了解 MX 系列路由器上的被动流监控

流监控版本 5 支持被动流监控。版本 8 和 9 不支持被动流监控。

用于被动流监控的 MX 系列路由器不会路由来自受监控接口的数据包，也不会运行与这些接口相关的任何路由协议;它只会传递拦截的流量并接收流量。 图 1 显示了被动流量监控应用的典型拓扑。

流量通常在路由器 1 和路由器 2 之间传输。要重定向 IPv4 流量，请在这两台路由器之间的接口上插入一个光纤分路器。光分路器将流量复制并重定向到监控站。光缆仅连接监控站上的接收端口，从不连接传输端口。此配置允许监控站仅从被监控的路由器接收流量，而从不将其传输回。

如果正在监控流量，则路由器中的互联网处理器 II ASIC 会将流量副本转发到监控站中的监控服务或监控服务 II PIC。如果安装了多个监控服务 PIC，则监控站会在多个 PIC 之间分配传入流量的负载。监控服务 PIC 以版本 5 格式生成流记录，并将记录导出到流收集器。

当您对数据包执行合法拦截时，互联网处理器 II ASIC 会过滤传入流量并将其转发至通道服务 PIC。然后，应用基于过滤器的转发将流量定向到数据包分析器。或者，ES PIC 可以对拦截的流量或流记录进行加密，然后发送到其目标。通过额外配置，流收集器可以处理流记录，并且可以动态捕获流。

借助 MPLS 被动监控，路由器可以处理标签值在路由表中 mpls.0 没有相应条目的 MPLS 数据包。您可以转移这些无法识别的 MPLS 数据包，移除 MPLS 标签，并重定向底层 IPv4 数据包。这等同于 MPLS 数据包的默认路由或混合标签。由于此应用程序不使用监控服务 PIC，因此请参阅《 Junos MPLS 应用程序配置指南 》，了解有关 MPLS 被动监控的更多信息。