Nesta página
Exemplo: Configuração da coleta de estatísticas para um filtro de firewall
Este exemplo mostra como configurar e aplicar um filtro de firewall que coleta dados de acordo com parâmetros especificados em um perfil de contabilidade associado.
Requisitos
Os perfis de contabilidade com filtro de firewall são suportados para todos os tipos de tráfego, exceto family any
.
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Neste exemplo, você cria um perfil de contabilidade de filtro de firewall e o aplica a um filtro de firewall. O perfil de contabilidade especifica com que frequência coletar estatísticas de contagem de pacotes e byte e o nome do arquivo ao qual as estatísticas estão escritas. O perfil também especifica que as estatísticas devem ser coletadas para três contadores de filtro de firewall.
Topologia
O perfil filter_acctg_profile
de contabilidade do filtro de firewall especifica que as estatísticas são coletadas a cada 60 minutos, e as estatísticas são escritas no arquivo /var/log/ff_accounting_file
. As estatísticas são coletadas para contadores nomeados counter1
, counter2
e counter3
.
O filtro de firewall IPv4 chamado my_firewall_filter
incrementa um contador para cada um dos três termos de filtro. O filtro é aplicado à interface ge-0/0/1.0
lógica.
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.
Para configurar este exemplo, execute as seguintes tarefas:
- Configuração rápida da CLI
- Configure um perfil de contabilidade
- Configure um filtro de firewall que faz referência ao perfil de contabilidade
- Aplique o filtro de firewall em uma interface
- Confirme a configuração do seu candidato
- Libere os contadores e comprometa a configuração do seu candidato
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova qualquer quebra de linha e cole os comandos na CLI no nível de [edit]
hierarquia.
set accounting-options file ff_accounting_file files 10 set accounting-options file ff_accounting_file transfer-interval 10 set accounting-options filter-profile filter_acctg_profile file ff_accounting_file set accounting-options filter-profile filter_acctg_profile interval 60 set accounting-options filter-profile filter_acctg_profile counters counter1 set accounting-options filter-profile filter_acctg_profile counters counter2 set accounting-options filter-profile filter_acctg_profile counters counter3 set firewall family inet filter my_firewall_filter accounting-profile filter_acctg_profile set firewall family inet filter my_firewall_filter term term1 from protocol ospf set firewall family inet filter my_firewall_filter term term1 then count counter1 set firewall family inet filter my_firewall_filter term term1 then discard set firewall family inet filter my_firewall_filter term term2 from source-address 10.108.0.0/16 set firewall family inet filter my_firewall_filter term term2 then count counter2 set firewall family inet filter my_firewall_filter term term2 then discard set firewall family inet filter my_firewall_filter term accept-all then count counter3 set firewall family inet filter my_firewall_filter term accept-all then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input my_firewall_filter
Configure um perfil de contabilidade
Procedimento passo a passo
Para configurar um perfil de contabilidade:
-
Crie um arquivo de log para associar ao perfil de contabilidade.
[edit] user@host# edit accounting-options file ff_accounting_file files 10 edit accounting-options file ff_accounting_file transfer-interval 10
-
Crie o perfil de
filter_acctg_profile
contabilidade.[edit] user@host# edit accounting-options filter-profile filter_acctg_profile
Configure o perfil de contabilidade para filtrar e coletar estatísticas de pacotes e contagem de byte a cada 60 minutos e escreva-as ao
/var/log/ff_accounting_file
arquivo.[edit accounting-options filter-profile filter_acctg_profile] user@host# set file ff_accounting_file user@host# set interval 60
Configure o perfil de contabilidade para coletar estatísticas de perfil de filtro (contagens de pacotes e byte) para três contadores.
[edit accounting-options filter-profile filter_acctg_profile] user@host# set counters counter1 user@host# set counters counter2 user@host# set counters counter3
Configure um filtro de firewall que faz referência ao perfil de contabilidade
Procedimento passo a passo
Para configurar um filtro de firewall que faz referência ao perfil de contabilidade:
Crie o filtro
my_firewall_filter
de firewall.[edit] user@host# edit firewall family inet filter my_firewall_filter
Aplique o perfil
filter_acctg_profile
de contabilidade de filtro no filtro de firewall.[edit firewall family inet filter my_firewall_filter] user@host# set accounting-profile filter_acctg_profile
Configure o primeiro termo de filtro e contador.
[edit firewall family inet filter my_firewall_filter] user@host# set term term1 from protocol ospf user@host# set term term1 then count counter1 user@host# set term term1 then discard
Configure o segundo termo de filtro e contador.
[edit firewall family inet filter my_firewall_filter] user@host# set term term2 from source-address 10.108.0.0/16 user@host# set term term2 then count counter2 user@host# set term term2 then discard
Configure o terceiro termo e contador do filtro.
[edit firewall family inet filter my_firewall_filter] user@host# set term accept-all then count counter3 user@host# set term accept-all then accept
Aplique o filtro de firewall em uma interface
Procedimento passo a passo
Para aplicar o filtro de firewall a uma interface lógica:
Configure a interface lógica à qual você aplicará o filtro de firewall.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configure o endereço da interface para a interface lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Aplique o filtro de firewall na interface lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input my_firewall_filter
Confirme a configuração do seu candidato
Procedimento passo a passo
Para confirmar a configuração do seu candidato:
-
Confirme a configuração do perfil de contabilidade inserindo o comando do
show accounting-options
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show accounting-options file ff_accounting_file { files 10; transfer-interval 10; } filter-profile filter_acctg_profile { file ff_accounting_file; interval 60; counters { counter1; counter2; counter3; } }
Confirme a configuração do filtro de firewall entrando no comando do
show firewall
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show firewall family inet { filter my_firewall_filter { accounting-profile filter_acctg_profile; term term1 { from { protocol ospf; } then { count counter1; discard; } } term term2 { from { source-address { 10.108.0.0/16; } } then { count counter2; discard; } } term accept-all { then { count counter3; accept; } } } }
Confirme a configuração das interfaces entrando no comando do
show interfaces
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input my_firewall_filter; } address 10.1.2.3/30; } } }
Libere os contadores e comprometa a configuração do seu candidato
Procedimento passo a passo
Para limpar os contadores e confirmar a configuração do seu candidato:
Do modo de comando operacional, use o
clear firewall all
comando para limpar as estatísticas para todos os filtros de firewall.Para limpar apenas os contadores incrementados neste exemplo, inclua o nome do filtro de firewall.
[edit] user@host> clear firewall filter my_firewall_filter
Comprometa a configuração do seu candidato.
[edit] user@host# commit
Verificação
Para verificar se o filtro é aplicado à interface lógica, execute o show interfaces
comando com o detail
nível ou extensive
o nível de saída.
Para verificar se os três contadores são coletados separadamente, execute o show firewall filter my_firewall_filter
comando.
user@host> show firewall filter my_firewall_filter Filter: my_firewall_filter Counters: Name Bytes Packets counter1 0 0 counter2 0 0 counter3 0 0