Attribution de blocs de ports sécurisés

L’attribution par bloc de ports sécurisés garantit que lorsqu’un abonné a besoin qu’un port lui soit attribué pour la première fois, un bloc de ports est attribué à l’utilisateur concerné. Ici, un abonné est défini de manière unique comme une adresse IP privée et un ID d’ensemble de services. Étant donné que l’abonné dispose d’un bloc de ports qui lui est affecté, toutes les demandes ultérieures de cet abonné utilisent les ports du bloc affecté. Un nouveau bloc de port est alloué lorsque le bloc actif actuel est épuisé ou après l’expiration de l’intervalle de délai d’expiration du bloc de port actif. Vous pouvez configurer le nombre maximum de blocs alloués à un utilisateur. Ce comportement d’allocation de ports NAT en blocs est différent de l’utilitaire NAT traditionnel où la demande d’un port alloue un seul port et non un groupe de ports dans un bloc.

Vous pouvez utiliser le mécanisme d’attribution de blocs de ports sécurisés pour allouer des ports dans des blocs de type NAPT44 (traduction d’une adresse IPv4 en adresse IPv4) et NAT64 (traduction d’une adresse IPv6 en adresse IPv4). En utilisant l’allocation sécurisée de blocs de ports, l’utilisation des ports peut être un peu inefficace, en fonction des modèles de trafic. L’attribution sécurisée de blocs de ports est prise en charge sur les routeurs MX Series avec MS-DPC et sur les routeurs M Series avec MS-100, MS-400 et MS-500 MultiServices PICS. À partir de la version 14.2R2 de Junos OS, l’attribution de ports sécurisés est prise en charge sur les routeurs MX Series avec MS-MPC et MS-MIC.

À partir de la version 15.1 de Junos OS, dans un environnement utilisant Junos Address Aware (NAT de classe opérateur), les fournisseurs de services ou les opérateurs d’opérateurs peuvent surveiller et suivre la consommation des ressources et des types de services utilisés par les abonnés ou les utilisateurs de manière plus simple et efficace en utilisant les messages de journalisation du système enregistrés pour l’attribution des ports aux clients. En utilisant les adresses IP dans les journaux RADIUS ou DHCP, une évaluation des journaux est effectuée pour analyser et déterminer l’utilisation des services et la consommation de bande passante par les abonnés. Avec le NAT de classe opérateur, étant donné que les adresses IP sont partagées par plusieurs abonnés, l’examen des journaux pour suivre les adresses IP et les ports qui font partie des journaux système peut être long et difficile. En outre, étant donné que les ports sont alloués et libérés à intervalles fréquents en fonction de la connexion et de la fermeture des sessions d’abonnés, un grand nombre de journaux sont déclenchés pour chaque allocation et désallocation de port. Par conséquent, un nombre excessif de syslogs complique l’archivage et la corrélation des journaux pour identifier un abonné. Vous pouvez maintenant allouer des ports en blocs, ce qui réduit considérablement le nombre de syslogs.

Gardez à l’esprit les points suivants lorsque vous configurez un PBA sécurisé :

• La taille des blocs n’est pas configurable au niveau de la règle NAT.

• L’augmentation du taux de configuration des sessions n’est pas affectée lorsque vous configurez le PBA sécurisé.

• Si un bloc d’une taille particulière n’est pas disponible, un message de ports manquants s’affiche et les blocs de plus petite taille ne sont pas alloués alternativement dans un tel scénario.

• Les adresses du pool utilisant la méthode port-block-allocation ne peuvent être utilisées dans aucun autre pool.

• La plage de ports du pool NAT doit être contiguë.

• Préserver la parité (allouer des ports avec la même parité que le port d’origine) n’est pas pris en charge avec l’allocation par bloc de ports.

• La limitation du nombre de sessions ouvertes lorsque le seuil spécifié est atteint (pour les services de détection d’intrusion) et le nombre maximal de blocs pouvant être alloués à une adresse utilisateur configurée pour les PBA sécurisés sont des fonctionnalités indépendantes.

• La fonctionnalité permettant de conserver la plage de ports privilégiés après la traduction n’est pas prise en charge. Les blocs sont attribués à partir d’une plage de ports non privilégiés (1024-65535). Pour les ports dans la plage privilégiée, la méthode d’attribution du bloc de ports n’est pas applicable.

• L’efficacité d’utilisation des ports est plus faible lorsque l’allocation de blocs de ports est activée. PBA n’utilise pas de ports de 0 à 1023 d’une adresse IP NAT.

• Si vous configurez la méthode d’attribution automatique des ports, qui permet l’attribution séquentielle des ports, la plage de ports de 1024 à 65535 est disponible pour l’allocation aux utilisateurs.

