NESTA PÁGINA
PPTP ALG
O protocolo de tunelamento ponto a ponto (PPTP) ALG é um ALG baseado em TCP. O PPTP permite que o protocolo de ponto a ponto (PPP) seja tunelado por uma rede IP. O PPTP define uma arquitetura cliente-servidor, um servidor de rede PPTP e um concentrador de acesso PPTP. O PPTP ALG requer uma conexão de controle e um túnel de dados. A conexão de controle usa TCP para estabelecer e desconectar sessões de PPP, e funciona na porta 1723. O túnel de dados transporta tráfego PPP em pacotes encapsulados de roteamento genérico (GRE) que são transportados por IP.
Entendendo o PPTP ALG
O PPTP (Point-to-Point Tunneling Protocol, protocolo de tunelamento ponto a ponto) é usado para tunelamento de pacotes de protocolo ponto a ponto (PPP) em uma rede IP. O PPTP ALG é frequentemente usado para implementar uma arquitetura cliente/servidor, um servidor de rede PPTP e um concentrador de acesso PPTP.
O PPTP ALG processa pacotes PPTP, executa a tradução de endereços de rede (NAT), abre buracos para novas conexões de dados entre um cliente e um servidor, e transfere dados entre um cliente e um servidor localizado em lados opostos de um dispositivo da Juniper Networks.
Entender o suporte IPv6 para o PPTP ALG
O PPTP ALG usa a porta TCP 1723 para conectar e desconectar um cliente e um servidor. O PPTP ALG oferece suporte a pacotes de dados IPv6.
O PPTP ALG com suporte para IPv6, analisa pacotes de PPTP IPv4 e IPv6, executa NAT e, em seguida, abre um buraco de pinos para o túnel de dados.
O PPTP ALG com suporte para IPv6 não oferece suporte a NAT-PT e NAT64, porque os pacotes de PPP são compactados com o protocolo Microsoft Point-to-Point Encryption (MPPE) após a configuração do túnel; portanto, a tradução do cabeçalho IP no pacote PPP não pode ser tratada.
O PPTP ALG com suporte para IPv6 tem a seguinte limitação:
Como os pacotes de PPP são compactados com o protocolo MPPE (Microsoft Point-to-Point Encryption, criptografia ponto a ponto) após a configuração do túnel, a tradução do cabeçalho IP no pacote PPP não pode ser tratada; portanto, para garantir que a conexão PPTP funcione bem, o cliente PPTP deve ser capaz de trabalhar no modo de pilha dupla. Para que um cliente de PPTP IPv6 possa aceitar um endereço IPv4 para interface de túnel PPP, pelo qual ele pode se comunicar com o servidor PPTP IPv4 sem tradução de endereço IP para pacotes PPP.
O módulo de fluxo oferece suporte ao IPv6 para analisar o pacote GRE e usar o ID de chamada GRE como informações falsas de porta para pesquisar a tabela de sessão e a tabela do portão.
O PPTP ALG pode oferecer suporte ao NAT64 em um cenário específico no qual a tradução do cabeçalho IP no pacote PPP não é necessária — ou seja, se o cliente PPTP funcionar no modo de pilha dupla na rede E servidor IPv6 na rede IPv4.
Exemplo: configurar o PPTP ALG
O PPTP ALG processa pacotes PPTP, executa NAT e abre buracos para novas conexões de dados entre um cliente e um servidor.
Este exemplo mostra como configurar o PPTP ALG no modo de rota ou NAT. A configuração permite que o tráfego PPTP passe por um dispositivo, transferindo dados entre um cliente e um servidor localizado em lados opostos de um dispositivo da Juniper Networks.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um dispositivo da Série SRX
Dois PCs (cliente e servidor)
Antes de começar:
Entenda os conceitos por trás das ALGs. Veja a visão geral da ALG.
Entenda o básico do PPTP ALG. Veja a compreensão do PPTP ALG.
Visão geral
Neste exemplo, primeiro você configura interfaces de rede no dispositivo, cria zonas de segurança e atribui interfaces às zonas e configura uma política para permitir que o tráfego PPTP passe por um dispositivo da Série SRX.
Em seguida, você cria uma regra NAT estática definida rs1 com uma regra r1 para combinar com o endereço de destino 30.5.2.120/32, e você cria um prefixo NAT estático com o endereço 10.5.1.120/32.
