Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Konfigurieren von Routing-Engine-basierten, konvergierten HTTP-Umleitungsservices

Hinweis:

Ab Junos OS Version 19.3R1 wird der HTTP-Umleitungsdienst auch unterstützt, wenn Sie Services der nächsten Generation auf der MX-Serie aktiviert haben.

Sie können konvergente HTTP-Umleitungsservices auf der Routing-Engine als Alternative zur Verwendung einer MS-MPC/MS-MIC- oder MX-SPC3-Servicekarte konfigurieren. Bei der konvergenten Servicebereitstellung werden die Servicedefinition von der Serviceinstanziierung getrennt. Nachdem ein Service definiert wurde, kann ein Service bei der Anmeldung des Anwenders oder durch die Verwendung einer Änderung der Autorisierung (Change of Authorization, CoA) während der Sitzung dynamisch instanziiert werden. Die Service-Instanziierung verwendet nur den Namen des definierten Services, wodurch alle Servicedetails vor den Systembetreibern verborgen werden. Die konvergente Servicebereitstellung unterstützt die Serviceparametrisierung, die dynamischen Variablen innerhalb dynamischer Profile entspricht.

Für konvergente HTTP-Umleitungsdienste bedeutet dies, dass Sie den Dienst und die Dienstregeln innerhalb eines dynamischen Profils definieren. Die CPCD-Serviceregeln werden dynamisch basierend auf den im dynamischen Profil konfigurierten Variablen erstellt.

Optional können Sie die Umleitungs-URL parametrisieren, indem Sie eine redirect-url Variable in das dynamische Profil aufnehmen. Der Wert der Variablen wird von einem RADIUS-VSA während des Aufrufs des Anwenders oder mit einer CoA-Nachricht (Change of Authorization) bereitgestellt. Auf diese Weise können Sie die Umleitungs-URLs für jeden Anwender anpassen. Sie können einen Standardwert für die URL definieren, die verwendet wird, wenn kein Wert von RADIUS bereitgestellt wird.

Sie konfigurieren den Walled Garden als Firewall-Servicefilter. Ein Walled Garden ist eine Gruppe von Servern, die Anwendern Zugriff auf Websites innerhalb des Walled Garden ermöglichen, ohne dass eine erneute Autorisierung über ein Captive Portal erforderlich ist. Der Servicefilter Walled Garden identifiziert Datenverkehr, der für den Walled Garden bestimmt ist, und Datenverkehr, der außerhalb des Walled Garden bestimmt ist. Nur HTTP-Datenverkehr, der außerhalb des Walled Garden bestimmt ist, wird zur Verarbeitung an den dynamischen Dienst übergeben.

Die Serviceschnittstellen der Routing-Engine sind mit einem si-Präfix gekennzeichnet (z. B. si-1/1/0). Die si-Schnittstelle verarbeitet sämtlichen umgeleiteten und umgeschriebenen Datenverkehr und Services für die Routing-Engine. Die si-Schnittstelle muss mit dem Status bis betriebsbereit sein, um den CPCD-Service (Captive Portal Content Delivery) aktivieren und aktivieren zu können. Nachdem der CPCD-Dienst aktiviert wurde, wirkt sich eine Änderung des Betriebszustands der si-Schnittstelle nicht auf vorhandene CPCD-Dienste aus.

Genau wie bei statischen HTTP-Umleitungsdiensten enthält ein Dienstprofil die Dienstregeln. Sie konfigurieren einen Servicesatz außerhalb des dynamischen Profils, um das CPCD-Serviceprofil einer bestimmten SI-Serviceschnittstelle auf der Routing-Engine zuzuordnen. Innerhalb des dynamischen Profils wenden Sie das Service-Set und den Walled Garden-Service-Filter auf eine dynamische Schnittstelle an.

Konfigurieren eines Walled Garden als Firewall-Dienstfilter

Wenn Sie den Walled Garden als Firewalldienstfilter konfigurieren, wird Datenverkehr, der für Server innerhalb des Walled Garden bestimmt ist, identifiziert und übersprungen. Da dieser Datenverkehr nicht zur Linecard fließt, werden die Anforderungen an die Handhabung reduziert.

