在StarOS中，對合法偵聽情景下的「緩衝區」配置進行故障排除

簡介

本檔案介紹如何在StarOS中，對合法攔截情景下的「緩衝區」配置進行故障排除。

必要條件

需求

思科建議您瞭解StarOS。

採用元件

本文件所述內容不限於特定軟體和硬體版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

縮寫

李	合法攔截
LEA	執法機構
AF	存取功能
MF	中介功能
DF	傳遞函式
CF	控制功能
IRI	攔截相關資訊
抄送	溝通內容
CLI	命令列介面

AF可以是任何StarOS節點。CF駐留在LEA場所或管理域中。

問題

在合法偵聽模組下配置緩衝選項時，發現與基於事件/內容的緩衝選項相關的引數在CLI配置清單中不可用。

此選項可幫助定義每個LI上下文的預設5000 IRI記錄和1000 CC記錄的緩衝值。

配置清單中可用的唯一選項是「dest-addr」。

[li-context]<hostname>(config-ctx)# lawful-intercept tcp event-delivery
dest-addr - Destination IP address where the intercepted information needs to be forwarded.

理想情況下，它應在上述選項清單中顯示「buffer」關鍵字以及「dest-addr」選項。

合法攔截

附註：合法攔截是啟用許可證的功能。基本合法攔截許可證支援UDP作為啟用使用者呼叫內容(CC)攔截的傳輸協定。基本許可證不支援事件(IRI)攔截和作為傳輸協定的TCP。增強型合法攔截許可證支援所有基本LI許可證功能以及事件(IRI)攔截和TCP作為傳輸協定，用於傳輸攔截的資料包。

合法攔截功能為網路運營商提供攔截目標移動使用者的控制和資料消息的能力。為了呼叫此支援，LEA將請求網路運營商開始攔截特定移動使用者。這項請求將由法院命令或逮捕令支援。合法攔截在不同的國家遵循不同的標準。

典型的合法攔截進程包括以下事件序列：

1. LEA要求貿易銷售商開始擷取某人的某次庭審，該庭審通常必須得到法院命令或逮捕令的支援。將提供識別個人的資訊（如電話號碼或姓名/地址等）。
2.電信服務提供商(TSP)管理員配置TSP訪問功能/交付功能以開始攔截目標使用者的控制/資料事件。如果使用者會話已在進行中，將立即進行攔截。否則，訪問功能必須等待使用者會話連線。
3.訪問功能將所截獲會話的控制/資料事件的副本傳送到傳遞功能。
4.傳送功能將截獲的資訊傳送到一個或多個收集功能，這些功能位於LEA的管理域中。收集功能分析和儲存擷取的資訊。
5.當LEA請求停止偵聽時，TSP管理員配置訪問功能和傳遞功能以停止該特定使用者會話的偵聽。

DF使用SSH會話上的命令列介面(CLI)進行目標身份的LI調配和取消調配，以及監控LI統計資訊。

StarOS支援以下協定/模式（IPv4和IPv6）以將LI事件和內容傳送到DF:

· UDP(Un-ack)模式：DF2和DF3的地址在為UDP未確認模式調配時提供。
· TCP模式：對於TCP模式，配置僅提供對等體地址。所有擷取事件傳送(IRI)被傳送到DF2，所有擷取資料(CC)傳送被傳送到DF3。

疑難排解

StarOS配置應具有適用於此功能的許可證。

[local]<hostname># show license information | grep -i lawful
Monday December 10 01:54:13 UTC 2018
Lawful Intercept                                    [ ASR5K-XX-CSXZZLI ]
+ Enhanced Lawful Intercept                         [ ASR5K-XX-CS0ZZELI / ASR5K-00-CS00XZI ]
Persistent Lawful Intercept                         [ ASR5K-XX-CS1ZZPLI ]
Segregating Lawful Intercept Context based on Count [ ASR5K-XX-PWXZZICS ]

StarOS還應具有「隔離的li配置」。

使用此功能，只有「li-administrator」才能在專用li上下文中檢視和編輯LI介面整合詳細資訊。

LI admin使用者應對映到配置中的li-administration。

administrator liadmin encrypted password *** ftp li-administration

但是，仍發現StarOS不允許在合法攔截配置模組下定義「緩衝」選項。

[local]<hostname># context li
[li]<hostname># config
[li]<hostname>(config-ctx)# lawful-intercept tcp event-delivery
dest-addr - Destination IP address where the intercepted information needs to be forwarded. ====> customer do see only this option

[li]<hostname>(config-ctx)# lawful-intercept tcp event-delivery buff
Unknown command - "buff", unrecognized keyword

理想情況下，您應該看到包含關鍵字「buffer」的選項，以便為緩衝區配置完成類似的CLI。

configure
context
lawful-intercept tcp event-delivery buffer max-limit <1000 ... 50000>
end

解析

為了獲得任何StarOS使用者的li-admin許可權，該使用者應在li上下文中定義並具有admin許可權。需要從外部伺服器（從LEA）登入以啟用此「緩衝區」選項的li-admin使用者。任何其它嘗試在本地上下文中登入節點的管理員使用者，都不允許定義此「緩衝」選項。

以下是實現LI模組下StarOS中「緩衝」選項要求的步驟。

1.使用本地管理員使用者登入到節點。
2.建立li上下文（因為此處沒有專用li上下文）。
3.在本地上下文中建立具有li-admin許可權的li使用者。
4.在li上下文中建立具有li-admin許可權的li使用者。
<<我們從本地上下文中刪除了li-admin以新增專用的li，這將幫助我們將li上下文與本地上下文隔離>>
5.從本地上下文中刪除具有li-admin許可權的li使用者。
6.建立專用li上下文以啟用隔離li配置。
7.在li上下文中定義訪問清單。
8.從節點註銷。
9.使用具有li-admin許可權的「li」使用者再次登入節點。
10.配置所需的緩衝區選項，應允許您進行配置。

組態

[local]<hostname>(config)# context local
[local]<hostname>(config-ctx)# administrator li-admin password *** li-administration ftp
[local]<hostname>(config-ctx)# end

[local]<hostname>(config)# context li
[li]<hostname>(config-ctx)# administrator li-admin password *** ftp li-administration

< we removed li-admin from local context to add dedicated li which will help us to enable the segregate the li context from local context >

[local]<hostname>(config-ctx)# no administrator li-admin
[local]<hostname>(config-ctx)# exit

[local]<hostname>(config)# dedicated-li context li
Warning: Creating a dedicated LI context is a permanent configuration setting
Info: Context li is dedicated to Lawful-Intercept configuration
Info: Undefined ACLs will be set to deny-all within this context
[li]<hostname>(config-ctx)#
[li]<hostname>(config-ctx)# access-list undefined permit-all
[li]<hostname>(config-ctx)# end

例如，使用li-admin使用者登入後，您可以看到我們所需的所有選項：

<local-node><hostname>$ ssh li-admin@li@
     
     
Cisco Systems QvPC-SI Intelligent Mobile Gateway
li-admin@li@aa.bb.cc.dd's password:
Last login: Wed Jan 23 17:32:31 -0500 2019 on pts/2 from 10.xx.yy.zz.
Cisco Systems QvPC-SI
Lawful Intercept Interface

No entry for terminal type "xterm-256color";
using dumb terminal settings.
[li] 
      # configure
Warning: One or more other administrators may be configuring this system
[li]
     
     
       (config-ctx)# lawful-intercept tcp event-delivery 
     
buffer - This is used to configure the LI buffering >>>>>>> We can see the buffer option now.
dest-addr - Destination IP address where the intercepted information needs to be forwarded.