Verwendung von nicht standardmäßigen FTP-Portnummern mit NAT

Download-Optionen

  • PDF     (183.0 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (97.2 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (92.0 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:10. August 2005
Dokument-ID:13776

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einführung

Mit den Cisco IOS® Software-Versionen 11.2(13) und 11.3(3) wurde die Funktionalität für Network Address Translation (NAT) eingeführt, um nicht standardmäßige FTP-Portnummern (File Transfer Protocol) zu unterstützen. Wenn ein NAT-fähiger Router in früheren Versionen der Cisco IOS-Software ein Paket mit IP-Adressen empfängt, das übersetzt werden muss, und wenn die Standard-TCP-Portnummer für die FTP-Steuerungsverbindung (21) lautet, erkennt der Router das Paket als FTP-Paket und führt alle erforderlichen Übersetzungen in die Nutzlast (Datenanteil) des Pakets durch. Wenn der FTP-Server jedoch eine nicht standardmäßige FTP-Portnummer verwendet, ignoriert NAT die Nutzlast des Pakets. Dies kann verhindern, dass FTP-Datenverbindungen hergestellt werden.

Um die Verwendung von nicht standardmäßigen FTP-Portnummern zu unterstützen, müssen Sie den Befehl ip nat service verwenden. In dieser Tabelle werden die für diesen Befehl verfügbaren Optionen beschrieben:

Option Definition
Liste Geben Sie die Zugriffsliste zur Beschreibung globaler Adressen an.
Name Name der Zugriffsliste für die lokale Serveradresse.
Nummer Zugriffslistennummer für globale Adressen.
FTP FTP-Protokoll
TCP TCP-Protokoll.
Port Spezieller nicht standardmäßiger Port.
Portnummer Anzahl der speziellen nicht standardmäßigen Ports.

Dies ist eine Beispielsyntax: 

router-6(config)#ip nat service list 10 ftp tcp port 2021

Wichtige Punkte:

  • Die Zugriffslistenadresse im obigen Befehl muss mit der internen lokalen IP-Adresse des FTP-Servers übereinstimmen, der nicht dem Standard-FTP-Steuerungsport entspricht.

  • Wenn ein nicht standardmäßiger FTP-Steuerungsport für einen FTP-Server konfiguriert ist, beendet NAT die Überprüfung von FTP-Steuerverbindungen, die Port 21 für diesen FTP-Server verwenden. Alle anderen FTP-Server funktionieren weiterhin normal.

  • Ein Host mit einem FTP-Server, der einen nicht standardmäßigen Steuerungsport verwendet, kann auch über einen FTP-Client verfügen, der den standardmäßigen FTP-Steuerungsport verwendet (21).

  • Wenn ein FTP-Server sowohl Port 21 als auch einen nicht standardmäßigen Port verwendet, müssen Sie beide Ports mithilfe der ip nat service list <acl> ftp tcp <port>-Befehl konfigurieren. Beispiel: 

    ip nat service list 10 ftp tcp port 2021
ip nat service list 10 ftp tcp port 21

    Sie können jedoch nicht mehrere Zugriffslisten für denselben Port und denselben Service konfigurieren. Beispiel: 

    router-6(config)#ip nat service list 17 ftp tcp port 2021 
router-6(config)#ip nat service list 10 ftp tcp port 2021
% service "ftp tcp port 2021" is already configured for access-list 17

Voraussetzungen

Anforderungen

Für dieses Dokument bestehen keine speziellen Anforderungen.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:

  • Cisco IOS Software-Versionen 11.2(13), 11.3(3) und höher

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).

Beispielkonfigurationen

In jedem der folgenden Beispiele werden die Flows, die NAT als FTP-Steuerungsverbindungen verarbeitet, in einer Tabelle nach den Konfigurationen beschrieben. In jeder Tabelle bezieht sich "jede lokale Adresse" auf eine Adresse, die nicht 10.1.1.1 entspricht.

Beispielkonfiguration 1

Angenommen, diese FTP-Server werden in Ihrem lokalen Netzwerk ausgeführt:

  • Ein FTP-Server mit der IP-Adresse 10.1.1.1, der unter der TCP-Portnummer 2021 ausgeführt wird.

