在 M、MX 或 T Series 路由器上配置输入接口、监控服务接口和导出接口
创建输入过滤器后,您需要配置流量进入路由器的接口。要为 SONET/SDH 输入接口启用被动流监控,请在[edit interfaces so-fpc/pic/port unit unit-number]层次结构级别包含语passive-monitor-mode句。此模式禁止路由器作为活动设备加入网络。在 SONET/SDH 接口上,被动监控模式会抑制 SONET 激活。
对于 ATM2 IQ 接口,被动监控模式抑制 ATM作、管理和维护 (OAM) 和集成本地管理接口 (ILMI) 控制消息的发送和接收。要为 ATM2 IQ 输入接口启用被动流监控,请在[edit interfaces at-fpc/pic/port]层次结构级别包含passive-monitor-mode语句。ATM 被动监控支持以下接口封装类型:与 Cisco 兼容的 ATM 网络层协议 ID (NLPID) (atm-cisco-nlpid)、ATM NLPID (atm-nlpid)、基于 ATM 适配层 5 的 ATM 点对点协议 (PPP) (AAL5)/逻辑链路控制 (LLC) (atm-ppp-llc)、基于原始 AAL5 的 ATM PPP (atm-ppp-vc-mux)、ATM LLC/子网连接点 (SNAP) (atm-snap) 和 ATM 虚拟电路 (VC) 多路复用 (ATM-VC-MUX)。
基于以太网的接口支持每端口的被动监控和每 VLAN 的被动监控。对于快速以太网接口,请在[edit interfaces fe-fpc/pic/port]层次结构级别包含passive-monitor-mode语句。对于千兆以太网接口,请在[edit interfaces ge-fpc/pic/port]层次结构级别包含passive-monitor-mode语句。在基于以太网的接口上,被动监控模式会禁用路由引擎接收数据包,并阻止路由表传输数据包。您可以通过命令输出show interfaces (fe | ge)-fpc/pic/port 中是否存在 No-receive 和 No-transmit 接口标志来验证这一点。
以下限制适用于基于以太网的接口上的被动流监控:
不允许使用特殊封装类型,因此只能配置以太网封装。
配置
passive-monitor-mode语句时,默认情况下将禁用应用于传入接口的目标 MAC 地址过滤器。flow-control启用被动流监控时,[edit interfaces ge-fpc/pic/port gigether-options] 或[edit interfaces fe-fpc/pic/port fastether-options] 层次结构级别的语句不起作用。
除了被动监控模式之外,还可以将[edit interfaces interface-name-fpc/pic/port unit unit-number family inet]先前定义的防火墙过滤器应用于接口,并在层次结构级别使用语filter句:
[edit]
interfaces {
so-0/0/0 {
description “SONET/SDH input interface”;
encapsulation ppp;
unit 0 {
passive-monitor-mode;
family inet {
filter {
input input-monitoring-filter;
}
}
}
}
at-1/0/0 {
description “ATM2 IQ input interface”;
passive-monitor-mode;
atm-options {
pic-type atm2;
vpi 0 {
maximum-vcs 255;
}
}
unit 0 {
encapsulation atm-snap;
vci 0.100;
family inet {
filter {
input input-monitoring-filter;
}
}
}
}
ge-2/0/0 {
description “Gigabit Ethernet input interface”;
passive-monitor-mode;
unit 0 {
family inet {
filter {
input input-monitoring-filter;
}
}
}
}
}
使用 family inet 层次 [edit interfaces mo-fpc/pic/port unit unit-number] 结构级别的语句配置监控服务 PIC 或监控服务 II PIC 上的接口。语句允许接口处理从输入接口接收的 IPv4 流量。
使用 VRF 实例时,需要配置两个逻辑接口。第一个(单元 0)是 inet.0 路由表的一部分,用于获取流数据包。第二个端口(单元 1)配置为 VRF 实例的一部分,因此监控服务接口可用作实例中接收的数据包的有效下一跃点。
您还可以在监控服务接口处理流记录时捕获选项、数据包和超限生存时间 (TTL) 信息。要进行配置,请在[edit interfaces mo-fpc/pic/port unit unit-number family inet]层次结构级别包含 receive-options-packets 和receive-ttl-exceeded语句:
[edit]
interfaces {
mo-4/0/0 {
unit 0 {
family inet {
receive-options-packets;
receive-ttl-exceeded;
}
}
unit 1 {
family inet;
}
}
mo-4/1/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
}
}
mo-4/2/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
}
}
mo-4/3/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
}
}
}
您还必须配置导出接口,以便在其中流数据包离开监控站并发送到流服务器。
在输出接口上,您可以应用防火墙过滤器,该过滤器会导致基于过滤器的转发路由实例。如果要将流量端口镜像到多个监控服务 PIC 或流收集服务接口,这将非常有用。要进行配置,请在[edit interfaces interface-name unit logical-unit-number family inet filter]层次结构级别包含output语句。有关更多信息,请参阅使用基于过滤器的转发将受监控的流量导出到多个目标。
[edit]
interfaces
fe-3/0/0 {
description “export interface to flow server”;
unit 0 {
family inet;
address ip-address;
filter {
output output-filter-name;
}
}
}