보안 포트 블록 할당 중간 로깅

포트 블록 할당을 통해 가입자에게 할당된 포트 세트당 하나의 syslog 로그를 생성합니다. 이러한 로그는 UDP 기반이며 특히 장기 실행 흐름의 경우 네트워크에서 손실될 수 있습니다. 중간 로깅은 블록의 포트 중 하나 이상에 트래픽이 있는 활성 블록에 대해 구성된 간격으로 위의 로그를 다시 전송하도록 트리거합니다. 네트워크 토폴로지에 따라 아카이브 기간을 기준으로 포트 블록 할당 로그의 간격을 설정하여 각 아카이브의 포트 블록(활성 플로우의 경우)당 하나 이상의 로그가 존재하도록 할 수 있습니다.

해당 ms- 인터페이스의 모든 네트워크 주소 변환(NAT) 풀에 적용되는 서비스 인터페이스 수준에서 중간 로깅 간격을 구성하려면 계층 수준에서 명령문을 [edit interfaces ms-fpc/pic/port services-options] 포함합니다pba-interim-logging-interval seconds. 이 pba-interim-logging-interval 옵션은 MS-DC가 있는 MX 시리즈 라우터와 MS-100, MS-400 및 MS-500 MultiServices PICS가 있는 M 시리즈 라우터에서 지원됩니다. 이 pba-interim-logging-interval 옵션은 Junos OS 릴리스 14.2R2부터 MS-MPC 및 MS-MIC가 있는 MX 시리즈 라우터에서 지원됩니다.

Junos OS 릴리스 15.1R1부터 네트워크 주소 변환(NAT) 풀 수준에서 중간 로깅 간격을 구성할 수도 있습니다. 이 기능은 MS-MPC 및 MS-MIC가 있는 MX 시리즈 라우터에서만 지원됩니다. 네트워크 주소 변환(NAT) 풀 수준에서 중간 로깅 간격을 구성하려면 계층 수준에서 명령문을 [edit services nat pool pool-name port secured-port-block-allocation] 포함합니다interim-logging-interval seconds. 중간 로깅 빈도에 대해 0초에서 86400초 사이의 값을 지정할 수 있습니다.

보안 포트 블록 할당을 위한 중간 로깅 간격을 구성할 때 다음 지침을 준수하십시오.

• 중간 로깅은 중간 로깅 기능이 구성된 경우에만 사용할 수 있습니다. pba-interim-logging-interval ms-interface의 [edit interfaces ms-fpc/pic/port services-options] 계층 수준에서 구성할 수 있는 문은 이전 버전과의 호환성을 위해 제공됩니다. 이 pba-interim-logging-interval 옵션은 MS-DC가 있는 MX 시리즈 라우터와 MS-100, MS-400 및 MS-500 MultiServices PICS가 있는 M 시리즈 라우터에서 지원됩니다. 이 pba-interim-logging-interval 옵션은 Junos OS 릴리스 14.2R2부터 MS-MPC 및 MS-MIC가 있는 MX 시리즈 라우터에서 지원됩니다.

  Junos OS 릴리스 15.1R1부터 MS-MPC 및 MS-MIC의 구성에 사용할 수 있는 문은 interim-logging-interval 특정 네트워크 주소 변환(NAT) 풀에 대한 중간 로깅을 제공합니다.

• 중간 로깅 기능을 해당 특정 서비스 인터페이스에 상주하는 모든 PBA 풀에 적용하고 특정 PBA 풀에 대한 중간 로깅 기능을 구성하면 네트워크 주소 변환(NAT) 풀별 간격이 서비스 인터페이스별 간격보다 우선합니다. NAT 풀 수준에서 중간 로깅 간격이 구성되지 않은 다른 PBA 풀에서 할당된 포트 블록의 경우, ms- 인터페이스 수준에서 구성된 로깅 간격 값이 적용됩니다.

• 기본값은 0으로, 중간 로깅 메시지가 생성되지 않음을 나타냅니다.

• 중간 로그는 구성된 기간(초) 이후에 언제든지 전송됩니다. 시간 차이는 두 로그의 로깅 간격 간에 고정되지 않습니다.

