セキュアなポートブロック割り当て

セキュアなポートブロック割り当てにより、加入者が初めてポートを割り当てる必要があるときに、ポートのブロックが特定のユーザーに割り当てられます。ここでは、サブスクライバーはプライベート IP アドレスおよびサービス セット ID として一意に定義されます。サブスクライバにはポートのブロックが割り当てられているため、このサブスクライバからの後続の要求はすべて、割り当てられたブロックのポートを使用します。新しいポートブロックは、現在のアクティブブロックが使い果たされたとき、またはアクティブなポートブロックのタイムアウト間隔が経過した後に割り当てられます。ユーザーに割り当てるブロックの最大数を設定できます。ブロック単位でのNATポートの割り当てに関するこの動作は、ポートの要求がブロック内のポートグループではなく、単一のポートを割り当てる従来のNATユーティリティとは異なります。

セキュリティで保護されたポート ブロック割り当てメカニズムを使用して、NAPT44 (IPv4 アドレスから IPv4 アドレスへの変換) および NAT64 (IPv6 アドレスから IPv4 アドレスへの変換) タイプのブロック単位でポートを割り当てることができます。セキュリティで保護されたポート ブロック割り当てを使用すると、トラフィック パターンによっては、ポートの使用が少し非効率的になる可能性があります。セキュアなポートブロックの割り当ては、MS-DPCを搭載したMXシリーズルーター、およびMS-100、MS-400、およびMS-500マルチサービスPICを搭載したMシリーズルーターでサポートされています。Junos OS リリース 14.2R2 以降、MS-MPC および MS-MIC を搭載した MX シリーズ ルーターでセキュアなポート ブロックの割り当てがサポートされています。

Junos OS リリース 15.1 以降、Junos Address Aware(キャリアグレード NAT)が採用されている環境では、サービス プロバイダまたはキャリア オペレータは、クライアントへのポート割り当て用に記録されたシステム ログ メッセージを使用して、加入者またはユーザが使用しているリソースやサービスの種類の消費を、より簡単かつ効果的な方法で監視および追跡できます。RADIUSまたはDHCPログのIPアドレスを使用してログを評価し、サービスの使用状況と加入者による帯域幅の消費量を判断します。キャリアグレードのNATでは、IPアドレスが複数の加入者によって共有されるため、ログを調べてシステムログの一部であるIPアドレスとポートを追跡することは、時間がかかり、困難な場合があります。また、加入者セッションのログインと終了に応じてポートが頻繁に割り当てられ、解放されるため、ポートの割り当てと割り当て解除ごとに大量のログがトリガーされます。その結果、過剰な syslog は、ログをアーカイブして関連付け、加入者を特定するのが面倒になります。ポートをブロック単位で割り当てることができるようになったため、syslogの量が大幅に削減されます。

セキュリティで保護された PBA を構成するときは、次の点に注意してください。

• ブロック サイズは、NAT ルール レベルでは構成できません。

• セキュリティで保護された PBA を構成しても、セッションのセットアップ レートの増加には影響しません。

• 特定のサイズのブロックが使用できない場合、ポート外メッセージが表示され、このようなシナリオでは小さいサイズのブロックは代わりに割り当てられません。

• ポートブロック割り当て方式を使用するプール内のアドレスは、他のプールでは使用できません。

• NAT プール内のポート範囲は連続している必要があります。

• パリティ保持(元のポートと同じパリティでポートを割り当てる)は、ポートのブロック割り当てではサポートされていません。

• 指定されたしきい値に達したときにオープンするセッションの数の制限 (侵入検出サービスの場合)、およびセキュア PBA 用に構成されたユーザー・アドレスに割り当てることができるブロックの最大数は、独立した機能です。

• 変換後に特権ポート範囲を保持する機能はサポートされていません。ブロックは、特権のないポート範囲 (1024-65535) から割り当てられます。特権範囲内のポートの場合、ポート ブロックの割り当て方法は適用されません。

• ポートブロック割り当てが有効になっている場合、ポートの使用効率は低くなります。PBA は、NAT IP アドレスの 0 から 1023 までのポートを使用しません。

