在 MX 系列路由器上配置输入接口、监控服务接口和导出接口
创建输入过滤器后,需要配置流量进入路由器的接口。
基于以太网的接口支持按端口的被动监控和按 VLAN 的被动监控。对于千兆以太网接口,请在层次结构级别包含passive-monitor-mode[edit interfaces ge-fpc/pic/port]该语句。在基于以太网的接口上,被动监控模式会禁用路由引擎接收数据包,并阻止路由表传输数据包。您可以通过命令输出show interfaces ge-fpc/pic/port 中是否存在 和 No-receive No-transmit interface 标志来验证这一点。
以下限制适用于基于以太网的接口上的被动流监控:
-
不允许特殊的封装类型,因此您必须仅配置以太网封装。
-
配置该
passive-monitor-mode语句时,默认情况下将禁用应用于传入接口的目标 MAC 地址过滤器。 -
flow-control启用被动流监控时,] 层级的语[edit interfaces ge-fpc/pic/port gigether-options句不起作用。
除了被动监控模式之外,还可以在层次结构级别使用[edit interfaces interface-name-fpc/pic/port unit unit-number family inet]语句将filter先前定义的防火墙过滤器应用于接口:
[edit]
interfaces {
ge-2/0/0 {
description “Gigabit Ethernet input interface”;
passive-monitor-mode;
unit 0 {
family inet {
filter {
input input-monitoring-filter;
}
}
}
}
}
在层次结构级别使用[edit interfaces mo-fpc/pic/port unit unit-number]语句配置family inet监控服务 PIC 或监控服务 II PIC 上的接口。该语句允许接口处理从输入接口接收的 IPv4 流量。
使用 VRF 实例时,需要配置两个逻辑接口。第一个 (unit 0) 是 inet.0 路由表的一部分,用于发送流数据包。第二个 (unit 1) 配置为 VRF 实例的一部分,因此监控服务接口可以充当实例中接收的数据包的有效下一跃点。
您还可以在监控服务接口处理流记录时捕获选项、数据包和生存时间 (TTL) 超出的信息。要进行配置,请在层次结构级别包括 receive-options-packets and receive-ttl-exceeded 语 [edit interfaces mo-fpc/pic/port unit unit-number family inet] 句:
[edit]
interfaces {
mo-4/0/0 {
unit 0 {
family inet {
receive-options-packets;
receive-ttl-exceeded;
}
}
unit 1 {
family inet;
}
}
mo-4/1/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
}
}
mo-4/2/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
}
}
mo-4/3/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
}
}
}
您还必须配置导出接口,使流数据包从监控站退出并发送到流服务器。
在输出接口上,您可以应用防火墙过滤器,该过滤器将最终生成基于过滤器的转发路由实例。如果您希望将流量端口镜像到多个监控服务 PIC 或流收集服务接口,此功能会很有用。要进行配置,请在层次结构级别包含[edit interfaces interface-name unit logical-unit-number family inet filter]该output语句。有关更多信息,请参阅使用基于过滤器的转发将受监控的流量导出到多个目标。
[edit]
interfaces
ge-3/0/0 {
description “export interface to flow server”;
unit 0 {
family inet;
address ip-address;
filter {
output output-filter-name;
}
}
}