Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

セキュアポートブロック割り当て暫定ログ

セキュアポートブロック割り当てのための暫定ログ記録

ポートブロックの割り当てでは、加入者に割り当てられたポートのセットごとに1つのsyslogログを生成します。これらのログはUDPベースであり、特に長時間実行されるフローの場合、ネットワークで失われる可能性があります。暫定ログは、ブロックの少なくとも1つのポートにトラフィックがあるアクティブブロックに対して、設定された間隔で上記のログを再送信するようにトリガーします。ネットワークトポロジーによっては、アーカイブの期間に基づいてポートブロック割り当てログの間隔を設定し、各アーカイブのポートブロックごとに(アクティブなフローの場合)少なくとも1つのログが存在するようにすることができます。

そのms-インターフェイス上のすべてのNATプールに適用される、サービスインターフェイスレベルで暫定ログ間隔を設定するには、[edit interfaces ms-fpc/pic/port services-options]階層レベルでpba-interim-logging-interval secondsステートメントを含めます。pba-interim-logging-intervalオプションは、MS-DPCを搭載したMXシリーズルーター、およびMS-100、MS-400、MS-500マルチサービスPICを搭載したM Seriesルーターでサポートされています。pba-interim-logging-intervalオプションは、リリース14.2R2以降、MS-MPCおよびMS-MIC搭載Junos OS MXシリーズルーターでサポートされています。

Junos OSリリース15.1R1以降、NATプールレベルで暫定ログ間隔を設定することもできます。この機能は、MS-MPCおよびMS-MICを搭載したMXシリーズルーターでのみサポートされています。NATプールレベルで暫定ログ間隔を設定するには、[edit services nat pool pool-name port secured-port-block-allocation]階層レベルでinterim-logging-interval secondsステートメントを含めます。中間ログ頻度には、0秒から86400秒までの値を指定できます。

Iterim ロギングの利点

  • 現在使用されているポートブロックを特定できます

  • 外部IPアドレスとポートを使用している内部ホストを特定するために、アーカイブされたログを検索して分析する必要がなくなります

関連項目

セキュアポートブロック割り当てのための暫定ログ設定ガイドライン

セキュアポートブロック割り当ての暫定ログ間隔を設定する場合は、以下のガイドラインに従ってください。

  • 暫定ログは、暫定ログ機能が設定されている場合にのみ有効になります。後方互換性のために、ms-interface の[edit interfaces ms-fpc/pic/port services-options]階層レベルで設定できる pba-interim-logging-interval ステートメントが用意されています。pba-interim-logging-intervalオプションは、MS-DPCを搭載したMXシリーズルーター、およびMS-100、MS-400、MS-500マルチサービスPICを搭載したM Seriesルーターでサポートされています。pba-interim-logging-intervalオプションは、リリース14.2R2以降、MS-MPCおよびMS-MIC搭載Junos OS MXシリーズルーターでサポートされています。

    リリース15.1R1以降のMS-MPCおよびMS-MICで設定に使用できる interim-logging-interval ステートメントJunos OS、特定のNATプールの暫定ログを提供します。

  • その特定のサービスインターフェイス上に存在するすべてのPBAプールに適用可能に中間ログ機能を設定し、特定のPBAプールに対して中間ログ機能を設定すると、NATプール固有の間隔がサービスインターフェイス固有の間隔よりも優先されます。他のPBAプールから割り当てられたポートブロックのうち、NATプールレベルでの暫定ロギング間隔が設定されていない場合は、ms-interfaceレベルで設定されたログ間隔値が適用されます。

  • デフォルト値はゼロで、中間ログメッセージが生成されないことを示します。

  • 中間ログは、設定された期間が経過した後であれば秒単位で送信されます。2つのログのロギング間隔間の時間差は固定されません。

  • 中間ログは、トラフィックのあるフローで使用中のポートが少なくとも 1 つを含むポート ブロック(アクティブと非アクティブの両方)に対して生成されます。ログを生成するためのタイマー制御はポートブロックで実行されません。フローでパケットを受信すると、検証が実行され、中間ログが生成されます。条件が満たされると、そのポートブロックに対して中間ログが生成されます。削除されたポートブロックの場合、中間ログは生成されません。

  • 中間ログには、ポートブロック作成のタイムスタンプが16進形式で含まれています(現地時間が設定されている場合、16進数値はUTC形式で時刻を提供します)。

  • タイムスタンプのUTC形式への変換は、必要に応じて外部syslogサーバーで実行できます。

  • 特定のシナリオでは、16進数値のタイムスタンプとALLOCメッセージの実際のタイムスタンプが数秒異なることがあります。この動作は、syslogメカニズムが時刻を読み取るとき(syslogに見られるように)とアプリケーションが時刻を読み取る時刻(PORT_BLOCK_ALLOC加入者コンテキストでALLOC時刻を更新するため)NATわずかな違いがあるために発生します。暫定システムログには、加入者コンテキストから取得したALLOC時間が表示されます。

  • これらのログは CPU 計算時および高速パスで生成されるため、ログの生成が発生した場合にのみ、高速パスのパフォーマンスにわずかな影響が見られる場合があります。

  • 16進数のポートブロック作成タイムスタンプは、中間ログが存在しない場合でも、JSERVICES_NAT_PORT_BLOCK_RELEASEメッセージに保存されます。

