Überwachung des X2-Datenverkehrs
Dieses Thema behandelt die Überwachung des X2-Datenverkehrs auf Firewalls der SRX-Serie.
Grundlegendes zur Überwachung des X2-Datenverkehrs
In einem LTE-Mobilfunknetz fungieren Firewalls der SRX-Serie als sichere Gateways, die Evolved Node Bs (eNodeBs) für Signalübergabe, Überwachung und Funkabdeckung verbinden. Firewalls der SRX-Serie verwenden IPsec-Tunnel, um eNodeBs zu verbinden. Der Datenverkehr auf der Benutzerebene und der Steuerungsebene, der von einem eNodeB zum anderen eNodeB fließt, wird als X2-Datenverkehr bezeichnet.
- X2 Traffic Monitoring – Übersicht
- Einschränkungen der X2-Datenverkehrsüberwachung
- X2 Traffic-Terminologie
X2 Traffic Monitoring – Übersicht
Der X2-Datenverkehr, der IPsec-Tunnel passiert, ist verschlüsselt. Aus diesem Grund benötigen Mobilfunknetzbetreiber eine Möglichkeit, den X2-Datenverkehr zu überwachen, damit sie Übergabeprobleme über eNodeBs hinweg beheben können. Die Junos OS-Implementierung ermöglicht die Überwachung des X2-Datenverkehrs durch Ausspähen des X2-Datenverkehrs im Klartext, während er durch die Firewall der SRX-Serie fließt, aus einem IPsec-Tunnel kommt und in den anderen IPsec-Tunnel gelangt – nachdem der Datenverkehr entschlüsselt wurde und bevor er erneut verschlüsselt wird.
Abbildung 1 zeigt den Fluss des X2-Datenverkehrs innerhalb der Firewall der SRX-Serie. Wenn der Datenverkehr die Firewall der SRX-Serie auf einer st0.x-Schnittstelle erreicht, wird er entschlüsselt. Dann wird es verschlüsselt und über seine dedizierte st0.y-Schnittstelle an das Ziel eNodeB weitergeleitet. Snooping wird für den entschlüsselten X2-Datenverkehr auf der Firewall der SRX-Serie durchgeführt.
Abbildung 2 zeigt ein Mobilfunkbetreibernetzwerk mit einer Firewall der SRX-Serie, die eine IPsec-Tunnelverbindung zwischen den beiden eNodeBs bereitstellt. Die Firewall der SRX-Serie ist mit einem Paketanalysator (auch Gerät genannt sniffing ) verbunden, der zum Erfassen und Überwachen des X2-Datenverkehrs verwendet wird. Der IPsec-Tunnel von jedem eNodeB endet auf einer dedizierten sicheren Tunnelschnittstelle auf der Firewall der SRX-Serie. Eingehender Datenverkehr, der aus dem IPsec-Tunnel kommt, wird entschlüsselt, während ausgehender Datenverkehr, der das Gerät verlässt, verschlüsselt wird.
Um den X2-Datenverkehr zu überwachen, können Sie bis zu 15 verschiedene Spiegelfilter konfigurieren, die eindeutige Parametersätze angeben, mit denen der Datenverkehr abgeglichen wird. Die gefilterten Pakete werden dupliziert und an eine physische Schnittstelle gesendet. Damit der Paketanalysator die gefilterten Pakete erfassen kann, geben Sie die Ausgabeschnittstelle auf der Firewall der SRX-Serie und die MAC-Adresse des Paketanalysators an. Da die Ausgabeschnittstelle mit demselben Layer-2-Netzwerk wie der Paketanalysator verbunden ist, kann der Paketanalysator den X2-Datenverkehr erfassen und analysieren, sobald die Spiegelfilterung aktiviert ist.
Die Spiegelfilterfunktion der SRX-Serie ist bidirektional, ähnlich wie bei einer Sitzung. X2-Datenverkehr, der durch ein IPSec-VPN fließt, das mit einem Spiegelfilter übereinstimmt, wird gespiegelt und analysiert. Der von diesen Geräten zurückkommende Datenverkehr wird ebenfalls gespiegelt und analysiert.
