NESTA PÁGINA
Exemplo: configurar serviços de redirecionamento HTTP usando um método next-hop e anexá-lo a uma interface estática
Este exemplo mostra como configurar serviços de redirecionamento HTTP usando um método next-hop e anexando-o a uma interface estática.
Requerimentos
Este exemplo usa os seguintes componentes de hardware e software:
Plataforma de roteamento universal MX240, MX480 ou MX960 com um concentrador PIC modular multisserviços (MS-MPC) e uma placa de interfaces modulares multisserviços (MS-MIC) instaladas.
Junos OS versão 15.1 ou posterior.
Antes de começar:
Configure a conexão entre o servidor de redirecionamento e o roteador da Série MX.
Defina o endereço de origem (203.0.113.0/24 é usado neste exemplo).
Defina uma ou mais interfaces usadas para tráfego de assinantes.
Visão geral
Os serviços de redirecionamento e reescrita de HTTP são compatíveis com IPv4 e IPv6. Você pode anexar um serviço de redirecionamento HTTP ou um conjunto de serviços a uma interface estática ou dinâmica. Para o gerenciamento dinâmico de assinantes, você pode anexar serviços HTTP ou conjuntos de serviços dinamicamente no login do assinante ou usando uma alteração de autorização (CoA). Usando um método next-hop, você pode configurar serviços de redirecionamento HTTP e anexá-los a uma interface estática.
Configuração
Para configurar serviços de redirecionamento HTTP usando um método next-hop e anexá-lo a uma interface estática, execute estas tarefas:
- Configuração rápida da CLI
- Configurando os serviços CPCD e anexando o conjunto de serviços à interface estática
- Configurando o pacote e a instalação do CPCD
- Configurando a interface estática, os filtros de redirecionamento HTTP e as opções de serviço de interface
- Configuração da instância de roteamento adicional e atribuição de suas interfaces estáticas de próximo salto
- Configurando os filtros específicos da interface para direcionar o tráfego HTTP
- Configurando a opção e a instrução de política para usar uma lista de prefixos de blocos privados
- Uso da configuração de rota estática de borda de banda larga para assinante (Junos OS versão 23.4R1 para dispositivos da série MX)
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, cole-os em um arquivo de texto, remova todas as quebras de linha e, em seguida, copie e cole os comandos na CLI.
[edit] edit services captive-portal-content-delivery set rule redirect match-direction input set rule redirect term REDIRECT then redirect http://redirection-portal/redirection/ set profile http-redirect cpcd-rules redirect edit services service-set http-redirect-sset set captive-portal-content-delivery-profile http-redirect set next-hop-service inside-service-interface ms-11/1/0.1 set next-hop-service outside-service-interface ms-11/1/0.2 [edit] edit chassis fpc 11 pic 1 adaptive-services service-package set extension-provider package jservices-cpcd set extension-provider syslog daemon none set extension-provider syslog external none set extension-provider syslog kernel none set extension-provider syslog pfe none [edit] set interfaces ge-0/0/1 unit 900 description VLAN REDIRECT set interfaces ge-0/0/1 unit 900 vlan-id 900 set interfaces ge-0/0/1 unit 900 family inet filter input FF_HTTP_REDIR_IN set interfaces ge-0/0/1 unit 900 family inet address 203.0.113.250/30 edit interfaces ms-11/1/0 services-options open-timeout 4 edit interfaces ms-11/1/0 services-options close-timeout 2 edit interfaces ms-11/1/0 services-options inactivity-tcp-timeout 5 edit interfaces ms-11/1/0 services-options inactivity-non-tcp-timeout 5 edit interfaces ms-11/1/0 services-options session-timeout 5 edit interfaces ms-11/1/0 services-options tcp-tickles 0 set interfaces ms-11/1/0 unit 1 family inet set interfaces ms-11/1/0 unit 1 service-domain inside set interfaces ms-11/1/0 unit 2 filter output FF_CPCD_REDIRECT_OUTPUT set interfaces ms-11/1/0 unit 2 family inet set interfaces ms-11/1/0 unit 2 service-domain outside [edit] edit routing-instances CPCD_REDIRECT set instance-type virtual-router set interface ms-1/1/0.1 set interface ms-1/1/0.2 set routing-options static route 0.0.0.0/0 next-hop ms-1/1/0.1 set routing-options static route 203.0.113.0/24 next-hop ms-1/1/0.2 [edit] edit firewall family inet set filter FF_CPCD_REDIRECT_OUTPUT