إستخدام أرقام منافذ FTP غير القياسية مع NAT

المقدمة

قدم برنامج Cisco IOS® الإصدار 11.2(13) و 11.3(3) وظيفة ترجمة عنوان الشبكة (NAT) لدعم أرقام منافذ بروتوكول نقل الملفات غير القياسي (FTP). في إصدارات برنامج Cisco IOS السابقة، عندما يستقبل الموجه الذي تم تمكين NAT حزمة ذات عناوين IP التي تحتاج إلى ترجمة NAT، ويمثل رقم منفذ TCP القياسي لاتصال التحكم في FTP (21)، يتعرف الموجه على الحزمة كحزمة FTP، ويقوم بأي ترجمة ضرورية في الحمولة (جزء البيانات) من الحزمة. ومع ذلك، إذا كان خادم FTP يستخدم رقم منفذ FTP غير قياسي، فإن NAT يتجاهل حمولة الحزمة. قد يؤدي ذلك إلى منع إنشاء إتصالات بيانات FTP.

لدعم إستخدام أرقام منافذ FTP غير القياسية، يجب عليك إستخدام الأمر ip nat service. يصف هذا الجدول الخيارات المتاحة على هذا الأمر:

خيار	التعريف
قائمة	حدد قائمة الوصول التي تصف العناوين العمومية.
الاسم	اسم قائمة الوصول للعنوان المحلي للخادم.
عدد	رقم قائمة الوصول للعناوين العمومية.
ftp	بروتوكول FTP.
tcp	بروتوكول TCP.
المنفذ	المنفذ الخاص غير القياسي.
رقم المنفذ	عدد المنافذ الخاصة غير القياسية.

هذه عينة بناء جملة:

router-6(config)#ip nat service list 10 ftp tcp port 2021

بعض الامور المهمة التي يجب ملاحظتها:

• يجب أن يتطابق عنوان قائمة الوصول في الأمر أعلاه مع عنوان IP المحلي الداخلي لخادم FTP مع منفذ التحكم في FTP غير القياسي.

• إذا تم تكوين منفذ تحكم FTP غير قياسي لخادم FTP، فإن NAT يتوقف عن التحقق من إتصالات التحكم في FTP التي تستخدم المنفذ 21 لخادم FTP هذا. تستمر جميع خوادم FTP الأخرى في العمل بشكل طبيعي.

• كما يمكن للمضيف الذي لديه خادم FTP يستخدم منفذ تحكم غير قياسي أن يكون لديه عميل FTP باستخدام منفذ التحكم القياسي في FTP (21).

• إن يستعمل نادل FTP على حد سواء ميناء 21 ومنفذ غير قياسي، بعد ذلك أنت تحتاج أن يشكل كلا ميناء يستعمل ال ip nat خدمة قائمة <acl>ftp tcp <port> أمر. على سبيل المثال:

  ip nat service list 10 ftp tcp port 2021
  ip nat service list 10 ftp tcp port 21

  ومع ذلك، لا يمكنك تكوين قوائم وصول متعددة للمنفذ نفسه والخدمة نفسها. على سبيل المثال:

  router-6(config)#ip nat service list 17 ftp tcp port 2021 
  router-6(config)#ip nat service list 10 ftp tcp port 2021
  % service "ftp tcp port 2021" is already configured for access-list 17 

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• برنامج IOS الإصدارات 11.2(13) و 11.3(3) من Cisco والإصدارات الأحدث

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

نموذج للتكوينات

في كل مثال من الأمثلة أدناه، يتم وصف التدفقات التي يعالجها NAT ك FTP control connections في جدول بعد التكوينات. في كل جدول، يشير "أي عنوان محلي" إلى أي عنوان لا يساوي 10.1.1.1.

نموذج التكوين 1

بافتراض أن خوادم FTP هذه قيد التشغيل في شبكتك المحلية:

• خادم FTP بعنوان IP 10.1.1.1 يعمل على رقم منفذ TCP 2021.

