Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

PPTP ALG

Das Point-to-Point Tunneling Protocol (PPTP) ALG ist ein TCP-basiertes ALG. PPTP ermöglicht es, das Point-to-Point Protocol (PPP) durch ein IP-Netzwerk zu tunneln. PPTP definiert eine Client-Server-Architektur, einen PPTP-Netzwerkserver und einen PPTP-Zugriffskonzentrator. Das PPTP ALG benötigt eine Steuerungsanbindung und einen Datentunnel. Die Steuerverbindung verwendet TCP zum Einrichten und Trennen von PPP-Sitzungen und wird auf Port 1723 ausgeführt. Der Datentunnel überträgt PPP-Datenverkehr in GRE-Paketen (Generic Routing Encapsulated), die über IP übertragen werden.

PPTP-ALG verstehen

Das Point-to-Point Tunneling Protocol (PPTP) ALG wird für das Tunneln von PPP-Paketen (Point-to-Point Protocol) über ein IP-Netzwerk verwendet. Die PPTP-ALG wird häufig verwendet, um eine Client/Server-Architektur, einen PPTP-Netzwerkserver und einen PPTP-Zugriffskonzentrator zu implementieren.

Das PPTP ALG verarbeitet PPTP-Pakete, führt Network Address Translation (NAT) durch, öffnet Pinholes für neue Datenverbindungen zwischen einem Client und einem Server und überträgt Daten zwischen einem Client und einem Server, der sich auf gegenüberliegenden Seiten eines Geräts von Juniper Networks befindet.

Grundlegendes zur IPv6-Unterstützung für PPTP-ALG

Das PPTP ALG verwendet den TCP-Port 1723, um einen Client und einen Server zu verbinden und zu trennen. Der PPTP ALG unterstützt IPv6-Datenpakete.

Das PPTP-ALG mit IPv6-Unterstützung analysiert sowohl IPv4- als auch IPv6-PPTP-Pakete, führt NAT durch und öffnet dann eine Lochblende für den Datentunnel.

Das PPTP-ALG mit IPv6-Unterstützung unterstützt NAT-PT und NAT64 nicht, da PPP-Pakete nach dem Einrichten des Tunnels mit dem Microsoft Point-to-Point Encryption-Protokoll (MPPE) komprimiert werden. daher kann die Übersetzung des IP-Headers im PPP-Paket nicht gehandhabt werden.

  • Für PPTP-ALG mit IPv6-Unterstützung gilt die folgende Einschränkung:

    • Da PPP-Pakete nach dem Einrichten des Tunnels mit dem Microsoft Point-to-Point Encryption (MPPE)-Protokoll komprimiert werden, kann die Übersetzung des IP-Headers im PPP-Paket nicht verarbeitet werden. Um sicherzustellen, dass die PPTP-Verbindung gut funktioniert, muss der PPTP-Client daher in der Lage sein, im Dual-Stack-Modus zu arbeiten. Damit kann ein IPv6-PPTP-Client eine IPv4-Adresse für die PPP-Tunnelschnittstelle akzeptieren, über die er mit dem IPv4-PPTP-Server ohne IP-Adressübersetzung für PPP-Pakete kommunizieren kann.

Das Flow-Modul unterstützt IPv6, um das GRE-Paket zu analysieren und die GRE-Aufruf-ID als gefälschte Portinformationen zu verwenden, um die Sitzungstabelle und die Gate-Tabelle zu durchsuchen.

Hinweis:

Die PPTP-ALG kann NAT64 in einem bestimmten Szenario unterstützen, in dem die Übersetzung des IP-Headers im PPP-Paket nicht erforderlich ist, d. h., wenn der PPTP-Client im IPv6-Netzwerk und der Server im IPv4-Netzwerk im Dual-Stack-Modus arbeiten.

