Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Konfigurieren von Routing-Engine-basierten, konvergenten HTTP-Umleitungsdiensten

Anmerkung:

Ab Junos OS Version 19.3R1 wird der HTTP-Umleitungsdienst auch unterstützt, wenn Sie Services der nächsten Generation auf der MX-Serie aktiviert haben.

Sie können konvergente HTTP-Umleitungsdienste auf der Routing-Engine als Alternative zur Verwendung einer MS-MPC/MS-MIC- oder MX-SPC3-Servicekarte konfigurieren. Bei der konvergenten Servicebereitstellung wird die Servicedefinition von der Serviceinstanziierung getrennt. Nachdem ein Service definiert wurde, kann ein Service dynamisch bei der Anmeldung des Abonnenten oder mithilfe einer Autorisierungsänderung (Change of Authorization, CoA) während der Sitzung instanziiert werden. Bei der Dienstinstanziierung wird nur der Name des definierten Dienstes verwendet, sodass alle Dienstdetails vor den Systembetreibern verborgen bleiben. Konvergente Servicebereitstellung unterstützt die Serviceparametrisierung, die dynamischen Variablen in dynamischen Profilen entspricht.

Für konvergente HTTP-Umleitungsdienste bedeutet dies, dass Sie den Dienst und die Dienstregeln innerhalb eines dynamischen Profils definieren. Die CPCD-Dienstregeln werden dynamisch basierend auf den im dynamischen Profil konfigurierten Variablen erstellt.

Optional können Sie die Umleitungs-URL parametrisieren, indem Sie eine redirect-url Variable in das dynamische Profil aufnehmen. Der Wert der Variablen wird von einem RADIUS-VSA während des Teilnehmerstarts oder mit einer CoA-Nachricht (Change of Authorization) bereitgestellt. Auf diese Weise können Sie die Umleitungs-URLs für jeden Abonnenten anpassen. Sie können einen Standardwert für die URL definieren, der verwendet wird, wenn von RADIUS kein Wert bereitgestellt wird.

Sie konfigurieren den Walled Garden als Firewall-Servicefilter. Bei einem Walled Garden handelt es sich um eine Gruppe von Servern, die Abonnentenzugriff auf Websites innerhalb des Walled Garden ermöglichen, ohne dass eine erneute Autorisierung über ein Captive Portal erforderlich ist. Der Walled Garden-Servicefilter identifiziert Datenverkehr, der für den Walled Garden bestimmt ist, und Datenverkehr, der außerhalb des Walled Garden bestimmt ist. Nur HTTP-Datenverkehr, der außerhalb des Walled Garden bestimmt ist, wird zur Verarbeitung an den dynamischen Dienst übergeben.

Die Dienstschnittstellen in der Routing-Engine werden durch das Präfix si- gekennzeichnet (z. B. si-1/1/0). Die si-Schnittstelle verarbeitet den gesamten Redirect- und Rewrite-Datenverkehr und alle Services für die Routing-Engine. Die si-Schnittstelle muss mit dem Status bis betriebsbereit sein, um den CPCD-Dienst (Captive Portal Content Delivery) zu aktivieren und zu aktivieren. Nachdem der CPCD-Dienst aktiviert wurde, wirkt sich jede Änderung des Betriebszustands der si-Schnittstelle nicht auf bestehende CPCD-Dienste aus.

Genau wie bei statischen HTTP-Umleitungsdiensten enthält ein Dienstprofil die Dienstregeln. Sie konfigurieren einen Dienstsatz außerhalb des dynamischen Profils, um das CPCD-Dienstprofil einer bestimmten si-Dienstschnittstelle auf der Routing-Engine zuzuordnen. Innerhalb des dynamischen Profils wenden Sie das Service-Set und den Walled Garden-Service-Filter auf eine dynamische Schnittstelle an.

Konfigurieren eines Walled Garden als Firewall-Servicefilter

Wenn Sie den Walled Garden als Firewalldienstfilter konfigurieren, wird Datenverkehr, der für Server innerhalb des Walled Garden bestimmt ist, identifiziert und übersprungen. Da dieser Datenverkehr nicht zur Linecard fließt, reduziert sich der Verarbeitungsaufwand.

Der gesamte andere HTTP-Datenverkehr ist für Adressen außerhalb des Walled Garden bestimmt. Da dieser Datenverkehr nicht den Filterbedingungen entspricht, fließt er zur Verarbeitung an die Linecard.

