在 MX、M 和 T 系列路由器上配置 Junos Packet Vision
本主题介绍 Junos Packet Vision(以前称为流点击)配置。
配置 Junos Packet Vision 接口
要为流访问服务配置自适应服务接口,请在 interface
层级添加语句 [edit services flow-tap]
:
interface sp-fpc/pic/port.unit-number;
您可以在 Junos Packet Vision 的主动监控路由器中分配任何自适应服务或多服务 PIC,并使用 PIC 上的任意逻辑单元。
您可以通过包含family inet | inet6
语句来指定要应用 Junos Packet Vision 服务的流量类型。如果未包含该family
语句,则默认情况下,Junos Packet Vision 服务会应用于 IPv4 流量。要向 IPv6 流量应用 Junos Packet Vision 服务,必须在配置中包含语句family inet6
。要为 IPv4 和 IPv6 流量启用 Junos Packet Vision 服务,您必须为两个inet
inet6
家族显式配置family
语句。
您不能在同一路由器上同时配置 Junos Capture Vision(以前称为动态流捕获)和 Junos Packet Vision 服务。
您还必须在层级配置逻辑接口 [edit interfaces]
:
interface sp-fpc/pic/port { unit logical-unit-number { family inet; family inet6; } }
如果未在 family inet6
配置中包含语句,则不会拦截 IPv6 流。请注意,Flow-Tap 解决方案不支持 IPv6。
加强 Junos Packet Vision 安全性
通过在 SSH 层之上启用 DTCP 会话,您可以为调解设备和路由器之间的动态任务控制协议 (DTCP) 事务添加额外的安全级别。要配置 SSH 设置,请在 flow-tap-dtcp
层级添加语句 [edit system services]
:
flow-tap-dtcp { ssh { connection-limit value; rate-limit value; } }
要配置客户端查看和修改 Junos Packet Vision 配置以及接收已访问流量的权限,请在层次结构级别添加 permissions
以下语句 [edit system login class class-name]
:
permissions [permissions];
使用 Junos Packet Vision 功能所需的权限如下:
flow-tap
- 可以查看 Junos Packet Vision 配置flow-tap-control
- 可以修改 Junos Packet Vision 配置flow-tap-operation
— 可以接通流
您还可以在 RADIUS 服务器上指定用户权限,例如:
Bob Auth-Type := Local, User-Password = = “abc123” Juniper-User-Permissions = “flow-tap-operation”
从 Junos OS 16.2 版开始,MX 系列路由器可以处理包含多达 15 个源-目标端口对的调解设备 DTCP ADD 请求。多个源-目标端口对必须用逗号分隔。例如:
ADD DTCP/0.7 Csource-ID: ftap Cdest-ID: cd2 Source-Port: 2000,8001,4000,5000,6000,6001,6002 Dest-Port: 2000,9001,4000,5000,6000,9000
有关和 RADIUS 配置的详细信息 [edit system]
,请参阅 《用户访问和身份验证管理指南》。
对 Junos Packet Vision 服务的限制
以下限制适用于 Junos Packet Vision 服务:
您不能同时在同一路由器上配置 Junos Capture Vision 和 Junos Packet Vision 功能。
在支持基于 LMNR 的 FPC 的路由器上,您无法配置适用于 IPv6 的 Junos Packet Vision 以及端口镜像或 IPv6 流量采样。即使路由器中未安装任何基于 LMNR 的 FPC,此限制也适用。但是,在为端口镜像或 IPv4 流量采样而配置的路由器上配置 Junos Packet Vision 没有限制。
Junos Packet Vision 不支持拦截 MPLS 和虚拟专用 LAN 服务 (VPLS)。
Junos Packet Vision 无法拦截地址解析协议 (ARP) 和其他第 2 层例外。
IPv4 和 IPv6 拦截过滤器可在系统上共存,但须受制于最多 100 个过滤器。
当 Junos Capture Vision 进程或为 Junos Packet Vision 配置的自适应服务或多服务 PIC 重新启动时,所有过滤器将被删除,调解设备将断开连接。
只有 IPv4 分片数据包流的第一个分片才会发送到内容目标。
端口镜像可能无法与 Junos Packet Vision 结合使用。
在同一路由器上通过 IPsec 隧道运行 Junos Packet Vision 可能会导致数据包环路,且不受支持。
M10i 路由器不支持标准 Junos Packet Vision,但支持 FlowTapLite(请参阅 在 MX 系列路由器和使用 FPC 的 M320 路由器上配置 FlowTapLite)。Junos Packet Vision 和 FlowTapLite 不能在同一机箱上同时配置。
配备增强型紧凑型转发引擎板 (CFEB-E) 的 M7i 和 M10i 路由器不支持基于 PIC 的流抽查。
您无法在通道化接口上配置 Junos Packet Vision。