MS-MPCベースまたはMX-SPC3ベースの統合型HTTPリダイレクトサービスの設定
MS-MPC/MS-MIC でコンバージド HTTP リダイレクト サービスを設定できます。Junos OS リリース 19.3R1 以降、MX シリーズ ルーターで次世代サービスを有効にしている場合、MX-SPC3 サービス カードでコンバージド HTTP リダイレクト サービス プロビジョニングを設定することもできます。
統合型サービス プロビジョニングにより、サービス定義をサービスのインスタンス化から分離します。サービスを定義した後、加入者ログイン時またはセッション途中でChange of Authorization(CoA)を使用して、サービスを動的にインスタンス化できます。サービスのインスタンス化では、定義されたサービスの名前のみが使用され、すべてのサービスの詳細がシステム オペレーターから隠されます。統合型サービス プロビジョニングでは、動的プロファイル内の動的変数に対応するサービス パラメーター化がサポートされています。
コンバージド HTTP リダイレクト・サービスの場合、これは、動的プロファイル内でサービスとサービス・ルールを定義することを意味します。CPCD サービス・ルールは、動的プロファイルで構成された変数に基づいて動的に作成されます。
必要に応じて、動的プロファイルに redirect-url
変数の定義を含めることで、リダイレクト URL をパラメーター化することもできます。この変数の値は、加入者の起動時またはChange of Authorization(CoA)メッセージとともに、RADIUS VSAによって提供されます。これにより、各サブスクライバーのリダイレクト URL をカスタマイズできます。RADIUS で値が指定されていない場合に使用される URL のデフォルト値を定義できます。
ウォールドガーデンをファイアウォールサービスフィルターとして設定します。トラフィックをフィルター処理して、ウォールド ガーデンの外部を宛先とする HTTP トラフィックのみが処理のために動的サービスに渡されるようにします。スタティック HTTP リダイレクト サービスの場合と同様に、サービス プロファイルにはサービス ルールが含まれます。CPCDサービスプロファイルをMS-MPC/MS-MIC上の特定のmsサービスインターフェイスまたはMX-SPC3サービスカード上のvspサービスインターフェイスに関連付けるには、動的プロファイルの外部でサービスセットを設定します。動的プロファイル内で、サービス セットとウォールド ガーデン サービス フィルターを動的インターフェイスに適用します。
ウォールドガーデンをファイアウォールサービスフィルターとして構成する
ウォールドガーデンをファイアウォールサービスフィルターとして設定すると、ウォールドガーデン内のサーバーを宛先とするトラフィックが識別され、スキップされます。このトラフィックはラインカードに流れないため、処理要件が軽減されます。
他のすべてのHTTPトラフィックは、ウォールに囲まれた庭の外のアドレスに宛てられます。このトラフィックはフィルター条件に一致しないため、ラインカードに流れて処理されます。
ウォールド ガーデンにキャプティブ ポータルまたはサーバのリストとして単一のサーバが含まれるようにサービス フィルタを設定できます。
単一のサーバーを持つウォールドガーデンをキャプティブポータルとして構成します。
サービス フィルターを作成します。
[edit] user@host# edit firewall family address-family service-filter filter-name
フィルター条件を定義して、キャプティブポータルへのトラフィックの処理を識別し、スキップします。
キャプティブ ポータルの宛先アドレスと宛先ポートを指定して、キャプティブ ポータルを宛先とするトラフィックを照合するフィルタ条件を指定します。
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-address ip-address user@host# set term name from destination-port port-number
一致するトラフィックがラインカードでの処理をスキップすることを指定します。
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
前の条件に一致しなかったすべてのトラフィックからHTTPトラフィックを識別するフィルタ条件を定義し、CPCDサービスルールによる処理のために送信します。
スキップされた HTTP トラフィックと一致する 1 つ以上の HTTP ポート番号を指定します。
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-port http-port-number
一致するトラフィックが CPCD サービスによって処理されることを指定します。
[edit firewall family inet service-filter filter-name] user@host# set term name then service
フィルター条件を定義して、残りの非HTTPトラフィックに対するそれ以上のアクションをスキップします。
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
例えば、以下の設定では、キャプティブポータルが192.0.2.0であるIPv4 HTTPトラフィック用のフィルタwalled-v4を作成します。アドレスに一致するトラフィックはスキップされます。一致しないトラフィックは用語 http になり、スキップされたすべてのトラフィックから HTTP トラフィックが選択され、CPCD サービスに従って処理されるように送信されます。最後に、タームスキップにより、残りの非HTTPトラフィックがすべてスキップされます。
[edit] user@host# edit firewall family inet service-filter walled-v4 [edit firewall family inet service-filter walled-v4] user@host# set term portal from destination-address 192.0.2.0 user@host# set term portal from destination-port 80 user@host# set term portal then skip user@host# set term http from destination-port 80 user@host# set term http then service user@host# set term skip then skip
ウォールド ガーデンをサーバーのリストまたはサブネットとして構成します。
サービス フィルターを作成します。
[edit] user@host# edit firewall family address-family service-filter filter-name
フィルター条件を定義します。
サーバーの宛先プレフィックスリストを指定して、ウォールドガーデン内の任意のサーバー宛てのトラフィックに一致するフィルター条件を指定します。
