NESTA PÁGINA
Configurando um jardim com paredes como um filtro de serviço de firewall
Configuração de redirecionamento HTTP para servidores de redirecionamento local e remoto
Configuração da parametrização para a URL de redirecionamento
Configuração do conjunto de serviços para associar o perfil de serviço a uma interface de serviço
Anexação de um conjunto de serviços e filtro de serviços DOSP a uma interface lógica dinâmica
Configuração de serviços de redirecionamento HTTP convergidos e baseados em mecanismos de roteamento
A partir do junos OS Release 19.3R1, o serviço de redirecionamento HTTP também é suportado se você tiver habilitado serviços de próxima geração na Série MX.
Você pode configurar serviços de redirecionamento HTTP convergidos no Mecanismo de Roteamento como uma alternativa ao uso de uma placa de serviços MS-MPC/MS-MIC ou MX-SPC3. O provisionamento convergente de serviços separa a definição do serviço da instanciação do serviço. Após a definição de um serviço, um serviço pode ser instanciado dinamicamente no login do assinante ou usando uma mudança de autorização (CoA) no meio da sessão. A instanciação de serviço usa apenas o nome do serviço definido, escondendo todos os detalhes do serviço dos operadores do sistema. O provisionamento convergente de serviços oferece suporte à parametrização de serviços, que corresponde a variáveis dinâmicas dentro de perfis dinâmicos.
Para serviços de redirecionamento HTTP convergentes, isso significa que você define as regras de serviço e serviço em um perfil dinâmico. As regras de serviço DOSPD são criadas dinamicamente com base nas variáveis configuradas no perfil dinâmico.
Opcionalmente, você pode optar por parametrizar a URL de redirecionamento, incluindo a definição de uma redirect-url
variável no perfil dinâmico. O valor da variável é fornecido por um RADIUS VSA durante a criação de assinantes ou com uma mensagem de Mudança de Autorização (CoA). Isso permite que você personalize as URLs de redirecionamento para cada assinante. Você pode definir um valor padrão para a URL que é usado se nenhum valor for fornecido pelo RADIUS.
Você configura o jardim com paredes como um filtro de serviço de firewall. Um jardim murado é um grupo de servidores que fornecem acesso ao assinante a locais dentro do jardim murado sem exigir reautorização por meio de um portal cativo. O filtro de serviço de jardim murado identifica o tráfego destinado ao jardim murado e ao tráfego destinado fora do jardim murado. Apenas o tráfego HTTP destinado fora do jardim murado é passado para o serviço dinâmico de processamento.
As interfaces de serviço no mecanismo de roteamento são identificadas com um si-prefix (por exemplo, si-1/1/0). A si-interface processa todos os redirecionamentos e reescritos de tráfego e serviços para o Mecanismo de Roteamento. A interface si deve estar operacional com um status de até ativar e ativar o serviço de entrega de conteúdo de portal cativo (CDCD). Após a habilitação do serviço DOSP, qualquer alteração no estado operacional da interface si não afeta os serviços DESPD existentes.
Assim como para serviços de redirecionamento DE HTTP estáticos, um perfil de serviço contém as regras do serviço. Você configura um conjunto de serviços fora do perfil dinâmico para associar o perfil de serviços DOSP com uma interface de serviço si específica no Mecanismo de Roteamento. Dentro do perfil dinâmico, você aplica o conjunto de serviços e o filtro de serviços de jardim em parede em uma interface dinâmica.
Configurando um jardim com paredes como um filtro de serviço de firewall
Quando você configura o jardim murado como um filtro de serviço de firewall, o tráfego destinado a servidores dentro do jardim murado é identificado e indispensado. Como esse tráfego não flui para a placa de linha, os requisitos de manuseio são reduzidos.
Todo o outro tráfego HTTP é destinado a endereços fora do jardim murado. Como esse tráfego não corresponde às condições do filtro, ele flui para a placa de linha para manuseio.
Você pode configurar o filtro de serviço para que o jardim com paredes contenha um único servidor como portal cativo ou uma lista de servidores.
Configure o jardim com paredes com um único servidor como portal cativo:
Crie o filtro de serviço.
[edit] user@host# edit firewall family address-family service-filter filter-name
Defina um termo de filtro para identificar e pular o processamento do tráfego para o portal cativo.
Especifique as condições do filtro para combinar o tráfego destinado ao portal cativo especificando o endereço de destino do portal cativo e da porta de destino.
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-address ip-address user@host# set term name from destination-port port-number
Especifique que o tráfego correspondente ignora o processamento na placa de linha.
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
Defina um termo de filtro para identificar o tráfego HTTP de todo o tráfego que não correspondia ao termo anterior e envie-o para processamento pelas regras de serviços do CDC.
