このページの
PPTP ALG
ポイント to-ポイント トンネリング プロトコル(PPTP)ALG は、TCP ベースの ALG です。PPTP を使用すると、PPP(ポイント to ポイント プロトコル)を IP ネットワークを介してトンネリングできます。PPTP は、クライアントサーバー アーキテクチャ、PPTP ネットワーク サーバー、PPTP アクセス コンセントレータを定義します。PPTP ALG には、制御接続とデータ トンネルが必要です。制御接続は、TCP を使用して PPP セッションを確立および切断し、ポート 1723 で動作します。データ トンネルは、IP を通して転送される GRE(汎用ルーティング カプセル化)パケット内の PPP トラフィックを転送します。
PPTP ALG について
ポイント to-ポイント トンネリング プロトコル(PPTP)ALG は、IP ネットワークを使用した PPP(Point-to-Point Protocol)パケットのトンネリングに使用されます。PPTP ALG は、クライアント/サーバー アーキテクチャ、PPTP ネットワーク サーバー、PPTP アクセス コンセントレータを実装するためによく使用されます。
PPTP ALGは、PPTPパケットを処理し、ネットワーク アドレス変換(NAT)、クライアントとサーバー間の新しいデータ接続のためのオープンなピンホールを実行し、ジュニパーネットワークスデバイスの反対側にあるクライアントとサーバー間でデータを転送します。
PPTP ALG に対する IPv6 サポートについて
PPTP ALG は、TCP ポート 1723 を使用してクライアントとサーバーを接続および切断します。PPTP ALGはIPv6データパケットをサポートしています。
IPv6 をサポートする PPTP ALG は、IPv4 と IPv6 の両方の PPTP パケットを解析し、NAT を実行してから、データ トンネルのピンホールを開きます。
IPv6対応のPPP ALGはNAT-PTとNAT64をサポートしません。トンネルの設定後にPPPパケットがMicrosoft Point-to-Point Encryption(MPPE)プロトコルで圧縮されるためです。そのため、PPP パッケージ内の IP ヘッダーの変換は処理できません。
IPv6をサポートするPP ALGには、以下の制限があります。
トンネルの設定後、PPP パケットは Microsoft Point-to-Point Encryption(MPPE)プロトコルで圧縮されます。つまり、PPP パッケージ内の IP ヘッダーの変換は処理できません。そのため、PPTP 接続が正常に機能するには、PPTP クライアントがデュアル スタック モードで動作できる必要があります。そのため、IPv6 PPTP クライアントは PPP トンネル インターフェイスの IPv4 アドレスを受け入れ、このアドレスは PPP パケットの IP アドレス変換なしに IPv4 PPTP サーバーと通信できます。
フロー モジュールは IPv6 をサポートして GRE パケットを解析し、GRE コール ID を偽のポート情報として使用してセッション テーブルとゲート テーブルを検索します。
PPTP ALG は、PPP パッケージ内の IP ヘッダーの変換が不要な特定のシナリオで NAT64 をサポートできます。つまり、PPTP クライアントが IPv4 ネットワークおよびサーバーの IPv6 ネットワークおよびサーバーでデュアルスタック モードで動作する場合です。
例: PPTP ALG の設定
PPTP ALGは、クライアントとサーバーの間の新しいデータ接続について、PPTPパケットを処理NAT、オープンなピンホールを実行します。
この例では、ルートまたはリモート モードで PPTP ALG を設定する方法NATします。この設定では、PPTP トラフィックがデバイスを通過し、デバイスの反対側にあるクライアントとサーバー間でデータジュニパーネットワークスできます。
要件
この例では、次のハードウェアとソフトウェアのコンポーネントを使用しています。
デバイスSRX シリーズ
2 台の PC(クライアントとサーバー)
開始する前に、以下を実行します。
ALG のコンセプトを理解する。 ALGの概要 を参照してください。
PPTP ALG の基本を理解する。 「PPTP ALG について 」を参照してください。
概要
この例では、まずデバイスでネットワーク インターフェイスを設定し、セキュリティ ゾーンを作成し、インターフェイスをゾーンに割り当て、PPT SRX シリーズP トラフィックがデバイスに送信されるのを許可するポリシーを設定します。
次に、静的 NAT ルール セット rs1 とルール r1 を作成して宛先アドレス 30.5.2.120/32 と一致し、アドレス 10.5.1.120/32 を持つ静的 NAT プレフィックスを作成します。
次に、送信元ルールを使用してNAT src-p1 のソース を作成し、ゾーン trust から Zone Untrust にパケットを変換するために src-rs1 を設定します。一致するパケットの場合、送信元アドレスは src-p1 プール内の IP アドレスに変換されます。
次に、宛先ルールセット des-rs1 を使用して宛先 NAT プール des-p1 を作成し、ゾーン信頼から宛先アドレス 30.5.1.120/32 にパケットを変換します。一致パケットの場合、宛先アドレスは des-p1 プール内の IP アドレスに変換されます。最後に、PPTP ALG トレース オプションを設定します。
構成
PPTP ALG を設定するには、以下のタスクを実行します。
ルート モードの設定
CLI構成の迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit]
commit
set interfaces ge-0/0/1 unit 0 family inet address 20.20.20.1/8 set interfaces fe-0/0/2 unit 0 family inet address 10.10.10.1/8 set security zones security-zone trust interfaces ge-0/0/1 host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/1 host-inbound-traffic protocols all set security zones security-zone untrust interfaces fe-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces fe-0/0/2 host-inbound-traffic protocols all set security policies from-zone trust to-zone untrust policy pptp match source-address any set security policies from-zone trust to-zone untrust policy pptp match destination-address any set security policies from-zone trust to-zone untrust policy pptp match application junos-pptp set security policies from-zone trust to-zone untrust policy pptp then permit