• ポートの順次割り当てを可能にする自動ポート割り当て方法を設定すると、1024〜65535のポート範囲をユーザーに割り当てることができます。

• ポート ブロックは、構成可能な任意の開始ポートから開始できます。

• 使用されるポートの数はブロックサイズに依存し、残りのポートは使用されません。

• ソース プールが使い果たされた場合に使用できるアドレス プールを示す過負荷プールは、セキュリティで保護された PBA ではサポートされていません。

• PBA プールの NAT IP アドレスは、他のプールと重複してはなりません。重複するプールが存在するかどうかを識別するための検証は実行されませんが、PBA に使用されるプールのアドレスが他のプールで使用されていないことを確認する必要があります。この条件は、一部のユーザーが過負荷プールで NAT IP アドレスと同じ IP アドレスを使用する必要があるが、アドレス プーリング ペア (APP) 機能をサポートするために PBA プールのポート範囲が異なるためです。

• ブロックサイズはNATプールごとに固定されており、NATプールレベルで設定できます。複数のポート・ブロックをプライベートIPアドレスに割り当てることができます。

• 階層レベルで ステートメント[edit services nat pool pool-name port secured-port-block-allocation]を含めるmax-blocks-per-user max-blocksことで、加入者ごとのプールあたりの最大ブロック数を設定できます。サブスクライバが 2 つのプールに一致する場合、その特定のユーザーには、そのサブスクライバの各プールのポート ブロックの最大数の合計に等しい最大ポート ブロックを割り当てることができます。NAT ポートに対する新しい要求は、現在アクティブなブロックからのみ到着します。

• ポートは、現在アクティブなブロックからランダムに割り当てることができます。これは、ポートをポートブロック内で順次割り当てるか、ランダムに割り当てるかを指定します。

• ブロックは、階層レベルに を含めるactive-block-timeout timeout-seconds[edit services nat pool pool-name port secured-port-block-allocation]ことで定義できるタイムアウト間隔の間アクティブです。タイムアウト期間が過ぎると、アクティブなブロックでポートが使用可能であっても、新しいブロックが割り当てられます。アクティブ・ブロックのデフォルト・タイムアウトは 120 秒です。0(無限)に設定すると、アクティブブロックはポートが不足し、新しいブロックが割り当てられたときにのみ非アクティブに移行します。

• ブロックの最大ブロック数を超え、新しい要求を受信すると、アクティブ・ブロックは使用可能なポートを含むブロックに移動されます。使用中のポートがない非アクティブなブロックは、NATプールに解放されます。

• 各プライベートIPアドレスに割り当てられたポートブロックの追跡に加えて、実際に使用中のポートも計算され、維持されます。このメトリックは、ポート使用効率を計算するために使用されます。

• ブロックの割り当てとリリースごとに syslog メッセージが生成されます。メッセージの形式は、個々のポートの割り当てとリリースについて記録されるメッセージと似ています。

• セッション設定率は、既存の非ブロック割り当て設定率と同じか、わずかに改善されています。ブロックポート割り当て方式を使用するNATプールは、部分的なポート範囲を持つことができます。アドレスがポート転送に使用される場合、それらのポートはプールポート範囲から削除できます。階層レベルで ステートメント[edit services nat pool nat-pool-name]を使用してport range low minimum-value high maximum-value random-allocation、部分的なポート範囲を設定できます。ポートブロックの割り当ては、TCP、UDP、ICMP トラフィックに対して NAPT44 と同じように機能します。

• ランダム性は、ブロック内でポートをランダムに割り当て、アクティブなブロックを定期的に変更することで実現できます。ポートのブロックにはランダムなポートは含まれません(ブロック内のポートはシーケンシャルです)。この機能は、集合型マルチサービス(ams)インターフェイスでサポートされています。

• 開始ポート番号は、マイクロカーネルとJunos OS拡張プロバイダーパッケージで異なる方法で計算されます。マイクロカーネルでは、開始ポートまたは最初のポートは、1023 以降のブロックサイズの最も近い倍数です。この実装では、ブロックサイズに応じてポート範囲の最初と最後にポートが無駄になるため、より多くのポートが無駄になります。Junos OS 拡張プロバイダー パッケージでは、ブロックの開始ポートはブロック サイズの倍数に制限されません。開始ポートは、設定されたポートの範囲の下限から開始できます。