NESTA PÁGINA
Exemplo: configurar serviços de redirecionamento DE HTTP usando um método next-hop e anexá-lo a uma interface estática
Este exemplo mostra como configurar serviços de redirecionamento DE HTTP usando um método de próximo salto e anexá-los a uma interface estática.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Plataforma de roteamento universal MX240, MX480 ou MX960 com um concentrador MODULAR PIC de multisserviços (MS-MPC) e placa de interfaces modulares de multisserviços (MS-MIC) instalado.
Junos OS Release 15.1 ou posterior.
Antes de começar:
Configure a conexão entre o servidor de redirecionamento e o roteador da Série MX.
Definir o endereço fonte (203.0.113.0/24 é usado neste exemplo).
Definir uma ou mais interfaces usadas para tráfego de assinantes.
Visão geral
Os serviços de redirecionamento e reescrita de HTTP são suportados tanto para IPv4 quanto para IPv6. Você pode anexar um serviço ou conjunto de serviços de redirecionamento HTTP a uma interface estática ou dinâmica. Para gerenciamento dinâmico de assinantes, você pode anexar serviços HTTP ou conjuntos de serviços dinamicamente no login do assinante ou usando uma mudança de autorização (CoA). Usando um método de próximo salto, você pode configurar serviços de redirecionamento HTTP e anexá-los a uma interface estática.
Configuração
Para configurar serviços de redirecionamento DE HTTP usando um método de próximo salto e anexá-los a uma interface estática, execute essas tarefas:
- Configuração rápida da CLI
- Configuração dos serviços DOCP e a anexação do conjunto de serviços à interface estática
- Configurando o pacote e a instalação para o CPCD
- Configuração da interface estática, filtros de redirecionamento HTTP e opções de serviço de interface
- Configurando a instância de roteamento adicional e atribuindo suas interfaces estáticas de próximo salto
- Configurando os filtros específicos da interface para direcionar o tráfego HTTP
- Configuração da opção de política e declaração para usar uma lista de prefixo de blocos privados
- Usando a configuração de rota estática de borda de banda larga para assinante (versão Junos OS 23.4R1 para dispositivos da Série MX)
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha e, em seguida, copie e cole os comandos no CLI.
[edit] edit services captive-portal-content-delivery set rule redirect match-direction input set rule redirect term REDIRECT then redirect http://redirection-portal/redirection/ set profile http-redirect cpcd-rules redirect edit services service-set http-redirect-sset set captive-portal-content-delivery-profile http-redirect set next-hop-service inside-service-interface ms-11/1/0.1 set next-hop-service outside-service-interface ms-11/1/0.2 [edit] edit chassis fpc 11 pic 1 adaptive-services service-package set extension-provider package jservices-cpcd set extension-provider syslog daemon none set extension-provider syslog external none set extension-provider syslog kernel none set extension-provider syslog pfe none [edit] set interfaces ge-0/0/1 unit 900 description VLAN REDIRECT set interfaces ge-0/0/1 unit 900 vlan-id 900 set interfaces ge-0/0/1 unit 900 family inet filter input FF_HTTP_REDIR_IN set interfaces ge-0/0/1 unit 900 family inet address 203.0.113.250/30 edit interfaces ms-11/1/0 services-options open-timeout 4 edit interfaces ms-11/1/0 services-options close-timeout 2 edit interfaces ms-11/1/0 services-options inactivity-tcp-timeout 5 edit interfaces ms-11/1/0 services-options inactivity-non-tcp-timeout 5 edit interfaces ms-11/1/0 services-options session-timeout 5 edit interfaces ms-11/1/0 services-options tcp-tickles 0 set interfaces ms-11/1/0 unit 1 family inet set interfaces ms-11/1/0 unit 1 service-domain inside set interfaces ms-11/1/0 unit 2 filter output FF_CPCD_REDIRECT_OUTPUT set interfaces ms-11/1/0 unit 2 family inet set interfaces ms-11/1/0 unit 2 service-domain outside [edit] edit routing-instances CPCD_REDIRECT set instance-type virtual-router set interface ms-1/1/0.1 set interface ms-1/1/0.2 set routing-options static route 0.0.0.0/0 next-hop ms-1/1/0.1 set routing-options static route 203.0.113.0/24 next-hop ms-1/1/0.2 [edit] edit firewall family inet set filter