[发明专利]一种支持单数据端口和NAT穿透的扩展FTP方法及系统

说明书

技术领域

本发明涉及一种扩展FTP方法及系统，尤其涉及一种支持单数据端口和NAT穿透的扩展FTP方法及系统。

背景技术

文件传输协议(FileTransferProtocol,FTP)FTP是用于在网络上进行文件传输的一套标准协议，协议规范收录为RFC959。FTP是TCP/IP的一种具体应用，它工作在OSI模型的第七层，TCP模型的第四层上，即应用层，用于Internet上控制文件的双向传输，在大型的业务管理系统、网管系统、内容系统、流媒体等均会用到，涉及到的复杂网络拓扑表现为用户所在企业内网到另一个企业内网进行文件数据传输。FTP有两种工作模式：主动PORT模式和被动PASV模式。实际工作时它需要两个端口，一个是21默认端口，用于链接控制和命令字控制；另一个端口用于数据传输，当采用PORT模式时，FTP服务端的数据端口默认为20。

PORT模式(Standard模式，又称为Active模式，主动模式)工作原理如下：首先FTP客户端与FTP服务端建立起命令控制通道(FTP服务端命令控制通道服务端口默认为21)，然后完成客户端的用户名和密码认证。当用户要下载文件时，按如下步骤交互：

1、FTP客户端通过控制通道发送PORT命令，并在命令中告知FTP服务端要连接的客户端数据通道监听端口(如2048，该端口由FTP客户端随机从自由端口中分配)；

2、FTP服务端对收到的PORT命令进行应答；

3、FTP服务端使用本地数据通道端口(20)连接FTP客户端数据通道2048端口；

4、FTP客户端对连接进行应答，从而建立起数据连接通道；

5、当FTP客户端向控制通道发送文件下载命令时，FTP服务端即通过数据通道把文件数据发送给客户端，从而完成文件的下载。

被动PASV模式(Passive的简写，被动模式)工作原理如下：

1、首先FTP客户端与FTP服务端建立起命令控制通道(FTP服务端命令控制通道服务端口默认为21)，然后完成客户端的用户名和密码认证。当用户要下载文件时，按如下步骤交互：

2、FTP客户端通过控制通道发送PASV命令；

3、FTP服务端对收到的PASV命令进行应答，并在应答中告知FTP客户端要连接的FTP服务端数据通道地址和监听端口(如1078，该端口由FTP服务端随机从自由端口中分配)；

4、FTP客户端使用本地数据通道的随机自由端口(如2048)连接FTP服务端数据通道1078端口；

5、FTP服务端对连接进行应答，从而建立起数据连接通道；

6、当FTP客户端向控制通道发送文件下载命令时，FTP服务端即通过数据通道把文件数据发送给客户端，从而完成文件的下载。

PORT模式的缺点主要是在步骤3建立数据通道时，由FTP服务端主动发起连接到FTP客户端，而用户通常在另一个内网的防火墙后面，没有直接的公网IP，导致FTP服务端无法连接到FTP客户端，所以该模式只适用于FTP客户端与FTP服务端在同个企业网络。被动PASV模式可以解决主动PORT模式遇到的问题，数据通道的建立由客户端主动发起，但从步骤2可以看到FTP服务端的数据端口是从1024以上的自由端口中随机分配，这导致另一个问题，就是FTP服务器所在机房的防火墙必须开放一定范围的数据端口，在电信和移动机房的安全管理规范下会认为这种防火墙端口配置存在极大隐患，最终通不过；这里面还隐含一个问题就是该模式的客户端并发数严重依赖FTP服务端数据端口的可用数量，假如允许的数据端口范围为2122～2125，即只有4个端口可用，那么当有4个用户同时连上该FTP服务器下载文件时，即把这4个数据端口完全占满，第5个用户必须等到其中一个用户释放数据端口才能执行下载等操作；还有一个问题是被动PASV工作模式下FTP协议未给出数据通道建立时的NAT网关穿透问题，表现于FTP服务器内网IP通过NAT网关映射为公网IP出口时，在步骤2处FTP服务端应答给FTP客户端的是一个FTP服务器内网地址，导致FTP客户端无法与FTP服务端建立数据通道。这就提出了一个命题如何才能简单高效地解决分布在多个企业内网的用户与一个公网IT系统的FTP服务器模块进行文件数据传输的问题，另一个命题是如何才能解决FTP数据通道建立时的NAT网关穿透问题。

发明内容