Em seguida, você cria um src-p1 de pool NAT de origem com um conjunto de regras de origem src-rs1 para traduzir pacotes de confiança de zona para zona não confiável. Para pacotes correspondentes, o endereço de origem é traduzido para um endereço IP no pool src-p1.
Em seguida, você cria um pool NAT de destino des-p1 com um conjunto de regras de destino de des-rs1 para traduzir pacotes de confiança de zona para endereço de destino 30.5.1.120/32. Para pacotes correspondentes, o endereço de destino é traduzido para um endereço IP no pool de des-p1. Por fim, você configura opções de rastreamento de PPTP ALG.
Configuração
Para configurar o PPTP ALG, realize essas tarefas:
- Configuração de um modo de rota
- Configuração de um conjunto de regras de NAT estático
- Configuração de um grupo de NAT de origem e conjunto de regras
- Configuração de um pool de NAT de destino e conjunto de regras
- Configuração de opções de rastreamento de ALG PPTP
Configuração de um modo de rota
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set interfaces ge-0/0/1 unit 0 family inet address 20.20.20.1/8 set interfaces fe-0/0/2 unit 0 family inet address 10.10.10.1/8 set security zones security-zone trust interfaces ge-0/0/1 host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/1 host-inbound-traffic protocols all set security zones security-zone untrust interfaces fe-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces fe-0/0/2 host-inbound-traffic protocols all set security policies from-zone trust to-zone untrust policy pptp match source-address any set security policies from-zone trust to-zone untrust policy pptp match destination-address any set security policies from-zone trust to-zone untrust policy pptp match application junos-pptp set security policies from-zone trust to-zone untrust policy pptp then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de Usuário da CLI.
Para configurar o modo de rota:
Configure interfaces.
[edit interfaces] user@host#set ge-0/0/1 unit 0 family inet address 20.20.20.1/8 user@host#set fe-0/0/2 unit 0 family inet address 10.10.10.1/8
Configure zonas e atribua interfaces às zonas.
[edit security zones security-zone trust] user@host#set interfaces ge-0/0/1 host-inbound-traffic system-services all user@host#set interfaces ge-0/0/1 host-inbound-traffic protocols all [edit security zones security-zone untrust] user@host#set interfaces fe-0/0/2 host-inbound-traffic system-services all user@host#set interfaces fe-0/0/2 host-inbound-traffic protocols all
Configure uma política de PPTP que permita o tráfego PPTP da zona de confiança até a zona não confiável.
[edit security policies from-zone trust to-zone untrust] user@host#set policy pptp match source-address any user@host#set policy pptp match destination-address any user@host#set policy pptp match application junos-pptp user@host#set policy pptp then permit
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show interfaces, show security zonese show security policies comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
Para a brevidade, essa show saída inclui apenas a configuração que é relevante para este exemplo. Qualquer outra configuração no sistema foi substituída por elipses (...).
[edit]
user@host# show interfaces
...
ge-0/0/1 {
unit 0 {
family inet {
address 20.20.20.1/8;
}
}
}
fe-0/0/2 {
unit 0 {
family inet {
address 10.10.10.1/8;
}
}
}
...
[edit]
user@host# show security zones
security-zone trust {
....
interfaces {
ge-0/0/1 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
...
security-zone untrust {
interfaces {
fe-0/0/2 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy pptp {
match {
source-address any;
destination-address any;
application junos-pptp;
}
then {
permit;
}
}
}
Se terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração de um conjunto de regras de NAT estático
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security nat static rule-set rs1 from zone trust set security nat static rule-set rs1 rule r1 match destination-address 30.5.2.120/32 set security nat static rule-set rs1 rule r1 then static-nat prefix 10.5.1.120/32
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de Usuário da CLI.
Para configurar um conjunto de regras NAT estática:
Crie um conjunto de regras de NAT estático.
[edit security nat static rule-set rs1] user@host#set from zone trust
Defina a regra para combinar com o endereço de destino.
[edit security nat static rule-set rs1] user@host# set rule r1 match destination-address 30.5.2.120/32
Defina o prefixo NAT estático para o dispositivo.
