Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

PPTP ALG

PPTP(Point-to-Point Tunneling Protocol) ALG는 TCP 기반 ALG입니다. PPTP는 IP 네트워크를 통해 PPP(Point-to-Point Protocol)를 터널링하도록 허용합니다. PPTP는 클라이언트 서버 아키텍처, PPTP 네트워크 서버 및 PPTP Access Concentrator를 정의합니다. PPTP ALG에는 제어 연결과 데이터 터널이 필요합니다. 제어 연결은 TCP를 사용하여 PPP 세션을 설정 및 해제하고 포트 1723에서 실행됩니다. 데이터 터널은 IP를 통해 전송되는 일반 라우팅 캡슐화(GRE) 패킷에서 PPP 트래픽을 전달합니다.

PPTP ALG 이해하기

포인트 투 포인트 터널링 프로토콜(PPTP) ALG는 IP 네트워크를 통해 PPP(Point-to-Point Protocol) 패킷을 터널링하는 데 사용됩니다. PPTP ALG는 클라이언트/서버 아키텍처, PPTP 네트워크 서버 및 PPTP 액세스 센트레이터를 구현하는 데 자주 사용됩니다.

PPTP ALG는 PPTP 패킷을 처리하고, 네트워크 주소 변환(NAT), 클라이언트와 서버 간의 새로운 데이터 연결을 위한 개방형 핀홀을 수행하며, 주니퍼 네트웍스 디바이스의 반대편에 있는 클라이언트와 서버 간에 데이터를 전송합니다.

PPTP ALG에 대한 IPv6 지원 이해

PPTP ALG는 TCP 포트 1723을 사용하여 클라이언트와 서버를 연결하고 끊습니다. PPTP ALG는 IPv6 데이터 패킷을 지원합니다.

IPv6가 지원하는 PPTP ALG는 IPv4 및 IPv6 PPTP 패킷을 모두 구문 분석하고 NAT를 수행한 다음 데이터 터널에 대한 핀홀을 엽니다.

IPv6가 지원되는 PPTP ALG는 NAT-PT 및 NAT64를 지원하지 않습니다. PPP 패킷은 터널이 설정된 후 Microsoft MPPE(Point-to-Point Encryption) 프로토콜로 압축되기 때문입니다. 따라서 PPP 패키지에서 IP 헤더의 변환을 처리할 수 없습니다.

  • IPv6 지원을 지원하는 PPTP ALG에는 다음과 같은 제한이 있습니다.

    • PPP 패킷은 터널을 설정한 후 Microsoft MPPE(Point-to-Point Encryption) 프로토콜로 압축되므로 PPP 패키지의 IP 헤더 변환을 처리할 수 없습니다. 따라서 PPTP 연결이 잘 작동하는지 확인하려면 PPTP 클라이언트가 이중 스택 모드에서 작동할 수 있어야 합니다. 따라서 IPv6 PPTP 클라이언트는 PPP 터널 인터페이스에 대한 IPv4 주소를 허용할 수 있으며, PPP 패킷에 대한 IP 주소 변환 없이 IPv4 PPTP 서버와 통신할 수 있습니다.

플로우 모듈은 IPv6을 지원하여 GRE 패킷을 구문 분석하고 GRE 호출 ID를 가짜 포트 정보로 사용하여 세션 테이블과 게이트 테이블을 검색합니다.

참고:

PPTP ALG는 PPP 패키지의 IP 헤더 변환이 필요하지 않은 특정 시나리오에서 NAT64를 지원할 수 있습니다. 즉, PPTP 클라이언트가 IPv4 네트워크의 IPv6 네트워크 및 서버에서 듀얼 스택 모드로 작동하는 경우입니다.

예: PPTP ALG 구성

PPTP ALG는 클라이언트와 서버 간의 새로운 데이터 연결을 위해 PPTP 패킷을 처리하고, NAT를 수행하고, 핀홀을 엽니다.

이 예는 경로 또는 NAT 모드에서 PPTP ALG를 구성하는 방법을 보여줍니다. 구성을 통해 PPTP 트래픽이 디바이스를 통과하여 주니퍼 네트웍스 디바이스의 반대편에 있는 클라이언트와 서버 간에 데이터를 전송할 수 있습니다.

요구 사항

이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.

  • SRX 시리즈 디바이스

  • 두 개의 PC(클라이언트 및 서버)

시작하기 전에 다음을 수행합니다.

  • ALG의 개념을 이해합니다. ALG 개요를 참조하십시오.

  • PPTP ALG의 기본 사항을 이해합니다. PPTP ALG 이해를 참조하십시오.

개요

이 예에서 먼저 디바이스에서 네트워크 인터페이스를 구성하고, 보안 영역을 생성하고, 영역에 인터페이스를 할당하고, PPTP 트래픽이 SRX 시리즈 디바이스를 통과할 수 있도록 정책을 구성합니다.

그런 다음 대상 주소 30.5.2.120/32와 일치하도록 규칙 r1과 함께 정적 NAT 규칙 세트 rs1을 생성하고 주소 10.5.1.120/32가 있는 정적 NAT 접두사를 생성합니다.

그런 다음 소스 규칙 세트 src-rs1과 함께 소스 NAT 풀 src-p1을 생성하여 영역 신뢰에서 영역 신뢰할 수 없는 패킷으로 패킷을 변환합니다. 패킷을 일치시키면 소스 주소가 src-p1 풀의 IP 주소로 변환됩니다.

