例:ネクストホップ方式を使用したHTTPリダイレクトサービスの設定と静的インターフェイスへのアタッチ
この例では、ネクストホップ方式を使用してHTTPリダイレクトサービスを設定し、それを静的インターフェイスにアタッチする方法を示しています。
要件
この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。
マルチサービスモジュラーPICコンセントレータ(MS-MPC)とマルチサービスモジュラーインターフェイスカード(MS-MIC)がインストールされたMX240、MX480、またはMX960ユニバーサルルーティングプラットフォーム。
Junos OSリリース15.1以降。
始める前に:
リダイレクトサーバーとMXシリーズルーター間の接続を設定します。
送信元アドレスを定義します(この例では203.0.113.0/24が使用されています)。
加入者トラフィックに使用する1つ以上のインターフェイスを定義します。
概要
HTTPリダイレクトおよび書き換えサービスは、IPv4とIPv6の両方でサポートされています。HTTPリダイレクトサービスまたはサービスセットを、静的または動的インターフェイスにアタッチできます。動的加入者管理では、加入者ログイン時または認証変更(CoA)を使用して、HTTPサービスまたはサービスセットを動的にアタッチできます。ネクストホップ方式を使用して、HTTPリダイレクトサービスを設定し、静的インターフェイスにアタッチできます。
設定
ネクストホップ方式でHTTPリダイレクトサービスを設定し、静的インターフェイスにアタッチするには、以下のタスクを実行します。
- CLIクイックコンフィグレーション
- CPCDサービスの設定と静的インターフェイスへのサービスセットのアタッチ
- CPCDのパッケージとインストールの設定
- 静的インターフェイス、HTTPリダイレクトフィルター、インターフェイスサービスオプションの設定
- 追加のルーティングインスタンスの設定とそのネクストホップ静的インターフェイスの割り当て
- HTTPトラフィックを誘導するようにインターフェイス固有のフィルターを構成する
- プライベートブロックプレフィックスリストを使用するためのポリシーオプションとステートメントの設定
- 加入者向けのブロードバンドエッジ静的ルート設定の使用(MXシリーズデバイス向けJunos OSリリース23.4R1)
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除してから、コマンドをコピーして CLI に貼り付けます。
[edit] edit services captive-portal-content-delivery set rule redirect match-direction input set rule redirect term REDIRECT then redirect http://redirection-portal/redirection/ set profile http-redirect cpcd-rules redirect edit services service-set http-redirect-sset set captive-portal-content-delivery-profile http-redirect set next-hop-service inside-service-interface ms-11/1/0.1 set next-hop-service outside-service-interface ms-11/1/0.2 [edit] edit chassis fpc 11 pic 1 adaptive-services service-package set extension-provider package jservices-cpcd set extension-provider syslog daemon none set extension-provider syslog external none set extension-provider syslog kernel none set extension-provider syslog pfe none [edit] set interfaces ge-0/0/1 unit 900 description VLAN REDIRECT set interfaces ge-0/0/1 unit 900 vlan-id 900 set interfaces ge-0/0/1 unit 900 family inet filter input FF_HTTP_REDIR_IN set interfaces ge-0/0/1 unit 900 family inet address 203.0.113.250/30 edit interfaces ms-11/1/0 services-options open-timeout 4 edit interfaces ms-11/1/0 services-options close-timeout 2 edit interfaces ms-11/1/0 services-options inactivity-tcp-timeout 5 edit interfaces ms-11/1/0 services-options inactivity-non-tcp-timeout 5 edit interfaces ms-11/1/0 services-options session-timeout 5 edit interfaces ms-11/1/0 services-options tcp-tickles 0 set interfaces ms-11/1/0 unit 1 family inet set interfaces ms-11/1/0 unit 1 service-domain inside set interfaces ms-11/1/0 unit 2 filter output FF_CPCD_REDIRECT_OUTPUT set interfaces ms-11/1/0 unit 2 family inet set interfaces ms-11/1/0 unit 2 service-domain outside [edit] edit routing-instances CPCD_REDIRECT set instance-type virtual-router set interface ms-1/1/0.1 set interface ms-1/1/0.2 set routing-options static route 0.0.0.0/0 next-hop ms-1/1/0.1 set routing-options static route 203.0.113.0/24 next-hop ms-1/1/0.2 [edit] edit firewall family inet set filter FF_CPCD_REDIRECT_OUTPUT interface-specific set filter FF_CPCD_REDIRECT_OUTPUT term One then count back-to-default set filter