Alocação de bloco de porta protegida Registro provisório
Registro provisório para alocação segura de blocos de porta
Com a alocação de bloco de porta, geramos um log de syslog por conjunto de portas alocadas para um assinante. Esses logs são baseados em UDP e podem ser perdidos na rede, especialmente para fluxos de longa duração. O log provisório aciona o reenvio dos logs acima em um intervalo configurado para blocos ativos que têm tráfego em pelo menos uma das portas do bloco. Dependendo da topologia de rede, é possível definir o intervalo para os logs de alocação do bloco de porta com base no período do archive para que pelo menos um log por bloco de porta (para um fluxo ativo) em cada archive esteja presente.
Para configurar o intervalo de log provisório no nível da interface de serviços, que se aplica a todos os pools NAT nessa interface ms-, inclua a pba-interim-logging-interval seconds declaração no nível da [edit interfaces ms-fpc/pic/port services-options] hierarquia. A pba-interim-logging-interval opção é suportada em roteadores da série MX com MS-DPCs e em roteadores da Série M com MS-100, MS-400 e MS-500 MultiServices PICS. A pba-interim-logging-interval opção é suportada em roteadores da série MX com MS-MPCs e MS-MICs a partir do Junos OS versão 14.2R2.
A partir do Junos OS Release 15.1R1, você também pode configurar o intervalo de registro provisório em um nível de pool NAT. Esse recurso é suportado apenas em roteadores da Série MX com MS-MPCs e MS-MICs. Para configurar o intervalo de log provisório em um nível de pool NAT, inclua a interim-logging-interval seconds declaração no nível da [edit services nat pool pool-name port secured-port-block-allocation] hierarquia. Você pode especificar um valor de 0 a 86400 segundos para a frequência de log provisória.
Benefícios do Iterim Logging
Permite identificar os blocos de porta usados atualmente
Elimina a necessidade de pesquisar e analisar logs arquivados para identificar o host interno que está usando o endereço IP e a porta externos
Veja também
Diretrizes para configurar o registro provisório para alocação segura de blocos de porta
Observe as seguintes diretrizes ao configurar o intervalo de registro provisório para alocação de bloco de porta protegida:
-
O log provisório é habilitado somente quando a funcionalidade de log provisório está configurada. A
pba-interim-logging-intervalinstrução que você pode configurar no[edit interfaces ms-fpc/pic/port services-options]nível de hierarquia de uma ms-interface é fornecida para compatibilidade com versões anteriores. Apba-interim-logging-intervalopção é suportada em roteadores da série MX com MS-DPCs e em roteadores da Série M com MS-100, MS-400 e MS-500 MultiServices PICS. Apba-interim-logging-intervalopção é suportada em roteadores da série MX com MS-MPCs e MS-MICs a partir do Junos OS versão 14.2R2.A
interim-logging-intervaldeclaração que está disponível para configuração no MS-MPC e MS-MIC a partir do Junos OS versão 15.1R1 fornece registro provisório para um pool NAT específico. -
Se você configurar o recurso de log provisório para ser aplicável a todos os pools de PBA que residem nessa interface de serviços específica e o recurso de log provisório para um pool de PBA específico, o intervalo específico do pool de NAT terá precedência sobre o intervalo específico da interface de serviços. Para blocos de porta alocados de outros pools de PBA para os quais o intervalo de log provisório no nível do pool NAT não está configurado, o valor do intervalo de log conforme configurado no nível da interface ms se aplica.
-
O valor padrão é zero, o que indica que nenhuma mensagem de log provisória é gerada.
-
Os logs provisórios são enviados a qualquer momento após o período de tempo configurado em segundos. A diferença de tempo não é fixa entre os intervalos de log de dois logs.
-
Os logs provisórios são gerados para blocos de porta (ativos e inativos) que contêm pelo menos uma porta em uso por um fluxo que tem tráfego. Nenhum controle de temporizador é executado nos blocos de porta para gerar os logs. Quando um pacote é recebido em um fluxo, a validação é realizada para gerar um log provisório. Se as condições forem satisfeitas, um log provisório será gerado para esse bloco de porta. Os logs provisórios não são gerados para blocos de porta excluídos.
