安全端口块分配 临时日志记录

通过端口块分配，我们为分配给用户的每组端口生成一个系统日志。这些日志是基于 UDP 的，可能会在网络中丢失，特别是对于长时间运行的流量。临时日志记录会触发以配置的时间间隔重新发送上述日志，用于在块的至少一个端口上具有流量的活动块。根据您的网络拓扑，您可以根据存档的时间段设置端口块分配日志的时间间隔，以便每个存档中每个端口块（对于活动流）至少存在一个日志。

要在服务接口级别配置临时日志记录间隔（该间隔适用于该 ms- 接口上的所有 NAT 池），请在层次结构级别包含pba-interim-logging-interval seconds[edit interfaces ms-fpc/pic/port services-options]该语句。带有 MS-DPC 的 MX 系列路由器以及带有 MS-100、MS-400 和 MS-500 多服务 PIC 的 M Series 路由器支持该pba-interim-logging-interval选项。从 Junos OS 14.2R2 版开始，配备 MS-MPC 和 MS-MIC 的 MX 系列路由器支持该pba-interim-logging-interval选项。

从 Junos OS 15.1R1 版开始，您还可以在 NAT 池级别配置临时日志记录间隔。仅在具有 MS-MPC 和 MS-MIC 的 MX 系列路由器上支持此功能。要在 NAT 池级别配置临时日志记录间隔，请在层次结构级别包含interim-logging-interval seconds[edit services nat pool pool-name port secured-port-block-allocation]该语句。可以为临时日志记录频率指定一个从 0 到 86400 秒的值。

为安全端口块分配配置临时日志记录间隔时，请遵循以下准则：

• 仅当配置了临时日志记录功能时，才会启用临时日志记录。 pba-interim-logging-interval 为了向后兼容，提供了可在 ms-interface 层次结构级别上 [edit interfaces ms-fpc/pic/port services-options] 配置的语句。带有 MS-DPC 的 MX 系列路由器以及带有 MS-100、MS-400 和 MS-500 多服务 PIC 的 M Series 路由器支持该 pba-interim-logging-interval 选项。从 Junos OS 14.2R2 版开始，配备 MS-MPC 和 MS-MIC 的 MX 系列路由器支持该 pba-interim-logging-interval 选项。

  interim-logging-interval从 Junos OS 15.1R1 版开始，可用于在 MS-MPC 和 MS-MIC 上进行配置的语句提供特定 NAT 池的临时日志记录。

• 如果将临时日志记录功能配置为适用于驻留在该特定服务接口上的所有 PBA 池，并且将临时日志记录功能配置为适用于特定 PBA 池，则特定于 NAT 池的间隔将优先于服务接口的特定间隔。对于从其他 PBA 池分配的端口块，如果未为 NAT 池级别配置临时日志记录间隔，则应用在 ms- 接口级别配置的日志记录间隔值。

• 默认值为零，表示未生成临时日志记录消息。

• 在配置的时间段（以秒为单位）之后的任何时间发送临时日志。两个日志的日志记录间隔之间的时间差不是固定的。

• 为端口块（活动和非活动）生成临时日志，如果端口块至少有一个被有流量使用的端口正在使用。端口块上没有运行计时器控件来生成日志。在某个流中收到数据包时，将执行验证以生成临时日志。如果满足条件，将为该端口块生成临时日志。不会为已删除的端口块生成临时日志。

• 临时日志包含十六进制格式的端口块创建时间戳（设置本地时间时，十六进制值以 UTC 格式提供时间）。

• 根据需要，可以在外部系统日志服务器中执行时间戳到 UTC 格式的转换。

• 在某些情况下，以十六进制值表示的时间戳记与 ALLOC 消息中的实际时间戳记可能相差几秒钟。发生此行为的原因是，系统日志机制在读取时间（如PORT_BLOCK_ALLOC系统日志中所示）和应用程序读取时间（以更新用户上下文中的 ALLOC 时间）时包含细微NAT差异。临时系统日志显示从订阅者上下文中检索到的 ALLOC 时间。

