Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Configuração de serviços de redirecionamento HTTP convergente baseado em mecanismo de roteamento

Observação:

A partir do Junos OS Release 19.3R1, o serviço de redirecionamento HTTP também é suportado se você tiver habilitado os serviços de próxima geração na Série MX.

Você pode configurar serviços de redirecionamento HTTP convergidos no Mecanismo de Roteamento como uma alternativa ao uso de uma placa de serviços MS-MPC/MS-MIC ou MX-SPC3. O provisionamento de serviço convergente separa a definição de serviço da instanciação de serviço. Depois que um serviço é definido, ele pode ser instanciado dinamicamente no login do assinante ou usando uma alteração de autorização (CoA) no meio da sessão. A instanciação do serviço usa apenas o nome do serviço definido, ocultando todos os detalhes do serviço dos operadores do sistema. O provisionamento de serviços convergentes suporta a parametrização de serviços, que corresponde a variáveis dinâmicas em perfis dinâmicos.

Para serviços de redirecionamento HTTP convergentes, isso significa que você define o serviço e as regras de serviço em um perfil dinâmico. As regras de serviço CPCD são criadas dinamicamente com base nas variáveis configuradas no perfil dinâmico.

Opcionalmente, você pode optar por parametrizar a URL de redirecionamento incluindo a definição de uma redirect-url variável no perfil dinâmico. O valor da variável é fornecido por um RADIUS VSA durante a apresentação do assinante ou com uma mensagem de Alteração de Autorização (CoA). Isso permite que você personalize os URLs de redirecionamento para cada assinante. Você pode definir um valor padrão para a URL usada se nenhum valor for fornecido pelo RADIUS.

Você configura o jardim murado como um filtro de serviço de firewall. Um jardim murado é um grupo de servidores que fornece acesso de assinante a sites dentro do jardim murado sem exigir reautorização por meio de um portal cativo. O filtro de serviço de jardim murado identifica o tráfego destinado ao jardim murado e o tráfego destinado fora do jardim murado. Somente o tráfego HTTP destinado fora do jardim murado é passado para o serviço dinâmico para processamento.

As interfaces de serviço no Mecanismo de Roteamento são identificadas com um prefixo si- (por exemplo, si-1/1/0). A interface SI processa todo o tráfego e serviços de redirecionamento e reescrita para o Mecanismo de Roteamento. A interface si deve estar operacional com um status de up para habilitar e ativar o serviço de entrega de conteúdo do portal cativo (CPCD). Depois que o serviço CPCD é habilitado, qualquer alteração no estado operacional da interface si não afeta os serviços CPCD existentes.

Assim como para serviços de redirecionamento HTTP estático, um perfil de serviço contém as regras de serviço. Você configura um conjunto de serviços fora do perfil dinâmico para associar o perfil de serviço CPCD a uma interface de serviço si específica no Mecanismo de Roteamento. No perfil dinâmico, você aplica o conjunto de serviços e o filtro de serviço de jardim murado a uma interface dinâmica.

Configurando um jardim murado como um filtro de serviço de firewall

Quando você configura o jardim murado como um filtro de serviço de firewall, o tráfego destinado a servidores dentro do jardim murado é identificado e ignorado. Como esse tráfego não flui para a placa de linha, os requisitos de manuseio são reduzidos.

Todos os outros tráfegos HTTP são destinados a endereços fora do jardim murado. Como esse tráfego não corresponde às condições de filtro, ele flui para a placa de linha para manipulação.

Você pode configurar o filtro de serviço para que o jardim murado contenha um único servidor como o portal cativo ou uma lista de servidores.

  • Configure o jardim murado com um único servidor como o portal cativo:

    1. Crie o filtro de serviço.

    2. Defina um termo de filtro para identificar e ignorar o processamento de tráfego para o portal cativo.

      1. Especifique as condições de filtro para corresponder ao tráfego destinado ao portal cativo, especificando o endereço de destino do portal cativo e a porta de destino.

      2. Especifique que o tráfego correspondente ignora o processamento na placa de linha.

    3. Defina um termo de filtro para identificar o tráfego HTTP de todo o tráfego que não correspondeu ao termo anterior e envie-o para processamento por regras de serviço CPCD.

