Configurar servicios de redireccionamiento HTTP estáticos basados en MS-MPC o MX-SPC3
A partir de Junos OS versión 19.3R2, el aprovisionamiento de servicio de redireccionamiento HTTP estático también se admite para portales cautivos basados en tarjetas de servicios MX-SPC3 si habilitó los servicios de próxima generación en el enrutador de la serie MX.
Un jardín amurallado es un grupo de servidores que proporcionan acceso a los suscriptores a sitios dentro del jardín amurallado sin necesidad de reautorización a través de un portal cautivo. La página del portal cautivo suele ser la página inicial que ve un suscriptor después de iniciar sesión en una sesión de suscriptor.
Cuando los suscriptores intentan acceder a sitios fuera del jardín amurallado, los servicios de redireccionamiento HTTP procesan solicitudes HTTP IPv4 e IPv6 para administrar ese tráfico. El tráfico de solicitud HTTP del suscriptor que no está destinado al jardín amurallado se envía al servidor de redireccionamiento, que responde con una URL de redireccionamiento que envía tráfico a un portal cautivo en lugar del sitio externo no autorizado. El portal cautivo proporciona servicios de autenticación y autorización para los suscriptores redirigidos antes de otorgarles acceso a servidores protegidos fuera del jardín amurallado.
El servidor de redireccionamiento puede ser local o remoto:
Servidor de redireccionamiento local: reside en el enrutador y redirige el tráfico de los suscriptores a un portal cautivo dentro de un jardín amurallado.
Servidor de redireccionamiento remoto: reside en un dispositivo como un servidor de políticas dentro de un jardín amurallado detrás del enrutador. La dirección de destino para el tráfico HTTP del suscriptor se reescribe en la dirección del servidor de redireccionamiento remoto. El servidor remoto redirige el tráfico de los suscriptores a un portal cautivo dentro de ese jardín amurallado.
Configure el jardín vallado como un filtro de servicio de firewall. El filtro de servicio está conectado a una interfaz estática. El servicio CPCD se aplica a una interfaz de servicio (ms- en la MS-MPC o vms- en la tarjeta de servicios MX-SPC3) por medio de un conjunto de servicios; Luego, el conjunto de servicios se asocia a una interfaz estática.
Configuración de un jardín vallado como filtro de servicio de firewall
Cuando se configura el jardín vallado como un filtro de servicio de firewall, el tráfico destinado a los servidores dentro del jardín vallado se identifica y se omite. Dado que este tráfico no fluye a la tarjeta de línea, se reducen los requisitos de manejo.
Todo el resto del tráfico HTTP está destinado a direcciones fuera del jardín amurallado. Dado que este tráfico no coincide con las condiciones del filtro, fluye a la tarjeta de línea para su manejo.
Puede configurar el filtro de servicio para que el jardín vallado contenga un único servidor como portal cautivo o una lista de servidores.
Configure el jardín vallado con un único servidor como portal cautivo:
Cree el filtro de servicio.
[edit] user@host# edit firewall family address-family service-filter filter-name
Defina un término de filtro para identificar y omitir el procesamiento del tráfico al portal cautivo.
Especifique las condiciones de filtro para que coincidan con el tráfico destinado al portal cautivo especificando la dirección de destino del portal cautivo y el puerto de destino.
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-address ip-address user@host# set term name from destination-port port-number
Especifique que el tráfico coincidente omita el procesamiento en la tarjeta de línea.
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
Defina un término de filtro para identificar el tráfico HTTP de todo el tráfico que no coincida con el término anterior y envíelo para su procesamiento mediante las reglas de servicio de CPCD.
Especifique uno o varios números de puerto HTTP para que coincidan con el tráfico HTTP omitido.
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-port http-port-number
Especifique que el tráfico coincidente lo procesa un servicio CPCD.
[edit firewall family inet service-filter filter-name] user@host# set term name then service
Defina un término de filtro para omitir acciones adicionales para cualquier tráfico restante que no sea HTTP.
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
Por ejemplo, la siguiente configuración crea un filtro para el tráfico HTTP IPv4, walled-v4, con el portal cautivo en 192.0.2.0. Se omite el tráfico que coincida con la dirección. El tráfico no coincidente va al término http, donde el tráfico HTTP se selecciona de todo el tráfico omitido y se envía para ser procesado de acuerdo con un servicio CPCD. Por último, la omisión de términos hace que se omita todo el tráfico restante que no sea HTTP.
