Junos 多接入用户平面上的合法拦截

4G 网络上的合法拦截

Junos 多接入用户平面仅支持通过系统架构演进网关用户平面 （SAEGW-U） 进行符合 4G 标准的合法拦截。

图1 显示了参与4G网络上合法拦截的实体以及它们之间的接口。

在4G网络上合法拦截的流程如下：

1. 管理功能 （ADMF） 执行合法拦截系统的整体管理。它通过 X1 接口将包含目标信息的信号发送到控制平面。ADMF 还会通知控制平面要复制哪些用户的流量并将其发送给执法机构。

2. 控制平面 （SAEGW-C） 通过 Sx 接口触发用户平面开始复制订阅者流量。它还发送要将数据转发到的中介和传递功能 （MDF） 的地址。

3. Junos 多接入用户平面 （SAEGW-U） 通过 X3u 接口将重复的流量发送到拆分的 X3 合法拦截互联网络功能 （SX3LIF）。然后，SX3LIF 通过 X3 接口将其转发到 MDF。

4. MDF 从与重复流量一起发送的LI_X3标头派生与拦截相关的信息。然后，它会通过 HI3 接口将截获的流量转发给执法机构。

5G 网络上的合法拦截

Junos 多接入用户平面仅支持通过用户平面功能 （UPF） 或通信拦截点内容 （CC-POI） 进行符合 5G 标准的合法拦截。

图 2 显示了参与合法拦截 5G 网络的实体及其之间的接口。

合法拦截的程序如下：

1. 管理功能 （ADMF） 执行合法拦截系统的整体管理。它通过LI_X1接口将包含目标信息的信号发送到控制平面。它还通知控制平面要复制哪些用户的流量并发送给执法机构。

2. 控制平面 （SMF） 通过 LI_T3 接口触发用户平面开始复制订阅者流量。它还发送要将数据转发到的中介和传递功能 （MDF） 的地址。

3. Junos 多接入用户平面 （UPF） 通过 LI_X3 接口将重复的流量发送到 MDF。

4. MDF 从与重复流量一起发送的LI_X3标头派生与拦截相关的信息。然后，它会通过 HI3 接口将截获的流量转发给执法机构。

合法拦截的要求

要为 4G 网络配置合法拦截，您必须：

• 在 Junos 多路访问用户平面上配置环路地址。此地址用作合法拦截的流量的源地址。

要为 5G 网络配置合法拦截，您必须：

• 在 Junos 多接入用户平面上将环路地址设置为 127.0.0.1/32。此地址用作合法拦截的流量的源地址。

• 使用层次结构下的 [edit system services rest https-5g] REST-API 在 Junos 多接入用户平面上配置 HTTPS 服务器。

  有关 REST API 的更多信息，请参阅 配置 REST API。

  有关证书颁发机构和公钥基础架构的信息，请参阅 Junos OS 中的 PKI。

• （可选）配置 REST-API 的连接限制。我们建议使用此配置来增强合法拦截的性能。

合法拦截的安全注意事项

由于其性质，合法拦截的数据必须以安全的方式传输。3GPP 标准要求必须使用传输层安全性 （TLS） 将 5G 网络上的合法拦截流量发送到中介和交付功能 （MDF）。

Junos 多接入用户平面不支持 TLS，但可以通过 IPsec 隧道向 MDF 发送合法拦截流量。在 Junos 多路访问用户平面上使用 IPsec 时，请确保：

• 配置虚拟多服务接口和下一跃点样式服务集。

  使用以下命令配置虚拟多服务接口：

  使用以下命令配置下一跃点样式的服务集：

  内部服务接口必须是配置了 service-domain inside 的服务接口逻辑单元外部服务接口必须是配置了 service-domain outside的服务接口逻辑单元。

• 配置互联网密钥交换 （IKE）。

  有关 IKE 的详细信息，请参阅 IPsec VPN 的互联网密钥交换 （IKE）。

• 使用 IPsec 隧道模式。

  注意：

  要使用 IPsec，必须在设备上安装 MX-SPC3 服务卡。

  有关配置 IPsec 隧道的详细信息，请参阅 IPsec VPN 配置概述。

如果无法使用 IPsec，我们建议使用通信内容聚合点 （CC-PAG） 设备，该设备在将数据发送到 MDF 之前使用 TLS 对数据进行加密。

注意：

您仍然可以合法拦截 5G 网络上的流量，而无需配置 IPsec。但是，我们建议您使用 IPsec 来符合 3GPP 标准。

SMF 和 UPF 之间的LI_T3接口支持 TLS 加密。可以通过在层次结构下的 [edit system services rest https-5g] 本地 HTTPS 服务器上配置服务器证书和相互身份验证来启用此功能。