IP : Traducción de direcciones de red (NAT)

Uso de números de puerto FTP no estándares con NAT

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Los Software Release 11.2(13) y 11.3(3) del ½ del ¿Â de Cisco IOSï introdujeron las funciones para que el Network Address Translation (NAT) soporte los números del puerto no estándar del File Transfer Protocol (FTP). En las versiones anteriores del software Cisco IOS, cuando un router habilitado por NAT recibe un paquete con direcciones IP que necesitan ser traducidas por NAT y el número de puerto TCP estándar es para la conexión de control FTP (21), el router reconoce al paquete como un paquete FTP y realiza cualquier traducción necesaria en la carga útil (porción de datos) del paquete. Sin embargo, si el servidor FTP utiliza un número de puerto FTP no estándar, el NAT ignora la carga útil del paquete. Esto puede impedir que se establezcan conexiones de datos por FTP.

Para soportar el uso de los números del puerto no estándar FTP, usted debe utilizar el comando ip nat service. Esta tabla describe las opciones disponibles en este comando:

Opción Definición
lista Especifique la lista de acceso con la descripción de las direcciones globales.
nombre Nombre de lista de acceso para la dirección local del servidor.
número Número de lista de acceso para direcciones globales.
FTP Protocolo FTP.
tcp Protocolo TCP
puerto Puerto especial no estándar.
número de puerto Cantidad de puertos no estándar especiales.

Esto es un sintaxis de la muestra:

router-6(config)#ip nat service list 10 ftp tcp port 2021

Algunos asuntos importantes a observar:

  • La dirección de la lista de acceso en el comando anterior debe coincidir con la dirección IP local interna para el servidor FTP con el puerto de control FTP no estándar.

  • Si un puerto de control FTP no estándar se configura para un servidor FTP, NAT detiene la verificación de las conexiones de control que están usando puerto 21 para ese servidor FTP. Los demás servidores FTP siguen funcionando normalmente.

  • Un host con un servidor FTP que use un puerto de control no estándar también puede tener un cliente FTP que use el puerto de control FTP estándar (21).

  • Si un servidor FTP utiliza el puerto 21 y un puerto no estándar, después usted necesita configurar ambos puertos usando el comando ip nat service list <acl> ftp tcp <port>. Por ejemplo:

    ip nat service list 10 ftp tcp port 2021
    ip nat service list 10 ftp tcp port 21

    Sin embargo, no puede configurar listas de acceso múltiple para el mismo puerto y el mismo servicio. Por ejemplo:

    router-6(config)#ip nat service list 17 ftp tcp port 2021 
    router-6(config)#ip nat service list 10 ftp tcp port 2021
    % service "ftp tcp port 2021" is already configured for access-list 17 

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco IOS Software Release 11.2(13), 11.3(3), y posterior

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Configuraciones de Ejemplo

En cada uno de los siguientes ejemplos, los flujos que NAT procesa como conexiones de control del FTP están descriptos en una tabla a continuación de las configuraciones. En cada tabla, “cualquier dirección local” refiere a cualquier direccionamiento que no iguale 10.1.1.1.

Configuración de muestra 1

Asuma que estos servidores FTP se están ejecutando en su red local:

  • Un servidor FTP con la dirección IP 10.1.1.1 que se ejecuta en el número del puerto TCP 2021.

  • Servidores FTP adicionales con la dirección IP “ningunos” (con excepción de 10.1.1.1) en el número del puerto TCP 21.

    ip nat service list 10 ftp tcp port 2021 
    access-list 10 permit 10.1.1.1 
Dirección de origen Puerto TCP de origen Dirección de destino Puerto TCP de destino
cualquier dirección local cualquier puerto 10.1.1.1 2021
cualquier dirección local cualquier puerto cualquier dirección local (ver nota) 21
10.1.1.1 cualquier puerto cualquier dirección local (ver nota) 21

Nota: Ninguna dirección local no iguala 10.1.1.1.

Esta lista describe el proceso NAT que se detalla en la tabla precedente:

  • Primera línea: Un paquete con cualquier dirección de origen y cualquier número del puerto destinados al servidor FTP (10.1.1.1) con las necesidades del número del puerto 2021 del TCP de destino de tener la traducción NAT necesaria del payload.

  • Segunda línea: Un paquete con cualquier dirección de origen y cualquier número del puerto destinados a cualquier dirección local (con excepción de 10.1.1.1) con las necesidades del número del puerto 21 del TCP de destino (puerto típico del control FTP) de tener la traducción NAT necesaria del payload. Por lo tanto habilitando a todos los servidores FTP (con excepción de 10.1.1.1) que se ejecutan en el puerto típico 21 para tener la traducción NAT necesaria de carga útil.

  • Tercera línea: Un paquete originado de 10.1.1.1 con cualquier número del puerto destinado a cualquier dirección local (con excepción de 10.1.1.1) con las necesidades del puerto 21 del TCP de destino de tener la traducción NAT necesaria de carga útil.

Configuración de muestra 2

Asuma que estos servidores FTP se están ejecutando en su red local:

  • Un servidor FTP con la dirección IP 10.1.1.1 que se ejecuta en el número del puerto TCP 21 y 2021.

