Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

FlowTap と FlowTapLite のアーキテクチャについて

メディエーションデバイスと、メディエーションデバイスがFlowTapまたはFlowTapLiteアプリケーションを実行しているルーターとどのようにやり取りするかについて説明します。

フロータップ アーキテクチャーは、1 つ以上の メディエーション デバイス で構成され、この機能をサポートする ACX または MXシリーズ ルーターにリクエストを送信して受信データを監視します。特定のフィルタ条件に一致するパケットは、1 つ以上の コンテンツ宛先に転送されます。

  • メディエーション デバイス - ネットワークを介した電子データまたは音声転送を監視するクライアント。メディエーション デバイスは、DTCP を使用してルーターにフィルター要求を送信します。クライアントはセキュリティ上の理由から識別されませんが、一連の特別なログインクラスによって定義された権限を持っています。

  • 監視プラットフォーム - FlowTap または FlowTapLite アプリケーションをサポートするように設定されたルーター。監視プラットフォームは、メディエーション・デバイスからのリクエストを処理し、動的フィルターを適用し、受信データ・フローをモニターし、一致したパケットを適切なコンテンツ宛先に送信します。

  • コンテンツ宛先—監視プラットフォームからの一致したパケットの受信者。通常、一致したパケットは、IP セキュリティ(IPSec)トンネルを使用して、監視プラットフォームからコンテンツ宛先に接続された別のルーターに送信されます。コンテンツ宛先とメディエーション・デバイスは、物理的に同じホスト上に配置できます。

  • 動的フィルター—パケット転送エンジンは、すべてのIPv4ルーティングインスタンスに適用されるファイアウォールフィルターを自動的に生成します。フィルターの各条件には、既存の sample または port-mirroring アクションに類似したflow-tapアクションが含まれています。フィルター項目の 1 つが着信パケットと一致する限り、ルーターはパケットをコピーし、flow-tap サービス用に設定された MPC カードまたはライン カードに転送します。カードはパケットをクライアント フィルターに通し、一致する各コンテンツの宛先にコピーを送信します。セキュリティ上の理由から、あるクライアントによってインストールされたフィルターは他のクライアントには表示されず、CLI 構成から監視対象の ID が明らかになることはありません。

    以下は、フィルター構成の例です。これはルーターによって動的に生成されることに注意してください(ユーザー設定は必要ありません)。

図 1 は、2 つのメディエーション・デバイスと 2 つのコンテンツ宛先を使用するサンプル・トポロジーを示しています。

図 1: MXシリーズ FlowTap トポロジー図 MX Series FlowTap Topology Diagram

図 2 は、1 つのメディエーション・デバイスと 1 つのコンテンツ宛先を使用するサンプル・トポロジーを示しています。ACXシリーズルーターはリサイクルポートを使用することに注意してください。

図2: ACXシリーズ FlowTapLiteトポロジー図 ACX Series FlowTapLite Topology Diagram

関連資料