Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Vérification de la sortie des sessions ALG

Cette section contient des exemples de résultats positifs des sessions ALG et des informations sur la configuration du journal système. Vous pouvez comparer les résultats de vos sessions pour vérifier si les configurations fonctionnent correctement.

Exemple FTP

Cet exemple analyse la sortie au cours d’une session FTP active. Il se compose de quatre flux différents ; deux sont des flux de contrôle et deux sont des flux de données. L’exemple se compose des parties suivantes :

Exemple de sortie

Carte MS-MPC

Pour les MS-MPC, voici un exemple de sortie complet de la show services stateful-firewall conversations application-protocol ftp commande mode opérationnel :

Pour chaque flux, la première ligne affiche les informations de flux, notamment le protocole (TCP), l’adresse source, le port source, l’adresse de destination, le port de destination, l’état du flux, la direction et le nombre de trames.

  • L’état d’un flux peut être Watch, Forwardou Drop:

    • Un Watch état de flux indique que le flux de contrôle est surveillé par l’ALG pour obtenir des informations dans la charge utile. Le traitement NAT est effectué sur l’en-tête et la charge utile selon les besoins.

    • Un Forward flux transmet les paquets sans surveiller la charge utile. NAT est effectué sur l’en-tête selon les besoins.

    • Un Drop flux abandonne tout paquet qui correspond au tuple 5 .

  • Le nombre de trames (Frm count) indique le nombre de paquets traités sur ce flux.

La deuxième ligne affiche les informations NAT.

  • source indique la source NAT.

  • dest indique la destination NAT.

  • La première adresse et le premier port de la ligne NAT sont l’adresse et le port d’origine traduits pour ce flux.

  • La deuxième adresse et le deuxième port de la ligne NAT sont l’adresse et le port traduits pour ce flux.

Carte MX-SPC3

Sur la carte de services MX-SPC3, voici un exemple complet de sortie de la show services sessions application-protocol ftp commande mode opérationnel :

Pour chaque séance :

  • La première ligne affiche les informations de flux, notamment l’ID de session, le nom de l’ensemble de services, le nom de la stratégie, le délai d’expiration de la session, le nom du système logique et son état.

  • La deuxième ligne, , indique que la session est créée par ALG, y compris le nom ALG (FTP ALG) et l’ID de groupe ASL, qui est 1et l’ID de ressource ASL, Resource informationqui est 0 pour session de contrôle et 1 pour session de données.

  • La troisième ligne est le flux direct et la quatrième ligne In Out est le flux inverse, y compris l’adresse source, le port source, l’adresse de destination, le port de destination, le protocole (TCP), la balise conn de session, l’interface entrante Inet sortante Out , le nombre de trames reçues et les octets. NAT est effectué sur l’en-tête selon les besoins.

Messages du journal système FTP

Les messages du journal système sont générés au cours d’une session FTP. Pour plus d’informations sur les journaux système, consultez Messages du journal système.

Carte MS-MPC

Les messages journaux système suivants sont générés lors de la création du flux de contrôle FTP :

  • Règle Accepter le journal système :

  • Créer un journal système Accept Flow :

  • Journal système pour la création de flux de données :

Carte MX-SPC3

Les messages journaux système suivants sont générés lors de la création du flux de contrôle FTP :

  • Journal système pour la création de sessions de contrôle FTP :

  • Journal système pour la création de sessions de données FTP :

  • Le journal système pour la session de données FTP détruit :

  • Le journal système de la session de contrôle FTP détruit :

Analyse

Contrôler les flux

Carte MS-MPC

Les flux de contrôle sont établis une fois l’établissement de liaison à trois voies terminé.

  • Contrôlez le flux du client FTP vers le serveur FTP. Le port de destination TCP est 21.

  • Contrôlez le flux du serveur FTP vers le client FTP. Le port source TCP est 21.

Carte MX-SPC3

Les flux de contrôle sont établis une fois l’établissement de liaison à trois voies terminé.

  • Contrôlez la session du client FTP au serveur FTP, le port de destination TCP est 21.

  • Session de données du client FTP au serveur FTP, c’est pour le mode passif FTP.

