セキュア ポート ブロック割り当て暫定ロギング

ポートブロックの割り当てにより、加入者に割り当てられたポートのセットごとに1つのsyslogログが生成されます。これらのログはUDPベースであり、特に実行時間の長いフローの場合、ネットワークで失われる可能性があります。暫定ロギングは、ブロックの少なくとも1つのポートにトラフィックがあるアクティブブロックに対して、設定された間隔で上記のログを再送信するようにトリガーします。ネットワーク トポロジによっては、アーカイブの期間に基づいてポート ブロック割り当てログの間隔を設定し、各アーカイブにポート ブロックごとに少なくとも 1 つのログ(アクティブ フローの場合)が存在するようにすることができます。

そのms-インターフェイス上のすべてのNATプールに適用されるサービスインターフェイスレベルで暫定ロギング間隔を設定するには、[edit interfaces ms-fpc/pic/port services-options]階層レベルでpba-interim-logging-interval secondsステートメントを含めます。pba-interim-logging-intervalオプションは、MS-DPCを搭載したMXシリーズルーターと、MS-100、MS-400、MS-500マルチサービスPICを搭載したM Seriesルーターでサポートされています。pba-interim-logging-interval オプションは、リリース 14.2R2 以降の MS-MPC および MS-MIC を搭載した MX シリーズ ルーター Junos OSサポートされています。

Junos OS リリース 15.1R1 以降では、NAT プール レベルで暫定ロギング間隔を設定することもできます。この機能は、MS-MPCおよびMS-MICを搭載したMXシリーズ ルーターでのみサポートされています。NAT プールレベルで暫定ロギング間隔を設定するには、[edit services nat pool pool-name port secured-port-block-allocation]階層レベルでinterim-logging-interval secondsステートメントを含めます。暫定ロギング頻度には、0 秒から 86400 秒までの値を指定できます。

セキュア ポート ブロック割り当ての暫定ロギング間隔を設定する場合は、次のガイドラインに従ってください。

• 暫定ロギングは、仮ロギング機能が設定されている場合にのみ有効になります。ms-interface の [edit interfaces ms-fpc/pic/port services-options] 階層レベルで設定できる pba-interim-logging-interval ステートメントは、後方互換性のために提供されています。pba-interim-logging-intervalオプションは、MS-DPCを搭載したMXシリーズルーターと、MS-100、MS-400、MS-500マルチサービスPICを搭載したM Seriesルーターでサポートされています。pba-interim-logging-interval オプションは、リリース 14.2R2 以降の MS-MPC および MS-MIC を搭載した MX シリーズ ルーター Junos OSサポートされています。

  リリース 15.1R1 以降の MS-MPC および MS-MIC で設定可能な interim-logging-interval ステートメントはJunos OS特定のNAT プールの仮ロギングを提供します。

• その特定のサービス インターフェイスに存在するすべての PBA プールに暫定ロギング機能を適用し、特定の PBA プールの仮ロギング機能を設定すると、NAT プール固有の間隔がサービス インターフェイス固有の間隔よりも優先されます。NAT プールレベルでの暫定ロギング間隔が設定されていない他の PBA プールから割り当てられたポート ブロックには、ms- インターフェイス レベルで設定されたロギング間隔値が適用されます。

• デフォルト値はゼロで、仮ロギング・メッセージが生成されないことを示します。

• 暫定ログは、設定された秒単位の時間が経過すると、いつでも送信されます。2つのログのロギング間隔間の時間差は固定されていません。

• 暫定ログは、トラフィックを持つフローによって使用されているポートが少なくとも1つ含まれているポートブロック(アクティブと非アクティブの両方)に対して生成されます。ログを生成するためのタイマー コントロールは端子ブロックで実行されません。フローでパケットを受信すると、検証が実行され、中間ログが生成されます。条件が満たされると、そのポート ブロックの中間ログが生成されます。削除されたポート ブロックの暫定ログは生成されません。

• 暫定ログには、ポート ブロック作成のタイムスタンプが 16 進形式で含まれます(現地時間が設定されている場合、16 進数値は UTC 形式で時刻を提供します)。

• タイムスタンプの UTC 形式への変換は、必要に応じて外部 syslog サーバで実行できます。

• 特定のシナリオでは、16進数値のタイム・スタンプとALLOCメッセージの実際のタイム・スタンプが数秒異なる可能性があります。この動作は、syslog メカニズムが時刻を読み取るとき(PORT_BLOCK_ALLOC syslog に見られるように)と NAT アプリケーションが時刻を読み取るとき(加入者コンテキストの ALLOC 時間を更新するため)にわずかな違いが含まれているために発生します。暫定システムログには、加入者コンテキストから取得したALLOC時間が表示されます。

• これらのログは CPU 計算時および高速パスで生成されるため、ログの生成が発生したときにのみ、高速機能のパフォーマンスにわずかな影響が見られる場合があります。

• 暫定ロギングが存在しない場合でも、16進数でのポートブロック作成タイムスタンプはJSERVICES_NAT_PORT_BLOCK_RELEASEメッセージに保存されます。

• トラフィックフローの進行中にロギング間隔を定義すると、この機能は既存および新規のフローに対して有効になります。MICを再起動したり、サービス セットを有効または無効にしたりする必要はありません。

