Configuration des interfaces d’entrée, surveillance des interfaces de services et d’exportation sur les routeurs M, MX ou T Series
Après avoir créé le filtre d’entrée, vous devez configurer les interfaces où le trafic entrera dans le routeur. Pour permettre une surveillance passive des flux pour les interfaces d’entrée SONET/SDH, incluez l’instruction passive-monitor-mode au niveau de la [edit interfaces so-fpc/pic/port unit unit-number] hiérarchie. Ce mode désactive le routeur de participer au réseau en tant qu’équipement actif. Sur les interfaces SONET/SDH, le mode moniteur passif supprime les keepalives SONET.
Pour les interfaces ATM2 IQ, le mode moniteur passif supprime l’envoi et la réception des messages de contrôle OAM (Opérations, Administration et Maintenance ATM) et ilMI (Integrated Local Management Interface). Pour permettre une surveillance passive des flux pour les interfaces d’entrée ATM2 IQ, incluez l’instruction passive-monitor-mode au niveau de la [edit interfaces at-fpc/pic/port] hiérarchie. La surveillance passive ATM prend en charge les types d’encapsulation d’interface suivants : ATM Network Layer Protocol ID (NLPID) (atm-cisco-nlpid), ATM NLPID (atm-nlpid), PPP (ATM Point-to-Point Protocol) sur ATM Adaptation Couche 5 (AAL5)/contrôle de liaison logique (LLC) (atm-ppp-llc), ATM PPP sur AAL5 brut (atm-ppp-vc-mux), ATM LLC/point d’attachement de sous-réseau (SNAP) (atm-snap) et multiplexage de circuit virtuel (VC) ATM (atm-vc-mux).
Les interfaces Ethernet prennent en charge à la fois la surveillance passive par port et la surveillance passive par VLAN. Pour les interfaces Fast Ethernet, incluez l’instruction passive-monitor-mode au niveau de la [edit interfaces fe-fpc/pic/port] hiérarchie. Pour les interfaces Gigabit Ethernet, incluez l’énoncé passive-monitor-mode au niveau de la [edit interfaces ge-fpc/pic/port] hiérarchie. Sur les interfaces Ethernet, le mode surveillance passive désactive le moteur de routage de la réception des paquets et empêche la table de routage de transmettre les paquets. Vous pouvez le vérifier en présence des indicateurs d’interface No-receive et No-transmit dans la sortie de la show interfaces (fe | ge)-fpc/pic/port commande.
Les restrictions suivantes s’appliquent à la surveillance passive des flux sur les interfaces Ethernet :
Aucun type d’encapsulation spécial n’est autorisé, vous devez donc configurer uniquement les encapsulations Ethernet.
Lorsque vous configurez l’instruction, les
passive-monitor-modefiltres d’adresse MAC de destination appliqués aux interfaces entrantes sont désactivés par défaut.L’énoncé
flow-controlau niveau ][edit interfaces ge-fpc/pic/port gigether-optionsou[edit interfaces fe-fpc/pic/port fastether-options] hiérarchique ne fonctionne pas lorsque la surveillance passive des flux est activée.
Outre le mode surveillance passive, appliquez le filtre de pare-feu défini précédemment à l’interface avec l’énoncé filter au niveau de la [edit interfaces interface-name-fpc/pic/port unit unit-number family inet] hiérarchie :
[edit]
interfaces {
so-0/0/0 {
description “SONET/SDH input interface”;
encapsulation ppp;
unit 0 {
passive-monitor-mode;
family inet {
filter {
input input-monitoring-filter;
}
}
}
}
at-1/0/0 {
description “ATM2 IQ input interface”;
passive-monitor-mode;
atm-options {
pic-type atm2;
vpi 0 {
maximum-vcs 255;
}
}
unit 0 {
encapsulation atm-snap;
vci 0.100;
family inet {
filter {
input input-monitoring-filter;
}
}
}
}
ge-2/0/0 {
description “Gigabit Ethernet input interface”;
passive-monitor-mode;
unit 0 {
family inet {
filter {
input input-monitoring-filter;
}
}
}
}
}
Configurez les interfaces du pic des services de surveillance ou des services de surveillance II avec l’instruction family inet au niveau de la [edit interfaces mo-fpc/pic/port unit unit-number] hiérarchie. L’instruction permet aux interfaces de traiter le trafic IPv4 reçu des interfaces d’entrée.
Lorsque vous utilisez des instances VRF, vous devez configurer deux interfaces logiques. La première (unité 0) fait partie de la table de routage inet.0 et source les paquets de flux. La seconde (unité 1) est configurée dans le cadre de l’instance VRF afin que l’interface des services de surveillance puisse servir de saut suivant valide pour les paquets reçus dans l’instance.
Vous pouvez également capturer les paquets d’options et les informations de dépassement du délai de vie (TTL) lorsque l’interface des services de surveillance traite les enregistrements de flux. Pour configurer, incluez les paquets de réception-options et receive-ttl-exceeded les déclarations au niveau de la [edit interfaces mo-fpc/pic/port unit unit-number family inet] hiérarchie :
[edit]
interfaces {
mo-4/0/0 {
unit 0 {
family inet {
receive-options-packets;
receive-ttl-exceeded;
}
}
unit 1 {
family inet;
}
}
mo-4/1/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
}
}
mo-4/2/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
}
}
mo-4/3/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
}
}
}
Vous devez également configurer l’interface d’exportation où les paquets de flux sortent de la station de surveillance et sont envoyés au serveur de flux.
Sur les interfaces de sortie, vous pouvez appliquer un filtre de pare-feu qui mène à une instance de routage basée sur un filtre. Cela est utile si vous souhaitez mettre en miroir le trafic vers plusieurs API des services de surveillance ou des interfaces de services de collecte de flux. Pour configurer, incluez l’instruction output au niveau de la [edit interfaces interface-name unit logical-unit-number family inet filter] hiérarchie. Pour plus d’informations, voir Utilisation du transfert basé sur des filtres pour exporter le trafic surveillé vers plusieurs destinations.
[edit]
interfaces
fe-3/0/0 {
description “export interface to flow server”;
unit 0 {
family inet;
address ip-address;
filter {
output output-filter-name;
}
}
}