FF_CPCD_REDIRECT_OUTPUT interface-specific set filter FF_CPCD_REDIRECT_OUTPUT term One then count back-to-default set filter FF_CPCD_REDIRECT_OUTPUT term One then routing-instance default set filter FF_HTTP_REDIR_IN interface-specific set filter FF_HTTP_REDIR_IN term ACCEPTED_PREFIXES from prefix-list User-PRIVATE-Blocks-01 set filter FF_HTTP_REDIR_IN term ACCEPTED_PREFIXES then next term set filter FF_HTTP_REDIR_IN term HTTP from protocol tcp set filter FF_HTTP_REDIR_IN term HTTP from destination-port http set filter FF_HTTP_REDIR_IN term HTTP then count HTTP set filter FF_HTTP_REDIR_IN term HTTP then forwarding-class best-effort set filter FF_HTTP_REDIR_IN term HTTP then routing-instance CPCD_REDIRECT [edit] edit policy-options policy-statement User-PRIVATE-Blocks-01 set 203.0.113.0/24
Configuração dos serviços DOCP e a anexação do conjunto de serviços à interface estática
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Configure o serviço de redirecionamento HTTP especificando a localização para a qual a sessão inicial do navegador da Web de um assinante é redirecionada, permitindo o provisionamento inicial e a seleção de serviços para o assinante.
[edit services] user@host# edit captive-portal-content-delivery
Configure o filtro de serviço como um jardim com paredes, definindo a regra que o roteador faz referência ao aplicar este serviço HTTP.
[edit services captive-portal-content-delivery] user@host# edit rule redirect
Especifique que a regra corresponde ao tráfego que está chegando na interface.
[edit services captive-portal-content-delivery rule redirect] user@host# match-direction input
Crie o termo correspondência e propriedades de ação para a regra DOSP para o serviço HTTP.
[edit services captive-portal-content-delivery rule redirect] user@host# set term REDIRECT then redirect http://redirection-portal/redirection/
Crie o perfil DO CDC para o endereço de destino IP para redirecionar o serviço HTTP.
[edit services captive-portal-content-delivery] user@host# edit profile http-redirect
Especifique a regra do CDC para o serviço HTTP.
[edit services captive-portal-content-delivery profile http-redirect] user@host# set cpcd-rules redirect
Crie o conjunto de serviços para os serviços DOPD.
[edit services service-set] user@host# edit http-redirect-sset
Especifique o perfil DO CDC para o conjunto de serviços.
[edit services service-set http-redirect-sset] user@host# set captive-portal-content-delivery-profile http-redirect
Especifique o nome da interface para o serviço de next-hop para uma interface de serviço interna e externa e conecte-as a interfaces estáticas.
[edit services service-set http-redirect-sset] user@host# set next-hop-service inside-service-interface ms-11/1/0.1 user@host# set next-hop-service outside-service-interface ms-11/1/0.2
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show services comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
root@host# show services
captive-portal-content-delivery {
rule redirect {
match-direction input;
term REDIRECT {
then {
redirect http://redirection-portal/redirection/;
}
}
}
profile http-redirect {
cpcd-rules redirect;
}
}
service-set http-redirect-sset {
captive-portal-content-delivery-profile http-redirect;
next-hop-service {
inside-service-interface ms-11/1/0.1;
outside-service-interface ms-11/1/0.2;
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Configurando o pacote e a instalação para o CPCD
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Configure o Junos OS para oferecer suporte ao pacote de serviços em uma interface de serviço em uma plataforma de roteamento universal 5G da Série MX com MS-MPCs/MS-MICs.
[edit chassis] user@host# edit fpc 11 pic 1 adaptive-services service-package
Configure o pacote de serviços DOCP para ser executado no PIC. Quando a
extension-providerdeclaração é configurada pela primeira vez, o PIC é reiniciado.[edit chassis fpc 11 pic 1 adaptive-services service-package] user@host# set extension-provider package jservices-cpcd
Habilite o registro do sistema PIC para registrar ou visualizar mensagens de log do sistema no PIC, mas não inclua processos externos, do kernel ou do mecanismo de encaminhamento de pacotes.
