보안 포트 블록 할당 중간 로깅

포트 블록 할당을 사용하면 가입자에게 할당된 포트 집합당 하나의 syslog 로그를 생성합니다. 이러한 로그는 UDP 기반이며 특히 장기 실행 흐름의 경우 네트워크에서 손실될 수 있습니다. 중간 로깅은 블록의 포트 중 하나 이상에 트래픽이 있는 활성 블록에 대해 구성된 간격으로 위의 로그를 다시 전송하는 트리거입니다. 네트워크 토폴로지에 따라 아카이브 기간을 기반으로 포트 블록 할당 로그의 간격을 설정하여 각 아카이브의 포트 블록(활성 흐름의 경우)당 최소 하나의 로그가 존재하도록 할 수 있습니다.

해당 ms- 인터페이스의 모든 네트워크 주소 변환(NAT) 풀에 적용되는 서비스 인터페이스 수준에서 중간 로깅 간격을 구성하려면 계층 수준에서 [edit interfaces ms-fpc/pic/port services-options] 문을 포함 pba-interim-logging-interval seconds 합니다. 이 pba-interim-logging-interval 옵션은 MS-DPC가 탑재된 MX 시리즈 라우터와 MS-100, MS-400 및 MS-500 멀티서비스 PIC가 탑재된 M Series 라우터에서 지원됩니다. 이 pba-interim-logging-interval 옵션은 Junos OS 릴리스 14.2R2부터 MS-MPC 및 MS-MIC가 있는 MX 시리즈 라우터에서 지원됩니다.

Junos OS 릴리스 15.1R1부터는 네트워크 주소 변환(NAT) 풀 수준에서 중간 로깅 간격을 구성할 수도 있습니다. 이 기능은 MS-MPC 및 MS-MIC가 장착된 MX 시리즈 라우터에서만 지원됩니다. 네트워크 주소 변환(NAT) 풀 수준에서 중간 로깅 간격을 구성하려면 계층 수준에서 [edit services nat pool pool-name port secured-port-block-allocation] 문을 포함 interim-logging-interval seconds 합니다. 중간 로깅 빈도에 대해 0초에서 86400초까지의 값을 지정할 수 있습니다.

보안 포트 블록 할당을 위한 중간 로깅 간격을 구성할 때 다음 지침을 준수하십시오.

• 중간 로깅은 중간 로깅 기능이 구성된 경우에만 활성화됩니다. ms-interface의 계층 수준에서 [edit interfaces ms-fpc/pic/port services-options] 구성할 수 있는 문은 pba-interim-logging-interval 이전 버전과의 호환성을 위해 제공됩니다. 이 pba-interim-logging-interval 옵션은 MS-DPC가 탑재된 MX 시리즈 라우터와 MS-100, MS-400 및 MS-500 멀티서비스 PIC가 탑재된 M Series 라우터에서 지원됩니다. 이 pba-interim-logging-interval 옵션은 Junos OS 릴리스 14.2R2부터 MS-MPC 및 MS-MIC가 있는 MX 시리즈 라우터에서 지원됩니다.

  Junos OS 릴리스 15.1R1부터 MS-MPC 및 MS-MIC에서 구성에 사용할 수 있는 문은 interim-logging-interval 특정 네트워크 주소 변환(NAT) 풀에 대한 임시 로깅을 제공합니다.

• 해당 특정 서비스 인터페이스에 상주하는 모든 PBA 풀에 적용할 수 있도록 중간 로깅 기능과 특정 PBA 풀에 대한 중간 로깅 기능을 구성하는 경우, 네트워크 주소 변환(NAT) 풀별 간격이 서비스 인터페이스별 간격보다 우선합니다. 네트워크 주소 변환(NAT) 풀 수준에서 중간 로깅 간격이 구성되지 않은 다른 PBA 풀에서 할당된 포트 블록의 경우, ms- 인터페이스 수준에서 구성된 로깅 간격 값이 적용됩니다.

• 기본값은 0이며, 이는 중간 로깅 메시지가 생성되지 않음을 나타냅니다.

• 중간 로그는 구성된 기간(초 단위)이 지난 이후에는 언제든지 전송됩니다. 두 로그의 로깅 간격 간에 시간 차이가 고정되지 않습니다.

