加入者の安全ポリシーの概要

レイヤー 2 およびレイヤー 3 データグラムの傍受のサポート

DTCP または RADIUS 開始 SSP は、論理加入者インターフェイスと VLAN 加入者インターフェイス上のトラフィックを傍受すると、レイヤー 2 とレイヤー 3 の両方のデータグラムを仲介デバイスに送信します。これらのインターフェイスに対して加入者の安全ポリシーを有効にすると、レイヤー2およびレイヤー3制御トラフィックを含むすべての設定されたファミリー(inet、inet6)のトラフィックがミラーリングされます。

DTCP 開始加入者セキュア ポリシー ミラーリング トラフィックのトラフィック フィルタリング

ミラーリングされたトラフィックを仲介デバイスに送信する前にフィルター処理できます。この機能により、サービス プロバイダは仲介デバイスに送信されるトラフィックの量を減らすことができます。IPTV やビデオオン デマンドなどの一部のタイプのトラフィックでは、すでにコンテンツがサービス プロバイダによって認識または制御されている可能性があるため、トラフィックのコンテンツ全体をミラーリングする必要はありません。

ミラーリング関連のイベントレポート

加入者のセキュアポリシーは、SNMPv3トラップを使用して、外部デバイスへのミラーリング操作に関連するイベントを報告することもできます。トラップで送信される情報のタイプには、ユーザー名やIPアドレスなどの加入者の情報、ログインやログアウトイベント、ミラーリングセッションのアクティベーションや非アクティブ化などの加入者セッションイベントなどの識別情報が含まれます。トラップは、 IPネットワークアクセスの合法的に許可された電子監視(LAES)で定義されたメッセージにマッピング, 電気通信のためのアメリカの国立標準.

Junos OS リリース 16.1R1 以降、SNMPv3 トラップがプライバシ(暗号化)で送信されるように、仲介デバイスのターゲット パラメーターを設定する必要があります。プライバシーが設定されていないターゲットは、通知を受信できません。

以前のリリースでは、プライバシなしでターゲット パラメーターを設定でき、暗号化されていない通知を仲介デバイスに送信できます。また、トラップを特定のターゲットに制限することもできません。

L2TP 加入者のサポート

DTCP 開始 SSP と RADIUS 開始 SSP の両方を、レイヤー 2 トンネリング プロトコル(L2TP)でトラフィックがトンネリングされる PPP(ポイントツーポイント プロトコル)加入者に適用できます。DTCP SSP は L2TP ネットワーク サーバー(LNS)でのみ加入者をサポートします。一方、RADIUS 開始 SSP は L2TP アクセス コンセントレータ(LAC)または LNS で加入者をサポートします。

LACでは、加入者のイングレストラフィック(加入者からトンネルへ)と加入者のエグレストラフィック(トンネルから加入者へ)の両方が、加入者向けのイングレスインターフェイスでミラーリングされます。イングレストラフィックは、PPPoEカプセル化解除後とL2TPカプセル化の前にミラーリングされます。エグレストラフィックは、L2TPカプセル化解除後にミラーリングされます。ミラーリングされたパケットには、IP データグラムだけではなく、LNS に送信される完全な HDLC フレームが含まれています。

LNS では、加入者のイングレス トラフィック(LAC から LNS へ)と加入者エグレス トラフィック(LNS から LAC への)の両方が、加入者に対応するインライン サービス(si)インターフェイスでミラーリングされます。イングレストラフィックは、L2TP、HDLC、およびPPPヘッダーのカプセル化解除後にミラーリングされます。IP データグラムがカプセル化される前に、エグレス トラフィックがミラーリングされます。ミラーリングされたトラフィックには、加入者に属するIPデータグラムのみが含まれています。

特定の L2TP SSP 設定はありません。

加入者のセキュアポリシートラフィックミラーリング向けJunos OSサービス

加入者のセキュアポリシーミラーリングでは、 階層レベルで設定されたradius-flow-tapサービスを使用する [edit services radius-flow-tap] 必要があります。このサービスは、加入者のセキュアポリシーミラーリングにのみ使用され、MXシリーズルーターでのみ使用されます。

名前が似た Junos OS サービスは他にも存在しますが、加入者のセキュア ポリシー ミラーリングには使用されません。

• 階層レベルで [edit services flow-tap] 設定されたフロータップサービスは、パケットミラーリング向けの古いJunos OSサービスです。このサービスでは、仲介デバイスからのDTCP(Dynamic Tasking Control Protocol)リクエストを使用して、アクティブフロー監視ステーション(ルーター)でIPv4パケットを傍受します。ルーターは DTCP を使用して、フィルター条件に一致するパケットのコピーを 1 つ以上のコンテンツ宛先に送信します。フロータップ サービスは、アダプティブ サービス PIC を使用する M シリーズおよび T シリーズ ルーターでのみサポートされています。フロータップ サービスの詳細については、「 フロータップ アーキテクチャについて」を参照してください。

• FlowTapLiteサービスは、パケットミラーリングのためのフロータップサービスの軽量バージョンです。また、 階層レベルで設定されます [edit services flow-tap] 。FlowTapLiteサービスは、ラインカードではなくパケット転送エンジンに存在します。傍受されたパケットは、カプセル化のためにトンネル論理インターフェイス(vt-)に送信されるため、サービスにトンネルインターフェイスを割り当て、割り当てる必要があります。これは、MXシリーズルーター、および拡張IIIフレキシブルPICコンセントレータ(FPC)を備えたM320ルーターでサポートされています。FlowTapLiteとフロータップサービスを同じルーター上で同時に実行することはできません。FlowTapLiteの詳細については、 FPCを搭載したMXシリーズルーターおよびM320ルーターでのFlowTapLiteの設定を参照してください。

コア エラーが発生した場合の SSP データの保護

認証、bbe-smgd、または dfcd プロセスでコア エラーが生成されると、コア ダンプ ファイルには、SSP を含むあらゆるプロセスに関連する情報が含まれます。エラー ファイルには、トラフィックがミラーリングされている加入者や、ミラーリングされたトラフィックを受信する仲介デバイスを特定する SSP 情報が含まれています。たとえば、仲介デバイス、デバイス ポート、インターセプト ID の送信元と宛先の IP アドレスなどの情報がファイルに含まれています。

Junos OS リリース 18.4R1 以降、SSP 関連情報はコア ダンプ ファイルで自動的に暗号化され、コア エラーが発生した場合に不正な人物にこの情報が見られることを防ぎます。暗号化はデフォルトで有効になっています。構成は必要ありませんし、不可能です。dfcdコアエラーファイルには、加入者やデバイスを識別しないトラフィックミラーリング情報が含まれている場合があります。この情報はマスクされません。FlowTapLite情報はマスクされません。

加入者のセキュア ポリシー ライセンス要件

加入者の安全ポリシーを有効にして使用するには、Subscriber Secure Policyライセンスをインストールして適切に設定する必要があります。