가입자 보안 정책 개요

레이어 2 및 레이어 3 데이터그램 모두 차단 지원

DTCP 또는 RADIUS 시작된 SSP가 논리적 가입자 인터페이스 및 VLAN 가입자 인터페이스의 트래픽을 가로채면 레이어 2 및 레이어 3 데이터그램을 모두 중재 디바이스로 보냅니다. 이러한 인터페이스에 대한 가입자 보안 정책을 활성화하면 레이어 2 및 레이어 3 제어 트래픽을 포함하여 구성된 모든 체계(inet, inet6)의 트래픽이 미러링됩니다.

DTCP 시작 가입자 보안 정책 미러링된 트래픽에 대한 트래픽 필터링

미러링된 트래픽이 중재 디바이스로 전송되기 전에 필터링할 수 있습니다. 이 기능을 통해 서비스 프로바이더는 중재 디바이스로 전송되는 트래픽 양을 줄일 수 있습니다. 온디맨드 IPTV 또는 비디오와 같은 일부 트래픽의 경우, 서비스 프로바이더는 컨텐츠를 이미 알려지거나 제어할 수 있으므로 트래픽의 전체 콘텐츠를 미러링할 필요가 없습니다.

미러링 관련 이벤트 보고

또한 가입자 보안 정책은 SNMPv3 트랩을 사용하여 미러링 작업과 관련된 이벤트를 외부 디바이스에 보고할 수 있도록 지원합니다. 트랩에 전송되는 정보 유형에는 사용자 이름 또는 IP 주소와 같은 가입자의 정보 식별, 로그인 또는 로그아웃 이벤트, 미러링 세션 활성화 또는 비활성화와 같은 가입자 세션 이벤트가 포함됩니다. 트랩은 미국 국가 통신 표준 IP 네트워크 액세스를 위한 LAES(합법적 인증 전자 감시)에 정의된 메시지에 매핑됩니다.

릴리스 16.1R1 Junos OS 시작하여 SNMPv3 트랩이 개인 정보 보호(암호화)로 전송되도록 중재 디바이스의 대상 매개 변수를 구성해야 합니다. 개인 정보 보호가 구성된 대상은 알림을 받을 수 없습니다.

이전 릴리스에서는 개인 정보 보호 없이 대상 매개 변수를 구성할 수 있어 암호화되지 않은 알림이 중재 디바이스로 전송되도록 할 수 있습니다. 트랩을 특정 대상으로 제한할 수도 없습니다.

L2TP 가입자 지원

DTCP 시작 및 RADIUS 시작 SSP는 트래픽이 레이어 2 터널링 프로토콜(L2TP)으로 터널링되는 PPP(Point-to-Point Protocol) 가입자에 적용할 수 있습니다. DTCP SSP는 L2TP 네트워크 서버(LNS)에서만 가입자를 지원하는 반면, RADIUS 시작 SSP는 L2TP LAC(Access Concentrator) 또는 LNS에서 가입자를 지원합니다.

LAC에서 가입자 수신 트래픽(가입자에서 터널로)과 가입자 송신 트래픽(터널에서 가입자까지) 모두 가입자 대면 수신 인터페이스에서 미러링됩니다. 수신 트래픽은 PPPoE 캡슐화 해제 후 L2TP 캡슐화 전에 미러링됩니다. 송신 트래픽은 L2TP 디캡슐화 후에 미러링됩니다. 미러링된 패킷에는 IP 데이터그램이 아닌 LNS로 전송되는 완전한 HDLC 프레임이 포함되어 있습니다.

LNS에서 가입자 수신 트래픽(LAC에서 LNS로) 및 가입자 송신 트래픽(LNS에서 LAC로)은 모두 가입자에 해당하는 인라인 서비스(si) 인터페이스에서 미러링됩니다. L2TP, HDLC 및 PPP 헤더의 캡슐화를 해제한 후 수신 트래픽이 미러링됩니다. 송신 트래픽은 IP 데이터그램이 캡슐화되기 전에 미러링됩니다. 미러링된 트래픽에는 가입자에 속한 IP 데이터그램만 포함됩니다.