      1. Especifique um ou mais números de porta HTTP para corresponder ao tráfego HTTP ignorado.

      2. Especifique que o tráfego correspondente é processado por um serviço CPCD.

    4. Defina um termo de filtro para ignorar ações adicionais para qualquer tráfego não HTTP restante.

    Por exemplo, a configuração a seguir cria um filtro para o tráfego HTTP IPv4, walled-v4, com o portal cativo em 192.0.2.0. O tráfego correspondente ao endereço é ignorado. O tráfego não correspondente vai para o termo http, em que o tráfego HTTP é escolhido de todo o tráfego ignorado e enviado para ser processado de acordo com um serviço CPCD. Por fim, o salto de termo faz com que todo o tráfego não HTTP restante seja ignorado.

  • Configure o jardim murado como uma lista ou sub-rede de servidores.

    1. Crie o filtro de serviço.

    2. Defina um termo de filtro.

      1. Especifique as condições de filtro para corresponder ao tráfego destinado a qualquer servidor no jardim murado, especificando uma lista de prefixos de destino de servidores.

      2. Especifique que o tráfego correspondente ignora o processamento na placa de linha.

    3. Defina um termo de filtro para identificar o tráfego HTTP de todo o tráfego que não correspondeu ao termo anterior e envie-o para processamento por regras de serviço CPCD.

      1. Especifique um ou mais números de porta HTTP para corresponder ao tráfego HTTP ignorado.

      2. Especifique que o tráfego correspondente é processado por um serviço CPCD.

    4. Defina um termo de filtro para ignorar ações adicionais para qualquer tráfego não HTTP restante.

    5. (Opcional) Defina uma lista de prefixos que especifique os servidores dentro do jardim murado. Você pode especificar uma sub-rede ou vários endereços individuais.

    Por exemplo, a configuração a seguir cria um filtro de serviço para tráfego HTTP IPv6, walled-v6-list, com uma lista de prefixos, wg-list, que especifica dois servidores no jardim murado. O termo de filtro portal6 identifica o tráfego IPv6 destinado ao jardim murado. O tráfego não correspondente vai para o termo http6, em que o tráfego HTTP é escolhido de todo o tráfego ignorado e enviado para ser processado de acordo com um serviço CPCD. Por fim, o salto de termo faz com que todo o tráfego não HTTP restante seja ignorado.

Configurando o redirecionamento HTTP para servidores de redirecionamento locais e remotos

Quando solicitações HTTP são feitas para sites fora do jardim murado, o CPCD pode redirecionar o tráfego para um portal cativo para autenticação e autorização.

Configure uma regra de serviço CPCD que especifica a ação a ser executada para o tráfego HTTP identificado pelo filtro de serviço de jardim murado e passado para o serviço. A ação que você configura depende se você está usando um servidor de redirecionamento HTTP local ou remoto:

  • Se você estiver usando um servidor de redirecionamento HTTP local no roteador, especifique a ação de redirecionamento.

  • Se você estiver usando um servidor de redirecionamento HTTP remoto, que reside em um jardim murado atrás do roteador, não poderá simplesmente especificar uma URL de redirecionamento. Nesse caso, a regra de serviço deve reescrever o endereço IP de destino para o tráfego. O novo endereço de destino é o endereço do servidor de redirecionamento HTTP remoto. Em seguida, o servidor remoto fornece uma URL de redirecionamento para enviar o tráfego para um portal cativo.

  1. Configure o perfil dinâmico.
  2. Acesse o nível de configuração do serviço CPCD dinâmico.
  3. Crie uma regra a ser aplicada ao tráfego destinado fora do jardim murado.
  4. Especifique que a regra se aplica ao tráfego de entrada.
  5. Especifique a ação a ser tomada para o tráfego correspondente. Como o jardim murado é um filtro de serviço, o tráfego já é identificado como tráfego HTTP antes de ser enviado ao serviço.

    • Para um servidor de redirecionamento HTTP local, forneça a URL de redirecionamento, que é a URL do portal cativo com a URL original (fora do jardim murado) anexada:

    • Para um servidor de redirecionamento HTTP remoto, forneça o endereço de destino do servidor remoto:

Por exemplo, na configuração a seguir para um servidor local, o perfil dinâmico http-redir-converged inclui a regra de serviço CPCD redir-svc. A regra redireciona o tráfego para um portal cativo, http://www.portal.example.com. A URL original inserida pelo assinante é anexada à URL de redirecionamento. O perfil de serviço CPCD redir-prof inclui a regra e, posteriormente, será aplicado a uma interface de serviço por um conjunto de serviços.

