EN ESTA PÁGINA
Ejemplo: Configuración de la recopilación de estadísticas para un filtro de firewall
En este ejemplo, se muestra cómo configurar y aplicar un filtro de firewall que recopila datos según los parámetros especificados en un perfil de contabilidad asociado.
Requisitos
Se admiten perfiles de contabilidad de filtros de firewall para todos los tipos de tráfico, excepto family anypara .
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se crea un perfil de contabilidad de filtro de firewall y se aplica a un filtro de firewall. El perfil de contabilidad especifica la frecuencia con la que se recopilan estadísticas de recuento de paquetes y bytes, y el nombre del archivo en el que se escriben las estadísticas. El perfil también especifica que se recopilarán estadísticas para tres contadores de filtros de firewall.
Topología
El perfil filter_acctg_profile de contabilidad del filtro de firewall especifica que las estadísticas se recopilan cada 60 minutos y que las estadísticas se escriben en el archivo /var/log/ff_accounting_file. Las estadísticas se recopilan para los contadores denominados counter1, counter2y counter3.
El filtro de firewall IPv4 denominado my_firewall_filter incrementa un contador para cada uno de los tres términos de filtro. El filtro se aplica a la interfaz ge-0/0/1.0lógica .
Configuración
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Usar el Editor de CLI en modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configurar un perfil de contabilidad
- Configure un filtro de firewall que haga referencia al perfil de contabilidad
- Aplicar el filtro de firewall a una interfaz
- Confirme la configuración de su candidato
- Despejar los contadores y confirmar la configuración de su candidato
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, elimine los saltos de línea y, a continuación, pegue los comandos en la CLI en el [edit] nivel de jerarquía.
set accounting-options file ff_accounting_file files 10 set accounting-options file ff_accounting_file transfer-interval 10 set accounting-options filter-profile filter_acctg_profile file ff_accounting_file set accounting-options filter-profile filter_acctg_profile interval 60 set accounting-options filter-profile filter_acctg_profile counters counter1 set accounting-options filter-profile filter_acctg_profile counters counter2 set accounting-options filter-profile filter_acctg_profile counters counter3 set firewall family inet filter my_firewall_filter accounting-profile filter_acctg_profile set firewall family inet filter my_firewall_filter term term1 from protocol ospf set firewall family inet filter my_firewall_filter term term1 then count counter1 set firewall family inet filter my_firewall_filter term term1 then discard set firewall family inet filter my_firewall_filter term term2 from source-address 10.108.0.0/16 set firewall family inet filter my_firewall_filter term term2 then count counter2 set firewall family inet filter my_firewall_filter term term2 then discard set firewall family inet filter my_firewall_filter term accept-all then count counter3 set firewall family inet filter my_firewall_filter term accept-all then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input my_firewall_filter
Configurar un perfil de contabilidad
Procedimiento paso a paso
Para configurar un perfil de contabilidad:
-
Cree un archivo de registro para asociarlo con el perfil de contabilidad.
[edit] user@host# edit accounting-options file ff_accounting_file files 10 edit accounting-options file ff_accounting_file transfer-interval 10
-
Cree el perfil
filter_acctg_profilede contabilidad .[edit] user@host# edit accounting-options filter-profile filter_acctg_profile
Configure el perfil de contabilidad para filtrar y recopilar estadísticas de paquetes y recuento de bytes cada 60 minutos y escribirlas en el
/var/log/ff_accounting_filearchivo.[edit accounting-options filter-profile filter_acctg_profile] user@host# set file ff_accounting_file user@host# set interval 60
Configure el perfil de contabilidad para recopilar estadísticas de perfil de filtro (recuentos de paquetes y bytes) para tres contadores.
[edit accounting-options filter-profile filter_acctg_profile] user@host# set counters counter1 user@host# set counters counter2 user@host# set counters counter3
Configure un filtro de firewall que haga referencia al perfil de contabilidad
Procedimiento paso a paso
Para configurar un filtro de firewall que haga referencia al perfil de contabilidad:
Cree el filtro
my_firewall_filterde firewall .[edit] user@host# edit firewall family inet filter my_firewall_filter
Aplique el perfil
filter_acctg_profilede contabilidad de filtro al filtro de firewall.[edit firewall family inet filter my_firewall_filter] user@host# set accounting-profile filter_acctg_profile
Configure el primer término y contador de filtro.
[edit firewall family inet filter my_firewall_filter] user@host# set term term1 from protocol ospf user@host# set term term1 then count counter1 user@host# set term term1 then discard
Configure el segundo término y contador de filtro.
[edit firewall family inet filter my_firewall_filter] user@host# set term term2 from source-address 10.108.0.0/16 user@host# set term term2 then count counter2 user@host# set term term2 then discard
Configure el tercer término y contador de filtro.
[edit firewall family inet filter my_firewall_filter] user@host# set term accept-all then count counter3 user@host# set term accept-all then accept
Aplicar el filtro de firewall a una interfaz
Procedimiento paso a paso
Para aplicar el filtro de firewall a una interfaz lógica:
Configure la interfaz lógica a la que aplicará el filtro de firewall.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configure la dirección de interfaz para la interfaz lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Aplique el filtro de firewall a la interfaz lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input my_firewall_filter
Confirme la configuración de su candidato
Procedimiento paso a paso
Para confirmar la configuración del candidato:
-
Para confirmar la configuración del perfil de contabilidad, ingrese el comando del modo de
show accounting-optionsconfiguración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.[edit] user@host# show accounting-options file ff_accounting_file { files 10; transfer-interval 10; } filter-profile filter_acctg_profile { file ff_accounting_file; interval 60; counters { counter1; counter2; counter3; } } Para confirmar la configuración del filtro de firewall, ingrese el comando del modo de
show firewallconfiguración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.[edit] user@host# show firewall family inet { filter my_firewall_filter { accounting-profile filter_acctg_profile; term term1 { from { protocol ospf; } then { count counter1; discard; } } term term2 { from { source-address { 10.108.0.0/16; } } then { count counter2; discard; } } term accept-all { then { count counter3; accept; } } } }Para confirmar la configuración de las interfaces, ingrese el comando del modo de
show interfacesconfiguración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input my_firewall_filter; } address 10.1.2.3/30; } } }
Despejar los contadores y confirmar la configuración de su candidato
Procedimiento paso a paso
Para borrar los contadores y confirmar la configuración del candidato:
Desde el modo de comando operativo, utilice el
clear firewall allcomando para borrar las estadísticas de todos los filtros de firewall.Para borrar solo los contadores incrementados en este ejemplo, incluya el nombre del filtro de firewall.
[edit] user@host> clear firewall filter my_firewall_filter
Confirme la configuración del candidato.
[edit] user@host# commit
Verificación
Para comprobar que el filtro se aplica a la interfaz lógica, ejecute el show interfaces comando con el detail o extensive nivel de salida.
Para comprobar que los tres contadores se recopilan por separado, ejecute el show firewall filter my_firewall_filter comando.
user@host> show firewall filter my_firewall_filter Filter: my_firewall_filter Counters: Name Bytes Packets counter1 0 0 counter2 0 0 counter3 0 0