보안 포트 블록 할당

보안 포트 블록 할당은 가입자가 처음으로 포트 할당을 요구할 때 포트 블록이 특정 사용자에게 할당되도록 합니다. 여기서 가입자는 사설 IP 주소 및 서비스 집합 ID로 고유하게 정의됩니다. 가입자에게 할당된 포트 블록이 있기 때문에 이 가입자의 모든 후속 요청은 할당된 블록의 포트를 사용합니다. 현재 활성 블록이 소진되거나 활성 포트 블록 시간 제한 간격이 만료된 후에 새 포트 블록이 할당됩니다. 사용자에게 할당되는 최대 블록 수를 구성할 수 있습니다. 블록에서 NAT 포트를 할당하는 이러한 동작은 포트에 대한 요청이 블록의 포트 그룹이 아닌 단일 포트를 할당하는 기존 NAT 유틸리티와 다릅니다.

보안 포트 블록 할당 메커니즘을 사용하여 NAPT44(IPv4 주소를 IPv4 주소로 변환) 및 NAT64(IPv6 주소를 IPv4 주소로 변환) 유형에 대한 블록에 포트를 할당할 수 있습니다. 보안 포트 블록 할당을 사용하면 트래픽 패턴에 따라 포트 사용이 약간 비효율적일 수 있습니다. 보안 포트 블록 할당은 MS-DPC가 있는 MX 시리즈 라우터와 MS-100, MS-400 및 MS-500 멀티서비스 PIC가 있는 M Series 라우터에서 지원됩니다. Junos OS 릴리스 14.2R2부터는 MS-MPC 및 MS-MIC가 있는 MX 시리즈 라우터에서 보안 포트 블록 할당이 지원됩니다.

Junos OS 릴리스 15.1부터 Junos Address Aware(서비스 프로바이더급 NAT)가 사용되는 환경에서는 서비스 프로바이더 또는 서비스 프로바이더 운영자가 클라이언트에 포트를 할당하기 위해 기록된 시스템 로깅 메시지를 사용하여 보다 쉽고 효과적인 방식으로 가입자 또는 사용자가 사용하는 리소스 및 서비스 유형의 소비를 모니터링하고 추적할 수 있습니다. RADIUS 또는 DHCP 로그에서 IP 주소를 사용하여 로그를 평가하여 가입자의 서비스 사용량 및 대역폭 소비를 분석합니다. 서비스 프로바이더급 NAT를 사용하면 IP 주소가 여러 가입자에 의해 공유되기 때문에 시스템 로그의 일부인 IP 주소와 포트를 추적하기 위해 로그를 검사하는 것은 시간이 많이 걸리고 어려울 수 있습니다. 또한 가입자 세션의 로그인 및 폐쇄에 따라 포트가 빈번하게 할당 및 해제되기 때문에 모든 포트 할당 및 할당 해제에 대해 많은 수의 로그가 트리거됩니다. 그 결과, 과도한 syslog는 가입자를 식별하기 위해 로그를 보관하고 상호 연관시키는 것을 번거롭게 만듭니다. 이제 포트를 블록에 할당할 수 있으므로 syslog의 양을 상당히 줄일 수 있습니다.

보안 PBA를 구성할 때 다음 사항에 유의하세요.

• 블록 크기는 NAT 규칙 수준에서 구성할 수 없습니다.

• 세션 설정 속도의 증가는 보안 PBA를 구성할 때 영향을 주지 않습니다.

• 특정 크기의 블록을 사용할 수 없는 경우 out-of-port 메시지가 표시되고 이러한 시나리오에서 더 작은 크기의 블록은 대안으로 할당되지 않습니다.

• port-block-allocation 방법을 사용하는 풀의 주소는 다른 풀에서 사용할 수 없습니다.

• NAT 풀의 포트 범위는 연속적이어야 합니다.

• 패리티 유지(원래 포트와 동일한 패리티를 가진 포트 할당)는 포트 블록 할당과 함께 지원되지 않습니다.

• 지정된 임계값에 도달할 때 열려 있는 세션 수에 대한 제한(침입 탐지 서비스의 경우)과 보안 PBA를 위해 구성된 사용자 주소에 할당할 수 있는 최대 블록 수는 독립적인 기능입니다.

• 변환 후 권한 있는 포트 범위를 보존하는 기능은 지원되지 않습니다. 블록은 권한이 없는 포트 범위(1024-65535)에서 할당됩니다. 특권 범위에 있는 포트의 경우, 포트 블록 할당 방법이 적용되지 않습니다.

• 포트 블록 할당이 활성화되면 포트 사용 효율성이 낮아집니다. PBA는 NAT IP 주소의 0-1023 포트를 사용하지 않습니다.

• 포트를 순차적으로 할당할 수 있는 자동 포트 할당 방법을 구성하는 경우 1024에서 65535까지의 포트 범위를 사용자에게 할당할 수 있습니다.