[edit chassis fpc 11 pic 1 adaptive-services service-package extension-provider] user@host# set extension-provider syslog daemon none user@host# set extension-provider syslog external none user@host# set extension-provider syslog kernel none user@host# set extension-provider syslog pfe none
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show chassis comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
root@host# show chassis
fpc 11 {
pic 1 {
adaptive-services {
service-package {
extension-provider {
package jservices-cpcd;
syslog {
daemon none;
external none;
kernel none;
pfe none;
}
}
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração da interface estática, filtros de redirecionamento HTTP e opções de serviço de interface
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Configure uma interface Gigabit com uma interface lógica na qual o tráfego chega antes de ser redirecionado.
[edit interfaces] user@host# edit ge-0/0/1 unit 900
Atribua uma descrição e um ID VLAN à interface lógica.
[edit interfaces ge-0/0/1 unit 900] user@host# set description VLAN-REDIRECT user@host# set vlan-id 900
Configure a família IPv4 para a interface.
[edit interfaces ge-0/0/1 unit 900] user@host# edit family inet
Configure um filtro de entrada para avaliar quando os pacotes são recebidos e redirecionados na interface.
[edit interfaces ge-0/0/1 unit 900 family inet] user@host# set filter input FF_HTTP_REDIR_IN
Configure um endereço para o filtro de entrada.
[edit interfaces ge-0/0/1 unit 900 family inet] user@host# set address 203.0.113.250/30
Configure opções de serviço a serem aplicadas na interface multisserviços.
[edit interfaces] user@host# edit ms-11/1/0 services-options
Nota:Os valores configurados para as opções de serviço são mostrados, por exemplo, apenas. Você deve configurar e provisionar os valores apropriados conforme o requisito.
Especifique os períodos de tempo limite abertos e fechados em segundos para o estabelecimento de sessão do Protocolo de Controle de Transmissão (TCP).
[edit interfaces ms-11/1/0 services-options] user@host# set open-timeout 4 user@host# set close-timeout 2
Especifique os períodos de tempo limite de inatividade em segundos para sessões de TCP e não TCP estabelecidas.
[edit interfaces ms-11/1/0 services-options] user@host# set inactivity-tcp-timeout 5 set inactivity-non-tcp-timeout 5
Especifique a vida útil da sessão em segundos globalmente para a interface multisserviços.
[edit interfaces ms-11/1/0 services-options] user@host# set session-timeout 5
Especifique o número máximo de mensagens de manutenção enviadas antes que uma sessão de TCP possa sair.
[edit interfaces ms-11/1/0 services-options] user@host# set tcp-tickles 0
Configure uma interface lógica na interface multisserviços.
[edit interfaces ms-11/1/0] user@host# edit unit 1
Configure o domínio de serviço para especificar que a interface lógica é usada dentro da rede.
[edit interfaces ms-11/1/0 unit 1] user@host# set service-domain inside
Configure a família de endereços IPv4 na interface lógica.
[edit interfaces ms-11/1/0 unit 1] user@host# set family inet
Configure uma segunda interface lógica na interface multisserviços.
[edit interfaces ms-11/1/0] user@host# edit unit 2
Configure o domínio de serviço para especificar que a interface lógica é usada fora da rede.
[edit interfaces ms-11/1/0 unit 2] user@host# set service-domain outside
Configure um filtro de saída para redirecionar pacotes DESPD da interface lógica.
[edit interfaces ms-11/1/0 unit 2] user@host# set filter output FF_CPCD_REDIRECT_OUTPUT
Configure a família de endereços IPv4 na interface lógica.
