EN ESTA PÁGINA
Ejemplo: Configurar un filtro para excluir el tráfico de control DHCPv6 e ICMPv6 para suscriptores de LAC
En este ejemplo, se muestra cómo configurar un filtro de firewall estándar sin estado que excluye los paquetes de control DHCPv6 e ICMPv6 para la detección de tiempo de espera inactivo para los suscriptores tunelizadas en la LAC.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
El acceso de suscriptores en un LAC se puede limitar configurando un período de tiempo de espera inactivo que especifique el período máximo de tiempo que un suscriptor puede permanecer inactivo después de que se establezca la sesión del suscriptor. El LAC monitorea el tráfico de datos ascendente y descendente del suscriptor para determinar si el suscriptor está inactivo. Basado en las estadísticas de contabilidad de la sesión. el suscriptor no se considera inactivo siempre que se detecte tráfico de datos en ninguna dirección. Cuando no se detecta tráfico durante el tiempo de espera, el suscriptor cierra la sesión con gracia de manera similar a una desconexión iniciada por RADIUS o una sesión iniciada por CLI.
Sin embargo, después de establecer un túnel para los suscriptores de L2TP, todos los paquetes a través del túnel en la LAC se tratan como paquetes de datos. En consecuencia, las estadísticas contables de la sesión son inexactas y no se considera que el suscriptor esté inactivo mientras se envíen paquetes de control DHCPv6 e ICMPv6.
A partir de Junos OS versión 17.2R1, puede definir un filtro de firewall para la inet6 familia con términos que coincidan en estos paquetes de control. Incluya el uso de la exclude-accounting acción de finalización en los términos del filtro para eliminar estos paquetes de control.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía.
set access profile v6-exclude-idle session-options client-idle-timeout 10 set access profile v6-exclude-idle session-options client-idle-timeout-ingress-only edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER set interface-specific set term EXCLUDE-ACCT-DHCP-INET6 from next-header udp set term EXCLUDE-ACCT-DHCP-INET6 from source-port 546 set term EXCLUDE-ACCT-DHCP-INET6 from source-port 547 set term EXCLUDE-ACCT-DHCP-INET6 from destination-port 546 set term EXCLUDE-ACCT-DHCP-INET6 from destination-port 547 set term EXCLUDE-ACCT-DHCP-INET6 then count exclude-acct-dhcpv6 set term EXCLUDE-ACCT-DHCP-INET6 then exclude-accounting set term EXCLUDE-ACCT-ICMP6 from next-header icmp6 set term EXCLUDE-ACCT-ICMP6 from icmp-type router-solicit set term EXCLUDE-ACCT-ICMP6 from icmp-type neighbor-solicit set term EXCLUDE-ACCT-ICMP6 from icmp-type neighbor-advertisement set term EXCLUDE-ACCT-ICMP6 then count exclude-acct-icmpv6 set term EXCLUDE-ACCT-ICMP6 then exclude-accounting set term default then accept top edit dynamic-profiles pppoe-dynamic-profile interfaces pp0 unit "$junos-interface-unit" set family inet6 filter input EXCLUDE-ACCT-INET6-FILTER set family inet6 filter output EXCLUDE-ACCT-INET6-FILTER set actual-transit-statistics
Configurar el filtro
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en laGuía del usuario de CLI.
Para configurar el filtro:
Establezca el tiempo de espera de inactividad para las sesiones de suscriptor.
[edit access profile v6-exclude-idle] user@host# set session-options client-idle-timeout 10
Especifique que el tiempo de espera de inactividad solo se aplica al tráfico de entrada.
[edit access profile v6-exclude-idle] user@host# set session-options client-idle-timeout-ingress-only
Defina el término de filtro de firewall que excluye los paquetes de control DHCPv6 de las estadísticas de contabilidad.
Especifique una coincidencia en paquetes con el primer campo Siguiente encabezado establecido en UDP (17).
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-DHCP-INET6 from next-header udp
Especifique una coincidencia en paquetes con un puerto de origen de 546 o 547 (DHCPv6).
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-DHCP-INET6 from source-port 546 user@host# set term EXCLUDE-ACCT-DHCP-INET6 from source-port 547
Especifique una coincidencia en paquetes con un puerto de destino DHCP de 546 o 547 (DHCPv6).
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-DHCP-INET6 from destination-port 546 user@host# set term EXCLUDE-ACCT-DHCP-INET6 from destination-port 547
Cuente los paquetes DHCPv6 coincidentes.
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-DHCP-INET6 then count exclude-acct-dhcpv6
Excluya los paquetes DHCPv6 coincidentes de las estadísticas contables.
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-DHCP-INET6 then exclude-accounting
Defina el término de filtro de firewall que excluye los paquetes de control ICMPv6 de las estadísticas de contabilidad.
Especifique una coincidencia en paquetes con el primer campo De encabezado siguiente establecido en ICMPv6 (58).
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-ICMP6 from next-header icmp6
Especifique una coincidencia en paquetes con un tipo de mensaje ICMPv6.
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-ICMP6 from icmp-type router-solicit user@host# set term EXCLUDE-ACCT-ICMP6 from icmp-type neighbor-solicit user@host# set term EXCLUDE-ACCT-ICMP6 from icmp-type neighbor-advertisement
Cuente los paquetes ICMPv6 coincidentes.
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-ICMP6 then count exclude-acct-icmpv6
Excluya los paquetes ICMPv6 coincidentes de las estadísticas de contabilidad.
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term EXCLUDE-ACCT-DHCP-INET6 then exclude-accounting
Defina el término de filtro predeterminado para aceptar todos los demás paquetes.
[edit firewall family inet6 filter EXCLUDE-ACCT-INET6-FILTER] user@host# set term default then accept
Configure el perfil dinámico para aplicar el filtro a las interfaces de entrada y salida de la
inet6familia.[edit dynamic-profiles pppoe-dynamic-profile interfaces pp0 unit "$junos-interface-unit"] user@host# set family inet6 filter input EXCLUDE-ACCT-INET6-FILTER user@host# set family inet6 filter output EXCLUDE-ACCT-INET6-FILTER
Habilite una contabilidad precisa de administración de suscriptores.
[edit dynamic-profiles pppoe-dynamic-profile interfaces pp0 unit "$junos-interface-unit"] user@host# set actual-transit-statistics
Resultados
Desde el modo de configuración, ingrese los comandos , show firewally show dynamic-profiles para confirmar la show accessconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
user@host# show access
profile v6-exclude-idle {
session-options {
client-idle-timeout 10;
client-idle-timeout-ingress-only;
}
}
user@host# show firewall
family inet6 {
filter EXCLUDE-ACCT-INET6-FILTER {
interface-specific;
term EXCLUDE-ACCT-DHCP-INET6 {
from {
next-header udp;
source-port [ 546 547 ];
destination-port [ 546 547 ];
}
then {
count exclude-acct-dhcpv6;
exclude-accounting
}
}
term EXCLUDE-ACCT-ICMP6 {
from {
next-header icmp6;
icmp-type [ router-solicit neighbor-solicit neighbor-advertisement ]
}
then {
count exclude-acct-icmpv6;
exclude-accounting;
}
}
term default {
then accept;
}
}
}
user@host# show dynamic-profiles
pppoe-dynamic-profile {
interfaces {
pp0 {
unit "$junos-interface-unit" {
actual-transit-statistics;
family inet6 {
filter {
input EXCLUDE-ACCT-INET6-FILTER;
output EXCLUDE-ACCT-INET6-FILTER;
}
}
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.