• خوادم FTP الإضافية ذات عنوان IP "any" (بخلاف 10.1.1.1) في رقم منفذ TCP 21.

  ip nat service list 10 ftp tcp port 2021 
  access-list 10 permit 10.1.1.1 

عنوان المصدر	مصدر TCP ميناء	عنوان الوجهة	غاية TCP ميناء
أي عنوان محلي	أي منفذ	10.1.1.1	2021
أي عنوان محلي	أي منفذ	أي عنوان محلي (راجع الملاحظة)	21
10.1.1.1	أي منفذ	أي عنوان محلي (راجع الملاحظة)	21

ملاحظة: لا يساوي أي عنوان محلي 10.1.1.1.

تصف هذه القائمة عملية NAT التفصيلية في الجدول السابق:

• السطر الأول: تحتاج الحزمة التي لها أي عنوان مصدر وأي رقم منفذ موجه إلى خادم FTP (10.1.1.1) مع وجهة رقم منفذ TCP 2021 إلى أن تتضمن الترجمة الضرورية nat للحمولة.

• السطر الثاني: تحتاج الحزمة التي لها أي عنوان مصدر وأي رقم منفذ موجه إلى أي عنوان محلي (بخلاف 10.1.1.1) مع غاية TCP رقم 21 (نموذجي FTP control port) إلى أن يتلقى الترجمة الضرورية nat للحمولة. وبالتالي تمكين جميع خوادم FTP (بخلاف 10.1.1.1) التي تعمل على المنفذ 21 النموذجي من الحصول على ترجمة NAT الضرورية للحمولة.

• السطر الثالث: يجب أن تحتوي الحزمة التي تم الحصول عليها من 10.1.1.1 مع أي رقم منفذ موجه إلى أي عنوان محلي (بخلاف 10.1.1.1) مع الوجهة TCP ميناء 21 على ترجمة NAT الضرورية للحمولة.

نموذج التكوين 2

بافتراض أن خوادم FTP هذه قيد التشغيل في شبكتك المحلية:

• خادم FTP بعنوان IP 10.1.1.1 يعمل على منفذ TCP رقم 21 و 2021.

• بعض خوادم FTP ذات عنوان IP "any" (بخلاف 10.1.1.1) في رقم منفذ TCP 21.

  ip nat service list 10 ftp tcp port 21 
  ip nat service list 10 ftp tcp port 2021 
  access-list 10 permit 10.1.1.1 

عنوان المصدر	مصدر TCP ميناء	عنوان الوجهة	غاية TCP ميناء
أي عنوان محلي	أي منفذ	10.1.1.1	2021
أي عنوان محلي	أي منفذ	10.1.1.1	21
أي عنوان محلي	أي منفذ	أي عنوان محلي	21
أي عنوان محلي	أي منفذ	أي عنوان محلي	21

تصف هذه القائمة عملية NAT التفصيلية في الجدول السابق:

• السطر الأول: تحتاج الحزمة التي لها أي عنوان مصدر وأي رقم منفذ موجه إلى خادم FTP (10.1.1.1) مع وجهة رقم منفذ TCP 2021 إلى أن تتضمن الترجمة الضرورية nat للحمولة.

• السطر الثاني: تحتاج الحزمة التي لها أي عنوان مصدر وأي رقم منفذ موجه إلى خادم FTP (10.1.1.1) مع وجهة TCP رقم 21 إلى أن تتضمن الترجمة الضرورية nat للحمولة.

• السطر الثالث: تحتاج الحزمة ذات أي عنوان مصدر وأي رقم منفذ موجه إلى أي عنوان محلي مع غاية TCP رقم 21 (نموذجي FTP تحكم ميناء) إلى أن يتلقى الترجمة الضرورية nat للحمولة. لذلك يمكن أن يتلقى كل خادم FTP يركض على ميناء 21 نموذجي الترجمة الضرورية nat للحمولة.

• السطر الرابع: يجب أن تحتوي الحزمة التي تم الحصول عليها من 10.1.1.1 مع أي رقم منفذ موجه إلى أي عنوان محلي مع وجهة TCP ميناء 21 على ترجمة NAT الضرورية للحمولة.

