Aufsteigende Datenfilter-Richtlinien für das Anwendermanagement – Übersicht

Filterbenennungskonventionen

Jeder Ascend-Data-Filter hat einen eindeutigen Namen, der durch den dynamischen Firewall-Prozess dfwd zugewiesen wird. Die zugewiesenen Namen werden in den Ergebnissen der show subscriber extensive Befehle angezeigt show firewall . Aufsteigende Datenfilter verwenden die folgende Namenskonvention:

__junos_adf_session#-interfacename-family-direction

Zum Beispiel:

__junos_adf_33847-ge/1/0/4.53-init-in

Jede Aufsteigende Datenfilter-Regel wird einem einzelnen Begriff zugeschrieben, und die Namen des Begriffs lauten einfach t0, t1... tn Wenn Sie die counter Option konfigurieren, fügt der Router jedem erstellten Begriff eine Zähleraktion hinzu. Die Zählernamen sind eine Kombination aus den Begriffsnamen mit -cnt Anhang. Zum Beispiel t0-cnt und t1-cnt.

Verwendung mehrerer Sitzungen mit Aufsteigen-Datenfiltern auf einer Schnittstelle

Eine Schnittstelle kann mehrere Abonnentensitzungen haben, wobei jede Sitzung ihre eigenen Ascend-Data-Filter-Regeln verwendet. Wenn ein Ascend-Data-Filter auf eine Abonnentensitzung angewendet wird, werden die Regeln unabhängig von anderen Filtern erstellt und zur Liste der Schnittstellenfilter hinzugefügt. Die Ascend-Data-Filter-Regeln für die anderen Sitzungen auf derselben Schnittstelle werden ebenfalls zur Filterliste hinzugefügt. Alle Pakete, die für die Schnittstelle verarbeitet werden, müssen alle Filter durchlaufen, und die Filter werden entsprechend der von Ihnen festgelegten Rangfolge angewendet.

Da die Filterliste eine Kombination aus mehreren Regeln sein kann, müssen Sie berücksichtigen, wie mehrere Filter koexistieren. Sie müssen sicherstellen, dass die Filter richtig entwickelt und angewendet werden, um die gewünschte Filterung und die daraus resultierende Aktion bereitzustellen. Beispielsweise kann eine Sitzung über einen Filter verfügen, der Datenverkehr von Abonnenten-A akzeptiert und den gesamten anderen Datenverkehr verwirft. Eine zweite Sitzung auf derselben Schnittstelle kann jedoch über einen Filter verfügen, der nur Datenverkehr von Abonnenten-B akzeptiert und anderen Datenverkehr verwirft. Wenn die beiden Filter in der Filterliste kombiniert werden, wird der Datenverkehr von Subscriber-B durch den ersten Filter verworfen, und der Datenverkehr von Abonnenten-A wird durch den zweiten Filter verworfen. Infolgedessen wird auf der Schnittstelle kein Datenverkehr akzeptiert, da sich die beiden Filter im Wesentlichen gegenseitig abbrechen und den gesamten Datenverkehr verwerfen.

Optionale ADF-Filteranforderung für einige Abonnenten

Wenn Sie eine der vordefinierten Variablen –$junos-adf-rule-v4 oder $junos-adf-rule-v6– in das dynamische Profil einschließen, muss die RADIUS-Antwortnachricht standardmäßig das Ascend-Data-Filter-Attribut (RADIUS-Attribut 242) für jeden Abonnenten enthalten. Wenn das Attribut nicht enthalten ist, meldet der Router einen Fehler.

Ein Service Provider kann dasselbe dynamische Profil auf einen gemischten Pool von Abonnenten anwenden, sodass das Attribut für einige der Abonnenten in RADIUS enthalten ist und für andere nicht enthalten ist. Standardmäßig gibt der Router für jeden Abonnenten ohne das Attribut einen Fehler aus, der Systemressourcen verbraucht. Sie können das dynamische Profil so konfigurieren, dass es einer solchen Mischung von Abonnenten gerecht wird, indem Sie die Attributanforderung optional machen. Um dies zu tun und die Meldung von Attributfehlern zu unterdrücken, geben Sie die nicht obligatorische Option mit der adf Anweisung auf Hierarchieebene [edit dynamic-profiles profile-name interfaces interface-name unit logical-unit-number family family filter] an. Bei dieser Konfiguration wird der Ascend-Data-Filter einfach nicht erstellt, wenn das Ascend-Data-Filter-Attribut nicht vorhanden ist.