[edit security nat static rule-set rs1] user@host# set rule r1 then static-nat prefix 10.5.1.120/32
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security nat comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security nat
static {
rule-set rs1 {
from zone trust;
rule r1 {
match {
destination-address 30.5.2.120/32;
}
then {
static-nat {
prefix {
10.5.1.120/32;
}
}
}
}
}
}
Se terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração de um grupo de NAT de origem e conjunto de regras
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security nat source pool src-p1 address 30.5.1.120/32 set security nat source rule-set src-rs1 from zone trust set security nat source rule-set src-rs1 to zone untrust set security nat source rule-set src-rs1 rule src-r1 match source-address 20.5.1.120/32 set security nat source rule-set src-rs1 rule src-r1 match destination-address 10.5.2.120/32 set security nat source rule-set src-rs1 rule src-r1 then source-nat pool src-p1
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de Usuário da CLI.
Para configurar um pool de NAT de origem e um conjunto de regras:
Crie um pool NAT de origem.
[edit security nat source] user@host#set pool src-p1 address 30.5.1.120/32
Crie um conjunto de regras de NAT de origem.
[edit security nat source ] user@host# set rule-set src-rs1 from zone trust user@host# set rule-set src-rs1 to zone untrust
Configure uma regra que combine pacotes e traduza o endereço de origem para um endereço no pool de origem.
[edit security nat source] user@host# set rule-set src-rs1 rule src-r1 match source-address 20.5.1.120/32
Configure uma regra que combine pacotes e traduza o endereço de destino para um endereço no pool de origem.
[edit security nat source] user@host# set rule-set src-rs1 rule src-r1 match destination-address 10.5.2.120/32
Configure um pool NAT de origem na regra.
[edit security nat source] user@host# set rule-set src-rs1 rule src-r1 then source-nat pool src-p1
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security nat comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security nat
source {
pool src-p1 {
address {
30.5.1.120/32;
}
}
rule-set src-rs1 {
from zone trust;
to zone untrust;
rule src-r1 {
match {
source-address 20.5.1.120/32;
destination-address 10.5.2.120/32;
}
then {
source-nat {
pool {
src-p1;
}
}
}
}
}
Se terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração de um pool de NAT de destino e conjunto de regras
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security nat destination pool des-p1 address 10.5.1.120/32 set security nat destination rule-set des-rs1 from zone trust set security nat destination rule-set des-rs1 rule des-r1 match source-address 20.5.1.120/32 set security nat destination rule-set des-rs1 rule des-r1 match destination-address 30.5.1.120/32 set security nat destination rule-set des-rs1 rule des-r1 then destination-nat pool des-p1
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de Usuário da CLI.
Para configurar um pool de NAT de destino e um conjunto de regras:
Crie um pool NAT de destino.
[edit security nat destination] user@host#set pool des-p1 address 10.5.1.120/32
Crie um conjunto de regras de NAT de destino.
[edit security nat destination] user@host# set rule-set des-rs1 from zone trust
Configure uma regra que combine pacotes e traduza o endereço de origem para o endereço no pool.
[edit security nat destination] user@host# set rule-set des-rs1 rule des-r1 match source-address 20.5.1.120/32
Configure uma regra que combine pacotes e traduza o endereço de destino para o endereço no pool.
[edit security nat destination] user@host# set rule-set des-rs1 rule des-r1 match destination-address 30.5.1.120/32
Configure um pool NAT de origem na regra.
[edit security nat destination] user@host# set rule-set des-rs1 rule des-r1 then destination-nat pool des-p1
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security nat comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security nat
destination {
pool des-p1 {
address {
10.5.1.120/32;
}
}
rule-set des-rs1 {
from zone trust;
rule des-r1 {
match {
source-address 20.5.1.120/32;
destination-address 30.5.1.120/32;
}
then {
destination-nat {
pool {
des-p1;
}
}
}
}
}
}
Se terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração de opções de rastreamento de ALG PPTP
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security alg pptp traceoptions flag all set security alg traceoptions file trace set security alg traceoptions file size 1g set security alg traceoptions level verbose
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de Usuário da CLI.
Para configurar opções de rastreamento de PPTP ALG:
Habilite opções de rastreamento PPTP ALG.
[edit security alg] user@host#set pptp traceoptions flag all
Configure um nome de arquivo para receber a saída da operação de rastreamento.
[edit security alg] user@host#set traceoptions file trace
Especifique o tamanho máximo do arquivo de rastreamento.
[edit security alg] user@host#set traceoptions file size 1g
Especifique o nível de saída de rastreamento.
