Asignación segura de bloques de puertos

La asignación segura de bloques de puertos garantiza que cuando un suscriptor requiera que se asigne un puerto por primera vez, se asigne un bloque de puertos al usuario en particular. Aquí, un suscriptor se define únicamente como una dirección IP privada y un ID de conjunto de servicios. Debido a que el suscriptor tiene un bloque de puertos asignado, todas las solicitudes posteriores de este suscriptor utilizan puertos del bloque asignado. Se asigna un nuevo bloque de puerto cuando se agota el bloque activo actual o cuando expira el intervalo de tiempo de espera del bloque de puerto activo. Puede configurar el número máximo de bloques asignados a un usuario. Este comportamiento de asignación de puertos NAT en bloques es diferente de la utilidad NAT tradicional, donde la solicitud de un puerto asigna un solo puerto y no un grupo de puertos en un bloque.

Puede utilizar el mecanismo de asignación de bloques de puertos protegidos para asignar puertos en bloques para los tipos NAPT44 (traducción de una dirección IPv4 a una dirección IPv4) y NAT64 (traducción de una dirección IPv6 a una dirección IPv4). Mediante el uso de la asignación de bloques de puertos segura, el uso de puertos puede ser un poco ineficiente, dependiendo de los patrones de tráfico. La asignación segura de bloques de puertos se admite en los enrutadores de la serie MX con MS-DPC y en los enrutadores de la serie M con PIC multiservicios MS-100, MS-400 y MS-500. A partir de Junos OS versión 14.2R2, la asignación segura de bloques de puertos se admite en enrutadores serie MX con MS-MPC y MS-MIC.

A partir de Junos OS versión 15.1, en un entorno en el que se emplea Junos Address Aware (NAT carrier-grade), los proveedores de servicios u operadores de carrier pueden supervisar y rastrear el consumo de recursos y tipos de servicios utilizados por suscriptores o usuarios de una manera más fácil y eficaz mediante el uso de mensajes de registro del sistema registrados para la asignación de puertos a los clientes. Mediante el uso de direcciones IP en los registros RADIUS o DHCP, se realiza una evaluación de los registros para analizar y determinar el uso de servicios y el consumo de ancho de banda por parte de los suscriptores. Con NAT de grado de operador, debido a que las direcciones IP son compartidas por varios suscriptores, examinar los registros para rastrear las direcciones IP y los puertos que forman parte de los registros del sistema puede llevar mucho tiempo y ser difícil. Además, dado que los puertos se asignan y liberan a intervalos frecuentes en función del inicio de sesión y el cierre de las sesiones de suscriptor, se activa un gran número de registros para cada asignación y asignación de puertos. Como resultado, los syslogs excesivos hacen que sea engorroso archivar y correlacionar los registros para identificar a un suscriptor. Ahora puede asignar puertos en bloques, lo que reduce considerablemente la cantidad de syslogs.

Tenga en cuenta los siguientes puntos cuando configure PBA segura:

• El tamaño del bloque no se puede configurar en el nivel de regla NAT.

• El aumento en la velocidad de configuración de las sesiones no se ve afectado cuando se configura PBA seguro.

• Si un bloque de un tamaño determinado no está disponible, se muestra un mensaje de fuera de puertos y los bloques de menor tamaño no se asignan alternativamente en tal escenario.

• Las direcciones del grupo que usan el método de asignación de bloques de puertos no se pueden usar en ningún otro grupo.

• El intervalo de puertos del grupo NAT debe ser contiguo.

• Conservar paridad (asignar puertos con la misma paridad que el puerto original) no se admite con la asignación de bloques de puertos.

• La limitación del número de sesiones abiertas cuando se alcanza el umbral especificado (para los servicios de detección de intrusiones) y el número máximo de bloques que se pueden asignar a una dirección de usuario configurada para PBA segura son funcionalidades independientes.

• No se admite la funcionalidad para conservar el intervalo de puertos privilegiados después de la traducción. Los bloques se asignan desde un rango de puertos sin privilegios (1024-65535). Para puertos en rango privilegiado, el método de asignación de bloques de puertos no es aplicable.

• La eficiencia del uso de puertos es menor cuando la asignación de bloques de puertos está habilitada. PBA no utiliza puertos del 0 al 1023 de una dirección IP NAT.

• Si configura el método de asignación automática de puertos, que permite la asignación secuencial de puertos, el intervalo de puertos del 1024 al 65535 está disponible para su asignación a los usuarios.

