ALG測試指導書

1、同維電子測試部朱世旺2010/8/21文檔摘要：用于指導新入職測試人員測試 ALG關鍵字：ALG縮略語：正文：ALG測試指導書1. ALG-FTPFTP的的數(shù)據(jù)連接工作模式有主動（ PORT和被動（PASV兩種。訪問 WAN側FTP服務器時，控制主 動模式下的FTP,訪問LAN側虛擬主機（FTP服務器）時，控制被動模式下的FTP。測試步驟如后面所述。先了解主動和被動模式的工作：主動模式：1 ）建立控制鏈路：Client端向Server的FTP端口（默認21）發(fā)起連接請求，服務器接受后建立一條控制鏈路。2）當需要傳輸數(shù)據(jù)時，客戶端在控制鏈路上用PORT命令告訴服務器“我打開了xx端口，你來連我”

2、，于是服務器向客戶端的 xx端口發(fā)送連接請求，建立一條數(shù)據(jù)鏈路來傳送數(shù)據(jù)。被動模式：1 ）建立控制鏈路：Client端向Server的FTP端口（默認21）發(fā)起連接請求，服務器接受后建立一條控制鏈路。2）當需要傳輸數(shù)據(jù)時，客戶端告訴服務器“我要用 PASV莫式和你傳輸數(shù)據(jù)，請打開 一個端口”，然后服務器在命令鏈路上用 PASV命令回答客戶端：“我已經(jīng)打開了 xx端口，你可以過來連接 我了”，最后客戶端向服務器的 xx端口發(fā)送連接請求，建立一條數(shù)據(jù)鏈路來傳送數(shù)據(jù)。1.1 LAN側客戶端主動方式網(wǎng)ftp serverJ公司內(nèi)CPE用于測試LAN側FTP客戶端和 WAN側FTP

3、服務器之間的傳輸數(shù)據(jù)，在這種方式下, 數(shù)據(jù)傳輸?shù)慕?。ALG-FTP開關影響1）CPE上創(chuàng)建一條路由方式的 WAN連接， 能；2）LAN側PC用FTP工具連接FTP服務器, 在【站點管理器】界面右鍵選擇【新建】I本I謹動器/ 站點曾理器ILAN側PC可以ping通FTP服務器，在 CPE頁面關閉ALG-FTP功使用主動模式。用CuteFTP工具如下所示:- >【FTP站點】，或Ctrl+N :- Q:General FTP Sftesai:. -si:jiJ 10.10.0,152 ftp;/21O.2a, 39,1(- J GlobalSCAPEDoi閨妾向導（W）»-Ctr

4、l + J 1新1理*卜tFTP站點®LCtrl + NPAPJ®口曰舌窗口Alt+F3K=r-.E程換哼礙點苣現(xiàn)養(yǎng)酗，客本地路徑保?7為默認（LL.粹遠程路堯碾存無）黙認啞“標記當前戈件突書筌.FTPS (SSL)站點 £| SFTP (SSH2)站點 創(chuàng)HTTP站怎" 通| HTTPS (S&L)站點(D.Ctrl-M4 J17.5 350 Rtfiturt irt£ it t>PORT LK: 165, L3: 192. 103.4:17:5-6 200 FORTSuCi&isful.LIST4：注：牝矣叟奎縣罷馮二

5、比蕪土誑彳處崖在站點屬性的【常規(guī)】頁面里輸入FTP服務地址和用戶名密碼，在【類型】頁面的 數(shù)據(jù)連接類型里選擇端口 :“使用PORT：.常規(guī)類型動作1詢頁協(xié)堿糞型：FTF （標準文件特輸協(xié)徴服務器類型（3）密碼保護自動檜測CU）數(shù)據(jù)連搐矣型0）：'使用両廠°不加密0）MD4IID5自動榆捌DTP從客戶端來看，無法顯示 FTP服務器的文件，實際是不能夠建立數(shù)據(jù)傳輸?shù)?，抓到的?shù)據(jù)包如下:3）開啟ALG-FTP功能，其他所有配置都不變，LAN側FTP客戶端能夠與 WAF側FTP服務器創(chuàng)建數(shù)據(jù)連接,能夠正常傳輸數(shù)據(jù)：竄規(guī)類型琥1K 詭頃舞口 0:頻據(jù)連接類塑町Auto=d.»

