Définition d’un filtre de pare-feu sur les routeurs M, MX et T Series pour sélectionner le trafic à surveiller activement
La première étape de la surveillance active des flux consiste à configurer les conditions de correspondance pour le trafic acceptable ou le trafic mis en quarantaine. Les actions de correspondance courantes pour la surveillance active des flux incluent l’échantillonnage, la comptabilisation des rejets, la mise en miroir des ports et l’acceptation. Pour configurer, incluez les instructions d’action souhaitées et un compteur dans l’instruction d’un then filtre de pare-feu et appliquez le filtre à une interface.
Lors de l’échantillonnage, le routeur examine une partie du trafic et envoie des rapports sur cet échantillon au serveur de surveillance de flux. Le trafic comptable des rejets est compté et surveillé, mais il n’est pas transféré hors du routeur. Le trafic en miroir de port est copié et envoyé vers une autre interface. Le trafic accepté est transféré vers la destination prévue.
La plupart de ces combinaisons de correspondances sont valides. Toutefois, vous pouvez mettre en miroir les ports ou échantillonner le même trafic en même temps, mais vous ne pouvez pas effectuer plus d’une action simultanément sur les mêmes paquets.
[edit]
firewall {
family inet {
filter active_filter {
term quarantined_traffic {
from {
source-address {
10.36.1.2/32;
}
}
then {
count quarantined-counter;
sample;
discard accounting;
}
}
term copy_and_forward_the_rest {
then {
port-mirror;
accept;
}
}
}
}
}