例:ネクストホップ方式を使用した HTTP リダイレクト サービスの設定とスタティック インターフェイスへのアタッチ
この例では、ネクストホップ方式を使用してHTTPリダイレクトサービスを設定し、それをスタティックインターフェイスにアタッチする方法を示しています。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
マルチサービスモジュラーPICコンセントレータ(MS-MPC)とマルチサービスモジュラーインターフェイスカード(MS-MIC)がインストールされたMX240、MX480、またはMX960ユニバーサルルーティングプラットフォーム。
Junos OS リリース 15.1 以降。
始める前に:
リダイレクトサーバーとMXシリーズルーター間の接続を構成します。
送信元アドレスを定義します(この例では 203.0.113.0/24 を使用します)。
加入者トラフィックに使用する 1 つ以上のインターフェイスを定義します。
概要
HTTP リダイレクトおよび書き換えサービスは、IPv4 と IPv6 の両方でサポートされています。HTTP リダイレクト サービスまたはサービス セットを静的インターフェイスまたは動的インターフェイスにアタッチできます。動的な加入者管理では、加入者ログイン時に、またはChange of Authorization(CoA)を使用して、HTTPサービスまたはサービスセットを動的にアタッチできます。ネクストホップ方式を使用して、HTTPリダイレクトサービスを設定し、スタティックインターフェイスにアタッチすることができます。
構成
ネクストホップ方式を使用してHTTPリダイレクトサービスを設定し、スタティックインターフェイスにアタッチするには、以下のタスクを実行します。
- CLIクイック構成
- CPCDサービスの設定とスタティックインターフェイスへのサービスセットのアタッチ
- CPCD のパッケージとインストールの構成
- 静的インターフェイス、HTTPリダイレクトフィルタ、およびインターフェイスサービスオプションの設定
- 追加のルーティング インスタンスの設定とそのネクストホップ スタティック インターフェイスの割り当て
- HTTPトラフィックをダイレクトするためのインターフェイス固有フィルターの設定
- プライベートブロックプレフィックスリストを使用するためのポリシーオプションとステートメントの設定
- 加入者向けのブロードバンドエッジ静的ルート設定の使用(MXシリーズデバイスのJunos OSリリース23.4R1)
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除してから、コマンドをコピーして CLI に貼り付けます。
[edit] edit services captive-portal-content-delivery set rule redirect match-direction input set rule redirect term REDIRECT then redirect http://redirection-portal/redirection/ set profile http-redirect cpcd-rules redirect edit services service-set http-redirect-sset set captive-portal-content-delivery-profile http-redirect set next-hop-service inside-service-interface ms-11/1/0.1 set next-hop-service outside-service-interface ms-11/1/0.2 [edit] edit chassis fpc 11 pic 1 adaptive-services service-package set extension-provider package jservices-cpcd set extension-provider syslog daemon none set extension-provider syslog external none set extension-provider syslog kernel none set extension-provider syslog pfe none [edit] set interfaces ge-0/0/1 unit 900 description VLAN REDIRECT set interfaces ge-0/0/1 unit 900 vlan-id 900 set interfaces ge-0/0/1 unit 900 family inet filter input FF_HTTP_REDIR_IN set interfaces ge-0/0/1 unit 900 family inet address 203.0.113.250/30 edit interfaces ms-11/1/0 services-options open-timeout 4 edit interfaces ms-11/1/0 services-options close-timeout 2 edit interfaces ms-11/1/0 services-options inactivity-tcp-timeout 5 edit interfaces ms-11/1/0 services-options inactivity-non-tcp-timeout 5 edit interfaces ms-11/1/0 services-options session-timeout 5 edit interfaces ms-11/1/0 services-options tcp-tickles 0 set interfaces ms-11/1/0 unit 1 family inet set interfaces ms-11/1/0 unit 1 service-domain inside set interfaces ms-11/1/0 unit 2 filter output FF_CPCD_REDIRECT_OUTPUT set interfaces ms-11/1/0 unit 2 family inet set interfaces ms-11/1/0 unit 2 service-domain outside [edit] edit routing-instances CPCD_REDIRECT set instance-type virtual-router set interface ms-1/1/0.1 set interface ms-1/1/0.2 set routing-options static route 0.0.0.0/0 next-hop ms-1/1/0.1 set routing-options static route 203.0.113.0/24 next-hop ms-1/1/0.2 [edit] edit firewall family inet set filter FF_CPCD_REDIRECT_OUTPUT interface-specific set