Utilisatio de uméros de port FTP o stadard avec NAT Coteu Itroductio Coditios préalables Coditios requises Composats utilisés Covetios Exemples de cofiguratio Cofiguratio d'échatillo 1 Cofiguratio d'échatillo 2 Cofiguratio d'échatillo 3 Exemple de scéario et cofiguratio Iformatios coexes Itroductio Les versios de logiciel 11.2(13) et 11.3(3) de Cisco IOS ot itroduit la foctioalité pour que le Traductio d's de réseau (NAT) pree e charge les uméros d'accès o stadard de Protocole FTP (File Trasfer Protocol). Das des versios logicielles plus tôt de Cisco IOS, quad u routeur Nat-activé reçoit u paquet avec les s IP qui doivet Nat-être traduites, et le ombre stadard de port TCP est pour la coexio de cotrôle de FTP (), le routeur idetifie le paquet comme paquet de FTP, et fait 'importe quelle traductio écessaire das la charge utile (partie doées) du paquet. Cepedat, si le ftp server utilise u uméro de port o stadard de FTP, NAT igore la charge utile du paquet. Ceci peut empêcher des coexios de doées de FTP d'être établi. Afi de predre e charge l'utilisatio des uméros de port o stadard de FTP, vous devez utiliser la commade d'ip at service. Cette table décrit les optios dispoibles sur cette commade : Optio liste om ombre FTP TCP Défiitio Spécifiez la liste d'accès décrivat des s globales. Nom de liste d'accès pour l' de server local. Nombre de listes d'accès pour des s globales. Protocole de FTP. Protocole TCP.
port uméro de port Port o stadard spécial. Nombre de port o stadard spécial. C'est ue sytaxe d'échatillo : router-6(cofig)#ip at service list 10 ftp tcp port 20 Quelques choses importates à oter : L' de liste d'accès das la commade ci-dessus doit apparier l' IP d'itere local pour le ftp server avec le port o stadard de cotrôle de FTP. Si u port o stadard de cotrôle de FTP est cofiguré pour u ftp server, les arrêts NAT vérifiat le FTP cotrôlet les coexios qui utiliset le port pour ce ftp server. Tous autres serveurs de FTP cotiuet à foctioer ormalemet. U hôte avec u ftp server utilisat u port o stadard de cotrôle peut égalemet avoir u cliet FTP utilisat le port stadard de cotrôle de FTP (). Si u ftp server utilise le port et u port o stadard, alors vous devez cofigurer les deux ports utilisat la commade de <port> de TCP de FTP de <acl> de liste d'ip at service. Exemple :ip at service list 10 ftp tcp port 20 ip at service list 10 ftp tcp port Cepedat, vous e pouvez pas cofigurer de plusieurs Listes d'accès pour le même port et le même service. Exemple :router-6(cofig)#ip at service list 17 ftp tcp port 20 router-6(cofig)#ip at service list 10 ftp tcp port 20 % service "ftp tcp port 20" is already cofigured for access-list 17 Coditios préalables Coditios requises Aucue spécificatio détermiée 'est requise pour ce documet. Composats utilisés Les iformatios coteues das ce documet sot basées sur les versios de matériel et de logiciel suivates : Versios du logiciel Cisco IOS 11.2(13), 11.3(3), et plus tard Les iformatios coteues das ce documet ot été créées à partir des périphériques d'u eviroemet de laboratoire spécifique. Tous les périphériques utilisés das ce documet ot démarré avec ue cofiguratio effacée (par défaut). Si votre réseau est opératioel, assurezvous que vous compreez l'effet potetiel de commade. Covetios Pour plus d'iformatios sur les covetios utilisées das ce documet, reportez-vous à Covetios relatives aux coseils techiques Cisco. Exemples de cofiguratio
Das chacu des exemples ci-dessous, les écoulemets que des processus NAT e tat que coexios de cotrôle de FTP sot décrits das ue table après les cofiguratios. Das chaque table, «'importe quelle» se rapporte à 'importe quelle qui 'égale pas 10.1.1.1. Cofiguratio d'échatillo 1 Supposez que ces serveurs de FTP s'exécutet das votre réseau local : U ftp server avec l' IP 10.1.1.1 s'exécutat sur le port TCP uméro 20. Serveurs supplémetaires avec l' IP «quels» de FTP (autre que 10.1.1.1) au port TCP uméro.ip at service list 10 ftp tcp port 20 access-list 10 permit 10.1.1.1 Port TCP Adresse Port TCP de Adresse de de 10.1.1.1 commuicatio commuicatio commuicatio 10.1.1.1 20 (voir la (voir la Remarque: Aucue 'égale 10.1.1.1. Cette liste décrit le processus NAT qui est détaillé das la table précédete : Première lige : U paquet avec 'importe quelle et 'importe quel uméro de port destiés au ftp server (10.1.1.1) avec le port TCP le