了解 FlowTap 和 FlowTapLite 体系结构
了解中介设备以及它们如何与运行 FlowTap 或 FlowTapLite 应用程序的路由器交互。
流监测体系结构由一个或多个 调解设备 组成,这些设备将请求发送到支持此功能的 ACX 或 MX 系列路由器,以监控传入数据。符合特定过滤条件的任何数据包都将转发到一组一个或多个 内容目标:
-
调解设备 — 监控网络上电子数据或语音传输的客户端。调解设备使用 DTCP 向路由器发送过滤器请求。出于安全原因,客户端不会被识别,但具有由一组特殊登录类定义的权限。
-
监控平台 — 配置为支持 FlowTap 或 FlowTapLite 应用程序的路由器。监控平台处理来自调解设备的请求,应用动态过滤器,监控传入的数据流,并将匹配的数据包发送到适当的内容目标。
-
内容目标 — 来自监控平台的匹配数据包的接收方。通常,匹配的数据包使用 IP 安全 (IPSec) 隧道从监控平台发送到连接到内容目标的另一台路由器。内容目标和中介设备可以物理位于同一主机上。
-
动态过滤器 — 数据包转发引擎会自动生成应用于所有 IPv4 路由实例的 防火墙过滤器 。筛选器中的每个术语都包含一个
flow-tap
与现有sample
或port-mirroring
作类似的作。只要其中一个过滤词与传入数据包匹配,路由器就会复制该数据包并将其转发至为flow-tap
服务配置的 MPC 卡或线卡。该卡通过客户端过滤器运行数据包,并将副本发送到每个匹配的内容目标。为了安全起见,一个客户端安装的过滤器对其他客户端不可见,并且 CLI 配置不会显示受监控目标的身份。以下是过滤器配置示例;请注意,它是由路由器动态生成的(无需用户配置):
filter combined_LEA_filter { term LEA1_filter { from { source-address 192.0.2.1; destination-address 198.51.100.6; } then { flow-tap; } } term LEA2_filter { from { source-address 10.1.1.1; source-port 23; } then { flow-tap; } } }
图 1 显示了使用两个中介设备和两个内容目标的示例拓扑。

图 2 显示了使用一个中介设备和一个内容目标的示例拓扑。请注意,ACX 系列路由器使用回收端口。