• 트래픽이 있는 플로우에서 사용 중인 포트를 하나 이상 포함하는 포트 블록(활성 및 비활성 모두)에 대해 중간 로그가 생성됩니다. 로그를 생성하기 위해 포트 블록에서 실행되는 타이머 컨트롤이 없습니다. 플로우에서 패킷이 수신되면 중간 로그를 생성하기 위해 유효성 검사가 수행됩니다. 조건이 충족되면 해당 포트 블록에 대한 중간 로그가 생성됩니다. 삭제된 포트 블록에 대한 중간 로그는 생성되지 않습니다.

• 중간 로그에는 16진수 형식의 포트 블록 생성 타임스탬프가 포함됩니다(현지 시간이 설정된 경우 16진수 값은 UTC 형식으로 시간을 제공함).

• 타임스탬프를 UTC 형식으로 변환하는 작업은 필요에 따라 외부 syslog 서버에서 수행할 수 있습니다.

• 특정 시나리오에서는 16진수 값의 타임스탬프와 ALLOC 메시지의 실제 타임스탬프가 몇 초 정도 다를 수 있습니다. 이 동작은 syslog 메커니즘이 시간(PORT_BLOCK_ALLOC syslog에서 볼 수 있음)을 읽을 때와 NAT 애플리케이션이 시간을 읽는 시간(가입자 컨텍스트에서 ALLOC 시간을 업데이트하기 위해)에 약간의 차이가 있기 때문에 발생합니다. 임시 시스템 로그는 가입자 컨텍스트에서 검색된 ALLOC 시간을 표시합니다.

• 이러한 로그는 CPU 계산 및 빠른 경로에서 생성되기 때문에 로그 생성이 발생하는 경우에만 빠른 경로 성능에 약간의 영향이 관찰될 수 있습니다.

• 16진수의 포트 블록 생성 타임스탬프는 중간 로깅이 존재하지 않더라도 JSERVICES_NAT_PORT_BLOCK_RELEASE 메시지에 저장됩니다.

• 트래픽 흐름이 진행 중일 때 로깅 간격을 정의하면 이 기능은 기존 및 새 흐름에 적용됩니다. MIC를 재부팅하거나 서비스 세트를 활성화 및 비활성화할 필요가 없습니다.

• 흐름 또는 구독자가 시간 초과되는 경우 이 5튜플 데이터 또는 특정 구독자에 대해 새 패킷 또는 트래픽 흐름이 표시되지 않음을 나타냅니다. 이 경우 중간 로그가 생성되지 않습니다.

• 중간 로깅 간격이 흐름의 비활성 시간 제한보다 낮으면 흐름이 시간 초과되고 중간 로깅 간격이 경과했을 때 중간 로그가 관찰되지 않습니다. 중간 로깅 간격이 가입자 타임아웃 값보다 낮으면 가입자가 시간 초과되고 중간 로깅 간격이 경과했을 때 중간 로그가 관찰되지 않습니다. 예를 들어, inactivity-timeout이 2500초로 구성되고 interim-logging이 1800초로 구성된 경우, 플로우가 시간 초과되면 이 플로우에서 마지막 패킷이 표시된 이후 1800초가 경과한 시점이 있으며 이 경우 중간 로그가 생성되지 않습니다.

• PBA가 구성된 풀에 대한 중간 로그가 기록됩니다. 서비스 NPU(Network Processing Unit)에 PBA 구성이 없는 풀이 있는 경우 중간 로깅 기능을 사용하도록 설정하더라도 중간 로그가 저장되지 않습니다.

• 로그를 생성해야 하는 간격에 대한 값 범위(예: 0, [1800, 86400])만 구성할 수 있습니다.

• PBA 풀이 있는 네트워크 주소 변환(NAT) 규칙을 포함하는 및 계층 수준에서 syslog 문을 [edit system] [edit services service-sets service-set name nat rule rule-name term term-name then] 사용하여 syslog 생성을 활성화할 수 있습니다. 시스템에서 syslog 기록이 활성화되지 않은 경우 중간 로그가 트리거되지 않습니다.

