Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

MX 시리즈 라우터에서 FlowTap 서비스 구성

이 항목에서는 FlowTap 구성에 대해 설명합니다.

FlowTap 인터페이스 구성

FlowTap 서비스에 대한 적응형 서비스 인터페이스를 구성하려면 계층 수준에서 문을 [edit services flow-tap] 포함합니다interface.

활성 모니터링 라우터에서 모든 어댑티브 서비스 또는 멀티서비스 PIC를 할당하고 PIC에서 모든 논리 유닛을 사용할 수 있습니다.

문을 포함하여 family inet | inet6 FlowTap 서비스를 적용할 트래픽 유형을 지정할 수 있습니다. family 명령문이 포함되지 않은 경우 기본적으로 FlowTap 서비스가 IPv4 트래픽에 적용됩니다. IPv6 트래픽에 FlowTap 서비스를 적용하려면 구성에 family inet6 문을 포함해야 합니다. IPv4 및 IPv6 트래픽에 대해 FlowTap 서비스를 활성화하려면 패밀리 및 패밀리 모두에 inet 대해 명령문을 명시적으로 구성해야 family 합니다inet6.

메모:

동일한 라우터에서 동적 플로우 캡처와 FlowTap 서비스를 동시에 구성할 수 없습니다.

또한 계층 수준에서 [edit interfaces] 논리 인터페이스를 구성해야 합니다.

메모:

구성에 family inet6 명령문을 포함하지 않는 경우 IPv6 플로우가 인터셉트되지 않습니다. FlowTap 솔루션은 IPv6을 지원하지 않았습니다.

방화벽 필터 및 태핑

탭핑은 수신 인터페이스에 도착하는 패킷에 대해 구성된 방화벽 필터 작업과 관계없이 발생합니다. 즉, 방화벽 필터 작업이 패킷을 삭제 또는 거부하도록 설정된 경우에도 탭핑이 발생합니다. 한 가지 예외가 있습니다. 수신 인터페이스에 방화벽 필터 작업이 거부로 설정되어 있고 DTCP 필터가 모든 v4 트래픽을 탭핑하는 경우 탭핑이 발생하지 않습니다. 수신 인터페이스에 방화벽 필터 작업이 거부로 있고 DTCP 필터가 입력 인터페이스 트래픽을 탭핑하기 위한 경우 탭핑이 발생합니다.

FlowTap 보안 강화

SSH 레이어 위에서 DTCP 세션을 활성화하여 중재 디바이스와 라우터 간의 DTCP(Dynamic Tasking Control Protocol) 트랜잭션에 추가적인 보안 수준을 추가할 수 있습니다. SSH 설정을 구성하려면 계층 수준에서 문을 포함합니다flow-tap-dtcp.[edit system services]

FlowTap 구성을 보고 수정하고 탭된 트래픽을 수신하기 위한 클라이언트 권한을 구성하려면 계층 수준에서 문을 [edit system login class class-name] 포함합니다permissions.

FlowTap 기능을 사용하는 데 필요한 권한은 다음과 같습니다.

  • flow-tap- FlowTap 구성을 볼 수 있습니다.

  • flow-tap-control- FlowTap 구성을 수정할 수 있습니다.

  • flow-tap-operation- 흐름을 탭할 수 있습니다.

또한 RADIUS 서버에 대한 사용자 권한을 지정할 수 있습니다. 예를 들면 다음과 같습니다.

Junos OS 릴리스 16.2부터 MX 시리즈 라우터는 최대 15개의 소스-대상 포트 쌍을 포함하는 중재 디바이스 DTCP ADD 요청을 처리할 수 있습니다. 여러 원본-대상 포트 쌍은 쉼표로 구분해야 합니다. 예를 들어:

및 RADIUS 구성에 대한 [edit system] 자세한 내용은 Junos OS 사용자 액세스 및 인증 관리 가이드를 참조하십시오.

FlowTap 서비스에 대한 제한 사항

Junos FlowTap 서비스에는 다음과 같은 제한 사항이 적용됩니다.

  • 동일한 라우터에서 동적 플로우 캡처와 FlowTap 서비스를 동시에 구성할 수 없습니다.

  • LMNR 기반 FPC를 지원하는 라우터에서는 IPv6 트래픽의 포트 미러링 또는 샘플링과 함께 IPv6에 대한 FlowTap 서비스를 구성할 수 없습니다. 이 제한은 라우터에 LMNR 기반 FPC가 설치되어 있지 않은 경우에도 적용됩니다. 그러나 포트 미러링 또는 IPv4 트래픽 샘플링을 위해 구성된 라우터에서 FlowTap 서비스를 구성하는 데는 제한이 없습니다.

  • FlowTap은 MPLS 및 VPLS(Virtual Private LAN Service) 가로채기를 지원하지 않습니다.

  • FlowTap은 ARP(Address Resolution Protocol) 및 기타 레이어 2 예외를 가로챌 수 없습니다.

  • IPv4 및 IPv6 인터셉트 필터는 최대 100개의 필터를 결합할 수 있는 시스템에 공존할 수 있습니다.

  • 동적 플로우 캡처 프로세스 또는 FlowTap에 대해 구성된 적응형 서비스 또는 멀티서비스 PIC가 다시 시작되면 모든 필터가 삭제되고 중재 디바이스의 연결이 끊어집니다.

  • IPv4 단편화된 패킷 스트림의 첫 번째 부분만 콘텐츠 대상으로 전송됩니다.

  • 포트 미러링은 FlowTap 서비스와 함께 작동하지 않을 수 있습니다.

  • 동일한 라우터의 IPsec 터널을 통해 FlowTap 서비스를 실행하면 패킷 루프가 발생할 수 있으며 이는 지원되지 않습니다.

  • 채널화된 인터페이스에서는 FlowTap 서비스를 구성할 수 없습니다.

관련 설명서

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

석방
묘사
16.2
Junos OS 릴리스 16.2부터 MX 시리즈 라우터는 최대 15개의 소스-대상 포트 쌍을 포함하는 중재 디바이스 DTCP ADD 요청을 처리할 수 있습니다. 여러 원본-대상 포트 쌍은 쉼표로 구분해야 합니다.