-
O log provisório contém o carimbo de data/hora da criação do bloco de porta em formato hexadecimal (quando a hora local é definida, o valor hexadecimal fornece a hora no formato UTC).
-
A conversão do carimbo de data/hora para o formato UTC pode ser realizada no servidor syslog externo, conforme necessário.
-
Em determinados cenários, é possível que o carimbo de data/hora no valor hexadecimal e o carimbo de data/hora real nas mensagens ALLOC sejam diferentes em alguns segundos. Esse comportamento ocorre porque o mecanismo de syslog contém uma pequena diferença quando lê a hora (como visto em PORT_BLOCK_ALLOC syslog) e a hora em que NAT aplicativo lê a hora (para atualizar a hora ALLOC no contexto assinante). O log do sistema provisório exibe o tempo ALLOC recuperado do contexto do assinante.
-
Como esses logs são gerados na computação da CPU e no caminho rápido, um pequeno impacto pode ser observado com o desempenho do caminho rápido somente quando ocorre uma geração do log.
-
O carimbo de data/hora de criação do bloco de porta em hexadecimal é salvo na mensagem JSERVICES_NAT_PORT_BLOCK_RELEASE, mesmo que o log provisório não esteja presente.
-
Se você definir o intervalo de registro quando o fluxo de tráfego estiver em andamento, essa funcionalidade entrará em vigor nos fluxos novos e existentes. Você não precisa reinicializar o MIC ou ativar e desativar o conjunto de serviços.
-
Se os fluxos ou assinantes estiverem atingindo o tempo limite, isso indica que nenhum novo pacote ou fluxo de tráfego é visto para esses dados de 5 tuplas ou para esse assinante específico. Nesse caso, os logs provisórios não são gerados.
-
Se o intervalo de registro provisório for menor que o tempo limite de inatividade do fluxo, os logs provisórios não serão observados quando o fluxo estiver atingindo o tempo limite e o intervalo de registro temporário tiver decorrido. Se o intervalo de registro provisório for menor que o valor de tempo limite do assinante, os logs provisórios não serão observados quando o assinante estiver atingindo o tempo limite e o intervalo de registro temporário tiver decorrido. Por exemplo, se o tempo limite de inatividade estiver configurado como 2500 segundos e o log provisório estiver configurado como 1800 segundos, quando o fluxo estiver atingindo o tempo limite, haverá um ponto no tempo em que 1800 segundos se passaram desde que o último pacote foi visto nesse fluxo e nenhum log provisório será gerado nesse caso.
-
Os logs provisórios são registrados para os pools que têm o PBA configurado. Se existirem pools sem a configuração do PBA presente na NPU (unidade de processamento de rede de serviço), os logs provisórios não serão salvos, mesmo que você habilite a funcionalidade de log provisório.
-
Você pode configurar apenas um intervalo de valores para o intervalo no qual os logs precisam ser gerados, como 0, [1800, 86400].
-
Você pode habilitar a geração de syslogs usando a syslog declaração nos
[edit system]níveis de hierarquia e[edit services service-sets service-set name nat rule rule-name term term-name then]que contêm as regras NAT com pools de PBA. Os logs provisórios não serão acionados se a gravação de syslogs não estiver habilitada no sistema. -
Recomendamos que você configure o intervalo de log provisório para ser maior do que o período de tempo limite de inatividade para fluxos estabelecidos. Além disso, recomendamos que você configure o intervalo de log temporário para ser maior que o valor de tempo limite do assinante. Quando o mapeamento independente de endpoint (EIM) é configurado, o intervalo de registro provisório deve ser maior que a soma dos valores de tempo limite do pool de endereços (APP) e tempo limite do EIM.
-
A transmissão de logs ocorre em formato de texto não criptografado, semelhante a outras mensagens de log que os PICs de serviços não criptografam. Supõe-se que o transporte de logs e o posicionamento do coletor de logs estejam dentro de um domínio seguro. Como as mensagens não contêm detalhes confidenciais, como nome de usuário ou senhas, elas não causam riscos de segurança ou confiabilidade. O aumento da geração de mensagens de log não causa a possibilidade de uma inundação de logs porque a frequência do log pode ser configurada, dependendo da topologia da rede, dos níveis de tráfego e das suas necessidades de monitoramento.