• 중간 로깅 간격을 설정된 흐름의 비활성 시간 초과 기간보다 높게 구성하는 것이 좋습니다. 또한 중간 로깅 간격을 subscriber-timeout 값보다 높게 구성하는 것이 좋습니다. EIM(Endpoint-Independent Mapping)이 구성된 경우 중간 로깅 간격은 APP(Address Pooling Paired) 시간 초과 및 EIM 시간 초과 값의 합보다 높아야 합니다.

• 로그 전송은 서비스 PIC가 암호화하지 않는 다른 로그 메시지와 유사한 일반 텍스트 형식으로 이루어집니다. 로그 전송 및 로그 수집기의 위치 지정은 보안 영역 내에 있다고 가정합니다. 메시지에는 사용자 이름이나 암호와 같은 중요한 세부 정보가 포함되어 있지 않으므로 보안 또는 안정성 위험이 발생하지 않습니다. 로그 메시지 생성이 증가해도 네트워크 토폴로지, 트래픽 수준 및 모니터링 요구 사항에 따라 로깅 빈도를 구성할 수 있으므로 로그 플러드가 발생하지 않습니다.

• 마이크로커널의 PBA에 대한 로그는 접두사 ASP_*로 시작합니다. 이러한 로그는 접두사 JSERVICES_*로 시작하도록 수정되었습니다. 다음은 디바이스에 설치 및 구성된 마이크로커널과 Junos OS Extension-Provider 패키지가 있는 PBA에 대한 시스템 로그의 예입니다.

  Microkernel: 1970-01-01 00:32:36 {nat64}[FWNAT]:ASP_NAT_PORT_BLOCK_ACTIVE: 2001:db8:0:0:0:0:0:2 -> 10.1.1.1:1050-1091 0x6f

  Junos OS Extension-Provider (eJunos): 1970-01-01 00:32:36 {nat64}[FWNAT]:JSERVICES_NAT_PORT_BLOCK_ACTIVE: 2001:db8:0:0:0:0:0:2 -> 10.1.1.1:1050-1091 0x6f

• 또한 syslog 설정을 디바이스의 모든 NAT 풀에 적용할지 아니면 특정 NAT 풀에 적용할지에 따라 MS-PIC당 글로벌 구성 대신 NAT 풀당 중간 로깅 간격을 지정할 수 있습니다. NAT의 경우, 멤버 인터페이스에 jservices-nat 패키지가 구성되어 있어야 합니다. PBA에 대한 중간 로깅을 구성할 때 JSERVICES_NAT_PORT_BLOCK_ACTIVE 시스템 로깅 메시지가 생성됩니다. 다음 샘플 로그는 중간 간격이 1800초로 설정된 상태에서 생성된 로그 메시지를 나타냅니다. 연속 중간 로그 간의 타임스탬프가 1800초를 초과함을 알 수 있습니다.

• Junos OS 릴리스 19.3R1부터 128 이외의 소프트위어 접두사를 구성하면 이제 모든 JSERVICES_NAT_PORT_BLOCK 로그에 접두사가 붙은 B4 주소가 표시됩니다. 다음 JSERVICES_NAT_PORT_BLOCK 수정됩니다.

  • JSERVICES_NAT_PORT_BLOCK_ALLOC

  • JSERVICES_NAT_PORT_BLOCK_RELEASE

  • JSERVICES_NAT_PORT_BLOCK_ACTIVE

  이전 Junos OS 릴리스에서 소프트위어 접두사가 구성되었을 때 JSERVICES_NAT_PORT_BLOCK 로그에 표시된 B4 주소 중 일부는 /128 주소였습니다. 예를 들어, /56 접두사가 구성된 경우 포트 블록 syslog는 다음 B4 주소를 표시합니다.

  • JSERVICES_NAT_PORT_BLOCK_ALLOC에는 특정 포트 블록에서 포트가 할당된 첫 번째 B4의 /128 B4 주소가 표시됩니다

  • JSERVICES_NAT_PORT_BLOCK_RELEASE에는 포트를 포트 블록으로 다시 해제한 마지막 B4의 /128 B4 주소가 표시되었습니다