interface-specific set filter FF_CPCD_REDIRECT_OUTPUT term One then count back-to-default set filter FF_CPCD_REDIRECT_OUTPUT term One then routing-instance default set filter FF_HTTP_REDIR_IN interface-specific set filter FF_HTTP_REDIR_IN term ACCEPTED_PREFIXES from prefix-list User-PRIVATE-Blocks-01 set filter FF_HTTP_REDIR_IN term ACCEPTED_PREFIXES then next term set filter FF_HTTP_REDIR_IN term HTTP from protocol tcp set filter FF_HTTP_REDIR_IN term HTTP from destination-port http set filter FF_HTTP_REDIR_IN term HTTP then count HTTP set filter FF_HTTP_REDIR_IN term HTTP then forwarding-class best-effort set filter FF_HTTP_REDIR_IN term HTTP then routing-instance CPCD_REDIRECT [edit] edit policy-options policy-statement User-PRIVATE-Blocks-01 set 203.0.113.0/24
Configurando os serviços CPCD e anexando o conjunto de serviços à interface estática
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Usando o Editor de CLI no Modo de Configuração.
Configure o serviço de redirecionamento HTTP especificando o local para o qual a sessão inicial do navegador da Web de um assinante é redirecionada, permitindo o provisionamento inicial e a seleção de serviço para o assinante.
[edit services] user@host# edit captive-portal-content-delivery
Configure o filtro de serviço como um jardim murado definindo a regra que o roteador faz referência ao aplicar esse serviço HTTP.
[edit services captive-portal-content-delivery] user@host# edit rule redirect
Especifique se a regra corresponde ao tráfego que entra na interface.
[edit services captive-portal-content-delivery rule redirect] user@host# match-direction input
Crie as propriedades de correspondência de termo e ação para a regra CPCD para o serviço HTTP.
[edit services captive-portal-content-delivery rule redirect] user@host# set term REDIRECT then redirect http://redirection-portal/redirection/
Crie o perfil CPCD para o endereço de destino IP para redirecionar o serviço HTTP.
[edit services captive-portal-content-delivery] user@host# edit profile http-redirect
Especifique a regra CPCD para o serviço HTTP.
[edit services captive-portal-content-delivery profile http-redirect] user@host# set cpcd-rules redirect
Crie o conjunto de serviços para os serviços CPCD.
[edit services service-set] user@host# edit http-redirect-sset
Especifique o perfil CPCD para o conjunto de serviços.
[edit services service-set http-redirect-sset] user@host# set captive-portal-content-delivery-profile http-redirect
Especifique o nome da interface para o serviço next-hop para interfaces de serviço internas e externas e anexe-as a interfaces estáticas.
[edit services service-set http-redirect-sset] user@host# set next-hop-service inside-service-interface ms-11/1/0.1 user@host# set next-hop-service outside-service-interface ms-11/1/0.2
Resultados
No modo de configuração, confirme sua configuração digitando o show services comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
root@host# show services
captive-portal-content-delivery {
rule redirect {
match-direction input;
term REDIRECT {
then {
redirect http://redirection-portal/redirection/;
}
}
}
profile http-redirect {
cpcd-rules redirect;
}
}
service-set http-redirect-sset {
captive-portal-content-delivery-profile http-redirect;
next-hop-service {
inside-service-interface ms-11/1/0.1;
outside-service-interface ms-11/1/0.2;
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Configurando o pacote e a instalação do CPCD
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Usando o Editor de CLI no Modo de Configuração.
Configure o Junos OS para oferecer suporte ao pacote de serviços em uma interface de serviço em uma Plataforma de roteamento universal 5G da Série MX com MS-MPCs/MS-MICs.
[edit chassis] user@host# edit fpc 11 pic 1 adaptive-services service-package
Configure o pacote de serviços CPCD para ser executado no PIC. Quando a
extension-providerinstrução é configurada pela primeira vez, o PIC é reinicializado.[edit chassis fpc 11 pic 1 adaptive-services service-package] user@host# set extension-provider package jservices-cpcd
Habilite o log do sistema PIC para registrar ou visualizar mensagens de log do sistema no PIC, mas não inclua processos de daemon, externos, kernel ou Mecanismo de Encaminhamento de Pacotes.
