Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

가입자 보안 정책 개요

가입자 보안 정책을 사용하면 가입자별로 트래픽을 미러링할 수 있습니다. 가입자 트래픽의 컨텐츠를 미러링할 수 있을 뿐만 아니라 미러링 중인 가입자 세션과 관련된 이벤트를 모니터링할 수도 있습니다.

SSP(가입자 보안 정책) 미러링은 RADIUS 또는 DTCP(Dynamic Tasking Control Protocol)에서 제공하는 정보를 기반으로 할 수 있으며 IPv4 및 IPv6 트래픽 모두를 미러링할 수 있습니다. 가입자 보안 정책 미러링 구성은 실제 미러링 세션과 무관하므로 언제든지 미러링 매개 변수를 구성할 수 있습니다. 또한 단일 RADIUS 또는 DTCP 서버를 사용하여 서비스 프로바이더의 네트워크에 있는 여러 라우터에서 미러링 작업을 프로비저닝할 수 있습니다. 보안을 제공하기 위해 가입자 보안 정책 구성 요소 및 구성을 구성, 액세스 및 보는 기능은 인증된 사용자로 제한됩니다.

가입자 보안 정책이 트리거된 후 가입자의 수신 및 발신 트래픽이 모두 미러링됩니다. 원래 트래픽은 의도한 대상으로 전송되고 미러링된 트래픽은 분석을 위해 중재 디바이스로 전송됩니다. 실제 미러링 작업은 트래픽이 미러링되는 가입자에게 투명합니다. 특수 UDP/IP 헤더는 미디에이션 디바이스로 전송된 각 미러링된 패킷 앞에 추가됩니다. 중재 디바이스는 헤더를 사용하여 서로 다른 소스에서 도착하는 여러 미러링된 스트림을 구별합니다.

메모:

이 기능을 사용하려면 라이선스가 필요합니다. 가입자 액세스 라이선싱에 대한 자세한 내용은 가입자 액세스 라이선싱 개요를 참조하십시오. 라이선스 관리에 대한 일반 정보는 주니퍼 라이선싱 가이드를 참조하십시오. MX 시리즈 5G 유니버설 라우팅 플랫폼의 제품 데이터시트를 참조하거나 주니퍼 어카운트 팀 또는 주니퍼 파트너에게 문의하십시오.

레이어 2 및 레이어 3 데이터그램 모두 가로채기 지원

DTCP 또는 RADIUS 시작 SSP가 논리적 가입자 인터페이스 및 VLAN 가입자 인터페이스에서 트래픽을 가로챌 때 레이어 2 및 레이어 3 데이터그램을 모두 중재 디바이스로 보냅니다. 이러한 인터페이스에 대해 가입자 보안 정책을 활성화하면 레이어 2 및 레이어 3 제어 트래픽을 포함하여 구성된 모든 제품군(inet, inet6)에 대한 트래픽이 미러링됩니다.

DTCP 시작 가입자 보안 정책 미러링 트래픽에 대한 트래픽 필터링

미러링된 트래픽은 중재 디바이스로 전송되기 전에 필터링할 수 있습니다. 이 기능을 통해 서비스 프로바이더는 미디에이션 디바이스로 전송되는 트래픽 양을 줄일 수 있습니다. IPTV 또는 주문형 비디오와 같은 일부 유형의 트래픽의 경우 콘텐츠가 서비스 제공자에 의해 이미 알려지거나 제어될 수 있으므로 트래픽의 전체 콘텐츠를 미러링할 필요가 없습니다.

미러링 관련 이벤트 보고

또한 가입자 보안 정책은 SNMPv3 트랩을 사용하여 미러링 작업과 관련된 이벤트를 외부 디바이스에 보고하는 것을 지원합니다. 트랩에서 전송되는 정보 유형에는 사용자 이름 또는 IP 주소와 같은 가입자에 대한 식별 정보와 로그인 또는 로그아웃 이벤트 또는 미러링 세션 활성화 또는 비활성화와 같은 가입자 세션 이벤트가 포함됩니다. 트랩은 미국 국가 통신 표준인 IP 네트워크 액세스에 대한 LAES(Lawfully Authorized Electronic Surveillance)에 정의된 메시지에 매핑됩니다.

Junos OS 릴리스 16.1R1부터 SNMPv3 트랩이 개인 정보 보호(암호화)와 함께 전송되도록 중재 디바이스에 대한 대상 매개 변수를 구성해야 합니다. 개인 정보가 구성되지 않은 대상은 알림을 받을 수 없습니다.

이전 릴리스에서는 개인 정보 보호 없이 대상 매개 변수를 구성하여 암호화되지 않은 알림을 중재 디바이스로 전송할 수 있었습니다. 또한 트랩을 특정 대상으로 제한할 수 없습니다.

L2TP 가입자 지원

DTCP 시작 SSP와 RADIUS 시작 SSP 모두 트래픽이 L2TP(Layer 2 Tunneling Protocol)로 터널링되는 PPP(Point-to-Point Protocol) 가입자에게 적용될 수 있습니다. DTCP SSP는 L2TP 네트워크 서버(LNS)에서만 구독자를 지원하는 반면 RADIUS 시작 SSP는 L2TP LAC(Access Concentrator) 또는 LNS에서 구독자를 지원합니다.

