Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

MS-MPCベースまたはMX-SPC3ベースの統合型HTTPリダイレクトサービスの設定

MS-MPC/MS-MIC でコンバージド HTTP リダイレクト サービスを設定できます。Junos OS リリース 19.3R1 以降、MX シリーズ ルーターで次世代サービスを有効にしている場合、MX-SPC3 サービス カードでコンバージド HTTP リダイレクト サービス プロビジョニングを設定することもできます。

統合型サービス プロビジョニングにより、サービス定義をサービスのインスタンス化から分離します。サービスを定義した後、加入者ログイン時またはセッション途中でChange of Authorization(CoA)を使用して、サービスを動的にインスタンス化できます。サービスのインスタンス化では、定義されたサービスの名前のみが使用され、すべてのサービスの詳細がシステム オペレーターから隠されます。統合型サービス プロビジョニングでは、動的プロファイル内の動的変数に対応するサービス パラメーター化がサポートされています。

コンバージド HTTP リダイレクト・サービスの場合、これは、動的プロファイル内でサービスとサービス・ルールを定義することを意味します。CPCD サービス・ルールは、動的プロファイルで構成された変数に基づいて動的に作成されます。

必要に応じて、動的プロファイルに変数の定義 redirect-url を含めることで、リダイレクト URL をパラメーター化することもできます。この変数の値は、加入者の起動時またはChange of Authorization(CoA)メッセージとともに、RADIUS VSAによって提供されます。これにより、各サブスクライバーのリダイレクト URL をカスタマイズできます。RADIUS で値が指定されていない場合に使用される URL のデフォルト値を定義できます。

ウォールドガーデンをファイアウォールサービスフィルターとして設定します。トラフィックをフィルター処理して、ウォールド ガーデンの外部を宛先とする HTTP トラフィックのみが処理のために動的サービスに渡されるようにします。スタティック HTTP リダイレクト サービスの場合と同様に、サービス プロファイルにはサービス ルールが含まれます。CPCDサービスプロファイルをMS-MPC/MS-MIC上の特定のmsサービスインターフェイスまたはMX-SPC3サービスカード上のvspサービスインターフェイスに関連付けるには、動的プロファイルの外部でサービスセットを設定します。動的プロファイル内で、サービス セットとウォールド ガーデン サービス フィルターを動的インターフェイスに適用します。

ウォールドガーデンをファイアウォールサービスフィルターとして構成する

ウォールドガーデンをファイアウォールサービスフィルターとして設定すると、ウォールドガーデン内のサーバーを宛先とするトラフィックが識別され、スキップされます。このトラフィックはラインカードに流れないため、処理要件が軽減されます。

他のすべてのHTTPトラフィックは、ウォールに囲まれた庭の外のアドレスに宛てられます。このトラフィックはフィルター条件に一致しないため、ラインカードに流れて処理されます。

ウォールド ガーデンにキャプティブ ポータルまたはサーバのリストとして単一のサーバが含まれるようにサービス フィルタを設定できます。

  • 単一のサーバーを持つウォールドガーデンをキャプティブポータルとして構成します。

    1. サービス フィルターを作成します。

    2. フィルター条件を定義して、キャプティブポータルへのトラフィックの処理を識別し、スキップします。

      1. キャプティブ ポータルの宛先アドレスと宛先ポートを指定して、キャプティブ ポータルを宛先とするトラフィックを照合するフィルタ条件を指定します。

      2. 一致するトラフィックがラインカードでの処理をスキップすることを指定します。

    3. 前の条件に一致しなかったすべてのトラフィックからHTTPトラフィックを識別するフィルタ条件を定義し、CPCDサービスルールによる処理のために送信します。

      1. スキップされた HTTP トラフィックと一致する 1 つ以上の HTTP ポート番号を指定します。

      2. 一致するトラフィックが CPCD サービスによって処理されることを指定します。

    4. フィルター条件を定義して、残りの非HTTPトラフィックに対するそれ以上のアクションをスキップします。

    例えば、以下の設定では、キャプティブポータルが192.0.2.0であるIPv4 HTTPトラフィック用のフィルタwalled-v4を作成します。アドレスに一致するトラフィックはスキップされます。一致しないトラフィックは用語 http になり、スキップされたすべてのトラフィックから HTTP トラフィックが選択され、CPCD サービスに従って処理されるように送信されます。最後に、タームスキップにより、残りの非HTTPトラフィックがすべてスキップされます。

