Configuración de interfaces de entrada, interfaces de servicios de supervisión e interfaces de exportación en enrutadores de la serie MX
Después de crear el filtro de entrada, debe configurar las interfaces por donde el tráfico entrará en el enrutador.
Las interfaces basadas en Ethernet admiten tanto la supervisión pasiva por puerto como la supervisión pasiva por VLAN. En el caso de las interfaces Gigabit Ethernet, incluya la passive-monitor-mode instrucción en el nivel de [edit interfaces ge-fpc/pic/port] jerarquía. En interfaces basadas en Ethernet, el modo de supervisión pasiva deshabilita el motor de enrutamiento para que no reciba paquetes e impide que la tabla de enrutamiento transmita paquetes. Puede verificar esto mediante la No-receive presencia de los indicadores de interfaz y No-transmit en la salida del show interfaces ge-fpc/pic/port comando.
Se aplican las siguientes restricciones al monitoreo de flujo pasivo en interfaces basadas en Ethernet:
-
No se permiten tipos de encapsulación especiales, por lo que debe configurar únicamente las encapsulaciones Ethernet.
-
Cuando se configura la instrucción, los filtros de dirección MAC de destino aplicados a las
passive-monitor-modeinterfaces entrantes se deshabilitan de forma predeterminada. -
La
flow-controlinstrucción en el nivel de jerarquía ] no funciona cuando está habilitada la[edit interfaces ge-fpc/pic/port gigether-optionssupervisión pasiva del flujo.
Además del modo de supervisión pasiva, aplique el filtro de firewall definido anteriormente a la interfaz con la filter instrucción en el nivel de [edit interfaces interface-name-fpc/pic/port unit unit-number family inet] jerarquía:
[edit]
interfaces {
ge-2/0/0 {
description “Gigabit Ethernet input interface”;
passive-monitor-mode;
unit 0 {
family inet {
filter {
input input-monitoring-filter;
}
}
}
}
}
Configure las interfaces en la PIC de servicios de supervisión o la PIC de servicios de supervisión II con la family inet instrucción en el [edit interfaces mo-fpc/pic/port unit unit-number] nivel de jerarquía. La instrucción permite que las interfaces procesen el tráfico IPv4 recibido de las interfaces de entrada.
Cuando utilice instancias VRF, debe configurar dos interfaces lógicas. El primero (unit 0) forma parte de la tabla de enrutamiento inet.0 y origina los paquetes de flujo. El segundo (unit 1) se configura como parte de la instancia VRF para que la interfaz de servicios de supervisión pueda servir como un próximo salto válido para los paquetes recibidos en la instancia.
También puede capturar paquetes de opciones e información de tiempo de vida (TTL) excedido cuando la interfaz de servicios de monitoreo procesa registros de flujo. Para configurar, incluya las receive-options-packets instrucciones and receive-ttl-exceeded en el nivel de [edit interfaces mo-fpc/pic/port unit unit-number family inet] jerarquía:
[edit]
interfaces {
mo-4/0/0 {
unit 0 {
family inet {
receive-options-packets;
receive-ttl-exceeded;
}
}
unit 1 {
family inet;
}
}
mo-4/1/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
}
}
mo-4/2/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
}
}
mo-4/3/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
}
}
}
También debe configurar la interfaz de exportación en la que los paquetes de flujo salen de la estación de supervisión y se envían al servidor de flujo.
En las interfaces de salida, puede aplicar un filtro de firewall que conduzca a una instancia de enrutamiento de reenvío basada en filtros. Esto resulta útil si desea duplicar el tráfico de puertos a varias PIC de servicios de supervisión o interfaces de servicios de recopilación de flujo. Para configurar, incluya la output instrucción en el [edit interfaces interface-name unit logical-unit-number family inet filter] nivel de jerarquía. Para obtener más información, consulte Uso del reenvío basado en filtros para exportar tráfico supervisado a varios destinos.
[edit]
interfaces
ge-3/0/0 {
description “export interface to flow server”;
unit 0 {
family inet;
address ip-address;
filter {
output output-filter-name;
}
}
}