Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Configurando um filtro para excluir tráfego de controle de DHCPv6 e ICMPv6 para assinantes LAC

Este exemplo mostra como configurar um filtro de firewall sem estado padrão que exclui os pacotes de controle DHCPv6 e ICMPv6 de serem considerados como detecção de tempo inativo para assinantes em tunelamento no LAC.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.

Visão geral

O acesso do assinante em um LAC pode ser limitado configurando um período de intervalo inativo que especifica o período máximo de tempo que um assinante pode permanecer ocioso após a sessão do assinante ser estabelecida. O LAC monitora o tráfego de dados upstream e downstream do assinante para determinar se o assinante está inativo. Com base nas estatísticas de contabilidade da sessão. o assinante não é considerado ocioso, desde que o tráfego de dados seja detectado em qualquer direção. Quando não é detectada tráfego durante o tempo de inativo, o assinante fica conectado de maneira semelhante a uma desconexão RADIUS iniciada por RADIUS ou a um logout iniciado por CLI.

Entretanto, depois que um túnel é estabelecido para assinantes L2TP, todos os pacotes pelo túnel no LAC são tratados como pacotes de dados. Portanto, as estatísticas de contabilidade da sessão não são imprecisas e o assinante não é considerado ocioso enquanto pacotes de controle DHCPv6 e ICMPv6 estão sendo enviados.

A partir da versão 17.2R1 Junos OS, você pode definir um filtro de firewall para a família com termos a combinar com inet6 esses pacotes de controle. Inclua a utilização exclude-accounting da ação de terminação nos termos do filtro para soltar esses pacotes de controle.

Configuração

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da rede e, em seguida, copie e copie e colar os comandos na CLI no nível da [edit] hierarquia.

Configurar o filtro

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte Como usar o Editor de CLI no modo de configuração noGuia do Usuário da CLI.

Para configurar o filtro:

  1. Desempere o tempo inativo para sessões de assinante..

  2. Especifique o tempo de saída ocioso que se aplica apenas ao tráfego de entrada.

  3. Defina o termo de filtro de firewall que exclui os pacotes de controle DHCPv6 das estatísticas de contabilidade.

    1. Especifique uma combinação em pacotes com o primeiro campo Next Header definido como UDP (17).

    2. Especifique uma combinação em pacotes com uma porta de origem de 546 ou 547 (DHCPv6).

    3. Especifique uma combinação em pacotes com uma porta de destino DHCP de 546 ou 547 (DHCPv6).

    4. Conte os pacotes DHCPv6 com combinação.

    5. Exclua os pacotes DHCPv6 de estatísticas de contabilidade.

  4. Defina o termo de filtro de firewall que exclui os pacotes de controle do ICMPv6 das estatísticas de contabilidade.

    1. Especifique uma combinação em pacotes com o primeiro campo Next Header definido como ICMPv6 (58).

    2. Especifique uma combinação em pacotes com um tipo de mensagem ICMPv6.

    3. Conte os pacotes ICMPv6 com combinação.

    4. Exclua os pacotes ICMPv6 de estatísticas de contabilidade.

  5. Defina o termo de filtro padrão para aceitar todos os outros pacotes.

  6. Configure o perfil dinâmico para aplicar o filtro às interfaces de entrada e saída da inet6 família.

  7. Habilitar a contabilidade precisa do gerenciamento de assinantes.

Resultados

A partir do modo de configuração, confirme sua configuração show access inserindo os show firewall comandos , e . show dynamic-profiles Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Caso você não configure o dispositivo, entre commit no modo de configuração.