Alocação de bloco de porta protegida

A alocação de bloco de porta protegida garante que, quando um assinante exigir que uma porta seja atribuída pela primeira vez, um bloco de portas seja alocado para o usuário específico. Aqui, um assinante é definido exclusivamente como um endereço IP privado e ID de conjunto de serviços. Como o assinante tem um bloco de portas atribuído a ele, todas as solicitações subseqüentes desse assinante usam portas do bloco atribuído. Um novo bloco de porta é alocado quando o bloco ativo atual é esgotado ou após o intervalo de tempo limite do bloco de porta ativa ter expirado. Você pode configurar o número máximo de blocos alocados a um usuário. Esse comportamento de alocação de portas NAT em blocos é diferente do utilitário NAT tradicional, em que a solicitação de uma porta aloca uma única porta e não um grupo de portas em um bloco.

Você pode usar o mecanismo de alocação de bloco de porta segura para alocar portas em blocos para os tipos NAPT44 (conversão de um endereço IPv4 para um endereço IPv4) e NAT64 (tradução de um endereço IPv6 para um endereço IPv4). Ao usar a alocação de bloco de porta protegida, o uso da porta pode ser um pouco ineficiente, dependendo dos padrões de tráfego. A alocação segura de blocos de porta é suportada em roteadores da série MX com MS-DPCs e em roteadores da Série M com MS-100, MS-400 e MS-500 MultiServices PICS. A partir do lançamento 14.2R2 do Junos OS, a alocação segura de blocos de porta é suportada em roteadores da série MX com MS-MPCs e MS-MICs.

A partir do Junos OS Release 15.1, em um ambiente no qual o Junos Address Aware (NAT de nível de operadora) é empregado, os provedores de serviços ou operadores de operadoras podem monitorar e rastrear o consumo de recursos e tipos de serviços que estão sendo utilizados por assinantes ou usuários de maneira mais fácil e eficaz usando mensagens de log do sistema registradas para a alocação de portas aos clientes. Usando endereços IP em logs RADIUS ou DHCP, a avaliação dos logs é realizada para analisar e determinar o uso de serviços e o consumo de largura de banda pelos assinantes. Com o NAT de nível de operadora, como os endereços IP são compartilhados por vários assinantes, examinar os logs para rastrear os endereços IP e as portas que fazem parte dos logs do sistema pode ser demorado e difícil. Além disso, como as portas são alocadas e liberadas em intervalos frequentes, dependendo do login e do fechamento das sessões do assinante, um grande número de logs é acionado para cada alocação e desalocação de porta. Como resultado, o excesso de syslogs torna complicado arquivar e correlacionar os logs para identificar um assinante. Agora você pode alocar portas em blocos, o que reduz consideravelmente a quantidade de syslogs.

Lembre-se dos seguintes pontos ao configurar o PBA seguro:

• O tamanho do bloco não é configurável no nível da regra NAT.

• O aumento na taxa de instalação das sessões não é afetado quando você configura o PBA seguro.

• Se um bloco de um determinado tamanho não estiver disponível, uma mensagem de falta de portas será exibida e blocos de tamanho menor não serão alocados alternativamente em tal cenário.

• Os endereços no pool usando o método de alocação de bloco de porta não podem ser usados em nenhum outro pool.

• O intervalo de portas no pool NAT deve ser contíguo.

• Preservar paridade (Alocar portas com a mesma paridade da porta original) não é suportado com a alocação de blocos de portas.

• A limitação do número de sessões abertas quando o limite especificado é atingido (para serviços de detecção de intrusão) e o número máximo de blocos que podem ser alocados a um endereço de usuário configurado para PBA seguro são funcionalidades independentes.

• Não há suporte para a funcionalidade de preservar o intervalo de portas privilegiado após a tradução. Os blocos são atribuídos a partir do intervalo de portas sem privilégios (1024-65535). Para portas em faixa privilegiada, o método de alocação de bloco de porta não é aplicável.

• A eficiência de uso da porta é menor quando a alocação de bloco de porta está habilitada. O PBA não usa portas de 0 a 1023 de um endereço IP NAT.

• Se você configurar o método de atribuição automática de portas, que permite a atribuição sequencial de portas, o intervalo de portas de 1024 a 65535 estará disponível para alocação aos usuários.

