Alocação segura de blocos de porta

A alocação segura de blocos de porta garante que, quando um assinante exige que uma porta seja atribuída pela primeira vez, um bloco de portas é alocado ao usuário em particular. Aqui, um assinante é definido exclusivamente como um endereço IP privado e ID do conjunto de serviços. Como o assinante tem um bloco de portas atribuídas a ele, todas as solicitações subsequentes deste assinante utilizam portas do bloco atribuído. Um novo bloco de porta é alocado quando o bloco ativo atual é esgotado, ou após o intervalo de tempo limite do bloqueio ativo da porta expirar. Você pode configurar o número máximo de blocos alocados para um usuário. Esse comportamento de alocação de portas NAT em blocos é diferente do utilitário NAT tradicional, onde a solicitação de uma porta aloca uma única porta e não um grupo de portas em um bloco.

Você pode usar o mecanismo de alocação segura de blocos de porta para alocar portas em blocos para os tipos NAPT44 (tradução de um endereço IPv4 para um endereço IPv4) e NAT64 (tradução de um endereço IPv6 para um endereço IPv4). Ao usar a alocação segura de blocos de porta, o uso da porta pode ser um pouco ineficiente, dependendo dos padrões de tráfego. A alocação segura de blocos de porta é suportada em roteadores da série MX com MS-DPCs e em roteadores da Série M com PICS ms-100, MS-400 e MS-500 multiservices. A partir do lançamento do Junos OS 14.2R2, a alocação segura de blocos de porta é suportada em roteadores da série MX com MS-MPCs e MS-MICs.

A partir do Junos OS Release 15.1, em um ambiente no qual o Junos Address Aware (NAT de nível de operadora) é empregado, provedores de serviços ou operadores de operadoras podem monitorar e rastrear o consumo de recursos e tipos de serviços que estão sendo utilizados por assinantes ou usuários de forma mais fácil e eficaz usando mensagens de registro de sistema registradas para a alocação de portas aos clientes. Ao usar endereços IP em logs RADIUS ou DHCP, a avaliação dos logs é realizada para analisar uma determinação do uso dos serviços e do consumo de largura de banda pelos assinantes. Com o NAT de nível de operadora, como os endereços IP são compartilhados por vários assinantes, examinar logs para rastrear os endereços IP e portas que fazem parte dos logs do sistema pode ser demorado e difícil. Além disso, como as portas são alocadas e liberadas em intervalos frequentes, dependendo do registro e fechamento de sessões de assinantes, um grande número de logs são acionados para cada alocação de portas e alocação de portas. Como resultado, os syslogs excessivos tornam complicado arquivar e correlacionar os logs para identificar um assinante. Agora, você pode alocar portas em blocos, o que reduz consideravelmente a quantidade de syslogs.

Lembre-se dos seguintes pontos ao configurar o PBA seguro:

• O tamanho do bloco não é configurável no nível de regra do NAT.

• O aumento na taxa de configuração das sessões não é afetado quando você configura um PBA seguro.

• Se um bloco de um determinado tamanho não estiver disponível, uma mensagem fora das portas é exibida e blocos de tamanho menor não são alocados alternativamente em tal cenário.

• Os endereços no pool usando o método de alocação de blocos de porta não podem ser usados em nenhum outro pool.

• A faixa de porta no pool de NAT deve ser contígua.

• Preservar a paridade (Alocar portas com a mesma paridade que a porta original) não é suportada com a alocação de blocos de portas.

• A limitação do número de sessões abertas quando o limite especificado é atingido (para serviços de detecção de intrusão) e o número máximo de blocos que podem ser alocados em um endereço de usuário configurado para PBA seguro são funcionalidades independentes.

• A funcionalidade para preservar o alcance de portas privilegiadas após a tradução não é suportada. Os blocos são atribuídos a partir da faixa de porta desprivilegiada (1024-65535). Para portas em intervalos privilegiados, o método de alocação de blocos de porta não é aplicável.

• A eficiência de uso das portas é menor quando a alocação de blocos de porta é habilitada. O PBA não usa portas de 0-1023 de um endereço IP NAT.

• Se você configurar o método de atribuição automática de portas, que permite a atribuição sequencial de portas, a porta varia de 1024 a 65535 está disponível para alocação aos usuários.

