Протокол IP : Технология NAT

Использование нестандартных номеров портов FTP с NAT

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Cisco Выпуски ПО IOS� 11.2 (13) и 11.3 (3) представила функциональность для Технологии NAT для поддержки нестандартных номеров портов Протокола FTP. В ранних версиях Cisco IOS software releases при получении маршрутизатором с активированной функцией NAT пакета с IP-адресами, которые следует преобразовать с помощью NAT, а стандартный номер порта TCP предназначен для управления FTP-соединением (21), маршрутизатор опознает пакет как FTP-пакет и выполнит все необходимые преобразования данных пакета. Однако, если сервер FTP использует нестандартный номер порта FTP, то NAT игнорирует полезные данные пакета. Это может исключить установление соединений FTP.

Для поддержки использования нестандартных номеров порта FTP необходимо использовать команду ip nat service. Эта таблица описывает опции, доступные на этой команде:

Параметр Определение
[список] Определите список доступа, описывающий глобальные адреса.
name Имя списка доступа для локального адреса сервера.
номер Номер списка доступа для глобальных адресов.
ftp Протокол FTP.
tCP  /* Протокол TCP.
порт Специальный нестандартный порт.
port number Номер специального нестандартного порта.

Это - типовой синтаксис:

router-6(config)#ip nat service list 10 ftp tcp port 2021

Некоторые важные вещи для замечания:

  • Адрес списка доступа в приведенной выше команде должен соответствовать внутреннему локальному IP-адресу сервера FTP с нестандартным портом управления FTP.

  • Если для сервера FTP производится настройка нестандартного порта управления FTP, NAT прекращает проверку подключений управления FTP, использующих порт 21 для этого сервера FTP. Все остальные сервера FTP продолжают работать в нормальном режиме.

  • FTP-клиент хоста FTP-сервера с нестандартным портом управления может использовать стандартный порт управления FTP (21).

  • Если сервер FTP использует и порт 21 и нестандартный порт, то необходимо настроить оба порта с помощью команды <port> tcp ftp <acl> списка ip nat service. Пример:

    ip nat service list 10 ftp tcp port 2021
    ip nat service list 10 ftp tcp port 21

    Тем не менее нельзя настроить несколько списков доступа для одного порта и одной службы. Пример:

    router-6(config)#ip nat service list 17 ftp tcp port 2021 
    router-6(config)#ip nat service list 10 ftp tcp port 2021
    % service "ftp tcp port 2021" is already configured for access-list 17 

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Программное обеспечение Cisco IOS версии 11.2 (13), 11.3 (3), и позже

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Примеры конфигураций

Для каждого из представленных ниже примеров потоки, обрабатываемые NAT как подключения управления FTP, описываются в таблицах, следующих за конфигурациями. В каждой таблице, "любой локальный адрес" обращается к любому адресу, который не равняется 10.1.1.1.

Пример конфигурации 1

Предположите, что эти серверы FTP работают в вашей локальной сети:

  • Сервер FTP с IP-адресом 10.1.1.1 работающих номер порта TCP 2021.

  • Дополнительные серверы FTP с IP-адресом "любой" (кроме 10.1.1.1) в номере порта TCP 21.

    ip nat service list 10 ftp tcp port 2021 
    access-list 10 permit 10.1.1.1 
Исходный адрес TCP-порт источника Адрес получателя TCP порт назначения
любой локальный адрес любой порт 10.1.1.1 2021
любой локальный адрес любой порт любой локальный адрес (см. примечание) 21
10.1.1.1 любой порт любой локальный адрес (см. примечание) 21

Примечание: Любой локальный адрес не равняется 10.1.1.1.

Этот список описывает процесс NAT, который детализирован в предыдущей таблице:

  • Первая линия: пакет с любым адресом источника и любым номером порта, предназначенным к серверу FTP (10.1.1.1) с номером порта TCP - получателя 2021 потребность иметь нужное преобразование NAT информационного наполнения.

  • Вторая линия: пакет с любым адресом источника и любым номером порта, предназначенным к любому локальному адресу (кроме 10.1.1.1) с номером порта TCP - получателя 21 (типичный порт управления FTP), должен иметь нужное преобразование NAT информационного наполнения. Поэтому позволяя всем серверам FTP (кроме 10.1.1.1) работа типичного порта 21 иметь необходимое преобразование NAT полезных данных.

  • Третья линия: пакет от источника от 10.1.1.1 с любым номером порта, предназначенным к любому локальному адресу (кроме 10.1.1.1) с портом 21 TCP - получателя, должен иметь необходимое преобразование NAT полезных данных.

Пример конфигурации 2

Предположите, что эти серверы FTP работают в вашей локальной сети:

  • Сервер FTP с IP-адресом 10.1.1.1 работающих номер порта TCP 21 и 2021.