FF_CPCD_REDIRECT_OUTPUT term One then routing-instance default set filter FF_HTTP_REDIR_IN interface-specific set filter FF_HTTP_REDIR_IN term ACCEPTED_PREFIXES from prefix-list User-PRIVATE-Blocks-01 set filter FF_HTTP_REDIR_IN term ACCEPTED_PREFIXES then next term set filter FF_HTTP_REDIR_IN term HTTP from protocol tcp set filter FF_HTTP_REDIR_IN term HTTP from destination-port http set filter FF_HTTP_REDIR_IN term HTTP then count HTTP set filter FF_HTTP_REDIR_IN term HTTP then forwarding-class best-effort set filter FF_HTTP_REDIR_IN term HTTP then routing-instance CPCD_REDIRECT [edit] edit policy-options policy-statement User-PRIVATE-Blocks-01 set 203.0.113.0/24
CPCDサービスの設定と静的インターフェイスへのサービスセットのアタッチ
ステップバイステップの手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでの CLI エディターの使用を参照してください。
加入者のWebブラウザー初期セッションがリダイレクトされる場所を指定してHTTPリダイレクトサービスを設定し、加入者の初期プロビジョニングとサービス選択を可能にします。
[edit services] user@host# edit captive-portal-content-delivery
このHTTPサービスを適用するときにルーターが参照するルールを定義することにより、サービスフィルターをウォールドガーデンとして設定します。
[edit services captive-portal-content-delivery] user@host# edit rule redirect
ルールがインターフェイスに着信するトラフィックに一致することを指定します。
[edit services captive-portal-content-delivery rule redirect] user@host# match-direction input
HTTPサービスのCPCDルールの条件一致プロパティとアクションプロパティを作成します。
[edit services captive-portal-content-delivery rule redirect] user@host# set term REDIRECT then redirect http://redirection-portal/redirection/
HTTPサービスをリダイレクトするために、IP宛先アドレスのCPCDプロファイルを作成します。
[edit services captive-portal-content-delivery] user@host# edit profile http-redirect
HTTPサービスのCPCDルールを指定します。
[edit services captive-portal-content-delivery profile http-redirect] user@host# set cpcd-rules redirect
CPCDサービスのサービスセットを作成します。
[edit services service-set] user@host# edit http-redirect-sset
サービスセットのCPCDプロファイルを指定します。
[edit services service-set http-redirect-sset] user@host# set captive-portal-content-delivery-profile http-redirect
内部および外部のサービスインターフェイスのネクストホップサービスのインターフェイス名を指定し、静的インターフェイスにアタッチします。
[edit services service-set http-redirect-sset] user@host# set next-hop-service inside-service-interface ms-11/1/0.1 user@host# set next-hop-service outside-service-interface ms-11/1/0.2
結果
設定モードから、 show services コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
root@host# show services
captive-portal-content-delivery {
rule redirect {
match-direction input;
term REDIRECT {
then {
redirect http://redirection-portal/redirection/;
}
}
}
profile http-redirect {
cpcd-rules redirect;
}
}
service-set http-redirect-sset {
captive-portal-content-delivery-profile http-redirect;
next-hop-service {
inside-service-interface ms-11/1/0.1;
outside-service-interface ms-11/1/0.2;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
CPCDのパッケージとインストールの設定
ステップバイステップの手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでの CLI エディターの使用を参照してください。
MS-MPC/MS-MICを搭載したMXシリーズ5Gユニバーサルルーティングプラットフォーム上のサービスインターフェイスでサービスパッケージをサポートするようにJunos OSを設定します。
[edit chassis] user@host# edit fpc 11 pic 1 adaptive-services service-package
PICで実行するようにCPCDサービスパッケージを設定します。
extension-providerステートメントを初めて設定すると、PIC が再起動します。[edit chassis fpc 11 pic 1 adaptive-services service-package] user@host# set extension-provider package jservices-cpcd
