Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

ADD (DTCP)

语法

描述

指定执行以下作之一的 DTCP 属性:

  • 触发路由器启动流量镜像。

  • 提供说明,以便在封装标头中填充发送至调解设备的数据包的字段

DTCP ADD 消息可以在用户通过该接口登录之前或之后发送。

以下属性将添加到路由器发送到调解设备的镜像数据包的数据包头中。DTCP ADD 消息中需要这些属性。

  • X-JTap-cdest-dest-address

  • X-JTap-cdest-dest-port

  • X-MD-拦截 ID

FlowTapLite 和 radius-flow-tap 服务都支持此 DTCP 消息。

注意:

从 Junos OS 12.3 版开始,将针对 IP 版本验证 DTCP ADD 请求。源 IP 地址和目标 IP 地址必须包含匹配的 IP 地址族,该 IP 地址族必须与 IPVersion 字段的值(如果在 ADD 消息中可用)匹配。
注意:

请参阅中介设备的文档,了解如何在设备上配置 DTCP 消息。
最佳实践:

帐户会话 ID、接口标识符和订阅者用户名触发器属性已针对扩展的用户管理环境进行了优化。当您在 DTCP ADD 消息中包含这三个属性中的一个或多个,并且不包含任何非优化属性时,镜像流量的转发几乎会立即开始。

如果在扩展的用户管理环境中的 DTCP ADD 消息中包含任何非优化触发器属性,则在发送 DTCP ADD 消息和镜像流量转发开始之间可能会出现一些延迟。例如,如果路由器上有 10,000 个订阅者会话,则镜像流量的转发可能会延迟不到一分钟。当您指定任何非优化属性时,会发生此延迟,无论是否具有任何优化属性。无论 DTCP 数据包中的属性顺序如何,都会发生延迟。

当用户与 ADD 消息中的多个 DTCP 镜像触发器匹配时,路由器将按以下顺序处理这些触发器:

  1. X-Act-Sess-Id

  2. X-Call-Sta-Id

  3. X-IP-Addr

  4. X-Interface-Id

  5. X-NAS-Port-Id

  6. X-RM-Circuit-Id

  7. X-UserName

最佳实践:

当您通过 VLAN 拥有 DHCPv4/DHCPv6 订阅者时,系统会为每个订阅者创建两个会话,一个用于第 2 层 VLAN,一个用于 DHCP。在这种情况下,请勿使用同时适用于 VLAN 和 DHCP 会话的触发器,例如 X-RM-Circuit-Id。如果 DHCP 和 VLAN 会话匹配同一触发器,则 DHCP 用户登录将失败,并且不会触发用户安全策略。您需要选择仅与这些会话之一匹配的流量镜像触发器。

选项

Csource-ID: user-name

路由器上的用户名。必须使用 set system login class or set system login user 语句将此用户名配置为路由器上的 DTCP 用户。
Cdest-ID: variable

调解设备的 ID。

Flags: flag

STATIC 是唯一受支持的标志。
Priority: priority-number

此 DTCP 实施不使用优先级编号。

X-Drop-Policy policy-name

用于确定不再将哪些镜像数据包发送到中介设备的策略名称。
X-JTap-Cdest-Dest-Address: ipv4-address

将拦截的数据包发送到的调解设备的目标 IPv4 地址。您必须在 ADD 消息中包含此属性。它用于发送到中介设备的镜像流量的标头。
X-JTap-Cdest-Dest-Port: udp-port

将拦截数据包发送到的调解设备的目标端口。您必须在 ADD 消息中包含此属性。它用于发送到中介设备的镜像流量的标头。
X-JTap-Cdest-Source-Address: ipv4-address

源 IPv4 地址。您必须在 ADD 消息中包含此属性。如果输入的值与使用语句在 set services radius-flow-tap source-ipv4-address source-ipv4-address 路由器上配置的值不匹配,则替换为配置的值。
X-JTap-Cdest-Source-Port: port-number