[edit interfaces ms-11/1/0 unit 2] user@host# set family inet
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show interfaces comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
root@host# show interfaces
ge-0/0/1 {
unit 900 {
description VLAN-REDIRECT;
vlan-id 900;
}
family inet {
filter {
input FF_HTTP_REDIR_IN;
}
address 203.0.113.250/30;
}
}
ms-11/1/0 {
services-options {
open-timeout 4;
close-timeout 2;
inactivity-tcp-timeout 5;
inactivity-non-tcp-timeout 5;
session-timeout 5;
tcp-tickles 0;
}
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet {
filter {
output FF_CPCD_REDIRECT_OUTPUT;
}
}
service-domain outside;
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Configurando a instância de roteamento adicional e atribuindo suas interfaces estáticas de próximo salto
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Configure uma instância de roteamento.
[edit routing-instances] user@host# edit CPCD_REDIRECT
Configure uma instância de roteamento de roteador virtual.
[edit routing-instances CPCD_REDIRECT] user@host# set instance-type virtual-router
Configure as duas interfaces de multisserviços definidas anteriormente para a instância de roteamento.
[edit routing-instances CPCD_REDIRECT] user@host# set interface ms-11/1/0.1 user@host# set interface ms-11/1/0.2
Configure opções de roteamento estático.
[edit routing-instances CPCD_REDIRECT] user@host# edit routing-options static
Atribua as interfaces estáticas de próximo salto à instância de roteamento e rotas.
[edit routing-instances CPCD_REDIRECT routing-options static] user@host# set route 0.0.0.0/0 next-hop ms-11/1/0.1 user@host# set route 203.0.113.0/24 next-hop ms-11/1/0.2
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show routing-instances comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
root@host# show routing-instances
CPCD_REDIRECT {
instance-type virtual-router;
interface ms-11/1/0.1;
interface ms-11/1/0.2;
routing-options {
static {
route 0.0.0.0/0 next-hop ms-11/1/0.1;
route 203.0.113.0/24 next-hop ms-11/1/0.2;
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Configurando os filtros específicos da interface para direcionar o tráfego HTTP
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Crie uma família para o filtro de serviço sob a
[edit firewall]hierarquia.[edit firewall] user@host# edit family inet
Crie um filtro específico para a interface para redirecionar o tráfego de saída para o CPCD.
[edit firewall family inet] user@host# edit filter FF_CPCD_REDIRECT_OUTPUT
Especifique se este é um filtro específico da interface.
[edit firewall family inet filter FF_CPCD_REDIRECT_OUTPUT] user@host# set interface-specific
Crie um termo de filtro para o filtro específico da interface para o jardim com paredes.
[edit firewall family inet filter FF_CPCD_REDIRECT_OUTPUT] user@host# edit term One
Especifique a ação para contar o tráfego padrão e a instância de roteamento padrão.
[edit firewall family inet filter FF_CPCD_REDIRECT_OUTPUT interface-specific term One] user@host# set then count back-to-default set then routing-instance default
Crie um filtro para redirecionar o tráfego de entrada HTTP.
[edit firewall family inet] user@host# edit filter FF_HTTP_REDIR_IN
Especifique se este é um filtro específico da interface.
[edit firewall family inet filter FF_HTTP_REDIR_IN] user@host# set interface-specific
Crie um termo de filtro para o filtro específico da interface para o jardim com paredes.
[edit firewall family inet filter FF_HTTP_REDIR_IN] user@host# edit term ACCEPTED_PREFIXES
Especifique a lista de prefixos aceitos como condições de correspondência para o filtro do jardim murado.
[edit firewall family inet filter FF_HTTP_REDIR_IN term ACCEPTED_PREFIXES] user@host# set from prefix-list User-PRIVATE-Blocks-01
Especifique a ação a tomar para todo o tráfego HTTP correspondente.
[edit firewall family inet filter FF_HTTP_REDIR_IN term ACCEPTED_PREFIXES] user@host# set then next term
Crie um segundo termo de filtro para o filtro do jardim murado.
[edit firewall family inet filter FF_HTTP_REDIR_IN interface-specific] user@host# edit term HTTP
Especifique o protocolo e a porta de destino como condições de correspondência para o filtro do jardim murado.
[edit firewall family inet filter FF_HTTP_REDIR_IN term HTTP] user@host# set from protocol tcp user@host# set from destination-port http
Especifique as medidas a serem tomadas para combinar tráfego HTTP destinado a fluir para fora do jardim murado.
