Registro provisório de alocação de blocos de porta protegido
Registro provisório para alocação segura de blocos de porta
Com a alocação de blocos de porta, geramos um log de syslog por conjunto de portas alocadas para um assinante. Esses logs são baseados em UDP e podem ser perdidos na rede, especialmente para fluxos de longo prazo. O registro provisório desencadeia o reencamamento dos logs acima em um intervalo configurado para blocos ativos que tenham tráfego em pelo menos uma das portas do bloco. Dependendo da topologia da sua rede, você pode definir o intervalo para os logs de alocação de blocos de porta com base no período do arquivo para que pelo menos um log por bloco de porta (para um fluxo ativo) em cada arquivo esteja presente.
Para configurar o intervalo de registro provisório no nível de interface de serviços, que se aplica a todos os pools DE NAT nessa interface ms, inclua a pba-interim-logging-interval seconds declaração no nível de [edit interfaces ms-fpc/pic/port services-options] hierarquia. A opção pba-interim-logging-interval é suportada em roteadores da série MX com MS-DPCs e roteadores da Série M com PICS ms-100, MS-400 e MS-500 multiservices. A opção pba-interim-logging-interval é suportada em roteadores da série MX com MS-MPCs e MS-MICs a partir do lançamento do Junos OS 14.2R2.
A partir do Junos OS Release 15.1R1, você também pode configurar o intervalo de registro provisório em um nível de pool de NAT. Esse recurso é suportado apenas em roteadores da Série MX com MS-MPCs e MS-MICs. Para configurar o intervalo de registro provisório em um nível de pool de NAT, inclua a interim-logging-interval seconds declaração no nível de [edit services nat pool pool-name port secured-port-block-allocation] hierarquia. Você pode especificar um valor de 0 a 86400 segundos para a frequência de registro provisória.
Benefícios do registro em iterim
Permite que você identifique os blocos de porta usados atualmente
Elimina a necessidade de pesquisar e analisar logs arquivados para identificar o host interno que está usando o endereço IP externo e a porta
Veja também
Diretrizes para configurar registro provisório para alocação segura de blocos de porta
Observe as seguintes diretrizes ao configurar o intervalo de registro provisório para alocação segura de blocos de porta:
-
O registro provisório só é habilitado quando a funcionalidade de registro provisório estiver configurada. A
pba-interim-logging-intervaldeclaração que você pode configurar no[edit interfaces ms-fpc/pic/port services-options]nível de hierarquia de uma interface ms é fornecida para compatibilidade retrógrada. A opçãopba-interim-logging-intervalé suportada em roteadores da série MX com MS-DPCs e roteadores da Série M com PICS ms-100, MS-400 e MS-500 multiservices. A opçãopba-interim-logging-intervalé suportada em roteadores da série MX com MS-MPCs e MS-MICs a partir do lançamento do Junos OS 14.2R2.A
interim-logging-intervaldeclaração que está disponível para configuração no MS-MPC e MS-MIC a partir da versão Junos OS 15.1R1 fornece registro provisório para um pool de NAT específico. -
Se você configurar o recurso de registro provisório para ser aplicável a todos os pools de PBA residentes nessa interface de serviços em particular e o recurso de registro provisório para um pool PBA específico, o intervalo específico do pool de NAT tem precedência sobre o intervalo específico da interface de serviços. Para blocos de porta alocados em outros pools de PBA para os quais o intervalo de registro provisório no nível do pool de NAT não está configurado, aplica-se o valor de intervalo de registro conforme configurado no nível de interface ms.
-
O valor padrão é zero, o que não denota que nenhuma mensagem de registro provisória seja gerada.
-
Os logs provisórios são enviados a qualquer momento após o período configurado em segundos. A diferença de tempo não é fixa entre os intervalos de registro de dois logs.
-
Os logs provisórios são gerados para blocos de porta (ativos e inativos) que contêm pelo menos uma porta em uso por um fluxo que tem tráfego. Nenhum controle de temporizantes é executado nos blocos de porta para gerar os logs. Quando um pacote é recebido em um fluxo, a validação é realizada para gerar um log provisório. Se as condições estiverem satisfeitas, um log provisório é gerado para esse bloco de porta. Os logs provisórios não são gerados para blocos de porta excluídos.