[edit] user@host# edit firewall family inet service-filter walled-v4 [edit firewall family inet service-filter walled-v4] user@host# set term portal from destination-address 192.0.2.0 user@host# set term portal from destination-port 80 user@host# set term portal then skip user@host# set term http from destination-port 80 user@host# set term http then service user@host# set term skip then skip
Configure el jardín vallado como una lista o subred de servidores.
Cree el filtro de servicio.
[edit] user@host# edit firewall family address-family service-filter filter-name
Defina un término de filtro.
Especifique las condiciones de filtro para que coincidan con el tráfico destinado a cualquier servidor en el jardín amurallado especificando una lista de servidores de prefijo de destino.
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-prefix-list list-name user@host# set term name from destination-port port-number
Especifique que el tráfico coincidente omita el procesamiento en la tarjeta de línea.
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
Defina un término de filtro para identificar el tráfico HTTP de todo el tráfico que no coincida con el término anterior y envíelo para su procesamiento mediante las reglas de servicio de CPCD.
Especifique uno o varios números de puerto HTTP para que coincidan con el tráfico HTTP omitido.
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-port http-port-number
Especifique que el tráfico coincidente lo procesa un servicio CPCD.
[edit firewall family inet service-filter filter-name] user@host# set term name then service
Defina un término de filtro para omitir acciones adicionales para cualquier tráfico restante que no sea HTTP.
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
(Opcional) Defina una lista de prefijos que especifique los servidores dentro del jardín amurallado. Puede especificar una subred o varias direcciones individuales.
[edit policy-options] user@host# set prefix-list list- name ip-address/mask user@host# set prefix-list list- name ip-address1 user@host# set prefix-list list- name ip-address2
Por ejemplo, la siguiente configuración crea un filtro para el tráfico HTTP IPv6, walled-v6-list, con un prefijo list, wg-list, que especifica dos servidores en el jardín amurallado. El término de filtro portal6 identifica el tráfico IPv6 destinado al jardín amurallado. El tráfico no coincidente va al término http6, donde el tráfico HTTP se selecciona de todo el tráfico omitido y se envía para ser procesado de acuerdo con un servicio CPCD. Por último, la omisión de términos hace que se omita todo el tráfico restante que no sea HTTP.
[edit] user@host# edit firewall family inet6 service-filter walled-v6-list user@host# set term portal6 from destination-prefix-list wg-list user@host# set term portal6 then skip user@host# set term http6 from destination-port [80 8080] user@host# set term http6 then service user@host# set term skip6 then skip [edit policy-options] user@host# set prefix-list wg-list 2001:db8::10.10 user@host# set prefix-list wg-list 2001:db8::10.22
Configuración de la redirección HTTP para servidores de redirección local y remota
Cuando se realizan solicitudes HTTP para sitios fuera del jardín amurallado, CPCD puede redirigir el tráfico a un portal cautivo para autenticación y autorización.
Configure una regla de servicio CPCD que especifique la acción que se debe realizar para el tráfico destinado fuera del jardín amurallado. Este tráfico fue identificado por el filtro de servicio de jardín amurallado y pasó al servicio. La acción que configure dependerá de si está utilizando un servidor de redireccionamiento HTTP local o remoto:
Si utiliza un servidor de redireccionamiento HTTP local en el enrutador, especifique la acción de redireccionamiento.
Si está utilizando un servidor de redireccionamiento HTTP remoto, que reside en un jardín amurallado detrás del enrutador, no puede simplemente especificar una URL de redireccionamiento. En este caso, la regla de servicio debe reescribir la dirección IP de destino para el tráfico. La nueva dirección de destino es la dirección del servidor de redireccionamiento HTTP remoto. Luego, el servidor remoto proporciona una URL de redireccionamiento para enviar el tráfico a un portal cautivo.
El servicio CPCD se asocia a una interfaz de servicios mediante un conjunto de servicios. Tanto el conjunto de servicios como el filtro de servicio de jardín vallado se aplican a una interfaz configurada estáticamente.
