NESTA PÁGINA
Exemplo: configuração de um filtro para excluir o tráfego de controle DHCPv6 e ICMPv6 para assinantes LAC
Este exemplo mostra como configurar um filtro de firewall sem estado padrão que exclui os pacotes de controle DHCPv6 e ICMPv6 de serem considerados para detecção de temporização ociosa para assinantes em túnel no LAC.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
O acesso do assinante em um LAC pode ser limitado configurando um período de tempo limite ocioso que especifica o período máximo de tempo que um assinante pode permanecer ocioso após a sessão do assinante ser estabelecida. O LAC monitora o tráfego de dados upstream e downstream do assinante para determinar se o assinante está inativo. Com base nas estatísticas de contabilidade de sessão. o assinante não é considerado ocioso enquanto o tráfego de dados for detectado em nenhuma das direções. Quando nenhum tráfego é detectado durante a duração do tempo ocioso, o assinante é registrado graciosamente de forma semelhante a uma desconexão iniciada pelo RADIUS ou a um logotipo iniciado pela CLI.
No entanto, depois que um túnel é estabelecido para assinantes L2TP, todos os pacotes através do túnel no LAC são tratados como pacotes de dados. Consequentemente, as estatísticas contábeis da sessão são imprecisas e o assinante não é considerado ocioso enquanto os pacotes de controle DHCPv6 e ICMPv6 forem enviados.
A partir do Junos OS Release 17.2R1, você pode definir um filtro de firewall para a inet6
família com termos a combinar nesses pacotes de controle. Inclua o uso da ação exclude-accounting
de terminação nos termos do filtro para soltar esses pacotes de controle.
Configuração
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de hierarquia [editar] .
set access profile v6-exclude-idle session-options client-idle-timeout 10 set access profile v6-exclude-idle session-options client-idle-timeout-ingress-only edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER set interface-specific set term EXCLUDE-ACCT-DHCP-INET6 from next-header udp set term EXCLUDE-ACCT-DHCP-INET6 from source-port 546 set term EXCLUDE-ACCT-DHCP-INET6 from source-port 547 set term EXCLUDE-ACCT-DHCP-INET6 from destination-port 546 set term EXCLUDE-ACCT-DHCP-INET6 from destination-port 547 set term EXCLUDE-ACCT-DHCP-INET6 then count exclude-acct-dhcpv6 set term EXCLUDE-ACCT-DHCP-INET6 then exclude-accounting set term EXCLUDE-ACCT-ICMP6 from next-header icmp6 set term EXCLUDE-ACCT-ICMP6 from icmp-type router-solicit set term EXCLUDE-ACCT-ICMP6 from icmp-type neighbor-solicit set term EXCLUDE-ACCT-ICMP6 from icmp-type neighbor-advertisement set term EXCLUDE-ACCT-ICMP6 then count exclude-acct-icmpv6 set term EXCLUDE-ACCT-ICMP6 then exclude-accounting set term default then accept top edit dynamic-profiles pppoe-dynamic-profile interfaces pp0 unit "$junos-interface-unit" set family inet6 filter input EXCLUDE-ACCT-INET6-FILTER set family inet6 filter output EXCLUDE-ACCT-INET6-FILTER set actual-transit-statistics
Configure o filtro
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração noGuia do usuário da CLI.
Para configurar o filtro:
Definir o tempo limite ocioso para sessões de assinantes..
[edit access profile v6-exclude-idle] user@host# set session-options client-idle-timeout 10
Especifique que o tempo limite ocioso se aplica apenas ao tráfego de entrada.
[edit access profile v6-exclude-idle] user@host# set session-options client-idle-timeout-ingress-only
Definir o termo filtro de firewall que exclui os pacotes de controle DHCPv6 das estatísticas contábeis.
Especifique uma correspondência em pacotes com o primeiro conjunto de campo Next Header para UDP (17).
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-DHCP-INET6 from next-header udp
Especifique uma correspondência em pacotes com uma porta de origem de 546 ou 547 (DHCPv6).
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-DHCP-INET6 from source-port 546 user@host# set term EXCLUDE-ACCT-DHCP-INET6 from source-port 547
Especifique uma correspondência em pacotes com uma porta de destino DHCP de 546 ou 547 (DHCPv6).
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-DHCP-INET6 from destination-port 546 user@host# set term EXCLUDE-ACCT-DHCP-INET6 from destination-port 547
Conte os pacotes DHCPv6 combinados.
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-DHCP-INET6 then count exclude-acct-dhcpv6
Exclua os pacotes DHCPv6 combinados das estatísticas contábeis.
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-DHCP-INET6 then exclude-accounting
Defina o termo filtro de firewall que exclui os pacotes de controle ICMPv6 das estatísticas contábeis.
Especifique uma correspondência em pacotes com o primeiro conjunto de campo Next Header para ICMPv6 (58).
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-ICMP6 from next-header icmp6
Especifique uma correspondência em pacotes com um tipo de mensagem ICMPv6.
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-ICMP6 from icmp-type router-solicit user@host# set term EXCLUDE-ACCT-ICMP6 from icmp-type neighbor-solicit user@host# set term EXCLUDE-ACCT-ICMP6 from icmp-type neighbor-advertisement
Conte os pacotes ICMPv6 combinados.
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-ICMP6 then count exclude-acct-icmpv6
Exclua os pacotes ICMPv6 combinados das estatísticas contábeis.
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-DHCP-INET6 then exclude-accounting
Definir o termo de filtro padrão para aceitar todos os outros pacotes.
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term default then accept
Configure o perfil dinâmico para aplicar o filtro às interfaces de entrada e saída para a
inet6
família.[edit dynamic-profiles pppoe-dynamic-profile interfaces pp0 unit "$junos-interface-unit"] user@host# set family inet6 filter input EXCLUDE-ACCT-INET6-FILTER user@host# set family inet6 filter output EXCLUDE-ACCT-INET6-FILTER
Habilite a contabilidade precisa do gerenciamento de assinantes.
[edit dynamic-profiles pppoe-dynamic-profile interfaces pp0 unit "$junos-interface-unit"] user@host# set actual-transit-statistics
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show access
, show firewall
e show dynamic-profiles
comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@host# show access profile v6-exclude-idle { session-options { client-idle-timeout 10; client-idle-timeout-ingress-only; } }
user@host# show firewall family inet6 { filter EXCLUDE-ACCT-INET6-FILTER { interface-specific; term EXCLUDE-ACCT-DHCP-INET6 { from { next-header udp; source-port [ 546 547 ]; destination-port [ 546 547 ]; } then { count exclude-acct-dhcpv6; exclude-accounting } } term EXCLUDE-ACCT-ICMP6 { from { next-header icmp6; icmp-type [ router-solicit neighbor-solicit neighbor-advertisement ] } then { count exclude-acct-icmpv6; exclude-accounting; } } term default { then accept; } } }
user@host# show dynamic-profiles pppoe-dynamic-profile { interfaces { pp0 { unit "$junos-interface-unit" { actual-transit-statistics; family inet6 { filter { input EXCLUDE-ACCT-INET6-FILTER; output EXCLUDE-ACCT-INET6-FILTER; } } } } } }
Se você terminar de configurar o dispositivo, insira o commit a partir do modo de configuração.