Wenn ab Junos OS Version 18.4R1 die Ausgangsschnittstelle X2 eines Spiegelfilters für eine st0-Schnittstelle konfiguriert ist, um den Datenverkehr zu filtern, den Sie analysieren möchten, wird das Paket dupliziert und durch den IPsec-Tunnel verschlüsselt, der an die st0-Schnittstelle gebunden ist. Diese Erweiterung unterstützt die Firewalls der SRX-Serie, um Datenverkehr gespiegelt von einem Port in einem IPsec-Tunnel zu senden. Gespiegelter Datenverkehr enthält unveränderte Layer-3-Header.
Obwohl es keine Mindestanzahl von Parametern für einen Spiegelfilter gibt, beachten Sie bitte, dass ein überproportionaler Teil des Datenverkehrsflusses durch das System gespiegelt werden kann, wenn Sie zu wenige Kriterien angeben oder versehentlich einen unvollständigen Filter festlegen.
Einschränkungen der X2-Datenverkehrsüberwachung
-
Bei X2-Datenverkehr in einer Chassis-Cluster-Konfiguration können gespiegelte Pakete nicht über die Datenverbindung (Fabric-Schnittstelle) geleitet werden.
-
Unterstützung für die X2-Datenverkehrsspiegelung ist bei aktiviertem PowerMode-IPsec (PMI) nicht verfügbar. Wenn PMI in einer Richtung aktiviert, in der anderen Richtung deaktiviert ist, können Sie die X2-Datenverkehrsspiegelung nur für die Richtung erfassen, in der PMI nicht aktiv ist.
X2 Traffic-Terminologie
In Tabelle 1 sind einige Begriffe im Zusammenhang mit dem X2-Datenverkehr und deren Beschreibungen aufgeführt.
Ausdruck |
Beschreibung |
|---|---|
Weiterentwickelter Paketkern (EPC) |
Hauptkomponente der System Architecture Evolution (SAE) und wird auch als SAE-Kern bezeichnet. Der EPC unterstützt das IP-Netzwerk und dient als Äquivalent zu einem GPRS-Netzwerk (General Packet Radio Service), wobei die Teilkomponenten Mobility Management Entity (MME), Serving Gateway (SGW) und Packet Data Network Gateway (PGW) verwendet werden. |
Weiterentwickeltes universelles terrestrisches Funkzugangsnetz (E-UTRAN) |
Ein Standard für Funkzugangsnetze. E-UTRAN ist ein neues Luftschnittstellensystem. Es bietet höhere Datenraten und geringere Latenzzeiten und ist für Paketdaten optimiert. Es verwendet Orthogonal Frequency-Division Multiple Access (OFDMA) für den Downlink und Single-Carrier Frequency Division Multiple Access für den Uplink. |
Weiterentwickelter Knoten B (eNodeB) |
Ein mit dem Mobilfunknetz verbundenes Gerät, das direkt mit Mobiltelefonen kommuniziert, z. B. eine Basis-Transceiver-Station in GSM-Netzwerken (Global System for Mobile Communications). Ein eNodeB wird von einem Radio Network Controller (RNC) gesteuert. |
Langzeitentwicklung (LTE) |
Ein Standard für die drahtlose Kommunikation von Hochgeschwindigkeitsdaten für Mobiltelefone und Datenterminals. Es erhöht die Kapazität und Geschwindigkeit durch Verwendung einer anderen Funkschnittstelle und nimmt Verbesserungen am Kernnetz vor. |
X2-Schnittstelle |
Eine logische Punkt-zu-Punkt-Schnittstelle zwischen zwei eNodeBs mit dem E-UTRAN. Es unterstützt den Austausch von Signalinformationen zwischen zwei eNodeBs und unterstützt die Weiterleitung von Protocol Data Units (PDUs) an die jeweiligen Tunnelendpunkte. |
X2-Anwendungsprotokoll (X2AP) |
Protokoll, das von der X2-Schnittstelle verwendet wird. Es wird für die Handhabung der Benutzergerätemobilität innerhalb des E-UTRAN verwendet und bietet die folgenden Funktionen:
|
Beispiel: Konfigurieren eines Spiegelfilters für die X2-Datenverkehrsüberwachung
In diesem Beispiel wird gezeigt, wie ein Spiegelfilter konfiguriert wird, um den X2-Datenverkehr zwischen zwei eNodeBs in einem LTE-Mobilfunknetz zu überwachen.
