23:28:49 修改
很多时候作为网络管理员的我们都会遇到这样或那样的奇怪网络故障，不过就个人感觉来说网络故障都是有办法可循的。最近笔者就遇到了一个奇怪的FTP登录故障，下面我们就来亲身经历排查故障的全过程，希望本文能对各位读者有所帮助。　　一、故障初现简介　　笔者负责教育城域网的维护工作，由于笔者所在部分处于核心层，所有区域学校都通过光纤连接到主设备上。网络内有很多服务器在运行，所有服务器都处于一个网段。　　最近笔者在服务器上发现了一个问题，那就是在服务器上网一切正常，访问外部网站没有任何问题，但是登录内网FTP资源时总是无法连接。不管是使用主动模式还是被动模式在使用FTP登录内网站点时都出现“列表错误”的提示。即使使用IE浏览器也是如此，出现用户名与密码登录环节后就“假死”而没有任何响应。笔者在服务器上ping目的FTP服务器地址超时，tracert目的FTP服务器地址也是“request&timed&out”错误。(如图1)评论　　二、初步排查　　为什么上网正常但是访问FTP服务器却出错呢?为了进一步缩小问题范围，笔者尝试访问外部网络的FTP服务器，结果发现外部网络FTP服务器的访问一切正常，只有当笔者在服务器上访问内部FTP时才出现“列表错误”的提示。(如图2)评论图2　　那么该如何实现服务器上的数据共享呢?笔者首先找到了一个替代办法，通过设置远程桌面连接参数来实现服务器与本机的驱动器共享，在远程桌面连接程序的“本地资源”标签下点“详细信息”按钮，接下来将“驱动器”选中，这样当我们通过远程桌面连接远程服务器后就能够在我的电脑中看到本机的驱动器被映射到了远程服务器上。(如图3)　　映射完毕我们可以在服务器上的“我的电脑”直接访问各个网络磁盘，复制文件速度还是非常快的。(如图4)　　三、进阶诊断　　不过仅仅通过这种磁盘映射解决数据共享只是治标不治本，为什么内网FTP服务器无法顺利访问呢?一般来说都有可能是由于端口或协议过滤造成的，笔者决定从核心设备上下手来解决，通过访问核心路由交换设备查询具体配置完成。　　在核心路由交换设备中使用dis&cur命令查询配置信息果然发现了很多条访问控制列表ACL，其中就有针对服务器池的过滤规则，在这里笔者发现针对服务器地址池的种种限制，也许问题就出现于此。(如图5)　　接下来笔者查询应用端口，发现地址池连接的是VLAN&101，而且相应的过滤规则也应用到了此接口。(如图6)　　在核心设备上tracert&FTP服务器地址依旧没有响应，找不到任何路径，而tracert&有问题的服务器IP地址也是如此，只有当ping&该网段网关地址时才一切畅通无阻。看来问题不仅仅出现在访问控制列表，因为如果是ACL起作用至少可以能够tracert出相应的路径来，只是到一半中断而已。(如图7)　　笔者继续查询路由信息，经过反复查询终于发现针对服务器地址池的路由信息没有添加到路由表中，看来这就是问题所在。(如图8)　　笔者手工添加完静态路由并取消ACL访问控制列表过滤后问题解决，服务器上可以顺利访问内网FTP服务器。　　采用上述方法定义了感兴趣的流量后，进行第二步的流量限制（Traffic&Limitation）。CAR采用一种名为token&bucket的机制来进行流量限制（如图2所示）。评论　　图2　　限流器使用token&bucket的算法监视流量flow的带宽利用率。在每个流入的帧到达的时候，就把它们的长度加到token&bucket&(记号桶)上。每隔0.25毫秒（四千分之一秒），就从token&bucket减去CIR（Committed&Information&Rate,承诺信息速率）或者说是平均限流速率的值。这样做的思路是，保持token&bucket等于0，从而稳定数据速率。　　限流器允许流量速率突发超出平均速率一定的量。token&bucket增长到突发值（以字节为单位）水平之间的质量是允许的有效突发量，这也叫做in-profile&traffic(限内流量)。当token&bucket&的大小超过了突发值，限流器就认为流量“过大”了。这时我们可以定义一个PIR（Peak&Information&Rate,峰值信息速率）。当流量超出最大突发值达到PIR的时候，限流器就认为流量违规，这类流量也叫做out-of-profile&traffic(限外流量)。