[edit firewall family inet filter filter FF_HTTP_REDIR_IN interface-specific term HTTP] user@host# set then count HTTP user@host# set then forwarding-class best-effort user@host# set then routing-instance CPCD_REDIRECT
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show firewall comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
root@host# show firewall
family inet {
filter FF_CPCD_REDIRECT_OUTPUT {
interface-specific;
term One {
then {
count back-to-default;
routing-instance default;
}
}
}
filter FF_HTTP_REDIR_IN {
interface-specific;
term ACCEPTED_PREFIXES {
from {
prefix-list {
User-PRIVATE-Blocks-01;
}
}
then next term;
}
term HTTP {
from {
protocol tcp;
destination-port http;
}
then {
count http;
forwarding-class best-effort;
routing-instance CPCD_REDIRECT;
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração da opção de política e declaração para usar uma lista de prefixo de blocos privados
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Crie uma opção de política e declaração para usar uma lista de prefixo de blocos privados sob a
[edit policy-options]hierarquia.[edit policy-options] user@host# set policy-statement User-PRIVATE-Blocks-01
Configure o endereço de origem para a lista de prefixos de blocos privados.
[edit policy-options policy-statement User-PRIVATE-Blocks-01] user@host# set 203.0.113.0/24
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show policy-options comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
root@host# show policy-options
policy-statement User-PRIVATE-Blocks-01 {
203.0.113.0/24;
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Usando a configuração de rota estática de borda de banda larga para assinante (versão Junos OS 23.4R1 para dispositivos da Série MX)
Iniciando o Junos 23.4R1, a configuração de rota estática de borda de banda larga para assinantes para BNG substitui a configuração de rota emoldurada radius. Agora, você pode configurar endereços IP estáticos para vários hosts no mesmo site.
Por exemplo:
- Use uma configuração pré-existente para adicionar as rotas à tabela de roteamento. Uma vez que essa configuração é comprometida, as rotas ficam ocultas até que o assinante com IP de assinante configurado apareça.
staticRoute { routing-options { access { route 7.7.7.7/32 next-hop 50.1.1.1; } } } - Você pode habilitar o recurso de rotas emolduradas estáticas no BNG em direção a uma conexão específica do cliente, usando o comando
static-framed-routesob o[edit system services subscriber-management]modo.user@root> set system services subscriber-management static-framed-route
- Agora, você pode usar o servidor RADIUS para fins de autenticação e não para o envio de rotas emolduradas.
Nota: As rotas emolduradas estáticas devem ser adicionadas, modificadas ou excluídas apenas quando os assinantes estiverem desativados.
Quando os assinantes surgem, as rotas emolduradas estáticas são anexadas a eles. A rota emoldurada estática é suportada apenas para IPv4.
Verificação
Para confirmar que os serviços de redirecionamento DE HTTP foram configurados corretamente em um conjunto de serviços, execute essas tarefas:
- Verificando o conjunto de serviços configurado para serviços DOCPs
- Verificação de detalhes de uma regra de serviço HTTP configurada para um jardim murado
Verificando o conjunto de serviços configurado para serviços DOCPs
Propósito
Exibir o conjunto de serviços DESPD configurado.
Ação
A partir do modo operacional, entre no show services captive-portal-content-delivery service-set http-redirect-sset detail comando.
user@host> show services captive-portal-content-delivery service-set http-redirect-sset detail
Service Set Id Profile Compiled Rules
http-redirect-sset 1 http-redirect 1
Significado
A saída lista o conjunto de serviços configurado para serviços DESPD.
Verificação de detalhes de uma regra de serviço HTTP configurada para um jardim murado
Propósito
Exibir detalhes para uma regra de serviço HTTP configurada específica para um jardim com paredes.
Ação
A partir do modo operacional, entre no show services captive-portal-content-delivery rule redirect term REDIRECT comando.
user@host> show services captive-portal-content-delivery rule redirect term REDIRECT Rule name: redirect Rule match direction: input Term name: term REDIRECT Term action: redirect Term action option: http://redirection-portal/redirection/
Significado
A saída lista detalhes de regra e termo para uma regra de serviço HTTP específica configurada para o jardim murado.