• Os blocos de porta podem começar em qualquer porta inicial que você possa configurar.

• O número de portas usadas depende do tamanho do bloco e o restante das portas não deve ser usado.

• Um pool sobrecarregado, que indica um pool de endereços que pode ser usado se o pool de origem ficar esgotado, não é suportado com o PBA seguro.

• Os endereços IP NAT do pool do PBA não devem se sobrepor a nenhum outro pool. Embora uma validação não seja executada para identificar se existem pools sobrepostos, você deve garantir que os endereços de um pool usado para PBA não sejam usados em outros pools. Essa condição ocorre porque alguns dos usuários exigem que o pool de sobrecarga use os mesmos endereços IP que os endereços IP NAT, mas um intervalo de portas diferente do pool PBA para dar suporte à funcionalidade de pool de endereços emparelhado (APP).

• O tamanho do bloco é fixo por pool NAT e é configurável no nível do pool NAT. Vários blocos de porta podem ser alocados a um endereço IP privado.

• Você pode configurar o número máximo de blocos por pool por assinante incluindo a max-blocks-per-user max-blocks declaração no nível da [edit services nat pool pool-name port secured-port-block-allocation] hierarquia. Se um assinante corresponder a dois pools, esse usuário específico poderá receber um máximo de blocos de porta igual à soma do número máximo de blocos de porta para cada pool desse assinante. Novas solicitações de portas NAT chegam apenas do bloco ativo atual.

• As portas podem ser alocadas aleatoriamente a partir do bloco ativo atual, que especifica se as portas devem ser alocadas sequencialmente ou aleatoriamente dentro do bloco de portas.

• Um bloco está ativo por um intervalo de tempo limite que pode ser definido incluindo o active-block-timeout timeout-seconds no nível da [edit services nat pool pool-name port secured-port-block-allocation] hierarquia. Após o período de tempo limite, um novo bloco é alocado mesmo que haja portas disponíveis no bloco ativo. O tempo limite padrão de um bloco ativo é de 120 segundos. Quando você o configura como 0 (infinito), o bloco ativo faz a transição para inativo somente quando fica sem portas e um novo bloco é alocado.

• Se o número máximo de blocos de blocos for excedido e uma nova solicitação for recebida, o bloco ativo será movido para um bloco que contenha as portas disponíveis. Qualquer bloco não ativo sem nenhuma porta em uso é liberado para o pool NAT.

• Além de rastrear os blocos de porta atribuídos a cada endereço IP privado, as portas reais em uso também são computadas e mantidas. Essa métrica é usada para calcular a eficiência do uso da porta.

• Uma mensagem de syslog é gerada para cada alocação e liberação de bloco. O formato da mensagem é semelhante às mensagens gravadas para alocação e liberação de porta individuais.

• A taxa de configuração da sessão é igual ou ligeiramente melhor do que a taxa de configuração de alocação sem bloco existente. O pool NAT usando o método de alocação de porta de bloco pode ter intervalos de portas parciais. Se o endereço for usado para encaminhamento de porta, essas portas poderão ser removidas do intervalo de portas do pool. Você pode configurar intervalos de portas parciais usando a port range low minimum-value high maximum-value random-allocation instrução no nível da [edit services nat pool nat-pool-name] hierarquia. A alocação de blocos de porta funciona da mesma maneira que o NAPT44 para tráfego TCP, UDP e ICMP.

• A aleatoriedade pode ser alcançada alocando portas aleatoriamente dentro do bloco e alterando o bloco ativo periodicamente. O bloco de portas não contém portas aleatórias (as portas dentro do bloco são sequenciais). Esse recurso é compatível com interfaces ams (multisserviços agregados).

• O número da porta inicial é calculado de forma diferente no microkernel e nos pacotes de provedores de extensão do Junos OS. No microkernel, a porta inicial ou primeira é o múltiplo mais próximo do tamanho do bloco após 1023. Nessa implementação, mais portas são desperdiçadas porque as portas são desperdiçadas no início e no final do intervalo de portas, dependendo do tamanho do bloco. Nos pacotes de provedores de extensão do Junos OS, a porta inicial de um bloco não é restrita a um múltiplo do tamanho do bloco. A porta inicial pode começar no limite inferior do intervalo da porta configurada.