IP : IP アドレッシング サービス

NAT での標準外 FTP ポート番号の使用

2008 年 4 月 7 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2005 年 8 月 10 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
設定例
      設定例 1
      設定例 2
      設定例 3
      シナリオ例と設定例
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

Cisco IOS(R) ソフトウェア リリース 11.2(13) および 11.3(3) では、標準外の FTP ポート番号をサポートする NAT の機能が導入されました。 それよりも前の Cisco IOS ソフトウェア リリースでは、NAT が有効にされているルータで NAT 変換が必要な IP アドレスのパケットが受信されると、標準 TCP ポート番号が FTP コントロール接続(21)用であった場合、ルータではパケットが FTP パケットと認識され、パケットのペイロード(データ部分)で必要な変換が実行されます。 ところが、FTP サーバで標準外の FTP ポート番号が使用されていると、NAT ではパケットのペイロードが無視されます。 これにより、FTP データ接続の確立が阻止される可能性があります。

標準外の FTP ポート番号の使用をサポートするには、ip nat service コマンドを使用する必要があります。 次の表で、このコマンドで使用できるオプションを説明します。

オプション 定義

list

グローバル アドレスが記述されたアクセス リストを指定します。

name

サーバのローカル アドレスのためのアクセス リスト名。

number

グローバル アドレスのためのアクセス リスト番号。

ftp

FTP プロトコル。

tcp

TCP プロトコル。

port

特別な標準外のポート。

port number

特別な標準外のポートの番号。


次に構文例を示します。

router-6(config)#ip nat service list 10 ftp tcp port 2021

重要な注意点。

  • 上記のコマンドでのアクセス リスト アドレスは、標準外の FTP コントロール ポートを持つ FTP サーバの内部ローカル IP アドレスに一致している必要があります。

  • 標準外の FTP コントロール ポートが FTP サーバに設定されている場合、NAT では、その FTP サーバのためにポート 21 を使用している FTP コントロール接続のチェックが停止されます。 それ以外の FTP サーバは通常どおりに機能し続けます。

  • 標準外のコントロール ポートを使用する FTP サーバが置かれたホストには、標準の FTP コントロール ポート(21)を使用する FTP クライアントを置くこともできます。

  • FTP サーバでポート 21 と標準外のポートの両方が使用されている場合、ip nat service list <acl> ftp tcp <port> コマンドを使用して両方のポートを設定する必要があります。 例:

    ip nat service list 10 ftp tcp port 2021
    ip nat service list 10 ftp tcp port 21
    

    ところが、同じポートと同じデバイスに対して複数のアクセス リストは設定できません。 例:

    router-6(config)#ip nat service list 17 ftp tcp port 2021 
    router-6(config)#ip nat service list 10 ftp tcp port 2021
    % service "ftp tcp port 2021" is already configured for access-list 17 
    

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOS(R) ソフトウェア リリース 11.2(13)、11.3(3)、およびそれ以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定例

下記の各例では、NAT が FTP コントロール接続として処理するフローが、設定例の後の表に記述されています。 各表で、「任意のローカル アドレス」は 10.1.1.1 以外の任意のアドレスを指しています。

設定例 1

ローカル ネットワークで次の FTP サーバが稼働しているものとします。

  • TCP ポート番号 2021 で稼働する IP アドレス 10.1.1.1 の 1 基の FTP サーバ。

  • TCP ポート番号 21 での「任意の」IP アドレス(10.1.1.1 以外)の追加 FTP サーバ。

    ip nat service list 10 ftp tcp port 2021 
    access-list 10 permit 10.1.1.1 
    
送信元アドレス 送信元 TCP ポート 宛先アドレス 宛先 TCP ポート

任意のローカル アドレス

任意のポート

10.1.1.1

2021

任意のローカル アドレス

任意のポート

任意のローカル アドレス(注を参照)

21

10.1.1.1

任意のポート

任意のローカル アドレス(注を参照)

21


注:任意のローカル アドレスは 10.1.1.1 以外です。

上記の表で詳細が指定されている NAT プロセスの説明を、次のリストに示します。

  • 1 行目:任意の送信元アドレスと任意のポート番号を持ち、宛先 TCP ポート番号 2021 で FTP サーバ(10.1.1.1)を宛先とするパケットでは、ペイロードの NAT 変換が必要です。

  • 2 行目:任意の送信元アドレスと任意のポート番号を持ち、宛先 TCP ポート番号 21(通常の FTP コントロール ポート)で任意のローカル アドレス(10.1.1.1 以外)を宛先とするパケットでは、ペイロードの NAT 変換が必要です。 このように、通常のポート 21 で稼働するすべての FTP サーバ(10.1.1.1 以外)で、ペイロードの必要な NAT 変換を有効にします。

  • 3 行目:任意のポート番号を持ち、宛先 TCP ポート 21 で任意のローカル アドレス(10.1.1.1 以外)を宛先として 10.1.1.1 から送信されるパケットでは、ペイロードの NAT 変換が必要です。

