예: 방화벽 필터에 대한 통계 수집 구성
이 예에서는 연결된 계정 프로필에 지정된 매개 변수에 따라 데이터를 수집하는 방화벽 필터를 구성하고 적용하는 방법을 보여줍니다.
요구 사항
방화벽 필터 계정 프로필은 을(를) 제외한 모든 트래픽 유형에 대해 지원됩니다.family any
이 예를 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.
개요
이 예에서는 방화벽 필터 계정 프로필을 생성하여 방화벽 필터에 적용합니다. 계정 프로필은 패킷 및 바이트 수 통계를 수집하는 빈도와 통계가 기록되는 파일의 이름을 지정합니다. 또한 프로필은 세 개의 방화벽 필터 카운터에 대해 통계를 수집하도록 지정합니다.
토폴로지
방화벽 필터 계정 프로필 은 통계가 60분마다 수집되고 통계가 파일에 기록되도록 지정합니다.filter_acctg_profile
/var/log/ff_accounting_file
, , 및 라는 카운터에 대한 통계가 수집됩니다.counter1
counter2
counter3
IPv4 방화벽 필터는 세 개의 필터 용어 각각에 대해 카운터를 증가시킵니다.my_firewall_filter
필터는 논리 인터페이스에 적용됩니다.ge-0/0/1.0
구성
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 자세한 내용은 을 참조하십시오 .구성 모드에서 CLI 편집기 사용
이 예를 구성하려면 다음 작업을 수행합니다.
CLI 빠른 구성
이 예를 빠르게 구성하려면, 다음 구성 명령을 텍스트 파일에 복사하고, 줄 바꿈을 제거한 다음, 계층 수준에서 명령을 CLI에 붙여넣습니다 .[edit]
set accounting-options file ff_accounting_file files 10 set accounting-options file ff_accounting_file transfer-interval 10 set accounting-options filter-profile filter_acctg_profile file ff_accounting_file set accounting-options filter-profile filter_acctg_profile interval 60 set accounting-options filter-profile filter_acctg_profile counters counter1 set accounting-options filter-profile filter_acctg_profile counters counter2 set accounting-options filter-profile filter_acctg_profile counters counter3 set firewall family inet filter my_firewall_filter accounting-profile filter_acctg_profile set firewall family inet filter my_firewall_filter term term1 from protocol ospf set firewall family inet filter my_firewall_filter term term1 then count counter1 set firewall family inet filter my_firewall_filter term term1 then discard set firewall family inet filter my_firewall_filter term term2 from source-address 10.108.0.0/16 set firewall family inet filter my_firewall_filter term term2 then count counter2 set firewall family inet filter my_firewall_filter term term2 then discard set firewall family inet filter my_firewall_filter term accept-all then count counter3 set firewall family inet filter my_firewall_filter term accept-all then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input my_firewall_filter
어카운팅 프로필 구성
단계별 절차
어카운팅 프로필을 구성하려면 다음을 수행합니다.
-
계정 프로필과 연결할 로그 파일을 만듭니다.
[edit] user@host# edit accounting-options file ff_accounting_file files 10 edit accounting-options file ff_accounting_file transfer-interval 10
-
계정 프로필을 만듭니다 .
filter_acctg_profile
[edit] user@host# edit accounting-options filter-profile filter_acctg_profile
60분마다 패킷 및 바이트 수 통계를 필터링 및 수집하여 파일에 기록하도록 계정 프로필을 구성합니다.
/var/log/ff_accounting_file
[edit accounting-options filter-profile filter_acctg_profile] user@host# set file ff_accounting_file user@host# set interval 60
3개의 카운터에 대한 필터 프로필 통계(패킷 및 바이트 수)를 수집하도록 계정 프로필을 구성합니다.
[edit accounting-options filter-profile filter_acctg_profile] user@host# set counters counter1 user@host# set counters counter2 user@host# set counters counter3
어카운팅 프로필을 참조하는 방화벽 필터 구성
단계별 절차
어카운팅 프로필을 참조하는 방화벽 필터를 구성하려면 다음을 수행합니다.
방화벽 필터를 만듭니다.
my_firewall_filter
[edit] user@host# edit firewall family inet filter my_firewall_filter
방화벽 필터에 filter-accounting 프로필을 적용합니다.
filter_acctg_profile
[edit firewall family inet filter my_firewall_filter] user@host# set accounting-profile filter_acctg_profile
첫 번째 필터 용어 및 카운터를 구성합니다.
[edit firewall family inet filter my_firewall_filter] user@host# set term term1 from protocol ospf user@host# set term term1 then count counter1 user@host# set term term1 then discard
두 번째 필터 용어 및 카운터를 구성합니다.
[edit firewall family inet filter my_firewall_filter] user@host# set term term2 from source-address 10.108.0.0/16 user@host# set term term2 then count counter2 user@host# set term term2 then discard
세 번째 필터 용어 및 카운터를 구성합니다.
[edit firewall family inet filter my_firewall_filter] user@host# set term accept-all then count counter3 user@host# set term accept-all then accept
인터페이스에 방화벽 필터 적용
단계별 절차
방화벽 필터를 논리적 인터페이스에 적용하려면 다음을 수행합니다.
방화벽 필터를 적용할 논리적 인터페이스를 구성합니다.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
논리적 인터페이스의 인터페이스 주소를 구성합니다.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
논리적 인터페이스에 방화벽 필터를 적용합니다.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input my_firewall_filter
후보 구성 확인
단계별 절차
후보 구성을 확인하려면:
-
구성 모드 명령을 입력하여 계정 프로필의 구성을 확인합니다.
show accounting-options
명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.[edit] user@host# show accounting-options file ff_accounting_file { files 10; transfer-interval 10; } filter-profile filter_acctg_profile { file ff_accounting_file; interval 60; counters { counter1; counter2; counter3; } }
구성 모드 명령을 입력하여 방화벽 필터의 구성을 확인합니다.
show firewall
명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.[edit] user@host# show firewall family inet { filter my_firewall_filter { accounting-profile filter_acctg_profile; term term1 { from { protocol ospf; } then { count counter1; discard; } } term term2 { from { source-address { 10.108.0.0/16; } } then { count counter2; discard; } } term accept-all { then { count counter3; accept; } } } }
구성 모드 명령을 입력하여 인터페이스 구성을 확인합니다.
show interfaces
명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input my_firewall_filter; } address 10.1.2.3/30; } } }
카운터를 지우고 후보 구성을 커밋합니다
단계별 절차
카운터를 지우고 후보 구성을 커밋하려면 다음을 수행합니다.
운영 명령 모드에서 명령을 사용하여 모든 방화벽 필터에 대한 통계를 지웁니다.
clear firewall all
이 예에서 증가된 카운터만 지우려면 방화벽 필터의 이름을 포함합니다.
[edit] user@host> clear firewall filter my_firewall_filter
후보 구성을 커밋합니다.
[edit] user@host# commit
검증
필터가 논리적 인터페이스에 적용되었는지 확인하려면 또는 출력 수준과 함께 명령을 실행합니다.show interfaces
detail
extensive
세 개의 카운터가 별도로 수집되었는지 확인하려면 명령을 실행합니다 .show firewall filter my_firewall_filter
user@host> show firewall filter my_firewall_filter Filter: my_firewall_filter Counters: Name Bytes Packets counter1 0 0 counter2 0 0 counter3 0 0