Configuration des services de redirection HTTP convergés basés sur MS-MPC ou MX-SPC3
Vous pouvez configurer des services de redirection HTTP convergés sur les MS-MPC/MS-MIC. À partir de la version 19.3R1 de Junos OS, vous pouvez également configurer le provisionnement de services de redirection HTTP convergés sur la carte de services MX-SPC3 si vous avez activé les services nouvelle génération sur le routeur MX Series.
Le provisionnement de services convergent sépare la définition de service de l’instanciation de service. Une fois qu’un service est défini, il peut être instancié dynamiquement lors de la connexion de l’abonné ou en utilisant un changement d’autorisation (CoA) en cours de session. L’instanciation de service utilise uniquement le nom du service défini, masquant tous les détails du service aux opérateurs système. Le provisionnement de services convergés prend en charge le paramétrage des services, qui correspond à des variables dynamiques au sein de profils dynamiques.
Pour les services de redirection HTTP convergés, cela signifie que vous définissez le service et les règles de service dans un profil dynamique. Les règles de service CPCD sont créées dynamiquement en fonction des variables configurées dans le profil dynamique.
Vous pouvez également choisir de paramétrer l’URL de redirection en incluant la définition d’une redirect-url variable dans le profil dynamique. La valeur de la variable est fournie par un VSA RADIUS lors de l’activation de l’abonné ou avec un message de changement d’autorisation (CoA). Cela vous permet de personnaliser les URL de redirection pour chaque abonné. Vous pouvez définir une valeur par défaut pour l’URL qui est utilisée si aucune valeur n’est fournie par RADIUS.
Vous configurez le jardin clos en tant que filtre de service de pare-feu. Il filtre le trafic de sorte que seul le trafic HTTP destiné à l’extérieur du jardin clos est transmis au service dynamique pour traitement. Tout comme pour les services de redirection HTTP statiques, un profil de service contient les règles de service. Vous configurez un ensemble de services en dehors du profil dynamique pour associer le profil de service CPCD à une interface de service MS spécifique sur un MS-MPC/MS-MIC ou à une interface de service vsp sur une carte de services MX-SPC3. Dans le profil dynamique, vous appliquez l’ensemble de services et le filtre de services Walled Garden à une interface dynamique.
Configuration d’un Walled Garden en tant que filtre de service de pare-feu
Lorsque vous configurez le jardin clos en tant que filtre de service de pare-feu, le trafic destiné aux serveurs du jardin clos est identifié et ignoré. Comme ce trafic n’est pas transféré vers la carte de ligne, les exigences de traitement sont réduites.
Tout autre trafic HTTP est destiné à des adresses situées en dehors du jardin clos. Comme ce trafic ne correspond pas aux conditions de filtrage, il est acheminé vers la carte de ligne pour traitement.
Vous pouvez configurer le filtre de service de sorte que le jardin clos contienne un seul serveur comme portail captif ou une liste de serveurs.
Configurez le jardin clos avec un seul serveur comme portail captif :
Créez le filtre de service.
[edit] user@host# edit firewall family address-family service-filter filter-name
Définissez un terme de filtre pour identifier et ignorer le traitement du trafic vers le portail captif.
Spécifiez les conditions de filtre pour correspondre au trafic destiné au portail captif en spécifiant l’adresse de destination du portail captif et le port de destination.
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-address ip-address user@host# set term name from destination-port port-number
Spécifiez que le trafic correspondant ignore le traitement sur la carte de ligne.
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
Définissez un terme de filtre pour identifier le trafic HTTP parmi tout le trafic qui ne correspond pas au terme précédent et l’envoyer pour traitement par les règles de service CPDC.
Spécifiez un ou plusieurs numéros de port HTTP pour correspondre au trafic HTTP ignoré.
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-port http-port-number
Indiquez que le trafic correspondant est traité par un service CPCD.
[edit firewall family inet service-filter filter-name] user@host# set term name then service
Définissez un terme de filtre pour ignorer toute action ultérieure pour tout trafic non HTTP restant.
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
Par exemple, la configuration suivante crée un filtre pour le trafic HTTP IPv4, walled-v4, avec le portail captif sur 192.0.2.0. Le trafic correspondant à l’adresse est ignoré. Le trafic non correspondant est nommé http, où le trafic HTTP est sélectionné parmi tout le trafic ignoré et envoyé pour être traité selon un service CPCD. Enfin, le saut de terme entraîne l’ignorance de tout le trafic non HTTP restant.
[edit] user@host# edit firewall family inet service-filter walled-v4 [edit firewall family inet service-filter walled-v4] user@host# set term portal from destination-address 192.0.2.0 user@host# set term portal from destination-port 80 user@host# set term portal then skip user@host# set term http from destination-port 80 user@host# set term http then service user@host# set term skip then skip
Configurez le jardin clos en tant que liste ou sous-réseau de serveurs.