LAC에서 가입자 수신 트래픽(가입자에서 터널로)과 가입자 송신 트래픽(터널에서 가입자로)은 모두 가입자 대면 수신 인터페이스에서 미러링됩니다. 수신 트래픽은 PPPoE 캡슐화 해제 후 및 L2TP 캡슐화 전에 미러링됩니다. 송신 트래픽은 L2TP 캡슐화 해제 후에 미러링됩니다. 미러링된 패킷에는 IP 데이터그램뿐만 아니라 LNS로 전송된 전체 HDLC 프레임이 포함됩니다.

LNS에서 가입자 수신 트래픽(LAC에서 LNS로)과 가입자 송신 트래픽(LNS에서 LAC로)은 모두 가입자에 해당하는 인라인 서비스(si) 인터페이스에서 미러링됩니다. 수신 트래픽은 L2TP, HDLC 및 PPP 헤더의 캡슐화 해제 후 미러링됩니다. 송신 트래픽은 IP 데이터그램이 캡슐화되기 전에 미러링됩니다. 미러링된 트래픽에는 가입자에 속한 IP 데이터그램만 포함됩니다.

특정 L2TP SSP 구성은 없습니다.

가입자 보안 정책 트래픽 미러링을 위한 Junos OS 서비스

가입자 보안 정책 미러링은 계층 수준에서 구성된 [edit services radius-flow-tap] radius-flow-tap 서비스를 사용해야 합니다. 이 서비스는 가입자 보안 정책 미러링에만 사용되며 MX 시리즈 라우터에서만 사용됩니다.

비슷한 이름을 가진 다른 Junos OS 서비스가 있지만 가입자 보안 정책 미러링에 사용되지 않습니다.

  • 계층 수준에서 [edit services flow-tap] 구성된 플로우 탭 서비스는 패킷 미러링을 위한 오래된 Junos OS 서비스입니다. 이 서비스는 중재 디바이스의 DTCP(Dynamic Tasking Control Protocol) 요청을 사용하여 활성 플로우 모니터링 스테이션(라우터)에서 IPv4 패킷을 가로챕니다. 라우터는 DTCP를 사용하여 필터 기준과 일치하는 패킷의 사본을 하나 이상의 콘텐츠 대상으로 보냅니다. 플로우 탭 서비스는 Adaptive Services PIC를 사용하는 M 시리즈 및 T 시리즈 라우터에서만 지원됩니다. 플로우 탭 서비스에 대한 자세한 내용은 플로우 탭 아키텍처 이해를 참조하십시오.

  • FlowTapLite 서비스는 패킷 미러링을 위한 플로우 탭 서비스의 경량 버전입니다. 또한 계층 수준에서도 [edit services flow-tap] 구성됩니다. FlowTapLite 서비스는 라인 카드가 아닌 패킷 전달 엔진에 상주합니다. 가로챈 패킷은 캡슐화를 위해 터널 논리 인터페이스(vt-)로 전송되므로, 서비스에 터널 인터페이스를 할당하고 할당해야 합니다. MX 시리즈 라우터와 Enhanced III FPC(Flexible PIC Concentrator)가 장착된 M320 라우터에서 지원됩니다. FlowTapLite와 플로우 탭 서비스를 동일한 라우터에서 동시에 실행할 수 없습니다. FlowTapLite에 대한 자세한 내용은 MX 시리즈 라우터 및 FPC가 있는 M320 라우터에서 FlowTapLite 구성을 참조하십시오.

코어 오류 발생 시 SSP 데이터 보호

authd, bbe-smgd 또는 dfcd 프로세스에서 핵심 오류를 생성하는 경우 코어 덤프 파일에는 SSP를 포함하여 프로세스와 관련된 모든 정보가 포함됩니다. 오류 파일에는 트래픽이 미러링된 가입자 또는 미러링된 트래픽을 수신하는 중재 디바이스를 식별할 수 있는 SSP 정보가 포함되어 있습니다. 예를 들어, 파일에는 중개 디바이스의 소스 및 대상 IP 주소, 디바이스 포트 및 인터셉트 ID와 같은 정보가 포함됩니다.

Junos OS 릴리스 18.4R1부터 SSP 관련 정보는 코어 덤프 파일에서 자동으로 암호화되어 코어 오류 발생 시 권한이 없는 사람이 이 정보를 볼 수 없도록 합니다. 암호화는 기본적으로 활성화되어 있습니다. 구성이 필요하거나 가능하지 않습니다. dfcd 코어 오류 파일에는 가입자 또는 장치를 식별하지 않는 트래픽 미러링 정보가 포함될 수 있습니다. 이 정보는 마스킹되지 않습니다. FlowTapLite 정보는 마스킹되지 않습니다.

메모:

SSP와 관련된 정보는 일시적인 상태일 때 암호화되지 않습니다. 예를 들어, 데이터가 RADIUS 또는 DTCP 서버로부터 수신되었지만 아직 암호화되지 않았을 때 코어 오류가 발생하는 경우입니다.

가입자 보안 정책 라이선싱 요구 사항

가입자 보안 정책을 활성화하고 사용하려면 가입자 보안 정책 라이선스를 설치하고 올바르게 구성해야 합니다.

변경 내역 테이블

기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.

석방
묘사
18.4R1
Junos OS 릴리스 18.4R1부터 SSP 관련 정보는 코어 덤프 파일에서 자동으로 암호화되어 코어 오류 발생 시 권한이 없는 사람이 이 정보를 볼 수 없도록 합니다.