Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

ON THIS PAGE

示例:配置过滤器以排除 LAC 订阅者的 DHCPv6 和 ICMPv6 控制流量

 

此示例演示如何配置标准无状态防火墙过滤器,从为 LAC 上的隧道订阅者考虑将 DHCPv6 和 ICMPv6 控制数据包视为空闲超时检测。

要求

配置此示例之前,不需要在设备初始化之外进行特殊配置。

概述

在 LAC 上的订阅者访问可通过配置空闲超时时间来限制,该时段指定订阅者会话建立后订户可保持空闲的最长时间周期。LAC 将监控订阅者’的上游和下游数据流量,以确定订阅者是否处于非活动状态。基于会话计费统计。只要两个方向上检测到数据流量,订阅者就不会被视为空闲。在空闲超时的持续时间内未检测到流量时,订阅者将正常地注销与 RADIUS 发起的断开或 CLI 启动的注销类似的信息。

但是,在为 L2TP 订阅者建立通道之后,通过 LAC 上的通道的所有数据包都被视为数据包。因此,只要发送 DHCPv6 和 ICMPv6 控制数据包,会话的记帐统计数据就不会变得准确,并且订阅者不会被视为空闲。

从 Junos OS Release 17.2 R1 开始,您可以为具有要在这些控制inet6数据包上匹配的术语的系列定义防火墙过滤器。包括在过滤器术语exclude-accounting中使用终止操作丢弃这些控制数据包。

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,然后将命令复制并粘贴到 CLI 的 [edit]层次结构级别)。

配置过滤器

分步过程

以下示例要求您在配置层次结构中导航各个级别。有关导航 CLI 的信息,请参阅在配置模式中使用 CLI 编辑器中的CLI 用户指南

要配置过滤器:

  1. 设置订阅者会话的空闲超时。。
  2. 指定空闲超时仅适用于入口流量。
  3. 定义从计费统计中排除 DHCPv6 控制数据包的防火墙过滤器术语。
    1. 指定与第一个标头字段设置为 UDP (17)的数据包匹配。

    2. 指定源端口为546或547(DHCPv6)的数据包上的匹配项。

    3. 指定 DHCP 目标端口为546或547(DHCPv6)的数据包上的匹配项。

    4. 统计匹配的 DHCPv6 数据包。

    5. 从计费统计中排除匹配的 DHCPv6 数据包。

  4. 定义防火墙过滤器术语,用于排除来自计费统计的 ICMPv6 控制数据包。
    1. 指定与第一个标头字段设置为 ICMPv6 (58)的数据包上的匹配项。

    2. 使用 ICMPv6 消息类型指定数据包上的匹配项。

    3. 对匹配的 ICMPv6 数据包进行计数。

    4. 从计费统计中排除匹配的 ICMPv6 数据包。

  5. 定义默认过滤器术语以接受所有其他数据包。
  6. 将动态配置文件配置为将过滤器应用于inet6系列的输入和输出接口。
  7. 支持订阅者管理准确性核算。

结果

从配置模式,输入show accessshow firewallshow dynamic-profiles命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果您完成了设备配置,请输入 commit从配置模式。