Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Ascend-Data-Filter-Richtlinien für die Abonnentenverwaltung Übersicht

Die Anwenderverwaltung ermöglicht es Ihnen, mit Ascend-Data-Filters Richtlinien für den Datenverkehr der Anwender zu erstellen. Ein Ascend-Data-Filter ist ein Binärwert, der auf dem RADIUS-Server konfiguriert ist. Der Filter enthält Regeln, die Übereinstimmungsbedingungen für den Datenverkehr und eine Aktion für den Router angeben (z. B. den Datenverkehr annehmen oder verwerfen). Zu den Übereinstimmungsbedingungen können die Quell- und Ziel-IP-Adresse oder der Port, das Protokoll, die Filterrichtung, die Datenverkehrsklasse und Policer-Informationen gehören.

Die Anwenderverwaltung verwendet ein dynamisches Profil, um das Ascend-Data-Filter-Attribut (RADIUS-Attribut 242) vom RADIUS-Server abzurufen und die Richtlinie auf eine Anwender-Sitzung anzuwenden. Dynamische Profile unterstützen Ascend-Data-Filter für inet und inet6 Familientypen, und beide Familien können in einem dynamischen Profil vorhanden sein. Sie fügen vordefinierte Junos OS-Variablen in die dynamischen Profile ein – $junos-adf-rule-v4 für family inet und $junos-adf-rule-v6 für inet6. Das Attribut Ascend-Data-Filter kann Regeln für beide Adressfamilien enthalten. Die vordefinierten Variablen bilden die Ascend-Data-Filter-Regeln für die jeweilige Familie dem Junos OS Firewall-Filterprozess zu. Ein Firewall-Filter wird erstellt und an die logische Schnittstelle des Anwenders angehängt.

Sie können auch einen statischen Ascend-Data-Filter konfigurieren, indem Sie die erforderlichen Binärdaten manuell als hexadezimale Zeichenkette in ein dynamisches Profil eingeben. Ein statisch konfigurierter Ascend-Data-Filter in einem dynamischen Profil hat Vorrang vor einem Ascend-Data-Filter-Attribut, das von RADIUS empfangen wird. Die Konfiguration der statischen Methode ist zeitaufwändig. Es wird in der Regel nur zu Testzwecken verwendet.

Das Attribut Ascend-Data-Filter wird in RADIUS Access-Accept und Change of Authorization (CoA)-Nachrichten unterstützt.

CoA aktualisiert vorhandene Filter basierend auf dem Feld Ascend-Data-Filter Type, wie in der folgenden Liste gezeigt:

  • Wenn das Feld Typ auf 1 festgelegt ist, werden die IPv4-Regeln aktualisiert und die IPv6-Regeln bleiben unverändert. Das Gegenteil ist der Fall, wenn das Feld Typ 3 ist.

  • Wenn sowohl Typ 1 als auch 3 angegeben sind, werden alle Regeln aktualisiert.

  • Wenn das CoA keine Ascend-Data-Filter-Regeln hat, bleiben die bestehenden Regeln unverändert.

Hinweis: Auf Junos OS Evolved:

  • ADF-Regel unterstützt die Gegenaktion nicht.

  • IPv6 ADF-Regeln unterstützen den gesamten Präfixlängenbereich (128 Bit) sowohl für Quell- als auch für Zielpräfixe.

  • Sie können bis zu 100 ADF-Regeln für Anwender konfigurieren (10 inet und 10 inet6 pro Anwender), was insgesamt 2000 ACL-Einträge (Access Control List) bedeutet.

  • Wenn Sie ADF-Regeln auf Abonnenten anwenden, muss die letzte Regel die Aktion "Löschen" (Verwerfen) aufweisen.

  • ADF-Regeln werden in Ausgangsrichtung nicht unterstützt.