[edit chassis fpc 11 pic 1 adaptive-services service-package extension-provider] user@host# set extension-provider syslog daemon none user@host# set extension-provider syslog external none user@host# set extension-provider syslog kernel none user@host# set extension-provider syslog pfe none
Resultados
No modo de configuração, confirme sua configuração digitando o show chassis comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
root@host# show chassis
fpc 11 {
pic 1 {
adaptive-services {
service-package {
extension-provider {
package jservices-cpcd;
syslog {
daemon none;
external none;
kernel none;
pfe none;
}
}
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Configurando a interface estática, os filtros de redirecionamento HTTP e as opções de serviço de interface
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Usando o Editor de CLI no Modo de Configuração.
Configure uma interface Gigabit com uma interface lógica na qual o tráfego chega antes de ser redirecionado.
[edit interfaces] user@host# edit ge-0/0/1 unit 900
Atribua uma descrição e um ID de VLAN à interface lógica.
[edit interfaces ge-0/0/1 unit 900] user@host# set description VLAN-REDIRECT user@host# set vlan-id 900
Configure a família IPv4 para a interface.
[edit interfaces ge-0/0/1 unit 900] user@host# edit family inet
Configure um filtro de entrada para avaliar quando os pacotes são recebidos e redirecionados na interface.
[edit interfaces ge-0/0/1 unit 900 family inet] user@host# set filter input FF_HTTP_REDIR_IN
Configure um endereço para o filtro de entrada.
[edit interfaces ge-0/0/1 unit 900 family inet] user@host# set address 203.0.113.250/30
Configure as opções de serviço a serem aplicadas na interface de multisserviços.
[edit interfaces] user@host# edit ms-11/1/0 services-options
Observação:Os valores configurados para as opções de serviço são mostrados apenas para exemplo. Você deve configurar e provisionar valores apropriados de acordo com o requisito.
Especifique os períodos de tempo limite de abertura e fechamento em segundos para o estabelecimento da sessão TCP (Transmission Control Protocol).
[edit interfaces ms-11/1/0 services-options] user@host# set open-timeout 4 user@host# set close-timeout 2
Especifique os períodos de tempo limite de inatividade em segundos para sessões TCP e não TCP estabelecidas.
[edit interfaces ms-11/1/0 services-options] user@host# set inactivity-tcp-timeout 5 set inactivity-non-tcp-timeout 5
Especifique o tempo de vida da sessão em segundos globalmente para a interface de multisserviços.
[edit interfaces ms-11/1/0 services-options] user@host# set session-timeout 5
Especifique o número máximo de mensagens keep-alive enviadas antes que uma sessão TCP tenha permissão para atingir o tempo limite.
[edit interfaces ms-11/1/0 services-options] user@host# set tcp-tickles 0
Configure uma interface lógica na interface de multisserviços.
[edit interfaces ms-11/1/0] user@host# edit unit 1
Configure o domínio de serviço para especificar que a interface lógica é usada na rede.
[edit interfaces ms-11/1/0 unit 1] user@host# set service-domain inside
Configure a família de endereços IPv4 na interface lógica.
[edit interfaces ms-11/1/0 unit 1] user@host# set family inet
Configure uma segunda interface lógica na interface Multiservices.
[edit interfaces ms-11/1/0] user@host# edit unit 2
Configure o domínio de serviço para especificar que a interface lógica é usada fora da rede.
[edit interfaces ms-11/1/0 unit 2] user@host# set service-domain outside
Configure um filtro de saída para redirecionar pacotes CPCD da interface lógica.
[edit interfaces ms-11/1/0 unit 2] user@host# set filter output FF_CPCD_REDIRECT_OUTPUT
Configure a família de endereços IPv4 na interface lógica.