• フローまたは加入者がタイムアウトする場合、この 5 タプル データまたはその特定の加入者に対して新しいパケットまたはトラフィック フローが見られないことを示します。この場合、暫定ログは生成されません。

• 暫定ログ間隔がフローの非アクティブ タイムアウトよりも短い場合、フローがタイムアウトして暫定ログ間隔が経過しても、中間ログは観測されません。interim-logging 間隔が subscriber-timeout 値よりも短い場合、加入者がタイムアウトして interim-logging 間隔が経過しても、暫定ログは観察されません。たとえば、inactivity-timeout が 2500 秒に設定され、暫定ログが 1800 秒に設定されている場合、フローがタイムアウトすると、このフローで最後のパケットが確認されてから 1800 秒が経過した時点があり、この場合、中間ログは生成されません。

• 暫定ログは、PBA が構成されているプールに対して記録されます。サービスネットワーク処理装置(NPU)にPBA設定が存在しないプールが存在する場合は、仮ログ機能を有効にしても中間ログは保存されません。

• ログを生成する必要がある間隔には、0、[1800、86400]などの値の範囲のみを設定できます。

• PBAプールを持つNATルールを含む[edit system]および[edit services service-sets service-set name nat rule rule-name term term-name then]階層レベルでsyslogステートメントを使用して、syslogの生成を有効にできます。システムで syslog の記録が有効になっていない場合、中間ログはトリガーされません。

• 暫定ログの間隔は、確立されたフローの非アクティブ タイムアウト期間よりも長く設定することをお勧めします。また、暫定ログの間隔を subscriber-timeout 値よりも長く設定することをお勧めします。エンドポイント非依存マッピング (EIM) が構成されている場合、暫定ロギング間隔は、アドレス・プーリング・ペア (APP) タイムアウト値と EIM タイムアウト値の合計より大きくなければなりません。

• ログの送信は、サービスPICが暗号化しない他のログメッセージと同様のクリアテキスト形式で行われます。ログのトランスポートとログ・コレクターの配置は、セキュア・レルム内にあることを前提としています。メッセージにはユーザー名やパスワードなどの機密性の高い情報が含まれていないため、メッセージによってセキュリティや信頼性のリスクが生じることはありません。ログ メッセージの生成が増加しても、ログの頻度はネットワーク トポロジ、トラフィック レベル、および監視ニーズに応じて設定できるため、ログ メッセージの生成が増加しても、ログが大量に発生する可能性はありません。

• マイクロカーネルのPBAのログは、ASP_*のプレフィックスで始まります。これらのログは、JSERVICES_* のプレフィックスで始まるように変更されています。以下は、マイクロカーネル内、およびJunos OS Extension-Providerパッケージがデバイスにインストールされ、構成されている場合のPBAのシステムログの例です。

  Microkernel: 1970-01-01 00:32:36 {nat64}[FWNAT]:ASP_NAT_PORT_BLOCK_ACTIVE: 2001:db8:0:0:0:0:0:2 -> 10.1.1.1:1050-1091 0x6f

  Junos OS Extension-Provider (eJunos): 1970-01-01 00:32:36 {nat64}[FWNAT]:JSERVICES_NAT_PORT_BLOCK_ACTIVE: 2001:db8:0:0:0:0:0:2 -> 10.1.1.1:1050-1091 0x6f

• また、syslog設定をデバイス上のすべてのNATプールに適用するか、特定のNAT プールに適用するかに基づいて、MS-PICごとのグローバル設定ではなく、NAT プールごとの暫定ロギング間隔を指定できます。NATの場合、メンバー・インタフェースにjservices-natパッケージが構成されている必要があります。JSERVICES_NAT_PORT_BLOCK_ACTIVE システム ロギング メッセージは、PBA の暫定ロギングを設定すると生成されます。次のサンプルログは、暫定間隔を1800秒に設定して生成されたログメッセージを示しています。連続する中間ログ間のタイムスタンプが 1800 秒を超えていることがわかります。

• Junos OSリリース 19.3R1 以降、128 以外のソフトワイヤ プレフィックスを設定すると、すべての JSERVICES_NAT_PORT_BLOCK ログにプレフィックス B4 アドレスが表示されるようになりました。以下のJSERVICES_NAT_PORT_BLOCKが変更されます。

  • JSERVICES_NAT_PORT_BLOCK_ALLOC

  • JSERVICES_NAT_PORT_BLOCK_RELEASE

  • JSERVICES_NAT_PORT_BLOCK_ACTIVE

  以前の Junos OS リリースでは、ソフトワイヤ プレフィックスが設定されていた場合、JSERVICES_NAT_PORT_BLOCK ログに表示される B4 アドレスの一部が /128 アドレスでした。たとえば、/56 プレフィックスが設定されていた場合、ポート ブロックの syslog には次の B4 アドレスが表示されました。

  • JSERVICES_NAT_PORT_BLOCK_ALLOCには、特定のポート ブロックからポートが割り当てられた最初の B4 の /128 B4 アドレスが表示されました

  • JSERVICES_NAT_PORT_BLOCK_RELEASEは、ポートを解放してポートブロックに戻した最後のB4の/128 B4アドレスを表示しました