Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

MS-MPCベースまたはMX-SPC3ベースの統合型HTTPリダイレクトサービスの設定

MS-MPC/MS-MIC上で統合型HTTPリダイレクトサービスを設定できます。Junos OSリリース19.3R1以降、MXシリーズルーターで次世代サービスを有効にしている場合、MX-SPC3サービスカードで統合型HTTPリダイレクトサービスプロビジョニングを設定することもできます。

統合型サービスプロビジョニングでは、サービスの定義とサービスのインスタンス化が分離されています。サービスが定義された後、加入者のログイン時やセッション中にChange of Authorization(CoA)を使用することで、サービスを動的にインスタンス化できます。サービスのインスタンス化では、定義されたサービスの名前のみが使用され、サービスの詳細はすべてシステムオペレーターから非表示になります。統合型サービスプロビジョニングは、動的プロファイル内の動的変数に対応するサービスパラメーター化をサポートします。

統合型HTTPリダイレクトサービスの場合、これは、動的プロファイル内でサービスとサービスルールを定義することを意味します。CPCDサービスルールは、動的プロファイルで設定された変数に基づいて動的に作成されます。

オプションで、動的プロファイルに redirect-url 変数を定義することで、リダイレクトURLをパラメーター化することを選択できます。変数の値は、加入者立ち上げ時のRADIUS VSAまたはChange of Authorization(CoA)メッセージによって提供されます。これにより、各加入者のリダイレクトURLをカスタマイズできます。RADIUS から値が提供されない場合に使用される URL のデフォルト値を定義できます。

ウォールドガーデンをファイアウォールサービスフィルターとして設定します。ウォールドガーデンの外を宛先とするHTTPトラフィックのみがダイナミックサービスに渡されて処理されるように、トラフィックをフィルタリングします。静的HTTPリダイレクトサービスと同様に、サービスプロファイルにはサービスルールが含まれています。動的プロファイルの外部にあるサービス セットを設定して、CPCD サービス プロファイルを MS-MPC/MS-MIC 上の特定の ms サービス インターフェイスまたは MX-SPC3 サービス カード上の vsp サービス インターフェイスに関連付けます。動的プロファイル内では、サービス セットとウォールド ガーデン サービス フィルターを動的インターフェイスに適用します。

ウォールドガーデンをファイアウォールサービスフィルターとして設定する

ウォールドガーデンをファイアウォールサービスフィルターとして設定すると、ウォールドガーデン内のサーバー宛てのトラフィックが識別され、スキップされます。このトラフィックはラインカードに流れないため、処理要件が軽減されます。

その他のHTTPトラフィックは、ウォールドガーデンの外のアドレスに向けられます。このトラフィックはフィルター条件に一致しないため、処理のためにラインカードに流れます。

ウォールドガーデンにキャプティブポータルまたはサーバーのリストとして単一のサーバーが含まれるように、サービスフィルターを設定できます。

  • ウォールドガーデンを単一のサーバーをキャプティブポータルとして構成します。

    1. サービスフィルターを作成します。

    2. キャプティブポータルへのトラフィックの処理を識別してスキップするためのフィルター条件を定義します。

      1. キャプティブポータルの宛先アドレスと宛先ポートを指定することで、キャプティブポータル宛てのトラフィックに一致するフィルター条件を指定します。

      2. 一致するトラフィックがラインカード上の処理をスキップすることを指定します。

    3. 前の条件に一致しないすべてのトラフィックからHTTPトラフィックを識別し、CPCDサービスルールによる処理のために送信するフィルター条件を定義します。

      1. スキップされたHTTPトラフィックと一致する1つ以上のHTTPポート番号を指定します。

      2. 一致するトラフィックがCPCDサービスによって処理されることを指定します。

    4. フィルター条件を定義して、残りの非HTTPトラフィックに対するそれ以上のアクションをスキップします。

    例えば、以下の設定では、192.0.2.0上のキャプティブポータルを使用して、IPv4 HTTPトラフィックのフィルターwalled-v4を作成します。アドレスに一致するトラフィックはスキップされます。一致しないトラフィックは条件httpに送られ、HTTPトラフィックはスキップされたすべてのトラフィックから選択され、CPCDサービスに従って処理されるように送信されます。最後に、条件スキップにより、残りのHTTP以外のトラフィックはすべてスキップされます。

