Auf dieser Seite
Beispiel: Konfigurieren der Statistikerfassung für einen Firewallfilter
In diesem Beispiel wird gezeigt, wie ein Firewallfilter konfiguriert und angewendet wird, der Daten gemäß den Parametern sammelt, die in einem zugeordneten Kontoführungsprofil angegeben sind.
Anforderungen
Firewall-Filter-Accounting-Profile werden für alle Datenverkehrstypen mit Ausnahme von unterstützt.family any
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
In diesem Beispiel erstellen Sie ein Firewallfilter-Kontoführungsprofil und wenden es auf einen Firewallfilter an. Das Accounting-Profil gibt an, wie häufig Paket- und Bytezahlstatistiken erfasst werden sollen, sowie den Namen der Datei, in die die Statistiken geschrieben werden. Das Profil gibt außerdem an, dass Statistiken für drei Firewallfilterindikatoren erfasst werden sollen.
Topologie
Das Firewallfilter-Abrechnungsprofil gibt an, dass Statistiken alle 60 Minuten erfasst und in die Datei geschrieben werden.filter_acctg_profile
/var/log/ff_accounting_file
Statistiken werden für Leistungsindikatoren mit den Namen , und erfasst.counter1
counter2
counter3
Der IPv4-Firewallfilter mit dem Namen inkrementiert einen Zähler für jeden der drei Filterbegriffe.my_firewall_filter
Der Filter wird auf die logische Schnittstelle angewendet.ge-0/0/1.0
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter .Verwenden des CLI-Editors im Konfigurationsmodus
Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:
- CLI-Schnellkonfiguration
- Konfigurieren eines Buchhaltungsprofils
- Konfigurieren eines Firewallfilters, der auf das Accounting-Profil verweist
- Anwenden des Firewallfilters auf eine Schnittstelle
- Bestätigen Sie Ihre Kandidatenkonfiguration
- Löschen Sie die Zähler, und bestätigen Sie Ihre Kandidatenkonfiguration.
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene in die CLI ein.[edit]
set accounting-options file ff_accounting_file files 10 set accounting-options file ff_accounting_file transfer-interval 10 set accounting-options filter-profile filter_acctg_profile file ff_accounting_file set accounting-options filter-profile filter_acctg_profile interval 60 set accounting-options filter-profile filter_acctg_profile counters counter1 set accounting-options filter-profile filter_acctg_profile counters counter2 set accounting-options filter-profile filter_acctg_profile counters counter3 set firewall family inet filter my_firewall_filter accounting-profile filter_acctg_profile set firewall family inet filter my_firewall_filter term term1 from protocol ospf set firewall family inet filter my_firewall_filter term term1 then count counter1 set firewall family inet filter my_firewall_filter term term1 then discard set firewall family inet filter my_firewall_filter term term2 from source-address 10.108.0.0/16 set firewall family inet filter my_firewall_filter term term2 then count counter2 set firewall family inet filter my_firewall_filter term term2 then discard set firewall family inet filter my_firewall_filter term accept-all then count counter3 set firewall family inet filter my_firewall_filter term accept-all then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input my_firewall_filter
Konfigurieren eines Buchhaltungsprofils
Schritt-für-Schritt-Anleitung
So konfigurieren Sie ein Buchhaltungsprofil:
-
Erstellen Sie eine Protokolldatei, die dem Buchhaltungsprofil zugeordnet werden soll.
[edit] user@host# edit accounting-options file ff_accounting_file files 10 edit accounting-options file ff_accounting_file transfer-interval 10
-
Legen Sie das Buchhaltungsprofil an.
filter_acctg_profile
[edit] user@host# edit accounting-options filter-profile filter_acctg_profile
Konfigurieren Sie das Accounting-Profil so, dass alle 60 Minuten Paket- und Bytezahlstatistiken gefiltert und erfasst und in die Datei geschrieben werden.
/var/log/ff_accounting_file
[edit accounting-options filter-profile filter_acctg_profile] user@host# set file ff_accounting_file user@host# set interval 60
Konfigurieren Sie das Accounting-Profil so, dass Filterprofilstatistiken (Paket- und Byteanzahl) für drei Leistungsindikatoren erfasst werden.
