如题!用ensp做模拟实验时遇到不能正常访问FTP的情况,拓扑如下
要求实现:Client1不能直接访问分公司,但能通过映射在公网的地址访问分公司内网的ftp服务器。
配置静态路由保证整个拓扑互通,在AR1的G0/0/0口配置acl禁止192.168.1.0访问192.168.5.0和200.1.10.2
在AR2的G0/0/0口配置NAT
此时,理论上在192.168.1.0/24网段上的用户无法使用tcp协议访问192.168.5.0/24和200.1.10.2,但是仍然可以通过200.1.10.200访问在192.168.5.100上的ftp服务器。但实际上,Client1进行ftp访问只能登录,但不能获取文件目录
在LSW1的G0/0/1端口和AR2的G0/0/0端口进行抓包,LSW1的抓包结果是
可以看见里面依然包含192.168.5.100的数据包,而AR2中没有,说明acl是生效的,下图是AR2的抓包结果
可以看出FTP没有成功下载目录,但是不知道问题出在哪,Client1是怎么获取到地址192.168.5.100的?下图Client2访问ftp时LSW1G0/0/
1抓包结果
在上面的结果中仍然可以发现192.168.5.100,说明Client1没能获取到文件路径就是因为nat转换存在异常,但如果只是简单的ping命令可以正常的转换,不会在中间链路中发现192.168.5.100。对AR2的G0/0/0和G0/0/1端口抓包查看ftp访问情况,如下两图所示,第一个图是G0/0/0口。
从上面看出从LIST命令开始就没有了,而这个时候Client1就开始访问192.168.5.100,也就被AR1拦截,请问有什么方法能够使它继续访问,请大佬多多指点