MS-MPC ベースまたは MX-SPC3 ベースの静的 HTTP リダイレクト サービスの設定
Junos OS リリース 19.3R2 以降、MX シリーズ ルーターで次世代サービスを有効にしている場合、MX-SPC3 サービス カードベースのキャプティブ ポータルで静的 HTTP リダイレクト サービス プロビジョニングもサポートされます。
ウォールドガーデンは、キャプティブポータルを介した再承認を必要とせずに、ウォールドガーデン内のサイトへの加入者アクセスを提供するサーバーのグループです。キャプティブ ポータル ページは、通常、サブスクライバ セッションにログインした後にサブスクライバに表示される最初のページです。
加入者がウォールドガーデン外のサイトにアクセスしようとすると、HTTPリダイレクトサービスがIPv4およびIPv6のHTTPリクエストを処理してそのトラフィックを管理します。ウォールドガーデン宛てではない加入者のHTTPリクエストトラフィックはリダイレクトサーバーに送信され、リダイレクトサーバーは、不正な外部サイトではなくキャプティブポータルにトラフィックを送信するリダイレクトURLで応答します。キャプティブポータルは、リダイレクトされた加入者に認証および許可サービスを提供してから、ウォールドガーデンの外にある保護されたサーバーへのアクセスを許可します。
リダイレクトサーバーは、ローカルまたはリモートにすることができます。
ローカルリダイレクトサーバー—ルーターに常駐し、加入者トラフィックを壁に囲まれた庭内のキャプティブポータルにリダイレクトします。
リモートリダイレクトサーバー:ルーターの背後にある壁に囲まれた庭内のポリシーサーバーなどのデバイスに存在します。サブスクライバーの HTTP トラフィックの宛先アドレスは、リモートリダイレクトサーバーのアドレスに書き換えられます。リモートサーバーは、加入者のトラフィックをその壁に囲まれた庭内のキャプティブポータルにリダイレクトします。
ウォールドガーデンをファイアウォールサービスフィルターとして設定します。サービス フィルターはスタティック インターフェイスにアタッチされます。CPCD サービスは、サービス セットによってサービス インターフェイス(MS-MPC では ms- 、MX-SPC3 サービス カードでは vms- )に適用されます。その後、サービス セットはスタティック インターフェイスに接続されます。
ウォールドガーデンをファイアウォールサービスフィルターとして構成する
ウォールドガーデンをファイアウォールサービスフィルターとして設定すると、ウォールドガーデン内のサーバーを宛先とするトラフィックが識別され、スキップされます。このトラフィックはラインカードに流れないため、処理要件が軽減されます。
他のすべてのHTTPトラフィックは、ウォールに囲まれた庭の外のアドレスに宛てられます。このトラフィックはフィルター条件に一致しないため、ラインカードに流れて処理されます。
ウォールド ガーデンにキャプティブ ポータルまたはサーバのリストとして単一のサーバが含まれるようにサービス フィルタを設定できます。
単一のサーバーを持つウォールドガーデンをキャプティブポータルとして構成します。
サービス フィルターを作成します。
[edit] user@host# edit firewall family address-family service-filter filter-name
フィルター条件を定義して、キャプティブポータルへのトラフィックの処理を識別し、スキップします。
キャプティブ ポータルの宛先アドレスと宛先ポートを指定して、キャプティブ ポータルを宛先とするトラフィックを照合するフィルタ条件を指定します。
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-address ip-address user@host# set term name from destination-port port-number
一致するトラフィックがラインカードでの処理をスキップすることを指定します。
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
前の条件に一致しなかったすべてのトラフィックからHTTPトラフィックを識別するフィルタ条件を定義し、CPCDサービスルールによる処理のために送信します。
スキップされた HTTP トラフィックと一致する 1 つ以上の HTTP ポート番号を指定します。
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-port http-port-number
一致するトラフィックが CPCD サービスによって処理されることを指定します。
[edit firewall family inet service-filter filter-name] user@host# set term name then service
フィルター条件を定義して、残りの非HTTPトラフィックに対するそれ以上のアクションをスキップします。
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
例えば、以下の設定では、キャプティブポータルが192.0.2.0であるIPv4 HTTPトラフィック用のフィルタwalled-v4を作成します。アドレスに一致するトラフィックはスキップされます。一致しないトラフィックは用語 http になり、スキップされたすべてのトラフィックから HTTP トラフィックが選択され、CPCD サービスに従って処理されるように送信されます。最後に、タームスキップにより、残りの非HTTPトラフィックがすべてスキップされます。
[edit] user@host# edit firewall family inet service-filter walled-v4 [edit firewall family inet service-filter walled-v4] user@host# set term portal from destination-address 192.0.2.0 user@host# set term portal from destination-port 80 user@host# set term portal then skip user@host# set term http from destination-port 80 user@host# set term http then service user@host# set term skip then skip
