이 페이지의 내용

X2 트래픽 모니터링 이해
예: X2 트래픽 모니터링을 위한 미러 필터 구성

X2 트래픽 모니터링

이 주제는 SRX 시리즈 방화벽의 X2 트래픽 모니터링에 대해 다룹니다.

X2 트래픽 모니터링 이해

LTE 모바일 네트워크에서 SRX 시리즈 방화벽은 신호 전달, 모니터링 및 무선 커버리지를 위해 eNodeB(Evolved Node Bs)를 연결하는 보안 게이트웨이 역할을 합니다. SRX 시리즈 방화벽은 IPsec 터널을 사용하여 eNodeB를 연결합니다. 하나의 eNodeB에서 다른 eNodeB로 흐르는 사용자 플레인 및 컨트롤 플레인 트래픽을 X2 트래픽이라고 합니다.

X2 트래픽 모니터링 개요
X2 트래픽 모니터링의 한계
X2 트래픽 용어

X2 트래픽 모니터링 개요

IPsec 터널을 통과하는 X2 트래픽은 암호화됩니다. 이 때문에 모바일 네트워크 운영자는 eNodeB에서 핸드오버 문제를 디버깅할 수 있도록 X2 트래픽을 모니터링할 수 있는 방법이 필요합니다. Junos OS 구현을 통해 트래픽이 복호화되고 다시 암호화되기 전에 하나의 IPsec 터널에서 나와 다른 IPsec 터널로 들어가는 SRX 시리즈 방화벽을 통과할 때 일반 텍스트 X2 트래픽을 스누핑하여 X2 트래픽을 모니터링할 수 있습니다.

그림 1 은 SRX 시리즈 방화벽 내의 X2 트래픽 플로우를 보여줍니다. 트래픽이 하나의 st0.x 인터페이스에 있는 SRX 시리즈 방화벽에 도달하면 복호화됩니다. 그런 다음 암호화되어 전용 st0.y 인터페이스를 통해 대상 eNodeB로 전달됩니다. 스누핑은 SRX 시리즈 방화벽에서 복호화된 X2 트래픽에 대해 수행됩니다.

그림 1: LTE 모바일 네트워크의 SRX Series Firewall in an LTE Mobile Network

SRX 시리즈 방화벽

그림 2 는 두 eNodeB 사이에 IPsec 터널 연결을 제공하는 SRX 시리즈 방화벽이 있는 모바일 운영자 네트워크를 보여줍니다. SRX 시리즈 방화벽은 X2 트래픽을 수집하고 모니터링하는 데 사용되는 패킷 분석기( sniffing 디바이스라고도 함)에 연결됩니다. 각 eNodeB의 IPsec 터널은 SRX 시리즈 방화벽의 전용 보안 터널 인터페이스에서 종료됩니다. IPsec 터널에서 나오는 인바운드 트래픽은 복호화되고 디바이스를 나가는 아웃바운드 트래픽은 암호화됩니다.

그림 2: X2 트래픽 Monitoring X2 Traffic

모니터링

X2 트래픽을 모니터링하기 위해 트래픽이 일치하는 고유한 매개 변수 집합을 지정하는 최대 15개의 서로 다른 미러 필터를 구성할 수 있습니다. 필터링된 패킷은 복제되어 물리적 인터페이스로 전송됩니다. 패킷 분석기가 필터링된 패킷을 캡처할 수 있도록 하려면 SRX 시리즈 방화벽의 출력 인터페이스와 패킷 분석기의 MAC 주소를 지정합니다. 출력 인터페이스가 패킷 분석기와 동일한 레이어 2 네트워크에 연결되어 있기 때문에 미러 필터링이 켜지면 패킷 분석기가 X2 트래픽을 수집하고 분석할 수 있습니다.

SRX 시리즈 미러 필터 기능은 세션과 매우 유사하게 양방향으로 작동합니다. 미러 필터와 일치하는 IPSec VPN을 통해 흐르는 X2 트래픽이 미러링되고 분석됩니다. 이러한 디바이스에서 반환되는 트래픽도 미러링 및 분석됩니다.

