安全端口块分配 临时日志记录

使用端口块分配时，我们为订阅者分配的每组端口生成一个系统日志。这些日志基于 UDP，可能会在网络中丢失，特别是对于长时间运行的流。对于在至少一个区块端口上有流量的活动区块，临时日志记录会触发以配置的时间间隔重新发送上述日志。根据您的网络拓扑，您可以根据存档的周期设置端口块分配日志的时间间隔，以便每个存档中的每个端口块（对于活动流）至少存在一个日志。

要在服务接口级别配置适用于该 ms 接口上的所有 NAT 池的临时日志记录间隔，请在[edit interfaces ms-fpc/pic/port services-options]层次结构级别包含该pba-interim-logging-interval seconds语句。配备 MS-DPC 的 MX 系列路由器以及配备 MS-100、MS-400 和 MS-500 多服务 PIC 的 M Series 路由器支持该pba-interim-logging-interval选项。从 Junos OS 14.2R2 版开始，配备 MS-MPC 和 MS-MIC 的 MX 系列路由器支持该pba-interim-logging-interval选项。

从 Junos OS 15.1R1 版开始，您还可以在 NAT 池级别配置临时日志记录间隔。此功能仅在具有 MS-MPC 和 MS-MIC 的 MX 系列路由器上受支持。要在 NAT 池级别配置临时日志记录间隔，请在[edit services nat pool pool-name port secured-port-block-allocation]层次结构级别包含interim-logging-interval seconds语句。您可以为临时日志记录频率指定一个介于 0 到 86400 秒之间的值。

为安全端口块分配配置临时日志记录间隔时，请遵守以下准则：

• 仅当配置了临时日志记录功能时，才会启用临时日志记录。 pba-interim-logging-interval 提供可在 ms-interface 的 [edit interfaces ms-fpc/pic/port services-options] 层次结构级别配置的语句是为了向后兼容。配备 MS-DPC 的 MX 系列路由器以及配备 MS-100、MS-400 和 MS-500 多服务 PIC 的 M Series 路由器支持该 pba-interim-logging-interval 选项。从 Junos OS 14.2R2 版开始，配备 MS-MPC 和 MS-MIC 的 MX 系列路由器支持该 pba-interim-logging-interval 选项。

  interim-logging-interval从 Junos OS 15.1R1 版开始，可用于在 MS-MPC 和 MS-MIC 上进行配置的语句为特定的 NAT 池提供临时日志记录。

• 如果将临时日志记录功能配置为适用于驻留在该特定服务接口上的所有 PBA 池，并将临时日志记录功能配置为适用于特定 PBA 池，则特定于 NAT 池的时间间隔优先于特定于服务接口的时间间隔。对于从其他 PBA 池分配的端口块，如果未在 NAT 池级别配置临时日志记录间隔，则应用在 ms 接口级别配置的日志记录间隔值。

• 默认值为零，表示未生成任何临时日志记录消息。

• 在配置的时间段之后，将随时发送临时日志（以秒为单位）。两个日志的日志记录间隔之间的时差不是固定的。

• 为包含至少一个由具有流量的流使用的端口的端口块（活动和非活动）生成临时日志。端口块上不运行计时器控件来生成日志。在流上收到数据包时，将执行验证以生成临时日志。如果满足条件，将为该端口块生成临时日志。不会为已删除的端口块生成临时日志。

• 临时日志包含十六进制格式的端口块创建时间戳（设置本地时间时，十六进制值以 UTC 格式提供时间）。

• 必要时，可以在外部系统日志服务器中执行时间戳到 UTC 格式的转换。

• 在某些情况下，十六进制值的时间戳和 ALLOC 消息中的实际时间戳可能会相差几秒钟。出现此现象的原因是，系统日志机制在读取时间（如系统日志中所示）和 NAT 应用程序读取时间（以在订阅者上下文中更新 ALLOC 时间）时存在细微差异PORT_BLOCK_ALLOC。临时系统日志显示从订阅者上下文中检索到的 ALLOC 时间。

