Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configuración de un filtro para excluir el tráfico de control DHCPv6 e ICMPv6 para el suscriptor de LAC

En este ejemplo se muestra cómo configurar un filtro de firewall sin estado estándar que excluye los paquetes de control DHCPv6 e ICMPv6 de ser considerados para la detección de tiempo de espera de inactividad para suscriptores tunelizados en LAC.

Requisitos

No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Descripción general

El acceso del suscriptor en una LAC se puede limitar mediante la configuración de un período de tiempo de espera inactivo que especifique el período máximo de tiempo que un suscriptor puede permanecer inactivo después de que se establezca la sesión del suscriptor. El LAC monitorea el tráfico de datos ascendente y descendente del suscriptor para determinar si el suscriptor está inactivo. Basado en las estadísticas contables de la sesión. El suscriptor no se considera inactivo siempre que el tráfico de datos se detecte en cualquier dirección. Cuando no se detecta tráfico durante el tiempo de espera de inactividad, el suscriptor se cierra correctamente de manera similar a una desconexión iniciada por RADIUS o un cierre de sesión iniciado por la CLI.

Sin embargo, después de establecer un túnel para los suscriptores de L2TP, todos los paquetes que pasan por el túnel en el LAC se tratan como paquetes de datos. En consecuencia, las estadísticas contables de la sesión son inexactas y el suscriptor no se considera inactivo mientras se envíen paquetes de control DHCPv6 e ICMPv6.

A partir de Junos OS versión 17.2R1, puede definir un filtro de firewall para la inet6 familia con términos que coincidan en estos paquetes de control. Incluya el uso de la acción de exclude-accounting terminación en los términos de filtro para eliminar estos paquetes de control.

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía.

Configurar el filtro

Procedimiento paso a paso

El ejemplo siguiente requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en laGuía del usuario de CLI.

Para configurar el filtro:

  1. Establezca el tiempo de espera de inactividad para las sesiones de suscriptor.

  2. Especifique que el tiempo de espera de inactividad solo se aplica al tráfico de entrada.

  3. Defina el término de filtro de firewall que excluye los paquetes de control DHCPv6 de las estadísticas contables.

    1. Especifique una coincidencia en los paquetes con el primer campo Encabezado siguiente establecido en UDP (17).

    2. Especifique una coincidencia en los paquetes con un puerto de origen de 546 o 547 (DHCPv6).

    3. Especifique una coincidencia en los paquetes con un puerto de destino DHCP de 546 o 547 (DHCPv6).

    4. Cuente los paquetes DHCPv6 coincidentes.

    5. Excluya los paquetes DHCPv6 coincidentes de las estadísticas contables.

  4. Defina el término de filtro de firewall que excluye los paquetes de control ICMPv6 de las estadísticas contables.

    1. Especifique una coincidencia en los paquetes con el primer campo Encabezado siguiente establecido en ICMPv6 (58).

    2. Especifique una coincidencia en los paquetes con un tipo de mensaje ICMPv6.

    3. Cuente los paquetes ICMPv6 coincidentes.

    4. Excluya los paquetes ICMPv6 coincidentes de las estadísticas contables.

  5. Defina el término de filtro predeterminado para aceptar todos los demás paquetes.

  6. Configure el perfil dinámico para aplicar el filtro a las interfaces de entrada y salida de la inet6 familia.

  7. Habilite la gestión de suscriptores con una contabilidad precisa.

Resultados

Desde el modo de configuración, escriba los comandos , y show dynamic-profiles para confirmar la show accessconfiguración. show firewall Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.