Exemple : Configuration de la collecte de statistiques pour un filtre de pare-feu
Cet exemple montre comment configurer et appliquer un filtre de pare-feu qui collecte des données en fonction des paramètres spécifiés dans un profil comptable associé.
Conditions préalables
Les profils de comptabilisation des filtres de pare-feu sont pris en charge pour tous les types de trafic, à l’exception de family any.
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.
Présentation
Dans cet exemple, vous créez un profil de comptabilité de filtre de pare-feu et vous l’appliquez à un filtre de pare-feu. Le profil de comptabilité spécifie la fréquence de collecte des statistiques sur le nombre de paquets et d’octets, ainsi que le nom du fichier dans lequel les statistiques sont écrites. Le profil spécifie également que des statistiques doivent être collectées pour trois compteurs de filtres de pare-feu.
Topologie
Le profil filter_acctg_profile comptable du filtre de pare-feu spécifie que les statistiques sont collectées toutes les 60 minutes et qu’elles sont écrites dans le fichier /var/log/ff_accounting_file. Les statistiques sont collectées pour les compteurs nommés counter1, counter2, et counter3.
Le filtre de pare-feu IPv4 nommé my_firewall_filter incrémente un compteur pour chacun des trois termes de filtre. Le filtre est appliqué à l’interface ge-0/0/1.0logique .
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
Pour configurer cet exemple, effectuez les tâches suivantes :
- Configuration rapide de l’interface de ligne de commande
- Configurer un profil comptable
- Configurer un filtre de pare-feu qui fait référence au profil comptable
- Application du filtre de pare-feu à une interface
- Confirmez la configuration de votre candidat
- Effacez les compteurs et validez la configuration de votre candidat
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
set accounting-options file ff_accounting_file files 10 set accounting-options file ff_accounting_file transfer-interval 10 set accounting-options filter-profile filter_acctg_profile file ff_accounting_file set accounting-options filter-profile filter_acctg_profile interval 60 set accounting-options filter-profile filter_acctg_profile counters counter1 set accounting-options filter-profile filter_acctg_profile counters counter2 set accounting-options filter-profile filter_acctg_profile counters counter3 set firewall family inet filter my_firewall_filter accounting-profile filter_acctg_profile set firewall family inet filter my_firewall_filter term term1 from protocol ospf set firewall family inet filter my_firewall_filter term term1 then count counter1 set firewall family inet filter my_firewall_filter term term1 then discard set firewall family inet filter my_firewall_filter term term2 from source-address 10.108.0.0/16 set firewall family inet filter my_firewall_filter term term2 then count counter2 set firewall family inet filter my_firewall_filter term term2 then discard set firewall family inet filter my_firewall_filter term accept-all then count counter3 set firewall family inet filter my_firewall_filter term accept-all then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input my_firewall_filter
Configurer un profil comptable
Procédure étape par étape
Pour configurer un profil comptable :
-
Créez un fichier journal à associer au profil comptable.
[edit] user@host# edit accounting-options file ff_accounting_file files 10 edit accounting-options file ff_accounting_file transfer-interval 10
-
Créez le profil
filter_acctg_profilecomptable .[edit] user@host# edit accounting-options filter-profile filter_acctg_profile
Configurez le profil de comptabilité pour filtrer et collecter des statistiques sur le nombre de paquets et d’octets toutes les 60 minutes et écrivez-les dans le
/var/log/ff_accounting_filefichier.[edit accounting-options filter-profile filter_acctg_profile] user@host# set file ff_accounting_file user@host# set interval 60
Configurez le profil de comptabilité pour collecter les statistiques du profil de filtre (nombre de paquets et d’octets) pour trois compteurs.
[edit accounting-options filter-profile filter_acctg_profile] user@host# set counters counter1 user@host# set counters counter2 user@host# set counters counter3
Configurer un filtre de pare-feu qui fait référence au profil comptable
Procédure étape par étape
Pour configurer un filtre de pare-feu qui référence le profil comptable :
Créez le filtre
my_firewall_filterde pare-feu .[edit] user@host# edit firewall family inet filter my_firewall_filter
Appliquez le profil
filter_acctg_profilefilter-accounting au filtre de pare-feu.[edit firewall family inet filter my_firewall_filter] user@host# set accounting-profile filter_acctg_profile
Configurez le premier terme de filtre et le premier compteur.
[edit firewall family inet filter my_firewall_filter] user@host# set term term1 from protocol ospf user@host# set term term1 then count counter1 user@host# set term term1 then discard
Configurez le deuxième terme de filtre et le compteur.
[edit firewall family inet filter my_firewall_filter] user@host# set term term2 from source-address 10.108.0.0/16 user@host# set term term2 then count counter2 user@host# set term term2 then discard
Configurez le troisième terme de filtre et le compteur.
[edit firewall family inet filter my_firewall_filter] user@host# set term accept-all then count counter3 user@host# set term accept-all then accept
Application du filtre de pare-feu à une interface
Procédure étape par étape
Pour appliquer le filtre de pare-feu à une interface logique :
Configurez l’interface logique à laquelle vous allez appliquer le filtre de pare-feu.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configurez l’adresse de l’interface logique.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Appliquez le filtre de pare-feu à l’interface logique.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input my_firewall_filter
Confirmez la configuration de votre candidat
Procédure étape par étape
Pour confirmer la configuration de votre candidat :
-
Confirmez la configuration du profil comptable en saisissant la commande mode
show accounting-optionsde configuration. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show accounting-options file ff_accounting_file { files 10; transfer-interval 10; } filter-profile filter_acctg_profile { file ff_accounting_file; interval 60; counters { counter1; counter2; counter3; } } Confirmez la configuration du filtre de pare-feu en entrant la
show firewallcommande configuration mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show firewall family inet { filter my_firewall_filter { accounting-profile filter_acctg_profile; term term1 { from { protocol ospf; } then { count counter1; discard; } } term term2 { from { source-address { 10.108.0.0/16; } } then { count counter2; discard; } } term accept-all { then { count counter3; accept; } } } }Confirmez la configuration des interfaces en entrant la commande configuration
show interfacesmode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input my_firewall_filter; } address 10.1.2.3/30; } } }
Effacez les compteurs et validez la configuration de votre candidat
Procédure étape par étape
Pour effacer les compteurs et valider la configuration de votre candidat :
À partir du mode de commande opérationnelle, utilisez la
clear firewall allcommande pour effacer les statistiques de tous les filtres de pare-feu.Pour effacer uniquement les compteurs incrémentés dans cet exemple, incluez le nom du filtre de pare-feu.
[edit] user@host> clear firewall filter my_firewall_filter
Validez la configuration de votre candidat.
[edit] user@host# commit
Vérification
Pour vérifier que le filtre est appliqué à l’interface logique, exécutez la show interfaces commande avec le niveau de detail sortie ou extensive .
Pour vérifier que les trois compteurs sont collectés séparément, exécutez la show firewall filter my_firewall_filter commande.
user@host> show firewall filter my_firewall_filter Filter: my_firewall_filter Counters: Name Bytes Packets counter1 0 0 counter2 0 0 counter3 0 0