[edit security alg] user@host#set traceoptions level verbose
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security alg comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security alg
traceoptions {
file trace size 1g;
level verbose;
}
pptp traceoptions flag all;
Se terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificando a sessão de controle de ALG PPTP
- Verificando as informações do portão de fluxo PPTP ALG
- Verificando o PPTP ALG
- Verificando o grupo de gerente de recursos do PPTP
- Verificando as informações de recursos do PPTP
Verificando a sessão de controle de ALG PPTP
Propósito
Verifique se a sessão de controle de PPTP foi criada e todas as sessões de controle e dados do PPTP são criadas.
Ação
A partir do modo operacional, entre no show security flow session comando.
user@host>show security flow session SSession ID: 57, Policy name: pptp, Timeout: 1787 Resource information : PPTP ALG, 1, 0 In: 20.20.20.32/3905 --> 10.10.10.32/1723;tcp, If: ge-0/0/1.0 Pkts: 6, Bytes: 584 Out: 10.10.10.32/1723 --> 20.20.20.32/3905;tcp, If: fe-0/0/2.0 Pkts: 4, Bytes: 352 Session ID: 58, Policy name: pptp, Timeout: 1799 In: 20.20.20.32/0 --> 10.10.10.32/256;gre, If: ge-0/0/1.0 Out: 10.10.10.32/256 --> 20.20.20.32/65001;gre, If: fe-0/0/2.0 Session ID: 59, Policy name: pptp, Timeout: 1787 In: .10.10.10.32/0 --> 20.20.20.32/260;gre, If: ge-0/0/1.0 Out: 20.20.20.32/260 --> 10.10.10.32/65000;gre, If: fe-0/0/2.0
Significado
Session ID— Número que identifica a sessão. Use este ID para obter mais informações sobre a sessão, como nome da política ou número de pacotes dentro e fora.
Policy name— Nome da política que permitia o tráfego.
In— Fluxo recebido (endereços IP de origem e destino com seus respectivos números de porta de origem e destino, a sessão é TCP, e a interface de origem para esta sessão é ge-0/0/1,0).
Out— Fluxo reverso (endereços IP de origem e destino com seus respectivos números de porta de origem e destino, a sessão é TCP, e a interface de destino para esta sessão é fe-0/0/2,0).
Verificando as informações do portão de fluxo PPTP ALG
Propósito
Verifique se o portão de fluxo está aberto para conexão de canal de dados TCP.
Ação
A partir do modo operacional, entre no show security flow gate comando.
user@host>show security flow gate
Hole: 20.0.172.24-20.0.172.24/0-0->21.0.172.38-21.0.172.38/25750-25750
Translated: 2015::172:24/65000->2005::172:108/360
Protocol: gre
Application: PPTP ALG/69
Age: 118 seconds
Flags: 0x0080
Zone: trust
Reference count: 1
Resource: 12-1-1
Hole: 2005::172:108-0-0->2015::172:24-2432-2432
Translated: 21.0.172.38/65001->20.0.172.24/2432
Protocol: gre
Application: PPTP ALG/69
Age: 120 seconds
Flags: 0x8080
Zone: untrust
Reference count: 1
Resource: 12-1-2
Valid gates: 2
Pending gates: 0
Invalidated gates: 0
Gates in other states: 0
Total gates: 2
Verificando o PPTP ALG
Propósito
Verifique se o PPTP ALG está habilitado.
Ação
A partir do modo operacional, entre no show security alg status comando.
user@host>show security alg status ALG Status : PPTP : Enabled RSH : Disabled RTSP : Enabled SCCP : Enabled SIP : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled
Significado
A saída mostra o status de PPTP ALG da seguinte forma:
Habilitado — mostra que o PPTP ALG está habilitado.
Desativado — mostra que o PPTP ALG está desativado.
Verificando o grupo de gerente de recursos do PPTP
Propósito
Verifique o número total de grupos de gerentes de recursos e grupos ativos que são usados pelo PPTP ALG.
Ação
A partir do modo operacional, entre no show security resource-manager group active comando.
user@host>show security resource-manager group active
Group ID 1: Application - PPTP ALG
Total groups 19763, active groups 1
Verificando as informações de recursos do PPTP
Propósito
Verifique o número total de recursos e recursos ativos que são usados pelo PPTP ALG.
Ação
A partir do modo operacional, entre no show security resource-manager resource active comando.
user@host>show security resource-manager resource active
Resource ID 2: Group ID - 1, Application - PPTP ALG
Resource ID 1: Group ID - 1, Application - PPTP ALG
Total Resources 93286, active resources 2