Der gesamte andere HTTP-Datenverkehr ist für Adressen außerhalb des Walled Garden bestimmt. Da dieser Datenverkehr nicht den Filterbedingungen entspricht, fließt er zur Verarbeitung an die Linecard.

Sie können den Service-Filter so konfigurieren, dass der Walled Garden einen einzelnen Server als Captive Portal oder eine Liste von Servern enthält.

  • Konfigurieren Sie den Walled Garden mit einem einzigen Server als Captive Portal:

    1. Erstellen Sie den Dienstfilter.

    2. Definieren Sie einen Filterbegriff, um die Verarbeitung für den Datenverkehr zum Captive Portal zu identifizieren und zu überspringen.

      1. Geben Sie Filterbedingungen an, um Datenverkehr abzugleichen, der für das Captive Portal bestimmt ist, indem Sie die Zieladresse des Captive Portals und den Zielport angeben.

      2. Geben Sie an, dass der übereinstimmende Datenverkehr die Verarbeitung auf der Linecard überspringt.

    3. Definieren Sie einen Filterbegriff, um HTTP-Datenverkehr aus dem gesamten Datenverkehr zu identifizieren, der nicht mit dem vorherigen Begriff übereinstimmte, und senden Sie ihn zur Verarbeitung durch CPCD-Serviceregeln.

      1. Geben Sie eine oder mehrere HTTP-Portnummern an, die mit dem übersprungenen HTTP-Datenverkehr übereinstimmen.

      2. Geben Sie an, dass der übereinstimmende Datenverkehr von einem CPCD-Service verarbeitet wird.

    4. Definieren Sie einen Filterbegriff, um weitere Aktionen für den verbleibenden Nicht-HTTP-Datenverkehr zu überspringen.

    Die folgende Konfiguration erstellt beispielsweise einen Filter für IPv4-HTTP-Datenverkehr, walled-v4, mit dem Captive Portal auf 192.0.2.0. Datenverkehr, der mit der Adresse übereinstimmt, wird übersprungen. Nicht übereinstimmender Datenverkehr geht an den Begriff http, wo der HTTP-Datenverkehr aus dem gesamten übersprungenen Datenverkehr ausgewählt und zur Verarbeitung gemäß einem CPCD-Service gesendet wird. Schließlich bewirkt Term Skip, dass der gesamte verbleibende Nicht-HTTP-Datenverkehr übersprungen wird.

  • Konfigurieren Sie den Walled Garden als Liste oder Subnetz von Servern.

    1. Erstellen Sie den Dienstfilter.

    2. Definieren Sie einen Filterbegriff.

      1. Geben Sie Filterbedingungen an, um Datenverkehr abzugleichen, der für einen beliebigen Server im Walled Garden bestimmt ist, indem Sie eine Zielpräfixliste von Servern angeben.

      2. Geben Sie an, dass der übereinstimmende Datenverkehr die Verarbeitung auf der Linecard überspringt.

    3. Definieren Sie einen Filterbegriff, um HTTP-Datenverkehr aus dem gesamten Datenverkehr zu identifizieren, der nicht mit dem vorherigen Begriff übereinstimmte, und senden Sie ihn zur Verarbeitung durch CPCD-Serviceregeln.

      1. Geben Sie eine oder mehrere HTTP-Portnummern an, die mit dem übersprungenen HTTP-Datenverkehr übereinstimmen.

      2. Geben Sie an, dass der übereinstimmende Datenverkehr von einem CPCD-Service verarbeitet wird.

    4. Definieren Sie einen Filterbegriff, um weitere Aktionen für den verbleibenden Nicht-HTTP-Datenverkehr zu überspringen.

    5. (Optional) Definieren Sie eine Präfixliste, die Server innerhalb des Walled Garden angibt. Sie können ein Subnetz oder mehrere einzelne Adressen angeben.

    Mit der folgenden Konfiguration wird beispielsweise ein Dienstfilter für IPv6-HTTP-Datenverkehr, walled-v6-list, mit einer Präfixliste, wg-list, erstellt, die zwei Server im Walled Garden angibt. Filterbegriff portal6 identifiziert IPv6-Datenverkehr, der für den Walled Garden bestimmt ist. Nicht übereinstimmender Datenverkehr geht an den Begriff http6, wo der HTTP-Datenverkehr aus dem gesamten übersprungenen Datenverkehr ausgewählt und zur Verarbeitung gemäß einem CPCD-Service gesendet wird. Schließlich führt das Überspringen des Begriffs dazu, dass der gesamte verbleibende Nicht-HTTP-Datenverkehr übersprungen wird.