uméro 20 de doit Deuxième lige : U paquet avec et tout uméro de port destiés à (autre que 10.1.1.1) avec les besois du uméro de port TCP de (port typique de cotrôle de FTP) d'avoir la traductio NAT écessaire de la charge utile. Par coséquet activat tous les serveurs de FTP (autre que 10.1.1.1) s'exécutat sur le port typique pour Troisième lige : U paquet origiaire de 10.1.1.1 avec 'importe quel uméro de port destié à 'importe quelle (autre que 10.1.1.1) avec le port TCP de doit Cofiguratio d'échatillo 2 Supposez que ces serveurs de FTP s'exécutet das votre réseau local : U ftp server avec l' IP 10.1.1.1 s'exécutat sur le port TCP uméro et 20. Quelques serveurs avec l' IP «quels» de FTP (autre que 10.1.1.1) au port TCP uméro.ip at service list 10 ftp tcp port
ip at service list 10 ftp tcp port 20 access-list 10 permit 10.1.1.1 Adresse Port TCP de Adresse de 10.1.1.1 20 10.1.1.1 Port TCP de Cette liste décrit le processus NAT qui est détaillé das la table précédete : Première lige : U paquet avec 'importe quelle et 'importe quel uméro de port destiés au ftp server (10.1.1.1) avec le port TCP le uméro 20 de doit Deuxième lige : U paquet avec 'importe quelle et 'importe quel uméro de port destiés au ftp server (10.1.1.1) avec le port TCP le uméro de doit Troisième lige : U paquet avec et tout uméro de port destiés à avec les besois du uméro de port TCP de (port typique de cotrôle de FTP) d' Par coséquet activat tous les serveurs de FTP s'exécutat sur le port typique pour avoir la traductio NAT écessaire de la charge utile. Quatrième lige : U paquet origiaire de 10.1.1.1 avec 'importe quel uméro de port destié à 'importe quelle avec le port TCP de doit avoir la traductio NAT écessaire de la charge utile. Cofiguratio d'échatillo 3 Supposez que ces serveurs de FTP s'exécutet das votre réseau local : U ftp server avec l' IP 10.1.1.1 s'exécutat sur le port TCP uméro. Serveurs de FTP avec l' IP 10.1.1.0/24 (autre que 10.1.1.1) sur le port TCP uméro 20.ip at service list 10 ftp tcp port 20 access-list 10 dey 10.1.1.1 access-list 10 permit 10.1.1.0 0.0.0.255 Adresse Port TCP de Adresse de e mettet e 10.1.1.1 Port TCP de destiatio
10.1.1.x (voir la commuicati o e mettet e commuicati o e mettet e commuicati o 10.1.1.x (voir la Toute autre que 10.1.1.x (voir la 20 Remarque: 10.1.1.x 'égale pas 10.1.1.1. Cette liste décrit le processus NAT qui est détaillé das la table précédete : Première lige : U paquet avec 'importe quelle et 'importe quel uméro de port destiés au ftp server (10.1.1.1) avec le port TCP le uméro de doit avoir la traductio NAT écessaire de la charge utile.remarque: Les paquets destiés à 10.1.1.1 avec le port 20 'ot pas la traductio NAT de charge utile e raiso de la déclaratio de 10.1.1.1 de refuser das la liste d'accès. Deuxième lige : U paquet avec 'importe quelle et 'importe quel uméro de port destiés à 'importe quelle (autre que 10.1.1.1) avec le port TCP le uméro 20 de doit Troisième lige : U paquet origiaire de 'importe quel 10.1.1.x (référez-vous à la ote audessous de la table ci-dessus) (autre que 10.1.1.1) avec 'importe quel uméro de port destié à 'importe quelle (autre que 10.1.1.x) avec le port TCP de doit Il est importat de se souveir quad u port o stadard de cotrôle de FTP est cofiguré pour u ftp server, les sessios NAT de cotrôle de FTP d'arrêts qui utiliset le port pour ce serveur particulier. Si u ftp server utilise les ports stadard et o stadard, alors vous devez cofigurer les deux ports utilisat la commade d'ip at service. Exemple de scéario et cofiguratio 10.1.1.1 serveur ftp au port TCP le uméro 20 s'exécute sur le réseau itérieur. Le routeur NAT est cofiguré pour permettre au trafic FTP pour être NAT'ed pour des coexios de cotrôle au port 20. Diagramme du réseau Cofiguratio : iterface Etheret0 ip address 10.1.1.2 255.255.255.0 ip at iside! iterface Serial0 ip address 192.168.10.1 255.255.255.252 ip at outside! ip at service list 10 ftp tcp port 20 ip at iside static 10.1.1.1 20.20.20.1
!--- Static NAT traslatio for iside local address 10.1.1.1!--- to iside global address 20.20.20.1.! access-list 10 permit 10.1.1.1 Iformatios coexes Foctioemet de NAT NAT - Forum aux questios Exemple de cofiguratio à l'aide de la commade ip at outside static Vérificatio de l'opératio NAT et dépaage NAT de base Page de support NAT Support et documetatio techiques - Cisco Systems