Especifique um ou mais números de porta HTTP para combinar com o tráfego HTTP indispedado.
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-port http-port-number
Especifique que o tráfego correspondente é processado por um serviço DESPD.
[edit firewall family inet service-filter filter-name] user@host# set term name then service
Defina um termo de filtro para pular mais ações para qualquer tráfego não-HTTP restante.
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
Por exemplo, a configuração a seguir cria um filtro para tráfego HTTP IPv4, walled-v4, com o portal cativo em 192.0.2.0. O tráfego correspondente ao endereço é indispediado. O tráfego sem correspondência vai para o termo http, onde o tráfego HTTP é escolhido de todo o tráfego indispensado e enviado para ser processado de acordo com um serviço DAPP. Por fim, o salto de prazo faz com que todo o tráfego não-HTTP restante seja ignorado.
[edit] user@host# edit firewall family inet service-filter walled-v4 [edit firewall family inet service-filter walled-v4] user@host# set term portal from destination-address 192.0.2.0 user@host# set term portal from destination-port 80 user@host# set term portal then skip user@host# set term http from destination-port 80 user@host# set term http then service user@host# set term skip then skip
Configure o jardim com paredes como uma lista ou sub-rede de servidores.
Crie o filtro de serviço.
[edit] user@host# edit firewall family address-family service-filter filter-name
Definir um termo de filtro.
Especifique as condições do filtro para combinar o tráfego destinado a qualquer servidor no jardim com paredes, especificando uma lista de prefixo de destino de servidores.
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-prefix-list list-name user@host# set term name from destination-port port-number
Especifique que o tráfego correspondente ignora o processamento na placa de linha.
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
Defina um termo de filtro para identificar o tráfego HTTP de todo o tráfego que não correspondia ao termo anterior e envie-o para processamento pelas regras de serviços do CDC.
Especifique um ou mais números de porta HTTP para combinar com o tráfego HTTP indispedado.
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-port http-port-number
Especifique que o tráfego correspondente é processado por um serviço DESPD.
[edit firewall family inet service-filter filter-name] user@host# set term name then service
Defina um termo de filtro para pular mais ações para qualquer tráfego não-HTTP restante.
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
(Opcional) Definir uma lista de prefixo que especifica servidores dentro do jardim com paredes. Você pode especificar uma sub-rede ou vários endereços individuais.
[edit policy-options] user@host# set prefix-list list- name ip-address/mask user@host# set prefix-list list- name ip-address1 user@host# set prefix-list list- name ip-address2
Por exemplo, a configuração a seguir cria um filtro de serviço para tráfego HTTP IPv6, walled-v6-list, com uma lista de prefixo, wg-list, que especifica dois servidores no jardim murado. O termo filtro portal6 identifica o tráfego IPv6 destinado ao jardim murado. O tráfego sem correspondência vai para o termo http6, onde o tráfego HTTP é escolhido de todo o tráfego indispensado e enviado para ser processado de acordo com um serviço DAPP. Por fim, o salto de prazo faz com que todo o tráfego não-HTTP restante seja ignorado.
[edit] user@host# edit firewall family inet6 service-filter walled-v6-list user@host# set term portal6 from destination-prefix-list wg-list user@host# set term portal6 then skip user@host# set term http6 from destination-port [80 8080] user@host# set term http6 then service user@host# set term skip6 then skip [edit policy-options] user@host# set prefix-list wg-list 2001:db8::10.10 user@host# set prefix-list wg-list 2001:db8::10.22
Configuração de redirecionamento HTTP para servidores de redirecionamento local e remoto
Quando são feitas solicitações de HTTP para locais fora do jardim murado, a CPCD pode redirecionar o tráfego para um portal cativo para autenticação e autorização.
Configure uma regra de serviço do CDCC que especifica a ação a ser tomada para o tráfego HTTP identificado pelo filtro de serviço de jardim murado e passado para o serviço. A ação configurada depende se você está usando um servidor de redirecionamento HTTP local ou remoto:
Se você estiver usando um servidor de redirecionamento HTTP local no roteador, especifique a ação de redirecionamento.
Se você estiver usando um servidor de redirecionamento HTTP remoto, que reside em um jardim com paredes atrás do roteador, então você não pode simplesmente especificar uma URL de redirecionamento. Neste caso, a regra de serviço deve reescrever o endereço de destino IP para o tráfego. O novo endereço de destino é o endereço do servidor de redirecionamento HTTP remoto. O servidor remoto então fornece uma URL de redirecionamento para enviar o tráfego para um portal cativo.