6、t«ct帝瑪佞護*不如啟訓RD4ND5戢7椒UH 0T? 0.1抓包如下:34 35.SS3276192.1G8.1. 321FTPRtquejt: cwd janonyrwLS/D35 35.950736192.1«d.l.34A653FTPResponse : 250 CWD comrrard successful.36 36,0012981Q2.16B.1. 3172-125.10.21FTPRequest! PORT 192,168,1,3,104,23137 36,0756034563JFTPResponse: 200 fort cormand successfu

7、l-38 36.113643192.168.1. 321FTPRquast: LIST3ft 36.2012S749SA5TCPdrmsfsd >SYK Ecq-0 in-65535 lcthW 26.2O14DO1*168 丄 317；.125.lOt.饑卿TCP895 > drmcftd sykt ack scq-0 Ack-1 win41 36.232560dOEOSlTCPdrmsfsd = 49E95 ACK Seq-1 Ack=l *111-655342 36,2618164OE03匚TPR4spons«: 150 opflrlr ccnrsction for

8、 trans-1Q2.16£.1.34QS95-TCPdrmsfsd > J0S05 WK spq-l Ack-1 nin»6SS44 36. 280361TCPcimsfsd > 4QK9 5 PSF H ACKJ spq-1427 ftck-1 '45 北* 為*12719Zb16S1U 5172.125b1O©b©4ogpTCP49J59 > tlrmqfvfl mh seq=l Ark»77ifi udn&“弓瓦閃94怖17Z.125.192.1tiB, J. 34QE95TCPdrm

9、sfsd > qqf；*? ftkp ack spq=?nfi ac£=i 47 36.209405192“3丄* H409 Srep4695 > drmsfsd Each! seq=l ACk=Z7L7 vrin=&48 36, 3004891921厲涇:L317212予1O陌陌4098TCP49G93 > dr IllSfSd FHh. fl£Kl 5Q=1 ACk=2717iibFrdm« 藥：SObytas on wi ra別 obits), 80 bytescapturad (640 bits)Fthmpr TT hSrr:!_

10、?:!Q:8?DO ria:aO:22:1Q :Sej p Ost:(»:74:04:05:?0r35 <00:74: 04 :O5:?O:?5JTnrrripr Prnrnral ± rc: 14?. 1l.i赫 J” 陽，D5TI 172.12S.106.6 tl72.12S.iD6. 6)Trn坷nd峙斥r nnccxirrol c*ratcnl ±wpert:恥沁中(dQgQ町，nst Port t ftp <?1) t121, iclc: UJ., l?n: ”fTrsnsfprprotocol Crp)I- PO叭 IWM6SJ.31 盹血

11、equesi gyjn： pj祈二倉式為FD町Request arg; 192.163.f.3.194,Z31嚴tP妁 ip addrss; W L訊二.于 <19Z,：6«.l, 3J Aft We pqt; 2 陽習 打開 vSn 4R951.2 LAN側客戶端被動模式公司內(nèi) 網(wǎng)A CPEc>Aftp serverLAN側客戶端和 WAN側FTP服務器之間傳輸數(shù)據(jù)時的測試，ALG開關不能影響這種模式，所以無論ALG-FTP是否開關，數(shù)據(jù)傳輸都能夠正常進行。當客戶端以被動方式連接時，步驟如下：1）在主動方式的基礎是，修改客戶端FTP的工作模式為被動

12、模式，關閉ALG-FTP,如下所示的用 CuteFTP:戦類型咖瞇頂協(xié)墜型広端口；FTT鯨準文件傳輸協(xié)詢* 21灌蠡冷斜鶴里以非安全的加本）方弍使用工朋務器類型處Autoi-detect埶搖連接類型創(chuàng)：Q不如密（W'使用咱-e mII用荃局謖盍MD5自動檢則OTFOC1傅用PASV3無時差粹自動檢測0D2）客戶端與服務器之間能夠正常傳輸數(shù)據(jù)，通過手抓包可以看到使用被動模式:S1 21.-945779172-172-125-106.61M. Lt a . 1. a215初甫FTPFTPRequest: TYPE IKespanse： 2Od Twe set t& 153 22.C

