EN ESTA PÁGINA
Ejemplo: configurar servicios de redireccionamiento HTTP mediante un método de salto siguiente y adjuntarlos a una interfaz estática
En este ejemplo, se muestra cómo configurar servicios de redireccionamiento HTTP mediante un método de salto siguiente y adjuntarlos a una interfaz estática.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Plataforma de enrutamiento universal MX240, MX480 o MX960 con un concentrador de PIC modular multiservicios (MS-MPC) y una tarjeta de interfaces modulares multiservicios (MS-MIC) instaladas.
Junos OS versión 15.1 o posterior.
Antes de empezar:
Configure la conexión entre el servidor de redireccionamiento y el enrutador de la serie MX.
Defina la dirección de origen (en este ejemplo se utiliza 203.0.113.0/24).
Defina una o más interfaces que se usen para el tráfico de suscriptores.
Descripción general
Los servicios de redirección y reescritura HTTP son compatibles con IPv4 e IPv6. Puede asociar un servicio de redireccionamiento HTTP o un conjunto de servicios a una interfaz estática o dinámica. Para la administración dinámica de suscriptores, puede adjuntar servicios HTTP o conjuntos de servicios dinámicamente al iniciar sesión del suscriptor o mediante un cambio de autorización (CoA). Con un método de salto siguiente, puede configurar servicios de redireccionamiento HTTP y adjuntarlos a una interfaz estática.
Configuración
Para configurar servicios de redireccionamiento HTTP mediante un método de salto siguiente y adjuntarlo a una interfaz estática, realice estas tareas:
- Configuración rápida de CLI
- Configuración de los servicios CPCD y asociación del conjunto de servicios a la interfaz estática
- Configuración del paquete e instalación para CPCD
- Configuración de la interfaz estática, los filtros de redireccionamiento HTTP y las opciones del servicio de interfaz
- Configuración de la instancia de enrutamiento adicional y asignación de sus interfaces estáticas de salto siguiente
- Configuración de los filtros específicos de la interfaz para dirigir el tráfico HTTP
- Configuración de la opción y la instrucción de política para utilizar una lista de prefijos de bloques privados
- Uso de la configuración de ruta estática de borde de banda ancha para suscriptores (versión 23.4R1 de Junos OS para dispositivos de la serie MX)
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea y, luego, copie y pegue los comandos en la CLI.
[edit] edit services captive-portal-content-delivery set rule redirect match-direction input set rule redirect term REDIRECT then redirect http://redirection-portal/redirection/ set profile http-redirect cpcd-rules redirect edit services service-set http-redirect-sset set captive-portal-content-delivery-profile http-redirect set next-hop-service inside-service-interface ms-11/1/0.1 set next-hop-service outside-service-interface ms-11/1/0.2 [edit] edit chassis fpc 11 pic 1 adaptive-services service-package set extension-provider package jservices-cpcd set extension-provider syslog daemon none set extension-provider syslog external none set extension-provider syslog kernel none set extension-provider syslog pfe none [edit] set interfaces ge-0/0/1 unit 900 description VLAN REDIRECT set interfaces ge-0/0/1 unit 900 vlan-id 900 set interfaces ge-0/0/1 unit 900 family inet filter input FF_HTTP_REDIR_IN set interfaces ge-0/0/1 unit 900 family inet address 203.0.113.250/30 edit interfaces ms-11/1/0 services-options open-timeout 4 edit interfaces ms-11/1/0 services-options close-timeout 2 edit interfaces ms-11/1/0 services-options inactivity-tcp-timeout 5 edit interfaces ms-11/1/0 services-options inactivity-non-tcp-timeout 5 edit interfaces ms-11/1/0 services-options session-timeout 5 edit interfaces ms-11/1/0 services-options tcp-tickles 0 set interfaces ms-11/1/0 unit 1 family inet set interfaces ms-11/1/0 unit 1 service-domain inside set interfaces ms-11/1/0 unit 2 filter output FF_CPCD_REDIRECT_OUTPUT set interfaces ms-11/1/0 unit 2 family inet set interfaces ms-11/1/0 unit 2 service-domain outside [edit] edit routing-instances CPCD_REDIRECT set instance-type virtual-router set interface ms-1/1/0.1 set interface ms-1/1/0.2 set routing-options static route 0.0.0.0/0 next-hop ms-1/1/0.1 set routing-options static route 203.0.113.0/24 next-hop ms-1/1/0.2 [edit] edit firewall family inet set filter FF_CPCD_REDIRECT_OUTPUT interface-specific set filter FF_CPCD_REDIRECT_OUTPUT term One then count back-to-default set filter FF_CPCD_REDIRECT_OUTPUT term One then routing-instance default set filter FF_HTTP_REDIR_IN interface-specific set filter FF_HTTP_REDIR_IN term ACCEPTED_PREFIXES from prefix-list User-PRIVATE-Blocks-01 set filter FF_HTTP_REDIR_IN term ACCEPTED_PREFIXES then next term set filter FF_HTTP_REDIR_IN term HTTP from protocol tcp set filter FF_HTTP_REDIR_IN term HTTP from destination-port http set filter FF_HTTP_REDIR_IN term HTTP then count HTTP set filter FF_HTTP_REDIR_IN term HTTP then forwarding-class best-effort set filter FF_HTTP_REDIR_IN term HTTP then routing-instance CPCD_REDIRECT [edit] edit policy-options policy-statement User-PRIVATE-Blocks-01 set 203.0.113.0/24
Configuración de los servicios CPCD y asociación del conjunto de servicios a la interfaz estática
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Configure el servicio de redireccionamiento HTTP especificando la ubicación a la que se redirige la sesión inicial del navegador web de un suscriptor, lo que permite el aprovisionamiento inicial y la selección de servicio para el suscriptor.
[edit services] user@host# edit captive-portal-content-delivery
Configure el filtro de servicio como un jardín amurallado definiendo la regla a la que hace referencia el enrutador al aplicar este servicio HTTP.
[edit services captive-portal-content-delivery] user@host# edit rule redirect
Especifique que la regla coincida con el tráfico que entra en la interfaz.
[edit services captive-portal-content-delivery rule redirect] user@host# match-direction input
Cree las propiedades de coincidencia de términos y acción para la regla CPCD para el servicio HTTP.
[edit services captive-portal-content-delivery rule redirect] user@host# set term REDIRECT then redirect http://redirection-portal/redirection/
Cree el perfil CPCD para la dirección IP de destino a fin de redirigir el servicio HTTP.
[edit services captive-portal-content-delivery] user@host# edit profile http-redirect
Especifique la regla CPCD para el servicio HTTP.
[edit services captive-portal-content-delivery profile http-redirect] user@host# set cpcd-rules redirect
Cree el conjunto de servicios para los servicios CPCD.
[edit services service-set] user@host# edit http-redirect-sset
Especifique el perfil de CPCD para el conjunto de servicios.
[edit services service-set http-redirect-sset] user@host# set captive-portal-content-delivery-profile http-redirect
Especifique el nombre de interfaz para el servicio de salto siguiente para las interfaces de servicio internas y externas, y adjúntelas a interfaces estáticas.
[edit services service-set http-redirect-sset] user@host# set next-hop-service inside-service-interface ms-11/1/0.1 user@host# set next-hop-service outside-service-interface ms-11/1/0.2
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show services configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
root@host# show services
captive-portal-content-delivery {
rule redirect {
match-direction input;
term REDIRECT {
then {
redirect http://redirection-portal/redirection/;
}
}
}
profile http-redirect {
cpcd-rules redirect;
}
}
service-set http-redirect-sset {
captive-portal-content-delivery-profile http-redirect;
next-hop-service {
inside-service-interface ms-11/1/0.1;
outside-service-interface ms-11/1/0.2;
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración del paquete e instalación para CPCD
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Configure Junos OS para que admita el paquete de servicio en una interfaz de servicio en una plataforma de enrutamiento universal 5G de la serie MX con MS-MPC/MS-MIC.
[edit chassis] user@host# edit fpc 11 pic 1 adaptive-services service-package
Configure el paquete de servicio CPCD para que se ejecute en la PIC. Cuando se configura la
extension-providerinstrucción por primera vez, la PIC se reinicia.[edit chassis fpc 11 pic 1 adaptive-services service-package] user@host# set extension-provider package jservices-cpcd
Habilite el registro del sistema PIC para grabar o ver mensajes de registro del sistema en la PIC, pero no incluye procesos de demonio, externos, kernel o motor de reenvío de paquetes.
