Ascend-Data-Filter-Richtlinien für die Abonnentenverwaltung – Übersicht

Namenskonventionen für Filter

Jeder Ascend-Data-Filter hat einen eindeutigen Namen, der durch den dynamischen Firewall-Prozess dfwd vergeben wird. Die zugewiesenen Namen werden in den Ergebnissen der show subscriber extensive Befehle und show firewall angezeigt. Ascend-Data-Filters verwenden die folgende Namenskonvention:

__junos_adf_session#-interfacename-family-direction

Zum Beispiel:

__junos_adf_33847-ge/1/0/4.53-init-in

Jede Ascend-Data-Filter-Regel wird einem einzelnen Begriff zugeordnet, und die Begriffsnamen lauten einfach t0, t1, ..., tn. Wenn Sie die counter Option konfigurieren, fügt der Router jedem erstellten Begriff eine Zählaktion hinzu. Die Zählernamen sind eine Kombination aus den Begriffsnamen mit -cnt angehängt. Zum Beispiel t0-cnt und t1-cnt.

Verwendung mehrerer Sitzungen mit Ascend-Data-Filtern auf einer Schnittstelle

Eine Schnittstelle kann über mehrere Abonnentensitzungen verfügen, wobei jede Sitzung ihre eigenen Ascend-Data-Filter-Regeln verwendet. Wenn ein Ascend-Data-Filter auf eine Abonnentensitzung angewendet wird, werden die Regeln unabhängig von allen anderen Filtern erstellt und der Schnittstellenfilterliste hinzugefügt. Die Ascend-Data-Filter-Regeln für die anderen Sitzungen auf derselben Schnittstelle werden ebenfalls zur Filterliste hinzugefügt. Alle Pakete, die für die Schnittstelle verarbeitet werden, müssen alle Filter durchlaufen, und die Filter werden entsprechend der von Ihnen festgelegten Rangfolge angewendet.

Da es sich bei der Filterliste um eine Kombination aus mehreren Regeln handeln kann, müssen Sie berücksichtigen, wie die verschiedenen Filter nebeneinander existieren. Sie müssen sicherstellen, dass die Filter richtig konzipiert und angewendet werden, um die gewünschte Filterung und die daraus resultierende Aktion bereitzustellen. Eine Sitzung kann z. B. über einen Filter verfügen, der Datenverkehr von Abonnent A akzeptiert und den gesamten anderen Datenverkehr verwirft. Eine zweite Sitzung auf derselben Schnittstelle kann jedoch über einen Filter verfügen, der nur Datenverkehr von Abonnent B akzeptiert und anderen Datenverkehr verwirft. Wenn die beiden Filter in der Filterliste kombiniert werden, wird der Datenverkehr von Abonnent B vom ersten Filter und der Datenverkehr von Abonnent A vom zweiten Filter verworfen. Daher wird kein Datenverkehr auf der Schnittstelle akzeptiert, da sich die beiden Filter im Wesentlichen gegenseitig aufheben und den gesamten Datenverkehr verwerfen.

Optionale ADF-Filteranforderung für einige Abonnenten

Wenn Sie eine der vordefinierten Variablen ($junos-adf-rule-v4 oder $junos-adf-rule-v6–) in das dynamische Profil aufnehmen, muss die RADIUS-Antwortnachricht standardmäßig das Attribut "Ascend-Data-Filter" (RADIUS-Attribut 242) für jeden Abonnenten enthalten. Wenn das Attribut nicht enthalten ist, meldet der Router einen Fehler.

Ein Dienstanbieter kann dasselbe dynamische Profil auf einen gemischten Pool von Abonnenten anwenden, sodass das Attribut für einige der Abonnenten in RADIUS enthalten ist und für andere nicht. Standardmäßig gibt der Router für jeden Abonnenten ohne das Attribut einen Fehler zurück, der Systemressourcen verbraucht. Sie können das dynamische Profil so konfigurieren, dass es eine solche Mischung von Abonnenten aufnehmen kann, indem Sie die Attributanforderung optional machen. Um dies zu tun und die Attributfehlerberichterstattung zu unterdrücken, geben Sie die Option "nicht obligatorisch" mit der adf Anweisung auf Hierarchieebene [edit dynamic-profiles profile-name interfaces interface-name unit logical-unit-number family family filter] an. Bei dieser Konfiguration wird der Ascend-Data-Filter einfach nicht erstellt, wenn das Ascend-Data-Filter-Attribut nicht vorhanden ist.