简介
本文档介绍如何在StarOS中排除合法侦听情景下的“缓冲区”配置故障。
先决条件
要求
思科建议您了解StarOS。
使用的组件
本文档不限于特定的软件和硬件版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
缩写
| LI |
依法截取 |
| LEA |
执法机构 |
| AF |
访问功能 |
| MF |
中介功能 |
| DF |
交付功能 |
| CF |
控制功能 |
| IRI |
拦截相关信息 |
| 抄送 |
沟通内容 |
| CLI |
命令行界面 |
AF可以是任何StarOS节点。CF位于LEA本地或管理域中。
问题
在合法侦听模块下配置缓冲选项时,发现与基于事件/内容的缓冲选项相关的参数在CLI配置列表中不可用。
此选项可帮助定义每个LI上下文的默认5000 IRI记录和1000 CC记录的缓冲区值。
配置列表中可用的唯一选项是“dest-addr”。
[li-context]<hostname>(config-ctx)# lawful-intercept tcp event-delivery
dest-addr - Destination IP address where the intercepted information needs to be forwarded.
理想情况下,它应该显示前面提到的选项列表中的“buffer”关键字以及“dest-addr”选项。
依法截取
注意:合法拦截是启用许可证的功能。基本合法拦截许可证支持UDP作为活动用户呼叫内容(CC)拦截的传输协议。基本许可证不支持事件(IRI)拦截和将TCP作为传输协议进行传输。增强型合法拦截许可证支持所有基本LI许可证功能以及事件(IRI)拦截和TCP作为传输协议,用于传输拦截的数据包。
合法拦截功能为网络运营商提供拦截目标移动用户的控制和数据消息的能力。为了调用此支持,LEA将请求网络运营商开始侦听特定移动用户。此请求将由法院命令或授权令支持。合法拦截在不同的国家遵循不同的标准。
典型的合法拦截进程包括以下事件序列:
1. LEA要求TSP开始截取某人的庭审,通常必须获得法院命令或授权令的支持。将提供识别个人的信息(例如电话号码或姓名/地址等)。
2.电信服务提供商(TSP)管理员配置TSP访问功能/交付功能以开始拦截目标用户的控制/数据事件。如果用户会话已在进行中,将立即进行拦截。否则,访问功能必须等待用户会话连接。
3.访问功能将截取会话的控制/数据事件的副本发送到传递功能。
4.传输功能将截获的信息发送到一个或多个收集功能,这些功能位于LEA的管理域中。收集功能分析和存储截取的信息。
5.当LEA请求停止侦听时,TSP管理员将访问功能和传递功能配置为停止侦听特定用户会话。
DF使用SSH会话上的命令行界面(CLI)进行目标身份的LI调配和取消调配,以及监控LI统计信息。
StarOS支持以下协议/模式(IPv4和IPv6)以将LI事件和内容传送到DF:
· UDP(Un-ack)模式:DF2和DF3的地址在为UDP未确认模式调配时提供。
· TCP模式:对于TCP模式,配置仅提供对等体地址。所有拦截的事件传输(IRI)都将发送到DF2,所有拦截的数据(CC)传输将发送到DF3。
故障排除
StarOS配置应具有适用于此功能的许可证。
[local]<hostname># show license information | grep -i lawful
Monday December 10 01:54:13 UTC 2018
Lawful Intercept [ ASR5K-XX-CSXZZLI ]
+ Enhanced Lawful Intercept [ ASR5K-XX-CS0ZZELI / ASR5K-00-CS00XZI ]
Persistent Lawful Intercept [ ASR5K-XX-CS1ZZPLI ]
Segregating Lawful Intercept Context based on Count [ ASR5K-XX-PWXZZICS ]
StarOS还应具有“分离的li配置”。
通过此功能,只有“li-administrator”可以在专用li上下文中查看和编辑LI接口集成详细信息。
LI管理员用户应映射到配置中的li-administration。
administrator liadmin encrypted password *** ftp li-administration
但是,仍发现StarOS不允许在合法拦截配置模块下定义“buffer”选项。
[local]<hostname># context li
[li]<hostname># config
[li]<hostname>(config-ctx)# lawful-intercept tcp event-delivery
dest-addr - Destination IP address where the intercepted information needs to be forwarded. ====> customer do see only this option
[li]<hostname>(config-ctx)# lawful-intercept tcp event-delivery buff
Unknown command - "buff", unrecognized keyword
理想情况下,您应该看到带有关键字“buffer”的选项,以便像这样完成缓冲区配置的CLI。
configure
context
lawful-intercept tcp event-delivery buffer max-limit <1000 ... 50000>
end
分辨率
为了获得任何StarOS用户的li-admin权限,该用户应在li上下文中定义并具有admin权限。需要从外部服务器(从LEA)登录以启用此“缓冲区”选项的li-admin用户。任何尝试登录本地情景下的节点的其他管理员用户将不允许定义此“缓冲”选项。
以下步骤是为了在LI模块下实现StarOS中获取“缓冲”选项的要求。
1.使用本地管理员用户登录到节点。
2.创建li上下文(因为此处没有专用li上下文)。
3.在本地环境中创建具有li-admin权限的li用户。
4.在li上下文中创建具有li-admin权限的li用户。
<<我们从本地环境中删除了li-admin以添加专用li,这将有助于我们将li环境从本地环境中分离>>
5.从本地环境中删除具有li-admin权限的li用户。
6.创建dedicated-li上下文以启用分离li配置。
7.在li上下文中定义访问列表。
8.从节点注销。
9.使用具有li-admin权限的“li”用户再次登录节点。
10.配置所需的缓冲区选项,应允许您对其进行配置。
配置
[local]<hostname>(config)# context local
[local]<hostname>(config-ctx)# administrator li-admin password *** li-administration ftp
[local]<hostname>(config-ctx)# end
[local]<hostname>(config)# context li
[li]<hostname>(config-ctx)# administrator li-admin password *** ftp li-administration
< we removed li-admin from local context to add dedicated li which will help us to enable the segregate the li context from local context >
[local]<hostname>(config-ctx)# no administrator li-admin
[local]<hostname>(config-ctx)# exit
[local]<hostname>(config)# dedicated-li context li
Warning: Creating a dedicated LI context is a permanent configuration setting
Info: Context li is dedicated to Lawful-Intercept configuration
Info: Undefined ACLs will be set to deny-all within this context
[li]<hostname>(config-ctx)#
[li]<hostname>(config-ctx)# access-list undefined permit-all
[li]<hostname>(config-ctx)# end
例如,使用li-admin用户登录后,您可以看到我们所需的所有选项:
<local-node><hostname>$ ssh li-admin@li@
Cisco Systems QvPC-SI Intelligent Mobile Gateway
li-admin@li@aa.bb.cc.dd's password:
Last login: Wed Jan 23 17:32:31 -0500 2019 on pts/2 from 10.xx.yy.zz.
Cisco Systems QvPC-SI
Lawful Intercept Interface
No entry for terminal type "xterm-256color";
using dumb terminal settings.
[li]
# configure
Warning: One or more other administrators may be configuring this system
[li]
(config-ctx)# lawful-intercept tcp event-delivery
buffer - This is used to configure the LI buffering >>>>>>> We can see the buffer option now.
dest-addr - Destination IP address where the intercepted information needs to be forwarded.
反馈