このページの
TALK ALG
TALK ALG は、2 人のユーザー間の対話形式の通信に使用される、視覚的なコミュニケーション プログラムです。TALK プロトコルは、UDP ポート 517 とポート 518 を使用してチャネル接続を制御します。Talk プログラムは、サーバーとクライアントで構成されています。サーバーはクライアント通知を処理し、セッションの確立に役立ちます。talk サーバーには、ntalk と talkd の 2 種類があります。TALK ALG は、ntalk と talkd 形式の両方のパケットを処理します。必要に応じてNATゲートのオープンも実行します。
TALK ALG について
TALK ALG は、2 人のユーザー間の対話形式の通信に使用される、視覚的なコミュニケーション プログラムです。TALK ALG は TALK パケットを処理し、ネットワーク アドレス変換(NAT)を実行し、レシーバ側で 2 つのゲート(TCP および UDP)を開きます。1 つのゲートが次のルックアップ パケットに使用されます。もう 1 つのゲートは、クライアントからサーバーへの接続を行い、デバイス間の反対側に位置するクライアントとサーバー間の通信を開始ジュニパーネットワークスされます。
TALK サーバーには、ntalkd と talkd の 2 種類があります。
TALK ALG は ntalk パケットと話し合いパケットの両方を処理します。TALK ALG は、ポート UDP517 とポート UDP518 を使用して、クライアントとサーバー間の接続を確立します。
例: TALK ALG の設定
この例では、ルートまたは NAT モードで TALK ALG を設定し、TALK トラフィックにデバイスを通過させて、ジュニパーネットワークス デバイスの反対側に位置するクライアントとサーバー間の通信を開始する方法を示します。
要件
この例では、次のハードウェアとソフトウェアのコンポーネントを使用しています。
デバイスSRX シリーズ
2 台の PC(クライアントとサーバー)
開始する前に、以下を実行します。
ALG のコンセプトを理解する。 ALGの概要 を参照してください。
TALK ALG の基本を理解する。TALK ALG について を参照してください。
概要
この例では、まずデバイスでネットワーク インターフェイスを設定し、セキュリティ ゾーンを作成し、インターフェイスをゾーンに割り当て、TALK トラフィックが SRX シリーズ デバイスを通過できるポリシーを設定します。
次に、宛先アドレス 40.5.2.120/32 と一致するルール r1 を持つ静的 NAT ルール セット rs1 を作成し、アドレス 20.5.2.120/32 を持つ静的 NAT プレフィックスを作成します。
次に、送信元ルールを使用してNAT src-p1 のソース を作成し、ゾーン trust から Zone Untrust にパケットを変換するために src-rs1 を設定します。一致するパケットの場合、送信元アドレスは src-p1 プール内の IP アドレスに変換されます。
次に、宛先ルールセット des-rs1 を使用して宛先 NAT des-p1 を作成し、ゾーン信頼から宛先アドレス 40.5.2.121/32 にパケットを変換します。一致パケットの場合、宛先アドレスは des-p1 プール内の IP アドレスに変換されます。最後に、TALK ALG トレース オプションを設定します。
構成
TALK ALG を設定するには、以下のタスクを実行します。
ルート モードの設定
CLI迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit
set interfaces ge-0/0/1 unit 0 family inet address 20.5.1.1/24 set interfaces fe-0/0/2 unit 0 family inet address 20.5.2.1/24 set security zones security-zone trust interfaces ge-0/0/1 host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/1 host-inbound-traffic protocols all set security zones security-zone untrust interfaces fe-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces fe-0/0/2 host-inbound-traffic protocols all set security policies from-zone trust to-zone untrust policy talk match source-address any set security policies from-zone trust to-zone untrust policy talk match destination-address any set security policies from-zone trust to-zone untrust policy talk match application junos-ntalk set security policies from-zone trust to-zone untrust policy talk then permit
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI CLI エディターの使用 」を参照してください。
ルート モードを設定するには、次の手順に示します。
インターフェイスを設定します。
[edit interfaces] user@host#set ge-0/0/1 unit 0 family inet address 20.5.1.1/24 user@host#set fe-0/0/2 unit 0 family inet address 20.5.2.1/24
ゾーンを設定し、ゾーンにインターフェイスを割り当てる。
[edit security zones security-zone trust] user@host#set interfaces ge-0/0/1 host-inbound-traffic system-services all user@host#set interfaces ge-0/0/1 host-inbound-traffic protocols all [edit security zones security-zone untrust] user@host#set interfaces fe-0/0/2 host-inbound-traffic system-services all user@host#set interfaces fe-0/0/2 host-inbound-traffic protocols all
trustゾーンから Untrustゾーンへの TALK トラフィックを許可する TALK ポリシーを設定します。
[edit security policies from-zone untrust to-zone trust] user@host#set policy talk match source-address any user@host#set policy talk match destination-address any user@host#set policy talk match application junos-ntalk user@host#set policy talk then permit
結果
設定モードから、 、 、 および のコマンドを入力して show interfaces show security zones 設定を確認 show security policies します。出力結果に意図した設定結果が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
この出力には、この例に関連する show 設定のみ含まれています。システム上のその他の構成は、入れ替え(... )
[edit]
user@host# show interfaces
...