PICシステムロギングを有効にすると、PIC上でシステムログメッセージを記録または表示できますが、デーモン、外部、カーネル、またはパケット転送エンジンプロセスは含まれません。
[edit chassis fpc 11 pic 1 adaptive-services service-package extension-provider] user@host# set extension-provider syslog daemon none user@host# set extension-provider syslog external none user@host# set extension-provider syslog kernel none user@host# set extension-provider syslog pfe none
結果
設定モードから、 show chassis コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
root@host# show chassis
fpc 11 {
pic 1 {
adaptive-services {
service-package {
extension-provider {
package jservices-cpcd;
syslog {
daemon none;
external none;
kernel none;
pfe none;
}
}
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
静的インターフェイス、HTTPリダイレクトフィルター、インターフェイスサービスオプションの設定
ステップバイステップの手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでの CLI エディターの使用を参照してください。
トラフィックがリダイレクトされる前に到着する論理インターフェイスを持つギガビットインターフェイスを設定します。
[edit interfaces] user@host# edit ge-0/0/1 unit 900
説明とVLAN IDを論理インターフェイスに割り当てます。
[edit interfaces ge-0/0/1 unit 900] user@host# set description VLAN-REDIRECT user@host# set vlan-id 900
インターフェイスにIPv4ファミリーを設定します。
[edit interfaces ge-0/0/1 unit 900] user@host# edit family inet
インターフェイス上でパケットが受信され、リダイレクトされるタイミングを評価する入力フィルターを設定します。
[edit interfaces ge-0/0/1 unit 900 family inet] user@host# set filter input FF_HTTP_REDIR_IN
入力フィルターのアドレスを設定します。
[edit interfaces ge-0/0/1 unit 900 family inet] user@host# set address 203.0.113.250/30
マルチサービスインターフェイスに適用するサービスオプションを設定します。
[edit interfaces] user@host# edit ms-11/1/0 services-options
注:サービスオプションに設定された値は、例としてのみ示されています。要件に従って、適切な値を設定およびプロビジョニングする必要があります。
Transmission Control Protocol(TCP)セッション確立のオープンおよびクローズタイムアウト期間を秒単位で指定します。
[edit interfaces ms-11/1/0 services-options] user@host# set open-timeout 4 user@host# set close-timeout 2
確立されたTCPセッションと非TCPセッションの非アクティブタイムアウト期間を秒単位で指定します。
[edit interfaces ms-11/1/0 services-options] user@host# set inactivity-tcp-timeout 5 set inactivity-non-tcp-timeout 5
マルチサービスインターフェイスのセッションライフタイムをグローバルに秒単位で指定します。
[edit interfaces ms-11/1/0 services-options] user@host# set session-timeout 5
TCPセッションのタイムアウトを許可する前に送信されるキープアライブメッセージの最大数を指定します。
[edit interfaces ms-11/1/0 services-options] user@host# set tcp-tickles 0
マルチサービスインターフェイスで論理インターフェイスを設定します。
[edit interfaces ms-11/1/0] user@host# edit unit 1
論理インターフェイスがネットワーク内で使用されることを指定するように、サービスドメインを設定します。
[edit interfaces ms-11/1/0 unit 1] user@host# set service-domain inside
論理インターフェイスでIPv4アドレスファミリーを設定します。
[edit interfaces ms-11/1/0 unit 1] user@host# set family inet
マルチサービスインターフェイスに2つ目の論理インターフェイスを設定します。
[edit interfaces ms-11/1/0] user@host# edit unit 2
論理インターフェイスがネットワーク外で使用されるように指定するようにサービスドメインを設定します。
[edit interfaces ms-11/1/0 unit 2] user@host# set service-domain outside
論理インターフェイスからCPCDパケットをリダイレクトするように出力フィルターを設定します。
[edit interfaces ms-11/1/0 unit 2] user@host# set filter output FF_CPCD_REDIRECT_OUTPUT
論理インターフェイスでIPv4アドレスファミリーを設定します。
[edit interfaces ms-11/1/0 unit 2] user@host# set family inet
結果
設定モードから、 show interfaces コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
root@host# show interfaces
ge-0/0/1 {
unit 900 {
description VLAN-REDIRECT;
vlan-id 900;
}
family inet {
filter {
input FF_HTTP_REDIR_IN;
}
address 203.0.113.250/30;
}
}