13、588B8192. IN, 1.3172.125+10«.BJIFTPRequests PA5V1513Rtsprst: 22? Entirwgwod* (12,125,20) |SS ?29117i731 2. 163P1. 1172. 12 5,105. £FTPRequesi：: rets 1?7、岸成 262 -141 3272d 5 ?M37d T pc apS6 22.1504S3192.16S 1 331C1TCP52070 a hp-pnpib 5VH SbgH> W-inB192 Len-0 HS5-14G0 WS-2S? 22.iyOS!43172

14、.125.JUD6. &1l92 1611.3S2O7OTCPtip-pxplb a 520?D 5VH, AOC St=6 Ack=l Wlrt=砧!HS LSH=fl M<58 22.190729192. IM. 1.3172.12S»1M+SICF5?0T0 > tip 少pm i£K Mjq-1 *tk-lL«rM)W 22.2&1«47172/125.1&6.G52067FTP氏電耳卩”：它；15*0 Opening conruectiem for transftr.W 3215X50LW-lta.l. 3罰

15、丁 QFTP-DATA FTP 皿兀凰：14bytW61 22,261651172.125,106, 652070ftp-data ft尸 oat忌：1426 byiesi 02. its 1 VJillTCPi20 - O 尸 hp-p?ipi b ACK 5eq*l Ack*2tiiiLen*06J 22.3QVgiS"蠹那.1H. fi520 7QFTP-DATA FTP 04T&： 142& bVTf&1 J2S1094975?070FTP-dataftp DdT3： 14? byres時 2£,5D95M172.1

16、25.1Q«&仏70FTP-DATA FTP Data: 1426 bytes66 22-1D9664192.3172.12 5-.lfb&_6【屯吐TCP52070 > hp-pxp1b A£K seqi 並亡k=7131 w1n=6t9 76 Lent=o14iflAfLtN 7勺亍髯iMnor 中事也i iCTQHAT 4 1»鼻十 hfarF fl-L|Frars 54: 103 t>洪殆 on ire (824 bits) k 103 bytiss captured C824 bits)EThernet II B £

17、rc： on： ?4rO4：05-2Q! 35 (0a：74：W：a5T2D!,35) , DST： Del 1_72：'19 ! St fOO r li! 30 22 ! 1 9 ! £ie) internet Protocol, sre: 17Z. 125.106.6 (172.125.106. r ost: I'SQ.ifiB.l. 3 192.1i5A, 1-3)Transni ss-ian Correro 1 Prcrtocol Src Port: fxp £21) # Ekst Port: S2047 CS206?).寫晝口； 49J, Ack:

18、 127, L*n-； 44 Fll* irainsfer PratoEOil (ftp)2?7 rntfrlngModi? (17?!l?5l10'6pfr nResponse code: Enteri ng Passi x e Fod (22?)R-frsporiEe argr Eftterlrig Passive k'dde (172v12Sa 106,6,12,29)(172,125/106.Pisiry* port3101 n第53個包：客戶端向服務器請求使用PASV模式傳輸數(shù)據(jù)。從第54個包可以看出，服務器打開的數(shù)據(jù)傳輸端口為3101，后面?zhèn)鬏敂?shù)據(jù)時所用的服務器端口

19、也確實是3101。1.3 WAN側客戶端主動方式ALG-FTP是否開關,客戶端是服務器之間都可以正常傳輸數(shù)據(jù)。1）CPE上創(chuàng)建一條路由方式的 WAN連接，開啟 DMZ（ DMZ主機為LAN側PC, IP如 ），DMZ主機 上搭建一 FTP服務。2)3)4)5)關閉CPE的ALG-FTP功能，LAN側的DMZ主機能夠pi ng通WAF側的PC2 （作為FTP的客戶端）。PC2上用FTP工作訪問CPE的WANq IP，工作模式為 主動，同中的配置。PC2能夠訪問LAN側DMZ主機的FTP服務器，同中的數(shù)據(jù)包。開啟CPE的上ALG-FTP,其他配置不變，結果同關閉LG-FTP1