所以当实际的流量通过限流器（token&bucket）后,&可以看到会有两种情况发生：　　（1）实际流量小于或等于用户希望速率，帧离开bucket的实际速率将和其来到的速率一样，bucket内可以看作是空的。流量不会超过用户的希望值。　　（2）实际流量大于用户希望速率。帧进入bucket的速率比其离开bucket的速率快，这样在一段时间内，帧将填满该bucket，继续到来的帧将溢出(excess)bucket，则CAR采取相应的动作（一般是丢弃或将其IP前缀改变以改变该token的优先级）。这样就保证了数据流量速率保证在用户定义的希望值内。　　CAR的配置　　我们通常在网络的边缘路由器上配置CAR&。配置CAR主要包括以下几部分：　　1.&确定“感兴趣”的流量类型也就是我们需要监视的流量，主要通过下列方式确定：　　（1）基于IP前缀，此种方式是通过rate-limit　access&list来定义的。　　（2）基于QoS分组。　　（3）基于MAC地址。　　（4）基于standard或extended的IP&access&list。　　2．在相应的端口配置rate-limit:　　一般的写法是：　　interface&X　　rate-limit&{input　output}&[access-group&number&]&bps&burst-normal&burst-max&conform-　　action&action&exceed-action&action　　上述命令的含义是：　　interface:&用户希望进行流量控制的端口，可以是Ethernet也可以是serial口，但是不同类型的interface在下面的input、output上选择有所不同。　　Input　output:确定需要限制输入或输出的流量。如果在以太网端口配置，则该流量为output；如果在serial端口配置，则该流量为input。　　access-group&number:&number是前面用access&list定义流量的access&list号码。　　bps:用户希望该流量的速率上限，单位是bps。　　burst-normal&burst-max：这个是指token&bucket的大小，一般采用、32000这些值，视bps值的大小而定。　　conform-action：在速率限制以下的流量的处理策略。　　exceed-action:超过速率限制的流量的处理策略。　　action:处理策略，包括以下几种：　　◆&transmit:传输。　　◆&drop:丢弃。　　◆&set&precedence&and&transmit:修改IP前缀然后传输。　　◆&set&QoS&group&and&transmit:将该流量划入一个QoS&group内传输。&　　◆&continue:不动作，看下一条rate-limit命令中有无流量匹配和处理策略，如无，则transmit。　　◆&set&precedence&and&continue:修改IP前缀然后continue。　　◆&set&QoS&group&and&continue:划入QoS&group然后continue。　　具体应用　　CAR限制某种流量的速率之外，还可以用来抵挡DoS型攻击，诸如Smurf攻击使得网络上充斥着大量带有非法源地址的ICMP，占用网络的资源。我们可以通过在路由器上对ICMP包通过配置CAR来设置速率上限的方法来保护网络（如图3所示）。评论　图3　　客户端边界路由器上的配置：　　interface&s0&rate-limit&input&access-group&200&00&80000　　conform-action&transmit&exceed-action&drop　　这里我们把icmp包的流量定义在3Mbps，token&bucket的大小为8000字节。　　access-list&200&permit&icmp&any&any&echo-reply　　这样一旦受到Smurf攻击时，在一定程度上我们可以限制ICMP包的转发速率和大小，减少对网络和主机造成的破坏。　　为了更好地运用CAR限速策略，我们需要弄清楚DoS攻击的原理，这样才能针对DoS攻击的不同类型采取相应的防范措施。
谢谢楼主分享，了解下！！！
您需要登录后才可以发帖
其他登录方式：查看: 352|回复: 9
思科路由器怎么配置成为FTP服务器？
是有哪些ios支持FTP服务？