• Os blocos de porta podem começar em qualquer porta de partida que você possa configurar.

• O número de portas usadas depende do tamanho do bloco e o restante das portas não são usadas.

• Um pool sobrecarregado, que indica um pool de endereços que pode ser usado se o pool de origem se esgotar, não é suportado com PBA seguro.

• Os endereços IP NAT do pool de PBA não devem se sobrepor a nenhum outro pool. Embora não seja realizada uma validação para identificar se existe alguma sobreposição de pools, você deve garantir que os endereços de um pool usado para PBA não sejam usados em outros pools. Essa condição ocorre porque alguns usuários exigem que o pool de sobrecarga use os mesmos endereços IP que os de endereços IP NAT, mas uma faixa de porta diferente do pool de PBA para oferecer suporte à funcionalidade de agrupamento de endereços em pares (APP).

• O tamanho do bloco é fixo por pool de NAT e é configurável no nível do pool de NAT. Vários blocos de porta podem ser alocados em um endereço IP privado.

• Você pode configurar o número máximo de blocos por grupo por assinante, incluindo a max-blocks-per-user max-blocks declaração no nível de [edit services nat pool pool-name port secured-port-block-allocation] hierarquia. Se um assinante corresponde a dois pools, esse usuário em particular pode ser alocado no máximo de blocos de porta que equivalem à soma do número máximo de blocos de porta para cada pool para esse assinante. Novas solicitações para portas NAT chegam apenas do bloco ativo atual.

• As portas podem ser alocadas aleatoriamente a partir do bloco ativo atual, que especifica se as portas devem ser alocadas sequencialmente ou aleatoriamente dentro do bloco de porta.

• Um bloco está ativo para um intervalo de tempo limite que você pode definir, incluindo o active-block-timeout timeout-seconds nível de [edit services nat pool pool-name port secured-port-block-allocation] hierarquia. Após o período de intervalo, um novo bloco é alocado mesmo se as portas estiverem disponíveis no bloco ativo. O tempo limite padrão de um bloco ativo é de 120 segundos. Quando você o configura como 0 (infinito), o bloco ativo faz a transição para inativo apenas quando ele fica sem portas e um novo bloco é alocado.

• Se o número máximo de blocos for excedido e uma nova solicitação for recebida, o bloco ativo será transferido para um bloco que contém portas disponíveis. Qualquer bloco não ativo sem nenhuma porta em uso é liberado para o pool de NAT.

• Além de rastrear blocos de porta atribuídos a cada endereço IP privado, as portas reais em uso também são computadas e mantidas. Essa métrica é usada para calcular a eficiência de uso da porta.

• Uma mensagem de syslog é gerada para cada alocação e versão de blocos. O formato da mensagem é semelhante às mensagens gravadas para alocação e liberação de portas individuais.

• A taxa de configuração de sessão é a mesma ou ligeiramente melhorada do que a taxa de configuração de alocação não em blocos existente. O pool de NAT usando o método de alocação de portas de blocos pode ter intervalos parciais de portas. Se o endereço for usado para o encaminhamento de portas, essas portas podem ser removidas da faixa de porta do pool. Você pode configurar intervalos parciais de portas usando a port range low minimum-value high maximum-value random-allocation declaração no nível de [edit services nat pool nat-pool-name] hierarquia. A alocação de blocos de porta funciona da mesma maneira que o NAPT44 para tráfego de TCP, UDP e ICMP.

• A aleatoriedade pode ser alcançada alocando portas aleatoriamente dentro do bloco e alterando o bloco ativo periodicamente. O bloco de portas não contém portas aleatórias (as portas dentro do bloco são sequenciais). Esse recurso é suportado com interfaces agregadas de multisserviços (ams).

• O número de porta inicial é calculado de forma diferente nos pacotes de microkernel e no Junos OS Extension-Provider. No microkernel, a porta de partida ou primeira é a mais próxima do tamanho do bloco após 1023. Nessa implementação, mais portas são desperdiçadas porque as portas são desperdiçadas no início e no final da faixa de porta, dependendo do tamanho do bloco. Nos pacotes de provedores de extensão do Junos OS, a porta de partida de um bloco não está restrita a vários do tamanho do bloco. A porta de partida pode começar no limite mais baixo do alcance da porta configurada.