  • トラフィックフローが進行中のログ間隔を定義すると、この機能は既存および新しいフローに有効になります。MICを再起動したり、サービスセットを有効化または無効化する必要はありません。

  • フローまたは加入者がタイムアウトしている場合、それは、この5タプルデータまたは特定の加入者について、新しいパケットまたはトラフィックフローは見られないことを示します。この場合、中間ログは生成されません。

  • 中間ログ間隔がフローの非アクティブタイムアウトよりも短い場合、フローがタイムアウトしていて中間ログ間隔が経過している間、中間ログは観測されません。中間ログ間隔が加入者タイムアウト値よりも短い場合、加入者がタイムアウトしていて中間ログ間隔が経過しても、中間ログは観察されません。例えば、非アクティブタイムアウトが2500秒に設定され、中間ログが1800秒に設定されている場合、フローがタイムアウトしているとき、このフローで最後のパケットが確認されてから1800秒が経過し、この時点で中間ログは生成されません。

  • 中間ログは、PBA が構成されているプールに対して記録されます。サービスネットワーク処理装置 (NPU) に PBA 設定が存在しないプールが存在する場合、暫定ログ機能を有効にしても暫定ログは保存されません。

  • ログを生成する必要がある間隔には、0、[1800、86400]などの値の範囲のみを設定できます。

  • PBAプールを持つNATルールを含む[edit system]および[edit services service-sets service-set name nat rule rule-name term term-name then]階層レベルでsyslogステートメントを使用することで、syslogの生成を有効にすることができます。syslogの記録がシステムで有効になっていない場合、暫定ログはトリガーされません。

  • 確立されたフローの非アクティブタイムアウト期間よりも長く、中間ログ間隔を設定することをお勧めします。また、暫定ログ間隔を加入者タイムアウト値よりも高く設定することをお勧めします。エンドポイント独立マッピング (EIM) が構成されている場合、中間ロギング間隔は、アドレス・プーリング・ペア (APP) タイムアウト値と EIM タイムアウト値の合計よりも長くなければなりません。

  • ログの送信は、サービスPICが暗号化しない他のログメッセージと同様に、クリアテキスト形式で行われます。ログのトランスポートとログコレクターの配置は、安全なレルム内にあることを想定しています。メッセージにはユーザー名やパスワードなどの機密情報が含まれていないため、セキュリティや信頼性に関するリスクを引き起こすことはありません。ログメッセージの生成量が増えても、ログの頻度はネットワークトポロジー、トラフィックレベル、監視のニーズに応じて設定できるため、ログが氾濫することはありません。

  • マイクロカーネル内のPBAのログは、プレフィックスASP_*で始まります。これらのログは、プレフィックス JSERVICES_* で始まるように変更されました。以下は、マイクロカーネル内およびデバイスにインストールおよび設定された Junos OS 拡張プロバイダ パッケージを使用した PBA のシステム ログの例です。

    Microkernel: 1970-01-01 00:32:36 {nat64}[FWNAT]:ASP_NAT_PORT_BLOCK_ACTIVE: 2001:db8:0:0:0:0:0:2 -> 10.1.1.1:1050-1091 0x6f

    Junos OS Extension-Provider (eJunos): 1970-01-01 00:32:36 {nat64}[FWNAT]:JSERVICES_NAT_PORT_BLOCK_ACTIVE: 2001:db8:0:0:0:0:0:2 -> 10.1.1.1:1050-1091 0x6f

  • また、syslog設定をデバイス上のすべてのNATプールに適用するか、特定のNATプールに適用するかに基づいて、MS-PICごとのグローバル設定ではなく、NATプールごとの暫定ログ間隔を指定することもできます。NATの場合、メンバーインターフェイスにjservices-natパッケージが設定されている必要があります。JSERVICES_NAT_PORT_BLOCK_ACTIVEシステム・ロギング・メッセージは、PBAの中間ロギングを設定するときに生成されます。以下のサンプルログは、中間間隔を1800秒として設定して生成されたログメッセージを示しています。連続する中間ログ間のタイムスタンプが 1800 秒を超えていることがわかります。

  • Junos OSリリース19.3R1以降、128以外のソフトワイヤプレフィックスを設定すると、すべてのJSERVICES_NAT_PORT_BLOCKログにプレフィックス付きB4アドレスが表示されるようになりました。以下のJSERVICES_NAT_PORT_BLOCKが変更されます。

    • JSERVICES_NAT_PORT_BLOCK_ALLOC

    • JSERVICES_NAT_PORT_BLOCK_RELEASE

    • JSERVICES_NAT_PORT_BLOCK_ACTIVE

    以前の Junos OS リリースでは、ソフトワイヤ プレフィックスが設定されている場合、JSERVICES_NAT_PORT_BLOCK ログに表示される B4 アドレスの一部が /128 アドレスでした。例えば、/56プレフィックスが設定されている場合、ポートブロックsyslogには以下のB4アドレスが表示されます。

    • JSERVICES_NAT_PORT_BLOCK_ALLOC は、特定のポートブロックからポートが割り当てられた最初の B4 の /128 B4 アドレスを表示しました

    • JSERVICES_NAT_PORT_BLOCK_RELEASEは、ポートをポートブロックに解放した最後のB4の/128 B4アドレスを表示しました

関連項目

変更履歴テーブル

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。

リリース
説明
15.1R1
Junos OSリリース15.1R1以降、NATプールレベルで暫定ログ間隔を設定することもできます。