예: 다음 홉 메서드를 사용하여 HTTP 리디렉션 서비스 구성 및 정적 인터페이스에 연결
이 예는 다음 홉 메서드를 사용하여 HTTP 리디렉션 서비스를 구성하고 이를 정적 인터페이스에 연결하는 방법을 보여줍니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
멀티서비스 모듈러 PIC 집중기(MS-MPC) 및 멀티서비스 모듈러 인터페이스 카드(MS-MIC)가 설치된 MX240, MX480 또는 MX960 유니버설 유니버설 라우팅 플랫폼.
Junos OS 릴리스 15.1 이상.
시작하기 전에:
리디렉션 서버와 MX 시리즈 라우터 간의 연결을 구성합니다.
소스 주소를 정의합니다(이 예에서는 203.0.113.0/24가 사용됨).
가입자 트래픽에 사용되는 하나 이상의 인터페이스를 정의합니다.
개요
HTTP 리디렉션 및 재작성 서비스는 IPv4와 IPv6 모두에 대해 지원됩니다. HTTP 리디렉션 서비스 또는 서비스 세트를 정적 또는 동적 인터페이스에 연결할 수 있습니다. 동적 가입자 관리의 경우, 가입자 로그인 시 또는 CoA(Change of Authorization)를 사용하여 HTTP 서비스 또는 서비스 세트를 동적으로 연결할 수 있습니다. 다음 홉 방법을 사용하여 HTTP 리디렉션 서비스를 구성하고 정적 인터페이스에 연결할 수 있습니다.
구성
다음 홉 방법을 사용하여 HTTP 리디렉션 서비스를 구성하고 이를 정적 인터페이스에 연결하려면 다음 작업을 수행합니다.
- CLI 빠른 구성
- CPCD 서비스 구성 및 정적 인터페이스에 서비스 세트 연결
- CPCD를 위한 패키지 구성 및 설치
- 정적 인터페이스, HTTP 리디렉션 필터 및 인터페이스 서비스 옵션 구성
- 추가 라우팅 인스턴스 구성 및 next-hop 정적 인터페이스 할당
- HTTP 트래픽 지시를 위한 인터페이스별 필터 구성
- 개인 블록 접두사 목록을 사용하도록 정책 옵션 및 문 구성
- 가입자를 위한 광대역 에지 정적 경로 구성 사용(MX 시리즈 디바이스용 Junos OS 릴리스 23.4R1)
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 모든 줄 바꿈을 제거한 다음 명령을 복사하여 CLI에 붙여 넣습니다.
[edit] edit services captive-portal-content-delivery set rule redirect match-direction input set rule redirect term REDIRECT then redirect http://redirection-portal/redirection/ set profile http-redirect cpcd-rules redirect edit services service-set http-redirect-sset set captive-portal-content-delivery-profile http-redirect set next-hop-service inside-service-interface ms-11/1/0.1 set next-hop-service outside-service-interface ms-11/1/0.2 [edit] edit chassis fpc 11 pic 1 adaptive-services service-package set extension-provider package jservices-cpcd set extension-provider syslog daemon none set extension-provider syslog external none set extension-provider syslog kernel none set extension-provider syslog pfe none [edit] set interfaces ge-0/0/1 unit 900 description VLAN REDIRECT set interfaces ge-0/0/1 unit 900 vlan-id 900 set interfaces ge-0/0/1 unit 900 family inet filter input FF_HTTP_REDIR_IN set interfaces ge-0/0/1 unit 900 family inet address 203.0.113.250/30 edit interfaces ms-11/1/0 services-options open-timeout 4 edit interfaces ms-11/1/0 services-options close-timeout 2 edit interfaces ms-11/1/0 services-options inactivity-tcp-timeout 5 edit interfaces ms-11/1/0 services-options inactivity-non-tcp-timeout 5 edit interfaces ms-11/1/0 services-options session-timeout 5 edit interfaces ms-11/1/0 services-options tcp-tickles 0 set interfaces ms-11/1/0 unit 1 family inet set interfaces ms-11/1/0 unit 1 service-domain inside set interfaces ms-11/1/0 unit 2 filter output FF_CPCD_REDIRECT_OUTPUT set interfaces ms-11/1/0 unit 2 family inet set interfaces ms-11/1/0 unit 2 service-domain outside [edit] edit routing-instances CPCD_REDIRECT set instance-type virtual-router set interface ms-1/1/0.1 set interface ms-1/1/0.2 set routing-options static route 0.0.0.0/0 next-hop ms-1/1/0.1 set routing-options static route 203.0.113.0/24 next-hop ms-1/1/0.2 [edit] edit firewall family inet set filter FF_CPCD_REDIRECT_OUTPUT interface-specific set filter FF_CPCD_REDIRECT_OUTPUT term One then count back-to-default set filter FF_CPCD_REDIRECT_OUTPUT term One then