Junos OS 릴리스 18.4R1부터 미러 필터의 출력 X2 인터페이스가 분석하려는 트래픽을 필터링하기 위해 st0 인터페이스에 대해 구성된 경우, 패킷은 st0 인터페이스에 바인딩된 IPsec 터널에 의해 복제되고 암호화됩니다. 이 향상된 기능은 SRX 시리즈 방화벽이 IPsec 터널의 포트에서 미러링된 트래픽을 전송할 수 있도록 지원합니다. 미러링된 트래픽에는 수정되지 않은 레이어 3 헤더가 포함됩니다.

메모:

미러 필터에 필요한 최소 매개 변수 수는 없지만 기준을 너무 적게 지정하거나 실수로 불완전한 필터를 커밋하면 시스템을 통과하는 트래픽 흐름의 양이 과도하게 미러링될 수 있다는 점에 유의하십시오.

X2 트래픽 모니터링의 한계

섀시 클러스터 설정의 X2 트래픽의 경우, 미러링된 패킷은 데이터 링크(패브릭 인터페이스)를 통과할 수 없습니다.
X2 트래픽 미러링에 대한 지원은 PMI(PowerMode IPsec)가 활성화된 상태에서는 사용할 수 없습니다. PMI가 한 방향에서 활성화되었지만 다른 방향에서는 비활성화된 경우, PMI가 활성화되지 않은 방향에 대해서만 X2 트래픽 미러링을 캡처할 수 있습니다.

X2 트래픽 용어

표 1 에는 일부 X2 트래픽 관련 용어와 해당 설명이 나와 있습니다.

표 1: X2 트래픽 용어
학기	묘사
진화된 패킷 코어(EPC)	SAE(System Architecture Evolution)의 주요 구성 요소이며 SAE 코어라고도 합니다. EPC는 IP 네트워크를 지원하며 MME(Mobility Management Entity), SGW(Serving Gateway) 및 PGW(Packet Data Network Gateway) 하위 구성 요소를 사용하여 GPRS(General Packet Radio Service) 네트워크와 동등한 역할을 합니다.
진화된 범용 지상파 무선 액세스 네트워크(E-UTRAN)	무선 액세스 네트워크 표준입니다. E-UTRAN은 새로운 에어 인터페이스 시스템입니다. 더 높은 데이터 속도와 더 짧은 지연 시간을 제공하며 패킷 데이터에 최적화되어 있습니다. 다운링크에는 OFDMA(Orthogonal Frequency-Division Multiple Access)를 사용하고 업링크에는 단일 반송파 주파수 분할 다중 액세스를 사용합니다.
진화된 노드 B(eNodeB)	GSM(Global System for Mobile Communications) 네트워크의 베이스 트랜시버 스테이션과 같이 모바일 핸드셋과 직접 통신하는 휴대폰 네트워크에 연결된 디바이스입니다. eNodeB는 무선 네트워크 컨트롤러(RNC)에 의해 제어됩니다.
LTE(Long Term Evolution)	휴대폰 및 데이터 단말기의 고속 데이터 무선 통신 표준입니다. 다른 무선 인터페이스를 사용하여 용량과 속도를 높이고 코어 네트워크를 개선합니다.
X2 인터페이스	E-UTRAN을 사용하는 두 eNodeB 간의 지점 간 논리 인터페이스입니다. 두 eNodeB 간의 신호 정보 교환을 지원하고 프로토콜 데이터 유닛(PDU)을 각 터널 엔드포인트로 전달하는 것을 지원합니다.
X2AP(X2 애플리케이션 프로토콜)	X2 인터페이스에서 사용하는 프로토콜입니다. E-UTRAN에서 사용자 장비 이동성을 처리하는 데 사용되며 다음과 같은 기능을 제공합니다. 이동성 및 부하 관리 일반 오류 상황 보고 X2 인터페이스를 설정하고 재설정합니다 eNodeB 구성을 업데이트합니다.

예: X2 트래픽 모니터링을 위한 미러 필터 구성

이 예는 LTE 모바일 네트워크에서 두 eNodeB 사이의 X2 트래픽을 모니터링하기 위해 미러 필터를 구성하는 방법을 보여줍니다.

요구 사항
개요
구성
확인

요구 사항

시작하기 전에:

X2 트래픽 모니터링을 이해합니다. .
인터페이스, 보안 영역, 보안 정책 및 경로 기반 VPN 터널을 구성하여 SRX 시리즈 방화벽과 두 개의 eNodeB 간에 데이터를 안전하게 전송할 수 있습니다.

