Configuración de servicios de redireccionamiento HTTP estáticos basados en MS-MPC o MX-SPC3
A partir de Junos OS versión 19.3R2, el aprovisionamiento del servicio de redireccionamiento HTTP estático también es compatible con los portales cautivos basados en tarjetas de servicios MX-SPC3 si ha habilitado los servicios de próxima generación en el enrutador de la serie MX.
Un jardín amurallado es un grupo de servidores que proporcionan al suscriptor acceso a sitios dentro del jardín amurallado sin requerir reautorización a través de un portal cautivo. La página del portal cautivo suele ser la página inicial que ve un suscriptor después de iniciar sesión en una sesión de suscriptor.
Cuando los suscriptores intentan acceder a sitios fuera del jardín amurallado, los servicios de redireccionamiento HTTP procesan solicitudes HTTP IPv4 e IPv6 para administrar ese tráfico. El tráfico de solicitud HTTP del suscriptor que no está destinado al jardín amurallado se envía al servidor de redireccionamiento, que responde con una URL de redireccionamiento que envía tráfico a un portal cautivo en lugar de al sitio externo no autorizado. El portal cautivo proporciona servicios de autenticación y autorización para los suscriptores redirigidos antes de otorgarles acceso a servidores protegidos fuera del jardín amurallado.
El servidor de redireccionamiento puede ser local o remoto:
Servidor de redireccionamiento local: reside en el enrutador y redirige el tráfico de suscriptores a un portal cautivo dentro de un jardín amurallado.
Servidor de redireccionamiento remoto: reside en un dispositivo, como un servidor de políticas, dentro de un jardín amurallado detrás del enrutador. La dirección de destino del tráfico HTTP del suscriptor se reescribe en la dirección del servidor de redireccionamiento remoto. El servidor remoto redirige el tráfico de suscriptores a un portal cautivo dentro de ese jardín amurallado.
Configure el jardín amurallado como un filtro de servicio de firewall. El filtro de servicio está conectado a una interfaz estática. El servicio CPCD se aplica a una interfaz de servicio (ms- en la MS-MPC o vms- en la tarjeta de servicios MX-SPC3) por medio de un conjunto de servicios; A continuación, el conjunto de servicios se adjunta a una interfaz estática.
Configuración de un jardín amurallado como filtro de servicio de firewall
Cuando se configura el jardín amurallado como un filtro de servicio de firewall, se identifica y omite el tráfico destinado a los servidores dentro del jardín amurallado. Debido a que este tráfico no fluye hacia la tarjeta de línea, los requisitos de manejo se reducen.
El resto del tráfico HTTP está destinado a direcciones fuera del jardín amurallado. Debido a que este tráfico no coincide con las condiciones del filtro, fluye a la tarjeta de línea para su manejo.
Puede configurar el filtro de servicio para que el jardín amurallado contenga un único servidor como portal cautivo o una lista de servidores.
Configure el jardín amurallado con un solo servidor como portal cautivo:
Cree el filtro de servicio.
[edit] user@host# edit firewall family address-family service-filter filter-name
Defina un término de filtro para identificar y omitir el procesamiento del tráfico al portal cautivo.
Especifique las condiciones de filtro para que coincidan con el tráfico destinado al portal cautivo especificando la dirección de destino del portal cautivo y el puerto de destino.
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-address ip-address user@host# set term name from destination-port port-number
Especifique que el tráfico coincidente omite el procesamiento en la tarjeta de línea.
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
Defina un término de filtro para identificar el tráfico HTTP de todo el tráfico que no coincidía con el término anterior y envíelo para su procesamiento mediante las reglas del servicio CPCD.
Especifique uno o más números de puerto HTTP para que coincidan con el tráfico HTTP omitido.
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-port http-port-number
Especifique que un servicio CPCD procesa el tráfico coincidente.
[edit firewall family inet service-filter filter-name] user@host# set term name then service
Defina un término de filtro para omitir más acciones para cualquier tráfico restante que no sea HTTP.
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
Por ejemplo, la siguiente configuración crea un filtro para el tráfico HTTP IPv4, walled-v4, con el portal cautivo en 192.0.2.0. Se omite el tráfico que coincida con la dirección. El tráfico no coincidente va al término http, donde el tráfico HTTP se selecciona de todo el tráfico omitido y se envía para ser procesado de acuerdo con un servicio CPCD. Por último, la omisión de término hace que se omita todo el tráfico restante que no sea HTTP.