Sie können den Dienstfilter so konfigurieren, dass der Walled Garden einen einzelnen Server als Captive Portal oder eine Liste von Servern enthält.

  • Konfigurieren Sie den Walled Garden mit einem einzelnen Server als Captive Portal:

    1. Erstellen Sie den Dienstfilter.

    2. Definieren Sie einen Filterbegriff, um die Verarbeitung des Datenverkehrs zum Captive Portal zu identifizieren und zu überspringen.

      1. Geben Sie Filterbedingungen an, um den Datenverkehr abzugleichen, der für das Captive Portal bestimmt ist, indem Sie die Zieladresse des Captive Portals und den Zielport angeben.

      2. Geben Sie an, dass der übereinstimmende Datenverkehr die Verarbeitung auf der Linecard überspringt.

    3. Definieren Sie einen Filterbegriff, um HTTP-Datenverkehr aus dem gesamten Datenverkehr zu identifizieren, der nicht mit dem vorherigen Begriff übereinstimmt, und senden Sie ihn zur Verarbeitung durch CPCD-Dienstregeln.

      1. Geben Sie eine oder mehrere HTTP-Portnummern an, die dem übersprungenen HTTP-Datenverkehr entsprechen.

      2. Geben Sie an, dass der übereinstimmende Datenverkehr von einem CPCD-Dienst verarbeitet wird.

    4. Definieren Sie einen Filterbegriff, um weitere Aktionen für verbleibenden Nicht-HTTP-Datenverkehr zu überspringen.

    Mit der folgenden Konfiguration wird z. B. ein Filter für IPv4-HTTP-Datenverkehr, walled-v4, mit dem Captive Portal unter 192.0.2.0 erstellt. Datenverkehr, der mit der Adresse übereinstimmt, wird übersprungen. Nicht übereinstimmender Datenverkehr wird an den Begriff HTTP weitergeleitet, wobei der HTTP-Datenverkehr aus dem gesamten übersprungenen Datenverkehr ausgewählt und zur Verarbeitung gemäß einem CPCD-Dienst gesendet wird. Schließlich bewirkt das Überspringen von Begriffen, dass der gesamte verbleibende Nicht-HTTP-Datenverkehr übersprungen wird.

  • Konfigurieren Sie den Walled Garden als Liste oder Subnetz von Servern.

    1. Erstellen Sie den Dienstfilter.

    2. Definieren Sie einen Filterbegriff.

      1. Geben Sie Filterbedingungen an, um Datenverkehr abzugleichen, der für einen beliebigen Server im Walled Garden bestimmt ist, indem Sie eine Zielpräfixliste von Servern angeben.

      2. Geben Sie an, dass der übereinstimmende Datenverkehr die Verarbeitung auf der Linecard überspringt.

    3. Definieren Sie einen Filterbegriff, um HTTP-Datenverkehr aus dem gesamten Datenverkehr zu identifizieren, der nicht mit dem vorherigen Begriff übereinstimmt, und senden Sie ihn zur Verarbeitung durch CPCD-Dienstregeln.

      1. Geben Sie eine oder mehrere HTTP-Portnummern an, die dem übersprungenen HTTP-Datenverkehr entsprechen.

      2. Geben Sie an, dass der übereinstimmende Datenverkehr von einem CPCD-Dienst verarbeitet wird.

    4. Definieren Sie einen Filterbegriff, um weitere Aktionen für verbleibenden Nicht-HTTP-Datenverkehr zu überspringen.

    5. (Optional) Definieren Sie eine Präfixliste, die Server innerhalb des Walled Garden angibt. Sie können ein Subnetz oder mehrere einzelne Adressen angeben.

    Mit der folgenden Konfiguration wird z. B. ein Dienstfilter für IPv6-HTTP-Datenverkehr, walled-v6-list, mit einer Präfixliste, wg-list, erstellt, die zwei Server im Walled Garden angibt. Der Filterbegriff portal6 identifiziert IPv6-Datenverkehr, der für den Walled Garden bestimmt ist. Nicht übereinstimmender Datenverkehr wird an den Begriff http6 weitergeleitet, wobei der HTTP-Datenverkehr aus dem gesamten übersprungenen Datenverkehr ausgewählt und zur Verarbeitung an einen CPCD-Dienst gesendet wird. Schließlich bewirkt das Überspringen von Begriffen, dass der gesamte verbleibende Nicht-HTTP-Datenverkehr übersprungen wird.

