订阅者安全策略概述
订阅者安全策略使您能够基于每个订阅者镜像流量。您可以镜像订阅者流量的内容,并监控与正在镜像的订阅者会话相关的事件。
订阅者安全策略 (SSP) 镜像可以基于 RADIUS 或动态任务控制协议 (DTCP) 提供的信息,并且可以镜像 IPv4 和 IPv6 流量。订阅者安全策略镜像的配置与实际镜像会话无关 — 您可以随时配置镜像参数。此外,您可以使用单个 RADIUS 或 DTCP 服务器在服务提供商网络中的多个路由器上配置镜像操作。为了提供安全性,配置、访问和查看订阅者安全策略组件和配置的能力仅限于授权用户。
触发订阅者安全策略后,将镜像订阅者的传入和传出流量。原始流量将发送到其预期目标,镜像流量将发送到中介设备进行分析。实际的镜像操作对于正在镜像其流量的订阅者是透明的。发送到中介设备的每个镜像数据包都会前置一个特殊的 UDP/IP 报头。中介设备使用标头来区分来自不同源的多个镜像流。
此功能需要许可证。若要了解有关订阅者访问许可的详细信息,请参阅 订阅者访问许可概述。有关许可证管理的一般信息,请参阅 瞻博网络许可指南 。有关详细信息,请参阅 MX 系列 5G 通用路由平台 的产品介绍,或联系您的瞻博网络客户团队或瞻博网络合作伙伴。
支持同时拦截第 2 层和第 3 层数据报
当 DTCP 或 RADIUS 启动的 SSP 拦截逻辑订阅者接口和 VLAN 用户接口上的流量时,它会将第 2 层和第 3 层数据报发送到中介设备。为这些接口启用订阅者安全策略时,将镜像所有已配置系列(inet、inet6)的流量,包括第 2 层和第 3 层控制流量。
DTCP 启动的订阅者安全策略镜像流量的流量过滤
您可以在将镜像流量发送到中介设备之前对其进行筛选。借助此功能,服务提供商可以减少发送到中介设备的流量。对于某些类型的流量(如 IPTV 或视频点播),您无需镜像流量的全部内容,因为服务提供商可能已经知道或控制了这些内容。
镜像相关事件报告
订阅者安全策略还支持使用 SNMPv3 陷阱向外部设备报告与镜像操作相关的事件。陷阱中发送的信息类型包括订阅者的标识信息(如用户名或 IP 地址)和订阅者会话事件(如登录或注销事件或镜像会话激活或停用)。陷阱映射到美国 国家电信标准 IP 网络访问合法授权电子监控 (LAES) 中定义的消息。
从 Junos OS 16.1R1 版开始,您必须为中介设备配置目标参数,以便在发送时隐私(加密)发送 SNMPv3 陷阱。未配置隐私的目标无法接收通知。
在早期版本中,您可以在没有隐私的情况下配置目标参数,从而允许将未加密的通知发送到中介设备。也不能将陷阱限制为特定目标。
支持 L2TP 用户
DTCP 启动和 RADIUS 启动的 SSP 均可应用于流量使用第 2 层隧道协议 (L2TP) 隧道传输的点对点协议 (PPP) 用户。DTCP SSP 仅支持 L2TP 网络服务器 (LNS) 上的订阅者,而 RADIUS 发起的 SSP 支持 L2TP 访问集中器 (LAC) 或 LNS 上的订阅者。
在 LAC 上,用户入口流量(从订阅者进入隧道)和用户出口流量(从隧道到用户)都会在面向用户的入口接口上镜像。入口流量在 PPPoE 解封装之后和 L2TP 封装之前进行镜像。出口流量在 L2TP 解封装后镜像。镜像数据包包括发送到 LNS 的完整 HDLC 帧,而不仅仅是 IP 数据报。
在 LNS 上,订阅者入口流量(从 LAC 到 LNS)和订阅者出口流量(从 LNS 到 LAC)都会在与订阅者对应的内联服务 (si) 接口上镜像。入口流量在解封装 L2TP、HDLC 和 PPP 标头后进行镜像。在封装 IP 数据报之前,将镜像出口流量。镜像流量仅包含属于订阅者的 IP 数据报。
没有特定的 L2TP SSP 配置。
适用于订阅者安全策略流量镜像的 Junos OS 服务
订阅者安全策略镜像需要使用在层次结构级别配置 [edit services radius-flow-tap] 的 RADIUS-FLOW-tap 服务。此服务仅用于订阅者安全策略镜像,并且仅用于 MX 系列路由器。
还有其他具有类似名称的 Junos OS 服务,但它们不用于订阅者安全策略镜像:
在层次结构级别配置
[edit services flow-tap]的 flow-tap 服务是用于数据包镜像的较旧 Junos OS 服务。此服务使用来自中介设备的动态任务控制协议 (DTCP) 请求来拦截活动流监控站(路由器)中的 IPv4 数据包。路由器使用 DTCP 将与过滤条件匹配的数据包副本发送到一个或多个内容目标。流点服务仅在使用自适应服务 PIC 的 M 系列和 T 系列路由器上受支持。有关流点击服务的信息,请参阅 了解流点击架构。FlowTapLite 服务是用于数据包镜像的 flow-tap 服务的轻量级版本。它也在
[edit services flow-tap]层次结构级别进行配置。FlowTapLite 服务驻留在数据包转发引擎上,而不是线卡上。截获的数据包将发送到隧道逻辑接口 (vt-) 进行封装,因此您必须为服务分配和分配隧道接口。MX 系列路由器和配备增强型 III 灵活 PIC 集中器 (FPC) 的 M320 路由器均支持此功能。您不能在同一路由器上同时运行 FlowTapLite 和 flow-tap 服务。有关 FlowTapLite 的信息,请参阅 在 MX 系列路由器和带 FPC 的 M320 路由器上配置 FlowTapLite。
生成核心错误时保护 SSP 数据
当 authd、bbe-smgd 或 dfcd 进程生成核心错误时,核心转储文件将包含与进程所涉及的任何内容(包括 SSP)相关的信息。错误文件包含的 SSP 信息可能会标识其流量被镜像的订阅者或接收镜像流量的中介设备。例如,这些文件包括中介设备的源和目标 IP 地址、设备端口和拦截 ID 等信息。
从 Junos OS 18.4R1 版开始,与 SSP 相关的信息会自动加密在核心转储文件中,以防止在发生核心错误时未经授权的人员看到此信息。默认情况下启用加密;不需要或不可能进行任何配置。dfcd 核心错误文件可能包含无法识别订阅者或设备的流量镜像信息;此信息不会被屏蔽。FlowTapLite 信息不会被屏蔽。
与 SSP 相关的信息在处于瞬态时不会加密;例如,当数据已从 RADIUS 或 DTCP 服务器接收但尚未加密时发生。
订阅者安全策略许可要求
要启用和使用订阅者安全策略,必须安装并正确配置订阅者安全策略许可证。
更改历史记录表
功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。