routing-instance default set filter FF_HTTP_REDIR_IN interface-specific set filter FF_HTTP_REDIR_IN term ACCEPTED_PREFIXES from prefix-list User-PRIVATE-Blocks-01 set filter FF_HTTP_REDIR_IN term ACCEPTED_PREFIXES then next term set filter FF_HTTP_REDIR_IN term HTTP from protocol tcp set filter FF_HTTP_REDIR_IN term HTTP from destination-port http set filter FF_HTTP_REDIR_IN term HTTP then count HTTP set filter FF_HTTP_REDIR_IN term HTTP then forwarding-class best-effort set filter FF_HTTP_REDIR_IN term HTTP then routing-instance CPCD_REDIRECT [edit] edit policy-options policy-statement User-PRIVATE-Blocks-01 set 203.0.113.0/24
CPCD 서비스 구성 및 정적 인터페이스에 서비스 세트 연결
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
가입자의 초기 웹 브라우저 세션이 리디렉션되는 위치를 지정하여 HTTP 리디렉션 서비스를 구성하여 가입자에 대한 초기 프로비저닝 및 서비스 선택을 활성화합니다.
[edit services] user@host# edit captive-portal-content-delivery
이 HTTP 서비스를 적용할 때 라우터가 참조하는 규칙을 정의하여 서비스 필터를 벽으로 둘러싸인 정원으로 구성합니다.
[edit services captive-portal-content-delivery] user@host# edit rule redirect
인터페이스로 들어오는 트래픽과 일치하도록 규칙을 지정합니다.
[edit services captive-portal-content-delivery rule redirect] user@host# match-direction input
HTTP 서비스에 대한 CPCD 규칙에 대한 용어 일치 및 작업 속성을 만듭니다.
[edit services captive-portal-content-delivery rule redirect] user@host# set term REDIRECT then redirect http://redirection-portal/redirection/
HTTP 서비스를 리디렉션하기 위해 IP 대상 주소에 대한 CPCD 프로파일을 생성합니다.
[edit services captive-portal-content-delivery] user@host# edit profile http-redirect
HTTP 서비스에 대한 CPCD 규칙을 지정합니다.
[edit services captive-portal-content-delivery profile http-redirect] user@host# set cpcd-rules redirect
CPCD 서비스에 대한 서비스 세트를 생성합니다.
[edit services service-set] user@host# edit http-redirect-sset
서비스 세트에 대한 CPCD 프로필을 지정합니다.
[edit services service-set http-redirect-sset] user@host# set captive-portal-content-delivery-profile http-redirect
내부 및 외부 서비스 인터페이스에 대한 다음 홉 서비스에 대한 인터페이스 이름을 지정하고 정적 인터페이스에 연결합니다.
[edit services service-set http-redirect-sset] user@host# set next-hop-service inside-service-interface ms-11/1/0.1 user@host# set next-hop-service outside-service-interface ms-11/1/0.2
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다. show services 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
root@host# show services
captive-portal-content-delivery {
rule redirect {
match-direction input;
term REDIRECT {
then {
redirect http://redirection-portal/redirection/;
}
}
}
profile http-redirect {
cpcd-rules redirect;
}
}
service-set http-redirect-sset {
captive-portal-content-delivery-profile http-redirect;
next-hop-service {
inside-service-interface ms-11/1/0.1;
outside-service-interface ms-11/1/0.2;
}
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
CPCD를 위한 패키지 구성 및 설치
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
MS-MPCs/MS-MIC가 포함된 MX 시리즈 5G 유니버설 라우팅 플랫폼의 서비스 인터페이스에서 서비스 패키지를 지원하도록 Junos OS를 구성합니다.
[edit chassis] user@host# edit fpc 11 pic 1 adaptive-services service-package
PIC에서 실행되도록 CPCD 서비스 패키지를 구성합니다. 문이
extension-provider처음 구성되면 PIC가 재부팅됩니다.[edit chassis fpc 11 pic 1 adaptive-services service-package] user@host# set extension-provider package jservices-cpcd
PIC 시스템 로깅을 활성화하여 PIC에서 시스템 로그 메시지를 기록하거나 볼 수 있지만 데몬, 외부, 커널 또는 패킷 포워딩 엔진 프로세스는 포함하지 않습니다.
