Las versiones 11.2(13) y 11.3(3) del software del IOS® de Cisco introdujeron la funcionalidad para que la Traducción de dirección de red (NAT) admita los números de puertos del Protocolo de transferencia de archivos (FTP) no estándares. En las versiones anteriores del software Cisco IOS, cuando un router habilitado por NAT recibe un paquete con direcciones IP que necesitan ser traducidas por NAT y el número de puerto TCP estándar es para la conexión de control FTP (21), el router reconoce al paquete como un paquete FTP y realiza cualquier traducción necesaria en la carga útil (porción de datos) del paquete. Sin embargo, si el servidor FTP utiliza un número de puerto FTP no estándar, el NAT ignora la carga útil del paquete. Esto puede impedir que se establezcan conexiones de datos por FTP.
Para soportar el uso de números de puerto FTP no estándar, debe utilizar el comando ip nat service. Esta tabla describe las opciones disponibles en este comando:
Opción | Definición |
---|---|
lista | Especifique la lista de acceso con la descripción de las direcciones globales. |
nombre | Nombre de lista de acceso para la dirección local del servidor. |
número | Número de lista de acceso para direcciones globales. |
FTP | Protocolo FTP. |
tcp | Protocolo TCP |
puerto | Puerto especial no estándar. |
número de puerto | Cantidad de puertos no estándar especiales. |
Esta es una sintaxis de ejemplo:
router-6(config)#ip nat service list 10 ftp tcp port 2021
Algunas cosas importantes a tener en cuenta:
La dirección de la lista de acceso en el comando anterior debe coincidir con la dirección IP local interna para el servidor FTP con el puerto de control FTP no estándar.
Si un puerto de control FTP no estándar se configura para un servidor FTP, NAT detiene la verificación de las conexiones de control que están usando puerto 21 para ese servidor FTP. Los demás servidores FTP siguen funcionando normalmente.
Un host con un servidor FTP que use un puerto de control no estándar también puede tener un cliente FTP que use el puerto de control FTP estándar (21).
Si un servidor FTP utiliza tanto el puerto 21 como un puerto no estándar, debe configurar ambos puertos usando el comando ip nat service list <acl> ftp tcp <port> . Por ejemplo:
ip nat service list 10 ftp tcp port 2021 ip nat service list 10 ftp tcp port 21
Sin embargo, no puede configurar listas de acceso múltiple para el mismo puerto y el mismo servicio. Por ejemplo:
router-6(config)#ip nat service list 17 ftp tcp port 2021 router-6(config)#ip nat service list 10 ftp tcp port 2021 % service "ftp tcp port 2021" is already configured for access-list 17
No hay requisitos específicos para este documento.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Versiones 11.2(13), 11.3(3) y posteriores del software del IOS de Cisco
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
En cada uno de los siguientes ejemplos, los flujos que NAT procesa como conexiones de control del FTP están descriptos en una tabla a continuación de las configuraciones. En cada tabla, "cualquier dirección local" se refiere a cualquier dirección que no sea igual a 10.1.1.1.
Suponga que estos servidores FTP se están ejecutando en su red local:
Servidor FTP con dirección IP 10.1.1.1 que se ejecuta en el puerto TCP número 2021.
Servidores FTP adicionales con dirección IP "any" (distinto de 10.1.1.1) en el puerto TCP número 21.
ip nat service list 10 ftp tcp port 2021 access-list 10 permit 10.1.1.1
Dirección de la fuente | Puerto TCP de origen | Dirección de destino | Puerto TCP de destino |
---|---|---|---|
cualquier dirección local | cualquier puerto | 10.1.1.1 | 2021 |
cualquier dirección local | cualquier puerto | cualquier dirección local (ver nota) | 21 |
10.1.1.1 | cualquier puerto | cualquier dirección local (ver nota) | 21 |
Nota: Cualquier dirección local no es igual a 10.1.1.1.
Esta lista describe el proceso NAT que se detalla en la tabla anterior:
Primera línea: Un paquete con cualquier dirección de origen y cualquier número de puerto destinado al servidor FTP (10.1.1.1) con el número de puerto TCP de destino 2021 debe tener la traducción NAT necesaria de la carga útil.
Segunda línea: Un paquete con cualquier dirección de origen y cualquier número de puerto destinado a cualquier dirección local (que no sea 10.1.1.1) con el puerto TCP de destino número 21 (puerto de control FTP típico) necesita tener la traducción NAT necesaria de la carga útil. Por lo tanto, habilitando todos los servidores FTP (que no sean 10.1.1.1) que se ejecutan en el puerto 21 típico para tener la traducción NAT necesaria de la carga útil.
Tercera línea: Un paquete originado desde 10.1.1.1 con cualquier número de puerto destinado a cualquier dirección local (que no sea 10.1.1.1) con el puerto TCP de destino 21 necesita tener la traducción NAT necesaria de la carga útil.
Suponga que estos servidores FTP se están ejecutando en su red local:
Servidor FTP con dirección IP 10.1.1.1 que se ejecuta en los puertos TCP número 21 y 2021.
