ALG检验指导书

1、同维电子有限公司测试部拟制人时间朱世旺2010/8/21文档摘要:用于指导新入职测试人员测试 ALG。关键字:ALG缩略语:正文:ALG测试指导书1.ALG-FT PFTP的的数据连接工作模式有主动（PORT）和被动（PASV）两种。访问 WAN侧FTP服务器时，控FTP。测试步骤如后制主动模式下的 FTP,访问LAN侧虚拟主机（FTP服务器）时，控制被动模式下的 面所述。先了解主动和被动模式的工作: 主动模式：1 ）建立控制链路：Client端向Server的FTP端口（默认21 ）发起连接请求，服务器接受后建立一条控制链路。2）当需要传输数据时，客户端在控制链路上用PORT命令告诉服务器“

2、我打开了XX 端口，你来连我”，于是服务器向客户端的 xx端口发送连接请求，建立一条数据链路来传送数据。被动模式：1 ）建立控制链路：Client端向Server的FTP端口（默认21 ）发起连接请求，服务器接受后PASV模式和你传输数据，请打建立一条控制链路。2 ）当需要传输数据时，客户端告诉服务器“我要用开一个端口”连接我了”，1.1 LAN侧客户端主动方式，然后服务器在命令链路上用PASV命令回答客户端：“我已经打开了 XX端口，你可以过来 最后客户端向服务器的 XX端口发送连接请求，建立一条数据链路来传送数据。用于测试LAN侧FTP客户端和 WAN侧FTP服务器之间的传输数据， 在这种

3、方式下，ALG-FTP开关 影响数据传输链接的建立。1) CPE上创建一条路由方式的 WAN连接，LAN侧PC可以ping通FTP服务器，在CPE页面关闭ALG-FTP 功能;2) LAN侧PC用FTP工具连接FTP服务器，使用主动模式。用CuteFTP工具如下所示:在【站点管理器】界面右键选择【新建】- 【FTP站点】，或Ctrl+N :* 站点曾a器ISr'S General FTP Sfte' 1010,0152J 172.125A06.6 ftp ：ZZ21).23.39,1( 11 GlobalECAPE D&Ctrl + JCVIt

4、N导入FTP站鴉0)榕站扁乍为URL d(yj.a 3站.耳营旻希"中莹找衣本 蚩找下帕FTPS tSSL)站点 百 SFTP (SSH2) 膾HTTP站点.爛 HTTPS CSSL)站和P.AltfF3F3榕当前进程潘加寥貼苣理器回“, 挥本地踣径廉存为默认1)将远盘路轻惺存壬:-疋J文件夹gjU:17 15 3：0Lne al OI FOK：勇2,湍氐 i： 3：店二 103 t4:17:3j 200 PORT cotaarid aiicceSaful.LIS：4：ia：SJ瓷良彗舍誓响立芒廿飞OOOOCtrl + MI常规类型动作'选顶协諛类型：端口:£1“使

5、用PORT”FTF （标進文件隹输协徴）惋说类型注釋 報鶴琴卿鬆運以非琏的建扳本）方式使用工服势器类型侣1：从客户端来看，无法显示 FTP服务器的文件，实际是不能够建立数据传输的链接，抓到的数据包如下:Clo_FTP_POST.pcap3）开启ALG-FTP功能，其他所有配置都不变，LAN侧FTP客户端能够与 WAN侧FTP服务器创建数据 连接，能够正常传输数据:孺口 MZ1丽厂裘型I动作I选项I毎蛙类塑®:町F忖准文件删协谊）协祕堯23注齋g奪畲軌愍理以糕全的 眼国方云使用工固円侶护不加匝orjnD4inu5洎訂甑I OT?抓包如下:343S. 083276192.1Ga.i. 5

6、21FTPnequeit: CWD /anonytwG3/02S3S.95073G172.125.10G.G12.1Cfl.l.34693FTPRtsponst: 2SO' cwD comtrard juccesiful.?S3. 00120S1G2.16S.1. 5172.12S.10.21TPR丈judt: POrr 192,1S,1134,21)73S3940414216.07560336.11361336.201287 36. 20149036.2?2S60 36.261S16 北袒站 北.2aQ61172.125. IOS. 6192.165.1.

