예를 들면 다음과 같습니다. 방화벽 필터에 대한 통계 수집 구성
이 예는 관련 계정 프로필에 지정된 매개 변수에 따라 데이터를 수집하는 방화벽 필터를 구성하고 적용하는 방법을 보여줍니다.
요구 사항
방화벽 필터 계정 프로필은 을(를) 제외한 family any모든 트래픽 유형에 대해 지원됩니다.
이 예를 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.
개요
이 예에서 방화벽 필터 계정 프로필을 생성하여 방화벽 필터에 적용합니다. accounting 프로필은 패킷 및 바이트 수 통계 수집 빈도와 통계가 작성된 파일 이름을 지정합니다. 또한 프로필은 세 개의 방화벽 필터 카운터에 대한 통계를 수집하도록 지정합니다.
토폴로지
방화벽 필터 계정 프로필 filter_acctg_profile 은 통계가 60분마다 수집되도록 지정하고 통계는 파일에 /var/log/ff_accounting_file작성됩니다. 통계는 , , counter2라는 counter3카운터에 counter1대해 수집됩니다.
라는 IPv4 my_firewall_filter 방화벽 필터는 3개의 필터 용어 각각에 대해 카운터를 증분합니다. 필터는 논리적 인터페이스 ge-0/0/1.0에 적용됩니다.
구성
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 정보는 을(를) 참조하십시오 구성 모드에서 CLI 편집기 사용.
이 예를 구성하려면 다음 작업을 수행하십시오.
- CLI 빠른 구성
- Accounting 프로필 구성
- Accounting 프로필을 참조하는 방화벽 필터 구성
- 인터페이스에 방화벽 필터 적용
- 응시자 구성 확인
- 카운터를 삭제하고 후보 구성을 커밋합니다.
CLI 빠른 구성
이 예를 빠르게 구성하려면 다음 구성 명령을 텍스트 파일로 복사하여 모든 라인브러브를 제거한 다음 계층 수준에서 명령을 CLI [edit] 에 붙여 넣습니다.
set accounting-options file ff_accounting_file files 10 set accounting-options file ff_accounting_file transfer-interval 10 set accounting-options filter-profile filter_acctg_profile file ff_accounting_file set accounting-options filter-profile filter_acctg_profile interval 60 set accounting-options filter-profile filter_acctg_profile counters counter1 set accounting-options filter-profile filter_acctg_profile counters counter2 set accounting-options filter-profile filter_acctg_profile counters counter3 set firewall family inet filter my_firewall_filter accounting-profile filter_acctg_profile set firewall family inet filter my_firewall_filter term term1 from protocol ospf set firewall family inet filter my_firewall_filter term term1 then count counter1 set firewall family inet filter my_firewall_filter term term1 then discard set firewall family inet filter my_firewall_filter term term2 from source-address 10.108.0.0/16 set firewall family inet filter my_firewall_filter term term2 then count counter2 set firewall family inet filter my_firewall_filter term term2 then discard set firewall family inet filter my_firewall_filter term accept-all then count counter3 set firewall family inet filter my_firewall_filter term accept-all then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input my_firewall_filter
Accounting 프로필 구성
단계별 절차
계정 프로필을 구성하려면 다음을 수행합니다.
-
계정 프로필과 연결할 로그 파일을 생성합니다.
[edit] user@host# edit accounting-options file ff_accounting_file files 10 edit accounting-options file ff_accounting_file transfer-interval 10
-
accounting 프로필을
filter_acctg_profile생성합니다.[edit] user@host# edit accounting-options filter-profile filter_acctg_profile
계정 프로필을 구성하여 패킷과 바이트 카운트 통계를 60분마다 필터링하고 수집하여 파일에 씁니다
/var/log/ff_accounting_file.[edit accounting-options filter-profile filter_acctg_profile] user@host# set file ff_accounting_file user@host# set interval 60
세 개의 카운터에 대한 필터 프로필 통계(패킷 및 바이트 수)를 수집하도록 accounting 프로필을 구성합니다.