نموذج التكوين 3

بافتراض أن خوادم FTP هذه قيد التشغيل في شبكتك المحلية:

• خادم FTP بعنوان IP 10.1.1.1 يعمل على منفذ TCP رقم 21.

• خوادم FTP بعنوان IP 10.1.1.0/24 (بخلاف 10.1.1.1) على رقم منفذ TCP 2021.

  ip nat service list 10 ftp tcp port 2021 
  access-list 10 deny 10.1.1.1 
  access-list 10 permit 10.1.1.0 0.0.0.255 

عنوان المصدر	مصدر TCP ميناء	عنوان الوجهة	غاية TCP ميناء
أي عنوان محلي	أي منفذ	10.1.1.1	21
أي عنوان محلي	أي منفذ	10.1.1.x (انظر الملاحظة)	2021
10.1.1.x (انظر الملاحظة)	أي منفذ	أي عنوان غير 10.1.1.x (راجع الملاحظة)	21

ملاحظة: 10.1.1.x لا يساوي 10.1.1.1.

تصف هذه القائمة عملية NAT التفصيلية في الجدول السابق:

• السطر الأول: تحتاج الحزمة التي لها أي عنوان مصدر وأي رقم منفذ موجه إلى خادم FTP (10.1.1.1) مع وجهة TCP رقم 21 إلى أن تتضمن الترجمة الضرورية nat للحمولة.

  ملاحظة: لا تحتوي الحزم الموجهة إلى 10.1.1.1 مع المنفذ 2021 على ترجمة حمولة NAT بسبب عبارة الرفض 10.1.1.1 في قائمة الوصول.

• السطر الثاني: تحتاج الحزمة التي لها أي عنوان مصدر وأي رقم منفذ موجه إلى أي عنوان محلي (بخلاف 10.1.1.1) مع غاية TCP رقم المنفذ 2021 إلى أن يتلقى الترجمة الضرورية nat للحمولة.

• السطر الثالث: يجب أن تحتوي الحزمة المستمدة من أي 10.1.1.x (ارجع إلى الملاحظة أدناه الجدول أعلاه) (بخلاف 10.1.1.1) مع أي رقم منفذ موجه إلى أي عنوان (بخلاف 10.1.1.x) مع وجهة منفذ TCP 21 على ترجمة NAT الضرورية للحمولة.

من المهم تذكر عند تكوين منفذ تحكم FTP غير قياسي لخادم FTP، يقوم NAT بإيقاف جلسات التحكم في FTP التي تستخدم المنفذ 21 لذلك الخادم المعين. إذا كان خادم FTP يستخدم المنافذ القياسية وغير القياسية على حد سواء، فأنت بحاجة إلى تكوين كلا المنفذين باستخدام الأمر ip nat service.

نموذج للسيناريو والتكوين

يتم تشغيل خادم FTP 10.1.1.1 في رقم منفذ TCP 2021 على الشبكة الداخلية. تم تكوين موجه NAT للسماح بحركة مرور FTP بأن تكون NAT'ed لاتصالات التحكم في المنفذ 2021.

الرسم التخطيطي للشبكة

التكوين:

interface Ethernet0
 ip address 10.1.1.2 255.255.255.0
 ip nat inside
!
interface Serial0
 ip address 192.168.10.1 255.255.255.252
 ip nat outside
!
ip nat service list 10 ftp tcp port 2021
ip nat inside source static 10.1.1.1 20.20.20.1

!--- Static NAT translation for inside local address 10.1.1.1 !--- to inside global address 20.20.20.1.

!
access-list 10 permit 10.1.1.1

معلومات ذات صلة

• كيفية عمل NAT
• nat غالبا أسئلة
• نموذج التكوين باستخدام الأمر ip nat خارج المصدر الثابت
• التحقق من تشغيل ترجمة عناوين الشبكة (NAT) واستكشاف أخطاء NAT الأساسية وإصلاحها
• صفحة دعم ترجمة عناوين الشبكة (NAT)
• الدعم التقني والمستندات - Cisco Systems