Beispiel: PPTP-ALG konfigurieren

Das PPTP-ALG verarbeitet PPTP-Pakete, führt NAT durch und öffnet Pinholes für neue Datenverbindungen zwischen einem Client und einem Server.

In diesem Beispiel wird gezeigt, wie PPTP ALG im Routen- oder NAT-Modus konfiguriert wird. Die Konfiguration ermöglicht es PPTP-Datenverkehr, ein Gerät zu passieren und Daten zwischen einem Client und einem Server zu übertragen, der sich auf gegenüberliegenden Seiten eines Geräts von Juniper Networks befindet.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Eine Firewall der SRX-Serie

  • Zwei PCs (Client und Server)

Bevor Sie beginnen:

Übersicht

In diesem Beispiel konfigurieren Sie zunächst Netzwerkschnittstellen auf dem Gerät, erstellen Sicherheitszonen und weisen den Zonen Schnittstellen zu und konfigurieren eine Richtlinie, um PPTP-Datenverkehr durch eine Firewall der SRX-Serie fließen zu lassen.

Anschließend erstellen Sie einen statischen NAT-Regelsatz rs1 mit einer Regel r1, die mit der Zieladresse 30.5.2.120/32 übereinstimmt, und Sie erstellen ein statisches NAT-Präfix mit der Adresse 10.5.1.120/32.

Als Nächstes erstellen Sie einen Quell-NAT-Pool src-p1 mit dem Quellregelsatz src-rs1, um Pakete von der Zonenvertrauensstellung in die nicht vertrauenswürdige Zone zu übersetzen. Bei übereinstimmenden Paketen wird die Quelladresse in eine IP-Adresse im src-p1-Pool übersetzt.

Anschließend erstellen Sie einen Ziel-NAT-Pool des-p1 mit dem Zielregelsatz des-rs1, um Pakete von der Zonenvertrauensstellung in die Zieladresse 30.5.1.120/32 zu übersetzen. Bei übereinstimmenden Paketen wird die Zieladresse in eine IP-Adresse im des-p1-Pool übersetzt. Zum Schluss konfigurieren Sie PPTP ALG-Trace-Optionen.

Topologie

Abbildung 1 zeigt die PPTP-ALG-Topologie.

Abbildung 1: PPTP-ALG-Topologie PPTP ALG Topology

Konfiguration

Führen Sie die folgenden Aufgaben aus, um die PPTP-ALG zu konfigurieren:

Konfigurieren eines Routenmodus

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie den Routenmodus:

  1. Konfigurieren von Schnittstellen.

  2. Konfigurieren Sie Zonen, und weisen Sie den Zonen Schnittstellen zu.

  3. Konfigurieren Sie eine PPTP-Richtlinie, die PPTP-Datenverkehr von der Vertrauenszone in die nicht vertrauenswürdige Zone zulässt.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show security zonesund show security policies eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Der Kürze halber enthält diese show Ausgabe nur die Konfiguration, die für dieses Beispiel relevant ist. Alle anderen Konfigurationen auf dem System wurden durch Auslassungspunkte (...) ersetzt.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Konfigurieren eines statischen NAT-Regelsatzes

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie einen statischen NAT-Regelsatz:

  1. Erstellen Sie einen statischen NAT-Regelsatz.

  2. Definieren Sie die Regel, die mit der Zieladresse übereinstimmen soll.

  3. Definieren Sie das statische NAT-Präfix für das Gerät.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security nat Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Konfigurieren eines Quell-NAT-Pools und eines Regelsatzes

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie einen Quell-NAT-Pool und einen Quell-NAT-Regelsatz:

  1. Erstellen Sie einen Quell-NAT-Pool.

  2. Erstellen Sie einen Quell-NAT-Regelsatz.

  3. Konfigurieren Sie eine Regel, die Pakete abgleicht und die Quelladresse in eine Adresse im Quellpool übersetzt.

  4. Konfigurieren Sie eine Regel, die Pakete abgleicht und die Zieladresse in eine Adresse im Quellpool übersetzt.

  5. Konfigurieren Sie einen Quell-NAT-Pool in der Regel.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security nat Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Konfigurieren eines Ziel-NAT-Pools und eines Regelsatzes

