가입자 보안 정책 개요

레이어 2 및 레이어 3 데이터그램 모두 가로채기 지원

DTCP 또는 RADIUS 시작 SSP가 논리적 가입자 인터페이스 및 VLAN 가입자 인터페이스에서 트래픽을 가로챌 때 레이어 2 및 레이어 3 데이터그램을 모두 중재 디바이스로 보냅니다. 이러한 인터페이스에 대해 가입자 보안 정책을 활성화하면 레이어 2 및 레이어 3 제어 트래픽을 포함하여 구성된 모든 제품군(inet, inet6)에 대한 트래픽이 미러링됩니다.

DTCP 시작 가입자 보안 정책 미러링 트래픽에 대한 트래픽 필터링

미러링된 트래픽은 중재 디바이스로 전송되기 전에 필터링할 수 있습니다. 이 기능을 통해 서비스 프로바이더는 미디에이션 디바이스로 전송되는 트래픽 양을 줄일 수 있습니다. IPTV 또는 주문형 비디오와 같은 일부 유형의 트래픽의 경우 콘텐츠가 서비스 제공자에 의해 이미 알려지거나 제어될 수 있으므로 트래픽의 전체 콘텐츠를 미러링할 필요가 없습니다.

미러링 관련 이벤트 보고

또한 가입자 보안 정책은 SNMPv3 트랩을 사용하여 미러링 작업과 관련된 이벤트를 외부 디바이스에 보고하는 것을 지원합니다. 트랩에서 전송되는 정보 유형에는 사용자 이름 또는 IP 주소와 같은 가입자에 대한 식별 정보와 로그인 또는 로그아웃 이벤트 또는 미러링 세션 활성화 또는 비활성화와 같은 가입자 세션 이벤트가 포함됩니다. 트랩은 미국 국가 통신 표준인 IP 네트워크 액세스에 대한 LAES(Lawfully Authorized Electronic Surveillance)에 정의된 메시지에 매핑됩니다.

Junos OS 릴리스 16.1R1부터 SNMPv3 트랩이 개인 정보 보호(암호화)와 함께 전송되도록 중재 디바이스에 대한 대상 매개 변수를 구성해야 합니다. 개인 정보가 구성되지 않은 대상은 알림을 받을 수 없습니다.

이전 릴리스에서는 개인 정보 보호 없이 대상 매개 변수를 구성하여 암호화되지 않은 알림을 중재 디바이스로 전송할 수 있었습니다. 또한 트랩을 특정 대상으로 제한할 수 없습니다.

L2TP 가입자 지원

DTCP 시작 SSP와 RADIUS 시작 SSP 모두 트래픽이 L2TP(Layer 2 Tunneling Protocol)로 터널링되는 PPP(Point-to-Point Protocol) 가입자에게 적용될 수 있습니다. DTCP SSP는 L2TP 네트워크 서버(LNS)에서만 구독자를 지원하는 반면 RADIUS 시작 SSP는 L2TP LAC(Access Concentrator) 또는 LNS에서 구독자를 지원합니다.

LAC에서 가입자 수신 트래픽(가입자에서 터널로)과 가입자 송신 트래픽(터널에서 가입자로)은 모두 가입자 대면 수신 인터페이스에서 미러링됩니다. 수신 트래픽은 PPPoE 캡슐화 해제 후 및 L2TP 캡슐화 전에 미러링됩니다. 송신 트래픽은 L2TP 캡슐화 해제 후에 미러링됩니다. 미러링된 패킷에는 IP 데이터그램뿐만 아니라 LNS로 전송된 전체 HDLC 프레임이 포함됩니다.

LNS에서 가입자 수신 트래픽(LAC에서 LNS로)과 가입자 송신 트래픽(LNS에서 LAC로)은 모두 가입자에 해당하는 인라인 서비스(si) 인터페이스에서 미러링됩니다. 수신 트래픽은 L2TP, HDLC 및 PPP 헤더의 캡슐화 해제 후 미러링됩니다. 송신 트래픽은 IP 데이터그램이 캡슐화되기 전에 미러링됩니다. 미러링된 트래픽에는 가입자에 속한 IP 데이터그램만 포함됩니다.

