思科维护此类事情的文档。大约需要 2 秒钟才能找到有关如何执行此操作的特定文档。主动和被动 FTP 概述和配置：

主动 FTP 概述

活动的 FTP 会话包括以下步骤：

1. 客户端向 FTP 服务器发送 PORT 命令。源端口是一个随机的高编号端口。目的端口是 21。
2. 服务器以 ACK 响应。
3. 服务器使用源端口 20 和客户端的 PORT 命令中指定的目标端口启动与客户端的连接。
4. 客户端向服务器发送 ACK。FTP 会话现已建立。客户端防火墙通常配置为阻止传入连接。这会导致上述过程的第3步失败，如下图：

活动 FTP 的 MX 配置

在 MX 设备上配置活动 FTP 是一个简单的过程。必须构建防火墙规则以允许端口 21 和 20 上的入站连接。可以在此处找到有关构建防火墙规则的其他信息，以下示例详细介绍了 1:1 NAT 规则，该规则允许入站连接到内部 FTP 服务器。

默认情况下，MX 设备允许所有出站连接，因此不需要额外的防火墙配置。下图概述了活动 FTP 流量的流向，以及 MX 发挥作用的地方：

补充一点，截至 2016 年 12 月，如果没有在 Meraki MX 设备上安装测试版固件，则不支持客户端出站活动 FTP（Ron 的第一张图片）。查看 Meraki 文档中的第一条注释：

https://documentation.meraki.com/MX-Z/NAT_and_Port_Forwarding/Active_and_Passive_FTP_Overview_and_Configuration

这是因为 Meraki MX 不像其他供应商那样为客户端 FTP 会话提供 FTP 检查引擎。有一个测试版固件可用于纠正此问题，必须打开 Meraki TAC 机箱才能将其推下进行升级。