특정 L2TP SSP 구성은 없습니다.

가입자 보안 정책 트래픽 미러링을 위한 Junos OS 서비스

가입자 보안 정책 미러링을 사용하려면 계층 수준에서 구성된 [edit services radius-flow-tap] radius-flow-tap 서비스를 사용해야 합니다. 이 서비스는 가입자 보안 정책 미러링과 MX 시리즈 라우터에서만 사용됩니다.

비슷한 이름의 다른 Junos OS 서비스가 있지만 가입자 보안 정책 미러링에는 사용되지 않습니다.

• 계층 수준에서 구성된 [edit services flow-tap] 플로우 탭 서비스는 패킷 미러링을 위한 이전 Junos OS 서비스입니다. 이 서비스는 중재 디바이스의 DTCP(Dynamic Tasking Control Protocol) 요청을 사용하여 활성 플로우 모니터링 스테이션(라우터)에서 IPv4 패킷을 차단합니다. 라우터는 DTCP를 사용하여 필터 기준을 하나 이상의 콘텐츠 대상에 일치하는 패킷 사본을 보냅니다. 플로우 탭 서비스는 Adaptive Services PIC를 사용하는 M Series 및 T 시리즈 라우터에서만 지원됩니다. 플로우 탭 서비스에 대한 자세한 내용은 플로우 탭 아키텍처 이해를 참조하십시오.

• FlowTapLite 서비스는 패킷 미러링을 위한 플로우 탭 서비스의 경량 버전입니다. 또한 계층 수준에서 구성 [edit services flow-tap] 됩니다. FlowTapLite 서비스는 라인 카드가 아닌 패킷 전달 엔진 있습니다. 차단된 패킷은 캡슐화를 위해 터널 논리 인터페이스(vt-)로 전송되므로 서비스에 터널 인터페이스를 할당하고 할당해야 합니다. MX 시리즈 라우터와 Enhanced III FPC(Flexible PIC Concentrator)가 있는 M320 라우터에서 지원됩니다. 동일한 라우터에서 FlowTapLite 및 flow-tap 서비스를 동시에 실행할 수 없습니다. FlowTapLite에 대한 자세한 내용은 MX 시리즈 라우터 및 FPC를 사용한 M320 라우터에서 FlowTapLite 구성을 참조하십시오.

코어 오류가 생성될 때 SSP 데이터 보호

인증된 bbe-smgd 또는 dfcd 프로세스가 코어 오류를 생성하면 코어 덤프 파일에는 SSP를 포함한 모든 프로세스와 관련된 정보가 포함됩니다. 오류 파일에는 트래픽이 미러링된 가입자 또는 미러링된 트래픽을 수신하는 중재 디바이스를 식별할 수 있는 SSP 정보가 포함되어 있습니다. 예를 들어, 파일에는 중재 디바이스, 디바이스 포트 및 인터셉트 ID에 대한 소스 및 대상 IP 주소와 같은 정보가 포함됩니다.

Junos OS 릴리스 18.4R1부터 SSP 관련 정보는 코어 덤프 파일에서 자동으로 암호화되어 코어 오류가 발생할 경우 권한이 없는 사람이 이 정보를 볼 수 없습니다. 암호화는 기본적으로 활성화됩니다. 구성이 필요 없거나 불가능합니다. dfcd 코어 오류 파일에는 가입자 또는 디바이스를 식별하지 못하는 트래픽 미러링 정보가 포함될 수 있습니다. 이 정보는 마스크되지 않습니다. FlowTapLite 정보는 마스크되지 않습니다.

가입자 보안 정책 라이선스 요구 사항

가입자 보안 정책을 활성화하고 사용하려면 가입자 보안 정책 라이선스를 설치하고 적절하게 구성해야 합니다.