[edit accounting-options filter-profile filter_acctg_profile] user@host# set counters counter1 user@host# set counters counter2 user@host# set counters counter3
Accounting 프로필을 참조하는 방화벽 필터 구성
단계별 절차
계정 프로필을 참조하는 방화벽 필터를 구성하려면 다음을 수행합니다.
방화벽 필터
my_firewall_filter를 생성합니다.[edit] user@host# edit firewall family inet filter my_firewall_filter
필터 계정 프로필을
filter_acctg_profile방화벽 필터에 적용합니다.[edit firewall family inet filter my_firewall_filter] user@host# set accounting-profile filter_acctg_profile
첫 번째 필터 용어 및 카운터를 구성합니다.
[edit firewall family inet filter my_firewall_filter] user@host# set term term1 from protocol ospf user@host# set term term1 then count counter1 user@host# set term term1 then discard
두 번째 필터 용어 및 카운터를 구성합니다.
[edit firewall family inet filter my_firewall_filter] user@host# set term term2 from source-address 10.108.0.0/16 user@host# set term term2 then count counter2 user@host# set term term2 then discard
세 번째 필터 용어 및 카운터를 구성합니다.
[edit firewall family inet filter my_firewall_filter] user@host# set term accept-all then count counter3 user@host# set term accept-all then accept
인터페이스에 방화벽 필터 적용
단계별 절차
방화벽 필터를 논리적 인터페이스에 적용하기 위해 다음을 수행합니다.
방화벽 필터를 적용할 논리적 인터페이스를 구성합니다.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
논리적 인터페이스의 인터페이스 주소를 구성합니다.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
방화벽 필터를 논리적 인터페이스에 적용합니다.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input my_firewall_filter
응시자 구성 확인
단계별 절차
후보 구성을 확인하려면,
-
구성 모드 명령을 입력하여 accounting 프로필의 구성을
show accounting-options확인합니다. 명령 출력이 의도한 구성을 표시하지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.[edit] user@host# show accounting-options file ff_accounting_file { files 10; transfer-interval 10; } filter-profile filter_acctg_profile { file ff_accounting_file; interval 60; counters { counter1; counter2; counter3; } } 구성 모드 명령을 입력하여 방화벽 필터의 구성을
show firewall확인합니다. 명령 출력이 의도한 구성을 표시하지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.[edit] user@host# show firewall family inet { filter my_firewall_filter { accounting-profile filter_acctg_profile; term term1 { from { protocol ospf; } then { count counter1; discard; } } term term2 { from { source-address { 10.108.0.0/16; } } then { count counter2; discard; } } term accept-all { then { count counter3; accept; } } } }구성 모드 명령을 입력하여 인터페이스의 구성을
show interfaces확인합니다. 명령 출력이 의도한 구성을 표시하지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input my_firewall_filter; } address 10.1.2.3/30; } } }
카운터를 삭제하고 후보 구성을 커밋합니다.
단계별 절차
카운터를 제거하고 후보 구성을 커밋하려면 다음을 수행합니다.
운영 명령 모드에서 명령을 사용하여
clear firewall all모든 방화벽 필터에 대한 통계를 지웁니다.이 예에서 증분된 카운터만 지우려면 방화벽 필터 이름을 포함합니다.
[edit] user@host> clear firewall filter my_firewall_filter
후보 구성을 커밋합니다.
[edit] user@host# commit
확인
필터가 논리적 인터페이스에 적용되었는지 확인하려면 또는 extensive 출력 수준으로 명령을 detail 실행 show interfaces 합니다.
세 개의 카운터가 별도로 수집되었는지 확인하려면 명령을 실행합니다 show firewall filter my_firewall_filter .
user@host> show firewall filter my_firewall_filter Filter: my_firewall_filter Counters: Name Bytes Packets counter1 0 0 counter2 0 0 counter3 0 0