HTTP-Umleitung für lokale und Remote-Umleitungsserver konfigurieren

Wenn HTTP-Anforderungen für Standorte außerhalb des Walled Garden gestellt werden, kann CPCD den Datenverkehr zur Authentifizierung und Autorisierung an ein Captive Portal umleiten.

Konfigurieren Sie eine CPCD-Dienstregel, die die Aktion angibt, die für den HTTP-Datenverkehr ausgeführt werden soll, der vom Walled Garden-Dienstfilter identifiziert und an den Dienst übergeben wird. Die Aktion, die Sie konfigurieren, hängt davon ab, ob Sie einen lokalen oder einen Remote-HTTP-Umleitungsserver verwenden:

  • Wenn Sie einen lokalen HTTP-Umleitungsserver auf dem Router verwenden, geben Sie die Umleitungsaktion an.

  • Wenn Sie einen Remote-HTTP-Umleitungsserver verwenden, der sich in einem ummauerten Garten hinter dem Router befindet, können Sie nicht einfach eine Umleitungs-URL angeben. In diesem Fall muss die Dienstregel die IP-Zieladresse für den Datenverkehr umschreiben. Die neue Zieladresse ist die Adresse des Remote-HTTP-Umleitungsservers. Der Remote-Server stellt dann eine Umleitungs-URL bereit, um den Datenverkehr an ein Captive Portal zu senden.

  1. Konfigurieren Sie das dynamische Profil.
  2. Greifen Sie auf die dynamische CPCD-Servicekonfigurationsebene zu.
  3. Erstellen Sie eine Regel, die auf den Verkehr außerhalb des ummauerten Gartens angewendet werden soll.
  4. Geben Sie an, dass die Regel für eingehenden Datenverkehr gilt.
  5. Geben Sie die Aktion an, die für den übereinstimmenden Datenverkehr ausgeführt werden soll. Da der Walled Garden ein Dienstfilter ist, wird der Datenverkehr bereits als HTTP-Datenverkehr identifiziert, bevor er an den Dienst gesendet wird.

    • Geben Sie für einen lokalen HTTP-Umleitungsserver die Umleitungs-URL an, bei der es sich um die URL des Captive Portals mit angehängter Original-URL (außerhalb des Walled Garden) handelt:

    • Geben Sie für einen Remote-HTTP-Umleitungsserver die Zieladresse des Remoteservers an:

In der folgenden Konfiguration für einen lokalen Server enthält das dynamische Profil http-redir-converged beispielsweise die CPCD-Dienstregel redir-svc. Die Regel leitet den Datenverkehr an ein Captive Portal um. http://www.portal.example.com Die vom Anwender eingegebene Original-URL wird an die Umleitungs-URL angehängt. Das CPCD-Service-Profil redir-prof enthält die Regel und wird später von einem Service-Set auf eine Service-Schnittstelle angewendet.

Die folgende Konfiguration für einen fernen Server erstellt die CPCD-Dienstregel rewr-svc, die die ursprüngliche Zieladresse in die Adresse des fernen Servers, 192.0.2.230, umschreibt.

Konfiguration der Parametrisierung für die Umleitungs-URL

Optional können Sie die Umleitungs-URL und die Umschreibungszieladresse parametrisieren, indem Sie benutzerdefinierte Variablen im dynamischen Profil angeben. Parametrisieren bedeutet, dass URL oder Adresse zu einer dynamischen Variablen wird. Der Wert wird von RADIUS bereitgestellt, wenn der Anwender authentifiziert wird oder wenn ein CoA empfangen wird. Folglich können Sie die RADIUS-Attribute verwenden, um unterschiedliche URLs oder Zieladressen für verschiedene Abonnenten bereitzustellen.

  1. Konfigurieren Sie das dynamische Profil.
  2. Zugriff auf die Konfigurationsebene für benutzerdefinierte Variablen.
  3. Definieren Sie die Variable für die Umleitungs-URL, die Umschreibungszieladresse oder beides. Geben Sie an, dass der Wert für die dynamische Variable von einem externen Server, in der Regel RADIUS, bereitgestellt wird.
    Hinweis:

    Sie können die Variablen beliebig benennen, aber Namen wie redirect-url und rewrite-da machen den Zweck deutlich.
  4. Geben Sie in der CPCD-Regel die Variable an, indem Sie dem Variablennamen ein Dollarzeichen ($) voranstellen.