ge-0/0/1 {
unit 0 {
family inet {
address 20.5.1.1/24;
}
}
}
...
fe-0/0/2 {
unit 0 {
family inet {
address 20.5.2.1/24;
}
}
}
[edit]
user@host# show security zones
security-zone trust {
....
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
...
security-zone untrust {
interfaces {
fe-0/0/2.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy talk {
match {
source-address any;
destination-address any;
application junos-ntalk;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モード commit から を入力します。
静的サーバー ルール NATの設定
CLI迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit
set security nat static rule-set rs1 from zone trust set security nat static rule-set rs1 rule r1 match destination-address 40.5.2.120/32 set security nat static rule-set rs1 rule r1 then static-nat prefix 20.5.2.120/32
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI CLI エディターの使用 」を参照してください。
静的ポリシー ルール セットをNATするには、以下の手順に従います。
静的ルール セットNAT作成します。
[edit security nat static rule-set rs1] user@host#set from zone trust
宛先アドレスと一致するルールを定義します。
[edit security nat static rule-set rs1] user@host# set rule r1 match destination-address 40.5.2.120/32
デバイスの静的NAT プレフィックスを定義します。
[edit security nat static rule-set rs1] user@host# set rule r1 then static-nat prefix 20.5.2.120/32
結果
設定モードから、 コマンドを入力して設定を確認 show security nat します。出力結果に意図した設定結果が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
static {
rule-set rs1 {
from zone trust;
rule r1 {
match {
destination-address 40.5.2.120/32
}
then {
static-nat {
prefix {
20.5.2.120/32;
}
}
}
}
}
}
デバイスの設定が完了したら、設定モード commit から を入力します。
ソース ポリシー プールNATルール セットの設定
CLI迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit
set security nat source pool src-p1 address 40.5.1.120/32 set security nat source rule-set src-rs1 from zone trust set security nat source rule-set src-rs1 to zone untrust set security nat source rule-set src-rs1 rule src-r1 match source-address 20.5.1.120/32 set security nat source rule-set src-rs1 rule src-r1 match destination-address 20.5.2.120/32 set security nat source rule-set src-rs1 rule src-r1 then source-nat pool src-p1
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 CLI ガイド 」の「 設定モードでの CLI エディターの使用 」を参照してください。
ソース ポリシー プールとNATセットを設定するには、以下の手順に従います。
ソース リソース プールNAT作成します。
[edit security nat source] user@host#set pool src-p1 address 40.5.1.120/32
ソース ルール セットNAT作成します。
[edit security nat source] user@host# set rule-set src-rs1 from zone trust user@host# set rule-set src-rs1 to zone untrust
パケットを一致し、送信元アドレスを送信元プール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set src-rs1 rule src-r1 match source-address 20.5.1.120/32
パケットを一致し、宛先アドレスを送信元プール内のアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set src-rs1 rule src-r1 match destination-address 20.5.2.120/32
ルール内にNAT ソース ポリシー プールを設定します。
[edit security nat source] user@host# set rule-set src-rs1 rule src-r1 then source-nat pool src-p1
結果
設定モードから、 コマンドを入力して設定を確認 show security nat します。出力結果に意図した設定結果が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
source {
pool src-p1 {
address {
40.5.1.120/32;
}
}
