示例:配置使用 DTCP 启动的用户安全策略进行镜像的流量
此示例说明如何配置使用 DTCP 启动的用户安全策略进行镜像的流量。
要求
瞻博网络 MX 系列路由器。
Junos OS 12.3R1 或更高版本。
概述
此示例会将所有视频点播 TCP 流量从子网 203.0.113.0/8 丢弃到启用了名为 vod 策略的任何订阅者。
要使用 DTCP 启动的用户安全策略配置流量镜像:
创建策略。
设置策略以按源地址或目标地址、端口、协议或 DSCP 值过滤 IPv4 或 IPv6 流量。
使用 DTCP 属性 X-Drop-Policy 应用策略。
在触发镜像时,将 X-Drop-Policy 与 DTCP ADD 命令一起使用,以开始过滤流量。
注意:
要开始过滤当前正在镜像的流量,请将 X-Drop-Policy 属性与 DTCP ENABLE 命令一起使用。要停止过滤当前正在镜像的流量,请执行以下作:
发送 DTCP DELETE 消息以移除当前策略。
使用新版本的策略修改配置。
发送 DTCP ADD 消息以添加策略。
发送 DTCP ENABLE 消息以启用策略。
配置
过程
分步程序
要在将镜像流量发送到中介设备之前配置过滤,请执行以下作:
指定要配置 radius-flow-tap 的选项。
[edit services] user@host# edit radius-flow-tap
指定要配置视频点播策略。
[edit services radius-flow-tap] user@host# edit policy vod
将 inet 指定为要使用的族。
[edit services radius-flow-tap vod] user@host# edit inet
将 t1 指定为 IPv4 丢弃策略的术语名称。
[edit services radius-flow-tap vod inet] user@host# edit drop-policy t1
指定丢弃策略的源地址。
[edit services radius-flow-tap vod inet drop-policy t1] user@host# edit source-address 203.0.113.0/8
指定要使用的匹配条件。
[edit services radius-flow-tap vod inet drop-policy t1] user@host# set protocol tcp
结果
在配置模式下,输入 show services 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明进行更正。
[edit services radius-flow-tap policy]
vod {
inet {
drop-policy t1 {
from{
source-address {
203.0.113.0/8;
}
protocol tcp;
}
}
}
如果完成设备配置,请从配置模式进入。commit