以及请问一下怎么配置？
希望将路由器配置成FTP服务器，远程登录传输文件
平均得分<span class="csc-avg-rating- (<span class="csc-num-vote csc-num-vote- 评价)
感谢您的提问！稍后会有小伙伴为您解答的！
平均得分<span class="csc-avg-rating- (<span class="csc-num-vote csc-num-vote- 评价)
手动热帖，求助求助，各路大神帮帮我吧，真的是挺着急的，谢谢啦
平均得分<span class="csc-avg-rating- (<span class="csc-num-vote csc-num-vote- 评价)
没用试过用路由器做ftp server 如果你只想往路由上面穿文件，可以使用tftp，或者ftp，在电脑上启用个3CDaemon，创建ftp 用户名密码，将要上传的文件体检存放到ftp目录里面。然后在路由上执行copy ftp://username:password@10.10.10.ip/filePath/fileName&&flash:/&&将文件拷贝至flash中
ftp server 部分路由器不支持。如果知道具体型号的话，可以直接查对应型号的config guide
平均得分<span class="csc-avg-rating- (<span class="csc-num-vote csc-num-vote- 评价)
没用试过用路由器做ftp server 如果你只想往路由上面穿文件，可以使用tftp，或者ftp，在电脑上启用个3CDaem ...
谢谢您啦，不过我找了好几个ios镜像都不支持FTP，您知道有哪些型号吗，还是一般这种gns支持的ios都不能用FTP啊？
平均得分<span class="csc-avg-rating- (<span class="csc-num-vote csc-num-vote- 评价)
论坛里怎么空荡荡的没有什么人啊，求指教也没有什么人啊
平均得分<span class="csc-avg-rating- (<span class="csc-num-vote csc-num-vote- 评价)
就好像是只有管理员在挨个回帖子，再就没有什么人了
平均得分<span class="csc-avg-rating- (<span class="csc-num-vote csc-num-vote- 评价)
很好很强啊、
平均得分<span class="csc-avg-rating- (<span class="csc-num-vote csc-num-vote- 评价)
您能说一下您路由器的型号吗？
平均得分<span class="csc-avg-rating- (<span class="csc-num-vote csc-num-vote- 评价)
好像路由器不能作为ftp server。。。
http server倒是可以。
平均得分<span class="csc-avg-rating- (<span class="csc-num-vote csc-num-vote- 评价)
京ICP备号-187
版权所有 :copyright: 思科系统 & |新手园地& & & 硬件问题Linux系统管理Linux网络问题Linux环境编程Linux桌面系统国产LinuxBSD& & & BSD文档中心AIX& & & 新手入门& & & AIX文档中心& & & 资源下载& & & Power高级应用& & & IBM存储AS400Solaris& & & Solaris文档中心HP-UX& & & HP文档中心SCO UNIX& & & SCO文档中心互操作专区IRIXTru64 UNIXMac OS X门户网站运维集群和高可用服务器应用监控和防护虚拟化技术架构设计行业应用和管理服务器及硬件技术& & & 服务器资源下载云计算& & & 云计算文档中心& & & 云计算业界& & & 云计算资源下载存储备份& & & 存储文档中心& & & 存储业界& & & 存储资源下载& & & Symantec技术交流区安全技术网络技术& & & 网络技术文档中心C/C++& & & GUI编程& & & Functional编程内核源码& & & 内核问题移动开发& & & 