在 M、MX 和 T 系列路由器上定义防火墙过滤器,以选择用于主动流监控的流量
主动流监控的第一步是配置可接受流量或隔离流量的匹配条件。用于主动流监控的常见匹配操作包括 示例、 丢弃核算、 端口镜像和 接受。要配置,请将所需的操作语句和计数器作为语句的 then
一部分包含在防火墙过滤器中,并将过滤器应用于接口。
采样时,路由器会审核部分流量,并将有关此示例的报告发送到流量监控服务器。对丢弃计费流量进行计数和监控,但不会从路由器转发。端口镜像的流量将被复制并发送到另一个接口。接受的流量将被转发到预期的目标位置。
大多数匹配组合都是有效的。但是,您可以同时对相同流量进行端口镜像或取样,但不能对相同的数据包同时执行多项操作。
[edit] firewall { family inet { filter active_filter { term quarantined_traffic { from { source-address { 10.36.1.2/32; } } then { count quarantined-counter; sample; discard accounting; } } term copy_and_forward_the_rest { then { port-mirror; accept; } } } } }