[edit chassis fpc 11 pic 1 adaptive-services service-package extension-provider] user@host# set extension-provider syslog daemon none user@host# set extension-provider syslog external none user@host# set extension-provider syslog kernel none user@host# set extension-provider syslog pfe none
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show chassis configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
root@host# show chassis
fpc 11 {
pic 1 {
adaptive-services {
service-package {
extension-provider {
package jservices-cpcd;
syslog {
daemon none;
external none;
kernel none;
pfe none;
}
}
}
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de la interfaz estática, los filtros de redireccionamiento HTTP y las opciones del servicio de interfaz
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Configure una interfaz Gigabit con una interfaz lógica en la que el tráfico llegue antes de ser redirigido.
[edit interfaces] user@host# edit ge-0/0/1 unit 900
Asigne una descripción y un ID de VLAN a la interfaz lógica.
[edit interfaces ge-0/0/1 unit 900] user@host# set description VLAN-REDIRECT user@host# set vlan-id 900
Configure la familia IPv4 para la interfaz.
[edit interfaces ge-0/0/1 unit 900] user@host# edit family inet
Configure un filtro de entrada para evaluar cuándo se reciben y redirigen los paquetes en la interfaz.
[edit interfaces ge-0/0/1 unit 900 family inet] user@host# set filter input FF_HTTP_REDIR_IN
Configure una dirección para el filtro de entrada.
[edit interfaces ge-0/0/1 unit 900 family inet] user@host# set address 203.0.113.250/30
Configure las opciones de servicio que se aplicarán en la interfaz de multiservicios.
[edit interfaces] user@host# edit ms-11/1/0 services-options
Nota:Los valores configurados para las opciones de servicio se muestran solo a modo de ejemplo. Debe configurar y aprovisionar los valores adecuados según el requisito.
Especifique los períodos de tiempo de espera de apertura y cierre en segundos para el establecimiento de la sesión del Protocolo de control de transmisión (TCP).
[edit interfaces ms-11/1/0 services-options] user@host# set open-timeout 4 user@host# set close-timeout 2
Especifique los períodos de tiempo de espera de inactividad en segundos para las sesiones TCP y no TCP establecidas.
[edit interfaces ms-11/1/0 services-options] user@host# set inactivity-tcp-timeout 5 set inactivity-non-tcp-timeout 5
Especifique globalmente la duración de la sesión en segundos para la interfaz de multiservicios.
[edit interfaces ms-11/1/0 services-options] user@host# set session-timeout 5
Especifique el número máximo de mensajes de mantenimiento enviados antes de que se permita agotar el tiempo de espera de una sesión TCP.
[edit interfaces ms-11/1/0 services-options] user@host# set tcp-tickles 0
Configure una interfaz lógica en la interfaz de multiservicios.
[edit interfaces ms-11/1/0] user@host# edit unit 1
Configure el dominio de servicio para especificar que la interfaz lógica se utiliza en la red.
[edit interfaces ms-11/1/0 unit 1] user@host# set service-domain inside
Configure la familia de direcciones IPv4 en la interfaz lógica.
[edit interfaces ms-11/1/0 unit 1] user@host# set family inet
Configure una segunda interfaz lógica en la interfaz de multiservicios.
[edit interfaces ms-11/1/0] user@host# edit unit 2
Configure el dominio de servicio para especificar que la interfaz lógica se utiliza fuera de la red.
[edit interfaces ms-11/1/0 unit 2] user@host# set service-domain outside
Configure un filtro de salida para redirigir los paquetes CPCD desde la interfaz lógica.
[edit interfaces ms-11/1/0 unit 2] user@host# set filter output FF_CPCD_REDIRECT_OUTPUT
Configure la familia de direcciones IPv4 en la interfaz lógica.
