了解 FlowTap 和 FlowTapLite 体系结构

了解中介设备以及它们如何与运行 FlowTap 或 FlowTapLite 应用程序的路由器交互。

流监测体系结构由一个或多个 调解设备 组成，这些设备将请求发送到支持此功能的 ACX 或 MX 系列路由器，以监控传入数据。符合特定过滤条件的任何数据包都将转发到一组一个或多个 内容目标：

• 调解设备 — 监控网络上电子数据或语音传输的客户端。调解设备使用 DTCP 向路由器发送过滤器请求。出于安全原因，客户端不会被识别，但具有由一组特殊登录类定义的权限。

• 监控平台 — 配置为支持 FlowTap 或 FlowTapLite 应用程序的路由器。监控平台处理来自调解设备的请求，应用动态过滤器，监控传入的数据流，并将匹配的数据包发送到适当的内容目标。

• 内容目标 — 来自监控平台的匹配数据包的接收方。通常，匹配的数据包使用 IP 安全 （IPSec） 隧道从监控平台发送到连接到内容目标的另一台路由器。内容目标和中介设备可以物理位于同一主机上。

• 动态过滤器 — 数据包转发引擎会自动生成应用于所有 IPv4 路由实例的 防火墙过滤器 。筛选器中的每个术语都包含一个 flow-tap 与现有 sample 或 port-mirroring 作类似的作。只要其中一个过滤词与传入数据包匹配，路由器就会复制该数据包并将其转发至为 flow-tap 服务配置的 MPC 卡或线卡。该卡通过客户端过滤器运行数据包，并将副本发送到每个匹配的内容目标。为了安全起见，一个客户端安装的过滤器对其他客户端不可见，并且 CLI 配置不会显示受监控目标的身份。

  以下是过滤器配置示例;请注意，它是由路由器动态生成的（无需用户配置）：

图 1 显示了使用两个中介设备和两个内容目标的示例拓扑。

图 2 显示了使用一个中介设备和一个内容目标的示例拓扑。请注意，ACX 系列路由器使用回收端口。