[edit chassis fpc 11 pic 1 adaptive-services service-package extension-provider] user@host# set extension-provider syslog daemon none user@host# set extension-provider syslog external none user@host# set extension-provider syslog kernel none user@host# set extension-provider syslog pfe none
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다. show chassis 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
root@host# show chassis
fpc 11 {
pic 1 {
adaptive-services {
service-package {
extension-provider {
package jservices-cpcd;
syslog {
daemon none;
external none;
kernel none;
pfe none;
}
}
}
}
}
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
정적 인터페이스, HTTP 리디렉션 필터 및 인터페이스 서비스 옵션 구성
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
트래픽이 리디렉션되기 전에 도착하는 논리적 인터페이스로 기가비트 인터페이스를 구성합니다.
[edit interfaces] user@host# edit ge-0/0/1 unit 900
논리적 인터페이스에 설명과 VLAN ID를 할당합니다.
[edit interfaces ge-0/0/1 unit 900] user@host# set description VLAN-REDIRECT user@host# set vlan-id 900
인터페이스의 IPv4 패밀리를 구성합니다.
[edit interfaces ge-0/0/1 unit 900] user@host# edit family inet
인터페이스에서 패킷이 수신되고 리디렉션되는 시기를 평가하도록 입력 필터를 구성합니다.
[edit interfaces ge-0/0/1 unit 900 family inet] user@host# set filter input FF_HTTP_REDIR_IN
입력 필터의 주소를 구성합니다.
[edit interfaces ge-0/0/1 unit 900 family inet] user@host# set address 203.0.113.250/30
멀티서비스 인터페이스에 적용할 서비스 옵션을 구성합니다.
[edit interfaces] user@host# edit ms-11/1/0 services-options
참고:서비스 옵션에 대해 구성된 값은 예를 들어만 표시됩니다. 요구 사항에 따라 적절한 값을 구성하고 프로비저닝해야 합니다.
TCP(전송 제어 프로토콜) 세션 설정을 위한 열기 및 닫기 시간 제한 기간을 초 단위로 지정합니다.
[edit interfaces ms-11/1/0 services-options] user@host# set open-timeout 4 user@host# set close-timeout 2
설정된 TCP 및 비TCP 세션에 대한 비활성 시간 제한 기간을 초 단위로 지정합니다.
[edit interfaces ms-11/1/0 services-options] user@host# set inactivity-tcp-timeout 5 set inactivity-non-tcp-timeout 5
멀티서비스 인터페이스의 전 세계적으로 세션 수명을 초 단위로 지정합니다.
[edit interfaces ms-11/1/0 services-options] user@host# set session-timeout 5
TCP 세션의 시간 초과가 허용되기 전에 전송되는 keep-alive 메시지의 최대 수를 지정합니다.
[edit interfaces ms-11/1/0 services-options] user@host# set tcp-tickles 0
멀티서비스 인터페이스에서 논리적 인터페이스를 구성합니다.
[edit interfaces ms-11/1/0] user@host# edit unit 1
논리적 인터페이스가 네트워크 내에서 사용되도록 지정하도록 서비스 도메인을 구성합니다.
[edit interfaces ms-11/1/0 unit 1] user@host# set service-domain inside
논리적 인터페이스에서 IPv4 주소 패밀리를 구성합니다.
[edit interfaces ms-11/1/0 unit 1] user@host# set family inet
멀티서비스 인터페이스에서 두 번째 논리적 인터페이스를 구성합니다.
[edit interfaces ms-11/1/0] user@host# edit unit 2
논리적 인터페이스가 네트워크 외부에서 사용되도록 서비스 도메인을 구성합니다.
[edit interfaces ms-11/1/0 unit 2] user@host# set service-domain outside
논리적 인터페이스에서 CPCD 패킷을 리디렉션하도록 출력 필터를 구성합니다.
[edit interfaces ms-11/1/0 unit 2] user@host# set filter output FF_CPCD_REDIRECT_OUTPUT
논리적 인터페이스에서 IPv4 주소 패밀리를 구성합니다.