• 포트 블록은 구성할 수 있는 모든 시작 포트에서 시작할 수 있습니다.

• 사용되는 포트 수는 블록 크기에 따라 달라지며 나머지 포트는 사용되지 않습니다.

• 소스 풀이 고갈될 경우 사용할 수 있는 주소 풀을 나타내는 오버로드된 풀은 보안 PBA에서 지원되지 않습니다.

• PBA 풀의 NAT IP 주소는 다른 풀과 겹치지 않아야 합니다. 겹치는 풀이 있는지 여부를 식별하기 위한 유효성 검사는 수행되지 않지만 PBA에 사용되는 풀의 주소가 다른 풀에서 사용되지 않는지 확인해야 합니다. 이 조건은 일부 사용자가 오버로드 풀이 NAT IP 주소와 동일한 IP 주소를 사용하지만 APP(주소 풀링 페어링) 기능을 지원하기 위해 PBA 풀의 다른 포트 범위를 필요로 하기 때문입니다.

• 블록 크기는 NAT 풀당 고정되며 NAT 풀 수준에서 구성할 수 있습니다. 여러 포트 블록을 사설 IP 주소에 할당할 수 있습니다.

• 계층 수준에서 문을 [edit services nat pool pool-name port secured-port-block-allocation] 포함하여 max-blocks-per-user max-blocks 가입자당 풀당 최대 블록 수를 구성할 수 있습니다. 가입자가 두 풀과 일치하는 경우 해당 특정 사용자는 해당 가입자의 각 풀에 대한 최대 포트 블록 수의 합과 동일한 최대 포트 블록을 할당받을 수 있습니다. NAT 포트에 대한 새로운 요청은 현재 활성 블록에서만 도착합니다.

• 포트는 현재 활성 블록에서 무작위로 할당될 수 있으며, 이는 포트가 포트 블록 내에서 순차적으로 할당되어야 하는지 아니면 무작위로 할당되어야 하는지 여부를 지정합니다.

• 블록은 계층 수준에서 을(를 active-block-timeout timeout-seconds [edit services nat pool pool-name port secured-port-block-allocation] ) 포함하여 정의할 수 있는 타임아웃 간격 동안 활성화됩니다. 시간 초과 기간이 지나면 활성 블록에서 포트를 사용할 수 있더라도 새 블록이 할당됩니다. 활성 블록의 기본 타임아웃은 120초입니다. 0(무한)으로 구성하면 활성 블록은 포트가 부족하고 새 블록이 할당될 때만 비활성으로 전환됩니다.

• 최대 블록 수가 초과되고 새 요청이 수신되면 활성 블록은 사용 가능한 포트가 포함된 블록으로 이동됩니다. 사용 중인 포트가 없는 비활성 블록은 NAT 풀로 해제됩니다.

• 각 프라이빗 IP 주소에 할당된 포트 블록을 추적할 뿐만 아니라 사용 중인 실제 포트도 계산되고 유지 관리됩니다. 이 메트릭은 포트 사용 효율성을 계산하는 데 사용됩니다.

• 각 블록 할당 및 릴리스에 대해 syslog 메시지가 생성됩니다. 메시지 형식은 개별 포트 할당 및 해제에 대해 기록된 메시지와 유사합니다.

• 세션 설정 속도는 기존의 비블록 할당 설정 속도와 동일하거나 약간 개선되었습니다. 블록 포트 할당 방법을 사용하는 NAT 풀은 부분 포트 범위를 가질 수 있습니다. 주소가 포트 전달에 사용되는 경우 해당 포트를 풀 포트 범위에서 제거할 수 있습니다. 계층 수준에서 문을 [edit services nat pool nat-pool-name] 사용하여 port range low minimum-value high maximum-value random-allocation 부분 포트 범위를 구성할 수 있습니다. 포트 블록 할당은 TCP, UDP 및 ICMP 트래픽에 대해 NAPT44와 동일한 방식으로 작동합니다.

• 임의성은 블록 내에서 포트를 무작위로 할당하고 활성 블록을 주기적으로 변경하여 달성할 수 있습니다. 포트 블록은 임의의 포트를 포함하지 않습니다(블록 내의 포트는 순차적임). 이 기능은 통합 멀티서비스(ams) 인터페이스에서 지원됩니다.

• 시작 포트 번호는 마이크로커널과 Junos OS Extension-Provider 패키지에서 다르게 계산됩니다. 마이크로커널에서 시작 또는 첫 번째 포트는 1023 이후의 블록 크기에서 가장 가까운 배수입니다. 이 구현에서는 블록 크기에 따라 포트 범위의 시작과 끝에서 포트가 낭비되기 때문에 더 많은 포트가 낭비됩니다. Junos OS Extension-Provider 패키지에서 블록의 시작 포트는 블록 크기의 배수로 제한되지 않습니다. 시작 포트는 구성된 포트 범위의 하한에서 시작할 수 있습니다.