Utilização de Números de Porta FTP Não-Padrão com NAT

Introdução

As versões 11.2(13) e 11.3(3) do software Cisco IOS® introduziram a funcionalidade NAT (Conversão de endereço de rede) para suportar um número não padrão de portas FTP (Protocolo de transferência de arquivos). Em versões mais antigas do software Cisco IOS, quando um roteador habilitado para NAT recebe um pacote com endereço IP que precisa ser traduzido em NAT e o número da porta TCP padrão está para a conexão de controle de FTP (21), o roteador reconhece o pacote como um pacote de FTP e faz a tradução necessária no payload (parte de dados) do pacote. No entanto, se o servidor FTP estiver usando um número de porta de FTP não padrão, o NAT ignorará o payload do pacote. Isso pode impedir que conexões de dados FTP sejam estabelecidas.

A fim apoiar o uso de números de porta não padronizados FTP, você deve usar o comando ip nat service. Esta tabela descreve as opções disponíveis neste comando:

Opção	Definição
lista	Especifique a lista de acesso que descreve endereços globais.
nome	Nome da lista de acesso para o endereço local do servidor.
número	Número da lista de acesso para endereços globais.
ftp	Protocolo FTP.
tcp	Protocolo TCP
porta	Porta especial não padrão.
número da porta	Número de portas especiais fora do padrão.

Esta é uma sintaxe da amostra:

router-6(config)#ip nat service list 10 ftp tcp port 2021

Alguns importantes a notar:

• O endereço da lista de acesso no comando acima deve corresponder ao endereço IP local interno para o servidor FTP com a porta de controle FTP não-padrão.

• Se uma porta de controle de FTP não-padrão for configurada para um servidor de FTP, o NAT pára de verificar as conexões de controle de FTP que estão utilizando a porta 21 para aquele servidor FTP. Todos os outros servidores FTP continuam a funcionar normalmente.

• Um host com um servidor de FTP utilizando uma porta de controle não padrão também pode ter um cliente de FTP utilizando a porta de controle de FTP padrão (21).

• Se um servidor FTP usa a porta 21 e uma porta não padronizada, a seguir você precisa de configurar ambas as portas usando o comando ip nat service list <acl> ftp tcp <port>. Por exemplo:

  ip nat service list 10 ftp tcp port 2021
  ip nat service list 10 ftp tcp port 21

  Entretanto, não é possível configurar diversas listas de acesso para a mesma porta e o mesmo serviço. Por exemplo:

  router-6(config)#ip nat service list 17 ftp tcp port 2021 
  router-6(config)#ip nat service list 10 ftp tcp port 2021
  % service "ftp tcp port 2021" is already configured for access-list 17 

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Cisco IOS Software Release 11.2(13), 11.3(3), e mais tarde

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurações de exemplo

Em cada um dos exemplos abaixo, os fluxos que a NAT processa como conexões de controle de FTP são descritos em uma tabela que vem depois das configurações. Em cada tabela, “todo o endereço local” refere qualquer endereço que não igualar 10.1.1.1.

Configuração de exemplo 1

Supõe que estes servidores FTP estão sendo executado em sua rede local:

• Um servidor FTP com o endereço IP 10.1.1.1 que é executado no número de porta de TCP 2021.

• Servidores FTP adicionais com endereço IP de Um ou Mais Servidores Cisco ICM NT “alguns” (a não ser 10.1.1.1) no número de porta de TCP 21.

  ip nat service list 10 ftp tcp port 2021 
  access-list 10 permit 10.1.1.1 

Endereço de origem	Porta TCP de origem	Endereço de destino	Porta TCP de destino
qualquer endereço local	qualquer porta	10.1.1.1	2021
qualquer endereço local	qualquer porta	qualquer endereço local (consulte a nota)	21
10.1.1.1	qualquer porta	qualquer endereço local (consulte a nota)	21

Nota: Nenhum endereço local não iguala 10.1.1.1.

Esta lista descreve o processo NAT que é detalhado na tabela precedente:

• Primeira linha: Um pacote com algum endereço de origem e algum número de porta destinados ao servidor FTP (10.1.1.1) com necessidades do número de porta 2021 do TCP destino de ter a tradução NAT necessária do payload.

• Segunda linha: Um pacote com algum endereço de origem e algum número de porta destinados a algum endereço local (a não ser 10.1.1.1) com necessidades do número de porta 21 do TCP destino (porta típica do controle de FTP) de ter a tradução NAT necessária do payload. Consequentemente permitindo todos os servidores FTP (a não ser 10.1.1.1) que são executado na porta típica 21 para ter a conversão NAT de payload necessária.

• Terceira linha: Uns pacotes de origem de 10.1.1.1 com algum número de porta destinado a algum endereço local (a não ser 10.1.1.1) com necessidades da porta 21 do TCP destino de ter a conversão NAT de payload necessária.

Configuração de exemplo 2

Supõe que estes servidores FTP estão sendo executado em sua rede local:

• Um servidor FTP com o endereço IP 10.1.1.1 que é executado no número de porta de TCP 21 e 2021.