[edit interfaces ms-11/1/0 unit 2] user@host# set family inet
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다. show interfaces 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
root@host# show interfaces
ge-0/0/1 {
unit 900 {
description VLAN-REDIRECT;
vlan-id 900;
}
family inet {
filter {
input FF_HTTP_REDIR_IN;
}
address 203.0.113.250/30;
}
}
ms-11/1/0 {
services-options {
open-timeout 4;
close-timeout 2;
inactivity-tcp-timeout 5;
inactivity-non-tcp-timeout 5;
session-timeout 5;
tcp-tickles 0;
}
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet {
filter {
output FF_CPCD_REDIRECT_OUTPUT;
}
}
service-domain outside;
}
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
추가 라우팅 인스턴스 구성 및 next-hop 정적 인터페이스 할당
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
라우팅 인스턴스를 구성합니다.
[edit routing-instances] user@host# edit CPCD_REDIRECT
가상 라우터 라우팅 인스턴스를 구성합니다.
[edit routing-instances CPCD_REDIRECT] user@host# set instance-type virtual-router
라우팅 인스턴스에 대해 이전에 정의된 두 개의 멀티서비스 인터페이스를 구성합니다.
[edit routing-instances CPCD_REDIRECT] user@host# set interface ms-11/1/0.1 user@host# set interface ms-11/1/0.2
정적 라우팅 옵션을 구성합니다.
[edit routing-instances CPCD_REDIRECT] user@host# edit routing-options static
경로 및 라우팅 인스턴스에 다음 홉 정적 인터페이스를 할당합니다.
[edit routing-instances CPCD_REDIRECT routing-options static] user@host# set route 0.0.0.0/0 next-hop ms-11/1/0.1 user@host# set route 203.0.113.0/24 next-hop ms-11/1/0.2
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다. show routing-instances 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
root@host# show routing-instances
CPCD_REDIRECT {
instance-type virtual-router;
interface ms-11/1/0.1;
interface ms-11/1/0.2;
routing-options {
static {
route 0.0.0.0/0 next-hop ms-11/1/0.1;
route 203.0.113.0/24 next-hop ms-11/1/0.2;
}
}
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
HTTP 트래픽 지시를 위한 인터페이스별 필터 구성
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
계층 아래에 서비스 필터에 대한 패밀리를 생성합니다.
[edit firewall][edit firewall] user@host# edit family inet
CPCD에 대한 출력 트래픽을 리디렉션하는 인터페이스별 필터를 생성합니다.
[edit firewall family inet] user@host# edit filter FF_CPCD_REDIRECT_OUTPUT
인터페이스별 필터라고 지정합니다.
[edit firewall family inet filter FF_CPCD_REDIRECT_OUTPUT] user@host# set interface-specific
벽으로 둘러싸인 정원에 대한 인터페이스별 필터에 대한 필터 용어를 생성합니다.
[edit firewall family inet filter FF_CPCD_REDIRECT_OUTPUT] user@host# edit term One
기본 트래픽과 기본 라우팅 인스턴스를 계산하는 작업을 모두 지정합니다.
[edit firewall family inet filter FF_CPCD_REDIRECT_OUTPUT interface-specific term One] user@host# set then count back-to-default set then routing-instance default
HTTP 입력 트래픽을 리디렉션하는 필터를 만듭니다.
[edit firewall family inet] user@host# edit filter FF_HTTP_REDIR_IN
인터페이스별 필터라고 지정합니다.
[edit firewall family inet filter FF_HTTP_REDIR_IN] user@host# set interface-specific
벽으로 둘러싸인 정원에 대한 인터페이스별 필터에 대한 필터 용어를 생성합니다.
[edit firewall family inet filter FF_HTTP_REDIR_IN] user@host# edit term ACCEPTED_PREFIXES
허용되는 접두사 목록을 벽으로 둘러싸인 정원의 필터에 대한 일치 조건으로 지정합니다.
[edit firewall family inet filter FF_HTTP_REDIR_IN term ACCEPTED_PREFIXES] user@host# set from prefix-list User-PRIVATE-Blocks-01
일치하는 모든 HTTP 트래픽에 대해 수행할 작업을 지정합니다.
[edit firewall family inet filter FF_HTTP_REDIR_IN term ACCEPTED_PREFIXES] user@host# set then next term
벽으로 둘러싸인 정원의 필터에 대한 두 번째 필터 용어를 만듭니다.
[edit firewall family inet filter FF_HTTP_REDIR_IN interface-specific] user@host# edit term HTTP
프로토콜과 대상 포트를 벽으로 둘러싸인 정원의 필터에 대한 일치 조건으로 지정합니다.
[edit firewall family inet filter FF_HTTP_REDIR_IN term HTTP] user@host# set from protocol tcp user@host# set from destination-port http
벽으로 둘러싸인 정원 외부로 흐르도록 향하는 일치하는 HTTP 트래픽에 대해 수행할 작업을 지정합니다.
