보안 포트 블록 할당

보안 포트 블록 할당은 가입자가 처음으로 포트를 할당해야 할 때 특정 사용자에게 포트 블록이 할당되도록 합니다. 여기서, 가입자는 사설 IP 주소 및 서비스 세트 ID로 고유하게 정의됩니다. 가입자에게는 할당된 포트 블록이 있기 때문에 이 가입자의 모든 후속 요청은 할당된 블록의 포트를 사용합니다. 현재 활성 블록이 모두 사용되거나 활성 포트 블록 시간 초과 간격이 만료된 후에 새 포트 블록이 할당됩니다. 사용자에게 할당되는 최대 블록 수를 구성할 수 있습니다. NAT 포트를 블록으로 할당하는 이러한 동작은 포트 요청이 블록의 포트 그룹이 아닌 단일 포트를 할당하는 기존 NAT 유틸리티와 다릅니다.

보안 포트 블록 할당 메커니즘을 사용하여 NAPT44(IPv4 주소를 IPv4 주소로 변환) 및 NAT64(IPv6 주소를 IPv4 주소로 변환) 유형에 대한 블록을 할당할 수 있습니다. 보안 포트 블록 할당을 사용하면 트래픽 패턴에 따라 포트 사용이 약간 비효율적일 수 있습니다. 보안 포트 블록 할당은 MS-DC가 있는 MX 시리즈 라우터와 MS-100, MS-400 및 MS-500 MultiServices PICS가 있는 M 시리즈 라우터에서 지원됩니다. Junos OS 릴리스 14.2R2부터 MS-MPC 및 MS-MIC가 있는 MX 시리즈 라우터에서 보안 포트 블록 할당이 지원됩니다.

Junos OS 릴리스 15.1부터 Junos Address Aware(서비스 프로바이더급 NAT)가 사용되는 환경에서 서비스 프로바이더 또는 캐리어 운영자는 클라이언트에 포트를 할당하기 위해 기록된 시스템 로깅 메시지를 사용하여 가입자 또는 사용자가 사용하는 리소스 사용량과 서비스 유형을 보다 쉽고 효과적인 방식으로 모니터링하고 추적할 수 있습니다. RADIUS 또는 DHCP 로그의 IP 주소를 사용하여 로그 평가를 수행하여 가입자의 서비스 사용량 및 대역폭 사용량을 분석하고 결정합니다. 서비스 프로바이더급 NAT를 사용하면 IP 주소가 여러 가입자에 의해 공유되기 때문에 시스템 로그의 일부인 IP 주소 및 포트를 추적하기 위해 로그를 검사하는 데 시간이 많이 걸리고 어려울 수 있습니다. 또한 가입자 세션의 로그인 및 종료에 따라 포트가 빈번한 간격으로 할당 및 해제되기 때문에 모든 포트 할당 및 할당 해제에 대해 많은 수의 로그가 트리거됩니다. 그 결과, 과도한 syslog는 가입자를 식별하기 위해 로그를 보관하고 상호 연관시키는 것을 번거롭게 만듭니다. 이제 포트를 블록으로 할당하여 syslog의 양을 상당히 줄일 수 있습니다.

보안 PBA를 구성할 때 다음 사항을 염두에 두세요.

• 블록 크기는 NAT 규칙 수준에서 구성할 수 없습니다.

• 세션 설정 속도의 증가는 보안 PBA를 구성할 때 영향을 받지 않습니다.

• 특정 크기의 블록을 사용할 수 없는 경우 out-of-ports 메시지가 표시되고 이러한 시나리오에서 더 작은 크기의 블록이 대안으로 할당되지 않습니다.

• port-block-allocation 방법을 사용하는 풀의 주소는 다른 풀에서 사용할 수 없습니다.

• NAT 풀의 포트 범위는 연속적이어야 합니다.

• 패리티 유지(원래 포트와 동일한 패리티로 포트 할당)는 포트의 블록 할당에서 지원되지 않습니다.

• 지정된 임계값에 도달할 때 열려 있는 세션 수에 대한 제한(침입 탐지 서비스의 경우)과 보안 PBA를 위해 구성된 사용자 주소에 할당할 수 있는 최대 블록 수는 독립적인 기능입니다.

• 변환 후 권한 있는 포트 범위를 유지하는 기능은 지원되지 않습니다. 블록은 권한이 없는 포트 범위(1024-65535)에서 할당됩니다. 권한 범위 내의 포트의 경우, 포트 블록 할당 방법을 적용할 수 없습니다.

• 포트 블록 할당이 활성화되면 포트 사용 효율성이 낮아집니다. PBA는 NAT IP 주소의 0-1023 포트를 사용하지 않습니다.

• 포트를 순차적으로 할당할 수 있는 자동 포트 할당 방법을 구성하는 경우 1024에서 65535까지의 포트 범위를 사용자에게 할당할 수 있습니다.

