[GTER] CGNAT Cisco ASR - Set-Size e Step-size

Maicon R Fracasso fracassomaicon at gmail.com
Thu Apr 22 16:37:36 -03 2021 

Olá Fernando,
Sobre suas 2 colocações!

1 - Nosso sistema de coleta e armazenagem é somente disponibilizado para
nosso setor jurídico (operador, diretor, advogado etc) que fazem as
análises de registros perante solicitações Judiciais etc.
Bem colocado de sua parte este quesito. Seguimos esta linha por você
descrito!

2 - Com relação ao STEP-SIZE e SET-SIZE
Se você utilizar o BPA (não utilizando o parâmetro LIMIT na conf de NAT),
terá um parâmetro máximo de 512 portas por IP privado no SET-SIZE, com isso
terá problemas de alocação de falta de portas para o IP privado
constantemente, optando em usar STEP-SIZE 1
Recomendo avaliar o perfil de acesso dos usuários para determinar até que
ponto poderá alocar portas por IP privado, no caso utilizar o máximo de
STEP-SIZE 8 (ou seja 8x 512 portas = 4096 portas por IP Privado) e não
ficar limitado ao default que é 1.
O lado bom de se utilizar este modelo é uma melhor utilização do POOL
público designado para o CGNAT

- Se não utilizar o LIMIT
SET-SIZE
  128  ports in each port set allocation
  256  ports in each port set allocation
  512  ports in each port set allocation
  64   ports in each port set allocation

STEP-SIZE
  1  port step size (default)
  2  port step size
  4  port step size
  8  port step size

- Se você optar por utilizar LIMIT:
SET-SIZE
  1024  ports in each port set allocation
  128   ports in each port set allocation
  2048  ports in each port set allocation
  256   ports in each port set allocation
  512   ports in each port set allocation
  64    ports in each port set allocation

STEP-SIZE
  1  port step size (default)
  2  port step size

Neste cenário, utilizar SET-SIZE 1 é interessante, caso contrário poderá
ter problemas com falta de portas para alocação por IP público do POOL.

O modo de alocação de portas será dinâmico (no exemplo acima descrito) com
range de 512 portas, se o IP privado precisar de mais (e estando com
STEP-SIZE maior de 1) ele alocará um novo range de portas baseado na conf
de SET-SIZE.
Para usuários que usam recursos que necessitam muitas portas simultâneas, o
BPA nesse modo de configuração é espetacular

Abraços

__
Maicon Fracasso
CGR - AdylNet Telecom

Em qui., 22 de abr. de 2021 às 16:10, Fernando Frediani <
fhfrediani at gmail.com> escreveu:

