Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

MS-MPC ベースまたは MX-SPC3 ベースの静的 HTTP リダイレクト サービスの設定

手記:

Junos OS リリース 19.3R2 以降、MX シリーズ ルーターで次世代サービスを有効にしている場合、MX-SPC3 サービス カードベースのキャプティブ ポータルで静的 HTTP リダイレクト サービス プロビジョニングもサポートされます。

ウォールドガーデンは、キャプティブポータルを介した再承認を必要とせずに、ウォールドガーデン内のサイトへの加入者アクセスを提供するサーバーのグループです。キャプティブ ポータル ページは、通常、サブスクライバ セッションにログインした後にサブスクライバに表示される最初のページです。

加入者がウォールドガーデン外のサイトにアクセスしようとすると、HTTPリダイレクトサービスがIPv4およびIPv6のHTTPリクエストを処理してそのトラフィックを管理します。ウォールドガーデン宛てではない加入者のHTTPリクエストトラフィックはリダイレクトサーバーに送信され、リダイレクトサーバーは、不正な外部サイトではなくキャプティブポータルにトラフィックを送信するリダイレクトURLで応答します。キャプティブポータルは、リダイレクトされた加入者に認証および許可サービスを提供してから、ウォールドガーデンの外にある保護されたサーバーへのアクセスを許可します。

リダイレクトサーバーは、ローカルまたはリモートにすることができます。

  • ローカルリダイレクトサーバー—ルーターに常駐し、加入者トラフィックを壁に囲まれた庭内のキャプティブポータルにリダイレクトします。

  • リモートリダイレクトサーバー:ルーターの背後にある壁に囲まれた庭内のポリシーサーバーなどのデバイスに存在します。サブスクライバーの HTTP トラフィックの宛先アドレスは、リモートリダイレクトサーバーのアドレスに書き換えられます。リモートサーバーは、加入者のトラフィックをその壁に囲まれた庭内のキャプティブポータルにリダイレクトします。

ウォールドガーデンをファイアウォールサービスフィルターとして設定します。サービス フィルターはスタティック インターフェイスにアタッチされます。CPCD サービスは、サービス セットによってサービス インターフェイス(MS-MPC では ms- 、MX-SPC3 サービス カードでは vms- )に適用されます。その後、サービス セットはスタティック インターフェイスに接続されます。

ウォールドガーデンをファイアウォールサービスフィルターとして構成する

ウォールドガーデンをファイアウォールサービスフィルターとして設定すると、ウォールドガーデン内のサーバーを宛先とするトラフィックが識別され、スキップされます。このトラフィックはラインカードに流れないため、処理要件が軽減されます。

他のすべてのHTTPトラフィックは、ウォールに囲まれた庭の外のアドレスに宛てられます。このトラフィックはフィルター条件に一致しないため、ラインカードに流れて処理されます。

ウォールド ガーデンにキャプティブ ポータルまたはサーバのリストとして単一のサーバが含まれるようにサービス フィルタを設定できます。

  • 単一のサーバーを持つウォールドガーデンをキャプティブポータルとして構成します。

    1. サービス フィルターを作成します。

    2. フィルター条件を定義して、キャプティブポータルへのトラフィックの処理を識別し、スキップします。

      1. キャプティブ ポータルの宛先アドレスと宛先ポートを指定して、キャプティブ ポータルを宛先とするトラフィックを照合するフィルタ条件を指定します。

      2. 一致するトラフィックがラインカードでの処理をスキップすることを指定します。

    3. 前の条件に一致しなかったすべてのトラフィックからHTTPトラフィックを識別するフィルタ条件を定義し、CPCDサービスルールによる処理のために送信します。

      1. スキップされた HTTP トラフィックと一致する 1 つ以上の HTTP ポート番号を指定します。

      2. 一致するトラフィックが CPCD サービスによって処理されることを指定します。

    4. フィルター条件を定義して、残りの非HTTPトラフィックに対するそれ以上のアクションをスキップします。

    例えば、以下の設定では、キャプティブポータルが192.0.2.0であるIPv4 HTTPトラフィック用のフィルタwalled-v4を作成します。アドレスに一致するトラフィックはスキップされます。一致しないトラフィックは用語 http になり、スキップされたすべてのトラフィックから HTTP トラフィックが選択され、CPCD サービスに従って処理されるように送信されます。最後に、タームスキップにより、残りの非HTTPトラフィックがすべてスキップされます。

