保護されたポート ブロックの割り当て

保護されたポートブロック割り当てにより、加入者が初めてポートを割り当てる必要がある場合、ポートのブロックが特定のユーザーに割り当てられます。ここでは、加入者はプライベート IP アドレスとサービス セット ID として一意に定義されます。加入者にはポートのブロックが割り当てられているため、この加入者からの後続のリクエストはすべて、割り当てられたブロックからのポートを使用します。現在のアクティブ・ブロックが使い果たされた場合、またはアクティブ・ポート・ブロックのタイムアウト間隔が切れた後に、新しいポート・ブロックが割り当てられます。ユーザーに割り当てられるブロックの最大数を設定できます。ブロック内のNATポートの割り当てのこの動作は、ポートのリクエストがブロック内のポートのグループではなく、単一のポートを割り当てる従来のNATユーティリティとは異なります。

保護されたポートブロック割り当てメカニズムを使用して、NAPT44(IPv4アドレスからIPv4アドレスへの変換)およびNAT64(IPv6アドレスをIPv4アドレスに変換)タイプのブロックでポートを割り当てることができます。セキュアなポートブロック割り当てを使用することで、トラフィックパターンに応じて、ポートの使用が少し非効率的になる可能性があります。セキュリティで保護されたポートブロックの割り当ては、MS-DPCを搭載したMXシリーズルーターと、MS-100、MS-400、MS-500マルチサービスPICSを搭載したMシリーズルーターでサポートされています。Junos OSリリース14.2R2以降、MS-MPCおよびMS-MICを搭載したMXシリーズルーターで、セキュアなポートブロック割り当てがサポートされています。

Junos OS リリース 15.1 以降、Junos Address Aware(キャリアグレード NAT)が採用されている環境では、サービス プロバイダまたはキャリア事業者は、ポートの割り当てに記録されたシステム ロギング メッセージを使用して、加入者またはユーザーが利用するリソースとサービスタイプの消費量をより簡単かつ効果的に監視および追跡できます。RADIUSまたはDHCPログでIPアドレスを使用することで、ログの評価を実行して、加入者によるサービスの使用状況と帯域幅の消費量を分析します。キャリアグレード NAT では、IP アドレスが複数の加入者によって共有されるため、ログを調べてシステム ログに含まれる IP アドレスとポートを追跡するのは時間がかかり、難しい場合があります。また、加入者セッションのログインと終了に応じて、ポートが頻繁に割り当てられ、リリースされるため、ポート割り当てと解放のたびに大量のログがトリガーされます。その結果、過剰な syslog ではログをアーカイブして相互に関連付けて加入者を特定するのが煩雑になります。ポートをブロックに割り当てることができ、syslogの量を大幅に削減できます。

保護された PBA を設定する場合は、次の点に注意してください。

• ブロック サイズは NAT ルール レベルでは構成できません。

• セキュリティで保護された PBA を設定しても、セッションの設定レートの増加は影響を受けません。

• 特定のサイズのブロックが使用可能でない場合は、ポート外メッセージが表示され、より小さいサイズのブロックは代替として割り振られません。

• port-block-allocation メソッドを使用するプール内のアドレスは、他のプールでは使用できません。

• NAT プールのポート範囲は連続している必要があります。

• パリティを保持(元のポートと同じパリティを持つポートの割り当て)は、ポートのブロック割り当てではサポートされていません。

• 指定されたしきい値に達した場合のオープンセッション数(侵入検出サービスの場合)と、保護されたPBAに設定されたユーザーアドレスに割り当て可能な最大ブロック数の制限は、独立した機能です。

• 変換後の特権ポート範囲を保持するための機能はサポートされていません。このブロックは、非恵まれないポート範囲(1024-65535)から割り当てられます。権限のある範囲のポートでは、ポートブロックの割り当て方法は適用されません。

