EN ESTA PÁGINA
ALG DE TORP
El ALG del protocolo de tunelización punto a punto (PPPP) es un ALG basado en TCP. EL PPPP permite que el protocolo punto a punto (PPP) se tunele a través de una red IP. EL PPC define una arquitectura de servidor de cliente, un servidor de red PPTP y un concentrador de accesoSSP. El ALG DE LAP DESP requiere una conexión de control y un túnel de datos. La conexión de control utiliza TCP para establecer y desconectar sesiones ppp y se ejecuta en el puerto 1723. El túnel de datos transporta tráfico PPP en paquetes de enrutamiento genérico encapsulado (GRE) que se llevan por IP.
Descripción de LA ALG del PPC
El ALG del protocolo de tunelización punto a punto (PPPP) se utiliza para tunear paquetes de protocolo punto a punto (PPP) a través de una red IP. El ALG DE LAP DE LAP se suele usar para implementar una arquitectura de cliente/servidor, un servidor de red TFTPP y un concentrador de acceso TFTPP.
La ALG DE BPC procesa paquetes TRADUCCIÓN DE DIRECCIONES DE RED (TDR), abre orificios para nuevas conexiones de datos entre un cliente y un servidor, y transfiere datos entre un cliente y un servidor ubicados en los lados opuestos de un dispositivo Juniper Networks.
Descripción de la compatibilidad con IPv6 para ALG DE PPC
El ALG DEL PPC utiliza el puerto TCP 1723 para conectar y desconectar un cliente y un servidor. La ALG DESP DESP es compatible con paquetes de datos IPv6.
El ALG DE LAP DESP con compatibilidad con IPv6, analiza los paquetes IPv4 e IPv6 DESP, realiza un TDR y, luego, abre una puerta de acceso para el túnel de datos.
La ALG DE PPPP con compatibilidad con IPv6 no admite TDR-PT y NAT64, ya que los paquetes PPP se comprimen con el protocolo microsoft Point-to-Point Encryption (MPPE) después de configurar el túnel; por lo tanto, no se puede manejar la traducción del encabezado IP del paquete PPP.
El ALG DESP con compatibilidad con IPv6 tiene la siguiente limitación:
Dado que los paquetes PPP se comprimen con el protocolo microsoft Point-to-Point Encryption (MPPE) después de configurar el túnel, no se puede manejar la traducción del encabezado IP del paquete PPP; por lo tanto, para asegurarse de que la conexión DESP funciona bien, el cliente DE LAP debe poder funcionar en modo de pila dual. De este modo, un cliente IPv6 PPPP puede aceptar una dirección IPv4 para la interfaz de túnel PPP, mediante la cual puede comunicarse con el servidor IPv4 PPPP sin traducción de dirección IP para paquetes PPP.
El módulo de flujo es compatible con IPv6 para analizar el paquete GRE y usar el ID de llamada GRE como información de puerto falsa para buscar en la tabla de sesión y en la tabla de compuertas.
La ALG DEL PPPP puede admitir NAT64 en un caso específico en el que no sea necesaria la traducción del encabezado IP del paquete PPP, es decir, si el cliente PPPP funciona en modo de doble pila en la red IPv6 y en el servidor de la red IPv4.
Ejemplo: configurar el ALG del PPC
La ALG de LAP DESP procesa paquetes DE TDR, realiza bloqueos y apertura de orificios para nuevas conexiones de datos entre un cliente y un servidor.
En este ejemplo, se muestra cómo configurar EL ALG DELP DELP en modo TDR ruta. La configuración permite que el tráfico DESP pase a través de un dispositivo, transfiriendo datos entre un cliente y un servidor ubicados en los lados opuestos de un Juniper Networks dispositivo.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un dispositivo de la serie SRX
Dos PC (cliente y servidor)
Antes de comenzar:
Comprenda los conceptos detrás de las ALG. Consulte Descripción general de ALG.
Comprenda los conceptos básicos de ALG DE PPC. Consulte Descripción de LA ALG DE PPC.
Visión general
En este ejemplo, primero se configuran interfaces de red en el dispositivo, se crean zonas de seguridad y se asignan interfaces a las zonas, y se configura una política para permitir que el tráfico DESP pase por un dispositivo serie SRX.
Luego, se crea un conjunto de reglas de TDR estático rs1 con una regla r1 que coincide con la dirección de destino 30.5.2.120/32 y se crea un prefijo de TDR estático con dirección 10.5.1.120/32.
A continuación, cree un grupo de TDR de origen src-p1 con un conjunto de reglas de origen src-rs1 para traducir paquetes de confianza de zona a no confianza de zona. Para paquetes que coincidan, la dirección de origen se traduce a una dirección IP en el grupo src-p1.