filter FF_CPCD_REDIRECT_OUTPUT term One then count back-to-default set filter FF_CPCD_REDIRECT_OUTPUT term One then routing-instance default set filter FF_HTTP_REDIR_IN interface-specific set filter FF_HTTP_REDIR_IN term ACCEPTED_PREFIXES from prefix-list User-PRIVATE-Blocks-01 set filter FF_HTTP_REDIR_IN term ACCEPTED_PREFIXES then next term set filter FF_HTTP_REDIR_IN term HTTP from protocol tcp set filter FF_HTTP_REDIR_IN term HTTP from destination-port http set filter FF_HTTP_REDIR_IN term HTTP then count HTTP set filter FF_HTTP_REDIR_IN term HTTP then forwarding-class best-effort set filter FF_HTTP_REDIR_IN term HTTP then routing-instance CPCD_REDIRECT [edit] edit policy-options policy-statement User-PRIVATE-Blocks-01 set 203.0.113.0/24
CPCDサービスの設定とスタティックインターフェイスへのサービスセットのアタッチ
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
サブスクライバーの初期 Web ブラウザー セッションのリダイレクト先を指定して HTTP リダイレクト サービスを構成し、サブスクライバーの初期プロビジョニングとサービス選択を有効にします。
[edit services] user@host# edit captive-portal-content-delivery
このHTTPサービスを適用するときにルーターが参照するルールを定義して、サービスフィルターをウォールドガーデンとして設定します。
[edit services captive-portal-content-delivery] user@host# edit rule redirect
ルールがインターフェイスに着信するトラフィックと一致することを指定します。
[edit services captive-portal-content-delivery rule redirect] user@host# match-direction input
HTTP サービスの CPCD ルールの用語一致およびアクション・プロパティーを作成します。
[edit services captive-portal-content-delivery rule redirect] user@host# set term REDIRECT then redirect http://redirection-portal/redirection/
HTTP サービスをリダイレクトするための IP 宛先アドレスの CPCD プロファイルを作成します。
[edit services captive-portal-content-delivery] user@host# edit profile http-redirect
HTTP サービスの CPCD 規則を指定します。
[edit services captive-portal-content-delivery profile http-redirect] user@host# set cpcd-rules redirect
CPCD サービスのサービス・セットを作成します。
[edit services service-set] user@host# edit http-redirect-sset
サービス・セットのCPCDプロファイルを指定してください。
[edit services service-set http-redirect-sset] user@host# set captive-portal-content-delivery-profile http-redirect
内部および外部サービス インターフェイスのネクストホップ サービスのインターフェイス名を指定し、スタティック インターフェイスに接続します。
[edit services service-set http-redirect-sset] user@host# set next-hop-service inside-service-interface ms-11/1/0.1 user@host# set next-hop-service outside-service-interface ms-11/1/0.2
業績
設定モードから、 show services コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
root@host# show services
captive-portal-content-delivery {
rule redirect {
match-direction input;
term REDIRECT {
then {
redirect http://redirection-portal/redirection/;
}
}
}
profile http-redirect {
cpcd-rules redirect;
}
}
service-set http-redirect-sset {
captive-portal-content-delivery-profile http-redirect;
next-hop-service {
inside-service-interface ms-11/1/0.1;
outside-service-interface ms-11/1/0.2;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
CPCD のパッケージとインストールの構成
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
MS-MPC/MS-MIC を備えた MX シリーズ 5G ユニバーサル ルーティング プラットフォーム上のサービス インターフェイスでサービス パッケージをサポートするように Junos OS を設定します。
[edit chassis] user@host# edit fpc 11 pic 1 adaptive-services service-package
PIC で実行するように CPCD サービス パッケージを構成します。
extension-providerステートメントを最初に設定すると、PICが再起動します。[edit chassis fpc 11 pic 1 adaptive-services service-package] user@host# set extension-provider package jservices-cpcd
