가입자 보안 정책 개요

레이어 2 및 레이어 3 데이터그램 모두 가로채기 지원

DTCP 또는 RADIUS 시작 SSP가 논리적 가입자 인터페이스 및 VLAN 가입자 인터페이스의 트래픽을 가로채면 레이어 2와 레이어 3 데이터그램을 모두 중재 디바이스로 보냅니다. 이러한 인터페이스에 대해 가입자 보안 정책을 활성화하면 레이어 2 및 레이어 3 제어 트래픽을 포함하여 구성된 모든 제품군(inet, inet6)의 트래픽이 미러링됩니다.

DTCP 시작 가입자 보안 정책 미러링된 트래픽에 대한 트래픽 필터링

미러링된 트래픽이 중개 디바이스로 전송되기 전에 필터링할 수 있습니다. 이 기능을 통해 서비스 공급자는 중개 디바이스로 전송되는 트래픽의 양을 줄일 수 있습니다. IPTV 또는 주문형 비디오와 같은 일부 트래픽 유형의 경우 해당 콘텐츠가 서비스 프로바이더에 의해 이미 알려져 있거나 제어되고 있을 수 있으므로 트래픽의 전체 콘텐츠를 미러링할 필요가 없습니다.

미러링 관련 이벤트 보고

가입자 보안 정책은 또한 SNMPv3 트랩을 사용하여 미러링 작업과 관련된 이벤트를 외부 디바이스로 보고할 수 있도록 지원합니다. 트랩에서 전송되는 정보 유형에는 사용자 이름이나 IP 주소와 같은 가입자 식별 정보와 로그인 또는 로그아웃 이벤트 또는 미러링 세션 활성화 또는 비활성화와 같은 가입자 세션 이벤트가 포함됩니다. 트랩은 미국 국가 통신 표준인 IP 네트워크 액세스에 대한 법적 승인된 전자 감시(LAES)에 정의된 메시지에 매핑됩니다.

Junos OS 릴리스 16.1R1부터는 SNMPv3 트랩이 프라이버시(암호화)와 함께 전송되도록 중개 디바이스의 대상 매개 변수를 구성해야 합니다. 개인 정보가 구성되지 않은 대상은 알림을 받을 수 없습니다.

이전 릴리스에서는 개인 정보 보호 없이 대상 매개 변수를 구성하여 암호화되지 않은 알림을 중개 디바이스로 보낼 수 있습니다. 또한 트랩을 특정 대상으로 제한할 수 없습니다.

L2TP 가입자 지원

DTCP 시작 및 RADIUS 시작 SSP 모두 트래픽이 L2TP(Layer 2 Tunneling Protocol)로 터널링되는 PPP(Point-to-Point Protocol) 가입자에게 적용할 수 있습니다. DTCP 시작 SSP 및 RADIUS 시작 SSP는 L2TP LAC(Access Concentrator) 또는 L2TP 네트워크 서버(LNS)의 가입자를 지원합니다.

LAC에서는 가입자 수신 트래픽(가입자에서 터널로)과 가입자 송신 트래픽(터널에서 가입자로) 모두 가입자 대면 수신 인터페이스에서 미러링됩니다. 수신 트래픽은 PPPoE 캡슐화 해제 후 및 L2TP 캡슐화 전에 미러링됩니다. 송신 트래픽은 L2TP 캡슐화 해제 후 미러링됩니다. 미러링된 패킷에는 IP 데이터그램뿐만 아니라 LNS로 전송되는 전체 HDLC 프레임이 포함됩니다.

LNS에서는 가입자 수신 트래픽(LAC에서 LNS로)과 가입자 송신 트래픽(LNS에서 LAC로) 모두 가입자에 해당하는 인라인 서비스(si) 인터페이스에서 미러링됩니다. 수신 트래픽은 L2TP, HDLC 및 PPP 헤더의 캡슐화 해제 후 미러링됩니다. 송신 트래픽은 IP 데이터그램이 캡슐화되기 전에 미러링됩니다. 미러링된 트래픽에는 가입자에 속한 IP 데이터그램만 포함됩니다.

