Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Ejemplo Configurando un filtro para excluir el tráfico de control DHCPv6 e ICMPv6 del suscriptor de CONCENTRADOr

 

En este ejemplo se muestra cómo configurar un filtro de Firewall estándar sin estado que excluye la consideración de paquetes de control DHCPv6 e ICMPv6 para los suscriptores en el CONCENTRADOr de tiempo de espera de inactividad.

Aplicables

No es necesaria ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Descripción general

El acceso de suscriptor en un CONCENTRADOr de la sesión puede estar limitado mediante la configuración de un periodo de tiempo de espera inactivo que especifica el período máximo durante el que un suscriptor puede permanecer inactivo después de que se haya establecido el suscriptor. El CONCENTRADOr de redes supervisa’el tráfico de datos ascendente o descendente del suscriptor para determinar si el suscriptor está inactivo. Se basa en las estadísticas de contabilidad de sesiones. el suscriptor no se considera inactivo siempre y cuando se detecte el tráfico de datos en cualquier dirección. Cuando no se detecta tráfico mientras dure el tiempo de espera de inactividad, el suscriptor se cierra correctamente para hacerlo de manera similar a una desconexión iniciada por el RADIUS o un cierre de sesión iniciado por la CLI.

Sin embargo, después de que se establezca un túnel para los suscriptores L2TP, todos los paquetes que atraviesen el túnel del CONCENTRADOr se tratan como paquetes de datos. Por lo tanto, las estadísticas de contabilidad para la sesión son imprecisas y no se considera que el suscriptor esté inactivo mientras se estén enviando paquetes de control de DHCPv6 y ICMPv6.

A partir de Junos OS versión 17.2 R1, puede definirse un filtro de Firewall inet6 para la familia con términos que coincidan en estos paquetes de control. Incluya el comando usar exclude-accounting la acción de terminación en los términos del filtro para colocar estos paquetes de control.

Automática

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI, en el [edit] nivel jerárquico.

Configure el filtro

Procedimiento detallado

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información sobre Cómo desplazarse por la CLI, consulte Using the CLI Editor in Configuration Mode en laGuía de usuario de CLI.

Para configurar el filtro:

  1. Establecer el tiempo de espera inactivo en las sesiones del suscriptor..
  2. Especificar que el tiempo de espera de inactividad solo se aplica al tráfico de entrada.
  3. Defina el término de filtro de firewall que excluye los paquetes de control DHCPv6 de las estadísticas de cuentas.
    1. Especifique una coincidencia en paquetes con el primer campo de encabezado siguiente establecido en UDP (17).

    2. Especifique una coincidencia en paquetes con el puerto de origen 546 o 547 (DHCPv6).

    3. Especifique una coincidencia en paquetes con el puerto de destino DHCP 546 o 547 (DHCPv6).

    4. Cuente los paquetes DHCPv6 coincidentes.

    5. Excluya los paquetes DHCPv6 coincidentes de las estadísticas de cuentas.

  4. Defina el término de filtro de firewall que excluye los paquetes de control ICMPv6 de las estadísticas de cuentas.
    1. Especifique una coincidencia en paquetes con el primer campo de encabezado siguiente establecido en ICMPv6 (58).

    2. Especifique una coincidencia en paquetes con un tipo de mensaje ICMPv6.

    3. Cuente los paquetes ICMPv6 coincidentes.

    4. Excluya los paquetes ICMPv6 coincidentes de las estadísticas de cuentas.

  5. Defina el término de filtro predeterminado para aceptar todos los demás paquetes.
  6. Configure el perfil dinámico para aplicar el filtro a las interfaces de entrada y inet6 salida de la familia.
  7. Habilite la contabilidad precisa de gestión de suscriptores.

Resultados

Desde el modo de configuración, escriba los show accesscomandos, show firewally y show dynamic-profiles para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, escriba commit desde el modo de configuración.