ウォールド ガーデンをサーバーのリストまたはサブネットとして構成します。
サービス フィルターを作成します。
[edit] user@host# edit firewall family address-family service-filter filter-name
フィルター条件を定義します。
サーバーの宛先プレフィックスリストを指定して、ウォールドガーデン内の任意のサーバー宛てのトラフィックに一致するフィルター条件を指定します。
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-prefix-list list-name user@host# set term name from destination-port port-number
一致するトラフィックがラインカードでの処理をスキップすることを指定します。
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
前の条件に一致しなかったすべてのトラフィックからHTTPトラフィックを識別するフィルタ条件を定義し、CPCDサービスルールによる処理のために送信します。
スキップされた HTTP トラフィックと一致する 1 つ以上の HTTP ポート番号を指定します。
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-port http-port-number
一致するトラフィックが CPCD サービスによって処理されることを指定します。
[edit firewall family inet service-filter filter-name] user@host# set term name then service
フィルター条件を定義して、残りの非HTTPトラフィックに対するそれ以上のアクションをスキップします。
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
(オプション)ウォールド ガーデン内のサーバーを指定するプレフィックス リストを定義します。サブネットまたは複数の個別のアドレスを指定できます。
[edit policy-options] user@host# set prefix-list list- name ip-address/mask user@host# set prefix-list list- name ip-address1 user@host# set prefix-list list- name ip-address2
例えば、以下の構成では、IPv6 HTTPトラフィック用のフィルタ、walled-v6-listを作成し、プレフィックスリストwg-listで、ウォールドガーデンに2台のサーバーを指定します。フィルター条件portal6は、ウォールドガーデン宛てのIPv6トラフィックを識別します。一致しないトラフィックは用語 http6 になり、スキップされたすべてのトラフィックから HTTP トラフィックが選択され、CPCD サービスに従って処理されるように送信されます。最後に、タームスキップにより、残りの非HTTPトラフィックがすべてスキップされます。
[edit] user@host# edit firewall family inet6 service-filter walled-v6-list user@host# set term portal6 from destination-prefix-list wg-list user@host# set term portal6 then skip user@host# set term http6 from destination-port [80 8080] user@host# set term http6 then service user@host# set term skip6 then skip [edit policy-options] user@host# set prefix-list wg-list 2001:db8::10.10 user@host# set prefix-list wg-list 2001:db8::10.22
ローカルおよびリモートリダイレクトサーバーのHTTPリダイレクトの設定
ウォールドガーデン外のサイトに対してHTTPリクエストが行われると、CPCDはトラフィックをキャプティブポータルにリダイレクトして認証と承認を行うことができます。
ウォールド ガーデンの外側を宛先とするトラフィックに対して実行するアクションを指定する CPCD サービス ルールを設定します。このトラフィックは、ウォールド ガーデン サービス フィルターによって識別され、サービスに渡されました。構成するアクションは、ローカルまたはリモートのどちらのHTTPリダイレクトサーバーを使用しているかによって異なります。
ルーターでローカル HTTP リダイレクト サーバーを使用している場合は、リダイレクト アクションを指定します。
ルーターの後ろの壁に囲まれた庭にあるリモート HTTP リダイレクト サーバーを使用している場合は、リダイレクト URL を単純に指定することはできません。この場合、サービス ルールはトラフィックの IP 宛先アドレスを書き換える必要があります。新しい宛先アドレスは、リモート HTTP リダイレクト サーバーのアドレスです。次に、リモート サーバーは、トラフィックをキャプティブ ポータルに送信するためのリダイレクト URL を提供します。
CPCD サービスは、サービス・セットによってサービス・インターフェースに関連付けられます。サービス セットとウォールド ガーデン サービス フィルターの両方が、静的に設定されたインターフェイスに適用されます。
たとえば、次のローカル サーバーの構成では、CPCD サービス ルール redir-svc はトラフィックをキャプティブ ポータル http://www.portal.example.com