• Alguns servidores FTP com endereço IP de Um ou Mais Servidores Cisco ICM NT “alguns” (a não ser 10.1.1.1) no número de porta de TCP 21.

  ip nat service list 10 ftp tcp port 21 
  ip nat service list 10 ftp tcp port 2021 
  access-list 10 permit 10.1.1.1 

Endereço de origem	Porta TCP de origem	Endereço de destino	Porta TCP de destino
qualquer endereço local	qualquer porta	10.1.1.1	2021
qualquer endereço local	qualquer porta	10.1.1.1	21
qualquer endereço local	qualquer porta	qualquer endereço local	21
qualquer endereço local	qualquer porta	qualquer endereço local	21

Esta lista descreve o processo NAT que é detalhado na tabela precedente:

• Primeira linha: Um pacote com algum endereço de origem e algum número de porta destinados ao servidor FTP (10.1.1.1) com necessidades do número de porta 2021 do TCP destino de ter a tradução NAT necessária do payload.

• Segunda linha: Um pacote com algum endereço de origem e algum número de porta destinados ao servidor FTP (10.1.1.1) com necessidades do número de porta 21 do TCP destino de ter a tradução NAT necessária do payload.

• Terceira linha: Um pacote com algum endereço de origem e algum número de porta destinados a algum endereço local com necessidades do número de porta 21 do TCP destino (porta típica do controle de FTP) de ter a tradução NAT necessária do payload. Consequentemente permitindo todos os servidores FTP que são executado na porta típica 21 para ter a tradução NAT necessária do payload.

• Quarta linha: Uns pacotes de origem de 10.1.1.1 com algum número de porta destinado a algum endereço local com necessidades da porta 21 do TCP destino de ter a tradução NAT necessária do payload.

Configuração de exemplo 3

Supõe que estes servidores FTP estão sendo executado em sua rede local:

• Um servidor FTP com o endereço IP 10.1.1.1 que é executado no número de porta de TCP 21.

• Servidores FTP com endereço IP de Um ou Mais Servidores Cisco ICM NT 10.1.1.0/24 (a não ser 10.1.1.1) no número de porta de TCP 2021.

  ip nat service list 10 ftp tcp port 2021 
  access-list 10 deny 10.1.1.1 
  access-list 10 permit 10.1.1.0 0.0.0.255 

Endereço de origem	Porta TCP de origem	Endereço de destino	Porta TCP de destino
qualquer endereço local	qualquer porta	10.1.1.1	21
qualquer endereço local	qualquer porta	10.1.1.x (veja a nota)	2021
10.1.1.x (veja a nota)	qualquer porta	Algum endereço a não ser 10.1.1.x (veja a nota)	21

Nota: 10.1.1.x não iguala 10.1.1.1.

Esta lista descreve o processo NAT que é detalhado na tabela precedente:

• Primeira linha: Um pacote com algum endereço de origem e algum número de porta destinados ao servidor FTP (10.1.1.1) com necessidades do número de porta 21 do TCP destino de ter a tradução NAT necessária do payload.

  Nota: Os pacotes destinados a 10.1.1.1 com porta 2021 não têm a tradução de carga útil de NAT devido à indicação de 10.1.1.1 da negação na lista de acesso.

• Segunda linha: Um pacote com todo o endereço de origem e qualquer número de porta destinados a todo o endereço local (a não ser 10.1.1.1) com número de porta 2021 do TCP destino precisa de ter a tradução NAT necessária do payload.

• Terceira linha: Uns pacotes de origem de todo o 10.1.1.x (refira a nota abaixo da tabela acima) (a não ser 10.1.1.1) com o qualquer número de porta destinado a todo o endereço (a não ser 10.1.1.x) com porta 21 do TCP destino precisam de ter a tradução NAT necessária do payload.

É importante recordar quando uma porta não padronizada do controle de FTP é configurada para um servidor FTP, NAT para as sessões do controle de FTP que estão usando a porta 21 para esse servidor particular. Se um servidor de FTP usar as portas padrão e não-padrão, você precisará configurar ambas as portas utilizando o comando ip nat service.

Exemplo de cenário e configuração

O servidor FTP 10.1.1.1 no número de porta de TCP 2021 está sendo executado na rede interna. O roteador NAT é configurado para permitir que o tráfego FTP seja NAT'ed para conexões de controle na porta 2021.

Diagrama de Rede

Configuração:

interface Ethernet0
 ip address 10.1.1.2 255.255.255.0
 ip nat inside
!
interface Serial0
 ip address 192.168.10.1 255.255.255.252
 ip nat outside
!
ip nat service list 10 ftp tcp port 2021
ip nat inside source static 10.1.1.1 20.20.20.1

!--- Static NAT translation for inside local address 10.1.1.1 !--- to inside global address 20.20.20.1.

!
access-list 10 permit 10.1.1.1

Informações Relacionadas

• Como funciona o NAT
• Perguntas mais freqüentes sobre NAT
• Configuração de exemplo utsando o comando ip nat outside source static
• Verificando a Operação de NAT e Troubleshooting Básico de NAT
• Página de suporte de NAT
• Suporte Técnico e Documentação - Cisco Systems