Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

MX 시리즈 라우터에서 FlowTap 서비스 구성

이 항목에서는 FlowTap 구성에 대해 설명합니다.

FlowTap 인터페이스 구성

FlowTap 서비스에 대한 적응형 서비스 인터페이스를 구성하려면 계층 수준에서 [edit services flow-tap] 문을 포함 interface 합니다.

활성 모니터링 라우터에서 적응형 서비스 또는 멀티서비스 PIC를 할당하고 PIC에서 모든 논리 장치를 사용할 수 있습니다.

문을 포함하여 FlowTap 서비스를 적용할 트래픽 유형을 지정할 수 있습니다.family inet | inet6 문이 family 포함되지 않은 경우 FlowTap 서비스는 기본적으로 IPv4 트래픽에 적용됩니다. IPv6 트래픽에 FlowTap 서비스를 적용하려면 구성에 문을 포함 family inet6 해야 합니다. IPv4 및 IPv6 트래픽에 대해 FlowTap 서비스를 사용하도록 설정하려면 패밀리와 패밀리 모두 inet 에 대해 명시적으로 문을 구성 family 해야 합니다.inet6

참고:

동일한 라우터에서 동적 플로우 캡처와 FlowTap 서비스를 동시에 구성할 수 없습니다.

또한 계층 수준에서 논리적 인터페이스를 구성해야 합니다.[edit interfaces]

참고:

구성에 문을 family inet6 포함하지 않으면 IPv6 흐름이 가로채지지 않습니다. FlowTap 솔루션은 IPv6을 지원하지 않았습니다.

방화벽 필터 및 태핑

탭핑은 수신 인터페이스에 도착하는 패킷에 대해 구성된 방화벽 필터 작업과 관계없이 발생합니다. 즉, 방화벽 필터 작업이 패킷을 폐기하거나 거부하도록 설정된 경우에도 탭핑이 이루어지지만, 한 가지 예외가 있습니다. 즉, 수신 인터페이스의 방화벽 필터 작업이 거부로 설정되고 DTCP 필터가 모든 v4 트래픽을 탭하기 위한 경우에는 탭핑이 발생하지 않습니다. 탭핑은 수신 인터페이스의 방화벽 필터 작업이 거부되고 DTCP 필터가 입력 인터페이스 트래픽을 탭하기 위한 경우 발생합니다.

FlowTap 보안 강화

SSH 계층 위에서 DTCP 세션을 활성화하여 중재 디바이스와 라우터 간의 DTCP(Dynamic Tasking Control Protocol) 트랜잭션에 보안 수준을 한층 더 추가할 수 있습니다. SSH 설정을 구성하려면 계층 수준에서 [edit system services] 문을 포함 flow-tap-dtcp 합니다.

FlowTap 구성을 보고 수정하고 탭된 트래픽을 수신하기 위한 클라이언트 권한을 구성하려면 계층 수준에서 다음 문을 포함 permissions 합니다.[edit system login class class-name]

FlowTap 기능을 사용하는 데 필요한 권한은 다음과 같습니다.

  • flow-tap—FlowTap 구성을 볼 수 있습니다.

  • flow-tap-control—FlowTap 구성을 수정할 수 있습니다.

  • flow-tap-operation—플로우를 탭할 수 있습니다.

또한 RADIUS 서버에 대한 사용자 권한을 지정할 수 있습니다. 예를 들면 다음과 같습니다.

이 기능을 지원하는 MX 시리즈 라우터는 최대 15개의 원본-대상 포트 쌍을 포함하는 중재 디바이스 DTCP ADD 요청을 처리할 수 있습니다. 여러 원본-대상 포트 쌍은 쉼표로 구분해야 합니다. 예를 들면 다음과 같습니다.

RADIUS 구성에 대한 [edit system] 자세한 내용은 Junos OS의 사용자 액세스 및 인증 관리 가이드를 참조하십시오.

FlowTap 서비스에 대한 제한 사항

Junos FlowTap 서비스에는 다음과 같은 제한 사항이 적용됩니다.

  • 동일한 라우터에서 동적 플로우 캡처와 FlowTap 서비스를 동시에 구성할 수 없습니다.

  • LMNR 기반 FPC를 지원하는 라우터에서는 IPv6 트래픽의 포트 미러링 또는 샘플링과 함께 IPv6에 대한 FlowTap 서비스를 구성할 수 없습니다. 이 제한은 라우터에 LMNR 기반 FPC가 설치되어 있지 않은 경우에도 적용됩니다. 그러나 IPv4 트래픽의 포트 미러링 또는 샘플링을 위해 구성된 라우터에서 FlowTap 서비스를 구성하는 데는 제한이 없습니다.

  • FlowTap은 MPLS 및 가상 사설 LAN 서비스(VPLS)의 가로채기를 지원하지 않습니다.

  • FlowTap은 ARP(Address Resolution Protocol) 및 기타 레이어 2 예외를 가로챌 수 없습니다.

  • IPv4 및 IPv6 가로채기 필터는 최대 100개의 필터에 따라 시스템에서 공존할 수 있습니다.

  • 동적 플로우 캡처 프로세스 또는 FlowTap용으로 구성된 적응형 서비스 또는 멀티서비스 PIC가 재시작되면 모든 필터가 삭제되고 중개 디바이스의 연결이 끊어집니다.

  • IPv4 단편화된 패킷 스트림의 첫 번째 부분만 콘텐츠 대상으로 전송됩니다.

  • 포트 미러링은 FlowTap 서비스와 함께 작동하지 않을 수 있습니다.

  • 동일한 라우터에서 IPsec 터널을 통해 FlowTap 서비스를 실행하면 패킷 루프가 발생할 수 있으며 지원되지 않습니다.

  • 채널화된 인터페이스에서는 FlowTap 서비스를 구성할 수 없습니다.

관련 설명서

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.

출시
설명
16.2
MX 시리즈 라우터는 최대 15개의 원본-대상 포트 쌍을 포함하는 중개 디바이스 DTCP ADD 요청을 처리할 수 있습니다. 여러 원본-대상 포트 쌍은 쉼표로 구분해야 합니다.