にリダイレクトします。サブスクライバーが入力した元の URL がリダイレクト URL に追加されます。
user@host# edit services captive-portal-content-delivery user@host# edit rule redir-svc user@host# set match-direction input user@host# set term redir1 then redirect http://www.portal.example.com/url=%dest-url%
リモート・サーバーに対する以下の構成では、元の宛先アドレスをリモート・サーバーのアドレス 192.0.2.230 に書き換える CPCD サービス・ルール rewr-svc を作成します。
user@host# edit services captive-portal-content-delivery user@host# edit rule rewr-svc user@host# set match-direction input user@host# set term rewr1 then rewrite destination-address 192.0.2.230
サービス プロファイルとサービス インターフェイスを関連付けるためのサービス プロファイルおよびサービス セットの設定
サービスセットは、MXシリーズルーターで次世代サービスを有効にしている場合、MS-MPC/MS-MIC、またはMX-SPC3サービスカードによって実行される1つ以上のサービスを定義します。HTTP リダイレクト・サービスの場合、CPCD ルールを含む CPCD サービス・プロファイルを定義します。サービス・セットは、CPCD サービス・プロファイルを特定のサービス・インターフェースに適用します。
たとえば、次の設定では、CPCD ルール redir-svc を参照する CPCD サービス プロファイル redir-prof が作成されます。サービスセットss2は、CPCDサービスプロファイルredir-profをサービスインターフェイスms-5/0/0に関連付けます。
[edit services captive-portal-content-delivery] user@host# edit profile redir-prof user@host# set cpcd-rules redir-svc [edit services] user@host# edit service-set sset2 user@host# set captive-portal-content-delivery-profile redir-prof user@host# set interface-service-service-interface ms-5/0/0
論理インターフェースへの CPCD サービス・セットとサービス・フィルターのアタッチ
HTTP リダイレクト・サービスを使用するには、CPCD サービス・セットを論理インターフェースに接続する必要があります。ウォールド ガーデンがサービス フィルタとして設定されている場合は、サービス セットと同じインターフェイスに接続する必要があります。そのインターフェイスに出入りするトラフィックは、サービスフィルターによってフィルタリングされます。サービス用に識別されたトラフィックは、MS-MPC(またはMXシリーズルーターで次世代サービスを有効にしている場合はMX-SPC3サービスカード)に送信され、CPCDプロファイルがサービスインターフェイスに適用されます。
例えば、以下の設定は、IPv4 アドレス ファミリーのサービス セット sset2 とサービス フィルター walled-v4 を ge-2/0/1.0 にアタッチします。論理インターフェイスにアドレスを割り当てます。サービス セットとフィルターは、どちらもインターフェイスの入力と出力に適用されます。
user@host# edit interfaces ge-2/0/1 unit 0 family inet user@host# set address 203.0.113.5 user@host# set service input service-set sset2 service-filter walled-v4 user@host# set service output service-set sset2 service-filter walled-v4
CPCD サービスのサービスパッケージのインストール
MS-MPC/MS-MIC、またはMXシリーズルーターで次世代サービスを有効にしている場合、MX-SPC3サービスカードでCPCDサービスを使用するには、MS-MICまたはMX-SPC3でサービスインターフェイスを設定します。サービスインターフェイスを備えた各MS-MICまたはMX-SPC3サービスカードに必要なサービスパッケージをインストールする必要があります。
例えば、以下の設定では、CPCDサービスパッケージをシャーシスロット1のMS-MPCとMPCのスロット0のMS-MICにロードします。システムログメッセージは、すべての重大度レベルの任意のデーモンおよびローカル外部アプリケーションに対して生成されます。
user@host# edit chassis fpc 1 pic 0 adaptive-services service-package [edit chassis fpc 1 pic 0 adaptive-services service-package] user@host# set extension-provider package jservices-cpcd [edit chassis fpc 1 pic 0 adaptive-services service-package] user@host# set extension-provider syslog daemon any user@host# set extension-provider syslog external any
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。