四，从访问控制列表排查“病情”

    既然网络是畅通的而且也通过了用户名密码验证，那么为什么会出现无法列表的问题呢？可能有经验的读者会说FTP服务器上没有给对应帐户列目录的权限，但是本人并没有针对该权限进行限制，而且从FTP登录信息来看外网到达FTP服务器的路径应该是畅通的，用户名和密码也通过了验证不存在错误问题，于是笔者从端口入手检查故障。

    一般来说服务器某端口无法顺利连接大部分都是因防火墙引起的，笔者查询了服务器上的防火墙配置并没有针对相应端口进行过滤，而且关闭防火墙后故障依旧。

    之后笔者开始怀疑是企业内部核心路由交换设备上针对该服务器添加了访问控制列表ACL信息来过滤不必要的数据包。

    第一步：访问企业核心路由交换设备，通过show current来显示当前配置。

    第二步：找到该服务器连接的端口，我们发现在该端口存在ip access-group 100 in的指令，这个指令就是添加了一个访问控制列表100用来限制进入该端口的数据。（如图6）

    第三步：继续查询对应配置，原来访问控制列表100中添加了对数据包的过滤命令。（如图7）

    第四步：在外网计算机上查询要访问的FTP服务器域名对应的IP地址，因为访问控制列表ACL都是基于IP地址进行过滤的，执行nslookup XXX.XXX.XXX后查询到该服务器对应的IP地址。（如图8）

    第五步：取消访问控制列表中针对该地址的过滤命令，当然有时我们企业内部可能有多个路由交换设备，可能核心设备上并没有开启对某服务器的过滤，但是其他设备上添加了这种过滤，那么同样也会造成内网服务器访问故障，这时我们可以通过dis ip routing-table XX.XX.XX.XX命令来查看到达该服务器的路由信息，从而找到其他连接服务器与核心设备的路由交换地址信息，再进一步完成取消访问控制过滤信息的工作。（如图9）

    通过研究分析访问控制列表过滤语句并取消对应过滤指令可以解决很多因为端口问题造成无法访问的故障。