Configuração de serviços de redirecionamento de HTTP estáticos baseados em MX-MPC ou MX-SPC3
A partir do Junos OS Release 19.3R2, o provisionamento estático de serviços DE HTTP também é suportado para portais cativos baseados em placa de serviços MX-SPC3 se você tiver habilitado serviços de próxima geração no roteador da Série MX.
Um jardim murado é um grupo de servidores que fornecem acesso ao assinante a locais dentro do jardim murado sem exigir reautorização por meio de um portal cativo. A página cativa do portal normalmente é a página inicial que um assinante vê após fazer login em uma sessão de assinantes.
Quando os assinantes tentam acessar sites fora do jardim murado, os serviços de redireção DE HTTP processam solicitações de HTTP IPv4 e IPv6 para gerenciar esse tráfego. O http assinante solicita tráfego que não é destinado ao jardim murado é enviado ao servidor de redirecionamento, que responde com uma URL de redirecionamento que envia tráfego para um portal cativo em vez de para o site externo não autorizado. O portal cativo fornece serviços de autenticação e autorização para os assinantes redirecionados antes de conceder-lhes acesso a servidores protegidos fora do jardim murado.
O servidor de redirecionamento pode ser local ou remoto:
Servidor de redirecionamento local — reside no roteador e redireciona o tráfego de assinantes para um portal cativo dentro de um jardim murado.
Redirecionamento remoto do servidor — reside em um dispositivo como um servidor de políticas dentro de um jardim com paredes atrás do roteador. O endereço de destino do tráfego HTTP do assinante é reescrito para o endereço do servidor de redirecionamento remoto. O servidor remoto redireciona o tráfego de assinantes para um portal cativo dentro daquele jardim murado.
Você configura o jardim com paredes como um filtro de serviço de firewall. O filtro de serviço é conectado a uma interface estática. O serviço DESPD é aplicado a uma interface de serviço (ms- no MS-MPC ou vms- na placa de serviços MX-SPC3) por meio de um conjunto de serviços; o conjunto de serviços é então anexado a uma interface estática.
Configurando um jardim com paredes como um filtro de serviço de firewall
Quando você configura o jardim murado como um filtro de serviço de firewall, o tráfego destinado a servidores dentro do jardim murado é identificado e indispensado. Como esse tráfego não flui para a placa de linha, os requisitos de manuseio são reduzidos.
Todo o outro tráfego HTTP é destinado a endereços fora do jardim murado. Como esse tráfego não corresponde às condições do filtro, ele flui para a placa de linha para manuseio.
Você pode configurar o filtro de serviço para que o jardim com paredes contenha um único servidor como portal cativo ou uma lista de servidores.
Configure o jardim com paredes com um único servidor como portal cativo:
Crie o filtro de serviço.
[edit] user@host# edit firewall family address-family service-filter filter-name
Defina um termo de filtro para identificar e pular o processamento do tráfego para o portal cativo.
Especifique as condições do filtro para combinar o tráfego destinado ao portal cativo especificando o endereço de destino do portal cativo e da porta de destino.
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-address ip-address user@host# set term name from destination-port port-number
Especifique que o tráfego correspondente ignora o processamento na placa de linha.
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
Defina um termo de filtro para identificar o tráfego HTTP de todo o tráfego que não correspondia ao termo anterior e envie-o para processamento pelas regras de serviços do CDC.
Especifique um ou mais números de porta HTTP para combinar com o tráfego HTTP indispedado.
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-port http-port-number
Especifique que o tráfego correspondente é processado por um serviço DESPD.
[edit firewall family inet service-filter filter-name] user@host# set term name then service
Defina um termo de filtro para pular mais ações para qualquer tráfego não-HTTP restante.
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
Por exemplo, a configuração a seguir cria um filtro para tráfego HTTP IPv4, walled-v4, com o portal cativo em 192.0.2.0. O tráfego correspondente ao endereço é indispediado. O tráfego sem correspondência vai para o termo http, onde o tráfego HTTP é escolhido de todo o tráfego indispensado e enviado para ser processado de acordo com um serviço DAPP. Por fim, o salto de prazo faz com que todo o tráfego não-HTTP restante seja ignorado.