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI エディターの CLI使用 」を参照してください。
ルート モードを設定するには、次の手順に示します。
インターフェイスを設定します。
[edit interfaces] user@host#set ge-0/0/1 unit 0 family inet address 20.20.20.1/8 user@host#set fe-0/0/2 unit 0 family inet address 10.10.10.1/8
ゾーンを設定し、ゾーンにインターフェイスを割り当てる。
[edit security zones security-zone trust] user@host#set interfaces ge-0/0/1 host-inbound-traffic system-services all user@host#set interfaces ge-0/0/1 host-inbound-traffic protocols all [edit security zones security-zone untrust] user@host#set interfaces fe-0/0/2 host-inbound-traffic system-services all user@host#set interfaces fe-0/0/2 host-inbound-traffic protocols all
Trustゾーンから UntrustゾーンへのPPトラフィックを許可するPPポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@host#set policy pptp match source-address any user@host#set policy pptp match destination-address any user@host#set policy pptp match application junos-pptp user@host#set policy pptp then permit
結果
設定モードから、 、 、 および のコマンドを入力して show interfaces
show security zones
設定を確認 show security policies
します。出力結果に意図した設定結果が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
この出力には、この例に関連する show
設定のみ含まれています。システム上のその他の構成は、入れ替え(... )
[edit] user@host# show interfaces ... ge-0/0/1 { unit 0 { family inet { address 20.20.20.1/8; } } } fe-0/0/2 { unit 0 { family inet { address 10.10.10.1/8; } } } ...
[edit] user@host# show security zones security-zone trust { .... interfaces { ge-0/0/1 { host-inbound-traffic { system-services { all; } protocols { all; } } } } } ... security-zone untrust { interfaces { fe-0/0/2 { host-inbound-traffic { system-services { all; } protocols { all; } } } } }
[edit] user@host# show security policies from-zone trust to-zone untrust { policy pptp { match { source-address any; destination-address any; application junos-pptp; } then { permit; } } }
デバイスの設定が完了したら、設定モード commit
から を入力します。
静的サーバー ルール NATの設定
CLI構成の迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit]
commit
set security nat static rule-set rs1 from zone trust set security nat static rule-set rs1 rule r1 match destination-address 30.5.2.120/32 set security nat static rule-set rs1 rule r1 then static-nat prefix 10.5.1.120/32
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI エディターの CLI使用 」を参照してください。
静的ポリシー ルール セットをNATするには、以下の手順に従います。
静的ルール セットNAT作成します。
[edit security nat static rule-set rs1] user@host#set from zone trust
宛先アドレスと一致するルールを定義します。
[edit security nat static rule-set rs1] user@host# set rule r1 match destination-address 30.5.2.120/32
デバイスの静的NAT プレフィックスを定義します。
[edit security nat static rule-set rs1] user@host# set rule r1 then static-nat prefix 10.5.1.120/32
結果
設定モードから、 コマンドを入力して設定を確認 show security nat
します。出力結果に意図した設定結果が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show security nat static { rule-set rs1 { from zone trust; rule r1 { match { destination-address 30.5.2.120/32; } then { static-nat { prefix { 10.5.1.120/32; } } } } } }
デバイスの設定が完了したら、設定モード commit
から を入力します。
ソース ポリシー プールNATルール セットの設定
CLI構成の迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit]
commit
set security nat source pool src-p1 address 30.5.1.120/32 set security nat source rule-set src-rs1 from zone trust set security nat source rule-set src-rs1 to zone untrust set security nat source rule-set src-rs1 rule src-r1 match source-address 20.5.1.120/32 set security nat source rule-set src-rs1 rule src-r1 match destination-address 10.5.2.120/32 set security nat source rule-set src-rs1 rule src-r1 then source-nat pool src-p1
