Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

谈话阿尔格

TALK ALG是一种视觉交流程序,用于两个用户之间的互动交流。TALK 协议使用 UDP 端口 517 和端口 518 进行控制通道连接。谈话程序由服务器和客户端组成。服务器处理客户端通知并帮助建立谈话会话。有两种类型的对话服务器:ntalk 和 talkd。TALK ALG 处理 ntalk 和 talkd 格式的数据包。它还根据需要执行 NAT 和门打开。

了解 TALK ALG

TALK ALG是一种视觉交流程序,用于两个用户之间的互动交流。TALK ALG 处理 TALK 数据包,执行网络地址转换 (NAT),并在接收端打开两个门(TCP 和 UDP)。一个门用于下一个 LOOKUP 数据包。另一个门用于建立从客户端到服务器的连接,以及启动客户端与位于瞻博网络设备两侧的服务器之间的通信。

有两种类型的 TALK 服务器:ntalkd 和 talkd。

TALK ALG 同时处理 ntalk 和 talkd 数据包。TALK ALG 使用端口 UDP517 和端口 UDP518 在客户端和服务器之间建立连接。

示例:配置 TALK ALG

此示例说明如何在路由或 NAT 模式下配置 TALK ALG,允许 TALK 流量通过设备,以及如何启动客户端与位于瞻博网络设备两侧的服务器之间的通信。

要求

此示例使用以下硬件和软件组件:

  • SRX 系列防火墙

  • 两台电脑(客户端和服务器)

准备工作:

概述

在此示例中,首先在设备上配置网络接口,创建安全区域并将接口分配给区域,然后配置策略以允许 TALK 流量通过 SRX 系列防火墙。

然后,使用规则 r1 创建一个静态 NAT 规则集 rs1 以匹配目标地址 40.5.2.120/32,并创建一个地址为 20.5.2.120/32 的静态 NAT 前缀。

接下来,使用源规则集 src-rs1 创建源 NAT 池 src-p1,以将数据包从区域信任转换为区域不信任。对于匹配的数据包,源地址将转换为 src-p1 池中的 IP 地址。

然后,使用目标规则集 des-rs1 创建目标 NAT 池 des-p1,以将数据包从区域信任转换为目标地址 40.5.2.121/32。对于匹配的数据包,目标地址将转换为 des-p1 池中的 IP 地址。最后,配置 TALK ALG 跟踪选项。

拓扑学

图 1 显示了 TALK ALG 拓扑。

图 1:TALK ALG 拓扑 TALK ALG Topology

配置

要配置 TALK ALG,请执行以下任务:

配置路由模式

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit

分步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。

要配置路由模式:

  1. 配置接口。

  2. 配置区域并将接口分配给区域。

  3. 配置允许从信任区域到不信任区域的 TALK 流量的 TALK 策略。

结果

在配置模式下,输入 show interfacesshow security zonesshow security policies 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。

为简洁起见,此 show 输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 (...)。

如果完成设备配置,请从配置模式输入 commit

配置静态 NAT 规则集

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit

分步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。

要配置静态 NAT 规则集,请执行以下操作:

  1. 创建静态 NAT 规则集。

  2. 定义要与目标地址匹配的规则。

  3. 定义设备的静态 NAT 前缀。

结果

在配置模式下,输入 show security nat 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。

如果完成设备配置,请从配置模式输入 commit

配置源 NAT 池和规则集

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit

分步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。

要配置源 NAT 池和规则集,请执行以下操作:

  1. 创建源 NAT 池。

  2. 创建源 NAT 规则集。

  3. 配置匹配数据包并将源地址转换为源池中的地址的规则。

  4. 配置匹配数据包并将目标地址转换为源池中的地址的规则。

  5. 在规则中配置源 NAT 池。

结果

在配置模式下,输入 show security nat 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。

如果完成设备配置,请从配置模式输入 commit

配置目标 NAT 池和规则集

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit

分步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。

要配置目标 NAT 池和规则集,请执行以下操作:

  1. 创建目标 NAT 池。

  2. 创建目标 NAT 规则集。

  3. 配置匹配数据包并将源地址转换为池中地址的规则。

  4. 配置匹配数据包并将目标地址转换为池中地址的规则。

  5. 在规则中配置源 NAT 池。

结果

在配置模式下,输入 show security nat 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。

如果完成设备配置,请从配置模式输入 commit

配置 TALK ALG 跟踪选项

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit

分步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。

要配置 TALK ALG 跟踪选项,请执行以下操作:

  1. 启用 TALK ALG 跟踪 otpions。

  2. 配置文件名以接收跟踪操作的输出。

  3. 指定最大跟踪文件大小。

  4. 指定跟踪输出的级别。

结果

在配置模式下,输入 show security alg 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置工作正常。

验证 TALK ALG 控制会话

目的

验证是否已创建 TALK 控制会话,以及是否已创建所有 TALK 控件和数据会话。

行动

在操作模式下,输入 show security flow session 命令。

意义
  • Session ID- 标识会话的编号。使用此 ID 可获取有关会话的详细信息,例如策略名称或进出数据包数。

  • Policy name- 允许流量的策略名称。

  • In—传入流(源和目标 IP 地址及其各自的源和目标端口号,会话为 TCP,此会话的源接口为 ge-0/0/1.0)。

  • Out—反向流(源和目标 IP 地址及其各自的源和目标端口号,会话为 TCP,此会话的目标接口为 fe-0/0/2.0)。

验证 TALK 流门信息

目的

验证是否已为 TCP 数据通道打开门并反向 UDP 回复。

行动

在操作模式下,输入 show security flow gate 命令。

意义
  • Hole—针孔允许的流量范围。

  • Translated- 如果与针孔(源和目标 IP 地址及其各自的源和目标端口号)匹配,则用于创建会话的元组。

  • Protocol- 应用程序协议,如 UDP 或 TCP。

  • Application- 应用程序的名称。

  • Age- 针孔的空闲超时。

  • Flags— 针孔的内部调试标志。

  • Zone- 安全区域,例如从区域和到区域。

  • Reference count- 资源管理器对针孔的引用数。

  • Resource- 有关针孔的资源管理器信息。

验证 TALK ALG

目的

验证 TALK ALG 是否已启用。

行动

在操作模式下,输入 show security alg status 命令。

意义

输出显示 TALK ALG 状态,如下所示:

  • 已启用 — 显示 TALK ALG 已启用。

  • 已禁用 — 显示 TALK ALG 已禁用。

验证 TALK 资源管理器组

目的

验证 TALK ALG 使用的资源管理器组和活动组的总数。

行动

在操作模式下,输入 show security resource-manager group active 命令。

验证 TALK 资源信息

目的

验证 TALK ALG 使用的资源和活动资源的总数。

行动

在操作模式下,输入 show security resource-manager resource active 命令。