在 M、MX 或 T 系列路由器上配置输入接口、监控服务接口和导出接口
创建输入过滤器后,需要配置流量将进入路由器的接口。要为 SONET/SDH 输入接口启用无源流监控,请将语句 passive-monitor-mode
包含在 [edit interfaces so-fpc/pic/port unit unit-number]
层次结构级别。此模式可禁用路由器作为活动设备参与网络。在 SONET/SDH 接口上,被动监控模式抑制 SONET 保持状态。
对于 ATM2 IQ 接口,被动监控模式可抑制发送和接收 ATM 操作、管理和维护 (OAM) 以及集成本地管理接口 (ILMI) 控制消息。要对 ATM2 IQ 输入接口启用无源流监控,请将语句 passive-monitor-mode
包含在 [edit interfaces at-fpc/pic/port]
层次结构级别。ATM 无源监控支持以下接口封装类型:与 Cisco 兼容的 ATM 网络层协议 ID (NLPID)(atm-cisco-nlpid)、ATM NLPID (atm-nlpid)、基于 ATM 适配层 5 的 ATM 点到点协议 (AAL5)/逻辑链路 控制 (LLC) (atm-ppp-llc)、基于原始 AAL5 的 ATM PPP (atm-ppp-vc-mux)、ATM LLC/子网附件点 (SNAP)(atm-snap)和 ATM 虚拟电路 (VC) 多路复用(atm-vc-mux)。
基于以太网的接口同时支持每端口被动监控和每 VLAN 被动监控。对于快速以太网接口,请将语句passive-monitor-mode
[edit interfaces fe-fpc/pic/port]
包含在层次结构级别。对于千兆以太网接口,请将语句passive-monitor-mode
[edit interfaces ge-fpc/pic/port]
包含在层次结构级别。在基于以太网的接口上,被动监控模式将禁用路由引擎接收数据包,并阻止路由表传输数据包。您可以通过命令输出中的“无接收”和“无传输”接口标志来验证这一show interfaces (fe | ge)-fpc/pic/port
点。
以下限制适用于基于以太网的接口上的被动流监控:
不允许任何特殊封装类型,因此只能配置以太网封装。
配置
passive-monitor-mode
语句时,默认禁用应用于传入接口的目标 MAC 地址过滤器。flow-control
如果启用了被动流监控,[edit interfaces ge-fpc/pic/port gigether-options
则 ] 或[edit interfaces fe-fpc/pic/port fastether-options
] 层次结构级别的语句不起作用。
除了被动监控模式外,还使用层级的 filter
语句 [edit interfaces interface-name-fpc/pic/port unit unit-number family inet]
将之前定义的防火墙过滤器应用于接口:
[edit] interfaces { so-0/0/0 { description “SONET/SDH input interface”; encapsulation ppp; unit 0 { passive-monitor-mode; family inet { filter { input input-monitoring-filter; } } } } at-1/0/0 { description “ATM2 IQ input interface”; passive-monitor-mode; atm-options { pic-type atm2; vpi 0 { maximum-vcs 255; } } unit 0 { encapsulation atm-snap; vci 0.100; family inet { filter { input input-monitoring-filter; } } } } ge-2/0/0 { description “Gigabit Ethernet input interface”; passive-monitor-mode; unit 0 { family inet { filter { input input-monitoring-filter; } } } } }
在层次结构级别使用 family inet
语句配置监控服务 PIC 或监控服务 II PIC 上的 [edit interfaces mo-fpc/pic/port unit unit-number]
接口。该语句允许接口处理从输入接口接收的 IPv4 流量。
使用 VRF 实例时,需要配置两个逻辑接口。第一个(单元 0)是 inet.0 路由表的一部分,用于源流数据包。第二个(单元 1)配置为 VRF 实例的一部分,因此监控服务接口可用作实例中接收的数据包的有效下一跃点。
当监控服务接口处理流记录时,您还可以捕获选项数据包和生存时间 (TTL) 超限信息。要配置,请在层级包括 接收选项数据包 和 receive-ttl-exceeded
语句 [edit interfaces mo-fpc/pic/port unit unit-number family inet]
:
[edit] interfaces { mo-4/0/0 { unit 0 { family inet { receive-options-packets; receive-ttl-exceeded; } } unit 1 { family inet; } } mo-4/1/0 { unit 0 { family inet; } unit 1 { family inet; } } mo-4/2/0 { unit 0 { family inet; } unit 1 { family inet; } } mo-4/3/0 { unit 0 { family inet; } unit 1 { family inet; } } }
您还必须配置导出接口,其中流数据包会离开监控站并发送到流服务器。
在输出接口上,您可以应用防火墙过滤器,以生成基于过滤器的转发路由实例。如果您希望将流量镜像到多个监控服务 PIC 或流收集服务接口,此功能会很有用。要配置,请在 output
层次结构级别包含语句 [edit interfaces interface-name unit logical-unit-number family inet filter]
。有关更多信息,请参阅 使用基于过滤器的转发将受监控的流量导出到多个目标。
[edit] interfaces fe-3/0/0 { description “export interface to flow server”; unit 0 { family inet; address ip-address; filter { output output-filter-name; } } }