IP : Traduction d'adresses de réseau (NAT)

Utilisation de numéros de port FTP non standard avec NAT

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Les versions de logiciel 11.2(13) et 11.3(3) de Cisco IOSÝ ont introduit la fonctionnalité pour que le Traduction d'adresses de réseau (NAT) prenne en charge les numéros d'accès non standard de Protocole FTP (File Transfer Protocol). Dans des versions logicielles plus tôt de Cisco IOS, quand un routeur Nat-activé reçoit un paquet avec les adresses IP qui doivent Nat-être traduites, et le nombre standard de port TCP est pour la connexion de contrôle de FTP (21), le routeur identifie le paquet comme paquet de FTP, et fait n'importe quelle traduction nécessaire dans la charge utile (partie données) du paquet. Cependant, si le ftp server utilise un numéro de port non standard de FTP, NAT ignore la charge utile du paquet. Ceci peut empêcher des connexions de données de FTP d'être établi.

Afin de prendre en charge l'utilisation des numéros de port non standard de FTP, vous devez utiliser la commande d'ip nat service. Cette table décrit les options disponibles sur cette commande :

Option Définition
liste Spécifiez la liste d'accès décrivant des adresses globales.
nom Nom de liste d'accès pour l'adresse de server local.
nombre Nombre de listes d'accès pour des adresses globales.
FTP Protocole de FTP.
TCP Protocole TCP.
port Port non standard spécial.
numéro de port Nombre de port non standard spécial.

C'est une syntaxe d'échantillon :

router-6(config)#ip nat service list 10 ftp tcp port 2021

Quelques choses importantes à noter :

  • L'adresse de liste d'accès dans la commande ci-dessus doit apparier l'adresse IP d'interne local pour le ftp server avec le port non standard de contrôle de FTP.

  • Si un port non standard de contrôle de FTP est configuré pour un ftp server, les arrêts NAT vérifiant le FTP contrôlent les connexions qui utilisent le port 21 pour ce ftp server. Tous autres serveurs de FTP continuent à fonctionner normalement.

  • Un hôte avec un ftp server utilisant un port non standard de contrôle peut également avoir un client FTP utilisant le port standard de contrôle de FTP (21).

  • Si un ftp server utilise le port 21 et un port non standard, alors vous devez configurer les deux ports utilisant la commande de <port> de TCP de FTP de <acl> de liste d'ip nat service. Exemple :

    ip nat service list 10 ftp tcp port 2021
    ip nat service list 10 ftp tcp port 21

    Cependant, vous ne pouvez pas configurer de plusieurs Listes d'accès pour le même port et le même service. Exemple :

    router-6(config)#ip nat service list 17 ftp tcp port 2021 
    router-6(config)#ip nat service list 10 ftp tcp port 2021
    % service "ftp tcp port 2021" is already configured for access-list 17 

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Versions du logiciel Cisco IOS 11.2(13), 11.3(3), et plus tard

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Exemples de configuration

Dans chacun des exemples ci-dessous, les écoulements que des processus NAT en tant que connexions de contrôle de FTP sont décrits dans une table après les configurations. Dans chaque table, « n'importe quelle adresse locale » se rapporte à n'importe quelle adresse qui n'égale pas 10.1.1.1.

Configuration d'échantillon 1

Supposez que ces serveurs de FTP s'exécutent dans votre réseau local :

  • Un ftp server avec l'adresse IP 10.1.1.1 s'exécutant sur le port TCP numéro 2021.

  • Serveurs supplémentaires avec l'adresse IP « quels » de FTP (autre que 10.1.1.1) au port TCP numéro 21.

    ip nat service list 10 ftp tcp port 2021 
    access-list 10 permit 10.1.1.1 
Adresse source Port TCP de source Adresse de destination Port TCP de destination
toute adresse locale en mettent en communication 10.1.1.1 2021
toute adresse locale en mettent en communication toute adresse locale (voir la note) 21
10.1.1.1 en mettent en communication toute adresse locale (voir la note) 21

Remarque: Aucune adresse locale n'égale 10.1.1.1.

Cette liste décrit le processus NAT qui est détaillé dans la table précédente :

  • Première ligne : Un paquet avec n'importe quelle adresse source et n'importe quel numéro de port destinés au ftp server (10.1.1.1) avec le port TCP le numéro 2021 de destination doit avoir la traduction NAT nécessaire de la charge utile.

  • Deuxième ligne : Un paquet avec toute adresse source et tout numéro de port destinés à toute adresse locale (autre que 10.1.1.1) avec les besoins du numéro 21 de port TCP de destination (port typique de contrôle de FTP) d'avoir la traduction NAT nécessaire de la charge utile. Par conséquent activant tous les serveurs de FTP (autre que 10.1.1.1) s'exécutant sur le port typique 21 pour avoir la traduction NAT nécessaire de la charge utile.

  • Troisième ligne : Un paquet originaire de 10.1.1.1 avec n'importe quel numéro de port destiné à n'importe quelle adresse locale (autre que 10.1.1.1) avec le port TCP 21 de destination doit avoir la traduction NAT nécessaire de la charge utile.

