在 MX 系列路由器上配置 FlowTapLite
FlowTapLite 是 FlowTap 应用程序的轻量级版本,可在 MX 系列路由器上使用。所有功能都驻留在数据包转发引擎中,而不是服务 PIC 或密集端口集中器 (DPC) 中。要查看哪些路由器和线卡支持此功能,请参阅 对 FlowTapLite 的支持。
FlowTapLite 支持电路交叉连接 (CCC) 流量采样。需要 DTCP/0.8 来指定 X-JTap-Filter-Family ccc。L3 参数不能包含在包含 X-JTap-Filter-Family的 DTCP/0.8 ADD 请求中。要查看哪些路由器支持此功能,请参阅FlowTapLite 对电路交叉连接流量的支持。
FlowTapLite 使用相同的 DTCP-SSH 架构来安装动态任务控制协议 (DTCP) 过滤器,并像原始 flow-tap 应用程序一样对用户进行身份验证,每个机箱支持多达 3000 个过滤器。
原始 FlowTap 应用程序和 FlowTapLite 不能同时使用。
要配置 FlowTapLite,请在层次结构级别包含[edit services]该flow-tap语句:
flow-tap { tunnel-interface interface-name; }
如果未指定家族,则 FlowTapLite 仅应用于 IPv4 流量。FlowTapLite 可应用于电路交叉连接流量 (CCC)。需要 DTCP/0.8 来指定 X-JTap-Filter-Family CCC。L3 参数不能包含在包含 X-JTap-Filter-Family 的 DTCP/0.8 ADD 请求中。
要使要封装截获的数据包,数据包转发引擎必须将数据包发送到隧道逻辑 (vt-) 接口。您需要分配一个隧道接口并将其分配给动态流捕获过程,以便 FlowTapLite 使用。要创建隧道接口,请包括以下配置:
chassis {
fpc number {
pic number {
tunnel-services {
bandwidth (1g | 10g);
}
}
}
}
目前,FlowTapLite 每个实例仅支持一个隧道接口。
要配置逻辑接口并将其分配给动态流捕获过程,请包括以下配置:
interfaces {
vt-fpc/pic/port {
unit 0 {
family inet;
family inet6;
}
}
}
如果服务 PIC 可用,则可以将其隧道接口用于相同目的。
如果未在配置中包含 family inet6 该语句,则 IPv6 流量不会被拦截。
在配置 FlowTapLite 并启用 traceoptions 的情况下,如果通过在动态任务控制协议 (DTCP) 参数文件中包含 X-JTAP- CDEST-DEST-ADDRESS 行来添加两个以上的内容目标,并通过发送 DTCP ADD 消息来启动 DTCP 会话,则会收到一条 400 BAD request 消息。尽管可以在从中介设备发送的 DTCP 文件中指定两个以上的内容目标,但在发送 DTCP ADD 消息时会出现此错误消息。对于两个以上的内容目标,这是预期的行为。每条 DTCP ADD 消息只能指定两个内容目标。
支持在同一 MX 系列路由器上并发运行 FlowTapLite 和订阅者安全策略镜像。要查看哪些路由器支持此功能,请参阅: 并发用户安全策略和 FlowTapLite。
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。