개요

네트워크 운영자는 X2 트래픽을 모니터링하여 eNodeB 전반의 핸드오버 문제를 디버깅할 수 있는 방법이 필요합니다. 미러 필터 기능을 사용하면 그렇게 할 수 있습니다. IPsec 터널에서 나오는 트래픽은 복호화, 미러링 및 분석된 후 다시 암호화되어 아웃바운드 IPsec 터널로 이동합니다.

구체적으로 설명하면, 미러 필터와 일치하는 트래픽은 미러링되어 패킷 분석기(디바이스라고도 함 sniffing )에 연결된 출력 인터페이스로 전송됩니다. 패킷 분석기는 X2 트래픽을 분석하여 모니터링할 수 있도록 합니다. 그런 다음 트래픽은 아웃바운드 IPsec 터널로 전송되기 전에 다시 암호화됩니다.

미러 필터 기능을 사용하여 X2 트래픽을 모니터링하려면 미러 필터를 구성합니다. 다양한 종류의 트래픽을 필터링하기 위해 동시에 사용할 최대 15개의 서로 다른 미러 필터를 구성할 수 있습니다. 각 미러 필터에는 트래픽 매칭을 기준으로 하는 파라미터 세트와 해당 값이 포함되어 있습니다.

메모:

미러 필터는 트래픽을 필터링하기 위해 다음 매개 변수 중 일부 또는 전부를 포함할 수 있습니다.

대상 IP 주소 접두사
목적지 포트
IP 프로토콜
소스 IP 주소 접두사
소스 포트
들어오고 나가는 인터페이스

또한 구성의 일부로 패킷 분석기의 출력 인터페이스와 MAC 주소를 지정합니다.

이 예에서 SRX 시리즈 방화벽은 IPsec 터널을 사용하여 LTE 모바일 네트워크에서 두 개의 eNodeB를 연결합니다. 이 예제에서는 traffic-https라는 미러 필터를 구성합니다.

그림 3 은 IPsec 터널을 사용하여 eNodeB에 연결하는 SRX 시리즈 방화벽을 보여줍니다. SRX 시리즈 방화벽은 패킷 분석기에도 연결됩니다.

그림 3: X2 트래픽 모니터링을 Configuring Mirror Filters for X2 Traffic Monitoring

위한 미러 필터 구성

이 예에서는 접두사가 203.0.113.0/24인 IP 주소가 있는 디바이스에 대한 대상이고 HTTPS 트래픽의 기본 포트인 대상 포트 443이 사용되는 모든 HTTPS 트래픽을 분석합니다. traffic-https 필터와 일치하는 패킷은 미러링되어 출력 인터페이스 ge-0/0/5를 통해 MAC 주소 00:50:56:87:20:5E의 패킷 분석기로 전송됩니다. 이러한 디바이스에서 반환되는 트래픽도 모니터링됩니다.

메모:

미러 필터의 출력 인터페이스는 패킷 분석기의 인터페이스이며, 이것이 HTTP 프로토콜이 사용되는 이유입니다.

패킷 분석기의 출력 인터페이스는 HTTP 프로토콜을 사용합니다.

구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드 의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

X2 트래픽 모니터링을 위한 미러 필터 구성하기:

traffic-https라는 미러 필터를 생성합니다.

트래픽이 일치하는 미러 필터 매개 변수를 지정합니다.

패킷 분석기로 전송할 미러링된 패킷의 출력 인터페이스를 지정합니다.

패킷 분석기의 MAC 주소를 미러링된 모든 패킷, 즉 미러 필터와 일치하는 패킷의 대상으로 지정합니다.

결과

구성 모드에서 명령을 입력하여 show security forwarding-options 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

확인

구성이 올바르게 작동하고 있는지 확인합니다.

미러 필터의 상태 확인

목적
행동
의미

목적

미러 필터가 활성 상태인지 확인합니다.

행동

작동 모드에서 특정 미러 필터에 대한 명령을 입력합니다 show security forward-options mirror-filter .

의미

출력은 미러 필터 상태를 제공합니다. traffic-https라는 미러 필터가 활성화되어 있음을 보여줍니다. traffic-https 미러 필터는 트래픽이 미러링 및 분석되기 위해 일치해야 하는 프로토콜, 대상 접두사 및 대상 포트를 지정합니다.

이 출력은 두 개의 패킷이 미러링되었음을 보여줍니다.