配置对订阅者安全策略镜像的支持
用户安全策略在 radius-flow-tap 服务上运行。本主题介绍为RADIUS启动和 DTCP 启动的用户安全策略镜像配置 radius-flow-tap 支持的步骤。
要配置 radius-flow-tap 服务以支持订阅者安全策略镜像,请执行以下作:
- 配置用于用户安全策略镜像的流监测服务。
[edit services] user@host# edit radius-flow-tap
- 指定如何将镜像数据包转发到调解设备。
注意:
此步骤中的作因是否使用可扩展订阅者服务管理器 (ESSM) 而异。使用 ESSM 时,您可以定义放置在路由实例中的虚拟隧道 (vt) 接口。ESSM 基于此 vt 接口确定流分流器的路由实例。不使用 ESSM 时,用于分流的路由实例在层次结构下
services radius-flow-tap显式配置。- 如果使用 ESSM 来管理分路用户接口:
定义 vt 接口。仅当分接接口由可扩展用户服务管理器 (ESSM) 管理时,才可执行此作。
[edit services radius-flow-tap] user@host# set interfaces vt-1/1/0.0
如果从接口池中删除当前使用的隧道接口,则活动镜像会话将从已删除的接口重新分配到池中的其他隧道接口。此外,当将新隧道接口添加到池中时,该服务会将新接口添加到可用于新镜像会话或从故障接口传输的现有会话的接口列表中。
-
如果不使用 EESM 来管理分接的用户接口:
指定服务的
radius-flow-tap逻辑系统和路由实例。不使用 EESM 时, 不需要 vt 接口。[edit services radius-flow-tap] user@host# set logical-system LS1 routing-instance RI1
您可以指定逻辑系统和路由实例,也可以指定不带逻辑系统的路由实例。如果未指定逻辑系统,则路由器将使用逻辑系统
default。如果未指定逻辑系统或路由实例,则路由器将使用逻辑系统default和路由实例default。
最佳实践:配置路由实例,以防止欺骗性的中介设备地址将流量从设备转移出去。当镜像客户流与中介设备位于同一路由实例中时,恶意用户可能会劫持中介设备的路由播发。通过向劫持者的网络(而非设备)播发下一跳,镜像流量将被捕获,但永远不会到达调解设备。
如果将镜像流量配置为通过路由实例转发到中介设备,则流量将与互联网分离。这样,外部用户就无法将镜像流量转移到用户的网络。
注意:该
interfaces语句仅适用于 ESSM 创建的接口,对于基于流的接口将被忽略。同样,LS:RI 配置仅适用于基于流的接口。 - 如果使用 ESSM 来管理分路用户接口:
- 指定 radius-flow-tap 服务用于镜像的源 IP 地址。此地址用于前置到发送至内容目标设备的镜像数据包的 IP 报头中。
[edit services radius-flow-tap] user@host# set source-ipv4-address ipv4-address
- (可选)指定应用于发送至中介设备的镜像数据包的转发类。
如果未指定转发类,镜像数据包将继承原始数据包的转发类(即 CoS 应用于入口接口上数据包的默认分类设置的转发类)。
[edit services radius-flow-tap] user@host# set forwarding-class class-name
- (可选)指定用户安全策略,用于确定不将哪些流量(如果有)发送到调解设备。
[edit services radius-flow-tap] user@host# set policy policy-name
注意:您可以随时添加或更改订阅者安全策略,但更改后的策略不适用于当前启用的策略。要更改策略:
-
发送 DTCP DELETE 消息以移除当前策略。
-
使用新版本的策略修改配置。
-
发送 DTCP ADD 消息以添加策略。
-
发送 DTCP ENABLE 消息以启用策略。
-
- (可选)指定一个或多个目标调解设备以接收 SNMPv3 陷阱通知的 IP 地址。必须单独配置每个目标地址。
[edit services radius-flow-tap] user@host# set snmp notify-targets ip-address
注意:您还必须配置 SNMP,以便仅将加密的通知发送至目标设备。未配置隐私的目标无法接收通知。有关用户安全策略的 SNMP 配置的信息,请参阅 为用户安全策略镜像配置 SNMPv3 陷阱。