在带有 FPC 的 MX 系列路由器和 M320 路由器上配置 FlowTapLite
FlowTapLite 是 FlowTap 应用程序的轻量级版本,可用于 MX 系列路由器以及配备增强型 III 灵活 PIC 集中器 (FPC) 的 M320 路由器。所有功能都驻留在数据包转发引擎中,而非服务 PIC 或密集端口集中器 (DPC) 中。要查看哪些路由器和线卡支持此功能,请参阅 对 FlowTapLite 的支持。
从 Junos OS 17.2R1 版开始,FlowTapLite 支持对电路交叉连接 (CCC) 流量进行采样。需要 DTCP/0.8 才能指定 X-JTap-Filter-Family ccc。L3 参数不能包含在包含 X-JTap-Filter-Family的 DTCP/0.8 ADD 请求中。要查看哪些路由器支持此功能,请参阅FlowTapLite 对电路交叉连接流量的支持。
仅在 M320 路由器上,如果更换 FPC 导致模式更改,则必须通过禁用然后重新启用 CLI 配置来手动重新启动动态流捕获过程。
FlowTapLite 使用相同的 DTCP-SSH 架构来安装动态任务控制协议 (DTCP) 过滤器,并将用户作为原始流监测应用程序进行身份验证,每个机箱最多支持 3000 个过滤器。
原始 FlowTap 应用程序和 FlowTapLite 不能同时使用。
要配置 FlowTapLite,请在[edit services]层次结构级别包含语flow-tap句:
flow-tap { tunnel-interface interface-name; }
如果未指定系列,则 FlowTapLite 仅应用于 IPv4 流量。从 Junos OS 17.2R1 版开始,FlowTapLite 可应用于电路交叉连接流量 (ccc)。指定 X-JTap-Filter-Family ccc 需要 DTCP/0.8。L3 参数不能包含在包含 X-JTap-Filter-Family 的 DTCP/0.8 ADD 请求中。
要使数据包转发引擎封装截获的数据包,必须将数据包发送到隧道逻辑 (vt-) 接口。您需要分配一个隧道接口,并将其分配给动态流捕获过程,以供 FlowTapLite 使用。要创建隧道接口,请包含以下配置:
chassis {
fpc number {
pic number {
tunnel-services {
bandwidth (1g | 10g);
}
}
}
}
目前,FlowTapLite 每个实例仅支持一个隧道接口。
要配置逻辑接口并将其分配给动态流捕获过程,请包括以下配置:
interfaces {
vt-fpc/pic/port {
unit 0 {
family inet;
family inet6;
}
}
}
如果服务 PIC 或 DPC 可用,则可以将其隧道接口用于相同的目的。
如果未在配置中包含该 family inet6 语句,则不会拦截 IPv6 流。
在配置了 FlowTapLite 并启用了跟踪选项的情况下,如果通过在动态任务控制协议 (DTCP) 参数文件中包含 X-JTAP- CDEST-DEST-ADDRESS 行来添加两个以上的内容目标,并通过发送 DTCP ADD 消息来启动 DTCP 会话,则 400 BAD request 会收到一条消息。尽管可以在从中介设备发送的 DTCP 文件中指定两个以上的内容目标,但在发送 DTCP ADD 消息时会出现此错误消息。此行为适用于两个以上的内容目标。每个 DTCP ADD 消息只能指定两个内容目标。
Junos OS 17.3R1 之前的版本,FlowTapLite 服务 [edit services flow-tap] 和 RADIUS 流监测服务 [edit services radius-flow-tap] 不能在路由器上同时运行。因此,您不能在同一台路由器上同时运行 FlowTapLite 和订阅者安全策略镜像。从 Junos OS 17.3R1 版开始,FlowTapLite 和订阅者安全策略镜像可在同一 MX 系列路由器上同时运行。要查看哪些路由器支持此功能,请参阅: 并发订阅者安全策略和 FlowTapLite。
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。