ダイナミックフローキャプチャについて

動的フローキャプチャアーキテクチャ

このアーキテクチャは、1つ以上の 制御ソース で構成され、ジュニパーネットワークスルーターにリクエストを送信して受信データを監視し、特定のフィルター基準に一致するパケットを1つ以上の コンテンツ宛先のセットに転送します。アーキテクチャコンポーネントは、次のように定義されています。

• 制御ソース—ネットワークを介した電子データまたは音声転送を監視するクライアント。制御ソースは、http://www.ietf.org/internet-drafts のdraft-cavuto-dtcp-03.txtで指定された動的タスク制御プロトコル(DTCP)を使用して、フィルター要求を ジュニパーネットワークスルーターに送信します。制御元は、一意の識別子とオプションのIPアドレスのリストによって識別されます。

• 監視プラットフォーム—動的フローキャプチャ処理をサポートする1つ以上の動的フローキャプチャ(DFC)PICを含むMXシリーズルーター。監視プラットフォームは、制御ソースからのリクエストを処理し、フィルターを作成し、受信データフローを監視して、一致したパケットを適切なコンテンツ宛先に送信します。

• コンテンツ宛先—監視プラットフォームからの一致したパケットの受信者。通常、一致したパケットは、監視プラットフォームからコンテンツ宛先に接続されている別のルーターにIPセキュリティ(IPsec)トンネルを使用して送信されます。コンテンツの宛先と制御ソースは、物理的に同じホスト上に配置できます。IPsecトンネルの詳細については、 Junos VPN Site Secureについてを参照してください。

注:

動的フロー キャプチャ PIC(監視サービス III PIC またはマルチサービス 400 PIC)は、cflowd やフロー アグリゲーション バージョン 9 テンプレートで行われるようなコンテンツ レコードではなく、パケット コンテンツ全体をコンテンツ宛先に転送します。

図1は、サンプルトポロジーを示しています。制御ソースとコンテンツの宛先の数は任意です。

リベラルシーケンスウィンドウ

各DTCPパケット(パケットの追加、削除、リスト、更新)には、パケットの順序を識別するための64ビットシーケンス番号が含まれています。ネットワークはコネクションレスであるため、ダイナミックフローキャプチャアプリケーションを実行しているルーターにDTCPパケットが順不同で到着することがあります。

リベラルシーケンスウィンドウ機能は、DTCPパケットで受信したシーケンス番号の負のウィンドウを実装します。これにより、動的フロー キャプチャ アプリケーションは、以前に受信したシーケンス番号よりも大きい DTCP パケットだけでなく、シーケンス番号が小さい DTCP パケットも一定の制限まで受け入れることができます。この制限は負のウィンドウ サイズです。正と負のウィンドウサイズは、受信している現在の最大シーケンス番号に対して、それぞれ+256と-256です。この機能をアクティブにするための設定は必要ありません。ウィンドウサイズはハードコードされており、設定不可能です。

IPv6フローの傍受

動的フローキャプチャは、受動的に監視されたIPv6トラフィックのみを傍受できます。IPv4傍受のサポートはすべて同じままです。IPv6トラフィックの傍受は、フィルターがIPv4フローをキャプチャするのと同じ方法で行われます。IPv6 傍受の導入により、IPv4 フィルターと IPv6 フィルターの両方を共存できるようになりました。ただし、メディエーション・デバイスを IPv6 ネットワーク内に配置することはできません。

動的フロー キャプチャは、VPLS および MPLS トラフィックの傍受をサポートしていません。アプリケーションは、アドレス解決プロトコル(ARP)またはその他のレイヤー2例外パケットを傍受できません。傍受フィルターは、合計時間(秒)、アイドル時間(秒)、合計パケット、または送信された総データ(バイト)などの要因に基づいてタイムアウトするように設定できます。