Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

用户安全策略概述

订阅者安全策略允许您基于每个订阅者镜像流量。您可以镜像订阅者流量的内容,并监控与正在镜像的用户会话相关的事件。

用户安全策略 (SSP) 镜像可以基于 RADIUS 或动态任务控制协议 (DTCP) 提供的信息,并且可以镜像 IPv4 和 IPv6 流量。用户安全策略镜像的配置独立于实际的镜像会话,您可以随时配置镜像参数。此外,您还可以使用单个 RADIUS 或 DTCP 服务器在服务提供商网络中的多台路由器上配置镜像作。为了提供安全性,配置、访问和查看订阅者安全策略组件和配置的能力仅限于授权用户。

触发用户安全策略后,将同时镜像用户的传入和传出流量。原始流量被发送到其预期目的地,镜像流量被发送到中介设备进行分析。实际的镜像作对于正在镜像流量的用户是透明的。发送至调解设备的每个镜像数据包均会前置一个特殊的 UDP/IP 报头。调解设备使用标头来区分来自不同源的多个镜像流。

注意:

此功能需要许可证。要了解有关订阅者访问许可的更多信息,请参阅订阅 者访问许可概述。请参阅 瞻博网络许可指南 ,了解有关许可证管理的常规信息。请参阅 MX 系列 5G 通用路由平台 的产品介绍以了解详细信息,或联系您的瞻博网络客户团队或瞻博网络合作伙伴。

支持拦截第 2 层和第 3 层数据报

当 DTCP 或 RADIUS 启动的 SSP 拦截逻辑用户接口和 VLAN 用户接口上的流量时,它会将第 2 层和第 3 层数据报都发送至调解设备。为这些接口启用用户安全策略后,将镜像所有已配置家族(inet、inet6)的流量,包括第 2 层和第 3 层控制流量。

DTCP 发起的用户流量过滤 安全策略 镜像流量

在将镜像流量发送到中介设备之前,您可以过滤镜像流量。借助此功能,服务提供商可以减少发送到中介设备的流量。对于某些类型的流量(如 IPTV 或视频点播),无需镜像流量的全部内容,因为内容可能已被服务提供商知道或控制。

镜像相关事件报告

用户安全策略还支持使用 SNMPv3 陷阱将与镜像作相关的事件报告到外部设备。陷阱中发送的信息类型包括订阅者的识别信息(例如用户名或 IP 地址)和订阅者会话事件(例如登录或注销事件或镜像会话激活或停用)。这些陷阱会映射到 美国国家电信标准 IP 网络访问合法授权电子监控 (LAES) 中定义的消息。

从 Junos OS 16.1R1 版开始,您必须为调解设备配置目标参数,以便以隐私(加密)方式发送 SNMPv3 陷阱。未配置隐私的目标无法接收通知。

在早期版本中,可以配置没有隐私的目标参数,从而允许将未加密的通知发送到中介设备。您也不能将陷阱限制为特定目标。

支持 L2TP 订阅者

DTCP 发起和 RADIUS 发起的 SSP 均可应用于流量通过第 2 层隧道协议 (L2TP) 建立隧道的点对点协议 (PPP) 用户。DTCP 启动的 SSP 和 RADIUS 启动的 SSP 可支持 L2TP 接入集中器 (LAC) 或 L2TP 网络服务器 (LNS) 上的订阅者。

在 LAC 上,用户入口流量(从用户到隧道)和用户出口流量(从隧道到用户)都在面向用户的入口接口上进行镜像。入口流量在 PPPoE 解封装之后和 L2TP 封装之前进行镜像。出口流量在 L2TP 解封装后进行镜像。镜像数据包包括发送至 LNS 的完整 HDLC 帧,而不仅包括 IP 数据报。

在 LNS,用户入口流量(从 LAC 到 LNS)和用户出口流量(从 LNS 到 LAC)都镜像在与用户对应的内联服务 (si) 接口上。在对 L2TP、HDLC 和 PPP 标头解封装后,将镜像入口流量。在封装 IP 数据报之前,将对出口流量进行镜像。镜像流量仅包含属于订阅者的 IP 数据报。

没有特定的 L2TP SSP 配置。

适用于订阅者安全策略流量镜像的 Junos OS 服务

用户安全策略镜像需要使用在层次结构级别配置 [edit services radius-flow-tap] 的 radius-flow-tap 服务。此服务仅用于订阅者安全策略镜像,并且仅用于 MX 系列路由器。

还有其他名称相似的 Junos OS 服务,但它们不用于订阅者安全策略镜像:

  • 在层次结构级别配置 [edit services flow-tap] 的流监测服务是一种用于数据包镜像的较旧 Junos OS 服务。此服务使用来自调解设备的动态任务控制协议 (DTCP) 请求来拦截主动流监控站(路由器)中的 IPv4 数据包。路由器使用 DTCP 将符合过滤条件的数据包副本发送到一个或多个内容目标。只有使用自适应服务 PIC 的 M Series 和 T Series 路由器才支持流监测服务。有关流监测服务的信息,请参阅 了解流监测架构

  • FlowTapLite 服务是用于数据包镜像的 flow-tap 服务的轻量级版本。它也是在层次结构级别上 [edit services flow-tap] 配置的。FlowTapLite 服务驻留在数据包转发引擎上,而不是线卡上。截获的数据包被发送到隧道逻辑接口 (vt-) 进行封装,因此您必须为服务分配和分配隧道接口。MX 系列路由器和配备增强型 III 灵活 PIC 集中器 (FPC) 的 M320 路由器支持此功能。您不能在同一路由器上同时运行 FlowTapLite 和 flow-tap 服务。有关 FlowTapLite 的信息,请参阅 在配备 FPC 的 MX 系列路由器和 M320 路由器上配置 FlowTapLite

生成核心错误时保护 SSP 数据

当 authd、bbe-smgd 或 dfcd 进程生成核心错误时,核心转储文件将包含与进程所涉及的任何内容(包括 SSP)相关的信息。错误文件包含 SSP 信息,这些信息可以识别其流量被镜像的用户或接收镜像流量的调解设备。例如,这些文件包括中介设备的源和目标 IP 地址、设备端口和拦截 ID 等信息。

从 Junos OS 18.4R1 版开始,核心转储文件中会自动加密与 SSP 相关的信息,以防止在发生核心错误时未经授权的人员看到这些信息。默认情况下启用加密;不需要任何配置,也不需要进行任何配置。dfcd 核心错误文件可能包含无法识别用户或设备的流量镜像信息;这些信息不会被屏蔽。FlowTapLite 信息不会被屏蔽。

注意:

SSP 相关信息在瞬态时不加密;例如,当从 RADIUS 或 DTCP 服务器接收数据但尚未加密时,会发生核心错误。

订阅者安全策略许可要求

要启用和使用用户安全策略,必须安装并正确配置用户安全策略许可证。

相关文档

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。

发布
描述
18.4R1
从 Junos OS 18.4R1 版开始,核心转储文件中会自动加密与 SSP 相关的信息,以防止在发生核心错误时未经授权的人员看到这些信息。