[edit] user@host# edit firewall family inet service-filter walled-v4 [edit firewall family inet service-filter walled-v4] user@host# set term portal from destination-address 192.0.2.0 user@host# set term portal from destination-port 80 user@host# set term portal then skip user@host# set term http from destination-port 80 user@host# set term http then service user@host# set term skip then skip
Configure o jardim com paredes como uma lista ou sub-rede de servidores.
Crie o filtro de serviço.
[edit] user@host# edit firewall family address-family service-filter filter-name
Definir um termo de filtro.
Especifique as condições do filtro para combinar o tráfego destinado a qualquer servidor no jardim com paredes, especificando uma lista de prefixo de destino de servidores.
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-prefix-list list-name user@host# set term name from destination-port port-number
Especifique que o tráfego correspondente ignora o processamento na placa de linha.
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
Defina um termo de filtro para identificar o tráfego HTTP de todo o tráfego que não correspondia ao termo anterior e envie-o para processamento pelas regras de serviços do CDC.
Especifique um ou mais números de porta HTTP para combinar com o tráfego HTTP indispedado.
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-port http-port-number
Especifique que o tráfego correspondente é processado por um serviço DESPD.
[edit firewall family inet service-filter filter-name] user@host# set term name then service
Defina um termo de filtro para pular mais ações para qualquer tráfego não-HTTP restante.
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
(Opcional) Definir uma lista de prefixo que especifica servidores dentro do jardim com paredes. Você pode especificar uma sub-rede ou vários endereços individuais.
[edit policy-options] user@host# set prefix-list list- name ip-address/mask user@host# set prefix-list list- name ip-address1 user@host# set prefix-list list- name ip-address2
Por exemplo, a configuração a seguir cria um filtro para tráfego HTTP IPv6, walled-v6-list, com uma lista de prefixos, wg-list, que especifica dois servidores no jardim murado. O termo filtro portal6 identifica o tráfego IPv6 destinado ao jardim murado. O tráfego sem correspondência vai para o termo http6, onde o tráfego HTTP é escolhido de todo o tráfego indispensado e enviado para ser processado de acordo com um serviço DAPP. Por fim, o salto de prazo faz com que todo o tráfego não-HTTP restante seja ignorado.
[edit] user@host# edit firewall family inet6 service-filter walled-v6-list user@host# set term portal6 from destination-prefix-list wg-list user@host# set term portal6 then skip user@host# set term http6 from destination-port [80 8080] user@host# set term http6 then service user@host# set term skip6 then skip [edit policy-options] user@host# set prefix-list wg-list 2001:db8::10.10 user@host# set prefix-list wg-list 2001:db8::10.22
Configuração de redirecionamento HTTP para servidores de redirecionamento local e remoto
Quando são feitas solicitações de HTTP para locais fora do jardim murado, a CPCD pode redirecionar o tráfego para um portal cativo para autenticação e autorização.
Configure uma regra de serviço do CPCD que especifica as medidas a serem tomadas para o tráfego destinado fora do jardim murado. Esse tráfego foi identificado pelo filtro de serviço de jardim murado e passado para o serviço. A ação configurada depende se você está usando um servidor de redirecionamento HTTP local ou remoto:
Se você estiver usando um servidor de redirecionamento HTTP local no roteador, especifique a ação de redirecionamento.
Se você estiver usando um servidor de redirecionamento HTTP remoto, que reside em um jardim com paredes atrás do roteador, então você não pode simplesmente especificar uma URL de redirecionamento. Neste caso, a regra de serviço deve reescrever o endereço de destino IP para o tráfego. O novo endereço de destino é o endereço do servidor de redirecionamento HTTP remoto. O servidor remoto então fornece uma URL de redirecionamento para enviar o tráfego para um portal cativo.
O serviço DESPD está associado a uma interface de serviço por um conjunto de serviços. Tanto o conjunto de serviços quanto o filtro de serviços de jardim com paredes são aplicados a uma interface configurada estaticamente.