  • ウォールド ガーデンをサーバーのリストまたはサブネットとして構成します。

    1. サービス フィルターを作成します。

    2. フィルター条件を定義します。

      1. サーバーの宛先プレフィックスリストを指定して、ウォールドガーデン内の任意のサーバー宛てのトラフィックに一致するフィルター条件を指定します。

      2. 一致するトラフィックがラインカードでの処理をスキップすることを指定します。

    3. 前の条件に一致しなかったすべてのトラフィックからHTTPトラフィックを識別するフィルタ条件を定義し、CPCDサービスルールによる処理のために送信します。

      1. スキップされた HTTP トラフィックと一致する 1 つ以上の HTTP ポート番号を指定します。

      2. 一致するトラフィックが CPCD サービスによって処理されることを指定します。

    4. フィルター条件を定義して、残りの非HTTPトラフィックに対するそれ以上のアクションをスキップします。

    5. (オプション)ウォールド ガーデン内のサーバーを指定するプレフィックス リストを定義します。サブネットまたは複数の個別のアドレスを指定できます。

    例えば、以下の設定では、IPv6 HTTPトラフィック用のサービスフィルタ、walled-v6-listを作成し、プレフィックスリストwg-listで、ウォールドガーデンに2台のサーバーを指定します。フィルター条件portal6は、ウォールドガーデン宛てのIPv6トラフィックを識別します。一致しないトラフィックは用語 http6 になり、スキップされたすべてのトラフィックから HTTP トラフィックが選択され、CPCD サービスに従って処理されるように送信されます。最後に、タームスキップにより、残りの非HTTPトラフィックがすべてスキップされます。

ローカルおよびリモートリダイレクトサーバーのHTTPリダイレクトの設定

ウォールドガーデン外のサイトに対してHTTPリクエストが行われると、CPCDはトラフィックをキャプティブポータルにリダイレクトして認証と承認を行うことができます。

ウォールドガーデンサービスフィルターによって識別され、サービスに渡されるHTTPトラフィックに対して実行するアクションを指定するCPCDサービスルールを設定します。構成するアクションは、ローカルまたはリモートのどちらのHTTPリダイレクトサーバーを使用しているかによって異なります。

  • ルーターでローカル HTTP リダイレクト サーバーを使用している場合は、リダイレクト アクションを指定します。

  • ルーターの後ろの壁に囲まれた庭にあるリモート HTTP リダイレクト サーバーを使用している場合は、リダイレクト URL を単純に指定することはできません。この場合、サービス ルールはトラフィックの IP 宛先アドレスを書き換える必要があります。新しい宛先アドレスは、リモート HTTP リダイレクト サーバーのアドレスです。次に、リモート サーバーは、トラフィックをキャプティブ ポータルに送信するためのリダイレクト URL を提供します。

  1. 動的プロファイルを設定します。
  2. 動的 CPCD サービス構成レベルにアクセスします。
  3. ウォールド ガーデンの外を宛先とするトラフィックに適用するルールを作成します。
  4. ルールが受信トラフィックに適用されることを指定します。
  5. 一致するトラフィックに対して実行するアクションを指定します。ウォールド ガーデンはサービス フィルターであるため、トラフィックはサービスに送信される前に HTTP トラフィックとして既に識別されています。

    • ローカル HTTP リダイレクト サーバの場合は、キャプティブ ポータルの URL であるリダイレクト URL に元の URL(ウォールド ガーデンの外側)を追加したリダイレクト URL を指定します。

    • リモート HTTP リダイレクト サーバーの場合は、リモート サーバーの宛先アドレスを指定します。

例えば、以下のローカル・サーバーの構成では、動的プロファイル http-redir-converged に CPCD サービス・ルール redir-svc が含まれています。このルールは、トラフィックをキャプティブ ポータル http://www.portal.example.comにリダイレクトします。サブスクライバーが入力した元の URL がリダイレクト URL に追加されます。CPCD サービス プロファイル redir-prof にはルールが含まれており、後でサービス セットによってサービス インターフェイスに適用されます。

リモート・サーバーに対する以下の構成では、元の宛先アドレスをリモート・サーバーのアドレス 192.0.2.230 に書き換える CPCD サービス・ルール rewr-svc を作成します。

リダイレクト URL のパラメーター化の構成

必要に応じて、動的プロファイルでユーザー定義変数を指定することで、リダイレクト URL と書き換え先アドレスをパラメーター化することもできます。パラメーター化とは、URL またはアドレスが動的変数になることを意味します。この値は、加入者が認証されるとき、またはCoAが受信されるときに、RADIUSによって提供されます。したがって、RADIUS属性を使用して、加入者ごとに異なるURLまたは宛先アドレスを提供できます。

  1. 動的プロファイルを設定します。
  2. カスタム変数の構成レベルにアクセスします。
  3. リダイレクト URL、書き換え先アドレス、またはその両方の変数を定義します。動的変数の値が外部サーバー(通常は RADIUS)によって提供されることを指定します。
    メモ:

    変数には好きな名前を付けることができますが、redirect-urlやrewrite-daのような名前は目的を明確にします。
  4. CPCD 規則では、変数名の前にドル記号 ($) を付けて変数を指定します。