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie einen Ziel-NAT-Pool und einen Regelsatz:

  1. Erstellen Sie einen Ziel-NAT-Pool.

  2. Erstellen Sie einen Ziel-NAT-Regelsatz.

  3. Konfigurieren Sie eine Regel, die Pakete abgleicht und die Quelladresse in die Adresse im Pool übersetzt.

  4. Konfigurieren Sie eine Regel, die Pakete abgleicht und die Zieladresse in die Adresse im Pool übersetzt.

  5. Konfigurieren Sie einen Quell-NAT-Pool in der Regel.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security nat Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Konfigurieren von PPTP-ALG-Trace-Optionen

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie PPTP-ALG-Trace-Optionen:

  1. Aktivieren Sie PPTP-ALG-Trace-Optionen.

  2. Konfigurieren Sie einen Dateinamen, um die Ausgabe des Ablaufverfolgungsvorgangs zu empfangen.

  3. Geben Sie die maximale Größe der Ablaufverfolgungsdatei an.

  4. Geben Sie die Ebene der Ablaufverfolgungsausgabe an.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security alg Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Überprüfung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen der PPTP-ALG-Steuerungssitzung

Zweck

Vergewissern Sie sich, dass die PPTP-Steuerungssitzung und alle PPTP-Steuerungs- und Datensitzungen erstellt wurden.

Aktion

Geben Sie im Betriebsmodus den show security flow session Befehl ein.

Bedeutung
  • Session ID– Nummer, die die Sitzung identifiziert. Verwenden Sie diese ID, um weitere Informationen über die Sitzung abzurufen, z. B. den Richtliniennamen oder die Anzahl der ein- und ausgehenden Pakete.

  • Policy name– Name der Richtlinie, die den Datenverkehr zugelassen hat.

  • In– Eingehender Datenverkehr (Quell- und Ziel-IP-Adressen mit ihren jeweiligen Quell- und Zielportnummern, Sitzung ist TCP und die Quellschnittstelle für diese Sitzung ist ge-0/0/1.0).

  • Out—Reverse Flow (Quell- und Ziel-IP-Adressen mit ihren jeweiligen Quell- und Zielportnummern, Sitzung ist TCP und Zielschnittstelle für diese Sitzung ist fe-0/0/2.0).

Verifizieren der PPTP ALG-Flow-Gate-Informationen

Zweck

Stellen Sie sicher, dass das Flow Gate für die TCP-Datenkanalverbindung geöffnet ist.

Aktion

Geben Sie im Betriebsmodus den show security flow gate Befehl ein.

PPTP ALG verifizieren

Zweck

Stellen Sie sicher, dass PPTP-ALG aktiviert ist.

Aktion

Geben Sie im Betriebsmodus den show security alg status Befehl ein.

Bedeutung

Die Ausgabe zeigt den PPTP-ALG-Status wie folgt an:

  • Aktiviert: Zeigt an, dass PPTP-ALG aktiviert ist.

  • Deaktiviert: Zeigt an, dass die PPTP-ALG deaktiviert ist.

Überprüfen der PPTP-Ressourcen-Manager-Gruppe

Zweck

Überprüfen Sie die Gesamtzahl der Ressourcenmanagergruppen und aktiven Gruppen, die von der PPTP-ALG verwendet werden.

Aktion

Geben Sie im Betriebsmodus den show security resource-manager group active Befehl ein.

Überprüfen der PPTP-Ressourceninformationen

Zweck

Überprüfen Sie die Gesamtzahl der Ressourcen und aktiven Ressourcen, die von der PPTP-ALG verwendet werden.

Aktion

Geben Sie im Betriebsmodus den show security resource-manager resource active Befehl ein.