M、MX、または T シリーズ ルーターでの入力インターフェイスの設定、サービス インターフェイスの監視、およびエクスポート インターフェイス
入力フィルターを作成した後、トラフィックがルーターに入るインターフェイスを設定する必要があります。SONET/SDH入力インターフェイスのパッシブフロー監視を有効にするには、 階層レベルに ステートメントを[edit interfaces so-fpc/pic/port unit unit-number]含passive-monitor-modeめます。このモードでは、ルーターがアクティブなデバイスとしてネットワークに参加できないようにします。SONET/SDHインターフェイスでは、パッシブ監視モードはSONETキープアライブを抑制します。
ATM2 IQインターフェイスの場合、パッシブ監視モードは、ATM操作、管理、保守(OAM)および統合ローカル管理インターフェイス(ILMI)制御メッセージの送受信を抑制します。ATM2 IQ入力インターフェイスのパッシブフロー監視を有効にするには、 階層レベルに ステートメントを[edit interfaces at-fpc/pic/port]含passive-monitor-modeめます。ATMパッシブ監視は、以下のインターフェイスカプセル化タイプをサポートしています:Cisco互換ATMネットワーク層プロトコルID(NLPID)、ATM NLPID(atm-nlpid)、ATM適合レイヤー5(AAL5)上のATMポイントツーポイントプロトコル(PPP) LLC(論理リンク制御)(atm-ppp-llc)、ATM PPP over raw AAL5(atm-ppp-vc-mux)、ATM LLC/サブネットワーク接続ポイント(SNAP)(atm-snap)、ATM仮想回線(VC)マルチプレキシング(atm-vc-mux)
イーサネットベースのインターフェイスは、ポート単位のパッシブ監視とVLAN単位のパッシブ監視の両方をサポートしています。ファストイーサネットインターフェイスの場合、 階層レベルに passive-monitor-mode ステートメントを[edit interfaces fe-fpc/pic/port]含めます。ギガビット イーサネット インターフェイスの場合、 階層レベルで passive-monitor-mode ステートメントを[edit interfaces ge-fpc/pic/port]含めます。イーサネットベースのインターフェイスでは、パッシブ監視モードでは、ルーティングエンジンがパケットを受信できないようにし、ルーティングテーブルがパケットを送信することを防ぎます。これは、 コマンドの出力show interfaces (fe | ge)-fpc/pic/port に、受信および送信なしインターフェイスフラグが存在することで確認できます。
イーサネットベースインターフェイスのパッシブフロー監視には、以下の制限が適用されます。
特別なカプセル化タイプは許可されないので、イーサネットカプセル化のみを設定する必要があります。
ステートメントを
passive-monitor-mode設定すると、受信インターフェイスに適用される宛先MACアドレスフィルターはデフォルトで無効になります。パッシブフロー監視が
[edit interfaces ge-fpc/pic/port gigether-options有効になっている場合、flow-control] または[edit interfaces fe-fpc/pic/port fastether-options] 階層レベルの ステートメントは機能しません。
パッシブ監視モードに加えて、 階層レベルの ステートメントを使用 filter して、以前に定義されたファイアウォールフィルターをインターフェイスに [edit interfaces interface-name-fpc/pic/port unit unit-number family inet] 適用します。
[edit]
interfaces {
so-0/0/0 {
description “SONET/SDH input interface”;
encapsulation ppp;
unit 0 {
passive-monitor-mode;
family inet {
filter {
input input-monitoring-filter;
}
}
}
}
at-1/0/0 {
description “ATM2 IQ input interface”;
passive-monitor-mode;
atm-options {
pic-type atm2;
vpi 0 {
maximum-vcs 255;
}
}
unit 0 {
encapsulation atm-snap;
vci 0.100;
family inet {
filter {
input input-monitoring-filter;
}
}
}
}
ge-2/0/0 {
description “Gigabit Ethernet input interface”;
passive-monitor-mode;
unit 0 {
family inet {
filter {
input input-monitoring-filter;
}
}
}
}
}
階層レベルで ステートメントを使用して、監視サービスPICまたは監視サービスII PIC上の family inet インターフェイスを [edit interfaces mo-fpc/pic/port unit unit-number] 設定します。ステートメントにより、インターフェイスは入力インターフェイスから受信したIPv4トラフィックを処理できます。
VRFインスタンスを使用する場合、2つの論理インターフェイスを設定する必要があります。1 つ目の(ユニット 0)は inet.0 ルーティング テーブルの一部であり、フロー パケットを供給します。2 つ目の(ユニット 1)は VRF インスタンスの一部として設定されているため、監視サービス インターフェイスは、インスタンスで受信したパケットの有効なネクスト ホップとして機能できます。
また、監視サービスインターフェイスがフローレコードを処理する際に、オプションパケットとTTL(Time-to-live)超過情報をキャプチャすることもできます。を設定するには、 階層レベルで receive-options-packets と receive-ttl-exceeded ステートメントを [edit interfaces mo-fpc/pic/port unit unit-number family inet] 含めます。
[edit]
interfaces {
mo-4/0/0 {
unit 0 {
family inet {
receive-options-packets;
receive-ttl-exceeded;
}
}
unit 1 {
family inet;
}
}
mo-4/1/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
}
}
mo-4/2/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
}
}
mo-4/3/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
}
}
}
また、フロー パケットが監視ステーションを出てフロー サーバーに送信されるエクスポート インターフェイスも設定する必要があります。
出力インターフェイスでは、フィルターベースの転送ルーティングインスタンスにつながるファイアウォールフィルターを適用できます。これは、複数の監視サービスPICまたはフロー収集サービスインターフェイスにトラフィックをポートミラーリングする場合に便利です。を設定するには、 階層レベルで ステートメントを[edit interfaces interface-name unit logical-unit-number family inet filter]含めますoutput。詳細については、「 フィルターベースの転送を使用して監視されたトラフィックを複数の宛先にエクスポートする」を参照してください。
[edit]
interfaces
fe-3/0/0 {
description “export interface to flow server”;
unit 0 {
family inet;
address ip-address;
filter {
output output-filter-name;
}
}
}