IP : Conversão de endereços de rede (NAT)

Utilização de Números de Porta FTP Não-Padrão com NAT

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Os Software Release 11.2(13) e 11.3(3) do ½ do ¿  de Cisco IOSï introduziram a funcionalidade para que o Network Address Translation (NAT) apoie números de porta não padronizados do File Transfer Protocol (FTP). Em versões mais antigas do software Cisco IOS, quando um roteador habilitado para NAT recebe um pacote com endereço IP que precisa ser traduzido em NAT e o número da porta TCP padrão está para a conexão de controle de FTP (21), o roteador reconhece o pacote como um pacote de FTP e faz a tradução necessária no payload (parte de dados) do pacote. No entanto, se o servidor FTP estiver usando um número de porta de FTP não padrão, o NAT ignorará o payload do pacote. Isso pode impedir que conexões de dados FTP sejam estabelecidas.

A fim apoiar o uso de números de porta não padronizados FTP, você deve usar o comando ip nat service. Esta tabela descreve as opções disponíveis neste comando:

Opção Definição
lista Especifique a lista de acesso que descreve endereços globais.
nome Nome da lista de acesso para o endereço local do servidor.
número Número da lista de acesso para endereços globais.
ftp Protocolo FTP.
tcp Protocolo TCP
porta Porta especial não padrão.
número da porta Número de portas especiais fora do padrão.

Esta é uma sintaxe da amostra:

router-6(config)#ip nat service list 10 ftp tcp port 2021

Alguns importantes a notar:

  • O endereço da lista de acesso no comando acima deve corresponder ao endereço IP local interno para o servidor FTP com a porta de controle FTP não-padrão.

  • Se uma porta de controle de FTP não-padrão for configurada para um servidor de FTP, o NAT pára de verificar as conexões de controle de FTP que estão utilizando a porta 21 para aquele servidor FTP. Todos os outros servidores FTP continuam a funcionar normalmente.

  • Um host com um servidor de FTP utilizando uma porta de controle não padrão também pode ter um cliente de FTP utilizando a porta de controle de FTP padrão (21).

  • Se um servidor FTP usa a porta 21 e uma porta não padronizada, a seguir você precisa de configurar ambas as portas usando o comando ip nat service list <acl> ftp tcp <port>. Por exemplo:

    ip nat service list 10 ftp tcp port 2021
    ip nat service list 10 ftp tcp port 21

    Entretanto, não é possível configurar diversas listas de acesso para a mesma porta e o mesmo serviço. Por exemplo:

    router-6(config)#ip nat service list 17 ftp tcp port 2021 
    router-6(config)#ip nat service list 10 ftp tcp port 2021
    % service "ftp tcp port 2021" is already configured for access-list 17 

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco IOS Software Release 11.2(13), 11.3(3), e mais tarde

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurações de exemplo

Em cada um dos exemplos abaixo, os fluxos que a NAT processa como conexões de controle de FTP são descritos em uma tabela que vem depois das configurações. Em cada tabela, “todo o endereço local” refere qualquer endereço que não igualar 10.1.1.1.

Configuração de exemplo 1

Supõe que estes servidores FTP estão sendo executado em sua rede local:

  • Um servidor FTP com o endereço IP 10.1.1.1 que é executado no número de porta de TCP 2021.

  • Servidores FTP adicionais com endereço IP de Um ou Mais Servidores Cisco ICM NT “alguns” (a não ser 10.1.1.1) no número de porta de TCP 21.

    ip nat service list 10 ftp tcp port 2021 
    access-list 10 permit 10.1.1.1 
Endereço de origem Porta TCP de origem Endereço de destino Porta TCP de destino
qualquer endereço local qualquer porta 10.1.1.1 2021
qualquer endereço local qualquer porta qualquer endereço local (consulte a nota) 21
10.1.1.1 qualquer porta qualquer endereço local (consulte a nota) 21

Nota: Nenhum endereço local não iguala 10.1.1.1.

Esta lista descreve o processo NAT que é detalhado na tabela precedente:

  • Primeira linha: Um pacote com algum endereço de origem e algum número de porta destinados ao servidor FTP (10.1.1.1) com necessidades do número de porta 2021 do TCP destino de ter a tradução NAT necessária do payload.

  • Segunda linha: Um pacote com algum endereço de origem e algum número de porta destinados a algum endereço local (a não ser 10.1.1.1) com necessidades do número de porta 21 do TCP destino (porta típica do controle de FTP) de ter a tradução NAT necessária do payload. Consequentemente permitindo todos os servidores FTP (a não ser 10.1.1.1) que são executado na porta típica 21 para ter a conversão NAT de payload necessária.

  • Terceira linha: Uns pacotes de origem de 10.1.1.1 com algum número de porta destinado a algum endereço local (a não ser 10.1.1.1) com necessidades da porta 21 do TCP destino de ter a conversão NAT de payload necessária.