Algunos servidores FTP con dirección IP "any" (excepto 10.1.1.1) en el puerto TCP número 21.
ip nat service list 10 ftp tcp port 21 ip nat service list 10 ftp tcp port 2021 access-list 10 permit 10.1.1.1
Dirección de la fuente | Puerto TCP de origen | Dirección de destino | Puerto TCP de destino |
---|---|---|---|
cualquier dirección local | cualquier puerto | 10.1.1.1 | 2021 |
cualquier dirección local | cualquier puerto | 10.1.1.1 | 21 |
cualquier dirección local | cualquier puerto | cualquier dirección local | 21 |
cualquier dirección local | cualquier puerto | cualquier dirección local | 21 |
Esta lista describe el proceso NAT que se detalla en la tabla anterior:
Primera línea: Un paquete con cualquier dirección de origen y cualquier número de puerto destinado al servidor FTP (10.1.1.1) con el número de puerto TCP de destino 2021 debe tener la traducción NAT necesaria de la carga útil.
Segunda línea: Un paquete con cualquier dirección de origen y cualquier número de puerto destinado al servidor FTP (10.1.1.1) con el número de puerto TCP de destino 21 debe tener la traducción NAT necesaria de la carga útil.
Tercera línea: Un paquete con cualquier dirección de origen y cualquier número de puerto destinado a cualquier dirección local con el número de puerto TCP de destino 21 (puerto de control FTP típico) debe tener la traducción NAT necesaria de la carga útil. Por lo tanto, habilitando todos los servidores FTP que se ejecutan en el puerto 21 típico para tener la traducción NAT necesaria de la carga útil.
Cuarta línea: Un paquete originado desde 10.1.1.1 con cualquier número de puerto destinado a cualquier dirección local con el puerto TCP de destino 21 debe tener la traducción NAT necesaria de la carga útil.
Suponga que estos servidores FTP se están ejecutando en su red local:
Servidor FTP con dirección IP 10.1.1.1 que se ejecuta en el puerto TCP número 21.
Servidores FTP con dirección IP 10.1.1.0/24 (distintos de 10.1.1.1) en el número de puerto TCP 2021.
ip nat service list 10 ftp tcp port 2021 access-list 10 deny 10.1.1.1 access-list 10 permit 10.1.1.0 0.0.0.255
Dirección de la fuente | Puerto TCP de origen | Dirección de destino | Puerto TCP de destino |
---|---|---|---|
cualquier dirección local | cualquier puerto | 10.1.1.1 | 21 |
cualquier dirección local | cualquier puerto | 10.1.1.x (véase la nota) | 2021 |
10.1.1.x (véase la nota) | cualquier puerto | Cualquier dirección distinta de 10.1.1.x (véase la nota) | 21 |
Nota: 10.1.1.x no es igual a 10.1.1.1.
Esta lista describe el proceso NAT que se detalla en la tabla anterior:
Primera línea: Un paquete con cualquier dirección de origen y cualquier número de puerto destinado al servidor FTP (10.1.1.1) con el número de puerto TCP de destino 21 debe tener la traducción NAT necesaria de la carga útil.
Nota: Los paquetes destinados a 10.1.1.1 con el puerto 2021 no tienen traducción de carga útil NAT debido a la sentencia deny 10.1.1.1 en la lista de acceso.
Segunda línea: Un paquete con cualquier dirección de origen y cualquier número de puerto destinado a cualquier dirección local (que no sea 10.1.1.1) con el número de puerto TCP de destino 2021 debe tener la traducción NAT necesaria de la carga útil.
Tercera línea: Un paquete originado en cualquier 10.1.1.x (consulte la nota debajo de la tabla anterior) (que no sea 10.1.1.1) con cualquier número de puerto destinado a cualquier dirección (que no sea 10.1.1.x) con el puerto TCP de destino 21 necesita tener la traducción NAT necesaria de la carga útil.
Es importante recordar cuando se configura un puerto de control FTP no estándar para un servidor FTP, NAT detiene las sesiones de control FTP que utilizan el puerto 21 para ese servidor en particular. Si un servidor FTP utiliza tanto puertos estándar como no estándar, entonces necesita configurar ambos puertos mediante el comando ip nat service.
El servidor FTP 10.1.1.1 en el puerto TCP número 2021 se está ejecutando en la red interna. El router NAT está configurado para permitir que el tráfico FTP se convierta en NAT'ed para las conexiones de control en el puerto 2021.
Diagrama de la red
Configuración:
interface Ethernet0 ip address 10.1.1.2 255.255.255.0 ip nat inside ! interface Serial0 ip address 192.168.10.1 255.255.255.252 ip nat outside ! ip nat service list 10 ftp tcp port 2021 ip nat inside source static 10.1.1.1 20.20.20.1 !--- Static NAT translation for inside local address 10.1.1.1 !--- to inside global address 20.20.20.1. ! access-list 10 permit 10.1.1.1
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
10-Aug-2005 |
Versión inicial |