  • Zusätzliche FTP-Server mit der IP-Adresse "any" (außer 10.1.1.1) unter TCP-Portnummer 21. 

    ip nat service list 10 ftp tcp port 2021 
access-list 10 permit 10.1.1.1
Quelladresse Quell-TCP-Port Zieladresse Ziel-TCP-Port
alle lokalen Adressen Jeder Port 10.1.1.1 2021
alle lokalen Adressen Jeder Port jede lokale Adresse (siehe Hinweis) 21
10.1.1.1 Jeder Port jede lokale Adresse (siehe Hinweis) 21

Hinweis: Eine lokale Adresse ist nicht gleich 10.1.1.1.

In dieser Liste wird der NAT-Prozess beschrieben, der in der Tabelle oben beschrieben ist:

  • Erste Zeile: Bei einem Paket mit einer beliebigen Quelladresse und einer beliebigen Portnummer, die für den FTP-Server (10.1.1.1) mit der Ziel-TCP-Portnummer 2021 bestimmt ist, muss die erforderliche NAT-Übersetzung der Payload vorhanden sein.

  • Zweite Zeile: Bei einem Paket mit einer beliebigen Quelladresse und einer beliebigen Portnummer, die für eine lokale Adresse (außer 10.1.1.1) mit Ziel-TCP-Portnummer 21 (typischer FTP-Kontrollport) bestimmt ist, muss die erforderliche NAT-Übersetzung der Nutzlast vorhanden sein. Dadurch können alle FTP-Server (außer 10.1.1.1), die auf einem typischen Port 21 ausgeführt werden, die erforderliche NAT-Übersetzung der Payload erhalten.

  • Dritte Zeile: Ein Paket, das von 10.1.1.1 stammt und eine beliebige Portnummer hat, die an eine beliebige lokale Adresse (außer 10.1.1.1) mit Ziel-TCP-Port 21 gerichtet ist, muss über die erforderliche NAT-Umwandlung der Nutzlast verfügen.

Beispielkonfiguration 2

Angenommen, diese FTP-Server werden in Ihrem lokalen Netzwerk ausgeführt:

  • Ein FTP-Server mit der IP-Adresse 10.1.1.1, der auf den TCP-Ports 21 und 2021 ausgeführt wird.

  • Einige FTP-Server mit der IP-Adresse "any" (außer 10.1.1.1) unter der TCP-Portnummer 21. 

    ip nat service list 10 ftp tcp port 21 
ip nat service list 10 ftp tcp port 2021 
access-list 10 permit 10.1.1.1
Quelladresse Quell-TCP-Port Zieladresse Ziel-TCP-Port
alle lokalen Adressen Jeder Port 10.1.1.1 2021
alle lokalen Adressen Jeder Port 10.1.1.1 21
alle lokalen Adressen Jeder Port alle lokalen Adressen 21
alle lokalen Adressen Jeder Port alle lokalen Adressen 21

In dieser Liste wird der NAT-Prozess beschrieben, der in der Tabelle oben beschrieben ist:

  • Erste Zeile: Bei einem Paket mit einer beliebigen Quelladresse und einer beliebigen Portnummer, die für den FTP-Server (10.1.1.1) mit der Ziel-TCP-Portnummer 2021 bestimmt ist, muss die erforderliche NAT-Übersetzung der Payload vorhanden sein.

  • Zweite Zeile: Bei einem Paket mit einer beliebigen Quelladresse und einer beliebigen Portnummer, die für den FTP-Server (10.1.1.1) mit Ziel-TCP-Portnummer 21 bestimmt ist, muss die erforderliche NAT-Übersetzung der Payload vorhanden sein.

  • Dritte Zeile: Bei einem Paket mit jeder Quelladresse und allen Portnummern, die für eine lokale Adresse mit Ziel-TCP-Port-Nummer 21 (typischer FTP-Steuerungsport) bestimmt sind, muss die erforderliche NAT-Übersetzung der Payload vorhanden sein. Dadurch können alle FTP-Server, die auf einem typischen Port 21 ausgeführt werden, über die erforderliche NAT-Übersetzung der Payload verfügen.