  • Algunos servidores FTP con la dirección IP “ningunos” (con excepción de 10.1.1.1) en el número del puerto TCP 21.

    ip nat service list 10 ftp tcp port 21 
    ip nat service list 10 ftp tcp port 2021 
    access-list 10 permit 10.1.1.1 
Dirección de origen Puerto TCP de origen Dirección de destino Puerto TCP de destino
cualquier dirección local cualquier puerto 10.1.1.1 2021
cualquier dirección local cualquier puerto 10.1.1.1 21
cualquier dirección local cualquier puerto cualquier dirección local 21
cualquier dirección local cualquier puerto cualquier dirección local 21

Esta lista describe el proceso NAT que se detalla en la tabla precedente:

  • Primera línea: Un paquete con cualquier dirección de origen y cualquier número del puerto destinados al servidor FTP (10.1.1.1) con las necesidades del número del puerto 2021 del TCP de destino de tener la traducción NAT necesaria del payload.

  • Segunda línea: Un paquete con cualquier dirección de origen y cualquier número del puerto destinados al servidor FTP (10.1.1.1) con las necesidades del número del puerto 21 del TCP de destino de tener la traducción NAT necesaria del payload.

  • Tercera línea: Un paquete con cualquier dirección de origen y cualquier número del puerto destinados a cualquier dirección local con las necesidades del número del puerto 21 del TCP de destino (puerto típico del control FTP) de tener la traducción NAT necesaria del payload. Por lo tanto habilitando a todos los servidores FTP que se ejecutan en el puerto típico 21 para tener la traducción NAT necesaria del payload.

  • Cuarta línea: Un paquete originado de 10.1.1.1 con cualquier número del puerto destinado a cualquier dirección local con las necesidades del puerto 21 del TCP de destino de tener la traducción NAT necesaria del payload.

Configuración de muestra 3

Asuma que estos servidores FTP se están ejecutando en su red local:

  • Un servidor FTP con la dirección IP 10.1.1.1 que se ejecuta en el número del puerto TCP 21.

  • Servidores FTP con la dirección IP 10.1.1.0/24 (con excepción de 10.1.1.1) en el número del puerto TCP 2021.

    ip nat service list 10 ftp tcp port 2021 
    access-list 10 deny 10.1.1.1 
    access-list 10 permit 10.1.1.0 0.0.0.255 
Dirección de origen Puerto TCP de origen Dirección de destino Puerto TCP de destino
cualquier dirección local cualquier puerto 10.1.1.1 21
cualquier dirección local cualquier puerto 10.1.1.x (véase la nota) 2021
10.1.1.x (véase la nota) cualquier puerto Cualquier direccionamiento con excepción de 10.1.1.x (véase la nota) 21

Nota: 10.1.1.x no iguala 10.1.1.1.

Esta lista describe el proceso NAT que se detalla en la tabla precedente:

  • Primera línea: Un paquete con cualquier dirección de origen y cualquier número del puerto destinados al servidor FTP (10.1.1.1) con las necesidades del número del puerto 21 del TCP de destino de tener la traducción NAT necesaria del payload.

    Nota: Los paquetes destinados a 10.1.1.1 con el puerto 2021 no tienen Traducción de la carga útil NAT debido a la declaración de 10.1.1.1 de la negación en la lista de acceso.

  • Segunda línea: Un paquete con cualquier dirección de origen y cualquier número del puerto destinados a cualquier dirección local (con excepción de 10.1.1.1) con el número del puerto 2021 del TCP de destino necesita tener la traducción NAT necesaria del payload.

  • Tercera línea: Un paquete originado de cualquier 10.1.1.x (refiera a la nota debajo de la tabla antedicha) (con excepción de 10.1.1.1) con cualquier número del puerto destinado a cualquier direccionamiento (con excepción de 10.1.1.x) con el puerto 21 del TCP de destino necesita tener la traducción NAT necesaria del payload.

Es importante recordar cuando un puerto no estándar del control FTP se configura para un servidor FTP, NAT para las sesiones del control FTP que están utilizando el puerto 21 para ese servidor determinado. Si un servidor FTP utiliza tanto puertos estándar como no estándar, entonces necesita configurar ambos puertos mediante el comando ip nat service.

Escenario de ejemplo y configuración

El servidor FTP 10.1.1.1 en el número del puerto TCP 2021 se está ejecutando en la red interna. Configuran al router NAT para permitir que el tráfico FTP sea NAT'ed para los controles de conexión en el puerto 2021.

Diagrama de la red

6.gif

Configuración:

interface Ethernet0
 ip address 10.1.1.2 255.255.255.0
 ip nat inside
!
interface Serial0
 ip address 192.168.10.1 255.255.255.252
 ip nat outside
!
ip nat service list 10 ftp tcp port 2021
ip nat inside source static 10.1.1.1 20.20.20.1

!--- Static NAT translation for inside local address 10.1.1.1
!--- to inside global address 20.20.20.1.

!
access-list 10 permit 10.1.1.1

Información Relacionada


Document ID: 13776