PICシステムロギングを有効にして、PICでシステムログメッセージを記録または表示しますが、デーモン、外部、カーネル、またはパケット転送エンジンプロセスは含まれません。
[edit chassis fpc 11 pic 1 adaptive-services service-package extension-provider] user@host# set extension-provider syslog daemon none user@host# set extension-provider syslog external none user@host# set extension-provider syslog kernel none user@host# set extension-provider syslog pfe none
業績
設定モードから、 show chassis コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
root@host# show chassis
fpc 11 {
pic 1 {
adaptive-services {
service-package {
extension-provider {
package jservices-cpcd;
syslog {
daemon none;
external none;
kernel none;
pfe none;
}
}
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
静的インターフェイス、HTTPリダイレクトフィルタ、およびインターフェイスサービスオプションの設定
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
トラフィックがリダイレクトされる前に到着する論理インターフェイスでギガビットインターフェイスを設定します。
[edit interfaces] user@host# edit ge-0/0/1 unit 900
説明とVLAN IDを論理インターフェイスに割り当てます。
[edit interfaces ge-0/0/1 unit 900] user@host# set description VLAN-REDIRECT user@host# set vlan-id 900
インターフェイスのIPv4ファミリーを設定します。
[edit interfaces ge-0/0/1 unit 900] user@host# edit family inet
入力フィルターを設定して、パケットが受信され、インターフェイスでリダイレクトされるタイミングを評価します。
[edit interfaces ge-0/0/1 unit 900 family inet] user@host# set filter input FF_HTTP_REDIR_IN
入力フィルターのアドレスを設定します。
[edit interfaces ge-0/0/1 unit 900 family inet] user@host# set address 203.0.113.250/30
マルチサービスインターフェイスに適用されるサービスオプションを設定します。
[edit interfaces] user@host# edit ms-11/1/0 services-options
手記:サービスオプションに設定されている値は、例のみを示しています。要件に従って、適切な値を構成およびプロビジョニングする必要があります。
伝送制御プロトコル(TCP)セッション確立のためのオープンおよびクローズ・タイムアウト期間を秒単位で指定します。
[edit interfaces ms-11/1/0 services-options] user@host# set open-timeout 4 user@host# set close-timeout 2
確立されたTCPおよび非TCPセッションの非アクティブタイムアウト期間を秒単位で指定します。
[edit interfaces ms-11/1/0 services-options] user@host# set inactivity-tcp-timeout 5 set inactivity-non-tcp-timeout 5
マルチサービスインターフェイスのセッションの有効期間を秒単位でグローバルに指定します。
[edit interfaces ms-11/1/0 services-options] user@host# set session-timeout 5
TCPセッションがタイムアウトになる前に送信されるキープアライブメッセージの最大数を指定します。
[edit interfaces ms-11/1/0 services-options] user@host# set tcp-tickles 0
マルチサービスインターフェイスで論理インターフェイスを設定します。
[edit interfaces ms-11/1/0] user@host# edit unit 1
サービスドメインを設定して、ネットワーク内で論理インターフェイスが使用されることを指定します。
[edit interfaces ms-11/1/0 unit 1] user@host# set service-domain inside
論理インターフェイスで IPv4 アドレスファミリーを設定します。
[edit interfaces ms-11/1/0 unit 1] user@host# set family inet
マルチサービスインターフェイスに2つ目の論理インターフェイスを設定します。
[edit interfaces ms-11/1/0] user@host# edit unit 2
サービスドメインを設定して、論理インターフェイスがネットワークの外部で使用されることを指定します。
[edit interfaces ms-11/1/0 unit 2] user@host# set service-domain outside
論理インターフェイスから CPCD パケットをリダイレクトするための出力フィルタを設定します。
[edit interfaces ms-11/1/0 unit 2] user@host# set filter output FF_CPCD_REDIRECT_OUTPUT
論理インターフェイスで IPv4 アドレスファミリーを設定します。
[edit interfaces ms-11/1/0 unit 2] user@host# set family inet
業績
設定モードから、 show interfaces コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
root@host# show interfaces
ge-0/0/1 {
unit 900 {
description VLAN-REDIRECT;
vlan-id 900;
}
family inet {
filter {
input FF_HTTP_REDIR_IN;
}
address 203.0.113.250/30;
