M、MX、T Seriesルーターでファイアウォールフィルターを定義して、アクティブフロー監視用のトラフィックを選択する
アクティブ フロー監視の最初のステップは、許容可能なトラフィックまたは隔離されたトラフィックの一致条件を設定することです。アクティブフロー監視の一般的な一致アクションには、 sample、 discard accounting、 port-mirror、 acceptなどがあります。設定するには、ファイアウォールフィルターに then ステートメントの一部として目的のアクションステートメントとカウンターを含め、フィルターをインターフェイスに適用します。
サンプリングでは、ルーターはトラフィックの一部を確認し、このサンプルに関するレポートをフロー監視サーバーに送信します。アカウンティングの破棄 トラフィックはカウントおよび監視されますが、ルーター外に転送されることはありません。ポートミラーリングされたトラフィックはコピーされ、別のインターフェイスに送信されます。受け入れられたトラフィックは、目的の宛先に転送されます。
これらの一致の組み合わせのほとんどは有効です。ただし、同じトラフィックで同時にポートミラーリングまたはサンプリングすることはできますが、同じパケットに対して複数のアクションを同時に実行することはできません。
[edit]
firewall {
family inet {
filter active_filter {
term quarantined_traffic {
from {
source-address {
10.36.1.2/32;
}
}
then {
count quarantined-counter;
sample;
discard accounting;
}
}
term copy_and_forward_the_rest {
then {
port-mirror;
accept;
}
}
}
}
}