被动流监控概述

使用瞻博网络 M 系列、T 系列或 MX 系列路由器、精选的 PIC（包括监控服务 PIC、自适应服务 [AS] PIC、多服务 PIC 或多服务 DPC）和其他网络硬件，您可以监控流量并导出受监控的流量。通过监控流量，您可以执行以下操作：

• 收集并导出有关网络中源节点和目标节点之间的 IP 版本 4 （IPv4） 流量的详细信息。

• 对监控接口上的所有传入 IPv4 流量进行采样，并以 cflowd 记录格式显示数据。

• 对传入流量流执行丢弃计数。

• 加密或隧道传出 cflowd 记录和/或拦截的 IPv4 流量。

• 将过滤后的流量引导至不同的数据包分析器，并以原始格式（端口镜像）显示数据。

  注意：

  监控服务 PIC、AS PIC 和多服务 PIC 必须安装在 M 系列、T 系列或 MX 系列路由器中的增强型灵活 PIC 集中器 （FPC） 上。

  瞻博网络 MX 系列路由器中安装的多服务 DPC 支持相同的功能，但被动监控和流量窃听功能除外。

用于被动监控的路由器不会从受监控接口路由数据包，也不会运行与这些接口相关的任何路由协议;它只接收流量，收集截获的流量，并将其导出到 cflowd 服务器和数据包分析器。 图1 显示了被动流监控应用的典型拓扑。

流量在路由器 1 和路由器 2 之间正常传输。要重定向 IPv4 流量，请在这两个路由器之间的接口上插入一个光纤分配器。光分路器将流量复制并重定向到 M40e、M160、M320、T 系列或 MX 系列路由器的监控站。光缆仅连接监测站上的接收端口，而不连接发射端口。此配置允许监控站从被监控的路由器接收流量，但从不将其传输回去。

如果您正在监控流量，路由器中的互联网处理器 II 应用特定集成电路 （ASIC） 会将流量的副本转发到监控站中的监控服务、自适应服务或多服务 PIC。如果安装了多个监控 PIC，则监控站会在多个 PIC 之间分配传入流量的负载。监控 PIC 生成 cflowd 版本 5 格式的流记录，然后将这些记录导出到 cflowd 收集器。

如果要合法拦截两个路由器之间的流量，互联网处理器 II ASIC 会过滤传入流量并将其转发到隧道服务 PIC。然后应用基于过滤器的转发，将流量定向到数据包分析器。

或者，拦截的流量或 cflowd 记录可以通过 ES PIC 或 IP 安全 （IPsec） 服务加密，然后发送到 cflowd 服务器或数据包 分析器。