  • ウォールドガーデンをサーバーのリストまたはサブネットとして設定します。

    1. サービスフィルターを作成します。

    2. フィルター条件を定義します。

      1. サーバーの宛先プレフィックスリストを指定することで、ウォールドガーデン内の任意のサーバー宛てのトラフィックに一致するフィルター条件を指定します。

      2. 一致するトラフィックがラインカード上の処理をスキップすることを指定します。

    3. 前の条件に一致しないすべてのトラフィックからHTTPトラフィックを識別し、CPCDサービスルールによる処理のために送信するフィルター条件を定義します。

      1. スキップされたHTTPトラフィックと一致する1つ以上のHTTPポート番号を指定します。

      2. 一致するトラフィックがCPCDサービスによって処理されることを指定します。

    4. フィルター条件を定義して、残りの非HTTPトラフィックに対するそれ以上のアクションをスキップします。

    5. (オプション)ウォールドガーデン内のサーバーを指定するプレフィックスリストを定義します。サブネットまたは複数の個別アドレスを指定できます。

    例えば、以下の設定では、IPv6 HTTPトラフィック用のサービスフィルターwalled-v6-listを作成し、ウォールドガーデン内の2台のサーバーを指定するプレフィックスリストwg-listがあります。フィルター条件portal6は、ウォールドガーデン宛てのIPv6トラフィックを特定します。一致しないトラフィックは条件http6に行き、HTTPトラフィックはスキップされたすべてのトラフィックから選択され、CPCDサービスに従って処理されるように送信されます。最後に、条件をスキップすると、残りのHTTP以外のトラフィックはすべてスキップされます。

ローカルおよびリモートリダイレクトサーバーへのHTTPリダイレクトの設定

ウォールドガーデン外のサイトに対してHTTPリクエストが行われると、CPCDは認証と承認のためにトラフィックをキャプティブポータルにリダイレクトできます。

ウォールドガーデンサービスフィルターによって識別され、サービスに渡されるHTTPトラフィックに対して実行されるアクションを指定するCPCDサービスルールを設定します。設定するアクションは、ローカルまたはリモートのHTTPリダイレクトサーバーのどちらを使用しているかによって異なります。

  • ルーターでローカルHTTPリダイレクトサーバーを使用している場合は、リダイレクトアクションを指定します。

  • ルーターの背後にあるウォールドガーデンにあるリモートHTTPリダイレクトサーバーを使用している場合は、単にリダイレクトURLを指定することはできません。この場合、サービスルールはトラフィックのIP宛先アドレスを書き換える必要があります。新しい宛先アドレスは、リモートHTTPリダイレクトサーバーのアドレスです。次に、リモートサーバーは、トラフィックをキャプティブポータルに送信するためのリダイレクトURLを提供します。

  1. 動的プロファイルを設定します。
  2. 動的CPCDサービス設定レベルにアクセスします。
  3. ウォールドガーデンの外を宛先とするトラフィックに適用するルールを作成します。
  4. ルールが受信トラフィックに適用されることを指定します。
  5. 一致するトラフィックに対して実行するアクションを指定します。ウォールドガーデンはサービスフィルターであるため、トラフィックはサービスに送信される前にすでにHTTPトラフィックとして識別されています。

    • ローカルHTTPリダイレクトサーバーの場合は、リダイレクトURLを指定します。これは、元のURL(ウォールドガーデンの外側)が付加されたキャプティブポータルのURLです。

    • リモートHTTPリダイレクトサーバーの場合は、リモートサーバーの宛先アドレスを指定します。

例えば、以下のローカルサーバーの設定では、動的プロファイルhttp-redir-convergedにCPCDサービスルールredir-svcが含まれています。ルールは、トラフィックをキャプティブポータル、 http://www.portal.example.comにリダイレクトします。加入者が入力した元のURLがリダイレクトURLに追加されます。CPCDサービスプロファイルredir-profにはルールが含まれており、後でサービスセットによってサービスインターフェイスに適用されます。

以下のリモートサーバーの設定では、元の宛先アドレスをリモートサーバーのアドレス192.0.2.230に書き換えるCPCDサービスルールrewr-svcを作成します。

リダイレクトURLのパラメータ設定

オプションで、動的プロファイルでユーザー定義の変数を指定することで、リダイレクトURLと書き換え先アドレスをパラメーター化することを選択できます。パラメーター化とは、URL またはアドレスが動的変数になることを意味します。値は、加入者が認証されたとき、またはCoAを受信したときに、RADIUSによって提供されます。したがって、RADIUS属性を使用して、加入者ごとに異なるURLまたは宛先アドレスを提供できます。

  1. 動的プロファイルを設定します。
  2. カスタム変数設定レベルにアクセスします。
  3. リダイレクトURL、書き換え先アドレス、またはその両方の変数を定義します。動的変数の値が外部サーバー(通常は RADIUS)から提供されることを指定します。
    注:

    変数には好きな名前を付けることができますが、redirect-url や rewrite-da などの名前は目的を明確にします。
  4. CPCD ルールで、変数名の前にドル記号 ($) を付加して変数を指定します。

