加入者の安全ポリシーの概要

レイヤー 2 とレイヤー 3 の両方のデータグラムをインターセプトのサポート

DTCP または RADIUS が開始する SSP が論理サブスクライバ インターフェイスと VLAN サブスクライバ インターフェイス上のトラフィックを代行受信すると、レイヤ 2 とレイヤ 3 の両方のデータグラムがメディエーション デバイスに送信されます。これらのインターフェイスで加入者の安全ポリシーを有効にすると、レイヤー2およびレイヤー3の制御トラフィックを含む、すべての設定済みファミリー(inet、inet6)のトラフィックがミラーリングされます。

DTCPが開始する加入者の安全ポリシーミラーリングされたトラフィックのトラフィックフィルタリング

ミラーリングされたトラフィックは、メディエーション デバイスに送信される前にフィルタリングできます。この機能により、サービス プロバイダーはメディエーション デバイスに送信されるトラフィックの量を減らすことができます。IPTV やビデオ オンデマンドなどの一部のタイプのトラフィックでは、コンテンツ プロバイダーによって既に認識または制御されている場合があるため、トラフィックのコンテンツ全体をミラーリングする必要はありません。

ミラーリング関連のイベントレポート

加入者の安全ポリシーは、ミラーリング操作に関連するイベントを外部デバイスに報告するための SNMPv3 トラップの使用もサポートしています。トラップで送信される情報のタイプには、ユーザー名や IP アドレスなどの加入者の識別情報や、ログインやログアウトのイベント、セッションのアクティブ化や非アクティブ化のミラーリングなどの加入者セッションイベントがあります。トラップは 、IP ネットワーク アクセスの合法的に許可された電子監視(LAES)、電気通信に関する米国国家標準で定義されているメッセージにマッピングされます。

Junos OS リリース 16.1R1 以降では、SNMPv3 トラップがプライバシー(暗号化)で送信されるように、メディエーション デバイスのターゲット パラメーターを設定する必要があります。プライバシーが構成されていないターゲットは、通知を受信できません。

以前のリリースでは、プライバシーなしでターゲット パラメーターを構成して、暗号化されていない通知をメディエーション デバイスに送信できます。また、トラップを特定のターゲットに制限することもできません。

L2TP加入者のサポート

DTCP 開始 SSP と RADIUS 開始 SSP はどちらも、トラフィックがレイヤー 2 トンネリング プロトコル(L2TP)でトンネリングされるポイントツーポイント プロトコル(PPP)加入者に適用できます。DTCP SSP は L2TP ネットワーク サーバ(LNS)の加入者のみをサポートします。一方、RADIUS 発信 SSP は L2TP アクセス コンセントレータ(LAC)または LNS の加入者をサポートします。

LACでは、加入者イングレストラフィック(加入者からトンネルへ)と加入者エグレストラフィック(トンネルから加入者へ)の両方が、加入者向けのイングレスインターフェイスでミラーリングされます。イングレストラフィックは、PPPoE のカプセル化解除後、L2TP カプセル化の前にミラーリングされます。エグレストラフィックは、L2TPのカプセル化解除後にミラーリングされます。ミラーリングされたパケットには、IPデータグラムだけでなく、LNSに送信された完全なHDLCフレームが含まれています。

LNS では、加入者のイングレス トラフィック(LAC から LNS へ)と加入者のエグレス トラフィック(LNS から LAC へ)の両方が、加入者に対応するインライン サービス(si)インターフェイスでミラーリングされます。イングレス トラフィックは、L2TP、HDLC、および PPP ヘッダーのカプセル化解除後にミラーリングされます。エグレストラフィックは、IPデータグラムがカプセル化される前にミラーリングされます。ミラーリングされたトラフィックには、加入者に属するIPデータグラムのみが含まれます。

特定の L2TP SSP 構成はありません。

加入者の安全ポリシートラフィックミラーリング向けJunos OSサービス

加入者のセキュアなポリシーミラーリングでは、 [edit services radius-flow-tap] 階層レベルで設定されたradius-flow-tapサービスを使用する必要があります。このサービスは、加入者の安全なポリシーミラーリングとMXシリーズルーターでのみ使用されます。

似たような名前のJunos OSサービスは他にも存在しますが、加入者の安全ポリシーのミラーリングには使用されていません。

• [edit services flow-tap]階層レベルで設定されたフロータップサービスは、パケットミラーリング向けの古いJunos OSサービスです。このサービスは、メディエーション デバイスからの DTCP(Dynamic Tasking Control Protocol)リクエストを使用して、アクティブ フロー監視ステーション(ルーター)内の IPv4 パケットをインターセプトします。ルーターは DTCP を使用して、フィルター基準に一致するパケットのコピーを 1 つ以上のコンテンツ宛先に送信します。フロータップサービスは、アダプティブサービスPICを使用するMシリーズおよびTシリーズルーターでのみサポートされています。フロータップサービスの詳細については、「フロータップのアーキテクチャについて」を参照してください。

• FlowTapLite サービスは、パケット ミラーリング用のフロータップ サービスの軽量バージョンです。また、 [edit services flow-tap] 階層レベルでも設定されます。FlowTapLiteサービスは、ラインカードではなく、パケット転送エンジンに存在します。傍受されたパケットは、カプセル化のためにトンネル論理インターフェイス(vt-)に送信されるため、サービスにトンネル インターフェイスを割り当てて割り当てる必要があります。MXシリーズルーターおよび拡張IIIフレキシブルPICコンセントレータ(FPC)を搭載したM320ルーターでサポートされています。FlowTapLite とフロータップ サービスを同じルーター上で同時に実行することはできません。FlowTapLiteの詳細については、 FPCを搭載したMXシリーズルーターおよびM320ルーターでのFlowTapLiteの設定を参照してください。

コアエラー発生時のSSPデータの保護

authd、bbe-smgd、または dfcd プロセスでコア エラーが発生すると、コア ダンプ ファイルには、SSP など、プロセスが関係するすべてのプロセスに関連する情報が含まれます。エラー ファイルには、トラフィックがミラーリングされるサブスクライバー、またはミラーリングされたトラフィックを受信するメディエーション デバイスを識別する可能性のある SSP 情報が含まれています。例えば、ファイルには、メディエーション・デバイスの送信元と宛先の IP アドレス、デバイス・ポート、代行受信 ID などの情報が含まれます。

Junos OS リリース 18.4R1 以降、SSP 関連情報はコア ダンプ ファイルで自動的に暗号化され、コア エラーが発生した場合に権限のない人物にこの情報が表示されるのを防ぎます。暗号化はデフォルトで有効になっています。構成は不要で、実行可能です。dfcd コア エラー ファイルには、加入者やデバイスを識別できないトラフィック ミラーリング情報が含まれている場合があります。この情報はマスクされません。FlowTapLite の情報はマスクされません。

加入者の安全ポリシーのライセンス要件

加入者の安全ポリシーを有効にして使用するには、加入者の安全ポリシー ライセンスをインストールして適切に設定する必要があります。