7、J192.163.1. 3172.12S.1QS.617?.l?S.in6.6 iqZ.IfiH. I.172.W5.Ql<>2.16e.l. 3172.125.10e.- 3172-125-106.6IW.iefi.l. 3l»2.16£.l.31Q7.1 硝.1. 9貯.1斶.1.49的3214(fiGS 舸98 I他"I他旧FTPFTPTCPrcpTCP匚TP47 3e*2a94B5192.169.1. 3ZS 36. 3004Sg 192.1GB. 1. i172.1

8、256.6172.1257Tbe.Cpgs?西TTF 砂Q勺MP 40qfl TTP 4g&95 TCP 40SS_4osaResponse: 200 Request: LIST d'rnBfsd 柯$95 19895 dniiiEfsd dmsfid >R4SponS4: drmsfstl > clriiKfvti >PORT command successful.话仆 SVN, g150 opwnrimg4卿鮎0卿4 549fi9'i > firnsfsfl di肩f诃亍9馬站敢K 吩， HK f ,Ecq-0 *nirH65535 Lca

9、MK £eq>0 Acl Wfn Scq-lb*iTr>=65S3correction for trans，Spq-l Afk-1 bDir>«65S3' S«q-1427 ftck-1 iSeq-i Afk-Z7i6 urin-fi- MR49695 > drnsfsd£eq=l Ack=271749895 > drfflSfid rpih. ACKlk-2717 IPIFrame 36: 80 b/tas on wira <610 bits), 80 byt«s capturfid C6d0 bi

10、ts)Fthsrnpt TT, Sre: rx»l 1_2?:1 Q: Se 00 :1 a: aO :? -IQ , nt: 00:71:04 :05:Of): 74:04 :2口 讣)0 7?. I 2S. I Do. 6)t?1) ,121, irk : iAi , Lorr JfiTntprnpt Prntorol * sre: 14?. 16it. 1. 3 口勺2-1 轿.1 -阳，ZT： 172.1?5. 106.6 Trsnsmil*；Sinn ffxirrol Protnrnl ,Fort：(JQfiQP), PsT Port: ftpflip Tranwfpr p

11、rcizwcl Crp)两eques匸 awraand: port二模式为FrtRTRequest arg; 192.L&s.1.3.134.严gw HF £ddU3$； LW,応£1* 3刃卜 par； 4 第 M打开诸 n 49R95R PORT 1丐乙ifiEt 汽.1 号4Qp_FrP_POST4KaP1.2 LAN侧客户端被动模式ALG开关不能影响这种模式，所以无LAN侧客户端和 WAN侧FTP服务器之间传输数据时的测试, 论ALG-FTP是否开关，数据传输都能够正常进行。当客户端以被动方式连接时，步骤如下: 1 ）在主动方式的基础是

12、，修改客户端FTP的工作模式为 被动模式，关闭ALG-FTP，如下所示的用 CuteFTP :s型I动作I选顶端口 (0):FTF 标准文件传输协该）21搖覊理以非安全的匡屯文本）方弍使用工服务器类型:此Tito一 detect更码保拉IdITO孵船fl自动檢则OTPCK）自动枪son2）客户端与服务器之间能够正常传输数据，通过手抓包可以看到使用被动模式:&1525321.545773 21_*9U£丄t2九的闕Mt pJgsBE ”建-阿 I132.lea.i.3 S.丄瓦B 19?.16Sh1-3172.12L.1Q6.6 igF-ifea 一1.MiS365?5ft旳W

