Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:在具有增强型 IIIFPC 的路由器M120 FlowTapLite 的 IPv6 支持

此示例介绍如何在具有增强型 IIIFPC 的路由器M120 FlowTapLite 的 IPv6 支持。FlowTapLite 的配置在带增强型 III M320的 MX 系列路由器上与此类似。但是,由于 MX 系列路由器不支持通道服务 PIC,因此您可配置 DPC 和相应的 数据包转发引擎 [edit chassis] 以在 层次结构级别使用通道服务。

借助 Junos OS 10.1 版,FlowTapLite 服务支持合法拦截 IPv6 数据包;之前仅支持拦截 IPv4 数据包。拦截的数据包会发送至内容目标,而原始数据包流向实际目标不受影响。

调解设备通过发送 DTCP 请求在路由器(或服务器上)安装动态过滤器。这些过滤器包括有关所拦截流的五元信息(源地址、目标地址、源端口、目标端口和协议)以及内容目标的详细信息(IP 地址和端口信息)。

下面就是此类过滤器的示例:

下面是动态过滤器中参数的说明:

  • Csource-ID—在路由器中配置的用户名在 [edit system login user] 层次结构级别中。

  • Cdest-ID—内容目标标识符。

  • Source-AddressDest-PortDest-Address Source-PortProtocol— 确定需要拦截哪些数据包流的参数。

  • X-JTap-Input-Interface—实际流通过哪个接口进入路由器。根据安装的过滤器类型,此字段中的值可以包括以下 X-JTap-Output-Interface X-JTap-VRF-NAME 各项:安装输出接口过滤器;安装 VRF 过滤器;以及安装全局过滤器,未指定参数。

  • X-JTap-Cdest-Dest—以此字符串开头的所有参数均指定与内容目标相关联的不同参数。

  • X-JTap-IP-Version–区分 IPv6 和 IPv4 过滤器。

从控制台数据包转发引擎,可以验证过滤器是否安装且工作正常。

要求

此示例具有以下硬件和软件组件:

  • Junos OS 10.1 或更高版本

  • M120通道 (vt) 接口的路由器

在路由器上配置 IPv6 FlowTapLite 之前,请务必:

  • 已启动的通道 PIC

  • 从路由器到调解设备和内容目标的连接

  • 与路由器之间流动的信息流

概述和拓扑

图 1 显示了用于一台路由器合法拦截数据包M120 FlowTapLite 配置。

拓扑

图 1:FlowTapLite 拓扑 FlowTapLite Topology

此示例将 IPv6 数据包输入 数据包转发引擎,根据安装的过滤器,会为拦截的数据包创建一个新的流,同时原始数据包将正常转发。新流量将经过隧道 PIC 重新路由回数据包转发引擎,进行路由查找,然后重新路由到内容目标。

配置

CLI快速配置

要快速配置 IPv6 FlowTapLite,请复制以下命令并将其粘贴到 CLI:

配置用户凭据

逐步过程

在连接和发送 DTCP 请求时,此处配置的用户名和密码由调解设备使用。

  1. 定义一个登录类,称为 flowtap

  2. 对于安装设备,配置使用 ftap 唯一标识符 (UID) 调用的用户:

  3. flowtap将类应用于ftap用户:

  4. 配置调解设备使用的加密密码:

  5. 提交配置:

配置 FlowTapLite 的隧道接口

逐步过程

您可以通过在 SSH 层顶部启用 DTCP 会话,为调解设备和路由器之间的 DTCP 事务添加额外的安全级别。

  1. 从 层次结构级别配置 [edit system] SSH:

  2. 提交配置:

配置逻辑隧道接口

逐步过程

  1. 配置逻辑接口并将其分配给层级的动态流控制 [edit interfaces] 进程 (dfcd):

  2. 包括强制 inet6 语句:

  3. 提交配置:

配置 FlowTapLite

逐步过程

  1. 在 层次结构 flow-tap 级别中包括 语句和 [edit services] 隧道接口:

  2. 提交配置:

结果

检查配置结果:

验证

要确认配置工作正常,请执行以下任务:

验证路由器是否收到过滤器请求

目的

调解设备将过滤器发送到路由器后,调解设备必须接收来自路由器的消息,确认路由器已收到过滤器请求。

行动

检查调解设备是否收到类似于以下消息:

意义

以上消息是成功接收过滤器请求的示例。

检查过滤器是否已安装且在路由器上工作

目的

行动

show filter使用 和 命令show filter index检查过滤器是否安装:

意义

以上命令的输出中最后四 show filter 个过滤器是安装在该过滤器数据包转发引擎。命令 show filter index 显示非零数据包计数,表示数据包达到过滤器。

发送列表请求

目的

要验证是否将正确的过滤器安装在数据包转发引擎。

行动

使用客户端软件将列表请求发送到数据包转发引擎。在列表请求中,您可以分别或一起包含以下三个参数: CSource-IdCDest-IDCriteria-ID。对于所有请求,您必须包含 CSource-Id。下面是列表请求的示例,其使用 CSource-Id

下面是一个响应示例:

您也可以删除请求。下面是删除请求的示例: