FTP概述

 　　FTP是应用层的协议，它基于传输层，为用户服务，它们负责进行文件的传输。FTP是一个8位的客户端-服务器协议，能操作任何类型的文件而不需要进一步处理，就像MIME或Unencode一样。但是，FTP有着极高的延时，这意味着，从开始请求到第一次接收需求数据之间的时间会非常长，并且不时的必需执行一些冗长的登陆进程。

　　FTP服务一般运行在20和21两个端口。端口20用于在客户端和服务器之间传输数据流，而端口21用于传输控制流，并且是命令通向ftp服务器的进口。当数据通过数据流传输时，控制流处于空闲状态。而当控制流空闲很长时间后，客户端的防火墙会将其会话置为超时，这样当大量数据通过防火墙时，会产生一些问题。此时，虽然文件可以成功的传输，但因为控制会话会被防火墙断开，传输会产生一些错误。

FTP主动模式

 

 FTP被动模式

  ====总结就是，FTP协议是多通道协议，21端口是控制通道、20端口是数据通道；主动模式是FTP服务器主动发起连接，被动模式是客户端主动发起连接；

 被动模式下，问题较少；主动模式下，会存在一些问题，案例如下：

（防火墙上需要事先在ALG应用网关或者ASPF配置中间FTP选中）

内网用户访问外网FTP服务，如果使用passive模式，可以正常使用；

如果使用active模式，因为发送port指令给FTP服务器的时候，使用的内网地址，所以公网FTP服务器无法连接到内部客户端，造成访问失败；

----这里request arg：10，128，19，197，161，37

其中标黄字段是客户端的IP地址-10.128.19.197，标绿字段是客户端提供的用来建立数据隧道的端口号（计算方式：161*256+37=41253）

 

F5有针对该情况的配置（检测到FTP主动模式，会将port命令中的信息NAT成公网ip），防火墙上应该也是类似的；

配置outbound的ftp vs后，当有ACTIVE模式的ftp流量出去时，F5会把port命令中的内网地址转变为外网的snat地址，同时会在snat地址上临时开放port指令中的端口，以便接收FTP服务器过来的连接；