セキュアなポートブロック割り当て

セキュアなポートブロック割り当てにより、加入者が初めてポートの割り当てを必要とする場合に、ポートのブロックが特定のユーザーに割り当てられます。ここでは、加入者はプライベートIPアドレスとサービスセットIDとして一意に定義されます。加入者にはポートのブロックが割り当てられているため、この加入者からの後続のすべてのリクエストは、割り当てられたブロックのポートを使用します。新しいポートブロックは、現在のアクティブブロックが使い果たされたとき、またはアクティブなポートブロックのタイムアウト間隔が終了した後に割り当てられます。ユーザーに割り当てられるブロックの最大数を設定できます。ブロック内の NAT ポートの割り当てというこの動作は、ポートの要求がブロック内のポートのグループではなく 1 つのポートを割り当てる従来の NAT ユーティリティとは異なります。

セキュアポートブロック割り当てメカニズムを使用して、NAPT44(IPv4アドレスからIPv4アドレスへの変換)およびNAT64(IPv6アドレスからIPv4アドレスへの変換)タイプのブロックにポートを割り当てることができます。セキュアなポートブロック割り当てを使用すると、トラフィックパターンによってはポート使用がやや非効率になる場合があります。セキュアなポートブロック割り当ては、MS-DPCを搭載したMXシリーズルーター、およびMS-100、MS-400、MS-500マルチサービスPICを搭載したM Seriesルーターでサポートされています。Junos OSリリース14.2R2以降、MS-MPCおよびMS-MICを搭載したMXシリーズルーターでセキュアなポートブロック割り当てがサポートされています。

Junos OS リリース 15.1 以降、Junos Address Aware(キャリアグレード NAT)が採用されている環境では、サービス プロバイダやキャリア事業者は、クライアントへのポート割り当てのために記録されたシステム ロギング メッセージを使用して、加入者やユーザーが利用しているリソースの消費量やサービスの種類を簡単かつ効果的に監視および追跡できます。RADIUSまたはDHCPログのIPアドレスを使用することで、ログの評価が実行され、加入者によるサービス使用状況と帯域幅消費量が分析されます。キャリアグレードのNATでは、IPアドレスは複数の加入者によって共有されるため、ログを調べてシステムログの一部であるIPアドレスとポートを追跡するのは時間と困難さがかかる場合があります。また、加入者セッションのログインと終了に応じて、頻繁にポートの割り当てとリリースが行われるため、ポートの割り当てと割り当て解除のたびに大量のログがトリガーされます。その結果、過剰なsyslogがあると、ログをアーカイブして関連付けて加入者を特定するのが面倒になります。ポートをブロック単位で割り当てることができるため、syslog の量が大幅に削減されます。

セキュアPBAを設定する際は、以下の点に注意してください。

• ブロックサイズは、NATルールレベルで設定することはできません。

• セキュアなPBAを設定しても、セッションの設定レートの増加は影響を受けません。

• 特定のサイズのブロックが利用できない場合、ポート外メッセージが表示され、そのようなシナリオでは小さいサイズのブロックは代わりに割り当てられません。

• ポートブロック割り当て方式を使用したプール内のアドレスは、他のプールでは使用できません。

• NATプール内のポート範囲は連続している必要があります。

• パリティーの保持(元のポートと同じパリティでポートを割り当てる)は、ポートのブロック割り当てではサポートされていません。

• 指定されたしきい値に達したときのオープンセッション数の制限(侵入検出サービスの場合)と、セキュアなPBA用に設定されたユーザーアドレスに割り当てることができるブロックの最大数は、独立した機能です。

• 変換後に特権ポート範囲を保持する機能はサポートされていません。ブロックは、特権のないポート範囲(1024-65535)から割り当てられます。特権範囲内のポートの場合、ポートブロック割り当て方法は適用されません。

