Junos Captureのビジョンについて

Junos Capture Visionアーキテクチャ

アーキテクチャは、1 つ以上の 制御ソース で構成されます。このソースは、ジュニパーネットワークスのルーターにリクエストを送信して受信データを監視し、特定のフィルタ条件に一致するパケットを 1 つ以上の コンテンツ送信先に転送します。アーキテクチャ コンポーネントは次のように定義されます。

• 制御ソース—ネットワークを介した電子データまたは音声転送を監視するクライアント。制御ソースは、 draft-cavuto-dtcp-03.txt at http://www.ietf.org/internet-drafts で指定されている DTCP(動的タスク制御プロトコル)を使用して、ジュニパーネットワークス ルーターにフィルター要求を送信します。制御ソースは、意の IP アドレスとオプションの IP アドレスの一覧によって識別されます。

• 監視プラットフォーム—動的フローキャプチャ処理をサポートする1つ以上の動的フローキャプチャ(DFC)PICを含むT SeriesまたはM320ルーター。監視プラットフォームは、制御ソースからの要求を処理し、フィルターを作成し、受信データフローを監視し、一致したパケットを適切なコンテンツ宛先に送信します。

• コンテンツ宛先—監視プラットフォームからの一致したパケットの受信者。通常、一致したパケットは、IPsec(IP セキュリティ)トンネルを使用して、監視プラットフォームからコンテンツの宛先に接続されている別のルーターに送信されます。コンテンツの宛先と制御ソースは、物理的に同じホスト上に配置できます。IPsecトンネルの詳細については、 Junos VPN Site Secureについてを参照してください。

手記：

Junos Capture Vision PIC(監視サービス III PIC またはマルチサービス 400 PIC)は、cflowd やフロー アグリゲーション バージョン 9 テンプレートのようにコンテンツ レコードに転送するのではなく、パケット コンテンツ全体をコンテンツ宛先に転送します。

図 1 にトポロジーの例を示します。制御ソースとコンテンツの宛先の数は任意です。

リベラルなシーケンスウィンドウ処理

各 DTCP パケット(パケットの追加、削除、一覧表示、更新)には、パケットの順序を識別するための 64 ビットのシーケンス番号が含まれています。ネットワークはコネクションレス型であるため、DTCPパケットがJunos Capture Visionアプリケーションを実行しているルーターに順不同で届くことがあります。

リベラル シーケンス ウィンドウ機能は、DTCP パケットで受信したシーケンス番号の負のウィンドウを実装します。これにより、Junos Capture Visionアプリケーションは、以前に受信したシーケンス番号よりも大きいシーケンス番号のDTCPパケットだけでなく、シーケンス番号の小さいDTCPパケットも、一定の上限まで受け入れることができます。この制限は負のウィンドウ サイズです。正と負のウィンドウ サイズは、受信している現在の最大シーケンス番号に対して、それぞれ +256 と –256 です。この機能を有効にするための設定は必要ありません。ウィンドウ サイズはハードコードされており、構成できません。

IPv6 フローの傍受

Junos OS リリース 11.4 以降、Junos Capture Vision は、マルチサービス 400 または マルチサービス 500 PIC を搭載した M320、T320、T640、T1600 ルーターでの IPv6 フローの傍受もサポートします。Junos Capture Vision は、受動的に監視された IPv6 トラフィックのみを傍受できます。IPv4 インターセプトに対するすべてのサポートは変わりません。IPv6 トラフィックの傍受は、フィルターが IPv4 フローをキャプチャするのと同じ方法で行われます。IPv6 インターセプトの導入により、IPv4 と IPv6 の両方のフィルターを共存できます。ただし、メディエーション・デバイスを IPv6 ネットワークに配置することはできません。

Junos Capture Visionは、VPLSおよびMPLSトラフィックの傍受をサポートしていません。アプリケーションは、アドレス解決プロトコル(ARP)またはその他のレイヤー 2 例外パケットを傍受できません。傍受フィルターは、合計時間(秒)、アイドル時間(秒)、合計パケット、送信データの合計(バイト)などの要因に基づいてタイムアウトするように構成できます。