  • ウォールド ガーデンをサーバーのリストまたはサブネットとして構成します。

    1. サービス フィルターを作成します。

    2. フィルター条件を定義します。

      1. サーバーの宛先プレフィックスリストを指定して、ウォールドガーデン内の任意のサーバー宛てのトラフィックに一致するフィルター条件を指定します。

      2. 一致するトラフィックがラインカードでの処理をスキップすることを指定します。

    3. 前の条件に一致しなかったすべてのトラフィックからHTTPトラフィックを識別するフィルタ条件を定義し、CPCDサービスルールによる処理のために送信します。

      1. スキップされた HTTP トラフィックと一致する 1 つ以上の HTTP ポート番号を指定します。

      2. 一致するトラフィックが CPCD サービスによって処理されることを指定します。

    4. フィルター条件を定義して、残りの非HTTPトラフィックに対するそれ以上のアクションをスキップします。

    5. (オプション)ウォールド ガーデン内のサーバーを指定するプレフィックス リストを定義します。サブネットまたは複数の個別のアドレスを指定できます。

    例えば、以下の構成では、IPv6 HTTPトラフィック用のフィルタ、walled-v6-listを作成し、プレフィックスリストwg-listで、ウォールドガーデンに2台のサーバーを指定します。フィルター条件portal6は、ウォールドガーデン宛てのIPv6トラフィックを識別します。一致しないトラフィックは用語 http6 になり、スキップされたすべてのトラフィックから HTTP トラフィックが選択され、CPCD サービスに従って処理されるように送信されます。最後に、タームスキップにより、残りの非HTTPトラフィックがすべてスキップされます。

ローカルおよびリモートリダイレクトサーバーのHTTPリダイレクトの設定

ウォールドガーデン外のサイトに対してHTTPリクエストが行われると、CPCDはトラフィックをキャプティブポータルにリダイレクトして認証と承認を行うことができます。

ウォールド ガーデンの外側を宛先とするトラフィックに対して実行するアクションを指定する CPCD サービス ルールを設定します。このトラフィックは、ウォールド ガーデン サービス フィルターによって識別され、サービスに渡されました。構成するアクションは、ローカルまたはリモートのどちらのHTTPリダイレクトサーバーを使用しているかによって異なります。

  • ルーターでローカル HTTP リダイレクト サーバーを使用している場合は、リダイレクト アクションを指定します。

  • ルーターの後ろの壁に囲まれた庭にあるリモート HTTP リダイレクト サーバーを使用している場合は、リダイレクト URL を単純に指定することはできません。この場合、サービス ルールはトラフィックの IP 宛先アドレスを書き換える必要があります。新しい宛先アドレスは、リモート HTTP リダイレクト サーバーのアドレスです。次に、リモート サーバーは、トラフィックをキャプティブ ポータルに送信するためのリダイレクト URL を提供します。

CPCD サービスは、サービス・セットによってサービス・インターフェースに関連付けられます。サービス セットとウォールド ガーデン サービス フィルターの両方が、静的に設定されたインターフェイスに適用されます。

  1. CPCD サービス構成レベルにアクセスします。
  2. ウォールド ガーデンの外を宛先とするトラフィックに適用するルールを作成します。
  3. ルールが受信トラフィックに適用されることを指定します。
  4. HTTP トラフィックにアクションを適用するための CPCD のルール条件を定義します。ウォールド ガーデンはサービス フィルターとして構成されているため、トラフィックはサービスに送信される前に HTTP トラフィックとして既にフィルター処理されています。

    • ローカル HTTP リダイレクト サーバの場合は、キャプティブ ポータルの URL であるリダイレクト URL に元の URL(ウォールド ガーデンの外側)を追加したリダイレクト URL を指定します。

    • リモート HTTP リダイレクト サーバーの場合は、リモート サーバーの宛先アドレスを指定します。

たとえば、次のローカル サーバーの構成では、CPCD サービス ルール redir-svc はトラフィックをキャプティブ ポータル http://www.portal.example.comにリダイレクトします。サブスクライバーが入力した元の URL がリダイレクト URL に追加されます。

