在 MX 系列路由器上配置 FlowTap 服务

配置 FlowTap 接口

要为 FlowTap 服务配置自适应服务接口，请在层次结构级别包含[edit services flow-tap]以下interface语句：

您可以在主动监控路由器中分配任何自适应服务或多服务 PIC，并使用 PIC 上的任何逻辑单元。

您可以通过包含family inet | inet6语句来指定要为其应用 FlowTap 服务的流量类型。如果未包含该family语句，则默认情况下将 FlowTap 服务应用于 IPv4 流量。要将 FlowTap 服务应用于 IPv6 流量，必须在配置中包含该family inet6语句。要为 IPv4 和 IPv6 流量启用 FlowTap 服务，必须为 family 和 inet6 family 显inet式配置该family语句。

注意：

您不能同时在同一路由器上配置动态流捕获和 FlowTap 服务。

您还必须在层次结构级别配置 [edit interfaces] 逻辑接口：

注意：

如果未在配置中包含 family inet6 该语句，则 IPv6 流量不会被拦截。请注意，FlowTap 解决方案不支持 IPv6。

防火墙过滤器和窃听

无论为到达入口接口的数据包配置了何种防火墙过滤器作，都会进行窃听;也就是说，即使将防火墙过滤器作设置为丢弃或拒绝数据包，也会进行窃听，但有一个例外 — 当入口接口的防火墙过滤器作为拒绝，且 DTCP 过滤器用于窃听 所有 v4 流量时，不会进行窃听。当入口接口的防火墙过滤器作为拒绝，且 DTCP 过滤器用于窃听 输入接口 流量时，会发生窃听。

加强 FlowTap 安全性

您可以通过在 SSH 层顶部启用 DTCP 会话，为调解设备与路由器之间的动态任务控制协议 （DTCP） 事务添加额外的安全级别。要配置 SSH 设置，请在层次结构级别包含[edit system services]以下flow-tap-dtcp语句：

要配置客户端权限以查看和修改 FlowTap 配置以及接收 Taped 流量，请在[edit system login class class-name]层次结构级别包含该permissions语句：

使用 FlowTap 功能所需的权限如下：

• flow-tap—可以查看 FlowTap 配置

• flow-tap-control— 可以修改 FlowTap 配置

• flow-tap-operation—可以窃听流

您还可以指定 RADIUS 服务器上的用户权限，例如：

支持此功能的 MX 系列路由器可以处理包含多达 15 个源-目标端口对的调解设备 DTCP ADD 请求。多个源-目标端口对必须用逗号分隔。例如：

有关 RADIUS 配置的详细信息 [edit system] ，请参阅 Junos OS 用户访问和身份验证管理指南。

对 FlowTap 服务的限制

以下限制适用于 Junos FlowTap 服务：

• 您不能同时在同一路由器上配置动态流捕获和 FlowTap 服务。

• 在支持 LMNR 的 FPC 的路由器上，您无法为 IPv6 配置 FlowTap 服务以及端口镜像或 IPv6 流量采样。即使路由器中未安装任何基于 LMNR 的 FPC，此限制也适用。但是，在配置了端口镜像或 IPv4 流量采样的路由器上配置 FlowTap 服务没有限制。

• FlowTap 不支持拦截 MPLS 和虚拟专用 LAN 服务 （VPLS）。

• FlowTap 无法拦截地址解析协议 （ARP） 和其他第 2 层异常。

• IPv4 和 IPv6 拦截过滤器可以在系统中共存，但受累计最多 100 个过滤器的约束。

• 当动态流捕获过程或为 FlowTap 配置的自适应服务或多服务 PIC 重新启动时，将删除所有过滤器，并且中介设备将断开连接。

• 只有 IPv4 分段数据包流的第一个片段才会被发送到内容目标。

• 端口镜像可能无法与 FlowTap 服务结合使用。

• 通过同一路由器上的 IPsec 隧道运行 FlowTap 服务可能会导致数据包环路，并且不受支持。

• 无法在通道化接口上配置 FlowTap 服务。