[edit interfaces ms-11/1/0 unit 2] user@host# set family inet
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show interfaces configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
root@host# show interfaces
ge-0/0/1 {
unit 900 {
description VLAN-REDIRECT;
vlan-id 900;
}
family inet {
filter {
input FF_HTTP_REDIR_IN;
}
address 203.0.113.250/30;
}
}
ms-11/1/0 {
services-options {
open-timeout 4;
close-timeout 2;
inactivity-tcp-timeout 5;
inactivity-non-tcp-timeout 5;
session-timeout 5;
tcp-tickles 0;
}
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet {
filter {
output FF_CPCD_REDIRECT_OUTPUT;
}
}
service-domain outside;
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de la instancia de enrutamiento adicional y asignación de sus interfaces estáticas de salto siguiente
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Configure una instancia de enrutamiento.
[edit routing-instances] user@host# edit CPCD_REDIRECT
Configure una instancia de enrutamiento de enrutador virtual.
[edit routing-instances CPCD_REDIRECT] user@host# set instance-type virtual-router
Configure las dos interfaces multiservicios definidas anteriormente para la instancia de enrutamiento.
[edit routing-instances CPCD_REDIRECT] user@host# set interface ms-11/1/0.1 user@host# set interface ms-11/1/0.2
Configure las opciones de enrutamiento estático.
[edit routing-instances CPCD_REDIRECT] user@host# edit routing-options static
Asigne las interfaces estáticas del próximo salto a las rutas y la instancia de enrutamiento.
[edit routing-instances CPCD_REDIRECT routing-options static] user@host# set route 0.0.0.0/0 next-hop ms-11/1/0.1 user@host# set route 203.0.113.0/24 next-hop ms-11/1/0.2
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show routing-instances configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
root@host# show routing-instances
CPCD_REDIRECT {
instance-type virtual-router;
interface ms-11/1/0.1;
interface ms-11/1/0.2;
routing-options {
static {
route 0.0.0.0/0 next-hop ms-11/1/0.1;
route 203.0.113.0/24 next-hop ms-11/1/0.2;
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de los filtros específicos de la interfaz para dirigir el tráfico HTTP
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Cree una familia para el filtro de servicio en la
[edit firewall]jerarquía.[edit firewall] user@host# edit family inet
Cree un filtro específico de interfaz para redirigir el tráfico de salida para CPCD.
[edit firewall family inet] user@host# edit filter FF_CPCD_REDIRECT_OUTPUT
Especifique que se trata de un filtro específico de la interfaz.
[edit firewall family inet filter FF_CPCD_REDIRECT_OUTPUT] user@host# set interface-specific
Cree un término de filtro para el filtro específico de interfaz para el jardín amurallado.
[edit firewall family inet filter FF_CPCD_REDIRECT_OUTPUT] user@host# edit term One
Especifique tanto la acción para contar el tráfico predeterminado como la instancia de enrutamiento predeterminada.
[edit firewall family inet filter FF_CPCD_REDIRECT_OUTPUT interface-specific term One] user@host# set then count back-to-default set then routing-instance default
Cree un filtro para redirigir el tráfico de entrada HTTP.
[edit firewall family inet] user@host# edit filter FF_HTTP_REDIR_IN
Especifique que se trata de un filtro específico de la interfaz.
[edit firewall family inet filter FF_HTTP_REDIR_IN] user@host# set interface-specific
Cree un término de filtro para el filtro específico de interfaz para el jardín amurallado.
[edit firewall family inet filter FF_HTTP_REDIR_IN] user@host# edit term ACCEPTED_PREFIXES
Especifique la lista de prefijos aceptados como condiciones de coincidencia para el filtro del jardín vallado.
[edit firewall family inet filter FF_HTTP_REDIR_IN term ACCEPTED_PREFIXES] user@host# set from prefix-list User-PRIVATE-Blocks-01
Especifique la acción que se debe realizar para todo el tráfico HTTP coincidente.
[edit firewall family inet filter FF_HTTP_REDIR_IN term ACCEPTED_PREFIXES] user@host# set then next term
Cree un segundo término de filtro para el filtro del jardín amurallado.
[edit firewall family inet filter FF_HTTP_REDIR_IN interface-specific] user@host# edit term HTTP
Especifique el protocolo y el puerto de destino como condiciones de coincidencia para el filtro del jardín vallado.
[edit firewall family inet filter FF_HTTP_REDIR_IN term HTTP] user@host# set from protocol tcp user@host# set from destination-port http
Especifique la acción que se debe realizar para hacer coincidir el tráfico HTTP destinado a fluir fuera del jardín amurallado.
