编一个简单的FTP的服务器端和客户端，能通信就可以，语言不限

FTP客户端

101001

端口 <==> ISP NAT网关

6114412

端口 <==> TH服务器

端口21 <==> TH客户端 <==> 用户FTP服务器

101001

端口21

FTP客户端通过ISP的NAT网关、科迈TrueHost服务器、TrueHost客户端，连接用户本机的FTP服务器的21端口。

当需要下载数据的时候，FTP客户端通过这条命令链路，向FTP服务器发送PORT命令。假设命令为：

PORT 10,10,0,1,30,4 （即IP=101001 端口=30256+4=7684）

当命令通过ISP的NAT网关的时候，NAT网关判断目的端口是21，并且是PORT命令，于是，修改命令里的IP和端口，替换为自己的IP和端口，比如：

PORT 61,144,1,2,50,6 （即IP=6114412 端口=50256+6=12806）

用户的FTP服务器最终收到的是上面这个PORT命令。于是，FTP服务器向这个IP和端口发送连接请求，建立数据链路。

用户FTP服务器

101001

端口20 <==> ISP NAT网关

6114412

端口12806 <==> FTP客户端

101001

端口7684

但是，因为NAT网关的公网IP只能接收外来的连接请求。就是说，6114412:12806只能接收其他公网IP的连接请求，对于从NAT内部（101001:20）发起的连接请求，是无法建立连接的。为什么？原因很简单，因为内网IP要访问外网，必须要通过NAT建立映射。于是FTP数据链路无法建立。于是，用户无法在自己的机器上通过21端口访问自己的TrueHost FTP。

我们再来看看，如果FTP端口不是21，比如是22，会发生什么情况呢？在FTP客户端发送PORT命令的时候，NAT网关检测到目标端口是22，因为支持PORT的 NAT网关只监视目的端口是21的数据包，发现目的端口是22的数据包，不做任何处理，完全放行。于是FTP服务器收到的PORT命令依然是PORT 10,10,0,1,30,4。于是FTP服务器向这个IP和端口发送连接请求。

用户FTP服务器

101001

端口20 <==> FTP客户端

101001

端口7684

这种情况下命令链路就可以建立起来了。而且是等于本机连接本机，速度飞快。

综上所述，内网用户无法用PORT方式通过21端口访问自己的TrueHost FTP服务器。如果FTP端口不是21，则可以访问，而且实际上是本机连接本机。

上面的文字，仅仅是为了说明一些原理，不影响实际使用。如果本机访问本机，还要通过FTP的话，就有画蛇添足之嫌了。

路由器接入(2900系列)+防火墙（ASA至少5口的、5505就是7口的、需要没有用户限制的 2W的价钱 一口inside一口outside 3口dmz连接三个服务器、）+ 3个交换机 （2个48口的华为交换机+一个24口的3层交换机）inside下面用交换机扩充端口、不用画拓扑你看吧 这么明显、