M, MX 또는 T Series 라우터에서 입력 인터페이스 구성, 모니터링 서비스 인터페이스 및 내보내기 인터페이스
입력 필터를 생성한 후에는 트래픽이 라우터에 들어갈 인터페이스를 구성해야 합니다. SONET/SDH 입력 인터페이스에 대한 패시브 플로우 모니터링을 활성화하려면 계층 수준의 명령문을 [edit interfaces so-fpc/pic/port unit unit-number]
포함합니다passive-monitor-mode
. 이 모드에서는 라우터가 활성 디바이스로 네트워크에 참여하지 않도록 설정합니다. SONET/SDH 인터페이스에서 패시브 모니터 모드는 SONET 유지보수(keepalives)를 억제합니다.
ATM2 IQ 인터페이스의 경우, 패시브 모니터 모드는 ATM OAM(Operations, Administration, and Maintenance) 및 ILMI(Integrated Local Management Interface) 제어 메시지의 송수신을 억제합니다. ATM2 IQ 입력 인터페이스에 대한 패시브 플로우 모니터링을 활성화하려면 계층 수준의 명령문을 [edit interfaces at-fpc/pic/port]
포함합니다passive-monitor-mode
. ATM 패시브 모니터링은 다음과 같은 인터페이스 캡슐화 유형을 지원합니다. Cisco 호환 ATM NLPID(ATM Network Layer Protocol ID)(atm-cisco-nlpid), ATM NLPID(atm-nlpid), ATM Adaptation Layer 5(AAL5)를 통한 ATM PPP(Point-to-Point Protocol)/논리적 링크 제어(LLC) (atm-ppp-llc), 원시 AAL5(atm-ppp-vc-mux), ATM LLC/서브네트워크 첨부 포인트(SNAP) 및 ATM VC(Virtual Circuit) 멀티플렉싱(atm-vc-mux)을 통한 ATM PPP.
이더넷 기반 인터페이스는 포트당 패시브 모니터링과 VLAN당 패시브 모니터링을 모두 지원합니다. Fast Ethernet 인터페이스의 경우 계층 수준의 명령문을 [edit interfaces fe-fpc/pic/port]
포함합니다passive-monitor-mode
. Gigabit Ethernet 인터페이스의 경우 계층 수준의 명령문을 [edit interfaces ge-fpc/pic/port]
포함합니다passive-monitor-mode
. 이더넷 기반 인터페이스에서 패시브 모니터 모드는 라우팅 엔진이 패킷을 수신하지 못하도록 설정하고 라우팅 테이블이 패킷을 전송하지 못하도록 방지합니다. 명령의 출력 show interfaces (fe | ge)-fpc/pic/port
에 No-receive 및 No-transmit 인터페이스 플래그가 있는 경우 이를 확인할 수 있습니다.
이더넷 기반 인터페이스에 대한 패시브 플로우 모니터링에는 다음과 같은 제한이 적용됩니다.
특별한 캡슐화 유형은 허용되지 않으므로 이더넷 캡슐화만 구성해야 합니다.
명령문을
passive-monitor-mode
구성할 때 수신 인터페이스에 적용된 대상 MAC 주소 필터는 기본적으로 비활성화됩니다.[ 또는
[edit interfaces fe-fpc/pic/port fastether-options
] 계층 수준의 명령[edit interfaces ge-fpc/pic/port gigether-options
문은flow-control
패시브 플로우 모니터링이 활성화되면 작동하지 않습니다.
패시브 모니터 모드 이외에도, 계층 수준에서 명령문이 있는 filter
인터페이스에 이전에 정의된 방화벽 필터를 [edit interfaces interface-name-fpc/pic/port unit unit-number family inet]
적용합니다.
[edit] interfaces { so-0/0/0 { description “SONET/SDH input interface”; encapsulation ppp; unit 0 { passive-monitor-mode; family inet { filter { input input-monitoring-filter; } } } } at-1/0/0 { description “ATM2 IQ input interface”; passive-monitor-mode; atm-options { pic-type atm2; vpi 0 { maximum-vcs 255; } } unit 0 { encapsulation atm-snap; vci 0.100; family inet { filter { input input-monitoring-filter; } } } } ge-2/0/0 { description “Gigabit Ethernet input interface”; passive-monitor-mode; unit 0 { family inet { filter { input input-monitoring-filter; } } } } }
계층 레벨의 명령문과 함께 family inet
Monitoring Services PIC 또는 Monitoring Services II PIC의 인터페이스를 [edit interfaces mo-fpc/pic/port unit unit-number]
구성합니다. 이 명령문은 인터페이스가 입력 인터페이스에서 수신된 IPv4 트래픽을 처리할 수 있도록 지원합니다.
VRF 인스턴스를 사용하면 두 개의 논리적 인터페이스를 구성해야 합니다. 첫 번째(unit 0)는 inet.0 라우팅 테이블의 일부이며 플로우 패킷을 소스링합니다. 두 번째(유닛 1)는 VRF 인스턴스의 일부로 구성되므로 모니터링 서비스 인터페이스가 인스턴스에서 수신된 패킷에 대한 유효한 다음 홉 역할을 할 수 있습니다.
또한 모니터링 서비스 인터페이스가 플로우 레코드를 처리하는 경우 옵션 패킷과 TTL(Time-to-Live) 초과 정보를 캡처할 수 있습니다. 구성하려면 계층 수준에서 수신 옵션-패킷 및 receive-ttl-exceeded
명령문을 [edit interfaces mo-fpc/pic/port unit unit-number family inet]
포함합니다.
[edit] interfaces { mo-4/0/0 { unit 0 { family inet { receive-options-packets; receive-ttl-exceeded; } } unit 1 { family inet; } } mo-4/1/0 { unit 0 { family inet; } unit 1 { family inet; } } mo-4/2/0 { unit 0 { family inet; } unit 1 { family inet; } } mo-4/3/0 { unit 0 { family inet; } unit 1 { family inet; } } }
또한 플로우 패킷이 모니터링 스테이션에서 빠져 플로우 서버로 전송되는 내보내기 인터페이스를 구성해야 합니다.
출력 인터페이스에서 필터 기반 포워딩 라우팅 인스턴스로 이어지는 방화벽 필터를 적용할 수 있습니다. 이는 여러 모니터링 서비스 PIC 또는 플로우 수집 서비스 인터페이스에 트래픽을 포트 미러링하려는 경우에 유용합니다. 구성하려면 계층 수준에서 명령문을 [edit interfaces interface-name unit logical-unit-number family inet filter]
포함 output
하십시오. 자세한 내용은 필터 기반 포워딩을 사용하여 모니터링된 트래픽을 여러 목적지로 익스포트하는 것을 참조하십시오.
[edit] interfaces fe-3/0/0 { description “export interface to flow server”; unit 0 { family inet; address ip-address; filter { output output-filter-name; } } }