在 MX 系列路由器和 M320 路由器上使用 FPC 配置 FlowTapLite
MX 系列路由器和配备增强型 III 灵活 PIC 集中器 (FPC) 的 M320 路由器上也有较轻版本的流抽管应用。所有功能均位于数据包转发引擎中,而非服务 PIC 或密集端口集中器 (DPC)。
从 Junos OS 17.2R1 版开始,FlowTapLite 支持电路交叉连接 (CCC) 流量采样。需要 DTCP/0.8 才能指定 X-JTap-Filter-Family ccc。L3 参数不能包含在包含 X-JTap-Filter-Family的 DTCP/0.8 ADD 请求中。
从 Junos OS 19.3R1 版开始,您可以使用 MPC10E 线卡在 MX240、MX480 和 MX960 路由器上配置 FlowTapLite。
仅在 M320 路由器上,如果更换 FPC 导致模式更改,则必须通过禁用然后重新启用 CLI 配置来手动重新启动动态流捕获过程。
FlowTapLite 使用相同的 DTCP-SSH 架构安装动态任务控制协议 (DTCP) 过滤器,并将用户验证为原始流插式应用程序,每个机箱最多支持 3000 个过滤器。
原始的 Flow-tap 应用程序和 FlowTapLite 不能同时使用。
要配置 FlowTapLite,请在 flow-tap 层级添加语句 [edit services] :
flow-tap { tunnel-interface interface-name; }
如果未指定家族,则 FlowTapLite 将仅应用于 IPv4 流量。从 Junos OS 17.2R1 版开始,FlowTapLite 可应用于电路交叉连接流量 (ccc)。需要 DTCP/0.8 才能指定 X-JTap-Filter-Family ccc。L3 参数不能包含在包含 X-JTap-Filter-系列的 DTCP/0.8 ADD 请求中。
要使数据包转发引擎封装拦截的数据包,它必须将数据包发送到隧道逻辑 (vt-) 接口。您需要分配一个隧道接口,并将其分配给动态流捕获进程,供 FlowTapLite 使用。要创建隧道接口,请包括以下配置:
chassis {
fpc number {
pic number {
tunnel-services {
bandwidth (1g | 10g);
}
}
}
}
目前 FlowTapLite 每个实例仅支持一个隧道接口。
要配置逻辑接口并将其分配给动态流捕获过程,请包括以下配置:
interfaces {
vt-fpc/pic/port {
unit 0 {
family inet;
family inet6;
}
}
}
如果服务 PIC 或 DPC 可用,则可以将其隧道接口用于同一目的。
如果未在 family inet6 配置中包含语句,则不会拦截 IPv6 流。
配置了 FlowTapLite 并启用了追踪选项后,如果在动态任务控制协议 (DTCP) 参数文件中包括 X-JTAP-CDEST-DEST-ADDRESS 行来添加两个以上的内容目标,并通过发送 DTCP ADD 消息启动 DTCP 会话,将会接收一 400 BAD request 条消息。尽管您可以在从调解设备发送的 DTCP 文件中指定两个以上内容目标,但当发送 DTCP ADD 消息时,将会出现此错误消息。这一行为是两个以上内容目标所期望的。每个 DTCP ADD 消息只需指定两个内容目标。
FlowTapLite [edit services flow-tap] 服务和 RADIUS Flow-tap 服务 [edit services radius-flow-tap] 无法在路由器上同时运行。因此,您不能在同一路由器上同时运行 FlowTapLite 和订阅者安全策略镜像。从 Junos OS 17.3R1 版开始,支持 FlowTapLite 和订阅者安全策略镜像,以在同一 MX 系列路由器上同时运行。