-
O log provisório contém o carimbo de tempo da criação de blocos de porta no formato hexadecimal (quando o horário local é definido, o valor hexadecimal fornece o tempo no formato UTC).
-
A conversão do data-tempo para o formato UTC pode ser realizada no servidor externo do syslog conforme necessário.
-
Em certos cenários, é possível que o temporizador em valor hexadecimal e o temporizador real em mensagens ALLOC diferem em alguns segundos. Esse comportamento ocorre porque o mecanismo de syslog contém uma pequena diferença quando lê o tempo (como visto em PORT_BLOCK_ALLOC syslog) e o momento em que o aplicativo NAT lê o tempo (para atualizar o tempo ALLOC no contexto do assinante). O log interino do sistema exibe o tempo ALLOC recuperado do contexto do assinante.
-
Como esses logs são gerados na computação da CPU e no caminho rápido, um pequeno impacto pode ser observado com desempenho rápido de caminho somente quando ocorre uma geração do log.
-
O tempo de criação de blocos de porta em hexadecimal é salvo na mensagem de JSERVICES_NAT_PORT_BLOCK_RELEASE, mesmo que o registro provisório não esteja presente.
-
Se você definir o intervalo de registro quando o fluxo de tráfego estiver em andamento, essa funcionalidade entra em vigor em fluxos existentes e novos. Você não precisa reiniciar o MIC ou ativar e desativar o conjunto de serviços.
-
Se os fluxos ou assinantes estiverem cronometrando, ele denota que nenhum novo pacote ou fluxo de tráfego é visto para esses dados de 5 tuple ou para esse assinante em particular. Nesse caso, os logs provisórios não são gerados.
-
Se o intervalo de registro provisório for menor do que o tempo limite de inatividade do fluxo, os logs provisórios não serão observados quando o fluxo está cronometrando e o intervalo de registro provisório se passou. Se o intervalo de registro provisório for menor do que o valor de tempo limite do assinante, os logs provisórios não serão observados quando o assinante está cronometrando e o intervalo de registro provisório se passou. Por exemplo, se o tempo limite de inatividade estiver configurado para 2500 segundos e o registro interino for configurado como 1800 segundos, quando o fluxo estiver cronometrando, há um ponto no tempo em que 1800 segundos se passaram desde que o último pacote foi visto neste fluxo e nenhum log provisório é gerado neste caso.
-
Os logs provisórios são registrados para aqueles pools que têm PBA configurado. Se houver pools sem a configuração de PBA presente na unidade de processamento de rede de serviço (NPU), os logs provisórios não serão salvos mesmo se você habilitar a funcionalidade de registro provisório.
-
Você pode configurar apenas uma variedade de valores para o intervalo em que os logs precisam ser gerados, como 0, [1800, 86400].
-
Você pode habilitar a geração de syslogs usando a declaração de syslog nos
[edit system]níveis de hierarquia e[edit services service-sets service-set name nat rule rule-name term term-name then]que contêm as regras de NAT com pools PBA. Os logs provisórios não são acionados se a gravação de syslogs não estiver habilitada no sistema. -
Recomendamos que você configure o intervalo de registro provisório para ser maior do que o período de inatividade para fluxos estabelecidos. Além disso, recomendamos que você configure o intervalo de registro provisório para ser superior ao valor de tempo limite do assinante. Quando o mapeamento independente de endpoint (EIM) é configurado, o intervalo de registro provisório deve ser maior do que a soma do tempo limite de agrupamento de endereços (APP) e dos valores de tempo limite de EIM.
-
A transmissão de logs ocorre em formato de texto claro, semelhante a outras mensagens de log que os PICs de serviços não criptografam. Assume-se que o transporte de logs e o posicionamento do coletor de log estão dentro de um reino seguro. Como as mensagens não contêm detalhes sensíveis, como nome de usuário ou senhas, as mensagens não causam riscos de segurança ou confiabilidade. O aumento da geração de mensagens de log não causa a possibilidade de uma inundação de logs porque a frequência de registro pode ser configurada, dependendo da topologia da rede, níveis de tráfego e suas necessidades de monitoramento.