20、.4 WAN側客戶端被動方式DMZFTP Clie ntJA CPE公司內(nèi) 網(wǎng)HostLAN側FTP服務器和WAN側客戶端之間傳輸數(shù)據(jù)時的測試。1） CPE上創(chuàng)建一條路由方式的 WAt連接，開啟 DMZ（ DMZ主機為LAN側PC, IP如 ），DMZ主機 上搭建一 FTP服務器。2）關閉CPE的ALG-FTP功能，LAN側的DMZ主機能夠pi ng通WAF側的PC2 （作為FTP的客戶端）。3）PC2上用FTP客戶端工具訪問CPE的WANq IP，工作模式為被動。結果不能訪問。4） 開啟CPE的ALG-FTP,其他所有配置都不變，客戶端和服務器之間可以傳輸數(shù)據(jù)，如下是在

21、服務器抓到的包，與1.2中類似：17 0,467171193-168-1,3FTP1S . 437203172.125.1OC.623-15 FTPT777T73TnJftnrnr21 0+ 5308622 .566612i 0,618*6424 0. »1071172.125,113*- 6192.IM. 1.3192 - L«8. 1 1172-125.106197.isa1-3172,12 5.106,6215000 J TCP2535 TCP呃霜“ c: LJSlhl 2 陌雖巧 LSHG WiS-1456 W5-2§eq-C %

22、ck-l xlrr-8192 Len-0 IMSSTN.?5 0* 6J11MEE27 l?r66339023 D.&&J442TH Ri中 FFIdi 甌 Id17?打12 125rH>6B 6192.168 ZZ3m im臨斷192. L6U172.12 5. lOt.fa.5£K>QJi. JK1Pmadcap > 5OQO3 AEIC1 5eq=l Ack=L win=l 31O7Z Len=O2345 ftpResponse: 150 cpemlrq conr電c.t4or> for transfer.25J5 f JP-BATAf

23、TP DitM： 216 byt M2515 KP5OCO3 下CP"5moi a imW叩 Lnw, m kJ 5«>q-?i 81 Ark-i 応 In-和骯殆 i er-oiTiadrap > 刃口口缶ArtAck«?O d弓口呂5E |.en=a5000 tcp madcap > 50003 ft叭 mk seq-1 *ck-22D h1n-13OS52 teo-O 5SJS TCP bQOOf > madeap A£kJ 5eq22fl右 2r仁D«X krrFraw 18: 102 byt:es gn 足(8

24、16 bits-l s 102 bytes captured (S16 bits) llriterri*it R atoLOl B Srt： 1*2“丄石此,耳 tl<?2aLbH-l£. tet: 172.12SHMiq石(12.12i丄氐£0Trammlfisliw control PrcToccl src Ports ftp (21 i Perri <3bm (2345) fAck: 691 Len- asEthi&rineE II, src：fODf LN：自IKt ： DO ! 74 ：D4： £35:201； JSi COO： 74

25、：O4 ：O5 ：2O： 35)File Transfer Protocol (ftp)C 227 Entering Passl ve fvode ifL92,168.1 r 3 p 195 jBaJMAn 倉e和ansE cixfe：PassJv *詁5 C237) I kJQPASBj；式ftesponse Arg; Entering Passive r*od* (12Tlfea3lsBl)曲菇和 TP add"注:尹(192-18-1. 33 *£審塚 護"：弭口甲打開了 d D M謂門2. ALG-L2TPPC1L2TP公司內(nèi)CPEBServer1）配置L

26、2TP撥號連接（LAN側PC:假定PC1）,如下步驟在 Windows 2003中進行，其他系統(tǒng)類似:在“網(wǎng)線連接”里選擇“新建一條新的連接”，點擊下一步后選擇“連接到我的工作場所的網(wǎng)絡”，如下所示:巨亟三國MM吧十” I 亠墨乂 口 y.l. DTT 0110 /j* A B 1下一步選擇“虛擬專用網(wǎng)絡連接”一 > “連接名”任意輸入 一> “公用網(wǎng)絡”頁面選擇“不撥初始連接”> “ VPN服務器選擇”頁面輸入服務器地址，如 1 。創(chuàng)建完成后，在虛擬專用網(wǎng)絡下出現(xiàn)了 剛才創(chuàng)建和連接，右鍵選擇屬性，在網(wǎng)絡選項里，選擇VPN類型為L2TP IPSec VP

