配置对订阅者安全策略镜像的支持
订阅者安全策略在 RADIUS-flow-tap 服务上运行。本主题介绍为 RADIUS 启动和 DTCP 启动的订阅者安全策略镜像配置 RADIUS-流-点击支持的步骤。
要将 RADIUS-flow-tap 服务配置为支持订阅者安全策略镜像,请执行以下操作:
- 配置用于订阅者安全策略镜像的流点服务。
[edit services] user@host# edit radius-flow-tap
- 指定如何将镜像数据包转发到中介设备。
注意:
此步骤中的操作因是否使用可扩展订阅者服务管理器 (ESSM) 而异。使用 ESSM 时,您可以定义放置在路由实例中的虚拟隧道 (vt) 接口。ESSM 根据此 VT 接口确定流头的路由实例。不使用 ESSM 时,用于分路器的路由实例会在层次结构下
services radius-flow-tap
显式配置。- 如果使用 ESSM 管理分路用户接口:
定义 vt 接口。仅当分路接口由可扩展订阅者服务管理器 (ESSM) 管理时,才执行此操作。
[edit services radius-flow-tap] user@host# set interfaces vt-1/1/0.0
如果从接口池中删除当前使用的隧道接口,则活动镜像会话将从已删除的接口重新分发到池中的其他隧道接口。此外,当新的隧道接口添加到池中时,该服务会将新接口添加到可用于新镜像会话或从故障接口传输的现有会话的接口列表中。
-
如果不使用 EESM 来管理分路的用户接口:
指定服务的逻辑系统和路由实例
radius-flow-tap
。不使用 EESM 时, 不需要 vt 接口。[edit services radius-flow-tap] user@host# set logical-system LS1 routing-instance RI1
可以指定逻辑系统和路由实例,也可以指定没有逻辑系统的路由实例。如果未指定逻辑系统,路由器将使用逻辑系统
default
。如果未指定逻辑系统或路由实例,路由器将使用逻辑系统和default
路由实例default
。
最佳实践:配置路由实例以防止欺骗性中介设备地址将流量从设备转移出去。当镜像的客户流与中介设备位于同一路由实例中时,恶意用户可能会劫持中介设备的路由通告。通过将下一跃点播发到劫机者的网络而不是设备,镜像流将被捕获,并且永远不会到达中介设备。
如果将镜像流量配置为通过路由实例转发到中介设备,则该流量将与互联网分离。这样,外部用户就无法将镜像流量转移到用户的网络。
注意:该
interfaces
语句仅适用于 ESSM 创建的接口,对于基于流的接口,将忽略该语句。同样,LS:RI 配置仅适用于基于流的接口。 - 如果使用 ESSM 管理分路用户接口:
- 指定 RADIUS-流-点击服务用于镜像的源 IP 地址。此地址用于附加到发送到内容目标设备的镜像数据包的 IP 标头。
[edit services radius-flow-tap] user@host# set source-ipv4-address ipv4-address
- (可选)指定应用于发送到中介设备的镜像数据包的转发类。
如果未指定转发类,镜像数据包将从原始数据包(CoS 应用于入口接口上的数据包的默认分类设置的转发类)继承转发类。
[edit services radius-flow-tap] user@host# set forwarding-class class-name
- (可选)指定订阅者安全策略,该策略确定哪些流量(如果有)不会发送到中介设备。
[edit services radius-flow-tap] user@host# set policy policy-name
注意:您可以随时添加或更改订阅者安全策略,但更改的策略不适用于当前启用的策略。要更改策略:
-
发送 DTCP 删除消息以删除当前策略。
-
使用新版本的策略修改配置。
-
发送 DTCP 添加消息以添加策略。
-
发送 DTCP 启用消息以启用策略。
-
- (可选)指定一个或多个目标中介设备接收 SNMPv3 陷阱通知的 IP 地址。每个目标地址必须单独配置。
[edit services radius-flow-tap] user@host# set snmp notify-targets ip-address
注意:您还必须配置 SNMP,以便仅将加密通知发送到目标设备。未配置隐私的目标无法接收通知。有关订阅者安全策略的 SNMP 配置的信息,请参阅 为订阅者安全策略镜像配置 SNMPv3 陷阱。