A configuração a seguir para um servidor remoto cria a regra de serviço CPCD rewr-svc que regrava o endereço de destino original no endereço do servidor remoto, 192.0.2.230.

Configuração da parametrização para a URL de redirecionamento

Opcionalmente, você pode optar por parametrizar a URL de redirecionamento e o endereço de destino de reescrita especificando variáveis definidas pelo usuário no perfil dinâmico. A parametrização significa que a URL ou o endereço se torna uma variável dinâmica. O valor é fornecido pelo RADIUS quando o assinante é autenticado ou quando um CoA é recebido. Consequentemente, você pode usar os atributos RADIUS para fornecer diferentes URLs ou endereços de destino para diferentes assinantes.

  1. Configure o perfil dinâmico.
  2. Acesse o nível de configuração da variável personalizada.
  3. Defina a variável para a URL de redirecionamento, o endereço de destino de reescrita ou ambos. Especifique que o valor da variável dinâmica é fornecido por um servidor externo, normalmente RADIUS.
    Observação:

    Você pode nomear as variáveis como quiser, mas nomes como redirect-url e rewrite-da deixam o propósito claro.
  4. Na regra CPCD, especifique a variável acrescentando um cifrão ($) ao nome da variável.

    • Para um servidor de redirecionamento HTTP local, forneça a variável de redirecionamento:

    • Para um servidor de redirecionamento HTTP remoto, forneça a variável de endereço de destino:

Por exemplo, a configuração a seguir mostra duas variáveis definidas pelo usuário, redirect-url e rewrite-da, que exigem valores fornecidos externamente quando são instanciadas. A regra de serviço CPCD redir1 especifica que o tráfego é redirecionado para $redirect-url. A regra de serviço CPCD rewr1 especifica que o endereço de destino do tráfego é reconfigurado para $rewrite-da.

Configurando o conjunto de serviços para associar o perfil de serviço a uma interface de serviço

Os conjuntos de serviços definem um ou mais serviços a serem executados pelo Mecanismo de Roteamento. Para serviços de redirecionamento HTTP, você define um perfil de serviço CPCD que inclui regras CPCD. O conjunto de serviços aplica o perfil de serviço CPCD a uma interface de serviço específica.

  1. Crie o perfil de serviço.
  2. Especifique uma ou mais regras de CPCD configuradas no perfil dinâmico de CPCD para o perfil de serviço.
  3. Especifique que este é um serviço CPCD convergente.
  4. Crie o conjunto de serviços.
  5. Especifique que o conjunto de serviços é para o CPCD baseado no Mecanismo de Roteamento.
  6. Especifique o perfil de serviço CPCD.
  7. Especifique a interface de serviço.

Por exemplo, a configuração a seguir cria o perfil de serviço CPCD redir-prof, que faz referência à regra CPCD redir-svc. O conjunto de serviços cvgd associa o perfil de serviço CPCD rewr-prof à interface de serviço si-4/0/0.

Anexando um conjunto de serviços CPCD e um filtro de serviço a uma interface lógica dinâmica

Para usar os serviços de redirecionamento HTTP, você deve anexar o conjunto de serviços CPCD a uma interface lógica. Como o jardim murado está configurado como um filtro de serviço, você deve anexá-lo à mesma interface que o conjunto de serviços. O tráfego que entra e sai dessa interface é filtrado pelo filtro de serviço. O tráfego identificado para manutenção é enviado para a interface de serviço do Mecanismo de Roteamento onde o perfil CPCD é aplicado.

Observação:

Este procedimento mostra apenas elementos da configuração de perfil dinâmico que são específicos para a configuração de serviços convergidos. O perfil dinâmico completo depende do seu caso de uso.
  1. Configure o perfil dinâmico.
  2. Configure a interface física dinâmica.
  3. Configure a interface lógica dinâmica.
  4. Configure a família de endereços.
  5. Anexe o conjunto de serviços e o filtro de serviço à interface.

Por exemplo, a configuração a seguir cria o perfil dinâmico http-redir-converged. Ele especifica variáveis predefinidas para criar as interfaces físicas e lógicas dinâmicas na família de endereços IPv4. O perfil anexa o conjunto de serviços cvgd e o filtro de serviço walled-v4 à interface lógica dinâmica quando ele é criado no login do assinante. O conjunto de serviços e o filtro são aplicados à entrada e saída da interface.

Documentação relacionada