• Les blocs de ports peuvent commencer à partir de n’importe quel port de départ que vous pouvez configurer.

• Le nombre de ports utilisés dépend de la taille du bloc et le reste des ports ne doit pas être utilisé.

• Un pool surchargé, qui indique un pool d’adresses qui peut être utilisé si le pool source est épuisé, n’est pas pris en charge avec les PBA sécurisés.

• Les adresses IP NAT du pool PBA ne doivent pas chevaucher un autre pool. Bien qu’aucune validation ne soit effectuée pour identifier s’il existe des pools qui se chevauchent, vous devez vous assurer que les adresses d’un pool utilisé pour PBA ne sont pas utilisées dans d’autres pools. Cette condition est due au fait que certains utilisateurs ont besoin que le pool de surcharge utilise les mêmes adresses IP que celles des adresses IP NAT, mais une plage de ports différente du pool PBA pour prendre en charge la fonctionnalité de mise en commun d’adresses jumelées (APP).

• La taille de bloc est fixe par pool NAT et est configurable au niveau du pool NAT. Plusieurs blocs de ports peuvent être alloués à une adresse IP privée.

• Vous pouvez configurer le nombre maximal de blocs par pool et par abonné en incluant l’instruction max-blocks-per-user max-blocks au niveau de la [edit services nat pool pool-name port secured-port-block-allocation] hiérarchie. Si un abonné correspond à deux pools, cet utilisateur particulier peut se voir attribuer un nombre maximal de blocs de ports égal à la somme du nombre maximal de blocs de ports pour chaque pool pour cet abonné. Les nouvelles demandes de ports NAT proviennent uniquement du bloc actif actuel.

• Les ports peuvent être alloués de manière aléatoire à partir du bloc actif actuel, qui spécifie si les ports doivent être attribués de manière séquentielle ou aléatoire dans le bloc de ports.

• Un bloc est actif pendant un intervalle de délai d’attente que vous pouvez définir en incluant le active-block-timeout timeout-seconds au niveau de la [edit services nat pool pool-name port secured-port-block-allocation] hiérarchie. Après le délai d’expiration, un nouveau bloc est alloué même si des ports sont disponibles dans le bloc actif. Le délai d’expiration par défaut d’un bloc actif est de 120 secondes. Lorsque vous le configurez sur 0 (infini), le bloc actif ne devient inactif que lorsqu’il manque de ports et qu’un nouveau bloc est alloué.

• Si le nombre maximal de blocs de blocs est dépassé et qu’une nouvelle demande est reçue, le bloc actif est déplacé vers un bloc contenant des ports disponibles. Tout bloc non actif sans aucun port utilisé est libéré dans le pool NAT.

• Outre le suivi des blocs de ports attribués à chaque adresse IP privée, les ports réellement utilisés sont également calculés et maintenus. Cette métrique est utilisée pour calculer l’efficacité d’utilisation des ports.

• Un message syslog est généré pour chaque allocation et libération de bloc. Le format du message est similaire à celui des messages enregistrés pour l’attribution et la libération de ports individuels.

• Le taux d’installation de session est identique ou légèrement amélioré par rapport au taux d’installation existant sans attribution de blocs. Un pool NAT utilisant la méthode d’allocation de ports par bloc peut avoir des plages de ports partielles. Si l’adresse est utilisée pour le transfert de ports, ces ports peuvent être supprimés de la plage de ports du pool. Vous pouvez configurer des plages de ports partielles à l’aide de l’instruction port range low minimum-value high maximum-value random-allocation au niveau de la [edit services nat pool nat-pool-name] hiérarchie. L’attribution des blocs de ports fonctionne de la même manière que le NAPT44 pour le trafic TCP, UDP et ICMP.

• Le caractère aléatoire peut être obtenu en allouant des ports de manière aléatoire dans le bloc et en changeant périodiquement le bloc actif. Le bloc de ports ne contient pas de ports aléatoires (les ports qu’il contient sont séquentiels). Cette capacité est prise en charge par les interfaces multiservices agrégés (ams).

• Le numéro de port de départ est calculé différemment dans le micronoyau et dans les packages Extension-Provider de Junos OS. Dans le micro-noyau, le port de départ ou le premier port est le multiple le plus proche de la taille du bloc après 1023. Dans cette implémentation, davantage de ports sont gaspillés car les ports sont gaspillés au début et à la fin de la plage de ports en fonction de la taille des blocs. Dans les packages Extension-Provider de Junos OS, le port de départ d’un bloc n’est pas limité à un multiple de la taille du bloc. Le port de départ peut commencer à la limite inférieure de la plage du port configuré.