Compréhension des types de ALG de données
Junos OS prend en charge les types de ALG de données répertoriés dans le tableau 1.
ALG de données |
Description |
|---|---|
DNS |
Fournit une ALG pour le système de noms de domaine. Les ALG DNS surveillent la requête DNS et les paquets de réponse et ferment la session si l’indicateur DNS indique que le paquet est un message de réponse. |
DDNS |
Dynamic DNS (DDNS) est un ajout à la norme DNS. DDNS met à jour un serveur DNS avec de nouveaux enregistrements ou de nouvelles données d’adresses IP, sans intervention humaine. Contrairement aux DNS qui fonctionnent uniquement avec des adresses IP statiques, DDNS est également conçu pour prendre en charge des adresses IP dynamiques, comme celles attribuées par un serveur DHCP. La technologie DDNS est un bon choix pour les réseaux à domicile, qui reçoivent souvent des adresses IP publiques dynamiques de la part de leur fournisseur Internet qui changent occasionnellement. |
FTP |
Fournit une ALG pour le protocole FTP (File Transfer Protocol). Le FTP ALG surveille les ports, les pasV et les commandes 227. Elle s’NAT sur l’IP, sur le port ou dans le message et l’ouverture de la porte de l’équipement si nécessaire. |
IKE et ESP ALG |
Surveille le trafic IKE entre le IKE client et le serveur et ne permet qu’un seul échange de message de phase 2 entre chaque paire client/serveur, et non un seul échange entre un client et un serveur. Internet Key Exchange le trafic ESP (Security Payload) et IKE est échangé entre les clients et le serveur. Toutefois, si les clients ne sont pas en mesure de prendre en charge NAT-Traversal (NAT-T) et que l’équipement affecte la même adresse IP NAT à deux clients ou plus, l’équipement ne sera pas en mesure de distinguer le trafic de retour et de le router correctement.
Note:
Si l’utilisateur souhaite prendre en charge à la fois des clients NAT-T et non-NAT-T, il doit alors ajouter quelques configurations supplémentaires. S’il existe NAT clients compétents, l’utilisateur doit permettre la persistance NAT adresse source. |
MS-RPC |
Fournit une ALG pour l’appel de procédure à distance Microsoft. |
PPTP |
Fournit une ALG pour le protocole PPTP (Point-to-Point Tunneling Protocol). Le protocole PPTP est un protocole de couche 2 qui tunnels les données PPP sur les réseaux TCP/IP. Le client PPTP est disponible gratuitement sur les systèmes Windows et il est également très répandu sur les systèmes Linux. Il est largement déployé pour la création de réseaux privés virtuels (VPN). |
RSH |
Fournit une ALG pour le shell distant (RSH). La ALG RSH gère les paquets TCP destinés au port 514 et traite la commande de port RSH. La ALG RSH s’exécute NAT sur le port de la commande de port et ouvre les accès si nécessaire. |
RTSP |
Fournit une ALG pour le protocole RTSP (Real Time Streaming Protocol). Le protocole RTSP est un protocole standard pour les applications multimédia en streaming. Il contrôle la diffusion des données avec des propriétés en temps réel telles que l’audio et la vidéo. |
SQL |
Fournit une ALG pour le langage de requêtes structurées (SQL). Lalg ALG SQLNET traite le cadre de réponse TNS SQL du côté du serveur. Il analyse le paquet, recherche le schéma (HOST=ipaddress), (PORT=port) et effectue une ouverture de NAT et porte du côté client du canal de données TCP. |
SUNRPC |
Fournit une ALG pour l’appel de procédure à distance SUN. |
PARLER |
Fournit une ALG pour le protocole TALK. Le protocole TALK utilise le port UDP 517 et le port 518 pour les connexions des canaux de contrôle. Le programme de discussion se compose d’un serveur et d’un client. Le serveur gère les notifications clients et facilite la création de sessions de discussion. Il existe deux types de serveurs de discussion: ntalk et talkd. Les ALG TALK traitent les paquets de formats ntalk et talkd. Il effectue également l’NAT ouverture des portes si nécessaire. |
TFTP |
Fournit une ALG pour le protocole TFTP (Trivial File Transfer Protocol). Le TFTP ALG traite les paquets TFTP qui en ont fait la demande et ouvre une porte pour autoriser le retour de paquets de la direction inversée vers le port qui envoie la demande. |
TWAMP (TwAMP) |
Le protocole de mesure active à double voie (TWAMP) est un protocole ouvert permettant de mesurer les performances réseau entre les deux équipements d’un réseau qui prend en charge les protocoles de l’infrastructure TWAMP. L’twamp se compose de deux protocoles interdépendants: TWAMP-Control et TWAMP-Test. |
Pour plus d’informations sur l’activation et la configuration de chacune de ces ALG via J-Web, sélectionnez la page Configuration>Sécurité>ALG dans l’interface utilisateur J-Web, puis cliquez sur Aide.
Depuis les Junos OS version 15.1X49-D60 et Junos OS version 17.3R1, SRX5400, SRX5600 et SRX5800 avec les équipements SRX5K-MPC (IOC2), SRX5K-MPC3-100G10G (IOC3) et SRX5K-MPC3-40G10G (IOC3) prise en charge Express Path (anciennement connue sous le nom de déchargement des services) pour le trafic ALG.
Depuis Junos OS, les équipements de 19.3R1, SRX5400, SRX5600 et SRX5800 sont utilisés avec la prise en charge d’Express Path (anciennement connu sous le nom de déchargement de services) pour le trafic ALG avec la prise en charge de LAG (SRX5K-IOC4-10G).
Le trafic de données ALG suivant prend en charge Express Path: FTP, H.323 (seules les sessions RTP/RTCP sont déchargées), MGCP, MS RPC, RSH, RTSP, INSP, SIP (seules les sessions RTP/RTCP sont déchargées), Sun RPC, TALK (seules les sessions TCP sont délesées) et TFTP.
Le trafic de données ALG DNS, IKE et ESP, PPTP et SQL-NET ne permet pas la prise en charge d’Express Path.
Une fois qu’une session Express Path est définie, les paquets ne peuvent plus être envoyés au processeur.