• ポートブロック割り当てが有効な場合、ポート使用効率が低下します。PBAは、NAT IPアドレスの0〜1023のポートを使用しません。

• ポートの順次割り当てを可能にする自動ポート割り当て方法を設定すると、1024から65535までのポート範囲をユーザーに割り当てることができます。

• ポートブロックは、設定可能な任意の開始ポートから開始できます。

• 使用されるポートの数はブロックサイズによって異なり、残りのポートは使用されません。

• 過負荷プールは、ソースプールが枯渇した場合に使用できるアドレスプールを示しますが、セキュリティで保護されたPBAではサポートされていません。

• PBAプールのNAT IPアドレスは、他のプールと重複してはなりません。重複するプールが存在するかどうかを識別するための検証は実行されませんが、PBA に使用されているプールのアドレスが他のプールで使用されていないことを確認する必要があります。この状態は、一部のユーザーが、NAT IPアドレスと同じIPアドレスを使用するようにオーバーロードプールを必要としますが、アドレスプーリングペア(APP)機能をサポートするためにPBAプールのポート範囲が異なるためです。

• ブロックサイズはNATプールごとに固定されており、NATプールレベルで設定可能です。プライベートIPアドレスには複数のポートブロックを割り当てることができます。

• [edit services nat pool pool-name port secured-port-block-allocation]階層レベルでmax-blocks-per-user max-blocksステートメントを含めることで、加入者あたりのプールあたりの最大ブロック数を設定できます。加入者が2つのプールに一致した場合、その特定のユーザーには、その加入者の各プールのポートブロックの最大数の合計に等しい最大ポートブロックを割り当てることができます。NATポートの新しいリクエストは、現在のアクティブなブロックからのみ到着します。

• ポートは、現在のアクティブなブロックからランダムに割り当てることができます。これは、ポートをポートブロック内で順次割り当てるか、ランダムに割り当てるかを指定します。

• ブロックは、[edit services nat pool pool-name port secured-port-block-allocation]階層レベルでactive-block-timeout timeout-secondsを含めることで定義できるタイムアウト間隔にわたってアクティブになります。タイムアウト期間が過ぎると、アクティブなブロックでポートが使用可能であっても、新しいブロックが割り当てられます。アクティブブロックのデフォルトのタイムアウトは120秒です。0(無限)に設定すると、ポートが不足し、新しいブロックが割り当てられた場合にのみ、アクティブなブロックが非アクティブに切り替わります。

• ブロックの最大ブロック数を超えて新しいリクエストを受信した場合、アクティブなブロックは使用可能なポートを含むブロックに移動します。使用中のポートのない非アクティブなブロックは、NATプールに解放されます。

• 各プライベートIPアドレスに割り当てられたポートブロックを追跡するだけでなく、実際に使用されているポートも計算および維持されます。このメトリックは、ポート使用効率の計算に使用されます。

• ブロックの割り当てとリリースごとにsyslogメッセージが生成されます。メッセージの形式は、個々のポート割り当てとリリースのために記録されたメッセージと似ています。

• セッション設定レートは、既存のノンブロック割り当て設定レートと同じか、わずかに向上しています。ブロックポート割り当て方法を使用するNATプールは、部分的なポート範囲を持つことができます。アドレスがポート転送に使用される場合、それらのポートはプールポート範囲から削除できます。[edit services nat pool nat-pool-name]階層レベルでport range low minimum-value high maximum-value random-allocationステートメントを使用することで、部分的なポート範囲を設定できます。ポートブロックの割り当ては、TCP、UDP、およびICMPトラフィックのNAPT44と同じように機能します。

• ランダム性は、ブロック内でポートをランダムに割り当て、アクティブブロックを定期的に変更することで実現できます。ポートのブロックにはランダムなポートは含まれていません(ブロック内のポートはシーケンシャルです)。この機能は、AMS(Aggregated Multiservices)インターフェイスでサポートされています。

• 開始ポート番号の計算方法は、マイクロカーネルとJunos OS拡張プロバイダパッケージで異なります。マイクロカーネルでは、開始ポートまたは最初のポートは、1023以降のブロックサイズの最も近い倍数です。この実装では、ブロックサイズに応じてポート範囲の先頭と末尾でポートが無駄になるため、より多くのポートが無駄になります。Junos OS拡張プロバイダパッケージでは、ブロックの開始ポートはブロックサイズの倍数に制限されません。開始ポートは、設定されたポートの範囲の下限から開始できます。