セキュアなポートブロックの割り当て

セキュアなポートブロック割り当てにより、加入者が初めてポートの割り当てを要求したときに、ポートのブロックが特定のユーザーに割り当てられます。ここでは、サブスクライバーはプライベートIPアドレスおよびサービスセットIDとして一意に定義されます。加入者にはポートのブロックが割り当てられているため、この加入者からの後続の要求はすべて、割り当てられたブロックのポートを使用します。新しいポート ブロックは、現在のアクティブ ブロックが枯渇したとき、またはアクティブ ポート ブロックのタイムアウト間隔が経過した後に割り当てられます。ユーザーに割り当てるブロックの最大数を設定できます。このブロック単位での NAT ポート割り当ての動作は、ポートの要求がブロック内のポートのグループではなく、単一のポートを割り当てる従来の NAT ユーティリティとは異なります。

セキュア ポート ブロック割り当てメカニズムを使用して、NAPT44(IPv4 アドレスから IPv4 アドレスへの変換)および NAT64(IPv6 アドレスから IPv4 アドレスへの変換)タイプのブロックでポートを割り当てることができます。セキュリティで保護されたポート ブロック割り当てを使用すると、トラフィック パターンによってはポートの使用が少し非効率的になる場合があります。安全なポートブロック割り当ては、MS-DPCを搭載したMXシリーズルーターと、MS-100、MS-400、MS-500マルチサービスPICを搭載したM Seriesルーターでサポートされています。Junos OSリリース14.2R2以降、MS-MPCおよびMS-MICを搭載したMXシリーズルーターで、安全なポートブロック割り当てがサポートされています。

Junos OS リリース 15.1 以降、Junos Address Aware(キャリアグレード NAT)が採用されている環境では、サービス プロバイダやキャリア事業者は、クライアントへのポート割り当て用に記録されたシステム ロギング メッセージを使用して、加入者またはユーザーが利用しているリソースやサービスの種類の消費状況を簡単かつ効果的な方法で監視および追跡できます。RADIUSまたはDHCPログのIPアドレスを使用して、ログの評価が実行され、サービスの使用状況と加入者による帯域幅消費が分析されます。キャリアグレードのNATでは、IPアドレスが複数の加入者によって共有されるため、システムログの一部であるIPアドレスとポートを追跡するためのログを調べるのは時間がかかり、困難な場合があります。また、ポートは加入者セッションのログインと終了に応じて頻繁に割り当てられ、解放されるため、ポートの割り当てと割り当て解除のたびに大量のログがトリガーされます。その結果、syslogが過剰になると、ログをアーカイブして関連付け、加入者を特定することが困難になります。ポートをブロック単位で割り当てることができるようになったため、syslog の量が大幅に削減されます。

セキュリティで保護された PBA を構成するときは、次の点に注意してください。

• ブロック サイズは、NAT ルール レベルでは設定できません。

• セキュリティで保護された PBA を構成しても、セッションの設定率の増加は影響を受けません。

• 特定のサイズのブロックが使用できない場合は、ポート外メッセージが表示され、そのようなシナリオでは、小さいサイズのブロックは代替に割り当てられません。

• ポートブロック割り当て方式を使用したプール内のアドレスは、他のプールでは使用できません。

• NAT プール内のポート範囲は連続している必要があります。

• パリティの保持(元のポートと同じパリティを持つポートの割り当て)は、ポートのブロック割り当てではサポートされていません。

• 指定されたしきい値に達した場合のオープン・セッション数の制限 (侵入検出サービスの場合) と、セキュア PBA 用に構成されたユーザー・アドレスに割り当てることができるブロックの最大数は、独立した機能です。

• 変換後に特権ポート範囲を保持する機能はサポートされていません。ブロックは、非特権ポート範囲(1024-65535)から割り当てられます。特権範囲内のポートの場合、ポートブロックの割り当て方法は適用されません。

