加入者セキュアポリシーの概要

レイヤー2とレイヤー3データグラムの両方の傍受をサポート

DTCP または RADIUS が開始する SSP が論理加入者インターフェイスと VLAN 加入者インターフェイス上のトラフィックを傍受すると、レイヤー 2 とレイヤー 3 の両方のデータグラムを仲介デバイスに送信します。これらのインターフェイスに対して加入者セキュアポリシーを有効にすると、レイヤー2およびレイヤー3制御トラフィックを含む、設定されているすべてのファミリー(inet、inet6)のトラフィックがミラーリングされます。

DTCP 開始加入者向けトラフィック フィルタリング セキュア ポリシー ミラーリング トラフィック

ミラーリングされたトラフィックは、メディエーションデバイスに送信される前にフィルタリングできます。この機能により、サービス プロバイダーは、仲介デバイスに送信されるトラフィックの量を削減できます。IPTV やビデオオンデマンドなどの一部のタイプのトラフィックでは、コンテンツがすでにサービスプロバイダによって認識されているか制御されている可能性があるため、トラフィックのコンテンツ全体をミラーリングする必要はありません。

ミラーリング関連のイベント報告

加入者のセキュアポリシーは、ミラーリング操作に関連するイベントを外部デバイスに報告するためのSNMPv3トラップの使用もサポートしています。トラップで送信される情報の種類には、ユーザー名やIPアドレスなどの加入者の識別情報や、ログインまたはログアウトイベント、ミラーリングセッションのアクティブ化または非アクティブ化などの加入者セッションイベントが含まれます。トラップは、 米国電気通信に関する米国規格である IP ネットワーク アクセスのための合法的に認可された電子監視(LAES)で定義されたメッセージにマッピングされます。

Junos OSリリース16.1R1以降では、SNMPv3トラップがプライバシー(暗号化)されて送信されるように、仲介デバイスのターゲットパラメーターを設定する必要があります。プライバシーが設定されていないターゲットは、通知を受信できません。

以前のリリースでは、プライバシーなしでターゲット パラメーターを構成できるため、暗号化されていない通知をメディエーション デバイスに送信できます。また、トラップを特定のターゲットに制限することもできません。

L2TP加入者のサポート

DTCP 開始 SSP と RADIUS 開始 SSP はどちらも、トラフィックがレイヤー 2 トンネリング プロトコル(L2TP)でトンネリングされるポイントツーポイント プロトコル(PPP)加入者に適用できます。DTCP 開始 SSP および RADIUS 開始 SSP は、L2TP アクセス コンセントレータ(LAC)または L2TP ネットワーク サーバー(LNS)の加入者をサポートします。

LACでは、加入者イングレストラフィック(加入者からトンネルへ)と加入者エグレストラフィック(トンネルから加入者へ)の両方が、加入者に面したイングレスインターフェイスでミラーリングされます。イングレストラフィックは、PPPoEカプセル化解除後、L2TPカプセル化前にミラーリングされます。エグレストラフィックは、L2TPカプセル化解除後にミラーリングされます。ミラーリングされたパケットには、IPデータグラムだけでなく、LNSに送信された完全なHDLCフレームが含まれます。

LNSでは、加入者のイングレストラフィック(LACからLNSへ)と加入者のエグレストラフィック(LNSからLACへ)の両方が、加入者に対応するインラインサービス(si)インターフェイスでミラーリングされます。イングレストラフィックは、L2TP、HDLC、およびPPPヘッダーのカプセル化解除後にミラーリングされます。IPデータグラムがカプセル化される前に、エグレストラフィックがミラーリングされます。ミラーリングされたトラフィックには、加入者に属するIPデータグラムのみが含まれます。

特定のL2TP SSP設定はありません。

加入者向けJunos OSサービスセキュアポリシートラフィックミラーリング

加入者のセキュアポリシーミラーリングには、 [edit services radius-flow-tap] 階層レベルで設定されたradius-flow-tapサービスを使用する必要があります。このサービスは、加入者のセキュアなポリシーミラーリングにのみ使用され、MXシリーズルーターでのみ使用されます。

似たような名前のJunos OSサービスは他にもありますが、これらは加入者向けのセキュアポリシーミラーリングには使用されていません。

• [edit services flow-tap]階層レベルで設定されたフロータップサービスは、パケットミラーリング用の古いJunos OSサービスです。このサービスは、仲介デバイスからのDynamic Tasking Control Protocol(DTCP)リクエストを使用して、アクティブなフロー監視ステーション(ルーター)内のIPv4パケットを傍受します。ルーターは、DTCPを使用して、フィルター基準に一致するパケットのコピーを1つ以上のコンテンツ宛先に送信します。フロータップサービスは、アダプティブサービスPICを使用するM SeriesおよびT Seriesルーターでのみサポートされています。フロータップサービスについては、フロータップアーキテクチャについてを参照してください。

• FlowTapLiteサービスは、パケットミラーリング用のフロータップサービスの軽量バージョンです。また、 [edit services flow-tap] 階層レベルでも設定されます。FlowTapLite サービスは、ラインカードではなくパケット転送エンジン上に存在します。傍受したパケットは、カプセル化のためにトンネル論理インターフェイス(vt-)に送信されるため、サービスにトンネル インターフェイスを割り当てて割り当てる必要があります。これは、MXシリーズルーターと、拡張III FPC(フレキシブルPICコンセントレータ)を搭載したM320ルーターでサポートされています。FlowTapLite とフロータップサービスを同じルーターで同時に実行することはできません。FlowTapLiteの詳細については、 FPCを搭載したMXシリーズルーターとM320ルーターでのFlowTapLiteの設定を参照してください。

コアエラー発生時のSSPデータの保護

authd、bbe-smgd、またはdfcdプロセスでコアエラーが発生した場合、コアダンプファイルには、SSPを含む、プロセスに関連するすべての情報が含まれます。エラーファイルには、トラフィックがミラーリングされる加入者またはミラーリングされたトラフィックを受信するメディエーションデバイスを識別する可能性のあるSSP情報が含まれています。例えば、ファイルには、メディエーションデバイスの送信元と宛先のIPアドレス、デバイスポート、インターセプトIDなどの情報が含まれています。

Junos OS リリース 18.4R1 以降、SSP 関連情報はコア ダンプ ファイルで自動的に暗号化され、コア エラーが発生した場合にこの情報が不正な人物に見られるのを防ぎます。暗号化はデフォルトで有効になっています。設定は不要です。また設定は不可能です。dfcd コア エラー ファイルには、加入者やデバイスを識別しないトラフィック ミラーリング情報が含まれている場合があります。この情報は隠されていません。FlowTapLite情報はマスクされません。

加入者のセキュアポリシーライセンス要件

加入者セキュアポリシーを有効にして使用するには、加入者セキュアポリシーライセンスをインストールし、適切に設定する必要があります。