NAT와 함께 비표준 FTP 포트 번호 사용
소개
Cisco IOS® Software Releases 11.2(13) 및 11.3(3)은 비표준 FTP(File Transfer Protocol) 포트 번호를 지원하는 NAT(Network Address Translation) 기능을 도입했습니다. 이전 Cisco IOS 소프트웨어 릴리스에서는 NAT 지원 라우터가 NAT가 변환되어야 하는 IP 주소가 있는 패킷을 수신하고 표준 TCP 포트 번호가 FTP 제어 연결(21)에 해당하는 경우 라우터는 패킷을 FTP 패킷으로 인식하며 패킷의 페이로드(데이터 부분)에서 필요한 변환을 수행합니다. 그러나 FTP 서버가 비표준 FTP 포트 번호를 사용하는 경우 NAT는 패킷의 페이로드를 무시합니다. 이렇게 하면 FTP 데이터 연결이 설정되지 않을 수 있습니다.
비표준 FTP 포트 번호의 사용을 지원하려면 ip nat service 명령을 사용해야 합니다. 다음 표에서는 이 명령에서 사용할 수 있는 옵션에 대해 설명합니다.
| 옵션 | 정의 |
|---|---|
| 목록 | 전역 주소를 설명하는 액세스 목록을 지정합니다. |
| 이름 | 서버 로컬 주소의 액세스 목록 이름입니다. |
| 번호 | 전역 주소의 액세스 목록 번호입니다. |
| ftp | FTP 프로토콜. |
| tcp | TCP 프로토콜. |
| 포트 | 특수 비표준 포트. |
| 포트 번호 | 특수 비표준 포트 수입니다. |
다음은 샘플 구문입니다.
router-6(config)#ip nat service list 10 ftp tcp port 2021
몇 가지 중요한 사항은 다음과 같습니다.
-
위 명령의 액세스 목록 주소는 비표준 FTP 제어 포트와 FTP 서버의 내부 로컬 IP 주소와 일치해야 합니다.
-
FTP 서버에 대해 비표준 FTP 제어 포트가 구성된 경우 NAT는 해당 FTP 서버에 대해 포트 21을 사용하는 FTP 제어 연결 확인을 중지합니다. 다른 모든 FTP 서버는 계속 정상적으로 작동합니다.
-
비표준 제어 포트를 사용하는 FTP 서버가 있는 호스트에는 표준 FTP 제어 포트(21)를 사용하는 FTP 클라이언트가 있을 수도 있습니다.
-
FTP 서버가 포트 21과 비표준 포트를 모두 사용하는 경우 ip nat 서비스 목록 <acl> ftp tcp <port> 명령을 사용하여 두 포트를 모두 구성해야 합니다. 예를 들면 다음과 같습니다.
ip nat service list 10 ftp tcp port 2021 ip nat service list 10 ftp tcp port 21
그러나 동일한 포트와 동일한 서비스에 대해 여러 액세스 목록을 구성할 수는 없습니다. 예를 들면 다음과 같습니다.
router-6(config)#ip nat service list 17 ftp tcp port 2021 router-6(config)#ip nat service list 10 ftp tcp port 2021 % service "ftp tcp port 2021" is already configured for access-list 17
사전 요구 사항
요구 사항
이 문서에 대한 특정 요건이 없습니다.
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
-
Cisco IOS Software 릴리스 11.2(13), 11.3(3) 이상
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
표기 규칙
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.
샘플 구성
아래 각 예에서 NAT가 FTP 제어 연결로 처리하는 플로우는 컨피그레이션 다음 표에 설명되어 있습니다. 각 테이블에서 "모든 로컬 주소"는 10.1.1.1과 같지 않은 주소를 나타냅니다.
샘플 구성 1
다음 FTP 서버가 로컬 네트워크에서 실행 중이라고 가정합니다.
-
TCP 포트 번호 2021에서 실행 중인 IP 주소 10.1.1.1의 FTP 서버.
-
TCP 포트 번호 21에서 IP 주소가 "any"(10.1.1.1 제외)인 추가 FTP 서버
ip nat service list 10 ftp tcp port 2021 access-list 10 permit 10.1.1.1
| Source address | 소스 TCP 포트 | 대상 주소 | 대상 TCP 포트 |
|---|---|---|---|
| 로컬 주소 | 모든 포트 | 10.1.1.1 | 2021 |
| 로컬 주소 | 모든 포트 | 모든 로컬 주소(참고 참조) | 21 |
| 10.1.1.1 | 모든 포트 | 모든 로컬 주소(참고 참조) | 21 |
참고: 로컬 주소는 10.1.1.1과 같지 않습니다.
이 목록은 위 표에 자세히 설명되어 있는 NAT 프로세스를 설명합니다.
-
첫 줄: 소스 주소와 목적지 TCP 포트 번호 2021이 있는 FTP 서버(10.1.1.1)으로 향하는 모든 포트 번호를 가진 패킷은 페이로드에 필요한 NAT 변환이 있어야 합니다.
-
두 번째 줄: 목적지 TCP 포트 번호 21(일반 FTP 제어 포트)을 가진 모든 소스 주소 및 임의의 로컬 주소(10.1.1.1 제외)로 향하는 모든 포트 번호를 가진 패킷은 페이로드에 필요한 NAT 변환이 있어야 합니다. 따라서 일반 포트 21에서 실행되는 모든 FTP 서버(10.1.1.1 제외)가 페이로드의 필요한 NAT 변환을 갖도록 합니다.
-
세 번째 줄: 목적지 TCP 포트 21이 있는 모든 로컬 주소(10.1.1.1 제외)로 향하는 포트 번호를 10.1.1.1에서 제공하는 패킷은 페이로드에 필요한 NAT 변환이 있어야 합니다.