• ポートブロック割り当てが有効になっている場合、ポート使用効率が低くなります。PBA は、NAT IP アドレスの 0~1023 のポートを使用しません。

• ポートの順次割り当てを有効にする自動ポート割り当て方法を設定した場合、1024~65535のポート範囲をユーザーに割り当てることができます。

• ポート ブロックは、設定できる任意の開始ポートから開始できます。

• 使用されるポート数はブロック・サイズに依存し、残りのポートは使用されません。

• ソース プールが枯渇した場合に使用できるアドレス プールを示す過負荷プールは、保護された PBA ではサポートされていません。

• PBA プールの NAT IP アドレスは、他のプールと重複してはなりません。重複するプールが存在するかどうかを識別するための検証は実行されませんが、PBA に使用されるプールのアドレスが他のプールで使用されていないことを確認する必要があります。この条件は、一部のユーザーが NAT IP アドレスと同じ IP アドレスを使用する過負荷 プールを必要とするが、APP(アドレス プーリングペア)機能をサポートするために PBA プールの異なるポート範囲が必要だからです。

• ブロックサイズはNATプールごとに固定されており、NATプールレベルで設定可能です。複数のポートブロックをプライベートIPアドレスに割り当てることができます。

• 階層レベルで ステートメントを含 max-blocks-per-user max-blocks めることで、加入者ごとにプールあたりの最大ブロック数を [edit services nat pool pool-name port secured-port-block-allocation] 設定できます。加入者が 2 つのプールに一致する場合、その特定のユーザーは、その加入者の各プールのポート ブロックの最大数と等しいポート ブロックの最大数を割り当てられます。NATポートの新しいリクエストは、現在のアクティブブロックからのみ送信されます。

• ポートは、現在のアクティブブロックからランダムに割り当てることができ、ポートをポートブロック内で順次またはランダムに割り当てるかどうかを指定します。

• ブロックは、 階層レベルに を含めることで active-block-timeout timeout-seconds 定義できるタイムアウト間隔で [edit services nat pool pool-name port secured-port-block-allocation] アクティブです。タイムアウト期間の後、アクティブ・ブロックでポートが使用可能であっても、新しいブロックが割り振られます。アクティブブロックのデフォルトのタイムアウトは120秒です。0(無限)に設定すると、アクティブなブロックは、ポートが不足し、新しいブロックが割り当てられている場合にのみ非アクティブに遷移します。

• ブロックの最大ブロック数を超え、新しい要求を受信した場合、アクティブ・ブロックは使用可能なポートを含むブロックに移動します。使用中のポートのない非アクティブブロックは、NATプールに解放されます。

• 各プライベート IP アドレスに割り当てられたポート ブロックの追跡に加えて、実際に使用されているポートも計算され、維持されます。このメトリックは、ポート使用効率の計算に使用されます。

• ブロックの割り当てとリリースごとにsyslogメッセージが生成されます。メッセージの形式は、個々のポート割り当てとリリースに対して記録されたメッセージと類似しています。

• セッション設定率は、既存の非ブロック割り当て設定レートと同じか若干向上しています。ブロックポート割り当て方式を使用したNATプールは、部分的なポート範囲を持つことができます。アドレスがポート転送に使用されている場合、これらのポートをプールポート範囲から削除できます。部分的なポート範囲を設定するには、 port range low minimum-value high maximum-value random-allocation 階層レベルで ステートメントを [edit services nat pool nat-pool-name] 使用します。ポートブロック割り当ては、TCP、UDP、およびICMPトラフィックのNAPT44と同じ方法で動作します。

• ランダム性は、ブロック内でポートをランダムに割り当て、アクティブブロックを定期的に変更することで達成できます。ポートのブロックにはランダムなポートが含まれていません(ブロック内のポートは連続しています)。この機能は、集約されたマルチサービス(ams)インターフェイスでサポートされています。

• 開始ポート番号は、マイクロケルネルと Junos OS Extension-Provider パッケージで異なる方法で計算されます。マイクロケルネルでは、開始ポートまたは最初のポートは、1023 以降のブロック サイズの最も近い倍数です。この実装では、ブロック サイズに応じてポート範囲の先頭と終了時にポートが無駄になるため、より多くのポートが無駄になります。Junos OS 拡張プロバイダ パッケージでは、ブロックの開始ポートは、ブロック サイズの倍数に制限されません。開始ポートは、設定されたポートの範囲の下限境界から開始できます。