-
Os logs do PBA no microkernel começam com o prefixo de ASP_*. Esses logs foram modificados para começar com o prefixo de JSERVICES_*. A seguir estão exemplos de logs do sistema para PBA no microkernel e com os pacotes de provedores de extensão do Junos OS instalados e configurados no dispositivo.
Microkernel: 1970-01-01 00:32:36 {nat64}[FWNAT]:ASP_NAT_PORT_BLOCK_ACTIVE: 2001:db8:0:0:0:0:0:2 -> 10.1.1.1:1050-1091 0x6fJunos OS Extension-Provider (eJunos): 1970-01-01 00:32:36 {nat64}[FWNAT]:JSERVICES_NAT_PORT_BLOCK_ACTIVE: 2001:db8:0:0:0:0:0:2 -> 10.1.1.1:1050-1091 0x6f -
Além disso, você pode especificar o intervalo de log provisório por pool NAT em vez de uma configuração global por MS-PIC, com base em se deseja que as configurações de syslog sejam aplicadas a todos os pools de NAT em um dispositivo ou a um pool de NAT específico. Para NAT, as interfaces de membro devem ter o pacote jservices-nat configurado. A mensagem de log do sistema JSERVICES_NAT_PORT_BLOCK_ACTIVE é gerada quando você configura o log provisório para PBA. Os logs de exemplo a seguir denotam as mensagens de log geradas com o intervalo provisório definido como 1800 segundos. Você pode observar que o carimbo de data/hora entre logs provisórios consecutivos é superior a 1800 segundos.
1970-01-01 00:01:51 [FWNAT]:JSERVICES_NAT_PORT_BLOCK_ALLOC: 2001:db8:0:0:0:0:0:2 -> 10.1.1.1:1050-1091 1970-01-01 00:32:36 {nat64}[FWNAT]:JSERVICES_NAT_PORT_BLOCK_ACTIVE: 2001:db8:0:0:0:0:0:2 -> 10.1.1.1:1050-1091 0x6f 1970-01-01 01:03:20 {nat64}[FWNAT]:JSERVICES_NAT_PORT_BLOCK_ACTIVE: 2001:db8:0:0:0:0:0:2 -> 10.1.1.1:1050-1091 0x6f 1970-01-01 01:34:04 {nat64}[FWNAT]:JSERVICES_NAT_PORT_BLOCK_ACTIVE: 2001:db8:0:0:0:0:0:2 -> 10.1.1.1:1050-1091 0x6f 1970-01-01 02:04:48 {nat64}[FWNAT]:JSERVICES_NAT_PORT_BLOCK_ACTIVE: 2001:db8:0:0:0:0:0:2 -> 10.1.1.1:1050-1091 0x6f -
A partir do lançamento do Junos OS 19.3R1, quando você configura um prefixo softwire diferente de 128, todos os logs JSERVICES_NAT_PORT_BLOCK agora exibem o endereço B4 prefixado. Os seguintes JSERVICES_NAT_PORT_BLOCK são modificados:
-
JSERVICES_NAT_PORT_BLOCK_ALLOC
-
JSERVICES_NAT_PORT_BLOCK_RELEASE
-
JSERVICES_NAT_PORT_BLOCK_ACTIVE
Nas versões anteriores do Junos OS, quando um prefixo softwire era configurado, alguns dos endereços B4 exibidos no log JSERVICES_NAT_PORT_BLOCK eram endereços /128. Por exemplo, quando um prefixo /56 foi configurado, o syslog do bloco de porta exibiu os seguintes endereços B4:
-
O JSERVICES_NAT_PORT_BLOCK_ALLOC exibiu o endereço /128 B4 do primeiro B4 que foi alocado em uma porta de um bloco de porta específico
-
O JSERVICES_NAT_PORT_BLOCK_RELEASE exibiu o endereço /128 B4 do último B4 que liberou sua porta de volta para o bloco de porta
-
Veja também
Tabela de histórico de alterações
A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.