• ポートブロック割り当てが有効な場合、ポートの使用効率が低下します。PBA は、NAT IP アドレスの 0 から 1023 までのポートを使用しません。

• ポートの順次割り当てを可能にする自動ポート割り当て方法を設定すると、1024〜65535のポート範囲をユーザーに割り当てることができます。

• 端子ブロックは、構成可能な任意の開始端子から開始できます。

• 使用されるポート数はブロックサイズに依存し、残りのポートは使用されません。

• 過負荷状態のプールは、ソース プールが枯渇した場合に使用できるアドレス プールを示しますが、セキュリティで保護された PBA ではサポートされていません。

• PBA プールの NAT IP アドレスは、他のプールと重複しないでください。重複するプールが存在するかどうかを識別する検証は実行されませんが、PBA に使用されるプールのアドレスが他のプールで使用されていないことを確認する必要があります。この状態は、一部のユーザーが、オーバーロード プールで NAT IP アドレスと同じ IP アドレスを使用する必要があるが、アドレス プーリング ペア (APP) 機能をサポートするために PBA プールのポート範囲が異なる必要があるためです。

• ブロックサイズはNAT プールごとに固定されており、NAT プールレベルで設定できます。プライベートIPアドレスには、複数のポートブロックを割り当てることができます。

• [edit services nat pool pool-name port secured-port-block-allocation]階層レベルでmax-blocks-per-user max-blocksステートメントを含めることで、加入者ごとのプールあたりの最大ブロック数を設定できます。加入者が 2 つのプールに一致する場合、その特定のユーザーには、その加入者の各プールのポート ブロックの最大数の合計と等しい最大ポート ブロックを割り当てることができます。NAT ポートの新規要求は、現在のアクティブ・ブロックからのみ到着します。

• ポートは、ポートを順次割り当てるか、ポートブロック内でランダムに割り当てるかを指定する、現在のアクティブなブロックからランダムに割り当てることができます。

• ブロックは、[edit services nat pool pool-name port secured-port-block-allocation]階層レベルにactive-block-timeout timeout-secondsを含めることで定義できるタイムアウト間隔の間アクティブになります。タイムアウト期間が経過すると、アクティブ ブロックでポートが使用可能であっても、新しいブロックが割り当てられます。アクティブ・ブロックのデフォルトのタイムアウトは 120 秒です。0(無限)に設定すると、アクティブなブロックは、ポートが足りなくなり、新しいブロックが割り当てられた場合にのみ非アクティブに移行します。

• ブロックの最大ブロック数を超え、新しい要求を受信した場合、アクティブなブロックは使用可能なポートを含むブロックに移動されます。使用中のポートがない非アクティブなブロックは、NAT プールに解放されます。

• 各プライベートIPアドレスに割り当てられたポートブロックを追跡するだけでなく、実際に使用されているポートも計算および維持されます。このメトリックは、ポートの使用効率を計算するために使用されます。

• syslog メッセージは、ブロックの割り当てとリリースごとに生成されます。メッセージの形式は、個々のポートの割り当てと解放のために記録されるメッセージと同様です。

• セッション・セットアップ・レートは、既存の非ブロック割り振りセットアップ・レートと同じか、わずかに改善されています。ブロックポート割り当て方法を使用するNAT プールは、部分的なポート範囲を持つことができます。アドレスがポート転送に使用されている場合、それらのポートはプールポート範囲から削除できます。[edit services nat pool nat-pool-name]階層レベルで port range low minimum-value high maximum-value random-allocation ステートメントを使用して、部分的なポート範囲を設定できます。ポートブロックの割り当ては、TCP、UDP、ICMPトラフィックのNAPT44と同様に機能します。

• ランダム性は、ブロック内でポートをランダムに割り当て、アクティブなブロックを定期的に変更することで実現できます。ポートのブロックにはランダムポートが含まれていません(ブロック内のポートはシーケンシャルです)。この機能は、ams(集合型マルチサービス)インターフェイスでサポートされています。

• 開始ポート番号の計算方法は、マイクロカーネルとJunos OS Extension-Providerパッケージとでは異なります。マイクロカーネルでは、開始ポートまたは最初のポートは、1023 の後のブロックサイズの最も近い倍数です。この実装では、ブロックサイズに応じてポート範囲の最初と最後にポートが無駄になるため、より多くのポートが無駄になります。Junos OS Extension-Providerパッケージでは、ブロックの開始ポートはブロックサイズの倍数に制限されません。開始ポートは、設定されたポートの範囲の下限から開始できます。