了解 Junos Capture Vision

Junos Capture 视觉架构

该架构由一个或多个控制源组成，这些 控制源 向瞻博网络路由器发送请求，以监控传入数据，然后将与特定过滤标准匹配的任何数据包转发到一组一个或多个 内容目标。架构组件定义如下：

• 控制源 — 监控网络上的电子数据或语音传输的客户端。控制源使用动态任务控制协议 （DTCP） 向 瞻博网络 路由器发送过滤器请求，该协议在 http://www.ietf.org/internet-drafts draft-cavuto-dtcp-03.txt 中指定。控制源由唯一标识符和可选 IP 地址列表标识。

• 监控平台 — T Series 或 M320 路由器，包含一个或多个动态流捕获 （DFC） PIC，支持动态流捕获处理。监控平台处理来自控制源的请求，创建过滤器，监控传入的数据流，并将匹配的数据包发送到适当的内容目标。

• 内容目标 — 来自监控平台的匹配数据包的接收方。通常，匹配的数据包使用 IP 安全 （IPsec） 隧道从监控平台发送到连接到内容目标的另一台路由器。内容目标和控制源可以物理位于同一主机上。有关 IPsec 隧道的详细信息，请参阅 了解 Junos VPN Site Secure。

注意：

Junos 捕获视觉 PIC（监控服务 III PIC 或多服务 400 PIC）将整个数据包内容转发到内容目标，而不是像使用 cflowd 或流聚合版本 9 模板那样转发到内容记录。

图 1 显示了一个示例拓扑。控制源和内容目标的数量是任意的。

自由序列窗口

每个 DTCP 数据包（添加、删除、列出和刷新数据包）都包含一个 64 位序列号，用于标识数据包的顺序。由于网络没有连接，DTCP 数据包可能会无序到达运行 Junos Capture Vision 应用的路由器。

自由序列窗口功能对 DTCP 数据包中接收的序列号实施负窗口。它使 Junos Capture Vision 应用不仅可以接受序列号大于以前接收的 DTCP 数据包，还可以接受序列号更小的 DTCP 数据包，最高可达特定限制。此限制是负窗口大小;相对于当前接收的最大序列号，正窗口和负窗口大小分别为 +256 和 –256。无需配置即可激活此功能;窗口大小是硬编码的，不可配置。

拦截 IPv6 流

从 Junos OS 11.4 版开始，Junos Capture Vision 还支持在使用多服务 400 或多服务 500 PIC 的 M320、T320、T640 和 T1600 路由器中拦截 IPv6 流量。Junos Capture Vision 只能拦截被动监控的 IPv6 流量。对 IPv4 拦截的所有支持保持不变。拦截 IPv6 流量的方式与过滤器捕获 IPv4 流量的方式相同。引入 IPv6 拦截后，IPv4 和 IPv6 过滤器可以共存。但是，调解设备不能位于 IPv6 网络中。

Junos Capture Vision 不支持拦截 VPLS 和 MPLS 流量。应用程序无法拦截地址解析协议 （ARP） 或其他第 2 层例外数据包。拦截过滤器可以根据总时间（秒）、空闲时间（秒）、数据包总数或传输的数据总量（字节）等因素配置为超时。