  • Некоторые серверы FTP с IP-адресом "любой" (кроме 10.1.1.1) в номере порта TCP 21.

    ip nat service list 10 ftp tcp port 21 
    ip nat service list 10 ftp tcp port 2021 
    access-list 10 permit 10.1.1.1 
Исходный адрес TCP-порт источника Адрес получателя TCP порт назначения
любой локальный адрес любой порт 10.1.1.1 2021
любой локальный адрес любой порт 10.1.1.1 21
любой локальный адрес любой порт любой локальный адрес 21
любой локальный адрес любой порт любой локальный адрес 21

Этот список описывает процесс NAT, который детализирован в предыдущей таблице:

  • Первая линия: пакет с любым адресом источника и любым номером порта, предназначенным к серверу FTP (10.1.1.1) с номером порта TCP - получателя 2021 потребность иметь нужное преобразование NAT информационного наполнения.

  • Вторая линия: пакет с любым адресом источника и любым номером порта, предназначенным к серверу FTP (10.1.1.1) с номером порта TCP - получателя 21 потребность иметь нужное преобразование NAT информационного наполнения.

  • Третья линия: пакет с любым адресом источника и любым номером порта, предназначенным к любому локальному адресу с номером порта TCP - получателя 21 (типичный порт управления FTP), должен иметь нужное преобразование NAT информационного наполнения. Поэтому позволяя всем серверам FTP, работающим на типичном порту 21 иметь нужное преобразование NAT информационного наполнения.

  • Четвертая линия: пакет от источника от 10.1.1.1 с любым номером порта, предназначенным к любому локальному адресу с портом 21 TCP - получателя, должен иметь нужное преобразование NAT информационного наполнения.

Пример конфигурации 3

Предположите, что эти серверы FTP работают в вашей локальной сети:

  • Сервер FTP с IP-адресом 10.1.1.1 работающих номер порта TCP 21.

  • Серверы FTP с IP-адресом 10.1.1.0/24 (кроме 10.1.1.1) на номере порта TCP 2021.

    ip nat service list 10 ftp tcp port 2021 
    access-list 10 deny 10.1.1.1 
    access-list 10 permit 10.1.1.0 0.0.0.255 
Исходный адрес TCP-порт источника Адрес получателя TCP порт назначения
любой локальный адрес любой порт 10.1.1.1 21
любой локальный адрес любой порт 10.1.1.x (см. примечание), 2021
10.1.1.x (см. примечание), любой порт Любой адрес кроме 10.1.1.x (см. примечание), 21

Примечание: 10.1.1.x не равняется 10.1.1.1.

Этот список описывает процесс NAT, который детализирован в предыдущей таблице:

  • Первая линия: пакет с любым адресом источника и любым номером порта, предназначенным к серверу FTP (10.1.1.1) с номером порта TCP - получателя 21 потребность иметь нужное преобразование NAT информационного наполнения.

    Примечание: Пакеты, предназначенные к 10.1.1.1 с портом 2021, не имеют преобразования полезных данных NAT из-за запрещения 10.1.1.1 операторов в access-list.

  • Вторая линия: пакет с любым адресом источника и любым номером порта, предназначенным к любому локальному адресу (кроме 10.1.1.1) с номером порта TCP - получателя 2021 потребность иметь нужное преобразование NAT информационного наполнения.

  • Третья линия: пакет от источника от любого 10.1.1.x (обращаются к примечанию ниже таблицы выше) (кроме 10.1.1.1) с любым номером порта, предназначенным к любому адресу (кроме 10.1.1.x) с портом 21 TCP - получателя, должен иметь нужное преобразование NAT информационного наполнения.

Важно помнить, когда нестандартный порт управления FTP настроен для сервера FTP, NAT останавливает сеансы управления FTP, которые используют порт 21 для того индивидуального сервера. Если сервер FTP использует как стандартный, так и нестандартный порты, необходимо настроить оба порта при помощи команды ip nat service.

Пример сценария и конфигурация

Сервер FTP 10.1.1.1 в номере порта TCP 2021 работает на внутренней сети. Маршрутизатор NAT настроен, чтобы позволить трафику FTP быть NAT'ed для контрольных соединений в порту 2021.

Схема сети

6.gif

!--- конфигурацию:

interface Ethernet0
 ip address 10.1.1.2 255.255.255.0
 ip nat inside
!
interface Serial0
 ip address 192.168.10.1 255.255.255.252
 ip nat outside
!
ip nat service list 10 ftp tcp port 2021
ip nat inside source static 10.1.1.1 20.20.20.1

!--- Static NAT translation for inside local address 10.1.1.1
!--- to inside global address 20.20.20.1.

!
access-list 10 permit 10.1.1.1

Дополнительные сведения


Document ID: 13776