}
}
ms-11/1/0 {
services-options {
open-timeout 4;
close-timeout 2;
inactivity-tcp-timeout 5;
inactivity-non-tcp-timeout 5;
session-timeout 5;
tcp-tickles 0;
}
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet {
filter {
output FF_CPCD_REDIRECT_OUTPUT;
}
}
service-domain outside;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
追加のルーティング インスタンスの設定とそのネクストホップ スタティック インターフェイスの割り当て
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
ルーティングインスタンスを設定します。
[edit routing-instances] user@host# edit CPCD_REDIRECT
仮想ルーターのルーティングインスタンスを設定します。
[edit routing-instances CPCD_REDIRECT] user@host# set instance-type virtual-router
ルーティングインスタンス用に、以前に定義した2つのマルチサービスインターフェイスを設定します。
[edit routing-instances CPCD_REDIRECT] user@host# set interface ms-11/1/0.1 user@host# set interface ms-11/1/0.2
スタティックルーティングオプションを設定します。
[edit routing-instances CPCD_REDIRECT] user@host# edit routing-options static
ネクストホップのスタティックインターフェイスをルートとルーティングインスタンスに割り当てます。
[edit routing-instances CPCD_REDIRECT routing-options static] user@host# set route 0.0.0.0/0 next-hop ms-11/1/0.1 user@host# set route 203.0.113.0/24 next-hop ms-11/1/0.2
業績
設定モードから、 show routing-instances コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
root@host# show routing-instances
CPCD_REDIRECT {
instance-type virtual-router;
interface ms-11/1/0.1;
interface ms-11/1/0.2;
routing-options {
static {
route 0.0.0.0/0 next-hop ms-11/1/0.1;
route 203.0.113.0/24 next-hop ms-11/1/0.2;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
HTTPトラフィックをダイレクトするためのインターフェイス固有フィルターの設定
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
[edit firewall]階層の下にサービスフィルターのファミリーを作成します。[edit firewall] user@host# edit family inet
CPCDの出力トラフィックをリダイレクトするインターフェイス固有のフィルターを作成します。
[edit firewall family inet] user@host# edit filter FF_CPCD_REDIRECT_OUTPUT
これがインターフェイス固有のフィルターであることを指定します。
[edit firewall family inet filter FF_CPCD_REDIRECT_OUTPUT] user@host# set interface-specific
ウォールドガーデンのインターフェイス固有のフィルターのフィルター項を作成します。
[edit firewall family inet filter FF_CPCD_REDIRECT_OUTPUT] user@host# edit term One
デフォルトトラフィックをカウントするアクションとデフォルトのルーティングインスタンスの両方を指定します。
[edit firewall family inet filter FF_CPCD_REDIRECT_OUTPUT interface-specific term One] user@host# set then count back-to-default set then routing-instance default
HTTP 入力トラフィックをリダイレクトするフィルターを作成します。
[edit firewall family inet] user@host# edit filter FF_HTTP_REDIR_IN
これがインターフェイス固有のフィルターであることを指定します。
[edit firewall family inet filter FF_HTTP_REDIR_IN] user@host# set interface-specific
ウォールドガーデンのインターフェイス固有のフィルターのフィルター項を作成します。
[edit firewall family inet filter FF_HTTP_REDIR_IN] user@host# edit term ACCEPTED_PREFIXES
ウォールドガーデンのフィルターの一致条件として、受け入れられるプレフィックスのリストを指定します。
[edit firewall family inet filter FF_HTTP_REDIR_IN term ACCEPTED_PREFIXES] user@host# set from prefix-list User-PRIVATE-Blocks-01
一致するすべての HTTP トラフィックに対して実行するアクションを指定します。
[edit firewall family inet filter FF_HTTP_REDIR_IN term ACCEPTED_PREFIXES] user@host# set then next term
壁に囲まれた庭のフィルターの 2 番目のフィルター項を作成します。
[edit firewall family inet filter FF_HTTP_REDIR_IN interface-specific] user@host# edit term HTTP
ウォールドガーデンのフィルターの一致条件としてプロトコルと宛先ポートを指定します。