  • Session de données du serveur FTP au client FTP, c’est pour le mode actif FTP :

Flux de données

Un port de données de 20 est négocié pour le transfert de données au cours du protocole de contrôle FTP. Ces deux flux sont des flux de données entre le client FTP et le serveur FTP :

Questions de dépannage

  1. Comment savoir si l’ALG FTP est actif ?

    • Le champ Protocole ALG de la conversation doit afficher ftp.

    • Le nombre de trames (Frm count) doit être valide dans les flux de contrôle.

    • Un nombre de trames valide dans les flux de données indique que le transfert de données a eu lieu.

  2. De quoi ai-je besoin pour vérifier si la connexion FTP est établie mais que le transfert de données n’a pas lieu ?

    • Très probablement, la connexion de contrôle est opérationnelle, mais la connexion de données est interrompue.

    • Vérifiez la sortie des conversations pour déterminer si le contrôle et les flux de données sont présents.

  3. Comment interpréter chaque flux ? Que signifie chaque flux ?

    • Flux initiateur de flux de contrôle FTP : flux avec le port de destination 21

    • Flux de réponse de flux de contrôle FTP : flux avec port source ; 21

    • Flux initiateur de flux de données FTP : flux avec le port de destination 20

    • Flux de réponse de flux de données FTP : flux avec le port source 20

Exemple RTSP ALG

Voici un exemple de conversation RTSP. L’application utilise le protocole RTSP pour contrôler la connexion. Une fois la connexion établie, le média est envoyé à l’aide du protocole UDP (RTP).

Cet exemple comprend les éléments suivants :

Exemple de sortie pour MS-MPC

Voici la sortie de la show services stateful-firewall conversations commande du mode opérationnel :

Exemple de sortie pour carte de services MX-SPC3

Voici la sortie de la show services sessions application-protocol rtsp commande du mode opérationnel :

Analyse

Une conversation RTSP doit être constituée de flux TCP correspondant à la connexion de contrôle RTSP. Il doit y avoir deux flux, un dans chaque direction, du client au serveur et du serveur au client :

  • La connexion de contrôle RTSP pour le flux initiateur est envoyée à partir du port de destination 554.

  • La connexion de contrôle RTSP pour le flux de répondeur est envoyée à partir du port source 554.

Les flux UDP correspondent aux médias RTP envoyés via la connexion RTSP.

Questions de dépannage

  1. Le support ne fonctionne pas lorsque l’ALG RTSP est configuré. Que dois-je faire ?

    • Vérifiez les conversations RTSP pour voir s’il existe des flux TCP et UDP.

    • Le protocole ALG doit être affiché sous la forme rtsp.

    Note:

    L’état du flux est affiché sous la forme , car le traitement ALG est en cours et le client est essentiellement en train de « surveiller » ou de traiter la Watchcharge utile correspondant à l’application. Pour les flux FTP et RTSP ALG, les connexions de contrôle sont toujours Watch des flux.

  2. Comment puis-je vérifier les erreurs ALG ?

    • Vous pouvez vérifier les erreurs en émettant la commande suivante. Chaque ALG a un champ distinct pour les erreurs de paquets ALG.

Messages du journal système

L’activation de la génération de journaux système et la vérification du journal système sont également utiles pour l’analyse de flux ALG. Cette section contient les éléments suivants :

Configuration du journal système

Vous pouvez configurer l’activation des messages du journal système à différents niveaux dans l’interface de ligne de commande Junos OS. Comme illustré dans les exemples de configurations suivants, le choix du niveau dépend de la spécificité de la journalisation des événements et des options à inclure. Pour plus de détails sur les options de configuration, reportez-vous à la bibliothèque d’administration Junos OS pour les périphériques de routage (niveau système) ou à la bibliothèque d’interfaces de services Junos OS pour les périphériques de routage (tous les autres niveaux).

  1. Au plus haut niveau mondial :

  2. Au niveau de l’ensemble de services :

  3. Au niveau des règles de service :

Sortie du journal système

Les messages du journal système sont générés lors de la création du flux, comme illustré dans les exemples suivants :

Le message de journal système suivant indique que l’ASP correspondait à une règle d’acceptation :

Pour obtenir la liste complète des messages du journal système, consultez l’Explorateur de journaux système.