[edit] user@host# edit firewall family inet service-filter walled-v4 [edit firewall family inet service-filter walled-v4] user@host# set term portal from destination-address 192.0.2.0 user@host# set term portal from destination-port 80 user@host# set term portal then skip user@host# set term http from destination-port 80 user@host# set term http then service user@host# set term skip then skip
Configure el jardín amurallado como una lista o subred de servidores.
Cree el filtro de servicio.
[edit] user@host# edit firewall family address-family service-filter filter-name
Defina un término de filtro.
Especifique las condiciones de filtro para que coincidan con el tráfico destinado a cualquier servidor del jardín amurallado especificando una lista de prefijos de destino de servidores.
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-prefix-list list-name user@host# set term name from destination-port port-number
Especifique que el tráfico coincidente omite el procesamiento en la tarjeta de línea.
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
Defina un término de filtro para identificar el tráfico HTTP de todo el tráfico que no coincidía con el término anterior y envíelo para su procesamiento mediante las reglas del servicio CPCD.
Especifique uno o más números de puerto HTTP para que coincidan con el tráfico HTTP omitido.
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-port http-port-number
Especifique que un servicio CPCD procesa el tráfico coincidente.
[edit firewall family inet service-filter filter-name] user@host# set term name then service
Defina un término de filtro para omitir más acciones para cualquier tráfico restante que no sea HTTP.
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
(Opcional) Defina una lista de prefijos que especifique los servidores dentro del jardín amurallado. Puede especificar una subred o varias direcciones individuales.
[edit policy-options] user@host# set prefix-list list- name ip-address/mask user@host# set prefix-list list- name ip-address1 user@host# set prefix-list list- name ip-address2
Por ejemplo, la siguiente configuración crea un filtro para el tráfico HTTP IPv6, walled-v6-list, con una lista de prefijos, wg-list, que especifica dos servidores en el jardín amurallado. El término de filtro portal6 identifica el tráfico IPv6 destinado al jardín amurallado. El tráfico no coincidente pasa al término http6, donde el tráfico HTTP se selecciona de todo el tráfico omitido y se envía para ser procesado de acuerdo con un servicio CPCD. Finalmente, el omitido de término hace que se omita todo el tráfico restante que no sea HTTP.
[edit] user@host# edit firewall family inet6 service-filter walled-v6-list user@host# set term portal6 from destination-prefix-list wg-list user@host# set term portal6 then skip user@host# set term http6 from destination-port [80 8080] user@host# set term http6 then service user@host# set term skip6 then skip [edit policy-options] user@host# set prefix-list wg-list 2001:db8::10.10 user@host# set prefix-list wg-list 2001:db8::10.22
Configuración de la redirección HTTP para servidores de redirección locales y remotos
Cuando se realizan solicitudes HTTP para sitios fuera del jardín amurallado, CPCD puede redirigir el tráfico a un portal cautivo para su autenticación y autorización.
Configure una regla de servicio CPCD que especifique la acción que debe realizarse para el tráfico destinado fuera del jardín amurallado. Este tráfico fue identificado por el filtro de servicio de jardín amurallado y pasado al servicio. La acción que configure dependerá de si está utilizando un servidor de redireccionamiento HTTP local o remoto:
Si utiliza un servidor de redireccionamiento HTTP local en el enrutador, especifique la acción de redireccionamiento.
Si está utilizando un servidor de redireccionamiento HTTP remoto, que reside en un jardín amurallado detrás del enrutador, entonces no puede simplemente especificar una URL de redireccionamiento. En este caso, la regla de servicio debe reescribir la dirección IP de destino del tráfico. La nueva dirección de destino es la dirección del servidor de redireccionamiento HTTP remoto. A continuación, el servidor remoto proporciona una URL de redireccionamiento para enviar el tráfico a un portal cautivo.
El servicio CPCD está asociado a una interfaz de servicio mediante un conjunto de servicios. Tanto el conjunto de servicios como el filtro de servicio de jardín amurallado se aplican a una interfaz configurada estáticamente.