13、61&2u364$566Kt"7可寸呻16371722.15-546322-190729 22.261'22. 2&1'65122.2(11； go22.7?. in妥护 购 22.30&6£4 !) Till me* 172.12i.lUt. ti172.106,017J.X35Hlt- 6 1?. l?5rl06- 6192,Iba.l.i u? me. 6 R?-?5.in6.fi 佃一 6192.163.1. 31 ” 1 DA fl.吧'-111 r F L：T/yTiJsTtafi. e 17

14、2. 125.106.6 iy2.Lta.i.J 17?. IJSnlOfl.fl 1!?2.1«8h1.3 135-1*日"A 3 19?,in?, tea.1.3 i9i.ita.zi. J 177. L25.106.6'Ot IMO 1121FTP52Dbf FTP ?1EFtp 31Cli7 詡 UP TCP 51 52007 彳缈0 $?0?0 ilC'l I 5?oro 5?07Q ,52(370 Lsiol.ecufist: TYPE Iaesoons电；口0 Typa set ta iEeq益T: HI TH 7>F

15、,?!?'議':24 Tf 尹；.?4孑？efl尹4 . pcap520*0 A llp-pHpib LVKJ SeqHO Ki:i-5192 Ler-0 IMSS-leS *'弓一三 | Hp-px|>lb A !i£3，U EvKr ACkJ gcquU ACfchi. hf心fab'j, Len=ci kjTCPA hp=pMplib ack 5eq-L 打工“ W1 r.-SC$7e L创UFTP Re*卩oriEE； 150 Openrrnp conoeetTon for trarfcr.FTP-DATA FTP Qara; 1也2币

16、bytesFTP-DiiTA=Tp cuta: 1426 btesTCPj20/0 上 hp-p?4)1b LACK S(jq*l ALK-Z*li Wiittg'/t 1_时7FTP-0ftTAF7P Dara： 1426 byT*JFTP-naTAFTP Da® 14?6 byresFTP-MTa-TP Data： 1121 byt"TCP弓JDFCJ > hp-pxpTh Act Seql ick=ri3i w1r-=6tg7e Len=O« 1 曰二4 4. na-t >" IC鼻勺 b-".jt *<IIFb

17、it,， IOS byt«&Frara 54: ICBETheriwT II . Sre: oe； 4:04: OS: 2D; (DO :7i: 04:05:70:35 , Dsr : Cen_7?:ig：Se (D：La：aD：3?；ig；£e) ifiTcrnec proiCMLol, sre: 172.125,106,6 (172.12 5,106,6? , osi: 102,166.1. 5t. 3)Trarstriss-ion t ontrol Prorocol Sec Port: tTp&st P&rt: S2067 <5206?

18、J, 5*q： 493. Atkt 12?, l 电 n； 49F g Trnriflf er Prorocol &TP)1?7 rnrprlng passlw uortt <173,17'i.l0'fi,«Resp onse code: Entering Pas si ve Hodv (227)B 皆 pMse arg： Ertctrln Piisivt rd di ti?2,i2?,i06,fc,i2,29>IP(173,125*1Mh«JII胆Jiiy* port: 3101二Ion Mfira (82captured <62

19、4 bits)第53个包：客户端向服务器请求使用PASV模式传输数据。从第54个包可以看出，服务器打开的数据传输端口为3101，后面传输数据时所用的服务器端口也确实是3101。0ClQ_FTP_PASV.pcap3）开启CPE上的ALG-FTP，其他配置不变，测试结果同关闭ALG-FTP。1.3 WAN侧客户端主动方式DMZHostALG-FTP是否开LAN侧FTP服务器和WAN侧客户端之间传输数据时的测试，在这种模式下，无论 关，客户端是服务器之间都可以正常传输数据 1)CPE上创建一条路由方式的 WAN 连接，开启 DMZ ( DMZ主机为LAN侧PC，IP如 )，D