Por exemplo, na configuração a seguir para um servidor local, o perfil dinâmico http-redir-convergido inclui a regra de serviços DOSPs redir-svc. A regra redireciona o tráfego para um portal cativo, http://www.portal.example.com
A URL original inscrita pelo assinante é anexada à URL de redirecionamento. O perfil de serviços DOSP redir-prof inclui a regra e, posteriormente, será aplicado a uma interface de serviço por um conjunto de serviços.
user@host# edit dynamic-profiles http-redir-converged user@host# edit services captive-portal-content-delivery user@host# edit rule redir-svc user@host# set match-direction input user@host# set term redir1 then redirect http://www.portal.example.com/url=%dest-url%
A configuração a seguir para um servidor remoto cria o reescrito de regra de serviços DOSP que reescreve o endereço de destino original para o endereço do servidor remoto, 192.0.230.
user@host# edit dynamic-profiles http-redir-converged user@host# edit services captive-portal-content-delivery user@host# edit rule rewr-svc user@host# set match-direction input user@host# set term rewr1 then rewrite destination-address 192.0.2.230
Configuração da parametrização para a URL de redirecionamento
Você pode escolher opcionalmente parametrizar a URL de redirecionamento e o endereço de destino de reescrita especificando variáveis definidas pelo usuário no perfil dinâmico. Parametrização significa que URL ou endereço se torna uma variável dinâmica. O valor é fornecido pela RADIUS quando o assinante é autenticado ou quando um CoA é recebido. Consequentemente, você pode usar os atributos RADIUS para fornecer DIFERENTES URLs ou endereços de destino para diferentes assinantes.
Por exemplo, a configuração a seguir mostra duas variáveis definidas pelo usuário, redireção de url e reescrita-da que exigem valores fornecidos externamente quando são instanciados. A regra de serviço DOPD redir1 especifica que o tráfego é redirecionado para $redirect url. A regra de serviço do OSPD reescreveu1 especifica que o endereço de destino para o tráfego é reescrito para $rewrite-da.
user@host# edit dynamic-profiles http-redir-converged user@host# edit variables user@host# set redirect-url mandatory user@host# set rewrite-da mandatory user@host# edit services captive-portal-content-delivery user@host# edit rule redir-svc user@host# set match-direction input user@host# set term redir1 then redirect $redirect-url user@host# edit rule rewr-svc user@host# set match-direction input user@host# set term rewr1 then rewrite $rewrite-da
Configuração do conjunto de serviços para associar o perfil de serviço a uma interface de serviço
Os conjuntos de serviços definem um ou mais serviços a serem executados pelo Mecanismo de Roteamento. Para serviços de redirecionamento DE HTTP, você define um perfil de serviços DOEMP que inclui as regras do CDC. O conjunto de serviços aplica o perfil de serviços DOSP em uma interface de serviço específica.
Por exemplo, a configuração a seguir cria o perfil de serviços DOSP redir-prof, que faz referência à regra DOPD redir-svc. O cvgd de conjunto de serviços associa o perfil de serviços DOSP reescreveu o prof com a interface de serviço si-4/0/0.
[edit services captive-portal-content-delivery] user@host# edit profile redir-prof user@host# set cpcd-rules redir-svc user@host# set dynamic [edit services] user@host# edit service-set cvgd user@host# set captive-portal-content-delivery-profile redir-prof user@host# set interface-service service-interface si-4/0/0
Anexação de um conjunto de serviços e filtro de serviços DOSP a uma interface lógica dinâmica
Para usar os serviços de redirecionamento HTTP, você deve anexar o conjunto de serviços DOSP a uma interface lógica. Como o jardim com paredes está configurado como um filtro de serviço, você deve anexá-lo à mesma interface que o conjunto de serviços. O tráfego que chega e deixa essa interface é filtrado pelo filtro de serviço. O tráfego identificado para manutenção é enviado à interface de serviço do Mecanismo de Roteamento, onde o perfil DOSPD é aplicado.
Este procedimento mostra apenas elementos da configuração dinâmica do perfil que são específicos para a configuração dos serviços convergentes. O perfil dinâmico completo depende do seu caso de uso.
Por exemplo, a configuração a seguir cria o perfil dinâmico http-redir convergido. Ele especifica variáveis predefinidas para criar as interfaces físicas e lógicas dinâmicas na família de endereços IPv4. O perfil anexa o conjunto de serviços cvgd e o filtro de serviços walled-v4 à interface lógica dinâmica quando ele é criado no login do assinante. O conjunto e o filtro de serviços são ambos aplicados à entrada e saída da interface.
user@host# edit dynamic-profiles http-redir-converged user@host# edit interfaces $junos-interface-ifd-name user@host# edit unit $junos-underlying-interface-unit user@host# edit family inet user@host# set service input service-set cvgd service-filter walled-v4 user@host# set service output service-set cvgd service-filter walled-v4