ms-11/1/0 {
services-options {
open-timeout 4;
close-timeout 2;
inactivity-tcp-timeout 5;
inactivity-non-tcp-timeout 5;
session-timeout 5;
tcp-tickles 0;
}
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet {
filter {
output FF_CPCD_REDIRECT_OUTPUT;
}
}
service-domain outside;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
追加のルーティングインスタンスの設定とそのネクストホップ静的インターフェイスの割り当て
ステップバイステップの手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでの CLI エディターの使用を参照してください。
ルーティングインスタンスを設定します。
[edit routing-instances] user@host# edit CPCD_REDIRECT
仮想ルーターのルーティングインスタンスを設定します。
[edit routing-instances CPCD_REDIRECT] user@host# set instance-type virtual-router
ルーティングインスタンス用に、以前に定義済みの2つのマルチサービスインターフェイスを設定します。
[edit routing-instances CPCD_REDIRECT] user@host# set interface ms-11/1/0.1 user@host# set interface ms-11/1/0.2
スタティックルーティングオプションを設定します。
[edit routing-instances CPCD_REDIRECT] user@host# edit routing-options static
ネクストホップ静的インターフェイスをルートとルーティングインスタンスに割り当てます。
[edit routing-instances CPCD_REDIRECT routing-options static] user@host# set route 0.0.0.0/0 next-hop ms-11/1/0.1 user@host# set route 203.0.113.0/24 next-hop ms-11/1/0.2
結果
設定モードから、 show routing-instances コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
root@host# show routing-instances
CPCD_REDIRECT {
instance-type virtual-router;
interface ms-11/1/0.1;
interface ms-11/1/0.2;
routing-options {
static {
route 0.0.0.0/0 next-hop ms-11/1/0.1;
route 203.0.113.0/24 next-hop ms-11/1/0.2;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
HTTPトラフィックを誘導するようにインターフェイス固有のフィルターを構成する
ステップバイステップの手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでの CLI エディターの使用を参照してください。
[edit firewall]階層の下にサービスフィルターのファミリーを作成します。[edit firewall] user@host# edit family inet
CPCDの出力トラフィックをリダイレクトするためのインターフェイス固有のフィルターを作成します。
[edit firewall family inet] user@host# edit filter FF_CPCD_REDIRECT_OUTPUT
これがインターフェイス固有のフィルターであることを指定します。
[edit firewall family inet filter FF_CPCD_REDIRECT_OUTPUT] user@host# set interface-specific
ウォールドガーデンのインターフェイス固有フィルターのフィルター条件を作成します。
[edit firewall family inet filter FF_CPCD_REDIRECT_OUTPUT] user@host# edit term One
デフォルトのトラフィックをカウントするアクションとデフォルトのルーティングインスタンスの両方を指定します。
[edit firewall family inet filter FF_CPCD_REDIRECT_OUTPUT interface-specific term One] user@host# set then count back-to-default set then routing-instance default
HTTP入力トラフィックをリダイレクトするフィルターを作成します。
[edit firewall family inet] user@host# edit filter FF_HTTP_REDIR_IN
これがインターフェイス固有のフィルターであることを指定します。
[edit firewall family inet filter FF_HTTP_REDIR_IN] user@host# set interface-specific
ウォールドガーデンのインターフェイス固有フィルターのフィルター条件を作成します。
[edit firewall family inet filter FF_HTTP_REDIR_IN] user@host# edit term ACCEPTED_PREFIXES
ウォールドガーデンのフィルターの一致条件として受け入れられるプレフィックスのリストを指定します。
[edit firewall family inet filter FF_HTTP_REDIR_IN term ACCEPTED_PREFIXES] user@host# set from prefix-list User-PRIVATE-Blocks-01
一致するすべてのHTTPトラフィックに対して実行するアクションを指定します。
[edit firewall family inet filter FF_HTTP_REDIR_IN term ACCEPTED_PREFIXES] user@host# set then next term
ウォールドガーデンのフィルターの2つ目のフィルター条件を作成します。
[edit firewall family inet filter FF_HTTP_REDIR_IN interface-specific] user@host# edit term HTTP
ウォールドガーデンのフィルターの一致条件としてプロトコルと宛先ポートを指定します。
