是共享的，且每次重启路由器或重新连接都会换IP，这样的话每次都要改A记录才能分享给别人，太麻烦了，好在我们可以用花生壳动态DNS来解决这个问题。
2、登陆花生壳官方网站：https://www.oray.net，申请花生壳免费域名，注册完毕后还需要进入花生壳管理中心激活域名。
3、进入到TP-Link路由器的动态DNS设置，在服务提供者选择花生壳，填写自己的账号和密码，登录连接成功。
4、保存并登录后，就能用二级域名访问了，当然，记得把花生壳二级域名作为DNS解析的Cname值，替换刚刚的A记录。
五、自建Web服务器问题二：80端口被禁止
1、就多数情况来说，家庭上网或者公司上网的80端口都被ISP给禁止了，解决的办法之一就是不使用80端口，例如在指定端口时改成81或者82等，这样只要在域名后面加强上端口号就可以访问了。
2、另一个解决办法就是利用端口映射，用户访问的还是默认的80端口，而在内网利用映射技术将访问的80请求全部跳转到自己指定的端口，这样能够很好的解决80端口被封掉又不影响用户正常访问。
3、值得一提的新版的花生壳已经支持端口映射了，安装了花生壳后就可以自己定义映射了。
4、当然，也我们可以采用nat123软件，端口映射无需公网ip,无需路由映射，外网地址80端口映射，外网访问端口自定义。支持内网同一端口绑定多个域名映射：/
5、启用nat123软件，添加端口映射，选择80网站应用，使用自己的域名，并按提示将域名设置由nat123解析。映射成功后，用域名即可正常访问网站。至此，只要不退出nat123服务即可。
六、自建小型Web和FTP服务器小结
1、自己搭建Web服务器需要先在自己的电脑上配置好Web环境，这样外网用户才可以访问，对于不会配置IIS的朋友，可以直接使用文章介绍了Web环境软件一键安装包，WNMP和WAMP环境即可快速搭建。
2、要成功让别人成功访问到自己的Web服务器关键是要解决公网IP地址不固定和80端口被禁止的问题，好在新版的花生壳和nat123软件都已经支持自己添加端口映射，我们只要将80或者21指定到正常的端口就行了。
文章出自：&& 由部落编辑整理，版权归原作者所有。本站文章除注明出处外，皆为作者原创文章，可自由引用，但请注明来源。
您或许对下面这些文章有兴趣:&&&&&&&&&&&&&&&&&&&&本月吐槽辛苦排行榜
免费资源部落博客、论坛、问答和优惠网的创建者
经常混迹于各种免费资源中，尝鲜后乐于分享给他人。用WP搭建了部落博客，没事儿就折腾Wordpress，喜欢找免费空间，但只求精，稳定，耐用。有时也会介绍一点关于建站的知识和主机、服务器的使用心得与体会。PS：此人为男。
TA的专栏：&&|&&
关于本文的作者
所属分类：
链接地址：
浏览前页：
浏览后页：
部落快速搜索栏
热门点击排行榜
网站导航栏
免费资源重点推荐
最新文章推荐
部落最新评论列表
不得不看的秘密
部落本月最受关注的热点
(热度213℃) (热度150℃) (热度146℃) (热度144℃) (热度95℃) (热度93℃) (热度88℃) (热度88℃) (热度87℃) (热度78℃) (热度77℃) (热度72℃) (热度48℃)
部落本月踩得最多的宝贝
(踩9,290次) (踩5,900次) (踩3,680次) (踩3,490次) (踩2,960次) (踩2,520次) (踩2,460次) (踩2,320次) (踩70次) (踩30次)
免费资源部落，是一个致力发布和推广来自世界各地的免费资源，包括多样实用的免费空间、各种优秀的免费软件、各样可用的免费网盘等个人博客网站。站长qi是一位很普通不过的人，长期关注网络空间、互联网、软件应用、程序开发与设计、网络应用等。免费资源部落成立的目的就是希望与更多人分享网络快乐与精彩！本站持续修改完善中，如遇不便还请谅解^_^局域网内如何跨网段访问？_百度知道
局域网内如何跨网段访问？
其实如果要实现两个网络完全互通就简单很多.1、首先，你需要购置一台路由器，路由器很便宜的，通常几十到一百都能买到。 2、我们先假设网络A的网段为192.168.0.x，网络B的网段为192.168.1.x，路由器地址为192.168.1.1，A的HTTP服务器设为192.168.3.1，B的HTTP服务器地址设192.168.3.2。3、通过路由器把两个网段的网络连接起来，接入两个网络的交换机即可， 网络A---路由器---网络B（注意不能插在路由器的WAN口） 通过网络B的机器访问路由器，找到其中的路由表，增加一个路由表： IP：192.168.3.0 子网掩码：255.255.255.0 网关设为：192.168.1.1 保存退出后，把所有局域网内的机器子网掩码设为255.255.255.0， 网关设为192.168.1.1 4、试试通过或访问试试
如果有带路由的modem也能实现上述功能，连接有点不一样，应该为： modem---网络A---网络B或接在网络B上也行，其它设置跟路由器一样 ftp服务器如果是同一台就不用设置，如果不是的请把它设为192.168.3.x 如果想两个网络互联互通，只需要把服务器IP改成原本网段的IP，然后把路由表改成： 192.168.0.0 255.255.255.0 192.168.1.1 一般路由器里面会有一个本来的表 192.168.1.0 255.255.255.0 192.168.1.1 如果没有上述表，请添加！
其他类似问题
为您推荐：
要在这上面进行一些必要的设置才能访问的，是否能跨网段访问，然后进行一些设置，希望能对你有所帮助，建议你购置一台路由器或三层交换机，就必须经过路由器或有具备路由功能的三层交换机。以上是湛江鹤湖科技的回答，再看一下局域网内要想跨网段进行访问
您可能关注的推广
网段的相关知识
其他2条回答
这个应该是不可以的
你想访问什么呢？WEB服务之类的吗？
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁}