このページでは
SQLNET ALG
SQLNET プロトコルは、Oracle SQL サーバーによって、アプリケーションやアプリケーション固有のサービスなど、クライアントロード バランシング SQL コマンドを実行するために使用されます。ステートフル ファイアウォールとファイアウォール サービスNAT、TCP ポート 1521 用に SQLNET ALG を設定する必要があります。ALG は制御パケットを監視し、データ トラフィック用にフローを動的に開き、アドレスNAT書き換えを実行します。
SQLNET ALG について
SQLNET ゲートウェイアプリケーション層(ALG)は、IP アドレスとポート情報用の透過ネットワーク 基板(TNS)リダイレクト パケットを処理します。SQLNET ALG は、TNS リダイレクト パケットのペイロード上で ネットワーク アドレス変換(NAT)を実行し、クライアントからサーバーへの新しい接続のピンホールを開き、ジュニパーネットワークス デバイスの反対側にあるクライアントとサーバー間でデータを転送します。
SQLNET ALG は、次のタイプのデータ転送モードをサポートしています。
リダイレクト モード — 接続リダイレクト タイプ
Interleave mode — 接続受け入れタイプ
負荷分散 — connect-redirect-connect-redirect type
SQLNETでは、アプリケーションとOracleデータベース間、または複数のOracleデータベース間でリモートデータアクセスが可能です。SQLNET は主に、クライアント アプリケーションと Oracle データベース サーバーの間の接続を確立して維持します。SQLNET には、クライアントとデータベース サーバーによるデータの共有、変更、操作を可能にする複数の通信レイヤーがあります。
Oracle SQLサーバーは、SQLNETプロトコルを使用して、アプリケーションやアプリケーション固有のロード バランシングを含むクライアントからのSQLコマンドを実行します。SQLNET プロトコルはネットワーク アーキテクチャとして TNS を使用し、すべての SQLNET トラフィックは TNS パケット形式にカプセル化されます。
SQLNET ALG は、制御パケットを監視し、データ トラフィックのピンホールを開き、NAT書き換えを実行します。TCP ポート 1521 用の SQLNET ALG を構成NATステートフル ファイアウォールおよびファイアウォール サービスのサポートが必要です。
例: SQLNET ALG の設定
SQLNET ALG は TNS リダイレクト パケットを処理し、NAT を実行して、クライアントからサーバーへの新しい接続のピンホールを開きます。
この例では、ルートまたは NAT モードで SQLNET ALG を設定し、SQLNET トラフィックにデバイスを通過させて、ジュニパーネットワークス デバイスの反対側にあるクライアントとサーバー間でデータを転送する方法を示しています。
要件
この例では、次のハードウェアとソフトウェアのコンポーネントを使用しています。
デバイスSRX シリーズ
2 台の PC(クライアントとサーバー)
開始する前に、以下を実行します。
ALG のコンセプトを理解する。 ALGの概要 を参照してください。
SQLNET ALG の基本を理解する。 「 SQLNET ALG について 」を参照してください。
概要
この例では、まずデバイスでネットワーク インターフェイスを設定します。セキュリティ ゾーンを作成し、ゾーンにインターフェイスを割り当て、ポリシーを設定して、SQLNET トラフィックが複数のデバイスSRX シリーズできます。
次に、静的 NAT ルール セット rs1 とルール r1 を作成して宛先アドレス 40.0.172.10/32 と一致し、アドレス 40.0.172.45/32 を持つ静的 NAT プレフィックスを作成します。
次に、送信元ルールセットを使用して送信元 NAT プール src-p1 を作成し、インターフェイス fe-3/0/0.0 からインターフェイス fe-3/0/1.0 にパケットを変換します。一致するパケットの場合、送信元アドレスは src-p1 プール内の IP アドレスに変換されます。
次に、宛先ルールセット des-rs1 を使用して宛先 NAT プール des-p1 を作成し、ゾーン信頼から宛先アドレス 40.0.172.10/32 にパケットを変換します。一致パケットの場合、宛先アドレスは des-p1 プール内の IP アドレスに変換されます。最後に、SQLNET ALG トレース オプションを有効にします。
構成
SQLNET ALG を設定するには、以下のタスクを実行します。
- ルート モードの設定
- 静的サーバー ルール NATの設定
- ソース ポリシー プールNATルール セットの設定
- 宛先NAT プールとルール セットの設定
- SQLNET ALG の有効化
- SQLNET ALG トレース オプションの有効化
ルート モードの設定
CLI迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit
set interfaces ge-0/0/0 unit 0 family inet address 10.208.172.58/21 set interfaces fe-3/0/0 unit 0 family inet address 30.3.3.149/8 set interfaces fe-3/0/1 unit 0 family inet address 40.4.4.149/8 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces fe-3/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces fe-3/0/1.0 set security policies from-zone trust to-zone untrust policy sql match source-address any set security policies from-zone trust to-zone untrust policy sql match destination-address any set security policies from-zone trust to-zone untrust policy sql match application junos-sqlnet-v2 set security policies from-zone trust to-zone untrust policy sql then permit
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI CLI エディターの使用 」を参照してください。
ルート モードを設定するには、次の手順に示します。
インターフェイスを設定します。
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 10.208.172.58/21 user@host# set fe-3/0/0 unit 0 family inet address 30.3.3.149/8 user@host# set fe-3/0/1 unit 0 family inet address 40.4.4.149/8
ゾーンを設定し、ゾーンにインターフェイスを割り当てる。
[edit security zones security-zone] user@host# set trust host-inbound-traffic system-services all user@host# set trust host-inbound-traffic protocols all user@host# set trust interfaces fe-3/0/0.0 user@host# set untrust host-inbound-traffic system-services all user@host# set untrust host-inbound-traffic protocols all user@host# set untrust interfaces fe-3/0/1.0
trustゾーンから Untrustゾーンへの SQL トラフィックを許可する SQL ポリシーを設定します。
[edit security policies from-zone trust to-zone untrust ] user@host# set policy sql match source-address any user@host# set policy sql match destination-address any user@host# set policy sql match application junos-sqlnet-v2 user@host# set policy sql then permit
結果
設定モードから、 、 、 および のコマンドを入力して show interfaces show security zones 設定を確認 show security policies します。出力結果に意図した設定が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
この出力には、この例に関連する show 設定のみ含まれています。システム上のその他の構成は、入れ替え(... )
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.208.172.58/21;
}
}
}
fe-3/0/0 {
unit 0 {
family inet {
address 30.3.3.149/8;
}
}
}
fe-3/0/1 {
unit 0 {
family inet {
address 40.4.4.149/8;
}
}
}
[edit]
user@host# show security zones
...
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-3/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-3/0/1.0;
}
}
...
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy sql {
match {
source-address any;
destination-address any;
application junos-sqlnet-v2;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モード commit から を入力します。
静的サーバー ルール NATの設定
CLI迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit
set security nat static rule-set rs1 from zone trust set security nat static rule-set rs1 rule r1 match destination-address 40.0.172.10/32 set security nat static rule-set rs1 rule r1 then static-nat prefix 40.0.172.45/32
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI CLI エディターの使用 」を参照してください。
静的ポリシー ルール セットをNATするには、以下の手順に従います。
静的ルール セットNAT作成します。
[edit security nat static rule-set rs1] user@host#set from zone trust
宛先アドレスと一致するルールを定義します。
[edit security nat static rule-set rs1] user@host# set rule r1 match destination-address 40.0.172.10/32
デバイスの静的NAT プレフィックスを定義します。
[edit security nat static rule-set rs1] user@host# set rule r1 then static-nat prefix 40.0.172.45/32
結果
設定モードから、 コマンドを入力して設定を確認 show security nat します。出力結果に意図した設定が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
static {
rule-set rs1 {
from zone trust;
rule r1 {
match {
destination-address 40.0.172.10/32;
}
then {
static-nat {
prefix {
40.0.172.45/32;
}
}
}
}
}
}
デバイスの設定が完了したら、設定モード commit から を入力します。
ソース ポリシー プールNATルール セットの設定
CLI迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit
set security nat source pool src-p1 address 40.0.172.100/32 to 40.0.172.101/32 set security nat source rule-set src-rs1 from interface fe-3/0/0.0 set security nat source rule-set src-rs1 to interface fe-3/0/1.0 set security nat source rule-set src-rs1 rule r1 match source-address 30.0.0.0/8 set security nat source rule-set src-rs1 rule r1 match destination-address 40.0.0.0/8 set security nat source rule-set src-rs1 rule r1 then source-nat pool src-p1