Luego, se crea un grupo de TDR des-p1 de destino con un conjunto de reglas de destino des-rs1 para traducir paquetes de confianza de zona a dirección de destino 30.5.1.120/32. Para paquetes que coincidan, la dirección de destino se traduce a una dirección IP en el grupo de des-p1. Por último, puede configurar las opciones de seguimiento de ALG DE PPC.
Configuración
Para configurar LA ALG DE PPC, realice estas tareas:
- Configurar un modo de ruta
- Configurar un conjunto de reglas TDR estáticas
- Configurar un conjunto de reglas TDR origen
- Configuración de un conjunto de TDR destino y un conjunto de reglas
- Configuración de opciones de seguimiento de ALG DESP
Configurar un modo de ruta
CLI configuración rápida
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía y, luego, ingrese desde el modo de [edit] commit configuración.
set interfaces ge-0/0/1 unit 0 family inet address 20.20.20.1/8 set interfaces fe-0/0/2 unit 0 family inet address 10.10.10.1/8 set security zones security-zone trust interfaces ge-0/0/1 host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/1 host-inbound-traffic protocols all set security zones security-zone untrust interfaces fe-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces fe-0/0/2 host-inbound-traffic protocols all set security policies from-zone trust to-zone untrust policy pptp match source-address any set security policies from-zone trust to-zone untrust policy pptp match destination-address any set security policies from-zone trust to-zone untrust policy pptp match application junos-pptp set security policies from-zone trust to-zone untrust policy pptp then permit
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en CLI usuario.
Para configurar el modo de ruta:
Configure interfaces.
[edit interfaces] user@host#set ge-0/0/1 unit 0 family inet address 20.20.20.1/8 user@host#set fe-0/0/2 unit 0 family inet address 10.10.10.1/8
Configure zonas y asigne interfaces a las zonas.
[edit security zones security-zone trust] user@host#set interfaces ge-0/0/1 host-inbound-traffic system-services all user@host#set interfaces ge-0/0/1 host-inbound-traffic protocols all [edit security zones security-zone untrust] user@host#set interfaces fe-0/0/2 host-inbound-traffic system-services all user@host#set interfaces fe-0/0/2 host-inbound-traffic protocols all
Configure una política DE PPTP que permita que el tráfico DE LAP desde la zona de confianza a la zona de no confianza.
[edit security policies from-zone trust to-zone untrust] user@host#set policy pptp match source-address any user@host#set policy pptp match destination-address any user@host#set policy pptp match application junos-pptp user@host#set policy pptp then permit
Resultados
Desde el modo de configuración, escriba los comandos , y para confirmar show interfaces show security zones su show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
Para una brevedad, este show resultado solo incluye la configuración relevante para este ejemplo. Cualquier otra configuración del sistema se reemplazó por puntos suspensivos (...).
[edit]
user@host# show interfaces
...
ge-0/0/1 {
unit 0 {
family inet {
address 20.20.20.1/8;
}
}
}
fe-0/0/2 {
unit 0 {
family inet {
address 10.10.10.1/8;
}
}
}
...
[edit]
user@host# show security zones
security-zone trust {
....
interfaces {
ge-0/0/1 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
...
security-zone untrust {
interfaces {
fe-0/0/2 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy pptp {
match {
source-address any;
destination-address any;
application junos-pptp;
}
then {
permit;
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Configurar un conjunto de reglas TDR estáticas
CLI configuración rápida
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía y, luego, ingrese desde el modo de [edit] commit configuración.
set security nat static rule-set rs1 from zone trust set security nat static rule-set rs1 rule r1 match destination-address 30.5.2.120/32 set security nat static rule-set rs1 rule r1 then static-nat prefix 10.5.1.120/32
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en CLI usuario.
Para configurar un conjunto de reglas TDR estáticas:
Cree un conjunto de TDR estático.
[edit security nat static rule-set rs1] user@host#set from zone trust
Defina la regla para que coincida con la dirección de destino.
[edit security nat static rule-set rs1] user@host# set rule r1 match destination-address 30.5.2.120/32
Defina el prefijo de TDR estático para el dispositivo.
