Ascend-Data-Filter-Richtlinien für die Abonnentenverwaltung – Übersicht
Die Abonnentenverwaltung ermöglicht es Ihnen, Ascend-Data-Filters zu verwenden, um Richtlinien für den Abonnentendatenverkehr zu erstellen. Ein Ascend-Data-Filter ist ein Binärwert, der auf dem RADIUS-Server konfiguriert wird. Der Filter enthält Regeln, die Übereinstimmungsbedingungen für den Datenverkehr und eine Aktion angeben, die der Router ausführen soll (z. B. den Datenverkehr akzeptieren oder verwerfen). Zu den Übereinstimmungsbedingungen können die Quell- und Ziel-IP-Adresse oder der Port, das Protokoll, die Filterrichtung, die Datenverkehrsklasse und Policerinformationen gehören.
Die Abonnentenverwaltung verwendet ein dynamisches Profil, um das Ascend-Data-Filter-Attribut (RADIUS-Attribut 242) vom RADIUS-Server abzurufen und die Richtlinie auf eine Abonnentensitzung anzuwenden. Dynamische Profile unterstützen Ascend-Data-Filter für inet
und inet6
Familientypen, und beide Familien können in einem dynamischen Profil vorhanden sein. Sie schließen vordefinierte Junos OS-Variablen in die dynamischen Profile ein – $junos-adf-rule-v4
für family inet
und $junos-adf-rule-v6
for . inet6
Das Attribut "Ascend-Data-Filter" kann Regeln für beide Adressfamilien enthalten. Die vordefinierten Variablen ordnen die Ascend-Data-Filter-Regeln für die jeweilige Produktfamilie dem Junos OS-Firewall-Filterprozess zu. Ein Firewallfilter wird erstellt und an die logische Schnittstelle des Abonnenten angefügt.
Sie können auch einen statischen Ascend-Data-Filter konfigurieren, indem Sie die benötigten Binärdaten manuell als hexadezimalen String in ein dynamisches Profil eingeben. Ein statisch konfigurierter Ascend-Data-Filter in einem dynamischen Profil hat Vorrang vor einem Ascend-Data-Filter-Attribut, das von RADIUS empfangen wird. Die statische Methode ist zeitaufwändig zu konfigurieren. Es wird in der Regel nur zu Testzwecken verwendet.
Das Attribut "Ascend-Data-Filter" wird in RADIUS-CoA-Nachrichten (Access-Accept) und "Change of Authorization" unterstützt.
CoA aktualisiert vorhandene Filter basierend auf dem Feld "Ascend-Data-Filter Type", wie in der folgenden Liste dargestellt:
Wenn das Feld "Typ" den Wert 1 hat, werden die IPv4-Regeln aktualisiert, und die IPv6-Regeln bleiben unverändert. Das Gegenteil ist der Fall, wenn das Feld Type den Wert 3 hat.
Wenn sowohl Typ 1 als auch Typ 3 angegeben sind, werden alle Regeln aktualisiert.
Wenn das CoA keine Ascend-Data-Filter-Regeln hat, bleiben die bestehenden Regeln unverändert.
Namenskonventionen für Filter
Jeder Ascend-Data-Filter hat einen eindeutigen Namen, der durch den dynamischen Firewall-Prozess dfwd vergeben wird. Die zugewiesenen Namen werden in den Ergebnissen der show subscriber extensive Befehle und show firewall angezeigt. Ascend-Data-Filters verwenden die folgende Namenskonvention:
__junos_adf_session#-interfacename-family-direction
Zum Beispiel:
__junos_adf_33847-ge/1/0/4.53-init-in
Jede Ascend-Data-Filter-Regel wird einem einzelnen Begriff zugeordnet, und die Begriffsnamen lauten einfach t0
, t1
, ..., tn
. Wenn Sie die counter Option konfigurieren, fügt der Router jedem erstellten Begriff eine Zählaktion hinzu. Die Zählernamen sind eine Kombination aus den Begriffsnamen mit -cnt
angehängt. Zum Beispiel t0-cnt
und t1-cnt
.
Verwendung mehrerer Sitzungen mit Ascend-Data-Filtern auf einer Schnittstelle
Eine Schnittstelle kann über mehrere Abonnentensitzungen verfügen, wobei jede Sitzung ihre eigenen Ascend-Data-Filter-Regeln verwendet. Wenn ein Ascend-Data-Filter auf eine Abonnentensitzung angewendet wird, werden die Regeln unabhängig von allen anderen Filtern erstellt und der Schnittstellenfilterliste hinzugefügt. Die Ascend-Data-Filter-Regeln für die anderen Sitzungen auf derselben Schnittstelle werden ebenfalls zur Filterliste hinzugefügt. Alle Pakete, die für die Schnittstelle verarbeitet werden, müssen alle Filter durchlaufen, und die Filter werden entsprechend der von Ihnen festgelegten Rangfolge angewendet.
Da es sich bei der Filterliste um eine Kombination aus mehreren Regeln handeln kann, müssen Sie berücksichtigen, wie die verschiedenen Filter nebeneinander existieren. Sie müssen sicherstellen, dass die Filter richtig konzipiert und angewendet werden, um die gewünschte Filterung und die daraus resultierende Aktion bereitzustellen. Eine Sitzung kann z. B. über einen Filter verfügen, der Datenverkehr von Abonnent A akzeptiert und den gesamten anderen Datenverkehr verwirft. Eine zweite Sitzung auf derselben Schnittstelle kann jedoch über einen Filter verfügen, der nur Datenverkehr von Abonnent B akzeptiert und anderen Datenverkehr verwirft. Wenn die beiden Filter in der Filterliste kombiniert werden, wird der Datenverkehr von Abonnent B vom ersten Filter und der Datenverkehr von Abonnent A vom zweiten Filter verworfen. Daher wird kein Datenverkehr auf der Schnittstelle akzeptiert, da sich die beiden Filter im Wesentlichen gegenseitig aufheben und den gesamten Datenverkehr verwerfen.
Optionale ADF-Filteranforderung für einige Abonnenten
Wenn Sie eine der vordefinierten Variablen ($junos-adf-rule-v4
oder $junos-adf-rule-v6
–) in das dynamische Profil aufnehmen, muss die RADIUS-Antwortnachricht standardmäßig das Attribut "Ascend-Data-Filter" (RADIUS-Attribut 242) für jeden Abonnenten enthalten. Wenn das Attribut nicht enthalten ist, meldet der Router einen Fehler.
Ein Dienstanbieter kann dasselbe dynamische Profil auf einen gemischten Pool von Abonnenten anwenden, sodass das Attribut für einige der Abonnenten in RADIUS enthalten ist und für andere nicht. Standardmäßig gibt der Router für jeden Abonnenten ohne das Attribut einen Fehler zurück, der Systemressourcen verbraucht. Sie können das dynamische Profil so konfigurieren, dass es eine solche Mischung von Abonnenten aufnehmen kann, indem Sie die Attributanforderung optional machen. Um dies zu tun und die Attributfehlerberichterstattung zu unterdrücken, geben Sie die Option "nicht obligatorisch" mit der adf
Anweisung auf Hierarchieebene [edit dynamic-profiles profile-name interfaces interface-name unit logical-unit-number family family filter]
an. Bei dieser Konfiguration wird der Ascend-Data-Filter einfach nicht erstellt, wenn das Ascend-Data-Filter-Attribut nicht vorhanden ist.