設定例 2

ローカル ネットワークで次の FTP サーバが稼働しているものとします。

  • TCP ポート番号 21 と 2021 で稼働する IP アドレス 10.1.1.1 の 1 基の FTP サーバ。

  • TCP ポート番号 21 での「任意の」IP アドレス(10.1.1.1 以外)の複数の FTP サーバ。

    ip nat service list 10 ftp tcp port 21 
    ip nat service list 10 ftp tcp port 2021 
    access-list 10 permit 10.1.1.1 
    
送信元アドレス 送信元 TCP ポート 宛先アドレス 宛先 TCP ポート

任意のローカル アドレス

任意のポート

10.1.1.1

2021

任意のローカル アドレス

任意のポート

10.1.1.1

21

任意のローカル アドレス

任意のポート

任意のローカル アドレス

21

10.1.1.1

任意のポート

任意のローカル アドレス

21


上記の表で詳細が指定されている NAT プロセスの説明を、次のリストに示します。

  • 1 行目:任意の送信元アドレスと任意のポート番号を持ち、宛先 TCP ポート番号 2021 で FTP サーバ(10.1.1.1)を宛先とするパケットでは、ペイロードの NAT 変換が必要です。

  • 2 行目:任意の送信元アドレスと任意のポート番号を持ち、宛先 TCP ポート番号 21 で FTP サーバ(10.1.1.1)を宛先とするパケットでは、ペイロードの NAT 変換が必要です。

  • 3 行目:任意の送信元アドレスと任意のポート番号を持ち、宛先 TCP ポート番号 21(通常の FTP コントロール ポート)で任意のローカル アドレスを宛先とするパケットでは、ペイロードの NAT 変換が必要です。 このように、通常のポート 21 で稼働するすべての FTP サーバで、ペイロードの必要な NAT 変換を有効にします。

  • 4 行目:任意のポート番号を持ち、宛先 TCP ポート 21 で任意のローカル アドレスを宛先として 10.1.1.1 から送信されるパケットでは、ペイロードの NAT 変換が必要です。

設定例 3

ローカル ネットワークで次の FTP サーバが稼働しているものとします。

  • TCP ポート番号 21 で稼働する IP アドレス 10.1.1.1 の 1 基の FTP サーバ。

  • TCP ポート番号 2021 での IP アドレス 10.1.1.0/24(10.1.1.1 以外)の複数の FTP サーバ。

    ip nat service list 10 ftp tcp port 2021 
    access-list 10 deny 10.1.1.1 
    access-list 10 permit 10.1.1.0 0.0.0.255 
    
送信元アドレス 送信元 TCP ポート 宛先アドレス 宛先 TCP ポート

任意のローカル アドレス

任意のポート

10.1.1.1

21

任意のローカル アドレス

任意のポート

10.1.1.x(注を参照)

2021

10.1.1.x(注を参照)

任意のポート

10.1.1.x 以外の任意のアドレス(注を参照)

21


注:10.1.1.x は 10.1.1.1 以外です。

上記の表で詳細が指定されている NAT プロセスの説明を、次のリストに示します。

  • 1 行目:任意の送信元アドレスと任意のポート番号を持ち、宛先 TCP ポート番号 21 で FTP サーバ(10.1.1.1)を宛先とするパケットでは、ペイロードの NAT 変換が必要です。

    注:アクセス リストに deny 10.1.1.1 ステートメントがあるため、ポートが 2021 で 10.1.1.1 を宛先とするパケットは NAT ペイロード変換されません。

  • 2 行目:任意の送信元アドレスと任意のポート番号を持ち、宛先 TCP ポート番号 2021 で任意のローカル アドレス(10.1.1.1 以外)を宛先とするパケットでは、ペイロードの NAT 変換が必要です。

  • 3 行目:任意のポート番号を持ち、宛先 TCP ポート 21 で任意のローカル アドレス(10.1.1.x 以外(上記の表の下の注を参照))を宛先として任意の 10.1.1.x(上記の表の下の注を参照)(10.1.1.1 以外)から送信されるパケットでは、ペイロードの NAT 変換が必要です。

標準外の FTP コントロール ポートが FTP サーバに設定されている場合、NAT では、その特定のサーバのためにポート 21 を使用している FTP コントロール セッションが停止されることを思い出していただくことが重要です。 FTP サーバで標準のポートと標準外のポートの両方が使用されている場合、ip nat service コマンドを使用して両方のポートを設定する必要があります。

シナリオ例と設定例

TCP ポート番号 2021 の FTP サーバ 10.1.1.1 が内部ネットワークで稼働しています。 NAT ルータは、ポート 2021 でコントロール接続のために FTP トラフィックに NAT が実行されるように設定されています。

ネットワーク ダイアグラム

6.jpg

ネットワーク ダイアグラム
※ 画像をクリックすると、大きく表示されます。

設定:

interface Ethernet0
 ip address 10.1.1.2 255.255.255.0
 ip nat inside
!
interface Serial0
 ip address 192.168.10.1 255.255.255.252
 ip nat outside
!
ip nat service list 10 ftp tcp port 2021
ip nat inside source static 10.1.1.1 20.20.20.1

!--- 内部ローカル アドレス 10.1.1.1 の内部グローバル アドレス 20.20.20.1 への
!--- スタティック NAT 変換。

!
access-list 10 permit 10.1.1.1

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 13776