Asignación segura de bloques de puertos

La asignación segura de bloques de puertos garantiza que, cuando un suscriptor requiera que se asigne un puerto por primera vez, se asigne un bloque de puertos al usuario en particular. Aquí, un suscriptor se define de forma única como una dirección IP privada y un ID de conjunto de servicios. Dado que el suscriptor tiene un bloque de puertos asignado, todas las solicitudes posteriores de este suscriptor utilizan puertos del bloque asignado. Se asigna un nuevo bloque de puerto cuando se agota el bloque activo actual o después de que haya expirado el intervalo de tiempo de espera del bloque de puerto activo. Puede configurar el número máximo de bloques asignados a un usuario. Este comportamiento de asignación de puertos TDR en bloques es diferente del programa de utilidad TDR tradicional, en el que la solicitud de un puerto asigna un único puerto y no un grupo de puertos en un bloque.

Puede utilizar el mecanismo de asignación de bloques de puerto seguro para asignar puertos en bloques para los tipos NAPT44 (traducción de una dirección IPv4 a una dirección IPv4) y NAT64 (traducción de una dirección IPv6 a una dirección IPv4). Mediante el uso de la asignación segura de bloques de puertos, el uso del puerto puede ser un poco ineficiente, dependiendo de los patrones de tráfico. La asignación segura de bloques de puerto se admite en enrutadores serie MX con MS-DPC y en enrutadores serie M con PIC multiservicios MS-100, MS-400 y MS-500. A partir de la versión 14.2R2 de Junos OS, se admite la asignación de bloques de puerto seguros en enrutadores serie MX con MS-MPC y MS-MIC.

A partir de Junos OS versión 15.1, en un entorno en el que se emplea Junos Address Aware (TDR grado carrier), los proveedores de servicios u operadores de carrier pueden monitorear y rastrear el consumo de recursos y tipos de servicios que utilizan los suscriptores o usuarios de una manera más fácil y efectiva mediante el uso de mensajes de registro del sistema grabados para la asignación de puertos a los clientes. Mediante el uso de direcciones IP en registros RADIUS o DHCP, se realiza una evaluación de los registros para analizar y determinar el uso de servicios y el consumo de ancho de banda por parte de los suscriptores. Con TDR carrier-grade, debido a que las direcciones IP son compartidas por varios suscriptores, examinar los registros para rastrear las direcciones IP y los puertos que forman parte de los registros del sistema puede llevar mucho tiempo y ser difícil. Además, dado que los puertos se asignan y liberan a intervalos frecuentes en función del inicio de sesión y el cierre de las sesiones de los suscriptores, se activa un gran número de registros por cada asignación y desasignación de puertos. Como resultado, los syslogs excesivos hacen que sea engorroso archivar y correlacionar los registros para identificar a un suscriptor. Ahora puede asignar puertos en bloques, lo que reduce considerablemente la cantidad de syslogs.

Tenga en cuenta los siguientes puntos al configurar una PBA protegida:

• El tamaño de bloque no se puede configurar en el nivel de regla TDR.

• El aumento en la velocidad de instalación de sesiones no se ve afectado cuando se configura un PBA protegido.

• Si un bloque de un tamaño determinado no está disponible, se muestra un mensaje de fuera de puertos y los bloques de tamaño más pequeño no se asignan alternativamente en tal escenario.

• Las direcciones del grupo que utilizan el método de asignación de bloques de puerto no se pueden utilizar en ningún otro grupo.

• El intervalo de puertos del conjunto de TDR debe ser contiguo.

• Conservar la paridad (asignar puertos con la misma paridad que el puerto original) no se admite con la asignación de puertos por bloques.

• La limitación en el número de sesiones abiertas cuando se alcanza el umbral especificado (para servicios de detección de intrusiones) y el número máximo de bloques que se pueden asignar a una dirección de usuario configurada para PBA segura son funcionalidades independientes.

• No se admite la funcionalidad para conservar el intervalo de puertos privilegiados después de la traducción. Los bloques se asignan desde un intervalo de puertos sin privilegios (1024-65535). Para los puertos en un rango privilegiado, el método de asignación de bloques de puerto no es aplicable.

• La eficiencia del uso de puertos es menor cuando se habilita la asignación de bloques de puertos. PBA no utiliza puertos del 0 al 1023 de una dirección IP TDR.

• Si configura el método de asignación automática de puertos, el cual habilita la asignación secuencial de puertos, el intervalo de puertos del 1024 al 65535 estará disponible para su asignación a los usuarios.

