EN ESTA PÁGINA
Ejemplo: Configuración de un filtro para excluir el tráfico de control DHCPv6 e ICMPv6 para el suscriptor de LAC
En este ejemplo se muestra cómo configurar un filtro de firewall sin estado estándar que excluye los paquetes de control DHCPv6 e ICMPv6 de ser considerados para la detección de tiempo de espera de inactividad para suscriptores tunelizados en LAC.
Requisitos
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
El acceso del suscriptor en una LAC se puede limitar mediante la configuración de un período de tiempo de espera inactivo que especifique el período máximo de tiempo que un suscriptor puede permanecer inactivo después de que se establezca la sesión del suscriptor. El LAC monitorea el tráfico de datos ascendente y descendente del suscriptor para determinar si el suscriptor está inactivo. Basado en las estadísticas contables de la sesión. El suscriptor no se considera inactivo siempre que el tráfico de datos se detecte en cualquier dirección. Cuando no se detecta tráfico durante el tiempo de espera de inactividad, el suscriptor se cierra correctamente de manera similar a una desconexión iniciada por RADIUS o un cierre de sesión iniciado por la CLI.
Sin embargo, después de establecer un túnel para los suscriptores de L2TP, todos los paquetes que pasan por el túnel en el LAC se tratan como paquetes de datos. En consecuencia, las estadísticas contables de la sesión son inexactas y el suscriptor no se considera inactivo mientras se envíen paquetes de control DHCPv6 e ICMPv6.
A partir de Junos OS versión 17.2R1, puede definir un filtro de firewall para la familia con términos que coincidan en estos paquetes de control.inet6 Incluya el uso de la acción de terminación en los términos de filtro para eliminar estos paquetes de control.exclude-accounting
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de jerarquía.[edit]
set access profile v6-exclude-idle session-options client-idle-timeout 10 set access profile v6-exclude-idle session-options client-idle-timeout-ingress-only edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER set interface-specific set term EXCLUDE-ACCT-DHCP-INET6 from next-header udp set term EXCLUDE-ACCT-DHCP-INET6 from source-port 546 set term EXCLUDE-ACCT-DHCP-INET6 from source-port 547 set term EXCLUDE-ACCT-DHCP-INET6 from destination-port 546 set term EXCLUDE-ACCT-DHCP-INET6 from destination-port 547 set term EXCLUDE-ACCT-DHCP-INET6 then count exclude-acct-dhcpv6 set term EXCLUDE-ACCT-DHCP-INET6 then exclude-accounting set term EXCLUDE-ACCT-ICMP6 from next-header icmp6 set term EXCLUDE-ACCT-ICMP6 from icmp-type router-solicit set term EXCLUDE-ACCT-ICMP6 from icmp-type neighbor-solicit set term EXCLUDE-ACCT-ICMP6 from icmp-type neighbor-advertisement set term EXCLUDE-ACCT-ICMP6 then count exclude-acct-icmpv6 set term EXCLUDE-ACCT-ICMP6 then exclude-accounting set term default then accept top edit dynamic-profiles pppoe-dynamic-profile interfaces pp0 unit "$junos-interface-unit" set family inet6 filter input EXCLUDE-ACCT-INET6-FILTER set family inet6 filter output EXCLUDE-ACCT-INET6-FILTER set actual-transit-statistics
Configurar el filtro
Procedimiento paso a paso
El ejemplo siguiente requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en laGuía del usuario de CLI.Usar el editor de CLI en el modo de configuraciónhttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
Para configurar el filtro:
Establezca el tiempo de espera de inactividad para las sesiones de suscriptor.
[edit access profile v6-exclude-idle] user@host# set session-options client-idle-timeout 10
Especifique que el tiempo de espera de inactividad solo se aplica al tráfico de entrada.
[edit access profile v6-exclude-idle] user@host# set session-options client-idle-timeout-ingress-only
Defina el término de filtro de firewall que excluye los paquetes de control DHCPv6 de las estadísticas contables.
Especifique una coincidencia en los paquetes con el primer campo Encabezado siguiente establecido en UDP (17).
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-DHCP-INET6 from next-header udp
Especifique una coincidencia en los paquetes con un puerto de origen de 546 o 547 (DHCPv6).
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-DHCP-INET6 from source-port 546 user@host# set term EXCLUDE-ACCT-DHCP-INET6 from source-port 547
Especifique una coincidencia en los paquetes con un puerto de destino DHCP de 546 o 547 (DHCPv6).
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-DHCP-INET6 from destination-port 546 user@host# set term EXCLUDE-ACCT-DHCP-INET6 from destination-port 547
Cuente los paquetes DHCPv6 coincidentes.
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-DHCP-INET6 then count exclude-acct-dhcpv6
Excluya los paquetes DHCPv6 coincidentes de las estadísticas contables.
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-DHCP-INET6 then exclude-accounting
Defina el término de filtro de firewall que excluye los paquetes de control ICMPv6 de las estadísticas contables.
Especifique una coincidencia en los paquetes con el primer campo Encabezado siguiente establecido en ICMPv6 (58).
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-ICMP6 from next-header icmp6
Especifique una coincidencia en los paquetes con un tipo de mensaje ICMPv6.
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-ICMP6 from icmp-type router-solicit user@host# set term EXCLUDE-ACCT-ICMP6 from icmp-type neighbor-solicit user@host# set term EXCLUDE-ACCT-ICMP6 from icmp-type neighbor-advertisement
Cuente los paquetes ICMPv6 coincidentes.
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-ICMP6 then count exclude-acct-icmpv6
Excluya los paquetes ICMPv6 coincidentes de las estadísticas contables.
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-DHCP-INET6 then exclude-accounting
Defina el término de filtro predeterminado para aceptar todos los demás paquetes.
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term default then accept
Configure el perfil dinámico para aplicar el filtro a las interfaces de entrada y salida de la familia.
inet6[edit dynamic-profiles pppoe-dynamic-profile interfaces pp0 unit "$junos-interface-unit"] user@host# set family inet6 filter input EXCLUDE-ACCT-INET6-FILTER user@host# set family inet6 filter output EXCLUDE-ACCT-INET6-FILTER
Habilite la gestión de suscriptores con una contabilidad precisa.
[edit dynamic-profiles pppoe-dynamic-profile interfaces pp0 unit "$junos-interface-unit"] user@host# set actual-transit-statistics
Resultados
Desde el modo de configuración, escriba los comandos , y para confirmar la configuración. show accessshow firewallshow dynamic-profiles Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
user@host# show access
profile v6-exclude-idle {
session-options {
client-idle-timeout 10;
client-idle-timeout-ingress-only;
}
}
user@host# show firewall
family inet6 {
filter EXCLUDE-ACCT-INET6-FILTER {
interface-specific;
term EXCLUDE-ACCT-DHCP-INET6 {
from {
next-header udp;
source-port [ 546 547 ];
destination-port [ 546 547 ];
}
then {
count exclude-acct-dhcpv6;
exclude-accounting
}
}
term EXCLUDE-ACCT-ICMP6 {
from {
next-header icmp6;
icmp-type [ router-solicit neighbor-solicit neighbor-advertisement ]
}
then {
count exclude-acct-icmpv6;
exclude-accounting;
}
}
term default {
then accept;
}
}
}
user@host# show dynamic-profiles
pppoe-dynamic-profile {
interfaces {
pp0 {
unit "$junos-interface-unit" {
actual-transit-statistics;
family inet6 {
filter {
input EXCLUDE-ACCT-INET6-FILTER;
output EXCLUDE-ACCT-INET6-FILTER;
}
}
}
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.