[edit firewall family inet filter filter FF_HTTP_REDIR_IN interface-specific term HTTP] user@host# set then count HTTP user@host# set then forwarding-class best-effort user@host# set then routing-instance CPCD_REDIRECT
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show firewall configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
root@host# show firewall
family inet {
filter FF_CPCD_REDIRECT_OUTPUT {
interface-specific;
term One {
then {
count back-to-default;
routing-instance default;
}
}
}
filter FF_HTTP_REDIR_IN {
interface-specific;
term ACCEPTED_PREFIXES {
from {
prefix-list {
User-PRIVATE-Blocks-01;
}
}
then next term;
}
term HTTP {
from {
protocol tcp;
destination-port http;
}
then {
count http;
forwarding-class best-effort;
routing-instance CPCD_REDIRECT;
}
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de la opción y la instrucción de política para utilizar una lista de prefijos de bloques privados
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Cree una opción de política y una instrucción para utilizar una lista de prefijos de bloques privados en la
[edit policy-options]jerarquía.[edit policy-options] user@host# set policy-statement User-PRIVATE-Blocks-01
Configure la dirección de origen para la lista de prefijos de bloques privados.
[edit policy-options policy-statement User-PRIVATE-Blocks-01] user@host# set 203.0.113.0/24
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show policy-options configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
root@host# show policy-options
policy-statement User-PRIVATE-Blocks-01 {
203.0.113.0/24;
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Uso de la configuración de ruta estática de borde de banda ancha para suscriptores (versión 23.4R1 de Junos OS para dispositivos de la serie MX)
A partir de Junos 23.4R1, la función de configuración de ruta estática de borde de banda ancha para suscriptores para BNG reemplaza la configuración de ruta enmarcada de RADIUS. Ahora puede configurar direcciones IP estáticas para varios hosts en el mismo sitio.
Por ejemplo:
- Utilice una configuración preexistente para agregar las rutas a la tabla de enrutamiento. Una vez confirmada esta configuración, las rutas se ocultan hasta que aparece el suscriptor con la IP de suscriptor configurada.
staticRoute { routing-options { access { route 7.7.7.7/32 next-hop 50.1.1.1; } } } - Puede habilitar la función de rutas enmarcadas estáticas en el BNG hacia una conexión de cliente específica mediante el comando
static-framed-routeen el[edit system services subscriber-management]modo.user@root> set system services subscriber-management static-framed-route
- Ahora puede utilizar el servidor RADIUS con fines de autenticación y no para enviar rutas de trama.
Nota: Las rutas enmarcadas estáticas solo se deben agregar, modificar o eliminar cuando los suscriptores no funcionan. Cuando aparecen suscriptores, se les adjuntan rutas enmarcadas estáticas. La ruta enmarcada estática solo se admite para IPv4.
Verificación
Para confirmar que los servicios de redireccionamiento HTTP se configuraron correctamente dentro de un conjunto de servicios, realice estas tareas:
- Verificar el conjunto de servicios configurado para servicios CPCD
- Verificar detalles de una regla de servicio HTTP configurada para un jardín amurallado
Verificar el conjunto de servicios configurado para servicios CPCD
Propósito
Muestra el conjunto de servicios CPCD configurado.
Acción
Desde el modo operativo, introduzca el show services captive-portal-content-delivery service-set http-redirect-sset detail comando.
user@host> show services captive-portal-content-delivery service-set http-redirect-sset detail
Service Set Id Profile Compiled Rules
http-redirect-sset 1 http-redirect 1
Significado
El resultado enumera el conjunto de servicios configurado para los servicios CPCD.
Verificar detalles de una regla de servicio HTTP configurada para un jardín amurallado
Propósito
Muestra los detalles de una regla de servicio HTTP configurada específica para un jardín amurallado.
Acción
Desde el modo operativo, introduzca el show services captive-portal-content-delivery rule redirect term REDIRECT comando.
user@host> show services captive-portal-content-delivery rule redirect term REDIRECT Rule name: redirect Rule match direction: input Term name: term REDIRECT Term action: redirect Term action option: http://redirection-portal/redirection/
Significado
El resultado enumera los detalles de regla y término para una regla de servicio HTTP específica configurada para el jardín amurallado.