Configuration des interfaces d’entrée, des interfaces des services de surveillance et des interfaces d’exportation sur les routeurs M, MX ou T Series
Après avoir créé le filtre d’entrée, vous devez configurer les interfaces dans lesquelles le trafic entrera dans le routeur. Pour activer la surveillance passive du flux pour les interfaces d’entrée SONET/SDH, incluez l’instruction passive-monitor-mode au niveau de la [edit interfaces so-fpc/pic/port unit unit-number] hiérarchie. Ce mode empêche le routeur de participer au réseau en tant qu’appareil actif. Sur les interfaces SONET/SDH, le mode de surveillance passive supprime les keepalives SONET.
Pour les interfaces ATM2 IQ, le mode de surveillance passive supprime l’envoi et la réception des messages de contrôle OAM (Operations, Administration, and Maintenance) ATM et ILMI (Integrated Local Management Interface). Pour activer la surveillance passive du flux pour les interfaces d’entrée ATM2 IQ, incluez l’instruction passive-monitor-mode au niveau de la [edit interfaces at-fpc/pic/port] hiérarchie. La surveillance passive ATM prend en charge les types d’encapsulation d’interface suivants : identifiant de protocole ATM couche réseau compatible Cisco (NLPID) (atm-cisco-nlpid), NLPID ATM (atm-nlpid), protocole point à point (PPP) ATM sur couche d’adaptation ATM 5 (AAL5)/contrôle de liaison logique (LLC) (atm-ppp-llc), ATM PPP sur AAL5 brut (atm-ppp-vc-mux), ATM LLC/point de connexion de sous-réseau (SNAP) (atm-snap) et multiplexage de circuit virtuel ATM (VC-MUX).
Les interfaces Ethernet prennent en charge à la fois la surveillance passive par port et la surveillance passive par VLAN. Pour les interfaces Fast Ethernet, incluez l’instruction passive-monitor-mode au niveau de la [edit interfaces fe-fpc/pic/port] hiérarchie. Pour les interfaces Gigabit Ethernet, incluez l’instruction passive-monitor-mode au niveau de la [edit interfaces ge-fpc/pic/port] hiérarchie. Sur les interfaces Ethernet, le mode de surveillance passive empêche le moteur de routage de recevoir des paquets et empêche la table de routage de transmettre des paquets. Vous pouvez le vérifier par la présence des indicateurs d’interface No-receive et No-transmit dans la sortie de la show interfaces (fe | ge)-fpc/pic/port commande.
Les restrictions suivantes s’appliquent à la surveillance passive des flux sur les interfaces Ethernet :
Aucun type d’encapsulation spécial n’est autorisé, vous devez donc configurer uniquement les encapsulations Ethernet.
Lorsque vous configurez l’instruction, les
passive-monitor-modefiltres d’adresse MAC de destination appliqués aux interfaces entrantes sont désactivés par défaut.L’instruction
flow-controlau niveau de la hiérarchie ] ou[edit interfaces fe-fpc/pic/port fastether-options] ne fonctionne pas lorsque la[edit interfaces ge-fpc/pic/port gigether-optionssurveillance passive des flux est activée.
En plus du mode de surveillance passive, appliquez le filtre de pare-feu précédemment défini à l’interface avec l’instruction filter au niveau de la [edit interfaces interface-name-fpc/pic/port unit unit-number family inet] hiérarchie :
[edit]
interfaces {
so-0/0/0 {
description “SONET/SDH input interface”;
encapsulation ppp;
unit 0 {
passive-monitor-mode;
family inet {
filter {
input input-monitoring-filter;
}
}
}
}
at-1/0/0 {
description “ATM2 IQ input interface”;
passive-monitor-mode;
atm-options {
pic-type atm2;
vpi 0 {
maximum-vcs 255;
}
}
unit 0 {
encapsulation atm-snap;
vci 0.100;
family inet {
filter {
input input-monitoring-filter;
}
}
}
}
ge-2/0/0 {
description “Gigabit Ethernet input interface”;
passive-monitor-mode;
unit 0 {
family inet {
filter {
input input-monitoring-filter;
}
}
}
}
}
Configurez les interfaces sur le PIC Monitoring Services ou le PIC Monitoring Services II avec l’instruction family inet au niveau de la [edit interfaces mo-fpc/pic/port unit unit-number] hiérarchie. L’instruction permet aux interfaces de traiter le trafic IPv4 reçu des interfaces d’entrée.
Lorsque vous utilisez des instances VRF, vous devez configurer deux interfaces logiques. La première (unité 0) fait partie de la table de routage inet.0 et génère les paquets de flux. La seconde (unité 1) est configurée dans le cadre de l’instance VRF, de sorte que l’interface des services de surveillance peut servir de prochain saut valide pour les paquets reçus dans l’instance.
Vous pouvez également capturer les options, les paquets et les informations de dépassement de durée de vie (TTL) lorsque l’interface des services de surveillance traite les enregistrements de flux. Pour configurer, incluez les paquets d’options de réception et receive-ttl-exceeded les instructions au niveau de la [edit interfaces mo-fpc/pic/port unit unit-number family inet] hiérarchie :
[edit]
interfaces {
mo-4/0/0 {
unit 0 {
family inet {
receive-options-packets;
receive-ttl-exceeded;
}
}
unit 1 {
family inet;
}
}
mo-4/1/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
}
}
mo-4/2/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
}
}
mo-4/3/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
}
}
}
Vous devez également configurer l’interface d’exportation dans laquelle les paquets de flux quittent la station de surveillance et sont envoyés au serveur de flux.
Sur les interfaces de sortie, vous pouvez appliquer un filtre de pare-feu qui mène à une instance de routage de transfert basée sur des filtres. Cela est utile si vous souhaitez mettre en miroir le trafic sur plusieurs PIC Monitoring Services ou interfaces de services de collecte de flux. Pour configurer, incluez l’instruction output au niveau de la [edit interfaces interface-name unit logical-unit-number family inet filter] hiérarchie. Pour plus d’informations, consultez Utilisation du transfert basé sur des filtres pour exporter le trafic surveillé vers plusieurs destinations.
[edit]
interfaces
fe-3/0/0 {
description “export interface to flow server”;
unit 0 {
family inet;
address ip-address;
filter {
output output-filter-name;
}
}
}