Ascend-Data-Filter-Richtlinien für die Abonnentenverwaltung
Die Abonnentenverwaltung ermöglicht es Ihnen, Ascend-Data-Filters zum Erstellen von Richtlinien für Abonnentendatenverkehr zu verwenden. Ein Ascend-Data-Filter ist ein binärer Wert, der auf dem Server RADIUS wird. Der Filter enthält Regeln, die Bedingungen für Datenverkehr und eine Aktion für den Router angeben (z. B. Akzeptieren oder Verwerfen des Datenverkehrs). Die Übereinstimmungsbedingungen können die Quell- und Ziel-IP-Adresse oder den Port, das Protokoll, die Filterrichtung, die Datenverkehrsklasse und Policer-Informationen enthalten.
Die Abonnentenverwaltung verwendet ein dynamisches Profil, um das Ascend-Data-Filter-Attribut (RADIUS Attribute 242) vom RADIUS-Server zu erhalten und die Richtlinie auf eine Abonnentensitzung anzuwenden. Dynamische Profile unterstützen Ascend-Data-Filters für und Familientypen, und beide Familien können inet inet6 in einem dynamischen Profil angezeigt werden. Sie Junos OS vordefinierten Variablen in die dynamischen Profile ein – $junos-adf-rule-v4 sowohl für Familie als auch inet $junos-adf-rule-v6 inet6 für. Das Ascend-Data-Filter-Attribut kann Regeln für beide Adressfamilien enthalten. Die vordefinierten Variablen ordnen die Ascend-Data-Filter-Regeln der entsprechenden Produktfamilie dem Firewall Junos OS Filterprozess zu. Es wird ein Firewall-Filter erstellt und an die logische Schnittstelle des Abonnenten angeschlossen.
Sie können auch einen statischen Ascend-Data-Filter konfigurieren, indem Sie die erforderlichen Binärdaten manuell als Hexadezimal-Zeichenfolge in einem dynamischen Profil eingeben. Ein statisch konfigurierter Aufsteiger-Datenfilter in einem dynamischen Profil hat Vorrang vor einem Ascend-Data-Filter-Attribut, das von einem statischen Datenfilter empfangen RADIUS. Die statische Methode ist zeitaufwändig zu konfigurieren; wird normalerweise nur zu Testzwecken verwendet.
Das Ascend-Data-Filter-Attribut wird in RADIUS Access-Accept and Change of Authorization (CoA)-Nachrichten unterstützt.
CoA aktualisiert vorhandene Filter basierend auf dem Feld "Ascend-Data-Filter Type", wie in der folgenden Liste dargestellt:
Wenn das Feld Typ 1 ist, werden IPv4-Regeln aktualisiert und IPv6-Regeln nicht geändert. Das Gegenteil ist der Fall, wenn das Feld Typ 3 ist.
Wenn sowohl Typ 1 als auch 3 angegeben sind, werden alle Regeln aktualisiert.
Wenn die CoA keine Ascend-Data-Filter-Regeln hat, werden die vorhandenen Regeln nicht geändert.
Filter-Namenskonventionen
Jeder Aufsteiger-Datenfilter hat einen eindeutigen Namen, der durch den dynamischen Firewall-Prozess DFWD zugewiesen wird. Die zugewiesenen Namen werden in den Ergebnissen und show subscriber extensive Befehlen show firewall angezeigt. Ascend-Data-Filters verwenden die folgenden Namenskonventionen:
__junos_adf_session#-interfacename-family-direction
Zum Beispiel:
__junos_adf_33847-ge/1/0/4.53-init-in
Jede Aufsteiger-Data-Filter-Regelzuordnung zu einem einzelnen Begriff, und die Begriffsnamen sind einfach t0 t1 , ... tn Wenn Sie die Option konfigurieren, fügt counter der Router jedem erstellten Begriff eine Count-Aktion hinzu. Die Zählernamen sind eine Kombination aus den Begriffen Namen mit -cnt Anhang. Zum Beispiel t0-cnt und t1-cnt
Verwenden mehrerer Sitzungen mit Ascend-Data-Filters an einer Schnittstelle
Eine Schnittstelle kann mehrere Abonnentensitzungen haben, jede Sitzung mit eigenen Ascend-Data-Filter-Regeln. Wenn ein Ascend-Data-Filter auf eine Abonnentensitzung angewendet wird, werden die Regeln unabhängig von anderen Filtern erstellt und der Schnittstellenfilterliste hinzugefügt. Auch die Ascend-Data-Filter-Regeln für die anderen Sitzungen an der gleichen Schnittstelle werden der Filterliste hinzugefügt. Alle für die Schnittstelle verarbeiteten Pakete müssen alle Filter durchgehen und die Filter werden entsprechend der von Ihnen festgelegten Rangfolge angewendet.
Da die Filterliste aus mehreren Regeln kombiniert werden kann, müssen Sie beachten, wie mehrere Filter nebeneinander koexistiert sind. Sie müssen sicherstellen, dass die Filter richtig entworfen und angewendet werden, um die gewünschte Filterung und die daraus resultierenden Aktionen bereitstellen zu können. Beispielsweise kann eine Sitzung über einen Filter verfügen, der Datenverkehr von Abonnent-A akzeptiert und den anderen Datenverkehr verworfen. Bei einer zweiten Sitzung auf der gleichen Schnittstelle kann jedoch ein Filter verwendet werden, der Datenverkehr nur von Subscriber-B akzeptiert und anderen Datenverkehr verworfen. Wenn die beiden Filter in der Filterliste kombiniert werden, wird Datenverkehr von Subscriber-B vom ersten Filter verworfen, und Datenverkehr von Abonnent-A wird vom zweiten Filter verworfen. Daher wird an der Schnittstelle kein Datenverkehr akzeptiert, da die beiden Filter sich gegenseitig im Wesentlichen abbrechen und den ganzen Datenverkehr löschen.
Optionale ADF-Filteranforderung für einige Abonnenten
Wenn Sie eine der vordefinierten Variablen oder - in das dynamische Profil umfassen, muss die RADIUS-Antwortnachricht standardmäßig das $junos-adf-rule-v4 $junos-adf-rule-v6 Ascend-Data-Filter-Attribut (RADIUS-Attribut 242) für jeden Abonnenten enthalten. Wenn das Attribut nicht enthalten ist, meldet der Router einen Fehler.
Ein Dienstanbieter kann dasselbe dynamische Profil auf einen gemischten Abonnentenpool anwenden, so dass das Attribut von RADIUS für einige Abonnenten enthalten ist und bei anderen nicht enthalten ist. Standardmäßig gibt der Router für jeden Abonnenten ohne das Attribut einen Fehler aus, der Systemressourcen verbraucht. Sie können das dynamische Profil so konfigurieren, dass es eine solche Abonnentenmenge aufnehmen kann, indem Sie die Attributanforderung optional angeben. Geben Sie dazu die nicht erforderliche Option mit der Anweisung auf der Hierarchieebene an, um Attribute und Fehlerberichte adf [edit dynamic-profiles profile-name interfaces interface-name unit logical-unit-number family family filter] zu unterdrücken. Bei dieser Konfiguration wird der Ascend-Data-Filter einfach nicht erstellt, wenn das Ascend-Data-Filter-Attribut nicht vorhanden ist.