Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: configuração de um filtro para excluir o tráfego de controle DHCPv6 e ICMPv6 para assinantes LAC

Este exemplo mostra como configurar um filtro de firewall sem estado padrão que exclui os pacotes de controle DHCPv6 e ICMPv6 de serem considerados para detecção de temporização ociosa para assinantes em túnel no LAC.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.

Visão geral

O acesso do assinante em um LAC pode ser limitado configurando um período de tempo limite ocioso que especifica o período máximo de tempo que um assinante pode permanecer ocioso após a sessão do assinante ser estabelecida. O LAC monitora o tráfego de dados upstream e downstream do assinante para determinar se o assinante está inativo. Com base nas estatísticas de contabilidade de sessão. o assinante não é considerado ocioso enquanto o tráfego de dados for detectado em nenhuma das direções. Quando nenhum tráfego é detectado durante a duração do tempo ocioso, o assinante é registrado graciosamente de forma semelhante a uma desconexão iniciada pelo RADIUS ou a um logotipo iniciado pela CLI.

No entanto, depois que um túnel é estabelecido para assinantes L2TP, todos os pacotes através do túnel no LAC são tratados como pacotes de dados. Consequentemente, as estatísticas contábeis da sessão são imprecisas e o assinante não é considerado ocioso enquanto os pacotes de controle DHCPv6 e ICMPv6 forem enviados.

A partir do Junos OS Release 17.2R1, você pode definir um filtro de firewall para a inet6 família com termos a combinar nesses pacotes de controle. Inclua o uso da ação exclude-accounting de terminação nos termos do filtro para soltar esses pacotes de controle.

Configuração

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de hierarquia [editar] .

Configure o filtro

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração noGuia do usuário da CLI.

Para configurar o filtro:

  1. Definir o tempo limite ocioso para sessões de assinantes..

  2. Especifique que o tempo limite ocioso se aplica apenas ao tráfego de entrada.

  3. Definir o termo filtro de firewall que exclui os pacotes de controle DHCPv6 das estatísticas contábeis.

    1. Especifique uma correspondência em pacotes com o primeiro conjunto de campo Next Header para UDP (17).

    2. Especifique uma correspondência em pacotes com uma porta de origem de 546 ou 547 (DHCPv6).

    3. Especifique uma correspondência em pacotes com uma porta de destino DHCP de 546 ou 547 (DHCPv6).

    4. Conte os pacotes DHCPv6 combinados.

    5. Exclua os pacotes DHCPv6 combinados das estatísticas contábeis.

  4. Defina o termo filtro de firewall que exclui os pacotes de controle ICMPv6 das estatísticas contábeis.

    1. Especifique uma correspondência em pacotes com o primeiro conjunto de campo Next Header para ICMPv6 (58).

    2. Especifique uma correspondência em pacotes com um tipo de mensagem ICMPv6.

    3. Conte os pacotes ICMPv6 combinados.

    4. Exclua os pacotes ICMPv6 combinados das estatísticas contábeis.

  5. Definir o termo de filtro padrão para aceitar todos os outros pacotes.

  6. Configure o perfil dinâmico para aplicar o filtro às interfaces de entrada e saída para a inet6 família.

  7. Habilite a contabilidade precisa do gerenciamento de assinantes.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show access, show firewalle show dynamic-profiles comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, insira o commit a partir do modo de configuração.