Configuração de exemplo 2

Supõe que estes servidores FTP estão sendo executado em sua rede local:

  • Um servidor FTP com o endereço IP 10.1.1.1 que é executado no número de porta de TCP 21 e 2021.

  • Alguns servidores FTP com endereço IP de Um ou Mais Servidores Cisco ICM NT “alguns” (a não ser 10.1.1.1) no número de porta de TCP 21.

    ip nat service list 10 ftp tcp port 21 
    ip nat service list 10 ftp tcp port 2021 
    access-list 10 permit 10.1.1.1 
Endereço de origem Porta TCP de origem Endereço de destino Porta TCP de destino
qualquer endereço local qualquer porta 10.1.1.1 2021
qualquer endereço local qualquer porta 10.1.1.1 21
qualquer endereço local qualquer porta qualquer endereço local 21
qualquer endereço local qualquer porta qualquer endereço local 21

Esta lista descreve o processo NAT que é detalhado na tabela precedente:

  • Primeira linha: Um pacote com algum endereço de origem e algum número de porta destinados ao servidor FTP (10.1.1.1) com necessidades do número de porta 2021 do TCP destino de ter a tradução NAT necessária do payload.

  • Segunda linha: Um pacote com algum endereço de origem e algum número de porta destinados ao servidor FTP (10.1.1.1) com necessidades do número de porta 21 do TCP destino de ter a tradução NAT necessária do payload.

  • Terceira linha: Um pacote com algum endereço de origem e algum número de porta destinados a algum endereço local com necessidades do número de porta 21 do TCP destino (porta típica do controle de FTP) de ter a tradução NAT necessária do payload. Consequentemente permitindo todos os servidores FTP que são executado na porta típica 21 para ter a tradução NAT necessária do payload.

  • Quarta linha: Uns pacotes de origem de 10.1.1.1 com algum número de porta destinado a algum endereço local com necessidades da porta 21 do TCP destino de ter a tradução NAT necessária do payload.

Configuração de exemplo 3

Supõe que estes servidores FTP estão sendo executado em sua rede local:

  • Um servidor FTP com o endereço IP 10.1.1.1 que é executado no número de porta de TCP 21.

  • Servidores FTP com endereço IP de Um ou Mais Servidores Cisco ICM NT 10.1.1.0/24 (a não ser 10.1.1.1) no número de porta de TCP 2021.

    ip nat service list 10 ftp tcp port 2021 
    access-list 10 deny 10.1.1.1 
    access-list 10 permit 10.1.1.0 0.0.0.255 
Endereço de origem Porta TCP de origem Endereço de destino Porta TCP de destino
qualquer endereço local qualquer porta 10.1.1.1 21
qualquer endereço local qualquer porta 10.1.1.x (veja a nota) 2021
10.1.1.x (veja a nota) qualquer porta Algum endereço a não ser 10.1.1.x (veja a nota) 21

Nota: 10.1.1.x não iguala 10.1.1.1.

Esta lista descreve o processo NAT que é detalhado na tabela precedente:

  • Primeira linha: Um pacote com algum endereço de origem e algum número de porta destinados ao servidor FTP (10.1.1.1) com necessidades do número de porta 21 do TCP destino de ter a tradução NAT necessária do payload.

    Nota: Os pacotes destinados a 10.1.1.1 com porta 2021 não têm a tradução de carga útil de NAT devido à indicação de 10.1.1.1 da negação na lista de acesso.

  • Segunda linha: Um pacote com todo o endereço de origem e qualquer número de porta destinados a todo o endereço local (a não ser 10.1.1.1) com número de porta 2021 do TCP destino precisa de ter a tradução NAT necessária do payload.

  • Terceira linha: Uns pacotes de origem de todo o 10.1.1.x (refira a nota abaixo da tabela acima) (a não ser 10.1.1.1) com o qualquer número de porta destinado a todo o endereço (a não ser 10.1.1.x) com porta 21 do TCP destino precisam de ter a tradução NAT necessária do payload.

É importante recordar quando uma porta não padronizada do controle de FTP é configurada para um servidor FTP, NAT para as sessões do controle de FTP que estão usando a porta 21 para esse servidor particular. Se um servidor de FTP usar as portas padrão e não-padrão, você precisará configurar ambas as portas utilizando o comando ip nat service.

Exemplo de cenário e configuração

O servidor FTP 10.1.1.1 no número de porta de TCP 2021 está sendo executado na rede interna. O roteador NAT é configurado para permitir que o tráfego FTP seja NAT'ed para conexões de controle na porta 2021.

Diagrama de Rede

6.gif

Configuração:

interface Ethernet0
 ip address 10.1.1.2 255.255.255.0
 ip nat inside
!
interface Serial0
 ip address 192.168.10.1 255.255.255.252
 ip nat outside
!
ip nat service list 10 ftp tcp port 2021
ip nat inside source static 10.1.1.1 20.20.20.1

!--- Static NAT translation for inside local address 10.1.1.1
!--- to inside global address 20.20.20.1.

!
access-list 10 permit 10.1.1.1

Informações Relacionadas


Document ID: 13776