27、N，如下所示：*12tp屬性常規(guī)丨選項丨安全 網(wǎng)貉|高級VPH 類型(J):L2TT IPSec V?HrFFTF 叩Wll!L2Tf IFS«c VTH01；連接使用下列項目（01IE阿路監(jiān)觀器馳動程序在安全選項頁面，選擇“典型（推薦設置）”，如下配置：如果選擇“高級（自定義設置）”，配置如下:2）修改注冊表打開注冊表（命令 regedit），找到如下路徑：HKEY_LOCAL_MACHINESYSTEMCurre ntCon trolSetServicesRasMa n'Parameters新建一個 DWOR的項，如下：數(shù)值名稱為ProhibitIPSec ，值為1。另一

28、種方式，可以在PC的任意地方新建一個以.reg為后綴的文件，然后雙擊運行文件即可，文件的容如下：Win dows Registry Editor Versio n 5.00HKEY_LOCAL_MACHINESYSTEMCurre ntCon trolSetServicesRasMa n'Parameters"ProhibitlPSec"=dword:00000001修改完成后，重啟電腦。3） 在CPE上創(chuàng)建一條路由連接，LAN側PC （用于L2TP撥號的PC）可以ping通L2TP服務器。4）CPE上開啟ALG-L2TP,在PC1上用步驟1中創(chuàng)建的L2TP撥號連接

29、撥號。應該能夠撥號成功，獲得地址 并ping通相應的網(wǎng)關。5）關閉CPE上的ALG-L2TP, PC1用L2TP撥號失敗。測試 ALG-PPTPALG-PPTP的測試與L2TP基本相同，但不需要修改注冊表，另外只需要在“屬性”-> “網(wǎng)絡”里將VPN類型修改為“ PPTP VPN即可。3. ALG-IPSecIPSec設置,1）撥號連接配置：同 ALG-L2TP,這里不再重復。有一點需要修改，在安全選擇頁面，配置 如下所示：常規(guī)|選項 妄全|冋絡|高級|I安全選項席典型強薦設置）2） 修改注冊表：ProhibitIPSec 的值改為0,方法同L2TP中所述，修改后重啟電腦。3） 在CPE

30、上創(chuàng)建一條路由連接，LAN側PC （用于IPSec撥號的PC）可以ping通IPSec服務器。4）CPE上開啟ALG-IPsec，在PC1上用步驟1中創(chuàng)建的IPSec撥號連接撥號。應該能夠撥號成功，獲得地 址并ping通相應的網(wǎng)關。5）關閉CPE上的ALG-IPsec，PC1用IPSec再次撥號，撥號失敗。4. ALG-H3231 ）配置 NetMeet ing ,如果是第一次使用，則 需要通過向導配置。Netmeeti ng 在 C:Program Files'NetMeetingconf.exe，運行命令 conf 即可。Win 7 中沒有 NetMeeting 插件。LAN側的P

31、C1和WAN側的另一個PC2上都需要配置，配置的過程只需要按向導一步一步進行即可。2） 在CPE上創(chuàng)建一條路由方式的 WAN（DHCP連接，確定 PC1可以pi ng通PC2同時開啟ALG-H.323。3）在PC1和PC2上打開 NetMeeting，PC1上NetMeeting的地址欄中輸入 PC2的IP地址，并點擊【進行 撥號】按鈕或回車。4）PC2上接到呼叫后接收，即可 雙向通話，傳輸文件。5）關閉ALG-H.323，其他配置都不變。6） 重復步驟3，發(fā)現(xiàn)可以建立連接， WAN側PC2上可以聽到LAN側PC1上的聲音（單通），可以輸入文件。5. ALG-SIPSIP服 務器1）CPE上創(chuàng)建一條路由方式的WAN連接，確定LAN側PC1可以ping通SIP服務器。2）配置 X-Lite。在 X-Lite 頁面右鍵選擇"SIP Account Settings”，如下:單擊【Add】按鈕，在彈出的窗口中，輸入SIP服務器地址和賬號信息，如下所示:Propertiies. of AccountlFrissnc*AccountUser DetailsDomain Proxy匣flwith dorriain and receive