• Los bloques de puerto pueden iniciarse en cualquier puerto de inicio que pueda configurar.

• El número de puertos utilizados depende del tamaño del bloque y el resto de los puertos no se utilizan.

• Un grupo sobrecargado, que indica un grupo de direcciones que se puede usar si el grupo de origen se agota, no es compatible con PBA protegido.

• Las direcciones IP NAT del grupo PBA no deben superponerse con ningún otro grupo. Aunque no se realiza una validación para identificar si existen grupos superpuestos, debe asegurarse de que las direcciones de un grupo que se usa para PBA no se usan en otros grupos. Esta condición se debe a que algunos de los usuarios requieren que el grupo de sobrecarga use las mismas direcciones IP que las direcciones IP NAT, pero un intervalo de puertos diferente del grupo PBA para admitir la funcionalidad de agrupación de direcciones emparejadas (APP).

• El tamaño del bloque se fija por grupo NAT y se puede configurar en el nivel del grupo NAT. Se pueden asignar varios bloques de puertos a una dirección IP privada.

• Puede configurar el número máximo de bloques por grupo por suscriptor incluyendo la max-blocks-per-user max-blocks instrucción en el [edit services nat pool pool-name port secured-port-block-allocation] nivel de jerarquía. Si un suscriptor coincide con dos grupos, a ese usuario en particular se le puede asignar un máximo de bloques de puertos que es igual a la suma del número máximo de bloques de puertos para cada grupo para ese suscriptor. Las nuevas solicitudes de puertos NAT llegan solo del bloque activo actual.

• Los puertos se pueden asignar aleatoriamente desde el bloque activo actual, que especifica si los puertos deben asignarse secuencial o aleatoriamente dentro del bloque de puertos.

• Un bloque está activo durante un intervalo de tiempo de espera que puede definir incluyendo el en el active-block-timeout timeout-seconds nivel de [edit services nat pool pool-name port secured-port-block-allocation] jerarquía. Después del período de tiempo de espera, se asigna un nuevo bloque incluso si hay puertos disponibles en el bloque activo. El tiempo de espera predeterminado de un bloque activo es de 120 segundos. Cuando lo configura como 0 (infinito), el bloque activo pasa a inactivo solo cuando se queda sin puertos y se asigna un nuevo bloque.

• Si se supera el número máximo de bloques de bloques y se recibe una nueva solicitud, el bloque activo se mueve a un bloque que contiene los puertos disponibles. Cualquier bloque no activo sin ningún puerto en uso se libera al grupo NAT.

• Además de rastrear bloques de puertos asignados a cada dirección IP privada, también se calculan y mantienen los puertos reales en uso. Esta métrica se utiliza para calcular la eficiencia del uso de puertos.

• Se genera un mensaje syslog para cada asignación y liberación de bloques. El formato del mensaje es similar a los mensajes grabados para la asignación y liberación de puertos individuales.

• La tasa de configuración de la sesión es la misma o ligeramente mejorada que la tasa de configuración de asignación sin bloques existente. El grupo de NAT que usa el método de asignación de puertos de bloque puede tener rangos de puertos parciales. Si la dirección se usa para el reenvío de puertos, esos puertos se pueden quitar del intervalo de puertos del grupo. Puede configurar intervalos parciales de puertos mediante la instrucción en el nivel de port range low minimum-value high maximum-value random-allocation [edit services nat pool nat-pool-name] jerarquía. La asignación de bloques de puertos funciona de la misma manera que NAPT44 para el tráfico TCP, UDP e ICMP.

• La aleatoriedad se puede lograr asignando puertos aleatoriamente dentro del bloque y cambiando el bloque activo periódicamente. El bloque de puertos no contiene puertos aleatorios (los puertos dentro del bloque son secuenciales). Esta capacidad se admite con interfaces de multiservicios agregados (ams).

• El número de puerto inicial se calcula de forma diferente en el microkernel y en los paquetes Junos OS Extension-Provider. En el microkernel, el puerto inicial o primer es el múltiplo más cercano del tamaño de bloque después de 1023. En esa implementación, se desperdician más puertos porque los puertos se desperdician al principio y al final del rango de puertos, dependiendo del tamaño del bloque. En los paquetes del proveedor de extensiones de Junos OS, el puerto de inicio de un bloque no está restringido a un múltiplo del tamaño del bloque. El puerto de inicio puede comenzar en el límite inferior del intervalo del puerto configurado.