Junos Capture Visionについて

Junos Capture Visionアーキテクチャ

このアーキテクチャは、受信データを監視するためにジュニパーネットワークスルーターにリクエストを送信し、特定のフィルター基準に一致するパケットを1つ以上のコンテンツ宛先のセットに転送する、1つ以上の制御ソースで構成されています。アーキテクチャ コンポーネントは、次のように定義されます。

• 制御ソース:ネットワーク上での電子データまたは音声転送を監視するクライアント。制御ソースは、 http://www.ietf.org/internet-drafts の draft-cavuto-dtcp-03.txt で指定されている動的タスク制御プロトコル(DTCP)を使用して、フィルター要求をジュニパーネットワークス ルーターに送信します。制御ソースは、一意の識別子とオプションの IP アドレスリストによって識別されます。

• 監視プラットフォーム—動的フロー キャプチャ処理をサポートする 1 つ以上の DFC(ダイナミック フロー キャプチャ)PIC を含む T シリーズまたは M320 ルーター。監視プラットフォームは、制御ソースからの要求を処理し、フィルターを作成し、受信データ フローを監視し、一致したパケットを適切なコンテンツの宛先に送信します。

• コンテンツの宛先 —監視プラットフォームから一致したパケットの受信者。通常、一致したパケットは、監視プラットフォームからコンテンツ宛先に接続された別のルーターに IP セキュリティ(IPsec)トンネルを使用して送信されます。コンテンツの宛先と制御ソースは、物理的に同じホスト上に配置できます。IPsecトンネルの詳細については、 Junos VPN Site Secureについてを参照してください。

メモ：

Junos Capture Vision PIC(監視サービスIII PICまたはマルチサービス400 PIC)は、cflowdまたはフローアグリゲーションバージョン9テンプレートで行われるコンテンツレコードではなく、パケットコンテンツ全体をコンテンツ宛先に転送します。

図 1 は、サンプル トポロジーを示しています。制御ソースとコンテンツの宛先の数は任意です。

リベラルシーケンスウィンドウ作成

各 DTCP パケット(パケットの追加、削除、リスト、更新)には、パケットの順序を識別するための 64 ビット シーケンス番号が含まれています。ネットワークはコネクションレスであるため、DTCPパケットがJunos Capture Visionアプリケーションを実行しているルーターに順番に届きません。

リベラル シーケンス ウィンドウ機能は、DTCP パケットで受信したシーケンス番号に対してマイナスのウィンドウを実装します。Junos Capture Visionアプリケーションは、以前に受信したシーケンス番号よりも大きいシーケンス番号を持つDTCPパケットだけでなく、シーケンス番号の少ないDTCPパケットを一定の制限まで受け入れることもできます。この制限は、負のウィンドウ サイズです。受信した現在の最大シーケンス番号に対して、正と負のウィンドウサイズはそれぞれ +256 と –256 です。この機能をアクティブにするための設定は必要ありません。ウィンドウサイズはハードコードされており、設定できません。

IPv6 フローの傍受

Junos OSリリース11.4以降、Junos Capture Visionは、マルチサービス400またはマルチサービス500 PICで、M320、T320、T640、およびT1600ルーターのIPv6フローの傍受もサポートしています。Junos Capture Vision は、受動的に監視された IPv6 トラフィックのみを傍受できます。IPv4 傍受に対するすべてのサポートは変わりません。IPv6 トラフィックの傍受は、フィルターが IPv4 フローをキャプチャするのと同じ方法で行われます。IPv6 傍受の導入により、IPv4 フィルターと IPv6 フィルターの両方を共存できます。ただし、仲介デバイスは IPv6 ネットワークに配置できません。

Junos Capture Vision は、VPLS および MPLS トラフィックの傍受をサポートしていません。アプリケーションは、ARP(アドレス解決プロトコル)やその他のレイヤー 2 例外パケットを傍受できません。傍受フィルターは、総時間(秒)、アイドル時間(秒)、総パケットまたは送信データの合計(バイト)などの要因に基づいてタイムアウトするように設定できます。