Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

MXシリーズルーターでのFlowTapサービスの設定

このトピックでは、FlowTap の設定について説明します。

FlowTap インターフェイスの設定

FlowTap サービス用アダプティブ サービス インターフェイスを設定するには、[edit services flow-tap] 階層レベルで interface ステートメントを含めます。

アクティブな監視ルーターに任意の適応サービスまたはマルチサービスPICを割り当て、PIC上の任意の論理ユニットを使用できます。

family inet | inet6ステートメントを含めることで、FlowTapサービスを適用するトラフィックのタイプを指定できます。familyステートメントが含まれていない場合、デフォルトではFlowTapサービスがIPv4トラフィックに適用されます。IPv6 トラフィックに FlowTap サービスを適用するには、設定に family inet6 ステートメントを含める必要があります。IPv4 および IPv6 トラフィックで FlowTap サービスを有効にするには、inet ファミリーと inet6 ファミリーの両方で family ステートメントを明示的に設定する必要があります。

注:

同じルーター上で動的フローキャプチャサービスとFlowTapサービスを同時に設定することはできません。

また、 [edit interfaces] 階層レベルで論理インターフェイスを設定する必要があります。

注:

設定に family inet6 ステートメントを含めない場合、IPv6フローは傍受されません。FlowTapソリューションはIPv6をサポートしていませんでした。

ファイアウォールフィルターとタッピング

タップは、イングレスインターフェイスに到着するパケットに対してどのようなファイアウォールフィルターアクションが設定されていても発生します。つまり、ファイアウォールフィルターアクションがパケットを破棄または拒否するように設定されている場合でも、タッピングは発生しますが、1つの例外があります。イングレスインターフェイスのファイアウォールフィルターアクションが拒否として設定されており、DTCPフィルターが すべてのv4 トラフィックをタップする場合、タッピングは発生しません。タップは、イングレスインターフェイスのファイアウォールフィルターアクションが拒否として設定されており、DTCPフィルターが 入力インターフェイス トラフィックをタップするための場合に発生します。

FlowTapのセキュリティの強化

SSHレイヤーでDTCPセッションを有効にすることで、メディエーションデバイスとルーター間のDynamic Tasking Control Protocol(DTCP)トランザクションにセキュリティレベルを追加できます。SSH設定を構成するには、[edit system services]階層レベルでflow-tap-dtcpステートメントを含めます。

FlowTap 設定の表示と変更、およびタップされたトラフィックの受信に対するクライアントのパーミッションを設定するには、[edit system login class class-name] 階層レベルで permissions ステートメントを含めます。

FlowTap 機能を使用するために必要な権限は次のとおりです。

  • flow-tap—FlowTapの設定を表示できます

  • flow-tap-control—FlowTapの設定を変更できます

  • flow-tap-operation—フローをタップできます

RADIUSサーバーでユーザーパーミッションを指定することもできます。

この機能をサポートするMXシリーズルーターは、最大15個の送信元と宛先のポートペアを含むメディエーションデバイスのDTCP ADDリクエストを処理できます。複数の送信元と宛先ポートのペアは、カンマで区切る必要があります。次に例を示します。

[edit system]とRADIUSの設定の詳細については、Junos OS向けユーザーアクセスと認証管理ガイドを参照してください。

FlowTap サービスの制限

Junos FlowTap サービスには、以下の制限が適用されます。

  • 同じルーター上で動的フローキャプチャサービスとFlowTapサービスを同時に設定することはできません。

  • LMNR ベースの FPC をサポートするルーターでは、ポートミラーリングや IPv6 トラフィックのサンプリングとともに、IPv6 用の FlowTap サービスを設定することはできません。この制限は、ルーターに LMNR ベースの FPC がインストールされていない場合でも適用されます。ただし、ポートミラーリングまたはIPv4トラフィックのサンプリング用に設定されたルーターでのFlowTapサービスの設定に制限はありません。

  • FlowTapは、MPLSおよび仮想プライベートLANサービス(VPLS)の傍受をサポートしていません。

  • FlowTapは、アドレス解決プロトコル(ARP)やその他のレイヤー2の例外を傍受できません。

  • IPv4 インターセプト フィルターと IPv6 インターセプト フィルターは、合計で最大 100 個のフィルターを条件として、システム上に共存できます。

  • 動的フローキャプチャプロセス、またはFlowTapに設定されたアダプティブサービスまたはマルチサービスPICが再起動すると、すべてのフィルターが削除され、メディエーションデバイスが切断されます。

  • IPv4フラグメントパケットストリームの最初のフラグメントのみがコンテンツ宛先に送信されます。

  • ポートミラーリングは、FlowTapサービスと連携して機能しない場合があります。

  • 同じルーター上のIPsecトンネル上でFlowTapサービスを実行すると、パケットループが発生する可能性があり、サポートされていません。

  • チャネル化されたインターフェイスでFlowTapサービスを設定することはできません。

関連ドキュメント

変更履歴テーブル

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。

リリース
説明
16.2
MXシリーズルーターは、最大15個の送信元-宛先ポートペアを含む仲介デバイスのDTCP ADDリクエストを処理できます。複数の送信元と宛先ポートのペアは、カンマで区切る必要があります。