• 由于这些日志是在 CPU 计算和快速路径中生成的，因此仅当生成日志时，才可能对快速路径性能产生轻微影响。

• 即使不存在临时日志记录，十六进制端口块创建时间戳也会保存在 JSERVICES_NAT_PORT_BLOCK_RELEASE 消息中。

• 如果在流量流进行时定义日志记录间隔，则此功能将对现有流量和新流量生效。您无需重新启动 MIC 或激活和停用服务集。

• 如果流量或订阅者超时，则表示此 5 元组数据或该特定订阅者未看到新数据包或流量流。在这种情况下，不会生成临时日志。

• 如果临时日志记录时间间隔小于流的非活动超时时间，则当流量超时且临时日志记录时间间隔已过时，不会观察到临时日志。如果临时日志记录间隔小于订阅者超时值，则当订阅服务器超时且中间日志记录间隔已过时，不会观察到临时日志。例如，如果将 inactivity-timeout 配置为 2500 秒，而将临时日志记录配置为 1800 秒，则当流量超时时，某个时间点距离此流上看到最后一个数据包已经过去了 1800 秒，并且在这种情况下不会生成临时日志。

• 为配置了 PBA 的池记录临时日志。如果存在池而服务网络处理单元 （NPU） 上没有 PBA 配置，则即使启用临时日志记录功能，也不会保存临时日志。

• 对于需要生成日志的时间间隔，您只能配置一系列值，例如 0、[1800， 86400]。

• 您可以在包含 PBA 池的 NAT 规则的层次结构级别使用 [edit system] [edit services service-sets service-set name nat rule rule-name term term-name then] syslog 语句来启用系统日志生成。如果系统上未启用系统日志记录，则不会触发临时日志。

• 建议将临时日志记录间隔配置为高于已建立流的不活动超时时间。此外，建议将临时日志记录间隔配置为高于订阅者超时值。配置端点无关映射 （EIM） 时，中间日志记录间隔必须高于地址池配对 （APP） 超时和 EIM 超时值的总和。

• 日志以明文格式传输，与服务 PIC 不加密的其他日志消息类似。假定日志的传输和日志收集器的定位都在安全领域内。由于邮件不包含用户名或密码等敏感详细信息，因此邮件不会造成任何安全或可靠性风险。日志消息的生成增加不会导致日志泛滥的可能性，因为可以根据网络拓扑、流量级别和监控需求配置日志记录频率。

• 微内核中的 PBA 日志以前缀 ASP_* 开头。这些日志已修改为以 JSERVICES_* 为前缀开头。以下是微内核中以及设备上安装和配置的 Junos OS 扩展提供程序包的 PBA 系统日志示例。

  Microkernel: 1970-01-01 00:32:36 {nat64}[FWNAT]:ASP_NAT_PORT_BLOCK_ACTIVE: 2001:db8:0:0:0:0:0:2 -> 10.1.1.1:1050-1091 0x6f

  Junos OS Extension-Provider (eJunos): 1970-01-01 00:32:36 {nat64}[FWNAT]:JSERVICES_NAT_PORT_BLOCK_ACTIVE: 2001:db8:0:0:0:0:0:2 -> 10.1.1.1:1050-1091 0x6f

• 此外，您还可以根据您希望系统日志设置应用于设备上的所有NAT池还是应用于特定的NAT池，指定每个NAT池的临时日志记录间隔，而不是每个 MS-PIC 的全局配置。对于 NAT，成员接口必须配置 jservices-nat 包。当您为 PBA 配置临时日志记录时，将生成 JSERVICES_NAT_PORT_BLOCK_ACTIVE 系统日志记录消息。以下示例日志表示在中间间隔设置为 1800 秒时生成的日志消息。您可以注意到，连续中期日志之间的时间戳超过 1800 秒。

• 从 Junos OS 19.3R1 版开始，当您配置 128 以外的软线前缀时，所有 JSERVICES_NAT_PORT_BLOCK 日志现在都会显示前缀 B4 地址。修改了以下 JSERVICES_NAT_PORT_BLOCK：

  • JSERVICES_NAT_PORT_BLOCK_ALLOC

  • JSERVICES_NAT_PORT_BLOCK_RELEASE

  • JSERVICES_NAT_PORT_BLOCK_ACTIVE

  在早期的 Junos OS 版本中，配置软线前缀时，JSERVICES_NAT_PORT_BLOCK 日志中显示的某些 B4 地址是 /128 地址。例如，配置 /56 前缀时，端口块系统日志会显示以下 B4 地址：

  • JSERVICES_NAT_PORT_BLOCK_ALLOC 显示第一个 B4 的 /128 B4 地址，该地址从特定端口块分配了端口

  • JSERVICES_NAT_PORT_BLOCK_RELEASE 显示最后一个 B4 的 /128 B4 地址，该地址将其端口释放回端口块