20、MZ主机上搭建一 FTP服务。关闭CPE的ALG-FTP功能，LAN侧的DMZ主机能够ping通WAN侧的PC2 (作为FTP的客户端)。PC2上用FTP工作访问CPE的WAN 口 IP,工作模式为 主动，同1.1.1中的配置。PC2能够访问LAN侧DMZ主机的FTP服务器，同1.1.2中的数据包。开启CPE的上ALG-FTP，其他配置不变，结果同关闭LG-FTP1.4 WAN侧客户端被动方式LAN侧FTP服务器和WAN侧客户端之间传输数据时的测试。1)CPE上创建一条路由方式的 WAN 连接，开启 DMZ ( DMZ主机为LAN侧PC，IP如 )，DMZ主机上搭建一 F

21、TP服务器。关闭CPE的ALG-FTP功能，LAN侧的DMZ主机能够ping通WAN侧的PC2 （作为FTP的客户端）。PC2上用FTP客户端工具访问 CPE的 WAN口 IP,工作模式为 被动。结果不能访问。开启CPE的ALG-FTP，其他所有配置都不变,客户端和服务器之间可以传输数据，如下是在服务器抓到的包，与1.2中类似：n 0,1 CM 100 16 . Jiao?12.125.16. 'fi5FTPPTP肌屮TYRE Ippypcn乍*: 700 TypP FPt 2 10.16711l3.135.1-5e.5193,1631.321FTPRequest

22、： FA5VItt49/2t33iS2. l&ILl. iiTt.2型5FTPAesparkst=: 12/ Enterinq Passive ModB !.»逵.1鈕 J *卑丄甄|丄y LP. U-1W5HJL"%21卩rp西'»a.u».9iruju«- B予衽一 LS&.l.l宝比IISTfWIS諂亡塑 空 墜區丸帝町 钠翊 Vi KBSsaaGrZ2 IP； 5 卫盟517；.12 5H10e,i&535aiE50301 卜 他血即 isYW. AOJ ESq-O ACk-l MU-ilK L«

23、;i>0 H丹zj .5fiee9i172. 125-li6. i6igj- i &a. 1.3.勺 nonUTpmadcap > 50003 ACt Stq=l Act=l w1n=l31072 Len=D2i 0,eise&tI92.166rl.i17?,U5,ia«,62345齐TPResponse； 150 opening cofnectton for transfer.0_ bxlOllaj.iEfi.i.J172-125.10.6FTP-DATA*- IK bail： JLfl hyrt!ZS孤虽11弭17；. t?5. IQA. A站站WPi

24、MO?. > a®心p csa* AOC S -q-SlS 址k-l w1r6fiR16 i i t -026 . &E37911?5.1D6. iGI羽 iban5000'?.TCPnrap > 50003 iCk TFqml ict=?O -irlioaa? i *n=ao.eeim1/21 巧192. 168. I.?50C0?TCP Side ill > 5COQ3FrN, ACK厂seqY球血三型閃 3 Ltn-fj26 .192.IBB.1.J1J2. LJS.lUt.b25J5TCP51KKJ占 > ladcap Lack seq

25、22O Ack=2 irf1n=6tai6 Len=DI d "* ”1 *fl * Thl7? r ffL 丹li *.-11.壬-r-. I>> A <r1 壬十 Ecaptur edbitsl 乙Franc L£: 102or hirebi tsj , 102 bytES captur edbitsl '、Ethernet II, trc: Del1_22:19:Be (oo：laraD：23, DSt： DO：4：05：2O=5 CDO：741CU ：20：35> internet ProtucOl . srciJ tlDZIblkl

26、.幻，Oil：1&6. t.>irarremlislofl conrrol prcTiicol, <；rc Pbi: frp (Jl) CXr 卩 orrt Cbn 2站町” h 邯v 21 珀 Ackr 69, lpp: ia之百的数观传皆厦用 打开的端UFile Transfer Prototol (ftp)_ 2Z7 Ente rini Passive Fade <132.163,1,3.15 ,S3>'-rn ftegpgfiae coJe.: £nterirKi P 电1 Wlfl! PASVjS.式ftespons* arg: Ln