    • ローカル HTTP リダイレクト サーバーの場合は、リダイレクト変数を指定します。

    • リモート HTTP リダイレクト サーバーの場合は、宛先アドレス変数を指定します。

たとえば、次の構成では、インスタンス化時に外部から提供される値を必要とする redirect-url と rewrite-da という 2 つのユーザー定義変数を示しています。CPCD サービス ルール redir1 は、トラフィックを $redirect-url にリダイレクトすることを指定します。CPCD サービス・ルール rewr1 は、トラフィックの宛先アドレスを $rewrite-da に書き換えることを指定します。

サービス プロファイルをサービス インターフェイスに関連付けるためのサービス セットの設定

サービスセットは、MS-MPC/MS-MIC、またはMXシリーズルーターで次世代サービスを有効にしている場合にはMX-SPC3サービスカードによって実行される1つ以上のサービスを定義します。HTTP リダイレクト・サービスの場合、CPCD ルールを含む CPCD サービス・プロファイルを定義します。サービス・セットは、CPCD サービス・プロファイルを特定のサービス・インターフェースに適用します。

  1. サービス プロファイルを作成します。
  2. サービス プロファイルの CPCD 動的プロファイルで設定された 1 つ以上の CPCD ルールを指定します。
  3. これがコンバージド CPCD サービスであることを指定します。
  4. サービス セットを作成します。
  5. CPCDサービス・プロファイルを指定します。
  6. サービス インターフェイスを指定します。

たとえば、次の設定では、CPCD ルール redir-svc を参照する CPCD サービス プロファイル redir-prof が作成されます。サービスセットcvgdは、CPCDサービスプロファイルrewr-profをサービスインターフェイスms-2/0/0に関連付けます。

動的論理インターフェイスへの CPCD サービスセットとサービスフィルタのアタッチ

HTTP リダイレクト・サービスを使用するには、CPCD サービス・セットを論理インターフェースに接続する必要があります。ウォールド ガーデンはサービス フィルターとして設定されているため、サービス セットと同じインターフェイスに接続する必要があります。そのインターフェイスに出入りするトラフィックは、サービスフィルターによってフィルタリングされます。サービス用に識別されたトラフィックは、CPCDプロファイルが適用されているMS-MPCまたはMX-SPC3サービスインターフェイスに送信されます。

メモ:

この手順では、コンバージド サービス構成に固有の動的プロファイル構成の要素のみを示します。完全な動的プロファイルは、ユースケースによって異なります。
  1. 動的プロファイルを設定します。
  2. 動的物理インターフェイスを設定します。
  3. 動的論理インターフェイスを設定します。
  4. アドレスファミリーを設定します。
  5. サービス セットとサービス フィルターをインターフェイスにアタッチします。

例えば、以下の設定では、動的プロファイル http-redir-converged を作成します。これは、IPv4アドレスファミリーで動的な物理および論理インターフェイスを作成するための定義済みの変数を指定します。プロファイルは、加入者ログイン時にサービスセットcvgdとサービスフィルターwalled-v4が作成されたときに、動的論理インターフェイスにアタッチします。サービス セットとフィルターは、どちらもインターフェイスの入力と出力に適用されます。

CPCD サービスのサービスパッケージのインストール

MS-MPC/MS-MIC、またはMXシリーズルーターでUSFを有効にしている場合、MX-SPC3サービスカードでCPCDサービスを使用するには、MS-MICまたはMX-SPC3でサービスインターフェイスを設定します。必要なサービス パッケージは、サービス インターフェイスを備えた各 MS-MIC または MX-SPC3 にインストールする必要があります。

  1. MS-MPC搭載MXシリーズ5Gユニバーサルルーティングプラットフォームのサービスインターフェイス、または次世代サービス用のMX-SPC3サービスカードで、Junos OSを設定して、サービスパッケージをサポートします。
  2. PICで実行するために必要なサービスパッケージを設定します。extension-providerいつ
    メモ:

    統合型サービスMS-MPCベースまたはMX-SPC3ベースのCPCDには、CPCDサービスパッケージ(jservices-cpcd)とモバイル加入者サービスパッケージ(jservices-mss)の両方が必要です。
  3. (オプション)PICでシステムログメッセージを記録または表示するには、PICシステムロギングを有効にします。1 つ以上のファシリティを、それぞれ構成可能な重大度レベルで指定できます。

たとえば、次の設定では、CPCDサービスパッケージとモバイル加入者サービスパッケージを、シャーシスロット1のMS-MPCとMPCのスロット0のMS-MICにロードします。システムログメッセージは、すべての重大度レベルの任意のデーモンおよびローカル外部アプリケーションに対して生成されます。

関連ドキュメント

リリース履歴テーブル
リリース
説明
19.3R1
Junos OS リリース 19.3R1 以降、MX シリーズ ルーターで次世代サービスを有効にしている場合、MX-SPC3 サービス カードでコンバージド HTTP リダイレクト サービス プロビジョニングを設定することもできます。