Anforderungen
Bevor Sie beginnen:
Machen Sie sich mit der Überwachung des X2-Datenverkehrs vertraut. .
Konfigurieren Sie die Schnittstellen, Sicherheitszonen, Sicherheitsrichtlinien und die routenbasierten VPN-Tunnel, um eine sichere Datenübertragung zwischen der Firewall der SRX-Serie und den beiden eNodeBs zu ermöglichen.
Überblick
Als Netzwerkbetreiber benötigen Sie eine Möglichkeit, den X2-Datenverkehr zu überwachen, um Handover-Probleme über eNodeBs hinweg zu beheben. Die Spiegelfilterfunktion ermöglicht Ihnen dies. Der aus einem IPsec-Tunnel ausgehende Datenverkehr wird entschlüsselt, gespiegelt und analysiert und dann erneut verschlüsselt, um in den ausgehenden IPsec-Tunnel zu gelangen.
Genauer gesagt wird Datenverkehr, der mit einem Spiegelfilter übereinstimmt, gespiegelt und an eine Ausgabeschnittstelle gesendet, die mit einem Paketanalysator (auch als Gerät bezeichnet) sniffing verbunden ist. Der Paketanalysator analysiert den X2-Datenverkehr und ermöglicht es Ihnen, ihn zu überwachen. Anschließend wird der Datenverkehr erneut verschlüsselt, bevor er an den ausgehenden IPsec-Tunnel gesendet wird.
Die Spiegelfilterfunktion der SRX-Serie ist bidirektional, ähnlich wie bei einer Sitzung. X2-Datenverkehr, der durch ein IPSec-VPN fließt, das mit einem Spiegelfilter übereinstimmt, wird gespiegelt und analysiert. Der von diesen Geräten zurückkommende Datenverkehr wird ebenfalls gespiegelt und analysiert.
Um die Spiegelfilterfunktion zur Überwachung des X2-Datenverkehrs zu verwenden, konfigurieren Sie Spiegelfilter. Sie können bis zu 15 verschiedene Spiegelfilter konfigurieren, die gleichzeitig verwendet werden, um nach verschiedenen Arten von Datenverkehr zu filtern. Jeder Spiegelfilter enthält eine Reihe von Parametern und deren Werte, mit denen der Datenverkehr abgeglichen wird.
Obwohl es keine Mindestanzahl von Parametern für einen Spiegelfilter gibt, beachten Sie bitte, dass ein überproportionaler Teil des Datenverkehrsflusses durch das System gespiegelt werden kann, wenn Sie zu wenige Kriterien angeben oder versehentlich einen unvollständigen Filter festlegen.
Ein Spiegelfilter kann einige oder alle der folgenden Parameter zum Filtern des Datenverkehrs enthalten:
Präfix der Ziel-IP-Adresse
Zielhafen
IP-Protokoll
Präfix der Quell-IP-Adresse
Quellport
Eingehende und ausgehende Schnittstellen
Außerdem geben Sie im Rahmen der Konfiguration die Ausgabeschnittstelle und die MAC-Adresse des Paketanalysators an.
In diesem Beispiel verwendet eine Firewall der SRX-Serie IPsec-Tunnel, um zwei eNodeBs in einem LTE-Mobilfunknetz zu verbinden. Im Beispiel wird ein Spiegelfilter mit dem Namen traffic-https konfiguriert.