27、terlrg Passive r*"od#严豁巾汕 TP占»2.1£« 1.3 (192.1 看g-1 ” 荀Rft： 5100 3 II 杠幵了 砒前騎s nP_RPLPASVJWAKpcap2.ALG-L2T P公司内网CPEPC1L2TPServer<J1）配置L2TP拨号连接（LAN侧PC：假定PC1），如下步骤在 Windows 2003中进行，其他系统类似:在“网线连接”里选择“新建一条新的连接”，点击下一步后选择“连接到我的工作场所的网络”，如下所示:,；n帕 dm*0己连接7 ri C. .11-1在安全选项页面，选择“典型（推荐设

28、置）”，如下配置:新建连£向导理接到工妣曲小 遗荐您就m以測益 3 前闻读电孑却祥.一拧连S勒莪曲工惟fiS济凿同绪远S IIIB -idll ! .= .11. IE： -连接副一个商业网絡（便用拔号或盯旳这样您就可以在家里或者其它地 , 方办公广设置©拔连接W俾觀禎器賈紂亘接讎创眞它计亶机设置此计建机悽苴它上一步笑）I下一步型I取消I下一步选择“虚拟专用网络连接”> “连接名”任意输入 > “公用网络”页面选择“不拨初始连接”>“ VPN服务器选择”页面输入服务器地址，如1 。创建完成后，在虚拟专用网络下出现了刚才创建和连接,右键

29、选择属性，在网络选项里，选择VPN类型为L2T P IP Sec VPN，如下所示:*12tp雇性常规I选项I安全 网貉I高级1VPK类型电）:L2Tr IPSc VTHFPTF VFH此连接使托下刮项目©）；*12tp雇性常规I选项 实垒I冋貉I高镰I涣型购荐设詈）忑予- .H 匚_=捡证羽的身份为住）；.=”I奉iw安银ffie届澜厂晶颦薯番蓋%曾E""豎录名和疤码隨虬厂要求数据加虧殴有就斷开）要使，胃这些设g需妾有安全时的知謨-设置（gj, .、I如果选择“高级（自定义设置）”，配置如下:高级安全设置数S加密:豊彖安全措施厂使用可扩展的身份验证协议爼AT）皂

30、）3雇性I俗允许这珪协仮E）肓莽加窸的密科CFAP）r Shir.密码S松验证协i CSFAT）程）7處询握手身份验证MCCHAP）（£）F MdurgsoEt 口UW匚昵）®厂允许肖Winduys 95服务器便用旧版M3-（JUr （£）両 Hl. cr OSO £t CRtP JtSX 2（W3-CHJkP vZ）（X）厂蹴扇使用我的5壁录需和覩确定 I 取消 I2）修改注册表 打开注册表（命令regedit ）,找到如下路径:HKEY LOCAL MACHINESYSTEMCurrentControlSetServicesRasManParamet

31、ers 新建一个 DWORD 的项，如下:字蔚串谊 二进制佰多宇符串值繼）可扩充字符串值（!）数值名称为ProhibitlPSec，值为1。另一种方式，可以在 PC的任意地方新建一个以.reg为后缀的文件，然后双击运行文件即可，文件的内容 如下:Win dows Registry Editor Versio n 5.00 HKEY_LOCAL_MACHINESYSTEMCurre ntCon trolSetServicesRasMa n'Parameters "P rohibitI PSec"=dword:00000001 修改完成后，重启电脑。3）在CPE上创建一