Por exemplo, na configuração a seguir para um servidor local, a regra do serviço DOPSP redir-svc redireciona o tráfego para um portal cativo, http://www.portal.example.com. A URL original inscrita pelo assinante é anexada à URL de redirecionamento.
user@host# edit services captive-portal-content-delivery user@host# edit rule redir-svc user@host# set match-direction input user@host# set term redir1 then redirect http://www.portal.example.com/url=%dest-url%
A configuração a seguir para um servidor remoto cria o reescrito de regra de serviços DOSP que reescreve o endereço de destino original para o endereço do servidor remoto, 192.0.230.
user@host# edit services captive-portal-content-delivery user@host# edit rule rewr-svc user@host# set match-direction input user@host# set term rewr1 then rewrite destination-address 192.0.2.230
Configuração do perfil de serviço e do conjunto de serviços para associar o perfil de serviço a uma interface de serviço
Os conjuntos de serviços definem um ou mais serviços a serem executados pelo MS-MPC/MS-MIC ou pela placa de serviços MX-SPC3 se você tiver habilitado serviços de próxima geração no roteador da Série MX. Para serviços de redirecionamento DE HTTP, você define um perfil de serviços DOEMP que inclui as regras do CDC. O conjunto de serviços aplica o perfil de serviços DOSP em uma interface de serviço específica.
Por exemplo, a configuração a seguir cria o perfil de serviços DOSP redir-prof, que faz referência à regra DOPD redir-svc. O conjunto de serviços ss2 associa o perfil de serviços DOSP redir-prof com a interface de serviço ms-5/0/0.
[edit services captive-portal-content-delivery] user@host# edit profile redir-prof user@host# set cpcd-rules redir-svc [edit services] user@host# edit service-set sset2 user@host# set captive-portal-content-delivery-profile redir-prof user@host# set interface-service-service-interface ms-5/0/0
Anexação de um conjunto de serviços e filtro de serviços DACP a uma interface lógica
Para usar os serviços de redirecionamento HTTP, você deve anexar o conjunto de serviços DOSP a uma interface lógica. Se o jardim com paredes estiver configurado como um filtro de serviço, então você deve anexá-lo à mesma interface que o conjunto de serviços. O tráfego que chega e deixa essa interface é filtrado pelo filtro de serviço. O tráfego identificado para manutenção é enviado para o MS-MPC ou para a placa de serviços MX-SPC3 se você tiver habilitado serviços de próxima geração no roteador da Série MX, e o perfil DESPD é aplicado na interface de serviço.
Por exemplo, a configuração a seguir conecta o conjunto de serviços sset2 e o filtro de serviços walled-v4 à ge-2/0/1.0 para a família de endereços IPv4. Ele atribui um endereço à interface lógica. O conjunto e o filtro de serviços são ambos aplicados à entrada e saída da interface.
user@host# edit interfaces ge-2/0/1 unit 0 family inet user@host# set address 203.0.113.5 user@host# set service input service-set sset2 service-filter walled-v4 user@host# set service output service-set sset2 service-filter walled-v4
Instalação de um pacote de serviços para o serviço DOPD
Para usar serviços DESPD em um MS-MPC/MS-MIC ou em uma placa de serviços MX-SPC3 se tiver habilitado serviços de próxima geração no roteador da Série MX, você configura uma interface de serviço no MS-MIC ou MX-SPC3. Você deve instalar o pacote de serviços necessário em cada MS-MIC que tenha uma interface de serviço ou na placa de serviçosMX-SPC3.
Por exemplo, a configuração a seguir carrega o pacote de serviços DOMSP no MS-MPC no slot de chassi 1 e no slot MS-MIC 0 do MPC. As mensagens de log do sistema são geradas para qualquer daemon e para aplicativos externos locais em todos os níveis de gravidade.
user@host# edit chassis fpc 1 pic 0 adaptive-services service-package [edit chassis fpc 1 pic 0 adaptive-services service-package] user@host# set extension-provider package jservices-cpcd [edit chassis fpc 1 pic 0 adaptive-services service-package] user@host# set extension-provider syslog daemon any user@host# set extension-provider syslog external any
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.