    • ローカルHTTPリダイレクトサーバーの場合は、リダイレクト変数を指定します。

    • リモートHTTPリダイレクトサーバーの場合は、宛先アドレス変数を指定します。

例えば、以下の設定では、インスタンス化時に外部から提供される値を必要とする 2 つのユーザー定義変数 redirect-url と rewrite-da を示しています。CPCDサービスルールredir1は、トラフィックが$redirect-URLにリダイレクトされることを指定します。CPCDサービスルールrewr1は、トラフィックの宛先アドレスが$rewrite-daに書き換えられることを指定します。

サービスプロファイルをサービスインターフェイスに関連付けるためのサービスセットの設定

サービスセットは、MS-MPC/MS-MIC、またはMX-SPC3サービスカード(MXシリーズルーターで次世代サービスを有効にしている場合)によって実行される1つ以上のサービスを定義します。HTTPリダイレクトサービスでは、CPCDルールを含むCPCDサービスプロファイルを定義します。サービスセットは、CPCDサービスプロファイルを特定のサービスインターフェイスに適用します。

  1. サービスプロファイルを作成します。
  2. サービスプロファイルのCPCD動的プロファイルで設定された1つ以上のCPCDルールを指定します。
  3. これが統合型CPCDサービスであることを指定します。
  4. サービスセットを作成します。
  5. CPCDサービスプロファイルを指定します。
  6. サービスインターフェイスを指定します。

例えば、以下の設定は、CPCDルールredir-svcを参照するCPCDサービスプロファイルredir-profを作成します。サービスセットcvgdは、CPCDサービスプロファイルrewr-profをサービスインターフェイスms-2/0/0に関連付けます。

動的論理インターフェイスへのCPCDサービスセットとサービスフィルターのアタッチ

HTTPリダイレクトサービスを使用するには、CPCDサービスセットを論理インターフェイスにアタッチする必要があります。ウォールドガーデンはサービスフィルターとして設定されているため、サービスセットと同じインターフェイスにアタッチする必要があります。そのインターフェイスに到着するトラフィック、またはそのインターフェイスを出るトラフィックは、サービス フィルターによってフィルタリングされます。サービス対象として特定されたトラフィックは、CPCDプロファイルが適用されるMS-MPCまたはMX-SPC3サービスインターフェイスに送信されます。

注:

この手順では、統合型サービス設定に固有の動的プロファイル設定の要素のみを示します。完全な動的プロファイルは、ユースケースによって異なります。
  1. 動的プロファイルを設定します。
  2. 動的物理インターフェイスを設定します。
  3. 動的論理インターフェイスを設定します。
  4. アドレスファミリーを設定します。
  5. サービスセットとサービスフィルターをインターフェイスにアタッチします。

例えば、以下の設定は動的プロファイルhttp-redir-convergedを作成します。IPv4アドレスファミリーで動的な物理および論理インターフェイスを作成するための定義済みの変数を指定します。プロファイルは、加入者ログイン時に作成されると、サービスセットcvgdとサービスフィルターwalled-v4を動的論理インターフェイスにアタッチします。サービスセットとフィルターは、インターフェイスの入力と出力の両方に適用されます。

CPCDサービス用サービスパッケージのインストール

MS-MPC/MS-MIC、またはMX-SPC3サービスカード(MXシリーズルーターでUSFを有効にしている場合)でCPCDサービスを使用するには、MS-MICまたはMX-SPC3でサービスインターフェイスを設定します。サービスインターフェイスを持つ各MS-MICまたはMX-SPC3に必要なサービスパッケージをインストールする必要があります。

  1. MS-MPCを搭載したMXシリーズ5Gユニバーサルルーティングプラットフォームのサービスインターフェイス、または次世代サービス用のMX-SPC3サービスカードでサービスパッケージをサポートするように、Junos OSを設定します。
  2. PICで実行するために必要なサービスパッケージを設定します。extension-provider
    注:

    統合型サービスMS-MPCベースまたはMX-SPC3ベースのCPCDには、CPCDサービスパッケージ(jservices-cpcd)とモバイル加入者サービスパッケージ(jservices-mss)の両方が必要です。
  3. (オプション)PICシステムロギングを有効にして、PIC上でシステムログメッセージを記録または表示します。1つ以上のファシリティを、それぞれ設定可能な重大度レベルで指定できます。

例えば、以下の設定では、MPCのシャーシスロット1にあるMS-MPCとスロット0にあるMS-MICに、CPCDサービスパッケージとモバイル加入者サービスパッケージを読み込みます。システムログメッセージは、すべての重大度レベルのデーモンとローカル外部アプリケーションに対して生成されます。

関連ドキュメント

変更履歴テーブル

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。

リリース
説明
19.3R1
Junos OSリリース19.3R1以降、MXシリーズルーターで次世代サービスを有効にしている場合、MX-SPC3サービスカードで統合型HTTPリダイレクトサービスプロビジョニングを設定することもできます。