跨网段FTP扫描因TCP通信端口限制原因失败对应措施

【故障现象】

客户使用FTP扫描方式处理文件扫描，发现电脑和MFP在相同网段可以正常使用FTP扫描，如果扫描目的地电脑和MFP不在相同网段， 无论使用主动FTP或被动FTP方式、使用KM FTP Utility或其他FTP 服务器软件，都无法完成FTP扫描。

检查复印机IP地址和网关地址信息设置正确，客户跨网段电脑打印到复印机作业正常输出，电脑跨网段访问复印机WebConnection 网页正常。

【故障分析】：

通过和客户的IT管理人员进行沟通，确认客户网络对跨网段访问的TCP端口设置了防火墙限制，网络管理员只开放经过申请的部分端口容许跨网段通信，如TCP 80 （HTTP）、TCP 443 (HTTPS)、TCP 9100 (RAW Print)、TCP 515（LPR Print）等端口申请后开放正常通信。

服务工程师告知客户IT管理人员FTP服务需要访问TCP 21端口, 客户IT将TCP 21端口添加到防火墙例外端口，但测试跨网络FTP扫描仍然不成功， 复印机执行原稿扫描后提示服务器连接错误。

分析FTP文件传输协议工作原理，FTP 文件传输有主动模式(PORT)和被动模式（PASV）， FTP通信第一步是客户端连接服务器TCP 21端口通信建立控制端口通信连接， 第二步数据通信由客户端决定采取主动模式或被动模式通信；主动（PORT）模式下，客户端通知FTP服务器连接自己的某一个TCP数据端口传输数据文件；被动(PASV)模式下， 客户端连接服务器端指定的TCP数据端口，完成数据文件传输。

通过原理分析，确认要完成FTP跨网段通信，还需要客户IT人员开放另外一个FTP数据通信端口防火墙限制才能完成数据传输。

在主动模式（PORT）下， 由客户端确定数据端口，使用的数据传输TCP端口是不固定的， 无法告知客户IT人员开放哪一个TCP数据端口。在被动(PASV)模式下， 由FTP服务器端确定使用一个固定的TCP端口作为数据传输的端口.

【处理对策措施】：

经过确认，我们的KM Ftp Utility 软件支持主动模式（PORT）和被动(PASV)模式数据传输，在被动(PASV)模式数据传输时， 使用TCP 1098 端口完成数据传输。KM Ftp Utility 软件的被动(PASV)模式数据传输TCP端口已经固定为1098， 不能在设置界面进行更改。

通过和客户IT管理人员沟通， 将21和1098两个TCP端口加入跨网段防火墙例外端口后，客户更改为使用 FTP 被动模式（PASV）扫描，跨网段扫描正常使用。

其他的专用FTP服务器软件，例如SERV-U,可以指定PASV模式下的数据通信TCP端口。

在注册FTP方式扫描目的地地址时，默认是使用主动（PORT）FTP模式;

使用被动模式（PASV）FTP扫描，需要在注册扫描地址选择启用PASV模式。