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-prefix-list list-name user@host# set term name from destination-port port-number
一致するトラフィックがラインカードでの処理をスキップすることを指定します。
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
前の条件に一致しなかったすべてのトラフィックからHTTPトラフィックを識別するフィルタ条件を定義し、CPCDサービスルールによる処理のために送信します。
スキップされた HTTP トラフィックと一致する 1 つ以上の HTTP ポート番号を指定します。
[edit firewall family inet service-filter filter-name] user@host# set term name from destination-port http-port-number
一致するトラフィックが CPCD サービスによって処理されることを指定します。
[edit firewall family inet service-filter filter-name] user@host# set term name then service
フィルター条件を定義して、残りの非HTTPトラフィックに対するそれ以上のアクションをスキップします。
[edit firewall family inet service-filter filter-name] user@host# set term name then skip
(オプション)ウォールド ガーデン内のサーバーを指定するプレフィックス リストを定義します。サブネットまたは複数の個別のアドレスを指定できます。
[edit policy-options] user@host# set prefix-list list- name ip-address/mask user@host# set prefix-list list- name ip-address1 user@host# set prefix-list list- name ip-address2
例えば、以下の設定では、IPv6 HTTPトラフィック用のサービスフィルタ、walled-v6-listを作成し、プレフィックスリストwg-listで、ウォールドガーデンに2台のサーバーを指定します。フィルター条件portal6は、ウォールドガーデン宛てのIPv6トラフィックを識別します。一致しないトラフィックは用語 http6 になり、スキップされたすべてのトラフィックから HTTP トラフィックが選択され、CPCD サービスに従って処理されるように送信されます。最後に、タームスキップにより、残りの非HTTPトラフィックがすべてスキップされます。
[edit] user@host# edit firewall family inet6 service-filter walled-v6-list user@host# set term portal6 from destination-prefix-list wg-list user@host# set term portal6 then skip user@host# set term http6 from destination-port [80 8080] user@host# set term http6 then service user@host# set term skip6 then skip [edit policy-options] user@host# set prefix-list wg-list 2001:db8::10.10 user@host# set prefix-list wg-list 2001:db8::10.22
ローカルおよびリモートリダイレクトサーバーのHTTPリダイレクトの設定
ウォールドガーデン外のサイトに対してHTTPリクエストが行われると、CPCDはトラフィックをキャプティブポータルにリダイレクトして認証と承認を行うことができます。
ウォールドガーデンサービスフィルターによって識別され、サービスに渡されるHTTPトラフィックに対して実行するアクションを指定するCPCDサービスルールを設定します。構成するアクションは、ローカルまたはリモートのどちらのHTTPリダイレクトサーバーを使用しているかによって異なります。
ルーターでローカル HTTP リダイレクト サーバーを使用している場合は、リダイレクト アクションを指定します。
ルーターの後ろの壁に囲まれた庭にあるリモート HTTP リダイレクト サーバーを使用している場合は、リダイレクト URL を単純に指定することはできません。この場合、サービス ルールはトラフィックの IP 宛先アドレスを書き換える必要があります。新しい宛先アドレスは、リモート HTTP リダイレクト サーバーのアドレスです。次に、リモート サーバーは、トラフィックをキャプティブ ポータルに送信するためのリダイレクト URL を提供します。
例えば、以下のローカル・サーバーの構成では、動的プロファイル http-redir-converged に CPCD サービス・ルール redir-svc が含まれています。このルールは、トラフィックをキャプティブポータル http://www.portal.example.com
にリダイレクトします。サブスクライバーが入力した元の URL がリダイレクト URL に追加されます。CPCD サービス プロファイル redir-prof にはルールが含まれており、後でサービス セットによってサービス インターフェイスに適用されます。
user@host# edit dynamic-profiles http-redir-converged user@host# edit services captive-portal-content-delivery user@host# edit rule redir-svc user@host# set match-direction input user@host# set term redir1 then redirect http://www.portal.example.com/url=%dest-url%
リモート・サーバーに対する以下の構成では、元の宛先アドレスをリモート・サーバーのアドレス 192.0.2.230 に書き換える CPCD サービス・ルール rewr-svc を作成します。
user@host# edit dynamic-profiles http-redir-converged user@host# edit services captive-portal-content-delivery user@host# edit rule rewr-svc user@host# set match-direction input user@host# set term rewr1 then rewrite destination-address 192.0.2.230
リダイレクト URL のパラメーター化の構成