• Los bloques de puerto pueden comenzar en cualquier puerto de inicio que pueda configurar.

• La cantidad de puertos utilizados depende del tamaño del bloque y el resto de los puertos no se utilizarán.

• Un grupo sobrecargado, que indica un conjunto de direcciones que se puede usar si el conjunto de origen se agota, no se admite con PBA seguro.

• Las direcciones IP TDR del grupo PBA no deben superponerse con ningún otro grupo. Aunque no se realiza una validación para identificar si existen agrupaciones superpuestas, debe asegurarse de que las direcciones de una agrupación que se usa para PBA no se usan en otras agrupaciones. Esta condición se debe a que algunos de los usuarios requieren que el grupo de sobrecarga utilice las mismas direcciones IP que las direcciones IP de TDR, pero un intervalo de puertos diferente del grupo PBA para admitir la funcionalidad de emparejamiento de agrupación de direcciones (APP).

• El tamaño de bloque es fijo por grupo TDR y se puede configurar a nivel de grupo TDR. Se pueden asignar varios bloques de puerto a una dirección IP privada.

• Puede configurar el número máximo de bloques por grupo por suscriptor incluyendo la max-blocks-per-user max-blocks instrucción en el [edit services nat pool pool-name port secured-port-block-allocation] nivel de jerarquía. Si un suscriptor coincide con dos grupos, a ese usuario en particular se le puede asignar un máximo de bloques de puerto que sea igual a la suma del número máximo de bloques de puerto para cada grupo para ese suscriptor. Las nuevas solicitudes de puertos TDR llegan únicamente del bloque activo actual.

• Los puertos se pueden asignar aleatoriamente desde el bloque activo actual, el cual especifica si los puertos deben asignarse secuencial o aleatoriamente dentro del bloque de puerto.

• Un bloque está activo durante un intervalo de tiempo de espera que puede definir incluyendo el active-block-timeout timeout-seconds en el nivel de [edit services nat pool pool-name port secured-port-block-allocation] jerarquía. Después del período de tiempo de espera, se asigna un nuevo bloque incluso si hay puertos disponibles en el bloque activo. El tiempo de espera predeterminado de un bloque activo es de 120 segundos. Cuando lo configura como 0 (infinito), el bloque activo pasa a inactivo solo cuando se queda sin puertos y se asigna un nuevo bloque.

• Si se supera el número máximo de bloques de bloques y se recibe una nueva solicitud, el bloque activo se mueve a un bloque que contiene los puertos disponibles. Cualquier bloque no activo sin puertos en uso se libera en el conjunto TDR.

• Además de rastrear los bloques de puertos asignados a cada dirección IP privada, también se calculan y mantienen los puertos reales en uso. Esta métrica se utiliza para calcular la eficiencia del uso del puerto.

• Se genera un mensaje syslog para cada asignación y liberación de bloques. El formato del mensaje es similar a los mensajes registrados para la asignación y liberación de puertos individuales.

• La velocidad de configuración de la sesión es la misma o ligeramente mejorada que la tasa de configuración de la asignación sin bloqueo existente. El conjunto de TDR que utiliza el método de asignación de puertos de bloque puede tener intervalos de puertos parciales. Si la dirección se usa para el reenvío de puertos, esos puertos se pueden quitar del intervalo de puertos del grupo. Puede configurar intervalos de puertos parciales mediante la port range low minimum-value high maximum-value random-allocation instrucción en el nivel de [edit services nat pool nat-pool-name] jerarquía. La asignación de bloques de puerto funciona de la misma manera que NAPT44 para el tráfico TCP, UDP e ICMP.

• La aleatoriedad se puede lograr asignando puertos aleatoriamente dentro del bloque y cambiando el bloque activo periódicamente. El bloque de puertos no contiene puertos aleatorios (los puertos dentro del bloque son secuenciales). Esta capacidad es compatible con interfaces de multiservicios agregados (AMS).

• El número de puerto inicial se calcula de forma diferente en el microkernel y en los paquetes de proveedor de extensiones de Junos OS. En el microkernel, el puerto inicial o primer puerto es el múltiplo más cercano del tamaño de bloque después de 1023. En esa implementación, se desperdician más puertos porque los puertos se desperdician al principio y al final del rango de puertos según el tamaño del bloque. En los paquetes de proveedor de extensiones de Junos OS, el puerto de inicio de un bloque no está restringido a un múltiplo del tamaño del bloque. El puerto de inicio puede comenzar en el límite inferior del rango del puerto configurado.