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI エディターの CLI使用 」を参照してください。
ソース ポリシー プールとNAT設定するには、以下の手順に従います。
ソース リソース プールNAT作成します。
[edit security nat source] user@host#set pool src-p1 address 30.5.1.120/32
ソース ルール セットNAT作成します。
[edit security nat source ] user@host# set rule-set src-rs1 from zone trust user@host# set rule-set src-rs1 to zone untrust
パケットを一致し、送信元アドレスを送信元プール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set src-rs1 rule src-r1 match source-address 20.5.1.120/32
パケットを一致し、宛先アドレスを送信元プール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set src-rs1 rule src-r1 match destination-address 10.5.2.120/32
ルール内のソース NAT ポリシー プールを設定します。
[edit security nat source] user@host# set rule-set src-rs1 rule src-r1 then source-nat pool src-p1
結果
設定モードから、 コマンドを入力して設定を確認 show security nat
します。出力結果に意図した設定結果が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show security nat source { pool src-p1 { address { 30.5.1.120/32; } } rule-set src-rs1 { from zone trust; to zone untrust; rule src-r1 { match { source-address 20.5.1.120/32; destination-address 10.5.2.120/32; } then { source-nat { pool { src-p1; } } } } }
デバイスの設定が完了したら、設定モード commit
から を入力します。
宛先NATプールとルール セットの設定
CLI構成の迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit]
commit
set security nat destination pool des-p1 address 10.5.1.120/32 set security nat destination rule-set des-rs1 from zone trust set security nat destination rule-set des-rs1 rule des-r1 match source-address 20.5.1.120/32 set security nat destination rule-set des-rs1 rule des-r1 match destination-address 30.5.1.120/32 set security nat destination rule-set des-rs1 rule des-r1 then destination-nat pool des-p1
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI エディターの CLI使用 」を参照してください。
宛先リンク プールとNAT設定するには、以下の手順に従います。
宛先プールをNATします。
[edit security nat destination] user@host#set pool des-p1 address 10.5.1.120/32
宛先ルール セットNAT作成します。
[edit security nat destination] user@host# set rule-set des-rs1 from zone trust
パケットを一致し、送信元アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat destination] user@host# set rule-set des-rs1 rule des-r1 match source-address 20.5.1.120/32
パケットを一致し、宛先アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat destination] user@host# set rule-set des-rs1 rule des-r1 match destination-address 30.5.1.120/32
ルール内のソース NAT ポリシー プールを設定します。
[edit security nat destination] user@host# set rule-set des-rs1 rule des-r1 then destination-nat pool des-p1
結果
設定モードから、 コマンドを入力して設定を確認 show security nat
します。出力結果に意図した設定結果が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show security nat destination { pool des-p1 { address { 10.5.1.120/32; } } rule-set des-rs1 { from zone trust; rule des-r1 { match { source-address 20.5.1.120/32; destination-address 30.5.1.120/32; } then { destination-nat { pool { des-p1; } } } } } }
デバイスの設定が完了したら、設定モード commit
から を入力します。
PPTP ALG トレース オプションの設定
CLI構成の迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit]
commit
set security alg pptp traceoptions flag all set security alg traceoptions file trace set security alg traceoptions file size 1g set security alg traceoptions level verbose
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI エディターの CLI使用 」を参照してください。
PPTP ALG トレース オプションを設定するには、次の手順に示します。