Créez le filtre de service.
[edit] user@host# edit firewall family address-family service-filter filter-name
Définissez un terme de filtre.
Spécifiez les conditions de filtre pour qu’elles correspondent au trafic destiné à n’importe quel serveur du jardin clos en spécifiant une liste de serveurs de préfixe de destination.
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-prefix-list list-name user@host# set term name from destination-port port-number
Spécifiez que le trafic correspondant ignore le traitement sur la carte de ligne.
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
Définissez un terme de filtre pour identifier le trafic HTTP parmi tout le trafic qui ne correspond pas au terme précédent et l’envoyer pour traitement par les règles de service CPDC.
Spécifiez un ou plusieurs numéros de port HTTP pour correspondre au trafic HTTP ignoré.
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-port http-port-number
Indiquez que le trafic correspondant est traité par un service CPCD.
[edit firewall family inet service-filter filter-name] user@host# set term name then service
Définissez un terme de filtre pour ignorer toute action ultérieure pour tout trafic non HTTP restant.
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
(Facultatif) Définissez une liste de préfixes qui spécifie les serveurs dans le jardin clos. Vous pouvez spécifier un sous-réseau ou plusieurs adresses individuelles.
[edit policy-options] user@host# set prefix-list list- name ip-address/mask user@host# set prefix-list list- name ip-address1 user@host# set prefix-list list- name ip-address2
Par exemple, la configuration suivante crée un filtre de service pour le trafic HTTP IPv6, walled-v6-list, avec une liste de préfixes, wg-list, qui spécifie deux serveurs dans le jardin clos. Le terme de filtre portal6 identifie le trafic IPv6 destiné au jardin clos. Le trafic non correspondant passe au terme http6, où le trafic HTTP est sélectionné parmi tout le trafic ignoré et envoyé pour être traité selon un service CPCD. Enfin, le saut de terme entraîne l’ignorance de tout le trafic non HTTP restant.
[edit] user@host# edit firewall family inet6 service-filter walled-v6-list user@host# set term portal6 from destination-prefix-list wg-list user@host# set term portal6 then skip user@host# set term http6 from destination-port [80 8080] user@host# set term http6 then service user@host# set term skip6 then skip [edit policy-options] user@host# set prefix-list wg-list 2001:db8::10.10 user@host# set prefix-list wg-list 2001:db8::10.22
Configuration de la redirection HTTP pour les serveurs de redirection locaux et distants
Lorsque des requêtes HTTP sont effectuées pour des sites situés en dehors du jardin clos, le CPCD peut rediriger le trafic vers un portail captif à des fins d’authentification et d’autorisation.
Configurez une règle de service CPCD qui spécifie l’action à effectuer pour le trafic HTTP identifié par le filtre de service walled garden et transmis au service. L’action que vous configurez varie selon que vous utilisez un serveur de redirection HTTP local ou distant :
Si vous utilisez un serveur de redirection HTTP local sur le routeur, vous spécifiez l’action de redirection.
Si vous utilisez un serveur de redirection HTTP distant, qui réside dans un jardin clos derrière le routeur, vous ne pouvez pas simplement spécifier une URL de redirection. Dans ce cas, la règle de service doit réécrire l’adresse IP de destination du trafic. La nouvelle adresse de destination est l’adresse du serveur de redirection HTTP distant. Le serveur distant fournit ensuite une URL de redirection pour envoyer le trafic vers un portail captif.
Par exemple, dans la configuration suivante pour un serveur local, le profil dynamique http-redir-converged inclut la règle de service CPCD redir-svc. La règle redirige le trafic vers un portail captif, http://www.portal.example.com. L’URL d’origine entrée par l’abonné est ajoutée à l’URL de redirection. Le profil de service CPCD redir-prof inclut la règle et sera ensuite appliqué à une interface de service par un ensemble de services.
user@host# edit dynamic-profiles http-redir-converged user@host# edit services captive-portal-content-delivery user@host# edit rule redir-svc user@host# set match-direction input user@host# set term redir1 then redirect http://www.portal.example.com/url=%dest-url%
La configuration suivante pour un serveur distant crée la règle de service CPCD rewr-svc qui réécrit l’adresse de destination d’origine à l’adresse du serveur distant, 192.0.2.230.
user@host# edit dynamic-profiles http-redir-converged user@host# edit services captive-portal-content-delivery user@host# edit rule rewr-svc user@host# set match-direction input user@host# set term rewr1 then rewrite destination-address 192.0.2.230
Configuration du paramétrage de l’URL de redirection
Vous pouvez éventuellement choisir de paramétrer l’URL de redirection et l’adresse de destination de réécriture en spécifiant des variables définies par l’utilisateur dans le profil dynamique. Le paramétrage signifie que l’URL ou l’adresse devient une variable dynamique. La valeur est fournie par RADIUS lorsque l’abonné est authentifié ou lorsqu’un CoA est reçu. Par conséquent, vous pouvez utiliser les attributs RADIUS pour fournir des URL ou des adresses de destination différentes pour différents abonnés.