    • Geben Sie für einen lokalen HTTP-Umleitungsserver die Umleitungsvariable an:

    • Geben Sie für einen Remote-HTTP-Umleitungsserver die Zieladressvariable an:

Die folgende Konfiguration zeigt beispielsweise zwei benutzerdefinierte Variablen, redirect-url und rewrite-da, die extern bereitgestellte Werte erfordern, wenn sie instanziiert werden. Die CPCD-Serviceregel redir1 gibt an, dass Datenverkehr an $redirect-URL umgeleitet wird. Die CPCD-Serviceregel rewr1 gibt an, dass die Zieladresse für den Datenverkehr in $rewrite-da umgeschrieben wird.

Konfigurieren des Service-Sets zum Zuordnen des Service-Profils zu einer Serviceschnittstelle

Service-Sets definieren einen oder mehrere Services, die von der Routing-Engine ausgeführt werden sollen. Für HTTP-Umleitungsdienste definieren Sie ein CPCD-Dienstprofil, das CPCD-Regeln enthält. Das Service-Set wendet das CPCD-Serviceprofil auf eine bestimmte Serviceschnittstelle an.

  1. Erstellen Sie das Dienstprofil.
  2. Geben Sie eine oder mehrere CPCD-Regeln an, die im dynamischen CPCD-Profil für das Serviceprofil konfiguriert sind.
  3. Geben Sie an, dass es sich um einen konvergierten CPCD-Service handelt.
  4. Erstellen Sie das Service-Set.
  5. Geben Sie an, dass der Service-Satz für die auf der Routing-Engine basierende CPCD bestimmt ist.
  6. Geben Sie das CPCD-Serviceprofil an.
  7. Geben Sie die Serviceschnittstelle an.

Mit der folgenden Konfiguration wird beispielsweise das CPCD-Dienstprofil redir-prof erstellt, das auf die CPCD-Regel redir-svc verweist. Der Servicesatz cvgd ordnet das CPCD-Serviceprofil rewr-prof der Serviceschnittstelle si-4/0/0 zu.

CPCD-Service-Set und Service-Filter an eine dynamische logische Schnittstelle anhängen

Um die HTTP-Umleitungsservices verwenden zu können, müssen Sie den CPCD-Servicesatz an eine logische Schnittstelle anfügen. Da der Walled Garden als Dienstfilter konfiguriert ist, müssen Sie ihn an dieselbe Schnittstelle wie den Dienstsatz anfügen. Der Datenverkehr, der an dieser Schnittstelle ein- und ausgeht, wird durch den Servicefilter gefiltert. Der für die Wartung identifizierte Datenverkehr wird an die Serviceschnittstelle der Routing-Engine gesendet, wo das CPCD-Profil angewendet wird.

Hinweis:

Dieses Verfahren zeigt nur Elemente der Konfiguration des dynamischen Profils, die für die Konfiguration konvergenter Services spezifisch sind. Das vollständige dynamische Profil hängt von Ihrem Anwendungsfall ab.
  1. Konfigurieren Sie das dynamische Profil.
  2. Konfigurieren Sie die dynamische physische Schnittstelle.
  3. Konfigurieren Sie die dynamische logische Schnittstelle.
  4. Konfigurieren Sie die Adressfamilie.
  5. Fügen Sie den Service-Satz und den Service-Filter an die Schnittstelle an.

Mit der folgenden Konfiguration wird beispielsweise das dynamische Profil http-redir-converged erstellt. Es spezifiziert vordefinierte Variablen zur Erstellung der dynamischen physischen und logischen Schnittstellen in der IPv4-Adressfamilie. Das Profil fügt den Service-Satz cvgd und den Service-Filter walled-v4 an die dynamische logische Schnittstelle an, wenn es bei der Anmeldung des Anwenders erstellt wird. Der Servicesatz und der Filter werden beide auf die Schnittstelleneingabe und -ausgabe angewendet.

Zugehörige Dokumentation