Gebruik van niet-standaard FTP-poortnummers met NAT
Inhoud
Inleiding
Cisco IOS®-softwarereleases 11.2(13) en 11.3(3) hebben de functionaliteit voor Network Address Translation (NAT) geïntroduceerd om niet-standaard File Transfer Protocol (FTP) poortnummers te ondersteunen. In vroegere Cisco IOS softwarereleases, wanneer een NAT-enabled router een pakket met IP-adressen ontvangt die NAT-vertaald moeten worden en het standaard TCP-poortnummer voor de FTP-verbinding (21) is, herkent de router het pakket als een FTP-pakket en doet de gewenste vertaling in de payload (gegevensgedeelte) van het pakket. Als de FTP-server echter een niet-standaard FTP-poortnummer gebruikt, negeert NAT de lading van het pakket. Dit kan verhinderen dat FTP-gegevensverbindingen tot stand worden gebracht.
Wilt u het gebruik van niet-standaard FTP poortnummers ondersteunen, dan moet u de ip nat service opdracht gebruiken. In deze tabel worden de opties van deze opdracht beschreven:
| Optie | Definitie |
|---|---|
| lijst | Specificeer de toegangslijst met wereldwijde adressen. |
| name | Naam toegangslijst voor server lokaal adres. |
| aantal | Toegangslijstnummer voor globale adressen. |
| ftp | FTP protocol. |
| tcp | TCP protocol. |
| port | Speciale niet-standaard poort. |
| havennummer | Aantal speciale niet-standaardhaven. |
Dit is een voorbeeldsyntaxis:
router-6(config)#ip nat service list 10 ftp tcp port 2021
Opmerking:
-
Het adres van de toegangslijst in de bovenstaande opdracht moet overeenkomen met het lokale IP-adres voor de FTP-server met de niet-standaard FTP-beheerpoort.
-
Als een niet-standaard FTP controlepoort is ingesteld voor een FTP server, houdt NAT op met het controleren van FTP-verbindingen die poort 21 voor die FTP-server gebruiken. Alle andere FTP-servers blijven normaal functioneren.
-
Een host met een FTP-server die een niet-standaard controlepoort gebruikt, kan ook een FTP-client hebben met de standaard FTP-controlepoort (21).
-
Als een FTP-server zowel poort 21 als een niet-standaard poort gebruikt, moet u beide poorten configureren met behulp van de ip nat service list <acl> ftp tcp <port> opdracht. Bijvoorbeeld:
ip nat service list 10 ftp tcp port 2021 ip nat service list 10 ftp tcp port 21
U kunt echter geen meerdere toegangslijsten instellen voor dezelfde poort en dezelfde service. Bijvoorbeeld:
router-6(config)#ip nat service list 17 ftp tcp port 2021 router-6(config)#ip nat service list 10 ftp tcp port 2021 % service "ftp tcp port 2021" is already configured for access-list 17
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
-
Cisco IOS-softwarereleases 11.2(13)E, 11.3(3) en hoger
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Conventies
Configuraties van voorbeelden
In elk van de onderstaande voorbeelden worden de stromen die NAT als FTP-control-verbindingen verwerkt in een tabel in de volgende configuraties beschreven. In elke tabel verwijst "elk plaatselijk adres" naar elk adres dat niet gelijk is aan 10.1.1.1.
Configuratie 1 van monsters
Stel dat deze FTP-servers in uw lokale netwerk actief zijn:
-
Een FTP-server met IP-adres 10.1.1.1 die werkt op TCP-poortnummer 2021.
-
Aanvullende FTP-servers met IP-adres "any" (anders dan 10.1.1.1) in TCP poort nummer 21.
ip nat service list 10 ftp tcp port 2021 access-list 10 permit 10.1.1.1
| Bronadres | Bron TCP-poort | Bestemmingsadres | TCP-poort op bestemming |
|---|---|---|---|
| elk lokaal adres | elke haven | 10.1.1.1 | 2021 |
| elk lokaal adres | elke haven | elk lokaal adres (zie opmerking) | 21 |
| 10.1.1.1 | elke haven | elk lokaal adres (zie opmerking) | 21 |
Opmerking: Elk lokaal adres is niet gelijk aan 10.1.1.1.
In deze lijst wordt het NAT-proces beschreven dat in de bovenstaande tabel wordt beschreven:
-
Eerste regel: Een pakket met elk bronadres en elk poortnummer dat is bestemd voor FTP-server (10.1.1.1) met bestemmingsprinter TCP poort nummer 2021 moet de benodigde NAT-vertaling van de lading hebben.
-
Tweede regel: Een pakket met om het even welk bronadres en elk poortnummer dat voor om het even welk lokaal adres (behalve 10.1.1.1) met bestemming TCP poort nummer 21 (typische FTP controlepoort) bestemd is moet de noodzakelijke NAT vertaling van de lading hebben. Daardoor kunnen alle FTP-servers (anders dan 10.1.1.1) die op typische poort 21 lopen, beschikken over de nodige NAT-vertaling van de lading.
-
Derde regel: Een pakket dat van 10.1.1.1 is afgeleid met om het even welk poortnummer dat aan om het even welk lokaal adres (anders dan 10.1.1.1) bestemd is met bestemming TCP poort 21 moet de noodzakelijke NAT vertaling van lading hebben.
Configuratie 2 van monsters
Stel dat deze FTP-servers in uw lokale netwerk actief zijn:
-
Een FTP-server met IP-adres 10.1.1.1 die wordt uitgevoerd op TCP poort nummer 21 en 2021.