[edit security nat static rule-set rs1] user@host# set rule r1 then static-nat prefix 10.5.1.120/32
Resultados
Desde el modo de configuración, escriba el comando para confirmar su show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security nat
static {
rule-set rs1 {
from zone trust;
rule r1 {
match {
destination-address 30.5.2.120/32;
}
then {
static-nat {
prefix {
10.5.1.120/32;
}
}
}
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Configuración de un conjunto de TDR origen y un conjunto de reglas
CLI configuración rápida
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía y, luego, ingrese desde el modo de [edit] commit configuración.
set security nat source pool src-p1 address 30.5.1.120/32 set security nat source rule-set src-rs1 from zone trust set security nat source rule-set src-rs1 to zone untrust set security nat source rule-set src-rs1 rule src-r1 match source-address 20.5.1.120/32 set security nat source rule-set src-rs1 rule src-r1 match destination-address 10.5.2.120/32 set security nat source rule-set src-rs1 rule src-r1 then source-nat pool src-p1
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en CLI usuario.
Para configurar un conjunto de reglas TDR origen:
Cree un grupo de TDR origen.
[edit security nat source] user@host#set pool src-p1 address 30.5.1.120/32
Cree un conjunto de reglas TDR origen.
[edit security nat source ] user@host# set rule-set src-rs1 from zone trust user@host# set rule-set src-rs1 to zone untrust
Configure una regla que coincida con los paquetes y traduce la dirección de origen a una dirección en el grupo de origen.
[edit security nat source] user@host# set rule-set src-rs1 rule src-r1 match source-address 20.5.1.120/32
Configure una regla que coincida con los paquetes y traduce la dirección de destino a una dirección en el grupo de origen.
[edit security nat source] user@host# set rule-set src-rs1 rule src-r1 match destination-address 10.5.2.120/32
Configure un grupo de TDR origen en la regla.
[edit security nat source] user@host# set rule-set src-rs1 rule src-r1 then source-nat pool src-p1
Resultados
Desde el modo de configuración, escriba el comando para confirmar su show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security nat
source {
pool src-p1 {
address {
30.5.1.120/32;
}
}
rule-set src-rs1 {
from zone trust;
to zone untrust;
rule src-r1 {
match {
source-address 20.5.1.120/32;
destination-address 10.5.2.120/32;
}
then {
source-nat {
pool {
src-p1;
}
}
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Configuración de un conjunto de TDR destino y un conjunto de reglas
CLI configuración rápida
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía y, luego, ingrese desde el modo de [edit] commit configuración.
set security nat destination pool des-p1 address 10.5.1.120/32 set security nat destination rule-set des-rs1 from zone trust set security nat destination rule-set des-rs1 rule des-r1 match source-address 20.5.1.120/32 set security nat destination rule-set des-rs1 rule des-r1 match destination-address 30.5.1.120/32 set security nat destination rule-set des-rs1 rule des-r1 then destination-nat pool des-p1
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en CLI usuario.
Para configurar un conjunto de TDR destino y un conjunto de reglas:
Cree un grupo de TDR destino.
[edit security nat destination] user@host#set pool des-p1 address 10.5.1.120/32
Cree un conjunto de TDR destino.
[edit security nat destination] user@host# set rule-set des-rs1 from zone trust
Configure una regla que coincida con los paquetes y traduce la dirección de origen a la dirección del grupo.
[edit security nat destination] user@host# set rule-set des-rs1 rule des-r1 match source-address 20.5.1.120/32
Configure una regla que coincida con los paquetes y traduce la dirección de destino a la dirección del grupo.
[edit security nat destination] user@host# set rule-set des-rs1 rule des-r1 match destination-address 30.5.1.120/32
Configure un grupo de TDR origen en la regla.
[edit security nat destination] user@host# set rule-set des-rs1 rule des-r1 then destination-nat pool des-p1
Resultados
Desde el modo de configuración, escriba el comando para confirmar su show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security nat
destination {
pool des-p1 {
address {
10.5.1.120/32;
}
}
rule-set des-rs1 {
from zone trust;
rule des-r1 {
match {
source-address 20.5.1.120/32;
destination-address 30.5.1.120/32;
}
then {
destination-nat {
pool {
des-p1;
}
}
}
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Configuración de opciones de seguimiento de ALG DESP
CLI configuración rápida
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía y, luego, ingrese desde el modo de [edit] commit configuración.
set security alg pptp traceoptions flag all set security alg traceoptions file trace set security alg traceoptions file size 1g set security alg traceoptions level verbose
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en CLI usuario.
Para configurar las opciones de seguimiento de ALG DE LAP DESP:
Habilite las opciones de seguimiento de ALG DE LAP.
[edit security alg] user@host#set pptp traceoptions flag all
Configure un filename para que reciba el resultado de la operación de seguimiento.
[edit security alg] user@host#set traceoptions file trace
Especifique el tamaño máximo del archivo de seguimiento.
[edit security alg] user@host#set traceoptions file size 1g
Especifique el nivel de seguimiento de salida.
