NESTA PÁGINA
Exemplo: configurar um filtro para excluir o tráfego de controle DHCPv6 e ICMPv6 para assinantes LAC
Este exemplo mostra como configurar um filtro de firewall stateless padrão que exclui pacotes de controle DHCPv6 e ICMPv6 de serem considerados para detecção de tempo limite ocioso para assinantes com túnel no LAC.
Requerimentos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
O acesso do assinante em um LAC pode ser limitado pela configuração de um período de tempo limite ocioso que especifica o período máximo de tempo que um assinante pode permanecer ocioso após o estabelecimento da sessão do assinante. O LAC monitora o tráfego de dados upstream e downstream do assinante para determinar se o assinante está inativo. Com base nas estatísticas contábeis da sessão. O assinante não é considerado ocioso, desde que o tráfego de dados seja detectado em qualquer direção. Quando nenhum tráfego é detectado durante o tempo limite de inatividade, o assinante é desconectado normalmente de forma semelhante a uma desconexão iniciada pelo RADIUS ou um logout iniciado pela CLI.
No entanto, depois que um túnel é estabelecido para assinantes L2TP, todos os pacotes através do túnel no LAC são tratados como pacotes de dados. Consequentemente, as estatísticas contábeis da sessão são imprecisas e o assinante não é considerado ocioso enquanto os pacotes de controle DHCPv6 e ICMPv6 estiverem sendo enviados.
Você pode definir um filtro de firewall para a inet6 família com termos correspondentes nesses pacotes de controle. Inclua o uso da exclude-accounting ação de encerramento nos termos de filtro para descartar esses pacotes de controle.
Configuração
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede e, em seguida, copie e cole os comandos na CLI no nível de [ edit] hierarquia.
set access profile v6-exclude-idle session-options client-idle-timeout 10 set access profile v6-exclude-idle session-options client-idle-timeout-ingress-only edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER set interface-specific set term EXCLUDE-ACCT-DHCP-INET6 from next-header udp set term EXCLUDE-ACCT-DHCP-INET6 from source-port 546 set term EXCLUDE-ACCT-DHCP-INET6 from source-port 547 set term EXCLUDE-ACCT-DHCP-INET6 from destination-port 546 set term EXCLUDE-ACCT-DHCP-INET6 from destination-port 547 set term EXCLUDE-ACCT-DHCP-INET6 then count exclude-acct-dhcpv6 set term EXCLUDE-ACCT-DHCP-INET6 then exclude-accounting set term EXCLUDE-ACCT-ICMP6 from next-header icmp6 set term EXCLUDE-ACCT-ICMP6 from icmp-type router-solicit set term EXCLUDE-ACCT-ICMP6 from icmp-type neighbor-solicit set term EXCLUDE-ACCT-ICMP6 from icmp-type neighbor-advertisement set term EXCLUDE-ACCT-ICMP6 then count exclude-acct-icmpv6 set term EXCLUDE-ACCT-ICMP6 then exclude-accounting set term default then accept top edit dynamic-profiles pppoe-dynamic-profile interfaces pp0 unit "$junos-interface-unit" set family inet6 filter input EXCLUDE-ACCT-INET6-FILTER set family inet6 filter output EXCLUDE-ACCT-INET6-FILTER set actual-transit-statistics
Configurar o filtro
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Uso do Editor de CLI no Modo de Configuração noGuia do Usuário da CLI.
Para configurar o filtro:
Defina o tempo limite de ociosidade para sessões de assinante.
[edit access profile v6-exclude-idle] user@host# set session-options client-idle-timeout 10
Especifique que o tempo limite ocioso se aplica somente ao tráfego de entrada.
[edit access profile v6-exclude-idle] user@host# set session-options client-idle-timeout-ingress-only
Defina o termo de filtro de firewall que exclui os pacotes de controle DHCPv6 das estatísticas de contabilidade.
Especifique uma correspondência em pacotes com o primeiro campo Próximo Cabeçalho definido como UDP (17).
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-DHCP-INET6 from next-header udp
Especifique uma correspondência em pacotes com uma porta de origem de 546 ou 547 (DHCPv6).
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-DHCP-INET6 from source-port 546 user@host# set term EXCLUDE-ACCT-DHCP-INET6 from source-port 547
Especifique uma correspondência em pacotes com uma porta de destino DHCP 546 ou 547 (DHCPv6).
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-DHCP-INET6 from destination-port 546 user@host# set term EXCLUDE-ACCT-DHCP-INET6 from destination-port 547
Conte os pacotes DHCPv6 correspondentes.
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-DHCP-INET6 then count exclude-acct-dhcpv6
Exclua os pacotes DHCPv6 correspondentes das estatísticas contábeis.
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-DHCP-INET6 then exclude-accounting
Defina o termo de filtro de firewall que exclui os pacotes de controle ICMPv6 das estatísticas de contabilidade.
Especifique uma correspondência em pacotes com o primeiro campo Next Header definido como ICMPv6 (58).
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-ICMP6 from next-header icmp6
Especifique uma correspondência em pacotes com um tipo de mensagem ICMPv6.
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-ICMP6 from icmp-type router-solicit user@host# set term EXCLUDE-ACCT-ICMP6 from icmp-type neighbor-solicit user@host# set term EXCLUDE-ACCT-ICMP6 from icmp-type neighbor-advertisement
Conte os pacotes ICMPv6 correspondentes.
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-ICMP6 then count exclude-acct-icmpv6
Exclua os pacotes ICMPv6 correspondentes das estatísticas contábeis.
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-DHCP-INET6 then exclude-accounting
Defina o termo de filtro padrão para aceitar todos os outros pacotes.
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term default then accept
Configure o perfil dinâmico para aplicar o filtro às interfaces de entrada e saída da
inet6família.[edit dynamic-profiles pppoe-dynamic-profile interfaces pp0 unit "$junos-interface-unit"] user@host# set family inet6 filter input EXCLUDE-ACCT-INET6-FILTER user@host# set family inet6 filter output EXCLUDE-ACCT-INET6-FILTER
Habilite o gerenciamento de assinantes e contabilidade precisa.
[edit dynamic-profiles pppoe-dynamic-profile interfaces pp0 unit "$junos-interface-unit"] user@host# set actual-transit-statistics
Resultados
No modo de configuração, confirme sua configuração inserindo os show accesscomandos , show firewalle show dynamic-profiles . Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@host# show access
profile v6-exclude-idle {
session-options {
client-idle-timeout 10;
client-idle-timeout-ingress-only;
}
}
user@host# show firewall
family inet6 {
filter EXCLUDE-ACCT-INET6-FILTER {
interface-specific;
term EXCLUDE-ACCT-DHCP-INET6 {
from {
next-header udp;
source-port [ 546 547 ];
destination-port [ 546 547 ];
}
then {
count exclude-acct-dhcpv6;
exclude-accounting
}
}
term EXCLUDE-ACCT-ICMP6 {
from {
next-header icmp6;
icmp-type [ router-solicit neighbor-solicit neighbor-advertisement ]
}
then {
count exclude-acct-icmpv6;
exclude-accounting;
}
}
term default {
then accept;
}
}
}
user@host# show dynamic-profiles
pppoe-dynamic-profile {
interfaces {
pp0 {
unit "$junos-interface-unit" {
actual-transit-statistics;
family inet6 {
filter {
input EXCLUDE-ACCT-INET6-FILTER;
output EXCLUDE-ACCT-INET6-FILTER;
}
}
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit do modo de configuração.