• 트래픽이 있는 플로우에서 사용 중인 포트가 하나 이상 포함된 포트 블록(활성 및 비활성 모두)에 대해 중간 로그가 생성됩니다. 로그를 생성하기 위해 포트 블록에서 실행되는 타이머 컨트롤이 없습니다. 플로우에서 패킷이 수신되면 검증이 수행되어 중간 로그가 생성됩니다. 조건이 충족되면, 해당 포트 블록에 대한 중간 로그가 생성됩니다. 삭제된 포트 블록에 대한 중간 로그는 생성되지 않습니다.

• 중간 로그에는 16진수 형식의 포트 블록 생성 타임스탬프가 포함되어 있습니다(현지 시간이 설정된 경우 16진수 값은 UTC 형식으로 시간을 제공합니다).

• 타임스탬프를 UTC 형식으로 변환하는 작업은 필요에 따라 외부 syslog 서버에서 수행할 수 있습니다.

• 특정 시나리오에서는 16진수 값의 타임스탬프와 ALLOC 메시지의 실제 타임스탬프가 몇 초 차이가 날 수 있습니다. 이 동작은 syslog 메커니즘이 시간(syslog에서 볼 수 있음)과 NAT 애플리케이션이 시간을 읽는 시간(가입자 컨텍스트에서 ALLOC 시간을 업데이트하기 위해)을 읽을 때와 약간의 차이가 있기 때문에 발생합니다PORT_BLOCK_ALLOC. 중간 시스템 로그는 가입자 컨텍스트에서 검색된 ALLOC 시간을 표시합니다.

• 이러한 로그는 CPU 계산 및 빠른 경로에서 생성되기 때문에 로그 생성이 발생할 때만 빠른 경로 성능에 약간의 영향이 관찰될 수 있습니다.

• 16진수의 포트 블록 생성 타임스탬프는 중간 로깅이 없더라도 JSERVICES_NAT_PORT_BLOCK_RELEASE 메시지에 저장됩니다.

• 트래픽 플로우가 진행 중일 때 로깅 간격을 정의하는 경우, 이 기능은 기존 및 신규 플로우에 적용됩니다. MIC를 재부팅하거나 서비스 집합을 활성화 및 비활성화할 필요가 없습니다.

• 플로우 또는 가입자의 시간이 초과되는 경우, 이 5-튜플 데이터 또는 특정 가입자에 대해 새로운 패킷 또는 트래픽 플로우가 표시되지 않음을 의미합니다. 이 경우 중간 로그가 생성되지 않습니다.

• 중간 로깅 간격이 플로우의 비활성 타임아웃보다 낮으면, 플로우가 시간 초과되고 중간 로깅 간격이 경과했을 때 중간 로그가 관찰되지 않습니다. 중간 로깅 간격이 가입자 시간 초과 값보다 낮으면, 가입자가 시간이 초과되고 중간 로깅 간격이 경과했을 때 중간 로그가 관찰되지 않습니다. 예를 들어, inactivity-timeout이 2500초로 구성되고 interim-logging이 1800초로 구성된 경우, flow 시간이 초과될 때 이 flow에서 마지막 패킷이 확인된 이후 1800초가 경과한 시점이 있으며, 이 경우 중간 로그가 생성되지 않습니다.

• PBA가 구성된 풀에 대해 중간 로그가 기록됩니다. 서비스 네트워크 처리 장치(NPU)에 PBA 구성이 없는 풀이 있는 경우, 임시 로깅 기능을 사용으로 설정하더라도 중간 로그가 저장되지 않습니다.

• 로그가 생성되어야 하는 간격에 대한 값 범위(예: 0, [1800, 86400])만 구성할 수 있습니다.

• PBA 풀의 네트워크 주소 변환(NAT) 규칙이 포함된 계층 수준에서 syslog [edit services service-sets service-set name nat rule rule-name term term-name then] 문을 [edit system] 사용하여 syslog 생성을 활성화할 수 있습니다. 시스템에서 syslog 기록이 활성화되지 않은 경우 중간 로그가 트리거되지 않습니다.

