在 MX 系列路由器上配置 FlowTap 服务

配置 FlowTap 接口

要为 FlowTap 服务配置自适应服务接口，请在[edit services flow-tap]层次结构级别包含语interface句：

您可以在主动监控路由器中分配任何自适应服务或多服务 PIC，并使用 PIC 上的任何逻辑单元。

您可以通过包含family inet | inet6语句来指定要应用 FlowTap 服务的流量类型。family如果不包含语句，则默认情况下，FlowTap 服务将应用于 IPv4 流量。要将 FlowTap 服务应用于 IPv6 流量，您必须在配置中包含语family inet6句。要为 IPv4 和 IPv6 流量启用 FlowTap 服务，您必须为inet家族和inet6家族显式配置family语句。

注意：

您不能在同一台路由器上同时配置动态流捕获和 FlowTap 服务。

您还必须在 [edit interfaces] 层次结构级别配置逻辑接口：

注意：

如果未在配置中包含该 family inet6 语句，则不会拦截 IPv6 流。请注意，FlowTap 解决方案不支持 IPv6。

防火墙过滤器和分接

无论为到达入口接口的数据包配置了哪种防火墙过滤器作，都会发生点击;也就是说，即使防火墙过滤器作设置为丢弃或拒绝数据包，也会发生点击，但有一个例外 — 当入口接口将防火墙过滤器作设置为拒绝，且 DTCP 过滤器用于点击 所有 v4 流量时，不会发生点击。当入口接口将防火墙过滤器作设置为拒绝，且 DTCP 过滤器用于点击 输入接口 流量时，就会发生点击。

加强 FlowTap 安全性

通过在 SSH 层之上启用 DTCP 会话，可以为调解设备和路由器之间的动态任务控制协议 （DTCP） 事务添加额外的安全级别。要配置 SSH 设置，请在[edit system services]层次结构级别包含语flow-tap-dtcp句：

要配置用于查看和修改 FlowTap 配置以及接收点击的流量的客户端权限，请在[edit system login class class-name]层次结构级别包含以下permissions语句：

使用 FlowTap 功能所需的权限如下：

• flow-tap—可以查看 FlowTap 配置

• flow-tap-control- 可以修改 FlowTap 配置

• flow-tap-operation—可抽取流量

您还可以指定 RADIUS 服务器上的用户权限，例如：

从 Junos OS 16.2 版开始，MX 系列路由器可以处理最多包含 15 个源-目标端口对的调解设备 DTCP ADD 请求。多个源-目标端口对必须用逗号分隔。例如：

有关 [edit system] RADIUS 配置的详细信息，请参阅 《Junos OS 用户访问和身份验证管理指南》。

FlowTap 服务的限制

以下限制适用于 Junos FlowTap 服务：

• 您不能在同一台路由器上同时配置动态流捕获和 FlowTap 服务。

• 在支持基于 LMNR 的 FPC 的路由器上，您无法为 IPv6 配置 FlowTap 服务以及 IPv6 流量的端口镜像或采样。即使路由器未安装任何基于 LMNR 的 FPC，此限制也适用。但是，对于为端口镜像或 IPv4 流量采样而配置的路由器上配置 FlowTap 服务没有任何限制。

• FlowTap 不支持拦截 MPLS 和虚拟专用 LAN 服务 （VPLS）。

• FlowTap 无法拦截地址解析协议 （ARP） 和其他第 2 层异常。

• IPv4 和 IPv6 拦截过滤器可以在系统上共存，但总计最多只能有 100 个过滤器。

• 当动态流捕获进程或为 FlowTap 配置的自适应服务或多服务 PIC 重新启动时，将删除所有筛选器并断开中介设备的连接。

• 仅将 IPv4 分段数据包流的第一个分段发送到内容目标。

• 端口镜像可能无法与 FlowTap 服务结合使用。

• 在同一路由器上的 IPsec 隧道上运行 FlowTap 服务可能会导致数据包环路，因此不受支持。

• 您无法在通道化接口上配置 FlowTap 服务。