[edit interfaces ms-11/1/0 unit 2] user@host# set family inet
Resultados
No modo de configuração, confirme sua configuração digitando o show interfaces comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
root@host# show interfaces
ge-0/0/1 {
unit 900 {
description VLAN-REDIRECT;
vlan-id 900;
}
family inet {
filter {
input FF_HTTP_REDIR_IN;
}
address 203.0.113.250/30;
}
}
ms-11/1/0 {
services-options {
open-timeout 4;
close-timeout 2;
inactivity-tcp-timeout 5;
inactivity-non-tcp-timeout 5;
session-timeout 5;
tcp-tickles 0;
}
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet {
filter {
output FF_CPCD_REDIRECT_OUTPUT;
}
}
service-domain outside;
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração da instância de roteamento adicional e atribuição de suas interfaces estáticas de próximo salto
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Usando o Editor de CLI no Modo de Configuração.
Configure uma instância de roteamento.
[edit routing-instances] user@host# edit CPCD_REDIRECT
Configure uma instância de roteamento de roteador virtual.
[edit routing-instances CPCD_REDIRECT] user@host# set instance-type virtual-router
Configure as duas interfaces multisserviços definidas anteriormente para a instância de roteamento.
[edit routing-instances CPCD_REDIRECT] user@host# set interface ms-11/1/0.1 user@host# set interface ms-11/1/0.2
Configure as opções de roteamento estático.
[edit routing-instances CPCD_REDIRECT] user@host# edit routing-options static
Atribua as interfaces estáticas do próximo salto às rotas e à instância de roteamento.
[edit routing-instances CPCD_REDIRECT routing-options static] user@host# set route 0.0.0.0/0 next-hop ms-11/1/0.1 user@host# set route 203.0.113.0/24 next-hop ms-11/1/0.2
Resultados
No modo de configuração, confirme sua configuração digitando o show routing-instances comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
root@host# show routing-instances
CPCD_REDIRECT {
instance-type virtual-router;
interface ms-11/1/0.1;
interface ms-11/1/0.2;
routing-options {
static {
route 0.0.0.0/0 next-hop ms-11/1/0.1;
route 203.0.113.0/24 next-hop ms-11/1/0.2;
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Configurando os filtros específicos da interface para direcionar o tráfego HTTP
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Usando o Editor de CLI no Modo de Configuração.
Crie uma família para o filtro de serviço na
[edit firewall]hierarquia.[edit firewall] user@host# edit family inet
Crie um filtro específico da interface para redirecionar o tráfego de saída para o CPCD.
[edit firewall family inet] user@host# edit filter FF_CPCD_REDIRECT_OUTPUT
Especifique que esse é um filtro específico da interface.
[edit firewall family inet filter FF_CPCD_REDIRECT_OUTPUT] user@host# set interface-specific
Crie um termo de filtro para o filtro específico da interface para o jardim murado.
[edit firewall family inet filter FF_CPCD_REDIRECT_OUTPUT] user@host# edit term One
Especifique a ação para contar o tráfego padrão e a instância de roteamento padrão.
[edit firewall family inet filter FF_CPCD_REDIRECT_OUTPUT interface-specific term One] user@host# set then count back-to-default set then routing-instance default
Crie um filtro para redirecionar o tráfego de entrada HTTP.
[edit firewall family inet] user@host# edit filter FF_HTTP_REDIR_IN
Especifique que esse é um filtro específico da interface.
[edit firewall family inet filter FF_HTTP_REDIR_IN] user@host# set interface-specific
Crie um termo de filtro para o filtro específico da interface para o jardim murado.
[edit firewall family inet filter FF_HTTP_REDIR_IN] user@host# edit term ACCEPTED_PREFIXES
Especifique a lista de prefixos aceitos como condições de correspondência para o filtro do jardim murado.
[edit firewall family inet filter FF_HTTP_REDIR_IN term ACCEPTED_PREFIXES] user@host# set from prefix-list User-PRIVATE-Blocks-01
Especifique a ação a ser executada para todo o tráfego HTTP correspondente.
[edit firewall family inet filter FF_HTTP_REDIR_IN term ACCEPTED_PREFIXES] user@host# set then next term
Crie um segundo termo de filtro para o filtro do jardim murado.
[edit firewall family inet filter FF_HTTP_REDIR_IN interface-specific] user@host# edit term HTTP
Especifique o protocolo e a porta de destino como condições de correspondência para o filtro do jardim murado.
[edit firewall family inet filter FF_HTTP_REDIR_IN term HTTP] user@host# set from protocol tcp user@host# set from destination-port http
Especifique a ação a ser executada para corresponder ao tráfego HTTP destinado a fluir para fora do jardim murado.
