MX, M 및 T 시리즈 라우터에서 Junos Packet Vision 구성
이 주제에서는 Junos Packet Vision(이전의 Flow-Tap) 구성에 대해 설명합니다.
Junos Packet Vision 인터페이스 구성
플로우 탭 서비스를 위한 적응형 서비스 인터페이스를 구성하려면 계층 레벨의 [edit services flow-tap]
명령문을 포함합니다interface
.
interface sp-fpc/pic/port.unit-number;
Junos Packet Vision을 위해 액티브 모니터링 라우터에 모든 Adaptive Services 또는 Multiservices PIC를 할당하고 PIC의 논리적 단위를 사용할 수 있습니다.
성명서를 포함 family inet | inet6
함으로써 Junos Packet Vision 서비스를 적용할 트래픽 유형을 지정할 수 있습니다. 명령문이 family
포함되지 않은 경우, Junos Packet Vision 서비스는 기본적으로 IPv4 트래픽에 적용됩니다. Junos Packet Vision 서비스를 IPv6 트래픽에 적용하려면 구성에 명령문을 family inet6
포함해야 합니다. IPv4 및 IPv6 트래픽을 위한 Junos Packet Vision 서비스를 활성화하려면 반드시 명령문과 inet6
제품군을 모두 inet
구성 family
해야 합니다.
동일한 라우터에서 Junos Capture Vision(이전의 동적 플로우 캡처)과 Junos Packet Vision 서비스를 동시에 구성할 수는 없습니다.
또한 계층 수준에서 논리적 인터페이스를 [edit interfaces]
구성해야 합니다.
interface sp-fpc/pic/port { unit logical-unit-number { family inet; family inet6; } }
구성에 명령문을 family inet6
포함하지 않으면 IPv6 플로우가 가로채지 않습니다. Flow-Tap 솔루션은 IPv6를 지원하지 않았습니다.
Junos Packet Vision 보안 강화
SSH 레이어 위에 DTCP 세션을 활성화하여 중재 장비와 라우터 간의 DTCP(Dynamic Tasking Control Protocol) 트랜잭션에 추가 보안 수준을 추가할 수 있습니다. SSH 설정을 구성하려면 계층 레벨의 [edit system services]
명령문을 포함합니다flow-tap-dtcp
.
flow-tap-dtcp { ssh { connection-limit value; rate-limit value; } }
Junos Packet Vision 구성을 보고 수정하고 탭된 트래픽을 수신하기 위한 클라이언트 권한을 구성하려면 계층 수준의 명령문을 [edit system login class class-name]
포함합니다permissions
.
permissions [permissions];
Junos Packet Vision 기능을 사용하는 데 필요한 권한은 다음과 같습니다.
flow-tap
—Junos Packet Vision 구성 보기flow-tap-control
—Junos Packet Vision 구성 수정 가능flow-tap-operation
—플로우를 탭할 수 있습니다.
예를 들어, RADIUS 서버에서 사용자 권한을 지정할 수도 있습니다.
Bob Auth-Type := Local, User-Password = = “abc123” Juniper-User-Permissions = “flow-tap-operation”
Junos OS 릴리스 16.2부터 MX 시리즈 라우터는 최대 15개의 소스 대상 포트 쌍을 포함하는 중재 장치 DTCP ADD 요청을 처리할 수 있습니다. 여러 소스-대상 포트 쌍은 쉼표로 구분해야 합니다. 예를 들어:
ADD DTCP/0.7 Csource-ID: ftap Cdest-ID: cd2 Source-Port: 2000,8001,4000,5000,6000,6001,6002 Dest-Port: 2000,9001,4000,5000,6000,9000
RADIUS 구성에 대한 [edit system]
자세한 내용은 사용자 액세스 및 인증 관리 가이드를 참조하십시오.
Junos Packet Vision 서비스에 대한 제한 사항
Junos Packet Vision 서비스에는 다음과 같은 제한이 적용됩니다.
동일한 라우터에서는 Junos Capture Vision 및 Junos Packet Vision 기능을 동시에 구성할 수 없습니다.
LMNR 기반 FPC를 지원하는 라우터에서는 IPv6 트래픽의 포트 미러링 또는 샘플링과 함께 IPv6용 Junos Packet Vision을 구성할 수 없습니다. 이 제한은 라우터에 LMNR 기반 FPC가 설치되지 않은 경우에도 적용됩니다. 그러나 IPv4 트래픽의 포트 미러링 또는 샘플링을 위해 구성된 라우터에서 Junos Packet Vision을 구성하는 데는 제한이 없습니다.
Junos Packet Vision은 MPLS 및 VPLS(Virtual Private LAN Service)의 차단을 지원하지 않습니다.
Junos Packet Vision은 ARP(Address Resolution Protocol)와 기타 Layer 2 예외를 가로챌 수 없습니다.
IPv4 및 IPv6 인터셉트 필터는 최대 100개의 필터를 결합하여 시스템에서 공존할 수 있습니다.
Junos Capture Vision 프로세스 또는 Junos Packet Vision을 위해 구성된 Adaptive Services 또는 Multiservices PIC가 재시작되면 모든 필터가 삭제되고 중재 장치가 연결이 끊어집니다.
IPv4 단편화된 패킷 스트림의 첫 번째 패킷 조각만 컨텐트 대상으로 전송됩니다.
포트 미러링이 Junos Packet Vision과 함께 작동하지 않을 수 있습니다.
동일한 라우터에서 IPsec 터널에서 Junos Packet Vision을 실행하면 패킷 루프가 발생할 수 있으며 지원되지 않습니다.
M10i 라우터는 표준 Junos Packet Vision을 지원하지 않지만 FlowTapLite를 지원합니다( MX 시리즈 라우터의 FlowTapLite 구성 및 FPC를 사용한 M320 라우터 구성 참조). Junos Packet Vision 및 FlowTapLite는 동일한 섀시에서 동시에 구성할 수 없습니다.
PIC 기반 플로우 탭은 CFEB-E(Enhanced Compact Forwarding Engine Board)가 장착된 M7i 및 M10i 라우터에서 지원되지 않습니다.
채널화된 인터페이스에서는 Junos Packet Vision을 구성할 수 없습니다.