Konfigurieren der HTTP-Umleitung für lokale und Remote-Umleitungsserver

Wenn HTTP-Anforderungen für Websites außerhalb des Walled Garden gestellt werden, kann CPCD den Datenverkehr zur Authentifizierung und Autorisierung an ein Captive Portal umleiten.

Konfigurieren Sie eine CPCD-Dienstregel, die die Aktion angibt, die für den HTTP-Datenverkehr ausgeführt werden soll, der vom Walled Garden-Dienstfilter identifiziert und an den Dienst übergeben wird. Die Aktion, die Sie konfigurieren, hängt davon ab, ob Sie einen lokalen oder einen Remote-HTTP-Umleitungsserver verwenden:

  • Wenn Sie einen lokalen HTTP-Umleitungsserver auf dem Router verwenden, geben Sie die Umleitungsaktion an.

  • Wenn Sie einen Remote-HTTP-Umleitungsserver verwenden, der sich in einem ummauerten Garten hinter dem Router befindet, können Sie nicht einfach eine Umleitungs-URL angeben. In diesem Fall muss die Dienstregel die IP-Zieladresse für den Datenverkehr umschreiben. Die neue Zieladresse ist die Adresse des Remote-HTTP-Umleitungsservers. Der Remoteserver stellt dann eine Umleitungs-URL bereit, um den Datenverkehr an ein Captive Portal zu senden.

  1. Konfigurieren Sie das dynamische Profil.
  2. Greifen Sie auf die Konfigurationsebene des dynamischen CPCD-Diensts zu.
  3. Erstellen Sie eine Regel, die auf Datenverkehr angewendet werden soll, der außerhalb des Walled Garden bestimmt ist.
  4. Geben Sie an, dass die Regel für eingehenden Datenverkehr gilt.
  5. Geben Sie die Aktion an, die für den übereinstimmenden Datenverkehr ausgeführt werden soll. Da es sich bei Walled Garden um einen Dienstfilter handelt, wird der Datenverkehr bereits als HTTP-Datenverkehr identifiziert, bevor er an den Dienst gesendet wird.

    • Geben Sie für einen lokalen HTTP-Umleitungsserver die Umleitungs-URL an, bei der es sich um die URL des Captive Portals mit der ursprünglichen URL (außerhalb des Walled Garden) handelt:

    • Geben Sie für einen Remote-HTTP-Umleitungsserver die Zieladresse des Remoteservers an:

In der folgenden Konfiguration für einen lokalen Server enthält das dynamische Profil http-redir-converged z. B. die CPCD-Dienstregel redir-svc. Die Regel leitet Datenverkehr an ein Captive Portal um. http://www.portal.example.com Die ursprüngliche, vom Abonnenten eingegebene URL wird an die Umleitungs-URL angehängt. Das CPCD-Dienstprofil redir-prof enthält die Regel und wird später von einem Dienstsatz auf eine Dienstschnittstelle angewendet.

Mit der folgenden Konfiguration für einen Remoteserver wird die CPCD-Dienstregel rewr-svc erstellt, die die ursprüngliche Zieladresse in die Adresse des Remoteservers 192.0.2.230 umschreibt.

Konfigurieren der Parametrisierung für die Umleitungs-URL

Optional können Sie die Umleitungs-URL und die Zieladresse für das Umschreiben parametrisieren, indem Sie benutzerdefinierte Variablen im dynamischen Profil angeben. Parametrisierung bedeutet, dass URL oder Adresse zu einer dynamischen Variablen wird. Der Wert wird von RADIUS bereitgestellt, wenn der Abonnent authentifiziert wird oder wenn ein CoA empfangen wird. Folglich können Sie die RADIUS-Attribute verwenden, um unterschiedliche URLs oder Zieladressen für verschiedene Abonnenten bereitzustellen.

  1. Konfigurieren Sie das dynamische Profil.
  2. Greifen Sie auf die Konfigurationsebene der benutzerdefinierten Variablen zu.
  3. Definieren Sie die Variable für die Umleitungs-URL, die Zieladresse für das Umschreiben oder beides. Geben Sie an, dass der Wert für die dynamische Variable von einem externen Server bereitgestellt wird, in der Regel RADIUS.
    Anmerkung:

    Sie können die Variablen beliebig benennen, aber Namen wie redirect-url und rewrite-da machen den Zweck klar.
  4. Geben Sie in der CPCD-Regel die Variable an, indem Sie dem Variablennamen ein Dollarzeichen ($) voranstellen.

