MX、M、T シリーズ ルーターでの Junos Packet Vision の設定
このトピックでは、Junos Packet Vision(旧称 Flow-Tap)の設定について説明します。
Junos Packet Vision インターフェイスの設定
フロータップ サービス用の適応サービス インターフェイスを設定するには、 階層レベルで ステートメントを[edit services flow-tap]含interfaceめます。
interface sp-fpc/pic/port.unit-number;
Junos Packet Vision のアクティブ監視ルーターで、適応サービスまたはマルチサービス PIC を割り当て、PIC 上の任意の論理ユニットを使用できます。
ステートメントを含めることで、Junos Packet Visionサービスを適用するトラフィックのタイプをfamily inet | inet6指定できます。ステートメントがfamily含まれていない場合、Junos Packet VisionサービスはデフォルトでIPv4トラフィックに適用されます。Junos Packet VisionサービスをIPv6トラフィックに適用するには、設定に ステートメントをfamily inet6含める必要があります。IPv4およびIPv6トラフィックに対してJunos Packet Visionサービスを有効にするには、および inet6 ファミリーの両方inetにステートメントをfamily明示的に設定する必要があります。
同じルーターで Junos Capture Vision(旧称ダイナミック フロー キャプチャ)と Junos Packet Vision サービスを同時に設定することはできません。
また、 階層レベルで論理インターフェイスを設定する [edit interfaces] 必要があります。
interface sp-fpc/pic/port {
unit logical-unit-number {
family inet;
family inet6;
}
}
設定に ステートメントを family inet6 含めなかった場合、IPv6 フローは傍受されません。Flow-Tap ソリューションは IPv6 をサポートしていません。
Junos Packet Vision セキュリティの強化
SSH レイヤー上で DTCP セッションを有効にすることで、仲介デバイスとルーター間の動的タスク制御プロトコル(DTCP)トランザクションにセキュリティ レベルを追加できます。SSH設定を構成するには、 階層レベルで ステートメントを[edit system services]含めますflow-tap-dtcp。
flow-tap-dtcp {
ssh {
connection-limit value;
rate-limit value;
}
}
Junos Packet Vision設定を表示および変更するためのクライアントパーミッションを設定し、タップしたトラフィックを受信するには、 階層レベルに ステートメントを[edit system login class class-name]含めますpermissions。
permissions [permissions];
Junos Packet Vision 機能の使用に必要な権限は次のとおりです。
flow-tapJunos Packet Vision の構成を確認できます。flow-tap-control-Junos Packet Vision の設定を変更可能flow-tap-operationフローをタップできます
また、RADIUSサーバー上のユーザー権限を指定することもできます。例えば、:
Bob Auth-Type := Local, User-Password = = “abc123” Juniper-User-Permissions = “flow-tap-operation”
Junos OS リリース 16.2 以降、MX シリーズ ルーターは、最大 15 の送信元と宛先のポートペアを含む仲介デバイス DTCP ADD 要求を処理できます。複数の送信元と宛先のポートペアは、コンマで区切る必要があります。例えば:
ADD DTCP/0.7 Csource-ID: ftap Cdest-ID: cd2 Source-Port: 2000,8001,4000,5000,6000,6001,6002 Dest-Port: 2000,9001,4000,5000,6000,9000
および RADIUS の設定の [edit system] 詳細については、 ユーザー アクセスおよび認証管理ガイドを参照してください。
Junos パケット ビジョン サービスに関する制限
Junos Packet Vision サービスには、以下の制限が適用されます。
同じルーターで Junos Capture Vision 機能と Junos Packet Vision 機能を同時に設定することはできません。
LMNRベースのFPCをサポートするルーターでは、ポートミラーリングやIPv6トラフィックのサンプリングとともに、IPv6向けJunos Packet Visionを設定することはできません。この制限は、ルーターに LMNR ベースの FPC がインストールされていない場合でも適用されます。ただし、ポート ミラーリングまたは IPv4 トラフィックのサンプリング用に設定されているルーターで Junos Packet Vision を設定する方法に制限はありません。
Junos Packet Vision は、MPLS および VPLS(仮想プライベート LAN サービス)の傍受をサポートしていません。
Junos Packet Vision は、ARP(アドレス解決プロトコル)やその他のレイヤー 2 例外を傍受できません。
IPv4とIPv6のインターセプト・フィルタは、最大100フィルターを組み合わせることにより、システム上で共存できます。
Junos Capture Vision プロセスまたは Junos Packet Vision 用に構成されたアダプティブ サービスまたはマルチサービス PIC が再起動すると、すべてのフィルターが削除され、仲介デバイスが切断されます。
IPv4 フラグメント パケット ストリームの最初のフラグメントのみがコンテンツの宛先に送信されます。
ポート ミラーリングが Junos Packet Vision と連携しない場合があります。
同じルーターで IPsec トンネル上で Junos Packet Vision を実行すると、パケット ループが発生する可能性があり、サポートされていません。
M10i ルーターは、標準の Junos パケット ビジョンをサポートしていませんが、FlowTapLite をサポートしています( MX シリーズ ルーター上の FlowTapLite の設定と FPC を使用する M320 ルーターを参照してください)。Junos Packet VisionとFlowTapLiteは、同じシャーシ上で同時に設定することはできません。
PIC ベースのフロータップは、CFEB-E(拡張コンパクト転送エンジン ボード)を搭載した M7i および M10i ルーターではサポートされていません。
チャネル化されたインターフェイスに Junos Packet Vision を設定することはできません。