シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel

ACE: FTP non-standard port を使用するための設定

      FTP 通信を loadbalance する場合、通常、active mode の場合、ftp port#21 ftp-data port#20 を使用しますが、security 上の問題等、様々な理由でその port# が使用できない/使用したくない場合があります。

      CSS11500 Series の場合、ftp  non-standard-ports という command が用意されていますが、ACE の場合、そういった特別な command は用意されていません。 ACE では下記設定のように class-map port# を設定することで、non-standard port を使用した場合の ftp traffic loadbalancing することができます。 下記例では ftp/ftp-data 用の port# として 10021/10020 を使用しています。

      # 構成

      inspect_ftp_01.png

      # ACE 設定


      ACE20/Admin#    sh run

      Generating    configuration....

      hostname    ACE20

      boot system    image:c6ace-t1k9-mz.A2_3_1.bin

      access-list    all line 8 extended permit ip any any

      rserver host    sv1

        ip address 192.168.72.11

        inservice

      rserver host    sv2

        ip address 192.168.72.12

        inservice

      serverfarm    host sf

        rserver sv1

          inservice

        rserver sv2

          inservice

      class-map    match-all vip-ftp-non_standard

        2 match    virtual-address 192.168.71.100 tcp eq 10021

      !___ 通常の ftp    loadbalancing との違いはこの port# の設定のみになります

      policy-map    type loadbalance first-match lb

        class class-default

          serverfarm sf

      policy-map    multi-match client-vips

        class vip-ftp-non_standard

          loadbalance vip inservice

          loadbalance policy lb

          loadbalance vip icmp-reply

          inspect ftp

      access-group    input all

      interface    vlan 771

        ip address 192.168.71.250 255.255.255.0

        service-policy input client-vips

        no shutdown

      interface    vlan 772

        ip address 192.168.72.250 255.255.255.0

        no shutdown

      # server 設定


      sv1:~# cat /etc/services | grep ftp |    head -4

      #ftp-data       20/tcp

      ftp-data       10020/tcp

      #ftp            21/tcp

      ftp            10021/tcp

      sv1:~#

      # client 出力


      client:/# ftp -d 192.168.71.100 10021

      Connected to    192.168.71.100.

      220 sv1 FTP    server (Version 6.4/OpenBSD/Linux-ftpd-0.17) ready.

      ftp:    setsockopt: Bad file descriptor

      Name    (192.168.71.100:root): root

      ---> USER    root

      331 Password    required for root.

      Password:

      ---> PASS    XXXX

      230- Linux    sv1 2.6.26-2-openvz-686 #1 SMP Tue Mar 9 18:54:31 UTC 2010 i686

      230-

      230- The    programs included with the Debian GNU/Linux system are free software;

      230- the    exact distribution terms for each program are described in the

      230-    individual files in /usr/share/doc/*/copyright.

      230-

      230- Debian    GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent

      230-    permitted by applicable law.

      230 User root    logged in.

      ---> SYST

      215 UNIX    Type: L8 (Linux)

      Remote system    type is UNIX.

      Using binary    mode to transfer files.

      ftp> get tempfile

      local:    tempfile remote: tempfile

      ---> TYPE    I

      200 Type set    to I.

      ftp:    setsockopt (ignored): Permission denied

      --->    PORT 192,168,71,11,128,88

      200 PORT    command successful.

      ---> RETR    tempfile

      150 Opening    BINARY mode data connection for 'tempfile' (4 bytes).

      226    Transfer complete.

      4 bytes    received in 0.00 secs (32.6 kB/s)

      ftp> passive

      Passive mode    on.

      ftp> get tempfile

      local:    tempfile remote: tempfile

      ftp:    setsockopt (ignored): Permission denied

      ---> PASV

      227    Entering Passive Mode (192,168,71,100,4,3)

      ---> RETR    tempfile

      150 Opening    BINARY mode data connection for 'tempfile' (4 bytes).

      226    Transfer complete.

      4 bytes    received in 0.00 secs (31.2 kB/s)

      ftp>

2392
閲覧回数
3
いいね!
0
コメント