M、MX、Tシリーズルーターでファイアウォールフィルターを定義し、アクティブフロー監視にトラフィックを選択
アクティブフロー監視の最初のステップは、許容可能なトラフィックまたは隔離されたトラフィックの一致条件を設定することです。アクティブフロー監視の一般的な一致アクションには、 サンプル、 アカウンティングの破棄、 ポートミラー、acceptが含 まれます。を設定するには、ファイアウォールフィルターにステートメントの then 一部として必要なアクションステートメントとカウンターを含め、フィルターをインターフェイスに適用します。
サンプリングでは、ルーターはトラフィックの一部をレビューし、このサンプルに関するレポートをフロー監視サーバーに送信します。アカウンティングトラフィックを破棄すると、カウントおよび監視されますが、ルーターから転送されません。ポートミラーリングされたトラフィックはコピーされ、別のインターフェイスに送信されます。受け入れられたトラフィックは、意図した宛先に転送されます。
これらの一致の組み合わせのほとんどは有効です。ただし、同じトラフィックを同時にポートミラーリングすることも、サンプリングすることも可能ですが、同じパケットに対して複数のアクションを同時に実行することはできません。
[edit]
firewall {
family inet {
filter active_filter {
term quarantined_traffic {
from {
source-address {
10.36.1.2/32;
}
}
then {
count quarantined-counter;
sample;
discard accounting;
}
}
term copy_and_forward_the_rest {
then {
port-mirror;
accept;
}
}
}
}
}