특정 L2TP SSP 구성은 없습니다.

가입자 보안 정책 트래픽 미러링을 위한 Junos OS 서비스

가입자 보안 정책 미러링에는 계층 수준에서 구성된 radius-flow-tap 서비스를 사용해야 합니다. [edit services radius-flow-tap] 이 서비스는 가입자 보안 정책 미러링에만 사용되며 MX 시리즈 라우터에서만 사용됩니다.

비슷한 이름을 가진 다른 Junos OS 서비스도 있지만 가입자 보안 정책 미러링에는 사용되지 않습니다.

• 계층 수준에서 [edit services flow-tap] 구성된 플로우 탭 서비스는 패킷 미러링을 위한 이전 Junos OS 서비스입니다. 이 서비스는 중개 디바이스의 DTCP(Dynamic Tasking Control Protocol) 요청을 사용하여 활성 플로우 모니터링 스테이션(라우터)에서 IPv4 패킷을 가로챕니다. 라우터는 DTCP를 사용하여 필터 기준과 일치하는 패킷 사본을 하나 이상의 콘텐츠 대상으로 보냅니다. 플로우 탭 서비스는 적응형 서비스 PIC를 사용하는 M Series 및 T 시리즈 라우터에서만 지원됩니다. 플로우 탭 서비스에 대한 자세한 내용은 플로우 탭 아키텍처 이해를 참조하십시오.

• FlowTapLite 서비스는 패킷 미러링을 위한 플로우 탭 서비스의 경량 버전입니다. 또한 계층 수준에서 구성됩니다.[edit services flow-tap] FlowTapLite 서비스는 라인 카드가 아닌 패킷 포워딩 엔진에 상주합니다. 가로챈 패킷은 캡슐화를 위해 터널 논리적 인터페이스(vt-)로 전송되므로, 서비스를 위한 터널 인터페이스를 할당하고 할당해야 합니다. MX 시리즈 라우터 및 Enhanced III FPC(Flexible PIC Concentrator)가 장착된 M320 라우터에서 지원됩니다. 동일한 라우터에서 FlowTapLite 및 flow-tap 서비스를 동시에 실행할 수 없습니다. FlowTapLite에 대한 정보는 FPC가 있는 MX 시리즈 라우터 및 M320 라우터에서 FlowTapLite 구성을 참조하십시오.

코어 오류 발생 시 SSP 데이터 보호

authd, bbe-smgd 또는 dfcd 프로세스가 코어 오류를 생성하면 코어 덤프 파일에는 SSP를 포함하여 프로세스와 관련된 모든 것과 관련된 정보가 포함됩니다. 오류 파일에는 트래픽이 미러링된 가입자 또는 미러링된 트래픽을 수신하는 중개 디바이스를 식별할 수 있는 SSP 정보가 포함되어 있습니다. 예를 들어 파일에는 중개 디바이스의 소스 및 대상 IP 주소, 디바이스 포트 및 인터셉트 ID와 같은 정보가 포함됩니다.

Junos OS 릴리스 18.4R1부터는 코어 오류 발생 시 SSP 관련 정보가 코어 덤프 파일에서 자동으로 암호화되어 권한이 없는 사람이 이 정보를 볼 수 없도록 합니다. 암호화는 기본적으로 활성화되어 있습니다. 구성이 필요하지 않거나 구성이 필요하지 않습니다. dfcd 코어 오류 파일에는 가입자 또는 디바이스를 식별하지 않는 트래픽 미러링 정보가 포함될 수 있습니다. 이 정보는 가려지지 않습니다. FlowTapLite 정보는 마스킹되지 않습니다.

가입자 보안 정책 라이센싱 요구 사항

가입자 보안 정책을 활성화하고 사용하려면 가입자 보안 정책 라이선스를 설치하고 올바르게 구성해야 합니다.