Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Verstehen von FlowTap und der FlowTapLite-Architektur

Erfahren Sie mehr über Vermittlungsgeräte und wie sie mit dem Router interagieren, auf dem die Anwendung FlowTap oder FlowTapLite ausgeführt wird.

Die Flow-Tap-Architektur besteht aus einem oder mehreren Vermittlungsgeräten , die Anforderungen an einen Router der ACX- oder MX-Serie senden, der diese Funktion zur Überwachung eingehender Daten unterstützt. Alle Pakete, die bestimmten Filterkriterien entsprechen, werden an eine Reihe von einem oder mehreren Inhaltszielen weitergeleitet:

  • Vermittlungsgerät: Ein Client, der die elektronische Datenübertragung oder Sprachübertragung über das Netzwerk überwacht. Das Vermittlungsgerät sendet mithilfe von DTCP Filteranforderungen an den Router. Die Clients werden aus Sicherheitsgründen nicht identifiziert, verfügen jedoch über Berechtigungen, die durch eine Reihe spezieller Anmeldeklassen definiert sind.

  • Überwachungsplattform: Ein Router, der für die Unterstützung der FlowTap- oder FlowTapLite-Anwendung konfiguriert ist. Die Überwachungsplattform verarbeitet die Anfragen der Vermittlungsgeräte, wendet die dynamischen Filter an, überwacht die eingehenden Datenströme und sendet die abgeglichenen Pakete an die entsprechenden Inhaltsziele.

  • Inhaltsziel: Empfänger der abgeglichenen Pakete von der Überwachungsplattform. In der Regel werden die abgeglichenen Pakete über einen IPSec-Tunnel (IP Security) von der Überwachungsplattform an einen anderen Router gesendet, der mit dem Inhaltsziel verbunden ist. Das Inhaltsziel und das Vermittlungsgerät können sich physisch auf demselben Host befinden.

  • Dynamische Filter: Die Packet Forwarding Engine generiert automatisch einen Firewall-Filter , der auf alle IPv4-Routing-Instanzen angewendet wird. Jeder Begriff im Filter enthält eine flow-tap Aktion, die den vorhandenen sample or-Aktionen port-mirroring ähnelt. Solange einer der Filterterme mit einem eingehenden Paket übereinstimmt, kopiert der Router das Paket und leitet es an die MPC-Karte oder Linecard weiter, die für flow-tap den Dienst konfiguriert ist. Die Karte leitet das Paket durch die Clientfilter und sendet eine Kopie an jedes übereinstimmende Inhaltsziel. Aus Sicherheitsgründen sind Filter, die von einem Client installiert werden, für andere nicht sichtbar, und die CLI-Konfiguration gibt die Identität des überwachten Ziels nicht preis.

    Im Folgenden finden Sie ein Beispiel für eine Filterkonfiguration. Beachten Sie, dass sie dynamisch vom Router generiert wird (es ist keine Benutzerkonfiguration erforderlich):

Abbildung 1 zeigt eine Beispieltopologie, die zwei Vermittlungsgeräte und zwei Inhaltsziele verwendet.

Abbildung 1: FlowTap-Topologiediagramm Network traffic monitoring system with Juniper Router: IPv4 traffic is filtered, copied for lawful interception, and forwarded to destinations. der MX-Serie

Abbildung 2 zeigt eine Beispieltopologie, die ein Vermittlungsgerät und ein Inhaltsziel verwendet. Beachten Sie, dass die Router der ACX-Serie einen Recycling-Port verwenden.

Abbildung 2: FlowTapLite-Topologiediagramm ACX Series FlowTapLite Topology Diagram der ACX-Serie

Zugehörige Dokumentation