    • Geben Sie für einen lokalen HTTP-Umleitungsserver die Umleitungsvariable an:

    • Geben Sie für einen Remote-HTTP-Umleitungsserver die Zieladressvariable an:

Die folgende Konfiguration zeigt z. B. zwei benutzerdefinierte Variablen, redirect-url und rewrite-da, die extern bereitgestellte Werte erfordern, wenn sie instanziiert werden. Die CPCD-Dienstregel redir1 gibt an, dass Datenverkehr an $redirect-URL umgeleitet wird. Die CPCD-Dienstregel rewr1 gibt an, dass die Zieladresse für den Datenverkehr in $rewrite-DA umgeschrieben wird.

Konfigurieren des Servicesatzes für die Zuordnung des Serviceprofils zu einer Serviceschnittstelle

Servicegruppen definieren einen oder mehrere Services, die von der Routing-Engine ausgeführt werden sollen. Für HTTP-Umleitungsdienste definieren Sie ein CPCD-Dienstprofil, das CPCD-Regeln enthält. Das Service-Set wendet das CPCD-Service-Profil auf eine bestimmte Service-Schnittstelle an.

  1. Erstellen Sie das Dienstprofil.
  2. Geben Sie eine oder mehrere CPCD-Regeln an, die im dynamischen CPCD-Profil für das Dienstprofil konfiguriert sind.
  3. Geben Sie an, dass es sich um einen konvergenten CPCD-Dienst handelt.
  4. Erstellen Sie den Servicesatz.
  5. Geben Sie an, dass der Dienstsatz für Routing-Engine-basierte CPCD bestimmt ist.
  6. Geben Sie das CPCD-Dienstprofil an.
  7. Geben Sie die Dienstschnittstelle an.

Mit der folgenden Konfiguration wird z. B. das CPCD-Dienstprofil redir-prof erstellt, das auf die CPCD-Regel redir-svc verweist. Die Servicemenge cvgd ordnet das CPCD-Dienstprofil rewr-prof der Serviceschnittstelle si-4/0/0 zu.

Anfügen eines CPCD-Servicesatzes und eines Servicefilters an eine dynamische logische Schnittstelle

Um die HTTP-Umleitungsdienste verwenden zu können, müssen Sie den CPCD-Dienstsatz an eine logische Schnittstelle anfügen. Da der Walled Garden als Dienstfilter konfiguriert ist, müssen Sie ihn an dieselbe Schnittstelle wie den Dienstsatz anfügen. Datenverkehr, der auf dieser Schnittstelle ankommt und diese verlässt, wird durch den Dienstfilter gefiltert. Datenverkehr, der für die Wartung identifiziert wurde, wird an die Routing-Engine-Dienstschnittstelle gesendet, auf die das CPCD-Profil angewendet wird.

Anmerkung:

In diesem Verfahren werden nur Elemente der Konfiguration dynamischer Profile angezeigt, die für die Konfiguration konvergenter Dienste spezifisch sind. Das vollständige dynamische Profil hängt von Ihrem Anwendungsfall ab.
  1. Konfigurieren Sie das dynamische Profil.
  2. Konfigurieren Sie die dynamische physische Schnittstelle.
  3. Konfigurieren Sie die dynamische logische Schnittstelle.
  4. Konfigurieren Sie die Adressfamilie.
  5. Hängen Sie das Service-Set und den Service-Filter an die Schnittstelle an.

Mit der folgenden Konfiguration wird z. B. das dynamische Profil http-redir-converged erstellt. Sie spezifiziert vordefinierte Variablen, um die dynamischen physischen und logischen Schnittstellen in der IPv4-Adressfamilie zu erstellen. Das Profil fügt den Dienstsatz cvgd und den Dienstfilter walled-v4 an die dynamische logische Schnittstelle an, wenn es bei der Anmeldung des Abonnenten erstellt wird. Sowohl der Servicesatz als auch der Filter werden auf den Schnittstellenein- und -ausgang angewendet.

Zugehörige Dokumentation