• 중간 로깅 간격을 설정된 흐름의 비활성 타임아웃 기간보다 높게 구성하는 것이 좋습니다. 또한 중간 로깅 간격을 가입자 시간 초과 값보다 높도록 구성하는 것이 좋습니다. EIM(엔드포인트 독립 매핑)이 구성된 경우, 중간 로깅 간격은 APP(Address Pooling Paired) 제한시간 및 EIM 제한시간 값의 합계보다 커야 합니다.

• 로그 전송은 서비스 PIC가 암호화하지 않는 다른 로그 메시지와 유사한 일반 텍스트 형식으로 발생합니다. 로그 전송 및 로그 수집기의 위치 지정이 보안 영역 내에 있다고 가정합니다. 메시지에는 사용자 이름이나 비밀번호와 같은 민감한 세부 정보가 포함되어 있지 않으므로 메시지는 보안 또는 신뢰성 위험을 야기하지 않습니다. 네트워크 토폴로지, 트래픽 수준 및 모니터링 요구 사항에 따라 로깅 빈도를 구성할 수 있으므로 로그 메시지 생성이 증가해도 로그가 넘쳐날 가능성이 없습니다.

• 마이크로커널의 PBA 로그는 접두사 ASP_*로 시작합니다. 이러한 로그는 접두사 JSERVICES_*로 시작하도록 수정되었습니다. 다음은 마이크로커널 및 디바이스에 설치 및 구성된 Junos OS Extension-Provider 패키지의 PBA 시스템 로그 예입니다.

  Microkernel: 1970-01-01 00:32:36 {nat64}[FWNAT]:ASP_NAT_PORT_BLOCK_ACTIVE: 2001:db8:0:0:0:0:0:2 -> 10.1.1.1:1050-1091 0x6f

  Junos OS Extension-Provider (eJunos): 1970-01-01 00:32:36 {nat64}[FWNAT]:JSERVICES_NAT_PORT_BLOCK_ACTIVE: 2001:db8:0:0:0:0:0:2 -> 10.1.1.1:1050-1091 0x6f

• 또한 syslog 설정을 디바이스의 모든 네트워크 주소 변환(NAT) 풀에 적용할지 또는 특정 네트워크 주소 변환(NAT) 풀에 적용할지 여부에 따라 MS-PIC당 전역 구성 대신 네트워크 주소 변환(NAT) 풀당 중간 로깅 간격을 지정할 수 있습니다. NAT의 경우, 멤버 인터페이스에 jservices-nat 패키지가 구성되어 있어야 합니다. JSERVICES_NAT_PORT_BLOCK_ACTIVE 시스템 로깅 메시지는 PBA에 대한 중간 로깅을 구성할 때 생성됩니다. 다음 샘플 로그는 1800초로 설정된 중간 간격으로 생성된 로그 메시지를 나타냅니다. 연속된 중간 로그 사이의 타임스탬프가 1800초 이상임을 알 수 있습니다.

• Junos OS릴리스 19.3R1부터 128 이외의 소프트와이어 접두사를 구성하면 모든 JSERVICES_NAT_PORT_BLOCK 로그에 접두사가 붙은 B4 주소가 표시됩니다. 다음 JSERVICES_NAT_PORT_BLOCK 수정되었습니다.

  • JSERVICES_NAT_PORT_BLOCK_ALLOC

  • JSERVICES_NAT_PORT_BLOCK_RELEASE

  • JSERVICES_NAT_PORT_BLOCK_ACTIVE

  이전 Junos OS 릴리스에서는 소프트와이어 접두사가 구성되었을 때 JSERVICES_NAT_PORT_BLOCK 로그에 표시된 B4 주소 중 일부가 /128 주소였습니다. 예를 들어, /56 접두사가 구성된 경우 포트 블록 syslog는 다음 B4 주소를 표시합니다.

  • JSERVICES_NAT_PORT_BLOCK_ALLOC에는 특정 포트 블록에서 포트가 할당된 첫 번째 B4의 /128 B4 주소가 표시되었습니다

  • JSERVICES_NAT_PORT_BLOCK_RELEASE에는 포트를 포트 블록으로 다시 해제한 마지막 B4의 /128 B4 주소가 표시되었습니다