[edit security alg] user@host#set traceoptions level verbose
Resultados
Desde el modo de configuración, escriba el comando para confirmar su show security alg configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security alg
traceoptions {
file trace size 1g;
level verbose;
}
pptp traceoptions flag all;
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
- Verificar la sesión de control DE ALG DE LAP
- Verificar la información de la puerta de flujo ALG de LAP
- Verificar ALG DE PPC
- Verificar el grupo de administrador de recursos DE LAP
- Verificar la información de recursos de LAP
Verificar la sesión de control DE ALG DE LAP
Propósito
Compruebe que se creó la sesión de control DESP y se crearon todas las sesiones de datos y control DESP.
Acción
Desde el modo operativo, escriba el show security flow session comando.
user@host>show security flow session SSession ID: 57, Policy name: pptp, Timeout: 1787 Resource information : PPTP ALG, 1, 0 In: 20.20.20.32/3905 --> 10.10.10.32/1723;tcp, If: ge-0/0/1.0 Pkts: 6, Bytes: 584 Out: 10.10.10.32/1723 --> 20.20.20.32/3905;tcp, If: fe-0/0/2.0 Pkts: 4, Bytes: 352 Session ID: 58, Policy name: pptp, Timeout: 1799 In: 20.20.20.32/0 --> 10.10.10.32/256;gre, If: ge-0/0/1.0 Out: 10.10.10.32/256 --> 20.20.20.32/65001;gre, If: fe-0/0/2.0 Session ID: 59, Policy name: pptp, Timeout: 1787 In: .10.10.10.32/0 --> 20.20.20.32/260;gre, If: ge-0/0/1.0 Out: 20.20.20.32/260 --> 10.10.10.32/65000;gre, If: fe-0/0/2.0
Significado
Session ID: número que identifica a la sesión. Utilice este ID para obtener más información acerca de la sesión, como el nombre de la política o la cantidad de paquetes dentro y fuera.
Policy name: nombre de la política que permitió el tráfico.
In— Flujo entrante (direcciones IP de origen y destino con sus respectivos números de puerto de origen y destino, la sesión es TCP y la interfaz de origen de esta sesión es ge-0/0/1.0).
Out: flujo inverso (las direcciones IP de origen y destino con sus respectivos números de puerto de origen y destino, la sesión es TCP y la interfaz de destino de esta sesión es fe-0/0/2.0).
Verificar la información de la puerta de flujo ALG de LAP
Propósito
Compruebe que la puerta de flujo está abierta para la conexión del canal de datos TCP.
Acción
Desde el modo operativo, escriba el show security flow gate comando.
user@host>show security flow gate
Hole: 20.0.172.24-20.0.172.24/0-0->21.0.172.38-21.0.172.38/25750-25750
Translated: 2015::172:24/65000->2005::172:108/360
Protocol: gre
Application: PPTP ALG/69
Age: 118 seconds
Flags: 0x0080
Zone: trust
Reference count: 1
Resource: 12-1-1
Hole: 2005::172:108-0-0->2015::172:24-2432-2432
Translated: 21.0.172.38/65001->20.0.172.24/2432
Protocol: gre
Application: PPTP ALG/69
Age: 120 seconds
Flags: 0x8080
Zone: untrust
Reference count: 1
Resource: 12-1-2
Valid gates: 2
Pending gates: 0
Invalidated gates: 0
Gates in other states: 0
Total gates: 2
Verificar ALG DE PPC
Propósito
Compruebe que EL ALG DELP DE LAP está habilitado.
Acción
Desde el modo operativo, escriba el show security alg status comando.
user@host>show security alg status ALG Status : PPTP : Enabled RSH : Disabled RTSP : Enabled SCCP : Enabled SIP : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled
Significado
El resultado muestra el estado de ALG del PPC DE la siguiente manera:
Habilitado: muestra que EL ALG DELP DE LAP está habilitado.
Deshabilitado: muestra que EL ALG DELP DELP ESTÁ deshabilitado.
Verificar el grupo de administrador de recursos DE LAP
Propósito
Compruebe la cantidad total de grupos de administradores de recursos y grupos activos que utiliza LA ALG de PPC.
Acción
Desde el modo operativo, escriba el show security resource-manager group active comando.
user@host>show security resource-manager group active
Group ID 1: Application - PPTP ALG
Total groups 19763, active groups 1
Verificar la información de recursos de LAP
Propósito
Verifique la cantidad total de recursos y recursos activos que utiliza EL ALG de PPC.
Acción
Desde el modo operativo, escriba el show security resource-manager resource active comando.
user@host>show security resource-manager resource active
Resource ID 2: Group ID - 1, Application - PPTP ALG
Resource ID 1: Group ID - 1, Application - PPTP ALG
Total Resources 93286, active resources 2