必要に応じて、動的プロファイルでユーザー定義変数を指定することで、リダイレクト URL と書き換え先アドレスをパラメーター化することもできます。パラメーター化とは、URL またはアドレスが動的変数になることを意味します。この値は、加入者が認証されるとき、またはCoAが受信されるときに、RADIUSによって提供されます。したがって、RADIUS属性を使用して、加入者ごとに異なるURLまたは宛先アドレスを提供できます。
たとえば、次の構成では、インスタンス化時に外部から提供される値を必要とする redirect-url と rewrite-da という 2 つのユーザー定義変数を示しています。CPCD サービス ルール redir1 は、トラフィックを $redirect-url にリダイレクトすることを指定します。CPCD サービス・ルール rewr1 は、トラフィックの宛先アドレスを $rewrite-da に書き換えることを指定します。
user@host# edit dynamic-profiles http-redir-converged user@host# edit variables user@host# set redirect-url mandatory user@host# set rewrite-da mandatory user@host# edit services captive-portal-content-delivery user@host# edit rule redir-svc user@host# set match-direction input user@host# set term redir1 then redirect $redirect-url user@host# edit rule rewr-svc user@host# set match-direction input user@host# set term rewr1 then rewrite $rewrite-da
サービス プロファイルをサービス インターフェイスに関連付けるためのサービス セットの設定
サービスセットは、MS-MPC/MS-MIC、またはMXシリーズルーターで次世代サービスを有効にしている場合にはMX-SPC3サービスカードによって実行される1つ以上のサービスを定義します。HTTP リダイレクト・サービスの場合、CPCD ルールを含む CPCD サービス・プロファイルを定義します。サービス・セットは、CPCD サービス・プロファイルを特定のサービス・インターフェースに適用します。
たとえば、次の設定では、CPCD ルール redir-svc を参照する CPCD サービス プロファイル redir-prof が作成されます。サービスセットcvgdは、CPCDサービスプロファイルrewr-profをサービスインターフェイスms-2/0/0に関連付けます。
[edit services captive-portal-content-delivery] user@host# edit profile redir-prof user@host# set cpcd-rules redir-svc user@host# set dynamic [edit services] user@host# edit service-set cvgd user@host# set captive-portal-content-delivery-profile redir-prof user@host# set interface-service service-interface ms-2/0/0
動的論理インターフェイスへの CPCD サービスセットとサービスフィルタのアタッチ
HTTP リダイレクト・サービスを使用するには、CPCD サービス・セットを論理インターフェースに接続する必要があります。ウォールド ガーデンはサービス フィルターとして設定されているため、サービス セットと同じインターフェイスに接続する必要があります。そのインターフェイスに出入りするトラフィックは、サービスフィルターによってフィルタリングされます。サービス用に識別されたトラフィックは、CPCDプロファイルが適用されているMS-MPCまたはMX-SPC3サービスインターフェイスに送信されます。
この手順では、コンバージド サービス構成に固有の動的プロファイル構成の要素のみを示します。完全な動的プロファイルは、ユースケースによって異なります。
例えば、以下の設定では、動的プロファイル http-redir-converged を作成します。これは、IPv4アドレスファミリーで動的な物理および論理インターフェイスを作成するための定義済みの変数を指定します。プロファイルは、加入者ログイン時にサービスセットcvgdとサービスフィルターwalled-v4が作成されたときに、動的論理インターフェイスにアタッチします。サービス セットとフィルターは、どちらもインターフェイスの入力と出力に適用されます。
user@host# edit dynamic-profiles http-redir-converged user@host# edit interfaces $junos-interface-ifd-name user@host# edit unit $junos-underlying-interface-unit user@host# edit family inet user@host# set service input service-set cvgd service-filter walled-v4 user@host# set service output service-set cvgd service-filter walled-v4
CPCD サービスのサービスパッケージのインストール
MS-MPC/MS-MIC、またはMXシリーズルーターでUSFを有効にしている場合、MX-SPC3サービスカードでCPCDサービスを使用するには、MS-MICまたはMX-SPC3でサービスインターフェイスを設定します。必要なサービス パッケージは、サービス インターフェイスを備えた各 MS-MIC または MX-SPC3 にインストールする必要があります。
たとえば、次の設定では、CPCDサービスパッケージとモバイル加入者サービスパッケージを、シャーシスロット1のMS-MPCとMPCのスロット0のMS-MICにロードします。システムログメッセージは、すべての重大度レベルの任意のデーモンおよびローカル外部アプリケーションに対して生成されます。
user@host# edit chassis fpc 1 pic 0 adaptive-services service-package [edit chassis fpc 1 pic 0 adaptive-services service-package] user@host# set extension-provider package jservices-cpcd,jservices-mss [edit chassis fpc 1 pic 0 adaptive-services service-package] user@host# set extension-provider syslog daemon any user@host# set extension-provider syslog external any
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。