在 M、MX 或 T 系列路由器上配置输入接口、监控服务接口和导出接口
创建输入过滤器后,需要配置流量将进入路由器的接口。要为 SONET/SDH 输入接口启用无源流监控,请将语句 passive-monitor-mode 包含在 [edit interfaces so-fpc/pic/port unit unit-number] 层次结构级别。此模式可禁用路由器作为活动设备参与网络。在 SONET/SDH 接口上,被动监控模式抑制 SONET 保持状态。
对于 ATM2 IQ 接口,被动监控模式可抑制发送和接收 ATM 操作、管理和维护 (OAM) 以及集成本地管理接口 (ILMI) 控制消息。要对 ATM2 IQ 输入接口启用无源流监控,请将语句 passive-monitor-mode 包含在 [edit interfaces at-fpc/pic/port] 层次结构级别。ATM 无源监控支持以下接口封装类型:与 Cisco 兼容的 ATM 网络层协议 ID (NLPID)(atm-cisco-nlpid)、ATM NLPID (atm-nlpid)、基于 ATM 适配层 5 的 ATM 点到点协议 (AAL5)/逻辑链路 控制 (LLC) (atm-ppp-llc)、基于原始 AAL5 的 ATM PPP (atm-ppp-vc-mux)、ATM LLC/子网附件点 (SNAP)(atm-snap)和 ATM 虚拟电路 (VC) 多路复用(atm-vc-mux)。
基于以太网的接口同时支持每端口被动监控和每 VLAN 被动监控。对于快速以太网接口,请将语句passive-monitor-mode[edit interfaces fe-fpc/pic/port]包含在层次结构级别。对于千兆以太网接口,请将语句passive-monitor-mode[edit interfaces ge-fpc/pic/port]包含在层次结构级别。在基于以太网的接口上,被动监控模式将禁用路由引擎接收数据包,并阻止路由表传输数据包。您可以通过命令输出中的“无接收”和“无传输”接口标志来验证这一show interfaces (fe | ge)-fpc/pic/port 点。
以下限制适用于基于以太网的接口上的被动流监控:
不允许任何特殊封装类型,因此只能配置以太网封装。
配置
passive-monitor-mode语句时,默认禁用应用于传入接口的目标 MAC 地址过滤器。flow-control如果启用了被动流监控,[edit interfaces ge-fpc/pic/port gigether-options则 ] 或[edit interfaces fe-fpc/pic/port fastether-options] 层次结构级别的语句不起作用。
除了被动监控模式外,还使用层级的 filter 语句 [edit interfaces interface-name-fpc/pic/port unit unit-number family inet] 将之前定义的防火墙过滤器应用于接口:
[edit]
interfaces {
so-0/0/0 {
description “SONET/SDH input interface”;
encapsulation ppp;
unit 0 {
passive-monitor-mode;
family inet {
filter {
input input-monitoring-filter;
}
}
}
}
at-1/0/0 {
description “ATM2 IQ input interface”;
passive-monitor-mode;
atm-options {
pic-type atm2;
vpi 0 {
maximum-vcs 255;
}
}
unit 0 {
encapsulation atm-snap;
vci 0.100;
family inet {
filter {
input input-monitoring-filter;
}
}
}
}
ge-2/0/0 {
description “Gigabit Ethernet input interface”;
passive-monitor-mode;
unit 0 {
family inet {
filter {
input input-monitoring-filter;
}
}
}
}
}
在层次结构级别使用 family inet 语句配置监控服务 PIC 或监控服务 II PIC 上的 [edit interfaces mo-fpc/pic/port unit unit-number] 接口。该语句允许接口处理从输入接口接收的 IPv4 流量。
使用 VRF 实例时,需要配置两个逻辑接口。第一个(单元 0)是 inet.0 路由表的一部分,用于源流数据包。第二个(单元 1)配置为 VRF 实例的一部分,因此监控服务接口可用作实例中接收的数据包的有效下一跃点。
当监控服务接口处理流记录时,您还可以捕获选项数据包和生存时间 (TTL) 超限信息。要配置,请在层级包括 接收选项数据包 和 receive-ttl-exceeded 语句 [edit interfaces mo-fpc/pic/port unit unit-number family inet] :
[edit]
interfaces {
mo-4/0/0 {
unit 0 {
family inet {
receive-options-packets;
receive-ttl-exceeded;
}
}
unit 1 {
family inet;
}
}
mo-4/1/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
}
}
mo-4/2/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
}
}
mo-4/3/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
}
}
}
您还必须配置导出接口,其中流数据包会离开监控站并发送到流服务器。
在输出接口上,您可以应用防火墙过滤器,以生成基于过滤器的转发路由实例。如果您希望将流量镜像到多个监控服务 PIC 或流收集服务接口,此功能会很有用。要配置,请在 output 层次结构级别包含语句 [edit interfaces interface-name unit logical-unit-number family inet filter] 。有关更多信息,请参阅 使用基于过滤器的转发将受监控的流量导出到多个目标。
[edit]
interfaces
fe-3/0/0 {
description “export interface to flow server”;
unit 0 {
family inet;
address ip-address;
filter {
output output-filter-name;
}
}
}