• 由于这些日志是在 CPU 计算时和快速路径中生成的，因此仅当发生日志生成时，才可能会观察到对快速路径性能的轻微影响。

• 十六进制端口块创建时间戳保存在JSERVICES_NAT_PORT_BLOCK_RELEASE消息中，即使不存在临时日志记录也是如此。

• 如果在流量流进行时定义日志记录间隔，则此功能将对现有流和新流生效。您无需重新启动 MIC，也无需激活和停用服务集。

• 如果流或订阅者超时，则表示未看到此五元组数据或该特定订阅者的新数据包或流量。在这种情况下，不会生成临时日志。

• 如果临时日志记录间隔低于流的非活动超时，则在流超时且临时日志记录间隔已过时，不会观察到临时日志。如果临时日志记录间隔小于订阅者超时值，则当订阅者超时且临时日志记录间隔已过时，不会观察到临时日志。例如，如果将非活动超时配置为 2500 秒，并将临时日志记录配置为 1800 秒，则在流超时时，会出现一个时间点，即自在此流上看到最后一个数据包以来已过去 1800 秒，并且在这种情况下不会生成临时日志。

• 为配置了 PBA 的池记录临时日志。如果服务网络处理单元 （NPU） 上不存在 PBA 配置的池，则即使启用临时日志记录功能，也不会保存临时日志。

• 对于需要生成日志的时间间隔，您只能配置一定范围的值，例如 0、[1800、86400]。

• 您可以通过在包含带有 PBA 池的 NAT 规则的[edit system]和 [edit services service-sets service-set name nat rule rule-name term term-name then] 层次结构级别使用 syslog 语句来启用系统日志的生成。如果系统上未启用系统日志记录，则不会触发临时日志。

• 我们建议您将临时日志记录间隔配置为高于已建立流的非活动超时期限。此外，我们建议您将临时日志记录间隔配置为高于订阅者超时值。配置端点无关映射 （EIM） 时，临时日志记录间隔必须高于地址池配对 （APP） 超时和 EIM 超时值的总和。

• 日志以明文格式传输，类似于服务 PIC 不加密的其他日志消息。假定日志的传输和日志收集器的定位在安全域内。由于消息不包含用户名或密码等敏感详细信息，因此不会导致任何安全或可靠性风险。日志消息生成量增加不会导致日志泛滥，因为日志记录的频率可以根据网络拓扑、流量级别和监控需求进行配置。

• 微内核中 PBA 的日志以前缀 ASP_* 开头。这些日志已经修改为以前缀 JSERVICES_* 开头。以下是微内核中 PBA 以及设备上安装和配置的 Junos OS 扩展提供程序包的系统日志示例。

  Microkernel: 1970-01-01 00:32:36 {nat64}[FWNAT]:ASP_NAT_PORT_BLOCK_ACTIVE: 2001:db8:0:0:0:0:0:2 -> 10.1.1.1:1050-1091 0x6f

  Junos OS Extension-Provider (eJunos): 1970-01-01 00:32:36 {nat64}[FWNAT]:JSERVICES_NAT_PORT_BLOCK_ACTIVE: 2001:db8:0:0:0:0:0:2 -> 10.1.1.1:1050-1091 0x6f

• 此外，根据是希望系统日志设置应用于设备上的所有 NAT 池，还是适用于特定的 NAT 池，可以指定每个 NAT 池的临时日志记录间隔，而不是每个 MS-PIC 的全局配置。对于 NAT，成员接口必须配置 jservices-nat 软件包。为 PBA 配置临时日志记录时，将生成JSERVICES_NAT_PORT_BLOCK_ACTIVE系统日志记录消息。以下示例日志表示在将临时间隔设置为 1800 秒时生成的日志消息。您可以注意到，连续中期日志之间的时间戳超过 1800 秒。

• 从 Junos OS 版 19.3R1 开始，当您配置 128 以外的软线前缀时，所有JSERVICES_NAT_PORT_BLOCK日志现在都会显示带前缀的 B4 地址。修改了以下JSERVICES_NAT_PORT_BLOCK：

  • JSERVICES_NAT_PORT_BLOCK_ALLOC

  • JSERVICES_NAT_PORT_BLOCK_RELEASE

  • JSERVICES_NAT_PORT_BLOCK_ACTIVE

  在早期的 Junos OS 版本中，当配置了软线前缀时，JSERVICES_NAT_PORT_BLOCK日志中显示的某些 B4 地址为 /128 地址。例如，在配置 /56 前缀时，端口块系统日志会显示以下 B4 地址：

  • JSERVICES_NAT_PORT_BLOCK_ALLOC 显示第一个 B4 的 /128 B4 地址，该地址是从特定端口块分配端口的

  • JSERVICES_NAT_PORT_BLOCK_RELEASE 显示最后一个 B4 的 /128 B4 地址，该 B4 将其端口释放回端口块