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI CLI エディターの使用 」を参照してください。
ソース ポリシー プールとNATセットを設定するには、以下の手順に従います。
ソース リソース プールNAT作成します。
[edit security nat source] user@host#set pool src-p1 address 40.0.172.100/32 to 40.0.172.101/32
ソース ルール セットNAT作成します。
[edit security nat source] user@host# set rule-set src-rs1 from interface fe-3/0/0.0 user@host# set rule-set src-rs1 to interface fe-3/0/1.0
パケットを一致し、送信元アドレスを送信元プール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set src-rs1 rule r1 match source-address 30.0.0.0/8
パケットを一致し、宛先アドレスを送信元プール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set src-rs1 rule r1 match destination-address 40.0.0.0/8
ルール内のソース NAT プールを設定します。
[edit security nat source] user@host# set rule-set src-rs1 rule r1 then source-nat pool src-p1
結果
設定モードから、 コマンドを入力して設定を確認 show security nat します。出力結果に意図した設定が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
source {
pool src-p1 {
address {
40.0.172.100/32 to 40.0.172.101/32;
}
}
rule-set src-rs1 {
from interface fe-3/0/0.0;
to interface fe-3/0/1.0;
rule r1 {
match {
source-address 30.0.0.0/8;
destination-address 40.0.0.0/8;
}
then {
source-nat {
pool {
src-p1;
}
}
}
}
}
}
デバイスの設定が完了したら、設定モード commit から を入力します。
宛先NAT プールとルール セットの設定
CLI迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit
set security nat destination pool des-p1 address 40.0.172.45/32 set security nat destination rule-set des-rs1 from zone trust set security nat destination rule-set des-rs1 rule des-r1 match source-address 30.0.172.12/32 set security nat destination rule-set des-rs1 rule des-r1 match destination-address 40.0.172.10/32 set security nat destination rule-set des-rs1 rule des-r1 then destination-nat pool des-p1
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI CLI エディターの使用 」を参照してください。
宛先リンク プールとNAT設定するには、以下の手順に従います。
宛先プールをNATします。
[edit security nat destination] user@host#set pool des-p1 address 40.0.172.45/32
宛先ルール セットNAT作成します。
[edit security nat destination] user@host# set rule-set des-rs1 from zone trust
パケットを一致し、送信元アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat destination] user@host# set rule-set des-rs1 rule des-r1 match source-address 30.0.172.12/32
パケットを一致し、宛先アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat destination] user@host# set rule-set des-rs1 rule des-r1 match destination-address 40.0.172.10/32
ルール内にNAT ソース ポリシー プールを設定します。
[edit security nat destination] user@host# set rule-set des-rs1 rule des-r1 then destination-nat pool des-p1
結果
設定モードから、 コマンドを入力して設定を確認 show security nat します。出力結果に意図した設定が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
destination {
pool des-p1 {
address {
40.0.172.45/32;
}
}
rule-set des-rs1 {
from zone trust;
rule des-r1 {
match {
source-address 30.0.172.12/32;
destination-address 40.0.172.10/32;
}
then {
destination-nat {
pool {
des-p1;
}
}
}
}
}
デバイスの設定が完了したら、設定モード commit から を入力します。
SQLNET ALG の有効化
CLI迅速な設定
リリース Junos OS リリース 15.1X49-D10および Junos OS リリース 17.3R1、SQLNET アプリケーション レイヤー ゲートウェイはデフォルトで有効になっています。
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit
set security alg sql
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI CLI エディターの使用 」を参照してください。
