MXシリーズルーターでのFlowTapサービスの設定
このトピックでは、FlowTap の設定について説明します。
FlowTap インターフェイスの設定
FlowTap サービスのアダプティブサービスインターフェイスを設定するには、[edit services flow-tap]階層レベルで interface ステートメントを含めます。
interface sp-fpc/pic/port.unit-number;
アクティブ監視ルーターで任意の適応型サービスまたはマルチサービスPICを割り当て、PIC上の任意の論理ユニットを使用できます。
family inet | inet6 ステートメントを含めることで、FlowTap サービスを適用するトラフィックの種類を指定できます。family ステートメントが含まれていない場合、デフォルトでは FlowTap サービスが IPv4 トラフィックに適用されます。IPv6 トラフィックに FlowTap サービスを適用するには、設定に family inet6 ステートメントを含める必要があります。IPv4 および IPv6 トラフィックに対して FlowTap サービスを有効にするには、inet ファミリーと inet6 ファミリーの両方で family ステートメントを明示的に設定する必要があります。
同じルーター上で、動的フローキャプチャとFlowTapサービスを同時に設定することはできません。
また、 [edit interfaces] 階層レベルで論理インターフェイスを設定する必要があります。
interface sp-fpc/pic/port {
unit logical-unit-number {
family inet;
family inet6;
}
}
設定に family inet6 ステートメントを含めない場合、IPv6 フローは傍受されません。FlowTap ソリューションは IPv6 をサポートしていないことに注意してください。
ファイアウォールフィルターとタッピング
イングレスインターフェイスに到着するパケットに対してどのようなファイアウォールフィルターアクションが設定されていても、タッピングは発生します。つまり、ファイアウォールフィルターアクションがパケットを破棄または拒否するように設定されている場合でもタップが発生しますが、1つの例外として、イングレスインターフェイスにファイアウォールフィルターアクションが拒否され、DTCPフィルターが すべてのv4 トラフィックをタップするためのものである場合は、タッピングは発生しません。タッピングは、イングレスインターフェイスにファイアウォールフィルターアクションが拒否され、DTCPフィルターが 入力インターフェイス トラフィックをタップするためのものである場合に発生します。
FlowTap のセキュリティを強化
SSHレイヤー上でDTCPセッションを有効にすることで、メディエーションデバイスとルーター間のDynamic Tasking Control Protocol(DTCP)トランザクションに、さらにセキュリティレベルを追加することができます。SSH設定を構成するには、[edit system services]階層レベルでflow-tap-dtcpステートメントを含めます。
flow-tap-dtcp {
ssh {
connection-limit value;
rate-limit value;
}
}
FlowTap 設定の表示と変更、およびタップされたトラフィックの受信のためのクライアントパーミッションを設定するには、[edit system login class class-name] 階層レベルで permissions ステートメントを含めます。
permissions [permissions];
FlowTap 機能を使用するために必要な権限は次のとおりです。
-
flow-tap—FlowTap 設定を表示できます -
flow-tap-control—FlowTap 設定を変更できます -
flow-tap-operation—フローをタップできます
また、RADIUSサーバー上で次のようにユーザーパーミッションを指定することもできます。
Bob Auth-Type := Local, User-Password = = “abc123” Juniper-User-Permissions = “flow-tap-operation”
Junos OS リリース 16.2 以降、MXシリーズルーターは、最大 15 個の送信元と宛先ポートのペアを含むメディエーション デバイスの DTCP ADD 要求を処理できます。送信元と宛先のポートのペアが複数ある場合は、カンマで区切る必要があります。例えば:
ADD DTCP/0.7 Csource-ID: ftap Cdest-ID: cd2 Source-Port: 2000,8001,4000,5000,6000,6001,6002 Dest-Port: 2000,9001,4000,5000,6000,9000
[edit system] および RADIUS 構成の詳細については、Junos OS のユーザー アクセスおよび認証管理ガイドを参照してください。
FlowTap サービスの制限
Junos FlowTap サービスには、以下の制限が適用されます。
-
同じルーター上で、動的フローキャプチャとFlowTapサービスを同時に設定することはできません。
-
LMNR ベースの FPC をサポートするルーターでは、ポートミラーリングまたは IPv6 トラフィックのサンプリングとともに、IPv6 の FlowTap サービスを設定することはできません。この制限は、ルーターに LMNR ベースの FPC がインストールされていない場合でも適用されます。ただし、ポートミラーリングまたはIPv4トラフィックのサンプリング用に設定されたルーターでのFlowTapサービスの設定に制限はありません。
-
FlowTap は MPLS と VPLS (Virtual Private LAN Service) の傍受をサポートしていません。
-
FlowTap は、アドレス解決プロトコル (ARP) やその他のレイヤー 2 の例外をインターセプトできません。
-
IPv4 と IPv6 のインターセプト フィルターは、システム上で共存でき、最大 100 個のフィルターを使用できます。
-
動的フローキャプチャプロセス、またはFlowTap用に設定されたアダプティブサービスまたはマルチサービスPICが再起動すると、すべてのフィルターが削除され、メディエーションデバイスが切断されます。
-
IPv4 フラグメント化されたパケットストリームの最初のフラグメントのみがコンテンツ宛先に送信されます。
-
ポートミラーリングは、FlowTapサービスと連携して機能しない場合があります。
-
同じルーター上の IPsec トンネル上で FlowTap サービスを実行すると、パケットループが発生する可能性があり、サポートされていません。
-
チャネル化されたインターフェイスで FlowTap サービスを設定することはできません。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。