특정 L2TP SSP 구성은 없습니다.

가입자 보안 정책 트래픽 미러링을 위한 Junos OS 서비스

가입자 보안 정책 미러링은 계층 수준에서 구성된 [edit services radius-flow-tap] radius-flow-tap 서비스를 사용해야 합니다. 이 서비스는 가입자 보안 정책 미러링에만 사용되며 MX 시리즈 라우터에서만 사용됩니다.

비슷한 이름을 가진 다른 Junos OS 서비스가 있지만 가입자 보안 정책 미러링에 사용되지 않습니다.

• 계층 수준에서 [edit services flow-tap] 구성된 플로우 탭 서비스는 패킷 미러링을 위한 오래된 Junos OS 서비스입니다. 이 서비스는 중재 디바이스의 DTCP(Dynamic Tasking Control Protocol) 요청을 사용하여 활성 플로우 모니터링 스테이션(라우터)에서 IPv4 패킷을 가로챕니다. 라우터는 DTCP를 사용하여 필터 기준과 일치하는 패킷의 사본을 하나 이상의 콘텐츠 대상으로 보냅니다. 플로우 탭 서비스는 Adaptive Services PIC를 사용하는 M 시리즈 및 T 시리즈 라우터에서만 지원됩니다. 플로우 탭 서비스에 대한 자세한 내용은 플로우 탭 아키텍처 이해를 참조하십시오.

• FlowTapLite 서비스는 패킷 미러링을 위한 플로우 탭 서비스의 경량 버전입니다. 또한 계층 수준에서도 [edit services flow-tap] 구성됩니다. FlowTapLite 서비스는 라인 카드가 아닌 패킷 전달 엔진에 상주합니다. 가로챈 패킷은 캡슐화를 위해 터널 논리 인터페이스(vt-)로 전송되므로, 서비스에 터널 인터페이스를 할당하고 할당해야 합니다. MX 시리즈 라우터와 Enhanced III FPC(Flexible PIC Concentrator)가 장착된 M320 라우터에서 지원됩니다. FlowTapLite와 플로우 탭 서비스를 동일한 라우터에서 동시에 실행할 수 없습니다. FlowTapLite에 대한 자세한 내용은 MX 시리즈 라우터 및 FPC가 있는 M320 라우터에서 FlowTapLite 구성을 참조하십시오.

코어 오류 발생 시 SSP 데이터 보호

authd, bbe-smgd 또는 dfcd 프로세스에서 핵심 오류를 생성하는 경우 코어 덤프 파일에는 SSP를 포함하여 프로세스와 관련된 모든 정보가 포함됩니다. 오류 파일에는 트래픽이 미러링된 가입자 또는 미러링된 트래픽을 수신하는 중재 디바이스를 식별할 수 있는 SSP 정보가 포함되어 있습니다. 예를 들어, 파일에는 중개 디바이스의 소스 및 대상 IP 주소, 디바이스 포트 및 인터셉트 ID와 같은 정보가 포함됩니다.

Junos OS 릴리스 18.4R1부터 SSP 관련 정보는 코어 덤프 파일에서 자동으로 암호화되어 코어 오류 발생 시 권한이 없는 사람이 이 정보를 볼 수 없도록 합니다. 암호화는 기본적으로 활성화되어 있습니다. 구성이 필요하거나 가능하지 않습니다. dfcd 코어 오류 파일에는 가입자 또는 장치를 식별하지 않는 트래픽 미러링 정보가 포함될 수 있습니다. 이 정보는 마스킹되지 않습니다. FlowTapLite 정보는 마스킹되지 않습니다.

가입자 보안 정책 라이선싱 요구 사항

가입자 보안 정책을 활성화하고 사용하려면 가입자 보안 정책 라이선스를 설치하고 올바르게 구성해야 합니다.