Configuration d'échantillon 2

Supposez que ces serveurs de FTP s'exécutent dans votre réseau local :

  • Un ftp server avec l'adresse IP 10.1.1.1 s'exécutant sur le port TCP numéro 21 et 2021.

  • Quelques serveurs avec l'adresse IP « quels » de FTP (autre que 10.1.1.1) au port TCP numéro 21.

    ip nat service list 10 ftp tcp port 21 
    ip nat service list 10 ftp tcp port 2021 
    access-list 10 permit 10.1.1.1 
Adresse source Port TCP de source Adresse de destination Port TCP de destination
toute adresse locale en mettent en communication 10.1.1.1 2021
toute adresse locale en mettent en communication 10.1.1.1 21
toute adresse locale en mettent en communication toute adresse locale 21
toute adresse locale en mettent en communication toute adresse locale 21

Cette liste décrit le processus NAT qui est détaillé dans la table précédente :

  • Première ligne : Un paquet avec n'importe quelle adresse source et n'importe quel numéro de port destinés au ftp server (10.1.1.1) avec le port TCP le numéro 2021 de destination doit avoir la traduction NAT nécessaire de la charge utile.

  • Deuxième ligne : Un paquet avec n'importe quelle adresse source et n'importe quel numéro de port destinés au ftp server (10.1.1.1) avec le port TCP le numéro 21 de destination doit avoir la traduction NAT nécessaire de la charge utile.

  • Troisième ligne : Un paquet avec toute adresse source et tout numéro de port destinés à toute adresse locale avec les besoins du numéro 21 de port TCP de destination (port typique de contrôle de FTP) d'avoir la traduction NAT nécessaire de la charge utile. Par conséquent activant tous les serveurs de FTP s'exécutant sur le port typique 21 pour avoir la traduction NAT nécessaire de la charge utile.

  • Quatrième ligne : Un paquet originaire de 10.1.1.1 avec n'importe quel numéro de port destiné à n'importe quelle adresse locale avec le port TCP 21 de destination doit avoir la traduction NAT nécessaire de la charge utile.

Configuration d'échantillon 3

Supposez que ces serveurs de FTP s'exécutent dans votre réseau local :

  • Un ftp server avec l'adresse IP 10.1.1.1 s'exécutant sur le port TCP numéro 21.

  • Serveurs de FTP avec l'adresse IP 10.1.1.0/24 (autre que 10.1.1.1) sur le port TCP numéro 2021.

    ip nat service list 10 ftp tcp port 2021 
    access-list 10 deny 10.1.1.1 
    access-list 10 permit 10.1.1.0 0.0.0.255 
Adresse source Port TCP de source Adresse de destination Port TCP de destination
toute adresse locale en mettent en communication 10.1.1.1 21
toute adresse locale en mettent en communication 10.1.1.x (voir la note) 2021
10.1.1.x (voir la note) en mettent en communication Toute adresse autre que 10.1.1.x (voir la note) 21

Remarque: 10.1.1.x n'égale pas 10.1.1.1.

Cette liste décrit le processus NAT qui est détaillé dans la table précédente :

  • Première ligne : Un paquet avec n'importe quelle adresse source et n'importe quel numéro de port destinés au ftp server (10.1.1.1) avec le port TCP le numéro 21 de destination doit avoir la traduction NAT nécessaire de la charge utile.

    Remarque: Les paquets destinés à 10.1.1.1 avec le port 2021 n'ont pas la traduction NAT de charge utile en raison de la déclaration de 10.1.1.1 de refuser dans la liste d'accès.

  • Deuxième ligne : Un paquet avec n'importe quelle adresse source et n'importe quel numéro de port destinés à n'importe quelle adresse locale (autre que 10.1.1.1) avec le port TCP le numéro 2021 de destination doit avoir la traduction NAT nécessaire de la charge utile.

  • Troisième ligne : Un paquet originaire de n'importe quel 10.1.1.x (référez-vous à la note au-dessous de la table ci-dessus) (autre que 10.1.1.1) avec n'importe quel numéro de port destiné à n'importe quelle adresse (autre que 10.1.1.x) avec le port TCP 21 de destination doit avoir la traduction NAT nécessaire de la charge utile.

Il est important de se souvenir quand un port non standard de contrôle de FTP est configuré pour un ftp server, les sessions NAT de contrôle de FTP d'arrêts qui utilisent le port 21 pour ce serveur particulier. Si un ftp server utilise les ports standard et non standard, alors vous devez configurer les deux ports utilisant la commande d'ip nat service.

Exemple de scénario et configuration

10.1.1.1 serveur ftp au port TCP le numéro 2021 s'exécute sur le réseau intérieur. Le routeur NAT est configuré pour permettre au trafic FTP pour être NAT'ed pour des connexions de contrôle au port 2021.

Diagramme du réseau

6.gif

Configuration :

interface Ethernet0
 ip address 10.1.1.2 255.255.255.0
 ip nat inside
!
interface Serial0
 ip address 192.168.10.1 255.255.255.252
 ip nat outside
!
ip nat service list 10 ftp tcp port 2021
ip nat inside source static 10.1.1.1 20.20.20.1

!--- Static NAT translation for inside local address 10.1.1.1
!--- to inside global address 20.20.20.1.

!
access-list 10 permit 10.1.1.1

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 13776