Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

MXシリーズルーターでの入力インターフェイスの設定、サービスインターフェイスの監視、およびエクスポートインターフェイス

入力フィルターを作成した後、トラフィックがルーターに入るインターフェイスを設定する必要があります。

イーサネットベースのインターフェイスは、ポート単位の受動監視とVLAN単位の受動監視の両方をサポートします。ギガビットイーサネットインターフェイスの場合、[edit interfaces ge-fpc/pic/port]階層レベルにpassive-monitor-modeステートメントを含めます。イーサネットベースのインターフェイスでは、パッシブモニターモードは、ルーティングエンジンのパケット受信を無効にし、ルーティングテーブルのパケット送信を防ぎます。これは、show interfaces ge-fpc/pic/port コマンドの出力にNo-receiveおよびNo-transmitインターフェイスフラグが存在するかどうかで確認できます。

注:

イーサネットベースのインターフェイスでのパッシブフロー監視には、以下の制限が適用されます。

  • 特別なカプセル化タイプは許可されていないため、設定する必要があるのはイーサネットカプセル化のみです。

  • passive-monitor-modeステートメントを設定すると、受信インターフェイスに適用される宛先MACアドレスフィルターがデフォルトで無効になります。

  • パッシブフロー監視が有効な場合、[edit interfaces ge-fpc/pic/port gigether-options]階層レベルのflow-controlステートメントは機能しません。

パッシブモニターモードに加えて、[edit interfaces interface-name-fpc/pic/port unit unit-number family inet]階層レベルでfilterステートメントを使用して、以前に定義したファイアウォールフィルターをインターフェイスに適用します。

[edit interfaces mo-fpc/pic/port unit unit-number]階層レベルのfamily inetステートメントを使用して、監視サービスPICまたは監視サービスII PICのインターフェイスを設定します。このステートメントにより、インターフェイスは入力インターフェイスから受信した IPv4 トラフィックを処理できます。

VRFインスタンスを使用する場合、2つの論理インターフェイスを設定する必要があります。最初(unit 0)はinet.0ルーティングテーブルの一部であり、フローパケットを送信します。2番目(unit 1)はVRFインスタンスの一部として設定されるため、監視サービスインターフェイスはインスタンスで受信したパケットの有効なネクストホップとして機能します。

また、監視サービスインターフェイスがフローレコードを処理するときに、オプションパケットとTTL(Time-to-live)超過情報をキャプチャすることもできます。設定するには、[edit interfaces mo-fpc/pic/port unit unit-number family inet]階層レベルでreceive-options-packets およびreceive-ttl-exceededステートメントを含めます。

また、フローパケットが監視ステーションを出てフローサーバーに送信されるエクスポートインターフェイスも設定する必要があります。

出力インターフェイスでは、フィルターベースの転送ルーティングインスタンスにつながるファイアウォールフィルターを適用できます。これは、複数の監視サービスPICまたはフロー収集サービスインターフェイスにトラフィックをポートミラーリングする場合に便利です。設定するには、[edit interfaces interface-name unit logical-unit-number family inet filter]階層レベルでoutputステートメントを含めます。詳細については、「フィルターベースの転送を使用して、監視されたトラフィックを複数の宛先にエクスポートする」を参照してください。