Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

订阅者安全策略概述

使用订阅者安全策略,您可以按订阅者镜像流量。您可以镜像订阅者流量的内容,并监控与正在镜像的订阅者会话相关的事件。

订阅者安全策略 (SSP) 镜像可以基于 RADIUS 或动态任务控制协议 (DTCP) 提供的信息,并且可以镜像 IPv4 和 IPv6 流量。订阅者安全策略镜像的配置与实际镜像会话无关,您可以随时配置镜像参数。此外,您可以使用单个 RADIUS 或 DTCP 服务器在服务提供商网络中的多个路由器上配置镜像作。为提供安全性,只有授权用户才能配置、访问和查看订阅者安全策略组件和配置。

触发订阅者安全策略后,订阅者的传入和传出流量都会被镜像。原始流量被发送到其预期目的,镜像流量被发送到调解设备进行分析。实际的镜像作对于其流量被镜像的订阅者是透明的。发送到调解设备的每个镜像数据包都会前置一个特殊的 UDP/IP 报头。调解设备使用标头来区分从不同源传入的多个镜像流。

注意:

此功能需要许可证。若要了解有关订阅者访问许可的详细信息,请参阅 订阅者访问许可概述。有关许可证管理的一般信息,请参阅 瞻博网络许可指南 。有关详细信息,请参阅 MX 系列 5G 通用路由平台 的产品介绍,或联系您的瞻博网络客户团队或瞻博网络合作伙伴。

支持拦截第 2 层和第 3 层数据报

当 DTCP 或 RADIUS 启动的 SSP 拦截逻辑用户接口和 VLAN 用户接口上的流量时,它会将第 2 层和第 3 层数据报都发送至调解设备。为这些接口启用用户安全策略时,所有已配置家族(inet、inet6)的流量,包括第 2 层和第 3 层控制流量,都将被镜像。

流量过滤,适用于 DTCP 启动的用户安全策略镜像流量

您可以先过滤镜像流量,然后再将其发送到调解设备。借助此功能,服务提供商可以减少发送到调解设备的流量。对于某些类型的流量(如 IPTV 或视频点播),您不需要镜像流量的全部内容,因为服务提供商可能已经知道或控制了这些内容。

镜像相关事件报告

订阅者安全策略还支持使用 SNMPv3 陷阱将与镜像作相关的事件报告给外部设备。陷阱中发送的信息类型包括订阅者的标识信息(如用户名或 IP 地址)和订阅者会话事件(例如登录或注销事件或镜像会话激活或停用)。陷阱会映射到美国国家 电信标准 IP 网络接入合法授权电子监控 (LAES) 中定义的消息。

从 Junos OS 16.1R1 版开始,必须配置中介设备的目标参数,以便以隐私方式发送 SNMPv3 陷阱(加密)。未配置隐私功能的目标无法接收通知。

在早期版本中,您可以在没有隐私的情况下配置目标参数,从而允许将未加密的通知发送到中介设备。您也不能将陷阱限制为特定目标。

支持 L2TP 订阅者

DTCP 启动和 RADIUS 发起的 SSP 均可应用于流量通过第 2 层隧道协议 (L2TP) 隧道传输的点对点协议 (PPP) 用户。L2TP 接入集中器 (LAC) 或 L2TP 网络服务器 (LNS) 上由 DTCP 启动的 SSP 和 RADIUS 启动的 SSP 支持用户。

在 LAC 上,用户入口流量(从用户进入隧道)和用户出口流量(从隧道到用户)都会在面向用户的入口接口上镜像。入口流量在 PPPoE 解封装之后和 L2TP 封装之前进行镜像。出口流量在 L2TP 解封装后被镜像。镜像数据包包括发送到 LNS 的完整 HDLC 帧,而不仅仅是 IP 数据报。

在 LNS 上,用户入口流量(从 LAC 到 LNS)和用户出口流量(从 LNS 到 LAC)都会镜像到与用户对应的内联服务 (si) 接口。L2TP、HDLC 和 PPP 标头解封装后,入口流量将被镜像。在封装 IP 数据报之前,出口流量会进行镜像。镜像流量仅包含属于订阅者的 IP 数据报。

没有特定的 L2TP SSP 配置。

Junos OS 订阅者安全策略服务 流量镜像

订阅者安全策略镜像需要使用在 [edit services radius-flow-tap] 层次结构级别配置的 radius-flow-tap 服务。此服务仅用于订阅者安全策略镜像,且仅适用于 MX 系列路由器。

还有其他具有类似名称的 Junos OS 服务,但它们不用于订阅者安全策略镜像:

  • [edit services flow-tap] 层次结构级别配置的流监测服务是用于数据包镜像的旧版 Junos OS 服务。此服务使用来自调解设备的动态任务控制协议 (DTCP) 请求来拦截活动流监控站(路由器)中的 IPv4 数据包。路由器使用 DTCP 将与过滤条件匹配的数据包副本发送到一个或多个内容目标。流监测服务仅在使用自适应服务 PIC 的 M Series 和 T Series 路由器上受支持。有关流监测服务的信息,请参阅 了解流监测体系结构

  • FlowTapLite 服务是用于数据包镜像的流监测服务的轻量级版本。它还在层次结构级别进行 [edit services flow-tap] 配置。FlowTapLite 服务驻留在数据包转发引擎上,而不是线卡上。截获的数据包将被发送到隧道逻辑接口 (vt-) 进行封装,因此您必须为服务分配隧道接口。MX 系列路由器和配备增强型 III 灵活 PIC 集中器 (FPC) 的 M320 路由器支持此功能。您不能在同一台路由器上同时运行 FlowTapLite 和 flow-tap 服务。有关 FlowTapLite 的信息,请参阅 在带有 FPC 的 MX 系列路由器和 M320 路由器上配置 FlowTapLite

生成核心错误时保护 SSP 数据

当 authd、bbe-smgd 或 dfcd 进程生成核心错误时,核心转储文件将包含与进程涉及的任何内容(包括 SSP)相关的信息。错误文件包含 SSP 信息,这些信息可能会标识其流量被镜像的订阅者或接收镜像流量的中介设备。例如,这些文件包含信息,例如调解设备的源 IP 地址和目标 IP 地址、设备端口和拦截 ID。

从 Junos OS 18.4R1 版开始,核心转储文件中会自动加密与 SSP 相关的信息,以防止在发生核心错误时未经授权的人员查看此信息。默认情况下,加密处于启用状态;无需或不可能进行任何配置。dfcd 核心错误文件可能包含无法识别订阅者或设备的流量镜像信息;此信息不会被屏蔽。FlowTapLite 信息不会被屏蔽。

注意:

与 SSP 相关的信息在处于瞬态状态时不加密;例如,如果从 RADIUS 或 DTCP 服务器接收数据但尚未加密时发生核心错误。

订阅者安全策略许可要求

要启用和使用订阅者安全策略,必须安装并正确配置订阅者安全策略许可证。

相关主题

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。

释放
描述
18.4R1
从 Junos OS 18.4R1 版开始,核心转储文件中会自动加密与 SSP 相关的信息,以防止在发生核心错误时未经授权的人员查看此信息。