Por ejemplo, en la siguiente configuración para un servidor local, la regla de servicio CPCD redir-svc redirige el tráfico a un portal cautivo, http://www.portal.example.com. La URL original introducida por el suscriptor se adjunta a la URL de redireccionamiento.
user@host# edit services captive-portal-content-delivery user@host# edit rule redir-svc user@host# set match-direction input user@host# set term redir1 then redirect http://www.portal.example.com/url=%dest-url%
La siguiente configuración para un servidor remoto crea la regla de servicio CPCD rewr-svc que reescribe la dirección de destino original en la dirección del servidor remoto, 192.0.2.230.
user@host# edit services captive-portal-content-delivery user@host# edit rule rewr-svc user@host# set match-direction input user@host# set term rewr1 then rewrite destination-address 192.0.2.230
Configuración del perfil de servicio y del conjunto de servicios para asociar el perfil de servicio a una interfaz de servicio
Los conjuntos de servicios definen uno o más servicios que debe realizar la tarjeta de servicios MS-MPC/MS-MIC o MX-SPC3 si habilitó los servicios de NEXT Gen en el enrutador de la serie MX. Para los servicios de redireccionamiento HTTP, se define un perfil de servicio CPCD que incluye reglas de CPCD. El conjunto de servicios aplica el perfil de servicio CPCD a una interfaz de servicio específica.
Por ejemplo, la siguiente configuración crea el perfil de servicio CPCD redir-prof, que hace referencia a la regla CPCD redir-svc. El conjunto de servicios SS2 asocia el perfil de servicio CPCD redir-prof con la interfaz de servicio ms-5/0/0.
[edit services captive-portal-content-delivery] user@host# edit profile redir-prof user@host# set cpcd-rules redir-svc [edit services] user@host# edit service-set sset2 user@host# set captive-portal-content-delivery-profile redir-prof user@host# set interface-service-service-interface ms-5/0/0
Asociar un conjunto de servicios CPCD y un filtro de servicio a una interfaz lógica
Para utilizar los servicios de redireccionamiento HTTP, debe asociar el conjunto de servicios CPCD a una interfaz lógica. Si el jardín vallado está configurado como un filtro de servicio, debe adjuntarlo a la misma interfaz que el conjunto de servicios. El tráfico que entra y sale de esa interfaz se filtra mediante el filtro de servicio. El tráfico identificado para el mantenimiento se envía a la MS-MPC o a la tarjeta de servicios MX-SPC3 si habilitó los servicios de próxima generación en el enrutador de la serie MX y el perfil CPCD se aplica en la interfaz de servicio.
Por ejemplo, la siguiente configuración asocia el conjunto de servicios sset2 y el filtro de servicio walled-v4 a ge-2/0/1.0 para la familia de direcciones IPv4. Asigna una dirección a la interfaz lógica. El conjunto de servicios y el filtro se aplican a la entrada y salida de la interfaz.
user@host# edit interfaces ge-2/0/1 unit 0 family inet user@host# set address 203.0.113.5 user@host# set service input service-set sset2 service-filter walled-v4 user@host# set service output service-set sset2 service-filter walled-v4
Instalación de un paquete de servicio para el servicio CPCD
Para utilizar servicios CPCD en un MS-MPC/MS-MIC o en una tarjeta de servicios MX-SPC3, si habilitó los servicios de próxima generación en el enrutador de la serie MX, configure una interfaz de servicio en MS-MIC o MX-SPC3. Debe instalar el paquete de servicios necesario en cada MS-MIC que tenga una interfaz de servicio o en la tarjeta de servicios MX-SPC3.
Por ejemplo, la siguiente configuración carga el paquete de servicios CPCD en la MS-MPC en la ranura de chasis 1 y la MS-MIC en la ranura 0 de la MPC. Se generan mensajes de registro del sistema para cualquier demonio y para aplicaciones externas locales en todos los niveles de gravedad.
user@host# edit chassis fpc 1 pic 0 adaptive-services service-package [edit chassis fpc 1 pic 0 adaptive-services service-package] user@host# set extension-provider package jservices-cpcd [edit chassis fpc 1 pic 0 adaptive-services service-package] user@host# set extension-provider syslog daemon any user@host# set extension-provider syslog external any
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.