Configuración de interfaces de entrada, interfaces de servicios de supervisión e interfaces de exportación en enrutadores serie M, MX o T
Después de crear el filtro de entrada, debe configurar las interfaces en las que el tráfico entrará en el enrutador. Para habilitar la supervisión de flujo pasivo para interfaces de entrada SONET/SDH, incluya la passive-monitor-mode
instrucción en el [edit interfaces so-fpc/pic/port unit unit-number]
nivel de jerarquía. Este modo deshabilita el enrutador para que participe en la red como un dispositivo activo. En las interfaces SONET/SDH, el modo de monitoreo pasivo suprime las conservaciones SONET.
En el caso de las interfaces IQ ATM2, el modo de monitoreo pasivo suprime el envío y la recepción de mensajes de control de operaciones, administración y mantenimiento (OAM) atm y interfaz de administración local integrada (ILMI). Para habilitar la supervisión pasiva de flujo para interfaces de entrada IQ ATM2, incluya la passive-monitor-mode
instrucción en el [edit interfaces at-fpc/pic/port]
nivel jerárquico. La supervisión pasiva ATM admite los siguientes tipos de encapsulación de interfaz: ID de protocolo de capa de red ATM compatible con Cisco (NLPID) (atm-cisco-nlpid), ATM NLPID (atm-nlpid), Protocolo punto a punto (PPP) de ATM sobre la capa de adaptación de ATM 5 (AAL5)/ control de vínculos lógicos (LLC) (atm-ppp-llc), PPP ATM sobre AAL5 crudo (atm-ppp-vc-mux), punto de archivo de subred (SNAP) de LLC/ ATM (atm-snap) y multiplexación de circuito virtual ATM (VC) (atm-vc-mux).
Las interfaces basadas en Ethernet admiten la supervisión pasiva por puerto y la supervisión pasiva por VLAN. Para interfaces Ethernet rápidas, incluya la passive-monitor-mode
instrucción en el [edit interfaces fe-fpc/pic/port]
nivel de jerarquía. Para interfaces Gigabit Ethernet, incluya la passive-monitor-mode
instrucción en el [edit interfaces ge-fpc/pic/port]
nivel de jerarquía. En las interfaces basadas en Ethernet, el modo de supervisión pasiva deshabilita el motor de enrutamiento para recibir paquetes e impide que la tabla de enrutamiento transmita paquetes. Puede comprobar esto mediante la presencia de los indicadores de interfaz No recepción y No transmisión en la salida del show interfaces (fe | ge)-fpc/pic/port
comando.
Se aplican las siguientes restricciones a la supervisión de flujo pasivo en interfaces basadas en Ethernet:
No se permiten tipos de encapsulación especiales, por lo que solo debe configurar las encapsulaciones Ethernet.
Cuando configure la instrucción, los
passive-monitor-mode
filtros de dirección MAC de destino aplicados a las interfaces entrantes se deshabilitan de forma predeterminada.La
flow-control
instrucción en el nivel de jerarquía ] o[edit interfaces fe-fpc/pic/port fastether-options
] no funciona cuando se habilita la[edit interfaces ge-fpc/pic/port gigether-options
supervisión de flujo pasivo.
Además del modo de monitoreo pasivo, aplique el filtro de firewall definido anteriormente a la interfaz con la filter
instrucción en el [edit interfaces interface-name-fpc/pic/port unit unit-number family inet]
nivel jerárquico:
[edit] interfaces { so-0/0/0 { description “SONET/SDH input interface”; encapsulation ppp; unit 0 { passive-monitor-mode; family inet { filter { input input-monitoring-filter; } } } } at-1/0/0 { description “ATM2 IQ input interface”; passive-monitor-mode; atm-options { pic-type atm2; vpi 0 { maximum-vcs 255; } } unit 0 { encapsulation atm-snap; vci 0.100; family inet { filter { input input-monitoring-filter; } } } } ge-2/0/0 { description “Gigabit Ethernet input interface”; passive-monitor-mode; unit 0 { family inet { filter { input input-monitoring-filter; } } } } }
Configure las interfaces en la PIC de servicios de supervisión o PIC de servicios de supervisión II con la family inet
instrucción en el [edit interfaces mo-fpc/pic/port unit unit-number]
nivel jerárquico. La instrucción permite que las interfaces procesen el tráfico IPv4 recibido de las interfaces de entrada.
Cuando utilice instancias VRF, debe configurar dos interfaces lógicas. La primera (unidad 0) forma parte de la tabla de enrutamiento inet.0 y da origen a los paquetes de flujo. El segundo (unidad 1) está configurado como parte de la instancia vrf, de modo que la interfaz de servicios de supervisión pueda servir como un siguiente salto válido para los paquetes recibidos en la instancia.
También puede capturar paquetes de opciones y tiempo de vida (TTL) superado la información cuando la interfaz de servicios de supervisión procesa los registros de flujo. Para configurar, incluya las instrucciones y receive-ttl-exceeded
los paquetes de opciones de recepción en el [edit interfaces mo-fpc/pic/port unit unit-number family inet]
nivel jerárquico:
[edit] interfaces { mo-4/0/0 { unit 0 { family inet { receive-options-packets; receive-ttl-exceeded; } } unit 1 { family inet; } } mo-4/1/0 { unit 0 { family inet; } unit 1 { family inet; } } mo-4/2/0 { unit 0 { family inet; } unit 1 { family inet; } } mo-4/3/0 { unit 0 { family inet; } unit 1 { family inet; } } }
También debe configurar la interfaz de exportación en la que los paquetes de flujo salen de la estación de supervisión y se envían al servidor de flujo.
En las interfaces de salida, puede aplicar un filtro de firewall que conduce a una instancia de enrutamiento de reenvío basada en filtros. Esto es útil si desea reflejar tráfico de puerto a varias PIC de servicios de supervisión o interfaces de servicios de recopilación de flujo. Para configurar, incluya la output
instrucción en el [edit interfaces interface-name unit logical-unit-number family inet filter]
nivel de jerarquía. Para obtener más información, consulte Uso de reenvío basado en filtros para exportar tráfico supervisado a varios destinos.
[edit] interfaces fe-3/0/0 { description “export interface to flow server”; unit 0 { family inet; address ip-address; filter { output output-filter-name; } } }