EN ESTA PÁGINA
Ejemplo: Configuración de la recopilación de estadísticas para un filtro de firewall
En este ejemplo se muestra cómo configurar y aplicar un filtro de firewall que recopila datos según los parámetros especificados en un perfil de contabilidad asociado.
Requisitos
Los perfiles de cuentas del filtro de firewall son compatibles con todos los tipos de tráfico excepto family any
.
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se crea un perfil de contabilidad de filtro de firewall y se aplica a un filtro de firewall. El perfil de contabilidad especifica la frecuencia con la que se recopilan estadísticas de recuento de paquetes y bytes y el nombre del archivo en el que se escriben las estadísticas. El perfil también especifica que se deben recopilar estadísticas para tres contadores de filtro de firewall.
Topología
El perfil filter_acctg_profile
de contabilidad del filtro de firewall especifica que las estadísticas se recopilan cada 60 minutos y que las estadísticas se escriben en el archivo /var/log/ff_accounting_file
. Se recopilan estadísticas para los contadores denominados counter1
, counter2
, y counter3
.
El filtro de firewall IPv4 denominado my_firewall_filter
incrementa un contador para cada uno de los tres términos de filtro. El filtro se aplica a la interfaz ge-0/0/1.0
lógica.
Configuración
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Usar el editor de CLI en el modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configurar un perfil contable
- Configurar un filtro de firewall que haga referencia al perfil de contabilidad
- Aplicar el filtro de firewall a una interfaz
- Confirme su configuración candidata
- Borre los contadores y confirme su configuración de candidato
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de [edit]
jerarquía.
set accounting-options file ff_accounting_file files 10 set accounting-options file ff_accounting_file transfer-interval 10 set accounting-options filter-profile filter_acctg_profile file ff_accounting_file set accounting-options filter-profile filter_acctg_profile interval 60 set accounting-options filter-profile filter_acctg_profile counters counter1 set accounting-options filter-profile filter_acctg_profile counters counter2 set accounting-options filter-profile filter_acctg_profile counters counter3 set firewall family inet filter my_firewall_filter accounting-profile filter_acctg_profile set firewall family inet filter my_firewall_filter term term1 from protocol ospf set firewall family inet filter my_firewall_filter term term1 then count counter1 set firewall family inet filter my_firewall_filter term term1 then discard set firewall family inet filter my_firewall_filter term term2 from source-address 10.108.0.0/16 set firewall family inet filter my_firewall_filter term term2 then count counter2 set firewall family inet filter my_firewall_filter term term2 then discard set firewall family inet filter my_firewall_filter term accept-all then count counter3 set firewall family inet filter my_firewall_filter term accept-all then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input my_firewall_filter
Configurar un perfil contable
Procedimiento paso a paso
Para configurar un perfil de contabilidad:
-
Cree un archivo de registro para asociarlo con el perfil de contabilidad.
[edit] user@host# edit accounting-options file ff_accounting_file files 10 edit accounting-options file ff_accounting_file transfer-interval 10
-
Cree el perfil
filter_acctg_profile
contable .[edit] user@host# edit accounting-options filter-profile filter_acctg_profile
Configure el perfil de contabilidad para filtrar y recopilar estadísticas de recuento de paquetes y bytes cada 60 minutos y escribirlas en el
/var/log/ff_accounting_file
archivo.[edit accounting-options filter-profile filter_acctg_profile] user@host# set file ff_accounting_file user@host# set interval 60
Configure el perfil de contabilidad para recopilar estadísticas de perfil de filtro (recuentos de paquetes y bytes) para tres contadores.
[edit accounting-options filter-profile filter_acctg_profile] user@host# set counters counter1 user@host# set counters counter2 user@host# set counters counter3
Configurar un filtro de firewall que haga referencia al perfil de contabilidad
Procedimiento paso a paso
Para configurar un filtro de firewall que haga referencia al perfil de contabilidad:
Cree el filtro
my_firewall_filter
de firewall .[edit] user@host# edit firewall family inet filter my_firewall_filter
Aplique el perfil
filter_acctg_profile
de contabilidad de filtros al filtro de firewall.[edit firewall family inet filter my_firewall_filter] user@host# set accounting-profile filter_acctg_profile
Configure el primer término de filtro y el primer contador.
[edit firewall family inet filter my_firewall_filter] user@host# set term term1 from protocol ospf user@host# set term term1 then count counter1 user@host# set term term1 then discard
Configure el segundo término de filtro y el contador.
[edit firewall family inet filter my_firewall_filter] user@host# set term term2 from source-address 10.108.0.0/16 user@host# set term term2 then count counter2 user@host# set term term2 then discard
Configure el tercer término de filtro y el contador.
[edit firewall family inet filter my_firewall_filter] user@host# set term accept-all then count counter3 user@host# set term accept-all then accept
Aplicar el filtro de firewall a una interfaz
Procedimiento paso a paso
Para aplicar el filtro de firewall a una interfaz lógica:
Configure la interfaz lógica a la que aplicará el filtro de firewall.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configure la dirección de interfaz para la interfaz lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Aplique el filtro de firewall a la interfaz lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input my_firewall_filter
Confirme su configuración candidata
Procedimiento paso a paso
Para confirmar la configuración del candidato:
-
Confirme la configuración del perfil de contabilidad introduciendo el comando del
show accounting-options
modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.[edit] user@host# show accounting-options file ff_accounting_file { files 10; transfer-interval 10; } filter-profile filter_acctg_profile { file ff_accounting_file; interval 60; counters { counter1; counter2; counter3; } }
Confirme la configuración del filtro de firewall introduciendo el comando de
show firewall
modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.[edit] user@host# show firewall family inet { filter my_firewall_filter { accounting-profile filter_acctg_profile; term term1 { from { protocol ospf; } then { count counter1; discard; } } term term2 { from { source-address { 10.108.0.0/16; } } then { count counter2; discard; } } term accept-all { then { count counter3; accept; } } } }
Confirme la configuración de las interfaces introduciendo el comando de
show interfaces
modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input my_firewall_filter; } address 10.1.2.3/30; } } }
Borre los contadores y confirme su configuración de candidato
Procedimiento paso a paso
Para borrar los contadores y confirmar la configuración del candidato:
Desde el modo de comando operativo, utilice el
clear firewall all
comando para borrar las estadísticas de todos los filtros de firewall.Para borrar solo los contadores incrementados en este ejemplo, incluya el nombre del filtro de firewall.
[edit] user@host> clear firewall filter my_firewall_filter
Confirme su configuración de candidato.
[edit] user@host# commit
Verificación
Para comprobar que el filtro se aplica a la interfaz lógica, ejecute el show interfaces
comando con el nivel de detail
salida o extensive
.
Para comprobar que los tres contadores se recopilan por separado, ejecute el show firewall filter my_firewall_filter
comando.
user@host> show firewall filter my_firewall_filter Filter: my_firewall_filter Counters: Name Bytes Packets counter1 0 0 counter2 0 0 counter3 0 0