源端口。您必须在 ADD 消息中包含此属性。如果输入的值与 X-Jtap-Cdest-Dest-Port 的值不匹配,则将其忽略。
X-JTap-Cdest-TTL: time-to-live

转发数据包中使用的 TTL 值。
X-MD-Intercept-Id 4-byte-id or 8-byte-id

用于识别订阅者的 ID。您必须在 ADD 消息中包含此属性。此 ID 用于发送到中介设备的镜像流量的标头,以允许设备跟踪订阅者。X-MD-Intercept-ID 属性必须以十六进制格式提供,可以前置 0x 或 0X,但此前置是可选的。X-MD-Intercept-ID 属性只能包含 4 个字节或 8 个字节。如果使用 4 字节格式,则最高两个有效位必须为 01。如果使用 8 字节格式,则最高两个有效位必须为 00。
Dtcp-trigger: trigger-value

用于触发流量镜像的 DTCP 属性。

  • X-Act-Sess-Id— 与订阅者会话关联的计费会话 ID 的文本字符串。当订阅者注销时,拦截终止。

    最佳实践:

    我们建议您包括其他触发器,以确保拦截订阅者的所有会话。

  • X-Call-Sta-Id— 与用户关联的主叫站 ID 的文本字符串。如果订阅者未登录,则在任何当前或后续订阅者登录时应用策略。

  • X-IP-Addr— 与用户接口关联的 IPv4 地址。

    如果用户未使用默认逻辑系统,您还必须在 DTCP 消息中包含该 X-Logical-System 属性。如果用户未使用默认路由实例,您还必须在 DTCP 消息中包含该 X-Router-Instance 属性。

  • X-Interface-Id— 对其执行流量镜像的接口说明字符串。使用此接口的所有订阅者的流量将进行镜像;例如, ge-0/0/0.1demux0.107472834

  • X-NAS-Port-Id— 与订阅者关联的 NAS 端口 ID 的文本字符串。

  • X-RM-Circuit-Id— 对于 PPPoE 用户,PPPoE 中间代理 (PPPoE IA) 标记中的代理电路 ID (ACI)。

    对于 DHCP 订阅者, X-RM-Circuit-Id 可与代理远程 ID (ARI) X-RM-Agent-Id一起使用,以完全指定与此会话关联的 DHCP option 82 值的触发器。

  • X-RM-Agent-Id— 对于 PPPoE 订阅者,PPPoE IA 标记中的代理远程 ID (ARI)。

    对于 DHCP 订阅者, X-RM-Agent-Id 是选项 82 Agent-Remote-ID 子选项,您可以将其单独用作触发器。您还可以将其与 ACI X-RM-Circuit-Id一起使用,以便完全指定与此会话关联的 DHCP option 82 值的触发器。

  • X-Logical-System- 对于使用默认逻辑系统以外任何内容的用户,除了 or X-UserName 属性之外X-IP-Addr还包括。 X-Logical-System 如果消息中未包含这两个属性,则忽略。当 ADD 消息中未包含时,将假定X-Logical-System默认逻辑系统。

  • X-Router-Instance- 对于使用默认路由实例以外的任何内容的用户,除了 or X-UserName 属性之外X-IP-Addr还包括。 X-Router-Instance 如果消息中未包含这两个属性,则忽略。当 ADD 消息中未包含时,将假定X-Router-Instance默认路由实例。

  • X-UserName- 订阅者的用户名。对于未使用默认逻辑系统或路由实例的用户,您还可以添加或X-Logical-SystemX-Router-Instance属性。
Seq: sequence-number

由调解设备添加的编号。DTCP 消息包含每个连续消息的单调递增序列号。

Authentication-Info: ssh-authentication-string

使用 SSH 连接到路由器时使用的字符串。

所需权限级别

不适用。

示例输出

命令名称

相关文档