Por ejemplo, en la siguiente configuración para un servidor local, la regla de servicio CPCD redir-svc redirige el tráfico a un portal cautivo, http://www.portal.example.com. La URL original introducida por el suscriptor se anexa a la URL de redireccionamiento.
user@host# edit services captive-portal-content-delivery user@host# edit rule redir-svc user@host# set match-direction input user@host# set term redir1 then redirect http://www.portal.example.com/url=%dest-url%
La siguiente configuración para un servidor remoto crea la regla de servicio CPCD rewr-svc que reescribe la dirección de destino original en la dirección del servidor remoto, 192.0.2.230.
user@host# edit services captive-portal-content-delivery user@host# edit rule rewr-svc user@host# set match-direction input user@host# set term rewr1 then rewrite destination-address 192.0.2.230
Configuración del perfil de servicio y del conjunto de servicios para asociar el perfil de servicio a una interfaz de servicio
Los conjuntos de servicios definen uno o más servicios que debe realizar la tarjeta de servicios MS-MPC/MS-MIC o MX-SPC3 si ha habilitado los servicios de próxima generación en el enrutador de la serie MX. Para los servicios de redireccionamiento HTTP, se define un perfil de servicio CPCD que incluye reglas CPCD. El conjunto de servicios aplica el perfil de servicio CPCD a una interfaz de servicio específica.
Por ejemplo, la siguiente configuración crea el perfil de servicio CPCD redir-prof, que hace referencia a la regla CPCD redir-svc. El conjunto de servicios ss2 asocia el redir-prof del perfil de servicio de CPCD con la interfaz de servicio ms-5/0/0.
[edit services captive-portal-content-delivery] user@host# edit profile redir-prof user@host# set cpcd-rules redir-svc [edit services] user@host# edit service-set sset2 user@host# set captive-portal-content-delivery-profile redir-prof user@host# set interface-service-service-interface ms-5/0/0
Adjuntar un conjunto de servicios CPCD y un filtro de servicio a una interfaz lógica
Para utilizar los servicios de redireccionamiento HTTP, debe adjuntar el conjunto de servicios CPCD a una interfaz lógica. Si el jardín amurallado está configurado como un filtro de servicio, debe adjuntarlo a la misma interfaz que el conjunto de servicios. El tráfico que entra y sale de esa interfaz se filtra mediante el filtro de servicio. El tráfico identificado para el mantenimiento se envía a MS-MPC o a la tarjeta de servicios MX-SPC3 si ha habilitado los servicios de próxima generación en el enrutador de la serie MX y el perfil CPCD se aplica en la interfaz de servicio.
Por ejemplo, la siguiente configuración asocia el conjunto de servicios sset2 y el filtro de servicio walled-v4 a ge-2/0/1.0 para la familia de direcciones IPv4. Asigna una dirección a la interfaz lógica. El conjunto de servicios y el filtro se aplican a la entrada y salida de la interfaz.
user@host# edit interfaces ge-2/0/1 unit 0 family inet user@host# set address 203.0.113.5 user@host# set service input service-set sset2 service-filter walled-v4 user@host# set service output service-set sset2 service-filter walled-v4
Instalación de un paquete de servicio para el servicio CPCD
Para utilizar los servicios de CPCD en un MS-MPC/MS-MIC o en una tarjeta de servicios MX-SPC3 si ha habilitado los servicios de próxima generación en el enrutador de la serie MX, configure una interfaz de servicio en MS-MIC o MX-SPC3. Debe instalar el paquete de servicio necesario en cada MS-MIC que tenga una interfaz de servicio o en la tarjeta de servicios MX-SPC3.
Por ejemplo, la siguiente configuración carga el paquete de servicios CPCD en el MS-MPC en la ranura de chasis 1 y el MS-MIC en la ranura 0 de la MPC. Los mensajes de registro del sistema se generan para cualquier demonio y para aplicaciones externas locales en todos los niveles de gravedad.
user@host# edit chassis fpc 1 pic 0 adaptive-services service-package [edit chassis fpc 1 pic 0 adaptive-services service-package] user@host# set extension-provider package jservices-cpcd [edit chassis fpc 1 pic 0 adaptive-services service-package] user@host# set extension-provider syslog daemon any user@host# set extension-provider syslog external any