移动开发技术资料ShellPerlJava& & & Java文档中心PHP& & & php文档中心Python& & & Python文档中心RubyCPU与编译器嵌入式开发驱动开发Web开发VoIP开发技术MySQL& & & MySQL文档中心SybaseOraclePostgreSQLDB2Informix数据仓库与数据挖掘NoSQL技术IT业界新闻与评论IT职业生涯& & & 猎头招聘IT图书与评论& & & CU技术图书大系& & & Linux书友会二手交易下载共享Linux文档专区IT培训与认证& & & 培训交流& & & 认证培训清茶斋投资理财运动地带快乐数码摄影& & & 摄影器材& & & 摄影比赛专区IT爱车族旅游天下站务交流版主会议室博客SNS站务交流区CU活动专区& & & Power活动专区& & & 拍卖交流区频道交流区
白手起家, 积分 22, 距离下一级还需 178 积分
论坛徽章:0
& & 最近想架台linux RHEL 5.3 ftp（vsftpd-2.0.5-12.el5）服务器，可以内外网都可以访问，内网ftp服务器的ip地址是192.168.30.20，外网的ip地址是210.134.25.xxx(该公网ip地址一直没有用)
& & 公司的网络拓扑图是
外网-----cisco asa 5510-----cisco 3560-----普通交换机---一般用户
公司有三百多台电脑，由于某些部门要外部登入公司内网的ftp服务器，下载、存储资料。
那位兄弟有这方面的经验了，大概架设这样ftp服务器是怎样的思路？
& &兄弟们帮帮忙！！？？？
谢谢了！！！！
&&nbsp|&&nbsp&&nbsp|&&nbsp&&nbsp|&&nbsp&&nbsp|&&nbsp
小富即安, 积分 4845, 距离下一级还需 155 积分
论坛徽章:0
路由器上做好端口映射就可以了。
你哪块还不明白的？
白手起家, 积分 22, 距离下一级还需 178 积分
论坛徽章:0
该ftp服务器是在公司的vlan 30 段的，该vlan 可以访问外网，是直接在cisco asa 5510上建个dmz区映射这个服务器？
& && && && && &还是直接在cisco 3560上直接接入，然后在asa 5510 做路由进行端口映射？
ftp服务器的公网ip地址是还没有用的哦...................
白手起家, 积分 22, 距离下一级还需 178 积分
论坛徽章:0
ftp服务器的公网ip地址与现在网络公网ip不是一个的，
论坛徽章:379
回复 #3 xwbk12 的帖子
直接在asa上进行端口映射就行.
论坛徽章:0
我补充一句：
打算使用那种方式的FTP呢？
PORT（主动）
PASV（被动）
白手起家, 积分 22, 距离下一级还需 178 积分
论坛徽章:0
PORT（主动）
我想用我公司暂时没有用的的公网ip
我这里有6个公网ip 还没有的
怎么整这个ftp服务器了
兄弟们？？
白手起家, 积分 22, 距离下一级还需 178 积分
论坛徽章:0
PORT（主动）
我想用我公司暂时没有用的的公网ip
我这里有6个公网ip 还没有用的
怎么整这个ftp服务器了
兄弟们？？
论坛徽章:0
原帖由 xwbk12 于
22:19 发表
PORT（主动）
我想用我公司暂时没有用的的公网ip
我这里有6个公网ip 还没有用的
怎么整这个ftp服务器了
兄弟们？？
直接在cisco asa 5510上建个dmz区,&&设置好路由策略，把ftp服务器配置上公网IP,& &公网请求可以路由到ftp服务器。
内外访问应该也不会有问题，仍然使用这个公网IP。
还有特殊需要例如有的VLAN不能上网，那么就在FTP上在配置一个私有地址。当然路由表要在路由器上作调整。
思科设备没怎么玩过，我是按照Linux来作路由器分析的。
建议楼主可以作张图，大家也好有个形象认识。
稍有积蓄, 积分 207, 距离下一级还需 293 积分
论坛徽章:0
这么多IP直接配就行
北京皓辰网域网络信息技术有限公司. 版权所有 京ICP证:060528号 北京市公安局海淀分局网监中心备案编号：
广播电视节目制作经营许可证(京) 字第1234号
中国互联网协会会员&&联系我们：
感谢所有关心和支持过ChinaUnix的朋友们
转载本站内容请注明原作者名及出处