-
Sommige FTP-servers met IP-adres "any" (anders dan 10.1.1.1) in TCP poort nummer 21.
ip nat service list 10 ftp tcp port 21 ip nat service list 10 ftp tcp port 2021 access-list 10 permit 10.1.1.1
| Bronadres | Bron TCP-poort | Bestemmingsadres | TCP-poort op bestemming |
|---|---|---|---|
| elk lokaal adres | elke haven | 10.1.1.1 | 2021 |
| elk lokaal adres | elke haven | 10.1.1.1 | 21 |
| elk lokaal adres | elke haven | elk lokaal adres | 21 |
| elk lokaal adres | elke haven | elk lokaal adres | 21 |
In deze lijst wordt het NAT-proces beschreven dat in de bovenstaande tabel wordt beschreven:
-
Eerste regel: Een pakket met elk bronadres en elk poortnummer dat is bestemd voor FTP-server (10.1.1.1) met bestemmingsprinter TCP poort nummer 2021 moet de benodigde NAT-vertaling van de lading hebben.
-
Tweede regel: Een pakket met om het even welk bronadres en elk poortnummer dat voor FTP server (10.1.1.1) met bestemming TCP poort nummer 21 is bestemd moet de noodzakelijke NAT-vertaling van de lading hebben.
-
Derde regel: Een pakket met om het even welk bronadres en elk poortnummer dat voor om het even welk lokaal adres met bestemming TCP poort nummer 21 (typische FTP controlepoort) bestemd is moet de noodzakelijke NAT vertaling van de lading hebben. Daardoor kunnen alle FTP-servers die op typische poort 21 actief zijn, beschikken over de nodige NAT-vertaling van de lading.
-
Vierde regel: Een pakket dat van 10.1.1.1 is afkomstig met om het even welk poortnummer dat aan om het even welk lokaal adres met bestemming TCP poort 21 is bestemd moet de noodzakelijke NAT vertaling van de lading hebben.
Configuratie 3 voorbeelden
Stel dat deze FTP-servers in uw lokale netwerk actief zijn:
-
Een FTP-server met IP-adres 10.1.1.1 die wordt uitgevoerd op TCP poort nummer 21.
-
FTP-servers met IP-adres 10.1.1.0/24 (anders dan 10.1.1.1) op TCP poort nummer 2021.
ip nat service list 10 ftp tcp port 2021 access-list 10 deny 10.1.1.1 access-list 10 permit 10.1.1.0 0.0.0.255
| Bronadres | Bron TCP-poort | Bestemmingsadres | TCP-poort op bestemming |
|---|---|---|---|
| elk lokaal adres | elke haven | 10.1.1.1 | 21 |
| elk lokaal adres | elke haven | 10.1.1.x (zie opmerking) | 2021 |
| 10.1.1.x (zie opmerking) | elke haven | Elk ander adres dan 10.1.1.x (zie opmerking) | 21 |
Opmerking: 10.1.1.x is niet gelijk aan 10.1.1.1.
In deze lijst wordt het NAT-proces beschreven dat in de bovenstaande tabel wordt beschreven:
-
Eerste regel: Een pakket met om het even welk bronadres en elk poortnummer dat voor FTP server (10.1.1.1) met bestemming TCP poort nummer 21 is bestemd moet de noodzakelijke NAT-vertaling van de lading hebben.
Opmerking: Packets die zijn bestemd voor 10.1.1.1 met poort 2021 hebben geen NAT-payload-vertaling omdat de ontkennende verklaring van 10.1.1.1 in de toegangslijst staat.
-
Tweede regel: Een pakket met een bronadres en elk poortnummer dat is bestemd voor een lokaal adres (anders dan 10.1.1.1) met TCP-poort nummer 2021 moet de benodigde NAT-vertaling van de lading hebben.
-
Derde regel: Een pakket dat is afgeleid van om het even welke 10.1.1.x (raadpleeg de nota onder de tabel hierboven) (behalve 10.1.1.1) met om het even welk poortnummer dat voor om het even welk adres (behalve 10.1.1.x) met bestemming TCP poort 21 is bestemd moet de noodzakelijke NAT-vertaling van de lading hebben.
Het is belangrijk om te onthouden wanneer een niet-standaard FTP controlepoort is ingesteld voor een FTP server, houdt NAT FTP-beheersessies tegen die poort 21 voor die bepaalde server gebruiken. Als een FTP-server zowel standaard- als niet-standaard poorten gebruikt, moet u beide poorten configureren met behulp van de ip nat service-opdracht.
Steekproef-scenario en configuratie
De FTP server 10.1.1.1 bij TCP poort nummer 2021 wordt uitgevoerd op het binnennetwerk. De NAT router is geconfigureerd om FTP-verkeer in staat te stellen om NAT's te gebruiken voor beheerverbindingen in poort 2021.
Netwerkdiagram
Configuratie:
interface Ethernet0 ip address 10.1.1.2 255.255.255.0 ip nat inside ! interface Serial0 ip address 192.168.10.1 255.255.255.252 ip nat outside ! ip nat service list 10 ftp tcp port 2021 ip nat inside source static 10.1.1.1 20.20.20.1 !--- Static NAT translation for inside local address 10.1.1.1 !--- to inside global address 20.20.20.1. ! access-list 10 permit 10.1.1.1
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
10-Aug-2005 |
Eerste vrijgave |
Feedback