[edit firewall family inet filter FF_HTTP_REDIR_IN term HTTP] user@host# set from protocol tcp user@host# set from destination-port http
ウォールドガーデンの外に流れることを宛先とするHTTPトラフィックを照合するために実行するアクションを指定します。
[edit firewall family inet filter filter FF_HTTP_REDIR_IN interface-specific term HTTP] user@host# set then count HTTP user@host# set then forwarding-class best-effort user@host# set then routing-instance CPCD_REDIRECT
業績
設定モードから、 show firewall コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
root@host# show firewall
family inet {
filter FF_CPCD_REDIRECT_OUTPUT {
interface-specific;
term One {
then {
count back-to-default;
routing-instance default;
}
}
}
filter FF_HTTP_REDIR_IN {
interface-specific;
term ACCEPTED_PREFIXES {
from {
prefix-list {
User-PRIVATE-Blocks-01;
}
}
then next term;
}
term HTTP {
from {
protocol tcp;
destination-port http;
}
then {
count http;
forwarding-class best-effort;
routing-instance CPCD_REDIRECT;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
プライベートブロックプレフィックスリストを使用するためのポリシーオプションとステートメントの設定
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
[edit policy-options]階層下にあるプライベートブロックプレフィックスリストを使用するポリシーオプションとステートメントを作成します。[edit policy-options] user@host# set policy-statement User-PRIVATE-Blocks-01
プライベートブロックプレフィックスリストの送信元アドレスを設定します。
[edit policy-options policy-statement User-PRIVATE-Blocks-01] user@host# set 203.0.113.0/24
業績
設定モードから、 show policy-options コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
root@host# show policy-options
policy-statement User-PRIVATE-Blocks-01 {
203.0.113.0/24;
}
デバイスの設定が完了したら、設定モードから commit を入力します。
加入者向けのブロードバンドエッジ静的ルート設定の使用(MXシリーズデバイスのJunos OSリリース23.4R1)
Junos 23.4R1以降、BNG向けの加入者向けブロードバンドエッジ静的ルート設定機能が、RADIUSフレームルート設定に置き換わります。同じサイト上の複数のホストに静的 IP アドレスをセットアップできるようになりました。
例えば:
- 既存の設定を使用して、ルーティングテーブルにルートを追加します。この設定がコミットされると、設定されたサブスクライバIPを持つサブスクライバが立ち上がるまで、ルートは非表示になります。
staticRoute { routing-options { access { route 7.7.7.7/32 next-hop 50.1.1.1; } } } [edit system services subscriber-management]モードで コマンドstatic-framed-routeを使用して、特定の顧客接続に向けたBNG上の静的フレームルート機能を有効にすることができます。user@root> set system services subscriber-management static-framed-route
- フレームルートの送信ではなく、認証目的でRADIUSサーバーを使用できるようになりました。
手記:静的フレームルートは、加入者がダウンしている場合にのみ追加、変更、または削除する必要があります。
加入者が立ち上がると、スタティックなフレームルートが加入者にアタッチされます。スタティック フレームルートは IPv4 でのみサポートされます。
検証
HTTPリダイレクトサービスがサービスセット内で正しく構成されていることを確認するには、次のタスクを実行します。
CPCDサービス用に設定されたサービスセットの確認
目的
設定された CPCD サービスセットを表示します。
アクション
動作モードから、 show services captive-portal-content-delivery service-set http-redirect-sset detail コマンドを入力します。
user@host> show services captive-portal-content-delivery service-set http-redirect-sset detail
Service Set Id Profile Compiled Rules
http-redirect-sset 1 http-redirect 1
意味
出力には、CPCDサービス用に設定されたサービスセットが一覧表示されます。
ウォールドガーデンに設定されたHTTPサービスルールの詳細の確認
目的
ウォールド ガーデンに対して構成された特定の HTTP サービス ルールの詳細を表示します。
アクション
動作モードから、 show services captive-portal-content-delivery rule redirect term REDIRECT コマンドを入力します。
user@host> show services captive-portal-content-delivery rule redirect term REDIRECT Rule name: redirect Rule match direction: input Term name: term REDIRECT Term action: redirect Term action option: http://redirection-portal/redirection/
意味
出力には、ウォールド ガーデン用に構成された特定の HTTP サービス ルールのルールと用語の詳細が一覧表示されます。