被动流监控概述

使用瞻博网络 M Series、T Series 或 MX 系列路由器、一系列 PIC（包括监控服务 PIC、自适应服务 [AS] PIC、多服务 PIC 或多服务 DPC）和其他网络硬件，您可以监控流量并导出受监控的流量。监控流量允许您执行以下作：

• 收集和导出有关网络中源节点和目标节点之间的 IP 版本 4 （IPv4） 流量的详细信息。

• 对监控接口上的所有传入 IPv4 流量进行采样，并以 cflowd 记录格式显示数据。

• 对传入流量流执行丢弃计数。

• 对传出 cflowd 记录和/或拦截的 IPv4 流量进行加密或隧道传输。

• 将过滤后的流量引导至不同的数据包分析器，并以原始格式（端口镜像）显示数据。

  注意：

  监控服务 PIC、AS PIC 和多服务 PIC 必须安装在 M Series、T Series 或 MX 系列路由器的增强型灵活 PIC 集中器 （FPC） 上。

  瞻博网络 MX 系列路由器中安装的多服务 DPC 支持相同的功能，但被动监控和流监测功能除外。

用于被动监控的路由器不会路由来自受监控接口的数据包，也不会运行与这些接口相关的任何路由协议;它只接收流量，收集拦截的流量，并将其导出到 cFlowd 服务器和数据包分析器。 图 1 显示了被动流量监控应用的典型拓扑。

流量在路由器 1 和路由器 2 之间正常传输。要重定向 IPv4 流量，请在这两台路由器之间的接口上插入光分路器。光分路器将流量复制并重定向到监控站，即 M40e、M160、M320、T Series 或 MX 系列路由器。光缆仅连接监控站上的接收端口，从不连接发射端口。此配置允许监控站接收来自被监控路由器的流量，但永远不会将其传回。

如果要监控流量，路由器中的互联网处理器 II 应用特定集成电路 （ASIC） 会将流量的副本转发到监控站中的监控服务、自适应服务或多服务 PIC。如果安装了多个监控 PIC，则监控站将在多个 PIC 之间分配传入流量的负载。监控 PIC 以 cflowd 版本 5 格式生成流记录，然后将这些记录导出到 cflowd 收集器。

如果对两台路由器之间的流量执行合法拦截，则互联网处理器 II ASIC 将过滤传入流量，并将其转发至隧道服务 PIC。然后应用基于过滤器的转发，将流量定向到数据包分析器。

或者，拦截的流量或 cflowd 记录可由 ES PIC 或 IP 安全 （IPsec） 服务加密，然后发送到 cflowd 服务器或数据包分析器。