32、条路由连接,4）CPE 上开启 ALG-L2TP，在LAN侧PC （用于L2TP拨号的PC）可以ping通L2TP服务器。PC1上用步骤1中创建的L2TP拨号连接拨号。应该能够拨号成功，获得地址并ping通相应的网关。5）关闭 CPE 上的 ALG-L2TP ,PC1用L2TP拨号失败。-> “网络”里测试 ALG-PPTP :ALG-PPTP的测试与L2TP基本相同，但不需要修改注册表，另外只需要在“属性” 将VPN类型修改为“ PPTP VPN ”即可。3.ALG-I PSecIP Sec设置,1 ）拨号连接配置：同 ALG-L2TP，这里不再重复。有一点需要修改，在安全选择页面，配

33、置 如下所示:常规选顶 妄垒玄全选项俗典型器荐设気rrsee養直使用预共享的密钥作身份验证GJ） 甕钥国|12345679001确足取消修改注册表：ProhibitlPSec 的值改为0，方法同L2TP中所述，修改后重启电脑。在CPE上创建一条路由连接，LAN侧PC （用于IP Sec拨号的PC）可以ping通IP Sec服务器。CPE上开启ALG-I Psec，在PC1上用步骤1中创建的IP Sec拨号连接拨号。应该能够拨号成功，获得地址并ping通相应的网关。5）关闭CPE上的ALG-I Psec，PC1用IP Sec再次拨号，拨号失败。4.ALG-H323PC10-21司PC2CPE1

34、）配置 NetMeeti ng，如果是第一次使用，则需要通过向导配置。Netmeeting在 C:ProgramFiles'NetMeetingconf.exe，运行命令 conf 即可。Win 7 中没有 NetMeeting插件。LAN侧的PC1和WAN侧的另一个PC2上都需要配置，配置的过程只需要按向导一步一步进行即可。2）在CPE上创建一条路由方式的 WAN（DHCP）连接，确定PC1可以ping通PC2。同时开启ALG-H.323。3 )在 PC1 和 PC2 上打开 NetMeeting ，PC1 上 NetMeeting的地址栏中输入 PC2的IP地址，并点击【进行拨号】

35、按钮或回车。rti* I mid <UJ_ I.厂;虽I Jt T5K1 f I单击【Add】按钮，在弹出的窗口中，输入SIP服务器地址和账号信息，如下所示:PC2上接到呼叫后接收，即可 双向通话，传输文件。关闭ALG-H.323，其他配置都不变。重复步骤3，发现可以建立连接,WAN侧PC2上可以听到LAN侧PC1上的声音(单通)，可以输入 文件。5.ALG-SIPPC11)CPE上创建一条路由方式的WAN连接，确定LAN侧PC1可以ping通SIP服务器。2)配置 X-Lite。在 X-Lite 页面右键选择"SIP Account Settings ”，如下:Reflirt

36、eirfca.Aboutns-OptioSIP Account SMing刍Pnvacv Rule jOpen Diagnostic LogOpen Diagnostic FolderHelpProp ertiei of Acco u ntlA-CCOUn t y«iceD*il Topology FrcxeikckLker DetailsRerrov-：Rrnperri'.Fake Defu.tCloseAdd. j)User namemP aEsword*»A<jthorization Liser rmemJDisplay Name111Domain172

37、.125.106.>omflin Proxy0 ftegister wilh domain and receive incwnirig callsSendoLitbouid via:丿 Server需要在LAN侧PC1和WAN侧另一个PC2上都需要各自配置，这里PC1上注册111 , PC2上注册为222 。3)PC1和PC2上的X-Lite拨对方的号后可以通话，WAN侧抓包看到SIP的首部已经转换为 WAN IP，如下所示:B session initiation ProtocolB ftecuest-Line: INVITE sip:222t&172.12 5.10i6. 6 SIP/2.0B Message MenderTranspirt: UDPSent-b/ Address: LO.S6.10O.201 ztni-b/ porl: 5oe0Eraini'Zh: zyhG4bKeydaa2d2353Sl/ZGclddlytiyed