> Olá
>
> Para não sequestrar a thread alterei o subject para poder comentar sobre
> 2 pontos relacionados a mensagem abaixo:
>
> - Sempre vale reforçar a recomendação para não fornecer esses logs para
> Polícia e/ou Ministério Público de maneira automática
> sem antes
> consultar o jurídico que assessora a empresa pois nesses dois casos
> diferente da requisição vindo diretamente de um juiz o investigado ainda
> não é conhecido e a solicitação além dos dados de cadastro pede também
> para que seja realizada uma quebra de sigilo o que pelo Art. 22 do Marco
> Civil exige especificamente autorização de um juiz.
>
> - Com relação aos parâmetros SET-SIZE e STEP-SIZE um detalhe
> interessante é que a documentação da Cisco diz que para os
> ALGs
> funcionarem corretamente com Bulk Porta Allocation o step-size precisa
> ser sempre 1.
> Nesse sentido queria perguntar aos colegas que estão usando Cisco para
> CGNAT com BPA se estão utilizando o step-size configurado dessa maneira
> e no caso de não estarem se chegaram a observar algum problema
> relacionado à aplicações que dependem de ALGs para funcionar.
>
> Obrigado
> Fernando
>
> On 22/04/2021 10:35, Maicon R Fracasso wrote:
> > Bom dia!
> > Sim, criamos uma solução eficaz para isso, no caso escrevemos
> um software
> > de coleta para analisar os LOG's (CGNAT) exportados por FLOW dos cisco
> ASR.
> > Assim ficou bem prático para qualquer operador, direção,
> jurídico etc fazer
> > as análises perante solicitação judicial, policial ou ministério público.
> >
> > O Detalhe principal se dá ao fato de o Flow do CGNAT com BPA ser
> exportado
> > usando a tecnologia NEL da cisco, quase todos os coletores que testamos
> não
> > interpretam o NEL, ficando assim impossível ler os dados.
> > Criamos então um coletor nosso, para resolver o problema.
> >
> > Existe a possibilidade de usar o GrayLog, ele até lê NEL, mas
> o modo de
> > apresentação e pesquisa dos dados é uma parto.
> > A apresentação da consulta de uma porta, se dará ao range feito pelo BPA
> > (levando em consideração a configuração de SET-SIZE
> e STEP-SIZE no seu ASR)
> >
> > Alguns têm utilizado "LIMIT" no lugar do BPA (nas conf de cgnat do
> ASR
> > cisco) a fim de "fazer uma espécie de cgnat DETERMINÍSTICO" (acho um
> > desperdício de pool e dos recursos  que o BPA fornece)
> >
> > Abraços
> >
> > __
> > Maicon Fracasso
> > CGR - AdylNet Telecom
> >
> > Em ter., 20 de abr. de 2021 às 14:31, Michael Stein <
> michafelipe at hotmail.com>
> > escreveu:
> >
> >> Boa tarde,
> >>
> >> Alguem tem a soluçao para este problema em questao?
> >>
> >>
> >> Att;
> >>
> >> Michael Stein
> >>
> >> ________________________________
> >> De: gter <gter-bounces at eng.registro.br> em nome de tiago martini <
> >> tiago at martiniti.com.br>
> >> Enviado: quinta-feira, 4 de março de 2021 15:15
> >> Para: Grupo de Trabalho de Engenharia e Operacao de Redes <
> >> gter at eng.registro.br>
> >> Assunto: Re: [GTER] LOG's CGNAT Cisco ASR
> >>
> >> Pessoal, estou com sintoma parecido aqui.. Conseguiram contornar de
> alguma
> >> forma, tendo em vista que o modo "syslog" faz com que o processamento da
> >> caixa dispare?
> >>
> >>
> >>
> >>
> >>
> >> Atenciosamente,
> >>
> >>
> >>
> >>
> >>         Tiago Martini
> >>
> >>        MARTINI TI
> >>
> >>         Consultoria em Redes, Servidores e ISPs
> >>
> >>         (51) 98654-1890
> >>
> >>
> >>
> >>
> >>
> >>
> >>
> >>
> >>
> >>
> >> ---- Ativado Qui, 28 jan 2021 17:24:57 -0300 Wagner Bento <
> >> wagner at seanet.com.br> escreveu ----
> >>
> >>
> >> Aqui também tenho essas linhas no meu:
> >>
> >> parameter-map type inspect global
> >>   log flow-export v9 udp destination IP-SERVER PORTA
> >>   log flow-export template timeout-rate 1
> >> multilink bundle-name authenticated
> >>
> >>
> >> Atenciosamente.
> >>
> >>
> >> Em qui., 28 de jan. de 2021 às 15:04, Maicon R Fracasso <
> >> mailto:fracassomaicon at gmail.com> escreveu:
> >>
> >>> Olá a todos.
> >>>
> >>> Estou tendo alguns problemas quanto à exportação de flows CGNAT em
> caixas
> >>> cisco ASR 1002 e 1006.
> >>> Ocorre que, os dados coletados pela ferramenta retornam campos nulos,
> >> mais
> >>> especificamente, port e nf_dst.
> >>>
> >>> -----
> >>> NetFlowV9 [100.64.206.254]:null <> [null]:null proto:1 pkts:0 bytes:0
> >>>
> >>> nf_dst
> >>> null:null
> >>> -----
> >>>
> >>> Esta Ferramenta (graylog) já está em produção e funcionando bem com
> >> caixas
> >>> de outras fabricantes, somente com cisco ASR isso ocorre.
> >>>
> >>> Faço o export dos log's no ASR com a seguinte linha:
> >>> ip nat log translations flow-export v9 udp destination x.x.x.x 2055
> >> source
> >>> Loopback0 bind-only
> >>>
> >>> Alguém já passou por algo parecido?
> >>>
> >>> Abaixo informações de meu cenário:
> >>> - graylog-plugin-netflow 0.1.1
> >>> - graylog-server 4.0.2-1
> >>> - elasticsearch 6.8.13
> >>> - Cisco ASR1002
> >>> - Cisco ASR1006
> >>>
> >>> --
> >>> Maicon
> >>> --
> >>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>
> >> --
> >> gter list https://eng.registro.br/mailman/listinfo/gter
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list