그런 다음 대상 규칙 세트 des-rs1을 사용하여 대상 NAT 풀 des-p1을 생성하여 영역 트러스트에서 대상 주소 30.5.1.120/32로 패킷을 변환합니다. 패킷을 일치시키면 대상 주소가 des-p1 풀의 IP 주소로 변환됩니다. 마지막으로 PPTP ALG 추적 옵션을 구성합니다.

토폴로지

그림 1 은 PPTP ALG 토폴로지 를 보여줍니다.

그림 1: PPTP ALG 토폴로지 PPTP ALG Topology

구성

PPTP ALG를 구성하려면 다음 작업을 수행하십시오.

경로 모드 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

경로 모드 구성 방법:

  1. 인터페이스를 구성합니다.

  2. 영역을 구성하고 영역에 인터페이스를 할당합니다.

  3. 트러스트 영역에서 신뢰할 수 없는 영역으로의 PPTP 트래픽을 허용하는 PPTP 정책을 구성합니다.

결과

구성 모드에서 , show security zonesshow security policies 명령을 입력하여 구성을 show interfaces확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

간결성을 위해 이 show 출력에는 이 예와 관련된 구성만 포함됩니다. 시스템의 다른 구성은 타원(...)으로 대체되었습니다.

디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .

정적 네트워크 변환(NAT) 규칙 세트 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

정적 NAT 규칙 세트를 구성하려면 다음을 수행합니다.

  1. 정적 NAT 규칙 세트를 생성합니다.

  2. 대상 주소와 일치하는 규칙을 정의합니다.

  3. 디바이스에 대한 정적 NAT 접두사 를 정의합니다.

결과

구성 모드에서 명령을 입력하여 구성을 확인합니다 show security nat . 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .

소스 NAT 풀 및 규칙 세트 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

소스 NAT 풀 및 규칙 세트를 구성하려면 다음을 수행합니다.

  1. 소스 NAT 풀을 생성합니다.

  2. 소스 NAT 규칙 집합을 생성합니다.

  3. 패킷과 일치하는 규칙을 구성하고 소스 주소를 소스 풀의 주소로 변환합니다.

  4. 패킷과 일치하는 규칙을 구성하고 대상 주소를 소스 풀의 주소로 변환합니다.

  5. 규칙에서 소스 NAT 풀을 구성합니다.

결과

구성 모드에서 명령을 입력하여 구성을 확인합니다 show security nat . 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .

대상 NAT 풀 및 규칙 세트 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

대상 NAT 풀 및 규칙 세트를 구성하려면 다음을 수행합니다.

  1. 대상 NAT 풀을 생성합니다.

  2. 대상 NAT 규칙 집합을 생성합니다.

  3. 패킷과 일치하는 규칙을 구성하고 소스 주소를 풀의 주소로 변환합니다.

  4. 패킷과 일치하는 규칙을 구성하고 대상 주소를 풀의 주소로 변환합니다.

  5. 규칙에서 소스 NAT 풀을 구성합니다.

결과

구성 모드에서 명령을 입력하여 구성을 확인합니다 show security nat . 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .

PPTP ALG 추적 옵션 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

PPTP ALG 추적 옵션을 구성하려면 다음을 수행합니다.

  1. PPTP ALG 추적 옵션을 활성화합니다.

  2. 추적 작업에서 출력을 수신하도록 파일 이름을 구성합니다.

  3. 최대 추적 파일 크기를 지정합니다.

  4. 추적 출력 수준을 지정합니다.

결과

구성 모드에서 명령을 입력하여 구성을 확인합니다 show security alg . 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .

확인

구성이 제대로 작동하는지 확인합니다.

PPTP ALG 제어 세션 확인

목적

PPTP 제어 세션이 생성되고 모든 PPTP 제어 및 데이터 세션이 생성되었는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security flow session .

의미

  • Session ID—세션을 식별하는 번호입니다. 이 ID를 사용하여 정책 이름 또는 패킷 수와 같은 세션에 대한 자세한 정보를 얻을 수 있습니다.

  • Policy name-트래픽을 허용한 정책 이름.

  • In-수신 플로우(해당 소스 및 대상 포트 번호가 있는 소스 및 대상 IP 주소, 세션은 TCP이며, 이 세션의 소스 인터페이스는 ge-0/0/1.0)입니다.

  • Out-역 플로우(해당 소스 및 대상 포트 번호가 있는 소스 및 대상 IP 주소, 세션은 TCP, 이 세션의 대상 인터페이스는 fe-0/0/2.0)입니다.

PPTP ALG 플로우 게이트 정보 확인

목적

TCP 데이터 채널 연결을 위해 플로우 게이트가 열려 있는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security flow gate .

PPTP ALG 확인

목적

PPTP ALG가 활성화되어 있는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security alg status .

의미

출력은 다음과 같이 PPTP ALG 상태를 보여줍니다.

  • 활성화 - PPTP ALG가 활성화되어 있는 것을 보여줍니다.

  • 비활성화 - PPTP ALG가 비활성화되어 있는 것을 보여줍니다.

PPTP 리소스 관리자 그룹 확인

목적

PPTP ALG에서 사용하는 리소스 관리자 그룹 및 활성 그룹의 총 수를 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security resource-manager group active .

PPTP 리소스 정보 확인

목적

PPTP ALG에서 사용하는 총 리소스 및 활성 리소스 수를 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security resource-manager resource active .

관련 문서