[edit accounting-options filter-profile filter_acctg_profile] user@host# set counters counter1 user@host# set counters counter2 user@host# set counters counter3
Konfigurieren eines Firewallfilters, der auf das Accounting-Profil verweist
Schritt-für-Schritt-Anleitung
So konfigurieren Sie einen Firewallfilter, der auf das Accounting-Profil verweist:
Erstellen Sie den Firewall-Filter .
my_firewall_filter
[edit] user@host# edit firewall family inet filter my_firewall_filter
Wenden Sie das Filterkontoführungsprofil auf den Firewallfilter an.
filter_acctg_profile
[edit firewall family inet filter my_firewall_filter] user@host# set accounting-profile filter_acctg_profile
Konfigurieren Sie den ersten Filterbegriff und den ersten Zähler.
[edit firewall family inet filter my_firewall_filter] user@host# set term term1 from protocol ospf user@host# set term term1 then count counter1 user@host# set term term1 then discard
Konfigurieren Sie den zweiten Filterbegriff und den zweiten Zähler.
[edit firewall family inet filter my_firewall_filter] user@host# set term term2 from source-address 10.108.0.0/16 user@host# set term term2 then count counter2 user@host# set term term2 then discard
Konfigurieren Sie den dritten Filterbegriff und den dritten Zähler.
[edit firewall family inet filter my_firewall_filter] user@host# set term accept-all then count counter3 user@host# set term accept-all then accept
Anwenden des Firewallfilters auf eine Schnittstelle
Schritt-für-Schritt-Anleitung
So wenden Sie den Firewall-Filter auf eine logische Schnittstelle an:
Konfigurieren Sie die logische Schnittstelle, auf die Sie den Firewallfilter anwenden möchten.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Konfigurieren Sie die Schnittstellenadresse für die logische Schnittstelle.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Wenden Sie den Firewallfilter auf die logische Schnittstelle an.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input my_firewall_filter
Bestätigen Sie Ihre Kandidatenkonfiguration
Schritt-für-Schritt-Anleitung
So bestätigen Sie Ihre Kandidatenkonfiguration:
-
Bestätigen Sie die Konfiguration des Accounting-Profils, indem Sie den Befehl Konfigurationsmodus eingeben.
show accounting-options
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show accounting-options file ff_accounting_file { files 10; transfer-interval 10; } filter-profile filter_acctg_profile { file ff_accounting_file; interval 60; counters { counter1; counter2; counter3; } }
Bestätigen Sie die Konfiguration des Firewall-Filters, indem Sie den Befehl configuration mode eingeben.
show firewall
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show firewall family inet { filter my_firewall_filter { accounting-profile filter_acctg_profile; term term1 { from { protocol ospf; } then { count counter1; discard; } } term term2 { from { source-address { 10.108.0.0/16; } } then { count counter2; discard; } } term accept-all { then { count counter3; accept; } } } }
Bestätigen Sie die Konfiguration der Schnittstellen, indem Sie den Befehl Konfigurationsmodus eingeben.
show interfaces
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input my_firewall_filter; } address 10.1.2.3/30; } } }
Löschen Sie die Zähler, und bestätigen Sie Ihre Kandidatenkonfiguration.
Schritt-für-Schritt-Anleitung
So löschen Sie die Zähler und bestätigen Ihre Kandidatenkonfiguration:
Verwenden Sie im Betriebsbefehlsmodus den Befehl, um die Statistiken für alle Firewallfilter zu löschen.
clear firewall all
Wenn Sie nur die in diesem Beispiel inkrementierten Leistungsindikatoren löschen möchten, geben Sie den Namen des Firewallfilters an.
[edit] user@host> clear firewall filter my_firewall_filter
Bestätigen Sie Ihre Kandidatenkonfiguration.
[edit] user@host# commit
Überprüfung
Um zu überprüfen, ob der Filter auf die logische Schnittstelle angewendet wird, führen Sie den Befehl mit der Ausgabeebene oder aus.show interfaces
detail
extensive
Führen Sie den Befehl aus, um zu überprüfen, ob die drei Leistungsindikatoren separat erfasst werden.show firewall filter my_firewall_filter
user@host> show firewall filter my_firewall_filter Filter: my_firewall_filter Counters: Name Bytes Packets counter1 0 0 counter2 0 0 counter3 0 0