[edit firewall family inet filter FF_HTTP_REDIR_IN term HTTP] user@host# set from protocol tcp user@host# set from destination-port http
ウォールドガーデンの外を流れるHTTPトラフィックに一致するために実行するアクションを指定します。
[edit firewall family inet filter filter FF_HTTP_REDIR_IN interface-specific term HTTP] user@host# set then count HTTP user@host# set then forwarding-class best-effort user@host# set then routing-instance CPCD_REDIRECT
結果
設定モードから、 show firewall コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
root@host# show firewall
family inet {
filter FF_CPCD_REDIRECT_OUTPUT {
interface-specific;
term One {
then {
count back-to-default;
routing-instance default;
}
}
}
filter FF_HTTP_REDIR_IN {
interface-specific;
term ACCEPTED_PREFIXES {
from {
prefix-list {
User-PRIVATE-Blocks-01;
}
}
then next term;
}
term HTTP {
from {
protocol tcp;
destination-port http;
}
then {
count http;
forwarding-class best-effort;
routing-instance CPCD_REDIRECT;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
プライベートブロックプレフィックスリストを使用するためのポリシーオプションとステートメントの設定
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでの CLI エディターの使用を参照してください。
[edit policy-options]階層下のプライベートブロックプレフィックスリストを使用するためのポリシーオプションとステートメントを作成します。[edit policy-options] user@host# set policy-statement User-PRIVATE-Blocks-01
プライベートブロックプレフィックスリストの送信元アドレスを設定します。
[edit policy-options policy-statement User-PRIVATE-Blocks-01] user@host# set 203.0.113.0/24
結果
設定モードから、 show policy-options コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
root@host# show policy-options
policy-statement User-PRIVATE-Blocks-01 {
203.0.113.0/24;
}
デバイスの設定が完了したら、設定モードから commit を入力します。
加入者向けのブロードバンドエッジ静的ルート設定の使用(MXシリーズデバイス向けJunos OSリリース23.4R1)
Junos 23.4R1以降、BNGの加入者向けブロードバンドエッジ静的ルート設定機能がRADIUSフレームルート設定に置き換えられました。同じサイト上の複数のホストに静的IPアドレスを設定できるようになりました。
例えば:
- 既存の設定を使用して、ルートをルーティングテーブルに追加します。この設定がコミットされると、設定された加入者IPを持つ加入者が立ち上がるまで、ルートは非表示になります。
staticRoute { routing-options { access { route 7.7.7.7/32 next-hop 50.1.1.1; } } } [edit system services subscriber-management]モードでコマンドstatic-framed-routeを使用して、特定の顧客接続に向けてBNGで静的フレームルート機能を有効にすることができます。user@root> set system services subscriber-management static-framed-route
- フレームルートの送信ではなく、RADIUSサーバーを認証目的で使用できるようになりました。
注:スタティックフレームルートは、加入者がダウンしている場合にのみ追加、変更、または削除する必要があります。 加入者が立ち上がると、静的なフレームルートが加入者にアタッチされます。静的フレームルートは、IPv4 でのみサポートされています。
検証
HTTPリダイレクトサービスがサービスセット内で正しく設定されていることを確認するには、以下のタスクを実行します。
CPCDサービス用に設定されたサービスセットの検証
目的
設定されたCPCDサービスセットを表示します。
アクション
動作モードから、 show services captive-portal-content-delivery service-set http-redirect-sset detail コマンドを入力します。
user@host> show services captive-portal-content-delivery service-set http-redirect-sset detail
Service Set Id Profile Compiled Rules
http-redirect-sset 1 http-redirect 1
意味
出力には、CPCDサービス用に設定されたサービスセットが一覧表示されます。
ウォールドガーデンの設定済みHTTPサービスルールの詳細の検証
目的
ウォールドガーデン用に設定された特定のHTTPサービスルールの詳細を表示します。
アクション
動作モードから、 show services captive-portal-content-delivery rule redirect term REDIRECT コマンドを入力します。
user@host> show services captive-portal-content-delivery rule redirect term REDIRECT Rule name: redirect Rule match direction: input Term name: term REDIRECT Term action: redirect Term action option: http://redirection-portal/redirection/
意味
出力には、ウォールドガーデンに設定された特定のHTTPサービスルールのルールと用語の詳細が一覧表示されます。