Par exemple, la configuration suivante montre deux variables définies par l’utilisateur, redirect-url et rewrite-da, qui nécessitent des valeurs fournies en externe lorsqu’elles sont instanciées. La règle de service CPCD redir1 spécifie que le trafic est redirigé vers $redirect-url. La règle de service CPCD rewr1 spécifie que l’adresse de destination du trafic est réécrite en $rewrite-da.
user@host# edit dynamic-profiles http-redir-converged user@host# edit variables user@host# set redirect-url mandatory user@host# set rewrite-da mandatory user@host# edit services captive-portal-content-delivery user@host# edit rule redir-svc user@host# set match-direction input user@host# set term redir1 then redirect $redirect-url user@host# edit rule rewr-svc user@host# set match-direction input user@host# set term rewr1 then rewrite $rewrite-da
Configuration de l’ensemble de services pour associer le profil de service à une interface de service
Les ensembles de services définissent un ou plusieurs services devant être exécutés par le MS-MPC/MS-MIC, ou par la carte de services MX-SPC3 si vous avez activé les services nouvelle génération sur le routeur MX Series. Pour les services de redirection HTTP, vous définissez un profil de service CPCD qui inclut des règles CPCD. L’ensemble de services applique le profil de service CPCD à une interface de service spécifique.
Par exemple, la configuration suivante crée le profil de service CPCD redir-prof, qui fait référence à la règle CPCD redir-svc. L’ensemble de services cvgd associe le profil de service CPCD rewr-prof à l’interface de service ms-2/0/0.
[edit services captive-portal-content-delivery] user@host# edit profile redir-prof user@host# set cpcd-rules redir-svc user@host# set dynamic [edit services] user@host# edit service-set cvgd user@host# set captive-portal-content-delivery-profile redir-prof user@host# set interface-service service-interface ms-2/0/0
Attachement d’un ensemble de services CPCD et d’un filtre de services à une interface logique dynamique
Pour utiliser les services de redirection HTTP, vous devez attacher l’ensemble de services CPCD à une interface logique. Étant donné que le jardin clos est configuré en tant que filtre de service, vous devez l’attacher à la même interface que l’ensemble de services. Le trafic entrant et sortant de cette interface est filtré par le filtre de service. Le trafic identifié pour la maintenance est envoyé à l’interface de service MS-MPC ou MX-SPC3 où le profil CPCD est appliqué.
Cette procédure affiche uniquement les éléments de la configuration du profil dynamique qui sont spécifiques à la configuration des services convergés. Le profil dynamique complet dépend de votre cas d’utilisation.
Par exemple, la configuration suivante crée le profil dynamique http-redir-converged. Il spécifie des variables prédéfinies pour créer les interfaces physiques et logiques dynamiques de la famille d’adresses IPv4. Le profil attache l’ensemble de services cvgd et le filtre de service walled-v4 à l’interface logique dynamique lorsqu’il est créé lors de la connexion de l’abonné. L’ensemble de services et le filtre sont tous deux appliqués à l’entrée et à la sortie de l’interface.
user@host# edit dynamic-profiles http-redir-converged user@host# edit interfaces $junos-interface-ifd-name user@host# edit unit $junos-underlying-interface-unit user@host# edit family inet user@host# set service input service-set cvgd service-filter walled-v4 user@host# set service output service-set cvgd service-filter walled-v4
Installation d’un ensemble de services pour le service CPCD
Pour utiliser les services CPCD sur un MS-MPC/MS-MIC, ou sur une carte de services MX-SPC3 si vous avez activé USF sur le routeur MX Series, configurez une interface de service sur le MS-MIC ou MX-SPC3. Vous devez installer les packages de services requis sur chaque MS-MIC doté d’une interface de service ou sur un MX-SPC3.
Par exemple, la configuration suivante charge le package de services CPCD et le package de services d’abonné mobile sur le MS-MPC dans l’emplacement 1 du châssis et le MS-MIC dans l’emplacement 0 du MPC. Des messages de journal système sont générés pour n’importe quel démon et pour les applications externes locales à tous les niveaux de gravité.
user@host# edit chassis fpc 1 pic 0 adaptive-services service-package [edit chassis fpc 1 pic 0 adaptive-services service-package] user@host# set extension-provider package jservices-cpcd,jservices-mss [edit chassis fpc 1 pic 0 adaptive-services service-package] user@host# set extension-provider syslog daemon any user@host# set extension-provider syslog external any
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.