샘플 구성 2
다음 FTP 서버가 로컬 네트워크에서 실행 중이라고 가정합니다.
-
TCP 포트 번호 21 및 2021에서 실행되는 IP 주소 10.1.1.1의 FTP 서버.
-
TCP 포트 번호 21에서 IP 주소가 "any"(10.1.1.1 제외)인 일부 FTP 서버
ip nat service list 10 ftp tcp port 21 ip nat service list 10 ftp tcp port 2021 access-list 10 permit 10.1.1.1
| Source address | 소스 TCP 포트 | 대상 주소 | 대상 TCP 포트 |
|---|---|---|---|
| 로컬 주소 | 모든 포트 | 10.1.1.1 | 2021 |
| 로컬 주소 | 모든 포트 | 10.1.1.1 | 21 |
| 로컬 주소 | 모든 포트 | 로컬 주소 | 21 |
| 로컬 주소 | 모든 포트 | 로컬 주소 | 21 |
이 목록은 위 표에 자세히 설명되어 있는 NAT 프로세스를 설명합니다.
-
첫 줄: 소스 주소와 목적지 TCP 포트 번호 2021이 있는 FTP 서버(10.1.1.1)으로 향하는 모든 포트 번호를 가진 패킷은 페이로드에 필요한 NAT 변환이 있어야 합니다.
-
두 번째 줄: 소스 주소와 목적지 TCP 포트 번호 21의 FTP 서버(10.1.1.1)으로 향하는 포트 번호를 가진 패킷은 페이로드에 필요한 NAT 변환이 있어야 합니다.
-
세 번째 줄: 목적지 TCP 포트 번호 21(일반 FTP 제어 포트)의 모든 로컬 주소로 향하는 모든 소스 주소 및 포트 번호를 가진 패킷은 페이로드에 필요한 NAT 변환이 있어야 합니다. 따라서 일반 포트 21에서 실행되는 모든 FTP 서버가 페이로드에 필요한 NAT 변환을 갖도록 합니다.
-
네 번째 줄: 목적지 TCP 포트 21의 모든 로컬 주소로 향하는 포트 번호를 10.1.1.1에서 제공하는 패킷은 페이로드에 필요한 NAT 변환이 있어야 합니다.
샘플 구성 3
다음 FTP 서버가 로컬 네트워크에서 실행 중이라고 가정합니다.
-
TCP 포트 번호 21에서 실행 중인 IP 주소 10.1.1.1의 FTP 서버.
-
TCP 포트 번호 2021에서 IP 주소 10.1.1.0/24(10.1.1.1 제외)를 사용하는 FTP 서버
ip nat service list 10 ftp tcp port 2021 access-list 10 deny 10.1.1.1 access-list 10 permit 10.1.1.0 0.0.0.255
| Source address | 소스 TCP 포트 | 대상 주소 | 대상 TCP 포트 |
|---|---|---|---|
| 로컬 주소 | 모든 포트 | 10.1.1.1 | 21 |
| 로컬 주소 | 모든 포트 | 10.1.1.x(참고 참조) | 2021 |
| 10.1.1.x(참고 참조) | 모든 포트 | 10.1.1.x 이외의 모든 주소(참고 참조) | 21 |
참고: 10.1.1.x는 10.1.1.1과 같지 않습니다.
이 목록은 위 표에 자세히 설명되어 있는 NAT 프로세스를 설명합니다.
-
첫 줄: 소스 주소와 목적지 TCP 포트 번호 21의 FTP 서버(10.1.1.1)으로 향하는 포트 번호를 가진 패킷은 페이로드에 필요한 NAT 변환이 있어야 합니다.
참고: 포트 2021로 10.1.1.1으로 향하는 패킷에는 access-list의 deny 10.1.1.1 문 때문에 NAT 페이로드 변환이 없습니다.
-
두 번째 줄: 목적지 TCP 포트 번호 2021이 있는 임의의 소스 주소와 임의의 로컬 주소(10.1.1.1 제외)로 향하는 모든 포트 번호를 가진 패킷은 페이로드의 필요한 NAT 변환이 필요합니다.
-
세 번째 줄: 대상 TCP 포트 21이 있는 모든 주소(10.1.1.x 제외)로 향하는 모든 포트 번호가 포함된 10.1.1.x(위의 표 아래 참고 참조)에서 제공된 패킷은 페이로드에 필요한 NAT 변환이 필요합니다.
FTP 서버에 대해 비표준 FTP 제어 포트가 구성된 경우 NAT는 해당 특정 서버에 대해 포트 21을 사용하는 FTP 제어 세션을 중지합니다. FTP 서버가 표준 포트와 비표준 포트를 모두 사용하는 경우 ip nat service 명령을 사용하여 두 포트를 모두 구성해야 합니다.
샘플 시나리오 및 컨피그레이션
TCP 포트 번호 2021의 FTP 서버 10.1.1.1이 내부 네트워크에서 실행 중입니다. NAT 라우터는 포트 2021에서 제어 연결을 위해 FTP 트래픽을 NAT로 허용하도록 구성됩니다.
네트워크 다이어그램
구성:
interface Ethernet0 ip address 10.1.1.2 255.255.255.0 ip nat inside ! interface Serial0 ip address 192.168.10.1 255.255.255.252 ip nat outside ! ip nat service list 10 ftp tcp port 2021 ip nat inside source static 10.1.1.1 20.20.20.1 !--- Static NAT translation for inside local address 10.1.1.1 !--- to inside global address 20.20.20.1. ! access-list 10 permit 10.1.1.1
관련 정보
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
1.0 |
10-Aug-2005 |
최초 릴리스 |
피드백