• 포트 블록은 구성할 수 있는 모든 시작 포트에서 시작할 수 있습니다.

• 사용되는 포트 수는 블록 크기에 따라 달라지며 나머지 포트는 사용되지 않습니다.

• 원본 풀이 소진될 경우 사용할 수 있는 주소 풀을 나타내는 오버로드된 풀은 보안 PBA에서 지원되지 않습니다.

• PBA 풀의 NAT IP 주소는 다른 풀과 겹치지 않아야 합니다. 겹치는 풀이 있는지 여부를 식별하기 위한 유효성 검사는 수행되지 않지만 PBA에 사용되는 풀의 주소가 다른 풀에서 사용되지 않는지 확인해야 합니다. 이 조건은 일부 사용자가 오버로드 풀이 NAT IP 주소와 동일한 IP 주소를 사용해야 하지만 APP(주소 풀링 페어링) 기능을 지원하기 위해 PBA 풀의 다른 포트 범위를 사용해야 하기 때문입니다.

• 블록 크기는 NAT 풀별로 고정되며 NAT 풀 수준에서 구성할 수 있습니다. 사설 IP 주소에 여러 포트 블록을 할당할 수 있습니다.

• 계층 수준에서 문을 [edit services nat pool pool-name port secured-port-block-allocation] 포함하여 max-blocks-per-user max-blocks 가입자당 풀당 최대 블록 수를 구성할 수 있습니다. 가입자가 두 개의 풀과 일치하면 해당 특정 사용자에게 해당 가입자의 각 풀에 대한 최대 포트 블록 수의 합계와 동일한 최대 포트 블록을 할당할 수 있습니다. NAT 포트에 대한 새로운 요청은 현재 활성 블록에서만 도착합니다.

• 포트는 현재 활성 블록에서 무작위로 할당될 수 있으며, 이는 포트가 포트 블록 내에서 순차적으로 할당되어야 하는지 또는 무작위로 할당되어야 하는지를 지정합니다.

• 블록은 계층 수준에서 을 active-block-timeout timeout-seconds [edit services nat pool pool-name port secured-port-block-allocation] (를) 포함하여 정의할 수 있는 시간 초과 간격 동안 활성화됩니다. 타임아웃 기간이 지나면 활성 블록에서 포트를 사용할 수 있더라도 새 블록이 할당됩니다. 활성 블록의 기본 타임아웃은 120초입니다. 0(무한)으로 구성하면 활성 블록은 포트가 부족하고 새 블록이 할당될 때만 비활성으로 전환됩니다.

• 최대 블록 블록 수를 초과하고 새 요청이 수신되면 활성 블록이 사용 가능한 포트가 포함된 블록으로 이동됩니다. 사용 중인 포트가 없는 모든 비활성 블록은 NAT 풀로 해제됩니다.

• 각 프라이빗 IP 주소에 할당된 포트 블록을 추적하는 것 외에도 사용 중인 실제 포트도 계산되고 유지 관리됩니다. 이 메트릭은 포트 사용 효율성을 계산하는 데 사용됩니다.

• 각 블록 할당 및 릴리스에 대해 syslog 메시지가 생성됩니다. 메시지 형식은 개별 포트 할당 및 해제를 위해 기록된 메시지와 유사합니다.

• 세션 셋업 레이트는 기존의 비블록 할당 셋업 레이트와 동일하거나 약간 개선되었습니다. 블록 포트 할당 방법을 사용하는 NAT 풀은 부분적인 포트 범위를 가질 수 있습니다. 주소가 포트 전달에 사용되는 경우 풀 포트 범위에서 해당 포트를 제거할 수 있습니다. 계층 수준에서 문을 사용하여 port range low minimum-value high maximum-value random-allocation 부분적인 [edit services nat pool nat-pool-name] 포트 범위를 구성할 수 있습니다. 포트 블록 할당은 TCP, UDP 및 ICMP 트래픽에 대한 NAPT44와 동일한 방식으로 작동합니다.

• 블록 내에서 포트를 무작위로 할당하고 활성 블록을 주기적으로 변경하여 임의성을 달성할 수 있습니다. 포트 블록에는 임의의 포트가 포함되지 않습니다(블록 내의 포트는 순차적임). 이 기능은 ams(Aggregated Multiservices) 인터페이스에서 지원됩니다.

• 시작 포트 번호는 마이크로커널과 Junos OS 확장 공급자 패키지에서 다르게 계산됩니다. 마이크로커널에서 시작 또는 첫 번째 포트는 1023 이후 블록 크기의 가장 가까운 배수입니다. 이 구현에서는 블록 크기에 따라 포트 범위의 시작과 끝에서 포트가 낭비되기 때문에 더 많은 포트가 낭비됩니다. Junos OS 확장 공급자 패키지에서 블록의 시작 포트는 블록 크기의 배수로 제한되지 않습니다. 시작 포트는 구성된 포트 범위의 하한에서 시작할 수 있습니다.