[edit firewall family inet filter filter FF_HTTP_REDIR_IN interface-specific term HTTP] user@host# set then count HTTP user@host# set then forwarding-class best-effort user@host# set then routing-instance CPCD_REDIRECT
Resultados
No modo de configuração, confirme sua configuração digitando o show firewall comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
root@host# show firewall
family inet {
filter FF_CPCD_REDIRECT_OUTPUT {
interface-specific;
term One {
then {
count back-to-default;
routing-instance default;
}
}
}
filter FF_HTTP_REDIR_IN {
interface-specific;
term ACCEPTED_PREFIXES {
from {
prefix-list {
User-PRIVATE-Blocks-01;
}
}
then next term;
}
term HTTP {
from {
protocol tcp;
destination-port http;
}
then {
count http;
forwarding-class best-effort;
routing-instance CPCD_REDIRECT;
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Configurando a opção e a instrução de política para usar uma lista de prefixos de blocos privados
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Usando o Editor de CLI no Modo de Configuração.
Crie uma opção de política e uma instrução para usar uma lista de prefixos
[edit policy-options]de blocos privados na hierarquia.[edit policy-options] user@host# set policy-statement User-PRIVATE-Blocks-01
Configure o endereço de origem para a lista de prefixos de blocos privados.
[edit policy-options policy-statement User-PRIVATE-Blocks-01] user@host# set 203.0.113.0/24
Resultados
No modo de configuração, confirme sua configuração digitando o show policy-options comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
root@host# show policy-options
policy-statement User-PRIVATE-Blocks-01 {
203.0.113.0/24;
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Uso da configuração de rota estática de borda de banda larga para assinante (Junos OS versão 23.4R1 para dispositivos da série MX)
A partir do Junos 23.4R1, a configuração de rota estática de borda de banda larga para assinantes para BNG substitui a configuração de rota emoldurada RADIUS. Agora você pode configurar endereços IP estáticos para vários hosts no mesmo site.
Por exemplo:
- Use uma configuração pré-existente para adicionar as rotas à tabela de roteamento. Depois que essa configuração é confirmada, as rotas ficam ocultas até que o assinante com IP de assinante configurado apareça.
staticRoute { routing-options { access { route 7.7.7.7/32 next-hop 50.1.1.1; } } } - Você pode habilitar o recurso de rotas emolduradas estáticas no BNG para uma conexão de cliente específica, usando o comando
static-framed-routeno[edit system services subscriber-management]modo.user@root> set system services subscriber-management static-framed-route
- Agora você pode usar o servidor RADIUS para fins de autenticação e não para enviar rotas emolduradas.
Observação: As rotas emolduradas estáticas devem ser adicionadas, modificadas ou excluídas somente quando os assinantes estiverem inativos. Quando os assinantes aparecem, as rotas estáticas emolduradas são anexadas a eles. A rota estática emoldurada é suportada apenas para IPv4.
Verificação
Para confirmar se os serviços de redirecionamento HTTP foram configurados corretamente em um conjunto de serviços, execute estas tarefas:
- Verificando o conjunto de serviços configurado para serviços CPCD
- Verificando detalhes de uma regra de serviço HTTP configurada para um jardim murado
Verificando o conjunto de serviços configurado para serviços CPCD
Finalidade
Exiba o conjunto de serviços CPCD configurado.
Ação
Do modo operacional, insira o show services captive-portal-content-delivery service-set http-redirect-sset detail comando.
user@host> show services captive-portal-content-delivery service-set http-redirect-sset detail
Service Set Id Profile Compiled Rules
http-redirect-sset 1 http-redirect 1
Significado
A saída lista o conjunto de serviços configurado para serviços CPCD.
Verificando detalhes de uma regra de serviço HTTP configurada para um jardim murado
Finalidade
Exiba detalhes de uma regra de serviço HTTP configurada específica para um jardim murado.
Ação
Do modo operacional, insira o show services captive-portal-content-delivery rule redirect term REDIRECT comando.
user@host> show services captive-portal-content-delivery rule redirect term REDIRECT Rule name: redirect Rule match direction: input Term name: term REDIRECT Term action: redirect Term action option: http://redirection-portal/redirection/
Significado
A saída lista os detalhes da regra e do termo para uma regra de serviço HTTP específica configurada para o jardim murado.