加入者セキュアポリシーの概要

レイヤー 2 とレイヤー 3 の両方のデータグラムの傍受をサポート

DTCP または RADIUS が開始した SSP は、論理加入者インターフェイスと VLAN 加入者インターフェイス上のトラフィックを傍受すると、レイヤー 2 とレイヤー 3 の両方のデータグラムを仲介デバイスに送信します。これらのインターフェイスに対して加入者の安全ポリシーを有効にすると、レイヤー2およびレイヤー3制御トラフィックを含む、すべての設定されたファミリー(inet、inet6)のトラフィックがミラーリングされます。

DTCP 開始加入者のトラフィック フィルタリング セキュア ポリシー ミラーリング トラフィック

ミラーリングされたトラフィックがメディエーション・デバイスに送信される前に、そのトラフィックをフィルタリングすることができます。この機能により、サービス・プロバイダーはメディエーション・デバイスに送信されるトラフィックの量を減らすことができます。IPTV やビデオ オン デマンドなど、一部のタイプのトラフィックでは、サービス プロバイダによってコンテンツがすでに知られているか、制御されている可能性があるため、トラフィックのコンテンツ全体をミラーリングする必要はありません。

ミラーリング関連のイベント レポート

加入者の安全ポリシーは、外部デバイスへのミラーリング操作に関連するイベントを報告するためのSNMPv3トラップの使用もサポートしています。トラップで送信される情報の種類には、ユーザー名やIPアドレスなどの加入者の識別情報や、ログインやログアウトイベント、ミラーリングセッションのアクティブ化や非アクティブ化などの加入者セッションイベントがあります。このトラップは 、米国電気通信国家規格(Lawfully Authorized Electronic Surveillance for IP Network Access)で定義されたメッセージにマッピングされます。

Junos OS リリース 16.1R1 以降では、SNMPv3 トラップがプライバシー(暗号化)付きで送信されるように、メディエーション デバイスのターゲット パラメーターを構成する必要があります。プライバシーが設定されていないターゲットは、通知を受信できません。

以前のリリースでは、プライバシーなしでターゲット・パラメーターを構成して、暗号化されていない通知をメディエーション・デバイスに送信できるようにすることができました。また、トラップを特定のターゲットに制限することもできません。

L2TP加入者のサポート

DTCP 開始 SSP と RADIUS 開始 SSP の両方を、トラフィックがレイヤー 2 トンネリング プロトコル(L2TP)でトンネリングされる PPP(Point-to-Point Protocol)加入者に適用できます。DTCP 開始 SSP と RADIUS 開始 SSP は、L2TP アクセス コンセントレータ (LAC) または L2TP ネットワーク サーバー (LNS) の加入者をサポートします。

LACでは、加入者のイングレストラフィック(加入者からトンネルへ)と加入者のエグレストラフィック(トンネルから加入者へ)の両方が、加入者側のイングレスインターフェイスでミラーリングされます。イングレストラフィックは、PPPoEのカプセル化解除後、L2TPカプセル化の前にミラーリングされます。エグレストラフィックは、L2TPのカプセル化解除後にミラーリングされます。ミラーリングされたパケットには、IP データグラムだけでなく、LNS に送信された HDLC フレーム全体が含まれます。

LNS では、加入者の入力トラフィック(LAC から LNS へ)と加入者の出力トラフィック(LNS から LAC へ)の両方が、加入者に対応するインライン サービス(si)インターフェイスでミラーリングされます。L2TP、HDLC、PPPヘッダーのカプセル化解除後、イングレストラフィックがミラーリングされます。エグレストラフィックは、IPデータグラムがカプセル化される前にミラーリングされます。ミラーリングされたトラフィックには、加入者に属する IP データグラムのみが含まれます。

特定の L2TP SSP 設定はありません。

加入者の安全なポリシートラフィックミラーリング向けJunos OSサービス

加入者の安全ポリシー ミラーリングでは、 [edit services radius-flow-tap] 階層レベルで設定されたradius-flow-tapサービスを使用する必要があります。このサービスは、加入者の安全なポリシー ミラーリングにのみ適用され、MXシリーズ ルーター上でのみ使用されます。

似たような名前の Junos OS サービスは他にもありますが、加入者の安全なポリシー ミラーリングには使用されません。

• [edit services flow-tap]階層レベルで設定されたフロータップサービスは、パケットミラーリング用の古いJunos OSサービスです。このサービスは、メディエーション デバイスからの Dynamic Tasking Control Protocol(DTCP)リクエストを使用して、アクティブなフロー監視ステーション(ルーター)で IPv4 パケットを傍受します。ルーターは DTCP を使用して、フィルタ条件に一致するパケットのコピーを 1 つ以上のコンテンツ宛先に送信します。フロータップ サービスは、アダプティブ サービス PIC を使用する M Series および T Series ルーターでのみサポートされています。フロータップサービスの詳細については、「フロータップアーキテクチャについて」を参照してください。

• FlowTapLite サービスは、パケット ミラーリング用のフロータップ サービスの軽量バージョンです。また、 [edit services flow-tap] 階層レベルでも設定されます。FlowTapLite サービスは、ラインカードではなく、パケット転送エンジンに常駐します。傍受されたパケットは、カプセル化のためにトンネル論理インターフェイス(vt-)に送信されるため、サービスにトンネルインターフェイスを割り当てて割り当てる必要があります。MXシリーズルーターと、Enhanced III FPC(フレキシブルPICコンセントレータ)を搭載したM320ルーターでサポートされています。FlowTapLite とフロータップサービスを同じルーター上で同時に実行することはできません。FlowTapLiteの情報については、 FPCを搭載したMXシリーズルーターおよびM320ルーターでのFlowTapLiteの設定を参照してください。

コア エラー発生時の SSP データの保護

authd、bbe-smgd、または dfcd プロセスがコア エラーを生成すると、コア ダンプ ファイルには、SSP など、プロセスが関係するものに関連する情報が含まれます。エラー ファイルには、トラフィックがミラーリングされている加入者、またはミラーリングされたトラフィックを受信する仲介デバイスを特定する可能性のある SSP 情報が含まれています。例えば、ファイルには、メディエーション・デバイスの送信元およびIP アドレス、デバイス・ポート、インターセプト ID などの情報が含まれます。

Junos OS リリース 18.4R1 以降、SSP 関連の情報はコア ダンプ ファイルで自動的に暗号化され、コア エラーが発生した場合に権限のない人物がこの情報を見ることを防ぎます。暗号化はデフォルトで有効になっています。設定は不要であり、不可能です。dfcd コア エラー ファイルには、加入者またはデバイスを特定しないトラフィック ミラーリング情報が含まれている場合があります。この情報はマスキングされません。FlowTapLite 情報はマスキングされません。

加入者セキュアポリシーのライセンス要件

加入者セキュアポリシーを有効にして使用するには、加入者セキュアポリシーライセンスをインストールし、正しく設定する必要があります。