  • Vierte Zeile: Bei einem Paket, das von 10.1.1.1 stammt und für das eine beliebige Portnummer an eine lokale Adresse mit Ziel-TCP-Port 21 bestimmt ist, muss die erforderliche NAT-Übersetzung der Payload vorhanden sein.

Beispielkonfiguration 3

Angenommen, diese FTP-Server werden in Ihrem lokalen Netzwerk ausgeführt:

  • Ein FTP-Server mit der IP-Adresse 10.1.1.1, der unter TCP-Portnummer 21 ausgeführt wird.

  • FTP-Server mit der IP-Adresse 10.1.1.0/24 (außer 10.1.1.1) unter TCP-Portnummer 2021. 

    ip nat service list 10 ftp tcp port 2021 
access-list 10 deny 10.1.1.1 
access-list 10 permit 10.1.1.0 0.0.0.255
Quelladresse Quell-TCP-Port Zieladresse Ziel-TCP-Port
alle lokalen Adressen Jeder Port 10.1.1.1 21
alle lokalen Adressen Jeder Port 10.1.1.x (siehe Hinweis) 2021
10.1.1.x (siehe Hinweis) Jeder Port Alle Adressen außer 10.1.1.x (siehe Hinweis) 21

Hinweis: 10.1.1.x entspricht nicht 10.1.1.1.

In dieser Liste wird der NAT-Prozess beschrieben, der in der Tabelle oben beschrieben ist:

  • Erste Zeile: Bei einem Paket mit einer beliebigen Quelladresse und einer beliebigen Portnummer, die für den FTP-Server (10.1.1.1) mit Ziel-TCP-Portnummer 21 bestimmt ist, muss die erforderliche NAT-Übersetzung der Payload vorhanden sein.

    Hinweis: Pakete, die für 10.1.1.1 mit Port 2021 bestimmt sind, verfügen wegen der Anweisung "deny 10.1.1.1" in der Zugriffsliste nicht über eine NAT-Payload-Übersetzung.

  • Zweite Zeile: Ein Paket mit einer beliebigen Quelladresse und einer beliebigen Portnummer, die an eine lokale Adresse (außer 10.1.1.1) mit Ziel-TCP-Portnummer 2021 gerichtet ist, muss über die erforderliche NAT-Übersetzung der Nutzlast verfügen.

  • Dritte Zeile: Ein Paket, das von einem beliebigen 10.1.1.x-Port (siehe Hinweis unten in der Tabelle oben) (mit Ausnahme von 10.1.1.1) mit einer beliebigen Portnummer, die an eine beliebige Adresse (außer 10.1.1.x) mit Ziel-TCP-Port 21 gerichtet ist, stammt, muss über die erforderliche NAT-Übersetzung der Payload verfügen.

Wenn ein nicht standardmäßiger FTP-Steuerungsport für einen FTP-Server konfiguriert ist, muss man sich daran erinnern, dass NAT FTP-Steuerungssitzungen beendet, die Port 21 für diesen bestimmten Server verwenden. Wenn ein FTP-Server sowohl Standard- als auch Nicht-Standard-Ports verwendet, müssen Sie beide Ports mit dem Befehl ip nat service konfigurieren.

Beispielszenario und Konfiguration

Der FTP-Server 10.1.1.1 unter TCP-Portnummer 2021 wird im internen Netzwerk ausgeführt. Der NAT-Router ist so konfiguriert, dass der FTP-Datenverkehr für Steuerungsverbindungen an Port 2021 NAT zugewiesen werden kann.

Netzwerkdiagramm

6.gif

Konfiguration: 

interface Ethernet0
 ip address 10.1.1.2 255.255.255.0
 ip nat inside
!
interface Serial0
 ip address 192.168.10.1 255.255.255.252
 ip nat outside
!
ip nat service list 10 ftp tcp port 2021
ip nat inside source static 10.1.1.1 20.20.20.1

!--- Static NAT translation for inside local address 10.1.1.1 !--- to inside global address 20.20.20.1.

!
access-list 10 permit 10.1.1.1

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
10-Aug-2005
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren