了解 Flow-Tap 架构
流访问架构由一个或多个调解设备组成,这些 调解设备 可向瞻博网络路由器发送请求以监控传入数据。匹配特定过滤标准的任何数据包将被转发到一组或多个 内容目标:
调解设备 — 用于监控网络中的电子数据或语音传输的客户端。调解设备使用 DTCP 向瞻博网络路由器发送过滤器请求。出于安全原因,未对客户端进行标识,但具有由一组特殊登录类定义的权限。
监控平台 — 一款瞻博网络 M 系列或 T 系列路由器,其中包含一个或多个自适应服务 (AS) PIC(配置为支持流插式应用)。监控平台处理来自调解设备的请求,应用动态过滤器,监控传入数据流,并将匹配的数据包发送到相应的内容目标。
内容目标 — 来自监控平台的匹配数据包的接收方。通常,匹配的数据包使用 IP 安全 (IPSec) 隧道从监控平台发送到连接到内容目标的另一个路由器。内容目标和调解设备可以物理位于同一主机上。
动态过滤器 — 数据包转发引擎自动生成一个应用于所有 IPv4 路由实例的 防火墙过滤器 。过滤器中的每个术语都包含一个 流点击 操作,类似于现有 示例 或 端口镜像 操作。只要其中一个过滤条件与传入数据包匹配,路由器将复制数据包并将其转发至为流访问服务配置的 AS PIC。AS PIC 通过客户端过滤器运行数据包,并向每个匹配的内容目标发送一个副本。为了安全起见,一个客户端安装的过滤器对其他客户端不可见,而且 CLI 配置不会显示受监控目标的身份。
下面是过滤器配置示例:请注意,它由路由器动态生成(无需用户配置):
filter combined_LEA_filter { term LEA1_filter { from { source-address 192.0.2.; destination-address 198.51.100.6; } then { flow-tap; } } term LEA2_filter { from { source-address 10.1.1.1; source-port 23; } then { flow-tap; } } }
图 1 显示了一个使用两个调解设备和两个内容目标的示例拓扑。
图 1:流抽管拓扑图