PPTP ALG トレース オプションを有効にします。
[edit security alg] user@host#set pptp traceoptions flag all
トレース操作から出力を受け取るファイル名を設定します。
[edit security alg] user@host#set traceoptions file trace
最大トレース ファイル サイズを指定します。
[edit security alg] user@host#set traceoptions file size 1g
トレース出力レベルを指定します。
[edit security alg] user@host#set traceoptions level verbose
結果
設定モードから、 コマンドを入力して設定を確認 show security alg
します。出力結果に意図した設定結果が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show security alg traceoptions { file trace size 1g; level verbose; } pptp traceoptions flag all;
デバイスの設定が完了したら、設定モード commit
から を入力します。
検証
設定が正常に機能されていることを確認します。
PPTP ALG コントロール セッションの検証
目的
PPTP コントロール セッションが作成され、すべての PPTP 制御およびデータ セッションが作成されます。
アクション
動作モードから コマンドを入力 show security flow session
します。
user@host>show security flow session SSession ID: 57, Policy name: pptp, Timeout: 1787 Resource information : PPTP ALG, 1, 0 In: 20.20.20.32/3905 --> 10.10.10.32/1723;tcp, If: ge-0/0/1.0 Pkts: 6, Bytes: 584 Out: 10.10.10.32/1723 --> 20.20.20.32/3905;tcp, If: fe-0/0/2.0 Pkts: 4, Bytes: 352 Session ID: 58, Policy name: pptp, Timeout: 1799 In: 20.20.20.32/0 --> 10.10.10.32/256;gre, If: ge-0/0/1.0 Out: 10.10.10.32/256 --> 20.20.20.32/65001;gre, If: fe-0/0/2.0 Session ID: 59, Policy name: pptp, Timeout: 1787 In: .10.10.10.32/0 --> 20.20.20.32/260;gre, If: ge-0/0/1.0 Out: 20.20.20.32/260 --> 10.10.10.32/65000;gre, If: fe-0/0/2.0
意味
Session ID—セッションを識別する番号。この ID を使用して、ポリシー名や受信パケット数などのセッションの詳細を確認します。
Policy name—トラフィックを許可したポリシー名。
In:受信フロー(それぞれの送信元および宛先ポート番号を持つ送信元および宛先 IP アドレス、セッションは TCP、このセッションの送信元インターフェイスは ge-0/0/1.0 です)。
Out—リバース フロー(それぞれの送信元および宛先ポート番号を持つ送信元および宛先 IP アドレス、セッションは TCP、このセッションの宛先インターフェイスは fe-0/0/2.0 です。
PPTP ALGフロー ゲート情報の検証
目的
TCP データ チャネル接続用にフロー ゲートが開いているか検証します。
アクション
動作モードから コマンドを入力 show security flow gate
します。
user@host>show security flow gate Hole: 20.0.172.24-20.0.172.24/0-0->21.0.172.38-21.0.172.38/25750-25750 Translated: 2015::172:24/65000->2005::172:108/360 Protocol: gre Application: PPTP ALG/69 Age: 118 seconds Flags: 0x0080 Zone: trust Reference count: 1 Resource: 12-1-1 Hole: 2005::172:108-0-0->2015::172:24-2432-2432 Translated: 21.0.172.38/65001->20.0.172.24/2432 Protocol: gre Application: PPTP ALG/69 Age: 120 seconds Flags: 0x8080 Zone: untrust Reference count: 1 Resource: 12-1-2 Valid gates: 2 Pending gates: 0 Invalidated gates: 0 Gates in other states: 0 Total gates: 2
PPTP ALG の検証
目的
PPTP ALG が有効になっているか検証します。
アクション
動作モードから コマンドを入力 show security alg status
します。
user@host>show security alg status ALG Status : PPTP : Enabled RSH : Disabled RTSP : Enabled SCCP : Enabled SIP : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled
意味
出力は、PPTP ALG ステータスを次のように示します。
有効 — PPTP ALG が有効になっている場合を示します。
無効 — PPTP ALG が無効になっている状態を示します。
PPTP リソース マネージャー グループの検証
目的
PPTP ALGによって使用されるリソースマネージャーグループとアクティブなグループの総数を検証します。
アクション
動作モードから コマンドを入力 show security resource-manager group active
します。
user@host>show security resource-manager group active Group ID 1: Application - PPTP ALG Total groups 19763, active groups 1
PPTPリソース情報の検証
目的
PPTP ALG によって使用されるリソースとアクティブなリソースの総数を検証します。
アクション
動作モードから コマンドを入力 show security resource-manager resource active
します。
user@host>show security resource-manager resource active Resource ID 2: Group ID - 1, Application - PPTP ALG Resource ID 1: Group ID - 1, Application - PPTP ALG Total Resources 93286, active resources 2