Abbildung 3 zeigt die Firewall der SRX-Serie, die über IPsec-Tunnel eine Verbindung zu den eNodeBs herstellt. Die Firewall der SRX-Serie ist ebenfalls mit einem Paketanalysator verbunden.
In diesem Beispiel wird der gesamte HTTPS-Datenverkehr analysiert, dessen Ziel Geräte mit IP-Adressen sind, die das Präfix 203.0.113.0/24 haben und für die der Zielport 443 verwendet wird, der Standardport für HTTPS-Datenverkehr. Pakete, die dem traffic-https-Filter entsprechen, werden gespiegelt und über die Ausgabeschnittstelle ge-0/0/5 an den Paketanalysator mit der MAC-Adresse 00:50:56:87:20:5E gesendet. Der von diesen Geräten zurückgegebene Datenverkehr wird ebenfalls überwacht.
Die Ausgabeschnittstelle für den Spiegelfilter ist die des Paketanalysators, weshalb das HTTP-Protokoll verwendet wird.
Die Ausgabeschnittstelle für den Paketanalysator verwendet das HTTP-Protokoll.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security forwarding-options mirror-filter traffic-https set security forwarding-options mirror-filter traffic-https destination-port 443 set security forwarding-options mirror-filter traffic-https destination-prefix 203.0.113.0/24 set security forwarding-options mirror-filter traffic-https protocol 6 set security forwarding-options mirror-filter traffic-http output interface ge-0/0/5 set security forwarding-options mirror-filter traffic-http output destination-mac 00:50:56:87:20:5E
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie einen Spiegelfilter für die Überwachung des X2-Datenverkehrs:
Erstellen Sie einen Spiegelfilter mit dem Namen traffic-https.
[edit] user@host# edit security forwarding-options mirror-filter traffic-https
Geben Sie die Spiegelfilterparameter an, mit denen der Datenverkehr abgeglichen wird.
[edit security forwarding-options mirror-filter traffic-https] user@host# set destination-port 443 user@host# set destination-prefix 203.0.113.0/24 user@host# set protocol 6
Geben Sie die Ausgabeschnittstelle für die gespiegelten Pakete an, die an den Paketanalysator gesendet werden sollen.
[edit security forwarding-options mirror-filter traffic-https] user@host# set output interface ge-0/0/5
Geben Sie die MAC-Adresse des Paketanalysators als Ziel für alle gespiegelten Pakete an, d. h. für die Pakete, die den Spiegelungsfiltern entsprechen.
[edit security forwarding-options mirror-filter traffic-https] user@host# set output destination-mac 00:50:56:87:20:5E
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security forwarding-options Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show security forwarding-options
mirror-filter traffic-https {
protocol 6;
destination-port 443;
destination-prefix 203.0.113.0/24;
output {
interface ge-0/0/5;
destination-mac 00:50:56:87:20:5E;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen des Status des Spiegelfilters
Zweck
Vergewissern Sie sich, dass der Spiegelfilter aktiv ist oder nicht.
Aktion
Geben Sie im Betriebsmodus den show security forward-options mirror-filter Befehl für den jeweiligen Spiegelfilter ein.
user@host> show security forward-options mirror-filter traffic-https
Security mirror status
mirror-filter-name: traffic-https
protocol: 6
destination-port: 443
destination-prefix 203.0.113.0/24
filter-counters: 2
output-counters: 2
Bedeutung
Die Ausgabe gibt den Status des Spiegelfilters an. Es zeigt, dass ein Spiegelfilter namens traffic-https aktiv ist. Der Spiegelungsfilter traffic-https gibt das Protokoll, das Zielpräfix und den Zielport an, mit denen der Datenverkehr übereinstimmen muss, damit er gespiegelt und analysiert werden kann.
Diese Ausgabe zeigt, dass zwei Pakete gespiegelt wurden.