SQLNET ALG を有効にするには、次の方法に示します。
SQLNET ALG を有効にする。
[edit ] user@host#set security alg sql
SQLNET ALG トレース オプションの有効化
CLI迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit
set security alg sql traceoptions flag all set security alg traceoptions file trace set security alg traceoptions file size 1g set security alg traceoptions level verbose
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI CLI エディターの使用 」を参照してください。
SQLNET ALG トレース オプションを有効にするには、以下の方法で行います。
SQLNET ALG トレース オプションを有効にします。
[edit security alg] user@host#set sql traceoptions flag all
トレース操作から出力を受け取るファイル名を設定します。
[edit security alg] user@host#set traceoptions file trace
最大トレース ファイル サイズを指定します。
[edit security alg] user@host#set traceoptions file size 1g
トレース出力レベルを指定します。
[edit security alg] user@host#set traceoptions level verbose
結果
設定モードから、 コマンドを入力して設定を確認 show security alg します。出力結果に意図した設定が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security alg
traceoptions {
file trace size 1g;
level verbose;
}
sql traceoptions flag all;
デバイスの設定が完了したら、設定モード commit から を入力します。
検証
設定が正常に機能されていることを確認します。
SQLNET ALG コントロール セッションの検証
目的
SQL コマンドが実行され、すべての SQL コントロール セッションとデータ セッションが作成されます。
アクション
動作モードから コマンドを入力 show security flow session します。
user@host>show security flow session Session ID: 10880, Policy name: sql, Timeout: 2, Valid In: 30.0.172.12/52315 --> 40.0.172.35/1521;tcp, If: fe-3/0/0.0, Pkts: 6, Bytes: 492 Out: 40.0.172.35/1521 --> 30.0.172.12/52315;tcp, If: fe-3/0/1.0, Pkts: 4, Bytes: 227 Session ID: 10881, Policy name: sql, Timeout: 1800, Valid Resource information : SQLV2 ALG, 5, 18 In: 30.0.172.12/45944 --> 40.0.172.35/1114;tcp, If: fe-3/0/0.0, Pkts: 18, Bytes: 4240 Out: 40.0.172.35/1114 --> 30.0.172.12/45944;tcp, If: fe-3/0/1.0, Pkts: 15, Bytes: 3989 Total sessions: 2
意味
Session ID—セッションを識別する番号。この ID を使用して、ポリシー名、受信/送信パケット数などのセッションの詳細を確認します。
Policy name—トラフィックを許可するポリシー名。
In:受信フロー(それぞれの送信元および宛先ポート番号を持つ送信元および宛先 IP アドレス、セッションは TCP、このセッションの送信元インターフェイスは fe-3/0/0.0 です。
Out—リバース フロー(それぞれの送信元および宛先ポート番号を持つ送信元および宛先 IP アドレス、セッションは TCP、このセッションの宛先インターフェイスは fe-3/0/1.0 です。
SQLNET ALG の検証
目的
SQLNET ALG が有効になっているか検証します。
アクション
動作モードから コマンドを入力 show security alg status します。
user@host>show security alg status ALG Status : DNS : Enabled FTP : Enabled H323 : Disabled MGCP : Disabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Disabled SCCP : Disabled SIP : Disabled SQL : Enabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled
意味
この出力には、SQLNET ALG ステータスが次のように表示されます。
有効 — SQLNET ALG が有効になっている場合を示します。
無効 — SQLNET ALG が無効になっている場合を示します。
SQLNET ALG リソース マネージャー グループの検証
目的
SQLNET ALG が使用するリソース マネージャー グループとアクティブ グループの総数を検証します。
アクション
動作モードから コマンドを入力 show security resource-manager group active します。
user@host>show security resource-manager group active Group ID 1: Application - SQL ALG Total groups 677, active groups 1
SQLNET ALGリソース情報の検証
目的
SQLNET ALG によって使用されるリソースとアクティブなリソースの総数を検証します。
アクション
動作モードから コマンドを入力 show security resource-manager resource active します。
user@host>show security resource-manager resource active Resource ID 2: Group ID - 1, Application - SQL ALG Resource ID 1: Group ID - 1, Application - SQL ALG Total Resources 4044, active resources 2