[edit firewall family inet filter filter FF_HTTP_REDIR_IN interface-specific term HTTP] user@host# set then count HTTP user@host# set then forwarding-class best-effort user@host# set then routing-instance CPCD_REDIRECT
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다. show firewall 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
root@host# show firewall
family inet {
filter FF_CPCD_REDIRECT_OUTPUT {
interface-specific;
term One {
then {
count back-to-default;
routing-instance default;
}
}
}
filter FF_HTTP_REDIR_IN {
interface-specific;
term ACCEPTED_PREFIXES {
from {
prefix-list {
User-PRIVATE-Blocks-01;
}
}
then next term;
}
term HTTP {
from {
protocol tcp;
destination-port http;
}
then {
count http;
forwarding-class best-effort;
routing-instance CPCD_REDIRECT;
}
}
}
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
개인 블록 접두사 목록을 사용하도록 정책 옵션 및 문 구성
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
계층 아래에서
[edit policy-options]프라이빗 블록 접두사 목록을 사용할 정책 옵션과 문을 생성합니다.[edit policy-options] user@host# set policy-statement User-PRIVATE-Blocks-01
프라이빗 블록 접두사 목록에 대한 소스 주소를 구성합니다.
[edit policy-options policy-statement User-PRIVATE-Blocks-01] user@host# set 203.0.113.0/24
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다. show policy-options 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
root@host# show policy-options
policy-statement User-PRIVATE-Blocks-01 {
203.0.113.0/24;
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
가입자를 위한 광대역 에지 정적 경로 구성 사용(MX 시리즈 디바이스용 Junos OS 릴리스 23.4R1)
Junos 23.4R1부터 BNG에 대한 가입자를 위한 광대역 에지 정적 경로 구성이 RADIUS 프레임 경로 구성을 대체합니다. 이제 동일한 사이트에서 여러 호스트에 대해 고정 IP 주소를 설정할 수 있습니다.
예를 들어:
- 기존 구성을 사용하여 라우팅 테이블에 경로를 추가합니다. 이 구성이 커밋되면 구성된 가입자 IP가 있는 가입자가 나올 때까지 경로가 숨겨집니다.
staticRoute { routing-options { access { route 7.7.7.7/32 next-hop 50.1.1.1; } } } - 모드에서 명령을
static-framed-route사용하여 특정 고객 연결을 향해 BNG에서 정적 프레임 경로 기능을 활성화할 수 있습니다[edit system services subscriber-management].user@root> set system services subscriber-management static-framed-route
- 이제 RADIUS 서버를 프레임 라우팅 전송이 아닌 인증 목적으로 사용할 수 있습니다.
참고: 정적 프레임 경로는 가입자가 다운된 경우에만 추가, 수정 또는 삭제해야 합니다. 가입자가 올라오면 정적 프레임 경로가 가입자가 연결됩니다. 정적 프레임 경로는 IPv4에서만 지원됩니다.
검증
HTTP 리디렉션 서비스가 서비스 집합 내에서 올바르게 구성되었는지 확인하려면 다음 작업을 수행합니다.
CPCD 서비스에 대해 구성된 서비스 집합 확인
목적
구성된 CPCD 서비스 집합을 표시합니다.
작업
운영 모드에서 명령을 입력합니다.show services captive-portal-content-delivery service-set http-redirect-sset detail
user@host> show services captive-portal-content-delivery service-set http-redirect-sset detail
Service Set Id Profile Compiled Rules
http-redirect-sset 1 http-redirect 1
의미
출력에는 CPCD 서비스에 대해 구성된 서비스 집합이 나열됩니다.
벽으로 둘러싸인 정원에 대해 구성된 HTTP 서비스 규칙에 대한 세부 정보 확인
목적
벽으로 둘러싸인 정원에 대해 구성된 특정 HTTP 서비스 규칙에 대한 세부 정보를 표시합니다.
작업
운영 모드에서 명령을 입력합니다.show services captive-portal-content-delivery rule redirect term REDIRECT
user@host> show services captive-portal-content-delivery rule redirect term REDIRECT Rule name: redirect Rule match direction: input Term name: term REDIRECT Term action: redirect Term action option: http://redirection-portal/redirection/
의미
출력에는 벽으로 둘러싸인 정원에 대해 구성된 특정 HTTP 서비스 규칙에 대한 규칙 및 용어 세부 정보가 나열됩니다.