-
Os logs de PBA no microkernel começam com o prefixo de ASP_*. Esses logs foram modificados para começar com o prefixo de JSERVICES_*. A seguir, exemplos de logs de sistema para PBA no microkernel e com os pacotes Junos OS Extension-Provider instalados e configurados no dispositivo.
Microkernel: 1970-01-01 00:32:36 {nat64}[FWNAT]:ASP_NAT_PORT_BLOCK_ACTIVE: 2001:db8:0:0:0:0:0:2 -> 10.1.1.1:1050-1091 0x6fJunos OS Extension-Provider (eJunos): 1970-01-01 00:32:36 {nat64}[FWNAT]:JSERVICES_NAT_PORT_BLOCK_ACTIVE: 2001:db8:0:0:0:0:0:2 -> 10.1.1.1:1050-1091 0x6f -
Além disso, você pode especificar o intervalo de registro intermediário por pool de NAT em vez de uma configuração global por MS-PIC, com base em se você deseja que as configurações do syslog se apliquem a todos os pools de NAT em um dispositivo ou para um grupo de NAT em particular. Para o NAT, as interfaces de membro devem ter o pacote jservices-nat configurado. A mensagem de registro do sistema JSERVICES_NAT_PORT_BLOCK_ACTIVE é gerada quando você configura o registro provisório para PBA. Os logs de amostra a seguir denotam as mensagens de log geradas com o intervalo intermediário definido em 1800 segundos. Você pode notar que o tempo de tempo entre logs provisórios consecutivos é de mais de 1800 segundos.
1970-01-01 00:01:51 [FWNAT]:JSERVICES_NAT_PORT_BLOCK_ALLOC: 2001:db8:0:0:0:0:0:2 -> 10.1.1.1:1050-1091 1970-01-01 00:32:36 {nat64}[FWNAT]:JSERVICES_NAT_PORT_BLOCK_ACTIVE: 2001:db8:0:0:0:0:0:2 -> 10.1.1.1:1050-1091 0x6f 1970-01-01 01:03:20 {nat64}[FWNAT]:JSERVICES_NAT_PORT_BLOCK_ACTIVE: 2001:db8:0:0:0:0:0:2 -> 10.1.1.1:1050-1091 0x6f 1970-01-01 01:34:04 {nat64}[FWNAT]:JSERVICES_NAT_PORT_BLOCK_ACTIVE: 2001:db8:0:0:0:0:0:2 -> 10.1.1.1:1050-1091 0x6f 1970-01-01 02:04:48 {nat64}[FWNAT]:JSERVICES_NAT_PORT_BLOCK_ACTIVE: 2001:db8:0:0:0:0:0:2 -> 10.1.1.1:1050-1091 0x6f -
A partir do junos OS versão 19.3R1, quando você configura um prefixo de softwire que não seja 128, todos os logs JSERVICES_NAT_PORT_BLOCK agora exibem o endereço B4 prefixado. Os JSERVICES_NAT_PORT_BLOCK a seguir são modificados:
-
JSERVICES_NAT_PORT_BLOCK_ALLOC
-
JSERVICES_NAT_PORT_BLOCK_RELEASE
-
JSERVICES_NAT_PORT_BLOCK_ACTIVE
Em versões anteriores do Junos OS, quando um prefixo de softwire foi configurado, alguns dos endereços B4 exibidos no log JSERVICES_NAT_PORT_BLOCK eram /128 endereços. Por exemplo, quando um prefixo /56 foi configurado, o syslog de blocos de porta exibiu os seguintes endereços B4:
-
O JSERVICES_NAT_PORT_BLOCK_ALLOC exibiu o endereço /128 B4 da primeira B4, que foi alocado em uma porta de um bloco de porta específico
-
A JSERVICES_NAT_PORT_BLOCK_RELEASE exibiu o endereço /128 B4 da última B4, que liberou sua porta de volta ao bloco de portas
-
Veja também
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.