Namenskonventionen für Filter

Jeder Ascend-Data-Filter hat einen eindeutigen Namen, der durch den dynamischen Firewall-Prozess dfwd vergeben wird. Die vergebenen Namen werden in den Ergebnissen der show subscriber extensive show firewall und-Befehle angezeigt. Ascend-Data-Filter verwenden die folgende Namenskonvention:

__junos_adf_session#-interfacename-family-direction

Zum Beispiel:

__junos_adf_33847-ge/1/0/4.53-init-in

Jede Ascend-Data-Filter-Regel wird einem einzelnen Begriff zugeordnet, und die Termnamen sind einfach t0, t1, ..., tn. Wenn Sie die counter Option konfigurieren, fügt der Router jedem erstellten Begriff eine Zählaktion hinzu. Die Indikatornamen sind eine Kombination aus den Begriffsnamen mit -cnt angehängt. Zum Beispiel t0-cnt und t1-cnt.

Verwendung mehrerer Sitzungen mit Ascend-Datenfiltern auf einer Schnittstelle

Eine Schnittstelle kann mehrere Anwender Sitzungen haben, wobei jede Sitzung ihre eigenen Ascend-Data-Filter-Regeln verwendet. Wenn ein Ascend-Data-Filter auf eine Anwender-Sitzung angewendet wird, werden die Regeln unabhängig von anderen Filtern erstellt und der Schnittstellenfilterliste hinzugefügt. Die Ascend-Data-Filter-Regeln für die anderen Sitzungen auf derselben Schnittstelle werden ebenfalls zur Filterliste hinzugefügt. Alle Pakete, die für die Schnittstelle verarbeitet werden, müssen alle Filter durchlaufen, und die Filter werden entsprechend der von Ihnen festgelegten Rangfolge angewendet.

Da die Filterliste eine Kombination aus mehreren Regeln sein kann, müssen Sie berücksichtigen, wie die mehreren Filter nebeneinander existieren. Sie müssen sicherstellen, dass die Filter korrekt entworfen und angewendet werden, um die gewünschte Filterung und die daraus resultierende Aktion bereitzustellen. Eine Sitzung kann z. B. über einen Filter verfügen, der Datenverkehr von Abonnent A akzeptiert und allen anderen Datenverkehr verwirft. Eine zweite Sitzung auf derselben Schnittstelle kann jedoch über einen Filter verfügen, der nur Datenverkehr von Abonnent B akzeptiert und anderen Datenverkehr verwirft. Wenn die beiden Filter in der Filterliste kombiniert werden, wird der Datenverkehr von Abonnent B durch den ersten Filter und der Datenverkehr von Abonnent A durch den zweiten Filter verworfen. Infolgedessen wird kein Datenverkehr auf der Schnittstelle akzeptiert, da sich die beiden Filter im Wesentlichen gegenseitig aufheben und den gesamten Datenverkehr verwerfen.

Optionale ADF-Filteranforderung für einige Anwender

Wenn Sie eine der vordefinierten Variablen –$junos-adf-rule-v4 oder $junos-adf-rule-v6– in das dynamische Profil aufnehmen, muss die RADIUS-Antwortnachricht standardmäßig das Attribut Ascend-Data-Filter (RADIUS-Attribut 242) für jeden Anwender enthalten. Wenn das Attribut nicht enthalten ist, meldet der Router einen Fehler.

Ein Dienstanbieter kann dasselbe dynamische Profil auf einen gemischten Pool von Abonnenten anwenden, sodass das Attribut für einige der Abonnenten durch RADIUS und für andere nicht enthalten ist. Standardmäßig gibt der Router für jeden Abonnenten ohne das Attribut einen Fehler zurück, der Systemressourcen verbraucht. Sie können das dynamische Profil so konfigurieren, dass eine solche Mischung von Abonnenten berücksichtigt wird, indem Sie die Attributanforderung optional machen. Um dies zu tun und die Attributfehlerberichterstattung zu unterdrücken, geben Sie die Option nicht obligatorisch mit der adf Anweisung auf Hierarchieebene [edit dynamic-profiles profile-name interfaces interface-name unit logical-unit-number family family filter] an. Mit dieser Konfiguration wird der Ascend-Data-Filter einfach nicht erstellt, wenn das Ascend-Data-Filter-Attribut nicht vorhanden ist.

Zugehörige Dokumentation