示例:为防火墙过滤器配置统计信息收集
此示例说明如何配置和应用防火墙过滤器,该过滤器根据关联的记帐配置文件中指定的参数收集数据。
要求
除 之外 的所有流量类型都支持防火墙过滤器记帐配置文件。family any
配置此示例之前,不需要除设备初始化之外的特殊配置。
概述
在此示例中,您将创建防火墙过滤器记帐配置文件并将其应用于防火墙过滤器。记帐概要文件指定收集数据包和字节计数统计信息的频率以及写入统计信息的文件的名称。配置文件还指定要收集三个防火墙过滤器计数器的统计信息。
拓扑
防火墙过滤器记帐配置文件 指定每 60 分钟收集一次统计信息,并将统计信息写入文件 。filter_acctg_profile/var/log/ff_accounting_file 为名为 、 和 的计数器收集统计信息。counter1counter2counter3
命名的 IPv4 防火墙过滤器为三个过滤器术语中的每个术语递增一个计数器。my_firewall_filter 过滤器将应用于逻辑接口 。ge-0/0/1.0
配置
下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参见 。在配置模式下使用 CLI 编辑器
要配置此示例,请执行以下操作:
CLI 快速配置
要快速配置此示例,请将以下配置命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI 中。[edit]
set accounting-options file ff_accounting_file files 10 set accounting-options file ff_accounting_file transfer-interval 10 set accounting-options filter-profile filter_acctg_profile file ff_accounting_file set accounting-options filter-profile filter_acctg_profile interval 60 set accounting-options filter-profile filter_acctg_profile counters counter1 set accounting-options filter-profile filter_acctg_profile counters counter2 set accounting-options filter-profile filter_acctg_profile counters counter3 set firewall family inet filter my_firewall_filter accounting-profile filter_acctg_profile set firewall family inet filter my_firewall_filter term term1 from protocol ospf set firewall family inet filter my_firewall_filter term term1 then count counter1 set firewall family inet filter my_firewall_filter term term1 then discard set firewall family inet filter my_firewall_filter term term2 from source-address 10.108.0.0/16 set firewall family inet filter my_firewall_filter term term2 then count counter2 set firewall family inet filter my_firewall_filter term term2 then discard set firewall family inet filter my_firewall_filter term accept-all then count counter3 set firewall family inet filter my_firewall_filter term accept-all then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input my_firewall_filter
配置会计模板
分步过程
要配置记帐模板:
-
创建要与记帐模板关联的日志文件。
[edit] user@host# edit accounting-options file ff_accounting_file files 10 edit accounting-options file ff_accounting_file transfer-interval 10
-
创建会计模板 。
filter_acctg_profile[edit] user@host# edit accounting-options filter-profile filter_acctg_profile
将记帐配置文件配置为每 60 分钟过滤和收集一次数据包和字节计数统计信息, 并将其写入文件。
/var/log/ff_accounting_file[edit accounting-options filter-profile filter_acctg_profile] user@host# set file ff_accounting_file user@host# set interval 60
配置记帐配置文件以收集三个计数器的过滤器配置文件统计信息(数据包和字节计数)。
[edit accounting-options filter-profile filter_acctg_profile] user@host# set counters counter1 user@host# set counters counter2 user@host# set counters counter3
配置引用记帐配置文件的防火墙过滤器
分步过程
要配置引用记帐配置文件的防火墙过滤器,请执行以下操作:
创建防火墙过滤器 。
my_firewall_filter[edit] user@host# edit firewall family inet filter my_firewall_filter
将过滤器记帐配置文件 应用于防火墙过滤器。
filter_acctg_profile[edit firewall family inet filter my_firewall_filter] user@host# set accounting-profile filter_acctg_profile
配置第一个过滤器术语和计数器。
[edit firewall family inet filter my_firewall_filter] user@host# set term term1 from protocol ospf user@host# set term term1 then count counter1 user@host# set term term1 then discard
配置第二个过滤器术语和计数器。
[edit firewall family inet filter my_firewall_filter] user@host# set term term2 from source-address 10.108.0.0/16 user@host# set term term2 then count counter2 user@host# set term term2 then discard
配置第三个过滤器术语和计数器。
[edit firewall family inet filter my_firewall_filter] user@host# set term accept-all then count counter3 user@host# set term accept-all then accept
将防火墙过滤器应用于接口
分步过程
要将防火墙过滤器应用于逻辑接口:
配置要应用防火墙过滤器的逻辑接口。
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
配置逻辑接口的接口地址。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
将防火墙过滤器应用于逻辑接口。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input my_firewall_filter
确认候选配置
分步过程
要确认候选配置,请执行以下操作:
-
通过输入 配置模式命令确认记帐配置文件的配置。
show accounting-options如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show accounting-options file ff_accounting_file { files 10; transfer-interval 10; } filter-profile filter_acctg_profile { file ff_accounting_file; interval 60; counters { counter1; counter2; counter3; } } 通过输入 配置模式命令确认防火墙过滤器的配置。
show firewall如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show firewall family inet { filter my_firewall_filter { accounting-profile filter_acctg_profile; term term1 { from { protocol ospf; } then { count counter1; discard; } } term term2 { from { source-address { 10.108.0.0/16; } } then { count counter2; discard; } } term accept-all { then { count counter3; accept; } } } }通过输入 配置模式命令确认接口的配置。
show interfaces如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input my_firewall_filter; } address 10.1.2.3/30; } } }
清除计数器并提交候选配置
分步过程
要清除计数器并提交候选配置,请执行以下操作:
在操作命令模式下,使用命令清除 所有防火墙过滤器的统计信息。
clear firewall all要仅清除此示例中递增的计数器,请包括防火墙过滤器的名称。
[edit] user@host> clear firewall filter my_firewall_filter
提交候选配置。
[edit] user@host# commit
验证
要验证过滤器是否已应用于逻辑接口,请使用或输出级别运行命令。show interfacesdetailextensive
若要验证是否单独收集了三个计数器,请运行该 命令。show firewall filter my_firewall_filter
user@host> show firewall filter my_firewall_filter Filter: my_firewall_filter Counters: Name Bytes Packets counter1 0 0 counter2 0 0 counter3 0 0