rule-set src-rs1 {
from zone trust;
to zone untrust;
rule src-r1 {
match {
source-address 20.5.1.120/32;
destination-address 20.5.2.120/32;
}
then {
source-nat {
pool {
src-p1;
}
}
}
}
}
}
デバイスの設定が完了したら、設定モード commit から を入力します。
宛先NAT プールとルール セットの設定
CLI迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit
set security nat destination pool des-p1 address 20.5.2.120/32 set security nat destination rule-set des-rs1 from zone trust set security nat destination rule-set des-rs1 rule des-r1 match source-address 20.5.1.120/32 set security nat destination rule-set des-rs1 rule des-r1 match destination-address 40.5.2.120/32 set security nat destination rule-set des-rs1 rule des-r1 then destination-nat pool des-p1
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI CLI エディターの使用 」を参照してください。
宛先リンク プールとNAT設定するには、以下の手順に従います。
宛先プールをNATします。
[edit security nat destination] user@host#set pool des-p1 address 20.5.2.120/32
宛先ルール セットNAT作成します。
[edit security nat destination] user@host# set rule-set des-rs1 from zone trust
パケットを一致し、送信元アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat destination] user@host# set rule-set des-rs1 rule des-r1 match source-address 20.5.1.120/32
パケットを一致し、宛先アドレスをプール内のアドレスに変換するルールを設定します。
[edit security nat destination] user@host# set rule-set des-rs1 rule des-r1 match destination-address 40.5.2.120/32
ルール内にNAT ソース ポリシー プールを設定します。
[edit security nat destination] user@host# set rule-set des-rs1 rule des-r1 then destination-nat pool des-p1
結果
設定モードから、 コマンドを入力して設定を確認 show security nat します。出力結果に意図した設定結果が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
destination {
pool des-p1 {
address {
20.5.2.120/32;
}
}
rule-set des-rs1 {
from zone trust;
rule des-r1 {
match {
source-address 20.5.1.120/32;
destination-address 40.5.2.120/32;
}
then {
destination-nat {
pool {
des-p1;
}
}
}
}
}
デバイスの設定が完了したら、設定モード commit から を入力します。
TALK ALG トレース オプションの設定
CLI迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit
set security alg talk traceoptions flag all set security alg traceoptions file trace set security alg traceoptions file size 1g set security alg traceoptions level verbose
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 CLI ガイド 」の「 設定モードでの CLI エディターの使用 」を参照してください。
TALK ALG トレース オプションを設定するには、次の手順に示します。
TALK ALG トレース オピオンを有効にする。
[edit security alg] user@host#set talk traceoptions flag all
トレース操作から出力を受け取るファイル名を設定します。
[edit security alg] user@host#set traceoptions file trace
最大トレース ファイル サイズを指定します。
[edit security alg] user@host#set traceoptions file size 1g
トレース出力レベルを指定します。
[edit security alg] user@host#set traceoptions level verbose
結果
設定モードから、 コマンドを入力して設定を確認 show security alg します。出力結果に意図した設定結果が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security alg
traceoptions {
file trace size 1g;
level verbose;
}
talk traceoptions flag all;
デバイスの設定が完了したら、設定モード commit から を入力します。
検証
設定が正常に機能されていることを確認します。
- TALK ALG コントロール セッションの検証
- TALK Flow Gate情報の検証
- TALK ALG の検証
- TALK Resource Manager グループの検証
- TALKリソース情報の検証
TALK ALG コントロール セッションの検証
目的
TALK コントロール セッションが作成され、すべての TALK コントロール セッションとデータ セッションが作成されます。