リモート・サーバーに対する以下の構成では、元の宛先アドレスをリモート・サーバーのアドレス 192.0.2.230 に書き換える CPCD サービス・ルール rewr-svc を作成します。

サービス プロファイルとサービス インターフェイスを関連付けるためのサービス プロファイルおよびサービス セットの設定

サービスセットは、MXシリーズルーターで次世代サービスを有効にしている場合、MS-MPC/MS-MIC、またはMX-SPC3サービスカードによって実行される1つ以上のサービスを定義します。HTTP リダイレクト・サービスの場合、CPCD ルールを含む CPCD サービス・プロファイルを定義します。サービス・セットは、CPCD サービス・プロファイルを特定のサービス・インターフェースに適用します。

  1. サービス プロファイルを作成します。
  2. サービス プロファイルの 1 つ以上の CPCD ルールを指定します。
  3. サービス セットを作成します。
  4. CPCDサービス・プロファイルを指定します。
  5. サービス インターフェイスを指定します。

たとえば、次の設定では、CPCD ルール redir-svc を参照する CPCD サービス プロファイル redir-prof が作成されます。サービスセットss2は、CPCDサービスプロファイルredir-profをサービスインターフェイスms-5/0/0に関連付けます。

論理インターフェースへの CPCD サービス・セットとサービス・フィルターのアタッチ

HTTP リダイレクト・サービスを使用するには、CPCD サービス・セットを論理インターフェースに接続する必要があります。ウォールド ガーデンがサービス フィルタとして設定されている場合は、サービス セットと同じインターフェイスに接続する必要があります。そのインターフェイスに出入りするトラフィックは、サービスフィルターによってフィルタリングされます。サービス用に識別されたトラフィックは、MS-MPC(またはMXシリーズルーターで次世代サービスを有効にしている場合はMX-SPC3サービスカード)に送信され、CPCDプロファイルがサービスインターフェイスに適用されます。

  1. 論理インターフェイスを設定します。
  2. アドレスファミリーを設定します。
  3. インターフェイスアドレスを設定します。
  4. サービス セットとサービス フィルターをインターフェイスにアタッチします。

例えば、以下の設定は、IPv4 アドレス ファミリーのサービス セット sset2 とサービス フィルター walled-v4 を ge-2/0/1.0 にアタッチします。論理インターフェイスにアドレスを割り当てます。サービス セットとフィルターは、どちらもインターフェイスの入力と出力に適用されます。

CPCD サービスのサービスパッケージのインストール

MS-MPC/MS-MIC、またはMXシリーズルーターで次世代サービスを有効にしている場合、MX-SPC3サービスカードでCPCDサービスを使用するには、MS-MICまたはMX-SPC3でサービスインターフェイスを設定します。サービスインターフェイスを備えた各MS-MICまたはMX-SPC3サービスカードに必要なサービスパッケージをインストールする必要があります。

  1. MS-MPCまたはMX-SPC3サービスカードを備えたMXシリーズ5Gユニバーサルルーティングプラットフォーム上のサービスインターフェイスでサービスパッケージをサポートするようにJunos OSを設定します。
  2. PIC で実行するように CPCD サービス パッケージを構成します。 extension-provider ステートメントを最初に設定すると、PICが再起動します。
    手記:

    静的なMS-MPCベースまたはMX-SPC3サービスカードベースのCPCDには、CPCDサービスパッケージ(jservices-cpcd)が必要です。
  3. (オプション)PICでシステムログメッセージを記録または表示するには、PICシステムロギングを有効にします。1 つ以上のファシリティを、それぞれ構成可能な重大度レベルで指定できます。

例えば、以下の設定では、CPCDサービスパッケージをシャーシスロット1のMS-MPCとMPCのスロット0のMS-MICにロードします。システムログメッセージは、すべての重大度レベルの任意のデーモンおよびローカル外部アプリケーションに対して生成されます。

関連ドキュメント

変更履歴テーブル

機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。

解放
形容
19.3R1
Junos OS リリース 19.3R2 以降、MX シリーズ ルーターで次世代サービスを有効にしている場合、MX-SPC3 サービス カードベースのキャプティブ ポータルで静的 HTTP リダイレクト サービス プロビジョニングもサポートされます。