アクション
動作モードから コマンドを入力 show security flow session します。
user@host>show security flow session ession ID: 128570, Policy name: p11/4, Timeout: 56, Valid Resource information : TALK ALG, 2, 0 In: 5.1.1.200/1105 --> 6.1.1.200/518;udp, If: ge-0/0/1.0, Pkts: 3, Bytes: 336 Out: 6.1.1.200/518 --> 5.1.1.200/1105;udp, If: ge-0/0/2.0, Pkts: 3, Bytes: 156 Session ID: 128617, Policy name: p11/4, Timeout: 1796, Valid Resource information : TALK ALG, 2, 2 In: 6.1.1.200/42224 --> 5.1.1.200/518;udp, If: ge-0/0/2.0, Pkts: 1, Bytes: 112 Out: 5.1.1.200/518 --> 6.1.1.200/42224;udp, If: ge-0/0/1.0, Pkts: 1, Bytes: 52 Session ID: 128618, Policy name: p11/4, Timeout: 1796, Valid Resource information : TALK ALG, 2, 3 In: 6.1.1.200/51430 --> 5.1.1.200/32905;tcp, If: ge-0/0/2.0, Pkts: 4, Bytes: 219 Out: 5.1.1.200/32905 --> 6.1.1.200/51430;tcp, If: ge-0/0/1.0, Pkts: 3, Bytes: 167
意味
Session ID—セッションを識別する番号。この ID を使用して、ポリシー名や受信パケット数などのセッションの詳細を確認します。
Policy name—トラフィックを許可するポリシー名。
In:受信フロー(それぞれの送信元および宛先ポート番号を持つ送信元および宛先 IP アドレス、セッションは TCP、このセッションの送信元インターフェイスは ge-0/0/1.0 です)。
Out—リバース フロー(それぞれの送信元および宛先ポート番号を持つ送信元および宛先 IP アドレス、セッションは TCP、このセッションの宛先インターフェイスは fe-0/0/2.0 です。
TALK Flow Gate情報の検証
目的
TCP データ チャネルおよびリバース UDP 応答用にゲートが開いている状態を検証します。
アクション
動作モードから コマンドを入力 show security flow gate します。
user@host>show security flow gate Hole: 6.1.1.200-6.1.1.200/0-0->5.1.1.200-5.1.1.200/518-518 Translated: 0.0.0.0/0->0.0.0.0/0 Protocol: udp Application: TALK ALG/65 Age: 110 seconds Flags: 0x0080 Zone: untrust Reference count: 1 Resource: 11-2-2 Hole: 6.1.1.200-6.1.1.200/0-0->5.1.1.200-5.1.1.200/32905-32905 Translated: 0.0.0.0/0->0.0.0.0/0 Protocol: tcp Application: TALK ALG/65 Age: 110 seconds Flags: 0x0080 Zone: untrust Reference count: 1 Resource: 11-2-3
意味
Hole:ピンホールで許可されるフローの範囲。
Translated—ピンホール(送信元と宛先の IP アドレスとそれぞれの送信元および宛先ポート番号)が一致する場合、セッションの作成に使用される要素。
Protocol—UDP や TCP などのアプリケーション プロトコル。
Application—アプリケーションの名前。
Age—ピンホールのアイドル タイムアウト。
Flags— ピンホール用の内部デバッグ フラグ。
Zone:ゾーン間、ゾーン間などのセキュリティ ゾーン。
Reference count—ピンホールに対するリソース マネージャーの参考資料の数。
Resource—ピンホールに関するリソース マネージャーの情報。
TALK ALG の検証
目的
TALK ALG が有効になっているか検証します。
アクション
動作モードから コマンドを入力 show security alg status します。
user@host>show security alg status ALG Status : PPTP : Enabled RSH : Disabled RTSP : Enabled SCCP : Enabled SIP : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled
意味
出力には、TALK ALG ステータスが次のように表示されます。
有効 — TALK ALG が有効になっている場合を示します。
無効 — TALK ALG が無効になっている状態を示します。
TALK Resource Manager グループの検証
目的
TALK ALG が使用するリソース マネージャー グループとアクティブ グループの総数を検証します。
アクション
動作モードから コマンドを入力 show security resource-manager group active します。
user@host>show security resource-manager group active
Group ID 2: Application - TALK ALG
Total groups 3276, active groups 1
TALKリソース情報の検証
目的
TALK ALG が使用するリソースとアクティブなリソースの総数を検証します。
アクション
動作モードから コマンドを入力 show security resource-manager resource active します。
user@host>show security resource-manager resource active Resource ID 3: Group ID - 2, Application - TALK ALG Resource ID 2: Group ID - 2, Application - TALK ALG Total Resources 6015, active resources 2